Сетевые технологии *

Всем привет! С вами Ксения Наумова. В Positive Technologies я исследую вредоносный сетевой трафик и совершенствую инструменты его анализа в экспертном центре безопасности. Недавно перед нами встала задача — создать ML-модель для обнаружения вредоносного ПО в сети. Причем распознавать она должна была не только уже ранее детектированное нами вредоносное ПО, но и совсем новые угрозы, которые появляются в большом количестве ежедневно. В качестве первого эксперимента решили сделать модель для работы с трафиком, который передается по протоколу HTTP, поскольку наши продукты успешно расшифровывают TLS-сессии, а внутри них частенько можно найти много интересного. В статье я подробно расскажу, как мы обучали модель, и поделюсь информацией о допущенных ошибках.

Всем привет, сегодня я хочу рассказать вам о своем опыте постановки PostgreSQL на сервере и какие при этом возникли сложности, а также о том как все это решилось.

Кратко, нужно использовать IP префиксы которые доступны внутри страны и недоступные из других стран, хотя это противоречит основному принципу интернета, что все ip-адреса должны быть доступны для всех.

Давайте рассмотрим интернет адреса с самого начала, есть публичные адреса и есть приватные адреса.
Например, адрес 1.1.1.1 это публичный, а адрес 10.1.1.1 приватный, он не маршрутизируется в Интернет. Многие компании используют такой адрес внутри своей сети.
Но есть также ещё одна категория адресов которые относятся к публичным, но никогда не используются обычными пользователями в интернете, такие адреса принадлежат какой-то корпорации или организации.

Эти адреса можно без опаски повторно использовать внутри страны и никогда не произойдёт пересечение с пользовательскими сервисами, потому что пользовательских сервисов на этих адресах нет. Ни один пользователь, скажем так, не пострадает. Если из-за рубежа кто-то направит DDoS атаку на такие адреса, то все атаки уйдут за рубеж, к основному владельцу адресов, при условии, если не объявлять такие адреса за рубеж по протоколу BGP.

Всем привет! На связиНиколай Едомский, руководитель группы сетевых инженеров в ЕДИНОМ ЦУПИС.

Представляю вашему вниманию четвертую статью из цикла «IPsecHub+».

В прошлой статье мы рассмотрели схему построения IPsec‑концентратора на основе так называемой эскалаторной топологии. А сейчас мы рассмотрим примеры более сложных сценариев, когда нужно выполнять регуляторные требования, пристыковать филиалы с пересекающимся адресным пространством, ну и тому подобное.

Как-то раз внутри корпорации Google появилась идея раздавать интернет с помощью воздушных шаров, парящих в стратосфере, — так родился Project Loon. Проект должен был обеспечить доступ к сети в отдаленных и труднодоступных точках, но после нескольких лет испытаний, триумфов и неудач его, к сожалению, закрыли. Правда, не совсем — некоторые наработки были реализованы уже в другом проекте под названием Taara. Об этом сегодня и поговорим.

Продуйте пыль с разъёма

Всем привет! На связи Николай Едомский, руководитель группы сетевых инженеров в ЕДИНОМ ЦУПИС.

Представляю вашему вниманию третью статью из цикла "IPsecHub+".

В предыдущей статье мы пришли к выводу, что желательно максимально сократить количество сущностей, которые участвуют в процессе добавления или удаления нового филиала.

Прежде всего, это нужно для максимального упрощения автоматизации процесса. Я думаю, вы согласитесь, что делать автоматизацию для Linux-машин - это одно, а для Linux-машин и какого-нибудь NGFW типа Fortigate - это совсем другое. Особенно если учесть, что этот NGFW обслуживает не только сервис стыковки по IPsec, а вообще всю компанию, и последствие ошибки в скриптах автоматизации - это не только падение IPsec-сегмента, но и других сервисов.

Первая часть: Ethernet, ARP, IPv4 и ICMPv4

Вторая часть: основы TCP и Handshake

В прошлом посте мы узнали о заголовках TCP и о том, как устанавливается соединение между двумя сторонами.

В этом посте мы изучим передачу данных по TCP и способ управления ею.

Также мы создадим интерфейс сетевого стека, который приложения смогут использовать для передачи данных по сети. Потом этот Socket API мы применим, чтобы наш пример приложения смог отправить простой HTTP-запрос веб-сайту.

В последний год в России наблюдается активное удаление VPN-приложений из официальных магазинов приложений. В середине марта 2025 года Роскомнадзор направил в Google 47 запросов на удаление VPN-сервисов из Google Play, что стало самым массовым потоком подобных запросов за последние полгода. Ранее, в июле 2024 года, Apple по требованию Роскомнадзора удалил из российского сегмента App Store более 100 VPN-приложений, включая такие популярные сервисы, как Proton VPN и NordVPN, а также наш AmneziaVPN. Мы ранее писали о том, что Apple один из главных провайдеров цензуры, и сейчас хотим дать подробные инструкции что можно сделать:

Всем привет! На связи Николай Едомский, руководитель группы сетевых инженеров в ЕДИНОМ ЦУПИС.

Представляю вашему вниманию вторую статью из цикла «IPsecHub+».

После того, как в первой статье цикла мы немного погрузились в специфику нашей технологической базы, давайте рассмотрим классический сценарий построения GRE‑over‑IPsec туннеля. Это будет первый шаг к реализации нашего решения «IPsecHub+».

И снова привет, Хабр! Продолжаю рассказывать, как мы с коллегами решали небольшую задачу по автоматизации управления списками доступов на пограничных маршрутизаторах. В предыдущей части речь шла о концепции хранения и представления данных. Теперь же погрузимся в пучину кода, который отвечает за проверку и отправку политик на сетевые устройства.

Сеть билайна имеет в своем ресурсе свыше 100 тысяч элементов транспортной сети с 24 уникальными типами транспортных узлов. Управлять ими, проектировать и развивать их достаточно сложно и трудоемко. Чтобы упростить работу проектировщикам и другим пользователям сети, мы создали уникальный программный продукт, аналогов которому нет на рынке, TN Map — интерактивную карту, которая помогает визуально оценивать состояние сетей связи филиалов.

В статье подробно расскажем о функциях и внутреннем устройстве TN Map: разберем сценарии использования продукта и его отличительные особенности.

Первая часть: Ethernet, ARP, IPv4 и ICMPv4

Пока наш стек TCP/IP пользовательского пространства содержит минимальные реализации Ethernet и IPv4. Настало время заняться пугающим Transmission Control Protocol (TCP).

TCP, работающий на четвёртом (транспортном) сетевом слое OSI1, отвечает за починку ошибочных подключений и сбоев в доставке пакетов. TCP — «рабочая лошадка» Интернета, обеспечивающая надёжную связь практически во всех компьютерных сетях.

TCP — не особо новый протокол, первая его спецификация вышла в 1974 году2. С тех пор многое поменялось, TCP дополнился множеством расширений и исправлений3.

В этом посте мы изучим базовую теорию TCP, а также рассмотрим заголовок TCP и поговорим об установке соединения (TCP handshaking). Под конец мы продемонстрируем первую функциональность TCP в нашем сетевом стеке.

Привет, Хабр! Сегодня поделюсь, как я с коллегами решал небольшую задачу по автоматизации управления списками доступов на пограничных маршрутизаторах. Исходные данные просты: 100+ маршрутизаторов, на которых необходимо поддерживать в актуальном состоянии правила NAT. Звучит несложно, но, как водится, есть свои нюансы.

Здравствуйте, дорогие читатели! Сегодня мы рассмотрим policy-based routing (маршрутизацию на основе политик) и его практическое применение в лабораторной работе с использованием GNS3. Вся информация будет представлена на практике. Вот наша топология, с которой мы будем работать. Маршрутизация будет осуществляться с помощью протокола OSPF.

Наша топология:

Недавно прочитал статью на Пикабу про бесконечное сжатие, где предлагалось создать словарь 3-х байтовых блоков, и представлять информацию в виде ссылок на эти блоки. Понял что выигрыша в этом нет, но идея передавать не саму информацию, f что-то другое, меня зацепила. Начал размышлять, допустим демон на дне океана перекусывает нитку оптоволокна и смотрит как туда сюда бегут 1 и 0. Какой в них смысл? Одно и тоже. И правда как извлечь смысл из этого однообразия. А здесь вступают в игру фактор времени и договоренности. То есть добавляются дополнительные измерения о которых демон не знает. Стартовые, стоповые биты, длина пакета.

Стал думать, хорошо как можно использовать время, договоренность и идею передавать не саму информацию а ссылку на нее. Как передать ссылку на информацию в словаре, не передавая ее индекс. Допустим передать не сами 4 бита информации, а ссылку на эти 4 бита в таблице всех возможных значений 4 бит.

Если вы хотите понять, как современные сети работают и обеспечивают безопасность, или если вы просто хотите освежить свои знания в области сетевых технологий, эта статья для вас. Мы рассмотрим ключевые методы управления IP-адресами, такие как Network Address Translation (NAT), и подробно изучим их применение в реальных условиях. Включенные темы, такие как защита информации (ИБ), DMZ, и Policy-Based Firewall, будут полезны как новичкам, так и профессионалам. Мы также рассмотрим практическую реализацию NAT с использованием эмуляции сети в GNS3, что позволит вам увидеть, как это работает на практике, независимо от того, работаете ли вы с оборудованием Cisco или другими платформами.

Network Address Translation (NAT) — это технология, используемая для изменения IP-адресов в заголовках пакетов, проходящих через маршрутизатор или фаервол. Основная цель NAT — сократить количество публичных IP-адресов, необходимых для связи с интернетом, и улучшить безопасность путем скрытия реальных IP-адресов внутри сети. Существуют различные виды NAT, такие как Static NAT, Dynamic NAT и Перегруженный NAT (PAT), каждый из которых применяется в зависимости от потребностей сети и управления адресами. В этой статье мы рассмотрим эти методы и их применение в современных сетевых инфраструктурах.

Мы будем рассматривать практическую реализацию NAT (DMZ), используя эмуляцию сети на GNS3. Начнем с изучения статического NAT и посмотрим, как оно работает на практике в нашей сети.

Всем привет! Давно не было новостей в нашем блоге. А всё потому, что мы много внимания уделяем нашему коммерческому проекту — Amnezia Premium. Для тех, кто использует AmneziaVPN как self-hosted решение, в скором времени тоже появятся важные и полезные обновления. А пока расскажем немного о том, как мы делали свой «большой VPN» — «не хуже, чем у других».

Всё началось в 2020 году, когда мы создали клиент для настройки и установки VPN на собственный сервер. Это казалось отличной идеей, ведь так  можно было выбрать любую юрисдикцию, получить собственный белый IP, поделиться доступом с неограниченным количеством друзей и обеспечить защиту от блокировки IP-адреса, ведь в случае с собственным IP никто, кроме владельца VPN, не сможет к нему подключиться. Мы по-прежнему  считаем, что это одно из лучших решений, и мы очень благодарны читателям «Хабра», которые советовали и продолжают советовать AmneziaVPN как self-hosted клиент.

Но сегодня рассказ будет о том, как мы пришли к премиум-версии.