2193
Блог сетевого инженера. Новости телеком, IT и около IT. Связь - @UrgentPirate
Приколитесь: немцы снифали и расшифровывали зашифрованный трафик на серверах jabber.ru в датацентре Hetzner.
Выпустили отдельный SSL сертификат и проксировали коннекты к TCP:5222. Ого! Вскрылось случайно из-за ошибки их админов. Если бы не эта ошибка, скорее всего, так никто бы и не заметил.
Скорее всего это правительственная атака и хостеров просто обязали накручивать эти редиректы. Интересно сколько таких джаббер серверов прослушивается в данный момент. Ведь кулхацкеры скамеры чаще всего используют именно джаббер. Еще один эпизод оправдывающий параною красноглазых криптоманьяков.
Мораль:
1. Проверяйте фингерпринты сертификатов даже если лень.
2. Безопаснее E2E шифрования ничего не придумали, но и там всем лень проверять отпечатки ключей.
Лично мне больше все нравится подход Телеграм с 4 эмоджи в качестве отпечатка ключа, это не сложно сверить при звонке.
Пост на HN: https://news.ycombinator.com/item?id=37955264
Само расследование https://notes.valdikss.org.ru/jabber.ru-mitm/
Большая лаба по BGP на разные аспекты управления трафиком, о чём же ещё. И прямая ссылка на Google drive PDF: начальный конфиг, задача, проверка, изменения, финальный конфиг, проверка - всего 155 страниц.
Читать полностью…
BGP reverse proxy, который позволяет встроится между BGP спикерами и делать разные вещи: например, дампить апдейты или наоборот проиграть апдейты из дампа, может добавить пароль в сессию, а ещё умеет в JSON. Написан на Go и пока в ранней стадии разработки.
Настройка pfSense для балансировки между двумя Интернет каналами. Но это лишь прелюдия для дальнейших рассуждений автора о том чем в принципе два канала могут быть лучше и дешевле чем один, и о проблемах роста Интернет, а также роли IPv6, в том числе, в случае решения задачи балансировки между двумя провайдерами.
Linkmeetup заценили и я надеюсь возможность заценить появится у всех когда мы увидим записи докладов, среди которых были очень достойные и которые хочется обсуждать и пересматривать, а ещё конечно увидеть те которые пропустил.
Следующий на очереди NextHop 20 ноября, который в этом году обещают сделать больше. Не удержусь чтобы не сказать что больше не значит лучше, но я думаю в Yandex запомнили то что сказали в приветствии Linkmeetup и в этом году постараются особенно, тем более конференции идут друг за другом. Регистрация уже открыта, поэтому я думаю надо даже поспешить чтобы поучаствовать лично.
В плане вообще конференций мне не очень нравится многозальная история, попытка объять все темы, всё равно, как правило проваливается, интересные доклады пересекаются, а внимание расфокусируется. Каждому конечно своё, но лучше многодневная история где один зал с докладами, если действительно их очень много. А ещё раньше были блокнотики чтобы что-то записывать, потом от этого все откзались, цифровая эпоха как-никак и их давно уже не предлагают, даже на выставочных стендах нету, хотя ручки ещё кое-где можно найти. Но блокнотики это лампово, пусть они будут, если в космосе меня кто-то слышит.
С пятницей - https://www.youtube.com/watch?v=dcbWV9c-304 - не забывайте выключать работу на выходных, хотя бы иногда.
Читать полностью…
Значимое изменение подписей префиксов в некоторых странах, некоторые страны почти всё своё подписали, и в некоторых стран для этого хватило всего одного провайдера.
Читать полностью…
Введение в VXLAN: как происходит изучение MAC адресов и сопоставление конечных точек передачи в базовой сети. Где-то тут надо будет вспомнить про PIM или разобраться в EVPN. И как всё это настроить на Nexus, если в EVPN всё ещё не разобрались.
Передача трафика между VRF на Firepower в статическом исполнении не сложнее чем для многих других устройств, главное суть понимать vrf. А про это было на Cisco Live, но туда надо ещё постараться добраться из России.
Сколько аргументов можно передать в командной строке Linux зависит от многих вещей и они не всегда явные, но автор докопался.
Читать полностью…
Домой рановато ещё брать, наверное? Спецификация версии 7.0.
Читать полностью…
Ещё один набор инструментов и пример подхода для создания распределённого мониторинга из разных точек. Автор подчеркивает что всё управляется централизованно из одной конфигурации, в его случае, из Prometheus, что исключает необходимость синхронизации между распределёнными зондами, уменьшая их сложность до минимума.
В своё время для тех же целей я написал BAT файл, который устанавливался как задача Windows, в котором формировались очереди и вызывались утилиты на узлах, вроде fping или speedtest. В качестве средства передачи использовался Zabbix агент, но управлял этим Cacti, где и хранился набор целей и узлы для мониторинга этих целей. Работало, может до сих пор работает. В статье, конечно, всё посовременней и масштабней.
Президент России подписал закон об увеличении с 7,5 тысяч до 1 миллиона рублей государственной пошлины за предоставление лицензий на осуществление деятельности в области оказания услуг связи.
Читать полностью…
Статистика по доменам .RU/.РФ/.SU - www.statdom.ru. Много всего, включая информацию по регистрации, информацию по использованию, про IPv6 и DNSSEC, TLS, почту, действительно много. За ссылку благодарность нашему подписчику.
Читать полностью…
Итоги на мой взгляд ожидаемые. Смешно, но я забыл термин dial-up, может быть, потому что мой первый Интернет был через EDGE, а проводной через DSL, а компьютер без Интернет был в общем-то нормой. Ещё я вас обогащу термином AON - это оптика до вашего домашнего роутера, но не PON, где A - Active. И пока мы посматриваем не взять ли себе домой гигабитное подключение, некоторые наши подписчики, спасибо им большое за комментарии, живут в абсолютном будущем и могут позволить себе 25Гбит/c чистого незамутнённого Интернета оптикой прямо в порт не PONом!, который у нас становится всё популярнее.
Если вдруг давно не заходили на Looking glass MSK-IX, то там теперь доступна возможность графически увидеть маршруты от IX до заданного префикса, естественно, если он каким-то образом там присутствует. Кнопка называется "Нарисовать схему" и появляется она после выполнения какой-либо из основных команд по просмотру префиксов или соседств.
Сам узнал, что называется, из первых рук и поэтому всей команде MSK-IX большой привет. А для личного общения и инсайдов уже скоро пиринговый форум, регистрация на который открыта.
IOS XR решили новую нумерацию версий сделать - по датам. Меня в датах смущает только одно, совершенно невозможно отделить эпохальный релиз от не эпохального, как будто производитель, любой, говорит что у меня все релизы одинаковые и никаких больших ломающих изменений между релизами не будет. А если наоборот, каждый релиз эпохальный, то это ещё хуже. Могу погадать, что на этом история IOS XR подходит к концу, через какое-то время маркетологи, чтобы выделить очередную новую фичу, просто решат сменить название, а не последнюю цифру в череде таких же.
Читать полностью…
no ip http server/secure-server разве не делают все сразу как только включают новую Cisco, по крайней мере староверы? Если нет, то сделайте, а вот что делать с автоматизацией и почему её прикрутили именно к веб я не знаю. Веб - слабое звено.
В Скандинавии почти умер DSL, но есть DOCSIS и кое-где радио, даже с растущим трендом в Норвегии, это 5G? Ещё мне не очень понятно что есть Fiber на графиках, сколько там PON, а сколько нет, но его много.
Поэтому давайте про нас: "Какой ваш основной домашний канал в Интернет?" Я думаю в опросе понятно что есть что, упор не на то какой кабель подведён к вашей квартире/дому, а на то, какие кадры бегают сразу внутри этого кабеля. Что-то другое для меня - это ISDN, хотя я никогда не слышал чтобы он был у кого-то дома, но вдруг, а также то, что я скорее всего не знаю, и я надеюсь поделитесь, что же это. А всё что вы считаете старым, может быть и не таким старым как вам кажется, просто в другом месте.
Коллега подкинул сайт с эмуляторами (веб мордами) домашних роутеров http://linserv.ru/. Наверное, на родных сайтах выбор будет побольше, но для быстрого поиска удобно. Тем более, что и ссылки на родные сайты присутствуют.
Читать полностью…
Ууххх, что у Cloudflare c 1.1.1.1 произошло вчера:
1. Не мониторили один из ключевых процессов
2. Не протестировали один из предполагаемых ключевых отказов, хотя и было предусмотрено его автоматическое резервирование
3. Пропустили одно из ключевых изменений во внешней системе - добавление новой записи в корне ZONEMD4. И не реализовали перехват и обработку программной ошибки
Это всё хорошо понятно и вроде даже банально звучит, когда уже закончилось, а вот свои системы, не обязательно DNS, стоит посмотреть и проверить с учётом этого заранее.
Ethernet везде Ethernet даже в суперкомпьютерах, кластерах GPU, в которых балансировка трафика в фабрике происходит по потокам, а не по пакетам, что в свою очередь недогружает сеть, но оправдано с других точек зрения. Однако решения пакетной балансировки появляются, хотя и зависят от конкретных условий и задач, как и везде.
Читать полностью…
Cisco покупает себе Splunk, но покупать не обязательно, можно выбирать из доступного: быстрое сравнение Grafana Loki, Logstash, Graylog, Syslog-ng, FluentD, Logwatch.
Читать полностью…
Срочно! Нет времени объяснять!
Жмешь сюда, а дальше сам знаешь, что делать!
QSFP-DD1600 1.6Tbps интерфейсы и модули, дамы и господа.
Читать полностью…
Безопасность DNS важная штука, не только для корпоративного сектора, хотя они себе могут больше позволить, DNS файрволы, например, или купить отчёт этого опроса.
Читать полностью…
Я раньше вёл местный сайт-справочник провайдеров больше для себя чем для кого-то, вытаскивая данные сначала из RIPEDB, потом накладывал на BGP связность, потом проходился вручную и добавлял ещё из того что знал и слышал вокруг, включая не совсем официальных провайдеров, добавлял контактные данные с сайтов, способы подключения, ссылки на инструкции, а потом строил по этому карту в полуавтоматическом режиме. Через какое-то время мне это надоело, так как отнимало много времени для постоянной поддержки актуального состояния и я задумал сделать полностью автоматическое обновление и начал прикручивать реестры Роскомнадзора из открытых данных - "Реестра лицензий" и "Реестра сетевой инфраструктуры" (которого сейчас нет), наивно полагая что это мне поможет выбрать всех активных операторов, добавить к ним связность из BGP таблиц и RIPEDB и строить карту, хотя бы, полностью автоматически. Но реестры дело только усложнили и я это совсем забросил.
Но оказывается Роскомнадзор, вот уже много лет как, сделал почти всё за меня, по крайней мере, список провайдеров оказывающих услуги в конкретном городе - Публичный реестр инфраструктуры связи и телерадиовещания РФ. Это не машиночитаемый ресурс, что большой минус, который заменил более не публикуемый "Реестр сетевой инфраструктуры", но хорошо что данные не порезали, вроде бы. Для работы с ним надо выбрать конкретный регион, потом конкретный город, а потом выбрать неочевидную ссылку в столбце "наличие связи" там будет или слово "да" или какое-то другое обозначение или число, а уже затем откроется список во всплывающем окне в котором перечислены все операторы, которые подают о себе сведения (должны все), оказывающие данную услугу связи. Хотелось бы ещё верить, что эти данные актуальные.
З.Ы. А восстановить свой справочник я ещё думаю, после волны поглощений и покупок всех всеми, операторов стало меньше, может быть будет ещё меньше учитывая нарастающий контроль государства и следить за этим будет проще. Но, может быть, будет больше операторов в серой зоне (вряд ли).
Есть ещё время до 1 января десяток лицензий про запас получить. С другой стороны, совсем новых провайдеров, даже мелких, давно не видно, а новым домонетам уже видно не судьба появиться.
Читать полностью…
Хорошая вводная статья на Habr про DN42 с пошаговыми настройками. Я бы не называл это песочницей, практическое применение легко можно найти, благо используются широкоизвестные подходы и технологии. Как минимум, это сильно больше любой домашней лабы с настоящими, живыми отношениями между участниками сети, и не для новичков. Прямая ссылка на проект dn42.eu.
Читать полностью…