В данной статье я бы хотел рассказать об одном достаточно простом методе защиты от Syn Flood атак на маршрутизаторах Juniper серии MX. Данный метод может помочь при нескольких условиях, о которых рассказано ниже. Конечно, есть аппаратные и программные решения, технологии Syn Cookies, Syn Proxy и другие. Но, иногда, большую часть трафика получается заблокировать на маршрутизаторе без применения дополнительных механизмов или дорогостоящих устройств. Так как мы использовали для настройки маршрутизатора некоторые статьи наших коллег, решили поделиться и нашим опытом, он достаточно специфичны, но надеемся принесет пользу. Пример такой атаки приведен на графике ниже.
Читать полностью »
Рубрика «juniper» - 4
Juniper MX + IX + SynFlood
2016-03-15 в 14:24, admin, рубрики: BGP, ddos, juniper, juniper mx, network, Блог компании LTD BeGet, информационная безопасность, Сетевые технологии, хостинг, хостинг-провайдерVPLS. Распределение меток с помощью BGP
2016-01-24 в 22:36, admin, рубрики: BGP signaling, juniper, label block operation, vpls, Сетевые технологииЛюбой инженер, сталкивавшийся с MPLS, знает что метки могут распределяться двумя способами: DU (Downstream Unsolicited) и DD (Downstream On-Demand). В первом случае маршрутизатор начинает генерировать и передавать всем своим LDP соседям метки до префиксов, к которым он является next-hop. Во втором случае LSR будет генерировать метку до префикса и передавать ее только по запросу вышестоящего маршрутизатора. Пример первого случая — протокол LDP, второй случай — RSVP-TE. А как распределяются метки в VPLS? Давайте разберемся.Читать полностью »
Routing Instance – это совокупность таблиц маршрутизации, интерфейсов и параметров протоколов маршрутизации. Протоколы маршрутизации контролируют информацию в таблицах маршрутизации, причем в одной routing instance могут быть как IPv4, так и IPv6 маршруты одновременно, а так же несколько физических или логических интерфейсов. Один физический интерфейс, разбитый на несколько логических unit-ов (субинтерфейсов), может быть отнесен к разным routing instance (однако один и тот же unit (субинтерфейс) или, не разделенный на unit-ы, физический интерфейс, нельзя прикрепить к разным routing instance).
Routing instance — мощнейший инструмент операционной системы JunOS, позволяющий при совместном использовании c rib-groups, firewall filters и policy выполнить любую задачу. К сожалению, многие инженеры не знают о назначении большинства routing instances, кроме всем до боли знакомой VRF.
JunOS предоставляет нам большой выбор routing instance, доступных для конфигурирования:
routing-instances {
routing-instance-name {
interface interface-name;
instance-type (forwarding | l2vpn | layer2-control | no-forwarding | virtual-router | virtual-switch | vpls | vrf);
}
}Security Week 02: уязвимые вебкамеры, продолжение истории с Juniper, Zero-Day в Silverlight и как его нашли
2016-01-15 в 12:41, admin, рубрики: d-link, dual_ec_drbg, hackingteam, internet explorer, juniper, klsw, silverlight, tyupkin, Блог компании «Лаборатория Касперского», бэкдор, информационная безопасность 
На этой неделе одной из самых обсуждаемых новостей стало окончание поддержки Microsoft Internet Explorer 8, 9 и 10. Данные версии браузеров перестанут получать обновления даже в случае обнаружения серьезных уязвимостей. Новость достаточно очевидная, чтобы не тратить на нее много места в дайджесте, но она наводит меня на еще одну мысль. Тем, кто пользуется IE 8, уже давно пора обновиться, и возможно прекращение поддержки их наконец-то подтолкнет к этому шагу. Обновиться достаточно просто, хотя кому-то придется для этого купить новый компьютер, но и это — не большая проблема.
Проблемы начнутся, когда «компьютеров» с аналогичным подходом к разработке и развитию, когда типичный софт и железо устаревают максимум за 2-3 года, будет несколько десятков в каждой отдельно взятой квартире — от счетчика электроэнергии до чайника и электроплиты. Заметный упор в сторону «умных» бытовых приборов на CES (пока в основном довольно странных и безумно дорогих холодильников и стиральных машин) показывает, что это произойдет довольно скоро. В нынешнем виде такие устройства могут работать десятилетиями. А в будущем? Представьте себе экосистему Android, распространенную на утюги и кофемолки. Получатся небезопасные устройства, которые надо обновлять, небезопасные устройства, которые не поддерживаются производителем, небезопасные устройства, о которых даже сам производитель не знает, что они небезопасные.
Какая-то не очень радужная перспектива, но пока я не вижу других вариантов развития. Производителям «умных вещей», увы, придется набить те же шишки на лбу, которые для производителей «больших» операционных систем давно пройденный этап. Все выпуски дайджеста — тут.
Читать полностью »
АНБ помогало британским спецслужбам использовать уязвимости в продуктах Juniper
2016-01-15 в 10:17, admin, рубрики: juniper, анб, Блог компании 1cloud.ru, информационная безопасность, инфраструктура, ит-инфраструктура, уязвимости 
В нашем блоге мы пишем о развитии собственного облачного проекта 1cloud, а также рассматриваем интересные вопросы, связанные с технологиями. Один из самых важных аспектов построения инфраструктуры — это выбор оборудования и обеспечение его безопасности. В частности, компаниям важно знать, в каких из использующихся ими инструментах обнаруживаются ошибки безопасности.
В конце 2015 года СМИ опубликовали документ от февраля 2011 года, под грифом «совершенно секретно», в котором говорится о том, что британская разведывательная служба Центр правительственной связи (The Government Communications Headquarters, GCHQ) с помощью специалистов АНБ получила возможность тайно пользоваться уязвимостями в 13 моделях межсетевых экранов от Juniper Networks – одного из ведущих производителей телекоммуникационного оборудования в мире (в нашей системе ни один из них не используется).
Этот шестистраничный документ, озаглавленный «Оценка возможностей использования Juniper в целях разведки», поставил вопрос о мере ответственности разведывательных агентств за само появление проблем с безопасностью сетевой защиты Juniper, о которых компания сообщила в декабре прошлого года.
Читать полностью »
Нестандартный топ событий в сфере IT-безопасности 2015
2015-12-24 в 12:16, admin, рубрики: Carbanak, chrysler, Cisco, equation, flash, Ghost, glibc, juniper, keylogger, klitogi, trojan, Блог компании «Лаборатория Касперского», браузеры, Интернет вещей, информационная безопасность, криптография, роутеры 
Вот и пришло время повторить упражнение, которое я первый раз выполнил ровно год назад. Тогда я взял 10 самых популярных новостей с нашего сайта Threatpost и попытался выяснить — почему именно они, собственно, привлекли внимание общественности — и специалистов, и обычных пользователей. Такой метод имеет очевидные недостатки — на популярность статей много что влияет, и совершенно не обязательно, что самые популярные новости об инцидентах в кибермире являются одновременно и самыми важными. Но есть и достоинства: событий в сфере информационной безопасности происходит огромное количество, и каждый участник их обсуждения, в зависимости от специализации и личных интересов, выберет свои «самые-самые». А тут — если и не самый объективный, то хотя бы независимый инструмент оценки.
В этом году подборка самых посещаемых новостей удачно делится на пять основных категорий:
— Низкотехнологичные угрозы для пользователей
— «Уязвимости в неожиданных местах»: безопасность «интернета вещей», домашних и промышленных сетевых устройств,
— Проблемы шифрования данных
— Громкие уязвимости в ключевых платформах и «хайтек» киберугроз — примеры самых продвинутых атак
— Рутинные, но опасные уязвимости в распространенном софте
Вот по ним и пройдемся.
Читать полностью »
IPv6 — это весело, часть 2
2015-03-29 в 9:56, admin, рубрики: Cisco, IPv6, juniper, Сетевые технологииВведение: Добрый день или вечер, или даже ночь дорогие читатели. В данной статье продолжим изучать особенности протокола IPv6 и его отличия от IPv4. В данной статье будет минимальное количество теории и максимальное количество настройки. Начнем с настройки DHCPV6 и рассмотрим особенности работы этого протокола на основе протокола IPv6, также посмотрим на то, как настраиваются протокола динамической маршрутизации на основе IPv6. Оборудования для настройки выберем Cisco (в третей части Juniper).
IPV6 — это весело. Часть 1
2015-03-23 в 16:16, admin, рубрики: Cisco, IPv6, juniper, Сетевые технологии, метки: CIsco, ipv6, JuniperВозникла у меня идея познакомить публику Хабра с IPv6 и настройкой протоколов на основе этого замечательного и еще плохо изученного сетевыми специалистами протокола. Для этих целей я остановлюсь на двух основных вендорах, это Juniper и Cisco. Моя статья будет состоять из трех частей. В первой части я соберу всю самую скучную, но очень нужную теорию. Рассмотрим поля протокола ipv6, принципы работы, разбиение на подсети и поставлю себе задачу, как можно больше акцентировать внимание на отличии его от любимого IPv4.
Ну что же, начнем, и начнем мы с плана.
План
• Заголовок IPv6 в сравнении с IPv4
• Представление IPv6-адресов
• Типы совместного использование протоколов IPv4 и IPv6
• Типы адресов
• Разбиение на подсети
Читать полностью »
Настойка можжевельника: готовим Juniper SRX. Часть 3: Virtual Routers
2015-03-18 в 5:39, admin, рубрики: GRE, ipsec, juniper, nat, routing, virtual routers, Блог компании Петер-Сервис, Сетевые технологии, системное администрированиеjuniper — можжевельник (англ.)
Продолжаем готовить настойку из можжевельника. О том, как мы начинали, можно почитать здесь и здесь. Сегодня же немного потрогаем такую удобную штуку, как Virtual Routers, и подумаем, как ее применить с наибольшей пользой.
Содержание:
Часть 1: Знакомство
Часть 2: IPSec
Часть 3: Virtual Routers
В Juniper есть тип сущностей Routing Instance, предназначенный для манипуляций с трафиком (маршрутизации и инкапсуляции). RI позволяют «разделить» один роутер на несколько поменьше, при этом каждый instance будет обрабатывать трафик «по-своему», независимо от других и с разными возможностями. Это полезно для организации всевозможных VPN, когда нужно изолировать друг от друга нескольких клиентов и разрулить их по разным правилам. При этом информацией о VPN можно обмениваться с другими роутерами (например, при организации MPLS VPN).
Читать полностью »
Как интернет-гиганты перевернули бизнес по продаже сетевого «железа»
2015-02-25 в 14:50, admin, рубрики: amazon, Cisco, Facbook, Facebook, Google, HP, juniper, Блог компании 1cloud.ru, инфраструктура, ит-инфраструктура, комутаторы, свитчи, Сетевое оборудование, Сетевые технологии, метки: комутаторы, свитчи 
Google, Facebook и Amazon не продают коммутаторы и никогда не будут этим заниматься. Однако этим компаниям удалось изменить то, как такое оборудование продают другие.
Без коммутаторов («свитчей») невозможно представить себе работу интернета — ведь именно с их помощью огромные объемы данных пересылаются между дата-центрами и частными сетями. Традиционно, на рынке продажи этих устройств доминировали большие американские компании вроде Cisco и Juniper — они предлагают покупателям довольно дорогое оборудование, работающее на проприетарном софте.Читать полностью »