Все потоки
Поиск
Написать публикацию
Обновить
232.08

Сетевые технологии *

От Ethernet до IPv6

Сначала показывать
Порог рейтинга
Уровень сложности

Цифровая гигиена в облаке: фильтруем трафик с помощью групп безопасности

Время на прочтение6 мин
Количество просмотров3.1K

Облачный файрвол удобен, когда нужно оперативно обеспечить сетевую безопасность для приватных сетей и публичных IP-адресов. Он назначается на внутренний порт роутера, подключенного к приватной сети, и фильтрует весь трафик, который отправляется с виртуальной машины в интернет и обратно. Итого, облачным файрволом всего за пару кликов можно обезопасить всю сеть.

Но ограничить трафик на уровне всего — не всегда подходящее решение. Бывает, нужно обеспечить контроль на уровне сетевого интерфейса конкретного инстанса, то есть виртуальной машины. Например, чтобы закрыть все порты, кроме 80, если у вас на нем работает публичный веб-сервис на nginx. Тогда на сцену выходят группы безопасности, они же — Security groups.

В этой статье мы рассмотрим, что такое группы безопасности и как они работают в теории и на практике. Подробности под катом! 

Читать далее

SD-WAN и трудности миграции: успеть за 30 минут

Время на прочтение7 мин
Количество просмотров1.5K

Я работаю в сервисной компании, и в своей работе мы часто используем российские SD-WAN решения. Делаем крупные и нестандартные внедрения, а также предоставляем сеть по «подписочной модели» на основе Kaspersky SD-WAN.

В этой второй статье из цикла я бы хотел поделиться нашим опытом миграции на SD-WAN в рамках услуги «сеть по подписке». Подписочная модель предоставления сети подразумевает нулевые затраты (CAPEX) на оборудование. Сеть предоставляется «под ключ» как сервис (или, другими словами, 100% OPEX), все необходимое оборудование доставляется на площадку заказчика в рабочем и настроенном состоянии в «аренду». Бизнес получает рабочую транспортную сеть на удаленных площадках с заданным SLA без необходимости капитальных затрат, найма персонала и прочего.

В такой парадигме важным параметром для заказчика остается скорость подключения новых удаленных площадок, и мы стремимся к своим личным рекордам. Заказчику важна скорость, так как это минимальная остановка текущих сервисов и быстрое введение в эксплуатацию новых площадок.

В данной статье не будет технических деталей, примеров конфигурации, и сравнения решении разных вендоров, а также рассуждений о том, какое решение является «более настоящим» SD-WANом, а какое – только оптимизацией выхода в интернет. В статье описан опыт ежедневной эксплуатации и проблемы, с которыми сталкивается команда, обслуживающая SD-WAN. Итак, займемся гонками и скоростным подключением.

Читать далее

Управление маршрутизацией на роутерах Keenetic при помощи Telegram-бота и правовые нормы доступа к информации

Уровень сложностиСредний
Время на прочтение29 мин
Количество просмотров14K

После начала Специальной Военной Операции многие западные компании объявили о прекращении своей деятельности в России и Белоруссии и некоторые из них стали блокировать пользователям с российскими и белорусскими IP-адресами доступ на свои ресурсы в сети Интернет. Яркими примерами таких блокировок являются сайты: intel.com, dell.com, chatgpt.com, community.cisco.com, mongodb.com, tenable.com, wiki.zimbra.com, releases.hashicorp.com, registry.terraform.io, vagrantcloud.com, solarwinds.com и множество других.

Такие блокировки мешают IT-специалистам из России и Белоруссии получать доступ к актуальной информации и программному обеспечению необходимому для обучения и работы. Препятствуют получению актуальных релизов программных продуктов и критических обновлений безопасности, что в условиях участившихся хакерских атак стало особенно важным.

Также, в качестве упражнений для ума, можно поизучать вопросы о допустимости дискриминации по национальному признаку и принципе сетевой нейтральности.

В этой статье будет рассказано о том, как сконфигурировать роутеры марки Keenetic (возможно и других марок, поддерживающих установку пакетов из репозитория Entware) для развертывания на них программного пакета обеспечивающего расширенное управление маршрутизацией. Будет приведена инструкция как установить на роутер Telegram-бота для быстрого и удобного управления маршрутизацией трафика.

В это статье НЕ БУДЕТ инструкций о том откуда взять работающий VPN и НЕ БУДЕТ инструкций о том как обходить блокировки Роскомнадзора. Обсуждать это в комментариях к статье тоже НЕ НУЖНО.

Моя статья посвящена изучению современных инструментов и технологий и объясняет то как получить доступ к легальным сайтам, доступ к которым изнутри страны не ограничен и которые самостоятельно закрыли доступ для пользователей из России и Белоруссии.

Отдельно хочу заметить, что я регулярно вычитываю законы которые затрагивают мои права, свободы и законные интересы и не собираюсь давать Роскомнадзору правовых оснований для скрытия этой статьи из публичного доступа. Конечно, я не могу исключать попыток Роскомнадзора скрыть мою статью путём расширенного толкования действующих законов, либо превышения должностных полномочий и выходом за пределы правового поля. Однако надеюсь что и в этом случае у меня хватит знаний и опыта для юридической защиты моей публикации.

Продолжая чтение настоящей статьи вы полностью соглашаетесь с тем что всеми полученными знаниями, технологиями и программными продуктами следует распоряжаться добросовестно и разумно, не планируете нарушать действующее законодательство и собираетесь получать доступ только к ресурсам, использование которых не запрещено в стране вашего пребывания.

Если вы не согласны хоть с чем-то из вышеописанного - вам следует немедленно прекратить чтение настоящей статьи.

Я согласен(-на) и хочу продолжить.

Сложно о простом. Все, что бы вы хотели знать о SFP модулях. Часть 1. Эволюция модулей и базовые понятия

Уровень сложностиСредний
Время на прочтение18 мин
Количество просмотров31K

Приветствую, коллеги! Это снова @ProstoKirReal. В прошлом цикле статей я с вами обсуждал работу интернета (Часть 1, Часть 2, Часть 3, Часть 4, Часть 5), но я специально обошел стороной самую важную часть – как биты данных передаются по локальным сетям между компьютерами и через интернет между материками.

Я начинаю новый цикл статей. В нем мне бы хотелось с вами обсудить SFP‑модули. Что это такое, какие типы бывают (и чем они отличаются), какую роль играют оптические кабели и немного затронем историю их развития.

Информации очень много. Точного объема статей я пока не знаю, но обещаю разложить все по полочкам максимально емко и понятно.

Читать далее

Дневник инженера: часть 1. IPS в NGFW. Не только про сети, но и про безопасность

Уровень сложностиСредний
Время на прочтение14 мин
Количество просмотров5.7K

Какие ассоциации возникают у вас при виде аббревиатуры NGFW?

Пропускная способность? Отказоустойчивый кластер? NAT, DNAT? А может, FRR и BGP Full View на пограничном МСЭ (да простят меня сетевые гуру)? Если что-то из вышеперечисленного, значит, вы чиловый парень-сетевик.

Постучимся в дверь к ибэшникам. «Товарищи безопасники, а у вас какие ассоциации?» Приказ ФСТЭК № 44, отечественное «железо», регламент внедрения и эксплуатации… Ой, не та дверь, это PaperSec. «Нормальный IPS, который не отъедает 80% аппаратных ресурсов», — слышим из конца коридора от инженера по сетевой безопасности.

Спасибо за тему для статьи, дружище!

Естественно, читать далее

Звонки через Jabber в докер-контейнере за 5 минут

Уровень сложностиПростой
Время на прочтение6 мин
Количество просмотров39K

В свете сами знаете чего, свой приватный мессенджер и возможность звонков на XMPP стали как никогда актуальны.

Есть быстрый и простой способ: за несколько минут вы поднимаете собственный Jabber-сервер. Дальше — дело техники: рассылаете приглашения маме, бабушке, теще, жене и соседке Даше. После этого можно спокойно звонить и переписываться в защищённом мессенджере, который полностью под вашим контролем.

Звонки идут в зашифрованном режиме, работают p2p. А если у собеседника хитрый NAT, то на помощь автоматически приходит встроенный STUN-сервер.

Клиенты есть под все платформы: Android, iOS, Windows, macOS и Linux.

Читать далее

Zero Trust: почему «не доверяй никому» перестало быть паранойей и стало нормой

Уровень сложностиПростой
Время на прочтение4 мин
Количество просмотров1.7K

Когда‑то безопасность строилась вокруг простого правила: если ты внутри сети, значит «свой». Ставим фаервол, заворачиваем трафик в VPN, прикручиваем IDS — и вроде всё под контролем.

Сегодня этот подход разваливается. Удалёнка, подрядчики, BYOD, фишинг — периметр размазан. Атакующему не нужно ломать фаервол: достаточно украсть логин и пароль через поддельную форму входа. И вот он уже «свой».

Истории из ИБ‑практики:

Читать далее

О том, как я приручил Wi‑Fi с помощью PowerShell и чуть‑чуть ИИ

Уровень сложностиСредний
Время на прочтение6 мин
Количество просмотров6.8K

Дома и в командировках меня раздражали внезапные «тихие» обрывы Wi‑Fi. Хотелось, чтобы система сама возвращала подключение, но не спорила со мной, если я сознательно нажал «Отключить Wi‑Fi». И чтобы всё было прозрачно: логи, автозапуск, минимум магии.

Разбор решения

Магия binapi для VPP или новые возможности по использованию SR Policy

Уровень сложностиСложный
Время на прочтение15 мин
Количество просмотров677

Привет! Меня зовут Борис Хасанов, я сетевой архитектор в MWS Cloud Platform. В этой статье рассмотрим структуру сущности, называемой binapi, возможности программирования VPP с её помощью. Покажем, как можно использовать binapi для конкретных случаев, таких как реализация программного оверлея в ЦОД и расширенного Traffic Engineering при помощи VPP. Также поделимся результатами наших тестов по программированию SR Policy через VPP.

Читать далее

Прощай, диал-ап: AOL завершает эпоху модемного интернета спустя 34 года

Время на прочтение4 мин
Количество просмотров4K

30 сентября 2025 г. AOL — компания, открывшая миллионам пользователей интернет — официально прекратит предоставлять услуги диал-ап. Напомню, работала она с 1991 года. Вместе с ней уйдут AOL Dialer, сервис-«звонильщик», и браузер AOL Shield для старых систем. Для многих это не просто техническое изменение, а прощание с символом 90-х. В материале разберем, как AOL смогла сделать интернет массовой технологией, почему ее сервис продержался так долго и что ждет тех, кто до сих пор пользуется модемами.

Читать далее

Почему не взлетел Wireless USB, а также карманный хот-спот и другие материалы в подборке о беспроводных технологиях

Уровень сложностиПростой
Время на прочтение5 мин
Количество просмотров4.7K

У себя в блоге мы часто рассказываем о сетевых инструментах и технологиях. Сегодня мы подготовили тематический дайджест примечательных статей о беспроводных решениях — например, о том, почему провалилась идея USB с удалённым подключением (как альтернатива традиционному), и как авторизовать пользователей в публичной сети Wi-Fi.

Читать далее

Атрибуция Exchange-кейлоггеров к группировке PhantomCore

Время на прочтение4 мин
Количество просмотров2.4K

Салют, Хабр! На связи вновь команда киберразведки экспертного центра безопасности Positive Technologies и мы с новым расследованием, которое... как любое, наверно, детективное дело имеет свои предпосылки и всевозможные зацепки. Речь пойдет о группировке PhantomCore и ее темном прошлом, тайны которого мы извлекли на свет...

Читать далее

Я, она, 25 часов

Уровень сложностиПростой
Время на прочтение20 мин
Количество просмотров8.2K

Привет. Я Марат. Я сетевой инженер. Хуже того — я руководитель сетевых инженеров.

Код не пишу, на железки хожу только из любопытства.

Нейросетки использую повседневно, но под простые задачи: составить TL;DR, написать текст, вытащить данные из таблички, нарисовать картинку. Несколько раз для рабочих и домашних проектов пару функций с их помощью написал. Ну и кто sunno не баловался?

Но вот такой большой, настоящей, интересной задачки никак в поле зрения не было. А всех слушаешь — делают что-то полезное и крутое. На кухнях только и разговоров, что про вайб-кодинг. На хабре только и статьи, что про ML.

Но пришло время — и я нащупал. Не меньше часа в неделю я трачу на публикацию подкастов. При этом записывает их несколько человек. Просто передать им я этот процесс не могу, потому что он многоступенчатый и скрипт мой для публикации не то чтобы супер-удобный.

А почему бы не сделать тг-ботика, где любой из нас просто в интерактивном режиме поотвечает на вопросы, и всё пыщ-пыщ без моего личного участия?

Важное условие — вайб-кодить. Не написав ни строчки кода, получить рабочую программу.

Читать далее

Ближайшие события

Жизненный цикл фичи в коммутаторе: от идеи через QA до прода

Уровень сложностиПростой
Время на прочтение11 мин
Количество просмотров11K

Привет, Хабр! На связи Андрей Золотых, старший инженер по разработке ПО для коммутаторов YADRO KORNFELD. Сегодня я расскажу о пути, который проходит новая фича перед выходом в свет. Разберем весь процесс имплементации: начиная с идеи и заканчивая продакшеном. Особое внимание уделим тестированию, которое в случае сетевого оборудования имеет ряд особенностей. А еще поговорим о специалистах, которые участвуют в процессе: от бизнес-аналитиков до сетевых инженеров.

Читать далее

Nextcloud для дома: Snap, Docker или …? Пошаговый гайд для простых людей

Уровень сложностиПростой
Время на прочтение6 мин
Количество просмотров14K

Привет, Хабр! Меня зовут Даня Гербовец, я разработчик в международной компании Garage Eight. Сегодня хочу поделиться своим опытом, как можно поднять собственное домашнее облако — быстро, понятно и недорого.

Почему я вообще пришел к идее развернуть у себя Nextcloud? Всё просто: огромное количество файлов. Фото и видео в наше время занимают куда больше места, а надежности смартфонов я не доверяю. Я начал интересоваться облачными хранилищами, но довольно быстро понял: если хочется действительно много места за адекватный прайс, нужен свой сервер.

Всё оказалось не так сложно, как кажется на первый взгляд, — расскажу по шагам, какие есть варианты установки, что выбрать и на что стоит обратить внимание.

Читать далее

Кем работать в IT в 2025: сетевой инженер в информационной безопасности

Время на прочтение12 мин
Количество просмотров5.6K

Рубрика «Кем работать в IT» — интервью с представителями IT-профессий, в которых специалисты рассказывают о тонкостях своей работы: плюсах, минусах, подводных камнях и заработной плате. Мы надеемся, что джунам и стажерам она поможет больше узнать о том, что их ожидает на карьерном пути, а профессионалам — посмотреть на свою специальность через чужой опыт и, может быть, открыть для себя что-то новое.

Сегодня о своем опыте роста от джуна до миддла нам рассказал сетевой инженер «К2 Кибербезопасность» Александр Кузнецов.

Читать далее

PLOAM в OLT

Уровень сложностиСредний
Время на прочтение4 мин
Количество просмотров478

PLOAM

именно этот протокол включается первым в olt он задает базу с которой уже начинают работать другие протоколы. По сути он присутствует всегда, работает во всех портах, так что это самый базовый и нужный протокол для работы OLT. 

Читать далее

Как я поймал сетевика на передаче пароля в SSH и чем это закончилось

Уровень сложностиСредний
Время на прочтение3 мин
Количество просмотров88K

Есть старое правило: если можно сделать быстро и удобно, кто‑то обязательно сделает это в ущерб безопасности. В инфраструктурных командах это особенно заметно. Сетевики часто решают задачи «с лёту», и это прекрасно. Пока речь не заходит про пароли. Один из таких случаев стал для нас уроком На первый взгляд — мелочь, но последствия могли быть куда серьёзнее.

Как всё началось

Обычный рабочий день. Я проверял список процессов на сервере (ps aux) и вдруг вижу:

```bash

sshpass ‑p 'Qwerty123' ssh admin@10.0.5.21

Пароль. В открытом виде. В командной строке.

Подошёл к коллеге...

Читать далее

Утечка хендлов в IP Helper API: как мы нашли и обошли ещё один баг Windows

Уровень сложностиСредний
Время на прочтение4 мин
Количество просмотров653

После статьи о баге в CancelIoEx решил рассказать ещё об одном дефекте в системных компонентах Windows — на этот раз в IP Helper (часть Windows API, отвечающая за работу с сетевой статистикой и таблицами соединений).

Этот API, среди прочего, даёт возможность сопоставлять перехваченные на уровне сети пакеты с локальными процессами. Казалось бы, проверенный механизм, который работает «под капотом» множества утилит и сетевых фильтров. Но в ходе тестирования WireSock Secure Connect в режиме split tunneling по процессам мы наткнулись на утечку, способную за считанные минуты выбить лимит хендлов в системе.

Поводом для расследования стало сообщение в нашей группе поддержки WireSock в Telegram: один из пользователей заметил аномально быстрый рост числа открытых дескрипторов процессов. Проблема стабильно воспроизводилась под нагрузкой и исчезала, если использовать фильтрацию по IP-адресам. Это стало первой зацепкой, которая в итоге вывела нас на баг в реализации IP Helper.

Отдельное спасибо пользователю @dno5iq, который обнаружил проблему, выполнил реверсинг GetOwnerModuleFromPidAndInfo и помог подтвердить наличие дефекта в её реализации.

Читать далее

Архитектура сервера: статические residential-прокси и reverse-proxy

Время на прочтение3 мин
Количество просмотров2.5K

Архитектура Сервера — это не только набор серверов и сервисов, это контракт о том, как компоненты взаимодействуют и кто за что отвечает. В сетевой части этот контракт делится на две очевидные зоны ответственности: ingress (входящий трафик) и egress (исходящий). Reverse-proxy (NGINX/Envoy/Traefik и им подобные) — стандартный элемент ingress-слоя: TLS-терминация, кеш, балансировка и фильтрация трафика. На уровне egress мы часто используем прокси-слой, который формирует «внешний вид» наших исходящих соединений; среди опций для egress ключевую роль играют статические residential-прокси — IP от реальных провайдеров, закреплённые за сессией на время операции.

Читать далее

Вклад авторов