Сетевые технологии *

Представлен релиз библиотеки OpenSSL 3.2.0 с реализацией протоколов SSL/TLS и различных алгоритмов шифрования. Поддержка OpenSSL 3.2 будет осуществляться до 23 ноября 2025 года. Поддержка прошлых веток OpenSSL 3.1 и 3.0 LTS продлится до марта 2025 года и сентября 2026 года соответственно. Поддержка ветки 1.1.1 прекращена в сентябре этого года. Код проекта распространяется под лицензией Apache 2.0.

В OpenSSL 3.2.0:

• добавлена клиентская поддержка протокола QUIC (RFC 9000), используемого в качестве транспорта в протоколе HTTP/3. Реализация включает среди прочего возможность передачи нескольких потоков через один канал связи. Компоненты для использования QUIC на серверах будут включены в выпуск OpenSSL 3.3, который планируют опубликовать не позднее 30 апреля 2024 года. QUIC представляет собой надстройку над протоколом UDP, поддерживающую мультиплексирование нескольких соединений и обеспечивающую методы шифрования, эквивалентные TLS/SSL.

• в TLS появилась поддержка подключаемых схем цифровых подписей, позволяющих использовать сторонние реализации алгоритмов.

• в TLS реализована поддержка расширения для сжатия сертификатов на этапе согласования соединений (RFC 8879), позволяющего ускорить установку соединения так как на передачу данных сертификатов приходится львиная доля трафика на этапе согласования соединения. Поддерживается сжатие с использованием библиотек zlib, zstd и Brotli.

Источник: OpenNET.

Проект ntop, развивающий инструменты для захвата и анализа трафика, опубликовал выпуск инструментария для глубокого инспектирования пакетов nDPI 4.8, продолжающего развитие библиотеки OpenDPI. Проект запущен после безуспешной попытки передачи изменений в репозиторий OpenDPI, который остался без сопровождения. Код nDPI написан на языке С и распространяется под лицензией LGPLv3.

Система позволяет определять в трафике используемые протоколы уровня приложения, анализируя характер сетевой активности без привязки к сетевым портам (знает известные протоколы, обработчики которых принимают соединения на нестандартных сетевых портах).

Отличия от OpenDPI: поддержка дополнительных протоколов, портирование для платформы Windows, оптимизация производительности, адаптация для применения в приложениях для мониторинга трафика в режиме реального времени и поддержка определения субпротоколов.

nDPI 4.8 поддерживает определение 53 типа сетевых угроз (flow risk) и более 350 протоколов и приложений (от OpenVPN, Tor, QUIC, SOCKS, BitTorrent и IPsec до Telegram, Viber, WhatsApp, PostgreSQL и обращений к Gmail, Office 365, Google Docs и YouTube). Имеется декодировщик серверных и клиентских SSL‑сертификатов, позволяющий определить протокол (включая Citrix Online и Apple iCloud), используя сертификат шифрования. Для анализа содержимого pcap‑дампов или текущего трафика через сетевой интерфейс поставляется утилита nDPIreader.

Источник: OpenNET.

Вышел первый стабильный релиз проекта nghttp3, развивающего библиотеку на языке C с реализацией протокола HTTP/3. Развиваемый тем же проектом вариант библиотеки для протокола HTTP/2 используется в качестве основы модуля mod_http2, входящего в состав http-сервера Apache. Наработки проекта также задействованы в утилите Curl. Код библиотеки распространяется под лицензией MIT.

Стандарт HTTP/3 определяет использование протокола QUIC (Quick UDP Internet Connections) в качестве транспорта для HTTP/2. QUIC представляет собой надстройку над протоколом UDP, поддерживающую мультиплексирование нескольких соединений и обеспечивающую методы шифрования, эквивалентные TLS/SSL. Протокол создан в 2013 году компанией Google в качестве альтернативы связке TCP+TLS для Web, решающей проблемы с большим временем установки и согласования соединений в TCP и устраняющей задержки при потере пакетов в процессе передачи данных.

В nghttp3 предоставляется независимая реализация спецификаций RFC 9114 (HTTP/3 поверх протокола QUIC), RFC 920 (технология сжатия заголовков QPACK), RFC 9220 (передача WebSockets поверх HTTP/3) и RFC 9218 (расширяемая схема для управления приоритетами отправки ответов на запросы клиента). Библиотека не зависит от определённых стеков QUIC и поддерживает работу поверх разных реализаций транспортного протокола QUIC.

Источник: OpenNET.

Американская Комиссия по связи (FCC) начинает борьбу за восстановление сетевого нейтралитета. Она намерена обязать интернет-провайдеров, таких как Comcast и Verizon, не фильтровать трафик. 

«Чтобы все и везде могли пользоваться преимуществами эпохи Интернета, доступ в сеть должен быть чем-то большим, чем просто доступным и дешёвым. Интернет должен быть открытым», — заявила председатель комиссии Джессика Розенворсель. FCC планирует реклассифицировать широкополосную связь из информационной в обычную в соответствии с Разделом II Закона о телекоммуникациях, вводя более строгие правила и надзор.

В течение следующих нескольких месяцев общественность сможет комментировать это предложение, а затем пройдёт окончательное голосование.

Автор DNS-сервера Trust-DNS объявил о переименовании проекта в Hickory DNS. В качестве причины смены имени называется желание сделать проект более привлекательным для пользователей, разработчиков и спонсоров, избежать пересечений при поиске с концепцией Trusted DNS, зарегистрировать товарный знак и защитить связанный с проектом бренд.

Hickory DNS включает компоненты для обеспечения работы авторитативного DNS-сервера, DNS-клиента, локального резолвера и рекурсивного DNS-сервера. В состав также входят библиотеки с реализациями низкоуровневых протоколов. Проект поддерживает DNSSEC, DoT (DNS over TLS), DoH (DNS over HTTPS), DoQ (DNS over QUIC), mDNS (Multicast DNS), DNS‑SD (Service Discovery), ANAME, динамическое обновление записей, CSYNC (Child-to-Parent Synchronization), DANE (DNS-Based Authentication of Named Entities), DNSKEY, CAA (Certification Authority Authorization). В процессе реализации или пока не готова поддержка бесклассовых IN-ADDR.ARPA, инкрементального трансфера зон, отправки уведомлений вторичным серверам об обновлении зоны, Trusted DNS и S/MIME. Код проекта написан на языке Rust и распространяется под лицензиями MIT и Apache 2.0.

В будущем Hickory DNS планируют задействовать в инфраструктуре Let's Encrypt, оптимизацировать производительность, обеспечить поддержку полностью рекурсивных запросов и их валидации через DNSSEC, добавить поддержка NSEC3, политик кэширования разных типов DNS-записей, средства балансировки обработки запросов,

Источник: OpenNET.

Сегодня в 18:00 — Selectel Network MeetUp#7. Полезные инструменты сетевого инженера: часть 2

Включайте уведомление на YouTube, чтобы не пропустить начало.

Темы докладов:

• Создание собственных сетевых инструментов

• Netbox как единственный источник правды

• Как перестать настраивать сети руками

После докладов мы разберем рабочие кейсы, ответим на вопросы и пообщаемся.

Заполняйте форму регистрации, чтобы задать вопрос спикерам.

Компания Mozilla объявила о включении для пользователей стабильной ветки Firefox поддержки механизма ECH (Encrypted Client Hello), продолжающего развитие технологии ESNI (Encrypted Server Name Indication) и предназначенного для шифрования информации о параметрах TLS‑сеансов, таких как запрошенное доменное имя.

Изначально код для работы с ECH был добавлен в выпуск Firefox 85, но был отключён по умолчанию. В Chrome поддержку ECH начали постепенно включать, начиная с выпуска Chrome 115.

Так как помимо соединения с сервером утечка сведений о запрошенных доменах происходит через DNS, для полноценной защиты кроме ECH необходимо применение технологии DNS over HTTPS или DNS over TLS для шифрования DNS‑трафика. Firefox не будет использовать ECH без включения DNS over HTTPS в настройках. Проверить поддержку ECH в браузере можно на данной странице.

Одним из факторов активации по умолчанию поддержки ECH в Firefox стало включение несколько дней назад компанией Cloudflare поддержки ECH в своей сети доставки контента. С практической стороны, так как данные о запрошенных хостах при применении ECH скрыты от анализа, для фильтрации и блокировки неугодных сайтов, использующих CDN Cloudflare, теперь потребуется блокировка всей сети Cloudflare, блокировка всех запросов с ECH или организация перехвата HTTPS при помощи подставных корневых сертификатов на системе пользователя.

Источник: OpenNET.

Федеральная комиссия по связи США объявила о планах восстановить правила сетевого нейтралитета, чтобы гарантировать справедливый доступ к Интернету и информации. Эти правила отменили в период президентства Дональда Трампа в 2018 году.

Правила, принятые в 2015 году, классифицировали услуги широкополосного доступа в соответствии с правилами предоставления коммунальных услуг и запрещали интернет-провайдерам блокировать веб-сайты, ограничивать трафик или взимать дополнительную плату за более быстрый доступ к определённым сервисам. 

По словам председателя FCC Джессики Розенворсель, комиссия проведёт первое голосование по восстановлению этих правил во время заседания 19 октября.

«Широкополосная связь является важной инфраструктурой для современной жизни. Доступ к Интернету теперь — это доступ ко всему», — сказала Розенворсель.

За годы после отмены этих правил сетевой нейтралитет в значительной степени был подорван: отдельные штаты, такие как Калифорния, принимали свои правила в отсутствие федерального закона.

Однако восстановление правил займёт некоторое время. Процесс могут приостановить из-за судебных исков, если кто-либо из провайдеров широкополосного доступа захочет оспорить это решение. Verizon, AT&T и Comcast ранее выступали против правил сетевого нейтралитета.

Представлен выпуск фреймворка GNUnet 0.20, предназначенного для построения защищённых децентрализованных P2P-сетей. Создаваемые при помощи GNUnet сети не имеют единой точки отказа и способны гарантировать неприкосновенность частной информации пользователей, в том числе исключить возможные злоупотребления со стороны спецслужб и администраторов, имеющих доступ к узлам сети.

GNUnet поддерживает создание P2P-сетей поверх TCP, UDP, HTTP/HTTPS, Bluetooth и WLAN, может работать в режиме F2F (Friend-to-friend). Поддерживается обход NAT, в том числе с использованием UPnP и ICMP. Для адресации размещения данных возможно использование распределённой хэш таблицы (DHT), есть средства для развёртывания mesh-сетей. Для выборочного предоставления и отзыва прав доступа применяется сервис децентрализованного обмена атрибутами идентификации reclaimID, использующий GNS (GNU Name System) и шифрование на основе атрибутов (Attribute-Based Encryption).

Система отличается низким потреблением ресурсов и использованием многопроцессной архитектуры для обеспечения изоляции между компонентами. Предоставляются гибкие средства для ведения логов и накопления статистики. Для разработки конечных приложений GNUnet предоставляет API для языка C и биндинги для других языков программирования. Для упрощения разработки вместо потоков предлагается использовать циклы обработки событий (event loop) и процессы.

Источник: OpenNET.

В сетевой подсистеме ядра Linux выявлена уязвимость (CVE-2023-42752), позволяющая через манипуляции с сетевыми сокетами в пространстве пользователя перезаписать содержимое памяти ядра, что потенциально может использоваться для организации выполнения непривилегированным пользователем своего кода на уровне ядра. Уязвимость является локальной и не может быть эксплуатирована удалённо по сети. Включение механизма защиты SMAP (Supervisor Mode Access Prevention) в ядре блокирует проблему.

Уязвимость вызвана целочисленным переполнением в функции ядра Linux "__alloc_skb", обеспечивающей выделение памяти для структуры sk_buff (socket buffer), которая используется для хранения сетевых пакетов. Переполнение возникает из-за отсутствия должной проверки получаемых от пользователя параметров, применяемых для вычисления размера буфера. Для совершения атаки непривилегированным пользователем требуется доступ к созданию пространств имён идентификаторов пользователя (user namespace), которые могут предоставляться, например, в изолированных контейнерах.

Уязвимость вызвана изменением, внесённым в ядро 6.2, но данное изменение было бэкпортировано во все LTS-ветки, поэтому уязвимость проявляется и в более ранних выпусках поддерживаемых стабильных веток ядра. Исправления, блокирующие уязвимость, приняты в состав стабильных веток ядра 5 сентября и вошли в состав выпусков 6.1.53, 6.5.3, 6.4.16, 5.15.132 и 5.10.195.

Источник: OpenNET.

Минцифры внесло проект постановления с говорящим номером 141488 "О внесении изменений в постановление Правительства Российской Федерации от 26 октября 2012 г. № 1101", которым будет запрещено распространение «информации о способах, методах обеспечения доступа ‎к информационным ресурсам и (или) информационно-телекоммуникационным сетям, доступ к которым ограничен на территории Российской Федерации;».

По сути это позволит РКН блокировать сайты с описанием как пользоваться VPN. Вполне вероятно, это накроет и ресурсы типа antifilter, поэтому если пользуетесь — убирайте пиринг с ними внутрь вашего существующего туннеля.

А учитывая, что эти умные люди еще и с VPN как классом борются, не задумываясь, что большинство в стране использует VPN для доступа к иностранным ресурсам, заблокировавшим доступ к себе из РФ, то и туннели придется переводить на что-нибудь типа shadowsocks, SSTP и т.п.