Сообщения

Сообщения за 2024

Двухфакторная аутентификация на VPN шлюзах для всех

Двухфакторная аутентификация с использованием одноразовых паролей, является одним из самых надежных методов защиты от несанкционированного доступа к внутренним ресурсам компании, так как с одной стороны делает утечку логина/пароля не достаточной для того чтоб злоумышленник смог получить доступ, и с другой делает невозможной перебор паролей, так как перебирать нужно одновременно логин, пароль и одноразовый пароль, а он все время разный. Одноразовый пароль можно например отправить по СМС или по электронной почте, или можно его сгенерировать при помощи программного или аппаратного токена что наиболее удобно и бесплатно. Поставщиков программного обеспечения для двухфакторной аутентификации великое множество, как облачных так и тех кто позволяет развернуть его внутри компании. Для примера приведем несколько подобных: DUO SafeNet MFASoft Multifactor multiOTP   Большинство подобных продуктов состоит, как минимум из следующих компонентов: 1. Radius сервера, который взаимодействует с ш...

Статические маршруты и петли маршрутизации

 Допустим у вас есть маршрутизатор, он является шлюзом по умолчанию для ПК. Пусть сеть ПК будет 192.168.0.0 255.255.255.0 Так же у вас есть сеть принтеров 192.168.1.0 255.255.255.0 И предположим есть файрвол, он связан с маршрутизатором PtP сетью например 10.0.0.0 255.255.255.252 Сети у вас иногда добавляются но их немного и вам нет смысла поднимать динамическую маршрутизацию. Но вы на файрволе прописали маршрут на сети 192.168.0.0 255.255.0.0 через маршрутизатор 10.0.0.1 А на маршрутизаторе маршрут по умолчанию на файрвол. И теперь если мы пинганем принтер 192.168.1.5 то если он существует мы увидим ответ а если его нет то будет таймаут. А вот если мы пинганем адрес 192.168.2.5 то мы увидим ответ от маршрутизатора что истек TTL потому что у маршрутизатора адрес 192.168.2.5 попадает в маршрут по умолчанию на файрвол, а у файрвола он же в маршрут на сети 192.168.0.0 255.255.0.0 на маршрутизатор. Так они и шлют трафик друг другу пока не истечет TTL. Что делать? 1. Прописать маршруты ...

Собираем в L2 домен пару портов в BDI и порты на Switch карте на Cisco 4331

Допустим у нас есть потребность связать в один L2 домен пару SFP портов на шасси, и плюс ко всему мы еще и модуль NIM-ES2-4 используем и подключаем к нему тоже например коммутатор. Что нам потребуется: 1. Настроить BDI и VLAN интерфейсы 2. Настроить на портах на шасси параметры добавления удаления тегов dot1q  3. Настроить Vlan'ы Пример: vlan 2  name MGMT ! vlan 3  name PC ! interface GigabitEthernet0/0/0  no ip address  negotiation auto  service instance 2 ethernet   encapsulation dot1q 2   rewrite ingress tag pop 1   rewrite egress tag push dot1q 2   l2protocol peer stp   bridge-domain 2  !  service instance 3 ethernet   encapsulation dot1q 3   rewrite ingress tag pop 1   rewrite egress tag push dot1q 3   l2protocol peer stp   bridge-domain 3  ! interface GigabitEthernet0/0/1  no ip address  negotiation auto  service instance 2 ethernet   encapsulation dot1q 2   rewr...

N3Com который Raisecom и похожее железо и Voice VLAN

 Немного теории: Если мы хотим по каким то причинам, чтоб голосовой трафик передавался внутри отдельного VLAN, (или отдельной? VLAN это ведь сеть, а она женского рода), то мы можем подключить телефон к прту коммутатора в режиме Access с нужным VLAN. Но если телефон с коммутатором и к нему подключен ПК то и его трафик попадет в голосовой VLAN. Чтоб отделить одно от другого есть глобально два метода: 1. Телефон шлет голосовой трафик с тегом dot1q, а трафик с ПК без тега. 2. Коммутатор смотрит на часть MAC адреса, ту что называется OUI и определяет производителя оборудования, и понимая что это телефон, помещает его кадры в нужный VLAN Первый вариант реализуем такими способами как: 1. Передать телефону параметры голосового VLAN в опции DHCP (например для телефонов Avaya эта опция будет 242 , и часть строки отвечающая за голосовой VLAN будет например такая: L2QVLAN=2,L2Q=1 , где первая часть указывает голосовой VLAN ID, а вторая что трафик должен быть тегирован) 3. Настроить все вручну...

Дополнение PKCS5

При шифровании и дешифровке данных блочными шифрами, если ваши данные не кратны размеру блока, нужно их дополнить чем то до размера кратного блоку. Часто применяется дополнение PKCS7 (ну или PKCS5 при размере блока 64 бита). Суть метода очень проста, для блока в 8 байт: 1. Если данные короче чем размер блока, дополняем их байтами значения которых равны их количеству. например у нас блок из данных 0x01 0x02 0x03 0x04, не хватает четырех байт, дополняем четырьмя байтами значение которых равно 4 , получаем 0x01 0x02 0x03 0x04 0x04 0x04 0x04 0x04 2. Если данные кратны блоку то все равно дополняем восемью восьмерками. При дешифровке и удалении дополнения мы смотрим на последний байт, его значение и будет то количество байт которое нужно удалить, именно для этого нужно дополнение когда данные итак уже кратны размеру блока.

Manageengine ServiceDesk Plus пароль на базу данных

 В свежих релизах пароль по умолчанию больше не sdp@123! а смотреть его надо так: В папке bin выполнить decryptPostgresPassword.sh

Выкладываю на Git всякие картики в Corel

Изображение
 Может будет кому полезно. Типа таких:  

Cisco-Huawei CLI

 Буду добавлять команды - аналоги Cisco CLI Начнем потихоньку: Cisco Huawei show interface "интерфейс" trunk display port vlan "интерфейс"