Forwarded from SecAtor
Cisco нашли 0-day уязвимость высокой степени критичности в своей ОС Cisco IOS XR, которая стоит на коммутаторах операторского класса.
Ошибка заключается в реализации обработки пакетов протокола DVMRP и может привести к отказу в обслуживании путем исчерпания памяти атакованного устройства. При этом злоумышленнику не требуется проходить аутентификацию.
Уязвимости, которую обозначили как CVE-2020-3566, подвержены все устройства Cisco под управлением любого релиза Cisco IOS XR, если на нем включена multicast маршрутизация.
Cisco заявили, что 28 августа обнаружили использование этой уязвимости в дикой природе. Вместе с тем, на выпуск срочного апдейта компании потребуется еще несколько дней.
А пока нет обновления, Cisco выдала ряд рекомендаций по настройке своих устройств, дабы частично блокировать вектора потенциальной атаки.
Только в прошлом месяце Cisco устранила две критичные уязвимости, одна из которых могла привести к удаленному выполнению кода, и вот опять. Как говорится, что же ты, Иглесиас?
Ошибка заключается в реализации обработки пакетов протокола DVMRP и может привести к отказу в обслуживании путем исчерпания памяти атакованного устройства. При этом злоумышленнику не требуется проходить аутентификацию.
Уязвимости, которую обозначили как CVE-2020-3566, подвержены все устройства Cisco под управлением любого релиза Cisco IOS XR, если на нем включена multicast маршрутизация.
Cisco заявили, что 28 августа обнаружили использование этой уязвимости в дикой природе. Вместе с тем, на выпуск срочного апдейта компании потребуется еще несколько дней.
А пока нет обновления, Cisco выдала ряд рекомендаций по настройке своих устройств, дабы частично блокировать вектора потенциальной атаки.
Только в прошлом месяце Cisco устранила две критичные уязвимости, одна из которых могла привести к удаленному выполнению кода, и вот опять. Как говорится, что же ты, Иглесиас?
Cisco
Cisco Security Advisory: Cisco IOS XR Software DVMRP Memory Exhaustion Vulnerabilities
Multiple vulnerabilities in the Distance Vector Multicast Routing Protocol (DVMRP) feature of Cisco IOS XR Software could allow an unauthenticated, remote attacker to either immediately crash the Internet Group Management Protocol (IGMP) process or make it…
Инженерные истории про мультикаст и балансировщики нагрузки в Амазоне и в конце статьи конкретные выводы, которые можно сделать в своей работе основываясь на этом опыте.
Мультикаст ругают, конечно, но сам факт того что его использовали, при чём не только в Амазоне, но и многие другие топ компании, во многом говорит что свой круг задач он решает. И то что к нему хотят постоянно вернуться, даже на глобальном уровне. Как раз та самая идеальная абстрактная концепция.
Мультикаст ругают, конечно, но сам факт того что его использовали, при чём не только в Амазоне, но и многие другие топ компании, во многом говорит что свой круг задач он решает. И то что к нему хотят постоянно вернуться, даже на глобальном уровне. Как раз та самая идеальная абстрактная концепция.
The Elegant Network
Lessons from load balancers and multicast
There is a lot to learn from the applications that run on the network that are applicable to networking.
Comcast рекламирует свой VinylDNS. Выглядит симпатично, обещает много, opensource,
API, есть в списке инструментов у ISC. По хорошему, надо совмещать с IPAM и другими инструментами учёта, если конечно не делать сервис DNS ради DNS.Opensource.com
Why Comcast open sourced its DNS management tool
Adoption of DevOps practices at Comcast led to increased automation and configuration of infrastructure that supports applications, back-office, data centers, and our network. These practices require teams to move fast and be self-reliant. Infrastructure…
Забавная вещица, это даже, или пока, не эмулятор Cisco или чего-то ещё, это простейший эмулятор консоли Cisco, некоторых её команд. На ввод отвечает заготовленным шаблоном, конкретный шаблон для команды настраивается в текстовых файликах. Функционально - это повторитель-ответчик на пользовательский ввод. А куда кривая разработки дальше выведет, вопрос открытый.
В таком варианте подойдёт для тестирования ботов работающих с устройствами через
В таком варианте подойдёт для тестирования ботов работающих с устройствами через
SSH, тот же Ansible. Заранее готовится произвольный ответ и оценивается реакция на него.GitHub
GitHub - tbotnz/cisshgo: simple concurrent ssh server posing as cisco ios
simple concurrent ssh server posing as cisco ios. Contribute to tbotnz/cisshgo development by creating an account on GitHub.
Основательный разбор RPKI от ICANN, что к чему (но про это много кто пишет), а также риски и ограничения: технические, операционные - где стоит сразу подстелить соломки.
Больше документов, в том числе и на русском, с глубоким техническим анализом Интернет технологий, на самые злободневные темы от COVID-19 до 5G.
Больше документов, в том числе и на русском, с глубоким техническим анализом Интернет технологий, на самые злободневные темы от COVID-19 до 5G.
Forwarded from Записки админа
В самом конце университета, чуть ли не на последней паре, почти инженеры слушали своего однокашника почти аспиранта про
SSL, насколько я помню. Никто уже, конечно, не слушал и наверное нашему другу было не просто читать эту лекцию. А теперь только самому разбираться.Forwarded from linkmeup
Мне кажется, что в сети нет более полного описания TLS на русском языке. Местами расписано до отдельных байт. И что радует отдельно - это не переводная калька с забугорных ресурсов, а самописный и поддерживаемый в актуальном виде документ. Есть даже описание режима CCM из TLS 1.3.
Без поллитры не заходить! TLS на таком уровне – это сложно.
https://tls.dxdt.ru/tls.html
Без поллитры не заходить! TLS на таком уровне – это сложно.
https://tls.dxdt.ru/tls.html
100 лет не пользовался
PRTG, но я помню, что вещь очень классная и удобная и красивая для графиков, платная. По визуальному оформлению мне Cacti ещё нравится, но там не так удобно.Forwarded from Мониторим ИТ
PRTG объявил об альянсе с Flowmon. В практическом плане это означает интеграцию двух решений. Работает на основе встроенных в PRTG сенсорах:
- Сенсор SNMP, который контролирует устройства Flowmon.
- Сенсор Python Script для отображения значений мониторинга из Flowmon в PRTG.
События из Flowmon будут видны в PRTG, из которого будет возможен переход в Flowmon для диагностики проблемы. Если хотите узнать подробнее о работе этой интеграции, приходите 16 сентября на вебинар, который проводят совместно PRTG и Flowmon.
- Сенсор SNMP, который контролирует устройства Flowmon.
- Сенсор Python Script для отображения значений мониторинга из Flowmon в PRTG.
События из Flowmon будут видны в PRTG, из которого будет возможен переход в Flowmon для диагностики проблемы. Если хотите узнать подробнее о работе этой интеграции, приходите 16 сентября на вебинар, который проводят совместно PRTG и Flowmon.
IT и программисты почти синонимы, когда-то это были более тесные понятия. Тот кто больше в теме знает и про другие специальности и что программисты тоже бывают разные, кто меньше для него существуют лишь одни программисты. В любом случае, умение составить программу, на любом языке, это как азбука в современных IT, а сейчас это ещё и модно.Сегодня 256 день года, если считать с 1 (но кто же так считает) и день программиста, того самого настоящего, я надеюсь. Который знает алгоритмы и предметную область, умеет работать с ТЗ, пишет компиляторы и придумывает новые языки, эрудит и полиглот. Поэтому всех этих настоящих программистов поздравляем с их праздником!
Буквально пару часов осталось до того момента когда время Unix перевалит за
1600000000, а ещё шанс сделать красивый скриншот.
От мастера делать "странные" вещи, просто потому что это можно сделать - передаём IP трафик через Fiber Channel. Конечно, не используя встроенные в протокол возможности, а симулировав два
SCSI устройства для этого. Результат ~500Мбит/c - не ахти, но и скорость не была самоцелью.IRRd - инструмент для создания собственной, локальной базы данных с зарегистрированными объектами маршрутизации Интернет -
IRR в RPSL формате. Теперь, начиная с версии 4.1.0 и с учётом данных RPKI. Когда хочется иметь свою RIPE DB под боком.Дьявол обитает в мелочах, иногда эти мелочи обходятся ой как дорого. Статья про то в чём разница между direct и local маршрутами в JunOS и почему это имеет значение. Интуитивно понятно, но практика не всегда совпадает с теорией.
Lindsay Hill
Juniper Direct vs Local Routes
Juniper routers consider a directly configured IP as a “direct” route, except when you use a /32 mask (for IPv4). Then it is a “local” route. This caused me some confusion when creating a policy to redistribute loopback IP addresses into BGP.
Само по себе представленное оборудование - нормальное, не без особенностей, но рабочее, можно радоваться за Eltex и RDP.
А вот что из этого хотят построить... Как минимум, это точка отказа: отсутствие интеграции в существующую экосистему провайдера, с неизвестными рисками по надёжности и нагрузке, увеличение всех временных интервалов модернизации чего-либо и аварийных ситуаций и всё за свой счёт. Провайдеру остаётся, всё ещё, последняя миля, всё ещё...
А вот что из этого хотят построить... Как минимум, это точка отказа: отсутствие интеграции в существующую экосистему провайдера, с неизвестными рисками по надёжности и нагрузке, увеличение всех временных интервалов модернизации чего-либо и аварийных ситуаций и всё за свой счёт. Провайдеру остаётся, всё ещё, последняя миля, всё ещё...
Forwarded from Эшер II A+
По закону «об устойчивом Рунете» операторы должны устанавливать за свой счет технические средства противодействия угрозам (ТСПУ). Сами средства — за счет государства
⚡️⚡️⚡️ Появились первые публичные попытки внедрения ТСПУ операторам. Как и предполагалось ранее, это просто фильтры, в данном случае EcoFILTER производителя RDP.ru. Роскомнадзор предлагает выделить 9 юнитов (это специальные места для серверов, высота «юнита» - 1.75 дюйма или 1 вершок), 2кВт электричества, монтаж, бесперебойное питание и так далее
👉 Что внутри?
🔸 Байпасс оптический IS401U (это такая штука, чтобы можно было штатно пускать интернет в обход следующей штуки)
🔸Фильтр EcoFILTER-4080 (это штука, которая сражается с разрушительными твитами и юморесками)
🔸Криптошлюз IPC-100 (не буду строить умного — я не знаю что это)
🔸Коммутатор MES3348 (это такая коробочка, куда втыкаются провода для общения друг с другом)
🔸Коммутатор MES5332A (не знаю зачем их две)
🔸СПХД (система передачи и хранения данных, диски по нашему)
🔸СПФС (никто так и не выяснил, что это)
🔸2 органайзера для укладки оптического кабеля (почему не три? или вот четыре?)
❌ Всё это выглядит смешно пока мы говорим о крупных городах. Четверть стойки и половина электричества этой стойки в датацентре — эка невидаль. Но интернет не заканчивается большими городами. В некоторых случаях это надо искать новое помещение для узла связи
💰 Пояснительные записки к закону и подзаконным актам говорили, что провайдеры не понесут расходов. По рыночым ценам вот это все сверху это примерно 20000 рублей в месяц в датацентре в Москве/Питере. Не считая покупки шкафов, бесперебойников и так далее. Вроде копейки, но давайте будем честными — можете или хотите вы отдавать эти «копейки» ежемесячно в помойку? Если ответ «да», давайте мне. Я найду им применение. Буду вкусно есть. Трансмиссию на велосипеде обновлю. Мембранную куртку на зиму куплю. Или вот найдите любимого провайдера и проспонсируйте ему установку ТСПУ лет на несколько вперед
👍👍👍 Компания «Ордерком» https://t.iss.one/ordercomru в лице Дмитрия Галушко уже опубликовала на форуме Nag.ru правовую позицию по ситуации:
https://nag.ru/articles/article/107751/pravovaya-pozitsiya-dlya-osparivaniya-v-sude-nezakonnyih-deystviy-organov-roskomnadzora.html
✅ Дмитрий обращает внимание на то, что к ТСПУ должны быть установлены требования. Которые на данный момент не установлены. И ТСПУ как средство связи должно иметь сертификат или декларацию Системы сертификации Связь (ССС). Которых тоже никто не видел и увидеть не может, потому что требования так и не установлены
⚡️⚡️⚡️ Появились первые публичные попытки внедрения ТСПУ операторам. Как и предполагалось ранее, это просто фильтры, в данном случае EcoFILTER производителя RDP.ru. Роскомнадзор предлагает выделить 9 юнитов (это специальные места для серверов, высота «юнита» - 1.75 дюйма или 1 вершок), 2кВт электричества, монтаж, бесперебойное питание и так далее
👉 Что внутри?
🔸 Байпасс оптический IS401U (это такая штука, чтобы можно было штатно пускать интернет в обход следующей штуки)
🔸Фильтр EcoFILTER-4080 (это штука, которая сражается с разрушительными твитами и юморесками)
🔸Криптошлюз IPC-100 (не буду строить умного — я не знаю что это)
🔸Коммутатор MES3348 (это такая коробочка, куда втыкаются провода для общения друг с другом)
🔸Коммутатор MES5332A (не знаю зачем их две)
🔸СПХД (система передачи и хранения данных, диски по нашему)
🔸СПФС (никто так и не выяснил, что это)
🔸2 органайзера для укладки оптического кабеля (почему не три? или вот четыре?)
❌ Всё это выглядит смешно пока мы говорим о крупных городах. Четверть стойки и половина электричества этой стойки в датацентре — эка невидаль. Но интернет не заканчивается большими городами. В некоторых случаях это надо искать новое помещение для узла связи
💰 Пояснительные записки к закону и подзаконным актам говорили, что провайдеры не понесут расходов. По рыночым ценам вот это все сверху это примерно 20000 рублей в месяц в датацентре в Москве/Питере. Не считая покупки шкафов, бесперебойников и так далее. Вроде копейки, но давайте будем честными — можете или хотите вы отдавать эти «копейки» ежемесячно в помойку? Если ответ «да», давайте мне. Я найду им применение. Буду вкусно есть. Трансмиссию на велосипеде обновлю. Мембранную куртку на зиму куплю. Или вот найдите любимого провайдера и проспонсируйте ему установку ТСПУ лет на несколько вперед
👍👍👍 Компания «Ордерком» https://t.iss.one/ordercomru в лице Дмитрия Галушко уже опубликовала на форуме Nag.ru правовую позицию по ситуации:
https://nag.ru/articles/article/107751/pravovaya-pozitsiya-dlya-osparivaniya-v-sude-nezakonnyih-deystviy-organov-roskomnadzora.html
✅ Дмитрий обращает внимание на то, что к ТСПУ должны быть установлены требования. Которые на данный момент не установлены. И ТСПУ как средство связи должно иметь сертификат или декларацию Системы сертификации Связь (ССС). Которых тоже никто не видел и увидеть не может, потому что требования так и не установлены
Интереснейший отчёт о состоянии точек обмена трафиком за прошедшие два года 2018-2019, это не весь Интернет, но очень важная его часть. Есть трафик, количество участников, цены, используемое оборудование как самими точками так и их участниками. Отчёт составлен на основе данных IXPDB, не менее интересного проекта, откуда можно много чего вытащить самостоятельно, подробно по России например.
Собственно, достаточно много данных есть у любого участника IX: вот так просто собираются и анализируются маки из публичного вилана. Но это в моменте, интереснее следить за трендами.
Топ 3 оборудования участников: Cisco, Juniper и Микротик - это помимо всего прочего показывает, что, как минимум, на IX, рулят "железные" решения. И хватит уже относиться к Микротику как к младшему брату. Топ оборудования самих IX совсем-совсем другой.
Собственно, достаточно много данных есть у любого участника IX: вот так просто собираются и анализируются маки из публичного вилана. Но это в моменте, интереснее следить за трендами.
Топ 3 оборудования участников: Cisco, Juniper и Микротик - это помимо всего прочего показывает, что, как минимум, на IX, рулят "железные" решения. И хватит уже относиться к Микротику как к младшему брату. Топ оборудования самих IX совсем-совсем другой.
Forwarded from ЗаТелеком 🌐
Постоянная рубрика #азнаетеливычто за телеком, разумеется.
Например, сигнал ответа телефонной станции (это когда вы снимаете трубку и слышите непрерывный гудок) - 425 Гц. Это в СССР-е так было, и перешло в Россию наследственно.
Но в этих ихних Европах-США - сигнал 440 Гц.
Почему именно столько?
Очень просто. Это нота "ля" в первой октаве. Ровно 440 Гц. Почему столько - не спрашивайте. У музыкантов какой-то столетний холивор по этой теме идет. Кто-то хотел чтоб было 432 Гц. Но фишка в том, что музыканты, как и все гуманитарии, в этих наших герцах ничего не понимают, и настраивают инструменты на слух, а не по приборам.
Поелику частота энергосети в США - 60 Гц, то генератор на 440 Гц собрать проще - это в семь и одну третью раз быстрее - умножай входящие частоты и все. Трансформатор, два диода, два конденсатора - вся схема.
Так вот. Голый синусоидальный сигнал 440 Гц, на самом деле, звучит противно. А телефонисты не имеют генераторов обертонов и полутонов. Но противно же!
Настолько противно, что когда в 195-х годах стали массово запускать АТС (да-да - до этого были в основном "барышни"!), то тогдашний президент США Эйзенхауер просто отказался сам набирать номера - видите ли ему было неприятно - и за него номера абонентов ему набирал специально обученный референт-телефонист.
И тогда доблестная AT&T, как законодатель телеком-моды того времени, запилили два генератора и смешали две синусоиды на 360 и 440 Гц. Так тон ответа станции стал гораздо более лучше.
А жадные сссровские разрабы - поленились ставить два генератора. Дорого же! Но чтоб как-то отличаться от проклятых империалистов, взяли и настроили сигнал ответа станции на "ля-бемоль". Ну, почти. Или "соль-диез" даже. 425 Гц. Ровно в 8,5 раз быстрее частоты энергосети - так генератор проще считался.
А "короткие" и "длинные" гудки - это самый простой способ сигнализации человеку (ИНТЕРФЕЙС!!!) о состоянии вызова. Они звучат в той же частоте (таки генератор - дорого!), но длительность гудка "посылка вызова" был одну секунду (в США - две секунды) с паузой четыре секунды, а короткие гудки "занято" (или "что-то пошло не так") - 0,25 секунды длительность, и 0,25 секунды пауза. Хотя, на самом деле, никто не заморачивался за точность, конечно. Паузы и длительность постоянно "гуляли" в разные стороны.
Кроме AT&T. У Эйзенхауера-то не забалуешь.
PS: про умножитель частот на диодах читать тут, например: https://www.club155.ru/generators-freqmult
PS2: коэффициенты 7 1/3 и 8 1/2 на самом деле достаточно "круглые". Потому что мы имеем дело с синусоидой. Луркайте "функция Берга" и прочий матан. 7 1/3 - это "угол отсечки" примерно 50 градусов, а 8,5 - примерно 40.
Например, сигнал ответа телефонной станции (это когда вы снимаете трубку и слышите непрерывный гудок) - 425 Гц. Это в СССР-е так было, и перешло в Россию наследственно.
Но в этих ихних Европах-США - сигнал 440 Гц.
Почему именно столько?
Очень просто. Это нота "ля" в первой октаве. Ровно 440 Гц. Почему столько - не спрашивайте. У музыкантов какой-то столетний холивор по этой теме идет. Кто-то хотел чтоб было 432 Гц. Но фишка в том, что музыканты, как и все гуманитарии, в этих наших герцах ничего не понимают, и настраивают инструменты на слух, а не по приборам.
Поелику частота энергосети в США - 60 Гц, то генератор на 440 Гц собрать проще - это в семь и одну третью раз быстрее - умножай входящие частоты и все. Трансформатор, два диода, два конденсатора - вся схема.
Так вот. Голый синусоидальный сигнал 440 Гц, на самом деле, звучит противно. А телефонисты не имеют генераторов обертонов и полутонов. Но противно же!
Настолько противно, что когда в 195-х годах стали массово запускать АТС (да-да - до этого были в основном "барышни"!), то тогдашний президент США Эйзенхауер просто отказался сам набирать номера - видите ли ему было неприятно - и за него номера абонентов ему набирал специально обученный референт-телефонист.
И тогда доблестная AT&T, как законодатель телеком-моды того времени, запилили два генератора и смешали две синусоиды на 360 и 440 Гц. Так тон ответа станции стал гораздо более лучше.
А жадные сссровские разрабы - поленились ставить два генератора. Дорого же! Но чтоб как-то отличаться от проклятых империалистов, взяли и настроили сигнал ответа станции на "ля-бемоль". Ну, почти. Или "соль-диез" даже. 425 Гц. Ровно в 8,5 раз быстрее частоты энергосети - так генератор проще считался.
А "короткие" и "длинные" гудки - это самый простой способ сигнализации человеку (ИНТЕРФЕЙС!!!) о состоянии вызова. Они звучат в той же частоте (таки генератор - дорого!), но длительность гудка "посылка вызова" был одну секунду (в США - две секунды) с паузой четыре секунды, а короткие гудки "занято" (или "что-то пошло не так") - 0,25 секунды длительность, и 0,25 секунды пауза. Хотя, на самом деле, никто не заморачивался за точность, конечно. Паузы и длительность постоянно "гуляли" в разные стороны.
Кроме AT&T. У Эйзенхауера-то не забалуешь.
PS: про умножитель частот на диодах читать тут, например: https://www.club155.ru/generators-freqmult
PS2: коэффициенты 7 1/3 и 8 1/2 на самом деле достаточно "круглые". Потому что мы имеем дело с синусоидой. Луркайте "функция Берга" и прочий матан. 7 1/3 - это "угол отсечки" примерно 50 градусов, а 8,5 - примерно 40.
www.club155.ru
Умножители частоты - Club155.ru
Довольно часто при построении схем разнообразных генераторов и синтезаторов частот возникает необходимость в преобразовании сигналов одной частоты в сигналы большей частоты. Это можно сделать при помощи описанных в разделе Смесители схем смесителей (обеспечив…