Блог Андрейда

Довольно часто стал замечать в "американских" фильмах и сериалах оборудование известной фирмы "Cisco". В частности IP-phones - аппаратные IP телефоны.

Интересно IP телефония Cisco у буржуев это такой стандарт де-факто или это просто реклама?

House M.D. Season 04 Episode 02. Cicso IP Phone 7970 Series. GPL цена за такой телефончик от 695 USD до 1095 USD в зависимости от модели.

House M.D. Season 04 Episode 08. Cisco IP Phone 7910 Series. GPL цена 365 USD.

Californication. Season 01 Episode 02. Снова 7970 Series.

Прибавьте к эти телефонам стоимость программного обеспечения с необходимым количеством du’s и стоимость оборудования… Получиться довольно-таки не мало, но TCO судя по всему не велика, коли уж у буржуинов так распространенно данное решение.

У нас, кстати, тоже такие есть:

upd:

Видео с обзором различных cisco-phones можно посмотреть тут.

Гаспар Чилингаров, консультант по FreeBSD и компьютерным сетям, проводит очередной, второй по счету, онлайн курс по FreeBSD. На этот раз ориентированный на сетевую подсистему. Подробности смотрите тут.

Курс начинается с 18 декабря 2007 года. Записаться на курс можно бесплатно до 18 декабря, кто не успеет, но очень захочет поучаствовать, тому придется заплатить 19.9 EUR. Так, что спешите.

На прошлый курс автора, посвященный основа FreeBSD, я не записывался, так как, наверное, ничего нового и полезного бы не узнал. А на этот, пожалуй, запишусь.

Как записаться на курс, читайте на блоге Гаспара.

1. Идем сюда.
2. Скачиваем Web Access Card в виде PDF документа. В нем указан уникальный код и ссылка для регистрации.
3. Регистрируемся.
4. Подписываемся на, единственно доступный, курс "Juniper Networks JUNOS Enterprise Routing Certification Fast Track Program".
5. Отвечаем на вопросы сертификационных тестов:
• JNCIA-ER preassessment exam.
• JNCIS-ER preassessment exam.

Ни разу не пользовался маршрутизаторами Juniper и не имею никакого понятия о JUNOS CLI, но с первого раза, в первом тесте набрал 60%. Для успешной сдачи нужно 70%. :)

Случайно обнаружил на MEDIGO “PrepLogic Cisco 640-801 Practice Exams v3.1” – симулятор экзамена на получения начального статуса CCNA (Cisco Certified Network Associate). Помимо вопросов, программа позволяет просмотреть ответы и объяснения к ним. После прохождения теста выставляет оценку по системе Cicso.

Если кто собирается получать данный статус, то вещь для подготовки не заменимая.

Слить можно отсюда.

С подачи Alex_Krycek.

Если Вы является пользователем технологии ADSL и обладаете ADSL модемом, поменяйте свои учетные данные для входа в консоль администрирования Вашего модема. Не оставляйте их стандартными. Также поменяйте IP адрес на внутреннем интерфейсе вашего модема (обычно 192.168.1.1).

В противном случае любой желающий сможет использовать Ваш модем в своих корыстных целях, если он находится в той же сети провайдера, что и Вы.

Дело все вот в чем: когда пользователь пытается соединиться со своим модемом по его внутреннему IP адресу, его компьютер не знает на 100% с каким устройством он хочет соединиться на канальном уровне. Пользователь, работая на сетевом уровне, хочет соединиться со своим модемом по IP адресу и вводит например команду telnet 192.168.1.1, устройства же взаимодействуют друг с другом на более низком уровне и для идентификации друг друга используют уникальный физический адрес - MAC. Для преобразования IP адреса в MAC служит протокол ARP. После того, как пользователь запустил прикладную программу и попытался соединиться со своим модемом, операционная система просматривает свою ARP таблицу, в которой хранятся соответствия между IP адресами и MAC. Если запись соответствующая нужному IP нашлась, то формируется и отсылается соответствующий пакет данных, называемый кадром. Если же в таблице соответствия не нашлось, то операционная система отправляет пакет с ARP-запросом всем сетевым устройствам. Каждое устройство получившее такой запрос сравнивает IP адрес в запросе со своим IP адресом, и если они совпадают, формирует и посылает ответ, в котором содержится IP адрес и MAC адрес ответившего устройства. После этого ОС заносит эту связку адресов в свою таблицу и начинает взаимодействие с устройством.

Отсюда вариант атаки злоумышленником на ADSL модемы:

Исходные данные: злоумышленник подключен к ADSL и имеет свой модем, настроенный в режиме моста. Внутренний адрес модема 192.168.1.1, адрес в сети провайдера 172.16.XX.YY

Сценарий атаки:

1. Злоумышленник, на компьютере, подключенном непосредственно к модему, удаляет из своей arp таблицы, запись соответствующую IP адресу 192.168.1.1.
2. Злоумышленник, пытается соединиться с модемом по внутреннему адресу. При этом в сеть провайдера компьютер злоумышленника посылает широковещательный arp запрос. Этот arp запрос может получить любой из модемов находящийся в сети провайдера (172.16.XX.YY/24). Соответственно кто первый ответит, с тем злоумышленник и будет взаимодействовать.
3. Злоумышленник смотрит свою arp таблицу и находит в ней MAC адрес, соответствующий IP 192.168.1.1. По этому MAC адресу злоумышленник определяет производителя модема.
4. Зная производителя устройства, злоумышленник заходит на сайт производителя и ищет стандартный пароль для доступа к администраторской консоли, например admin:admin
5. В случае если пароль не был поменян пользователь логинится в root шеле и делает с модемом все, что душа пожелает.
6. В случае если пароль не подходит, злоумышленник переходит к пункту 1.

Варианты решения:

1. Естественно поменять стандартный логин и пароль для доступа к админке.
2. Поменять стандартный IP адрес внутреннего интерфейса.
3. Настроить MAC авторизацию для доступа к админке.

В предыдущем посте я описывал довольно странную проблему с ресолвингом имен.

Вообщем сегодня, я ее наконец таки разрулил.

Если не помогает netsh int ip reset и netsh winsock reset, то можно в ручную переустановить стек протоколов TCP/IP.

По умолчанию удалить TCP/IP невозможно, т.к. он входит в состав ядра операционной системы. netsh int ip reset и netsh winsock reset восстанавливают параметры TCP/IP в исходное состояние путем удаления записей реестра, но это, как я уже писал выше, не помогло.

Решение помог найти некто Konstantin Leontiev.

По умолчанию кнопка удаления протокола TCP/IP в Windows Server 2003 заблокирована.

Для того, чтобы ее разблокировать и удалить протокол TCP/IP нужно открыть файл %windir%\inf\nettcpip.inf найти в нем строку:

    Characteristics = 0xA0 ; NCF_HAS_UI | NCF_NOT_USER_REMOVABLE

В секции [MS_TCPIP.PrimaryInstall] и поменять ее на:

    Characteristics = 0×80

После этого снова зайти в параметры подключения, нажать кнопку “Установить”, в появившемся окне нажать кнопку “Установить с диска”, выбрать директорию %windir%\inf, выбрать “Протокол Интернета (TCP/IP)” и нажать установить.

После этого кнопка “Удалить” должна стать активной.

Нажимаем кнопку “Удалить”, перезагружаемся, возвращаем файл nettcpip.inf в исходное состояние, снова заходим в параметры сетевого подключения и жмем кнопку “Установить”, выбираем “Протокол Интернета (TCP/IP)”, устанавливаем и снова перегружаемся.

После этих операций все заработало! ;] Еще раз спасибо Konstantin Leontiev.

Опять пришлось заниматься сексом с Zyxel Prestige 662 HW… Хорошо, хоть теперь не мне одному.
Странные маршрутизаторы, честное слово…
Проблема:
При попытке воткнуть Zyxel в vlan созданный на коммутаторе edimax, первый начинает себя странно вести… половину пакетов до компьютера в том же vlan теряет. Если воткнуть все устройства в другой коммутатор, без vlan то все ok.

Случайно наткнулся на руборде.. Сохраню тут.
http://www.madex.ru/faq/index.php?id=103
http://www.hub.ru/modules.php?name=Pages&op=showpage&pid=198
http://www.openxtra.co.uk/articles/data-center-environmental.php
http://publib.boulder.ibm.com/infocenter/eserver/v1r3s/index.jsp?topic=/iphad/tempandhumiditydesign.htm
http://www.aspect.vyatka.ru/library/svti.html
http://www.aspect.vyatka.ru/library/svti/sx/art/252726/cp/1/br/252719/discart/252726.html

Пересобрал ядро с поддержкой OpenBSD Packer Filter.
Отредактировал rc.conf и pf.conf.
Настроил Policy Based Routing.
Либо всё заработает как надо, либо упадет :)
Боюсь ребутить систему. :)) Вечерком проверю.

Разбираюсь с ipnat во FreeBSD. Не могу понять как редиректить rdr-ом диапазон портов. bimap не котируется, тк редиректить надо не все.
Еще фигня с route + map.
Создано два правила map, по первому трафик натиться в серый ип (адсл), по второму в белый и одно правило rdr для публикации определенного порта, прописаны некоторые бесплатные бесплатные маршруты, через серый гейтвей…Вот..Когда клиент, с адресом, который принадлежит бесплатной сети пытается соединиться с моим сервером по белому ip, обратный трафик попадает под первое правило и адрес преобразуется в серый…Таким образом клиент соединяется с белым ип, а отвечает ему серый…Не знаю, как эту ситуацию разрулить.
Пока сижу без бесплатных машрутов.