Сетевое оборудование

3 факта о DS Proxima:
- L4 балансировщик с контролем состояния компонентов кластера на L7
- салатовый корпус, который светится в темноте
- уже в Реестре Минпромторга России

А 25 марта мы вместе с OCS Distribution приглашаем вас на вебинар, на котором расскажем, кому необходим балансировщик и какие задачи он решает, разберём сценарии внедрения и обсудим, каких зарубежных производителей смело можно импортозаместить.

Зарегистрироваться нужно тут, присоединяйтесь!

Что ни месяц в наступившем году, то новое сообщение НКЦКИ о компрометации информационной инфраструктуры крупнейших российских компаний, связанных с ИБ.

Перед нами новое веяние в плане развития атак на цепочки поставок, — считает руководитель отдела развития продуктов «АйТи Бастион» Алексей Ширикалов.

Цепочки поставок, безусловно, остаются трендом атак, но от него отделяется ветка по атакам на поставщиков ИБ решений.

Вот, что происходит: злоумышленник может получить доступ к инфраструктуре заказчика, который, как положено в регламентах, установил себе средства защиты; но через подрядчика этот доступ может оставаться замаскированным под легитимный, в том числе проходящим через те же средства ИБ, с помощью которых в «целевой компании» пытаются выстроить защиту.

Если злоумышленнику повезёт, то он ещё и получает доступ к внутренним данным о том, как работает средство ИБ в инфраструктуре жертвы, или же у атакующего появится простор на поиск уязвимостей.

Вывод напрашивается, и мы его озвучим: ко всем подрядчикам необходимо относиться как к потенциальной угрозе‼️

⚫️ Обязательно предъявляйте требования по ИБ исполнителю подряда кстати, мы уже ждём от регуляторов появления рекомендаций о необходимых средствах защиты информации, которые должны быть у подрядчика
🟠 Контролируйте доступы
⚫️ Контролируете ролевые модели
🟠 Убирайте избыточные доступы
⚫️ Отслеживайте выполняемые пользователем действия и выявляйте попытки нетипичных действий в рамках легитимных сессий (поведенческий анализ)
🟠 Персонализируйте УЗ для доступа — никаких root и т.д.
⚫️ Берегите учётки и пароли, особенно привилегированные

Что касается громкой мартовской компрометации, то надеемся, учётки важных ресурсов не ушли в подрядчиков, и волна не дошла до заказчиков. А сама пострадавшая компания, на чьём сервисном центре произошёл инцидент, сделала всё грамотно. Можно использовать в качестве методички на случай серьёзного происшествия.

✅ Сообщили в НКЦКИ и организовали совместную работу
✅ Прекратили сетевое взаимодействие с клиентскими системами
✅ Подключили расследовательские команды, чтобы минимизировать последствия
✅ Проинформировали заказчиков, чтобы «задраили люки» на время полного расследования

К слову, на случай подобных инцидентов может помочь наше решение Синоникс со своими ограничениями и контролем информационного обмена.

Остаётся добавить немного из практического опыта — 15-минутный инцидент с пребыванием злоумышленника в инфраструктуре может затянуться на долгие месяцы расследования. А это ощутимый удар по бизнес-процессам, которые — в идеальной картине мира — должны продолжаться в части доступа к заказчикам, уже только после полного расследования атаки и устранения всех «хвостов».

У меня зазвонил телефон отвалился интернет.
Я пожаловадся провайдеру (большооой такой, на всю страну), провайдер прислал техника.

Техник с порога решил сыграть в продажника и заявил:
— У вашего роутера лампочки моргают одновременно, а надо чтоб вразнобой. Это значит что ваш роутер при смерти и вам нужно купить новый. А у нас есть вот такие модели: 1... 2... 3... И предложил мне купить одну из них.

Я выслушал его презентацию и вкратце рассказал ему что занимаюсь сетями и делаю это 20 лет. Техник погрустнел и приступил к выполнению своей, техарской, работы.

Надо сказать что свою работу он выполнил на 5+: стрельнул флюком физику, подключлся к моей линии своим роутером, и даже залез в конфиг моего микротика. В итоге нашел косяк там, где не ожидали. То есть чувак реально молодец — я бы не догадался посмотреть в том месте, чесслово...

Интернет поднялся.

В конце техник начал намекать что надо бы заплатить 500р. А чо, интернет же есть!
Я бы заплатил ему мимо кассы и даже в 2 раза больше. Если бы не дичь про "одновременно моргающие лампочки"...
Но увы, это был не его день.

Гражданин провайдер, если ты хочешь сделать продажников из своих технарей, обучай их хотя бы элеметарному. А то и вы роутер не продали, и техник бесплатно сходил...

Немного важной информации

Коллеги, добрый день! Я создал Telegram-канал от сетевика для сетевиков.
Если ты сетевой инженер, системный администратор, разработчик, студент или просто увлекаешься сетями — тебе сюда.

🔹 Что тебя ждет?

✅ Разборы глобальных сбоев и неожиданных сетевых проблем.

✅ Мини-статьи с полезными фишками и объяснением сложных тем простым языком.

✅ Истории из жизни сетевиков — в том числе от подписчиков (и за это я готов заплатить).

🚀 Без воды — только полезный контент. 

🚀 Без рекламы — только инженерные разборы от человека, который не раз облажался в серверной.

🚀 Анонимно — никаких продаж курсов, рекламы вендоров или компаний. Только чистая инженерная соль.

Большая просьба подписаться и позвать коллегу— будет интересно!

Ссылка на канал https://t.me/ProstoKirReal

Практический курс «Системный администратор Linux с нуля»

Привет, Хабр! Selectel запускает курс по работе с серверной операционной системой. Он будет полезен начинающим администраторам, а также разработчикам и DevOps-инженерам, которые хотят погрузиться в Linux и сетевую инфраструктуру.

На курсе вы научитесь:

▫️ работать с командной строкой и основными утилитами;

▫️ управлять пользователями, файлами и правами доступа;

▫️ настраивать сети, SSH-соединения и мониторинг системы;

▫️ управлять инфраструктурой на базе Linux;

▫️ управлять пакетами и обновлениями программного обеспечения;

▫️ анализировать логи и устранять инциденты.

Занятия построены на базе SelectOS. Дополнительных знаний не требуется — достаточно базового владения компьютером и интереса к Linux.

Смотреть программу →

Cloudflare пока не фиксирует полного восстановления сервисов TikTok в США в рамках работы сетей связи ByteDance (AS396 986).

Ранее социальная медиа‑платформа TikTok сообщила о возвращении доступа пользователям в США. Однако возвращение приложения происходит без поддержки Apple и Google, поскольку оно по‑прежнему недоступно в App Store и Google Play.

19 января пользователи в США рассказали, что обход блокировки TikTok для них оказался очень сложным. Смена IP‑адреса не помогала, поскольку ограничение действует как по местоположению, так по стране регистрации устройства. ByteDance сама ограничила доступ к сервису по геолокации. Кроме того, бан TikTok в США ограничил доступ к сервису для пользователей из Канады.

Разработчик Python‑библиотеки TikTokLive Айзек Коган рассказал о способе обхода блокировки TikTok в США. Коган настроил прокси‑сервер в Германии и направлял все запросы в TikTok через этот IP‑адрес, чтобы обойти основные ограничения. Таким образом он получил доступ к фронтенд‑серверам, в том числе HTML‑страницам. Разработчик сделал это заранее — до бана китайской платформы.

Схема «якорного резака» — устройства для резки подводных кабелей, разработанного морскими инженерами из Университета Лишуй в Китае, 2020 год. Источник: Университет Лишуй.

Город с двумя столицами: роль ASIC и CPU в L3-коммутаторе

Внутри коммутатора два физических устройства: CPU и ASIC. CPU принято называть Control Plane, там крутится сетевая операционная система, как правило, Linux. ASIC также называют Data Plane. 

CPU (Control Plane) отвечает за:

• сложную логику,

• обработку служебного трафика,

• управление ASIC.

ASIC (Data Plane) ответственен за:

• простую логику на основе таблиц,

• быструю обработку большого числа пакетов,

• разбор заголовков, выбор выходного порта и выходного набора заголовков,

• буферизацию, очереди, политики. 

Администратор, который сидит в CLI, находится на CPU, а интерфейс, который он конфигурирует, — на соседнем устройстве ASIC.  

Для простоты понимания можно думать о физическом устройстве коммутатора как о двух соседних городах. Первый город CPU — административный центр, он управляет своим соседом. Второй город ASIC — промышленный центр с крупными транспортными развязками и светофорами. 

Физические порты находятся в ASIC, но управлять ими надо на CPU. На CPU крутятся сетевые демоны и разные алгоритмы, которые обрабатывают сетевой трафик. Его можно разделить на два вида:

• Пользовательский. Например, фотографии котиков, которые при наличии всех маршрутов проходят через ASIC транзитом. 

• Служебный. ARP или протоколы маршрутизации, которые как раз должны обрабатываться демонами или алгоритмами на CPU.  

Еще больше про устройство коммутатора читайте в статьях Антона Гузарева, тимлида команды, которая разрабатывает ПО для управления сетевыми устройствами в YADRO. Через кейс с ошибкой в коммутаторе он последовательно рассмотрела каждый его уровень в двух статьях:

→ Разбираемся с железом и настройками конфигурации

→ Ищем проблему с доставкой картинок с котиками на разных уровнях L3-коммутатора: от CLI до SDK

Пользователь заказал усилитель Wi-Fi сигнала из Китая на площадке Temu, а получил пустой корпус с фейковыми антеннами и светодиодами.

В Москве начали борьбу с «вредным» Wi-Fi излучением по ночам. В подъезде одного из домов появилось объявление с просьбой выключать беспроводную сеть, когда ей не пользуются, например, поздно ночью.

Влияние онлайн компьютерных игр на трафик в интернете на примере ивента Fortnite Remix: The Finale concert.

Все переплетено: как устроен тестовый стенд для базовой станции

Так выглядит схема тестового стенда, с помощью которого тестируют важную фичу базовой станции — handover. Handover помогает мобильным телефонам, ноутбукам и другим гаджетам «перескакивать» с одной БС на другую и не терять сигнал.

На рисунке видно, что на первой базовой станции сконфигурированы две соты, на второй — одна. Станции с разным наборов сот позволяют тестировать разные виды handover. Также здесь есть симулятор ядра сети и симулятор сотовых телефонов. На стенде тестирование проходит в идеальных радиоусловиях, какие редко бывают в реальности. 

Все устройства соединены радиопроводами — на схеме они показаны оранжевыми линиями. Если вместо них подключить антенну, базовая станция выйдет в эфир и начнется излучение. 

Мощность достаточно велика, подходить близко к работающей антенне в диапазоне СВЧ не очень безопасно. Тут даже шапочка из фольги не поможет. Использование радиопроводов позволяет инженерам входить в серверные лаборатории.

О других особенностях тестирования handover читайте в статье → 

Опубликовали полную программу nexthop 2024 — ежегодной конференции по сетевым технологиям 

27 ноября ждём в Москве и онлайн-эфире сетевых инженеров и всех, кто интересуется происходящим в мире сетевых технологий. В этом году для участников nexthop мы приготовили: 

• Больше 20 докладов в двух залах и море места для обмена опытом.

• Мастер-классы по работе с Annet — основным инструментом сетевой автоматизации в Яндексе. Берите с собой ноутбуки — будем пачкать руки.

• Афтепати, где можно продолжить общение и атаковать докладчиков вопросами.

Для тех, кому сложно сходу сориентироваться в двух потоках, наш программный комитет составил подборку из пяти докладов, на которые стоит обратить особое внимание:

1. IP-роутинг в сетях дата-центров, построенных в топологии Dragonfly.

2. DNS: история и развитие в инфраструктуре Яндекса.

3. Annet, у нас diff, возможно, unsafe, по коням! Автоматизация конфигурации сети в облаке. 

4. Сеть в кластере K8s-сервисов сетевой инфраструктуры (NOCDEV).

5. Wi-Fi в Яндексе.

И это ещё не всё — кроме того поговорим про балансировку нагрузки, инфраструктуру для сетевой автоматизации, BGP- и BMP-коллекции, CDN, безопасность и многое другое.

Полная программа и регистрация — уже на сайте конференции. Увидимся 27 ноября!

🌐 Wi-Fi ставит рекорды дальности.

Мы на всех парах идем к интернету вещей (IoT). Тот же робот с искусственным интеллектом внутри - это та самая интернет-вещь.
Но пока у нас не так уж и много таких вещей, но достаточно: стиралка, пылесос, кофеварка, телевизор, дрон.

Им всем нужен интернет. А с этим проблемы. И, если в городах он есть, то за городом с этим уже проблемы. Вы знаете.

Решать можно по-разному. Например, сделать космический интернет, еще больше засорив орбиту. А можно попытаться что-то сделать и на земле. Ниже о новых результатах в работе в этом направлении.

📡 Morse Micro устанавливает новый мировой рекорд дальности Wi-Fi!

Morse Micro вновь удивляет нас своими достижениями! Теперь они побили собственный рекорд, установив новое мировое достижение в дальности сигнала Wi-Fi. На этот раз они преодолели расстояние в 9,9 миль (15,9 км) в национальном парке Джошуа-Три. Это почти в пять раз больше предыдущего рекорда, который был установлен в Сан-Франциско.

🔊 В прошлый раз скорость соединения на максимальном расстоянии 1,8 мили составляла всего 1 Мбит/с. В этот раз максимальная пропускная способность достигла 2 Мбит/с на дистанции в 9,9 мили. Это отличный результат для сельской местности с минимальным уровнем помех.

🔥 Огонь новость! Правда? А пока мой роутер дома еле пробивает стены в соседние комнаты 😉

🔗 полный текст здесь

Технологически оснащенное офисное пространство значительно повышает продуктивность сотрудников и эффективность бизнес-процессов. Но как компании правильно подойти к решению этой задачи? На первом мероприятии цикла бизнес-встреч в арт-пространстве Cube.Moscow вы узнаете, как грамотно адаптированные инженерная и сетевая инфраструктуры делают офисные пространства эффективнее.

На бизнес-встрече эксперты рассмотрят главные тренды рынка, успешные кейсы и необычные решения для офисных пространств. В ходе трех деловых сессий выступят представители компаний-заказчиков и авторы проектов для коммерческой недвижимости.

Темы:

• Средства автоматизации и их влияние на работу сотрудников

• Преимущества мультимедийных и аудиовизуальных систем для трансляции контента

• Развитие сетей связи под требования по Big Data

• Переход от Wi-Fi 6 к Wi-Fi 7 и увеличение количества конечных пользователей

• Технические помещения: как изолировать шум и правильно настроить охлаждение

• Самые странные тренды по оживлению офисного пространства, которые работают

Регистрируйтесь по ссылке и узнайте все о техническом оснащении бизнес-пространств

Ярославский провайдер «Ярнет» объяснил, что не может оказать своим клиентам психологическую помощь на фоне замедления YouTube.

«Ярнет» посоветовал недовольным работой YouTube клиентам обращаться по этому поводу в Роскомнадзор (звонить на официальную горячую линию). Речь идет о случаях, когда сам интернет работает. Других идей, как помочь, нет. Такая информация была опубликована на официальном сайте провайдера. Уведомление с советом об этих действиях для пользователей висело на сайте компании несколько часов, а потом его убрали.

Изучение английского онлайн — это конспекты, учебники, видео, аудио… а еще выделенные серверы, объектное хранилище и DNS-хостинг.

В Академии Selectel рассказываем, как онлайн-школа «Инглекс» развернула EdTech-платформу:

• создала комфортную среду для онлайн-занятий благодаря выделенным серверам готовой конфигурации в двух дата-центрах,

• гарантировала отказоустойчивость сервисов и надежное хранение данных с ежедневным бэкапированием и загрузкой в объектное хранилище,

• обеспечила сетевую задержку менее 100 мс во время уроков.

Подробности кейса — в Академии Selectel.

Опубликован инструментарий для глубокого инспектирования пакетов nDPI 4.10, продолжающий развитие библиотеки OpenDPI.

Проект nDPI основан после безуспешной попытки передачи изменений в репозиторий OpenDPI, который остался без сопровождения. Код nDPI написан на языке С и распространяется под лицензией LGPLv3.

Система позволяет определять в трафике используемые протоколы уровня приложений, анализируя характер сетевой активности без привязки к сетевым портам (может определять известные протоколы, обработчики которых принимают соединения на нестандартных сетевых портах, например, если http отдаётся не с 80 порта, или, наоборот, когда какую‑то другую сетевую активность пытаются закамуфлировать под http через запуск на 80 порту).

Отличия от OpenDPI сводятся к поддержке дополнительных протоколов, портированию для платформы Windows, оптимизации производительности, адаптации для применения в приложениях для мониторинга трафика в режиме реального времени (убраны некоторые специфичные возможности, замедлявшие движок), возможности сборки в форме модуля ядра Linux и поддержке определения субпротоколов.

В проекте поддерживается определение 55 типов сетевых угроз (flow risk) и более 420 протоколов и приложений (от OpenVPN, Tor, QUIC, SOCKS, BitTorrent и IPsec до Telegram, Viber, WhatsApp, PostgreSQL и обращений к Gmail, Office 365, Google Docs и YouTube).

Источник: OpenNET.

Минцифры создаёт единую платформу для защиты граждан от злоумышленников в интернете и телефонных мошенников. В работе платформы будут принимать участие правоохранительные органы, Банк России, финансовые организации, операторы связи и ведомства.

По информации ведомства, платформа позволит:

1. оперативно противодействовать мошенникам в интернете и телефонным мошенникам, навязыванию услуг, фишингу.

2. автоматизировать взаимодействие уполномоченных органов и организаций, в том числе мониторинг утечек персональных данных.

3. бороться с мошенниками в сети заранее — превентивными мерами.

Первый этап создания платформы планируется завершить к концу 2026 года.

«Ростелеком» запустил набор на программу профессиональной подготовки «Специалист по монтажу телекоммуникационного оборудования» для партнёров компании из числа региональных операторов связи.

Образовательный проект национального провайдера реализуется Министерством труда и социального развития РФ при содействии Томского государственного университета и будет доступен в рамках «Школы экспертов».

Специалисты, успешно прошедшие программу, получат удостоверение об окончании курса государственного образца.

Теорию участники послушают в онлайн-формате, а вот практику отработают на технической базе «Ростелекома». График обучения построен таким образом, чтобы специалисты могли пройти его без отрыва от производства. В программе примут участие 300 представителей компаний-партнёров национального провайдера.

Основная программа подготовки разработана в соответствии с требованиями профессионального стандарта, предполагает восемь недель обучения и включает 144 часа аудиторной и самостоятельной работы, а также время для сдачи экзаменов. В качестве разработчика и методолога выступил АНО ДПО «Центральный многопрофильный институт профессиональной переподготовки и повышения квалификации». Техническую базу и организацию для проведения обеспечит «ИТ школа РТК».

Выпускники программа профессиональной подготовки РТК получат все необходимые компетенции, чтобы профессионально заниматься установкой, настройкой и обслуживанием оборудования для передачи данных и связи.