Сетевые технологии *

Из Госдумы прилетела порция базы: зампред комитета по информполитике Андрей Свинцов заявил, что Роскомнадзор научится отслеживать трафик внутри VPN, Telegram работать не будет, а через 3–6 месяцев останутся только «легальные VPN, которые нужны для работы СМИ и банков».

Давайте разберем этот бред.

о вскрытии туннелей

Цитата: «У Роскомнадзора есть техническая возможность отслеживать VPN-трафик... Telegram будет работать с перебоями... никого не обхитрит».

Сам не понимает, что несет.... Да, дедовские OpenVPN и голый WireGuard без AmneziaWG легко режутся ТСПУ по сигнатурам. Но современные протоколы вроде NaiveProxy или VLESS + XTLS-Reality работают принципиально иначе. Они не просто шифруют трафик, они инкапсулируют, шифруют его и маскируют под обычный TLS 1.3 до легитимного ресурса (например, microsoft.com).

Для систем DPI ваш зашифрованный туннель выглядит как обычный веб-серфинг. Внутри туннеля - криптографическая каша. Вычленить из нее пакеты мессенджера, не имея приватного ключа сервера, физически невозможно.

Настоящая угроза: Эвристика и анализ паттернов

Цитата: «...в перспективе 3–6 месяцев... останутся только легальные сервисы VPN».

Скорее всего он просто несет бред, но если РКН правда хочет за 3–6 месяцев заблокировать все VPN сервисы то речь по моим догадкам идет о внедрении агрессивного эвристического анализа.

Тоесть работать будет так: Если DPI не может прочитать, что внутри пакета, он начинает анализировать поведение трафика (тайминги, размеры пакетов, симметричность канала).

Как это будет работать:
Вы настроили идеальный Proxy, DPI видит, что сессия установлена. Но дальше начинается аномалия: ваше «HTTPS-соединение» висит активным 12 часов подряд и качает гигабайты данных в обе стороны с нехарактерной для обычного браузера плотностью.

Алгоритмы ТСПУ (на допил которых они берут 3-6 месяцев) фиксируют этот паттерн, помечают соединение как подозрительное и просто сбрасывают его (drop packets), или вообще блокируют IP.

Они просто будут видеть что ваш трафик ведет себя как VPN, и рубят соединение. А «легальные VPN» (банки, СМИ) просто заранее подают свои IP-адреса в РКН, чтобы ТСПУ игнорировало их аномальные паттерны.

Толи Свинцов опять снес бред, толи скоро будет то чего мы все боимся.

а ну это моя первая попытка в разбор новости, а точнее написание поста, вроде норм вышло

Как масштабировать NGFW до сотен Гбит трафика в секунду без потери сессий

Производительность современных NGFW давно перестала измеряться «гигабитами в идеальных условиях». В реальной инфраструктуре устройство одновременно выполняет SSL-инспекцию, IDS/IPS, контроль приложений, антивирусную проверку и другие функции — и всё это под высокой нагрузкой, без потери пакетов и без разрыва пользовательских сессий.

Когда речь идёт о десятках и сотнях Гбит трафика в секунду, вертикальное масштабирование упирается в архитектурные ограничения. Горизонтальный подход выглядит логичным, но на практике поднимает целый ряд инженерных вопросов:

• как обеспечить симметричную обработку трафика в обоих направлениях;

• как сохранить пользовательские сессии при изменении состава кластера;

• как организовать контроль состояния узлов и корректную реакцию на сбои;

• как избежать появления единой точки отказа;

• как корректно встроить решение в существующую инфраструктуру.

5 марта в 11:00 совместно с инженерами UserGate обсудим архитектурный подход к масштабированию производительности NGFW, принципы интеграции UserGate NGFW 7 и DS Proxima, а также результаты тестирования и практический опыт внедрения.

Ссылка на регистрацию

Открытый проект Bluehood позволяет превратить гаджеты с Bluetooth в радар устройств для OSINT‑разведки, включая тепловые карты с графиком активности пользователей:

• знает любые мобильные устройства: смартфоны, компьютеры, умные часы, планшеты, даже телевизоры;

• создаёт график активности: когда включает и выключается;

• вычисляет скрытые связи: если два устройства часто бывают рядом, значит, люди живут вместе или проводят много времени;

• тепловые карты с позицией и активностью устройств;

• присылает пуши, когда отслеживаемое устройство появляется рядом.

Другие открытые инструменты, которые сканируют Wi‑Fi и Bluetooth‑подключения:

• Pi.Alert - сканирует устройства, подключённые к Wi‑Fi. Находит и уведомляет о неизвестных девайсах. Предупреждает о резком отключении устройств от сети, которые всегда была подключены.

• WireTapper - находит беспроводные сигналы вблизи пользователя на предмет фишинга и передачи вредоносов. Сможет найти все Wi‑Fi сети, устройства Bluetooth, даже скрытые камеры, автомобили, наушники, телевизоры и сотовые вышки.

• MetaRadar - находит и в реальном времени отслеживает Bluetooth‑устройства поблизости. Сможет определить их тип, а также расстояние до них.

Представлен учебный 5-тичасовой фильм о технических средствах противодействия угрозам (ТСПУ, «чёрные ящики» от РКН, которые установлены у операторов связи, но доступа к этим устройствам сами провайдеры не имеют). С августа 2023 года все узлы связи в России у основных провайдеров оборудованы средствами противодействия угрозам на базе оборудования ТСПУ для фильтрации трафика пользователей от запрещённого контента.

Клик-ловушка: не только для пользователей, но и для анализаторов ссылок 🐭

При ручном разборе ссылок мы в PT ESC , как правило, задаем себе лишь один вопрос — «безопасна ли она?» ✔❌

Перенести подобный подход в потоковую среду для анализа нельзя: действия, инициируемые переходом по ссылке, могут привести к возникновению новых проблем. Так, приглашения из почтовых сообщений могут автоматически приниматься или отклоняться, производиться автоматическая отписка и/или подписка на корреспонденцию и так далее. В случае если подобное действие вызывает на сервисе отправку нового письма с подобными ссылками, то автоматический переход по ним вызовет непрекращающуюся «лавину» сообщений, что может привести к снижению производительности защитных решений или просто к раздражению пользователей.

🫵 Для решения этой проблемы можно предложить подход, логически схожий с процессом выбора ссылок при ручном анализе: какие-то ссылки нам кажутся крайне подозрительными или однозначно требующими дополнительного контекста для анализа, а какие-то — точно безопасными или, как в предыдущей ситуации, вызывающими определенные действия на сервисах (или вообще одноразовыми). Подход, где система определяет набор признаков «точно нужно переходить» и набор признаков «точно не нужно переходить», называется принятием решений на основе правил (rule-based decision system). Какие признаки можно предложить для реализации подобной системы?

В наборе условий, предотвращающих переход по ссылке, можно рассмотреть:

• наличие паттернов в URL-пути, семантически указывающих на возможное действие при активации, например, /(un)subscribe/, /login/, /exit/, /action/, /track/ и т.д.;

• наличие параметров запроса token, key, uid со значениями, по формату совпадающими с UUID или JWT;

• наличие параметров запроса ts или expires, указывающих на время жизни ссылки;

• если ссылка пришла из почтового сообщения, можно проверить ее наличие в отдельных заголовках подписки/отписки от корреспонденции — List-(Un)Subscribe:;

• при наличии поставки потоков данных с набором «белых» доменов можно рассмотреть отключение анализа содержащих их URL-ссылок. С подобной опцией нужно быть осторожнее, поскольку даже самые популярные и известные сервисы и домены могут использоваться в сценариях с перенаправлением контента.

В наборе условий, вызывающих переход по ссылке, можно рассмотреть:

• ссылки с явным указанием IP-адреса и/или нестандартного порта;

• ссылки с недавно зарегистрированным доменом;

• при наличии категоризатора web-ресурсов с подобной классификацией — ссылки на сервисы-shortener'ы. В случае отсутствия можно рассмотреть условие с короткой длиной URL-ссылки;

• ссылки с указанием в URL-пути файлов с конкретными статическими расширениями, например, .pdf, .exe и т.д.;

• ссылки на сервисы объектных хранилищ, например на S3- или IPFS-хранилища.

🧐 Что остается делать со ссылками из анализируемого объекта, которые не попали ни под один из перечней? Здесь можно опираться на реальную картину, которая получается после работы подобного алгоритма: если позволяет производительность системы или время анализа не превышает допустимый SLA на обработку объектов, можно отправлять все «серые» ссылки на получение контента. Либо же ввести ограничение на количество одновременно анализируемых ссылок у одного объекта.

Также для URL-ссылок, не прокатегоризированных системой принятия решений, можно предусмотреть «осторожный» алгоритм получения дополнительного контекста для анализа: переходить по ссылке методом HEAD без получения контента. Таким образом можно получить дополнительную информацию из HTTP-заголовков, применимую как внутри вышеописанного алгоритма, так и в целом для принятия решения о вредоносности ссылки.

Источник: https://t.me/ptescalator

Ребята, в свете блокировок Telegram я накидал bash-скрипт который сделает всю магию и поднимет вам прокси за пару минут. На выходе получите адрес прокси и сразу им поделиться с друзьями... 

Можете ставить на свои VPS-ки одной командой: 

curl -sSL https://raw.githubusercontent.com/itcaat/mtproto-installer/main/install.sh | bash

Исходники тут: https://github.com/itcaat/mtproto-installer

_________________

Хватит читать DevOps-статьи от людей без продакшена. Я рассказываю про свой реальный опыт в своем Telegram-канале DevOps Brain 🧠 ↩

Опять поною.

Помните, в 2018 году РКН воевал с Телеграмом, блокируя интернет масками по /11? Ну вот эти вот некомпетентные товарищи, перекрывавшие доступ к реально используемым ресурсам, никоим образом не нарушавшим законодательство РФ, просто потому, что таким образом они хотели оказать давление на Телеграм?

Где-то с неделю назад история начала тихо повторяться. В этот раз сии замечательные люди предположительно решили блокировать байтстримы из-за рубежа, если они превышают по объему приблизительно 16 кБайт, считая, видимо, что только vpn могут создавать такой поток. Это сломало огромное количество сервисов, в том числе обновления софта, подгружающего новые версии внутри себя (лично я наткнулся на Brave Browser и расширения для VS Code). Материальный ущерб, нанесенный экономике России, огромен - вместо того, чтобы работать на благо страны, граждане пытаются решить проблему, найти путь получить те самые обновления (подчеркну - абсолютно законного ПО, к которому у органов власти РФ нет никаких претензий).

Конечно же, никто не будет наказан за такие действия.

На коленке набросал сайт для проверки, являетесь ли вы актуальной жертвой. https://dal.pluto.pw/loss-test
Может, конечно, хабраэффект и не пережить.

Если последний открытый блок на странице имеет номер 7273 - значит, у вас нет проблемы с таким типом блокировки. Если же этот номер меньше (обычно существенно меньше, единицы сотен) - поздравляю, вы с нами.

Размер одного блока - 50 байт, поэтому можно очень приблизительно прикинуть, на каком объеме вы начинаете терять трафик.

Уверен, что можно сделать проверку более качественно и даже как-то собирать результаты (через JS, видимо). Но решал задачу проверки "здесь и сейчас", поэтому какое есть. Faciant meliora potentes.

Открытые инструменты, которые сканируют Wi‑Fi и Bluetooth‑подключения.

Pi.Alert - сканирует устройства, подключённые к Wi‑Fi. Находит и уведомляет о неизвестных девайсах. Предупреждает о резком отключении устройств от сети, которые всегда была подключены.

WireTapper - находит беспроводные сигналы вблизи пользователя на предмет фишинга и передачи вредоносов. Сможет найти ВСЕ Wi‑Fi сети, устройства Bluetooth, даже скрытые камеры, автомобили, наушники, телевизоры и сотовые вышки.

MetaRadar - находит и в реальном времени отслеживает Bluetooth‑устройства поблизости. Сможет определить их тип, а также расстояние до них.

Moltbook: почему это не Скайнет

Три причины, почему Moltbook — это не "Зарождение Цифровой Цивилизации", а просто дорогая свалка токенов.

1. Это не диалог, это монолог в пустоту

Вам кажется, что агенты там "общаются"? Как бы не так. Анализ логов показывает: 90% веток — это dead ends. Они не спорят. Они не развивают мысль. Они просто аугментируют контекст. Каждый бот просто выплевывает свой системный промпт в общую кучу. Это не hive mind, это рой спамеров.

2. Феномен "MoltHub" и галлюцинации смысла

Главный хайп — якобы агенты создали "порно для ИИ" (MoltHub) и свою религию.
Звучит круто? На деле это просто ошибка выборки. Если вы запустите 1000 агентов и скажете им "генерируйте контент", по теории вероятности один из них сгенерирует слово "Бог", а другой — "XXX". Мы, люди, видим в этом СМЫСЛ ("Ого, они верующие!"). А для модели это просто токен с вероятностью 0.004%. Это не культура. Это стохастический попугай, который случайно каркнул.

3. Технический тупик: RAG-уроборос

Самое смешное в Moltbook — это его архитектура. Агенты читают посты других агентов, чтобы... написать новые посты. Знаете, что происходит с LLM, когда она учится на текстах другой LLM? Правильно, model collapse.
Moltbook — это гигантский ускоритель деградации. Через месяц они там будут общаться на диалекте "глючных байтов", потому что энтропия системы растет экспоненциально. Это не Скайнет. Это цифровой инцест.
Moltbook это крутой арт-перформанс. Это смешной эксперимент. Но, пожалуйста, хватит искать там "искры сознания". Единственное, что там искрит — это видеокарты на серверах, сжигающие электричество ради генерации терабайтов цифрового мусора.

Рег.облако запустило сетевые диски для гибкого управления данными в облаке

Пользователям Рег.облака стали доступны сетевые диски — облачное блочное хранилище, которое подключается к виртуальным серверам как обычный диск и позволяет управлять данными независимо от вычислительных ресурсов.

Сетевые диски предназначены для сценариев, где важно отделить данные от жизненного цикла виртуальных машин. Хранилище можно подключать и отключать от ВМ, переносить между серверами или полностью удалять без пересборки инфраструктуры и простоев в работе.

Объем дисков можно увеличивать по мере роста нагрузки или добавлять новые диски без изменения конфигурации виртуальной машины. Масштабирование происходит без остановки сервисов и не ограничено емкостью отдельного сервера. Такой подход подходит для работы с логами, резервными копиями, медиаконтентом, большими наборами данных, а также для аналитических и ML-сценариев.

Сетевые диски построены на распределенной системе хранения данных на базе Ceph с тройной репликацией. Для всех дисков, независимо от объема, зафиксированы характеристики производительности: до 2000 IOPS и пропускная способность до 500 МБ/с. Это позволяет заранее прогнозировать поведение хранилища и использовать его в нагруженных облачных сервисах.

В отличие от объектного S3-хранилища, сетевые диски монтируются в систему как блочные устройства. Это позволяет работать с файловыми системами напрямую — без обращения к API — и снижает задержки при операциях чтения и записи. По сравнению с локальными дисками виртуальных машин, сетевые диски не привязаны к конкретному серверу и упрощают управление объемами и миграции.

Решение ориентировано на DevOps-инженеров, системных администраторов и разработчиков, которым важно масштабируемое и отказоустойчивое хранилище с возможностью управлять данными отдельно от вычислений.

Сетевые диски уже доступны в инфраструктуре Рег.облака.

YouTube появился в приложении «Билайн» (опция называется «YouTube доступ без vpn»). Причём такое обновление только у тех пользователей, кто на тарифе «план б.». Вероятно, оператор связи нашел какой‑то компромисс.

Открытый проект blip в режиме онлайн позволяет визуально оценить сетевую задержку (латентность или latency) при передачи данных от ПК до разных серверов в мире. Решение работает в браузере на любом ПК, ноутбуке, планшете, смартфоне с поддержкой javascript и HTML canvas.

Эти три открытый проекта по ИБ позволяют анализировать и изучать беспроводные сети Wi‑Fi:

• Wi‑Fi‑autopwner — моделирование взлома сетей Wi‑Fi с простой защитой. Работает в консоли.

• Wi‑Fi Exploitation Framework — сервис, который поможет проверить и пробить безопасность беспроводной сети, а также протестировать на ней различные виды тестовых атак: от простых до комплексных.

• Freeway — Python‑сервис, который показывает механизм работы беспроводных сетей и их уязвимостей, помогает выявить способы перегрузки сети и смоделировать атаки с нарушением аутентификации.

Представлен открытый бесплатный сервис Maltrail для анализа входящего и исходящего трафика и вредоносов в нём. Проект умеет:

• обнаруживать опасные домены, URL и IP;

• распознавать вредительские HTTP User‑Agent‑строки;

• выявлять актуальные инструменты атак на ПК;

• высокий уровень сетевой безопасности без сложного развёртывания — сервис ставится за один клик;

• может помочь найти вирусы, майнеры и прочий мусор, который обращается в сети.

Подборка инструкций по работе с сетью для начинающих

Привет, Хабр! В пятницу я снова с подборкой статей. На этот раз несу инструкции по работе с сетями.

• Зачем сетям нужен RADIUS и как его развернуть. Как работает RADIUS, за что отвечает AAA и как развернуть свой сервер на базе FreeRADIUS в облаке — от установки до интеграции с оборудованием MikroTik.

• Как «подружить» Mikrotik с Nginx. Рассказываем, как решить проблему безопасно и быстро.

• Настройка SSL-сертификата на Nginx. Как установить и настроить SSL-сертификат для серверов на nginx. Разбираем получение сертификата Let’s Encrypt® или работу со своим для настройки HTTPS-соединения.

• Как просканировать сетевой периметр сервиса с помощью open source-инструментов. Разбираем подход, позволяющий провести инвентаризацию доступных «снаружи» и потенциально уязвимых сервисов.

Хороших выходных!

Новогодняя задача: помогите Тирексу поздравить коллег

Условие

Программист Тирекс написал праздничное веб-приложение с обратным отсчетом до Нового года и хочет поздравить им всех коллег. Приложение уже собрано: в директории web находятся готовые статические артефакты (HTML, JavaScript и изображения). У Тирекса есть TLS-сертификат и приватный ключ, и он хочет, чтобы приложение работало по HTTPS.

Задача

Нужно упаковать приложение в Docker-контейнер, чтобы его можно было легко запускать на любом сервере, и сделать доступным из интернета. Времени у Тирекса осталось совсем немного!

Создайте конфигурацию nginx, которая:

• слушает порт 80 и выполняет 301-редирект на HTTPS (https://$host$request_uri);

• слушает порт 443 с включенным SSL;

• использует сертификат /etc/nginx/ssl/cert.pem и ключ /etc/nginx/ssl/key.pem;

• отдает статические файлы из /usr/share/nginx/html по пути /.

Напишите Dockerfile, который:

• копирует в  контейнер конфигурацию nginx и артефакты приложения

• создает пустую директорию /etc/nginx/ssl (для монтирования сертификатов при запуске);

• использует легкий образ (например, nginx:alpine).

При запуске контейнера должны быть опубликованы порты 80 и 443.

Бонусная задача

Добавьте docker-compose.yml файл, чтобы запускать приложение одной короткой командой из папки с сертификатами.

Предлагайте варианты решения в комментариях. А посмотреть правильный ответ можно в Академии Selectel.

Подборка базовых статей о DNS

Привет, Хабр! На дворе пятница, а это значит, что я снова с непрошенной подборкой статей для начинающих. Сегодня на очереди DNS. Прошу:

• Что такое DNS-сервер — объясняем простыми словами. Как работает технология, какие DNS-серверы бывают, что такое DNS-зоны, как управлять доменом.

• DNS-сервер не отвечает: что делать и как исправить? Делимся решениями для тех, у кого возникли проблемы с DNS-сервером.

• Как разобраться в DNS-хостинге и ничего не сломать. Какие типы ресурсных записей бывают, зачем их так много и как добавить их в DNS-хостинг так, чтобы все работало без нареканий.

Как настраивать и эксплуатировать softrouter

Расскажем сегодня в 18:00 мск на Selectel Network MeetUp. А еще поговорим про подсчет сетевого трафика на сотни гигабит и сложности воспроизведения сетевых проблем в лабораторных условиях. 

Программа у нас такая:

▪️ Маршрут одного инженера: FreeBSD → Linux → VPP

▪️ Пакет с пакетами: как считать, когда их много миллионов?

▪️ Повторить нельзя закрыть: сложности воспроизведения сетевых проблем в лаборатории 

Все это — в легкой предпраздничной атмосфере и с огоньками гирлянд.

Подключайтесь к трансляции:

✅ на YouTube

✅ в VK

В обновлении Telegram появилась возможность создать на устройстве ключ доступа (passkey), который позволит мгновенно входить в мессенджер с помощью PIN или биометрических данных, в том числе Face ID и отпечатка пальцев. Криптографические ключи для входа будут храниться на устройстве и могут синхронизироваться с приложениями для управления паролями от iCloud, Google и других сервисов.

«Ключи доступа работают всегда и везде — и при перебоях с СМС, и в заграничных поездках, и даже в лифтах на парковках», — пояснили в Telegram, используя мем про другой мессенджер.

SpaceWeb запустил бесплатный тестовый период в S3-хранилище

Теперь S3-хранилище в SpaceWeb можно попробовать бесплатно. В панели управления появился трехдневный тестовый период для первого хранилища на аккаунте — без заявок в поддержку и без предоплаты.

При заказе достаточно поставить галочку «Тестовый период» и подтвердить номер телефона. После активации можно проверить совместимость, скорость и сценарии интеграции S3 в своей инфраструктуре.

Как это работает

• Срок теста — 3 дня.

• Подтверждение — по телефону (как и у VPS-теста).

• Во время теста можно менять параметры хранилища, но объем ограничен 500 ГБ.

Как перейти в рабочий режим:  чтобы выйти из тестового режима, на балансе должны быть средства для работы хранилища хотя бы на один день в текущей конфигурации.

Тестовый период уже есть и у других сервисов облачной платформы SpaceWeb. Каждый из них можно будет попробовать отдельно — по три дня на сервис.

Тест доступен для заказа на сайте SpaceWeb.