Аппаратная платформа Lanner - фундамент российской (и не только) информационной безопасности

   Давно собирался написать эту статью, но все руки не доходили, было лень и некогда. А тут на волне хайповой статьи про НПП "Маяк" с их "импортозамещением" (кто не в курсе, вот новость и на хабре, и даже на пикабу. Что первичнее - выбирайте сами), решил таки доделать и свой небольшой обзор, касающийся аппаратной платформы, которая де-факто стала основой российского (и не только) оборудования обеспечения информационной безопасности.

   Небольшой комментарий по поводу "Маяка". Удивительно не то, что "Маяк" переклеивает шильдики, а то, что всех это почему-то удивляет. Эта тема существует года с 2013-2014, когда пошли первые санкции, так что только люди не в теме до сих пор обнаруживают подобные "новинки". Все это идет полным ходом уже давно, далеко не один проект выполнен на таком "импортозамещенном" оборудовании. Хорошо, что они просто переклеивают, без внесения каких-либо изменений в софт - так хотя бы админы могут получить брендированное железо для дальнейшей нормальной работы, а не нечто бесформенное и еле работающее. Потому что очевидно, что ВНЕЗАПНО из ниоткуда не может взяться такое большое количество российских разработок, которые не менее ВНЕЗАПНО лучше, выше и сильнее. Как бы этого ни хотелось.

   Ниже будет много картинок, которые взяты с официальных сайтов производителей оборудования. Ничего в этом секретного нет. Да и плохого, наверное, тоже. Просто не стоит выдавать указанные ниже вещи за "собственные уникальные разработки" по крайней мере в части аппаратных платформ.

    Итак, в 2010 году мой первый начальник на моей первой работе высказал такую мысль:"А давай возьмем сервер, набьем сетевыми картами, поставим на сервак линукс, сделаем графическую оболочку для iptables, сертифицируем это все как межсетевой экран с классом защищенности Х и защитой от НСД класса У, после чего будем продавать везде и всюду". Мне эта идея показалась довольно глупой. Ну кто будет покупать линукс-на-компе за большие деньги? 

   2019 год. Как же я был не прав! Где мои миллиарды?!

Как обновить прошивку на телефонах Cisco с 3PCC (Third Party Call Control)

ОБНОВЛЕНИЕ: С момента написания статьи прошло много времени. Поменялись некоторые условия. Кратко: миграцию 3CPP/MPP прошивки на Enterprise провести можно, но для этого потребуются дополнительные лицензии. Сам не проверял, ссылки на детальные гайды от Cisco в конце статьи. Тем не менее, миграция возможна не для всех телефонов, требуется обратить внимание на ревизию аппаратной платформы.

 

    Хотел бы поделиться своими изысканиями, которые пришлось провести для решения на ровном месте возникшей проблемы. Проблема следующего характера: вновь заказанные телефоны почему-то не хотели регистрироваться на имеющемся у заказчика Cisco Call Manager'е. Путем невероятнейшей мозговой активности с использованием метода пристального взгляда было обнаружено, что телефоны, которые были заказаны, имели специальную прошивку - Third Party Call Controll (3PCC).

 

   Выяснилась следующая деталь. Cisco поставляет свои телефоны в двух редакциях. Первая - обычные телефоны с прошивкой типа Enterprise - стандартная SIP-прошивка, позволяющая регистрировать телефоны на Cisco UCM/CME без каких-либо проблем в автоматическом или ручном режиме. Вторая редакция - это специальная редакция 3CPP, которая позволяет регистрировать телефоны Cisco на любых других IP АТС, например, на Asterisk.

Фурнитура и аксессуары для точек доступа Cisco (и не только)

   Обычно мы рассматриваем разные железки и их настройки, и это довольно интересно. Но вокруг темы ИТ вообще очень много побочных вещей, которые напрямую не относятся к железкам, но зато тесно связаны с ними. Ведь построение сети никогда не является самоцелью, если вы делаете это не в лабе. Всегда сеть - это только основа, чтобы пустить по ней в путешествие какой-либо трафик, который принадлежит приложениям. А дальше этой сетью и приложениями должны пользоваться те, ради кого это все делается - пользователи.

   Для того, чтобы мы установили оборудование и приступили к настройке, придумано множество разных дополнительных вещей, пассивно помогающих сделать инфраструктуру лучше - это кабельные органайзеры, патч-панели, миллионы видов кабелей, мелкие стяжки, стойки, системы охлаждения и так далее - все, что позволяет качественно организовать серверное помещение и провести кучу линий связи до конечных пользователей. В общем, стройка - это тоже красиво, технологично и круто!

   Сегодня расскажу про одну забавную, на мой взгляд, вещь - установку точек доступа Cisco в помещении.

Cisco ASA - NAT Hairpin или Loopback NAT - как настроить и зачем это может понадобиться

   Решаем задачу, связанную с маршрутизацией трафика через ASA из внутренней сети на внешний интерфейс ASA. В чем смысл? Допустим, есть некоторый сервис, который доступен снаружи посредством проброса портов или IP-to-IP маппинга.  И вот по каким-то причинам внезапно требуется сделать так, чтобы трафик из внутренней сети шел не напрямую к серверу по внутренней сети, но через внешнюю сеть. Если пограничным оборудованием является ASA, то такой трафик заблокируется по умолчанию. С очень высокой долей вероятности такой трафик заблокируется любым пограничным устройством, которое может отслеживать состояние соединения или имеет функционал uRPF.

   Начальные условия:

• Сервер SRV с адресом A.A.A.1 находится во внутренней сети А.А.А.0/24.
• Клиент CL для простоты находится в той же сети, что и сервер. 
• Шлюзом для этой сети будет наша ASA, адрес внутреннего интерфейса - А.А.А.254, адрес внешнего - публичный адрес P.P.P.90.

 Схема топологии представлена ниже:

Cisco WLC - Вывод конфигурации контроллера в CLI в виде команд

   Совсем маленькая заметка об очень удобной вещи для тех, кто любит все подряд настраивать в командной строке или вынужден так делать.

   Всем известно, что WLC удобнее всего настраивать через веб-интерфейс. Однако, иногда требуется что-то задебажить, проверить, перенастроить через командную строку. А синтаксис WLC довольно сильно отличается от привычного IOS-синтаксиса. Чтобы не держать под рукой справочник команд, можно воспользоваться следующим способом - вывести конфигурационный файл в виде вводимых команд, а не просто настроек.

Cisco - Вывод на экран конфигурации без ограничителя

    Всем известно, что конфигурацию оборудования Cisco удобно просматривать и править не только напрямую в терминале, но и в блокноте или ином редакторе. Я лично использую NotePad++, чего и всем советую. Но речь не об этом.

    Каждый, кто хотя бы раз пытался вывести на экран весь конфиг устройства с помощью, например, команды show running-config, сталкивался с тем, что весь конфиг сразу не выводится, а требуется дополнительное нажатие клавиши Enter или пробела, чтобы продолжить вывод. Если конфиг не очень большой, то с этим можно мириться. Если же настроек очень много или вывод команды достаточно объемный, то каждый раз клацать клавишу раздражает. Кроме этого ограничитель создает проблемы для автоматизированных средств вывода команд или для написания скриптов - его нужно правильно распознавать и обрабатывать. Гораздо проще отключить паузу при выводе результата выполнения команды. Как это сделать на разных устройствах от Cisco - об этом ниже.

Wireless - Словарь сокращений, связанных с беспроводной связью

    В курсе по беспроводной связи от Cisco, да и в целом и при настройке и эксплуатации беспроводных систем встречается целая куча различных сокращений, которые стоит уметь расшифровывать для того, чтобы понимать, как с этим работать дальше. Здесь постараюсь собрать расшифровку аббревиатур и подобрать подходящий аналог в русскоязычной терминологии с возможным кратки описанием значения термина. По мере прохождения мною курса и обнаружения новых аббревиатур словарик будет пополняться.

Cisco WLC - Назначение виртуального адреса контроллера

    При настройке контроллеров беспроводной связи Cisco WLC, независимо от того, осуществляется ли настройка через мастер или она выполняется полностью в ручном режиме, требуется задать виртуальный адрес (Virtual IP address). Что это, зачем он нужен, и какой адрес можно задать в качестве виртуального адреса - рассмотрим ниже.

    Судя по документации, основных назначений данного адреса несколько:

- поддержка Mobility Management;

- работа с DHCP-релей (при условии, что контроллер настроен в качестве релея);

- предоставление функций безопасности на уровне L3, таких, как гостевая аутентификация посредством Web и VPN-терминация.

   Кроме вышеперечисленного, этот адрес используется при обработке DNS запросов, а также присутствует в сертификате, используемом для веб-авторизации на L3. 

   Таким образом, этот адрес - нечто вроде точки взаимодействия с контроллером при установлении соединения. Этот адрес используется только между клиентскими устройствами и контроллером, он не появляется в виде источника или отправителя в пакетах, идущих в сторону сети.

   Данный адрес нельзя пинговать, он вообще никак не взаимодействует с сетью. Он не маршрутизируется. Отсюда требование - данный адрес должен быть уникальным, неиспользуемым, не присоединенным к какому-либо маршрутизируемому порту где-либо в сети.

Отображение метки времени в логах IOS в локальном часовом поясе

   Логи (они же журналы событий, но будем пользоваться привычным "логи" от английского logs) важны. Это аксиома. Еще важнее, чтобы логи всех устройств могли рассказать нам не только что произошло, но и когда оно произошло. Из этого вытекает следующая аксиома - время в логах тоже важно.

   Про время, NTP и синхронизацию расскажу в следующей статье. А пока решим конкретную задачу, с которой недавно пришлось столкнуться. Проблема заключалась в том, что на коммутаторе Cisco под управлением IOS 15 в выводе команды show logging метка времени отличалась от настроенного времени на 3 часа.

    Вот вывод команды show logging:

 

Apr  1 07:06:20.496: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet2/0/7, changed state to up
Apr  1 07:06:56.179: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet2/0/7, changed state to down

   А вот конфигурация часовых поясов и настроенное время на самом коммутаторе:

Как узнать дату производства оборудования Cisco по серийному номеру

   Серийный номер оборудования Cisco можно увидеть в нескольких местах: на наклейке, нанесенной на корпус устройства, на коробке, в котором устройство приехало, или же непосредственно в системе, выполнив в командной строке команду show version в случае IOS-устройств (коммутаторы, маршрутизаторы, межсетевые экраны).

   Серийный номер имеет следующий формат: LLLYYWWSSSS, где:

• L - три буквы, обозначающие место производства данного устройства. Ниже примеры некоторых кодов:

                    CTH --- Celestica - Thailand
                    FOC --- Foxconn - Shenzhen, China
                    JAB  --- Jabil - Florida
                    JPE  --- Jabil - Malaysia
                    JSH  --- Jabil - Shanghai , China
                    TAU --- Solectron - Texas
                    PEN --- Solectron - Malaysia

• YY - две цифры, обозначающие год производства. Год здесь закодирован, отсчет начинается с кода 01, который означает год производства 1997. Соответственно, 2000 год - это код 04, 2010 год - это код 14, ну а текущий 2019 - это код 23.
• WW - две цифры, указывающие на номер недели в году, в которой и было произведено устройство (партия). Например,  23я неделя 2010 года - это период с 7 по 13 июня 2010 (можете проверить).
• SSSS - буквенно-цифровой код (в источниках его называют BASE-34, т.к. тут могут содержаться цифры от 0 до 9 и буквы латинского алфавита от A до X, за исключением I и O), являющийся уникальным для каждого устройства. 

    Ниже пример чтения и расшифровки кодов.

Cisco UCM - Как посмотреть историю звонков

    Одна из часто встречающихся задач при обслуживании систем IP-телефонии - проверить время того или оного звонка, собрать некую статистику. Если система построена на базе Cisco UCM, то сделать сбор такой информации можно через веб-интерфейс. Для этого необходимо выполнить следующие действия:

• Открываем веб-интерфейс Cisco UCM;
• В правом верхнем углу выбрать в меню навигации Cisco Unified Serviceability, нажать Go для перехода;
• В разделе Tools выбрать CDR Analysis and Reporting. Аббревиатура CDR расшифровывается как Call Detail Records.
• Если от нас требуется узнать только факт звонка, переходим в меню CDR---Search и выбираем критерий поиска. Например, на рисунке ниже представлено диалоговое окно, которое возникает при выборе критерия By User/Phone Number/SIP URL: