Во всём виновата Windows, кто же ещё?, которая отправляет к администратору сетей, хотя надо отправить к администратору групповых политик. Но сетевой администратор не растерялся и сам всё починил, выступив в роли прокси.

Самые интересные проблемы на стыке ответственностей и конечно самые профессионалистые профессионалы могут, по крайней мере понимают во многих смежных областях. Это вовсе не значит что можно заменить 5 человек одним, хотя многим руководителям так очень хочется. Это значит, что один сможет довести вопрос ровно до своей границы понимания передав всю нужную информацию тому кто в ней больше поймёт, не отвлекая его в это время и не заставляя повторять те же самые шаги дважды.

Иногда нужен прицельный подход, а иногда широкий охват, а часто совместить это вместе. Бывает возникает ситуация что до тебя доходит очень узкая задача, что-то вроде: "Тащи виланы сюда, настрой порт в авто". Начинаешь подниматься выше по иерархии охватывая картину в целом и понимаешь, что и виланы-то тащить не надо, порт уже настроен, да и проблема решена два года назад в общем виде. Достаточно тип услуг другой назначить в уже существующей системе.

И это не только проблема больших компаний со сложной организацией, там где больше двух человек, да даже если один уже может случится так что общую картину нельзя охватить целиком. В предельном случае общая картина это набор островков которые между собой никак не пересекаются и это хороший вариант. Не очень хороший это когда между этими островками построено бесчисленное множество мостов возникающих каждый раз когда в задаче возникает ключевое слово, "сеть" - сетевики, даже если это электрическая сеть, "Windows" - к сисадминам, "sql" - к программистам.

Так и живём, но в Windows и не только, можно всё же более понятные сообщения об ошибках делать.

Чем больше задач у одного исполнителя тем хуже получается у него их выполнять, человек плохо распараллеливается. Вот тут немного пояснений как реклама книжки, но в общем-то это достаточно известное и часто исследуемое явление. Вопрос больше в другом, даже не как оценивать эффективность, а оценивает ли её кто-нибудь на постоянной основе, чтобы видеть этот эффект и изменять свою работу в соответствие с этим.

Один из нерешённых мною вопросов в выборе инструментов - это чем рисовать топологию сетей. Visio, конечно, красивый и удобный, но за него надо платить, что для личных моих целей совершенно не подходит. Dia, в общем-то достаточен, но не всегда - слишком он простой и у меня к нему много вопросов по мелочам, которые уже никто не исправляет. Онлайн инструменты тоже за бортом, хочется иметь всё даже без Интернета.

Так вот, еду в автобусе смотрю "Мистер Робот" и вижу открытую диаграмму сети, на паузу нажать не успел, поэтому перемотал и посмотрел снова. Это был yEd, не знаю почему я не увидел его раньше, но теперь следующие несколько недель работаю только в нём. Явного отторжения пока не вызывает, чего не могу сказать например про Pencil, но на вкус и цвет. Функционал достаточно богатый, нужные иконки легко гуглятся. Поэтому, возможно, вопрос с диаграммами я скоро закрою.

​Интересная статистика от REG.RU. Для сравнения ~32000 адресов это сеть /17. Весь наш пул адресов это плюс ещё /18 (~16000), но мы провайдер и мы можем позволить себе NAT, без этого не хватит. При этом мы никогда не стремились накапливать адреса, всегда брали ровно столько сколько нам не хватало. То есть у нас "много" , если сравнивать с тем что приводится. Много ли это для хостеров вот в чём вопрос.

⌨️ И вот ещё, большое количество различных vim-like полезностей, собранных в одном месте https://vim.reversed.top/

#фидбечат #линк #vim

Хорошо и подробно про mtr, с примерами. Это вторая часть серии.

Сегодня пиринговый форум - цель моего раннего утреннего перелёта. Кто не дошёл, есть трансляция https://peering-forum.ru/live/

Много где засветилась новость про то что можно ломать VPN - на OpenNET достаточно понятно пишут, но много внимания уделили не сути, а режимам rp_filter и методам перебора. Можно читать оригинальный тред, там подробнее, но ровно про то же.

Что важно:
1. Зашифрованный трафик остаётся зашифрованным и его не расшифровывают
2. Используемый метод позволяет влиять на то что будет передаваться внутри туннеля
3. Это влияние можно использовать чтобы выяснить параметры соединения внутри туннеля, например, адресацию
4. Это можно использовать чтобы добавлять/подменять реальный трафик внутри туннеля, но вслепую. Ответ будет зашифрованным внутри туннеля и поэтому атака предполагает ещё и его перехват и анализ на основе статистики и сигнатур
5. Атака возможна потому что пакет обрабатывается одинаково в соответствии со своим адресом в не зависимости на какой из интерфейсов он пришёл

Два предыдущих пункта практически означают, что атакующий должен быть очень близко к атакуемому и мочь не только перехватывать весь его трафик, но и посылать не совсем корректный трафик с точки зрения маршрутизации в сторону жертвы, иначе он просто не дойдёт. Идеально быть для него шлюзом, что решается, например, подделкой точки доступа в WiFi сети. Для защиты достаточно отсекать трафик в соответствии с тем где вы его ожидаете, то есть не принимать пакеты с адресами из внутренней сети на внешние интерфейсы, с этим справится rp_filter=1 или пакетный фильтр.

P.S. Там камни в огород systemd летят в связи с этим, но тут больше дело в том, чтобы знать свою систему и понимать как всё работает.

Скорость исполнения, против скорости разработки. Скорость выполнения посчитать легко и даже можно калории посчитать и там всё ясно с тем кто на коне. А вот со скоростью разработки и поддержки сложнее, иначе бы не было ни Ruby ни Java.

Любые публичные данные могут скомпрометировать вашу систему. Если знать публичный ключ от SSH и логин, то этого достаточно, чтобы понять присутствует ли такой пользователь в системе или нет. Публичные ключи можно утащить с GitHub, впрочем, там же и логин, это к вопросу об удобстве и повторяемости одинаковых учётных данных на разных ресурсах. Логин можно ещё с непропатченных серверов утаскивать напрямую, это к вопросу обновлений. В обоих случаях работает перебором, поэтому ограничение на повторные попытки стоит включить, хотя это и слабое утешение.

Как настроить серверы DHCP Kea в режиме высокой доступности, они даже лизы между собой синхронизируют. Пошаговая инструкция, иногда не хватает подробностей и раскрытия большего количества вариантов, но за этим можно к официальной документации сходить. Хорошее решение из коробки, без собственноручно написанной логики.

Пока пароли всё ещё в ходу - статья про то как сделать хороший пароль - всё дело в длине и уникальности:

1. Каждому ресурсу свой пароль
2. Если пароль содержит цифры, буквы и спец.символы это не значит что он хороший
3. Ответ на секретный вопрос для восстановления пароля сделайте другим не менее сложным паролем
4. Двухфакторная аутентификация
5. и менеджер паролей

Приводится несколько заблуждений, например, по поводу частоты смены паролей, в конце пару ссылок по теме, в том числе на чекер сложности паролей от Dropbox.

На нашем недавнем тепло-семейном сборе в Москве (кстати, спасибо всем, кто пришёл) узнал прекрасную историю про бурления масс вокруг мнения не безызвестного нам всем товарища Пепельняка. Иван человек простой и прямо говорит, что проблема не в BGP, а в руках и головах инженеров, которые им пользуются.
Ну и понеслось...
https://blog.ipspace.net/2019/12/bgp-and-car-safety.html

Шпаргалка nmap - основные команды и опции.

Подробнейший отчёт о состоянии возможности спуфинга в Интернете по материалам собранными проектом spoofer.caida.org. Интересно, что для исходящего трафика проверки делают многие, но далеко не все, а вот для входящего - нет. То есть многие сети принимают пакеты из внешних источников, в которых адрес отправителя значится внутренним. Не стоит забывать и транзитные моменты - два апстрима или пиринга, а между ними бегает трафик с поддельными адресами, хотя маршруты и не утекают. Масла в огонь добавляет NAT, который может с лёгкостью транслировать не свой адрес. И конечно IPv6, спуфить внутри своей /64 могут почти все клиенты, вроде логично, хотя около 9% не могут вообще спуфить.

Проблема совсем не новая, возвращаясь к пирингову форуму где эта тема в том или ином виде бывает каждый год, по крайней мере один раз в каком нибудь докладе да упомянут про BCP38, и вообще на всех мероприятиях так или иначе относящихся к глобальным сетям. Но. Воз и ныне там, общаешься со многими провайдерами, большими или маленькими и у всех с этим какие-то проблемы. Некоторые и в самом деле про необходимость фильтрации слышат первый раз, многие не придают значения - потому что без этого работает и с этим работает так же, прямых последствий не возникает. При этом для 38% тупиковых автономок с одним апстримом это достигается элементарно, если есть механизм uRPF на роутере то им, если нет то фильтрами.

К проекту CAIDA Spoofer можно присоедениться, есть клиенты для популярных ОС и исходники, и конечно если можете фильтровать - фильтруйте. Когда нибудь усилия будут вознаграждены и DDoS, вирусов, сканеров станет меньше.

💻 Занятная панель для настройки работы с SSH на большом количестве серверов https://www.bastillion.io/ Тут тебе и управление ключами, и 2fa, и собственные возможности для соединения, аудит и контроль доступа, и гуй для всего этого.

#ssh #bastillion

Кому-то разминка для ума, а кому-то настоящий вызов - не только про Cisco, сети и подготовку к экзаменам, но и на умение пользоваться Wireshark.
Ответы в картинках, даже если заглянуть в которые раньше чем ответ найден, всё равно окажутся полезными.

Ещё одна серия статей про TLS, много вводной информации в первых трёх частях, буквально на пальцах, но с классическими Бобом и Алисой - просто теория. И последняя часть разбор дампов рукопожатия TLS.

Сделать систему надёжной совсем не просто, даже если все нужные компоненты реализованы это ещё ничего не значит. Несколько правил, скорее вопросов которые сформулировал Mark Brooker:

1. Усложнение системы для обеспечения избыточности не должно ухудшать её доступность;
2. Система должна смочь запуститься в аварийном режиме;
3. Система должна гарантированно определять какие из компонентов рабочие, а какие нет;
4. Система должна иметь возможность вернуться в режим с резервированием.

Каждый пункт тянет за собой массу подводных камней, например, если неверно определить что у вас упала сеть, а не компонент приложения и переключиться на резервный участок, ситуацию это как минимум не исправит, скорее всего добавит проблем из-за повышения нагрузки на другие компоненты системы.

Стоит учитывать и чисто человеческие моменты, если инженер, пусть хороший или даже отличный сделает что-то, что для команды будет непонятным, общую доступность системы это вряд ли повысит, может даже ухудшит - люди ломаются чаще. Чем проще, тем надёжнее, как минимум для конкретного места в конкретное время.