Prezentace z praktických školení rozšíření síťových dovedností pro SMB segment - verze roku 2014. Účastníci si mohou stáhnout doplňkové materiály na http://edu.lynt.cz.

1. Sítě pro malé a střední podniky
rozšíření dovedností
http://lynt.cz
Ing. Vladimír Smitka
Lynt services s.r.o.
17. 10. 2014 1

2. Obsah
• Síťové modely a protokoly
• Cisco aktivní prvky
• Síťové prvky dalších výrobců
• Základy konfigurace
• Síťové útoky
• Firewally a VPN
• Síťové nástroje v Linuxu
• Aplikace: Asterisk, Nginx
http://lynt.cz
17. 10. 2014 2

3. Síťové modely
ISO/OSI model TCP/IP model
Transportní
http://lynt.cz
Aplikační
Prezentační
Relační
Transportní
Síťová
Linková
Fyzická
Aplikační
Síťová
Fyzická
17. 10. 2014 3

4. Aplikační vrstva
• Spojení s transportní přes „socket“ (port)
• DNS (53tu)/DHCP (67u/68u)
• HTTP (80t)/HTTPS (443t)/SPDY (6121t)
• TELNET(23t)/SSH(22t)
• POP(110t)/IMAP(143)/SMTP(25t)/MAPI
• FTP(20,21t)/TFTP(69u)
http://lynt.cz
17. 10. 2014 4

5. DNS
Typy zpráv:
Query / Response / Update
http://en.wikipedia.org/wiki/List_of_DNS_record_types
http://www.networksorcery.com/enp/protocol/dns.htm
http://www.mailradar.com/spf/
Question name: 63 znaků label, celkem 253 max
0x04lynt0x03cz0x00
http://lynt.cz
• A/AAAA (1/28)
• NS (2)
• CNAME (5)
• MX (15)
• SOA
• SRV
• PTR
• TXT
• SPF
• DNSKEY
• „GLUE“
17. 10. 2014 5

6. DNS
$ORIGIN example.com. ; designates the start of this zone file in the namespace
$TTL 1h ; default expiration time of all resource records without their own TTL value
example.com. IN SOA ns.example.com. username.example.com. (
2007120710 ; serial number of this zone file
1d ; slave refresh (1 day)
2h ; slave retry time in case of a problem (2 hours)
4w ; slave expiration time (4 weeks)
1h ; maximum caching time in case of failed lookups (1 hour)
)
example.com. NS ns ; ns.example.com is a nameserver for example.com
example.com. NS ns.somewhere.example. ; ns.somewhere.example is a backup nameserver for example.com
example.com. MX 10 mail.example.com. ; mail.example.com is the mailserver for example.com
@ MX 20 mail2.example.com. ; equivalent to above line, "@" represents zone origin
example.com. A 192.0.2.1 ; IPv4 address for example.com
AAAA 2001:db8:10::1 ; IPv6 address for example.com
ns A 192.0.2.2 ; IPv4 address for ns.example.com
AAAA 2001:db8:10::2 ; IPv6 address for ns.example.com
www CNAME example.com. ; www.example.com is an alias for example.com
wwwtest CNAME www ; wwwtest.example.com is another alias for www.example.com
mail A 192.0.2.3 ; IPv4 address for mail.example.com,
; any MX record host must be an address record
; as explained in RFC 2181 (section 10.3)
mail2 A 192.0.2.4 ; IPv4 address for mail2.example.com
http://lynt.cz
_sip._tcp.example.com. SRV 0 5 5060 example.com.
example.com. TXT "v=spf1 mx -all"
Zdroj: wikipedia.org
17. 10. 2014 6

7. DNS
http://lynt.cz
17. 10. 2014 7

8. DNS
DNS spoofing / DNS cache poisonnig
- útočník odpoví rychleji než regulérní DNS server
- musí znát ID a port
DNS amplification
- malý dotaz vrátí velké množství dat
- dig ANY xxx.yz@x.x.x.x
Lokální DNS
Průzkum – dotaz na útočník.cz – zjištění QID a portu
Inicializace – dotaz na www.banka.cz – server neví, ptá se root serveru,
ten ho odkáže na ns.banka.cz
Podvrh – dotaz k ns.banka.cz s novým QID, útočník posílá sadu
odpovědí s pravděpodobným QID
http://lynt.cz
- „recursion no“ pro externí sítě
- DNSSEC
- autoritativní server
BIND, KNOT, Dnsmasq
ROOT DNS
ns.banka.cz
www.banka.cz
útočník.cz
www.banka.cz
17. 10. 2014 8

9. DHCP
Discover (broadcast)
Offer
Request
Klient Server
Decline
NAK
Inform
http://lynt.cz
ACK
Release
renew
• DHCP spoofing – rychlejší vyhrává
• DHCP snooping
17. 10. 2014 9

10. Diskuze aplikační protokoly
http://lynt.cz
17. 10. 2014 10

11. Transportní vrstva (L4)
• Mapuje aplikace na porty
• TCP/UDP
http://lynt.cz
17. 10. 2014 11

12. TCP a UDP
http://lynt.cz
spojový / nespojový
spolehlivý / nespolehlivý
17. 10. 2014 12

13. TCP
• Segmentace a fragmentace
http://lynt.cz
Příznaky:
URG
ACK
PSH
RST
SYN
FIN
MSS – maximum segment size
17. 10. 2014 13

14. TCP handshake a další techniky
Zpoždění odpovědi:
Před vyslání ACK se počká 200ms (Nagle‘s) a případná další data k přenosu jsou
přibalena k odpovědi. V interaktivních aplikacích může způsobit latenci
(TcpNoDelay).
Technika okna:
Komunikující se domluví na počtu segmentů, po kterém je nutné poslat potvrzení.
Dochází ke snížení režie, ale při chybách je nutné přeposlat celé okno (a sníží se i
jeho délka).
http://lynt.cz
CWND a SSTHRESH + pomalý start
17. 10. 2014 14

15. Síťová vrstva (L3)
• IP protokol – nespolehlivý, doručení musí
potvrzovat vyšší vrstvy
• Protocol:
http://lynt.cz
– TCP (06)
– UDP (17)
– IPv4 (04), IPv6 (41)
– ICMP (01)
– GRE (47)
• Routování
17. 10. 2014 15

16. IP hlavička
http://lynt.cz
17. 10. 2014 16

17. IPv4 adresa
192.168.001.001
255.255.255.128
11000000 10101000 00000001 00000001
AND
11111111 11111111 11111111 10000000
http://vlsm-calc.net/
Network address/Broadcast address/Host address
224.0.0.0 - 239.255.255.255 Multicast
http://lynt.cz
17. 10. 2014 17

18. Speciální adresy
http://lynt.cz
• 10.0.0.0/8
• 172.16.0.0/12
• 192.168.0.0/16
• 127.0.0.0/8
• 169.254.0.0/16
• 224.0.0.0/4
• http://tools.ietf.org/html/rfc5735
17. 10. 2014 18

19. ICMP protokol
http://lynt.cz
• ICMP redirect
• Ping of Death
• Smurf Attack
• Ping flood
Type:
0 – Echo reply
3 – Cíl nedostupný
5 – ICMP redirect
8 – Echo request
11 – TTL
http://www.faqs.org/rfcs/rfc792.html
17. 10. 2014 19

20. Linková vrstva (L2)
• 2 podvrstvy – Logical link control (LLC) a Media
access control (MAC)
• LLC – vytváří rámce z L3 a indentifikuje jejich
protokol
• MAC – adresuje rámce a posílá je do fyzické
vrstvy (CSMA, HalfDuplex, FullDuplex)
• ARP, MAC protokoly (Ethernet – 802.3, Wifi
802.11), routovací protokoly (OSPF), PPP, L2TP,
STP
• MAC adresa: 48 bitů (24 identifikace výrobce + 24
zařízení)
http://lynt.cz
17. 10. 2014 20

21. ARP protokol
• Zjištění MAC adresy jiného stroje v subnetu
• Pro IPv4 (v6 má NDP)
http://lynt.cz
• Proxy ARP, RARP
• ARP spoofing
17. 10. 2014 21

22. Ethernetový rámec
http://lynt.cz
„Magická“ hodnota MSS = 1300
ASA: sysopt connection tcpmss 1300
ISR: ip tcp adjust-mss 1300
IP 20
TCP 20
GRE 24 (4+20)
Ipsec 56
RTP 12
UDP 8
MTU: Maximum transfer unit
IP MTU = MTU – eth. hlavička
MSS = IP MTU – IP a TCP hlavička
ETH MTU CRC
ETH+CRC = 18
VLAN=4
17. 10. 2014 22

23. Fyzická vrstva
• Kabely a konektory
• Signály, kódování, rušení
http://lynt.cz
17. 10. 2014 23

24. Síťové prvky
• HUB, Bridge
• Switch
• Router
• Multi-layer switch
• Speciální (firewally,…)
• Demo síť – ukázka funkcí a protokolů
http://lynt.cz
17. 10. 2014 24

25. Produkty Cisco
• Small Business řada (SMB)
• Enterprise & Service providers
• Linksys (pro domácnost)
https://supportforums.cisco.com/community/netpro/small-business/onlinedemos
http://lynt.cz
17. 10. 2014 25

26. SMB - switche
• Řada 100 – bez mgmt
• Řada 200 – web mgmt, IPv6, 802.1x
• Řada 300 – CLI, inter-vlan routing, ACL
• Řada 500 – stack, 10GB (verze X)
Varianty s Fast Ethernet (F), Gigabit Ethernet (G),
PoE (P/MP) – např. SG300-10MP
http://lynt.cz
17. 10. 2014 26

27. SMB routery
SSL VPN (5)
a/b/g/n wi-fi
http://lynt.cz
DualWAN
(RV016 až 7 eth WAN)
Není verze s wi-fi
50 (RV042) – 100 VPN tunelů
USB – 3G/4G (RV215W)
NAT do 100Mbit
QuickVPN, ProtectLink
NAT do 800Mbit
17. 10. 2014 27

28. Cisco switche
http://lynt.cz
• L2 switch 2960(S)
– Řada S plně gigabitová, FlexStack (20Gbit)
– LanLite [LanBase] – 64 VLAN [255], omezený QoS,
chybějící některé bezpečnostní prvky (DHCP
snooping, ACL pouze na VLAN interface) a další
funkce (DHCP server)
– Switche LanLite a LanBase jsou HW odlišné, nelze
z LanLite upgradovat na LanBase
– Od verze 12.2(55) omezená podpora L3 routování
(až 16 statických rout)
17. 10. 2014 28

29. Cisco switche
• Přidávají podporu dynamického routování, HSRP, IP SLA, EEM
• LanBase (L2), IP-Base (RIP, static), IP-Services (OSPF, EIGRP, BGP),
http://lynt.cz
Advanced IP-Services (IPv6)
• Plně nenahrazuje router - neumí NAT, NetFlow (3560-X a 3750-X
Flexible NetFlow), VPN, speciální ACL, pracuje pouze s Ethernetem
• L3 switch 3560
– Verze v2 s nižší spotřebou
– FastEthernet (verze G, E mají Gigabit, X navíc stack power)
• L3 switch 3750
– StackWise (64Gbit), verze X má stack power
– TrustSec (MacSec)
• L3 switch 3850 (novinka)
– StackWise-480 (480Gbit)
– Integrovaný wireless controller
– IOS-XE (Linuxový základ, podpora více jader)
17. 10. 2014 29

30. Cisco switche pro datacentra
• Modulární L3 switche
• Řada 4900
• Řada 6500 (lze osadit supervizorem s podporou NAT)
http://lynt.cz
17. 10. 2014 30

31. Kompaktní switche
• 2960-C a 3560-C
• Magnetická podložka pro montáž
• Napájení z PoE
• Bez ventilátoru
http://lynt.cz
17. 10. 2014 31

32. Cisco routery
• Integrated service router
• 2. generace (1. = 1811, 2811,…)
• Řada 800
• Řada 1900
• Řada 2900
• Řada 3900
http://lynt.cz
17. 10. 2014 32

33. Cisco 800
http://lynt.cz
• 860
– Switch 4 porty
– Doporučeno 5 uživatelů
– 2x VLAN
• 880
– 2x PoE (externí napájení)
– Doporučeno 20 uživatelů
– 8x VLAN
• 890
– Switch 8 portů
– Doporučeno 50 uživatelů
– 14x VLAN
– Defaultně dodáván s Adv. IP Services
Advanced IP Services
OSPF, EIGRP, BGP
VRF lite
802.1x
WCCP
IPS
IPv6
17. 10. 2014 33

34. Cisco 1900, 2900, 3900
• Lze rozšiřovat moduly
• Výkonnostní rozdíly
• 1900 nelze použít pro UC
• 3900 může využít HW akcelerátory
http://lynt.cz
IP-BASE
Dynamické routovací protokoly
DATA
MPLS, RSVP, IP SLA
SECURITY
SSL VPN, DMVPN, IPS, Ipsec
UC
Hlasové služby
17. 10. 2014 34

35. Výkon ISR G2
860 880 890 1921 1941 2901 2911 2921 2951 3925 3925E 3945 3945E
64B Kbps 25 50 100 290 330 330 352 479 579 833 1845 982 2924
1500B Mbps 197 198 1400 2770 2932 3114 3371 3502 5136 6903 6703 8025 8675
FW 30 43 54 530 569 625 676 801 1350 2567 6112 3133 7473
NAT 27 60 75 80 91 101 114 138 275 418 1067 496 1334
Ipsec 6 20 30 35 48 53 61 72 103 154 477 179 670
Kombinace 30 45 68 76 77 81 105 114 198 534 223 668
http://lynt.cz
17. 10. 2014 35

36. Výkon ISR
http://lynt.cz
17. 10. 2014 36

37. Doplňkové služby ISR
• Cisco WAAS Express (na druhém konci musí
být WAVE/WAE, nebo SRE modul)
• http://www.cisco.com/en/US/products/ps647
4/index.html
http://lynt.cz
17. 10. 2014 37

38. Security Appliances
• Firewall, VPN, IPS, základní síťové služby
• Cisco Comprehensive Security Subscription
Services (antispam, antivir, antispyware,
kontextový filtr…)
http://lynt.cz
17. 10. 2014 38

39. Cisco ASA
• Základní konfigurace
• ASDM
• ASDM DEMO
• SSL VPN
conf t
int g0
nameif outside
ip add dhcp
no shut
copy tftp flash
asdm image flash:/asdm-647.bin
http server enable
http 0.0.0.0 0.0.0.0 outside
17. 10. 2014 http://lynt.cz 39

40. Rozdíl oproti routeru
• V některých případech lze využít ASA jako
gateway
• Odlišný výběr odchozího interface
• Vybírá podle tabulky překladů (XLATE) místo
routovací tabulky
• Omezené funkce DHCP, QoS a routování
• Neumí GRE tunel
http://lynt.cz
17. 10. 2014 40

41. Rozdíl oproti routeru
http://lynt.cz
• ICMP inspection
• same-security-interface
• NoNAT
• TCP State Bypass
• Proxy-ARP
17. 10. 2014 41

42. Produkty Mikrotik
• RouterBoardy s RouterOS
• Malé mgmt switche (novinka) s SwOS
• RouterOS je licencovaný, lze koupit
samostatně pro různé platformy (např. x86)
• Skvělý poměr cena/funkcionalita
• Konfigurace přes CLI, web a aplikaci WinBox
http://lynt.cz
17. 10. 2014 42

43. RouterOS licence
http://lynt.cz
Level number
0 (Demo
mode)
1 (Free) 3 (WISP CPE) 4 (WISP) 5 (WISP) 6 (Controller)
Price no key
registration
required
volume only $45 $95 $250
Upgradable To - no upgrades ROS v6.x ROS v6.x ROS v7.x ROS v7.x
Initial Config
- - - 15 days 30 days 30 days
Support
Wireless AP 24h trial - - yes yes yes
Wireless Client
24h trial - yes yes yes yes
and Bridge
RIP, OSPF, BGP 24h trial - yes
yes yes
yes
EoIP tunnels 24h trial 1 unlimited unlimited unlimited unlimited
PPPoE tunnels 24h trial 1 200 200 500 unlimited
PPTP tunnels 24h trial 1 200 200 500 unlimited
L2TP tunnels 24h trial 1 200 200 500 unlimited
OVPN tunnels 24h trial 1 200 200 unlimited unlimited
VLAN interfaces 24h trial 1 unlimited unlimited unlimited unlimited
HotSpot active
24h trial 1 1 200 500 unlimited
users
RADIUS client 24h trial - yes yes yes yes
Queues 24h trial 1 unlimited unlimited unlimited unlimited
Web proxy 24h trial - yes yes yes yes
User manager
active sessions
24h trial 1 10 20 50 Unlimited
Number of KVM
guests
none 1 Unlimited Unlimited Unlimited Unlimited
17. 10. 2014 43

44. RouterBoardy
Routery Cloud Core
Integrované řešení
Klasické router desky s rozšiřujícími moduly
RB9xx – novinka s miniPCIe
http://lynt.cz
17. 10. 2014 44

45. Administrace
• Ukázka CLI
• Ukázka webového mgmt
• Ukázka WinBox
Nastavení rozhraní, VPN, Meta-Router
http://lynt.cz
• The Dude
17. 10. 2014 45

46. QoS
• IntServ (pevná rezervace pásma)
• DiffServ (podle TOS, musí podporovat celá síť)
• Speciální (Voice VLAN)
Omezení P2P
HTB
Priorita 1-8
• Simple Queue (pouze adresy), Queue tree (nutno nejprve
označkovat - mangle)
• limit-at, max-limit
• Bfifo, Pfifo (posílá data podle pořadí)
• SFQ (přiděluje rovnoměrně pásmo sessionám)
• RED (náhodné zahazování, tok nejde do špiček)
• PCQ (dynamický qos, sloučení stejných queues, princip SFQ)
17. 10. 2014 http://lynt.cz 46

47. Cíle QoS
• Policing (na vstupu - tcp) a shaping (na výstupu –
zpoždění, zahození)
• Vymezení pásma pro hlas a video
• Priorita a minimální zpoždění pro hlas a video
• Priorita malých packetů cca do 100B (řídící
zprávy)
• Omezení P2P a jiných protokolů
• Bránit zahlcení sítě
17. 10. 2014 http://lynt.cz 47

48. Mikrotik switche
http://lynt.cz
• Managovatelné
• Neumí 802.1x
17. 10. 2014 48

49. Produkty Ubiquiti
• Cenově výhodné řešení vhodné pro menší
podniky
• UniFi - Wifi AP
– AP ovládaná controllerem (Java aplikace)
• AirMAX – pro venkovní spoje (2.4/5 GHz)
• AirFiber (24GHz, jen na jednotky km, přestože
výrobce slibuje i delší)
• AirVision – kamerový systém
• mFi – „automatizace“ např. mPower – ovládané
zásuvky, pohybové senzory…
http://lynt.cz
17. 10. 2014 49

50. Ubiquiti Unifi
• Ukázka řešení wifi sítě s Ubiquiti UniFi
• UniFi controller (win, lin, mac)
• L2/L3 (DNS záznam unifi)
• Captive portal s vouchery
http://lynt.cz
mca-cli
info
set-inform http://ip:8080/inform
syswrapper.sh restore-default
17. 10. 2014 50

51. Produkty Juniper
• OS Junos běžící nad BSD
• ScreenOS – pro FW/VPN
• % Unix mód
• > CLI mód
• # konfigurační mód
http://lynt.cz
17. 10. 2014 51

52. Juniper SRX a SSG
• SSG ScreenOS, SRX Junos
• Firewall/gateway
• Neumí SSL VPN
http://lynt.cz
17. 10. 2014 52

53. Juniper switche a routery
• Switche EX
• Virtual Chassis (StackWise)
• EX2200 – přístupové switche (2960), RIP
• EX3200, EX3300 – obdoba L3 switchů u Cisco
• Routery řady J – obdoba Cisco ISR
http://lynt.cz
17. 10. 2014 53

54. Produkty HP
• Základní funkcionalita obdobná jako Cisco
• Méně propracovaný QoS, odlišná práce s VLAN
• Doživotní záruka, volnější přístup k updatům
• GUI
• SMB switche 18xx a 19xx (web mgmt)
• L2, L3 (statické), L3 (RIP), L3 (Advanced)
• http://h17007.www1.hp.com/docs/interoperabili
ty/Cisco/HP-Networking-and-Cisco-CLI-Reference-
Guide_June_10_WW_Eng_ltr.pdf
http://lynt.cz
17. 10. 2014 54

55. Základy konfigurace Cisco
• Password recovery Router:
http://lynt.cz
– Break
– confreg 0x2142
– reset
– ena
– conf t
– Nová konfigurace
– config-reg 0x2102
– exit
– wr
– reload
• Password recovery Switch:
– mode tlačítko
– flash_init
– load_helper
– dir flash:
– delete flash:/config.text
– delete flash:/vlan.dat
– boot
– ena
– conf t
– Nová konfigurace
– do reload
17. 10. 2014 55

56. Základy konfigurace Cisco
• show version – info o zařízení
• enable – privilegovaný mód
• show running-config – výpis konfigurace
• configure terminal – konfigurační mód
• copy running-config startup-config – uložení konfigu
• write mem – rychlejší příkaz na uložení
• show logging – zobrazení logu
• show interface description – informace o rozhraních
• show interface <jmeno> - info o konkrétním rozhraní
• show ip interfaces brief – ip adresy na rozhraních
• show cdp neighbors – info o sousedících zařízeních
http://lynt.cz
17. 10. 2014 56

57. Pro zpříjemnění konfigurace
• no ip domain lookup – vypnutí zoušení připojení telnetem
na doménové jméno při neznámém příkazu
• terminal monitor – výpis aktuálních událostí při konfiguraci
http://lynt.cz
přes vty
• logging synchronous (line con 0/line vty ..) – při přerušení
psaní příkazu událostí v logu obnoví psaný příkaz
• TAB – doplnění příkazu
• ? - nápověda
• CTRL+SHIFT+6 – ukončení prováděného příkazu
• CTRL+A – na začátek řádku
• CTRL+E – na konec řádku
17. 10. 2014 57

58. Útoky
http://lynt.cz
• Kabelový útok
– bpdu guard, portfast
• MAC flood
– macof, port security
• TCP SYN flood
• Broadcast storm
– Scapy, storm control, psp
• VLAN hopping
– Yersinia, switchport mode acces, no negotiate
• ARP cache poisonnig
– Cain, Scapy, arpspoof
• DHCP spoofing
– DHCP snooping, Dynamic ARP inspection, Source guard
17. 10. 2014 58

59. Scapy
>>> tcpSYN=IP(dst=„cil")/TCP(dport=80, flags="S")
>>> send(tcpSYN, loop=1)
>>> smurf=IP(src=„cil", dst="192.168.1.255")/ICMP()
>>> send(smurf, loop=1)
>>> storm=IP(src="192.168.1.255", dst="192.168.1.255")/ICMP()
>>> send(storm, loop=1)
>>> ether=Ether(dst="00:00:00:00:00:0a")
>>> arp=ARP(op="is-at", hwsrc="00:00:00:00:00:0d", psrc="192.168.1.2", pdst="192.168.1.1")
>>> ARPPoison=ether/arp
>>> sendp(ARPPoison, loop=1, inter=5)
>>> while True:
>>> macof=Ether(dst="aa:bb:aa:bb:aa:bb", src=RandMAC())
>>> sendp(macof)
http://lynt.cz
17. 10. 2014 59

60. Zabezpečení portu
interface Fa0/1
switchport port-security ! zapnutí bezpečnosti
switchport port-security maximum 3 ! 3 MAC adresy pro PC
switchport port-security violation restrict ! zahazuje pakety
switchport port-security aging time 2 ! 2 minuty pro vypršení adresy
switchport port-security aging type inactivity ! pouze pokud je port neaktivní
switchport port-security maximum 1 vlan voice ! 1 MAC adresa pro IP telefon
switchport access vlan 10 ! konfigurace podsite pro PC
switchport voice vlan 20 ! konfigurace podsite pro IPT
ip verify source port-security
ip verify source
switchport mode access
switchport nonegotiate
spanning-tree portfast
no cdp enable
storm-control broadcast level 20
http://lynt.cz
spanning-tree portfast bpduguard default
ip dhcp snooping
ip dhcp snooping vlan 10
no ip dhcp snooping information option
ip arp inspection vlan 10
ip arp inspection validate src-mac dst-mac ip
int Gi0/4 ! na trunk portech nastavit trust a počet DHCP dotazů
ip dhcp snooping trust
ip dhcp snooping limit rate 100 ! default je neomezeno
ip arp inspection trust
ip arp inspection limit rate 100 ! default je 15 paketů/sec
17. 10. 2014 60

61. Wifi bezpečnost
http://lynt.cz
• WEP
• WPA personal
• WPA enterprise
• WPS – reaver, wash
• wifite
17. 10. 2014 61

62. Firewally
• FW builder - http://www.fwbuilder.org
• iptables -A INPUT -p tcp -s x.x.x.x --dport 80 -j
DROP
• access-list 101 deny tcp host x.x.x.x any eq
www
(config-if) ip access-group 101 in
• access-list ACL_OUT extended deny tcp host
x.x.x.x any eq www
access-group ACL_OUT in interface outside
http://lynt.cz
17. 10. 2014 62

63. VPN
http://lynt.cz
• PPTP
• L2TP
• OpenVPN
• EasyVPN
• SSL VPN
• AnyConnect
17. 10. 2014 63

64. PPTP
Cisco:
aaa authentication ppp <group-name> local
vpdn enable
vpdn-group <group-name>
accept-dialin
protocol pptp
virtual-template 1
interface Virtual-Template1
ip address 192.168.103.209 255.255.255.240
peer default ip address pool <pool-name>
ppp encrypt mppe auto required
ppp authentication ms-chap-v2 <group-name>
ppp multilink
ip local pool <pool-name> 192.168.103.211
192.168.103.221
http://lynt.cz
• Balíček pptpd
• /etc/pptpd.conf
#nastaveni parametru pripojeni
option /etc/ppp/pptpd-options
#lokalni adresa/adresy pridelovane klientum
localip 192.168.119.1
#adresy klientu
remoteip 192.168.119.2-254
• /etc/ppp/pptpd-options
name pptpd
#vyzadovat MSCHAPv2 s sifrovanim
refuse-pap
refuse-chap
refuse-mschap
require-mschap-v2
require-mppe-128
proxyarp
lock
#vypnuti nekompatibilnich kompresi
nobsdcomp
novj
novjccomp
nologfd
ms-dns 8.8.8.8
• Konfigurace uživatelů v /etc/ppp/chap-secrets
<user> pptpd <pass> *
17. 10. 2014 64

65. L2TP - Linux
• Pouze tunelovací protokol, pro šifrování se nejčastěji využívá ipsec
Ipsec – openswan nebo ipsec-tools
OpenSwan + PSK:
/etc/ipsec.conf
version 2.0
config setup
conn vpnserver
PSK v /etc/ipsec.d/ipsec.secrets
%any %any : PSK "velmi tajny klic"
http://lynt.cz
Tunelovací daemon xl2tpd
/etc/xl2tpd/xl2tpd.conf
[global]
auth file = /etc/ppp/chap-secrets
; listen-addr = 192.168.1.98
[lns default]
ip range = 192.168.1.128-192.168.1.254
local ip = 192.168.1.1
require chap = yes
refuse pap = yes
require authentication = yes
name = LinuxVPNserver
ppp debug = yes
pppoptfile = /etc/ppp/options.xl2tpd
length bit = yes
Chap-secrets podobně jako u PPTP
protostack=netkey
nat_traversal=yes
oe=off
type=transport
;tunnel mod neni podporovan windows
authby=secret
pfs=no
rekey=no
keyingtries=1
left=%defaultroute
leftprotoport=udp/l2tp
leftid=@<hostname/ip serveru>
right=%any
rightprotoport=udp/%any
auto=add
17. 10. 2014 65

66. L2TP - ASA
http://lynt.cz
username <jmeno> password <heslo> mschap
ip local pool l2tp-pool 192.168.1.2-192.168.1.254 mask 255.255.255.0
crypto isakmp policy 10
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
crypto isakmp enable outside
crypto ipsec transform-set vpn-ts esp-3des esp-sha-hmac
crypto ipsec transform-set vpn-ts mode transport //zapnutí transport módu pro windows
crypto dynamic-map vpn-map 10 set transform-set vpn-ts //definování šablony přijímající spojení založené na vpn-ts
crypto map mymap 65535 ipsec-isakmp dynamic vpn-map //přilepení šablony vpn-map na IKE vyjednávání
crypto map mymap interface outside //zapnutí mymap, která přijímá IKE připojení
same-security-traffic permit intra-interface //povolení komunikace mezi vpn klienty
tunnel-group DefaultRAGroup type ipsec-ra
tunnel-group DefaultRAGroup general-attributes
address-pool l2tp-pool
authentication-server-group LOCAL //ověřování uživatelů z lokální databázi
tunnel-group DefaultRAGroup ipsec-attributes
pre-shared-key <psk klic>
tunnel-group DefaultRAGroup ppp-attributes
no authentication chap
authentication ms-chap-v1
authentication ms-chap-v2
isakmp nat-traversal
17. 10. 2014 66

67. L2TP - Mikrotik
/ interface l2tp-server server set enabled=yes
/ ppp secret add name=12345 password=12345 profile=default-encryption
local-address=192.168.1.1 remote-address=192.168.1.2
/ip ipsec peer add address=192.168.1.1 auth-method=pre-shared-key exchange-mode=main-l2tp
secret=123456789 hash-algorithm=sha1 enc-algorithm=3des generate-policy=yes
http://lynt.cz
17. 10. 2014 67

68. OpenVPN
• Podporuje split-tunnel
• Používá jen 1 port tcp/udp
• Podporováno i na Mikrotiku (neumí LZO a UDP, TLS autentifikaci)
port 4001
proto tcp-client
dev tap
remote platypus.lynt.cz
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/xy.crt
key /etc/openvpn/keys/xy.key
dh /etc/openvpn/keys/dh1024.pem
pull
tls-client
ns-cert-type server
keepalive 10 120
comp-lzo
persist-key
persist-tun
http://lynt.cz
port 4001
proto tcp-server
dev tap1
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/xy/server.crt
key /etc/openvpn/xy/server.key
dh /etc/openvpn/keys/dh1024.pem
mode server
ifconfig-pool-persist xy.txt
ifconfig-pool 192.168.21.2 192.168.201.10
255.255.255.0
keepalive 10 120
comp-lzo
ifconfig 192.168.21.1 255.255.255.0
persist-key
persist-tun
17. 10. 2014 68

69. Síťové nástroje v Linuxu
http://lynt.cz
• ip
• tcpdump
• iptables
• tc
• nmap
• iptraf/iftop
• mtr/tracepath
• iperf
• findsmb
• netstat
• mii-tool/ethtool
• dig/whois
• netcat
17. 10. 2014 69

70. TC – traffic control
• Zobrazení aktuálních front
• tc -s -d qdisc show dev eth0
• Nastavení TBF - average
• tc qdisc add dev eth0 root tbf rate 0.5mbit burst 6kb latency 70ms
• Smazání qdisc:
• tc qdisc del dev eth0 root
• http://wiki.hkfree.org/QoS
• http://sourceforge.net/projects/htbinit/
• http://sourceforge.net/projects/cbqinit/
17. 10. 2014 http://lynt.cz 70

71. PBX Asterisk
• Aktuální verze 11
• Vhodné zkompilovat podle potřeb
(menuconfig)
• Pro základní funkcionalitu 4 soubory:
– asterisk.conf (jen cesty)
– modules.conf (automatické načítání modulů)
– sip.conf (registrace sip telefonů a trunků)
– extensions.conf (dialplán)
http://lynt.cz
17. 10. 2014 71

72. SIP.conf
[general]
allowguest=no
register => ucet:heslo@sip.poskytovatel.cz
http://lynt.cz
[100]
allow=all
type=friend
secret=100100
host=dynamic
callerid= Karel <100>
context=internal
[101]
allow=all
type=friend
secret=101101
host=dynamic
callerid= Petr <101>
context=internal
[trunk]
type=peer
host=sip.poskytovatel.cz
canrenvite=no
context=incoming
17. 10. 2014 72

73. EXTENSIONS.conf
[internal]
exten => 100,1,Dial(SIP/100)
exten => 101,1,Dial(SIP/101)
exten => 99,1,Answer()
exten => 99,n,MP3Player(/etc/asterisk/test.mp3)
exten => 99,n,Echo()
exten => 99,n,Wait(1)
exten => 99,n,Hangup()
exten =>_XXXXXXXXX,1,Dial(SIP/420${EXTEN}@trunk)
[incoming]
exten =>420123456100,1,Dial(SIP/100)
exten =>420123456101,1,Dial(SIP/101)
http://lynt.cz
17. 10. 2014 73

74. Telefony Cisco 79xx
• DHCP option 66 (tftp server)
(příp. 150 – CCM – list tftp serverů)
• Na TFP:
– Firmware: *.sbn, *.loads
– dialplan.xml
– Konfigurace SEP<mac>.cnf.xml
• Rozdíly fw verze 8 a 9
17. 10. 2014 http://lynt.cz 74

75. Softwarové telefony
• X-Lite
• Zoiper (2 linky, podpora IAX)
• 3CX Phone (mnoho linek)
• Blink (opensource)
• SIP droid
• cSIPsimple
• Zoiper
17. 10. 2014 http://lynt.cz 75

76. Webový server NGINX
• Vhodný pro zpracování statických souborů
• V kombinaci s php-fpm může nahradit Apache (nepodporuje .htaccess)
• Reverzní proxy
http://lynt.cz
upstream vnitrni-server {
server 192.168.1.100:80;
}
server {
listen 80;
server_name nejaky.web.cz;
location / {
proxy_pass http://vnitrni-server;
proxy_redirect off;
proxy_buffering off;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
}
}
17. 10. 2014 76

77. Závěrečná diskuze
http://lynt.cz
17. 10. 2014 77