Archiwum kategorii: sieci

ASA – odblokowanie aaa-server

 
Czasem, w wypadku awarii, chwilowej niedostępności, bądź też jakiś prac, serwer AAA staje się niedostępny dla firewalla. Ten wówcas oznacza taki serwer jako FAILED i nie kieruje do niego więcej zapytań. Co prawda, urządzenie odblokuje wszystkie serwery AAA automatycznie, ale nastąpi to w wypadku, gdy wszystkie stana sie niedostępne i otrzymają flage FAILED.
 

Czytaj dalej

ASA – aktualizacja oprogramowania klastra HA Act/Stb

Proces aktualizacji nie jest skomplikowany, ale wymaga nieco pracy i uwagi. Cały proces jest wykonywany bezprzerwowo i niezauważalnie dla użytkowników. Należy pamiętać, że ASy w klastrze HA nie synchronizują zawartości dysków, więc całe aktualizaowane oprogramowanie należy skopiowac na oba urządzenia – primary i standby. Dotyczy to zarówno obrazów ASA, jak i ASDM, czy AnyConnect.

Czytaj dalej

Atrybuty BGP

bgp1Gdy protokół BGP wysyła pakiet UPDATE do peera, wysyłane są atrybuty związane z danym prefiksem. Atrybuty te następnie sa używane przez BGP do wyboru najlepszej drogi do rozgłaszanego prefiksu (adresu docelowego). Atrybuty BGP można porównać do metryki OSPF lub EIGRP jeśli chodzi o sposób, w jaki są używane do podjęcia decyzji o najlepszej drodze.

Czytaj dalej

Cisco ASA – “read-only file system”

Ostatnio robiłem aktualizację oprogramowania i ASDMa na Cisco ASA 5505 napotkałem następujący problem. Urządzenie miało już ponad roczny uptime, przy próbie skopiowania z serwera TFTP oprogramowania, otrzymałem komunikat “read-only file system”. Wywołało to moją całkiem nie małą konsternację.

Czytaj dalej

Hardening przełączników HP Procurve cz.1

Niezabezpieczony dostęp do do urządzeń sieciowych lub protokoły przesyłające informacje otwartym tekstem są jedną z przyczyn nieuprawnionego dostępu do sieci i w konsekwencji utraty cennych danych. Chciałbym w tym wpisie przedstawić kilka sposobów na poprawienie bezpieczeństwa przełączników HP Procurve. Zaczniemy do bezpieczeństwa fizycznego.

Czytaj dalej

HP Procurve STP – hardening i port-fast

Protokół STP ma na celu zapobieganie powstawania pętli w sieci, która posiada połączenia redundantne. Nie posiada on żadnych mechanizmów autoryzacyjnych, co niestety umożliwia atak na sieć LAN za pomocą sfałszowanych pakietów BPDU i zmianę switcha root na inny, do którego ma dostęp atakujący. Ponieważ przez switch root przechodzi większość ruchu, umożliwia to np. przechwycenie i monitorowanie ruchu przez atakującego. Innym ubocznym i niechcianym efektem jest to, że podłączony switch, nawet jeśli nie jest on specjalnie podstawiony, to z uwagi na ilość ruchu może być on zbyt słaby i powodować duże opóźnienia w sieci (np. mamy sieć LAN ze switchami z portami 1Gbps, a użytkownik podłączył sobie switch 1 portami 100Mbps).

Czytaj dalej