Сегодня я хотел бы рассказать как можно обновить версию JunOS на вашем Juniper SRX. Я буду экспериментировать с SRX240B.
Пост будет полезен начинающим администраторам, матерые гуру не найдут тут ничего интересного.
Заинтересовало? Прошу под кат.
Читать полностью »
В прошлый раз мы настраивали Site-to-Site IPSec VPN с использованием pre-shared-key. Сегодня мы поговорим про тот же IPSec VPN, только с использованием SSL сертификатов.
Обращаю внимание на то, что оба SRX'а должны обладать статическим внешним IP адресом.
Схема сети будет та же, что и в прошлый раз:
Сертификаты мы будем создавать с помощью OpenSSL, т.к. это интересней — CA под Windows Server 2012 R2 при инсталляции «Next, Next, Next» без проблем подписывает CSR запросы, с OpenSSL пришлось чуть чуть повозиться.
Всех заинтересовавшихся прошу под кат.
Читать полностью »
Наконец-то настал июль, время собираться на DEFCON. Фолловьте @defconparties в твиттере и определяйтесь, какие местечки посетить и на какие доклады сходить.
В этом году будет новое соревнование — SOHOpelesslyBroken, от ISE и EFF. Цель Track 0 состоит в том, чтобы показать ранее неизвестные уязвимости в домашних беспроводных роутерах. Track 1 будет проходить в режиме CTF прямо во время DEFCON. CTFы всегда очень веселые, а конкретно этот подразумевает взлом реального железа, что веселее вдвойне!
Ага, это мое рабочее место =P
Меня очень интересует EFF Open Wireless Router (переводчика, к слову, тоже), но они пока ничего не рассказывают об устройстве. В правилах соревнования значится ASUS RT-AC66U (HW Ver. A2) [Version 3.0.0.4.266] в качестве возможного устройства для взлома. У меня есть лишний RT-AC66U дома, поэтому я решил написать небольшой туториал для всех участников соревнования CTFЧитать полностью »
Сегодня мы с вами цинично поговорим о старой-доброй задаче – защите сотрудников и их рабочих станций при доступе к Интернет-ресурсам. В статье мы рассмотрим распространённые мифы, современные угрозы и типовые требования организаций по защите веб-трафика.
Если из всей статьи вы запомните всего один факт, то знайте – на сайтах для взрослых шанс подцепить зловреда в десятки раз меньше, чем на обычных Интернет-ресурсах.
Технология, названная Fastpass, была протестирована в одном из датацентров Facebook и показала очень впечатляющие результаты. Суть системы Fastpass — в добавлении специализированного узла управления трафиком, который играет роль «дирижёра», сообщающего серверам, когда им следует отправлять пакеты данных. Этот узел вычисляет оптимальное время отправки пакета данных с точностью до сотен наносекунд и оптимальный его путь в сети. В результате резко снижается количество коллизий пакетов и время их ожидания в очередях.
С использованием Fastpass медианный размер очереди пакетов падает с 4,35 мегабайт до 18 килобайт. Теоретически, Fastpass позволяет вообще избавиться от очередей, но на практике это пока невозможно из-за недостаточно точной синхронизации времени между серверами. Так же значительно уменьшается и пинг — с 3,56 миллисекунд до 230 микросекунд. Необходимость в повторной отправке пакетов в сети, управляемой Fastpass, уменьшается в два с половиной раза.
Персонифицированный контроль за доступом к сети — задача хлопотная как со стороны администратора, так и со стороны пользователя. Многие системные администраторы уходят от этой задачи, применяя более «простые» методы контроля за доступом к пользовательским портам типа MAC authentication, портальная аутентификация или Port-security, а то и вовсе не делают какой-либо контроль на порту.
Но что же делать, если всё-таки нужно применять персонифицированный контроль за доступом к сети? Причём, контроль доступа нужно осуществлять как для проводных, так и беспроводных абонентов.
В этой статье я расскажу, как эту задачу можно решить, используя связку между контроллером точек беспроводного доступа типа HP MSM (модель не столь важна), системой управления HP IMC c установленным модулем User Access Management (UAM). Другие элементы инфраструктуры, такие как точка беспроводного доступа и коммутатор проводного доступа, являются лишь передаточным звеном для трафика, и о них я упомяну вскользь.
Итак, в статье с помощью снимков с экрана и элементов конфигурации CLI я покажу, как настраивается оборудование для этой задачи. Читать полностью »
В продолжении темы настройки Juniper SRX предлагаю вашему вниманию step-by-step инструкцию по настройке Site-to-Site IPSec VPN с использованием pre-shared-key. Обращаю внимание на то, что оба SRX'а должны обладать статическим внешним IP адресом.
Начнем с принципиальной схемы нашей сети:
Из этой схемы видно, что оба устройства подключены к провайдеру через интерфейсы ge-0/0/0 и за каждым SRX'ом находится своя приватная сеть (подключенная в ge-0/0/1). Наша цель — построить IPSec туннель и разрешить трафик между сетями 172.16.1.0/24 и 172.16.2.0/24.
Предполагается, что внешний интерфейс получает адрес по DHCP, для упрощения конфигурации.
Всех заинтересовавшихся прошу под кат.
Читать полностью »
Вашему домашнему Ethernet кабелю на рабочем столе не приходится иметь дело c разными обитателями океанов, такими, например, как эта морская звезда.
Тектоническая плита Хуан де Фука — на сегодня одна из самых малых по размерам на Земле. Она находится в нескольких сотнях километров от Орегона, Вашингтон и побережья Британской Колумбии. Однако недостатки в размерах Хуан де Фука окупаются ее коммуникабельностью. Она стала домом для уникальной, высокоскоростной оптической кабельной сети, которая нашла свою дорогу через глубокое дно Тихого океана еще в конце 2009 года.
Этот канал прозвали NEPTUNE — the North-East Pacific Time-Series Underwater Networked Experiment (Северо-восточная тихоокеанская подводная экспериментальная сеть без временных перебоев — прим. переводчика). Его протяженность — более 800 километров, что сопоставимо с длиной 40 000 вагонов метро, сцепленных в один, длинный поезд.
Читать полностью »
Здесь уже есть несоклько статей про настройку маршрутизаторов Juniper SRX (например, раз, два, три и т.д.). В этой я постараюсь консолидировать полезную информацию, дополнив ее некоторыми приятными мелочами.
Всех заинтересовавшихся прошу под кат.
Читать полностью »
Собрал я тут своим вирусом статистику по применяемым типам блокировки сайтов на стороне провайдера.
Названия провайдеров могут оказаться неточными из-за того, что GeoIP-база от MaxMind применялась свежая, а вот GeoISP-базу свежую мне украсть не удалось, поэтому использовалась версия от сентября 2012 года. Из-за этого, иногда в базе можно встретить измерение из России, но провайдера, например, из Чехии. Впрочем, это не проблема.
Итак, некоторые данные:
