Понятийный обзор нескольких видов атак на подбор соответствий паролей их хешам. Безопасность она как радиация - незаметна. В конце статьи несколько советов, наверное тривиальных, но всё же - не забываем посолить свои хеши.

Простой симулятор вирусной активности, активности центров управления ботнетами. Позволяет проверить как отреагирует система безопасности на периметре вашей сети (если она есть). Короткий ролик, ненужный, всё понятно без него.

Есть версии для разных платформ, надо только согласиться выполнять неподписанные файлы :)

Так выглядит патент на Ethernet одобренный как раз сегодня в 1977 году. Вот честно, совершенно не представляю что там с патентным правом и почему 1973 году Ethernet появился, а патент в 1977 одобрен. Но это хороший повод проникнуться историей и оценить с чего всё начиналось.

Шпаргалка, которая помогает не запутаться в компонентах мультисервисных маршрутизаторов разных вендоров.

Привнесём немного разнообразия в выбор сниферов для Windows. Простая, не требующая ничего (никакого драйвера в ядре) реализация на PowerShell, есть впрочем и Си вариант. Там всего пару страничек кода, для тех кто хочет разобраться по-настоящему.

Перед выполнением надо разрешить сценарии в PS Set-ExecutionPolicy Unrestricted, потом:

PowerShell.exe -ExecutionPolicy bypass ./raw-socket-sniffer.ps1 "127.0.0.1" "capture.cap"

127.0.0.1 и capture.cap меняем на то что хочется. Реализация очень простая, поэтому capture.cap не должен существовать, а то ошибка доступа будет. Файл на выходе смотрим в Wireshark, например.

И ещё одна вещь, правда поразвесистей. У меня почему-то нормально не заработала. Сильно погружаться в детали я не стал, но выглядит по крайней мере интересно чтобы вернуться при случае. За ссылку спасибо нашему читателю, спасибо что делитесь.

Если начать внедрять IPv6 20 лет назад, то, в принципе, можно считать что финал близок. Статья от Университета Пенсильвании про их путь и вехи во внедрении IPv6. Мало технических подробностей, больше попытка передать настроение и дух. В конце напутствие и оптимизм для тех кто ещё не начал.

Про Дональда Кнута, статья в Нью-Йорк Таймс. Много истории, немного философии и конечно алгоритмы.

Я думаю скоро переведут, но и на английском легко читается.

Черновик рекомендаций по безопасному обмену трафиком между участниками Интернета. Документ разбит на разделы по видам возможных атак и точек их приложения.

В тексте отдельно выделены рекомендации (Security Recommendation №), касающиеся как конкретных настроек так и подходов к решению для той или иной ситуации. Даже если и не станет стандартом в Америке, то уж точно как сборник практик по безопасной эксплуатации сети с BGP в Интернет стоит прочитать.
70 страниц в PDF.

В блоге APNIC статья про LibreRouter. Открытая платформа, включая схемотехнику, софт поверх OpenWRT. Нацеленность на беспроводную mesh сеть.
Пока есть прототип, предполагают в следующие два года будет спрос больше 2500 устройств. Для России наверное надо будет что-то подкрутить и высоко не вешать, потому что свобода свободой а радиочастотный центр не дремлет.

nmap online, на свой страх и риск, конечно же :)

В этом году новогодняя-рождественская IPv6 ёлочка вышла на новый уровень - пингом отображаем точки на экране, а ещё можно писать сообщения в бегущую строку.

9 трендов в сетях на 2019 по мнению John Fruehe. Это прямо те тренды которые и в 2018 году были и которые очень сложно было бы не увидеть, я думаю даже для тех кто не сильно в отрасль погружен. Ничего нового, дожимаем то что напридумывали в начале и середине десятилетия (предыдущего тоже).
Всё софт - на разных уровнях, от непосредственного контроля устройств (SDN), до контроля инфраструктурой "обычных" устройств (SD-WAN). Сюда стоит добавить (этого нет в статье) тотальный переход управления устройствами и сетью в различные API, что заставляет программировать, учиться программировать тех, кто раньше считал это не обязательным.
Всё облака - и даже облака из облаков (сети облаков). Какую-то часть всё-таки надо держать под боком в своих датацентрах, но там тоже облака, просто частные. А ещё облака устройств (IoT), всё соединяется со всем - буквально.
Облака создают проблему безопасности и это вечная тема, а ещё наконец-то конечный потребитель стал видеть плоды обработки своих данных "умные" подсказки, голосовые помощники и прочие элементы ИИ. Бизнес тоже такое хочет, поэтому для него придумали термин intent-based networking. Хотя вот кому бы жаловаться, хорошая сеть всегда строится именно для бизнеса и его намерений, а не для того чтобы быть. Маркетинг и правильное позиционирование, тренд однако, как не назови.

Как настроить NetFlow и аналоги на Cisco IOS и Juniper, VyOS и Huawei. Тема коллектора и анализа этих данных осталась за скобками, но при включенном сборе статистики на самом устройстве можно смотреть данные в моменте.
При текущих скоростях сетей это, наверное, не так актуально, но если имеем интерфейсы до гигабита то наличие netflow в устройстве, даже без коллектора помогает при поиске проблем в абонентском трафике. Во многом именно так удобнее всего установить факт возможности доступа абонента к чему-то. Хотя, на мой взгляд, это такой грязный хак.

FCC в США выпустили отчёт об измерении скорости у больших проводных провайдеров за последние два года. Отчёт очень большой, общий вывод - какие скорости заявлены такие и предоставляются, с чем не совсем согласны на POTs and PANs (внутри есть все нужные ссылки на сам отчёт и на его обзор).
В Канаде такие же исследования были. Можно сравнить с тем что вам обещает ваш провайдер.

На APNIC хорошая статья, даже две про ошибочные представления по поводу IPv6 и его внедрения. Хорошая тем что она очень дискуссионная, даже по отношению сама к себе.
Если вторая часть описывает больше технические аспекты: сложность, похожесть на IPv4, необходимость думать ещё о приложениях. То первая часть великолепна именно как опровержение позиции - IPv6 не нужен.

Но IPv6 действительно не нужен, не нужен даже IPv4, не говоря уже о всяких MPLS и SDN. Васе Пупкину на своём телефоне нужен Вконтактик или Телеграм, он наверное знает что есть LTE (потому что оно быстрее), но вряд ли скажет, "Что лучше LTE или 4G?" Посмотрите на график Google и вспомните когда он стал расти (это написано в статье). Когда Google понадобилось внедрить IPv6. Я думаю что у них кончились адреса или они спрогнозировали их конец. Чисто технически с IPv4 возможно устали строить бесконечные туннели и сегментировать сети. Я очень хорошо помню настроения по поводу IPv6 весной 2011, потому что как раз на новой работе занялся пристрелочными тестами по поводу хотя бы минимального его использования. Всё было реализовано, всё. Поддержка была в браузерах, в мессенджерах, в почтовых клиентах в прокси, операционных системах, в большинстве относительно современных сетевых устройствах, но этим никто не пользовался, при этом все были полны энтузиазма. Конечному потребителю в большинстве своём всё равно используете или не используете вы IPv6. Если захотеть можно сделать сеть на IPX или OSI, да это будет стоить дороже, но это будут ваши проблемы, а не проблемы того абонента который в итоге получит ровно то же.

После активной компании Google всё стихло, да это послужило толчком. Но посмотрите, даже сейчас не все большие ресурсы имеют IPv6, даже скорее мало кто имеет полное покрытие IPv6 - вселенная Microsoft (включая и GitHub теперь), вселенная Apple. Если сравнить количество анонсируемых IPv4 Microsoft - 21 миллион, Apple - 16 миллионов и Google - около 8 миллионов, и вспомнить что Microsoft и Apple получили своё сильно раньше и дешевле. То может быть вот она основная причина, а не в том что "новый" протокол настолько хорош.
Знаете когда это стало интересно, как минимум в России? Этой весной в связи с тем что IPv6 позволял получать доступ к сайтам закрытым РКН, а IPv4 нет. Вот тут был стимул, потому что это реально влияло на качество услуги, какое-то время, но потом всё встало на свои места.

IPv6 к нам придёт я в это верю, в статье написано правильно: "Если Гора не идёт к Магомеду, то Магомед идёт к Горе". Беда в том что инженеры хотят выдать преимущества IPv6 за нужные пользователям и выдать свои проблемы за проблемы пользователя. IPv6 нужен как техническое решение. Если оставить его себе и не пытаться сделать для него красивую и не нужную обёртку, то дело должно пойти быстрее, так как меньше времени будет тратиться на ерунду. А реклама, рекламировать надо услуги и продукт, а будет ли он работать с IPv6 или не будет работать с IPv6 никому не важно - никому.

Медитативная страничка с реальными данными найденными Shodan.

Система обнаружения BGP hijacking - ARTEMIS вышла в релиз 1.0.0. Всё доступно на GitHub, как и обещали на RIPE 76.

Документацию ищем в Wiki. Не очень подробно, но разобраться можно. Всё сделано в рамках микросервисной архитектуры внутри docker контейнеров. Для BGP используется exaBGP. Заявлено, что есть механизм предотвращения атаки, помимо просто обнаружения.

Много достаточно уникальной статистики из данных BGP (и не только) для России. Смотрите на меню в самом низу страницы.

#партнерскийпост #текстприслан

В рамках проекта ididb.ru Фонд развития сетевых технологий «ИнДата» ведет исследования по следующим направлениям:

Анализ состояния системы взаимодействия автономных систем российского сегмента Интернета между собой и с автономными системами зарубежных операторов, в том числе ранжирование автономных систем по их значимости для устойчивого функционирования российского сегмента Интернета.
Анализ потенциальных угроз для устойчивого функционирования российского сегмента Интернета, обусловленных неправильной маршрутизацией.
Формирование максимального спектра статистической информации по текущему состоянию российского сегмента Интернета.
Разработка графических средств визуализации для оперативного выявления проблем в маршрутизации интернет-трафика.
Разработка web-инструментов, позволяющих предоставлять широкому кругу российских специалистов актуальную и полную информацию как о российском сегменте Интернета, так и об отдельных сетях и качестве их взаимодействия с другими сетями.
Проект работает с базами данных Региональных Интернет Регистратур (RIR), общедоступными базами маршрутной информации проектов RouteViews и RIS, а также маршрутной информацией некоторых операторов и с route-серверов точек обмена трафиком (IXP) MSK-IX, DATAIX, CLOUD-IX, W-IX, RED-IX, SIBIR-IX, SEA-IX, PITER-IX.

В частности, проект ididb.ru дает возможность сетевым инженерам решать некоторые практические задачи, например:

Определение утечек маршрутов на графе связности.
Определение потенциальной BGP-связности на точках обмена трафиком.
Обнаружение циклов в объектах AS-SET.
Обнаружение трансграничных переходов для Интернет-сервисов.
Проект ididb.ru заинтересован в повышении качества предоставляемых данных и приглашает точки обмена трафиком и операторов к участию в проекте посредством предоставления для проекта свих BGP-таблиц. Это можно сделать различными способами, например, посредством установления BGP-сессии с AS50157.

Проект также заинтересован в расширении спектра решаемых задач. Свои предложения вы можете направлять на e-mail: [email protected]

Генератор конфигураций NetFlow для различных платформ (помним что NetFlow это Cisco). Помимо собственно генератора есть пояснения с ссылками на документацию по различным ограничениям для выбранной платформы. Всё очень дотошно и подробно.

У APNIC тоже есть свои виртуальные лабы. Регистрируемся (без всяких доп.условий), смотрим видео и пробуем.