2193
Блог сетевого инженера. Новости телеком, IT и около IT. Связь - @UrgentPirate
Как задать IP адрес источника для локальных приложений с помощью RTA_PREFSRC и iproute2. А как это можно сделать на уровне приложений, нам уже известно.
Два выхваченных момента из общего графика поддержки IPv6 и в обоих случаях эта поддержка сократилась. Всему нашлось объяснение, которое никак не связано с отказом от IPv6. В первом случае банальное, а во втором вполне себе интересное, показывающее безразличность IPv6 для простого пользователя. Когда IPv6 выключен по умолчанию, а количество устройств растёт, то процент включенных устройств с IPv6 (действие которое надо провести вручную) падает, хотя сначала он и был высокий.
Где-то на заре своей сетевой карьеры я держал дома мониторинг сети на MRTG, но быстро от него ушёл и надеюсь никогда не доберусь до такой сложности, чтобы моя домашняя сеть превратилась в ещё одну работу и мне бы потребовался её мониторинг. Но если очень хочется, то можно развернуться по полной с использованием Telegraf, Prometheus и Grafana, Docker и Tailscale, Raspberry Pi для мониторинга своего провайдера. Но, скорее всего, роутер всё равно придётся перезагружать, провайдеру объективно виднее.
Читать полностью…
Старейшие программные системы используемые до сих пор по версии книги рекордов Гиннесса. Не знаю как там с налогами в США, а вот Sabre, это чем до последнего времени пользовались, в том числе, и наши авиакомпании.
Читать полностью…
Я не думаю что вы не знаете кто такие linkmeup и что вот эти ребята устраивают очередной Linkmeetup. Смотрим на программу, покупаем билеты и отправляемся в Москву 10 октября. Обещают много всего, и в целом тем кто затащил полноценное офлайн мероприятие в пандемийном 2021, я думаю можно верить. Главное, не конкурсы и пиво, хотя оно тоже будет, главное люди, среди которых я тоже планирую оказаться.
Организаторам удачи и терпения и чтобы всё получилось так как задумали.
Nick Russo подготовил новый обширный документ по дизайну сети, в этот раз удалённый доступ - VPN - IPv6 - защищённый контур/второй VPN. Подробно про среднюю часть "gray net", почему IPv6 и как сделать красиво. Что-то обязательно можно будет почерпнуть, даже если целиком дизайн не про вас. Забрать в PDF и не только это.
Генератор XDP программы из правил FlowSpec, если вам это действительно нужно или надо с чего-то начать. По сути это законченное решение, не забываем что нужен будет ещё C компилятор, предлагается использовать clang, со всеми нужными зависимостями. Поставщик flowspec - вывод birdc.
Yandex.Cloud сделали иконочки для своих сервисов. А почитать на какой сети это всё построено, можно в свежей статье на Habr, больше про путь, нежели технические детали.
Читать полностью…
И если мы уж недавно вспоминали про PMTU discovery, давайте погрузимся чуть глубже и посмотрим как это работает на хостах, для IPv6 это ещё более важно. Немного теории и что можно проверить на Windows/Linux и при необходимости подкрутить на Linux.
Если пропустили большую драму, а может трагикомедию на этой неделе CVE-2021-28918 - читайте на opennet или тут и по ссылочкам из статей пройтись можно.
А суть в неверном толковании представления IPv4 адресов. Ну никак сегодня не воспринимается, что '0177' это число в восмеричной системе счисления, потому что об этом говорит '0' в самом начале. Когда-то, это было очевидно всем (лет 20-30 назад), даже если не очевидно, то почти все пользовались как минимум одной и той же libc. Сейчас это искусственная вещь, настолько искусственная что приводит как раз к таким драмам. Классический пример водораздела "старого" и "нового".
Если пропустили для себя ERSPAN, то обязательно поищите такую возможность на своих устройствах, есть не везде. Идеально заменяет RSPAN без возни с виланами, позволяя отправлять трафик поверх IP сети упаковывая его в GRE. Можно прямо в нужный сервер отдавать или на снифер. Но можно поймать на удалённом поддерживаемом устройстве и перенаправить в нужный порт убрав лишние заголовки.
Только будьте внимательны при настройке destination session, где source address - это не адрес соседнего хоста источника, а ваш собственный локальный адрес на который приходит трафик с удалённого хоста, он должен совпадать с тем что настроен для source session.
Если вы настраиваете настоящий stateful firewall, что я например делал совсем не часто, сейчас чаще, то обязательно озаботьтесь параметрами жизни сессий и всеми граничными значениями. С NAT я в своё время набил достаточно шишек, чтобы времена жизни трансляций выкручивать в очень агрессивной манере, а с Juniper SRX попался на очень долгие заданные по умолчанию времена жизни сессий. Не пропускайте этот момент и добавьте также early-ageout, если место под сессии кончится, это позволит выжить.
OSPFv3 и IPv6 соответственно, в базовой настройке с объяснениями от маршрутизации до хостов. Затрагивается довольно много специфичных моментов дизайна, но в то же время не привязанных к вендору, несмотря на то что сеть строится на Aruba. Но в целом, ещё раз повторюсь, это пример с базовыми настройками.
Читать полностью…
Что такое Zero-Trust Network Architecture - это всё про идентификацию, аутентификацию и авторизацию только для того что нужно и не более.
Читать полностью…
История "ошибок" в BGP начиная с 1997 года, преднамеренные и случайные, успешные и неуспешные.
Читать полностью…
Плачевное состояние с NXDOMAIN на корневых серверах, до 60% всех запросов и до 20% трафика. Chromium вроде победили, но там не только это. Всё ещё усложняется тем что такие запросы плохо кешируются в виду своей уникальности и всё улетает на корневые.
Читать полностью…
Когда договориться всем о безопасности BGP не получается, то надо договориться нескольким, создав острова безопаснсти и это увеличит безопасность, в том числе, остальных. Технически ничего нового, используются все известные практики описаные MANRS. Внутри защищаемой зоны вводится новое well-known комьюнити VERIFIED, на которое надо соответствующим образом реагировать. Правильность реакции оценивается техническим аудитом, для чего надо сливать свои маршруты на какой-то общий для зоны коллектор.
К сожалению я не верю что даже двое смогут договориться, не говоря уже о группе разных операторов и компаний, да ещё и качество этого договора в прямую зависит от внешнего аудита, а не встроено внутрь процесса. Ничто не мешает администраторам автономных систем продолжать ошибаться с той же частотой и периодичностью находясь внутри зоны так же, как они ошибаются сейчас. При этом Интернет как-то работает, во многом, на доверии и с очень свободными нравами, но может именно поэтому и работает.
Какие шифры использовать в SSH для Cisco - пример с готовым конфигом. Кто давно не заглядывал, сейчас в моде эллиптические кривые, и AES c GCM, и битов побольше.
Если рассматривать в общем, то есть RFC9212, при условии что вы доверяете NSA (АНБ), некоторые сканеры безопасности ssh, например, не доверяют.
В любом случае, сначала проверьте на столе, потому что не всё может полететь из того что вы себе накрутите.
FreeRADIUS может всё, если хотите Cisco SD-Access, надо только правильные атрибуты навесить. SGT метки это ещё, точнее из Cisco TrustSec, так что если очень хочется именно FreeRADIUS - мы, в тебе не сомневались.
Разбор недавнего падения Linx от Ripe Labs, с попыткой выяснить как такие косяки влияют на окружающих в современном мире. И, кажется, сетевики таки научились в резервирование и теперь падение даже такого крупного IXP не приводит к выходу из строя половины интернета.
Горд за профессию.
https://labs.ripe.net/author/emileaben/does-the-internet-route-around-damage-edition-2021/
Ещё один инструмент агрегатор - bgp.tools, в котором собрана информация по ASn и префиксам. Может whois, карту отношений upstreams/downstreams, статусы RPKI, членство в IX. Если данных хватит, то и скриншот с заглавной странички сайта владельца покажет.
Получил сегодня почтовую рассылку и даже не знаю как прокомментировать, но очень хочется поделиться с вами той заботой которую мне предлагает mail.ru. Рекомендацией я, конечно, не воспользуюсь.
Сторонние приложения это:
"Например, Microsoft Outlook, Spark, стандартная почта на iOS или Android и другие."
Чтобы защититься, тут конечно я выдернул только начало абзаца, но совет и в таком виде 100% рабочий:
"Главное — откройте настройки почтового приложения и отключите там аккаунт Mail.ru."
Мы недавно писали про настройку VyOS с нуля, может даже не один раз. Не могу скрыть своего интереса к данной системе, которая используется у меня в качестве домашнего роутера. Тем кто знаком с сетями и настройками каких-либо других сетевых устройств, разобраться труда не составит - всё должно быть знакомо и понятно. Но на всякий случай ещё одна серия статей про настройку.
Те кто делает резервные копии каждый день или раз в неделю - те молодцы. Те кто проверяет свои копии восстанавливая их - красавцы. Сегодня надо делать как всегда, потому что сегодня День резервного копирования.
Те кто про свои бэкапы вспоминает только в этот день - не надо так. Это всё ещё не просто, это всё ещё требует усилий, но это именно та возможность которую не стоит упускать.
Всегда полезно повторить про STP, потому что ошибок здесь не прощают. Подробно, на 12 страниц в PDF, только про PortFast, BPDU Filter и BPDU Guard. Чем надо обязательно пользоваться если STP включен.
