Кого бы выбрать
Мегафно меня задрал окончательно. Подключен к нему в одном из ЦОДов, дык оный взял моду заваливать BGP-сессию ночами на полчаса и дольше. Причем, техподдержка отвечает в основном в духе "сам дурак". Надежд на то, что они что-то исправят, почти нет.
Последний случай вообще эпичный. BGP-сессия легла в 3 часа ночи. В 4 меня подняли по тревоге. В 4:15 я отправил письмо в саппорт. Тикет открыли в 6:45, хоть какая-то осмысленная реакция с вопросом вида "сейчас-то всё нормально?" пришла только в 12:05. Да, в 5 утра сессия поднялась сама собой, но мне от этого не сильно легче. И ладно бы подобное произошло впервые. Это такая традиция уже где-то дважды в месяц.
Надо менять провайдера, вопрос только на что. Я попросил у менеджера ЦОДа "огласить весь список". Недолго думая, мне прислали всех кто там присутствует. Ниже список с моими комментариями.
( Collapse )Вот и получается, что при всём богатстве выбора, в кого втыкаться, непонятно. Пока что думаю в сторону МТСа. Вроде бы знакомый, понятный и слышал положительные отзывы от друзей в его сторону.
С точки зрения критериев выбора для меня самыми важными являются в порядке убывания: связность, стабильность, устойчивость к атакам (чтобы сам провайдер не падал бы постоянно, меня защищать не нужно), вменяемая техподдежка / NOC, ширина канала, цена.
При этом один магистрал уже есть, второго втыкать не очень хочется, т.к. многие операторы крайне неохотно пирятся с оными. С точки зрения связности лучше всего конечно будет Ростелек, но с точки зрения последующего геморроя в общении с представителями оного как-то совсем не тянет. Мне раньше очень нравился Мастертел, но он уже не торт после всех этих историй с разделом бизнеса и суицидом одного из учредителей.
Что можете посоветовать?
ОколоITшный дыбр #77
... Побаловался с загрузкой eSIM. Занятно то, что операторы очень хотят выслать QR-код для загрузки профиля на ящик электрической почты. Но при этом тот же Мегафон, например, предварительно не валидирует введённый абонентом адрес. То есть абонент может случайно ошибиться в буковке, и QR-код уйдёт "не туда". А он, на минуточку, секретный. При этом поскольку данный QR-код также дублируется на последнем шаге в окне браузера, человек-клиент может даже и не заметить что что-то пошло не так.
Вот куда "бизапасники" должны смотреть в первую очередь. Вполне реальная такая дырка. А не бесполезные анальные заграждения выстраивать.
МТС в этом плане умнее. Он адрес электронной почты всё-таки валидирует перед стартом всей активности по выпуску eSIM.
... Вроде бы разобрался почему у меня на OpenWRT то и дело отваливался IPv6. "Аплинк" у меня входил в состав диапазона, делегируемого клиентам. А OpenWRT такого не любит, хоть об этом явно нигде и не сказано. Разнёс по разным префиксам, вроде стало нормально. Но WiFi-клиенты всё равно периодически теряют связь. Приходится выключать-включать на телефоне Wi-Fi, после этого начинает работать. Пишут, что это якобы давнишний баг в драйвере беспроводного адаптера в OpenWRT, а там фиг его знает.
... Насчет давнишних багов. Таковой есть в Notepad++, который в неожиданных местах "бьёт" кодировку UTF-8 файлов. У нас некоторые адепты Windows копипастят из Notepad++ конфиги Linux-овых приложений на боевые сервера и потом недоумевают почему приложение не стартует. Тут либо отключать в Notepad++ автоопределение кодировки (включено по умолчанию), либо пользоваться каким-нибудь AkelPad или вообще VSCodium. А ещё лучше снести к херам форточки и не парить никому мозх (ага, дед Сергеич сча вам насоветует).
... Со 2 января в очередной раз дорожает проезд на общественном транспорте Нерезиновска. Сцуки. И на собаках не поездишь, везде тротуары солью посыпают...
... Мелкий во время прогулки вдоль Яузы смог поймать и торжественно зохавать мышь. Я не стал его оттаскивать, наивно думал что у него ничего не получится. А поди ж ты. Ловкий, вёрткий и вечноголодный засранец. Придётся теперь глистогонить.
... Оказывается, NextCloud умеет подтягивать из MS AD аватарки пользователей, причём делает это по умолчанию. Хых, странно что какой-нибудь условный GitLab так не поступает. Недоработочка-с... Надо больше свистелок-перделок!
... Читаю вот такие новости и думаю, чему же сейчас в школе-то учат. По ходу, ничему. С одной стороны, печально. С другой стороны, естественный отбор на этот раз таки сработал. С третьей стороны, кто-то же должен был объяснить отрокам как выживать в этом мире? Если не школа, то кто? И зачем тогда эта самая школа в принципе нужна, если она таким элементарным вещам не учит?
... Чё-то меня внезапно торкнуло поглядеть свою кредитную историю. Сама по себе она девственно чиста. Но вот два Банка: ВТБ и Т-Банк с ежемесячной регулярностью зачем-то её запрашивают. Причём, я с удивлением узнал, что оказывается якобы подавал в Т-Банк заявку на поребительский кредит в марте месяце, а банк мне якобы подло отказал по причине "кредитной политики".
Ну охренеть. Мутят что-то вечно эти ростовщики поганые. Не уследишь.
Всем дешевого проезда и красивой кредитной истории.
Размышления на тему ИБ
... Бывают случаи, когда дополнительная "безопасность" ни к чему не приводит. Например, условный Вася устанавливает в свою квартиру сейфовую дверь с тремя замками разной конструкции с целью защитить свое имущество от воров. Получается, что Васе каждый день приходится дольше открывать и закрывать замки. Вместе с тем, домушнику может оказаться проще залезть через форточку или разломать гипсокартонную стену рядом с этой дверью. И более того, просто само наличие такой двери может указывать на то, что в этой квартире есть чем поживиться, тем самым привлечь потенциальных грабителей. Так попытки "усилить безопасность" приводят ровно к обратному эффекту.
Я настолько часто сталкиваюсь с похожими идиотизмами в IT-сфере, что просто не могу молчать постоянно задумываюсь о том, что все эти "бизапасники" не просто приносят компаниям дополнительные издержки и усложняют работу инженеров, а более того, эту самую "безопасность" только ухудшают.
... Рассмотрим пример. Есть некая техническая площадка, на ней пусть будет к примеру PostgreSQL, в котором хранятся какие-нибудь чувствительные данные. Приходит такой "бизапасник" и постановляет: "Всё, ограничиваем круг допущенных к этой площадке лиц, разработчиков на неё больше не пускаем, им тут делать нечего!" С одной стороны, выглядит как будто разумно.
С другой стороны, в ходе эксплуатации выявляется какая-то проблема. По словесному описанию разработчик предполагает, что затык мог произойти в той самой базе данных и хочет проверить свою версию. До "бизапасника" он бы подключился по SSH к PostgreSQL-серверу, прогнал тестовые запросы, выкатил фикс. Теперь же он просит эксплуатирующего инженера снять дамп и прислать ему, чтобы потом развернуть этот дамп на стенде и оттестировать.
Получается, что этот относительно секретный дамп базы данных с чувствительной информацией появляется по цепочке сразу в нескольких местах: исходный сервер в папке пользователя, ноутбук инженера, почтовый ящик инженера, почтовый ящик программиста, ноутбук программиста, тестовый стенд в папке пользователя, тестовый стенд в базе данных. И разумеется, кто-то из них обязательно забудет потом подчистить за собой "хвосты". Вот и получается, что у потенциальных хакеров появляется куда больше возможностей спереть ценные данные. Что, неужели от запрета ходить разработчику на production-сервер стало "безопаснее"?
Да, вы можете возразить, что в таком случае надо "закручивать гайки" и дальше. Навесить всякие там PAM, Jump Host, запретить выносить любые данные из production-контура и так далее. М-м-м-м, вполне возможно что задача защиты данных и будет таким образом решена, вопрос только какой ценой. Если утрировать, то дешевле может оказаться просто выключить сервер из силовой розетки. "Нет сервиса — нет проблемы".
... В теплотехнике есть такое понятие: критическая толщина теплоизоляции. Допустим, по улице идёт труба центрального отопления и мы хотим снизить потери драгоценного тепла из неё. Обматываем слоем стекловаты. О, круто, потери снизились. Обматываем ещё слоем. О, ещё снизились. Воодушевляемся, продолжаем в том же духе и замечаем, что начиная с какой-то толщины потери начинают наоборот возрастать. Почему? А потому что с увеличением количества слоев теплоизоляции растет и площадь наружной поверхности...
... Один заказчик потребовал на все виртуалки с сервисом в его контуре накатить антивирус. Непонятно на хуа он там вообще нужон, ибо сервис никакими файлами в принципе не оперирует и реализует строго определенный протокол взаимодействия в жёстких рамках спецификации вида "XMLку туда, XMLку сюда". Но хозяин — барин, кто мы такие чтобы спорить с заказчиком.
В процессе выяснилось, что у "бизапасников" лапки, они не знают что такое SSH-ключи и потребовали им создать отдельную учётку с суперпользовательскими правами и входом по паролю. Который, к гадалке не ходи, разошелся по всевозможным перепискам между менеджерами, исполнителями, да ещё и где-нибудь в тикетнице "осел". Зато на виртуалках будет установлен к***ерский, который там на **й никому не впердолился. Безопасность!
... Другой заказчик выдал доступ в свой контур по хитро***ой схеме с Cisco AnyConnect и PAM. Проблема только в том, что пароли от того и от другого со временем протухают, и никак между собой не синхронизированы. То есть вот ты продолбил момент когда пришла пора эти пароли менять и потерял доступ к площадке. Восстанавливают они эти пароли неделями в ходе душных переписок. А за это время случается авария, но ты ничего сделать не в состоянии, потому что не можешь пролезть к машинам с сервисом. Безопасность!
... К третьему заказчику всю жизнь ходили через IPSec-тоннель по SSH-ключам. В какой-то момент он решил, что это "небизапасна". Начал городить какую-то очередную **алу с VDI и персонифицированными учетками, выдаваемыми под роспись. При том, что он находится в другой стране, и даже если что-то случится, кому он будет эти соглашения с подписями предъявлять, для меня большая загадка. Но сервис поддерживать будет кратно труднее, это факт. Зато безопасность!
... Четвертый заказчик дико ссытся, что подрядчик может у него с3.14*дить список его базовых станций с геокоординатами, поэтому выстраивает кучу анальных загородок и выкатывает тонну бюрократических формальностей. Я вот думаю... ну предположим что я к старости рехнулся окончательно и таки стырил у них этот список. Что я с ним дальше-то буду делать? Конкурентам продам что ли? А им он на хрена, тем более что в той стране всеми операторами связи владеет фактически одна и та же семья / клан. Безопасность!
... Тут вот опять очередная новость. Опять пытаются решать социальные проблемы техническими мерами. Снова всем затруднят жизнь, удорожают связь, но реально добьются примерно ничего. Безопасность!
Дорогой Санта, подари мне пожалуйста другой глобус. И чтобы без топчущих его клинических дебилов, ну пожа-а-а-алуйста!
ОколоITшный дыбр #76
... В ядрах Linux в районе версий 6.11.{4-5} поломали драйвера Intel-евых WiFi-карточек. Я тут обновил на ноутбуке и обнаружил что Wi-Fi перестал работать. Подгрузка свеженького Firmware (в смысле, пакета "firmware-iwlwifi") проблему решила, но осадочек остался. Так что ставьте новые версии с осторожностью и не спешите сносить старые ядра.
... Протестировал пресловутую Unisimka. У супруги в двух аппаратах не заработала, но мне думается, что она совала её во второй слот, поэтому эксперимент получился не чистым. У меня в Huawei Nova Y61 нормально завелась, хоть этого смартфона и нет в списке официально поддерживаемых. Из самых очевидных недостатков решения могу отметить три:
- надо устанавливать обязательно в первый слот;
- при смене профиля происходит reset обеих SIM-карт, т.е. они обе теряют сеть и заново регистрируются;
- как следствие, две "юнисимки" в один телефон не поставить.
Точнее, поставить-то наверное даже получится, но переключать профили можно будет только на первой.
А вообще даже немного интересно почему она стоит так дешёво и в чём подвох. Ведь поставщику пришлось как минимум преодолевать всякие бюрократические формальности ради получения сертификата / ключей GSMA для зашивания в эту "болванку", разрабатывать софт. Но то, что можно больше не гоняться за телефонами с поддежкой eSIM, бесспорно радует.
... Братья-киргизы жгут напалмом. Иногда даже потом пишут письма с вопросами вида "а почему у нас сервис XYZ не работает". М-дя. Зато какие суровые у них бизапасники... мышь не прокродетЬся!
Работать в киргизской лавке плохо. По возможности избегайте этого. Говорят правда, что у них жрачка вкусная, но сам не проверял. А вот в IT они совсем не умеют.
... Кстати про жрачку. metroelf
... В офисе играют в анонимного Санту. Я чё-то задумался. Другой глобус или билет на Марс всё равно никто не подарит. А всё остальное я и сам себе могу купить, на фига вот эти заморочки? Да и вообще, с повсеместным проникновением всяких там вазонов / вылдберей и прочих [beep]-маркетов сама традиция дарить что-либо уже канула в лету. Или нет?
Наверное, это просто я слишком рационалистически настроенный социопат. Пью кофе, ненавижу людей и вот это всё. Хотя, от килограмма хорошей арабики даже я бы не отказался...
... Чё-то чем дальше, тем больше я проникаюсь вот этим телеграм-каналом. Особенно понравились посты про литературный журнал (ржал до слёз), социальные пузыри и наброс-репост про рабство в современном мире (это уже из немного другого канала). Что-то в этом есть.
... Предыдущей ночью (с 9 на 10 декабря) случилась какая-то достаточно мощная волна кибератак. Один телеком, по совместительству владелец ЦОДа, возлежал на несколько часов. Другой зелёный телеком изволил отвалиться на полчасика (да что ж они все такие нежные-то). У меня OpenVPN-сервер под внешним давлением великого Брутфорса долбанулся "на отличненько" и сам по себе наплодил 80 штук виртуальных tun-адаптеров, которые мне потом пришлось вычищать. Но как, Холмс? На некоторых машинках пришлось дополнительно увеличивать выделенный под трассировщик соединений объем памяти.
Посмотрел IPшники откуда летит вся эта гадость. Симферополь, Макеевка, Ставрополь и прочие южные регионы. М-дя. Ладно, спасибо что хоть Juniper-ы выдержали. Но тенденция не радует-с.
... Оказывается, уже несколько лет как (с ядер 4.20) существует вменяемая альтернатива Load Average. Называется PSI. А мужики-то и не знали. Лять, вот на всяких собеседованиях до сих пор про этот дурацкий Load Average спрашивают. Но теперь-то я точно знаю как надо отвечать на этот вопрос, бггг: "Х**ня этот ваш Load Average, я использую PSI, а вы слоупоки!"
... NextCloud оказался какой-то до хрена чувствительный к настройкам интеграции LDAP. Чуть не то, и тут же валится в Internal Server Error и в веб морду не зайти вообще никак. Причем, сколько я не медитировал, так и не смог осознать зачем нужно было делить настройку на "Users" и "Login". Видимо, это какая-то альтернативная философия.
При этом если ты уже сломал LDAP, то не сможешь залогиниться под локальной учеткой чтобы починить его. А если отключишь LDAP "скулем" (через SQL-запрос), то зайдешь в веб-морду, но в интерфейсе пропадут нужные настройки. Поэтому надо вот так:
sudo -u www-data php occ ldap:set-config '' ldapConfigurationActive 0
Потом поправить через веб-интерфейс и включить взад. "О" — "очевидность". Да-а-а-а, чё-то NextCloud перестал мне нравиться. Впрочем, мне в принципе угодить очень тяжело, так что пофиг.
Всем вкусной картошки и понятной философии.
Пьяное тело
Супруга возвращалась вчера из Красногорска. Ехала себе спокойно, никого не трогала. И тут на дорогу высовывается вот такое пьяное (а может обдолбанное, не знаю) тело прямо под колёса. Хотя на тротуаре места вагон и нет никаких луж. Просто тело решило, что на проезжей части ему прикольнее.
Видос лежит вот здесь.
Пришлось оттормаживаться. Хорошо ещё, сзади никто не влетел. Не так просто на той трассе везде ограничение скорости 50 км/ч выставлено.
И вот что бесит. Из-за таких вот колдырей кто-то авто себе и другим разбивает, кто-то вообще водительского удостоверения лишается или в тюрячку садится. Я бы выдавал лицензии на отстрел подобных гамадрилов.
В этот раз решил выложить видео не на заблокированный в России YouTube, а на свой собственный хостинг. И шосукахарактерно, не нашел для подобного рода задач нормальной софтины. Более-менее что-то подходящее обнаружилось вот здесь, но у него есть два больших недостатка.
- Все загруженные на сервер файлы он складывает в одну папку. Если их будет достаточно много, то файловая система помрет.
- У него нет генератора HTML-кода для встраивания в тот же ЖЖ (embed / iframe).
Видел ещё вот такое и вот такое. Но первое питонописное, тяжелое и корявое. А второе хочет богомерзкий доцкер для работы.
Поэтому вопрос к залу. Если вы где-нибудь видели лёгенькую self-hosted софтинку для расшаривания видео с функциями iframe / embed, не требующей гигабайтов места на диске и/или доцкера, поделитесь пожалуйста. В принципе, вот тот "Tube" (см. выше) меня устраивает, но за исключением двух перечисленных недостатков. Хотелось бы что-нибудь похожее, но без них.
ОколоITшный дыбр #75
... Уже в который раз манагеры выводят из коммерческой эксплуатации какой-нибудь проект, а админам традиционно об этом никто не рассказывает. Мониторинг будит по тревоге, мол кирдык-кирдык, тоннель упал. А потом выясняется, что это заказчик со своей стороны всё демонтировал за ненадобностью. М-дя. У меня в такие минуты физиономия выглядит как-то так.
Ещё бы отфотошопить цвет глаз, чтобы красными стали а-ля "терминатор". Вот тогда будет почти 100%-ное сходство.
... А если серьёзно, то это супруга тестировала фотокамеру на Honor X7c. На удивление приличный телефончик оказался, особенно за 10 килорублей (версия 6/256 за 13 килорублей) по акцЫи. Разве что этот гоноровский "фирменый" swap не отключается (который "расширение оперативной памяти за счет флешки") и агрегации частот в LTE нету. А в остальном вполне себе юзабельный. В качестве "запасной" трубки, в качестве расходного материала или нетребовательному потребителю а-ля школьник-пенсионер пойдёт.
... Пользоваться всякими софтинками наподобие "yt-dlp" становится всё сложнее. Ютубычу очень не нравится что всякие "отечественные" сервисы беззазорно тырят с него контент и начинает требовать авторизаций-печенек когда приходишь с IPшников, принадлежащих ЦОДам. А с домашнего компа роскомпозор блокирует. Понятно, что при желании всё решаемо, но как же они все заманали на ровном месте жизнь усложнять.
... Коллега показал очередную софтинку для ВКС, называется "FarPlay". Типа, для удалённого обучения игре на музыкальных инструментах. Якобы до фига крутое качество звука, недорого и бла-бла-бла. Я попробовал её у себя запустить, она не смогла пролезть через мой домашний Juniper SRX. М-дя.
... Случайно занесло на сайт "Интер РАО". Не спрашивайте как. Увидел на одной из страниц вот это и чё-то слегонца взоржал.
Отдельный ящик на "Яндексе" для получения писем с "зарубежных почтовых сервисов". Бггг. Ненуачо, как умеем, так и работаем.
... Некстати, насчет всяких "зарубежных сервисов". Письма от всяких Micro$oft и прочих RedHat на российские домены не придут. Точнее, какие-то дойдут, какие-то нет. Выборочно, и непонятно от чего зависит. На GMail приходит всё, но с ним есть другая подстава.
... Понадобилось тут стряхнуть пыль с одного GMail-овского аккаунта, которым очень давно не пользовались, несколько лет. Логин известен, пароль известен, но не пускает. Хочет подтверждения SMSкой. Но во-первых, тот номер который был привязан, давно и успешно профакан. А во-вторых, даже если бы он и был, то всё равно ничем бы не помог, потому что российский.
Кое-как удалось войти через резервный e-mail, но дальше с аккаунтом сделать всё равно ничего нельзя, пока не привяжешь его либо к "правильному" забугорному номеру, либо к "железному" Android-телефону. Выскреб оттуда всю ценную информацию, которая была нужна, но сам факт. Отсюда выводы.
- Если вы живете в России, лучше отвяжите всё от GMail-а / гугла пока не потеряли аккаунт.
- Если аккаунт вам всё-таки нужен, привяжите к нему минимум один Android-телефон, резервный e-mail, 2FA tOTP, таблицы разовых ключей и всё вот это, чем больше тем лучше.
- И вообще, раз пошла такая пьянка, придётся теперь держать две VPS-ки с собственными почтарями (релеями): один "здесь", второй "там". К бесплатным решениям типа Яндекса / Гугла вообще уже никакого доверия нет.
- Смартфоны без GMS видятся уже даже более предпочтительными, чем смартфоны с наличием оного. По крайней мере, вырабатывается полезная привычка не складывать все яйца в одну корзину, что неплохо само по себе.
- Лишний раз убедился, что "облаков не существует, есть только чужие компьютеры". И не стоит там хранить ничего хоть мало-мальски ценного. Только жесткие диски на дохера терабайт, только хардкор, только локальные архивы с локальным же почтовым клиентом. Всё самое ценное бэкапить на второй жёсткий диск или домашний сервак. И ниипёт.
... В попытках восстановить контроль над аккаунтом узнал, что оказывается один красный оператор давно уже барыжит зарубежными eSIMками за рубли. Нет eSIM в телефоне?
... На такой случай есть российско-китайский аналог "esim.me" под названием "UNISIMKA", правда работает не со всеми смартфонами (то бишь лотерея). Я себе заказал одну на-потестировать, а заодно открыл для себя один занятный факт.
Мадам, которая является продавцом этих UNISIM-ок на Озоне, а также значится в качестве автора одноименного приложения в RuStore, когда-то раньше работала в той же лавке что и я сейчас. А нонче она является заместителем вице-президента ВКонтактика по чему-то там.
И вот последнее мне особенно удивительно, а чо, так можно было? Занимать достаточно высокую руководящую должность фактически в госкорпорации и одновременно быть ИПшником и барыжить китайчатинкой? И ничего, всё нормально? Хм, чем дольше я живу, тем меньше понимаю что происходит вокруг.
... Ещё с неприятным удивлением обнаружил, что DrimSIM больше не предоставляет ни голоса, ни SMSок. Только интернет-трафик. Хотел было получить SMSку от гугла на него, а вот облом-с.
Всем работающей почты и доходящих SMSок.
I did it again
Навеяно вот этим постом.
У нас в офисе как-то взял моду падать линк в интернет. Причём, чётко раз в две недели ровно в 11:53. Приляжет отдохнуть минут на пять-десять, потом снова работает. Это всегда приходилось на пятницу, но не каждую, а через одну. Закономерность-с.
Мы с коллегами, разумеется, каждый раз писали запрос в техподдержку провайдера, одного очень крупного федерального телекома, всевозможные пасквили. Мол, шозанах, мож вы уже разберётесь с этим? И всегда получали какие-то рандомные нелепые отмазки от "по нашим логам неисправностей не видим", "ничего не перезагружалось, порт не падал" до "подключитесь напрямую к нашему оборудованию" (хм, куда уж прямее-то?).
Пришлось мне, старику, собирать сервачок с двумя сетевухами в linux-bridge, обкладывать его весь мониторингом по самые помидоры и включать одной мордой в коммутатор провайдера, другой мордой в наш коммутатор. Причина оказалась столь же прозаичной, сколь и дурацкой.
Провайдер установил в телекоммуникационный шкаф бизнес-центра свой коммутатор и UPS для него. Не очень понятно зачем UPS, потому что бизнес-центр подавал в эту свою псевдосерверную уже гарантированное стабилизированное питание от своего собственного промышленного UPSа. Так вот, в какой-то момент времени батарейка в провайдерском UPSе изволила сдохнуть, но тот по старой привычке всё равно проводил самотестирование. Во время которого коммутатор уходил в перезагрузку по питанию. Чётко по расписанию, раз в две недели, в одно и то же время ага. Но провайдер упорно "не замечал" данный факт на протяжении минимум четырёх (!) месяцев, хотя к этому его коммутатору кроме нас (были) подключены и другие арендаторы этого же бизнес-центра.
Потом было несколько выездов пехотинца поставщика услуг связи. Сначала они своими глазами возжелали убедиться в наличии проблемы, ещё и не верили жы ж. Потом согласовывали работы и меняли этот несчастный UPS. М-дя. "Сколько нужно инженеров чтобы..." (и далее по тексту)
Но даже это ещё не всё. Я рассказал эту байку одному знакомому админу из другого крупного федерального телекома. Он мне ответил, дословно:
— У нас на mx-5 раз в 3 месяца сносит башню ldp.
Есличо, MX-5 — это такой крутой Juniper-овский маршрутизатор. Посмотришь сколько сто́ит — вздрогнешь. А вы говорите "немецкий телеком", бггг.
Всем надёжных UPSов и маршрутизаторов. И да, если вы пропустили вот эту байку, тоже прочитайте. Ещё один чем-то похожий смешной кейс, и тоже из области телекома. Впрочем, я за свою практику довольно много подобного могу припомнить, если начну ностальгировать и писать мемуары.
ОколоITшный дыбр #74
Первые две новости я беззастенчиво ©тырил из бложиков тов. nixxl и vaf
... Говорят, Micro$oft Office ворует данные пользователей для обучения своего ИИ. Восстание скрепки.
... Яндекс опять не туда воюет. Взял и положил все российские NTP-сервера своими умными колонками. Чё-то ржу, но не удивлён.
... Вот тут я писал, что "бизапасники" одного заказчика сЪагрились на нас за то, что мы удалили с их серверов tuned. Бггг, не прошло и года (спасибо за новость тов. rustedowl). КМБУ. Мои эмоции по поводу можно обрисовать примерно вот такой картинкой.
... Чё-то я взял и проспал очередной Яндекс NextHop. Хотел посмотреть трансляцию, но работой накрыло. Говорят, они там выложили в OpenSource некую вундервафлю под названием "Аннушка" чтобы рулить конфигурациями сетевого оборудования. Типа, некая альтернатива Ansibl-у. Кто-нибудь уже попробовал?
Я вот не совсем понимаю. Одно время тот же Яндекс очень активно топил за SDN (software-defined networking). А теперь вдруг бросился всякие "Аннушки" разрабатывать. Хм, а что случилось?
... Негодую на тему размера некоторых приложений под Android. Например, вот.
И ладно бы это была какая-нибудь игрушка. Но это же просто по сути веб-страничка чтобы проверить баланс счета. Теперь что, в каждое приложение в обязательном порядке свой собственный браузер пихают что ли? А если на смартфоне нет 5 ГГц Wi-Fi? М-дя, понапишут г..на...
... Другое приложение, СберЗвук, прямым текстом потребовало у меня включить VPN, бггг. А говорят, что какой-то там закон есть, который требует не упоминать эти три ругательные буквы всуе.
... Заметили сильную деградацию у одного заказчика, ОПСОС из одной бывшей союзной республики. Смотрим: снова лютые потери пакеты в канале аж до 50%. Спрашиваем, мол, что случилось. Ответ смешной и грустный одновременно: "Резервный канал лёг, основной перегружен". М-дя, российским ОПСОСам пока ещё есть куда падать. Хочется верить, что у нас до такого всё-таки не докатится. Но тенденции пугают-с.
... Один разработчик из конторы уехал на зиму в тёплый солнечный Тайланд. И обнаружил, что не может получить доступ к ряду российских сервисов, в том числе к тому же Сберу. Пришлось городить для него решение с точкой выхода в России. Но как зарулить туда N устройств, включая ноутбук и всякие специфичные железки? Не-рутованный Android не умеет направлять в VPN "чужой" трафик. Посоветовал ему приобрести "на месте" вот такое, там внутри OpenWRT "из коробки". Он так и поступил. Ничего не пришлось перепрошивать, всё завелось как задумано. Есличо, имейте в виду.
... Посмотрел внимательно, жулики из прошлого поста мне звонили с вацапа, привязанного к номеру Tele2-Волгоград. Ведь берут же где-то российские SIMки, черти, несмотря на все запреты, ограничения и меры контроля. Стало быть, неэффективны все эти методы борьбы (кэп просил передать).
... Встретил на районе хаски, абсолютно белую без единого пятнышка суку с голубыми глазами возрастом 10 лет. И разожранную настолько, что еле ходит, особенно учитывая поврежденную заднюю лапу (умудрилась порвать сухожилие). Хозяйка говорит, тырит со столов и жрёт абсолютно всё, даже бумажные полотенца (!). М-дя. Похоже, мне с собаками ещё сильно повезло. Мои псины такого себе близко не позволяют. Поклянчить, мордой потыкаться, помяукать — это завсегда. Поесть без строгого контроля с их стороны невозможно. Но чтобы они сами что-то со стола взяли, пока ни разу не было. Хотя чисто технически для них это вообще ни разу не проблема.
... Как-то возвращались домой с прогулки. Отвлёкся на мелкого, а рыжая чё-то затупила и не вышла из лифта, двери закрылись. Я представил себе картину маслом: кто-то из соседей вызывает лифт, он приезжает, двери открываются — а там собака, да ещё и чисто внешне максимально похожая на волка. Какую-нибудь бабульку запросто может кондратий хватить на месте.
Всем хороших новостей и удобных приложений.
IPSec Best Practice
Что-то мы разговорились с rustedowl на тему IPSec. И он меня в процессе спросил, а бывают ли какие-нибудь Best Practice применительно к IPSec. Что ж, спрашивали — отвечаем. Все нижеизложенное является сугубо моим личным мнением, выстраданным хождением по многочисленным граблям, не обязано совпадать с рекомендациями IETF, учебниками по Cisco и бла-бла-бла. Но сперва освещу некоторые общие моменты, связанные с техническим прогрессом. Это что-то из серии "а мужики и не знали".
- 99% случаев использования IPSec — это тоннельный режим. Транспортный сейчас не то что нигде не используется, но и большинством сетевых железок тупо не поддерживается. Для кого-то это очевидно, для кого-то нет.
- IKEv2 принес с собой многие полезные фичи, среди которых: поддержка эллиптических кривых в первой фазе, поддержка AEAD-шифров во второй фазе, всевозможные Configuration Payload (некий аналог DHCP), multi-child SA, childless SA, автоматическое сужение IP-диапазона криптодомена при несоответствии и тому подобное. Глупо отказываться от такого праздника жизни, если железки с двух сторон всё это умеют. Если не умеют — это уже второй вопрос, профессор ©.
- Соответственно, если есть возможность использовать IKEv2, то всякие проприетарные расширения протокола наподобие Cisco XAuth, и прочие "агрессивные режимы" уверенным маршем отправляются на свалку истории. Последний дык вообще давно признан небезопасным и по-хорошему не должен нигде использоваться.
- Всякие GRE over IPSec и прочие L2TP over IPSec тоже давно и уверенно обитают на свалке истории, за исключением всяких сильно экзотических случаев, когда надо через IPSec пропустить не IP-шный стек протоколов или подключить какую-то откровенную некрофилию. Но это прям редкость-редкость.
- В Linux-е примерно с 5-й версии ядра появились XFRM-интерфейсы. Это намного удобнее, чем всё остальное, поэтому при прочих равных не стоит игнорировать такую возможность.
- С тех пор, как современные железки научились в Route-Based (он же VTI-based) подход, всё остальное потеряло какой-либо смысл. По страшному секрету, когда в том же Juniper-е конфигурируешь тоннель политиками firewall-а, "под капотом" он всё равно, никому не показывая, делает route-based.
- В цисках и всяких прасти хоспади Checkpoint-ах есть возможность построить тоннель так, что IP-адрес "внешнего конца" совпадает с адресом "внутреннего конца". Так вот, никогда так не делайте, хотя соблазн весьма велик. Владельцы других железок вас проклянут на месте.
- В тех же цисковских учебниках есть разделы "как настроить резервирование тоннелей при помощи DPD (dead-peer-detection)". Так вот, тоже никогда так не делайте. Резервирование — это когда у вас есть два (или больше) одновременно и постоянно работающих тоннеля и какая-нибудь "динамика" внутри них (BGP, OSPF, RIP, whatever). Всё остальное — изврат и порнография.
- Не убирайте IPSec-терминаторы за NAT. Любимое развлечение мамкиных "бизапасников". Не уподобляйтесь всяким кретинам.
- Всякий раз напоминаю: Security Association (криптодомен), маршрут (route) и правило фильтрации (firewall rule) — это не муж и жена, а три вообще никак не зависящих друг от друга сущности. "Мамкины бизапасники" меня постоянно вымораживают тем, что не способны отделить одно от другого.
С учётом вышесказанного можно уже вынести конкретные рекомендации. Но при условии, что с двух сторон находятся достаточно современные железки под управлением достаточно пряморуких инженеров.
- Используйте IKEv2 плюс самые злобные шифры, которые только умеют железки с двух сторон. Обычно это ECP384 для первой фазы и AES-256-GCM для второй. Для AEAD-шифров AH (хеши) не нужны, сэкономите на MTU.
- По Lifetime — 8 часов для первой фазы, 1 час для второй. Вполне разумный выбор для подавляющего большинства применений.
- Всегда отключайте Lifebytes, PFS (perfect forward secrecy), DPD (Dead Peer Detection), Idle Timeout. От них больше вреда, чем пользы.
- По мере возможности используйте "честные" прямые IP для IPSec-терминаторов. Если у вас предусматривается авторизация клиентов / пиров и по X509-сертификатам, и по PSK — разносите их по разным IP-адресам. Если должно быть несколько разных инстансов (например, с разными CA), где IP вражеской стороны заранее неизвестен, то их тоже надо разносить по разным локальным IP-адресам.
- Всегда назначайте маршрутизатору / терминатору IP-адрес на интерфейс "внутреннего конца" тоннеля (а-ля xfrm0 / st0.0 / VTI) с префиксом не у́же чем "/30", причем обязательно отличающийся от "внешнего конца".
- Всегда используйте криптодомен (он же IPSec SA, он же Proxy-ID) вида "0.0.0.0/0,::0/0" с обеих сторон, а доступы до конкретных хостов / подсетей разруливайте отдельно через статические / динамические маршруты и правила Firewall-а или ACL.
- После успешного строительства тоннеля проверяйте как через него хотят толстые пакеты с флагом "don't fragment". Возможно, придется где-то шаманить с MTU / MSS. В идеальном мире маршрутизаторы / терминаторы не должны заниматься фрагментацией / пересборкой таких пакетов. Также проверяйте что везде доходят ICMP Fragmentation Needed.
- Ставьте тоннель на мониторинг любым сторонним инструментом наподобие Zabbix-а. Потому что маршрутизатор / терминатор сам не поймёт, что вторая фаза по каким-то причинам развалилась. Например, ситуация когда одна сторона уже инвалидировала сессионные ключи по DPD Timeout, а вторая ничего про это не знает, к сожалению, является скорее нормой чем исключением. Или скажем трафик первой фазы (UDP:500) проходит, а ESP — нет, такое тоже сплошь и рядом. Другими словами, не верьте тому что сам маршрутизатор говорит вам о состоянии тоннеля по SNMP, эти сведения недостоверны.
Всем прочных тоннелей.
И чтоб два раза не вставать. Посоветуйте пожалуйста открытую / бесплатную софтину чтобы собирать Netflow / JFlow и рисовать красивые отчетики на тему "какой мурзилка из сети скушал больше всего трафика за последнюю минуту / час / день / месяц" и какие должны быть вычислительные мощности для её работы. Спасибо.