​Pktvisor: Open source tool for network visibility

NS1 announced that pktvisor, a lightweight, open source tool for real-time network visibility, is available on Github. Читать дальше.

Репыч на Гитхабе.

OVH открыли своё решение в области защиты доступа к инфраструктуре - The Bastion. А кому нужно попроще, можно обойтись Jump host, только про управление ключами не забыть.

Шпаргалка по полям /etc/passwd и /etc/shadow, только помним, что руками туда лазить не стоит.

Про механизмы перехода IPv4 -> IPv6 уже почти забыли. Кто помнит про Teredo, 6to4 давно deprecated, да и туннельные брокеры совсем не на слуху. На сцену выходят обратные решения из IPv6 в IPv4 и это о многом говорит.

Dual stack дороже по причине поддержки двух сетей, в одной из которой по прежнему выделены гигантские мощности под NAT. При этом затраты на него будут меньше, по сравнению с чистой IPv4 сетью, если рядом будет IPv6 куда пойдёт трафик, но это тоже траты.

#network #tcp

Как сделать узел проекта AS112 в Польше. И почему BIRDv2 лучше для этого чем FRRouting, даже не смотря на непохожесть своей конфигурации на весь остальной BGP мир. Понятный пример, как раз этой самой конфигурации есть в статье, чтобы было проще начать.

Для кого выходной не выходной и праздник не праздник, если вдруг заскучали можно на выбор:
- собрать небольшую лабу с 6PE на Juniper. Там местами итальянский, но большая часть это диаграммы и конфигурации, что понятно всем
- или погрузиться в историю Unix и почитать мануалы, правда в третьей редакции, но всё равно к оригинальной системе. Не находите, что мало что поменялось? 1973 год.

Глобальный проект вторичного DNS для всех желающих, если готовы доверять. От человека который пару лет назад просто хотел разобраться как работает Интернет, но видимо увлёкся.

Статистика задержек и запросов.

Пока сети строятся для людей и управляются людьми они должны быть им понятны. Отсюда возникают закономерности по которым можно понять их внутреннее устройство. Понятные и удобные имена в обратных зонах одна из таких вещей, даже больше - наличие читабельного имени в трассировке отличительная черта хорошей сети, одно из негласных соглашений. Конечно этим можно пользоваться, возможно это даже риск с точки зрения безопасности.

Очередная работа, в которой из имён хостов (маршрутизаторов) извлекается их принадлежность к AS. Почему бы не вытащит принадлежность к AS по IP адресу, ведь она будет однозначная? Это плохо работает на границе сетей, где стыковочный адрес может принадлежать не своей AS.

Это как-то странно, даже очень странно. Похоже на какой-то очень хитрый план. В целом офлайновый Cisco Day проходит хорошо, а вот зачем это делать так? Я точно не та целевая аудитория.

Cisco и системный интегратор LWCOM приглашают Вас стать участниками первой российской онлайн-встречи, которая пройдет в фантастических локациях игры Minecraft. В рамках встречи Вы узнаете об актуальных решениях Cisco в области информационной безопасности, современных системах управления сетевой инфраструктурой и поборитесь за призы в интерактивной викторине.

12 ноября 2020 на несколько часов участники и организаторы превратятся в персонажей вселенной Minecraft и будут действовать согласно законам игрового мира. Не упустите возможность стать частью уникального события!

Участие бесплатное, необходима предварительная регистрация и скачивание лаунчера -
https://ciscominecraft.ru

Вдогонку, я думаю в тему, про маркетинг. Но скорее вообще про ситуацию и подходы к построению сетей в современных датацентрах, где Arista "бьёт" Cisco, да и вообще whitebox'ы и софтверные решения задвигают железные подальше.

Как только в системе появляется второй сетевой интерфейс, то тут же открывается море возможностей и вариантов поведения, для каждой свои. Linux, например, по умолчанию, отвечает на ARP с любого интерфейса, что может приводить и приводит к проблемам. Для такой ситуации даже есть название - ARP Flux. Поэтому, внимательно смотрим на arp_announce и arp_ignore - это современный способ управления этим поведением, и добавляем в sysctl.

Инструмент для проверки домашних роутеров на уязвимости, провайдерам, в том числе, на заметку. Это одна из самых уязвимых точек в сети, которая часто ускользает из виду у всех: пользователей, провайдеров, вендоров. А если учесть, что там ещё и умный дом теперь приземляется... Прямая ссылка на GitHub.

​Я сильно привык к текстовым интерфейсам, те которые CLI и потребляю десятки страниц текста каждодневно, добрая часть которого состоит из различных примеров конфигурации и мне это удобно и понятно, это органично ложится и вписывается в канву повествования. Юзабилити, плюс минус, одинаково у многих - есть команды, есть их параметры.
Графические интерфейсы основаны на другом восприятии, надо пропустить это через картинку, слова не нужны, они мало информативны и очень много уходит на описание изображения, а не на факты и действия. Поэтому документация к ним занимает больше по объёму и сложнее воспринимается в формате повествования. Есть картинка, к ней пол страницы описания. И если она оказалась на той странице которую ты уже перевернул, то приходится не сладко. Из контекста вырвать, скажем кнопку, получается не очень. Не имея перед глазами рабочего инструмента, чтобы всё время повторять и видеть его, только читая, процесс обучения затягивается. Плюс много зависит от самого инструмента, насколько там всё интуитивно понятно, если нет - то зубрить приходится натурально не слова, а действия, тренировать мышечную память. C CUCM, в своё время, у меня вообще не сложилось в таком формате.
Итогом, хорошие обучалки для GUI - или видео, или интерактивные пособия. Хотел я сначала удивиться, что при настройке Site-to-Site VPN на Cisco ASA через ASDM предлагают видео посмотреть и пошутить про понятность интерфейса. А потом подумал, что других вариантов-то не особо и много и подход в целом оправдан. Но сторис всё равно чересчур, пусть даже код-ревью для некоторых будет поучительней под пристальным взглядом тимлида.

Кто не знал или пропустил, сейчас проходит ENOG. Второй день, трансляция стартует через 5 минут.

Сегодня на ENOG получился день докладов про RIPE и RIPE NCC - так что у кого есть вопросы или неясности, присоединяйтесь. https://www.enog.org/enog-17/ru/how-to-participate/
Сессии вопросов-ответов в конце каждого доклада предусмотрены

DoT в dig и BIND. В kdig уже это всё ооочень давно было, впрочем ISC всё равно можно поздравить. Следующий шаг DoH, но там двояко. По сути, надо веб клиента встраивать, коих и так уже не мало вокруг, но было бы удобно.

Отображение имени в адрес это не только DNS, а если и DNS то это не значит что запрос вообще покинул локальный хост или вышел дальше рабочего процесса. Как это работает в *nix с точки зрения программиста - хороший экскурс по подсистемам и библиотекам, которые используются при разрешении имён.

Если кому-то не хватает праздника - зоне .РФ 10 лет сегодня. Хотел вспомнить, но почему-то не смог ни одного сайта или ресурса в этой зоне который я хоть когда-то посещал. А вот про казусы мы уже писали.