Сегодня с утра неожиданно открыл для себя что-то новое, но сильно приятное.
Для кого-то это может быть очевидно, но я, почему-то, раньше не сталкивался. Так что, возможно, кого-то это предостережет от подобных проблем в будущем.
Есть такая топология (ну, конечно, она совсем не такая, но суть отражает):
     В наше время сложно кого-то удивить дома доступом в Интернет или наличием нескольких компьютеров. Думаю у всех, задавшихся целью дать доступ в Сеть нескольким устройствам, вставал вопрос об установке роутера и создании домашней сети. Такая сеть обычно начиналась с какого-нибудь простенького роутера вроде минимальной модели D-Link и успешно справлялась с предоставлением доступа в Сеть домашним девайсам. Однако не все останавливаются на достигнутой работоспособности сети и многие пытаются довести свою «локалку» до некоего личного идеала. Об этом идеале я и хочу сегодня поговорить.
Читать полностью »
Сейчас в мире предлагается много новых способов аутентификации без паролей и логинов. Вот еще один интересный способ, который, судя по всему, уже не является концептом. Браслет Nymi — продвинутый кардиомонитор, который, снимая показания работы сердца своего пользователя, одновременно формирует уникальный ID, на основе которого и проводится аутентификация для всех совместимых устройств.
Новость: Магистральный провайдер RETN, не смотря на то, что он магистральный, осуществляет фильтрацию трафика посредством DPI. Поскольку оператор он магистральный, и, в частности, занимается доставкой зарубежного трафика, то на выходе мы имеем цензуру для многих провайдеров, в том числе и тех, кто чхать хотел на всякие «запретные списки», но имеют RETN в аплинках.
DPI — совокупное название технологий, при которых оборудование «залазит» во внутрь трафика, то есть реагирует не только на заголовки пакетов разного уровня, но и на содержимое.
Во избежание помех тест проводился из нескольких городов и с нескольких провайдеров, что позволило исключить фактор локальных провайдерских фильтраций (второй, косвенный тест основывался на использовании TTL-сканирования, который всегда указывал на район RETN'а).
Посмотрим, как именно RETN осуществляет DPI, ревностно исполняя законы о защите наркотиков от суицидальных порнографических детей, нарушающих авторские права.
За основу возьмём широко известный журнал Стервозинки (широко известен он только тем, что был заблокирован, заблокирован за какуют-то нелепицу, причём заблокирован давно, и из бана выползать не собирается).
Адрес этого поста внесён в список запрещённых к просмотру гражданами Российской Федерации. В связи с этим я осуществил необратимые манипуляции с доменным именем журнала таким образом, чтобы не существовало ни одного достоверного и однозначного алгоритма обращения получившейся хеш-функции.
Читать полностью »
Спасибо Хабру, много полезного тут для себя нашел. Думаю, пора «отдавать долги».
Хочу описать алгоритм, который работает больше года на моем шлюзе для балансировки каналов (Гбит трафика, 8k клиентов, 2 провайдера, AS на 1k адресов, большинство клиентов за NAT). Возможно, кому-то пригодится. Во всяком случае, ничего похожего не встречал и когда специально искал — не нашел. Так что полностью мое детище.
Конечно, указанный алгоритм нельзя считать универсальным, подойдет только в подходящих условиях.
Итак, исходные:
— Шлюз на Linux (Debian 6). Используется пакет quagga (бывший zebra).
— Два провайдера (пусть будут ТТК и РТК). Каждый дает канал определенной толщины, «лишнее» режет.
— AS на 1k адресов (пусть будет 1.1.144.0/22). AS0000.
— Большинство клиентов имеют серые адреса (пусть будет 192.168.0.0/16), «клиентские» сети 192.168.1-99.0/24, на шлюзе натятся.
— Небольшая часть клиентов имеют белые адреса в пространстве моей AS.
Задача:
Обеспечить равномерную загрузку каналов ТТК и РТК входящим трафиком для исключения перегрузки каналов.
Читать полностью »
На хабре было довольно много топиков, описывающих те или иные варианты построения провайдерских сетей, в том числе и с использованием указанных в заголовке технологий. Отчасти они помогли мне в решении своей задачи, но многое пришлось копать самому. Хочу поделиться тем, что получилось и попытаться сэкономить время последователям.
Необходимо организовать сеть, максимально удобную для конечного пользователя, при этом также удобную (с точки зрения минимальной нагрузки на техподдержку) и безопасную (с точки зрения мошенничества) для оператора. К тому же сеть должна быть недорогой. Кто-то возразит, что Cisco и «недорого» — несовместимые понятия, однако для решения нашей задачи годятся и End of Life старички, которые можно приобрести по очень демократичным ценам.
Для обеспечения удобства пользователя были отброшены следующие варианты:
Из всех рассмотренных вариантов для пользователя наиболее удобен вариант с DHCP, но для провайдера есть ряд сложностей:
Привязка по mac неудобна, так как придется перерегистрировать новые mac-адреса. Аутентификация пользователя в биллинге только по ip-адресу тоже на первый взгляд кажется ненадежной, хитрый пользователь может поставить себе вручную ip-адрес соседа и внести смуту. Однако решение есть и строится оно на технологиях из заголовка статьи — option 82 и dynamic arp inspection
Кому интересно решение — прошу под кат
Читать полностью »
В августовском интервью Bloomberg Билл Гейтс грубовато дал понять, что он думает по поводу проекта Google, известного как Project Loon — речь идёт о системе воздушных шаров для возможности подключения к интернету жителей удалённых районов планеты:
Когда вы умираете от малярии, я полагаю, вы можете посмотреть вверх и увидеть воздушный шар, но я не уверен как это может вам помочь. Когда у ребенка диарея, то нет сайта, который бы смог его вылечить.
Одним из главных вопросов к проекту был вопрос относительно того, как именно система воздушных шаров сможет обеспечить устойчивое покрытие определённого района в условиях стратосферы, где воздушные потоки принято считать стабильными, но и в известном смысле хаотично направленными.
Один из сотрудников проекта (его почему-то называют просто Ден (Dan)) выполнил компьютерную симуляцию проблемы и теперь его результаты доступны публично. Главный ответ — да, устойчивое покрытие вполне возможно.
Читать полностью »
Данная статья не является руководством для кулхацкеров. Все ниже написанное является частью изучения курса Cisco SECURE.
В данном материале я покажу как на практике провести атаку канального уровня на коммутатор Cisco, а также покажу как защитить свою сеть от этого. Для лабораторного стенда я использовал Cisco 881 и Catalyst 3750G.
Наверное все, кто сталкивался хоть немного с сетями знают, что такое протокол ARP.
Вкратце напомню. Протокол ARP используется для преобразования IP-адреса в MAC-адрес. Рассмотрим такую топологию:
Недавно я искал информацию об отличиях существующих VPN-технологий и наткнулся на эту статью. Здесь вкратце описаны преимущества и недостатки основных VPN, очень легко и доступно. Предлагаю сообществу перевод статьи.
VPN-провайдеры обычно предлагают на выбор несколько типов подключения, иногда как часть различных тарифных планов, а иногда в составе единого тарифного плана. Цель этой статьи – провести обзор доступных вариантов VPN и помочь понять основы используемых технологий.
Грубо говоря, длина ключа, используемого при создании шифра, определяет, сколько времени потребуется для взлома с помощью прямого перебора. Шифры с более длинными ключами требуют значительно больше времени для перебора, чем более короткие («брутфорс» означает перебор всех возможных комбинаций, пока не будет найдена верная).
Сейчас почти невозможно найти VPN-шифрование с использованием ключа длиной менее 128 бит и все сложнее найти 256-битное шифрование в предлагаемых OpenVPN-решениях, ключи которых бывают даже 2048 бит. Но что означают эти цифры на практике, 256-битное шифрование действительно более безопасное, чем 128-битное?
Читать полностью »
На днях в Сети появилась интересная новость, показывающая, что даже самые совершенные вычислительные системы, с отличной системой защиты, могут быть скомпрометированы в результате действий сообразительных взломщиков. Так, 24-летний взломщик был осужден на 18 месяцев тюремного заключения за продажу доступов к суперкомпьютеров, работающих в Natural Energy Research Scientific Computing Center (Energy Department, США). В принципе, 18 месяцев еще ничего, ведь злоумышленник мог получить 15 лет и полмиллиона долларов штрафа. Но давайте посмотрим, что же продавал Эндрю Джеймс Миллер.
