Рубрика «Сетевые технологии» - 167

Бесконечно можно делать три вещи: смотреть, как горит огонь, смотреть, как течет вода, — и говорить о безопасности небезопасных протоколов. Мы уже рассказывали о сканировании корпоративных сетей, сетевых устройств и Cisco IOS. На этот раз предлагаем вам историю о протоколе SNMP, а точнее — о работе по этому протоколу с сетевым оборудованием HP/H3C и Huawei. Данные устройства позволяют получить доступ к критически важной информации, обладая минимальными правами. Эксплуатация уязвимости позволяет злоумышленнику проникнуть в корпоративные сети коммерческих компаний и технологические сети операторов связи, использующих эти широко распространенные устройства.

image

В 2003 году Huawei Technologies и 3Com основали совместное предприятие H3C. В 2007 году компания 3Com выкупила у Huawei ее долю, а в 2010 году вошла в состав HP, которая автоматически получила и H3C. Таким образом, уязвимым оказалось сетевое оборудование сразу нескольких вендоров — 3Com, H3C и HP, Huawei. Устройства эти используются в тысячах компаний, от небольших предприятий до крупнейших провайдеров. Читать полностью »

Используете провайдера Акадо, ТТК, Ростелеком, Эр-Телеком, NetByNet или qwerty? Имеете веб-сайт, и видели запросы с IP 92.242.35.54 и User-Agent WebIndex? Возможно, вам будет интересно узнать больше о вашем провайдере и о компании imarker.

О чем речь-то?

Вышеперечисленные провайдеры подключены к сервису «таргетированной рекламы» imarker, которому они зеркалируют исходящий от пользователя трафик. Зеркалируют не только саму ссылку, но и, как минимум, все заголовки до удаленного HTTP-сервера. Как они сами заявляют, у них обрабатывается 38 млн. абонентов ISP.
image

Как только они получают трафик от пользователя, они переходят по ссылке, по которой только что перешел пользователь, и, вероятно, анализируют данные со страницы. Переход происходит буквально моментально (как правило, до 0.5 секунды), информация кешируется примерно на сутки.Читать полностью »

Миграция с одного сервера на другой всегда была довольно не простым процессом, который непременно отягощается объемом контента и сложностью интернет проектов, что размещены на нем. А что если стоит задача перенести не сервер и даже не серверный шкаф, а целый дата-центр и чтоб без явного ущерба для его клиентов? Вот так задача. Именно ее и предстояло решить инженерам одной из крупных хостинг компаний.

Как огласили недавно представители компании Интернап (Internap) они завершили перенос своей площадки из ЦОДа, что размещался на острове Манхеттен, в пригород Нью-Йорка – Нью-Джерси. Здание дата-центра, расположено на 8-ой Авеню, четыре года назад было целиком выкуплено корпорацией Google. Перенос сетевой инфраструктуры для арендаторов стал вынужденным шагом, связанным с нежеланием руководства Google продолжать предоставление аренды своих площадей компаниям партнерам. Логика таких действий руководства Google весьма очевидна, ведь размещенное в самом сердце мирового капитализма сооружение, без преуменьшения обладает целым набором уникальных опций, и является одним из самых привлекательных мест для функционирования здесь ЦОДа. Ключевой ценностью является конечно же локация, а также то огромное количество операторских сетей к которым подключено здание. Множество серьезных клиентов, разветвленная сетевая инфраструктура – это те не простые условия, в которых и пришлось осуществлять миграцию своей площадки инженерам Интернап.

Переселение ЦОДа - 1
Читать полностью »

Время от времени, мне встречаются темы на форумах, в которых люди соединяют несколько офисов с использованием OpenVPN и получают низкую скорость, сильно ниже скорости канала. У кого-то это может быть 20 Мбит/с при канале в 100 Мбит/с с обеих сторон, а кто-то еле получает и 400 Кбит/с на 2 Мбит/с ADSL/3G и высоким пингом. Зачастую, таким людям советуют увеличить MTU на VPN-интерфейсе до чрезвычайно больших значений, вроде 48000, или же поиграться с параметром mssfix. Частично это помогает, но скорость внутри VPN все еще очень далека от канальной. Иногда все сваливают на то, что OpenVPN — userspace-решение, и это его нормальная скорость, учитывая всякие шифрования и HMAC'и. Абсурд!

Немного истории

На дворе июль 2004 года. Типичная скорость домашнего интернета в развитых странах составляет 256 Кбит/с-1 Мбит/с, в менее развитых — 56 Кбит/с. Ядро Linux 2.6.7 вышло не так давно, а 2.6.8, в котором TCP Window Scale включен по умолчанию, выйдет только через месяц. Проект OpenVPN развивается уже 3 года как, к релизу готовится версия 2.0.
Один из разработчиков добавляет код, который устанавливает буфер приема и отправки сокета по умолчанию в 64 КБ, вероятно, чтобы хоть как-то унифицировать размер буфера между платформами и не зависеть от системных настроек.Читать полностью »

Не так давно начал изучать, что такое docker, который уже успел нашуметь по всему миру. Не буду вдаваться в философские изыски «а зачем оно надо?», или «фи, это просто очередной модный тренд!», или «кто же такой сырой продукт выпускает?». Я просто хочу дать краткие советы, как можно быстро в домашних условиях пощупать, что такое docker, используя такие блага и удобства как SkyDock и SkyDNS.
Данная заметка рассчитана на людей, у кого мало времени, чтобы читать горы статьей на английском (или не знают английского), но есть небольшие познания в том, что такое консоль и как установить docker самостоятельно.

Краткая суть статьи для ленивых

docker pull crosbymichael/skydns
docker pull crosbymichael/skydock
docker run -d -v /var/run/docker.sock:/docker.sock --name skydock crosbymichael/skydock -ttl 30 -environment dev -s /docker.sock -domain docker -name skydns
docker run -d -p 172.17.42.1:53:53/udp --name skydns crosbymichael/skydns -nameserver 8.8.8.8:53 -domain docker

Далее следует настройка роутера или правка /usr/lib/systemd/system/docker.service, но за такими подробностями придется всё же залезть под хабракат.

Читать полностью »

Опыт создания домашнего Wi-Fi маршрутизатора. Часть 2. Установка и настройка ПО - 1
И снова здравствуйте!
В первой части статьи я рассказывал о «железной» составляющей будущего роутера. Поскольку без софта даже самое расчудесное железо, естественно, работать не будет, следовательно требовалось снабдить аппарат соответствующей программной «начинкой».

Когда я затевал всё это движение, я предполагал, что будет непросто. Но не предполагал, что настолько. В одном из комментариев к предыдущей части статьи я клятвенно пообещал рассказать о нижеследующем «к выходным». Благоразумно умолчал к каким именно. :-) Тут ещё умудрился прихворнуть не вовремя, но всё-таки сдерживаю своё обещание.
Итак…
Читать полностью »

По работе я несколько раз сталкивался с мнением, что настраивать QoS в не перегруженной ethernet сети не нужно для успешного функционирования таких сервисов, как IPTV и VoIP. Это мнение стоило мне и моим коллегам многих нервных клеток и часов на диагностику фантомных проблем, поэтом постараюсь как можно проще рассказать о том, почему это мнение неверно.
Читать полностью »

Сеть нашей воображаемой компании linkmeup растёт. У неё есть уже магистральные линии в различных городах, клиентская база и отличный штат инженеров, выросших на цикле СДСМ.
Но всё им мало. Услуги ШПД — это хорошо и нужно, но есть ещё огромный потенциальный рынок корпоративных клиентов, которым нужен VPN.
Думали ребята над этим, ломали голову и пришли к выводу, что никак тут не обойтись без MPLS.

Если мультикаст был первой темой, которая требовала некоторого перестроения понимания IP-сетей, то, изучая MPLS, вам точно придётся забыть почти всё, что вы знали раньше — это особенный мир со своими правилами.

Сети для самых маленьких. Часть десятая. Базовый MPLS - 1

Сегодня в выпуске:

А начнём мы с вопроса: «Что не так с IP?»

Читать полностью »

IPv6, miredo, dynamic DNS AAAA - 1

Захотелось странного — чтоб мои IPv6-enabled (miredo) хосты еще и динамически обновляемую DNS запись имели. Поизучав вопрос выяснил, что многие распространённые dyndns сервисы или не предоставляют возможность регистрации AAAA (IPv6 эквивалент записи типа A для IPv4), или не предоставляют её бесплатно, или имеют мутные настройки динамического обновления неизвестного уровня безопасности (или вовсе http/plaintext). Перепробовал с десяток сервисов и решил остановиться на freedns.afraid.org
Плюсы:

  • Человеко-понятная админка (без всяких «купить AAAA за $0 USD»)
  • Бесплатно дают AAAA
  • Безопасное (https) обновление
  • URL-based обновление (не приходится испытывать сомнений о конфиге для агентов типа ddclient)

Читать полностью »

Проект «Outernet» определился с тем, как они не будут цензурировать информацию - 1

Создатели «Outernet» ведут довольно-таки агрессивную PR-кампанию и, порой, делают очень громкие заявления о своих целях. Не менее агрессивно они редактируют контент на официальном сайте, когда текущие действия начинают идти в разрез с прошлыми заявлениями. В самом начале они очень сильно напирали на то, что Outernet будет доступен на любом устройстве с Wi-Fi. Немного позже они перестали на это напирать и сделали Lantern — увы, без «фонаря» (или набора из спутниковой тарелки и кучи дополнительного оборудования) Outernet «поймать» невозможно. В тот момент я обратил внимание, что начался большой упор на то, что в Outernet не будет цензуры — на официальном сайте это часто повторялось. Сейчас уже не повторяется. Настораживает одна вещь: прямо сейчас они напирают на то, что Outernet всегда будет «free». Если задуматься, в будущем всех с большой вероятностью ждёт абонентская плата за использование Outernet (хотя, и я немного позже это упомяну, уже сейчас слышны осторожные разговоры о возможном «премиум»-контенте).

Итак, подробнее о том, как в данный момент обстоят дела с цензурированием.
Читать полностью »


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js