Forwarded from Админим с Буквой (Aleksandr Kondratev)
cis.pdf
557.7 KB
Поздравляю всех подписчиков с началом лета! И вручаю вам тёплый летний подарок: методичку по харденингу Ubuntu 24.04 на русском.
Методичка - моего авторства (@bykva)
Долгие и нудные часы чтения 1000-страничного CIS и публичной ansible роли зародили во мне идею - вот бы была готовая выжимка, по которой можно было бы настроить автоматизацию, при этом понимать что именно она выполняет. и сделать это за 1 день, а не за несколько недель.
В итоге родилась она - сжатая выжимка тысячестраничного CIS Benchmark: по каждому пункту коротко - что и зачем настраивать, с выделенными нюансами и ссылками на источники.
Внутри - более подробное описание что это и зачем.
З.Ы. саммаризация была сделана полностью без ИИ, но вот цветовое оформление, фактчекинг и правки орфографии и пунктуации я уже делал с помощью него, поэтому что-то могло поехать. Буду благодарен за ОС.
Методичка - моего авторства (@bykva)
Долгие и нудные часы чтения 1000-страничного CIS и публичной ansible роли зародили во мне идею - вот бы была готовая выжимка, по которой можно было бы настроить автоматизацию, при этом понимать что именно она выполняет. и сделать это за 1 день, а не за несколько недель.
В итоге родилась она - сжатая выжимка тысячестраничного CIS Benchmark: по каждому пункту коротко - что и зачем настраивать, с выделенными нюансами и ссылками на источники.
Внутри - более подробное описание что это и зачем.
З.Ы. саммаризация была сделана полностью без ИИ, но вот цветовое оформление, фактчекинг и правки орфографии и пунктуации я уже делал с помощью него, поэтому что-то могло поехать. Буду благодарен за ОС.
👍12
Forwarded from Семён сохраняет полезное_)
Привет всем! Вышла заметка как я из интереса купил почти 300 штук симок и решил исследовать - https://telegra.ph/Kak-ya-kupil-292-sim-karty-na-Ozone-i-nashel-na-nih-interesnoe-06-02
👍11
Патчкорд
Хмммм... И в этом году до 50% не добрались, наверное, в следующем пройдём этот рубеж. Это что-то да значит, график всё ещё похож на линейный, но это явно не тот темп который был в момент начала нашего гадания. У Cloudflare, в целом, то же самое, если ботов…
Опять день
IPv6 поэтому давайте зафиксируем что в этом году добрались до 50%, хотя выглядит с натяжкой, как будто бы 50% всё ещё остаётся рубежом об который бились половину прошлого года и половину этого и пока чисто не преодолели. Если сравнивать с самым первым нашим прогнозом 5% за год, то должно было бы быть уже 60%. Сейчас рост 5% за два года, итого ещё 20 лет, но это не точно. Точно, что рост ещё замедлился на рубеже 2023-2024.👍3
Патчкорд
Пока обсуждали в чатике аварию с DE, добрались до проблемы стандартных ограничений BIND в 50 итеративных запросов, которых катастрофически не хватает уже ни для чего, с учётом А, АААА, и DNSSEC записей. Даже если забрать копию корневой зоны себе, а не перебирать…
В продолжении темы, сколько нужно
DNS запросов чтобы разрешить имя - Geoff Huston разбирает процесс на примере teams.microsoft.com по мотивам доклада Ondřej Surý на RIPE92.ripe92.ripe.net
Talk details: DNS, Transitive Trust and How Many is Many, Ondřej Surý - RIPE 92
Talk details for 'DNS, Transitive Trust and How Many is Many' by Ondřej Surý at RIPE 92
👍1
Большое спасибо нашему подписчику за ссылку на карту с местами подключения к AWS - chris.elsen.xyz/dx-location-details. Дополним её историей от создателя карты, где есть ответы на вопросы почему и зачем, и раскрываются заложенные в неё возможности.
Edge Cloud
Enhanced AWS Direct Connect Location Directory
A searchable directory of AWS Direct Connect locations with geographic data, filtering capabilities, and automated updates
👍2
SRv6 на VPP, теория и немного лабораторной практики. Плюс исправления для поддержки не только физических интерфейсов, добавленные в следующий ожидаемый релиз 26.06.
ipng.ch
IPng Networks - VPP SRv6 L2VPN
👍6
BGP Router ID это не IP адрес, хотя выглядит привычно похоже. Если на маршрутизаторе есть
IPv4 адреса, то можно использовать их, если нет, то придумать свою структуру и использовать любой уникальный в рамках своей автономной системы. Лучше назначить руками, чтобы не оставлять процесс на самотёк.Daryll Swer
BGP Router ID Structuring in IPv6 Native Networks – Daryll Swer
How to design and structure BGP Router IDs in IPv6-native networks.
👍5
В Cloudflare озаботились контролем включения проверки BGP enforce-first-as, чтобы в Интернете было безопаснее и прямо настаивают чтобы все включили. Но ситуации тут могут быть сильно индивидуальные, от упомянутого подключения к
Список Tier 1 сетей у которых выключено, приведён в статье, так же и список вендоров, где выключено по умолчанию. Можно сравнить с тем что настроено у вас и прикинуть нужно ли что-то менять. Доверие - это то на чём ещё держится Интернет, а частные отклонения от общих правил, являются редкими случаями. Подменять доверие на технические проверки, как бы это не звучало хорошо, в конечном итоге убьёт и доверие и не решит проблем.
RS на IX, до многочисленных локальных временных и постоянных договорённостей между пиринг партнёрами. В первый раз работы с IX я значительное время потратил, как раз на понимание того, что это поведение - проверку первой AS в AS_PATH, надо отключить. А с учётом значительного распространения IX и того, что в общем вилане некоторые не гнушаются транзитные сети раздавать, то всё ещё сильнее запутывается.Список Tier 1 сетей у которых выключено, приведён в статье, так же и список вендоров, где выключено по умолчанию. Можно сравнить с тем что настроено у вас и прикинуть нужно ли что-то менять. Доверие - это то на чём ещё держится Интернет, а частные отклонения от общих правил, являются редкими случаями. Подменять доверие на технические проверки, как бы это не звучало хорошо, в конечном итоге убьёт и доверие и не решит проблем.
The Cloudflare Blog
Enforcing the First AS in BGP AS PATHs
BGP is vulnerable to routing hijacks and path leaks that negatively impact traffic on the Internet. RPKI helps solve some of these problems, but for some forged paths, we need to rely on a simpler mechanism: First AS enforcement in BGP.
👍2
Черновик про то, что надо что-то сделать наконец с
BGP атрибутами которые разлетаются по всему миру. Такое поведение заложенное изначально, позволяющее транслировать не поддерживаемые атрибуты дальше, удобно при адаптации новых возможностей, когда не надо сразу бежать менять всё оборудование, удобно для экспериментов, но бывает приводит к непредвиденному поведению, что бывало не раз.IETF Datatracker
BGP Attribute Escape
BGP-4 [RFC 4271] has been very successful in being extended over the years it has been deployed. A significant part of that success is due to its ability to incrementally add new features to its Path Attributes when they are marked "optional transitive".…
👍2
Что ж, вот мы и перевалили за 10000й номер RFC. Первый из опубликованных RFC 10008.
www.rfc-editor.org
RFC 10008: The HTTP QUERY Method | RFC Editor
This specification defines the QUERY method for HTTP. A QUERY requests that the request target process the enclosed content in a safe and idempotent manner and then respond with the result of that processing. This is similar to POST requests, but QUERY requests…
👍7
Почему MAC адреса выглядят по разному, с двоеточиями, дефисами и точками? Потому что для этого есть или был стандарт, но это не точно.
cyber-fi.net
What’s the MAC-Address, Kenneth?
"What's the MAC-Address, Kenneth?" is your Benzedrine, uh-huhI was brain-dead, locked out, numb, not up to speedI thought I'd pegged you an idiot's dreamTunnel vision from the outsider's screenI
👍3
Распределение известных CDN по миру с привязкой к AS. Принадлежность префикса автономной системы к
CDN вычисляется по сертификату которым отвечает веб. На карте GGC, Meta и Netflix, в файлах всё остальное.Personal blog of Anurag Bhatia
Mapping major CDNs across the globe
This post is about mapping all popular CDNs like Google GGC, Netflix OCA, Akamai caches etc across the globe
👍1
Сильно хвалят Cisco, но если отвлечься от этого и рассмотреть только сам подход динамической подстройки экранов мониторинга под текущую ситуацию, можно свести всё к вопросу - зачем автоматическим автомобилям светофоры? Светофоры нужны людям, роботам они не нужны. Они могут общаться напрямую, чтобы проезжать перекрёстки без аварий, если им не будут мешаться живые участники движения, с кем они общаться не могут. То же и с дашбордами, если всем занимается ИИ, зачем нам будут нужны дашборды?
CCIE #TBD
The Dashboard Isn’t the Answer
It never was. At some point in the last decade, the network and security operations industry collectively decided that the problem was visibility, and that the solution was dashboards. If you could…
👍2
Попытка пронаблюдать задержки для подводных линий связи с использованием общедоступных инструментов. Никакой сложности для владельцев кабеля в этом нет, но для оценки со стороны авторы очень тщательно выбирали точки наблюдения RIPE Atlas около мест выхода кабелей на берег, а потом отсеивали лишнее. Правильная ссылка на публикацию.
Internet Society Pulse
Increasing the Resolution of Submarine Cable Network Performance | ISOC Pulse
Researchers have developed a new methodology using publicly available infrastructure that captures more accurate profiles of subsea cable behavior.
👍6
В Amazon придумали и уже построили новую топологию RNG, где коммутаторы периметра сети соединяются друг с другом в похожем на случайный порядке. Это позволяет использовать те линки, которые бы простаивали в других топологиях. Но для этого пришлось придумать новый протокол маршрутизации
Spraypoint и пассивный оптический коммутатор ShuffleBoxes, роль которого всё запутать и не дать запутаться самим. Получилось дешевле, в сравнении с остальными. Теоремы, леммы, доказательства, формулы - присутствуют в большом количестве.arXiv.org
RNG: Flat Datacenter Networks at Scale
We design and deploy in production the first flat datacenter networks. Our design, called RNG, is based on quasi-random graphs. While the cost and fault-tolerance benefits of such topologies have...
👍5
Типы маршрутов EVPN от 1 до 5 - общее описание и область применения. Перед прочтением, лучше узнать про
VTEP и VNI, и зачем вообще EVPN и VXLAN нужны.{networkphil}
The Five EVPN Route Types in VXLAN Data Center Fabrics
Many modern enterprise and cloud data center networks have standardized on a combination of BGP, EVPN, and VXLAN to build scalable Layer 2 and Layer 3 fabrics. Whether the environment is only a few…
👍6
Geoff Huston про то что DNS очень надёжная система и при этом бесплатная для конечного потребителя. Даже если посылать по нескольку запросов за раз, а так делает много кто, то ничего с ней не случается. Но, конечно, лучше так не делать.
👍2
Если редистрибьютить статические маршруты в BGP во время аварии вместо основного маршрута, может получиться так что обратно его не уберёшь. Не используйте статические маршруты, не анонсируйте их в
BGP, или настраивайте приоритеты, чтобы всё работало так как задумывалось.Linkedin
The Traps of Redistributing Backup Static Routes into BGP
I recently encountered an interesting routing scenario involving BGP and a backup static route that resulted in unexpected fallback behavior and traffic forwarding to incorrect next-hop. The Setup Consider a scenario where router R2 receives the prefix 10.
👍2👎1
Сколько нужно SSID для работы? Столько сколько нужно и не больше, только не забывает всё посчитать и настроить.
cyber-fi.net
Don’t configure more than 3 SSIDs!
Have you heard of this rule of thumb? Probably yes, but for every rule, we should know why it is in place and also when to break the rule. And this is a rule that I most often break for my installati
👍3
Автор сайта wirewiki.com рассказывает как сделал почти мгновенное автодополнение по вводимой строке. На сайте, кстати, есть интересный раздел со списком открытых DNS резолверов, как известных, так и не очень с разбивкой по странам.
Ruurtjan Pul
p99 0 ms* autocomplete for 240 million domain names
How Wirewiki's domain-name autocomplete renders suggestions next frame for 99% of keystrokes.
Простая лаба для Container Lab на работу RFC 8950 - маршрутизация
IPv4 по IPv6 next-hop. А также описание в каких случаях это может пригодиться, когда все уже на IPv6, а кто-то всё ещё на IPv4.Personal blog of Anurag Bhatia
RFC8950: Announce IPv4 with an IPv6 next-hop
This post covers how RFC8950 gives the ability to route IPv4 over IPv6 BGP sessions with IPv6 next-hops
👍3