Сетевые технологии *

Когда смотришь на блокировки трафика со стороны пользователя, картина выглядит противоречиво: один и тот же сервис в разных сетях работает по-разному — где-то не открывается вовсе, где-то нестабилен, а где-то продолжает частично функционировать. При этом известно, что управление ограничениями централизовано. Возникает естественный вопрос: если политика едина, почему результат отличается?

Причина в том, что речь идёт не об одной точке контроля, а о распределённой системе, где итоговое поведение формируется на пересечении трёх слоёв: централизованного управления, DPI/ТСПУ как контура распознавания и сети оператора как среды исполнения. Именно эта многослойность и объясняет наблюдаемую неравномерность.

Если коротко: После дефейса сайта нашего знакомого из-за утекшего пароля от админки мы поняли, что управлять доступами нетехнической команды (редакторы, SEO, подрядчики) через VPN или статические IP - это боль. Существующие proxy требовали рестартов и рулились конфигами. В итоге мы написали свой forward-proxy на Go, где доступ выдается токеном через расширение браузера, а правила (TTL, лимиты трафика, доступные домены) применяются на лету без разрыва соединений.

Привет!

Эта статья о том, как собрать мобильного оператора «на столе» для тестов функциональности и взаимодействия компонентов ядра сети.

Меня зовут Алексей Червяков, я тимлид команды разработки мобильных продуктов в компании VAS Experts, и мы разрабатываем компоненты ядра сети, которые осуществляют контроль трафика, его подсчет, применяют правила тарификации для абонентов. Корректная работа этих элементов – залог прибыли и отсутствия убытков из-за неоплаченных услуг и трафика.

Приятного чтения!

В комментариях к "серверу точного времени" (https://habr.com/ru/articles/1023414) предлагали вдобавок к NTP и GPS подключить еще и DCF77, как еще один источник времени.
И я таки сделал это, хоть и в виде отдельной железки, а поскольку техника тут аналоговая - были свои нюансы.

В качестве справки:
DCF77 - это радиостанция, передающая точное время от атомных часов, собственно, это ее основное назначение.
Расположена в Европе, в Германии, неподалеку от Франкфурта. Вещает на длинных волнах на всю Европу, захватывая в том числе часть exUSSR. Передает сигнал, содержащий информацию о времени и дате, UTC+1/UTC+2 в зависимости от "летнего времени".
Также передает местную погоду и может быть использована как средство оповещения, но нас это мало касается.
Рабочая частота 77.5 кГц - поэтому и "DCF77".

Её сигнал может быть использован для автонастройки электронных часов, для чего выпускаются недорогие модули, которые можно встраивать в различные устройства, там, в Европе.
А вот у нас это всё работает довольно плохо.

Проблема простая: расстояние.
Несмотря на большую мощность передатчика и хорошее распространение длинных волн на большие расстояния - 2000 км это 2000 км.

Месяц искал VPN который не палит Россию перед ИИ. Нашёл - 24 часа бесплатно, попробовал. Написал в поддержку прямо во время установки. Три минуты — живой человек, сразу инструкция. Сработало. А потом понеслась …

Привет, Хабр! Меня зовут Сергей, я разработчик облачной платформы в Selectel. В прошлой статье я рассказал об использовании Terraform для создания глобального роутера и настройки сетевой связности между разными регионами облака. Сегодня продолжим тему и объединим в сеть выделенный и облачный серверы.

Привет! На связи Антон Полухин из Техплатформы Городских сервисов Яндекса. После большого релиза 🐙 userver прошло почти два года. За это время мы обзавелись большим количеством внешних пользователей — международных и российских. При этом и количество внутренних пользователей подросло: в Городских сервисах Яндекса появились стни новых сервисов на userver. Функциональность Такси, Еды, Лавки, Доставки, а также Маркета, Финтеха, Фантеха, Электро и Техплатформы обогатилась новыми возможностями и новыми пользователями. А значит, фреймворк стал ещё надёжнее и оттестированнее.

Мы не сидели сложа руки, и за два года реализовали, оптимизировали и добавили все обещанные в прошлой статье фичи, а также многое другое.

За последние десятилетия мы как-то все привыкли, что живем в уютной айтишечке – собственном, закрытом мире, практически лишенном недостатков. И в этом мире были кофе по утрами, смузи в обед и неограниченные поездки на такси, часто оплачиваемые напрямую работодателем. И проблем как будто вообще не существовало. Мы выбирали себе новых работодателей, меняя их как перчатки, и за каждую смену места работу гарантированно получали надбавку 10-30% к заплате.

Но, оглянитесь, времена меняются. А в каких-то странах и в каких-то it-направлениях поменялись невозвратно.

То, что когда-то давно было стартапами, стало монополиями. То, что ранее было конкуренцией, превратилось в монопольные сговоры и отсутствие конкуренции. То, что ранее было интересом и творчеством, превратилось в рутину. То, что ранее было супер-вызовами и супер-задачами, ради которых стоило жить, превратилось в потогонку за тасками и в конечном итоге прибылью владельцев. А иначе и быть не могло.

Потому что никакого закрытого мира никогда и не было. Был общий капиталистический мир со своими объективно работающими законами, и мы всегда были его частью, на определенном этапе развития - привилегированной частью.

Так вот, один из законов развития такого мира заключается в том, что монополии и государство неизбежно сближаются, сращиваются, сливаются в страстном поцелуе взасос. И это обоюдное влечение, обусловленное объективными экономическими интересами.

В нашей сегодняшней it-индустрии эти процессы происходят прямо сейчас. Нет, они были и раньше, но в последние пару лет и даже месяцев всё это закрутилось с новой, невиданной ранее скоростью. И наши сегодняшние лидеры отрасли - Яндекс, Т-Банк, Озон и другие – наперегонки спешат слиться с государством, а государство спешит слиться с ними. И так – далеко не только в РФ.

Развитие цифровых сервисов, облачных платформ, распределённых корпоративных систем и API-инфраструктуры приводит к существенному усложнению задач обеспечения информационной безопасности. В современных условиях защита информации уже не может ограничиваться только периметровыми средствами, такими как межсетевые экраны и системы фильтрации трафика. Существенное значение приобретают механизмы идентификации субъектов доступа, централизованного управления правами, а также мониторинга и аудита действий пользователей и сервисов.

Одним из перспективных подходов к решению указанных задач является внедрение систем класса Identity and Access Management (IAM), обеспечивающих централизованную аутентификацию, авторизацию и управление учётными данными. Среди свободно распространяемых решений данного класса важное место занимает Keycloak - платформа с открытым исходным кодом, предназначенная для организации единого входа, федерации пользователей и управления доступом на основе стандартных протоколов безопасности.

Актуальность применения Keycloak обусловлена тем, что данная система позволяет унифицировать процессы аутентификации в гетерогенной ИТ-среде, обеспечить поддержку многофакторной аутентификации, интеграцию с LDAP/Active Directory, а также централизованное управление ролями и политиками доступа. При этом архитектурные особенности внедрения Keycloak требуют отдельного анализа, поскольку речь идёт о критически важном компоненте сетевой системы защиты информации.

Место Keycloak в архитектуре сетевой защиты информации

В 2020-ом году отправившись на рекомендованную всем «удаленку» мы в Айдеко перекроили весь роадмап продукта и быстро выпустили Ideco UTM VPN Edition – версию с расширенными возможностями по организации, защите и контролю доступа удаленных сотрудников. Делать что-то другое в IT-продукте в это время казалось несвоевременным. Примерно, как сейчас – не использовать AI-инструменты в работе и AI-функциональность в продукте для защиты. В то время, когда злоумышленники вовсю используют AI-инструменты. И атаки становятся все изощреннее и быстрее.

В 2025 году зафиксировано 90 zero-day эксплойтов в дикой природе. 44% атак нулевого дня нацелены на корпоративные сетевые устройства - NGFW и VPN-шлюзы. Среднее время от публикации CVE до первой эксплуатации в реальных атаках сократилось до 5 дней и еще более сократится. Ни одна сигнатурная база не успевает за этим темпом. Рассказываем, как мы работаем над ML-модулем обнаружения вторжений в Ideco NGFW, что показал натурный эксперимент с ИСП РАН на 73 миллионах сессий и какие ограничения у этого подхода.

Почему сигнатуры перестают справляться

Сигнатурный IPS работает принципиально так же, как антивирус в 1990-х: есть база известных угроз, есть входящий трафик, есть сравнение. IPS - при всей мощи, работает с заранее описанными паттернами.

Проблема не в самом подходе - проблема в скорости появления угроз. По данным Google Threat Intelligence Group, в 2025 году в дикой природе было зафиксировано 90 zero-day эксплойтов. По данным RAND Corporation, среднее время жизни zero-day атаки до её обнаружения составляет 312 дней. За это время сигнатура не появится: её невозможно написать на то, что ещё не обнаружено.

Господа подрядчики, интеграторы, техподдерживатели, к вам обращаюсь. Возможно приходилось сталкиваться с ситуацией, когда надо срочно причинить немного добра, но для этого кровь из носу нужен дамп транзитного трафика. Некоторые вендоры позволяют через cli снифануть и записать результат в файлик *.cap прям на флешку маршрутизатора. А вот дальше проблема: доступа по FTP/SFTP/SCP к файловой системе нет, а счастье-то вот оно лежит, руку протяни, но достать не получается.

Интеграция SD-WAN и NGFW (Next-Generation Firewall) давно стала нормой у западных вендоров, но в России сетевая и ИБ-команды по-прежнему часто живут в разных консолях. Посмотрим, во сколько обходится этот разрыв, что даёт их объединение - и как мы реализовали SD-WAN с SLA-маршрутизацией в Ideco NGFW 22 Novum.

Две команды, одна сеть, ноль координации

В типичной российской компании с филиальной сетью за маршрутизацию и каналы связи отвечает сетевая команда, а за межсетевой экран, IPS и политики доступа - команда ИБ. Инструменты разные, консоли разные, приоритеты разные.

На бумаге это выглядит как разумное разделение ответственности. На практике - как разрыв, который стоит больших денег на решения и времени на администрирование.

Разбираем настройку отказоустойчивого балансировщика 3proxy для n8n в Docker. Фиксим DNS-затупы на 26 секунд через внутренний резолвер 127.0.0.11 и решаем проблему Permission denied внутри контейнера через запуск от пользователя 0:0. Внутри — готовый docker-compose и конфиг для балансировки пула внешних прокси.

И снова здравствуйте. В прошлый раз мы подробно разбирали технологию частотной синхронизации SyncE, в позапрошлый пробежались по верхушкам профиля G.8275.2 ATR. Сегодня же с интересом будем препарировать никем неиспользуемый базовый протокол IEEE 1588v2 или PTPv2 Default Profile. Планируется много любопытного: поностальгируем о былых деньках, натянем STP на маршрутизаторы, всем миром извинимся перед афроамериканцами, заглянем в миллион дампов, устанем смотреть картинки, как следует изучим всю матчасть, поднаберемся нужных словечек, чтобы уже в следующем акте со всей необходимой теоретической базой че-нить куда-нить внедрить и даже по траблшутить.

Читая статьи про прокси, можно подумать, что VLESS с XHTTP — это чуть ли не единственный рабочий протокол проксирования в условиях блокировок. На самом деле существуют не менее современные альтернативы. Сегодня я расскажу о протоколе Naive, его особенностях, а также о настройке клиента и сервера с использованием sing-box и Caddy.

DNS — неотъемлемая и очень важная часть инфраструктуры, о которой иногда забывают. Порой её воспринимают как нечто само собой разумеющееся, что просто всегда есть и работает. Вспоминают о ней обычно при странных багах, которые сложно диагностировать, или авариях, которые рушат всю инфраструктуру на часы.

Некоторое время назад я добрался до задачи рефакторинга DNS инфраструктуры — чтобы сделать её проще, удобнее и надежнее. В этой статье я хочу поделиться своим опытом и расскажу, как у нас получилось сделать внутренний распределенный DNS и управлять им как кодом.

VPN в России формально не запрещён.
Но если вы попробуете сегодня поднять свой VPN на российском VPS — есть шанс, что завтра вам просто отключат сервер.

Без суда. Без объяснений. Просто потому что «так надо».

В пакет «Антифрод 2.0» тихо добавили правки, которые превращают хостинг-провайдеров из нейтральных посредников в контролёров. Теперь они должны проверять клиентов, сверяться с базами Роскомнадзора и, если что — разрывать договор.

Как хостер должен понять, что у вас внутри VPS — корпоративный VPN или «неправильный» туннель?
Как отличить разработчика, который подключается к серверу, от человека, который просто смотрит YouTube?
И главное — кто будет платить за весь этот контроль?

Параллельно происходит ещё кое-что:
- операторы замораживают расширение каналов в Европу
- крупные сервисы уже режут пользователей с VPN
- из App Store исчезают десятки "неугодных" VPN-сервисов
- бизнесу рассылают методички «как искать VPN»

Всё это начинает складываться в систему.
Не запретить напрямую — а сделать использование максимально неудобным, дорогим и рискованным.

Гайки закручиваются. И в этот раз — не только для «обходчиков блокировок».

Иногда случается такая задача: за непродолжительное время нужно проверить или продемонстрировать работу сетевого оборудования с авторизацией через tacacs. На стенде, с не очень большим количеством устройств (в пределах пары десятков). Но на вопрос про «подключение виртуалки с tacacs+» выясняется, что в текущих реалиях – никак. А вариант «оставить на пару недель свой ноут» (на котором есть VmWare WS с нужной виртуалкой) ну совсем не прельщает.

Эта статья описывает, как внедрить TACACS.NET на Windows в рамках стенда: от базовой настройки до проверки работоспособности и типовых моментов, которые всплывают при первом запуске. Ориентирована на системных инженеров и администраторов, которым нужно быстро перейти от «чистого Windows» к конфигурации для работы на стенде.

Привет всем! Меня зовут Саша Иргер, я эксперт по разработке ПО в департаменте проектирования и разработки пакетного ядра сети в YADRO. Вчера мой коллега опубликовал на Хабре статью про Policy Control: как и зачем классифицировать трафик в сотовой сети. Сегодня продолжу тему и разберу, как конкретно работает User Plane. По сути, он организован так, чтобы удовлетворить требования от Policy Control. Давайте посмотрим, что здесь интересного.

Привет, Хабр! Меня зовут Алексей, и я продолжаю копаться в беспроводных технологиях. В прошлый раз мы настраивали Wi-Fi в OpenWrt для максимальной стабильности и покрытия. Сегодня я хочу поговорить о другой, не менее увлекательной теме - мониторинге беспроводного эфира с помощью легедарного роутера TP-Link MR3020.Многие скажут: «Зачем мне это? У меня и так всё работает». А я отвечу: возможности, которые открываются, могут удивить. Давайте сразу к делу.