Интеграция CISCO AAA и Microsoft Active Directory

Наверняка многие системные администраторы рано или поздно сталкиваются с проблемой аутентификации на сетевых устройствах. Если руководствоваться best-practices, то учетные записи должны быть персонифицированными, пароли должны отвечать критериям устойчивости, время жизни паролей должно быть ограничено. Также не будем забывать о разграничении уровней доступа в соответствии с выполняемыми задачами и поддержке актуальности базы пользователей, связанной с изменениями в штате сотрудников. При соблюдении этих требований ведении базы пользователей на каждом устройстве становится трудоемкой и нетривиальной задачей, а на практике часто просто игнорируется, администраторы ограничиваются заданием паролей на физическую и виртуальную консоль и заданием пароля суперпользователя (enable). Логичным решением этой проблемы является ведение единой базы пользователей с контролем выдвигаемых к учетным записям требований. Если у нас есть Active Directory, почему бы не использовать его?


Рис.1 Топология системы

Для проверки готовности локальной офисной сети к возможности перехода на протокол IPv6 мною был организован испытательный стенд на основе сервера с FreeBSD, являющийся шлюзом для доступа в IPv6 интернет и сервером популярных сетевых ресурсов (WEB, eMail, FTP). Выбор FreeBSD обусловлен наличием уже существующей виртуальной машины с этой системой. Далее я немного расскажу как всё было настроено (не в даваясь в теоретические подробности построения и адресации IPv6) и попытаюсь обрисовать ситуацию о готовности существующих систем и программ к использованию с IPv6 на примере тех сервисов, которые мне удалось протестировать, как со стороны клиента, так и со стороны сервера. Эксперименты активно проводились в период месяц «до» и месяц «после» «Дня IPv6» 8 июня 2011, поэтому сейчас ситуация с поддержкой в некоторых программах может измениться в лучшую сторону.

Многие современные домашние роутеры по сути представляют собой мини-компьютер — у которого разве что нет монитора и мыши/клавиатуры. Впрочем, учитывая назначение этих самых железяк, последнее — вовсе не проблема.

Как правило, в базовой прошивке роутер умеет раздавать интернет на один или несколько LAN-портов, а также обслуживать собственную беспроводную сеть. Более продвинутые модели зачастую включают один или несколько портов USB, куда можно подключить, например, принтер или флэшку с файлами.

Однако всё богатство возможностей этого железа открывается при использовании открытых прошивок. Для новичков — dd-wrt, для более продвинутых — серия open-wrt и прочие wrt-based.
В настоящей статье речь пойдёт о настройке анонимизированной wifi-точки на базе роутера Asus RT-N16 с прошивкой dd-wrt и optware.

В этой статье я хотел бы изложить собственный опыт построения наглядных и презентабельных графиков с помощью Highcharts на основе статистики ОС и дисковых массивов. Для многих современных ОС и дисковых массивов существуют механизмы, основанные на встроенном или дополнительном ПО, которые позволяют получать данные о работе подсистем ОС или массива (имеются в виду не трассировки, а статистические показатели, усредненные по заданному интервалу). Также можно собирать статистику счетчиков пакетов и ошибок на интерфейсах коммутаторов LAN и FC. Многие хотят визуализировать эти данные и использовать в отчетах или же самописной системе мониторинга.

Представьте, что вы поехали в другую страну, у вас собой есть смартфон и вам очень нужно зайти с него в интернет (например синхронизировать контакты или поставить какой-то софт). Какие есть варианты?
— Первый вариант — это мобильный интернет. К сожалению, это не всегда просто и не всегда дёшево.
— Второй вариант — WIFI. Вам повезло, если вы можете подключиться к WIFI там, куда вы прибыли, и в этом случае задача уже решена.
— Третий вариант — LAN. А что если у нас есть только LAN? Самое простое — это захватить с собой из дома небольшую точку доступа, но что если вы её не взяли с собой или у вас её нет? В этос случае вам поможет случайно захваченный с собой ноутбук или нетбук :)

Имеем

— EeePC 901 с Ubuntu 10.10
— Смартфон
— Локальная сеть

Задача

— Получить доступ в сеть со смартфона используя WIFI

Всем привет!
Захотелось мне установить кеширующий прокси на основе Polipo, ну и заодно настроить прозрачное проксирование i2p и tor. Из всех сервисов, которые есть в этих анонимных сетях(почта, торренты и прочее) я использую только веб, так что, скорее всего, вы не сможете использовать сервисы, которые используют не http протокол, если последуете по этой инструкции.
Есть у меня домашний сервер на Debian, который раздает интернет. Использовал TinyProxy в качестве распределителя на основе доменов, два демона polipo — один для кеширования интернета, второй для(в большей степени) преобразования socks5 в http прокси, чтобы прописать ее в TinyProxy, ну еще и кеширует tor трафик отдельно; dnsmasq для резолва адресов .i2p и .onion(он у меня и до этого использовался и для DNS, и для DHCP).
Будем считать, что I2P и TOR уже настроены и работают.

                I2P (4444)
                /
LAN port — TinyProxy (8888) — Polipo-WAN (8123)
                \
                Polipo-TOR (8124) — TOR (9050)

Увидел свет релиз операционной системы OpenBSD 4.9, отличающаяся поддержкой 17 аппаратных архитектур и ориентацией на высокую безопасность.

Из представленных в новой версии улучшений можно отметить:

• Изменения, специфичные для архитектур amd64 и i386:
  • В GENERIC-ядре по умолчанию включена поддержка файловой системы NTFS (поддерживается только чтение данных).
  • По умолчанию включен драйвер vmt(4), используемый для обеспечения запуска OpenBSD в виде гостевой системы под управлением VMWare;
  • Ядро, собранное для работы в SMP-режиме, теперь может поддерживать до 64 процессорных ядер;
  • Максимальный размер адресуемой памяти для i386-систем увеличен до 2 Гб;
  • Возможность обработки более 16 дисков в процессе поиска устройства для загрузки ядра;
  • Добавлена поддержка инструкций AES-NI, появившихся в последних моделях процессоров Intel;
  • Улучшена поддержка перехода в спящий режим и возврата из него;
  • Для архитектуры amd64 снято ограничение на 4000 процессов.
• Для архитектуры hppa добавлена поддержка многопроцессорных систем;
• Для архитектуры sparc64 обновлен драйвер vdsp(4), который теперь поддерживает протокол vDisk 1.1, что позволяет выполнять Solaris поверх управляющего домена на базе OpenBSD.
• Улучшение поддержки оборудования:
  • Поддержка новых Ethernet-адаптеров: RDC R6040 10/100, RDC Semiconductor R6040 10/100, Intel 82583V, Yukon 88E8059, SiS191;
  • Поддержка новых беспроводных карт: Realtek RTL8188SU/RTL8191SU/RTL8192SU USB IEEE 802.11b/g/n, Realtek RTL8188CU/RTL8192CU USB IEEE 802.11b/g/n, R9271, AR9280+AR7010, AR9287+AR7010 USB IEEE 802.11a/g/n;
  • Поддержка систем хранения: LSI SAS2004, NVIDIA MCP89 SATA;
  • Поддержка видеокарт: Mobility Radeon HD 4200 и Sun XVR-300;
  • Поддержка SCSI: улучшение безопасного отсоединения SCSI-устройств; улучшение поддержки горячего подключения устройств в драйверах mpi и mpii; улучшение производительности multi-LUN устройств; добавление драйвера vscsi для обработки SCSI-команд на уровне пользователя; добавление iSCSI initiator iscsid;
• Улучшения в сетевом стеке:
  • Доработан алгоритм Livelock-блокировок MCLGETI, с целью увеличения производительности хоста и перенаправления трафика при большой сетевой нагрузке;
  • Добавлена поддержка стыковки сокетов (socket splicing), позволяющая временно присоединить сокет для перемещения данных ядром без задействования кода на уровне пользователя. Поддержка данной возможности будет интегрирована в relayd в следующем релизе OpenBSD;
  • В реализацию IPSec добавлена поддержка AES-GCM;
  • Благодаря решению проблемы с сортировкой radix-деревьев, удалось значительно поднять производительность IPSec в некоторых ситуациях;
  • Реализована поддержка автоматического изменения размера буферов отправки и приема для TCP;
  • В ifconfig добавлена опция wpakey, заменяющая собой функциональность, ранее доступную через утилиту wpa-psk;
  • Для loopback-интерфейса убрана задержка в отправке TCP-подтверждений;
  • В утилиту tcpdump добавлена поддержка декодирования трафика Multicast DNS (mDNS);
  • В утилиту arp добавлена поддержка управления пробуждением системы по сети ("Wake on Lan");
  • В GENERIC-ядрах по умолчанию активирована поддержка MPLS и mpe;
  • В ifconfig добавлена опция mpls, позволяющая управлять включением MPLS для отдельных сетевых интерфейсов;
• После подозрений по внедрению бэкдора был проведен аудит кода IPSec-стека. В процессе аудита было выявлено несколько проблем безопасности, которые были исправлены. Проведен аудит и исправление недоработок в основанном на ARC4 коде PRNG;
• Улучшение пакетного фильтра pf:
  • Переписана большая часть подсистемы ведения логов, в логе теперь отражаются адреса после их трансляции;
  • Совпадения log-правил приводят к выводу данных в лог на лету, отображая пакет также как pf видит его в момент выполнения правила. При этом отныне пакет может попасть в лог несколько раз;
  • Правила "log(matches)" позволяет отследить дальнейшие правила для заданных совпадений;
  • pflog(4) теперь включает оригинальные адреса и номера портов для пакетов, которые были переписаны;
• Улучшения компонентов, работающих на уровне пользователя:
  • В поставку включен авторитарный DNS-сервер nsd , отвечающий за прямую отдачу DNS зон, без обращения ко внешним DNS серверам;
  • В dhclient добавлена поддержка определения исходящего сетевого интерфейса;
  • В tcpdump налажена обработка примитивов "net" при обработке трафика через pflog;
  • fdisk добавлена обработка ошибок чтения MBR, устранено зацикливание при обработке некорректных EBR;
  • В ldapd добавлена поддержка bsdauth и поддержка синтаксиса атрибутов, определенного в RFC4517;
  • Добавлена новая утилита video для записи или отображения изображений, полученных через устройство video;
  • В httpd mod_headers добавлена поддержка стиля Apache2 в определении директивы RequestHeader;
  • В pcidump добавлена возможность просмотра расширенной конфигурации PCIe через использование опции "-xxx";
  • Заметно повысилась устойчивость и совместимость реализации IKEv2 в iked;
  • Из системы удалены Skipjack и libdes. Из libc удалена поддержка CAST-128;
  • Устранена проблема с эффектом гонки в USB-подсистеме, что позволило значительно увеличить надежность работы с USB-устройствами;
  • Добавлена поддержка дополнительных системных вызовов в compat_linux, что позволило добиться выполнения таких приложений как Skype;
• Улучшение инсталлятора:
  • Налажен процесс установки с CD для архитектуры hppa;
  • В состав установочного образа включены дополнительные прошивки;
  • В установочных скриптах реализована поддержка конфигурации 802.11-интерфейсов для беспроводных сетей. Видимые сети могут быть отображены и настроены для работы WPA;
  • При обновлении теперь проверяется только корневая файловая система. Не осуществляется проверка файловых систем с fs_passno = 0. При ошибках монтирования пользователю выводится предупреждение с выбором дальнейших действий;
  • Инсталлятор отныне настраивает ntpd для использования всех доступных источников синхронизации точного времени;
• Добавлен фреймворк rc.subr с функциями для упрощения создания rc-скриптов. Развитие фреймворка еще не завершено, поэтому на его использования переведены только небольшая часть пакетов. rc.local по прежнему может быть использован вместо или в дополнение к скриптам rc.d;
• OpenOSPFD: В ospfd обеспечено корректное перераспределение перекрывающихся маршрутов. В ospfctl при выводе суммарных данных обеспечен показ контрольных сумм LSDB, позволяющих удостовериться что два LSDB синхронизированы;
• Обновлен пакет OpenSSH 5.8, обзор улучшений можно посмотреть здесь ;
• Число портов достигло 6800. Отмечается значительное увеличение надежности и скорости в утилитах работы с пакетами. Для архитектуры i386 подготовлено 6620 бинарных пакетов, для amd64 - 6570, для arm - 5679, для mips64el - 5499, для sparc64 - 6225, для hppa - 5838. Из находящихся в портах приложений, отмечены:
  • Gnome 2.32.1.
  • KDE 3.5.10.
  • Xfce 4.8.0.
  • MySQL 5.1.54.
  • PostgreSQL 9.0.3.
  • Postfix 2.7.2.
  • OpenLDAP 2.3.43 и 2.4.23.
  • Firefox 3.5.16 и 3.6.13.
  • Thunderbird 3.1.7.
  • OpenOffice.org 3.3.0rc9.
  • LibreOffice 3.3.0.4.
  • Emacs 21.4 и 22.3.
  • Vim 7.3.3.
  • PHP 5.2.16.
  • Python 2.4.6, 2.5.4 и 2.6.6.
  • Ruby 1.8.7.330 и 1.9.2.136.
  • Mono 2.8.2.
  • Chromium 9.0.597.94.
• Компоненты от сторонних разработчиков, входящие в состав OpenBSD 4.9:
  • Xenocara (основанная на X.Org 7.6 с xserver 1.9, freetype 2.4.4, fontconfig 2.8.0, Mesa 7.8.2, xterm 267);
  • Gcc 2.95.3 с патчами, 3.3.5 с патчами и 4.2.1 с патчами;
  • Perl 5.12.2 (с патчами);
  • Улучшенная и защищенная версия Apache 1.3, с поддержкой SSL/TLS и DSO;
  • OpenSSL 1.0.0a (с патчами)
  • Sendmail 8.14.3, с libmilter
  • Bind 9.4.2-P2 (с патчами)
  • Lynx 2.8.6rel.5 с поддержкой HTTPS и IPv6;
  • Sudo 1.7.2p8
  • Ncurses 5.7
  • Heimdal 0.7.2 (с патчами)
  • Arla 0.35.7
  • Binutils 2.15 (с патчами)
  • Gdb 6.3 (с патчами)

На фоне бурного развития интернет-технологий, быстрой смены поколений сотовой связи и всестороннего прогресса в разных областях, технологии высокоскоростной передачи данных по медным проводам в последние годы демонстрировали удручающий консерватизм. Пропускная полоса в 10 и более гигабит в секунду достигнута технологически уже давно, однако 10-гигабитный Ethernet, как логическое развитие наиболее массовой сегодня технологии, до сих пор во многом остается экзотикой, недоступной массовому пользователю. Но, вполне вероятно, что ситуация серьезно изменится уже в ближайшем будущем. В рамках развития своей линейки телекоммуникационных продуктов HP делает ставку на технологию 10-гигабитного Ethernet, что обещает сделать скоростную передачу данных гораздо «ближе к народу».

10-гигабитный Ethernet представляет собой отличную технологию, лежащую в основе гетерогенных и конвергентных сетей в дата-центре. Как и предшественница, она отлично подходит для протокола IP, и самых привычных приложений – передачи веб-данных, организации электронной почты, управления устройствами, IP-телефонии и видео по запросу. Немаловажна и полноценная поддержка серверного протокола iSCSI для организации взаимодействия между серверами, системами хранения данных и клиентами. Теперь на более высокой скорости.

Ключевые характеристики любой современной сети – скорость передачи данных и низкий уровень задержек. Это то, чего хотят клиенты, операторы, администраторы и вообще все те, кто работает с сетями. 10-гигабитный Ethernet обладает обеими характеристиками, одновременно предоставляя широкие возможности для резервирования и конвергенции трафика.

Дело в том, что в большинстве уже существующих сетевых архитектур используются различные типы сетевых протоколов для передачи различных видов трафика. Различные типы сетевых протоколов и межуровневых соединений усложняют процесс эксплуатации сетей и многократно увеличивают вероятность возникновения ошибок, особенно если пытаться увязать их воедино. Именно поэтому Ассоциацией стандартов международного института инженеров электротехники и радиоэлектроники (IEEE-SA) при разработке 10-гигабитного Ethernet заранее учитывался тот факт, что технология будет использоваться для объединения локальных (LAN), городских (MAN), распределенных (WAN) и региональных (RAN) сетей. Важным компонентом здесь является возможность использовать уже существующую инфраструктуру Ethernet в процессе плавного перехода на более новую технологию.

Каковы факторы влияния на новые технологии передачи данных сегодня?

Прежде всего это потребность в агрегации межуровневых соединений с целью снижения затрат, требования к пропускной способности, растущие вместе с производительностью многоядерных процессоров, чувствительные к скорости передачи данных приложения, такие как видео по запросу, резервное и сетевое хранение данных. Кроме того, к списку добавляются кластерные вычисления, идущие рука об руку с финансовым сектором и быстрый рост консолидации вычислительных ресурсов, подстегиваемый совершенствованием софта для виртуализации и необходимостью в большем количестве сетевых портов. Все это, по большому счету, и есть причины для перехода на 10-гигабитный Ethernet, потому что технология создавалась и работает с прямым ориентиром на удовлетворение именно таких запросов. О надежности работы тоже не забыли – 10-гигабитный Ethernet работает только в полнодуплексном режиме, поддерживая функциональность качества обслуживания трафика (QoS) и соответствующие механизмы выделения необходимой полосы пропускания.

Если в беспроводном соединении вы цените, прежде всего, скорость, то в апреле вам стоит обратить внимание на японский рынок гаджетов. Именно там компания Logitec собирается выпустить в продажу свой новый роутер со скоростью передачи данных до 450 мегабит в секунду. Тройная антенна роутера придает ему несколько непривычный вид, но именно она помогает увеличить скорость обмена данных в беспроводной сети. Работает новинка в диапазоне 5 ГГц и совместима с оборудованием, поддерживающим стандарт IEEE 802.11a/n. Полное название модели выглядит как «LAN-WH450N/GR», а ожидаемая цена устройства составит примерно $240.

— Вы находитесь в комнате. В руках у вас ноутбук с активным вайфаем. В углу комнаты стоит роутер. В настройках роутера включено шифрование WPA2 и фильтрация по MAC-адресу. Внезапно скорость закачек падает. Ваши действия?
— Ну... Я проверяю, какие процессы на ноутбуке активно используют трафик.

Выпадают единица и двойка.

— Суммарный трафик на вайфай-интерфейсе практически не отличается от скорости закачки торрентов.
— Я запускаю браузер, захожу в админку роутера и проверяю, кто ещё подключён к точке доступа.

Две единицы. Да что ж такое?

— Кроме вас, никто не подключён. По LAN тоже никто не пользуется роутером.
— Я захожу в локальный чат и интересуюсь, есть ли у кого проблемы со скоростью.

Одна костяшка вообще закатилась под диван.

— Проблем ни у кого нет.
— Я задумчиво хожу по настройкам роутера...

Бинго! Пять и шесть.

— Вы видите, что на WAN-интерфейсе скорость выше, чем на ноутбуке.
— Блин, опять забыл выключить торрентокачалку на роутере!