antiCisco blogs


блоги по технологиям и оборудованию cisco от инструкторов

Публикации помечены ‘vyatta’

Опубликовано 1 Апрель , 2010

На маршрутизаторе vyatta интегрирован прокси-сервер squid, к которому можно применить запрещающие списки (squidguard blacklist, бесплатно скачиваемые с squidguard.org), распределенные по категориям.

Настройка довольно проста. Если вы хотите просто прокси-сервер, без URL-фильтрации, то можно ничего не скачивать. Достаточно включить squid (по умолчанию включается в прозрачном режиме на порту 3128)

[edit]
edit service webproxy
[edit service webproxy]
set listen address {IP} [port {#PORT}] [disable-transparent]
[edit service webproxy]
commit

указав параметр “port” можно задать явно ТСР-порт из диапазона 1024-65535
Читать продолжение записи »

 

Метки: , , ,
Опубликовано: Vyatta | 4 комментария »

Опубликовано 26 Март , 2010

Сразу оговорюсь: данный тест — пристрелочный. Ставилась задача примерно оценить производительность шифрования.

Начальные условия таковы: туннель site-to-site между маршрутизатором cisco 1841 и маршрутизатором vyatta, установленным на сервер НР (1266 МГц, 256Мб оперативной памяти). Маршрутизаторы связаны линком 100мбит/сек. Шифрование – AES-128 с хэшем SHA.

Схема такая:

(FTP server) – (vyatta) =====туннель====== (cisco1841) – (ftp client)

Для начала я протестировал скорость обращения на FTP сервер, стоящий во внутренней сети за vyatta без шифрования. Скорость работы составила около 65мбит/сек при мизерной загрузке обоих маршрутизаторов (меньше 5%). Из этого делаю вывод, что скорость меньше 100мбит/сек из-за ограничений сервера и протокола.

__________________________
UPD 31.03 10:15
Как выяснилось позже, ограничение по скорости было связано не с протоколом FTP, а включенным анализом IPS сигнатурами snort. Максимальная достигнутая скорость с включенным IPS (анализировался весь трафик), была около 64 мбит/сек. При этом загрузка процессора достигала 97%, загрузка памяти — 60%
__________________________

Включаем шифрование.
…и получаем крайне любопытные цифры.
Читать продолжение записи »

 

Метки: , , , , , ,
Опубликовано: Holywar | 6 комментариев »

Опубликовано 24 Март , 2010

Одна из самых востребованных технологий – защита канала передачи данных. Самая распространенная и безопасная технология – IPSec. Попробуем построить самый простой туннель между маршрутизатором vyatta и маршрутизатором cisco с использованием предустановленных ключей (pre-shared key).

Забегая вперед скажу, что все настройки интуитивно понятны и туннель поднялся без проблем. Vyatta использует Openswan IPSec 2.4.

Итак, как известно, построение IPSec идет в 2 фазы: IKE Phase I и IKE Phase II
Первая фаза работает по протоколу isakmp (UDP/500). Для её настройки нам надо задать политику создания первичного (служебного) туннеля и ключ для аутентификации.
Читать продолжение записи »

 

Метки: , , ,
Опубликовано: Vyatta | 6 комментариев »

Опубликовано 19 Март , 2010

Теперь усложним задачу: попробуем «прокинуть порт» внутрь. Или другими словами, анонсировать какой-нибудь сервис наружу МСЭ. Для этого нам понадобится 2 конструкции:
1. Трансляция адреса назначения при обращении снаружи
2. Разрешение инициирования трафика снаружи внутрь МСЭ

Как уже отмечал выше, на Vyatta реализовано 2 основных вида сетевых трансляций: трансляция адреса источника, когда идём наружу МСЭ (inside), и трансляция адреса назначения, когда идём снаружи МСЭ (destination). Разница в том, с какой стороны можно инициировать сессии. В первом случае – изнутри, а во втором – снаружи МСЭ. При этом нам нет необходимости описывать ответные пакеты: при прохождении первого пакета мы запоминаем (кэшируем) трансляцию и ответные пакеты уходят, используя эту запись в кэше.

Итак, для примера попробуем анонсировать наружу web-сервер 10.4.4.100 по порту 80 адреса интерфейса.
Опишем трансляцию адреса назначения. Для этого надо указать, на какой интерфейс мы обращаемся (eth0), на какой адрес и порт, и какой адрес и порт ему соответствует внутри МСЭ:
Читать продолжение записи »

 

Метки: , ,
Опубликовано: Vyatta | 1 комментарий »

Опубликовано 19 Март , 2010

Едем дальше. Попробуем добавить безопасности.

Первым делом, что хочется сделать, это построить правильный межсетевой экран с сохранением сессий (stateful inspection) и учетом сложных протоколов (advanced protocol handling).

Посмотрим, что vyatta умеет делать с точки зрения фильтрации трафика, а сложные протоколы рассмотрим позже.

Все глобальные параметры межсетевого экранирования собраны в режиме

edit firewall

Все функции фильтрации, которые можно применить для конкретного интерфейса, собраны в настройке

edit firewall name {ИМЯ}

Там можно фильтровать как по МАС-адресам (фильтр на канальном уровне), так и по IP и TCP/UDP портам (статические списки доступа).

Для начала описываем действие, которое мы хотим сделать с пакетом
[edit firewall name {ИМЯ}]
set rule {RULENUMBER} action {accept|drop|reject|inspect}

Читать продолжение записи »

 

Метки: , , ,
Опубликовано: Vyatta | 5 комментариев »

Опубликовано 5 Март , 2010

Настроим для начала интерфейсы с адресами, статический маршрутик по умолчанию и РАТ в адрес интерфейса, дабы завязать нашу внутреннюю сеть с внешним миром и «увидеть интернет». Все настройки начинаются с ключевого слова

set

Интерфейсы.
Будем настраивать самые простые – ethernet интерфейсы. Их настройка тривиальна
[edit]
edit interfaces
[edit interfaces]
set ethernet eth0 address 192.168.4.1/24
[edit interfaces]
set ethernet eth1 address 10.4.4.1/24
[edit interfaces]
commit
[edit interfaces]

Причем команда commit подтвердит только изменения, сделанные в указанном подрежиме. Это позволяет настраивать совместно железку несколькими администраторами, не боясь нарушить общую целостность конфигурации

Важно: Если вы ошибетесь при вводе команды, vyatta сразу ругнется, указав значком ^ место, откуда она перестает понимать команду.
Если же команда имеет правильный синтаксис, однако не может быть подтверждена самостоятельно, а только в составе каких-то других команд, то vyatta ругнется на этапе подтверждения, явно рассказав, что же ещё требуется, чтобы этот кусочек конфига был законченным. Тоже удобно.
Читать продолжение записи »

 

Метки: , ,
Опубликовано: Vyatta | 5 комментариев »

Опубликовано 5 Март , 2010

Сейчас на нашем рынке сетевых устройств для сетей, чуть более сложных, чем домашние, сложилась патовая ситуация: в связи с введением новых таможенных правил на ввоз криптографии практически заморожен приток любого нового оборудования. Однако, бизнес ждать не любит и требует заменителей.

Поэтому активизировалось желание найти более-менее адекватную замену cisco ISR и научиться при помощи нее строить сети небольших контор.
На данный момент выбор пал на open-source решение vyatta (www.vyatta.com). По сути это специальная сборка линукса GNU и модулей, придуманных различными разработчиками для решения различных сетевых задач:
1. Маршрутизация статическая и динамическая (RIP, OSPF, BGP)
2. Межсетевое экранирование (статическое –списки доступа, и динамическое, с сохранением сессий)
3. Трансляция сетевых адресов (NAT, PAT, внутренний и внешний)
4. Анализ и поддержка сложных для МСЭ протоколов (FTP, PPTP, IPSec и т .д.)
5. Система предотвращения вторжений
6. URL-фильтрация
7. Прокси-сервер
8. Контентный фильтр
9. Вспомогательные сервисы (ssh, ntp, dns и др)

Весьма неплохой набор, надо признать!

Ядро поддерживает большое количество разных интерфейсов, от банальных ethernet и serial, до беспроводных, агрегированных линков и вланов.
Интерфейсы определяются сами, не требуя глубокого ковыряния в системе, что тоже приятно.

Это позволяет задействовать ещё один скрытый резерв: часто у компаний лежат без дела несколько устаревшие или маломощные сервера, часто рэковые и брендовые, которые выбросить жалко, а использовать не получается. Тогда можно пристрелить сразу несколько зайцев и существенно сэкономить.
Читать продолжение записи »

 

Метки: , ,
Опубликовано: Vyatta | 4 комментария »