Сетевые технологии *

Автор DNS-сервера Trust-DNS объявил о переименовании проекта в Hickory DNS. В качестве причины смены имени называется желание сделать проект более привлекательным для пользователей, разработчиков и спонсоров, избежать пересечений при поиске с концепцией Trusted DNS, зарегистрировать товарный знак и защитить связанный с проектом бренд.

Hickory DNS включает компоненты для обеспечения работы авторитативного DNS-сервера, DNS-клиента, локального резолвера и рекурсивного DNS-сервера. В состав также входят библиотеки с реализациями низкоуровневых протоколов. Проект поддерживает DNSSEC, DoT (DNS over TLS), DoH (DNS over HTTPS), DoQ (DNS over QUIC), mDNS (Multicast DNS), DNS‑SD (Service Discovery), ANAME, динамическое обновление записей, CSYNC (Child-to-Parent Synchronization), DANE (DNS-Based Authentication of Named Entities), DNSKEY, CAA (Certification Authority Authorization). В процессе реализации или пока не готова поддержка бесклассовых IN-ADDR.ARPA, инкрементального трансфера зон, отправки уведомлений вторичным серверам об обновлении зоны, Trusted DNS и S/MIME. Код проекта написан на языке Rust и распространяется под лицензиями MIT и Apache 2.0.

В будущем Hickory DNS планируют задействовать в инфраструктуре Let's Encrypt, оптимизацировать производительность, обеспечить поддержку полностью рекурсивных запросов и их валидации через DNSSEC, добавить поддержка NSEC3, политик кэширования разных типов DNS-записей, средства балансировки обработки запросов,

Источник: OpenNET.

Сегодня в 18:00 — Selectel Network MeetUp#7. Полезные инструменты сетевого инженера: часть 2

Включайте уведомление на YouTube, чтобы не пропустить начало.

Темы докладов:

• Создание собственных сетевых инструментов

• Netbox как единственный источник правды

• Как перестать настраивать сети руками

После докладов мы разберем рабочие кейсы, ответим на вопросы и пообщаемся.

Заполняйте форму регистрации, чтобы задать вопрос спикерам.

Компания Mozilla объявила о включении для пользователей стабильной ветки Firefox поддержки механизма ECH (Encrypted Client Hello), продолжающего развитие технологии ESNI (Encrypted Server Name Indication) и предназначенного для шифрования информации о параметрах TLS‑сеансов, таких как запрошенное доменное имя.

Изначально код для работы с ECH был добавлен в выпуск Firefox 85, но был отключён по умолчанию. В Chrome поддержку ECH начали постепенно включать, начиная с выпуска Chrome 115.

Так как помимо соединения с сервером утечка сведений о запрошенных доменах происходит через DNS, для полноценной защиты кроме ECH необходимо применение технологии DNS over HTTPS или DNS over TLS для шифрования DNS‑трафика. Firefox не будет использовать ECH без включения DNS over HTTPS в настройках. Проверить поддержку ECH в браузере можно на данной странице.

Одним из факторов активации по умолчанию поддержки ECH в Firefox стало включение несколько дней назад компанией Cloudflare поддержки ECH в своей сети доставки контента. С практической стороны, так как данные о запрошенных хостах при применении ECH скрыты от анализа, для фильтрации и блокировки неугодных сайтов, использующих CDN Cloudflare, теперь потребуется блокировка всей сети Cloudflare, блокировка всех запросов с ECH или организация перехвата HTTPS при помощи подставных корневых сертификатов на системе пользователя.

Источник: OpenNET.

Федеральная комиссия по связи США объявила о планах восстановить правила сетевого нейтралитета, чтобы гарантировать справедливый доступ к Интернету и информации. Эти правила отменили в период президентства Дональда Трампа в 2018 году.

Правила, принятые в 2015 году, классифицировали услуги широкополосного доступа в соответствии с правилами предоставления коммунальных услуг и запрещали интернет-провайдерам блокировать веб-сайты, ограничивать трафик или взимать дополнительную плату за более быстрый доступ к определённым сервисам. 

По словам председателя FCC Джессики Розенворсель, комиссия проведёт первое голосование по восстановлению этих правил во время заседания 19 октября.

«Широкополосная связь является важной инфраструктурой для современной жизни. Доступ к Интернету теперь — это доступ ко всему», — сказала Розенворсель.

За годы после отмены этих правил сетевой нейтралитет в значительной степени был подорван: отдельные штаты, такие как Калифорния, принимали свои правила в отсутствие федерального закона.

Однако восстановление правил займёт некоторое время. Процесс могут приостановить из-за судебных исков, если кто-либо из провайдеров широкополосного доступа захочет оспорить это решение. Verizon, AT&T и Comcast ранее выступали против правил сетевого нейтралитета.

Представлен выпуск фреймворка GNUnet 0.20, предназначенного для построения защищённых децентрализованных P2P-сетей. Создаваемые при помощи GNUnet сети не имеют единой точки отказа и способны гарантировать неприкосновенность частной информации пользователей, в том числе исключить возможные злоупотребления со стороны спецслужб и администраторов, имеющих доступ к узлам сети.

GNUnet поддерживает создание P2P-сетей поверх TCP, UDP, HTTP/HTTPS, Bluetooth и WLAN, может работать в режиме F2F (Friend-to-friend). Поддерживается обход NAT, в том числе с использованием UPnP и ICMP. Для адресации размещения данных возможно использование распределённой хэш таблицы (DHT), есть средства для развёртывания mesh-сетей. Для выборочного предоставления и отзыва прав доступа применяется сервис децентрализованного обмена атрибутами идентификации reclaimID, использующий GNS (GNU Name System) и шифрование на основе атрибутов (Attribute-Based Encryption).

Система отличается низким потреблением ресурсов и использованием многопроцессной архитектуры для обеспечения изоляции между компонентами. Предоставляются гибкие средства для ведения логов и накопления статистики. Для разработки конечных приложений GNUnet предоставляет API для языка C и биндинги для других языков программирования. Для упрощения разработки вместо потоков предлагается использовать циклы обработки событий (event loop) и процессы.

Источник: OpenNET.

В сетевой подсистеме ядра Linux выявлена уязвимость (CVE-2023-42752), позволяющая через манипуляции с сетевыми сокетами в пространстве пользователя перезаписать содержимое памяти ядра, что потенциально может использоваться для организации выполнения непривилегированным пользователем своего кода на уровне ядра. Уязвимость является локальной и не может быть эксплуатирована удалённо по сети. Включение механизма защиты SMAP (Supervisor Mode Access Prevention) в ядре блокирует проблему.

Уязвимость вызвана целочисленным переполнением в функции ядра Linux "__alloc_skb", обеспечивающей выделение памяти для структуры sk_buff (socket buffer), которая используется для хранения сетевых пакетов. Переполнение возникает из-за отсутствия должной проверки получаемых от пользователя параметров, применяемых для вычисления размера буфера. Для совершения атаки непривилегированным пользователем требуется доступ к созданию пространств имён идентификаторов пользователя (user namespace), которые могут предоставляться, например, в изолированных контейнерах.

Уязвимость вызвана изменением, внесённым в ядро 6.2, но данное изменение было бэкпортировано во все LTS-ветки, поэтому уязвимость проявляется и в более ранних выпусках поддерживаемых стабильных веток ядра. Исправления, блокирующие уязвимость, приняты в состав стабильных веток ядра 5 сентября и вошли в состав выпусков 6.1.53, 6.5.3, 6.4.16, 5.15.132 и 5.10.195.

Источник: OpenNET.

Минцифры внесло проект постановления с говорящим номером 141488 "О внесении изменений в постановление Правительства Российской Федерации от 26 октября 2012 г. № 1101", которым будет запрещено распространение «информации о способах, методах обеспечения доступа ‎к информационным ресурсам и (или) информационно-телекоммуникационным сетям, доступ к которым ограничен на территории Российской Федерации;».

По сути это позволит РКН блокировать сайты с описанием как пользоваться VPN. Вполне вероятно, это накроет и ресурсы типа antifilter, поэтому если пользуетесь — убирайте пиринг с ними внутрь вашего существующего туннеля.

А учитывая, что эти умные люди еще и с VPN как классом борются, не задумываясь, что большинство в стране использует VPN для доступа к иностранным ресурсам, заблокировавшим доступ к себе из РФ, то и туннели придется переводить на что-нибудь типа shadowsocks, SSTP и т.п.