antiCisco blogs


блоги по технологиям и оборудованию cisco от инструкторов

Публикации помечены ‘cisco’

Опубликовано 5 Апрель , 2013

          Мы продолжаем серию статей, посвященную тестированию оборудованию с помощью IXIA и ПО IxNetwork. Эта статья — вводная, в последующих будут опубликованы методики, схемы и детальные результаты нагрузочных тестов. Есть весьма интересные результаты, но о них чуть позже…

          Наши цели

          В большинстве случаев информация в datasheet по оборудованию различных производителей, в том числе Cisco, содержит цифры с максимальной производительностью, как правило, без приведения деталей тестирования: конфигураций оборудования, с которыми производилось тестирование, детальных результатов и т.п. Читать продолжение записи »

 

Метки: , , ,
Опубликовано: Маршрутизаторы и коммутаторы | 5 комментариев »

Опубликовано 25 Июль , 2011

 

Для построения территориально распределенных сетей на текущий момент в большинстве случаев используются виртуальные шифрованные сети поверх интернета. Традиционный подход построения подобных сетей с помощью простого шифрования трафика методом IPsec в туннельном режиме крайне не эффективен в виду сложности настройки, невозможности использования динамических протоколов маршрутизации, не работоспособности multicast трафика, и очень плохой масштабируемости. Добавление новых сайтов в таких сетях зачастую требует перенастройки всех узлов, корректировки огромного числа ACL, статических маршрутов и т.д.

 

Для устранения выше обозначенных недостатков компания Cisco в своих маршрутизаторах (Cisco ASA данным функционалом не обладает!)  предлагает технологию DMVPN (Dynamic Multipoint VPN). Данная технология базируется на следующих базовых принципах: Читать продолжение записи »

 

Метки: , , , , ,
Опубликовано: Безопасность cisco , Маршрутизаторы и коммутаторы | 12 комментариев »

Опубликовано 21 Сентябрь , 2010

Вообще линейка продуктов по системе предотвращения вторжений у компании cisco довольно широкая. Туда входят отдельно стоящие сенсоры IPS серии 42ХХ, модуль в 6500 — IDSM2, модуль в ASA — AIP-SSM, модуль в маршрутизатор (ISR) — NME-IPS, «карточка» в ISR — AIM-IPS. Ту же идеологию циска старается привнести и в софтовые решения на базе ISR, добавляя в IOS соответствующий функционал.
Вся идеология обнаружения и предотвращения вторжений основана на понятии сигнатуры. Сигнатура по сути шаблон «неправильности» в одном пакете или потоке пакетов. «Неправильности» бывают разные, начиная от типичных методов разведки и заканчивая сетевыми червями. Эти шаблоны старательно пишутся программистами циски и доходят до пользователя в виде обновлений. Т.е. система реактивна по своей сути и основана на постоянных обновлениях, что стоит денег. Лицензии на обновления привязываются к каждой железке непосредственно. Без лицензии можно менять ОС, но нельзя накатить обновления сигнатур.
Для начала немного истории систем обнаружения и предотвращения вторжений на базе маршрутизаторов.
Читать продолжение записи »

 

Метки: , , ,
Опубликовано: Маршрутизаторы и коммутаторы | Нет комментариев »

Опубликовано 26 Март , 2010

Сразу оговорюсь: данный тест — пристрелочный. Ставилась задача примерно оценить производительность шифрования.

Начальные условия таковы: туннель site-to-site между маршрутизатором cisco 1841 и маршрутизатором vyatta, установленным на сервер НР (1266 МГц, 256Мб оперативной памяти). Маршрутизаторы связаны линком 100мбит/сек. Шифрование – AES-128 с хэшем SHA.

Схема такая:

(FTP server) – (vyatta) =====туннель====== (cisco1841) – (ftp client)

Для начала я протестировал скорость обращения на FTP сервер, стоящий во внутренней сети за vyatta без шифрования. Скорость работы составила около 65мбит/сек при мизерной загрузке обоих маршрутизаторов (меньше 5%). Из этого делаю вывод, что скорость меньше 100мбит/сек из-за ограничений сервера и протокола.

__________________________
UPD 31.03 10:15
Как выяснилось позже, ограничение по скорости было связано не с протоколом FTP, а включенным анализом IPS сигнатурами snort. Максимальная достигнутая скорость с включенным IPS (анализировался весь трафик), была около 64 мбит/сек. При этом загрузка процессора достигала 97%, загрузка памяти — 60%
__________________________

Включаем шифрование.
…и получаем крайне любопытные цифры.
Читать продолжение записи »

 

Метки: , , , , , ,
Опубликовано: Holywar | 6 комментариев »

Опубликовано 24 Март , 2010

Одна из самых востребованных технологий – защита канала передачи данных. Самая распространенная и безопасная технология – IPSec. Попробуем построить самый простой туннель между маршрутизатором vyatta и маршрутизатором cisco с использованием предустановленных ключей (pre-shared key).

Забегая вперед скажу, что все настройки интуитивно понятны и туннель поднялся без проблем. Vyatta использует Openswan IPSec 2.4.

Итак, как известно, построение IPSec идет в 2 фазы: IKE Phase I и IKE Phase II
Первая фаза работает по протоколу isakmp (UDP/500). Для её настройки нам надо задать политику создания первичного (служебного) туннеля и ключ для аутентификации.
Читать продолжение записи »

 

Метки: , , ,
Опубликовано: Vyatta | 6 комментариев »

Опубликовано 11 Март , 2010

11 марта 2010г состоялся увлекательный семинар Миши Кадера в Московской cisco про новые таможенные правила на территории таможенного союза России, Белоруссии и Казахстана. И про то, что cisco делает для того, чтобы ввоз нового оборудования наконец стал снова радовать и продавцов и покупателей.
______________________________
UPD 14.03 Статья была доработана докладчиком, внесены ряд дополнений и уточнений, добавлены полезнейшие ссылки. Большое спасибо Мише за потраченное время!
______________________________

Для начала экскурс в историю:
1. Таможенные правила ввоза на территорию РФ впервые были написаны аж в 1995 году и там было и про шифрование и про согласование с ФАПСИ (ныне ФСБ) и МинПромТоргом. Просто их никто не выполнял. Здесь ссылка на указ для интересующихся
2. В 2006, для вступления в ВТО, был разработан новый, более гибкий документ, выводящий часть криптографии из-под лицензирования. Документ так и не был согласован
3. В конце 2009 году, приняв за основу документ 2006г, ФСБ быстренько согласовала новые правила ввоза на территорию единого таможенного союза. Так что с 01.01.2010 года мы просто получили то, что должно было работать давным-давно. Вот опять же ссылка на эти правила

По новым правилам часть шифровательных функций выводится из-под лицензирования (полный список можно найти в нормативных документах):
1. «Слабое» шифрование (симметричное шифрование с длиной ключа меньше либо равным 56 битам, асимметричное – 128 битам)
2. Шифрование каналов для управления (ssh, https для управления)
3. Шифрование беспроводными точками доступа (со встроенными антеннами) трафика, передаваемого на расстояние до 400 м.
4. Если шифрование является неотъемлемой частью программного продукта (операционной системы).
Читать продолжение записи »

 

Метки: , , , , ,
Опубликовано: личный блог Сергея Федорова | 3 комментария »