Рубрика «Сетевые технологии» - 58

Сподвиг меня на этот пост вот этот вот комментарий.

Привожу его здесь:

kaleman сегодня в 18:53

Меня сегодня порадовал провайдер. Вместе с обновление системы блокирования сайтов, у него под бан попал почтовик mail.ru С утра дергаю техподдержку, ничего сделать не могут. Провайдер маленький, и блокируют видимо вышестоящие провайдеры. Еще заметил замедление открытие всех сайтов, может какое-то кривое DLP навесили? Раньше никаких проблем с доступом не было. Уничтожение рунета идет прямо на моих глазах…

Дело в том, что, похоже, мы и есть тот самый провайдер :(

И действительно, kaleman почти угадал с причиной проблем с mail.ru (хотя мы долго отказывались верить в подобное).

Дальнейшее будет разделено на две части:

  1. причины наших сегодняшних проблем с mail.ru и увлекательный квест по их поиску
  2. существование ISP в сегодняшних реалиях, стабильность суверенного рунета.

Читать полностью »

image
Рассмотрим на практике использование Windows Active Directory + NPS (2 сервера для обеспечения отказоустойчивости) + стандарт 802.1x для контроля доступа и аутентификации пользователей – доменных компьютеров – устройств. Ознакомиться с теорией по стандарту можно в Wikipedia, по ссылке: IEEE 802.1X
Так как “лаборатория” у меня ограничена по ресурсам, совместим роли NPS и контроллера домена, но вам я рекомендую такие критичные сервисы все же разделять.

Стандартных способов синхронизации конфигураций (политик) Windows NPS я не знаю, поэтому будем использовать скрипты PowerShell, запускаемые планировщиком заданий (автор мой бывший коллега). Для аутентификации компьютеров домена и для устройств, не умеющих в 802.1x (телефоны, принтеры и пр), будет настроена групповая политика и созданы группы безопасности.

В конце статьи расскажу о некоторых тонкостях работы с 802.1x – как можно использовать неуправляемые коммутаторы, dynamic ACL и пр. Поделюсь информацией об отловленных “глюках”…
Читать полностью »

промышленный LTE роутер Termit CR41P, с антеннами Триада MA-2697

Иногда связь с интернетом критически важна, и даже несколько минут простоя могут дорого стоить, например, в банкоматах, сигнализациях, системах мониторинга и контроля доступа.
В таких системах обычно используется несколько подключений к интернету и автоматическое переключение между разными каналами в случае недоступности основного канала.

Мне надоело самостоятельно изобретать failover на USB модемах, и захотелось делегировать это отдельной умной железке. Я решил сравнить несколько промышленных роутеров, чтобы выяснить, оправдывают ли они свое название, и насколько они лучше моих костылей. В статье будут сравниваться роутеры производителей iRZ, Termit, Robustel.

Основные требования к роутерам:

  • 2 SIM-карты и автоматическое переключение между операторами — роутер должен автоматически определять потерю связи на одном операторе и переключаться на резервного. Это особенно важно для подвижных систем, когда покрытие сотовой сети не идеально.
  • Подключение по Ethernet — основная система должна видеть только шлюз по умолчанию, и не должна знать о модемной подсистеме на стороне роутера и переключениях каналов, поэтому никаких USB.
  • Поддержка современных протоколов VPN: IKEv2 и OpenVPN — для удобства администрирования, и чтобы не зависеть от реальных IP-адресов, роутеры должны уметь VPN. При этом поддерживать не только устаревшие PPTP и L2TP, но и современные протоколы.
  • (Опционально) поддержка GPS, наличие GPIO, serial интерфейсов RS-232/485 — эти функции не обязательны для наших задач, но мы рассмотрим их тоже, как бонус, который, возможно, будет кому-то полезен.

Читать полностью »

Назад к микросервисам вместе с Istio. Часть 2 - 1

Прим. перев.: Первая часть этого цикла была посвящена знакомству с возможностями Istio и их демонстрации в действии. Теперь же речь пойдёт про более сложные аспекты конфигурации и использования этого service mesh, а в частности — про тонко настраиваемую маршрутизацию и управление сетевым трафиком.

Напоминаем также, что в статье используются конфигурации (манифесты для Kubernetes и Istio) из репозитория istio-mastery.Читать полностью »

Российские военные создадут свой собственный закрытый интернет - 1
Источник: «Известия»

Сегодня стало известно о том, что вооруженные силы РФ начали работу по созданию суверенного сегмента сети для себя. Речь идет о закрытой системе обмена цифровой информации, у которой есть и собственное название — мультисервисная транспортная сеть связи (МТСС). Первый этап работ должен завершиться к концу 2019-го года, стадия финальной готовности ожидается через два года, о чем сообщают «Известия».

Более того, у военных появится свой собственный поисков. Для того, чтобы все работало вне зависимости от внешних факторов через Арктику будет проложен волоконно-оптический кабель. Эксперты утверждают, что опыт создания МТСС пригодится при формировании национальной сети.
Читать полностью »

Ранее мы уже рассказывали о том, как можно мигрировать c IBM Notes/Domino на Zimbra. Изложенный нами вариант идеально подойдет для небольших предприятий с небольшим количеством сотрудников. Но что же делать крупным предприятиям с сотнями сотрудников, где резкий переход на новую почтовую систему гарантированно приведет к коллапсу и создаст беспрецедентные риски для бизнеса? Можно ли организовать поэтапный переход на Zimbra в таком случае?

image
Читать полностью »

Статья поделена на три части части. В первой содержится общая информация о том что такое BGP hijacking и его традиционный вариант. Для тех кто знаком с этим явлением, рекомендуется перейти сразу ко второй части. Во второй части будет описан метод анонсирования чужих префиксов с помощью добавления чужой AS в свой AS-SET. В третьей части, будет сделана оценка сложности использования метода, описанного во второй части, для захвата IP-адреса ресурса torproject.org и выписки сертификата для него. Предполагается, что читатель знаком с принципами работы BGPv4.

Простой BGP hijacking

Если в двух словах, то BGP hijacking это захват чужих IP-адресов (случайный или преднамеренный).

Обычно, BGP hijacking выглядит таким образом: AS, которой не принадлежит какой-то префикс начинает его (чужой префикс) анонсировать, аплинки/пиры его принимают, и он начинает распространяться по Интернет. Принимают они его по той причине, что нет фильтрации префиксов на стыке (либо это ошибка конфигурации, либо так задумано (т.к. построить префикс-фильтр на стыке с очень крупными операторами очень сложно ввиду различных причин, для этой статьи это не важно)). Один из самых громких примеров недавнего времени, когда Ростелеком (AS12389) начал анонсировать префиксы Mastercard (AS26380), Visa и некоторых других финансовых организаций (по официальной версии, в результате сбоя ПО). Как выглядели эти анонсы, можно посмотреть в истории bgplay (просмотр через web, json (архив)), вот один из них на одном из коллекторов RIPE (префикс 216.119.216.0/24 принадлежит Mastercard (AS26380)):

                "source_id": "05-193.203.0.185", 
                "path": [
                    6939, 
                    12389
                ], 
                "community": [], 
                "target_prefix": 216.119.216.0/24

Читать полностью »

Сегодня виртуальные частные сети – обязательный атрибут приватности. Но попробуйте-ка определить, какие из них реально делают вашу жизнь безопаснее.

Уверены ли вы в том, что можете доверять своему VPN? - 1

Подобные советы дают все: от журнала Consumer Reports до газеты New York Times и федерального торгового комитета: если вы хотите, чтобы ваши действия в вебе оставались приватными и безопасными, рассмотрите возможность использования виртуальной частной сети, или VPN.
Читать полностью »

Виртуальные Check Point'ы: чек-лист по настройке - 1

Многие клиенты, арендующие у нас облачные ресурсы, используют виртуальные Check Point’ы. С их помощью клиенты решают различные задачи: кто-то контролирует выход серверного сегмента в Интернет или же публикует свои сервисы за нашим оборудованием. Кому-то необходимо прогонять весь трафик через IPS blade, а кому-то хватает Check Point в роли VPN-шлюза для доступа к внутренним ресурсам в ЦОДе из филиалов. Есть и те, кому нужно защитить свою инфраструктуру в облаке для прохождения аттестации по ФЗ-152, но об этом я расскажу как-нибудь отдельно.

По долгу службы я занимаюсь поддержкой и администрированием Check Point'ов. Сегодня расскажу, что нужно учесть при разворачивании кластера из Check Point'ов в виртуальной среде. Затрону моменты уровня виртуализации, сети, настроек самого Check Point'а и мониторинга.
Не обещаю открыть Америку – многое есть в рекомендациях и best practices вендора. Но их же никто не читает), поэтому погнали.
Читать полностью »

На прошедшей неделе RIPE NCC разослал письма клиентам Netup о том, что их LIR исключён из RIPE NCC и они должны найти себе нового LIR или получить статус LIR самостоятельно. Само письмо было опубликовано в чате ENOG (копия на pastebin). Краткая выдержка из письма:

We would like to inform you that your current sponsoring LIR, NetUP Ltd., is no longer a member of the RIPE NCC. Therefore, the sponsorship agreement that you have signed with this organisation has become invalid.

If you would like to continue using the above resources you will need to:

a) Sign an End User Assignment Agreement with a sponsoring LIR of your choice. You can find a list of Local Internet Registries here
or
b) Become a RIPE NCC Member. You can find more information about becoming a RIPE NCC member here

Эта новость была опубликована на порталах opennet.ru и linux.org.ru, однако сама новость была политизирована в комментариях, а реальные последствия этого события не раскрыты. Давайте попробуем спокойно разобраться в этой ситуации.
Читать полностью »


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js