Потом я переключился на .1, когда стал работать и так было там принято, что по началу меня это даже раздражало. Я не знаю логического объяснения ни тому ни другому :) хотя могу придумать: в первом случае мы прячем всё служебное подальше с глаз долой, чтобы было проще достукиваться до хостов сети и "нормально" их нумеровать, во втором случае мы вытягиваем шлюз вперёд, потому что он играет более важную роль чем хост, это ещё заметно при автоматическом сканировании, когда важно чтобы какие-то адреса попадали в первые ряды в системе мониторинга.

Сейчас я всегда ставлю .1, точнее первый доступный хост, маски /24 остались в домашней сети, одновременно с этим резервируя место в начале и в конце адресов на восемь. Например, в случае FHRP, адреса на физических интерфейсах я нумерую с конца, виртуальный остаётся в начале, а если сеть маленькая, то всё попадает вперёд.
Я не вижу причин которые должны были бы вас остановить делать как удобно именно вам, но .254 я действительно давно не встречал.

Если кто, как и я, не увидел слона https://t.iss.one/yourcybergrandpa/284.

Даже если не слышно про какие-то новые и прорывные технологии в сетях это не значит что мы их скоро не увидим, кризисы - время для фундаментальных исследований. Aruba на 2023 год видит следующие тренды, во многом это всё плавно вытекает из всех предыдущих лет где мы бились за автоматизацию и программно-определяемые сети, конечно, не забывая про безопасность.
Из упомянутого, я до сих пор не вижу ничего из IoT, но на него все продолжают ставит и, возможно, мы увидим какой-то колоссальный взрыв в бытовом сегменте. Про анализ пользовательского опыта и SLA на его основе, тоже очень давно говорят и это тоже ещё глубоко зарыто. ИИ который, конечно, упомянули с этим может очень хорошо помочь, да и с многим чем ещё. Осталось дождаться конкретных массовых решений.

BPF как официальный стандарт, возможно, ждёт нас в будущем. Но и без этого можно применять.

Собираем кластер из двух Firepower 9300 на 6 нод ASA. В принципе, в ASA самой по себе удачно механизм кластеризации реализован, могу ещё и Palo Alto за это похвалить - всё что я ожидаю резервирование, обновление, работает без перерыва функционала. А вот с Juniper никак у меня не сложится обновить ноды по очереди не потеряв трафик.

Моя первая автоматизация, которой я действительно пользовался не один раз была написана на Perl, но это же был и последний раз, внезапно, на TCL я написал больше кода. Perl можно пользоваться и в перечисленных причинах есть смысл, но минус, при всей его повсеместности, он не широко популярен сейчас, что лишает вас возможности задать вопрос или встретить пример решения вашей задачи случайно в какой-то статье именно на Perl. При всём при этом я видел очень большие рабочие системы на Perl в современности и людей для которых он был основным инструментом. Поэтому чтобы пользоваться Perl надо захотеть начать пользоваться Perl, а для этого не нужны никакие причины, как и для любого другого языка. Текущий язык повседневных сценариев у меня Bash, по той же причине повсеместности и даже больше - он уже, как правило, запущен при входе в систему, а Perl надо ещё запустить.

Я не знаю почему меня так смущает термин МСЭ, который всё чаще и чаще появляется везде, коверкать язык и писать брэндмауэр или файрвол (не уверен что правильно написал), сложно, но выглядит это как-то органичнее и это при том что я стараюсь. Да, жаргон и жаргонизмы не только являются быстрым способом объяснить какое-то понятие для посвящённых, но и идентификатором свой-чужой. Порой одинаковое явление имеет разную терминологию в разных социальных средах, условно админов и программистов или сетевиков, хороший пример NAT терминология, тогда друг друга никак не понять.
От этого лучше избавится при трансляции чего-то на широкую публику, поэтому какие-то жаргонизмы очень странно порой выглядят в пресс-релизах пусть и профильных компаний, не говоря уже о гос.структурах. А к МСЭ, видимо, придётся привыкнуть, но вот “многоадресная рассылка” так и не зашла.

Облака дорожают, но уйти из них не так просто, датацентры тоже дорожают да и за выход придётся заплатить, это такой же сложный процесс как и вход. Но у некоторых получается, если нагрузка предсказуема, а сервисы облачной аналитики не играют для вас никакой роли.

Сегодня первый четверг мая, а значит пора отмечать Всемирный день пароля!
Когда же на смену этому дню придет Беспарольный день? Судя по таблице, с каждым годом пароль надо делать все длиннее и длиннее, а значит аутентификация без пароля будет становиться всё более востребованной.

3 Апреля изменился формат файлов дампов BGP, которые формируются Routing Information Service, вот тут технические детали. Результатом стало значительное, в 3 раза, уменьшение размера файла полного дампа и ещё более значительное уменьшение времени его формирования, от двух часов до 10-15 минут. Ввиду таких приятных изменений я поменял время оповещения в @FullViewBGPbot на 4, 12 и 20 часов по Москве, что ближе к фактическому времени снятия дампа и заодно добавил немного каждодневной информации по статистике, что пользователи бота уже заметили.

RFC9386 - про внедрение IPv6, в разрезе с разных точек. Наверное, ничего нового для многих, но собрано в одном месте.

Почему защита от спуфинга IP адресов плохо внедряется операторами, потому что операторам от этого ни тепло ни холодно. А что нужно сделать чтобы операторы стали это внедрять? Надо их пристыдить, может они одумаются. Помимо этого, в статье есть обзор инструментов для проверки наличия возможности спуфинга в сети.

Кроме как операторам, владельцам граничных AS, фильтровать особо и негде. На транзите с фильтрами маршрутов не всегда удаётся справиться, а уж фильтровать трафик с миллион неизвестными параметрами, точно никак. Поэтому, если у вас есть AS, то фильтруйте - не выпускайте ничего из своей сети с не вашими адресами, и не впускайте ничего в неё с вашими. На самом деле, я даже за провайдеров не уверен, что многие настроили такие фильтры. За хостинги и корпоративные сети вообще не уверен: мой хостинг позволяет спуфить, а в моей рабочей сети подобные фильтры появились только с моим приходом. На NAT тоже не надейтесь, он бывает разный.

Про один из новых механизмов работы Великого Китайского файрвола. Старые механизмы тоже упомянуты, какие-то, как активное сканирование, даже проверены. Суть - подобранные эмпирическим путём правила, которых исследователи нашли 5 штук, позволяют блокировать неизвестные протоколы шифрования ориентированные на сокрытие трафика. По большому счёту правило одно: трафик который выглядит как случайный блокируется. При этом, вероятность ошибки подобранных правил блокировки 0,6%. Известные протоколы определяются отдельно и отдельно же анализируются, но это к тем механизмам которые работают уже давно. Работает всё только с исходящим трафиком в котором проверяется только TCP и первый пакет в сессии с некоторой вероятностью, а степень покрытия разных частей Интернета разная.

Предлагаются и способы преодоления данного типа блокировок. Но теперь об этом знают и разработчики, это кстати интересный эффект публичности, и, наверное, скоро надо будет искать новые варианты обхода. Пока же, с Марта месяца, данный механизм не работает, но это конечно не значит что не заработает снова или кто-то не возьмёт его себе на вооружение.

У всего есть оборотная сторона. Как безопасность внедрённая в DNS может не очень хорошо сказаться на других аспектах, порой на тех с которыми и боролись - централизация, ухудшение возможности анализировать нарушения безопасности, сокрытие злонамеренных действий, повышение риска отключения большей части ресурсов в случае действий государств, усложнение жизни конечным пользователям.

Спуфить спутники, конечно, не так просто как спуфить IP адреса, но вполне себе осуществимо за разумную цену из доступных элементов. Авторы всю работу считают мощность сигнала, стараясь его минимизировать, которым надо заменить орининальный сигнал со спутника, чтобы приёмник ничего не понял и принял всё за чистую монету. Учитываются, в том числе, и направленные антены и шум. В, итоге, на расстоянии 100 метров до приёмника можно подменить всё что хочешь, а для некоторых типов систем можно и за 8км быть до приёмника, чтобы успешно передавать собственный сигнал взамен настоящего.
Если вы не шифруете данные со спутника, а с этим в основном всё плохо, то можно применить некоторые другие методы чтобы себя в какой-то мере обезопасить, в публикации они тоже приводятся.

Так, с почтой Vivaldi закончили, а как бразуер ещё поживёт. Вернулся обратно на Thunderbird по причине внезапной пропажи половины моих ящиков, всех фильтров и RSS из интерфейса. В настройках всё осталось и на диске все данные целы, но достучаться до них никак. Базовые вещи включить/выключить, переставить - не помогли. Я конечно ещё покопаюсь, но без почты мне тяжко, поэтому переехал. При том, что как сделана почта в Vivaldi мне нравится: лаконичный интерфейс, каждое письмо в отдельном eml файле, что мне и позволило очень быстро накопившийся архив забрать с собой. За неполные 5 месяцев почти 1000 сообщений которые я сразу не удалил, из них 3 от живых людей, которые были продублированы по другим каналам, а остальное уведомления и чеки, реклама, подписки, на списки рассылки я не подписан. В общем ничего полезного для домашнего использования, но привычка смотреть каждый день в почту ещё сильна.

Кровавый энтерпрайз be like:

1. 100500 систем управления и учёта с премиум подпиской
2. Половина из них на ранней стадии запуска, половина выводится из эксплуатации
3. Отклик 200мс
4. Доступ только к половине нужных инструментов и только в ручном режиме без API и пакетного выполнения
5. Менеджеры и аналитики доступа к интерфейсу не имеют или "не умеют" пользоваться
5. Команда автоматизации занята совмещением несовмещаемого, возможно умеют программировать
6. С тобой они не общаются и в твоей работе не разбираются
7. Половина данных не актуальна, половина отсутствует
8. Иногда "индус" из автоматизации случайно стирает первую половину
7. Пытаешься актуализировать данные, для чего поднимаешь локальные системы
8. 100500 локальных систем автоматизации, учёта и мониторинга без премиум подписки
9. Половина из них на ранней стадии запуска, половина выводится из эксплуатации
10. Периодически антивирус блочит твои скрипты и ты получаешь выговор от команды безопасности
...
Заполняешь форму ежемесячного отчёта в Excel вручную копируя данные и подбивая статистику

Ещё один сервис для отслеживания состояния Интернета с прицелом на Россию, и статья с описанием на Habr. Из интересного: привязка ASn к компании владельца и динамика по ASn. Обязательно надо вспомнить что уже давно есть IDIDB, там тоже много про Рунет.

Автор ловит неожиданное поведение на своих настройках с анонсами BGP и лечит это перезагрузкой. А если что-то лечится перезагрузкой, значит у вас нет проблем :). Вообще, с BGP лучше перестраховаться и задать самые жёсткие условия которые возможно, не надеясь на поведение по умолчанию. Как это сделать с Juniper вариантов много, о чём в самом конце и написано.
Но проблема с зомби маршрутами, в самом деле, не такая простая. Не так давно я делал тотальный переезд с одних провайдеров на другие и даже через неделю, всё ещё, продолжал видеть маршруты через свои старые физически выключенные апстримы. Немного, конечно, и незначимо в моём случае, но это в моём.

Сложно не согласится что в текущих условиях без IPv4 никуда. Много и подробно о том как и что мы измеряем в проникновении IPv6 и как это соотносится с реальной картиной которую мы видим вокруг, за рамками первого десятка сервисов. В любом случае, мы все туда настойчиво двигаемся и с этим тоже сложно не соглашаться. Также, у автора есть честный измеритель проникновения, по нескольким странам.