Блог о технологиях, технократии и методиках борьбы с граблями
Сижу работаю. Приходит коллега и жалуется админу что не может со своего iPhone достучаться до офисного VPN который крутится под Cisco ASA. У меня уши естественно насторожились, поскольку до такой степени задротства, чтобы стучаться в офисную сеть со своего iPhone я еще не дошел. Человек ушел, начал ковыряться в телефоне и смотреть. Вообщем по порядку.
Прекрасную новость я получил буквально пару минут назад от компании Sofaware, куда я обратился со своей “болью”: после того как устройство Sofaware 500W само, без разрешения, грейдилось на последнюю версию прошивки 8.0.42- сразу же начинались траблы с работоспособностью- по дефолтной политике дропались входящие UDP пакеты на 53 порт, даже в случае наличия правила разрешающего это действие; пропадал доступ к веб морде из вне сетки по https; и самое пакостное- после перевода wi-fi и Lan VLAN’ов в режим bridge, для того чтобы пользователи этих двух сетей могли работать друг с другом и внутренними ресурсами (хотя по причине этого косяка, выяснилось что все это реализуется и при обычном режиме firewall просто описанием взаимодействия подсетей)- начинались проблемы с доступам к внутренним ресурсам, транслируемым в интернет, по их внешним IP адресам, причем настолько сильные, что все соединения smtp/pop3/http/https/ssh дропались по таймауту.
Вообщем ответ тех.поддержки был, что shit happend- сие есть баг (баг заключается в том, что дропаются те пакеты у которых исходящий порт такой же как и входящий- 53; если же порт стандартно выше 1024 порта, то они проходят нормально), посему надо откатить устройство на более раннюю версию прошивки, но как оказывается сам я это сделать не могу, а это указывается ручками на стороне сервис центра производителя SMP, где оператор ручками указывает какому MAC адресу на какую прошивку перегрузиться. Но самое веселое, что это уже сделали, попросив меня ручками передернуть устройство. И мало кого волнует, что я в 50 километрах от устройства и самое близкое когда собирался туда заехать – это конец недели.
Все это очень мило, но тогда не понятно зачем там вообще в устройстве кнопка перепрошить устройство на специфическую прошивку. Надеюсь, что 7 прошивка, которую мне сегодня перезальют будет лучше чем 8.0.42, поскольку баг, со слов поддержки, будет исправлен не столь оперативно, как решаются проблемы для тех же Checkpoint Edge, которые являются клонами sofaware с той лишь разницей, что управляться могут централизованно и поддерживаются старшим братом.
*** 23.12.09 *** Баг после отката не исчез, по прежнему дропаются входящие и исходящего 53 порта, но зато разрешилась проблема с доступом по https к консоли. Оказалось, что сервер https, для внешних подключений, переехал со своего стандартного порта на 981, т.к. обращение https://server:981 позволяет достучаться к серверу из вне.
Всю прошедшую неделю, вместо положенного отпуска, воевал с клиентской железякой Sofaware 500W. Удобный по управлению и настройке безопасности агрегат, для небольших сетей. Все в одном: фаервол с глубокой проверкой пакетов SPI, средство предотвращения вторжений IPS SmartDefense, антиспам и антивирусные фильтры реального времени, web фильтеринг для блокировки доступа к “плохим” сайтам, несколько видов антиспама (контентный, блок листинг и на основе IP репутации отправителя), регулировка нагрузки, порт DMZ, поддержка NAT, VPN-сервер- как на собственном движке посредством клиента от чекпоинт Secure Client, так и возможность поднять L2TP сервер, а также возможность VPN туннелирования, организация Wi-Fi сети и гостевой сети для VPN клиентов.
Такое вот прекрасное устройство, причем вместе с подпиской на год и безлимитное число пользователей, оно выходит чуть больше штуки грина. Все очень просто настраивается через веб морду по http или https. Но есть одно маленькое НО- коробка идет со стандартной прошивкой 7.х которая после того как подцепляешь подписку, без вопроса грейдится на самую последнюю 8.0.42 после чего начинается свистопляска. Все входящие DNS пакеты на внутренний сервер, который натится из сетки, начинаются дропаться по дефолтному правилу, не смотря на указанную политику о том чтобы их пропускать. Помимо этого, напрочь отрубается внешний доступ к веб морде, а при попытке поднять wi-fi в бридж моде, для того чтобы иметь доступ из wi-fi сети к сетевым ресурсам, вешается внутрисетевой трафик, т.ч. простейшие операции вроде отправки почтового сообщения вешаются наглухо. В общем пришел к тому что нужно откатываться на старую версию прошивки, но как это сделать чтобы устройство не обновилось снова, не могу понять, в этой связи открыл тикет на офф.сайте. Пока суть да дело, с разборкой логов и настроек, мне упало еженедельное письмо от sofaware со статистикой по неделе работы устройства, где также была анонсирована эта самая многострадальная прошивка 8.0.42 откуда я с радостью узнал, что дроп пакетов на 53 порт UDP оказывается “не бага, а фича”, т.к. это трактуется как domain атака, также прикрывается атака на порт 51376 и 54498.
Приятный и удобный сервис, но будем ждать разрешения проблемы, когда все заработает наконец то в полном объеме.
Парни на старой работе прикупили себе модный POE свичик Planet FSD-804PS для организации wi-fi сетки и, настроив его как надо, задали новый пароль с ” $ ” в символах. То есть веб-консоль его приняла к сведению и скушала, но при попытке повторного захода говорит что неправильный пароль. Консоль так вообще отказывается печатать подобный символ. Поняв что попали, ребята решили сбросить ему заводские настройки, но не тут то было- кнопка сброса настроек свича отсутствует на этой модели как класс, хотя в документации она упоминается как панацея для сброса заводских настроек.
После чего легкий ступор и ощущение пата. Российская служба поддержки Planet удивленно разводит руками, и ссылаясь на то, что у него как у электроника “где то должна быть кнопка”- форвардит запрос в Тайвань к производителю.
(more…)
Встала проблема у клиентов, прямо таки шариковская: есть канал интернета, нужно “взять все и поделить”, на несколько контор. В связи с чем, имея отмашку на некоторую сумму денег, озадачился поиском аппаратного шейпера, т.е. устройства ограничения полосы пропускания канала.
Первое, что пришло в голову это воспользоваться стандартной функцией управляемого свича Bandwidth Control , то есть ограничение скорости по порту- наиболее дешево и сердито, но как оказалось, например для имеющихся у клиентов HP ProCurve 2ХХХ серии данный функционал оказался недоступен, после чего погрузился в интернет с ключевым словом шейпер и bandwidth control . Варианты типо checkpoint не рассматривались, поскольку в первом приближении нужен был недорогой и простой аппаратный шейпер, хотя они и присутствуют начиная с safe@office в составе QoS, но устройства начального уровня мне не подходят, поскольку safe@office держит до 50-70 пользователей, а остальные начинаются от трешки зелени.
В результате нарыл некоторое количество моделек:
Для начала россыпью идут устройства от Planet: управляемый свич FGSW-2624SF и 8ми портовые гигабитники GSD-802PS / GSD-802S
почти в этом же ключе, хотя мне нравятся меньше, маршрутизаторы D-Link DGS-3610-26 / DI-1137C-1TP
какой то не понятный, но близкий сердцу названием маршрутизатор TP-Link TL-R480T
вроде как поддерживают большинство маршрутизаторов и рутеров от Linksys WRT310N / EZXS55W / EZXS88W / EZXS16W / WET610N / WRT160N / WRT610N / WRT110 но надо вчитываться в каждое дополнительно
как более дорогой аналог: Cisco Catalyst 3500 (команда Rate Limiting)
ну и наколенные варианты Zyxel P-334WT EE которые я не очень лю, поскольку уже имел опыт неприятной работы с их оборудованием
Вариант с Planet мне понравился больше всего, поскольку пользовался ими длительное время и никаких нареканий на их оборудование не имею, кроме разве что слишком низкой цены 
но пораскинув немного мозгами, пришел к тому что не плохо было бы иметь на внешнем шейпере и ips с доступом к нефильтрованному трафику, поэтому вероятнее всего в ближайшее время буду настраивать шейпер под freebsd с прикрученным туда же snort’ом
Одна из причин почему люди делают джейлбрек (jailbreak) своего телефона заключается в том, чтобы иметь возможность передачи файлов между компьютером и iPhone посредством протокола ssh. Данное краткое руководство повествует о том, как с помощью протокола ssh передавать рингтоны, фотографии, видео и любые другие файлы без использования USB-кабеля.
Несколько слов об SSH: это сетевой протокол прикладного уровня используемый в среде Unix/Linux, с помощью которого осуществляется удаленное управление операционной системой и на его базе организуются зашифрованные туннели. Также его можно использовать для передачи файлов также как и протокол FTP. Так что в данном случае мы осуществляем удаленное управление сервером на базе Iphone.
(more…)
Математику я никогда особо не любил, и поэтому все вычисления из разряда двоичной-шестнадцатеричной математики для меня являются головняком. В этой связи, задача посчитать бинарную маску, отличную от кратных 8, повергает меня в ментальный ступор, при том что теория мне ясна и понятна.
В этой связи выискал в инете приятственную картинку, прикрепив которую на стенку, можно радостно забить на всю теорию.
(more…)
