Итак, попробуем разобраться в том, что желательно настроить на нулевом Cisco Catalyst ?
Например, часто встречающиеся:
TTL — время жизни пакета данных в протоколе IP. Чем TTL может заинтересовать обычного пользователя? Наверняка, большинство из Вас оказались на этой странице с целью узнать, как обойти ограничения на раздачу интернета со смартфона. Контроль TTL используется операторами мобильной связи для обнаружения трафика несанкционированного подключенного устройства. Из этого обзора Вы узнаете, как именно TTL помогает провайдеру узнать о раздаче интернета с помощью Wi-Fi или USB и каким образом обычному абоненту обхитрить жадного оператора. Мы постараемся доходчиво объяснить, что такое TTL и как это значение может помочь абонентам.
К сожалению, безлимитный мобильный интернет без каких-либо ограничений на сегодняшний день не предоставляется ни одним оператором. Существуют тарифы, которые предусматривают отсутствие ограничений по скорости и трафику, но при использовании SIM-карты только в смартфоне. Также нельзя делиться интернетом с другими устройствами. Если вы включите на смартфоне точку доступа Wi-Fi или подключитесь к ноутбуку по USB, оператор моментально зафиксирует этот факт и предпримет соответствующие меры (предложит дополнительно заплатить). Многие недоумевают, что за технологии позволяют провайдеру вычислить раздачу интернета. На самом деле все гораздо проще, чем кажется. Чтобы не позволять абонентам делиться интернетом с другими устройствами, оператору достаточно контролировать TTL. Например, если Вы включите на телефоне режим модема, исходящий от подключенных устройств TTL будет на 1 меньше, чем у смартфона, на что незамедлительно отреагирует провайдер. Манипуляции с ТТЛ позволяют обойти ограничение на тетеринг.
Если вы все еще не поняли, что такое TTL и какой у него принцип работы, ознакомьтесь с приведенной ниже инфографикой.
Девайс работает без раздачи интернета.
У iOS и Android устройств TTL по умолчанию равен 64. Если телефон не раздает интернет другим устройствам, все пакеты уходят к оператору со значением TTL=64.
Девайс раздает интернет.
При попытке раздачи интернета с помощью Wi-Fi, Bluetooth или USB на другие устройства, например, ноутбук и еще один телефон, пакеты от раздающего устройства, по-прежнему, уходят со значением TTL=64. Пакеты от компьютера/ноутбука до раздающего интернет устройства доходят со значением TTL=128 (значение для Windows по умолчанию), теряют единицу на раздающем устройстве и уходят к оператору с TTL=127. Пакеты от принимающего интернет телефона доходят до раздающего устройства с TTL=64 и уходят к оператору с TTL=63, потеряв одну единицу. Для оператора это означает, что абонент раздает интернет, о чем свидетельствуют пакеты с тремя разными значениями TTL. В итоге, провайдер предпринимает соответствующие меры в отношении такого абонента.
Девайс раздает интернет с корректировкой TTL.
Чтобы оператор не вычислил факт запуска тетеринга, необходимо изменить на раздающем интернет устройстве TTL по умолчанию таким образом, чтобы пакеты с других устройств при потере единицы от TTL имели значение, которое было задано для раздающего устройства “по умолчанию”. На приведенной выше картинке видно, что после корректировки значение TTL на раздающем интернет телефоне равно 63. iOS и Android девайсы имеют TTL=64, но после прохождения пакетов через раздающее устройства TTL теряет единицу и поступает к оператору со значением 63. Получается, оператор не видит ничего подозрительного и абонент может раздавать интернет без каких-либо ограничений и дополнительной оплаты.
Если принимающее интернет устройство имеет TTL по умолчанию не 64, нужно внести соответствующие изменения. Например, если вы хотите раздать интернет на ноутбук или компьютер, который имеет TTL=128, вам нужно изменить его на 64. Такая схема позволяет одновременно раздавать интернет на компьютер, а также iOS и Android устройства. Если по какой-то причине Вы не можете изменить TTL на ПК, то измените TTL раздающего устройства на 127. В итоге пакеты будут уходить к оператору с одинаковым значением и никаких подозрений не возникнет. Правда, у такой схемы есть недостаток. У вас не получится одновременно с компьютером подключить к интернету iOS и Android устройства, если у них TTL по умолчанию не 128.
Девайс раздает интернет с корректировкой и фиксацией TTL.
Данная схема является самой удобной. Вам необходимо изменить и зафиксировать TTL для любых исходящих пакетов. То есть, абсолютно не важно, какие устройства будут подключаться к интернету. Такой вариант будет идеальным для тех, кто не может изменить TTL на принимающем устройстве, например, smart-tv или игровые приставки. Недостаток этого способа заключается в том, что он подходит не для всех телефонов.
Надеемся Вы поняли, что такое TTL и чем корректировка этого значения может быть полезна для обычного абонента. Мы постарались объяснить все коротко и доступно. Если у вас остались вопросы, задавайте их в комментариях и мы постараемся Вам помочь. Напомним, что этот обзор предназначен для того, чтобы вы получили представление о таком понятии, как TTL.
MikroTik производят профессиональное сетевое оборудование с возможностью тонкой настройки. Поэтому для VPN-сервера или клиента маршрутизаторы этой фирмы подходят просто отлично.
Обзор Zyxel Multy U (AC2100) — Отзыв о Mesh-системе WiFi роутеров
Буквально недавно в продажу в России поступил новый комплект mesh-роутеров Zyxel Multy U. Нам для обзора он особенно интересен тем, что данный набор в первую очередь ориентирован на домашнее использование. Отзывы пока еще никто особе не оставлял, но характеристики вполне неплохие. Читать
Уникальный идентификатор компьютера в сети, построенной на базе стека TCP/IP. Сетевые устройства взаимодействуют друг с другом, используя его. На данный момент применяется два типа — v4 и v6. Пример IP-адреса v4: 192.168.0.1. Такой адрес очень часто назначают сетевым маршрутизаторам (роутерам) в домашних сетях. Пример адреса v6 — 2a00:15f8:a000:5:1:12:1:847f.
Для точной идентификации устройства необходима также маска, которая задает границы сети.
Чтобы узнать IP-адрес своего компьютера, необходимо открыть сетевые настройки или ввести команду ipconfig (Windows) / ifconfig (UNIX) / ip a (современный Linux). Узнать адрес чужого компьютера сложнее, если он не является публичным сервером. Например очень просто узнать адрес какого либо веб-сайта — достаточно ввести команду nslookup имя-сайта. Сетевой адрес телефона на базе Android или iPhone OS, как правило, можно посмотреть в общих сведениях или установив утилиту, например, «Ping & DNS».
IP-адреса бывают публичными и приватными. Публичные назначаются устройствам, которые имеют прямой выход в сеть Интернет и могут использоваться для подключения к внутренним сервисам. Приватные адреса назначаются устройствам в пределах частной локальной сети и недоступны для прямого подключения из сети Интернет. Для локальных сетей лучше использовать адреса из классовой таблицы:
| Класс | Подсети | Маска | Возможный диапазон |
|---|---|---|---|
| A | 255.0.0.0 | ||
| B | |||
| C |
Прочитайте более подробно об IP-адресе на сайте Википедия
После прочтения заметки о даркнетах , у многих, наверное, возник вопрос: а какие именно IP-адреса не должны маршрутизироваться в Интернет и почему? И немалая часть публики, естественно, может ответить на этот вопрос, не задумываясь, но я, на всякий случай, перечислю список наиболее статичных диапазонов, которые IETF предписывает не использовать в глобальной сети Интернет. Зарезервированные диапазоны также называются Bogon/bogus networks. Официальный перечень описан в RFC6890 , RFC5735 и некоторых других. Также по ссылкам (english) доступны описание и перечень bogon подсетей от Team Cymru.
0.0.0.0/8
Диапазон описан в RFC1122 , RFC3330 и RFC1700 как “Этот хост в этой сети” (this host on this network), хотя, учитывая варианты применения, правильнее было бы назвать его как “любой адрес”. В частности, IP-адрес 0.0.0.0 используется для:- обозначения в конфигурационных файлах серверов и выводе netstat информации о том, что определенный сервис “слушает” запросы на всех IP-адресах данного сервера;- конфигурации маршрута по умолчанию на активном сетевом оборудовании;- использования в качестве src address в запросах на получение IP-адреса (DHCPDISCOVER);- обозначения IP-адреса в суммаризованных событиях безопасности IDS/IPS/WAF/etc (например, TCP Host Sweep – обозначение dst host в случае инициации коннектов к большому количеству IP-адресов).
10.0.0.0/8 172.16.0.0/12 192.168.0.0/16
Три вышеописанных диапазона не маршрутизируются в Интернет, поскольку зарезервированы под организацию локальных сетей ИТ-инфраструктуры компаний. Описаны изначально в RFC1918 . При этом любая организация вправе использовать любой из вышеописанных диапазонов для IP-адресного плана либо все вместе на свое усмотрение. Для взаимодействия с внешними ресурсами и партнерами во избежание пересечения адресного пространства должен использоваться NAT.
100.64.0.0/10
В соответствии с RFC6598 , используется как транслируемый блок адресов для межпровайдерских взаимодействий и Carrier Grade NAT. Особенно полезен как общее свободное адресное IPv4-пространство RFC1918, необходимое для интеграции ресурсов провайдеров, а также для выделения немаршрутизируемых адресов абонентам. Конечно, в последнем случае никто не мешает использовать RFC1918 – на откуп сетевым архитекторам.
127.0.0.0/8
В случае, если сервису необходим для работы функционирующий сетевой стек, который не будет давать сбоев при отключении от сети, используются loopback-адреса. Выделение 127.0.0.0/8 под внутренние loopback-адреса определено в RFC1122 . В отличие от адресов RFC1918 и RFC6598, адреса для loopback не должны присутствовать и обрабатываться ни в одной сети, только во внутренней таблице маршрутизации хоста.
169.254.0.0/16
В соответствии с RFC3927 , определен как Link-Local для автоматической конфигурации. Думаю, каждый человек хоть раз в жизни, но успел столкнуться с ситуацией, когда ПК, не получив IP-адрес от DHCP-сервера, присваивает сам себе непонятный и нигде не прописанный ранее IP, начинающийся на 169.254… Это и есть реализация рекомендаций из RFC3927.
192.0.0.0/24
Блок не встречается в повседневной жизни, поскольку зарезервирован под IANA для нужд IETF в соответствии с RFC6890 .
192.0.2.0/24 198.51.100.0/24 203.0.113.0/24
Эти три подсети, в соответствии с RFC5737 , зарезервированы для описания в документах. Многие, думаю, сталкивались с ситуацией, когда для статьи в журнале либо презентации на конференции нужно показать некоторое адресное пространство, которое, с одной стороны, не должно ассоциироваться с локальными RFC1918-адресами и как бы показывать Интернет, но, в то же время, и не принадлежать никому, чтобы не было лишних вопросов со стороны владельца адресов. Для этого и были выделены три подсети /24 по принципу “дарю, пользуйтесь”.
192.88.99.0/24
Частный случай из подсети 192.0.0.0/24, описанной выше, но заслуживает отдельного описания из технологического интереса. В связи с необходимостью взаимодействия новых IPv6-облаков между собой в преобладающем IPv4-транзите необходим NAT 6to4. При этом некоторые межконтинентальные сервисы, наиболее критичные из которых – корневые сервера DNS, используют технологию anycast. Наверное, это тема для отдельной заметки, но вкратце: подсеть, выделенная под anycast, может терминироваться в любой автономной системе для обеспечения отказоустойчивости. В RFC3068 был выделен пул адресов 192.88.99.0/24 для NAT 6to4 сервисов, использующих anycast. Как видим, выделен был этот пул еще в 2001 году, после чего, нахлебавшись проблем на практике, в 2015 году издаетсяRFC7526 , отменяющий RFC3068, но при этом подсеть 192.88.99.0/24 остается зарезервированной под нужды IETF.
198.18.0.0/15
Диапазон выделен под лаборатории нагрузочного тестирования (Benchmarking) в соответствии с RFC2544 и уточнением в RFC6815 , что данный диапазон не должен быть досутпен в Интернет во избежание конфликтов. Опять же, никто при этом не отменяет использование RFC1918, но для больших сетей с крупными лабораториями лишний блок /15 явно не помешает.
224.0.0.0/4
Этот диапазон в исторической классификации еще называется как Class D. Выделен под Multicast, уточнение специфики работы которого тоже вроде как отдельная заметка. ВRFC5771 подробно расписано использование подсетей внутри блока, но суть остается той же: эти адреса не закреплены ни за каким провайдером, и, соответственно, через Интернет не должны светиться.
240.0.0.0/4
В соответствии с RFC1122 , данный диапазон IP-адресов, исторически также известный как Class E, зарезервирован под использование в будущем. Юмор ситуации в том, что RFC1122 издавался еще в августе 1989 года, сейчас 2016 год, IPv4-адреса закончились, но для IETF будущее еще не наступило, потому что из всей большой подсети /4 до сих пор используется только один адрес. Но, наверное, если посчитать статистику по всем подсетям всех организаций мира, этот адрес окажется в лидерах, потому что сервисы, использующие broadcast, обращаются к адресу 255.255.255.255, который и принадлежит описанному диапазону.
Если собрать воедино описанный перечень, чем он будет полезен для безопасности сети? Рассматриваем только голый Интернет, а не локальные сегменты корпоративной сети. В корпоративных сетях, построенных на адресах RFC1918 и выходящих в Интернет через firewall, правила определения нелегитимности трафика будут несколько иными.
Итак, что делать с замеченными провайдером в “своем интернете” пакетами, в которых фигурируют bogon ip: