2499
Блог сетевого инженера. Новости телеком, IT и около IT. Связь - @UrgentPirate
QSFP-DD1600 1.6Tbps интерфейсы и модули, дамы и господа.
Читать полностью…
Безопасность DNS важная штука, не только для корпоративного сектора, хотя они себе могут больше позволить, DNS файрволы, например, или купить отчёт этого опроса.
Читать полностью…
Я раньше вёл местный сайт-справочник провайдеров больше для себя чем для кого-то, вытаскивая данные сначала из RIPEDB, потом накладывал на BGP связность, потом проходился вручную и добавлял ещё из того что знал и слышал вокруг, включая не совсем официальных провайдеров, добавлял контактные данные с сайтов, способы подключения, ссылки на инструкции, а потом строил по этому карту в полуавтоматическом режиме. Через какое-то время мне это надоело, так как отнимало много времени для постоянной поддержки актуального состояния и я задумал сделать полностью автоматическое обновление и начал прикручивать реестры Роскомнадзора из открытых данных - "Реестра лицензий" и "Реестра сетевой инфраструктуры" (которого сейчас нет), наивно полагая что это мне поможет выбрать всех активных операторов, добавить к ним связность из BGP таблиц и RIPEDB и строить карту, хотя бы, полностью автоматически. Но реестры дело только усложнили и я это совсем забросил.
Но оказывается Роскомнадзор, вот уже много лет как, сделал почти всё за меня, по крайней мере, список провайдеров оказывающих услуги в конкретном городе - Публичный реестр инфраструктуры связи и телерадиовещания РФ. Это не машиночитаемый ресурс, что большой минус, который заменил более не публикуемый "Реестр сетевой инфраструктуры", но хорошо что данные не порезали, вроде бы. Для работы с ним надо выбрать конкретный регион, потом конкретный город, а потом выбрать неочевидную ссылку в столбце "наличие связи" там будет или слово "да" или какое-то другое обозначение или число, а уже затем откроется список во всплывающем окне в котором перечислены все операторы, которые подают о себе сведения (должны все), оказывающие данную услугу связи. Хотелось бы ещё верить, что эти данные актуальные.
З.Ы. А восстановить свой справочник я ещё думаю, после волны поглощений и покупок всех всеми, операторов стало меньше, может быть будет ещё меньше учитывая нарастающий контроль государства и следить за этим будет проще. Но, может быть, будет больше операторов в серой зоне (вряд ли).
Есть ещё время до 1 января десяток лицензий про запас получить. С другой стороны, совсем новых провайдеров, даже мелких, давно не видно, а новым домонетам уже видно не судьба появиться.
Читать полностью…
Хорошая вводная статья на Habr про DN42 с пошаговыми настройками. Я бы не называл это песочницей, практическое применение легко можно найти, благо используются широкоизвестные подходы и технологии. Как минимум, это сильно больше любой домашней лабы с настоящими, живыми отношениями между участниками сети, и не для новичков. Прямая ссылка на проект dn42.eu.
Читать полностью…
Примеры, без комментариев и объяснений, настройки базового функционала для Cisco: NetFlow, QoS, SNMP, L2, NTP, DMVPN. Может быть больше в будущем.
Читать полностью…
Погружение во внутренности ping в Linux. Cначала про то как считается RTT и как этот расчёт можно обмануть. А потом про то как NAT отслеживает и меняет ICMP с простыми примерами организации рабочего стенда на одном хосте с использованием сетевых пространств имён и сложным кодом Linux ядра.
Знаете в чём можно по доброму завидовать программистам, в том что им практически не требуется никаких особенных приспособлений чтобы получить видимый рабочий результат своего творчества. Текстовый редактор (да даже без него), компилятор/интерпретатор, любой компьютер (очень распространённая штука сейчас) и, вуаля, на экране уже мигает пресловутый "Hello world". А чтобы построить сеть даже из микротиков, нужен не один микротик и не только он. Нас далеко не всегда спасают виртуальные решения, и это тоже много ресурсов.
Поэтому мы чуть завидуем сегодня и поздравляем всех настоящих программистов с их настоящим праздником! И не настоящих тоже поздравляем :)
Что такое Zero-Trust Network Architecture - это всё про идентификацию, аутентификацию и авторизацию только для того что нужно и не более.
Читать полностью…
История "ошибок" в BGP начиная с 1997 года, преднамеренные и случайные, успешные и неуспешные.
Читать полностью…
Плачевное состояние с NXDOMAIN на корневых серверах, до 60% всех запросов и до 20% трафика. Chromium вроде победили, но там не только это. Всё ещё усложняется тем что такие запросы плохо кешируются в виду своей уникальности и всё улетает на корневые.
Читать полностью…
Когда договориться всем о безопасности BGP не получается, то надо договориться нескольким, создав острова безопаснсти и это увеличит безопасность, в том числе, остальных. Технически ничего нового, используются все известные практики описаные MANRS. Внутри защищаемой зоны вводится новое well-known комьюнити VERIFIED, на которое надо соответствующим образом реагировать. Правильность реакции оценивается техническим аудитом, для чего надо сливать свои маршруты на какой-то общий для зоны коллектор.
К сожалению я не верю что даже двое смогут договориться, не говоря уже о группе разных операторов и компаний, да ещё и качество этого договора в прямую зависит от внешнего аудита, а не встроено внутрь процесса. Ничто не мешает администраторам автономных систем продолжать ошибаться с той же частотой и периодичностью находясь внутри зоны так же, как они ошибаются сейчас. При этом Интернет как-то работает, во многом, на доверии и с очень свободными нравами, но может именно поэтому и работает.
Какие шифры использовать в SSH для Cisco - пример с готовым конфигом. Кто давно не заглядывал, сейчас в моде эллиптические кривые, и AES c GCM, и битов побольше.
Если рассматривать в общем, то есть RFC9212, при условии что вы доверяете NSA (АНБ), некоторые сканеры безопасности ssh, например, не доверяют.
В любом случае, сначала проверьте на столе, потому что не всё может полететь из того что вы себе накрутите.
FreeRADIUS может всё, если хотите Cisco SD-Access, надо только правильные атрибуты навесить. SGT метки это ещё, точнее из Cisco TrustSec, так что если очень хочется именно FreeRADIUS - мы, в тебе не сомневались.
Разбор недавнего падения Linx от Ripe Labs, с попыткой выяснить как такие косяки влияют на окружающих в современном мире. И, кажется, сетевики таки научились в резервирование и теперь падение даже такого крупного IXP не приводит к выходу из строя половины интернета.
Горд за профессию.
https://labs.ripe.net/author/emileaben/does-the-internet-route-around-damage-edition-2021/
Домой рановато ещё брать, наверное? Спецификация версии 7.0.
Читать полностью…
Ещё один набор инструментов и пример подхода для создания распределённого мониторинга из разных точек. Автор подчеркивает что всё управляется централизованно из одной конфигурации, в его случае, из Prometheus, что исключает необходимость синхронизации между распределёнными зондами, уменьшая их сложность до минимума.
В своё время для тех же целей я написал BAT файл, который устанавливался как задача Windows, в котором формировались очереди и вызывались утилиты на узлах, вроде fping или speedtest. В качестве средства передачи использовался Zabbix агент, но управлял этим Cacti, где и хранился набор целей и узлы для мониторинга этих целей. Работало, может до сих пор работает. В статье, конечно, всё посовременней и масштабней.
Президент России подписал закон об увеличении с 7,5 тысяч до 1 миллиона рублей государственной пошлины за предоставление лицензий на осуществление деятельности в области оказания услуг связи.
Читать полностью…
Статистика по доменам .RU/.РФ/.SU - www.statdom.ru. Много всего, включая информацию по регистрации, информацию по использованию, про IPv6 и DNSSEC, TLS, почту, действительно много. За ссылку благодарность нашему подписчику.
Читать полностью…
AWS продолжая накапливать IPv4 адреса, сейчас больше семи полных блоков по /8, теперь собирается на этом зарабатывать. И, наверное, отобьёт все свои вложения, пока IPv4 ещё нужны.
IPv6 создаёт много адресов и про все про них надо помнить. На этот раз речь про subnet-router anycast адрес и как он реализован у разных вендоров с точки зрения необходимости его фильтрации.
Внимание, вопрос: "С помощью какого устройства сегодня утром сломали ВПН в России?"
Читать полностью…
Как задать IP адрес источника для локальных приложений с помощью RTA_PREFSRC и iproute2. А как это можно сделать на уровне приложений, нам уже известно.
Два выхваченных момента из общего графика поддержки IPv6 и в обоих случаях эта поддержка сократилась. Всему нашлось объяснение, которое никак не связано с отказом от IPv6. В первом случае банальное, а во втором вполне себе интересное, показывающее безразличность IPv6 для простого пользователя. Когда IPv6 выключен по умолчанию, а количество устройств растёт, то процент включенных устройств с IPv6 (действие которое надо провести вручную) падает, хотя сначала он и был высокий.
Где-то на заре своей сетевой карьеры я держал дома мониторинг сети на MRTG, но быстро от него ушёл и надеюсь никогда не доберусь до такой сложности, чтобы моя домашняя сеть превратилась в ещё одну работу и мне бы потребовался её мониторинг. Но если очень хочется, то можно развернуться по полной с использованием Telegraf, Prometheus и Grafana, Docker и Tailscale, Raspberry Pi для мониторинга своего провайдера. Но, скорее всего, роутер всё равно придётся перезагружать, провайдеру объективно виднее.
Читать полностью…
Старейшие программные системы используемые до сих пор по версии книги рекордов Гиннесса. Не знаю как там с налогами в США, а вот Sabre, это чем до последнего времени пользовались, в том числе, и наши авиакомпании.
Читать полностью…
Я не думаю что вы не знаете кто такие linkmeup и что вот эти ребята устраивают очередной Linkmeetup. Смотрим на программу, покупаем билеты и отправляемся в Москву 10 октября. Обещают много всего, и в целом тем кто затащил полноценное офлайн мероприятие в пандемийном 2021, я думаю можно верить. Главное, не конкурсы и пиво, хотя оно тоже будет, главное люди, среди которых я тоже планирую оказаться.
Организаторам удачи и терпения и чтобы всё получилось так как задумали.
https://twitter.com/bagder/status/1384147826133790724
Читать полностью…
Nick Russo подготовил новый обширный документ по дизайну сети, в этот раз удалённый доступ - VPN - IPv6 - защищённый контур/второй VPN. Подробно про среднюю часть "gray net", почему IPv6 и как сделать красиво. Что-то обязательно можно будет почерпнуть, даже если целиком дизайн не про вас. Забрать в PDF и не только это.