Как стать автором
Обновить
35.87

Сетевое оборудование

Чтобы работала компьютерная сеть

Сначала показывать
Порог рейтинга

Продолжая тему взаимодействия с MITRE насчёт CVE. В прошлый раз я обращался к MITRE из-за нежелания вендора Docker создавать CVE. Теперь же я попытался внести уточнение к существующей записи CVE-2018-14847, описание которой не слишком точное:

MikroTik RouterOS through 6.42 allows unauthenticated remote attackers to read arbitrary files and remote authenticated attackers to write arbitrary files due to a directory traversal vulnerability in the WinBox interface.

По такому описанию можно подумать, что уязвимы абсолютно все версии ниже 6.42. На самом деле это не так. Более точное описание есть у вендора MikroTik:

Versions affected:

  • Affected all bugfix releases from 6.30.1 to 6.40.7, fixed in 6.40.8 on 2018-Apr-23

  • Affected all current releases from 6.29 to 6.42, fixed in 6.42.1 on 2018-Apr-23

  • Affected all RC releases from 6.29rc1 to 6.43rc3, fixed in 6.43rc4 on on 2018-Apr-23

Но, и оно не совсем правдивое. Как минимум версия 6.28 уязвима (проверял используя этот эксплоит). Я обратился в MITRE через эту форму (выбрал "Request an update to an existing CVE Entry"), объяснив всё это. В итоге MITRE лишь добавили ссылку на описание уязвимости от вендора (обновление от 28.04.2025). Это в очередной раз подтверждает, что при оценке угроз не стоит полностью полагаться ни на CVE, ни на информацию от вендора. О чём говорю не только я. Был у меня личный опыт, показывающий неточность в описании уязвимых версий со стороны вендора: Cisco UCS Manager. А если пытаться смотреть на CVE, указанные вендором по этой проблеме - так каши в голове становится лишь больше: в CVE речь о версиях bash (а какая версия bash в какой прошивке и оборудовании есть - в CVE не указывается).

Теги:
+2
Комментарии0

Как тестируют функцию Circuit Switched Fallback, которая помогает общаться с родственниками

Представим, что вы звоните семье со смартфона в 4G-сети. В вашей сети нет (или временно недоступна) поддержка голосового звонка через сеть 4G. Не имеет значения, в какой сети находится второе устройство.

Что происходит в сети оператора при таком звонке:

  • Телефон отправляет на базовую станцию (eNB) вызов.

  • Базовая станция связывается с ядром сети (MME) и запрашивает процедуру CSFB для исходящего звонка, дожидается от ядра сети подтверждения о возможности такого перехода.

  • После этого отправляет телефону информацию о новом подключении к 2G-сети, которое он должен установить.

  • После этого базовая станция завершает обслуживание абонента в 4G-сети, обслуживание переходит к станции 2G.

  • Голосовой вызов осуществляется через 2G-сеть.

Для тестирования такого сценария используют симулятор окружения базовой станции. Он имитирует обмен как с мобильным телефоном, так и с пакетным ядром сети. При этом базовая станция работает в обычном режиме, используются штатные методы управления и разъемы подключения, что позволяет нам рассматривать ее как черный ящик. 

Симулятор позволяет автоматизировать этот этап тестирования и увеличить скорость тестов и повторяемость результатов. CSFB — это базовая функциональность, поэтому проверка проходит регулярно.

Для успешной проверки CSFB задачу декомпозируют, разделяют на уровни. О двух других ступенях «пирамиды» — тестировании в GSM-сети и системном тестировании — рассказала инженер YADRO Анастасия Беднова в своей статье.

Теги:
+3
Комментарии0
Просчитался, но где...
Просчитался, но где...

Мы используем коммутаторы Arista с rear-to-front обдувом, что очень удобно для кабель-менеджмента, поскольку вся укладка кабелей как правило происходит с тыльной стороны стойки, при этом спереди всё выглядит минималистично и без проводов. Но вот что бывает когда стойка узкая, в нашем случае всего 600мм. Стойка, кстати, российского бренда NTSS. По бокам есть Zero-U лотки для крепления PDU, но они недостаточно утоплены вглубь. Да и PDU достаточно жирные — APC 8886. Мы также попробовали установить родные PDU от NTSS, но проблему это не решило.

Уши на этих рельсах сделаны как единое целое и снять их невозможно. Чтобы вытащить свитч, необходимо сначала вытащить оба PDU. подобные свитчи достаточно тяжелые, поэтому для крепления в стойке рекомендуется использовать рельсы вместо ушей. Да и предполагалось что рельсы упростят работу с оборудованием, а не усложнят её :(

Что делать — непонятно. На ум приходит только спилить эти уши, но в таком случае свитчи уже будет невозможно прикрутить к стойке. Ставить свитчи вперёд тоже плохое решение, особенно с точки зрения кабель-менеджмента, да и потребуется заменить 18 блоков питания и 36 вентиляторов чтобы развернуть направление обдува :(

Также есть вариант с универсальными рельсами и полками, но это тоже так себе решение, которое потребует доработок.

Ставить горизонтальные PDU вместо вертикальных тоже не хотим, это усложнит кабель-менеджмент.

Вывод — по возможности не используйте узкие 600мм стойки, рано или поздно они сильно усложнят вам жизнь во многих аспектах. Даже с точки зрения кабель-менеджмента, так как вертикальные органайзеры в таких узких стойках установить проблематично, они перекрывают монтажные отверстия.

Самое печальное, по моему личному опыту, что в 99% случаев в аренду предлагают стойки шириной 600мм, не больше. А если хочешь шире — то разница в цене будет огромная, так как такая стойка занимает уже больше одной плитки. Да и в текущих реалиях ЦОДы забиты, мест для таких стоек крайне мало.

Что интересно, даже новые ЦОДы везде повально экономят на ширине стоек и ставят эти несчастные 600мм узкие стойки.

Теги:
+6
Комментарии12

Коллеги, если вы знаете, что такое TAP и SPAN, вам не безразличны вопросы зеркалирования и оптимизации сетевого трафика, а ещё хочется узнать, как в этом помогают брокеры сетевых пакетов, то 23 апреля мы ждем вас на техническом вебинаре, где мы подробно обсудим эти темы. А ещё помимо слайдов с картинками будет живая демонстрация работы ответвителей трафика DS TAP и пакетных брокеров DS Integrity в связке c системой анализа сетевого трафика PT NAD.

Зарегистрироваться нужно тут, присоединяйтесь!

Теги:
0
Комментарии0

Средний счет за домашний интернет в США в 2024 года составлял для домохозяйств около $78 в месяц, по данным CNET.

Теги:
0
Комментарии0

Тест на тестировщика: что в коробке?

Ответ: Это Shield box — экранированная коробка, внутри которой размещаются сотовые телефоны. Ее используют тестировщики телеком-оборудования. Коробка обеспечивает изоляцию сигнала и предотвращает возможность подключения сторонних абонентов к «тестовой» сети.

Если вы знакомы с этим оборудованием или хотите с ним познакомиться, вас могут заинтересовать несколько вакансий в команде Телекома в YADRO. 

→ Некоторые из них требуют образования по специальностям Радиотехнологии или Телекоммуникации и опыта работы с системами GSM/LTE. 

Test Engineer (LTE/GSM Radio Subsystem)

Команда занимается тестированием функционала базовой станции LTE/GSM на системном уровне в лаборатории или на площадке заказчика. Специалисту нужно будет разрабатывать тестовые сценарии и готовить требования к тестам радиоподсистемы LTE/GSM. Здесь у кандидата должно быть высшее образование в области телекоммуникаций или радиотехнологий, а также знание стандартов GSM//LTE, топологии и интерфейсов мобильной сети.

Field Test Engineer (LTE/GSM) 

Команда готовит тестовые сценарии для драйв-тестов, проводит их по подготовленным тест-планам и измеряет ключевые показатели производительности базовых станций LTE/GSM с помощью измерительных комплексов. Здесь также от кандидата требуются знания принципов и законов радиосвязи, базовое понимание теории антенн и их характеристик.

→ А вот несколько вакансий, где глубокое знание телеком-технологий не является решающим фактором при отборе кандидатов. 

Test Engineer (Performance Test)

Команда занимается тестированием собственного железа и ПО. Направление создает конкурентную линейки RAN-продуктов для мобильных сетей последних поколений — базовые станции LTE/GSM и удаленные системы управления ими. Опыт работы с телекоммуникационными системами GSM/LTE будет преимуществом. 

QA Automation Engineer 

Команда ищет инженеров по автоматизированному тестированию в несколько команд в направление разработки решений для телекоммуникаций. Необходимый опыт в автоматизации с использованием Jenkins GitLab — от двух лет. Здесь ждут кандидатов с уверенным знанием Python, Linux и пониманием сетей, базирующихся на TCP/IP.

Test Engineer Manual 

Вам больше по душе ручное тестирование? Есть вакансия и для вас. Здесь ждут кандидатов с уверенным знанием теории тестирования (опыт — от трех лет), Linuх и пониманием сетей, базирующихся на TCP/IP.

О направлении 

Команда Телеком с нуля создает телекоммуникационные решения для беспроводных мобильных сетей и сопутствующих услуг. Инженеры разрабатывают первые в России базовые станции стандартов GSM/LTE, реализуя полный стек телекоммуникационных протоколов для базовых станций и элементов ядра сети, а также системы управления и мониторинга. Здесь вы будете в хорошей компании: продукт создают профессионалы с многолетним опытом, многие из них работали в ведущих мировых телекоммуникационных корпорациях.

А как тестируют функции базовой станции, читайте по ссылке → 

Теги:
Всего голосов 7: ↑7 и ↓0+9
Комментарии2
DS Proxima - российские балансировщики нагрузки
DS Proxima - российские балансировщики нагрузки

Друзья, мы делали, делали и наконец доделали аппаратный балансировщик нагрузки DS Proxima. Ура!

3 факта о DS Proxima:
- L4 балансировщик с контролем состояния компонентов кластера на L7
- салатовый корпус, который светится в темноте
- уже в Реестре Минпромторга России

А 25 марта мы вместе с OCS Distribution приглашаем вас на вебинар, на котором расскажем, кому необходим балансировщик и какие задачи он решает, разберём сценарии внедрения и обсудим, каких зарубежных производителей смело можно импортозаместить.

Зарегистрироваться нужно тут, присоединяйтесь!

Теги:
Всего голосов 1: ↑1 и ↓0+3
Комментарии0

Что ни месяц в наступившем году, то новое сообщение НКЦКИ о компрометации информационной инфраструктуры крупнейших российских компаний, связанных с ИБ.

Перед нами новое веяние в плане развития атак на цепочки поставок, — считает руководитель отдела развития продуктов «АйТи Бастион» Алексей Ширикалов.

Цепочки поставок, безусловно, остаются трендом атак, но от него отделяется ветка по атакам на поставщиков ИБ решений.

Вот, что происходит: злоумышленник может получить доступ к инфраструктуре заказчика, который, как положено в регламентах, установил себе средства защиты; но через подрядчика этот доступ может оставаться замаскированным под легитимный, в том числе проходящим через те же средства ИБ, с помощью которых в «целевой компании» пытаются выстроить защиту.

Если злоумышленнику повезёт, то он ещё и получает доступ к внутренним данным о том, как работает средство ИБ в инфраструктуре жертвы, или же у атакующего появится простор на поиск уязвимостей.

Вывод напрашивается, и мы его озвучим: ко всем подрядчикам необходимо относиться как к потенциальной угрозе‼️

⚫️ Обязательно предъявляйте требования по ИБ исполнителю подряда кстати, мы уже ждём от регуляторов появления рекомендаций о необходимых средствах защиты информации, которые должны быть у подрядчика
🟠 Контролируйте доступы
⚫️ Контролируете ролевые модели
🟠 Убирайте избыточные доступы
⚫️ Отслеживайте выполняемые пользователем действия и выявляйте попытки нетипичных действий в рамках легитимных сессий (поведенческий анализ)
🟠 Персонализируйте УЗ для доступа — никаких root и т.д.
⚫️ Берегите учётки и пароли, особенно привилегированные

Что касается громкой мартовской компрометации, то надеемся, учётки важных ресурсов не ушли в подрядчиков, и волна не дошла до заказчиков. А сама пострадавшая компания, на чьём сервисном центре произошёл инцидент, сделала всё грамотно. Можно использовать в качестве методички на случай серьёзного происшествия.

✅ Сообщили в НКЦКИ и организовали совместную работу
✅ Прекратили сетевое взаимодействие с клиентскими системами
✅ Подключили расследовательские команды, чтобы минимизировать последствия
✅ Проинформировали заказчиков, чтобы «задраили люки» на время полного расследования

К слову, на случай подобных инцидентов может помочь наше решение Синоникс со своими ограничениями и контролем информационного обмена.

Остаётся добавить немного из практического опыта — 15-минутный инцидент с пребыванием злоумышленника в инфраструктуре может затянуться на долгие месяцы расследования. А это ощутимый удар по бизнес-процессам, которые — в идеальной картине мира — должны продолжаться в части доступа к заказчикам, уже только после полного расследования атаки и устранения всех «хвостов».

Теги:
Рейтинг0
Комментарии2

У меня зазвонил телефон отвалился интернет.
Я пожаловадся провайдеру (большооой такой, на всю страну), провайдер прислал техника.

Техник с порога решил сыграть в продажника и заявил:
— У вашего роутера лампочки моргают одновременно, а надо чтоб вразнобой. Это значит что ваш роутер при смерти и вам нужно купить новый. А у нас есть вот такие модели: 1... 2... 3... И предложил мне купить одну из них.

Я выслушал его презентацию и вкратце рассказал ему что занимаюсь сетями и делаю это 20 лет. Техник погрустнел и приступил к выполнению своей, техарской, работы.

Надо сказать что свою работу он выполнил на 5+: стрельнул флюком физику, подключлся к моей линии своим роутером, и даже залез в конфиг моего микротика. В итоге нашел косяк там, где не ожидали. То есть чувак реально молодец — я бы не догадался посмотреть в том месте, чесслово...

Интернет поднялся.

В конце техник начал намекать что надо бы заплатить 500р. А чо, интернет же есть!
Я бы заплатил ему мимо кассы и даже в 2 раза больше. Если бы не дичь про "одновременно моргающие лампочки"...
Но увы, это был не его день.

Гражданин провайдер, если ты хочешь сделать продажников из своих технарей, обучай их хотя бы элеметарному. А то и вы роутер не продали, и техник бесплатно сходил...

Теги:
Всего голосов 7: ↑5 и ↓2+4
Комментарии6

Немного важной информации

Коллеги, добрый день! Я создал Telegram-канал от сетевика для сетевиков.
Если ты сетевой инженер, системный администратор, разработчик, студент или просто увлекаешься сетями — тебе сюда.

🔹 Что тебя ждет?

✅ Разборы глобальных сбоев и неожиданных сетевых проблем.

Мини-статьи с полезными фишками и объяснением сложных тем простым языком.

Истории из жизни сетевиков — в том числе от подписчиков (и за это я готов заплатить).

🚀 Без воды — только полезный контент. 

🚀 Без рекламы — только инженерные разборы от человека, который не раз облажался в серверной.

🚀 Анонимно — никаких продаж курсов, рекламы вендоров или компаний. Только чистая инженерная соль.

Большая просьба подписаться и позвать коллегу— будет интересно!

Ссылка на канал https://t.me/ProstoKirReal

Теги:
Рейтинг0
Комментарии0

Практический курс «Системный администратор Linux с нуля»

Привет, Хабр! Selectel запускает курс по работе с серверной операционной системой. Он будет полезен начинающим администраторам, а также разработчикам и DevOps-инженерам, которые хотят погрузиться в Linux и сетевую инфраструктуру.

На курсе вы научитесь:

▫️ работать с командной строкой и основными утилитами;

▫️ управлять пользователями, файлами и правами доступа;

▫️ настраивать сети, SSH-соединения и мониторинг системы;

▫️ управлять инфраструктурой на базе Linux;

▫️ управлять пакетами и обновлениями программного обеспечения;

▫️ анализировать логи и устранять инциденты.

Занятия построены на базе SelectOS. Дополнительных знаний не требуется — достаточно базового владения компьютером и интереса к Linux.

Смотреть программу →

Теги:
Всего голосов 12: ↑12 и ↓0+17
Комментарии0

Cloudflare пока не фиксирует полного восстановления сервисов TikTok в США в рамках работы сетей связи ByteDance (AS396 986).

Ранее социальная медиа‑платформа TikTok сообщила о возвращении доступа пользователям в США. Однако возвращение приложения происходит без поддержки Apple и Google, поскольку оно по‑прежнему недоступно в App Store и Google Play.

19 января пользователи в США рассказали, что обход блокировки TikTok для них оказался очень сложным. Смена IP‑адреса не помогала, поскольку ограничение действует как по местоположению, так по стране регистрации устройства. ByteDance сама ограничила доступ к сервису по геолокации. Кроме того, бан TikTok в США ограничил доступ к сервису для пользователей из Канады.

Разработчик Python‑библиотеки TikTokLive Айзек Коган рассказал о способе обхода блокировки TikTok в США. Коган настроил прокси‑сервер в Германии и направлял все запросы в TikTok через этот IP‑адрес, чтобы обойти основные ограничения. Таким образом он получил доступ к фронтенд‑серверам, в том числе HTML‑страницам. Разработчик сделал это заранее — до бана китайской платформы.

Теги:
Всего голосов 1: ↑1 и ↓0+1
Комментарии1

Схема «якорного резака» — устройства для резки подводных кабелей, разработанного морскими инженерами из Университета Лишуй в Китае, 2020 год. Источник: Университет Лишуй.

Теги:
Всего голосов 1: ↑1 и ↓0+2
Комментарии2

Ближайшие события

Город с двумя столицами: роль ASIC и CPU в L3-коммутаторе

Внутри коммутатора два физических устройства: CPU и ASIC. CPU принято называть Control Plane, там крутится сетевая операционная система, как правило, Linux. ASIC также называют Data Plane. 

CPU (Control Plane) отвечает за:

  • сложную логику,

  • обработку служебного трафика,

  • управление ASIC.

ASIC (Data Plane) ответственен за:

  • простую логику на основе таблиц,

  • быструю обработку большого числа пакетов,

  • разбор заголовков, выбор выходного порта и выходного набора заголовков,

  • буферизацию, очереди, политики. 

Администратор, который сидит в CLI, находится на CPU, а интерфейс, который он конфигурирует, — на соседнем устройстве ASIC.  

Для простоты понимания можно думать о физическом устройстве коммутатора как о двух соседних городах. Первый город CPU — административный центр, он управляет своим соседом. Второй город ASIC — промышленный центр с крупными транспортными развязками и светофорами. 

Физические порты находятся в ASIC, но управлять ими надо на CPU. На CPU крутятся сетевые демоны и разные алгоритмы, которые обрабатывают сетевой трафик. Его можно разделить на два вида:

  • Пользовательский. Например, фотографии котиков, которые при наличии всех маршрутов проходят через ASIC транзитом. 

  • Служебный. ARP или протоколы маршрутизации, которые как раз должны обрабатываться демонами или алгоритмами на CPU.  

Еще больше про устройство коммутатора читайте в статьях Антона Гузарева, тимлида команды, которая разрабатывает ПО для управления сетевыми устройствами в YADRO. Через кейс с ошибкой в коммутаторе он последовательно рассмотрела каждый его уровень в двух статьях:

→ Разбираемся с железом и настройками конфигурации

→ Ищем проблему с доставкой картинок с котиками на разных уровнях L3-коммутатора: от CLI до SDK

Теги:
Всего голосов 4: ↑3 и ↓1+2
Комментарии0

Пользователь заказал усилитель Wi-Fi сигнала из Китая на площадке Temu, а получил пустой корпус с фейковыми антеннами и светодиодами.

Теги:
Всего голосов 10: ↑10 и ↓0+14
Комментарии4

В Москве начали борьбу с «вредным» Wi-Fi излучением по ночам. В подъезде одного из домов появилось объявление с просьбой выключать беспроводную сеть, когда ей не пользуются, например, поздно ночью.

Теги:
Всего голосов 13: ↑9 и ↓4+5
Комментарии10

Влияние онлайн компьютерных игр на трафик в интернете на примере ивента Fortnite Remix: The Finale concert.

Теги:
Рейтинг0
Комментарии0

Все переплетено: как устроен тестовый стенд для базовой станции

Стенд для тестирования handover
Стенд для тестирования handover

Так выглядит схема тестового стенда, с помощью которого тестируют важную фичу базовой станции — handover. Handover помогает мобильным телефонам, ноутбукам и другим гаджетам «перескакивать» с одной БС на другую и не терять сигнал.

На рисунке видно, что на первой базовой станции сконфигурированы две соты, на второй — одна. Станции с разным наборов сот позволяют тестировать разные виды handover. Также здесь есть симулятор ядра сети и симулятор сотовых телефонов. На стенде тестирование проходит в идеальных радиоусловиях, какие редко бывают в реальности. 

Все устройства соединены радиопроводами — на схеме они показаны оранжевыми линиями. Если вместо них подключить антенну, базовая станция выйдет в эфир и начнется излучение. 

Мощность достаточно велика, подходить близко к работающей антенне в диапазоне СВЧ не очень безопасно. Тут даже шапочка из фольги не поможет. Использование радиопроводов позволяет инженерам входить в серверные лаборатории.

О других особенностях тестирования handover читайте в статье → 

Теги:
Всего голосов 5: ↑5 и ↓0+7
Комментарии2

Опубликовали полную программу nexthop 2024 — ежегодной конференции по сетевым технологиям 

27 ноября ждём в Москве и онлайн-эфире сетевых инженеров и всех, кто интересуется происходящим в мире сетевых технологий. В этом году для участников nexthop мы приготовили: 

  • Больше 20 докладов в двух залах и море места для обмена опытом.

  • Мастер-классы по работе с Annet — основным инструментом сетевой автоматизации в Яндексе. Берите с собой ноутбуки — будем пачкать руки.

  • Афтепати, где можно продолжить общение и атаковать докладчиков вопросами.

Для тех, кому сложно сходу сориентироваться в двух потоках, наш программный комитет составил подборку из пяти докладов, на которые стоит обратить особое внимание:

  1. IP-роутинг в сетях дата-центров, построенных в топологии Dragonfly.

  2. DNS: история и развитие в инфраструктуре Яндекса.

  3. Annet, у нас diff, возможно, unsafe, по коням! Автоматизация конфигурации сети в облаке. 

  4. Сеть в кластере K8s-сервисов сетевой инфраструктуры (NOCDEV).

  5. Wi-Fi в Яндексе.

И это ещё не всё — кроме того поговорим про балансировку нагрузки, инфраструктуру для сетевой автоматизации, BGP- и BMP-коллекции, CDN, безопасность и многое другое.

Полная программа и регистрация — уже на сайте конференции. Увидимся 27 ноября!

Теги:
Всего голосов 4: ↑4 и ↓0+4
Комментарии1

🌐 Wi-Fi ставит рекорды дальности.

Мы на всех парах идем к интернету вещей (IoT). Тот же робот с искусственным интеллектом внутри - это та самая интернет-вещь.
Но пока у нас не так уж и много таких вещей, но достаточно: стиралка, пылесос, кофеварка, телевизор, дрон.

Им всем нужен интернет. А с этим проблемы. И, если в городах он есть, то за городом с этим уже проблемы. Вы знаете.

Решать можно по-разному. Например, сделать космический интернет, еще больше засорив орбиту. А можно попытаться что-то сделать и на земле. Ниже о новых результатах в работе в этом направлении.

📡 Morse Micro устанавливает новый мировой рекорд дальности Wi-Fi!

Morse Micro вновь удивляет нас своими достижениями! Теперь они побили собственный рекорд, установив новое мировое достижение в дальности сигнала Wi-Fi. На этот раз они преодолели расстояние в 9,9 миль (15,9 км) в национальном парке Джошуа-Три. Это почти в пять раз больше предыдущего рекорда, который был установлен в Сан-Франциско.

🔊 В прошлый раз скорость соединения на максимальном расстоянии 1,8 мили составляла всего 1 Мбит/с. В этот раз максимальная пропускная способность достигла 2 Мбит/с на дистанции в 9,9 мили. Это отличный результат для сельской местности с минимальным уровнем помех.

🔥 Огонь новость! Правда? А пока мой роутер дома еле пробивает стены в соседние комнаты 😉

🔗 полный текст здесь

Теги:
Всего голосов 5: ↑3 и ↓2+3
Комментарии2