Собираем кластер из двух Firepower 9300 на 6 нод ASA. В принципе, в ASA самой по себе удачно механизм кластеризации реализован, могу ещё и Palo Alto за это похвалить - всё что я ожидаю резервирование, обновление, работает без перерыва функционала. А вот с Juniper никак у меня не сложится обновить ноды по очереди не потеряв трафик.

Моя первая автоматизация, которой я действительно пользовался не один раз была написана на Perl, но это же был и последний раз, внезапно, на TCL я написал больше кода. Perl можно пользоваться и в перечисленных причинах есть смысл, но минус, при всей его повсеместности, он не широко популярен сейчас, что лишает вас возможности задать вопрос или встретить пример решения вашей задачи случайно в какой-то статье именно на Perl. При всём при этом я видел очень большие рабочие системы на Perl в современности и людей для которых он был основным инструментом. Поэтому чтобы пользоваться Perl надо захотеть начать пользоваться Perl, а для этого не нужны никакие причины, как и для любого другого языка. Текущий язык повседневных сценариев у меня Bash, по той же причине повсеместности и даже больше - он уже, как правило, запущен при входе в систему, а Perl надо ещё запустить.

Я не знаю почему меня так смущает термин МСЭ, который всё чаще и чаще появляется везде, коверкать язык и писать брэндмауэр или файрвол (не уверен что правильно написал), сложно, но выглядит это как-то органичнее и это при том что я стараюсь. Да, жаргон и жаргонизмы не только являются быстрым способом объяснить какое-то понятие для посвящённых, но и идентификатором свой-чужой. Порой одинаковое явление имеет разную терминологию в разных социальных средах, условно админов и программистов или сетевиков, хороший пример NAT терминология, тогда друг друга никак не понять.
От этого лучше избавится при трансляции чего-то на широкую публику, поэтому какие-то жаргонизмы очень странно порой выглядят в пресс-релизах пусть и профильных компаний, не говоря уже о гос.структурах. А к МСЭ, видимо, придётся привыкнуть, но вот “многоадресная рассылка” так и не зашла.

Облака дорожают, но уйти из них не так просто, датацентры тоже дорожают да и за выход придётся заплатить, это такой же сложный процесс как и вход. Но у некоторых получается, если нагрузка предсказуема, а сервисы облачной аналитики не играют для вас никакой роли.

Сегодня первый четверг мая, а значит пора отмечать Всемирный день пароля!
Когда же на смену этому дню придет Беспарольный день? Судя по таблице, с каждым годом пароль надо делать все длиннее и длиннее, а значит аутентификация без пароля будет становиться всё более востребованной.

3 Апреля изменился формат файлов дампов BGP, которые формируются Routing Information Service, вот тут технические детали. Результатом стало значительное, в 3 раза, уменьшение размера файла полного дампа и ещё более значительное уменьшение времени его формирования, от двух часов до 10-15 минут. Ввиду таких приятных изменений я поменял время оповещения в @FullViewBGPbot на 4, 12 и 20 часов по Москве, что ближе к фактическому времени снятия дампа и заодно добавил немного каждодневной информации по статистике, что пользователи бота уже заметили.

RFC9386 - про внедрение IPv6, в разрезе с разных точек. Наверное, ничего нового для многих, но собрано в одном месте.

Почему защита от спуфинга IP адресов плохо внедряется операторами, потому что операторам от этого ни тепло ни холодно. А что нужно сделать чтобы операторы стали это внедрять? Надо их пристыдить, может они одумаются. Помимо этого, в статье есть обзор инструментов для проверки наличия возможности спуфинга в сети.

Кроме как операторам, владельцам граничных AS, фильтровать особо и негде. На транзите с фильтрами маршрутов не всегда удаётся справиться, а уж фильтровать трафик с миллион неизвестными параметрами, точно никак. Поэтому, если у вас есть AS, то фильтруйте - не выпускайте ничего из своей сети с не вашими адресами, и не впускайте ничего в неё с вашими. На самом деле, я даже за провайдеров не уверен, что многие настроили такие фильтры. За хостинги и корпоративные сети вообще не уверен: мой хостинг позволяет спуфить, а в моей рабочей сети подобные фильтры появились только с моим приходом. На NAT тоже не надейтесь, он бывает разный.

Про один из новых механизмов работы Великого Китайского файрвола. Старые механизмы тоже упомянуты, какие-то, как активное сканирование, даже проверены. Суть - подобранные эмпирическим путём правила, которых исследователи нашли 5 штук, позволяют блокировать неизвестные протоколы шифрования ориентированные на сокрытие трафика. По большому счёту правило одно: трафик который выглядит как случайный блокируется. При этом, вероятность ошибки подобранных правил блокировки 0,6%. Известные протоколы определяются отдельно и отдельно же анализируются, но это к тем механизмам которые работают уже давно. Работает всё только с исходящим трафиком в котором проверяется только TCP и первый пакет в сессии с некоторой вероятностью, а степень покрытия разных частей Интернета разная.

Предлагаются и способы преодоления данного типа блокировок. Но теперь об этом знают и разработчики, это кстати интересный эффект публичности, и, наверное, скоро надо будет искать новые варианты обхода. Пока же, с Марта месяца, данный механизм не работает, но это конечно не значит что не заработает снова или кто-то не возьмёт его себе на вооружение.

У всего есть оборотная сторона. Как безопасность внедрённая в DNS может не очень хорошо сказаться на других аспектах, порой на тех с которыми и боролись - централизация, ухудшение возможности анализировать нарушения безопасности, сокрытие злонамеренных действий, повышение риска отключения большей части ресурсов в случае действий государств, усложнение жизни конечным пользователям.

Спуфить спутники, конечно, не так просто как спуфить IP адреса, но вполне себе осуществимо за разумную цену из доступных элементов. Авторы всю работу считают мощность сигнала, стараясь его минимизировать, которым надо заменить орининальный сигнал со спутника, чтобы приёмник ничего не понял и принял всё за чистую монету. Учитываются, в том числе, и направленные антены и шум. В, итоге, на расстоянии 100 метров до приёмника можно подменить всё что хочешь, а для некоторых типов систем можно и за 8км быть до приёмника, чтобы успешно передавать собственный сигнал взамен настоящего.
Если вы не шифруете данные со спутника, а с этим в основном всё плохо, то можно применить некоторые другие методы чтобы себя в какой-то мере обезопасить, в публикации они тоже приводятся.

Так, с почтой Vivaldi закончили, а как бразуер ещё поживёт. Вернулся обратно на Thunderbird по причине внезапной пропажи половины моих ящиков, всех фильтров и RSS из интерфейса. В настройках всё осталось и на диске все данные целы, но достучаться до них никак. Базовые вещи включить/выключить, переставить - не помогли. Я конечно ещё покопаюсь, но без почты мне тяжко, поэтому переехал. При том, что как сделана почта в Vivaldi мне нравится: лаконичный интерфейс, каждое письмо в отдельном eml файле, что мне и позволило очень быстро накопившийся архив забрать с собой. За неполные 5 месяцев почти 1000 сообщений которые я сразу не удалил, из них 3 от живых людей, которые были продублированы по другим каналам, а остальное уведомления и чеки, реклама, подписки, на списки рассылки я не подписан. В общем ничего полезного для домашнего использования, но привычка смотреть каждый день в почту ещё сильна.

Кровавый энтерпрайз be like:

1. 100500 систем управления и учёта с премиум подпиской
2. Половина из них на ранней стадии запуска, половина выводится из эксплуатации
3. Отклик 200мс
4. Доступ только к половине нужных инструментов и только в ручном режиме без API и пакетного выполнения
5. Менеджеры и аналитики доступа к интерфейсу не имеют или "не умеют" пользоваться
5. Команда автоматизации занята совмещением несовмещаемого, возможно умеют программировать
6. С тобой они не общаются и в твоей работе не разбираются
7. Половина данных не актуальна, половина отсутствует
8. Иногда "индус" из автоматизации случайно стирает первую половину
7. Пытаешься актуализировать данные, для чего поднимаешь локальные системы
8. 100500 локальных систем автоматизации, учёта и мониторинга без премиум подписки
9. Половина из них на ранней стадии запуска, половина выводится из эксплуатации
10. Периодически антивирус блочит твои скрипты и ты получаешь выговор от команды безопасности
...
Заполняешь форму ежемесячного отчёта в Excel вручную копируя данные и подбивая статистику

Ещё один сервис для отслеживания состояния Интернета с прицелом на Россию, и статья с описанием на Habr. Из интересного: привязка ASn к компании владельца и динамика по ASn. Обязательно надо вспомнить что уже давно есть IDIDB, там тоже много про Рунет.

Автор ловит неожиданное поведение на своих настройках с анонсами BGP и лечит это перезагрузкой. А если что-то лечится перезагрузкой, значит у вас нет проблем :). Вообще, с BGP лучше перестраховаться и задать самые жёсткие условия которые возможно, не надеясь на поведение по умолчанию. Как это сделать с Juniper вариантов много, о чём в самом конце и написано.
Но проблема с зомби маршрутами, в самом деле, не такая простая. Не так давно я делал тотальный переезд с одних провайдеров на другие и даже через неделю, всё ещё, продолжал видеть маршруты через свои старые физически выключенные апстримы. Немного, конечно, и незначимо в моём случае, но это в моём.

Сложно не согласится что в текущих условиях без IPv4 никуда. Много и подробно о том как и что мы измеряем в проникновении IPv6 и как это соотносится с реальной картиной которую мы видим вокруг, за рамками первого десятка сервисов. В любом случае, мы все туда настойчиво двигаемся и с этим тоже сложно не соглашаться. Также, у автора есть честный измеритель проникновения, по нескольким странам.

Я бы прошёл мимо, мало ли какую ерунду пишут в Интернете, если бы не получил эту ссылку как ответ на решение задачи логирования антивирусом вызова curl с паролями в открытом виде, которые он нашёл после подстановки переменных окружения:
"Enter the username and Password and then make a CURL call as usual. Except that you do not have to use the – user (or) -u flag or enter clear text password. The SecureCLI will take care of encrypting your username and password into the Base64 format and appends it to the Authorization Request Header"

"Закодировать" (encode) и "Зашифровать" (encrypt) - разные вещи, в статье эти понятия путаются, Base64 совсем не про шифрование, это всё равно что в открытом виде передавать. Сайт, кстати, предусмотрительно заблокировал доступ из России, поэтому ходить туда не надо.

Готовый ответ как правильно, есть на Everything Curl - используйте конфигурационные файлы.

DNS всё ещё перехватывается, RIPE Labs подтверждает. Способы противодействия тоже давно известны - пользуйтесь.

Иван Пепельняк делится двумя ссылками про историю 8 битового байта. Если ещё не читали - Julia Evans собирает в кучу разные факты и Steven Bellovin про стародавние времена начиная c 19 века и IBM System/360. Зримо присутствует Frederick Phillips Brooks Jr. и вот тут как раз стоит прочитать Мифический человеко-месяц про атмосферу царившую на проекте во время разработки S/360.

Китай впереди планеты всей по исследованиям в области передачи данных, да и вообще во многих областях, журналистов это почему-то печалит. Но конечно лучше читать полный отчёт, там можно найти методологию основанную на количестве цитирования научных публикаций. Россию тоже можно найти и даже в рейтинге.