Наш проект CCIE за год семимильными шагами приближается к своему старту. Летят эссе в преддедлайновой агонии.
Меж тем надо запускать форум.

Тут следует сделать анонс - у нас будет два форума, точнее один классический форум для общения на свободные темы - вот он и готов, второй - Q&A - специально для проекта CCIE за год.

И сегодня я презентую говорилку: forum.linkmeup.ru.
Сказать, что я её сделал за один вечер было бы лукавством - много времени я потратил на выбор самого движка и локализацию.



Итак, VanillaForum. Модульный движок для форума. Open Source. Поддерживает плагины, шкурки, готов к локализации. Может сам выступать в роли плагина для того же WordPress'а.

Многие его ругают за подражание соц.сетям и куцый функционал. Что ж, возможно, они и правы.

Сейчас просто кратко без воды.

1) Качаем сам двиган отсюда.
2) После заливки на сервак нужно дать корректные права на все каталоги. В частности - Upload.
3) Создаём БД в phpmyadmin, а эти данные потом вбиваем в форму, которую показывает Ванилка сразу после загрузки.
4) Официальная локализация корява, но это всё, что есть. Остальные хуже.

Качаем её тут.
Каталог их архива загружаем в папку locale на сервере. Сразу после этого в разделе Locale в админке должен появиться выбор русского языка

5) Оставшиеся косяки локализации убирем/добавляем ручками либо в locale pack, либо напрямую в коде (да отрежет мне Столлман эти ручки).
6) Минимальный набор плагинов, который добавит ванильки. Многие из них уже есть в комплекте, только не активированы.
Advanced Editor - окно редактирования топиков и комментов обогатится графическими кнопочками.
Quotes - по умолчанию цитирования в комментариях нет. Этот плагин добавляет.
Vanilla Statistics - просто люблю графики.
Tagging - систематизация сайта.
Yandex Metrika - для любителей статистики.

Принято отсчитывать возраст Linkmeup с даты публикации нулевого выпуска СДСМ на хабре - ровно 4 года назад.

Сегодня у нас:
12 главных выпусков в цикле.
[Все выпуски]
10. Сети для самых маленьких. Часть десятая. Базовый MPLS
9. Сети для самых маленьких. Часть девятая. Мультикаст
8.1 Сети для Самых Маленьких. Микровыпуск №3. IBGP
8. Сети для самых маленьких. Часть восьмая. BGP и IP SLA
7. Сети для самых маленьких. Часть седьмая. VPN
6. Сети для самых маленьких. Часть шестая. Динамическая маршрутизация
5. Сети для самых маленьких: Часть пятая. NAT и ACL
4. Сети для самых маленьких: Часть четвёртая. STP
3. Сети для самых маленьких: Часть третья. Статическая маршрутизация
2. Сети для самых маленьких. Часть вторая. Коммутация
1. Сети для самых маленьких. Часть первая. Подключение к оборудованию cisco
0. Сети для самых маленьких. Часть нулевая. Планирование


422 177 посетителей.
3.4 млн просмотров статей.

765 179 просмотров видео на канале Youtube.
7 011 подписчиков на канале Youtube.

35 выпусков подкаста
323 750 скачиваний подкаста на podfm.ru.
За без малого 3 года в подкасте приняли участие эксперты из Германии, Норвегии, Канады, Украины, Польши, Израиля.
Были гости из Cisco, Huawei, Ericsson, Dlink, UNetLab, NetCracker, НТЦ Метротек, Зелакс, Полигон, AMT Group.
Трудно поверить, но было даже две девушки и иностранец.

География читателей linkmeup:


Возраст читателей linkmeup:


Немного о грустном: пол:


Неожиданная статистика по ОС:


Традиционно в честь дня рождения дарим наклейки linkmeup.


Как обычно, не просто так. Раздаём за синюю кнопку, за помощь в наполнении глоссария, за критику/предложения по подкастам, за рекомендации гостей и написание статей.
Пишите на info@linkmeup.ru с темой письма "Наклейки linkmeup" и вашими ачивками.
Но вы можете скачать вектор стикера и распечатать его.

Оставайтесь на связи

Новая статья на Linkmeup.

===================================================

Текст обзора предоставлен официальным дистрибьютором.

===================================================

Технология PON

PON(Passive optical network) – пассивная оптическая сеть.


Одной из основных задач современных телекоммуникационных сетей является предоставление абонентам наибольшей полосы пропускания при минимальных затратах. Эту задачу в полной мере решает технология пассивных оптических сетей – PON.


Главная особенность технологии PON заключается в том, что между модулем центрального узла OLT(Optical Line Terminal) и абонентскими устройствами ONU(Optical Network Unit) образуется полностью пассивная оптическая сеть, обладающая структурой дерева. В промежуточных узлах располагаются устройства, которые не требуют питания и обслуживания, их называют – сплиттеры или разветвители. Таким образом, один центральный приемопередающий терминал OLT может передавать информацию большому числу абонентских устройств ONU. Поэтому технология PON обладает рядом преимуществ, среди которых можно выделить:

• Отсутствие активного оборудования в промежуточных точках между оператором и клиентом



• Эффективное использование полосы пропускания сети;



• Высокая скорость передачи данных;



• Экономия оптического волокна;



• Масштабируемость, так как древовидная структура сети позволяет подключать новых абонентов наиболее экономичным способом;



• Возможность резервирования канала до абонента.

В данном обзоре рассматривается оптический линейный терминал для сетей GEPON производства компании Raisecom – OLT GEPON ISCOM5508(rev.B).



( Collapse )

Одна из самых оживлённых тем на зарубежных сетевых ресурсах сейчас - это новый GNS и VIRL. В России практически самым первым и уж точно в самом подробном виде эту тему освещает Александр Sinister.
Специально для linkmeup.ru

=========================

GNS3 1.2

В начале 2000х ситуация с эмуляторами сетевого оборудования выглядела достаточно плачевно.
Но затем появился Dynamips и Dynagen (консольный фронтэнд к Dynamips), которые предоставляли возможность эмулировать некоторые маршрутизаторы Cisco IOS.
Впервые Dynamips был представлен общественности в далеком 2005м году.
Это была по сути разработка одного человека.
Проект понемногу развивался, но был заброшен в 2007м, последняя версия от первоначального автора была с номером 0.2.8-RC2.
Управление при этом было далеко от удобного: в текстовых конфигурационных файлах приходилось описывать всю топологию вручную.
А затем, в 2007м году, Джереми Гроссман (Jeremy Grossman) начал разработку GNS3, в качестве своего дипломного проекта во время учебы в университете.
Со временем GNS3 стал самым узнаваемым и популярным решением для эмуляции сетевого оборудования, в первую очередь для тех кто готовился к сдаче сертификационных экзаменов.
И вот сейчас, в 2014м году, выходит эволюционная (с точки зрения разработчиков) версия GNS3 1.0.

Но перед тем как приступить к тщательному изучению новой версии, ненадолго вернемся в прошлый год, в тот момент когда стартовала новая веха разработки GNS3.

Как всё начиналось

После того как суммарная цифра скачивания GNS3 достигла отметки в 10 миллионов, основатели GNS3 решили запустить кампанию по сбору средств на дальнейшее развитие проекта.



Более 13 000 человек приняли участие в финансировании GNS3 и в итоге было собрано 550 000$.
( Collapse )

Статья опубликована на linkmeup.

=======================

Здравствуйте, коллеги и друзья, я, Семенов Вадим, совместно с командой проекта network-class.net представляем вниманию обзорную статью, которая затрагивает основные тенденции и угрозы в IP телефонии, и самое главное, те инструменты защиты, что на данный момент предлагает производитель в качестве защиты (если выражаться языком специалистов по безопасности, то рассмотрим какие инструменты предлагает производитель для уменьшения уязвимостей, которыми смогут воспользоваться нелегитимные лица). Итак, меньше слов– переходим к делу.
Для многих читающих термин IP телефония уже давно сформировался, а также и то, что данная телефония «лучше», дешевле по сравнению с телефонией общего пользования (ТФОП), богата различными дополнительными функциями и т.д. И это действительно так, однако… отчасти. По мере перехода от аналоговой (цифровой) телефонии со своими абонентскими линиями (от абонентского телефона до станции или станционного выноса) и соединительными линиями (меж станционная линия связи) ни много ни мало были только лишь в зоне доступа и управления провайдера телефонии. Иными словами, обычным обывателям туда доступа не было (ну или практически так, если не учитывать кабельную канализацию). Вспоминается один вопрос на старом добром форуме хакеров «Подскажите, как получить доступ к АТС? – ответ: «Ну как, берешь бульдозер – таранишь стену здания АТС и вуаля». И эта шутка имеет свою долю правды) Однако с переносом телефонии в дешевую IP среду мы получили в довесок и те угрозы, которые несет в себе открытая IP среда. Примером приобретенных угроз может служить следующее:

• Сниффинг сигнальных портов с целью совершения платных вызовов за чужой счет


• Подслушивание за счет перехвата голосовых IP пакетов


• Перехват звонка, представление нелегитимным пользователем как легитимный пользователь, атака «человек по середине»


• DDOS атаки на сигнальные сервера станции с целью вывода из строя всей телефонии


• Спам-атаки, обрушение большого количества фантомных вызовов на станцию с целью занять все её свободные ресурсы

Несмотря на очевидность в необходимости устранять все возможные уязвимости дабы уменьшить вероятность реализации той или иной атаки - по факту внедрение тех или иных мер защиты необходимо начинать с составления графика, учитывающего стоимость внедрения защитных мер от конкретной угрозы и убытков предприятия от реализации злоумышленниками этой угрозы. Ведь глупо тратить денег на безопасность актива больше, чем стоит сам актив, который мы защищаем.
Определив бюджет на безопасность, начнем устранение именно тех угроз, которые наиболее вероятны для компании, например для малой организации больнее всего будет получить большой счет за несовершенные междугородние и международные звонки, в то время как для государственных компаний важнее всего сохранить конфиденциальность разговоров. Начнем же постепенное рассмотрение в текущей статье с базовых вещей – это обеспечение безопасного способа доставки служебных данных от станции к телефону. Далее рассмотрим аутентификацию телефонов перед подключением их к станции, аутентификацию станции со стороны телефонов ну и шифрование сигнального трафика (для скрытия информации кто и куда звонит) и шифрование разговорного трафика.
У многих производителей голосового оборудования (в том числе и у Cisco Systems) есть уже интегрированные инструменты безопасности от обычного ограничения диапазона ip адресов, с которых можно совершать вызовы, до аутентификации оконечных устройств по сертификату. Например, у производителя Cisco Systems с его голосовой линейкой продуктов CUCM (Cisco Unified CallManager) с версии продукта 8.0 (дата выхода в свет май 2010г.; на данный момент доступна версия 10.5 от мая 2014г.) стала интегрироваться функция «Безопасность по умолчанию». Что она в себя включает:

• Аутентификация всех скачиваемых по/с TFTP файлов (конфигурационные файлы, файлы прошивки для телефонов т.д.)


• Шифрование конфигурационных файлов


• Проверка сертификата с инициализации телефоном HTTPS соединения

Давайте рассмотрим пример атаки «человека по середине», когда нелегитимное лицо перехватывает конфигурационный файлы для телефонов, из которого телефон узнает на какую станцию ему регистрироваться, на каком протоколе работать, какую прошивку скачивать и т.д. Перехватив файл, злоумышленник сможет вносить в него свои изменения либо полностью затереть файл конфигурации, тем самым не дав телефонам всего офиса (см. рисунок) зарегистрироваться на станции, а, следовательно, лишив офиса возможности совершать звонки.
( Collapse )

Данную статью написал наш читатель и слушатель Дмитрий Фиголь специально для linkmeup.
==================================


Привет! В этой статье я расскажу про интересные особенности протокола маршрутизации EIGRP.
Основы EIGRP отлично описаны в одной из статей цикла СДСМ: 6. Сети для самых маленьких. Часть шестая. Динамическая маршрутизация
В первой половине статьи кратко описаны некоторые факты об этом протоколе, а во второй - несколько интересных примеров с топологией и командами.

Факты про EIGRP

• В феврале 2013 года Cisco решила открыть EIGRP. Стоит отметить, что был открыт не исходный код, а лишь информация, необходимая для реализации протокола. В итоге появился драфт RFC. Последнее обновление 10.04.2014. В этом документе не была раскрыта ключевая особенность - Stub, без которой пользоваться протоколом практически бесполезно. Интересна реакция других вендоров: на сегодняшний день никто, кроме Cisco, не внедрил поддержку этого протокола в своём оборудовании.


• EIGRP для расчёта метрики использует 5 K-values, которые являются лишь модификаторами (коэффициентами), и 4 значения метрики. Надёжность (reliability) и загрузка линка (load) являются динамическими параметрами, поэтому эти значения пересчитываются только при изменении в сети. K5 - это дополнительный коэффициент надёжности, и никакого отношения к MTU он не имеет! Напомню общую формулу расчёта метрики:
  
  А если K5 = 0, то формула имеет такой вид:
  
  
  
  где min_bandwidth - это пропускная способность наихудшего линка в kbps,
  а total_delay - это сумма задержек всех линков в мкс (микросекундах).
  Для изменения метрики обычно меняют delay, так как bandwidth влияет на QoS, кроме этого, изменение bandwidth не всегда меняет метрику (если наихудший линк не изменился).
  Минимальное значение MTU действительно подсчитывается, но не принимает никакой роли в определении лучшего пути. В своей топологии в GNS3 я тестировал несколько десятков раз с помощью команд redistribute connected metric и maximum-paths 1. Несмотря на различное значение MTU, лучший путь выбирается тот, который был изучен ранее. Также интересно, что в драфте RFC упоминается дополнительный коэффициент K6 и 2 дополнительных значения метрики: джиттер (jitter) и энергия (energy).


• Feasibility Condition не всегда легко понять в первый раз. Но логика очень простая: если ты говоришь мне, что у тебя метрика больше, чем метрика моего лучшего пути, значит есть шанс, что твой путь проходит через меня, что в свою очередь означает петлю. Из-за этого часто очевидные для инженера "пути-без-петли" могут не рассматриваются протоколом как feasible successors. Помните, EIGRP не видит всей сети - а лишь то, что говорят соседи.


• EIGRP - Distance Vector протокол, никакой гибридности в нём нет.


• С помощью show ip eigrp neighbors detail можно посмотреть, является ли сосед тупиковым (stub) роутером.


• Помните, с помощью команды show ip eigrp topology видны лишь successors и feasible successors. Чтобы посмотреть все возможные пути, необходимо добавить ключевое слово "all-links": show ip eigrp topology all-links.


• В IOS 15 наконец-то отключена по умолчанию автоматическая суммаризация, ура! Прощай, команда no auto-summary!


• Значения таймеров (Hello и Hold) могут быть неодинаковыми. Кстати, значение таймера Hold передаётся соседу и означает: "если в течение X секунд ты от меня не получишь Hello, значит я больше недоступен".


• EIGRP использует свой транспортный протокол (IP protocol number: 88) - RTP (Reliable Transport Protocol). Не стоит путать его с другим известным протоколом Real-time Transport Protocol (тоже RTP), который используется для передачи потоков реального времени, например, VoIP (в связке с SIP). EIGRP также использует мультикаст адрес: 224.0.0.10. Не забывайте во входящем ACL разрешать EIGRP трафик, например, с помощью записи: permit eigrp any any.


• Из-за различных значений административной дистанции (AD) для внутренних (90) и внешних (170) маршрутов EIGRP позволяет избежать некоторых проблем при редистрибьюции (redistribution).


• Помните, что 2 роутера могут быть соседями, и при этом у них может не быть adjacency. С помощью команды show ip eigrp neighbors показываются все соседи, а для того, чтобы узнать, является ли сосед смежным (adjacent), необходимо убедиться, что значение в поле Q Cnt равно 0.


• EIGRP кроме суммарного маршрута может отправить и конкретный специфический маршрут. Эта особенность называется EIGRP Leak Map. Это полезно, если мы хотим сделать traffic engineering. Идея очень похожая на bgp unsuppress-map. Для этого необходимо применить команду: ip summary-address eigrp as-number summary-address summary-mask leak-map leak-map-route-map.

Ну что, пора заняться практикой?
( Collapse )

Второй год жизни подкаста начинает гость из Иркутска - Илья Черников.

Основная тема подкаста - WiFi. Обсуждаем его версии, технологии, лежащие в основе и некоторые детали протоколов. Если вам незнакомы слова MIMO, OFDM, WiFi-контроллер, то просим в подкаст.

Новости выпуска:

1. Крупнейшая DDoS-атака в истории сетей (400 Гб/с от NTP серверов) (link).


2. Рекорд скорости передачи данных в реальной среде — 1.4Tбит/с — поставила Alcatel-Lucent в сети British Telecommunications (link).


3. Скатываемся в прошлый век. Четверо из ларца хотят запретить в России иностранное оборудование связи (link).

4. MDIF хочет запустить в космос тысячи маленьких кубических спутников и покрыть сетью WiFi всю планету (link).


Скачать файл подкаста.



Подписаться на iTunes или на rpod.

Если у вас есть какие-то вопросы, что-то непонятно из подкаста, милости просим в комментарии.

Под катом вы найдёте презентацию по подкасту. К сожалению, Slideshare перестал подгружать звук, поэтому на этот раз слайды будут отдельно, подкаст отдельно.



Саму презентацию Ильи Черникова по WiFi и оборудованию DLink вы можете скачать здесь.

На фоне использован микс The_Winter_Anomaly_2014.

Первый год жизни подкаста мы завершаем на крайне позитивной ноте - в гостях у нас Дмитрий Jdima и инженер Cisco TAC - Анатолий Цыганенко.

Всё, что вы хотели бы знать про работу центра технической поддержки, как в циско обрабатывают кейсы, и какими средствами анализа обладают инженеры - в первой части подкаста.
Далее будет качественный рассказ про механизмы Proccess Switching, Fast Switching и Cisco Express Forwarding. Мы погрузимся в RIB, FIB, реализацию всего этого в железе, посмотрим, как пакет обрабатывается на линейных, процессинговых платах и фабриках коммутации.
Довольно хардкорно получилось и по длительности и по глубине.

Новости выпуска

1. Самый что ни на есть настоящий Dual Stack IPv4/IPv6 от Вымпелкома: тест в Воронеже (link)


2. Автоматизированная система радиоконтроля АСРК-РФ будет проверять, кто незаконно засоряет радиоэфир (link)


3. Впервые для DDOS-атаки были использованы сервера для синхронизации времени (link)


4. Германское издание Spiegel опубликовало 50-страничный каталог жучков, которые могут заказывать и внедрять сотрудники АНБ (link)

Скачать файл подкаста.



Подписаться на iTunes или на rpod.


Под катом вы найдёте список аббревиатур, терминов и иллюстрации к подкасту.
( Collapse )

Александр sinister подготовил для linkmeup новую интереснейшую статью.

=====================================





Создание пакетов или packet crafting - это техника, которая позволяет сетевым инженерам или пентестерам исследовать сети, проверять правила фаерволлов и находить уязвимые места.
Делается это обычно вручную, отправляя пакеты на различные устройства в сети.
В качестве цели может быть брандмауэр, системы обнаружения вторжений (IDS), маршрутизаторы и любые другие участники сети.
Создание пакетов вручную не означает, что нужно писать код на каком-либо высокоуровневом языке программирования, можно воспользоваться готовым инструментом, например, Scapy.

Scapy - это один из лучших, если не самый лучший, инструмент для создания пакетов вручную.
Утилита написана с использованием языка Python, автором является Philippe Biondi.
Возможности утилиты практически безграничны - это и сборка пакетов с последующей отправкой их в сеть, и захват пакетов, и чтение их из сохраненного ранее дампа, и исследование сети, и многое другое.
Всё это можно делать как в интерактивном режиме, так и создавая скрипты.
С помощью Scapy можно проводить сканирование, трассировку, исследования, атаки и обнаружение хостов в сети.
Scapy предоставляет среду или даже фреймворк, чем-то похожий на Wireshark, только без красивой графической оболочки.
Утилита разрабатывается под UNIX-подобные операционные системы, но тем не менее, некоторым удается запустить ее и в среде Windows.
Эта утилита так же может взаимодействовать и с другими программами: для наглядного декодирования пакетов можно подключать тот же Wireshark, для рисования графиков - GnuPlot и Vpython.
Для работы потребуется права суперпользователя (root, UID 0), так как это достаточно низкоуровневая утилита и работает напрямую с сетевой картой.
И что важно, для работы с этой утилитой не потребуются глубокие знания программирования на Python.

Приступаем

( Collapse )

Статья опубликована на linkmeup.


Автор статьи Александр Sinister. Специально для проекта linkmeup.

=============



Wireshark — это достаточно известный инструмент для захвата и анализа сетевого трафика, фактически стандарт как для образования, так и для траблшутинга.
Wireshark работает с подавляющим большинством известных протоколов, имеет понятный и логичный графический интерфейс на основе GTK+ и мощнейшую систему фильтров.
Кроссплатформенный, работает в таких ОС как Linux, Solaris, FreeBSD, NetBSD, OpenBSD, Mac OS X, и, естественно, Windows. Распространяется под лицензией GNU. Доступен бесплатно на сайте wireshark.org.
Установка в системе Windows тривиальна — next, next, next.
Самая свежая на момент написания статьи версия – 1.10.3, она и будет участвовать в обзоре.

Зачем вообще нужны анализаторы пакетов?
Для того чтобы проводить исследования сетевых приложений и протоколов, а также, чтобы находить проблемы в работе сети, и, что важно, выяснять причины этих проблем.
Вполне очевидно, что для того чтобы максимально эффективно использовать снифферы или анализаторы трафика, необходимы хотя бы общие знания и понимания работы сетей и сетевых протоколов.
Так же напомню, что во многих странах использование сниффера без явного на то разрешения приравнивается к преступлению.

Начинаем плаванье

Для начала захвата достаточно выбрать свой сетевой интерфейс и нажать Start.
( Collapse )