Сетевые технологии *

Мы с женой уже несколько лет работаем дистанционно. Не потому что ковид и самоизоляция. Мы путешествовать любим, а «удалёнка» позволяет совмещать приятное с полезным.

С недавнего времени «рабочую» часть нашего багажа пришлось пополнить аппаратными ключами доступа. Токенами сегодня защищают не только банковские сервисы и торговые площадки, но даже корпоративные системы документооборота. В теории всё это должно выглядеть замечательно, но на практике решение одних проблем всегда приводит к появлению других.

Привет, Хабр! Мы продолжаем разбирать наиболее примечательные моменты майской кибербитвы The Standoff. Это отличный шанс подготовиться к новому противостоянию, которое пройдет уже 15 и 16 ноября. Еще не знаете подробностей? Читайте их в нашем блоге.

Сегодня расследуем ряд атак на периметре и внутри сети, выявленных нашей NTA-системой — PT Network Attack Discovery (PT NAD). Разберем, какие тактики и техники по матрице MITRE ATT&CK использовали атакующие для проникновения в инфраструктуру и на дальнейших этапах, и обсудим, могут ли подобные инциденты произойти в реальности. Это заключительная часть цикла материалов, посвященного результатам работы наших решений на The Standoff 2021. Если пропустили наши статьи, то скорее читайте о том, что интересного поймала наша песочница PT Sandbox, как межсетевой экран уровня приложений PT Application Firewall помогал защищать город от нападающих и какую секретную информацию об атаках нам поведал MaxPatrol SIEM.

pfBlockerNG? Что это? Далеко немногие используют функционал pfSense на полную - а ведь данный пакет является по сути opensource решением близким к Cisco Firepower Security Intelligence и OpenDNS, ну а из free аналогов наиболее близок к FireHOL.

Основные фичи - Блокировка IP по географическому признаку используя MaxMind GeoIP; Блокировка доменов по категориям использую списки Shallalist и UT1; Поддержка IP/DNSBL фидов в разных форматах - TXT, CSV, JSON, ASN, WHOIS, Regexp; Блокировка великого и ужасного DNS-over-HTTPS; Поддержка SafeSearch - переадресация поисковых запросов Google/Youtube/Yandex/Bing/DuckDuckGo на "безопасную" версию для фильтрации контента не предназначенного для детей; Детальное ведение лога, статистики и построение отчётов/диаграмм.

Сейчас, когда наши платформы работают в обычном режиме после вчерашнего сбоя, я подумал, что стоит рассказать немного подробнее о том, что произошло и почему. И, что наиболее важно, какие уроки мы извлекли из этого....

При расширении зоны действия Wi-Fi увеличением числа точек доступа, управляемых шлюзом Zyxel VPN300 (сначала был Zyxel UAG5100), увеличилось количество гостей и проблемы начались в час пик со скоростью интернета, открытием сайтов, шустростью сёрфинга. Уже не успевал мониторить/конфигурировать комплекс и оперативно реагировать на заявки.

Помощника не дали, как это своими силами лечилось и чем настраивалось, делюсь опытом для всех и проведу краткую экскурсию по функциям.

Прим. перев.: в этой статье инженеры онлайн-сервиса Cloudflare весьма популярно объясняют, что именно (технически) произошло с недоступностью Facebook минувшим вечером (4-го октября 2021), а также затрагивают тему того, как этот сбой повлиял на более глобальные процессы в интернете.

«Разве Facebook может упасть?» — задумались мы на секунду…

Сегодня в 16:51 UTC (в 19:51 MSK — прим. перев.) у нас был открыт внутренний инцидент под названием «Facebook DNS lookup returning SERVFAIL». Мы решили, что это с нашим DNS-ресолвером 1.1.1.1 что-то не так. Однако к моменту размещения соответствующего обновления на публичной статус-странице стало ясно, что здесь что-то серьёзное.

Социальные сети уже разрывались от сообщений о том, что быстро подтвердили и наши инженеры: Facebook и связанные с ним сервисы WhatsApp и Instagram действительно упали. Их DNS-имена больше не ресолвились, а IP-адреса инфраструктуры были недоступны. Выглядело так, как будто кто-то буквально выдернул кабели разом во всех их дата-центрах, отключив от интернета.

Как такое вообще возможно?

Ранее в нашем блоге мы рассказывали о том, как настроить мониторинг сервера Zimbra OSE с использованием такого популярного решения как Zabbix. Однако помимо Zabbix для мониторинга состояния серверов и сервисов также активно используется и другое решение - Nagios. Оно также имеет открытый исходный код и бесплатную версию, и также может использоваться для мониторинга сервера Zimbra OSE. В данной статье мы расскажем о том, как установить Nagios на сервер с Ubuntu 18.04, а также о том, как настроить в нем наблюдение за состоянием самого сервера и различных сервисов Zimbra OSE.

Давно не было на Хабре новостей про новые версии pfSense - последняя новость датируется 2014 годом и рассказывает ещё о pfSense 2.1.5. Последняя стабильная Community Edition версия pfSense на сегодня - 2.5.2 (вышла в июле 2021). О ней и пойдёт речь, точнее о доступном функционале и полезных фишках. Так как нового накопилось довольно много, будет цикл статей по разным сервисам файрвола (уведомления в Telegram!) и его пакетам (Squid, pfBlockerNG, Snort/Suricata). А сейчас VPN.

Как бы хороша ни была ваша CDN, часть пользователей будет мучаться с её настройкой. Нам, как одному из топ-3 европейских CDN-провайдеров, очень хотелось сократить число таких пользователей до минимума. Для этого пришлось повозиться с интерфейсом личного кабинета, разработать плагины для CMS и, что самое главное, интегрировать CDN с DNS-хостингом. Теперь пользователи в no-code режиме подключают сеть доставки контента к своим сайтам за несколько минут. Рассказываем, как мы это сделали.

Мы подготовили статью-гайд для пошаговой сборки и запуска базовой прошивки с CPSS на отладочной плате Marvell RD-AC3X-48G4X2XL-A. Эта плата предназначена для проектирования и отладки управляемых коммутаторов до 48 портов. Чем она примечательна для инженера-разработчика? У нее на борту установлен коммутатор Marvell Prestera DX 98DX3257 с мощной СнК семейства Prestera. А Ethernet-коммутаторы Prestera DX позволяют реализовать 5G при самой низкой в отрасли мощности и занимаемой площади. 

А что касается CPSS, то это базовый программный уровень для железа Marvell Prestera или, другими словами, Core Prestera Software Suite. CPSS используется в проекте Open Compute Project как часть открытой операционной системы SONiC. Эта операционка расширяет функции центра обработки данных в сложных системах, например, в системах интеллектуального хранения данных и машинного обучения.

Статья будет о Wi-Fi контроллерах точек доступа и вообще, действительно он нужен?

Поводом написания статьи было поручение выполнить в 2015 году постановление правительства РФ что «качественный, быстрый беспроводной интернет в высших учебных заведениях должен быть доступен круглые сутки» с соблюдением двух постановлений по авторизации и организовать роуминг Wi-Fi гостей между аудиториями, конференц-залами и вестибюлями. Интернет местных сотовых операторов проседал, у всех было большой проблемой отправить/получить сообщение, посмотреть погоду.

Поручение казалось невыполнимым из-за отсутствия готовых примеров, кейсов с разумной ценой, ограниченного времени на выбор и бюджета.

Об этом спрашивают на собеседованиях. Структурированное понимание этого может помочь вам, даже если вы давно строите сложные архитектурные процессы или кодите 20-ый год подряд. Я — программист уже много лет, последние пару из которых пишу на Go в Каруне. Работа работой, а внутренний исследователь не дремлет. И вот я наконец-то решил привести в порядок информацию, разбросанную по разным закоулкам чертогов разума, по добротным книгам и статьям на тему сетевых технологий.

Хочу представить краткую выжимку о работе протоколов. А если тема окажется интересной, могу продолжить работать с ней более детально. Рассмотрим простейший пример: вы ввели некоторый url в адресную строку. Поехали.

Инженеры MIT представили чип, способный работать с любым типом данных, передаваемых по сети. Под катом обсуждаем возможности и перспективы разработки, а также альтернативные решения для квантовых компьютеров.

Когда предыдущие поколения связи сдадутся современным стандартам.

По оценкам GSMA*, к 2025 году технологией 4G (LTE) в России будет пользоваться 81% мобильных абонентов, тогда как на 2G (GSM) и 3G (UMTS) будет приходиться 7% и 4% соответственно. В ассоциации констатируют, что во всем мире наметился тренд на вывод из эксплуатации сетей связи второго и третьего поколения. С одной стороны, операторы не хотят нести расходы по поддержке устаревших технологий, с другой – заинтересованы в перераспределении освобождающегося радиочастотного спектра. Однако в ближайшей перспективе отключение сетей 2G и 3G может стать проблемой для больших социальных групп и целых индустрий, отмечают эксперты.

Коллеги, этот пост, в отличие от предыдущих, полезен будет не всем. Он даже на полноценный пост не очень тянет, это скорее подсказка.

Но есть большое количество компаний (обладателей номеров автономных систем), которых сейчас в принудительном порядке заставляют использовать "Национальную систему доменных имен" в качестве апстрим-DNS, мотивируя это, конечно же, необходимостью повышения стабильности работы российского сегмента сети Интернет в условиях, когда коварный запад только и думает, как оборвать России связность (а мы их опережаем и обрываем ее изнутри). А побочная функция, что НСДИ не резолвит заблокированные в РФ домены - это так, случайность, неожиданная фича.

Можно было бы, конечно, порадоваться за такое беспокойство о качестве, но немного смущает, что владелец автономной системы обязан использовать только НСДИ, что напоминает складывание всех яиц в одну корзину, а учитывая качество работы НСДИ - и не в очень-то крепкую корзину. А за неподключение предусмотрены штрафы.

Я всецело поддерживаю повышение стабильности работы российского сегмента сети Интернет и предлагаю компаниям, попавшим под такое требование, решение, которое повысит стабильность еще больше, чем при подключении к НСДИ, но при этом со стороны НСДИ к вам претензий не будет.

Решение простое как блин, в общем-то. НСДИ детектирует подключение к ней по наличию запросов, но совершенно не может определить, что вы делаете с ответами.

Поэтому для тех компаний, масштаб которых позволяет использовать в качестве рекурсивного DNS-сервера dnsmasq, все становится просто и легко.

Предлагаю ознакомиться с ранее размещенными материалами по проекту Starlink (SL):

‣ Часть 28. Использование StarLink на движущихся объектах
‣ Часть 29. Страны, где сервис начнет предоставляться в первую очередь
‣ Часть 30. Сравнение сервиса StarLink с сервисами других операторов ШПД
‣ Часть 31. Описание антенны Ка-диапазона
‣ Часть 32. Проблемы терминалов StarLink из-за перегрева
‣ Часть 33. Прошивка Терминала
‣ Часть 34. SpaceX планирует купить компанию SWARM

Проблема StarLink и LEO группировок, о которой пока мало кто задумывается...