Сетевик Джонни // Network Admin

🛡Знаете ли вы, что до 90% уязвимостей в приложениях связаны не с кодом, а с людьми? На открытом уроке «Awareness в DevSecOps» разберём, как повысить осведомлённость разработчиков о своей роли в безопасности и предотвратить ошибки ещё на этапе проектирования. Вы узнаете, что такое PCS, почему бизнес «запретил безопасности запрещать» и как выстроить культуру безопасности в команде. Представьте, что каждый участник процесса разработки автоматически учитывает риски и умеет их снижать — скорость выпуска растёт, а количество инцидентов падает. ⚡️Посетите вебинар 13 августа в 20:00 МСК и получите персональную скидку на курс «Внедрение и работа в DevSecOps»: https://otus.pw/e19z/ Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576, www.otus.ru

Онлайн-конференция ИБ без фильтров 🔥Мероприятие, где говорим о реальных проблемах и ищем практические решения, возвращается! 🗓 14 августа 11:00-15:00 мск ждем на бесплатной онлайн-конференции «ИБ без фильтров» Что будет полезного? Честный диалог, нестандартные кейсы и полезный опыт — все без фильтров. Кому стоит сходить? Мероприятие для представителей бизнеса от экспертов в области информационной безопасности. Какие темы затронем? — Как оценить навыки ИБ-специалиста. — Как снизить риски с помощью систем класса «менеджеры паролей». — Как вовлечь разработчиков, сотрудников и бизнес в защиту компании. — Чем важны разные источники данных при расследовании инцидентов ИБ. Кто в спикерах: — Анастасия Федорова. Руководитель образовательных программ, Positive Education — Кира Шиянова. Менеджер продукта платформы Jet CyberCamp, «Инфосистемы Джет» — Никита Вьюгин. Менеджер проектов «МКО Системы» — Валерий Комягин. Генеральный директор BearPass — и другие эксперты из крупных компаний рынка ИБ ▶️Регистрация по ссылке. Ждем вас на самый честный диалог по теме ИБ

❓ Когда инфраструктура IT-отдела опирается на Windows, вы чувствуете себя ограниченным в возможностях? Linux уже давно стал стандартом для серверных решений, контейнеров и облаков. 💪 Курс «Administrator Linux. Basic» погрузит вас в мир администрирования «с нуля»: от работы в терминале и Bash-скриптов до настройки веб- и MySQL-серверов, Docker-контейнеров, мониторинга через Grafana, Prometheus и ELK. На живых вебинарах вы посмотрите реальные сценарии — от установки Ubuntu в VirtualBox до развертывания микросервисов. 🚀 После курса вы сможете: – уверенно работать в Bash и управлять пользователями, правами и пакетами; – настраивать и оптимизировать Nginx/Apache, MySQL, создавать Docker-контейнеры и CI/CD-потоки через Git; – подключать системы мониторинга: Grafana, Prometheus, ELK и настраивать тревоги; – анализировать сетевой трафик и фильтровать пакеты через iptables. 👉 Пройдите бесплатное вступительное тестирование и получите персональную скидку на обучение: https://otus.pw/AkvnJ/ Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576

👉 Хотите начать карьеру в одной из самых востребованных IT-специальностей — сетевой инженерии? Курс «Network Engineer. Basic» от OTUS даст вам все практические навыки для уверенного старта. Вы научитесь работать с CLI CISCO IOS, настраивать сети VLAN и маршрутизацию, работать с IPv4/IPv6, обеспечивать безопасность и проектировать сети. После курса вы сможете претендовать на позицию Junior сетевого инженера в крупнейших технологических и финтех-компаниях. Программу составили опытные практики, а диплом OTUS ценится на рынке труда. 🎁 Пройдите короткое вступительное тестирование и получите запись вебинара "Что выбрать для маршрутизации VLAN: роутер на палочке или коммутатор третьего уровня?” 👉 Пройти тест: https://otus.pw/gDzz/ Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576, www.otus.ru

🤨 С Днём Сисадмина! А кто его сегодня отмечает? Профессию сисадмина пытались забыть несколько раз: когда появились облака, когда рынок захватила автоматизация, когда страшно модным стал DevOps. 2020-2021 годы показали, что слухи об исчезновении системных администраторов в компаниях всего мира слишко преувеличены, а вот переход на удалёнку без них — вполне себе масштабная беда. 🤷 Мы не знаем, откуда берутся слухи, но уверены, что сисадминам ещё придётся администрировать роботов, разруливать проблемы с каналом до Луны и Марса и вообще как-то разгребать эту суету, наведённую неуёмными инженерами и программистами. В общем, без сисадминов — никуда.

[Фото]Охота началась! Призы за фото Eltex в эксплуатации Дарим 24 приза: 🥇 Сеньорский MacBook Pro 14 M4 Pro 24Gb/512Gb 🥈 Портативная игровая консоль Steam Deck 🥉 Кресло с массажем. Благородное расслабление ... Полный список призов>> Пришлите больше РАЗНЫХ МОДЕЛЕЙ и победите! Принимаются:  • 1 балл начисляется за каждую уникальную (не повторяющуюся) модель на одном узле связи. Любое кол-во повторяющихся моделей оценивается в 1 балл • Коммутаторы агрегации, ЦОД, маршрутизаторы и некоторые другие устройства из списка  оцениваются в 2 балла  📄Список оборудования для конкурса  Принимаем фото до 14 августа Отправить своё фото: @eltexcm_hunter Укажите: • Имя/Никнейм • Модель(и) оборудования на фото Не допускаем фото уже принятых устройств с прошлых конкурсов, в том числе и по конкурсу [Видео]Охота, в котором можно распознать ваш объект. Спасибо за понимание! ;) #eltex #eltexcm #фотоохота @eltexcm #реклама О рекламодателе

🛠 Игра начинается: лутайте призы на сервере Selectel в Minecraft   Пока вы работаете, пиглины добывают золото в недрах Незера. Пора и вам немного развеяться: присоединяйтесь к игре на сервере Selectel. Стройте, исследуйте, конкурируйте — или просто создайте ферму из кактусов, никто не осудит.   На сервере три режима игры под разное настроение:   ▪️ Ванильное выживание на нормальной сложности — бессмертная классика с мини-квестами и внутриигровыми наградами каждый день. ▪️ Креатив с пиксельными дата-центрами Selectel, гигантскими фигурками героев аниме и другими постройками. ▪️ Арена — особый режим, на котором раз в неделю будут запускать разные PVP- и PVE-события с призами.   На сервере нет и не будет донатов. Чтобы начать, достаточно установить на ПК копию Minecraft Java Edition 1.21.5 или новее, а затем зарегистрироваться ➡️ Реклама. АО «Селектел», ИНН 7810962785, ERID: 2Vtzqwo7B99

🔒⚙️ Как разделить корпоративную сеть на VLAN и повысить безопасность данных? Приглашаем на открытый вебинар «VLAN и маршрутизация: почему без них не обойтись в любой компании» 23 июля в 20:00 МСК. На вебинаре вы узнаете: - Зачем бизнесу нужно разделение сети на VLAN? - Как маршрутизация между VLAN помогает контролировать трафик и защищать данные? - Как настроить Access и Trunk порты на оборудовании Cisco? После вебинара вы сможете настроить VLAN, изолировать гостевые сети, создавать и конфигурировать порты для подключения и маршрутизации, а главное — освоите базовый навык, необходимый каждому сетевому инженеру. Урок проходит в преддверии старта курса «Network engineer. Basic». 👉 Регистрация для участия: https://otus.pw/rx3xO/ Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576, www.otus.ru

🥷 Глубокий разбор российских СЗИ: антивирусы, НСД, виртуализация Коллеги, выбор отечественных средств защиты информации (СЗИ) — критически важен для ИБ-инфраструктуры. Где искать актуальные исследования и глубокий анализ? И почему же это важно? — об этом речь пойдёт ниже: Во-первых, если криво выбрать СЗИ, оно запросто может тормозить всю сеть – представим, что антивирус начнет грузить канал до упора или агент контроля доступа положит сервер. И безопасность сегментов тоже станет под ударом: слабое звено в одном месте – угроза для всех. Во-вторых, защита виртуализации – это прямая связка с сетевым разделением! VLAN'ы, микросегментация – они должны идеально работать с тем, как СЗИ изолирует виртуалки и контролирует трафик между ними. Без этого толку – ноль. 🕹 Ну и не забудем про централизованное управление: все эти консоли для СЗИ жрут сеть как не в себя. Если инфраструктура кривая – лаги, потеря событий безопасности, администрирование превратится в кошмар. Короче, без нормальной сети – никак. Вот почему стоит всегда быть в курсе фишек и подводных камней российских СЗИ. 🔍 Основной упор — канал CORTEL: @Cortel_cloud Именно там регулярно публикуют: — Детальные сравнительные обзоры российских СЗИ по всем указанным направлениям. — 8 кругов ада на пути отказа от зарубежных виртуальных платформ — 4 кейса успешной замены иностранных гипервизоров — Как энергетики перевели ИТ-инфраструктуру на российский софт Ещё больше полезного про ИБ и не только в канале CORTEL ➡️ Подписаться Реклама ООО "Кортэл" ИНН: 7816246925

Обычный день с СДВГ #meme | 😊 @iscode

Подборка 4 курсов по IT — бесплатно 👉 Пройдите регистрацию по ссылке, чтобы получить бесплатные курсы: https://epic.st/zj-os?erid=2Vtzqx9crjH

отложка

А этот work-life баланс с нами в одной комнате? Коллеги из @Selectel_Events устраивают DayOff — атмосферный IT-фестиваль против выгорания. Актуально для всех, кто бесконечно увлечен работой, но хочет найти баланс и интересное хобби. 🗓 27 июля 📍 Флагшток, Санкт-Петербург или онлайн Приглашаем на один день бросить все и найти баланс: ◽️в реализации — послушать доклады о том, как успевать и работать, и наслаждаться жизнью, ◽️в хобби — найти то самое вдохновляющее занятие среди 12 активностей (будет даже рыбалка!), ◽️в приколах — открытый микрофон с историями и IT-стендапом. Регистрируйтесь на фестиваль: https://slc.tl/tjdma Секретные кружочки от спикеров, полная программа и розыгрыш лимитированного тирекса будут в канале @Selectel_Events. Подписывайтесь, чтобы не пропустить!

🥷 Слон в посудной лавке: при чём тут Cloudflare? А теперь самое главное. Cloudflare, будучи лидером в области интернет-инфраструктуры и безопасности, для своего безальтернативного для бесплатных аккаунтов сервиса Universal SSL делает очень странную вещь - когда он включен, Cloudflare автоматически добавляет в вашу DNS-зону CAA-записи для своих партнёрских УЦ (Let's Encrypt, Google Trust Services и др.). Вот как выглядит эта запись: # Записи для обычных сертификатов (issue) example.com. IN CAA 0 issue "letsencrypt.org" example.com. IN CAA 0 issue "pki.goog; cansignhttpexchanges=yes" example.com. IN CAA 0 issue "digicert.com; cansignhttpexchanges=yes" example.com. IN CAA 0 issue "comodoca.com" example.com. IN CAA 0 issue "ssl.com" # Записи для wildcard-сертификатов (issuewild) example.com. IN CAA 0 issuewild "letsencrypt.org" example.com. IN CAA 0 issuewild "pki.goog; cansignhttpexchanges=yes" example.com. IN CAA 0 issuewild "digicert.com; cansignhttpexchanges=yes" example.com. IN CAA 0 issuewild "comodoca.com" example.com. IN CAA 0 issuewild "ssl.com" Видите проблему? Они до сих пор не используют accounturi и не дают переписать записи! Это оставляет ту же самую дыру в безопасности, от которой пострадал jabber.ru . Cloudflare, по сути, говорит: "Любой аккаунт в Let's Encrypt может получить сертификат для этого домена, если пройдёт валидацию". Ваша собственная, более строгая CAA-запись с accounturi для вашего сервера, не спрятанного за прокси, становится практически бесполезной. Потому что по правилам обработки CAA, если есть хотя бы одна разрешающая запись без accounturi, УЦ имеет право выпустить сертификат для любого аккаунта. А если вы решите вручную прописать в CF записи с accounturi , то CF заботливо их не применит и оставит свои. А чтобы отказаться от Universal SSL, придётся заплатить чеканную монету. — Таким образом, Cloudflare не просто не использует современные стандарты безопасности для своих клиентов, но и активно мешает им делать это самостоятельно, сводя на нет всю идею RFC 8657. Выводы и что делать? Ситуация на данный момент патовая. С одной стороны, у нас есть рабочий и поддерживаемый ведущими УЦ (Let's Encrypt внедрил это ещё в 2021 году) стандарт, который решает реальную и доказанную проблему. С другой - крупнейший инфраструктурный провайдер, который не только игнорирует этот стандарт, игнорирует сообщения об этом стандарте, но и своей реализацией создаёт риски для миллионов пользователей. Для пользователей: 1. Проведите аудит. Проверьте свои CAA-записи. Если вы используете Universal SSL от Cloudflare, знайте, что вы уязвимы для атак типа jabber.ru. 2. Требуйте перемен. Если вам небезразлична безопасность вашего проекта, поддержите мою тему на форуме Cloudflare. Чем больше будет резонанс, тем выше вероятность, что нас услышат. Это не первый такой запрос, но предыдущие были попросту проигнорированы. 3. Рассмотрите альтернативы. Для критически важных проектов, возможно, стоит отказаться от Universal SSL в пользу ручного управления сертификатами и полного контроля над CAA-записями либо в Cloudflare, либо в другом сервисе. Что должен сделать Cloudflare: 1. Начать использовать accounturi и validationmethods для всех сертификатов, которые они выпускают в рамках Universal SSL. Это немедленно и по умолчанию повысит безопасность для всех их клиентов. Они же точно знают ID своих профилей, который запрашивают выпуск сертификатов? 2. Обеспечить полное управление CAA-записями для пользователей, чтобы они могли добавлять свои собственные записи с accounturi и validationmethods, и чтобы эти записи корректно сосуществовали с записями Cloudflare. 3. Обновить документацию и честно рассказать пользователям о текущих рисках и о том, как они обрабатывают CAA. Да, белый пушистый лис не объявит себя до некоторого времени, но, как показывает практика, он гарантированно придёт. И лучше закрыть эту дыру сейчас, чем потом разгребать последствия, как это пришлось делать администраторам jabber.ru.

❓Стек сетевых протоколов кажется лабиринтом, а при первой проблеме вы теряетесь в утилитах? 👉 На открытом вебинаре «Стек сетевых протоколов и с чем его едят. На примере TCP/IP.» 2 июля в 20:00 МСК мы разберём: - Рассмотрим основы стека сетевых протоколов. - Узнаем, как реализуется стек сетевых протоколов. - На практике поработаем с сетевыми утилитами на хосте. В результате вебинара: - Сможете разобраться, как именно работает стек сетевых протоколов - Сможете на практике использовать сетевые утилиты на хосте для отладки сетей. ⭐️ Урок проходит в преддверии старта курса «Network engineer. Basic». 👉 Регистрируйтесь для участия: https://otus.pw/DBzK/ Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576

🌐 Технический ликбез: CAA, RFC 8657 и как это должно нас спасать Казалось бы, если твой трафик могут перехватить на уровне провайдера, то ты беззащитен. Но это не так. Для защиты от подобных сценариев существует механизм Certification Authority Authorization (CAA), описанный в RFC 8659. Это простая DNS запись, которая говорит: "Для моего домена сертификаты может выпускать только вот этот УЦ". # Разрешаем только Let's Encrypt example.com. IN CAA 0 issue "letsencrypt.org" Но, как показал случай с jabber.ru, этого недостаточно. Атакующие ведь и использовали разрешённый УЦ, который им и выдал сертификат. Постфактум, благодаря анализу инцидента инженером по имени Хьюго Ландау (Hugo Landau), он пришёл к выводу, что предложенный им стандарт ещё в далеком 2019 году под номером RFC 8657 мог бы предотвратить подобный инцидент. Этот стандарт расширяет CAA двумя критически важными параметрами: 1. accounturi: Это «второй фактор» для выдачи сертификата. Этот параметр привязывает выдачу сертификатов к конкретному аккаунту в УЦ. URI вашего аккаунта в Let's Encrypt — это уникальный идентификатор. # Разрешаем Let's Encrypt, но ТОЛЬКО с аккаунта с ID 12345678 example.com. IN CAA 0 issue "letsencrypt.org; accounturi=https://acme-v02.api.letsencrypt.org/acme/acct/12345678" Даже если злоумышленник перехватит ваш трафик, он не сможет получить сертификат, потому что его запрос придёт с другого аккаунта Let's Encrypt, а LE поддерживает этот стандарт ещё с января 2021 года. УЦ сверит accounturi из запроса с тем, что указан в вашей CAA-записи, увидит несоответствие и откажет в выпуске. 2. validationmethods: Этот параметр позволяет ограничить методы, которыми УЦ может проверять владение доменом. # Разрешаем Let's Encrypt, но только через DNS-валидацию example.com. IN CAA 0 issue "letsencrypt.org; validationmethods=dns-01" Поскольку атака на jabber.ru была возможна из-за перехвата сетевого трафика, ограничение валидации методом dns-01 (который требует внесения изменений в DNS-зону, а не контроля над трафиком) сделало бы атаку значительно сложнее, а использование DNSSEC доменом могло бы сделать её вовсе невозможной. 3. Комбо # Максимальная защита example.com. IN CAA 0 issue "letsencrypt.org; validationmethods=dns-01; accounturi=https://acme-v02.api.letsencrypt.org/acme/acct/12345678" Хьюго Ландау, автор RFC 8657, заявлял в своём анализе инцидента, что основываясь на том, что мы знаем об этой атаке, она была бы предотвращена развёртыванием этого расширения. #Cloudflare #DNS #MITM #CAA #RFC | 😊 @iscode

Я сисадмин и у меня... зависимость. У меня слишком много зависимостей.  Забыть про Dependanсy hell можно на курсе «Docker для админов и разработчиков» от Слёрма. Покажем, как упаковывать приложения в изолированные контейнеры и избавиться от конфликта зависимостей. После курса сможете:  👉 Управлять зависимостями и создавать масштабируемые микросервисы; 👉 Автоматизировать рутину и CI/CD; 👉 Выжимать максимум из ресурсов; 👉 Стать ближе к DevOps-карьере. Формат видеоматериалов в сочетании с обратной связью от практикующих экспертов — это турбо-ускоритель для ваших навыков и карьерного роста. ▶️ Записаться на курс – по ссылке.

Вебинар Используй ЕССМ по полной! 🗓 20.06.2025 🕒 14:00 по МСК 1) Будь в курсе! - события: источники, правила генерации - аварии: правила генерации и закрытия, корреляция событий, каналы уведомлений 2) Управляй! - язык шаблонов Jinja2 и его основные конструкции - написание шаблонов конфигурации для автоматизации типовых задач администратора 3) Инициализируй! - реализация механизма ZTP - как достать коммутатор из коробки и автоматически настроить его 👉 Регистрация  Ведущий вебинара: Алексей Листаров — инженер с многолетним опытом работы в крупном операторе связи. Сертифицированный преподаватель нашего авторизованного центра Академии Eltex. #eltex #eltexcm #webinar #вебинар #naice #eccm @eltexcm #реклама О рекламодателе

🥷 Дыра в щите Cloudflare: как атака на Jabber.ru вскрыла проблему, о которой молчат c 2023 Думаю, многие помнят позапрошлогодний инцидент с Man-in-the-Middle атакой на XMPP-сервис jabber.ru. Эта история наделала много шума, но, как мне кажется, главный вывод из неё так и не был усвоен широкой аудиторией. А зря. Потому что эта атака вскрыла системную уязвимость в процессе выдачи TLS сертификатов, которая напрямую касается миллионов сайтов, особенно тех, кто доверяет свою безопасность Cloudflare. Разбор полетов: инцидент с jabber.ru — Для тех, кто пропустил или забыл, краткий пересказ: Что произошло? В течение нескольких месяцев (как минимум с июля по октябрь 2023 года) весь трафик крупнейшего российского XMPP-сервиса jabber.ru перехватывался и расшифровывался. Атакующие смогли получить полностью валидные TLS сертификаты от Let's Encrypt для доменов jabber.ru и xmpp.ru. Как это сделали? Это не был взлом серверов. Атака была реализована на уровне сети хостинг-провайдеров — Hetzner и Linode. Злоумышленники (предположительно, это была операция в рамках "законного перехвата" государственными акторами) перенастроили маршрутизацию так, что весь трафик, предназначенный серверам jabber.ru, включая запросы на валидацию домена от Let's Encrypt, шёл через их инфраструктуру. 🕹 Перехватив запросы валидации (вероятнее всего, http-01 или tls-alpn-01), они успешно доказали удостоверяющему центру (УЦ) LE, что контролируют домен, и получили легитимные сертификаты. Обнаружили атаку случайно, когда один из мошеннических сертификатов истёк и не был вовремя продлён, что вызвало у пользователей ошибки подключения.

Имхо, ключевой момент здесь — уязвимость не в протоколе XMPP и не в самом УЦ Let's Encrypt. Уязвимость кроется в базовом механизме подтверждения владения доменом (Domain Validation, DV).

В следующем посту начнём с техликбеза по CAA, RFC 8657, накидайте 🔥 #Cloudflare #DNS #MITM | 😊 @iscode

🟧🟧🟧🟧 Какие знания ключевые для успешного ИБ-специалиста? 🔴 Знание компьютерных сетей позволяет выявлять 70% уязвимостей, настраивать защиту и анализировать трафик, что критично для предотвращения 90% атак. Освойте сети за 4 месяца на курсе от Академии Кодебай 😎. Запись до 12 июня — дарим доступ к hackerlab.pro. Регистрация здесь. Курс создан для: Junior IT-специалистов, системных администраторов, Web-разработчиков, сетевых инженеров, которые хотят досконально освоить архитектуру сетей Содержание курса: ✨ Изучение топологии сетей, видов сетевого оборудования ✨ Маршрутизация данных и управление доступом к среде ✨ Протокол IP, транспортный и прикладной уровни ✨ Система имен DNS, безопасность в сетях и противодействие атакам 🚀 По всем вопросам пишите @Codeby_Academy