Патчкорд

Чешский национальный информационный центр (CZ.NIC) разрабатывает интересный проект - приманка как сервис. В который можно завернуть открытый наружу SSH или Telnet порт, а они смогут проследить за тем что и кто туда стучится и что делает. Потом это всё исследуется и анализируется. Публикуется статистика. Вероятно, есть какая-то персональная статистика в личном кабинете. Это открытый проект, для всех желающих помочь понять: "Как там у нас на самом деле дела с безопасностью?".

Packet Tracer формально доступен только студентам или бывшим студентам Сетевой академии Cisco, как мне например ;). Но ввиду того что таких людей очень много, то конечно свежую версию можно найти на торрентах. Официально в самой Академии доступны варианты для Windows (64 и 32 битные), Linux (только 64 битные), для iOS и Android. Не знаю как давно, но есть возможность получить доступ к загрузке Packet Tracer официально, пройдя обучающий курс по нему. Хороший инструмент чтобы познакомится с Cisco и сетями и не только. В арсенале программ должен быть.

​Написал бота для созерцания роста BGP таблицы. Репостит с твиттеров https://twitter.com/bgp4_table и https://twitter.com/bgp6_table. IPv4 уже за 700 000 префиксов перевалило.

Во! Для чего нужен USB в коммутаторах. Приезжаешь на узел, надо позвонить, а телефон разряжен.

Когда видишь сервис который предлагает ввести свой пароль для проверки, это настораживает. Но иногда хочется это сделать, потому что любопытно. Тем более обещают что всё строго конфиденциально и не подкопаешься. Помимо сайта есть лучший способ - воспользоваться готовым bash скриптом.

Любой открытый порт в сторону Интернет это дыра. Вчера вот memcached попал. У Cloudflare в блоге чуть больше технических деталей о ситуации вцелом. По идее, провайдер должен предоставить абоненту доступ в интернет, не вмешиваясь, обеспечивать сквозную связность (за что все ругают NAT). Но не вмешиваться нельзя. Одни провайдеры допускают спуфинг адресов, а другие которые ещё доверяют своим клиентом становятся зеркалом для атаки. Мы, во многом, уже не доверяем и порт пополнил список заблокированных (интересно наступит всё же время когда будет проще блокировать весь UDP).

И ещё по поводу утечек. Утилита которая проверяет что такого лишнего запушили на Github.

​И всё же большинство из нас доверчивые идеалисты. https://www.google.nl/search?q="DB_PASSWORD"+filetype%3Aenv&gws_rd=ssl Поэтому Google про нас так много знает.

​Статистика RIPE по IPv6 ASn. Это не тоже самое что использование IPv6, поэтому интересно смотреть в сравнении с Google статистикой.

Не знаю может кто уже и раньше такое делал. Крутой бейдж для IT конференции. Тяжеловат, наверное, целый день носить на шее, но с другой стороны, иногда такие бейджи делают на полтуловища.

Самые противные ошибки при миграции или обновлении происходят из-за несовпадения нотации имён, или порядка аргументов в команде, или из-за незавершённой команды, когда на старом устройстве (софте) она расширяется, а на новом нет. Значения сервиса в ACL при сохранении преобразуется к имени. Порт 53 превращается в domain, а порт 25 в smtp. Список соответствий вроде есть iana.org. Но он на самом деле не совсем такой в консоли. Для примера: TCP,80 - http (iana), www (cisco) UDP,139 - netbios-ssn (iana), netbios-ss (cisco) UDP,496 - pim-rp-disc (iana), pim-auto-rp (cisco) Может это следствие эволюционных изменений, может внутренней борьбы. В любом случае суть одна и номер один, а названия разные. Особенно сильно печально когда случается работать с cisco like интерфейсами, где почти никогда нельзя перенести конфиг 1 в 1 как правило из-за вот таких вот имён. Я не знаю как отобразить (хотя бы) ACL с номерными значениям приложений вместо имени, но очень хочется делать именно так как в iptables с опцией -n. Никогда не использовал названия портов при составлении ACL. Числа в этом случае воспринимаются лучше и трактуются однозначнее.

Немного жестоко. Получается что Windows рулит :)

Ищем файлы в Linux быстро и по-разному. Хорошая статья с примерами на Networkworld.

Библиотека обёртка для работы с SSH, которая сильно упрощает жизнь если хочется писать что-то правильно. В практическом плане, конечно, достаточно expect и любого скриптового языка. Но когда задач набирается много, то к тому времени или уже есть собственная библиотека поверх expect или используется что-то встроенное в системах управления/мониторинга. Или взгляд падает на вот такие решения как netmiko и всё переписывается с нуля в русском стиле программирования.

Учёт и инвентаризация достаточно рутинные операции, но с ними лучше чем без них. Сложности только на старте, когда ничего нет и надо что-то сделать, потом всё в режиме поддержки гораздо веселее происходит. У Digital Ocean для учёта есть netbox - свежий релиз был вчера. Может учёт IP, серверов, стоек, виртуалок. У нас есть NOC Project, который может всё это плюс ещё реагировать на события и управлять инфраструктурой. Но что-то кажется мне что netbox - то получше будет, при случае попробуем.

Нет причин не использовать проверку на спуфинг в своей сети, когда знаешь кто и что должно быть за конкретным портом. Если получается сделать это на коммутаторах, то надо сделать это на коммутаторах, если получается сделать это на маршрутизаторах, то и там надо это сделать. Практически на каждом своём устройстве я могу видеть вот такое на входе с абонентской сети 10.0.0.0: Feb 21:W:ACL:denied tcp 192.168.1.139(50410)(f8f0.8251.66b7)->2.20.254.99(http) Feb 21:W:ACL:denied tcp 192.168.0.100(50016)(1c7e.e543.9024)->13.33.22.46(443) Feb 21:W:ACL:denied tcp 192.168.0.104(49632)(1c7e.e543.9024)->37.29.19.122(http) Feb 21:W:ACL:denied tcp 192.168.0.102(33331)(1c7e.e543.9024)->173.194.32.212(443) Feb 20:W:ACL:denied tcp 192.168.1.138(45817)(f8f0.8251.66b7)->31.128.159.35(443) Красивый способ борьбы - включить uRPF, то же на cisco.com. Не у всех производителей это есть. Бывает, реализовано на уровне CPU, что сильно негативно сказывается на работе. Но в этом случае такое стоит повторить с помощью ACL: разрешить только то что знаешь и запретить всё остальное. В иерархической сети это не займёт много строчек, а спать станет спокойнее.

Бытует мнение что хороший программист обязан иметь свой pet-проект, потому что жизнь - это работа, а работа - это жизнь. Я не программист, поэтому у меня целый бестинарий. Место где можно попробовать что-то параллельное к своему профилю специализации, не мэйнстрим и не обязательно передовые решения. Там где можно забить на надёжность в пять девяток и радоваться что у тебя это просто шевелится. В итоге, иногда что-то перекочёвывает в какие-то проекты "по настоящему", но в основном это воскресный (не всегда), скорее раз в месячный фан с каким-то интересным решением. Раньше у меня всё это жило на хостинге, потом переехало на VPS, так как стало не хватать глубины погружения. На днях у меня покончались все оплаченные услуги и надо было VPS, в том числе, продлить. Варианты интересны: продлить с улучшением на 24 месяца или сделать новый с таким же улучшением на 36 месяцев с меньшей ежемесячной оплатой. Конечно я решил полениться и сделать всё в один клик, пусть это в итоге выйдет на 20 рублей в месяц дороже. На удивление всё прошло лучше чем я ожидал - сервер моргнул и поднялся. Хм, подумал я, можно теперь и обновиться: sudo yum update, sudo systemctl reboot. После чего всё пропало. Не знаю может быть виноват Xen, или Centos 7, или репозиторий. На хостинге нет web-консоли, есть вариант только переустановить систему, тех. поддержка наверное есть, но большую красную кнопку написать в тех.поддержку я сразу не увидел. И что делать? Да пофигу! :) если это не приносит удовольствие то зачем тогда - удаляем VPS, делаем новую, да ещё и со скидкой, накатываем обратно систему из бэкапа (вот это должно быть вообще везде, даже там где не должно быть). Параллельно выкидываем тушки мёртвых прожектов и вспоминаем как там в этом Linux заводить права пользователей. Обновляемся и ты-дых! Опять ничего недоступно. Чёрт. А почему мы используем Centos 7? Ты-дых и у тебя опять новый опыт с новым дистрибутивом, где обновление не приводит к краху. Вот такие вот обычные, зимние, скучные вечера.

5 глобальный опрос о внедрении IPv6. Можно использовать как чек-лист своего продвижения в использовании IPv6, если такое есть. В конце можно оставить почту на которую пришлют результаты, после 1 апреля когда опрос кончится.

С проводами всегда так - так и норовят запутаться.