Когда мы счастливы, мы всегда добры; но когда мы добры, мы не всегда счастливы

Старый медведь учит молодого: ...

В продуктах Juniper исправлены 22 уязвимости
Thu, 11 Oct 2018 11:38:02 +0300

В Ghostscript выявлены две новые критические уязвимости
Thu, 11 Oct 2018 11:10:33 +0300

Опубликованы результаты аудита системы обновления Firefox
Wed, 10 Oct 2018 11:32:02 +0300

Bloomberg раскрыл источник сведений о шпионском чипе в платах Supermicro
Tue, 09 Oct 2018 21:41:10 +0300

DoS-уязвимость в Net-SNMP
Tue, 09 Oct 2018 13:53:03 +0300

Новые уязвимости в маршрутизаторах MikroTik и TP-Link
Mon, 08 Oct 2018 11:24:35 +0300

83% изученных беспроводных маршрутизаторов содержат неисправленные уязвимости
Sat, 06 Oct 2018 22:58:33 +0300

В Git устранена уязвимость, которая может привести к выполнению кода атакующего
Fri, 05 Oct 2018 21:50:45 +0300

Выпуск свободного антивирусного пакета ClamAV 0.100.2 с устранением уязвимостей
Wed, 03 Oct 2018 23:51:02 +0300

Обновление Firefox 62.0.3 с устранением критических уязвимостей
Wed, 03 Oct 2018 07:35:44 +0300

В реализации криптовалюты Monero выявлены две критические уязвимости
Mon, 01 Oct 2018 10:30:04 +0300

Уязвимость в Facebook привела к захвату контроля над 50 миллионами учётных записей
Sat, 29 Sep 2018 09:23:33 +0300

Результаты аудита обновлённого генератора псевдослучайных чисел OpenSSL 1.1.1
Thu, 27 Sep 2018 18:50:33 +0300

Опубликован эксплоит для уязвимости в подсистеме vmacache ядра Linux
Wed, 26 Sep 2018 23:28:39 +0300

Локальная root-уязвимость в ядре Linux
Wed, 26 Sep 2018 11:18:53 +0300

IEEE 802.3 Уязвимости Аномалии Топология сети Размеры сети
Особенности топологии Ethernet

Классический вариант сети Ethernet строго предполагает, что между любой парой узлов возможен только один путь прохождения сигнала. Это обеспечивается шинной топологией для коаксиального кабеля и звездообразной или древовидной топологией для других сред передачи. Мосты и первые коммутаторы не позволяли нарушать это правило. Если при ошибочной коммутации образовывалась петля, то домен коллизий, в которую она попадала, становился практически неработоспособным. В нем кадры размножались и бесконечно повторялись, вызывая загрузку сегмента и массовые коллизии.

Единственность пути делает сеть уязвимой — при нарушении связи в линии узлы, находящиеся на ее противоположных концах, оказываются изолированными друг от друга. Кроме того, в коммутируемой сети могут образовываться узкие места — линии, на передачу по которым претендуют участники нескольких доменов коллизий. В сетях без коммутаторов узким местом становилась вся разделяемая среда передачи. Применение коммутаторов позволяет организовывать магистрали, несущие основную нагрузку, и разгружать периферийные области сети. Магистрали стали требовать обеспечения более высокой пропускной способности, а также обеспечения резервирования линий для повышения живучести сети. Для увязки этих потребностей с «природой» Ethernet применяются различные стандартные и фирменные подходы, описанные ниже.

Избыточные связи и алгоритм Spanning Tree

Алгоритм STA (Spanning Tree Algorithm — алгоритм остовного, или покрывающего дерева) и протокол STP (Spanning Tree Protocol) определены стандартом IEEE 802.1d. Этот алгоритм реализуется в сети, построенной с применением интеллектуальных мостов (коммутаторов). Идея его заключается в выделении из , связного графа сети с избыточными линиями дерева, соединяющего все узлы и оптимального по определенным критериям. В нормальном состоянии коммутаторы имеют информацию обо всех соединениях, но игнорируют резервные линии связи (схема "а"). Если же из-за аварии основной линии связь теряется, коммутаторы пересчитывают граф, определяя новое дерево (схема "б"), и связь восстанавливается.

Каждый мост имеет свой уникальный МАС-адрес, назначенный его производителем. Мосты периодически обмениваются короткими служебными кадрами формата 802.3, у которых в поле данных помещается протокольный блок BPDU (Bridge Protocol Data Unit). Эти кадры по адресу назначения являются групповыми (multicast) со специфическим идентификатором группы, назначенным мостам. Адресом источника является МАС-адрес моста. Блоки BPDU бывают двух типов — конфигурационные и смены топологии. Конфигурационный BPDU содержит следующие поля:

 Protocol Identifier (идентификатор протокола) - 2-байтный код, определенный IEEE.

 Protocol Version Identifier (идентификатор версии) - 1 байт.

 BPDU Туре (тип) - 1 байт, различающий конфигурационный BPDU и BPDU смены топологии.

 Flags (флаги) -1-байтное поле с флагами смены топологии и подтверждения смены топологии.

 Root Identifier (идентификатор корня) — 8-байтное число, образованное из МАС-адреса (6 байт) моста, объявленного корнем, и приоритета (2 байта), назначенного при ручном конфигурировании моста. Байты приоритета являются старшими. При определении корня приоритет имеет мост с наименьшим идентификатором.

 Root Path Cost (стоимость пути до корня) — 4-байтное поле, используемое для нахождения оптимального пути до корня.

 Bridge Identifier (идентификатор моста) — 8-байтное число, образованное из МАС-адреса моста и назначенного приоритета (аналогично идентификатору корня).

 Port Identifier (идентификатор порта) — 2-байтное поле, состоящее из 1-байтного приоритета порта, назначенного при ручном конфигурировании моста, и 1-байтного номера порта моста. Меньший идентификатор соответствует большему приоритету.

 Message Age (возраст сообщения) — 2-байтное поле, определяющее давность прихода конфигурационного сообщения (слишком старые отбрасываются).

 Max Age (максимальный возраст) — 2-байтное поле таймаута, устанавливаемое корневым мостом. Используется при сравнении с возрастом при определении актуальности сообщения.

Hello Time (период приветствий) — 2-байтное поле интервала, с которым корневой мост генерирует конфигурационные BPDU. Если мост не услышит очередное сообщение за указанное время, он инициирует смену топологии и пытается объявить себя новым корнем.

Forward Delay (задержка трансляции) — 2-байтное поле задержки трансляции кадров, устанавливаемое корневым мостом. Задержка необходима для предотвращения петель при изменении состояния портов (смене топологии). Значение используется и для определения допустимого возраста записей таблицы адресов, хранимой мостом (при смене топологии старые записи таблицы становятся недействительными).

BPDU смены топологии в поле данных содержит только идентификатор протокола, номер версии и поле типа.

По включении питания мосты с включенным STA не начинают сразу строить таблицы адресов и транслировать приходящие кадры, а только посылают и принимают кадры с BPDU. Каждый мост поначалу объявляет себя корнем и рассылает по всем своим портам конфигурационные BPDU, в которых идентификатором корня назначается идентификатор данного моста. Стоимость пути до корня объявляется нулевой. Если мост с какого-то порта принял BPDU, в котором идентификатор корня имеет более высокий приоритет (меньший номер), то он во все остальные свои порты будет передавать BPDU с этим новым номером корня. К стоимости пути, которую он прочитал, мост добавит свое значение, определяемое пропускной способностью порта, с которого принят BPDU от признанного корня (1000/v: 100 для Ethernet, 10 для Fast и 1 для Gigabit Ethernet). Если мост примет с другого порта.еще один идентификатор корня, то он будет выбирать корень с наименьшим значением идентификатора. В итоге вся сеть выберет единый корень, но при этом будут обнаружены петли (если они есть в топологии). Для моста признаком петли будет получение BPDU с одним и тем же идентификатором корня по двум портам. Один из этих портов должен перейти в заблокированное состояние, другой остается активным. Предпочтение отдается порту, для которого принята минимальная стоимость пути от корня. Если стоимости равны, то выбирается максимальный приоритет моста (минимальное значение идентификатора), от которого пришел блок. Если блоки пришли от одного моста, то выбирается максимальный приоритет порта моста, от которого пришел блок. Наконец, если блоки посланы одним портом, то выбирается максимальный приоритет порта данного моста, принявшего блок. После того как отработает механизм задержки трансляции, мосты начинают свою основную деятельность (фильтрацию и трансляцию кадров). Корневой мост периодически посылает свои BPDU, которые остальными мостами распространяются по активным портам по вышеописанным правилам. Если какойто мост перестал «слышать» BPDU, он генерирует кадр смены топологии и собственные конфигурационные BPDU, пытаясь стать корнем. При наличии избыточных связей алгоритм повышает живучесть сети за счет стремления каждого моста стать если и не корнем, то по крайней мере мостом, назначенным для обслуживания подключенных к нему сегментов.

Недостатком протокола STP является заметное время, уходящее на пересчет графа при обнаружении отказа линии. В течение этого времени абоненты разорванных фрагментов сети не имеют связи друг с другом. Кроме того, резервные линии при работающих основных простаивают, а их хотелось бы использовать для повышения производительности магистральной сети. Достоинством является произвольность топологии избыточных связей, что позволяет дублировать и линии связи, и коммутаторы. При этом не накладывается никаких ограничений на скорость передачи — в резерв можно ставить и относительно дешевые низкоскоростные коммутаторы. Правда, чем сложнее граф, тем дольше он будет пересчитываться при аварии. STP является признанным стандартом, позволяющим объединять мосты (коммутаторы) различных производителей, поддерживающих данный протокол.

Дублирование линии (Resilient Link, LinkSafe)

Главный недостаток STP — большое время восстановления — устраняется в фирменных технологиях Resilient Link (3Com), LinkSafe (Bay). Идея заключается в прокладке между двумя коммутаторами не одной, а двух линий. Пара физических интерфейсов коммутатора, сконфигурированных на дублирование, рассматривается как один порт. Таким образом должны быть сконфигурированы интерфейсы коммутаторов на обоих концах резервированной линии. В нормальном режиме передача данных происходит только по основной линии, резервная простаивает. В случае обнаружения отказа основной линии ее интерфейс отключается и обмен продолжается по резервной линии. Поскольку обнаружение отказа происходит на физическом уровне (а не по таймауту ожидания кадров BPDU), реакция и восстановление связи происходит быстро (соизмеримо с временем передачи одного кадра). Недостатком этой технологии является топологическая ограниченность: основная и резервная линии связывают одни и те же коммутаторы. Конечно, для страховки физический резервный кабель можно проложить по иной трассе, но это не спасает от отказа коммутатора (даже одного его порта). Резервная линия при исправной основной простаивает, как и при STP. Технологии не являются промышленными стандартами — совместимость аппаратуры разных производителей не гарантируется.

Объединение портов (Port Trunking)

Объединение портов служит двум целям — повышению надежности и увеличению производительности. Пара магистральных коммутаторов соединяется несколькими (как правило до 4) параллельными линиями. Эти линии подключаются к портам, сконфигурированным на работу «в унисон». Логически группа этих портов представляется одним портом, производительность которого равна сумме производительности задействованных линий. При отказе одной из линий нагрузка распределяется по остальным — производительность падает, но сеть живет. Механизм объединения портов также пока не стандартизован, хотя и используется многими производителями активного оборудования. Кроме названия Port Trunking («магистрализация» портов), применяют и Port Bundling (связка портов).

Активная полносвязная топология (АМТ)

Фирма Cabletron разработала технологию SecureFast, которая позволяет использовать активную полносвязную топологию соединения коммутаторов АМТ (Active Mesh Topology). Пример соединения четырех коммутаторов, иллюстрирующий ее возможности, приведен на схеме ниже. Здесь между клиентами А и В, а также А и С существуют три возможных пути: 1-2-4, 1-3-4 и 1-2-3-4. Если производительность каналов, соединяющих коммутаторы, одинакова, то последний путь явно хуже оптимальных первых двух.

Все коммутаторы располагают информацией о существующих между ними связях, а также об адресах подключенных к ним клиентов. Когда клиент А посылает первый кадр клиенту В, коммутаторы определяют первый оптимальный маршрут (пусть это 1-2-4), отправляют по нему кадр и отмечают у себя соединение, характеризуемое парой адресов источника (А) и назначения (В). Информация о соединении хранится в кэш-памяти коммутаторов, и для следующих кадров с этой же парой адресов пути будут уже сразу коммутироваться (что быстрее), а не маршрутизироваться, как это делалось для первого кадра. Если затем потребуется пере­сылка от А к С, для которой оптимальны те же пути, теперь будет выбран другой оптимальный путь (1-3-4) благодаря применению ротации приоритетов равноценных каналов. При выборе оптимальных путей коммутаторы стремятся минимизировать условную стоимость, которая определяется как сумма метрик линий, задействованных в пути. Метрика определяется как величина, обратно пропорциональная пропускной способности. Таким образом коммутаторы заботятся как о скорейшей доставке кадров, так и о сбалансированности загрузки всех доступных линий связи. В случае отказа какойлибо линии коммутаторы быстро обнаруживают этот факт и перестраивают свои таблицы оптимальных маршрутов, исключая отказавший участок. Однако в отличие от Spanning Tree на время пересчета топологии передача кадров по сети не приостанавливается. Так же безболезненно происходит и включение в работу восстановленных линий.

Технология SecureFast реализована в довольно дорогих коммутаторах фирмы Cabletron и кроме оптимизации загрузки линий и их резервирования включает поддержку довольно сложных виртуальных локальных сетей.

НОВОСТИ: В продуктах Juniper исправлены 22 уязвимости Thu, 11 Oct 2018 11:38:02 +0300

В операционной системе Junos, основанной на FreeBSD и используемой в различных сетевых устройствах компании Juniper, устранено 22 уязвимости. Большинство проблем позволяют удалённо инициировать отказ в обслуживании, вызвав крах как отдельных сервисов (RPD - Routing Protocols Daemon, flowd, jdhcpd, L2ALD, dcd, J-Web, telnetd ), так и ядра системы.

???????@Mail.ru Opera Firefox INFOBOX - хостинг Google Chrome