Сетевое оборудование

В этой статье хочу познакомить вас с open-source плагином XRAYUI по управлению xray-core на популярных роутерах ASUS. Он позволяет настраивать и управлять xray как в режиме клиента (т.е. подключать роутер, а значит и всю сеть, к внешнему xray серверу) так и в режиме самого сервера. Все это без танцев с бубнами вокруг файла конфигурации, а через удобный веб-интерфейс.

Японский провайдер кибербезопасности Trend Micro заявил, что с конца 2024 года он наблюдает волну масштабных DDoS-атак, в которой используются «армии» скомпрометированных IoT-устройств.

По данным исследователей, новый пока безымянный ботнет комбинирует в себе технические наработки известных предшественников Mirai и Bashlite. Он практически полностью состоит из «умных устройств» с выходом в интернет — в основном это беспроводные маршрутизаторы и IP-камеры. IoT-устройства в массе своей традиционно слабо защищены, так как владельцы нередко не меняют заводские логины/пароли (или даже не подозревают об их наличии) и не обновляют прошивку, что приводит к накоплению программных уязвимостей, используемых хакерами.

Целями атак стали, в том числе, ряд крупных японских корпораций и банков (что и заставило, судя по всему, Trend Micro заинтересоваться проблемой) — но в целом география целей ботнета очень широка и покрывает значительную часть Северной Америки и Европы. 

Можно предположить, что управление ботнетом происходит с территории Японии, потому что ИБ-специалисты обнаружили значительно отклоняющиеся от статистики отличия между конфигурацией атак на международные цели и цели в Японии — последние осуществляются с учетом локальной специфики, чтобы нанести наибольший вред, и учитывают «обратную связь».

К миллиону продолжений «Терминатора» есть много вопросиков. Мой личный топ кринж — в «Терминатор. Генезис», когда Скайнет теряет ядро сети (там реально звучит слово «ядро») и все боты вырубаются. Между тем, отказоустойчивые сетевые конфигурации начали строить ещё мы, кожаные мешки, в первой половине 21 века. 

В кампусных сетях отказоустойчивость ядра мы чаще всего реализуем за счёт объединения коммутаторов ядра в стек. Это защищает ядро от сбоев и выхода из строя оборудования. В ЦОДах же отказоустойчивость сети реализуется на основе MLAG либо же за счёт развертывания сети в виде фабрики BGP EVPN VXLAN — набора из  коммутаторов уровня spine и leaf. Такие конфигурации защищены не только от сбоев оборудования, но и от ошибок в коде и конфигурациях ПО.

Я уверен, что инфраструктура сети Скайнет реализована как минимум в одной из этих конфигураций, причём с геораспределением. Так что показанное в кино — бред (впрочем, как и многое другое). А вот для обычных кампусных сетей такая архитектура — оверкил, её используют очень редко и в специфических обстоятельствах.

Сегодня именно о таких кейсах из своей практики я расскажу в этой статье: как архитектура BGP EVPN VXLAN защищает от ошибок на уровне ПО и позволяет реализовать геораспределённую катастрофоустойчивость, какие с ней связаны подводные камни и в каких случаях компании считают такое решение целесообразным.

Прошло уже более года с момента моей публикации о программаторе для CH341A под Linux - IMSProg и у меня возникло желание избавиться от еще одной программы, не дающей навсегда забыть о существовании Windows. Мой прежний программатор SFP собран на чипе FT232RL и имел софт только под Windows.

Каждый SFP-модуль имеет с своем составе стандартную микросхему 24C04 или 24C02, что натолкнуло меня на мысль использования простейшего переходника для программатора CH341 с использованием четырех проводов - земли, питания, I2C сигналов SDA и SCL. После просмотра разработок различных фирм я добавил в переходник джамперы на сигналы питания для снятия защиты от записи медных модулей - J1, J2 и J3 (контакты SFP TxPWR, RxPWR и TxEN). В результате получилась такая схема:

Продолжаем серию статей. - Detection is easy, посвященных Detection engineering (DE), о чем я пишу в одноименном Telegram-канале. Сегодня мы рассмотрим установку OPNSense на Proxmox и настройку отправки NetFlow на коллектор ElastiFlow, который мы настроили в прошлой статье.

Для начала подключимся к Proxmox VE и создадим виртуальную машину с двумя интерфейсами.

Приветствую, коллеги! Меня зовут @ProstoKirReal. Мне бы хотелось с вами обсудить как работает интернет от кабелей на витой паре, соединяющие простые локальные сети до подводных коммуникационных кабелей соединяющие между собой континенты и основные операторские сети.

Поскольку в одной статье невозможно охватить всю тему целиком, я разделю подготовленный материал на несколько частей. Сегодня мы начнем с базовых понятий.

Однажды мне потребовалось заставить сделать роутер Eltex NTP-RG-1402G-W то, чего он не хотел и даже не мог. Читаем о том, как зайти в него так глубоко, как только возможно и получить над ним власть, ограниченную только вашими знаниями.

Cовмещаем Vless, WebSocket, VPN и сайт на одном порту средствами Haproxy, создаем альтернативу VPN на основе WebSocket.

Начнем серию статей под названием Detection is easy, посвященных Detection engineering (DE), о чем я пишу в одноименном Telegram-канале. Один из этапов DE - определение источников событий и организация их сбора. В этой статье мы рассмотрим установку Elastiflow — это мощное решение для обработки и визуализации сетевых данных, построенное на основе стека ELK (Elasticsearch, Logstash, Kibana). Elastiflow предоставляет возможность собирать, обрабатывать и анализировать данные из различных сетевых протоколов, таких как NetFlow, sFlow и IPFIX. Основное преимущество Elastiflow по сравнению с классическим ELK-стеком заключается в оптимизированном агенте сбора сетевой телеметрии, а также в наличии готовых дашбордов и визуализаций, которые упрощают анализ сетевого трафика.

Изначально проект развивался на GitHub, однако разработчики перешли к коммерческому решению — flow-collector, который демонстрирует значительно более высокую производительность по сравнению с версией, доступной на GitHub. Более подробную информацию о различиях можно найти в документации. Политика лицензирования позволяет бесплатно использовать продукт, но если ты зарегистрируешься, то будет доступно порядка 480 полей и использование одного инстанса (4000 записей в секунду, без регистрации 500).

В конце ноября команда Yandex Infrastructure провела nexthop — конференцию от сетевых инженеров для всех, кто интересуется сетевыми технологиями. Мы посмотрели больше 20 выступлений и собрали в одном месте 500+ специалистов, которые знают всё про сетевую автоматизацию, идеальную инфраструктуру, а также могут легко объяснить бабушке, что такое маршрутизатор.

На конференции был и наш друг, автор комиксов Комикаки, Кирилл Анастасин aka @innubis. Чтобы составить топ самых интересных докладов, которые можно пересмотреть после каникул, мы попросили Кирилла (и его героев) поделиться свежим взглядом на выступления про сетевые дела.

Приветствую, коллеги! Меня зовут @ProstoKirReal. Сегодня хотелось бы продолжить обсуждение с вами о самых популярных протоколах, а также принципов их работы. В предыдущей части я говорил о протоколах динамической маршрутизации и принципы их работы.

Сегодня хотелось бы рассказать о HTTP и HTTPS протоколах, а так же немного затронуть шифрование SSL/TLS.

Безопасность в сети играет важную роль, особенно в современных условиях. В частности, это касается корпоративных сетей — в них следует применять решения, которые делали бы безопасным трафик на уровнях 2–7 модели OSI. Такими решениями являются межсетевые экраны (МЭ, иначе — брандмауэры и файрволы).

На Хабре уже было интервью про Next Generation Firewall (NGFW) от компании Solar, которое затрагивало технические аспекты разработки таких решений. Также выходил материал про NGFW от Positive Technologies, про стык разработки open source решений и собственных разработок. Чтобы лучше проследить историю развития NGFW в России и показать разные подходы ИБ‑компаний, я решил провести интервью с одной из старейших компаний‑разработчиков NGFW в РФ — UserGate.

UserGate начала разрабатывать NGFW ещё в 2009 году. Мы пообщались с менеджером по развитию UserGate NGFW Кириллом Прямовым. Основное внимание было уделено тому, как начинался проект, с какими задачами и ограничениями сталкивалась компания и какие решения были выпущены в 2024 году. Приятного чтения!

Привет! Меня зовут Михаил Шпак, я занимаюсь комплексной архитектурой технологических решений в сетевой части ИТ-холдинга Fplus, который выпускает широкий спектр высокотехнологичных электронных устройств. В данной статье я хочу показать, как за последние 5 лет требования современного бизнеса и развитие ресурсоемких приложений (искусственного интеллекта, поисковых систем, мобильной связи стандарта 5G и т.д.) изменили требования к архитектуре, скорости и отзывчивости сетей, используемых в центрах обработки данных. Давайте разберемся, какие комплексные технологические решения заставляют нас ускоряться, а где можно использовать старые наработки и отточенные десятилетиями практики.

Библиотеку Boost.Intrusive применяют в разработке 5G-сетей, а ООП — в тестировании систем хранения данных. Не верьте стереотипам о том, что эти технологии устарели — эксперты YADRO на митапе для разработчиков на С++ доказали обратное.

А Константин Владимиров, Илья Казаков, Антон Полухин и Игорь Гусаров обсудили, какой стандарт С++ предпочитает каждый из них, чем хорош С++17 и должны ли компиляторы успевать за обновлениями в языке.

Предупреждаю сразу: это пост батхерта!

Тут ко мне обратился друг с довольно простой задачей - необходимо работать из страны А с IP-адресом из страны B, но только так, чтобы адрес не палился как датацентр. То бишь с резидентным IP-шником. Нашли человека в стране B, который оказался готовым за более дорогой тариф интернета разместить у себя точку выхода VPN и попросили меня рассказать как это сделать.

Сам я давно являюсь приверженцем OpenWrt, но исходя из технического (с точки зрения прошивки девайсов кастомными прошивками) уровня моего друга, я понимал, что квест купить Redmi и прошить его OpenWrt не для него, а тем более не для резидента страны B. Нужно было решение, которое можно купить на местном маркетплейсе и воткнуть его. Когда-то давно я был наслышан, что Keenetic - это что-то типа брендированного OpenWrt, кроме того, на глаза попадались статьи на Хабре (правда я их не читал) о том, как на Keenetic можно взгромоздить хоть XTLS-Reality, поэтому порекомендовал обоим поставить по такому роутеру. Да и в общем-то альтернативных решений из коробки я точно не знаю больше, если не брать в расчёт Microtik - который из-за санкций я им советовать не стал.

Сказано - сделано. Дальше начинается процесс настройки. Настройка усугублялась тем, что в стране B (по крайней мере у того провайдера, к которому подключен резидент) не предоставляются (даже за доп.плату) белые IPv4 адреса - роутер получает адрес из серого сегмента 100.64.0.0/10. Зато белый IP-шник можно получить в стране A.

Привет, Хабр! Возвращаюсь с продолжением нашей детективной истории про Петра, у которого не загружались картинки с котиками. В прошлом тексте, ссылку на который вы найдете в статье, мы выяснили, что проблема скрывается в коммутаторе. Теперь погрузимся с вами в глубь его программного устройства и будем по одному отметать версии о подозреваемых источниках проблем.

Когда введен десяток команд, сложно сказать, какая из них повлияла на прохождение трафика. Поэтому мы начнем вводить команды по одной и проверять правильность конфигурации. Поступим так: «занулим» конфигурацию и будем контролировать выполнение команды на разных уровнях коммутатора. Разгадка ждет вас в конце (спойлер: котик, играющий с проводами, тут ни при чем).

Я уже делал материал по отечественному NGFW от одной из кибербез‑компаний, поэтому решил продолжить практику и поговорить о других NGFW. И ещё в мае 2024 года на Positive Hack Days 2 я поговорил с командой разработки и реализации NGFW компании Positive Technologies, а именно c лидерами продуктовой практики PT NGFW Юрием Дышлевым и Анной Комша. Надеюсь, будет интересно. Приятного чтения!