​​DoT и DoH - в чем разница?

DNS-over-TLS (DoT) - специальная реализация протокола DNS c TLS защитой. Согласно стандарта для этой службы выделен отдельный порт 853. Технически это инкапсуляция стандартных DNS-запросов в TLS.

🟢 Из плюсов - лучшая управляемость, так как благодаря отдельному порту системные администраторы могут контролировать использование этого протокола.

Еще один плюс - хорошая обратная совместимость, не нужно переписывать софт, так как используются стандартные запросы, нужно только реализовать поддержку TLS.

🔴 Из минусов - обратная сторона плюсов, DoT трафик легко перехватить и заблокировать (но не расшифровать).

DNS-over-HTTPS (DoH) - принципиально иная реализация защиты DNS, когда поставлена цель сделать DNS-запросы неотличимыми от обычного HTTPS-трафика.

В DoH для передачи DNS-запросов используется протокол HTTP/2 и по сути это некое веб API для передачи DNS данных. Поэтому отличить DoH от обычного HTTPS трафика решительно невозможно.

🟢 Из плюсов - невозможно отличить от HTTPS трафика и осуществлять выборочный перехват и блокировку DNS-запросов

🔴 Из минусов - серьезные затруднения для системных администраторов, которые не могут выделять и контролировать DNS-запросы пользователей.

Второй минус - необходимость серьезной доработки софта, так как вместо стандартных запросов требуется реализовать поддержку работы с HTTP/2

Вы покупаете супер-пупер быстрый и современный NVMe, после чего в вашем корпусе появляется противная мелкая жужжалка.

А вообще история идет по кругу. Уже проходили такие вентиляторы и на чипсетах и на видеокартах. Ничего хорошего от них не было.

Шумели сильно, жили недолго. Но это другое, это же топ, это же для энтузиастов и тех, кто может себе позволить... 😉

22 и 29 марта ИТ руководители ВсеИнструменты.ру, Фаберлик, ADV Group, Актион поделятся уникальным опытом построения Disaster Recovery решений.

Приглашаем на серию вебинаров, объединенных общей темой:
Как Disaster Recovery спасает ИТ и бизнес в эпоху возросших рисков.

Планируем обсудить:
- Подходы к выбору ИТ-архитектуры при построении Disaster Recovery решений с учетом требований и уровня критичности систем; 
- Best practice из разных сфер бизнеса; 
- Практические моменты при запуске DR (сеть, ИБ, мониторинг и др.);
- Способы решения возникающих проблем;
- Обзор инструментов для DR в 2023 году.

Участие бесплатное.
Посмотреть программу и зарегистрироваться.

​​Mikrotik и несколько провайдеров. Резервирование каналов

Зависимость нормальной работы предприятия от доступа в сеть интернет сегодня приобретает критический характер и перебои в работе провайдера могут привести к реальным убыткам или простою рабочих процессов, поэтому многие подключают резервные каналы других поставщиков услуг, чтобы использовать их для резервирования или балансировки нагрузки.

В данном цикле статей мы рассмотрим работу с несколькими провайдерами на оборудование Mikrotik и сегодня расскажем про различные способы резервирования, а также их достоинства и недостатки.

https://interface31.ru/tech_it/2023/03/mikrotik-i-neskol-ko-provayderov-rezervirovanie-kanalov.html

Хорошая новость для поклонников FAR, наконец-то программа добавлена в репозитории Debian, так что скоро просто:

apt install far2l

Обещают уже в Ubuntu 23.10

https://habr.com/ru/post/724118/

Навеяло на фоне некоторых комментариев к прошлому посту.

Что такое эффект Даннинга- Кюгера можно прочитать хотя бы Википедии:

https://ru.wikipedia.org/wiki/Эффект_Даннинга_—_Крюгера

Как построить сеть на решениях российских вендоров
 
На ИТ-рынке представлены десятки решений отечественных производителей сетевого оборудования. Однако есть ли у них тот функционал, к которому привыкли пользователи решений зарубежных вендоров? И соответствует ли отечественное оборудование требованиям к сетям передачи данных (СПД)?

⏰ 28 марта в 11:00 присоединяйтесь к вебинару, чтобы узнать:

📌Как с помощью российского оборудования можно расширить СПД и подключить к корпоративной сети новый офис
📌Выводы по результатам тестирования ряда отечественных решений

Для кого вебинар:
▪️Сетевых архитекторов и инженеров
▪️Руководителей ИТ-подразделений

✅ Зарегистрироваться на мероприятие

​​Диагностика правил брандмауэра Mikrotik

Часто бывает так, что конфигурация брандмауэра работает не так, как предполагалось и поэтому приходится заниматься диагностикой.

С чего начать? Со счетчиков, если счетчики правила не изменяются, значит трафик, попадающий под критерии в него не доходит.

В этом случае делаем копию правила и обязательно включаем лог. Потом переносим его в самый верх - если счетчики пошли, то хорошо. Если нет - то вы неверно указали критерии. В этом случае убираем по одному и находим тот, из-за которого правило не работало.

Потом начинаем опускать его вниз и проверяем работоспособность. Не забываем каждый раз сбросить счетчик.

Как только правило перестало работать - начинаем разбираться почему. Можем точно также начать убирать критерии и смотреть какой из них неверный.

А можем убрать сразу все критерии и в логе посмотреть какие пакеты сюда доходят, иногда именно после этого все становится ясно.

Теперь о том, как убирать и добавлять критерии. Есть критерии общие, а есть частные. Общими являются те критерии, под которые попадают большинство проходящих правило пакетов, например интерфейсы входа и выхода.

Потом идут более узкие критерии, скажем, протокол и еще более узкие, такие как порт.

Поэтому убирать критерии начинаем частных к широким, добавляем наоборот.

А если ничего не помогает? То смотрим в правило, после которого перестало работать, возможно неверные критерии выставлены именно в нем.

Другая ситуация - все работает как надо, а счетчик правила не работает. В этом случае выше срабатывает какое-то обобщающее правило.

В этом случае делаем копию правила и передвигаем его наверх до тех пор, пока не заработает счетчик. После чего анализируем правило ниже.

А дальше есть два варианта. Ваше правило избыточно и достаточно обойтись одним обобщающим, либо текущее правило построено неверно и в него попадает лишний трафик.

Жизненно...

⚡️⚡️ Ложные срабатывания Defender на RAR-архивы

Первый раз с таким поведением столкнулся вчера, на удаленном ПК заказчика, но так как архив был в папке Загрузки, то не стал рисковать и с антивирусом согласился. Хотя архив был довольно безобидный (сегодня восстановил и посмотрел) - несколько сканов в PNG.

Сегодня столкнулся у себя, запаковывал в RAR только что выгруженную базу 1С. Как только попытался загрузить в облако - антивирус заругался.

На стороне заказчика такая же фигня, Defender начал ругаться на архив.

Ладно, берем тот же самый файл, запаковываем повторно. И что? И ничего, тишина. Перепаковал еще несколько раз и примерно после пятой попытки снова получил срабатывание.

🤷‍♂️ Что это и с чем связано - непонятно, будьте осторожны и внимательны. 🤷‍♂️

​​Еще раз про Load Average и логические / виртуальные ядра

Сегодня в очередной раз столкнулся с неверным пониманием такого важного параметра, как Load Average.

Уже неизвестно откуда пошла такая теория, что логические, а тем более виртуальные ядра искажают значение LA просто потому, что они «ненастоящие». Но она оказалась живучей и до сих пор бродит в IT-среде как призрак коммунизма.

На самом деле это не так, потому что Load Average – это не физический параметр и тем более не показатель нагрузки на CPU или его производительности.

Это относительное значение, показывающее доступность вычислительных ресурсов в системе.

Мы знаем, что процессор выделяет каждому нуждающемуся в вычислениях процессу некоторое время, называемое тиком, в течении которого процесс получает доступ к вычислительным ресурсам ЦПУ.
Если мы возьмем некоторое время, а при вычислении LA берется промежуток из 5000 тиков, то это самое количество тиков мы можем принять за 100% или единицу.

Таким образом значение 1 для LA означает, что все тики были отданы процессам, но очереди не возникло. А если LA = 0.25 – то это значит, что процессы использовали только четверть доступных тиков.

А если процессов больше, чем доступных тиков? Возникает очередь и LA начинает принимать значения выше единицы. При этом LA > 1 вовсе не означает недостатка именно процессорных ресурсов, процесс может не использовать свой тик по причине ожидания, например, дискового ввода вывода.

Таким образом тормозная дисковая подсистема также может сильно увеличить значение LA при фактическом простое процессора.

Корректно ли это? Да, корректно, так как процесс нуждается в вычислительных ресурсах, но не может их получить, по какой причине – это уже совсем отдельная история.

Что будет если мы добавим еще одно ядро, не важно физическое, логическое или виртуальное. У нас появятся еще 5000 тиков и полной нагрузке на систему будет соответствовать LA = 2.

Означает ли это, что производительность выросла вдвое? Нет. Производительность зависит от того, сколько операций за единицу времени может выполнить конкретное ядро.

Но теперь за одну и ту же единицу времени доступ к CPU получат уже не 5 000, а 10 000 процессов. А, как известно, лучше плохое ехать, чем хорошо стоять.

Таким образом максимальный LA всегда считается по количеству доступных системе ядер, а их происхождение неважно.

https://interface31.ru/tech_it/2016/06/linux-nachinayushhim-chto-takoe-load-average-i-kakuyu-informaciyu-on-neset.html

Продолжают задавать вопросы по маршрутизации и маркировке пакетов в RouterOS 7, например, для выборочного обхода блокировок или работы с несколькими провайдерами.

Нашел хорошую презентацию с MUoM от Владимира Кузнецова:

https://mikrotik-training.ru/files/MUoM/2021/kuznetsov.pdf

​​Актуализировали и обновили статью:

Настройка сети в Linux при помощи Netplan

Напомним, что netplan - это новый инструмент настройки сети, который применяется в Ubuntu начиная с версии 18.04.

Основная цель - это упрощение настройки сети в различных системах. Вы один раз описываете сетевую конфигурацию в декларативной форме, а потом netplan сам применит ее к используемому сетевому менеджеру.

Из практических плюсов netplan - это возможность протестировать конфигурацию перед ее использованием, что очень ценно при удаленной работе.

​​Mail-in-a-Box - еще одна сборка для создания почтового сервера

Данный продукт достаточно серьезно отличается от других сборок и направлен, прежде всего, на создание стандартной, полностью автономной почтовой системы на выделенном сервере.

Вариативности практически нет, поддерживается только Ubuntu 22.04 и настроить устанавливаемую конфигурацию нельзя. При этом Mail-in-a-Box старается перетянуть на себя решительно все функции, включая NS-сервера для вашего домена.

В чем-то это может быть и оправдано, потому что из коробки предлагаются очень расширенные настройки в т.ч. и для DNS-зоны с автоматическим созданием настроек для автообнаружения и многих других современных почтовых фишек.

Для автоматизации администрирования есть API, что может упросить и облегчить многие задачи.

С другой стороны настроек откровенно немного, предлагается либо согласиться с видением разработчиков, либо еще раз согласиться. Ручные правки конфигурации отслеживаются и откатываются собственной службой проверки.

Что касается пользовательских интерфейсов, то тут не все так гладко. Снова жизнь на два дома. В качестве веб-почты используется Roundcube, а для календарей и контактов Nextcloud.

В целом решение неоднозначное, но довольно интересное и может пригодиться тем, кому нужен современный почтовый сервер, но вникать в его настройки нет времени, желаний и отсутствуют глубокие знания предметной части.

👍 Скоро будет статья

Linux и AI

Как легко прокачать linux терминал с помощью СhatGPT

Или попрощайтесь с ChatGPT — попробуйте OpenSource альтернативу, работающую локально

Imagemagick размывает 16x upscale - как на счет свободного AI инструмента с идеальной чёткостью

Всё это и события индустрии AI в нашем бодром телеграме

Откройте для себя AI — подпишитесь на Future AI Today прямо сейчас!

Alert: текст и изображение этого поста сгененрированы AI

​​Как правильно настроить DNS-записи для мультидоменного почтового сервера

Системы электронной почты крайне чувствительны к правильной настройке DNS и этот момент часто вызывает затруднения у начинающих администраторов.

Еще больше вопросов возникает если почтовая система обслуживает сразу несколько доменов.

Чтобы каждый раз не отвечать одно и тоже, а также чтобы окончательно расставить все на свои места мы решили написать эту небольшую статью.

Надеемся, что после ее прочтения у вас не возникнет трудности с настройкой DNS-записей для мультидоменной системы электронной почты.

https://interface31.ru/tech_it/2023/03/kak-pravil-no-nastroit-dns-zapisi-dlya-mul-tidomennogo-pochtovogo-servera.html