Потом я переключился на
Сейчас я всегда ставлю
Я не вижу причин которые должны были бы вас остановить делать как удобно именно вам, но
.1
, когда стал работать и так было там принято, что по началу меня это даже раздражало. Я не знаю логического объяснения ни тому ни другому :) хотя могу придумать: в первом случае мы прячем всё служебное подальше с глаз долой, чтобы было проще достукиваться до хостов сети и "нормально" их нумеровать, во втором случае мы вытягиваем шлюз вперёд, потому что он играет более важную роль чем хост, это ещё заметно при автоматическом сканировании, когда важно чтобы какие-то адреса попадали в первые ряды в системе мониторинга. Сейчас я всегда ставлю
.1
, точнее первый доступный хост, маски /24
остались в домашней сети, одновременно с этим резервируя место в начале и в конце адресов на восемь. Например, в случае FHRP
, адреса на физических интерфейсах я нумерую с конца, виртуальный остаётся в начале, а если сеть маленькая, то всё попадает вперёд.Я не вижу причин которые должны были бы вас остановить делать как удобно именно вам, но
.254
я действительно давно не встречал.👍7👎3
Даже если не слышно про какие-то новые и прорывные технологии в сетях это не значит что мы их скоро не увидим, кризисы - время для фундаментальных исследований. Aruba на 2023 год видит следующие тренды, во многом это всё плавно вытекает из всех предыдущих лет где мы бились за автоматизацию и программно-определяемые сети, конечно, не забывая про безопасность.
Из упомянутого, я до сих пор не вижу ничего из
Из упомянутого, я до сих пор не вижу ничего из
IoT
, но на него все продолжают ставит и, возможно, мы увидим какой-то колоссальный взрыв в бытовом сегменте. Про анализ пользовательского опыта и SLA
на его основе, тоже очень давно говорят и это тоже ещё глубоко зарыто. ИИ который, конечно, упомянули с этим может очень хорошо помочь, да и с многим чем ещё. Осталось дождаться конкретных массовых решений.HPE Aruba Networking
Top 6 networking trends for 2023
Discover the technology trends, challenges, and opportunities that will define 2023 and beyond. Read the report to discover the insightful networking predictions made by David Hughes, Aruba Networks Chief Product and Technology Officer.
👍1
BPF как официальный стандарт, возможно, ждёт нас в будущем. Но и без этого можно применять.
lwn.net
Standardizing BPF
The extended BPF (eBPF) virtual machine
allows programs to be loaded into and executed with the kernel — and,
increasingly, other environments. As the use of BPF grows, so does
interest in defining what the BPF virtual machine actually is. In an
effort…
allows programs to be loaded into and executed with the kernel — and,
increasingly, other environments. As the use of BPF grows, so does
interest in defining what the BPF virtual machine actually is. In an
effort…
👍2👎2
Собираем кластер из двух Firepower 9300 на 6 нод ASA. В принципе, в ASA самой по себе удачно механизм кластеризации реализован, могу ещё и Palo Alto за это похвалить - всё что я ожидаю резервирование, обновление, работает без перерыва функционала. А вот с Juniper никак у меня не сложится обновить ноды по очереди не потеряв трафик.
👍3👎1
Моя первая автоматизация, которой я действительно пользовался не один раз была написана на
Perl
, но это же был и последний раз, внезапно, на TCL
я написал больше кода. Perl можно пользоваться и в перечисленных причинах есть смысл, но минус, при всей его повсеместности, он не широко популярен сейчас, что лишает вас возможности задать вопрос или встретить пример решения вашей задачи случайно в какой-то статье именно на Perl
. При всём при этом я видел очень большие рабочие системы на Perl
в современности и людей для которых он был основным инструментом. Поэтому чтобы пользоваться Perl
надо захотеть начать пользоваться Perl
, а для этого не нужны никакие причины, как и для любого другого языка. Текущий язык повседневных сценариев у меня Bash
, по той же причине повсеместности и даже больше - он уже, как правило, запущен при входе в систему, а Perl
надо ещё запустить.Two-Wrongs
Why Perl?
👍6👎6
Я не знаю почему меня так смущает термин МСЭ, который всё чаще и чаще появляется везде, коверкать язык и писать брэндмауэр или файрвол (не уверен что правильно написал), сложно, но выглядит это как-то органичнее и это при том что я стараюсь. Да, жаргон и жаргонизмы не только являются быстрым способом объяснить какое-то понятие для посвящённых, но и идентификатором свой-чужой. Порой одинаковое явление имеет разную терминологию в разных социальных средах, условно админов и программистов или сетевиков, хороший пример NAT терминология, тогда друг друга никак не понять.
От этого лучше избавится при трансляции чего-то на широкую публику, поэтому какие-то жаргонизмы очень странно порой выглядят в пресс-релизах пусть и профильных компаний, не говоря уже о гос.структурах. А к МСЭ, видимо, придётся привыкнуть, но вот “многоадресная рассылка” так и не зашла.
От этого лучше избавится при трансляции чего-то на широкую публику, поэтому какие-то жаргонизмы очень странно порой выглядят в пресс-релизах пусть и профильных компаний, не говоря уже о гос.структурах. А к МСЭ, видимо, придётся привыкнуть, но вот “многоадресная рассылка” так и не зашла.
POTs and PANs
Jargon
There is a good chance that if you are reading this blog that you are well versed in a fair amount of telecom industry jargon. I do my best in writing this blog to stay from as much jargon as possi…
👎5👍3
Облака дорожают, но уйти из них не так просто, датацентры тоже дорожают да и за выход придётся заплатить, это такой же сложный процесс как и вход. Но у некоторых получается, если нагрузка предсказуема, а сервисы облачной аналитики не играют для вас никакой роли.
The Register
Just because on-prem is cheaper doesn’t make the cloud a money pit
Oh and expect to DCs to get more expensive, not less, analysts warn
👍1
Forwarded from AlexRedSec
Сегодня первый четверг мая, а значит пора отмечать Всемирный день пароля!
Когда же на смену этому дню придет Беспарольный день? Судя по таблице, с каждым годом пароль надо делать все длиннее и длиннее, а значит аутентификация без пароля будет становиться всё более востребованной.
Когда же на смену этому дню придет Беспарольный день? Судя по таблице, с каждым годом пароль надо делать все длиннее и длиннее, а значит аутентификация без пароля будет становиться всё более востребованной.
👎3👍2
3 Апреля изменился формат файлов дампов BGP, которые формируются Routing Information Service, вот тут технические детали. Результатом стало значительное, в 3 раза, уменьшение размера файла полного дампа и ещё более значительное уменьшение времени его формирования, от двух часов до 10-15 минут. Ввиду таких приятных изменений я поменял время оповещения в @FullViewBGPbot на 4, 12 и 20 часов по Москве, что ближе к фактическому времени снятия дампа и заодно добавил немного каждодневной информации по статистике, что пользователи бота уже заметили.
ris.ripe.net
RIPE Atlas docs | Per-RRC BGP dump files | Docs
The RIS Docs Center
👍10
RFC9386 - про внедрение
IPv6
, в разрезе с разных точек. Наверное, ничего нового для многих, но собрано в одном месте.www.rfc-editor.org
RFC 9386: IPv6 Deployment Status
This document provides an overview of the status of IPv6 deployment in 2022.
Specifically, it looks at the degree of adoption of IPv6 in the industry,
analyzes the remaining challenges, and proposes further investigations in
areas where the industry has…
Specifically, it looks at the degree of adoption of IPv6 in the industry,
analyzes the remaining challenges, and proposes further investigations in
areas where the industry has…
👍1
Почему защита от спуфинга IP адресов плохо внедряется операторами, потому что операторам от этого ни тепло ни холодно. А что нужно сделать чтобы операторы стали это внедрять? Надо их пристыдить, может они одумаются. Помимо этого, в статье есть обзор инструментов для проверки наличия возможности спуфинга в сети.
Кроме как операторам, владельцам граничных AS, фильтровать особо и негде. На транзите с фильтрами маршрутов не всегда удаётся справиться, а уж фильтровать трафик с миллион неизвестными параметрами, точно никак. Поэтому, если у вас есть AS, то фильтруйте - не выпускайте ничего из своей сети с не вашими адресами, и не впускайте ничего в неё с вашими. На самом деле, я даже за провайдеров не уверен, что многие настроили такие фильтры. За хостинги и корпоративные сети вообще не уверен: мой хостинг позволяет спуфить, а в моей рабочей сети подобные фильтры появились только с моим приходом. На NAT тоже не надейтесь, он бывает разный.
Кроме как операторам, владельцам граничных AS, фильтровать особо и негде. На транзите с фильтрами маршрутов не всегда удаётся справиться, а уж фильтровать трафик с миллион неизвестными параметрами, точно никак. Поэтому, если у вас есть AS, то фильтруйте - не выпускайте ничего из своей сети с не вашими адресами, и не впускайте ничего в неё с вашими. На самом деле, я даже за провайдеров не уверен, что многие настроили такие фильтры. За хостинги и корпоративные сети вообще не уверен: мой хостинг позволяет спуфить, а в моей рабочей сети подобные фильтры появились только с моим приходом. На NAT тоже не надейтесь, он бывает разный.
👍5
Про один из новых механизмов работы Великого Китайского файрвола. Старые механизмы тоже упомянуты, какие-то, как активное сканирование, даже проверены. Суть - подобранные эмпирическим путём правила, которых исследователи нашли 5 штук, позволяют блокировать неизвестные протоколы шифрования ориентированные на сокрытие трафика. По большому счёту правило одно: трафик который выглядит как случайный блокируется. При этом, вероятность ошибки подобранных правил блокировки
Предлагаются и способы преодоления данного типа блокировок. Но теперь об этом знают и разработчики, это кстати интересный эффект публичности, и, наверное, скоро надо будет искать новые варианты обхода. Пока же, с Марта месяца, данный механизм не работает, но это конечно не значит что не заработает снова или кто-то не возьмёт его себе на вооружение.
0,6%
. Известные протоколы определяются отдельно и отдельно же анализируются, но это к тем механизмам которые работают уже давно. Работает всё только с исходящим трафиком в котором проверяется только TCP
и первый пакет в сессии с некоторой вероятностью, а степень покрытия разных частей Интернета разная.Предлагаются и способы преодоления данного типа блокировок. Но теперь об этом знают и разработчики, это кстати интересный эффект публичности, и, наверное, скоро надо будет искать новые варианты обхода. Пока же, с Марта месяца, данный механизм не работает, но это конечно не значит что не заработает снова или кто-то не возьмёт его себе на вооружение.
👍6
У всего есть оборотная сторона. Как безопасность внедрённая в DNS может не очень хорошо сказаться на других аспектах, порой на тех с которыми и боролись - централизация, ухудшение возможности анализировать нарушения безопасности, сокрытие злонамеренных действий, повышение риска отключения большей части ресурсов в случае действий государств, усложнение жизни конечным пользователям.
APNIC Blog
DNS privacy vs… | APNIC Blog
Guest Post: Investigating tensions that impact the public interest, introduced by DNS privacy measures.
👍4
Спуфить спутники, конечно, не так просто как спуфить IP адреса, но вполне себе осуществимо за разумную цену из доступных элементов. Авторы всю работу считают мощность сигнала, стараясь его минимизировать, которым надо заменить орининальный сигнал со спутника, чтобы приёмник ничего не понял и принял всё за чистую монету. Учитываются, в том числе, и направленные антены и шум. В, итоге, на расстоянии 100 метров до приёмника можно подменить всё что хочешь, а для некоторых типов систем можно и за 8км быть до приёмника, чтобы успешно передавать собственный сигнал взамен настоящего.
Если вы не шифруете данные со спутника, а с этим в основном всё плохо, то можно применить некоторые другие методы чтобы себя в какой-то мере обезопасить, в публикации они тоже приводятся.
Если вы не шифруете данные со спутника, а с этим в основном всё плохо, то можно применить некоторые другие методы чтобы себя в какой-то мере обезопасить, в публикации они тоже приводятся.
ora.ox.ac.uk
Satellite spoofing from A to Z: on the requirements of satellite downlink overshadowing attacks - ORA - Oxford University Research…
Satellite communications are increasingly crucial for telecommunications, navigation, and Earth observation. However, many widely used satellites do not cryptographically secure the downlink, opening the door for radio spoofing attacks. Recent developments…
👍4
Патчкорд
Перед новым годом я предпринял 100500 попытку пересесть на Vivaldi и пока остаюсь на нём. Это не рекомендация, скорее наоборот, вам нужно очень сильно полюбить Vivaldi, чтобы пользоваться этим браузером более менее постоянно. Я даже не могу объяснить что не…
Так, с почтой Vivaldi закончили, а как бразуер ещё поживёт. Вернулся обратно на Thunderbird по причине внезапной пропажи половины моих ящиков, всех фильтров и
RSS
из интерфейса. В настройках всё осталось и на диске все данные целы, но достучаться до них никак. Базовые вещи включить/выключить, переставить - не помогли. Я конечно ещё покопаюсь, но без почты мне тяжко, поэтому переехал. При том, что как сделана почта в Vivaldi мне нравится: лаконичный интерфейс, каждое письмо в отдельном eml
файле, что мне и позволило очень быстро накопившийся архив забрать с собой. За неполные 5 месяцев почти 1000 сообщений которые я сразу не удалил, из них 3 от живых людей, которые были продублированы по другим каналам, а остальное уведомления и чеки, реклама, подписки, на списки рассылки я не подписан. В общем ничего полезного для домашнего использования, но привычка смотреть каждый день в почту ещё сильна.👍2
Кровавый энтерпрайз be like:
1. 100500 систем управления и учёта с премиум подпиской
2. Половина из них на ранней стадии запуска, половина выводится из эксплуатации
3. Отклик 200мс
4. Доступ только к половине нужных инструментов и только в ручном режиме без API и пакетного выполнения
5. Менеджеры и аналитики доступа к интерфейсу не имеют или "не умеют" пользоваться
5. Команда автоматизации занята совмещением несовмещаемого, возможно умеют программировать
6. С тобой они не общаются и в твоей работе не разбираются
7. Половина данных не актуальна, половина отсутствует
8. Иногда "индус" из автоматизации случайно стирает первую половину
7. Пытаешься актуализировать данные, для чего поднимаешь локальные системы
8. 100500 локальных систем автоматизации, учёта и мониторинга без премиум подписки
9. Половина из них на ранней стадии запуска, половина выводится из эксплуатации
10. Периодически антивирус блочит твои скрипты и ты получаешь выговор от команды безопасности
...
Заполняешь форму ежемесячного отчёта в Excel вручную копируя данные и подбивая статистику
1. 100500 систем управления и учёта с премиум подпиской
2. Половина из них на ранней стадии запуска, половина выводится из эксплуатации
3. Отклик 200мс
4. Доступ только к половине нужных инструментов и только в ручном режиме без API и пакетного выполнения
5. Менеджеры и аналитики доступа к интерфейсу не имеют или "не умеют" пользоваться
5. Команда автоматизации занята совмещением несовмещаемого, возможно умеют программировать
6. С тобой они не общаются и в твоей работе не разбираются
7. Половина данных не актуальна, половина отсутствует
8. Иногда "индус" из автоматизации случайно стирает первую половину
7. Пытаешься актуализировать данные, для чего поднимаешь локальные системы
8. 100500 локальных систем автоматизации, учёта и мониторинга без премиум подписки
9. Половина из них на ранней стадии запуска, половина выводится из эксплуатации
10. Периодически антивирус блочит твои скрипты и ты получаешь выговор от команды безопасности
...
Заполняешь форму ежемесячного отчёта в Excel вручную копируя данные и подбивая статистику
👍21👎1
Ещё один сервис для отслеживания состояния Интернета с прицелом на Россию, и статья с описанием на Habr. Из интересного: привязка
ASn
к компании владельца и динамика по ASn
. Обязательно надо вспомнить что уже давно есть IDIDB, там тоже много про Рунет.Хабр
Запустили новый сервис Setewiki
Инструменты сервиса Setewiki позволят лучше понимать, как работает интернет в России, какие провайдеры являются основными и как связаны различные автономные системы (АС) между собой. Они...
👍4
Автор ловит неожиданное поведение на своих настройках с анонсами BGP и лечит это перезагрузкой. А если что-то лечится перезагрузкой, значит у вас нет проблем :). Вообще, с
Но проблема с зомби маршрутами, в самом деле, не такая простая. Не так давно я делал тотальный переезд с одних провайдеров на другие и даже через неделю, всё ещё, продолжал видеть маршруты через свои старые физически выключенные апстримы. Немного, конечно, и незначимо в моём случае, но это в моём.
BGP
лучше перестраховаться и задать самые жёсткие условия которые возможно, не надеясь на поведение по умолчанию. Как это сделать с Juniper вариантов много, о чём в самом конце и написано.Но проблема с зомби маршрутами, в самом деле, не такая простая. Не так давно я делал тотальный переезд с одних провайдеров на другие и даже через неделю, всё ещё, продолжал видеть маршруты через свои старые физически выключенные апстримы. Немного, конечно, и незначимо в моём случае, но это в моём.
Daryll Swer
Navigating a BGP Zombie Outbreak on Juniper Routers – Daryll Swer
A small article detailing an observation on BGP Zombies in Juniper platform.
👍3👎1
Сложно не согласится что в текущих условиях без IPv4 никуда. Много и подробно о том как и что мы измеряем в проникновении
IPv6
и как это соотносится с реальной картиной которую мы видим вокруг, за рамками первого десятка сервисов. В любом случае, мы все туда настойчиво двигаемся и с этим тоже сложно не соглашаться. Также, у автора есть честный измеритель проникновения, по нескольким странам.Flameeyes's Weblog
IPv6 In Real Life
I have built quite the reputation as an IPv6 contrarian over the years, particularly as I yearly criticize FOSDEM for describing their dual-stack network as a “legacy” network. As I kee…
👍2