Доброго свободного времени, товарищи! в этой своей первой статье хотел бы вам рассказать как я будучи далёк от сетевых технологий перешел с роутера мыльницы на старый комп из-под дивана.
Попытка посмотреть на архитектуру систем сетевой безопасности через призму 4 млрд лет эволюционных экспериментов от директора компании Дмитрия Хомутова.
Утилита Easy-RSA изначально была создана в рамках проекта OpenVPN для упрощения управления ключами и сертификатами Инфраструктуры открытого ключа, использующимися для защиты передаваемой по сети информации. Данное упрощение, несомненно, позволяет сократить затраты времени на освоение развёртывания и сопровождения службы OpenVPN.
Представленный материал по большей части является переводом краткого руководства Easy-RSA 3 с некоторыми дополнениями. Сухое и формализованное изложение не предполагает украшательства картинками.
P.S. Адептам рунглиша с острой аллергической реакцией и когнитивным диссонансом к русскоязычным терминам и сокращениям просьба не беспокоиться.
Салют, Хабр!
На связи MediaMetriqa, и сегодня про Телегу. Про то, что происходит с ней и вокруг неё: файлы не грузятся, звонки не проходят, VPN банят быстрее, чем успеваешь наиграться с пробным тарифом.
То, что раньше стабильно работало, превратилось в рулетку, ибо сегодня оно работает, а завтра – уже нет. И дело не в конкретных сервисах, а в самом подходе к ограничению доступа. Фильтрация стала умнее – вот в чем причина.
В статье разберём, как на самом деле устроено замедление Telegram, почему привычные VPN перестали давать гарантированный результат и какие технические подходы позволяют сохранить хоть сколько-то стабильный доступ к Тележке в текущих реалиях.
Поехали!
Привет, Хабр! Меня зовут Алексей, и я занимаюсь беспроводными технологиями. Мы продолжаем погружение в глубины конфигурации /etc/config/wireless. В прошлой статье - Тонкая настройка Wi-Fi в OpenWrt — достигаем максимальной стабильности и покрытия мы подробно разобрали секцию wifi-device, которая отвечает за физическое радио — частоты, мощность, каналы. Но, как вы помните, в wireless-конфиге есть ещё один тип секций: wifi-iface. Именно они создают те самые виртуальные интерфейсы, которые позволяют реализовать: точки доступа, клиентские подключения, mesh-сети и даже сервисы мониторинг эфира.
Именно здесь задаётся имя сети (SSID), методы шифрования, правила доступа, изоляция клиентов и многое другое. Казалось бы, что тут сложного? Указал SSID, выбрал шифрование, ввёл пароль — и всё работает. Но и здесь есть свои «подводные грабли», мифы и возможности, о которых многие даже не догадываются.
Привет, Хабр! Мы – Константин Тюрин и Евгений Соколов – группа технической поддержки транспортных сетей РТК-Сервис.
Наши заказчики довольно часто сталкиваются с проблемами на DWDM-линиях, оборудованных этими усилителями. В силу достаточно сложного технического решения, операторы не всегда могут оперативно найти проблему и решить её самостоятельно, тогда на помощь приходит наша команда.
В нашем посте будет приведен пример одного случая, когда неисправность привела к длительному перерыву критически важных сервисов, и её решение.
В промышленной сети обрыв кабеля — это не локальная неприятность, а сбой, который может повлиять на весь технологический процесс. Поэтому здесь особенно важны отказоустойчивость и предсказуемое поведение сети при авариях. Media Redundancy Protocol решает эту задачу за счёт кольцевой топологии с контролируемым резервированием: в штатном режиме он предотвращает образование петли, а при сбое быстро восстанавливает связность. В статье разберём, как устроен MRP, какие роли выполняют устройства в кольце, как происходит переключение и какие ограничения нужно учитывать на практике.
В подразделении, где я работаю, есть традиция - новичку при онбординге вручается ссылка на Wiki с легендарными багами, приведшими к заметным последствиям. Недавно мне пришла в голову идея сделать такую же страницу, но уже со ссылками на Хабр, потому что на русском о багах пишут с бОльшим огоньком. Но, увы, оказалось, что каскадному падению серверов AT&T 15 января 1990 года внимание как-то не уделено. А ведь история получилась, прямо-таки эпическая.
Итак, 15 января 1990 года из-за одной строчки кода телефонная сеть AT&T получила 9 часов даунтайма, 70 миллионов несовершенных звонков, а общий убыток насчитали в $60 миллионов еще не инфляционных долларов. И нет, там не было неудачного релиза, развернутого сразу и везде. Все было гораздо интереснее.
В прошедшие выходные меня посетило непреодолимое желание. Желание наконец повысить свой сисадминский скилл. И перестать расстраиваться при отправке фото, а тем более видео в наш любимый мессенжер. Чудесно, что эта реальность так мотивирует к саморазвитию.
Недавно на глаза попалась интересная статья про новый проект TeleMT. И я бы наверно не стал заморачиваться. И тоже настроил бы его за 5 минут. По шагам из статьи. Если бы не пара "но". Во-первых, я болен хроническим неприятием засовывания докера где следует и где не следует. А во-вторых – 443 порт на моем подопытном сервере уже занят предыдущим "экспериментом".
На нестандартный порт вешать второй "эксперимент" мне не хотелось. Покупать второй айпишник или хостинг – тем более. Требовалось сотворить чутка новой дичи магии. О результатах сего докладываю в этой статье. Вдруг кому-то пригодится.
Большинство руководств по MTProto прокси написаны под Linux. Но что если ваш сервер на Windows? В статье разберём полный цикл настройки приватного MTProto прокси с Fake TLS на Windows Server + Docker: выбор образа, подводные камни (BOM в конфиге, порт 443 и HTTP.sys, флаги которых нет в v2), изоляция на отдельном IP и PowerShell-скрипт для пересоздания прокси с новым секретом одной командой. Все грабли — собраны на практике.
Как протокол заимствует чужое рукопожатие, почему v1 и v2 были дырявыми, что именно в v3 нашёл Aparecium и где у этого подхода архитектурный потолок
Большинство прокси-протоколов пытаются выглядеть как HTTPS: генерируют свой сертификат, настраивают TLS, надеются что DPI не присмотрится слишком внимательно. ShadowTLS идёт другим путём — берёт чужое рукопожатие целиком, не подделывая ничего
Пока TLS-рукопожатие идёт, всё что видит анализатор трафика — честный ClientHello, честный ServerHello, честный сертификат настоящего сервера-донора. Всё что происходит после завершения рукопожатия — туннельный трафик. К тому моменту DPI должен был уже принять решение пропустить соединение.
Прежде чем читать дальше. ShadowTLS v3 на март 2026 года работает не везде и не всегда. В июне 2025-го инструмент Aparecium показал два воспроизводимых вектора детекции: фиксированная разница в длине ServerFinished и некорректная обработка NewSessionTicket от OpenSSL-серверов. Против провайдеров с базовой SNI-блокировкой без активного зондирования протокол вполне работает. Против ТСПУ с активным зондированием риск реальный. Статья описывает архитектуру и механизм работы, а в конце разбирает где и почему детекция срабатывает.
На связи Игорь Гиркин, архитектор систем информационной безопасности компании «Гарда».
Раньше от сетевого устройства требовалось лишь одно: быстро и без потерь передавать пакеты. Сегодня эти времена остались в прошлом. Современный коммутатор — это важное звено периметра безопасности, находящееся на первой линии обороны. Используя его только для коммутации трафика, вы упускаете мощный инструмент для отражения угроз.
В этой статье я рассмотрю, какие механизмы защиты встроены в современные L2/L3-коммутаторы и как их правильно применять для обеспечения сетевой безопасности.
Привет! Если вы читаете эту статью, то скорее всего столкнулись с блокировками Telegram или просто хотите обеспечить себе стабильный и безопасный доступ к мессенджеру. Я покажу, как поднять свой собственный MTProto прокси с Fake TLS на любом VPS сервере за 5 минут с помощью готового скрипта.
Недавно в MWS Cloud Platform появилась поддержка Egress NAT. В статье разберём архитектуру распределённой системы трансляции адресов, почему мы выделяем порты блоками и как обеспечиваем корректную передачу обратного трафика в условиях ECMP-маршрутизации. Плюс как это всё переживает рестарты, потерю событий и рассинхронизацию и всё равно сходится к правильному состоянию.
Всем привет! На связи Карпенко Савелий, специалист по тестированию на проникновение из группы по борьбе с уязвимостями в компании ТехВилл.
В рамках нашей работы мы регулярно тестируем Active Directory (AD). Это центральный сервис аутентификации и управления доступом во многих корпоративных сетях. С практической точки зрения ошибки в конфигурациях AD часто становятся главной причиной взлома, среди проблемных аспектов можно назвать неверное назначение прав, доступов и использование устаревших механизмов аутентификации. Наличие недостатков в конфигурациях даёт атакующему возможность последовательно поднимать уровень своих привилегий. Ниже собраны типовые ошибки конфигурации, которые чаще всего встречаются на проектах, и показано, как они складываются в цепочки компрометации.
На практике аудит и тестирование обычно начинаются с исходных учетных данных, которые предоставляет заказчик. Если их нет, проникновение в инфраструктуру часто происходит через внешние веб-сервисы и ошибки на периметре (утечки паролей, небезопасные публикации, уязвимости бизнес-приложений). В российской практике одним из наиболее частых векторов для входа считается инфраструктура 1С, из-за повсеместного использования и различного уровня поддержки здесь чаще встречаются и слабые настройки, и типовые уязвимости.
Как браузер принимает решение о кешировании? Что такое условный HTTP-запрос? Как возникает 304 Not Modified? Как устроен принудительный запрос ресурса, минуя кеш? Если эти вопросы для вас актуальны, прошу на огонёк.
Изложение намеренно подробное: статья адресована и тем, кто только начинает путь в веб-разработке, и тем, кто просто хочет закрыть отдельные пробелы в понимании механизма кеширования.
Скажем «нет» слепому копированию заголовков кеширования.
Посмотрим на интересный сетевой стандарт, который является этакой золотой серединой между дорогим и горячим 10GbE и уже распространенным и дешёвым, но не таким быстрым 2.5GbE. Проведём тесты, сделаем замер потребления.
KeeneticOS из коробки закрывает большинство бытовых задач, но как только появляется требование рулить трафиком по-своему, быстро упираешься в нюансы. Я собрал рабочую схему на Keenetic Hopper: Entware + Xray-core (TUN) + policy-based routing через fwmark и отдельную таблицу маршрутизации. Главный фокус на эксплуатации, я покажу минимальный чек-лист диагностики, и как сделать конфигурацию самовосстанавливающейся, чтобы больше никогда не залазить руками. Статья - практическая инструкция: команды, конфиги и понятные критерии.
В конце ноября 2025г. у части интернет провайдеров в Сибирском и Дальневосточном округах появились проблемы с использованием TLS прокси. Блокировка появлялась после активации прокси для всей системы, но не при проксировании отдельных сайтов.
Читайте далее чтобы узнать что я обнаружил.
Этап "давайте сначала изучим стандарты" при обучении веб‑разработке иногда сразу пропускают (или рассматривают буквально в двух словах), переходя к фреймворкам, абстракциям и решениям, которые за тебя уже приняли авторы этих фреймворков.
В этой статье мы разберем все 9 методов HTTP-запросов, опираясь на тексты документов, которыми эти методы определены (RFC 9110 и RFC 5789).
Статья подойдёт тем, кто делает первые шаги в веб-разработке и хочет понять HTTP глубже, чем это позволяют туториалы фреймворков.
