👋 Привет, сетевой друг!

Сегодня расскажу про функции межсетевого экрана. Он может:

🟣Остановить подмену трафика

Представим, что ваша компания обменивается данными с одним их своих подразделений, при этом ваши IP-адреса известны. Хакер может попытаться замаскировать свой трафик под данные офиса, но отправить его с другого IP. Брандмауэр обнаружит подмену и не даст ему попасть внутрь вашей сети.

🟣Защитить корпоративную сеть от DDoS-атак

То есть ситуаций, когда злоумышленники пытаются вывести из строя ресурсы компании, отправляя им множество запросов с зараженных устройств. Если система умеет распознавать такие атаки, она формирует определенную закономерность и передает ее брандмауэру для дальнейшей фильтрации злонамеренного трафика.

🟣Заблокировать передачу данных на неизвестный IP-адрес

Допустим, сотрудник фирмы скачал вредоносный файл и заразил свой компьютер, что привело к утечке корпоративной информации. При попытке вируса передать информацию на неизвестный IP-адрес брандмауэр автоматически остановит это.

Серверная Админа | #Firewall

Настройка OpenVPN в Ubuntu

⏺ В этой статье покажу, как установить, а затем запустить OpenVPN в серверной роли на хосте с ОС Ubuntu, применяя базовую конфигурацию, достаточную для безопасной работы.

Серверная Админа | #Статья #VPN

👋 Привет, сетевой друг!

Поговорим подробнее о сетевых интерфейсах.

Напомню, что сетевой интерфейс (сетевой адаптер) — это часть аппаратного устройства, которая позволяет операционным системам и программам передавать данные через компьютерную сеть. Другими словами, сетевой интерфейс является частью сетевой карты, маршрутизатора, коммутатора и других устройств.


⏺ Виртуальным сетевым интерфейсом называют систему, с помощью которой можно передавать данные между приложениями. Такой тип адаптера функционирует на базе специального программного обеспечения.

⏺ Один из самых популярных виртуальных сетевых интерфейсов — loopback. Его используют для подключения приложений и процессов на одном компьютере к другим приложениям и процессам. Во многих операционных системах он обозначается как адаптер lo с IP-адресом 127.0.0.1.

Серверная Админа | #Сеть

👋 Привет, сетевой друг!

Сегодня расскажу о том, как работают сетевые интерфейсы.

⏺ Во время работы приложение отправляет данные на сетевой интерфейс, где данные делятся на части и инкапсулируются в необходимые блоки, а позже — в пакеты, если их нужно передать по TCP/IP. Далее они отправляются на нужный сетевой интерфейс с IP-получателя.

⏺ Например, на устройстве может быть подключено несколько проводных интерфейсов, каждому из которых присваивается свой сетевой адрес в зависимости от того, к какой подсети он подключен. При первой установке Ethernet в ОС запускается автоматическая настройка — интерфейсу присваивается имя ent0. А также добавляются адаптеры Ethernet 2 и IEEE 802.3 с именами en0 и et0 соответственно.

Серверная Админа | #Сеть

👋 Привет, сетевые друзья! Пора отходить от новогодних праздников.

Поговорим сегодня про технологии для DevOps.

🟣 Bash. Это скриптовый язык, который используется в Linux и Unix-системах. На нем пишут короткие программы для операционной системы.

Он применяется для работы с файлами и папками, настройки системы и других задач.

В DevOps-методологии язык полезен для автоматизации и конфигурирования.

🟣 Docker. Это популярная система, с помощью которой можно создавать контейнеры — виртуальные среды, где запускается какое-либо ПО.

Использование контейнеров позволяет запустить продукт на любой машине: среда и зависимости, нужные для его работы, разворачиваются автоматически вместе с контейнером.

🟣 Kubernetes. Что ещё нужно для создания инфраструктуры после Docker? Системы оркестрации.

Kubernetes — наиболее известная из них, используется чаще всего.

🟣 Git. Это самая известная и популярная система контроля версий.

Серверная Админа | #DevOps

👋 Привет, сетевой друг!

Поговорим ещё про технологии для DevOps.

🟣 CI/CD-системы. Это программные решения, которые позволяют реализовать принцип непрерывного развертывания и доставки. (Примеры — Jenkins или GitLab)

🟣 Облачные серверы. Для реализации CI/CD также используются другие решения, не настолько специализированные. Например, DevOps-инженеры часто работают с облачными провайдерами серверов, такими как Azure или AWS.

🟣 Системы конфигурации. Для управления инфраструктурой используются специальные программные решения. Таких систем довольно много: Ansible, Chef, Puppet и другие.

🟣 Системы мониторинга. Наконец, для непрерывного отслеживания тоже нужны специальные решения. Обычно это комплексные системы, которые автоматизируют процесс мониторинга.

Они автоматически запускают проверки состояния серверов, собирают нужную информацию, генерируют отчеты и отправляют специалистам.

Примеры таких систем — Prometheus, Zabbix или Nagios.

Серверная Админа | #DevOps

👋 Привет, сетевой друг!

WireGuard — прекрасный VPN будущего?

⏺ Проблема текущих VPN решений в том, что их тяжело правильно настроить, дорого обслуживать, а так же в них полно legacy кода сомнительного качества.

⏺ Несколько лет назад канадский специалист по информационной безопасности Jason A. Donenfeld решил, что хватит это терпеть, и начал работу над WireGuard.

⏺ Сейчас WireGuard готовится к включению в состав ядра Linux, он даже получил похвалы от Линуса Торвальдса и в американском сенате.

⏺ Преимущества WireGuard:

➕ Простой в использовании
➕ Использует современную криптографию: Noise protocol framework, Curve25519, ChaCha20, Poly1305, BLAKE2, SipHash24, HKDF и т.д
➕ Компактный читаемый код, проще исследовать на уязвимости
➕ Высокая производительность
➕ Четкая и проработанная спецификация

Серверная Админа | #VPN

👋 Привет, сетевой друг!

Сегодня расскажу про принципы работы WireGuard.

⏺ Создается WireGuard интерфейс, ему назначается приватный ключ и IP адрес. Загружаются настройки других пиров: их публичные ключи, IP адреса и т.д.

⏺ Все IP пакеты, приходящие на WireGuard интерфейс инкапсулируются в UDP и безопасно доставляются другим пирам.

⏺ Клиенты задают публичный IP адрес сервера в настройках. Сервер автоматически узнает внешние адреса клиентов, когда от них приходят корректно аутентифицированные данные.

⏺ Сервер может менять публичный IP адрес не прерывая работы. При этом он отошлет оповещение подключенным клиентам и они обновят свою конфигурацию на лету.

⏺ Используется концепт маршрутизации Cryptokey Routing. WireGuard принимает и отправляет пакеты на основании публичного ключа пира.

Вся основная логика WireGuard занимает менее 4 тысяч строк кода, тогда как OpenVPN и IPSec имеют сотни тысяч строк. Для поддержки современных криптоалгоритмов предлагается включить в состав ядра Linux новый криптографический API Zinc. В данный момент идет обсуждение, насколько это удачная идея.

Серверная Админа | #VPN

👋 Привет, сетевой друг!

Многие люди никогда не слышали термин SSID. Еще меньше людей понимают, что же это такое. При этом большинство сталкивается с SSID и использует его каждый день.

⏺ SSID (Service Set Identifier) – это идентификатор для беспроводной сети. По сути SSID — это имя, которое присваивается сети Wi-Fi при настройке роутера.

⏺ При попытке подключить устройство к Wi-Fi пользователи получают список SSID всех доступных сетей и с его помощью могут выбрать нужную им сеть.

⏺ Нередко этот идентификатор запоминается на устройстве, и впоследствии оно может подключаться к этой же сети автоматически.

Серверная Админа | #WiFi

👋 Привет, сетевой друг!

Сегодня сделал для вас подборку книг по сетям.

🟣 Computer Networks 5th By Andrew S. Tanenbaum
🟣 Cloud Security Handbook for Architects
🟣 Network Programmability and Automation: Skills for the Next-Generation Network Engineer
🟣 Web3: The Insights You Need from Harvard Business Review
🟣 Practical Network Scanning

Подпишись на Бункер Админа, там ты найдешь ещё больше крутых книг по сетям и не только!

Серверная Админа | #Подборка

👋 Привет, сетевой друг!

Сегодня расскажу про технологию NAT.

⏺ Трансляция сетевых адресов (NAT) используется многими сервис провайдерами и частными пользователями для решения проблемы нехватки реальных IP-адресов и обеспечения безопасности локальных сетей подключенных к Интернету.

Например, компания имеет ограниченное количество IP-адресов, но гораздо большее количество компьютеров имеющих локальные IP-адреса которым необходим доступ в Интернет. Для решения этой проблемы используется NAT, которая позволяет компьютерам локальной сети взаимодействовать с Интернетом, используя всего один внешний реальный IP-адрес.

⏺ NAT решает эту проблему с помощью подстановки внешнего общедоступного IP-адреса вместо локального IP-адреса. Подставляя внешний IP-адрес и порт вместо внутреннего IP-адреса и порта, NAT сохраняет таблицу соответствия, затем при получении ответного пакета производится обратное преобразование.

Серверная Админа | #NAT

👋 Привет, сетевой друг!

Сегодня расскажу о том, что такое пакетный фильтр.

⏺ Это элемент брандмауэра, позволяющий управлять прохождением трафика по указанным протоколам, разрешая или запрещая передачу пакетов, удовлетворяющих заданным условиям.

⏺ Пакетный фильтр — базовое средство обеспечения безопасности компьютера, работающее независимо от приложений.

Как вам новое оформление постов?

Серверная Админа | #Firewall

👋 Привет, сетевой друг!

Протокол ICMP - что это и для чего нужен?

🟣 ICMP — это протокол третьего уровня модели OSI, который используется для диагностики проблем со связностью в сети.

🟣 ICMP помогает определить может ли достичь пакет адреса назначения в установленные временные рамки. Обычно, ICMP юзают маршрутизаторы и устройства третьего уровня.

🟣 Кстати, утилиты ping и traceroute тоже используют ICMP.

Термин “пинговать" как - раз связан с протоколом ICMP и “пинговать" хост - означает отправлять ICMP пакеты с целью понять, отвечает ли на них целевое устройство.

Серверная Админа | #ICMP #Протокол

👋 Привет, сетевой друг!

Сегодня я расскажу как работает инструмент ping.

🟣 Можно сказать, это самый базовый инструмент инженера, который позволяет понять "А жив ли хост?". Помимо прочего, пинг поможет понять как долго пакет доходит до адреса назначения и, соответственно, поможет измерить задержку.

🟣 Работает ping предельно просто:

⬜️ Источник отправляет запрос вида ICMP echo request. Это выглядит как вопрос “бро, ты живой?"
⬜️ Получатель отправляет ответ источнику ICMP echo reply. Это звучит как ответ вида “да, бро, я жив, спасибо!"
⬜️ Время с момента отправки вопроса до получения ответа суммируется и считается за время пинга

Серверная Админа | #ICMP

👋 Привет, сетевой друг!

Поговорим про темную сторону ICMP.

🟣 На самом деле, с помощью ICMP можно провести DoS-атаку. Суть которой в том, чтобы перегрузить устройство ping-запросами.

🟣 Так же, раньше была популярна атака Ping of Death. Если кратко, ее суть заключалась в следующем: хакер отправляет пакет больше максимального размера. Такой пакет фрагментируется на сети на несколько частей, прилетает в буфер устройства и попадает в очередь на сборка пакета “воедино".

Переполнение этой очереди приводило к подвисанию хоста и полному отказу в работе.

Серверная Админа | #ICMP

👋 Привет, сетевой друг!

Сегодня отвечу на вопрос: использовать внешний или внутренний DNS-сервер?

🟣 Чтобы устройства в одном домене могли общаться друг с другом, тебе необходимо указать внутренний DNS-сервер. Внешние DNS-серверы не могут работать с именами хостов внутренних устройств.

Например, когда компьютер DESKTOP1 отправляет DNS-запрос для офисного принтера или сервера hr-1, только внутренняя DNS может предоставить запись ресурса. Если вы настроите устройство на использование внешнего DNS, например, 8.8.8.8 Google, то вы не сможете использовать внутренние ресурсы.

🟣 Во внутренних средах необходимо установить, как первичный, так и вторичный DNS на внутренний сервер имен. Даже если основной DNS-сервер даст сбой, проблем с подключением не будет. Дополнительный DNS-сервер содержит все записи и действует как резервная копия.

Серверная Админа | #DNS

👋 Привет, сетевой друг!

Сегодня расскажу, как работает балансировка нагрузки.

🟣 Балансировщики нагрузки находятся между серверами приложений и пользователями в Интернете. Как только балансировщик нагрузки получает запрос, он определяет, какой сервер в пуле доступен, а затем направляет запрос на этот сервер.

🟣 Направляя запросы на доступные серверы или серверы с более низкой рабочей нагрузкой, балансировка нагрузки снимает нагрузку с загруженных серверов и обеспечивает высокую доступность и надежность.

🟣 Балансировщики нагрузки динамически добавляют или отключают серверы в случае высокого или низкого спроса. Таким образом, обеспечивается гибкость.

Серверная Админа | #LoadBalancing