​​DH Group на роутерах Mikrotik

Как показывает практика, что если с выбором шифров у многих обстоит еще более менее, то выбор группы Диффи-Хеллмана - вопрос гораздо более непонятный.

Начнем с начала. Алгоритм Диффи-Хеллмана, названный так по именам его разработчиков, применяется для реализации совершенной прямой секретности (PFS).

PFS предусматривает формирование уникальных сеансовых ключей для каждого сеанса, что не позволяет расшифровать трафик никому, кроме сторон сеанса, даже владельцу закрытого ключа.

Почему Диффи-Хеллман? Потому что данный протокол позволяет сторонам сформировать общий ключ шифрования не передавая его по каналам связи. Подробнее об этом можете прочитать в нашей статье:

Введение в криптографию. Общие вопросы, проблемы и решения

Но вернемся к нашим Микротикам. В настоящий момент поддерживаются следующие Группы Диффи-Хеллмана:

Group 1 768 bits MODP group
Group 2 1024 bits MODP group
Group 3 EC2N group on GP(2^155)
Group 4 EC2N group on GP(2^185)
Group 5 1536 bits MODP group
Group 14 2048 bits MODP group
Group 15 3072 bits MODP group
Group 16 4096 bits MODP group
Group 17 6144 bits MODP group
Group 18 8192 bits MODP group
Group 19 256 bits random ECP group
Group 20 384 bits random ECP group
Group 21 521 bits random ECP group

Все группы делятся на использование модульного экспоненциального алгоритма - MODP или эллиптических кривых - EC, последние являются предпочтительными.

В целом - чем больше номер группы, тем она надежнее. В настоящий момент группы 1 - 5 обладают малой длинной ключа и не считаются безопасными.

Отдельно следует сказать о группах 3 и 4 - использующийся в них алгоритм имеет уязвимости, поэтому данных групп следует избегать.

Последние рекомендации советуют для 128-битных шифров использовать группы 19 и 20, а для 256-битных и выше - 21 группу.

Но следует помнить, что шифрование - процесс обоюдный, поэтому группы DH следует выбирать с оглядкой на клиентов, которые могут не поддерживать выбранные вами группы.

Oraclе предупреждает!

Актуально для тех, у кого остались работающие виртуалки, но нет доступа в панель управления.

Журнал Академии Яндекса + IT = ❤️

Рассказывает об IT интересно с разных сторон: от поиска работы и найма до гиковских увлечений.

→ Поможет уверенно пройти собеседования, чтобы найти себя в компании мечты.
→ Расскажет, как эффективно настроить процессы на работе, чтобы всё успевать, не выгорать и трудиться с удовольствием.
→  Понятно объяснит «хардовые» темы в разработке (и не только) и вдохновит на новые увлечения и пет-проекты.

Вступайте в сообщество увлечённых айтишников🔥

Журнал Академии Яндекса

​​Как ходить туда куда надо и не ходить туда, куда не надо на роутерах Mikrotik.

В современных условиях для доступа к нужным ресурсам часто приходится использовать обходные пути, выборочно направляя трафик к разным ресурсам разными путями.

Небольшая подборка материалов о том, как это сделать:

🔹 Настройка выборочного доступа к сайтам через VPN на роутерах Mikrotik - простая статья о том, как заставить трафик ходит разными путями.

🔹 Настройка выборочного доступа к сайтам через VPN с автоматическим получением маршрутов по BGP на роутерах Mikrotik - если роутеров больше чем один, то можно автоматизировать передачу маршрутной информации для них.

🔹 Настройка черного и белого списков в роутерах Mikrotik - ну и черно-белый списки, куда же без них.

Анализируем отзывы на наш Помощник установки и обновления сервера 1С:Предприятие для Linux.

На Инфостарте предлагают реализовать:

Автоматическую загрузку дистрибутива
Включение и выключение отладки

Насколько нужны такие функции?

🔻 Голосование ниже 🔻

​​Настройка OpenVPN-сервера на роутерах Mikrotik в RouterOS 7

OpenVPN, при всех его ограничениях и недостатках реализации этой технологии в RouterOS пользуется высокой популярностью у владельцев роутеров Mikrotik.

И хотя, на наш взгляд, это не самое оптимальное решение для данного оборудования, игнорировать его популярность мы не можем, поэтому решили рассмотреть настройку OpenVPN сервера в среде новой версии RouterOS 7, где были сделаны ряд доработок и изменений.

В любом случае OpenVPN - только инструмент его выбор и применение полностью зависит от специалиста, который должен знать и понимать все сильные и слабые стороны.

https://interface31.ru/tech_it/2023/02/nastroyka-openvpn-servera-na-routerah-mikrotik-v-routeros-7.html

​​Tiny 11 - дело ZverCD живет и торжествует

Сегодня у нас будет довольно необычный обзор - на любительскую сборку Windows 11 под названием Tiny 11.

Чем же примечательна данная сборка? Да в принципе - ничем, кроме того, что о ней последнее время не пишет только ленивый и она уже успела попасть в ленты новостей и заголовки крупных сетевых изданий.

Нам обещают "облегченную" сборку Windows 11, которая будет способна работать даже на слабых ПК и местами уже слагают оды и поют дифирамбы. А как обстоит ситуация на самом деле? Давайте разбираться.

https://interface31.ru/tech_it/2023/02/tiny-11---delo-zvercd-zhivet-i-torzhestvuet.html

Игры в 1С? Да, есть и такое. Почему бы и нет, особенно если игры логические и не требуют сложной графики.

В данном случае можно поиграть в подкидного дурака. Компьютер играет по стандартному алгоритму, уровень сложности средний.

Информационная база с игрой в комментариях 👇👇👇

А вы знаете, каким Service Desk пользуются в Яндексе? 
Мы не знаем 🤷‍♂️
Зато знаем, какой российский сервис деск проверен и подходит для работы в *nix среде!
Это Service Desk Итилиум, первое российское решение по управлению услугами на платформе 1С, которое развивается аж с 2007 года. Это уже давно не noname. Продукт получил такую распространенность, что Итилиум изучают как эталонный Service Desk, созданный по принципам ITIL, в некоторых ВУЗах.
Итилиум не только полностью удовлетворяет требованиям работы в *nix среде, но и имеет адаптированную встроенную загрузку данных из Active Directory для работы по OpenLDAP протоколу на серверах с операционной системой Linux.
Итилиум можно запустить с нуля или мигрировать на него с Service Desk (в том числе импортного). В последнем случае можно выгодно воспользоваться акцией Trade In у разработчика: получить Итилиум за 1 рубль при обмене ПО! Но только до 28 февраля!
За подробностями — сюда: Итилиум по программе Trade-In

​​Настраиваем OpenConnect - совместимый с Cisco AnyConnect VPN сервер на платформе Linux

Особая разновидность VPN - это SSL VPN, протоколы, работающие с использованием SSL/TLS шифрования и неотличимые от обычного HTTPS-трафика.

К ним относятся Microsoft SSTP и CISCO AnyConnect, оба протокола проприетартные, но у последнего есть открытый совместимый аналог - OpenConnect.

SSL VPN в первую очередь рассматриваются как средство удаленного доступа, позволяя сотрудникам безопасно работать из любого места, где просто есть доступ в интернет, легко проходя через NAT, прокси и брандмауэры.

https://interface31.ru/tech_it/2022/04/nastraivaem-openconnect-sovmestimyy-s-cisco-anyconnect-vpn-server-na-platforme-linux.html

​​Используем адресные листы Mikrotik для сбора данных

Всем известны адресные листы в роутерах Mikrotik, основное назначение которых - упрощение созданий правил брандмауэра, используя в критериях вместо одного значения целый список.

Но адресные листы могут пригодиться не только для брандмауэра, но и для сбора определенных данных.

Сегодня обратился с вопросом коллега, он настроил перехват и перенаправление транзитных DNS-запросов на собственные сервера и заметил, что счетчики правил постоянно растут.

Вопрос был в том, как найти тех, у кого прописаны сторонние DNS.

В Mikrotik это сделать довольно просто: создаем правило, которое отлавливает пакеты к сторонним DNS-серверам и добавляем адрес источник в отдельный список.

Но есть некоторые моменты. Пакеты надо ловить на самом входе в роутер, до всех преобразований или действий с ними.

Для этих целей неплохо подходит Mangle prerouting, но помним. что сюда попадают все входящие пакеты, со всех интерфейсов. Поэтому сразу фильтруйте по требуемым условиям.

Один из вариантов правила может выглядеть так:

chain=prerouting action=add-src-to-address-list protocol=udp src-address=192.168.3.0/24 dst-address=!192.168.3.1 address-list=BAD_DNS address-list-timeout=none-dynamic dst-port=53 log=no log-prefix=""

Ставим его на самые верх и уже через некоторое время получаем список узлов указанной сети, которые обращались к любым другим DNS, кроме внутреннего.

В чем секрет успешного разработчика? В умении не только писать код, но и мыслить алгоритмами.

Именно на этом построено обучение на Хекслете. Мы не сторонники подхода «повтори за учителем». Вы будете не просто писать код, а научитесь самостоятельно находить лучшие решения и сформируете инженерное мышление.

На профессии «Django Python-разработчик» вы:
✔️ Научитесь работать с сетевыми запросами.
✔️ Овладеете навыком проектирования архитектуры приложений.
✔️ Освоите самый популярный веб-фреймворк Django.
✔️ Подготовите 4 проекта для портфолио на GitHub.
✔️ Решите 150 тестовых заданий от наших партнёров.

Хотите узнать, подойдет ли вам обучение? Тогда переходите на сайт по ссылке выше и сделайте шаг в IT уже сегодня.

🎁 Пройдите первые 10 бесплатных уроков из профессии и получите дополнительно скидку 10%

​​Настраиваем двойной горизонт DNS (Split DNS) на роутерах Mikrotik

Двойным горизонтом DNS (Split DNS, разделенный DNS) называется такая организация системы доменных имен, когда различным клиентам предоставляется различные наборы информации в зависимости от некоторых условий.

Например, в зависимости от исходного адреса DNS-запроса или запрашиваемого домена. Это простой, но в тоже время удобный инструмент, позволяющий гибко управлять пространством имен с минимальной нагрузкой на оборудование.

В данной статье мы рассмотрим как настраивать двойной горизонт DNS на роутерах Mikrotik.

https://interface31.ru/tech_it/2023/02/nastraivaem-split-dns-na-routerah-mikrotik.html

​​Что почитать на выходных? Можно про импортозамещение и отечественный Linux.

1️⃣ Эльбрус - это интересно, но весьма печально:

🔹 ОС Эльбрус 3.0 доступна для скачивания или что это было?
🔹 ОС МЦСТ Эльбрус - время идет, ничего не меняется...

2️⃣ Астра - неплохо, но не для всех. Лидер сегодняшнего импортозамещения:

🔹 Astra Linux 2.12 Orel - избавляемся от стереотипов о российском ПО
🔹 Обзор Astra Linux SE 1.7 Орел

3️⃣ ROSA - как получить хорошее наследство и пр@#$%ть его:

🔹 ROSA Linux - продолжаем знакомиться с российскими ОС
🔹 ROSA Fresh Desktop 12 - если честно, то уже и не ждали...
🔹 ROSA Fresh Desktop 12 Gnome - для тех, кому хочется свежести

4️⃣ ALT - пожалуй лучший российский Linux:

🔹 Обзор российских ОС Альт Рабочая станция 9 и Simply Linux
🔹 Simply Linux 10 - ненавязчивый советский сервис
🔹 Обзор российских ОС. Альт Рабочая станция 10
🔹 Обзор российских ОС. Альт Рабочая станция К 10
🔹 Альт Образование 10 или чему учат в школе

5️⃣ Системы разные нужны, системы разные важны:

🔹 РЕД ОС 7.3 Муром - просто хорошая система
🔹 Российская система ОСнова - как основа защищенной инфраструктуры

6️⃣ Когда хочется странного...

🔹 Calculate Linux или "получилось как всегда..."
🔹 Ульяновск.BSD - наш суровый ответ пингвинам!

7️⃣ А бывает и такое...

🔹 AlterOS - темные воды отечественного импортозамещения

Какая IT-профессия вам подходит?

Многие люди работают на нелюбимой работе, к которой их привели рекомендации родителей или свободные вакансии в их городе. В сфере же IT имеется более 20 разных востребованных профессий, на каждой из которых работают люди с разными талантами и особенностями.

Бесплатный проект «IT-рентген» поможет вам сделать осознанный выбор профессии, чтобы задачи в работе были интересны, карьерное развитие вдохновляло, а работа приносила финансовую стабильность.

Мы уже собрали все необходимые для вас инструменты: мини-курсы, гайды, опыт экспертов.

Начните с небольшого теста, а затем на бесплатных уроках попробуйте себя в деле: напишите код, сделайте дизайн, создайте сайт, освойте азы аналитики и управления проектами.

Пройти тест бесплатно

​​Нужен ли настольному Linux антивирус?

Сегодня один из наших читателей посетовал, мол все хорошо в Linux, но вот беда, нет нормальных антивирусов.

А нужен ли Linux антивирус? На наш взгляд проблема антивируса для Linux на сегодня надумана.

Почему? Причина кроется в самой архитектуре этой операционной системы и заложенных с незапамятных времен базовых принципов безопасности.

Один из них: это установка ПО только из доверенных источников – репозиториев. Сейчас к ним добавились еще и каталоги универсальных программ: Snap, Flatpak, AppImage. В настольных системах это чаще всего оформлено в виде магазинов, что позволяет пользователю закрыть вопрос выбора программ, не покидая собственной экосистемы.

Потому как основной путь попадания вредоносного ПО в систему – это исполняемые файлы из сомнительных источников. При том, что в мире Linux скачивание и установка пакетов непонятно откуда никоим образом не приветствуется и прямо осуждается.

Тем более, что распространять софт в пакетах, в обход репозиториев и не принято, если только это не коммерческий софт.

Второй важный момент – это подход к запуску файлов. Если в Windows это определяется расширением и EXE или BAT будут при двойном клике обязательно запущены, то в Linux, со стандартной маской 0022 для пользователя, файлы будут созданы без признака исполняемого.

Т.е. запустить их двойным кликом не удастся, даже если это скрипт или бинарник. Вам придется явно разрешить исполнение файла, либо запустить его через командный интерпретатор.

А практически все графические оболочки позволяют настроить действие по умолчанию для исполняемых файлов, чтобы предотвратить их возможный запуск двойным кликом (если вы все-таки сделали файл исполняемым).

Таким образом, соблюдая элементарную цифровую гигиену в Linux можно не опасаться вредоносного ПО в том его виде, которое досаждает пользователям настольного Windows. Главное – не запускать на исполнение сомнительные файлы из сомнительных источников.