Сетевые технологии *

Центры Обработки Данных, как правило представляют собой здания с помещениями достаточно большого размера, в которых размещаются бесконечные шкафы с серверами, коммуникационным оборудованием, системами хранения и прочими инфраструктурными элементами. И порой крайне сложно разобраться, как взаимодействует между собой все это техническое многообразие. В этой статье мы поговорим о топологии и архитектуре сетей ЦОД.

Сетевая архитектура центра обработки данных должна обеспечивать баланс между надежностью, производительностью, гибкостью, масштабируемостью и стоимостью. При этом, она также должна поддерживать как текущие, так и будущие приложения и иметь запас мощности, который может потребоваться для развертывания новых приложений.

Для начала поговорим о том, какие топологии могут использоваться в сетях ЦОД.

Сегодня мы замолвим пару слов про очередную рабочую лошадку сетестроения. Устройство, примечательное не только своим функционалом, но и массовостью выпуска. Недорогое, практичное и идеально соответствовавшее нуждам SMB-сегмента второй половины 1990 и начала 2000 годов.

Итак, как сказано в Википедии, Cisco PIX (Private Internet eXchange) был одним из первых в своём сегменте, популярным, межсетевым экраном с возможностью трансляции сетевых адресов (NAT/PAT).

Появлением PIX firewall мы обязаны небольшой компании Network Translation Inc. (далее NTI), выпустившей первую версию устройства для сокрытия приватных сетей в 1994 году. Собственно и основана она была в 1994 году, а софт был написан одним единственным человеком, Brantley Coile. Как в последствии описывали участники событий, на сей подвиг их вдохновило желание сделать аналог офисной АТС (PBX - Private Branch eXchange), позволяющей внутренним абонентам выходить в телефонную сеть общего пользования.

В данной статье мы с вами затронем анализ сетевых принтеров/МФУ в компании. Каждый из Вас наверное замечал, что данные устройства стоят почти в каждом кабинете и этаже (последнее более опасно, так как доступ к данным устройствам может получить любой человек: сотрудник компании, внешний гость или подрядная организация).

Многие компании не выполняют необходимые мероприятия по предварительной донастройке данных устройств, а данные хосты могуть уязвимым звеном в периметре информационной системы.

Недавно возникшая тема с блокировкой (замедлением) Youtube коснулась практически каждого жителя РФ. При этом до сих пор нет ни одного прямого официального заявления о причастности к этой блокировке. Ни одно государственное ведомство не созналось в блокировке, открестился Google, открестились провайдеры интернета. На этом фоне мне показалось важным не только выявить и указать всех причастных, прямых и косвенных, но и установить, кто и в каком отношении является выгодоприобретателем от этой блокировки. Выявить, о каких денежных потоках идет речь и куда они в конечном итоге идут.

Чтобы это установить, я попытался по крупицам собрать открытую информацию, добавил анализ используемых технических решений и технологических возможностей и на этой базе выявил те компании, которые являются прямыми и косвенными выгодоприобретатели от блокировки. Список оказался не такой уж и маленький, и в нем представлен как российский, так и зарубежный монополистический капитал. Как мы любим, в конце я приведу общую схему, визуализирующую всех основных актеров этой пьесы и все основные отношения между ними.

В предыдущей статье мы познакомились с тестовой прошивкой из коробки у NFGW Usergate C150, допиливанием шаблона для мониторинга и закончили на утечке памяти, а точнее застыли в ожидании фикса этой утечки.

Продолжаем наблюдение за развитием импортозамещённого NGFW и смотрим, что изменилось за 4 месяца.

ИТ-инфраструктуры становятся все более сложными, теперь мы обычно работаем с десятками и сотнями коммутаторов, маршрутизаторов и межсетевых экранов.

Если нам нужно применить одну и ту же команду к нескольким устройствам, то проще всего будет ansible.

Если нам нужно применить одну и ту же команду, но с разными параметрами, то в этом случае Python и netmiko пригодятся.

Используя ansible, мы можем опрашивать несколько коммутаторов несколькими разными командами и записывать вывод команд в текстовые файлы, но с Python и netmiko мы можем объединить вывод нескольких разных команд, записав только нужную нам информацию в один выходной CSV-файл.

Почему CSV? CSV-файл удобен, потому что мы можем открыть его в Excel, и легко скрыть ненужные нам столбцы, сгруппировать или упорядочить по нужным нам столбцам.

Если мы будем ежедневно создавать один такой файл со всех коммутаторов, мы легко сможем увидеть разницу в состоянии подключенных устройств, просто открыв два файла в редакторе Notepad++ в режиме сравнения.

Я объединил три команды, которые мы обычно используем для записи и отслеживания состояния всех коммутаторов и всех подключенных устройств.

Вот команды:

В облаке Амвера микросервисы и базы данных пользователей крутятся в кластере Kuberneres. Для доступа к приложениям обычно достаточно использовать nginx ngress controller который чудесно работает с HTTP(S) трафиком и позволяет получить доступ к сотням сервисов с использованием только одного внешнего IP адреса. Но, что если пользователь хочет получить доступ к развернутой СУБД не только изнутри кластера, но и извне? Конечно, мы могли бы выдавать каждой СУБД свой белый IP и создать ClusterIP, но это привело бы к дополнительным затратам на аренду адресов. В этой статье я бы хотел поделиться элегантным методом проксирования TCP трафика на основе SNI сообщений, который позволяет использовать один белый IP на сотни СУБД.

Всем привет! Это Сергей Качеев, старший разработчик в отделе сетевой инфраструктуры Yandex Infrastructure. Наша команда создаёт технологии, на которых работают сервисы Яндекса. В прошлый раз я рассказал целый сетевой детектив о том, как мы искали баг, который убивал DNS‑сервер Unbound. И сегодня я расскажу не менее интересную историю.

Мне на развитие попала XDP eBPF‑программа, которая защищает DNS‑серверы от выхода из строя под слишком большой нагрузкой (другими словами, от DDoS). На ядре 5.4 алгоритм защиты был основан на EWMA‑статистике с вероятностными дропами, которые постоянно контролировались из Control Plane. Это делало eBPF‑программу неавтономной. К тому же если Control Plane падал, то сервер оставался в состоянии последнего удачного обновления eBPF. Это нужно было исправлять — было решено заменить это всё на Token Bucket. Этот момент и будем считать отправной точкой в нашей истории.

В статье будут рассмотрены четыре независимых варианта прохождения трафика транзитом с помощью:

1) Double openVPN

2) openVPN + vtun

3) openVPN + tun2proxy через socks5 прокси

4) GOST + openVPN

Решение нашел в комментариях оригинального гитхаба от ValdikSS (работает только для самой последней версии 0.2.3rc3-2).

За годы существования протокола в нем было выявлено немало уязвимостей. И недавно группа исследователей нашла новую. Рассказываем, в чем тут дело.

Всем привет, в этой статье пойдет речь про обход замедления сразу на уровне роутера. Я решил запариться и расписать каждый шаг максимально подробно, да ещё и с картинками, чтобы даже совсем далёкий от всего этого человек смог повторить.

Все актуальные способы обхода замедления Ютуб я собрал в тг канале — для Smart TV, Android, IOS, ПК, итд.

С развитием интернета и исчерпанием адресного пространства IPv4 переход на IPv6 становится необходимым. IPv6 расширяет количество доступных адресов и предлагает некоторые улучшения в безопасности, производительности и упрощении сетевой архитектуры.

В некоторых случаях возможна комбинация обоих методов, что позволяет использовать преимущества каждого из них и создавать гибкие и масштабируемые сети.

Говорят, из кошки не сделать тигра, но сегодня мы попробуем добавить «корпоративности» очень простому и популярному ВПН-решению. OpenVPN Community Edition является решением с открытым кодом, очень популярным в мире и довольно безопасным. В корпоративной среде его использование часто бывает проблематично – отсутствуют важные функции, позволяющие разворачивать решение большому количеству пользователей с минимальными затратами.

Всем привет, сегодня речь пойдет про Android TV. Мне обход именно на телевизоре показался самым проблемным и сложным. Так как дома имеется несколько лишенных ютуба телевизоров, а еще больше ожидают настройки у друзей и знакомых - решил собрать все найденные способы обхода блокировки.

Ранее в наших статьях мы уже упоминали Вам об уязвимостях CVE-2023-49070 и CVE-2023-51467 в Apache OFBiz, не прошло и пол года, как 05 августа 2024 была опубликована новая уязвимость с неправильным ограничением пути к закрытому каталогу CVE-2024-32113 (CVSS 3.x 9.8 баллов), затрагивающая версии ниже 18.12.14.

Для тех, кто мало знаком с данным решением, давайте еще раз узнаем, что это за продукт.

Apache OFBiz - это open-source программное обеспечение, включающее в себя множество различных приложений для интеграции и автоматизации множества бизнес-процессов предприятий.

В этой статье мы развернем уязвимую версию OFBiz и разберемся как эксплуатировать ее.

Облачный WAF (web application firewall) — быстрый и эффективный способ защиты веб-приложений от кибератак. Доказано на практике: за два дня можно надежно прикрыть уязвимости простого сервиса. Для более сложных приложений за это время реально настроить WAF, запустить базовую фильтрацию и начать разработку кастомных политик фильтрации запросов.

Недавно к нам в «К2 Кибербезопасность» обратился клиент, которому нужно было быстро защитить достаточно простое веб-приложение, и мы с инженером практики защиты приложений Даниилом Золотаревым осуществили экспресс-развертывание PT Cloud Application Firewall. На примере этого проекта разберем варианты реализации, возможные ограничения, важные условия и полезные рекомендации по внедрению WAF.

Всем привет, это моя первая статья на хабре. Многие пользователи GoodbyeDPI столкнулись с проблемой доступа к YouTube. Существующие гайды не всегда решают проблему, поэтому я подготовил универсальную настройку, подходящую для большинства регионов и провайдеров. Приступим.

В России зафиксировали 12 сентября 2024 года массовые проблемы с GoodByeDPI. У огромного кол-ва пользователей он перестал нормально работать - видео в Ютуб, перестали ускоряться. В статье я собрал все на данный момент актуальные способы починки его.

Но не отчаиваемся, есть способ всё починить:

Первый Способ

Заходим в папку GoodByeDPI2. Открываем файл 1_russia_blacklist.cmd через «изменить в блокноте»3. В строке start "" goodbyedpi.exe меняем значение -9 на -7 -e14. Если не помог прошлый шаг, то пробуем значения от 1 до 9.5. Чтобы не приходилось каждый раз запускать скрипт после перезагрузки меняем ещё одну строку:

sc create "GoodbyeDPI" binPath= ""%CD%%_arch%
\goodbyedpi.exe" -7 -e1

Второй способ

Если не помогло также можно попробовать: 1_russia_blacklist_my_updated.cmd заменить "-9 " на " -1 -e1" вот так:

start "" goodbyedpi.exe -1 -e1 --blacklist ..\russia-blacklist.txt
(если не поможет - попробовать перебирать первую цифру)

Третий Способ

Если же все равно не работает, проверьте скачена ли у вас последняя версия. Проверить можно тут

Четвёртый способ

Если энивей он не работает, в своем телеграм канале я выложил все актуальные способы обхода блокировки с подробными инструкциями , можно подобрать для себя наиболее подходящие способы - для Smart TV, для ПК, Для Телефона, Android, IOS итд.