Патчкорд
2.42K subscribers
203 photos
18 videos
59 files
2.97K links
Блог сетевого инженера. Новости телеком, IT и около IT. Связь - @UrgentPirate
Download Telegram
Пока NAT всё ещё существует приходится с ним работать. Хороший пост с основами что к чему и примерами в рамках Cisco. И как продолжение ещё один с задачами и их решениями.
Нужно будет ещё долго.
На что способен SSH, SCP и командная строка Linux. Когда владеешь инструментом такое изобретается мгновенно как только потребуется.
Если ещё пользуетесь PuTTY, надо обязательно обновиться, там с безопасностью много изменений.
Встречайте только что опубликованный RFC8490 - DNS Stateful Operations. Интересно, туннели через DNS теперь надёжнее станут? На самом деле в RFC описывается два случая:

1. Гибкое управление постоянными сессиями, например, между оконечным и рекурсивным DNS.
2. Использование push уведомлений вместо полинга, например, в режимах Service Discovery. Это, конечно, новый уровень использования.

В общем случае снижаются накладные расходы на узлы сети, которым проще поддерживать одну постоянную сессию, чем каждый раз реагировать на всплески запросов к DNS. Что там ещё DNS не может?
Ещё один способ как получить действующий IPv6 адрес в блоге Talos. Начальные условия открытый наружу UPnP и dual-stack.
Метод очень прост: сканируем IPv4 сеть (можно хоть весь Интернет), посылаем UPnP NOTIFY, в поле Location указываем IPv6 адрес нашего сервера. Это вызывает обратную реакцию устройства с UPnP, которое обращается по адресу нашего IPv6 сервера, логируем, профит.
Метод отличается тем что он активный, т.е. мы сами вызываем реакцию в исследуемой сети, а не ждём закинув приманку. Это 100% гарантированный способ получить действующий сейчас IPv6 адрес на конечном устройстве. В блоге приводится немного статистики того что удалось собрать.

В конечном счёте не важно какие адреса используются, уязвимость и есть уязвимость, а связывание IPv4 с IPv6 только лишь всё усугубляет. Атакуют обычно не теорию, хотя и её можно, а реализации. Физический мир несовершенен.
Сканер с "уязвимостью" с точки зрения математики тоже уже есть.
Немного количественной статистики от Qrator: кто самый большой в Интернете который в России. Приведены номера AS и их названия. Многих узнаю в лицо прямо по номерам, но это нормально если с этим работаешь. Интернетов у нас много.
В коллекцию шпаргалок, проект со шпаргалками всего https://overapi.com/. В основном, программирование и технологии вокруг веба. Список большой (промотайте дальше первой страницы с картинками), но наполнено далеко не всё. Всегда присутствуют ссылки на официальную документацию и смежные темы.
Forwarded from Network Warrior
https://netdisco.org

Netdisco is a web-based network management tool suitable for small to very large networks. IP and MAC address data is collected into a PostgreSQL database using SNMP, CLI, or device APIs.
VirusTotal сделал оптимизацию сайта в ASCII стиле для старых браузеров https://www.virustotal.com/old-browsers/ - но что-то не так видимо, потому что мой lynx, хоть убей, ломает логотип начисто.
SDK SMS-Stack: почему бы в SMS не передавать чуть больше чем просто SMS? По сути мы имеем уже готовую реализацию протокола похожего на UDP. В этом проекте реализуется нечто похожее на TCP. Подробное описание на английском приводится в файле docx, там же несколько примеров приложений.
Независимый второй канал, наверное, дорогой, хотя авторы рассказывают что СМС могут быть бесплатными. По сравнению с push уведомлениями это двусторонний канал и гораздо быстрее чем пакетная передача средствами голубиной почты.
Большая статья на internetsociety.org про приватность во время использования DNS. Начинается издалека, потом добираемся до DoT, DoH и других вариантов. В принципе, публичные сервисы которые поддерживают всё это уже есть. Вопрос в клиентской части.

А тут придётся настраивать больше чем в один клик, пока это универсальные решения не встроенные в систему. Например, Dohnut от Commons Host - локальный прокси для DNS over HTTPS, который надо развернуть где-то поблизости в доверенной зоне, а он уже будет выбирать лучший/ближайший сервер DoH из известных или не очень (заданных самостоятельно). Хвалятся, что Docker образ только за три недели скачали больше 11000 раз. Внутри node.js.

Нюанс приватности с публичными рекурсивными серверами всё равно остаётся, они про вас знают больше как ни шифруй.
Тааак, Kaspersky Free идёт лесом - вывел наивысшее предупреждение в котором предложил купить другой свой продукт. Не дело совсем, когда все в куче. Надо уведомления отдельно, угрозы отдельно, реклама отдельно (где она и так была).
Теперь в трее всё красное, то ли вирус то ли не вирус. В корзину.
Ещё один список в стиле awesome, в котором собраны вместе утилиты, документация, шпаргалки. Тематика администрирование системное и сетевое, безопасность, DevOps. Собственно, одно и то же можно для разных целей применять.
Мне очень приглянулся раздел с веб сервисами. Много инструментов для проверки, статистики, поиска и повседневного использования.
Довольно часто когда речь заходит о различных ограничениях в Интернете на всяких форумах и в чатиках вспоминают Fidonet на который надо обратно перелезть и возродить. Fidonet при этом есть и работает поверх Интернета в основном, и сам вероятно сильно пострадает от того что Интернет запретят. Есть конечно и модемные ноды, я насчитал 87 из 411 в 50 регионе (Россия), не претендуя на точность, в текущем нодлисте. Ещё кстати, в Fidonet нет анонимности там всё по настоящим именам и телефонам, как-то об этом никто не упоминает.

Но можно вспоминать не только про Fidonet который был сильно популярен у нас в 90-х, можно вспомнить, например, про UUCP, что собственно и происходит когда появляются подобные проекты https://uucp.dataforge.tk (за ссылку большое спасибо нашему активному читателю). Там даже целый манифест есть. Но Интернет при этом всё равно используется он не только веб, даже скорее совсем не веб.

В подобных изысканиях можно пойти ещё дальше, так как Unix с любовью сохраняет все старые технологии и даже обеспечивает их поддержку. В эпоху физических терминалов и одного "большого" компьютера на всех, популярным (могу судить только по литературе) был способ обмена сообщениями напрямую посылая их в нужные виртуальные терминалы /dev/ttyX. Посмотрите на команду mesg, наверняка она есть в вашей версии Linux, и для чего она служит.

Другого Интернета у нас нет и возврата к старому у нас нет, вот такая действительность.
Как применять RFC6368 для Juniper при маршрутизации между клиентом и провайдером, если в качестве протокола используется BGP. BGP вычисляет кольцо маршрутизации по AS-PATH и это работает. Работает слишком хорошо, так что если провайдер предоставляет связность для клиентской AS по своей сети используя BGP, то анонсы от одной точки не будут приняты другой точкой, потому что исходный ASn равен ASn получателя. Связность между точками клиента будет потеряна, но каждая из этих точек будет независимо доступна из провайдера или из Интернета, если провайдер такую услугу предоставляет.

Чтобы сохранить связность используется опция as-override, которая заменит клиентский ASn на провайдерский в рамках используемого VPN. RFC6368 добавляет новые возможности позволяя поместить клиента в свою AS отметив это специальным атрибутом. И перевести взаимоотношения на iBGP исключив ситуацию с кольцом маршрутизации в AS-PATH. Это имеет смысл если оборудование CE находится под управлением провайдера, то есть клиент не имеет своей AS и хочется использовать именно BGP для этого, а не OSPF, например.

В статье приводится пример с переносом local-preference атрибута между маршрутизаторами клиента, но не маршрутизаторами провайдера который предоставляет VPN, хотя номер AS одинаков. Полная аналогия с внутренним протоколом маршрутизации.
Если с DoH или DoT уже стало скучно, встречайте DNS over QUIC (DoQ), пока в виде прокси. Компилируем Go и экспериментируем.
Что к чему с этим DoQ в сравнении с другими можно посмотреть на слайдах с IETF 99 meeting (спасибо нашему подписчику за дополнения) и видео. Собственно draft.
RIPE Labs рапортует что количество BGP Large Communities потихоньку растёт, очень потихоньку. Это относительно новый стандарт призванный решить проблему обычных community и 32-х битный номеров AS путём расширения "адресного пространства" меток.
Для обычных community отведено всего 32 бита и по сложившейся практике это не позволяет прицепить какую-то полезную информацию для тех у кого номер AS больше 65535, т.е. номер AS занимает все биты. Сейчас это решается вводом таблиц перекодирования там где это требуется, например на IX. А кому очень сильно нужно, всё ещё можно попросить и получить самый обычный ASn в 16 бит, тут дефицит не такой острый как с IPv4 адресами.

Что community маловаты стало понятно уже давно, поэтому появились Extended Commnunity в два раза большие - 8 байт, но их оккупировали VPN MPLS. А так как проблема не решилась вот теперь у нас есть и Large Community в 12 байт. В принципе, 32-х битных ASn уже много, примерно треть от всех используемых и управлять трафиком прозрачно без привлечения внешних административных таблиц, а используя встроенные в протокол средства, в данном случае Large Community вещь полезная.
Но тут, возможно, играет роль другой фактор - поддержка со стороны производителей и разработчиков конкретных решений BGP и их внедрения. На нашем боевом спикере такой возможности нет. Этому не стоит удивляться, до сих пор у некоторых нет поддержки даже 32-х битных ASn, поэтому всё ещё встречается использование AS23456. Хотя вопрос о принадлежности данного функционала к устаревшему и запрещённому многие для себя решили.
Большая презентация про то как работает современный IPv6, точнее как работают современные популярные приложения в IPv6. Даже по этому слайду видно кто делает погоду в современном мире - точно не десктопы.
Страшилка от Positive Technologies: говорят Intel встроила систему способную перехватывать все взаимодействия между компонентами компьютера по внутренним линиям и шинам, включая внешние устройства. Называется VISA. Да, исследователи уже получили неавторизованный доступ к этой технологии.