Обложка канала

Патчкорд. Страница 9

1403 @patchcord
Открыть

Блог сетевого инженера. Новости телеком, IT и околоIT.

  • Патчкорд

    Cisco ClamAV, наконец-то, дозрел до версии 1, но с термином "свободный" надо что-то сделать :). В своё время, в списке рассылки для админов поддерживающих Centos репозитории меня удивило что репозитории в Иране не добавляют в общий лист, без каких-то других ущемлений - скачивай, обновляйся, держи локально, но иметь общедоступные для всех серверы в Иране нельзя, ибо юрисдикция США. А так, я как-то раньше даже пользовался в связке с hMailServer для Windows, за неимением альтернатив.

  • Патчкорд

    Не все traceroute одинаковы, но мы ведь это и так знали. В iputils, так смутивший автора, сейчас одинаковые по поведению tracepath -6 и tracepath6, к которым можно добавлять опцию -p, чтобы конкретизировать порт на который отправится первый пакет и который будет увеличиваться на один с каждым новым пакетом. -p 33434 - сделает его похожим на классический traceroute, также это решит возможные проблемы с файрволлами, которые тихо фильтруют UDP порты за рамками возможных значений классического traceroute, поэтому эту опцию лучше использовать. Для привычного traceroute, в моём CentOS Stream отдельный пакет, не стоящий по умолчанию, и в нём поведение traceroute -6 и traceroute6 тоже одинаково. Если хотите определённости - обновляйтесь и не смешивайте одинаковые утилиты из разных источников.
    Linux’ Traceroute

    The other day I just wanted to capture some basic Linux traceroutes but ended up troubleshooting different traceroute commands and Wireshark display anomalies. Sigh. Anyway, I just added a few Linu…

    Weberblog.net

  • Патчкорд

    Ошибки в настройках сетевых устройств являются одной из часто встречающихся причин взлома организаций, один из часто используемых векторов атак у злоумышленников. Компания Titania провела опрос 160 американских организаций о том как они работают с таким риском кибербезопасности и получили следующие результаты: 🔶 На снижение риска ошибок конфигурирования сети закладывается примерно 3,4% ИТ-бюджета (у нас поменьше, наверное). При этом, возможные убытки в случае наступления риска оцениваются в 9% дохода организации. 🔶 Больше половины опрошенных организаций проводят проверку конфигураций сетевых устройств не чаще раза в год. При этом 1% организаций делают это раз в неделю. 🔶 96% организаций проверяют настройки только межсетевых экранов, забывая про коммутаторы и маршрутизаторы. 🔶 В среднем организации обнаруживают 59 ошибок в конфигурациях в год, 5% из которых являются критическими (грубо говоря, прямой доступ во внутреннюю сеть). 🔶 Устранение ошибок в настройках сетевых устройств занимает в среднем до двух дней.

  • Реклама

  • Патчкорд

    Про только файрволлы могу подтвердить, собственно, как ни странно, это наверно самый из понятных для условного ибшника механизмов - доступ открыть/закрыть и для чего. И больше всего раздражающий сетевика, кстати. Могу предположить, что если в организации и есть процесс проверки конфигурации сетевых устройств, то он базируется на каких-то из требований сертификации, тех же ISO 27000 или PCI DSS, где много про доступы и ограничения, отсюда и файрволлы.

  • Патчкорд

    А как бы вы убивали Интернет? Вот один из способов, комментарий тоже прочитайте. И я бы не рассматривал это с точки зрения только IPv6, где проблему можно сделать потому что каждый обладает очень большим адресным пространством. В IPv4 - массовый и легитимный анонс всего своего адресного пространства в префиксах по /24 может привести даже к более плачевным результатам, потому что размер BGP таблицы маршрутизации уже очень большой и лишние 100К могут сделать дело намного эффективнее, чем лишние 500К в IPv6. Сейчас префиксов /24 в IPv4 таблице чуть меньше 60%, а /48 в IPv6 чуть больше 45% так что есть что деагрегировать. Смотрим за статистикой @FullViewBGPbot или @bgp_table_bot и не забываем поставить лимиты и триггеры там где это необходимо.
    Yes, de-aggregation can be bad. No, it’s not ‘game over’ | APNIC Blog

    How to mitigate a BGP attack that leverages the vast address space of IPv6.

    APNIC Blog

  • Патчкорд

    Всякий раз, ну почти, когда приходится обращаться в тех.поддержку вас попросят перезагрузить роутер. И в общем, совсем не имеет значения, что ваш роутер это вовсе не мыльница с WiFi и даже не Микротик, а вы вовсе не пользователь домашнего Интернета. Такое встречается не только между провайдером и клиентом, но и между провайдерами тоже. Причины просты, исключить ошибку той самой мыльницы с другого конца кабеля и это работает в случае усреднённого массового сервиса, но даже в этом случае может сыграть против. Когда выученный пользователь при любых проблемах перезагружает роутер провоцируя, например, массовое обращение к системе авторизации и загоняя аварийную ситуацию в ещё больший тупик. Не берусь судить, но, наверное, в среднем массовый корпоративный клиент такой же пользователь с мыльницей, но кому как ни провайдеру об этом должно быть известно, чтобы отделять мух от котлет и не просить перезагружать маршрутизатор на 100500 подключений, ради проверки одного своего упавшего канала.

  • Патчкорд

    Интересное исследование степени централизации DNS: www.potaroo.net/ispcol/…ctl.html TL/DR: рекурсивный DNS в целом не централизован, но открытые рекурсивные DNS высоко централизованы и Google имеет больше двух третей в этом сегменте (на картинке - централизация публичных рекурсивных DNS по экономикам). Сервис авторитетных DNS серверов умеренно централизован, четыре крупнейших провайдера (Amazon, Google, Cloudflare и Akamai) контролируют около 57.3% доли.

  • Патчкорд

    Подарок доставлен и теперь я тоже в деле. Это не с Kickstarter, там я поддерживал лишь морально. Пока не включал стараясь максимально растянуть удовольствие. Надеюсь, что смогу поковырять поглубже готового функционала и что мой SOC отнесётся с пониманием ;). А ещё я очень рад что у @zhovner_hub и всей команды всё получилось.

  • Патчкорд

    Хороший обыгрыш известной шутки - это наша страшная тайна, static route ещё и NAT. Не знаю как у вас с твиттером, поэтому картинкой, стащил отсюда.

  • Патчкорд

    Как работает Wine - попытка объяснить это просто, но куски кода, элементарные, на ассемблере и Си увидеть придётся. На самом деле, то что вообще у нас есть Wine при всей сложности современных ОС и Windows особенно, можно только поражаться.
    How Wine works 101

    Wine is a compatibility layer capable of running Windows applications on several POSIX-compliant operating systems, such as Linux, macOS, & BSD (https://www.winehq.org). If you have been using Linux for some time now, chances are you’ve used Wine at some point. Maybe to run that one very important Windows program that doesn’t have a Linux version or maybe to play World of Warcraft or some other game. Fun fact, Valve’s Steam Deck uses a Wine-based solution to run games (called Proton).

    werat.dev

  • Патчкорд

    Russ White в 7 небольших заметках (1, 2, 3, 4, 5, 6, 7) растянутых на полгода, которые можно было объединить в одну, рассказывает про основы приватности с точки зрения сети - вас могут вычислить по IP. Поэтому сетевым инженерам стоит относиться к IP адресу и к любой собираемой технической информации как к персональным данным клиента/абонента, утечка которых не сильно отличается от утечки паспортных данных и ничем хорошим не кончится. Вас взломают, это дело времени, готовьтесь к этому. А вот с точки зрения нашего государства у вас нет конфиденциальности в Интернете, сессии с вашим IP регистрируются и хранятся, а с приходом закона Яровой ещё и куча метаданных сверху. Интернет по паспорту уже давно с нами.
    Privacy And Networking: Part 1 - Why Privacy? - Packet Pushers

    In the first post on a series on privacy and networking, Russ White makes the case that privacy matters not just for infosec, risk management, or compliance, but as a human right.

    packetpushers.net

  • Патчкорд

    Список лучших конференций для сетевиков из которого я узнал про ONUG, AWS re:Invent и WLPC (почти случайный отзыв о мероприятии). Наши Yandex.NextHop и Пиринговый форум уже совсем скоро в очном формате после долгого перерыва, хоть и не попали в список 7 лучших, достойны посещения. Программы представлены, регистрация открыта.
    Top 7 Network Engineering Conferences Ranked

    Here’s a list of my favorite networking-focused events ranked with number 1 being the best. “Best” means a conference or event that either had a ton of relevant networking content…

    {networkphil}

  • Патчкорд

    Ограничивайте доступ к консоли контролируемых вами устройств настолько насколько можете, пусть даже это будет не очень удобно. Автор сосредоточился на WEB интерфейсах и WEB API, с конкретными примерами CVE, как более сложных системах которые сами по себе могут иметь уязвимости. Но в целом дело конечно не в этом. В текстовой консоли тоже можно наворотить дел если получишь к ней доступ.
    Management Interfaces - Attack Surface Hidden in Plain Sight

    Management interfaces increase your external attack surface and their vulnerabilities represent practical attack vectors into your organization.

    public-exposure.inform.social

  • Патчкорд

    GitHub - srl-labs/nokia-segment-routing-lab

    Contribute to srl-labs/nokia-segment-routing-lab development by creating an account on GitHub.

    GitHub

  • Патчкорд

    Everything is an X

    Analysis and examples of the popular high-level pattern of making all the things in your system conform to a common interface.

    Luke Plant's home page

  • Реклама

  • Патчкорд

    Secure RADIUS

    This document defines Secure RADIUS (SRADIUS), which is a transport profile for RADIUS. There are three changes from traditional RADIUS transport protocols. First, TLS transport is required and insecure transports are forbidden. Second, the shared secret is no longer used, and all MD5-based packet signing and attribute obfuscation methods are therefore no longer necessary. Finally, the now unused Authenticator field is repurposed to contain an explict request / response identifier, called a Token. SRADIUS connections can transport all RADIUS attributes. Implementation of SRADIUS requires only minor changes to packet encoder and decoder functionality. Nothing else is changed from traditional RADIUS.

    IETF Datatracker

  • Патчкорд

    Если вы владели и использовали каким-то ресурсом в Интернет: доменным именем, IP адресом - то можете быть уверенным что освободив его, запросы на него будут приходить ещё очень и очень долго. Как, например, у Dataplane, новость "DNS Query Anomalies". Они конечно написали куда надо и даже заверили что никак этой ситуацией не воспользовались, но на такое поведение полагаться нельзя. Напротив, стоит предполагать что каждый утраченный вами ресурс будет использован, как минимум для сбора чувствительной для вас информации. Не теряйте свои ресурсы, а освободившиеся попридержите и помониторьте что на них прилетает.
    Sensors, Anomalies, and RPKI Refresh

    October 2022 Dataplane.org Newsletter

    Dataplane.org Newsletter

  • Патчкорд

    Эмулятор x86 из браузера с WebAssembly с несколькими готовыми образами операционок, свои тоже можно использовать. Исходники доступны. Напомню ещё про PCjs, там набор железа и софта побольше будет.
    PCjs Machines

    Home of the original IBM PC emulator for browsers. PCjs offers a variety of online machine emulators written in JavaScript. Run DOS, Windows, OS/2 and other vintage PC applications in a web browser on your desktop computer, iPhone, or iPad. An assortment of microcomputers, minicomputers, terminals, programmable calculators, and arcade machines are available, along with an archive of historical software and documentation.

    www.pcjs.org