2193
Блог сетевого инженера. Новости телеком, IT и около IT. Связь - @UrgentPirate
AWS продолжая накапливать IPv4 адреса, сейчас больше семи полных блоков по /8, теперь собирается на этом зарабатывать. И, наверное, отобьёт все свои вложения, пока IPv4 ещё нужны.
IPv6 создаёт много адресов и про все про них надо помнить. На этот раз речь про subnet-router anycast адрес и как он реализован у разных вендоров с точки зрения необходимости его фильтрации.
Внимание, вопрос: "С помощью какого устройства сегодня утром сломали ВПН в России?"
Читать полностью…
Как задать IP адрес источника для локальных приложений с помощью RTA_PREFSRC и iproute2. А как это можно сделать на уровне приложений, нам уже известно.
Два выхваченных момента из общего графика поддержки IPv6 и в обоих случаях эта поддержка сократилась. Всему нашлось объяснение, которое никак не связано с отказом от IPv6. В первом случае банальное, а во втором вполне себе интересное, показывающее безразличность IPv6 для простого пользователя. Когда IPv6 выключен по умолчанию, а количество устройств растёт, то процент включенных устройств с IPv6 (действие которое надо провести вручную) падает, хотя сначала он и был высокий.
Где-то на заре своей сетевой карьеры я держал дома мониторинг сети на MRTG, но быстро от него ушёл и надеюсь никогда не доберусь до такой сложности, чтобы моя домашняя сеть превратилась в ещё одну работу и мне бы потребовался её мониторинг. Но если очень хочется, то можно развернуться по полной с использованием Telegraf, Prometheus и Grafana, Docker и Tailscale, Raspberry Pi для мониторинга своего провайдера. Но, скорее всего, роутер всё равно придётся перезагружать, провайдеру объективно виднее.
Читать полностью…
Старейшие программные системы используемые до сих пор по версии книги рекордов Гиннесса. Не знаю как там с налогами в США, а вот Sabre, это чем до последнего времени пользовались, в том числе, и наши авиакомпании.
Читать полностью…
Я не думаю что вы не знаете кто такие linkmeup и что вот эти ребята устраивают очередной Linkmeetup. Смотрим на программу, покупаем билеты и отправляемся в Москву 10 октября. Обещают много всего, и в целом тем кто затащил полноценное офлайн мероприятие в пандемийном 2021, я думаю можно верить. Главное, не конкурсы и пиво, хотя оно тоже будет, главное люди, среди которых я тоже планирую оказаться.
Организаторам удачи и терпения и чтобы всё получилось так как задумали.
Nick Russo подготовил новый обширный документ по дизайну сети, в этот раз удалённый доступ - VPN - IPv6 - защищённый контур/второй VPN. Подробно про среднюю часть "gray net", почему IPv6 и как сделать красиво. Что-то обязательно можно будет почерпнуть, даже если целиком дизайн не про вас. Забрать в PDF и не только это.
Генератор XDP программы из правил FlowSpec, если вам это действительно нужно или надо с чего-то начать. По сути это законченное решение, не забываем что нужен будет ещё C компилятор, предлагается использовать clang, со всеми нужными зависимостями. Поставщик flowspec - вывод birdc.
Yandex.Cloud сделали иконочки для своих сервисов. А почитать на какой сети это всё построено, можно в свежей статье на Habr, больше про путь, нежели технические детали.
Читать полностью…
И если мы уж недавно вспоминали про PMTU discovery, давайте погрузимся чуть глубже и посмотрим как это работает на хостах, для IPv6 это ещё более важно. Немного теории и что можно проверить на Windows/Linux и при необходимости подкрутить на Linux.
Если пропустили большую драму, а может трагикомедию на этой неделе CVE-2021-28918 - читайте на opennet или тут и по ссылочкам из статей пройтись можно.
А суть в неверном толковании представления IPv4 адресов. Ну никак сегодня не воспринимается, что '0177' это число в восмеричной системе счисления, потому что об этом говорит '0' в самом начале. Когда-то, это было очевидно всем (лет 20-30 назад), даже если не очевидно, то почти все пользовались как минимум одной и той же libc. Сейчас это искусственная вещь, настолько искусственная что приводит как раз к таким драмам. Классический пример водораздела "старого" и "нового".
Примеры, без комментариев и объяснений, настройки базового функционала для Cisco: NetFlow, QoS, SNMP, L2, NTP, DMVPN. Может быть больше в будущем.
Читать полностью…
Погружение во внутренности ping в Linux. Cначала про то как считается RTT и как этот расчёт можно обмануть. А потом про то как NAT отслеживает и меняет ICMP с простыми примерами организации рабочего стенда на одном хосте с использованием сетевых пространств имён и сложным кодом Linux ядра.
Знаете в чём можно по доброму завидовать программистам, в том что им практически не требуется никаких особенных приспособлений чтобы получить видимый рабочий результат своего творчества. Текстовый редактор (да даже без него), компилятор/интерпретатор, любой компьютер (очень распространённая штука сейчас) и, вуаля, на экране уже мигает пресловутый "Hello world". А чтобы построить сеть даже из микротиков, нужен не один микротик и не только он. Нас далеко не всегда спасают виртуальные решения, и это тоже много ресурсов.
Поэтому мы чуть завидуем сегодня и поздравляем всех настоящих программистов с их настоящим праздником! И не настоящих тоже поздравляем :)
Что такое Zero-Trust Network Architecture - это всё про идентификацию, аутентификацию и авторизацию только для того что нужно и не более.
Читать полностью…
История "ошибок" в BGP начиная с 1997 года, преднамеренные и случайные, успешные и неуспешные.
Читать полностью…
Плачевное состояние с NXDOMAIN на корневых серверах, до 60% всех запросов и до 20% трафика. Chromium вроде победили, но там не только это. Всё ещё усложняется тем что такие запросы плохо кешируются в виду своей уникальности и всё улетает на корневые.
Читать полностью…
Когда договориться всем о безопасности BGP не получается, то надо договориться нескольким, создав острова безопаснсти и это увеличит безопасность, в том числе, остальных. Технически ничего нового, используются все известные практики описаные MANRS. Внутри защищаемой зоны вводится новое well-known комьюнити VERIFIED, на которое надо соответствующим образом реагировать. Правильность реакции оценивается техническим аудитом, для чего надо сливать свои маршруты на какой-то общий для зоны коллектор.
К сожалению я не верю что даже двое смогут договориться, не говоря уже о группе разных операторов и компаний, да ещё и качество этого договора в прямую зависит от внешнего аудита, а не встроено внутрь процесса. Ничто не мешает администраторам автономных систем продолжать ошибаться с той же частотой и периодичностью находясь внутри зоны так же, как они ошибаются сейчас. При этом Интернет как-то работает, во многом, на доверии и с очень свободными нравами, но может именно поэтому и работает.
Какие шифры использовать в SSH для Cisco - пример с готовым конфигом. Кто давно не заглядывал, сейчас в моде эллиптические кривые, и AES c GCM, и битов побольше.
Если рассматривать в общем, то есть RFC9212, при условии что вы доверяете NSA (АНБ), некоторые сканеры безопасности ssh, например, не доверяют.
В любом случае, сначала проверьте на столе, потому что не всё может полететь из того что вы себе накрутите.
FreeRADIUS может всё, если хотите Cisco SD-Access, надо только правильные атрибуты навесить. SGT метки это ещё, точнее из Cisco TrustSec, так что если очень хочется именно FreeRADIUS - мы, в тебе не сомневались.
Разбор недавнего падения Linx от Ripe Labs, с попыткой выяснить как такие косяки влияют на окружающих в современном мире. И, кажется, сетевики таки научились в резервирование и теперь падение даже такого крупного IXP не приводит к выходу из строя половины интернета.
Горд за профессию.
https://labs.ripe.net/author/emileaben/does-the-internet-route-around-damage-edition-2021/
Ещё один инструмент агрегатор - bgp.tools, в котором собрана информация по ASn и префиксам. Может whois, карту отношений upstreams/downstreams, статусы RPKI, членство в IX. Если данных хватит, то и скриншот с заглавной странички сайта владельца покажет.
Получил сегодня почтовую рассылку и даже не знаю как прокомментировать, но очень хочется поделиться с вами той заботой которую мне предлагает mail.ru. Рекомендацией я, конечно, не воспользуюсь.
Сторонние приложения это:
"Например, Microsoft Outlook, Spark, стандартная почта на iOS или Android и другие."
Чтобы защититься, тут конечно я выдернул только начало абзаца, но совет и в таком виде 100% рабочий:
"Главное — откройте настройки почтового приложения и отключите там аккаунт Mail.ru."
