Патчкорд

Коллега поделился ссылкой http://seclists.org/oss-sec/2018/q3/124 - для всех реализаций OpenSSH, с версии 2.3.0 точно, доступен механизм перебора пользователей заведённых в систему. Уже есть принципиальная реализация на Python.

NTP скоро совсем дожмут в плане безопасности, это помимо непосредственной переработки реализации. Вероятное ближайшее будущее - по две версии каждого протокола, в классическом виде и с TLS внутри.

​Карта стабильности Интернета - показывают наиболее критические точки, где что-то происходит не так как обычно. Делает лаборатория под эгидой Oracle Cloud. Можно выбрать страну или конкретную AS: графики задержек и traceroute мне нравятся очень. Хорошо видно кто аплинк и как всё меняется в динамике. Для России RTT 200мс и дальше в космос, что делает просмотр особенно интересным с точки зрения как нас в мире видят.

Когда-то давно я работал с сетью где были только Cisco роутеры и для маршрутизации был включен EIGRP. Но в то время я совсем ничего не понимал в сетях, а позже практического навыка работы с EIGRP получить не пришлось. Интересная статья как инженеры пытаются совместить несовместимое - растущие скорости интерфейсов, поддержку низкоскоростных интерфейсов и аппаратные ограничения устройств. Решением для EIGRP стала возможность ручного управления масштабом метрики с помощью опции rip-scale. P.S. Не проходите мимо blog.ine.com, там не только про EIGRP. Вот, например, как пользоваться фильтрацией OSPF. И комментарии тоже не пропускайте.

Уже более 24 часов наблюдаются проблемы со связностью по IPv6 между многими российскими провайдерами и сетью Hurricane Electric -- причём как их собственной, так и их клиентами, т.е. теми до кого в "мирное" время маршрут шёл через he.net. Судя по всему, они подключали MSK-IX, но что-то пошло не так... С нашей стороны трейс на ней и кончается: Host Loss% Snt Last Avg Best Wrst StDev 1. 2a02:2698:8000::501 0.0% 11 1.2 1.1 0.9 1.3 0.0 2. 2a02:2698:8000::1e02 0.0% 11 1.1 1.1 0.8 1.9 0.0 3. msk-ix-ipv6.ertelecom.ru 0.0% 11 25.5 26.7 25.1 39.2 4.1 4. ??? С их стороны - уходит внезапно в Таллинн, и заканчивается там: core1.ams1.he.net> traceroute ipv6 2a02:2698:8022:2482::1 numeric Tracing the route to IPv6 node 2a02:2698:8022:2482::1 from 1 to 30 hops 1 33 ms 63 ms 32 ms 2001:470:0:2b1::2 100ge8-2.core1.sto1.he.net 2 67 ms 33 ms 79 ms 2001:470:0:35d::2 10ge11-11.core1.hel1.he.net 3 33 ms 60 ms 27 ms 2001:470:0:34d::1 10ge1-2.core1.tll1.he.net 4 * * * ? [...] 30 * * * ? # Entry cached for another 59 seconds. Проверить затронуло ли вас, можно просто потрейсив их сайт, he.net. На практике, неудобств конечным пользователям это доставить не должно, современные браузеры благодаря механизму Happy Eyeballs очень быстро обнаруживают отсутствие доступа по IPv6 и переходят для связи с конкретным сайтом или сервисом на IPv4.

Команды в CLI удобны тем что легко поддаются автоматической обработке, и это одно из главных преимуществ чёрного экрана с мигающим курсором. Но для оператора-человека тоже надо данные поставлять. Сделать жизнь чуть проще во многих случаях поможет флаг -h, но не только. Подробнее в статье по ссылке.

Каждодневный выбор взрослеющего провинциального провайдера за 1000 км от столицы. Купить у большого магистрала доступ к московскому IX и получить возможность самостоятельно, напрямую пириться с большей частью Рунета. Но при этом пинги будут 30мс. Или довериться пиринговой политике своего местного апстрима, который сам присутствует на IX с пингами 20мс. А самое интересное, конечно, являются ли эти лишние 10мс платой за надёжность или платой за используемые технологии и академические архитектурные решения. Прямо философский вопрос, но который надо решить, причём за конечное время.

​Рассчёт радиолинка и зоны покрытия по версии Ubiquiti, с привязкой к местности. Можно выставить параметры высоты, частоты, ширины канала, расстояния. Есть готовые шаблоны для различных устройств Ubiquiti, но от них можно отказаться.

Дружим Openconnect и Cisco AnyConnect Hostscan хакерским методом. У меня конечно сомнения насколько это полезно и выполнимо, включать hostscan, а потом самим же его обходить.

TLS 1.3 теперь официально RFC 8446. Честно, я не осилил мегатекст в блоге Cloudflare, но интересующимся стоит почитать, такого не было давно.

NLnet Labs, создатели Unbound и NSD включились в разработку утилит для поддержки RPKI инфраструктуры. Пока экспериментируют с получением данных, для чего написали Routinator 3000. Это далеко не полный набор того что нужно для работы, но начало положено. Полностью рабочая вещь написана в недрах RIPE NCC так и называется rpki-validator. Это просто база, со стороны маршрутизаторов (для фильтрации маршрутов) также нужна поддержка. Практический пример использования всего этого есть на Хабр. В конечном итоге это должно привести к стойкой схеме доверенного распространения интернет ресурсов среди получателей. Сейчас, и это даже удивительно, всё основано на честном слове и дружеских отношениях, но последнее время это плохо работает.

Виртуальные лабы от Juniper - свободный доступ, но нужна регистрация. Несколько топологий, можно резервировать время на будущее, красивый интерфейс. Пока подписано как бета режим, значит можно быть в числе первых кто попробует.

OVH Network запустила новую магистраль, написано задержка 33мс (наверное в одну сторону). Но всё равно для 10000км прямо хорошо, лучше чем у нас до некоторых Московских сайтов всего-то за 1000км. И да, Россия совершенно не пользуется спросом как транзитная страна, хотя было бы короче.

Чуть не пропустили. Кошки в нашей среде пользуются почётом и уважением :)

Командная строка хоть и текстовая, но с графикой можно работать и там. Утилита convert часть инструментария ImageMagick, в репозиториях надо именно его искать.

IOS XR + Ansible, пробежались по всем доступным модулям и начальным настройкам.

Чтобы постоянно не мучиться вопросом какой номер порта назначен очередному USB2COM устройству, можно поставить вот эту утилитку. Которая точно сэкономит пару минут и позволит сразу приступить к работе. Ссылка на установщик Windows.

Не очень большая (162 страницы), скорее обзорная книга "Как программируется IOS XE". Yang, Restconf и Netconf, телеметрия, ещё Python. Прямая ссылка на PDF.

Не знаю доберусь ли когда нибудь до Traffic Engineering и когда доберусь останется ли там RSVP-TE или Segment routing, может вообще ничего не останется. Но пока, манипулирование уже существующим механизмом меток для достижения целей выглядит логичнее в SR. И сделано это в духе веяний SDN - вся структура может и предпочтительно управляется внешним контроллером, который формирует правильные пути в зависимости от собранных метрик. В общем, такой подход мне нравится. Технологии недавно исполнилось 5 лет и есть целый сайт, чтобы посмотреть что к чему и приготовиться для широкого внедрения. Потому что все чаще и чаще появляются примеры как минимум базовой настройки и учебные материалы. Вот и на Хабр есть тоже.