Archiwa tagu: Security

Prosty zoning na switchu FibreChannel Cisco MDS

Zoning jest to metoda partycjonowania sieci FC niosąca za sobą same korzyści, zwiększa bezpieczeństwo i zabezpiecza przed wpływem innych urządzeń na nasze. Partycjonowanie to polega na całkowitym odizolowaniu komunikacji pomiędzy urządzeniami od innych urządzeń, czyli jest to swoisty kanał utworzony dla danej grupy. Ja uważam, że najlepszą praktyką jest tworzenie zoningu 1:1, czyli jeden inicjator i jeden target w jednej strefie i taki zoning przedstawię. Czytaj dalej Prosty zoning na switchu FibreChannel Cisco MDS

Konfiguracja SNMP na switchu FC Cisco z systemem SAN-OS

Switche z systemem SAN-OS są już rzadkością, są to stare urządzenia, najcześciej z portami o maksymalnej przepustowości 2Gbps, ale wspierają SNMP w wersji 3. Ponieważ, wczoraj opisałem, jak skonfigurować SNMP z wersji 2c oraz 3 w switchu ethernet, dzisiaj opisuję przełącznik FibreChannel. Czytaj dalej Konfiguracja SNMP na switchu FC Cisco z systemem SAN-OS

Konfiguracja SNMP na switchu Cisco 3550 i użycie snmpwalk w Linuksie

SNMP to rodzina protokołów, które zostały stworzone do zarządzania urządzeniami sieciowymi. Do komunikacji wykorzystywany jest głównie protokół UDP, rzadziej TCP. Typów wiadomości istnieje 7, najpopularniejsze służą do monitoringu i są to GET (walk) – UDP/161) i wyzwalane TRAP UDP/162).
Informs są wysyłane do klienta w momencie, gdy wyśle żądanie GET do serwera SNMP, TRAPy są wysyłane do klienta, gdy został spełniony jakiś warunek, np. zgasł port na switchu. SNMP doczekało się w tym momencie trzech wersji, z czego ostatnia, trzecia wspiera pełne uwierzytelnianie i szyfrowanie, czym została zlikwidowana jedyna dotychczasowa wada SNMP – brak bezpieczeństwa. Czytaj dalej Konfiguracja SNMP na switchu Cisco 3550 i użycie snmpwalk w Linuksie

Utworzenie loghost-a z użyciem syslog-ng

W poprzednim wpisie zamieniliśmy rsyslog na syslog-ng, teraz to wykorzystamy, oczywiście oba rozwiązania są ze sobą kompatybilne. Możemy bez problemu wysyłać logi rsyslogiem na syslog-ng i odwrotnie. To samo z innymi rozwiązaniami, jak np. logi z ESXi.

Konfiguracja syslog-ng jest dużo prostsza niż rsyslog-a. Czytaj dalej Utworzenie loghost-a z użyciem syslog-ng

Sprawdzona konfiguracja rsyslog i logrotate, jako zewnętrznego serwera syslog

rsyslog jest domyślną aplikacją logującą w systemach RHEL6 /CentOS 6. Tak jak i inne syslogi, funkcjonuje w oparciu o pliki lokalne oraz zewnętrznie o domyślne porty TCP i/lub UDP 514. To, czy będziemy używać TCP, czy UDP, zależy od nas, odpowiada za to linia w konfiguracji: $UDPServerRun 514 / $TCPServerRun 514 Czytaj dalej Sprawdzona konfiguracja rsyslog i logrotate, jako zewnętrznego serwera syslog

Skrypt BASH wykorzystujący ipset do zastąpienia modułu GeoIP

Ponieważ z modułem GeoIP dla iptables występują problemy głównie w jego dostępności w wielu dystrybucjach, szukałem rozwiązania, jak blokować ruch z określonych krajów, z wielką pomocą przyszła strona http://ipdeny.com/ipblocks, która zawiera listę adresów IP podzielonych na strefy – kody krajów zgodne z ISO-3166. W skrypcie wykorzystuję ipset, który jest dostępny od kernela 2.4, a sama aplikacja do zarządzania listami, również ipset, może wymagać doinstalowania. Poniżej przedstawiam skrypt, który zastępuje mi GeoIP. Czytaj dalej Skrypt BASH wykorzystujący ipset do zastąpienia modułu GeoIP