25 個單集

網站"Cisco學習資訊分享"的有聲版本

Cisco學習資訊分享 Li-Ji Hong (洪李吉)

    • 教育
    • 5.0・1 則評分

網站"Cisco學習資訊分享"的有聲版本

    WEP並不安全

    WEP並不安全

    首先我要澄清,製作這個影片,我並不想要教大家,去破解別人的Wi-Fi網路。我只是要證明,WEP這個方法並不足以保護Wi-Fi網路。 第一步:準備動作,找到WEP目標因為後續的WEP工具,需要告知它去破解哪一個以WEP 保護的Wi-Fi網路,因此,我們需要找到這個被攻擊網路的 頻道號碼、還有BSSID,也就是基站的MAC地址。 我使用 airodump-ng 來掃描,命令是: sudo airodump-ng wlan0 –encrypt wep 這裡我們找到了,所要被攻擊的目標,它的BSSID,頻道,還有SSID名稱。確定這是我原本準備好的標靶。 第二步:使用主要破解工具 besside-ng 我使用 besside-ng,命令是: sudo besside-ng wlan0 -c -b 開源工具besside-ng的工作原理,大致上來說,是自動注入一些數據楨,強迫目標回應,然後擷取數據楨的內容,來找到足夠分析的IV值。 這個工具和步驟,所花的時間是最多的,時間長短的變動也最大,因此,需要耐心等待結果。 這次的錄影,我到了將近十萬個IV值,才完成WEP破解,花了將近半小時的時間;我印象中曾經只要兩萬多個IV,不到十分鐘,就破解了。 第二步完成的時候,WEP的金鑰已經被破解,也就是說,之後擷取到的Wi-Fi數據楨,都可以被軟體解密了。 假設我的終極目標,是要找出 WEP登入密碼,我還需要第三個步驟。 第三步:找到WEP登入密碼 這裡我使用 aircrack-ng 來反解。命令是: sudo aircrack-ng wep.cap 其中的wep.cap檔案,是第二步驟 besside-ng所自動擷取存檔的WEP數據楨內容。因此,這個步驟,其實可以離線進行。 總結來說,假設您還在使用WEP來保護Wi-Fi網路,任何段數的駭客,花個幾十分鐘,就可以進到您的網路。WEP真的很不安全! One more thing… 我發現,即使是家用型的Wi-Fi網路產品,幾乎預設都已經不再使用WEP來保護了。大家不需要看完我的影片,就開始感到恐慌。 就算是不小心連接到使用WEP保護的Wi-Fi網路,Windows 10也會自動警告,這個Wi-Fi網路並不安全。 Wi-Fi網路,也就是IEEE 802.11的網路,還是一種方便取得的無線通訊技術,讓企業能夠完全掌握,而且足夠安全。我們不一定非得要在企業內部架設或提供Wi-Fi網路服務,但是,我們一定要有足夠的能力,來監視企業場地內的Wi-Fi通訊活動。 白沙尾觀光港 台灣屏東縣、小琉球 我是洪李吉。我的網站是「Cisco學習資訊分享」。我們下次見!

    Cisco MDS Zoning 基礎模式、CFS、和加強模式

    Cisco MDS Zoning 基礎模式、CFS、和加強模式

    【Cisco MDS Zoning 基礎模式、CFS、和加強模式】 Cisco MDS 9000 Family (截圖自Cisco.com官網) Fibre-Channel是存儲網路(Storage Area Network, SAN)領域中最常被使用的協定。Cisco也有存儲網路的交換器產品:Cisco MDS系列。Fibre-Channel 協定(後面我用FC來代替) 的安全管制機制稱為分區(Zoning, 將Zone變成動詞)。我們來討論,在Cisco MDS產品上,幫助FC Zoning設定的三種工具:基礎模式(Basic Zoning)、Cisco Fabric Service (CFS)、加強模式(Enhanced Zoning)。 為了方便理解,我這裡另外錄製了一段展示影片,可以跟這篇文章一起研讀。 我們先將三套MDS乾淨的VSAN建立好。展示的畫面中我使用VSAN 4。 Basic Zoning,基礎模式 Cisco MDS當VSAN剛建立完成的時候所預設的Zoning, 稱為 Basic Zoning。Basic Zoning是Fibre Channel的標準協定,可以跨廠牌支援。我們來觀察,在Cisco MDS上面的Zoning資訊傳遞行為。 我們先創建Zone Set“set4A”和“set4B”。 當我們創建Zone Set,但是尚未啟用(Activate)之前,所有的MDS都不會收到任何的Zoning資訊。 接下來我們執行“zoneset activate name set4A vsan 4”。這個命令,除了將會在本地的MDS,將Zoning的設定以set4A啟用之外,還會透過Fibre Channel底層的協定,將啟用過的Zoning設定,複製同時啟用,到所有的MDS上面。 我們透過“show zoneset active vsan 4”命令來檢查所有的MDS,啟用中的Zone Set。 我們可以觀察到,所有的MDS,都是“set4A”被啟用。 任何時間,我們只能有一份的Zone Set是啟用中。通常,我們在MDS上面,不只是保存啟用中的Zone Set,我們經常會面對不同場景的,保留好幾份的Zone Set,輪流按照需要啟用。這些定義過,無論是否被啟用的Zone Set,全部合起來稱為 Full Zone Set。 我們可以透過 “show zoneset vsan 4”命令來檢查,所有MDS上面的Full Zone Set。然而,因為Basic Zoning所傳遞的資訊,並不包含Full Zone Set,因此除了我們有設定過的這套MDS之外,其他的MDS完全看不到Full Zone Set。 Cisco Fabric Service, CFS 在Basic Zoning工作模式之下,我們無法透過標準的Fibre Channel協定來傳遞 Full Zone Set。我們只能透過,Cisco私有的協定Cisco Fabric Service(後面簡稱為CFS),來傳遞 Full Zone Set。 CFS協定預設已經開啟。但是,我們必須手動要求CFS傳送Full Zone Set。我們利用 “zoneset distribute vsan 4” 來立刻傳遞 Full Zone Set。 CFS的限制是,除非我們手動下達“zoneset distribute vsan 4”,否則,CFS不會自動將更動過的Full Zone Set的內容,同步複製到所有的MDS。 我們可以編輯加入一組新的Zone Set “set4C”,然後再次透過 “show zoneset  vsan 4”來確認,包含“set4C”的Full Zone Set並沒有自動被傳送出去。 Enhanced Zoning,加強模式 如果我們希望Full Zone Set會自動同步到所有的MDS,同時,在編輯Zone Set的時候,MDS幫我們做編輯鎖定,只有一位管理者可以做Zone Set編輯,避免Basic Zoning所可能產生的內容相互覆蓋的風險,我們需要改良過的Enhanced Zoning。 要開啟Enhanced Zoning模式,我們只需要挑選一套MDS,下達“zone mode enhanced vsan 4”即可。這個開啟的結果,會自動傳遞生效到所有的MDS。 我們可以透過“show zone status vsan 4”命令,來確認所有的MDS已經變更成Enhanced Zoning。 開啟Enhanced Zoning模式的同時,原本新增的 Zone Set “set4C”,自動會傳遞到所有的MDS。我們可以再次透過“show zoneset vsan 4”命令確認。 Enhanced Zoning之下,Zone Set的編輯和啟用 我們再次加入“set4D”,我們依然可以驗證,包含“set4D”的Full Zone Set會被自動同步到所有的MDS。 首

    如何知道,我正在使用IPv6?

    如何知道,我正在使用IPv6?

    最近不少人在討論「全球 43 億個 IPv4 地址今日正式耗盡」,例如這一篇。我相信起因,是因為RIPE的Nikolas Pediaditis幾天前的一封公開Email,宣布RIPE NCC的IPv4地址,已經全部發放完畢。 https://www.ripe.net/ripe/mail/archives/ncc-announce/2019-November/001380.htmlDear colleagues, Today, at 15:35 UTC+1 on 25 November 2019, we made our final /22 IPv4 allocation from the last remaining addresses in our available pool. We have now run out of IPv4 addresses. ..... 五個「區域網際網路註冊中心」 原本IPv4地址的發放,由IANA統一控管,再下發給全球五個「區域網際網路註冊中心」 (Regional Internet Registry, RIR)。各區域內的電信、服務業者、企業、組織等等,如果需要IP地址,就自行跟「區域網際網路註冊中心」申請。 Wikipedia: Regional Internet Registries world map. Rir.gif: Dork BlankMap-World6,_compact.svg: Canuckguy et al. derivative work: Sémhur (talk) - Rir.gif BlankMap-World6,_compact.svg 目前全球一共分成五個「區域網際網路註冊中心」: (區域Regional所指的是全球來看,好幾個國家的區域。) AfriNIC:大致上是非洲APNIC:大致上是亞洲、太平洋區域ARIN:大致上是北美洲,其實只有美國和加拿大。LACNIC:剩下的美洲,大致上是拉丁美洲、中、南美洲。RIPE NCC:大致上是歐洲、中東、俄羅斯 所以,RIPE NCC用完IPv4地址,並不代表”全球”的所有區域全部都用完。事實上,我剛才查到,AfriNIC,今天 (Nov 27, 2019) 的確還沒有用完。 http://www.potaroo.net/tools/ipv4/網站的 Nov. 27, 2019 快照 為什麼我現在跟電信業者申請新的網路,我還是可以取得IPv4地址可以使用呢? 電信業者都會有庫存的IPv4地址。電信業者跟「區域網際網路註冊中心」申請地址的時候,一定會考慮到預留未來可能增加的客戶數,批次申請。因此,一定還有庫存可以使用。 電信業者依然可以分配客戶使用的IPv4地址,這個事實,跟「區域網際網路註冊中心」的IPv4地址已經用完了的事實,兩者並不衝突。 「區域網際網路註冊中心」IPv4地址用完了,最著急的不是使用網路的各位,而是電信業者,或者是需要專用IPv4地址的大型企業。因為他們必須跟「區域網際網路註冊中心」申請IPv4地址,而「區域網際網路註冊中心」的確已經用完了,因此他們目前都只能排隊,等待奇蹟的出現,或者是,必須改用IPv6地址。 我想告訴大家的是,別擔心,您很可能已經天天都連接在IPv6網路上,而且使用好一陣子了。我今天來分享,我如何知道我已經連接在IPv6網路上面。 工具一:Google IPv6 Testhttps://ipv6test.google.com/ Google的這個網站不會告訴您太細節的資訊。他只會說,您的環境使用IPv6沒有問題。即使您現在沒有連接在IPv6網路上面,只要可以打開Google,您就會知道您的環境能不能在只有IPv6的新世界中使用。 我的PC沒有連接在IPv6,但是依然可以檢測IPv6支援。(Chrome, Windows 10) 工具二:“test-ipv6.com” 網站https://test-ipv6.com 這個網站會告知您的電腦目前所使用的IPv6地址,還有您目前所連接的網路環境,是否支援IPv6。 範例:沒有連接到IPv6 (Chrome, Windows 10) 範例:連接到IPv6。連接IPv6成功,會多出一個TAB「Other IPv6 Sites」。(Chrome, Windows 10) 令我比較意外的是,我手邊的 iPhone手機、Android手機,也已經是IPv6使用中,更精準的描述是,IPv6/IPv4 Dual Stack雙協議。我的電信業者是中華電信。 iPhone (iPhone SE, Safari) 成功連接 IPv6 的畫面 Android (Samsung S8, Stock Browser) 成功連接 IPv6 的畫面 所以我才說,您很可能已經天天

    什麼是「網際網路交換中心」Internet Exchange (IX)?

    什麼是「網際網路交換中心」Internet Exchange (IX)?

    我們普通的網際網路使用者,只需要將網路連接到網際網路服務業者(Internet Service Provider,ISP),剩下的網際網路的連通工作,業者會在幕後幫我們完成。 但是站在網際網路服務業者的角度,業者不只是必須跟國際的ISP連接,在國內,也必須同時跟國內的其他業者ISP相連接。於是,我們需要一個額外的腳色,專門服務業者和業者之間的網路封包的連通和交換。這個額外的腳色,就是 Internet Exchange (IX),我稱為「網際網路交換中心」。 我藉著下面假想的、台灣的例子,我們就可以理解網際網路交換中心,扮演什麼重要的功能。 假想情境:五家業者 首先,我先假設台灣國內有五家網際網路服務業者。這五家業者,各自租用連接到外國的國際線路,來讓各自的租用客戶,可以跟國際的Internet 相接通。 這樣已經可以讓網際網路開始工作了。但是,並不是很有效率。 我假設台灣國內某個熱門的購物網站,伺服器架設在業者一(ISP 1)。熱門購物網站的用戶端,肯定不只是業者一自己內部的租用客戶,一定也有不少的用戶,是來自於業者三、或者是業者五。 這時候問題來了。業者三租用客戶的封包,必須先跑到國外,才能再連回到業者一。反方向的流量,或者是業者五的用戶,也有完全相同的困擾。 在這個情境下,網路依然可以接通,只不過,所走的路徑並不是最短路徑,網路延遲時間會非常高。同時,出國的國際線路,單價很高,頻寬很貴,這並不是最經濟的網路連接方式。 可能方案一 業者之間直拉國內線路 在這個假想的情境中,我假設業者一和業者三、業者五之間,願意投資直拉的線路。這時候,封包就可以改成走台灣國內的線路。國內的線路,跟國際的線路比較,相對的單價比較便宜,同時網路延遲時間也比較短。因此,流量最佳化的問題解決了。 下一個新的問題是,假設每一家業者,都有熱門的網站,都需要服務來自不同業者內的租用客戶,而且每一家業者之間,都願意投資直拉的線路。如果真的這樣拉線路,最後這個業者和業者之間的線路網,本身就會變得非常複雜。 我知道,很多讀者可能覺得,畫面中的拓樸只有10條線路,感覺起來不算很複雜。但是,當業者數目越來越多的時候,例如台灣國內有20家業者,這時候線路的數字,就來到了190條 (20X19/2) 了! 永久方案:網際網路交換中心 我們需要一個獨立的腳色,也就是本文的主角「網際網路交換中心」(Internet Exchange, IX)。 只要「網際網路交換中心」存在,業者和業者兩兩之間,不再需要拉直通的台灣國內線路了。每家業者,只需要分別拉通往「網際網路交換中心」的直拉線路,就可以同時達成,封包在比較近比較便宜的國內線路交換,而且線路網本身,又不會太複雜。 可能會有朋友擔心,單點故障全體故障 (Single Point of Failure, SPOF)的疑慮。事實上,網際網路交換中心的腳色,可以同時存在超過一個,對於網際網路業者來說,只要同時連接到超過一個的網際網路交換中心,問題就得到解決。 因為「網際網路交換中心」所連接的對象,都是網際網路服務業者,因此也有文件稱呼,網際網路交換中心就是ISP之間的Service Provider。 One more thing… 「網際網路交換中心」(Internet Exchange, IX),從前面的討論來看,的確扮演著「國內流量」的交換匯聚腳色,假設「網際網路交換中心」的管理上出現問題,被駭客植入監視系統,肯定所有業者下面的租用戶流量,

    全球的BGP IPv4路由表突破800K

    全球的BGP IPv4路由表突破800K

    這一週,全球的BGP IPv4路由表,已經來到八十萬筆。不需要擔心,這只是一個時間上的里程碑。 我依然記得,在2001年,我幫客戶安裝了一套BGP路由器。這套路由器的型號是Cisco 3660,其實只有256 Megabytes的DRAM記憶體。當年的美好時光,全球的BGP路由表只有不到十五萬筆而已。雖然今天看起來256 Megabytes很小,當年依然跑得動。 隨著DRAM記憶體的價格下降,路由器硬體支援的DRAM記憶體容量越來越大。即使只安裝出廠預設的DRAM,不需要特別增加DRAM,BGP管理者也不容易買錯DRAM不足的路由器硬體。 我之前曾經寫過另外一篇文章,每十萬筆的單一鄰接的BGP資訊庫,大約需要80 Megabytes大小的DRAM記憶體。 Cisco學習資訊分享:BGP 記憶體需求估計 換句話說,如果要存放今天全球BGP八十萬筆的資訊庫,我們大約也只需要保留每個鄰接800 Megabytes,也就是0.8 Gigabytes的DRAM,給BGP協定來使用就夠了。對於今天的路由器硬體來說,小事一件。 我舉一個例子,Cisco ASR 1000 RP1加4G DRAM,今天來看已經不是太新潮的路由器硬體了。但是,它依然可以承載一百萬筆的BGP路由表。所以八十萬筆,裝得下沒問題。 CIDR REPORT 網站的畫面快照,November 6, 2019 「空盛桑運河」、和「昭披耶河」的交匯處。泰國曼谷市。 One more thing… 我只有一點提醒。如果您在規劃BGP的路由反射角色(Route Reflector),您也許需要稍微注意。因為您的容量規劃,必須將上面的估計,乘以鄰接的數字。 延續前面的Cisco ASR 1000 RP1加4G DRAM的例子,在BGP的路由反射角色下,可以支援到五百萬筆IPv4路由表。假設您需要連接超過五個鄰接,您很可能會超過五百萬筆的上限。也許需要考慮再增加DRAM,或者升級硬體型號,來支援更多的DRAM,例如將路由處理器(Route Processor,RP)升級成 RP2。 對了,您也想知道全球的IPv6路由表數目嗎?目前全球IPv6路由表大約不到八萬筆。IPv6短時間內還不會是問題,全球路由表比IPv4小得太多。 我是洪李吉。我的網站是「Cisco學習資訊分享」。我們下次見!

    免安裝軟體的簡易IPv4地址掃描工具

    免安裝軟體的簡易IPv4地址掃描工具

    我們經常需要做網段內的IPv4地址掃描。例如要確定IP地址有沒有被重複使用,或者是純粹做安全掃描,確保沒有隱藏的網路使用者。 為了掃描IP地址,我們也許需要從網路搜尋下載安裝免費的掃描工具,或者是昂貴的工具例如Cisco Prime Infrastructure。沒有工具,我們只能透過PING,來作手動掃描。不論是哪一個方式,都不是那麼簡單。 我這裡提供一個簡易工具,不需要下載安裝,不需要昂貴的軟體。您只需要一套Windows 10的PC。我們一起來看。 第一步:打開PowerShell視窗 在Windows上按下“Windows Logo Key ❖ + R”,輸入”powershell”。然後按下Enter開始執行。Windows 10會產生一個PowerShell視窗,這個視窗並不需要系統管理者的特權。 這點應該不難才對! 第二步:將下列單行腳本剪貼到PowerShell執行 $ipv4prefix=$(ipconfig | where {$_ -match 'IPv4.+\s(\d{1,3}\.\d{1,3}\.\d{1,3}\.)' } | out-null; $Matches[1]); 0..255 | %{"$ipv4prefix$_"}| % {"$($_): $(Test-Connection -count 1 -quiet -ComputerName $($_))"} 這個一行的PowerShell腳本,是我在我的電腦上面測試過可以使用的。 萬一剖析本地的IP地址有問題,或者是,您只是要掃描其他網段,您可以手工將$ipv4prefix變數修改成您所要的目的地網段開頭,例如,您想要掃描的網段是”192.168.1.X”,您可以將$ipv4prefix變數指定成”192.168.1.”。請注意,最後的那個句點,別漏掉了。修改完成的單行腳本,如下: $ipv4prefix="192.168.1."; 0..255 | %{"$ipv4prefix$_"}| % {"$($_): $(Test-Connection -count 1 -quiet -ComputerName $($_))"}  第三步:大約五分鐘左右完成掃描,結果在視窗中 下面是一個可能的掃描結果畫面: 192.168.1.0: False192.168.1.1: True192.168.1.2: False192.168.1.3: False192.168.1.4: False192.168.1.5: True… 如果印出”True”,代表這個IP地址有回應,正在使用中。剩下的、印出”False”,代表那些IP地址沒有回應,那些IP地址應該不在使用中的。 假設您認為輸出行數太多,您還可以過濾掉”False”的那幾行,只留下”True”的內容。過濾器就是 “| Select-String True”。例如: $ipv4prefix=$(ipconfig | where {$_ -match 'IPv4.+\s(\d{1,3}\.\d{1,3}\.\d{1,3}\.)' } | out-null; $Matches[1]); 0..255 | %{"$ipv4prefix$_"}| % {"$($_): $(Test-Connection -count 1 -quiet -ComputerName $($_))"} | Select-String True 加上過濾器後,輸出將會變成類似下面的外觀: 192.168.1.1: True192.168.1.5: True… 是樂園(倫披尼公園, Lumpini Park) 西南方四號門外的King Rama VI Monument One more thing… 我剛才所作的展示,就是要告訴大家,任何人只要有Windows 10的電腦,隨時都可以開始做IP地址掃描。我們可以想像,假設今天我們使用的是Liunx的電腦,我們甚至可以作出更複雜的掃描工具。 我這裡簡單舉一個Linux上面等價的例子。這個單行腳本所使用的是內建的BASH和AWK。 ipv4prefix="192.168.1."; for i in `seq 1 255`; do ping -c 1 ${ipv4prefix}$i | tr \\n ' ' | awk '/1 received/ {print $2}'; done 我要強調的是「任何人」都可以快速地開始掃描。 我相信大家現在感覺到了,駭客其實很容易就可以找到、列出您全部的公開IP地址。因此,只要您暴露在公開的Internet上面的軟硬體,依然存在著弱點,很快就會被駭客找到,而且攻進去。就像是,我之前提到過的安全事件一樣。 Cisco學習資訊分享:停止支援的路由器,讓銀行損失近百萬美金 我是洪李吉。我的網站是「Cisco學習資訊分享」。我們下次見!

客戶評論

5.0(滿分 5 分)
1 則評分

1 則評分

Li-Ji Hong

我很期待聽到,大家對於「Cisco學習資訊分享」的各種討論!

歡迎大家留言分享您的看法!

熱門教育 Podcast

聽眾訂閱的還有