Forwarded from NetDevOps Space
После опубликованного поста треда от Майкла Шона "Зачем #InfrastructureAsCode в сетевых технологиях?" началась оживленная дискуссия насколько все это возможно осуществить. И одним из высказываний было "покажите хотя бы как создать CI/CD".
Ответ не заставил себя долго ждать. JulioPDX выложил серию статей Building a Network CI/CD Pipeline, где постарался раскрыть тему.
1. Часть 1
2. Часть 2
3. Часть 3
Следущие части на подходе.
Насколько все реалистично выглядит судить вам.
Круто, мне нравится подход!- 🔥
Спорно, но обсуждаемо!-👍
Это не реально!- 😏
Хотите обсудить? Айда в чат - https://news.1rj.ru/str/automate_devnet
Больше ресурсов вы можете найти по хештегам:
#ci_cd
Ответ не заставил себя долго ждать. JulioPDX выложил серию статей Building a Network CI/CD Pipeline, где постарался раскрыть тему.
1. Часть 1
2. Часть 2
3. Часть 3
Следущие части на подходе.
Насколько все реалистично выглядит судить вам.
Круто, мне нравится подход!- 🔥
Спорно, но обсуждаемо!-👍
Это не реально!- 😏
Хотите обсудить? Айда в чат - https://news.1rj.ru/str/automate_devnet
Больше ресурсов вы можете найти по хештегам:
#ci_cd
В WinBox и его протоколе общения с роутером перидически находят уязвимости. Часто эти уязвимости становятся точкой входа хакеров в инфраструктуру компании. Ещё чаще RouterOS начинает эксплуатироваться как часть ботнета. Ни того ни другого админам не хочется. А вот админить свой роутер винбоксом в большинстве случаев удобнее, чем через CLI.
Есть несколько способов решить эту проблему:
1. Фаервол. Разрешить доступ к порту винбокса только с доверенных адресов:
+ просто, легко дебажить
- не подходит для динамических адресов и случаев когда внезапно требуется подключиться к роутеру из кафе/гостиницы
2. Фаервол. Port-knocking:
+ быстро настраивается
- нужно помнить порядок подключения, если нужно расшарить подключение (дать доступ подрядчикам), то после придется менять алгоритм
3. SSH туннелирование
+ быстро настраивается, трафик шифруется в SSH
- в некоторых случаях нужен дополнительный софт
Первые два способа достаточно распространены и информацию по ним найти не составит труда.
Есть несколько способов решить эту проблему:
1. Фаервол. Разрешить доступ к порту винбокса только с доверенных адресов:
+ просто, легко дебажить
- не подходит для динамических адресов и случаев когда внезапно требуется подключиться к роутеру из кафе/гостиницы
2. Фаервол. Port-knocking:
+ быстро настраивается
- нужно помнить порядок подключения, если нужно расшарить подключение (дать доступ подрядчикам), то после придется менять алгоритм
3. SSH туннелирование
+ быстро настраивается, трафик шифруется в SSH
- в некоторых случаях нужен дополнительный софт
Первые два способа достаточно распространены и информацию по ним найти не составит труда.
Разберем третий.
Сначала нужно включить SSH форвардинг на роутере:
После чего подключаемся WinBox'ом на локалхост. При этом фаерволом роутера можно закрыть подключение на порт винбокса (TCP 8291) со всех адресов, кроме 127.0.0.1.
Если в строке подключения ssh указать вместо 127.0.0.1 другой адрес (который есть у роутера - например, фиктивный адрес бриджа), то в Active Users будем видеть этот адрес. Это можно использовать для логирования действий юзера. Нужно толкьо разобраться как (и возможно ли) разрешать разным юзерам подключаться с разных адресов.
Пока писал это, идея реализзации такого пришла, но пока выглядит сложновато. Может подписчики посоветуют как реализовать такое проще. И вообще, как вам идея такой секурности?
P.S.: проверял с Ubuntu. Под виндой должно работать с PuTTY. Для маков ограничений не вижу
Сначала нужно включить SSH форвардинг на роутере:
/ip ssh set forwarding-enabled=local
Коннектимся к роутеру по SSH. Не забывайте при этом использовать авторизацию по ключам - это самый безопасный способ. При коннекте по SSH указываем опцию форвардинга портов (ssh -L 8291:127.0.0.1:8291 admin@router.bubnovd.net)После чего подключаемся WinBox'ом на локалхост. При этом фаерволом роутера можно закрыть подключение на порт винбокса (TCP 8291) со всех адресов, кроме 127.0.0.1.
Если в строке подключения ssh указать вместо 127.0.0.1 другой адрес (который есть у роутера - например, фиктивный адрес бриджа), то в Active Users будем видеть этот адрес. Это можно использовать для логирования действий юзера. Нужно толкьо разобраться как (и возможно ли) разрешать разным юзерам подключаться с разных адресов.
Пока писал это, идея реализзации такого пришла, но пока выглядит сложновато. Может подписчики посоветуют как реализовать такое проще. И вообще, как вам идея такой секурности?
P.S.: проверял с Ubuntu. Под виндой должно работать с PuTTY. Для маков ограничений не вижу
Mikrotik Ninja
https://privacy.sexy/ Enforce privacy & security on Windows and macOS #security #privacy #windows
GitHub
GitHub - undergroundwires/privacy.sexy: Open-source tool to enforce privacy & security best-practices on Windows, macOS and Linux…
Open-source tool to enforce privacy & security best-practices on Windows, macOS and Linux, because privacy is sexy - undergroundwires/privacy.sexy
Много пишут о том как сдать экзамены, как к ним готовиться, что читать. А я написал о том, что ждет вас в процессе самого экзамена. Да, запустить экзамен не проще, чем подготовиться к нему. Надеюсь, я один такой счастливчик =)
Medium
Что плохого в сдаче экзаменов AWS из дома
Недавно я сдал экзамен AWS Solutions Architect Associate SAA-C02. Несмотря на наличие в рунете хороших статей о подготовке и сдаче этого…
Forwarded from DOFH - DevOps from hell
Код для переключения двух Ethernet провайдеров с адресами по DHCP для Mikrotik с отчётами в телегу
Forwarded from Українська девопсарня (Seva Poliakov)
Статья о том как нам самом деле работают X.509 сертификаты. Очень хорошее чтиво чтобы решить наконец-то разобраться, начать читать, отложить немного на потом и никогда не вернуться. https://darutk.medium.com/illustrated-x-509-certificate-84aece2c5c2e
Я прям несколько раз прикладывал усилия чтобы сразу прочитать, а не откладывать.
Я прям несколько раз прикладывал усилия чтобы сразу прочитать, а не откладывать.
Medium
Illustrated X.509 Certificate
Introduction
Forwarded from TechSparks
Сегодня у нас на YAC/e было немало разных анонсов, но в тему этого канала, похоже, один.
Выложили в открытый доступ онлайн-учебник по машинному обучению от ШАД.
Он:
- освежит знания о важных для машинного обучения разделах математики;
- объяснит, как учить модели и оценивать их качество;
- даст представление о том, как ML применяется на практике;
- расскажет о подходах к осмыслению принципов работы нейросетей и о том, какие идеи глубинного обучения сильнее прочих повлияли на развитие ML-отрасли.
Для начала доступна лишь базовая часть учебника; новые главы будут опубликованы позднее, поэтому следите за обновлениями. И он того стоит ;)
https://academy.yandex.ru/dataschool/book
Выложили в открытый доступ онлайн-учебник по машинному обучению от ШАД.
Он:
- освежит знания о важных для машинного обучения разделах математики;
- объяснит, как учить модели и оценивать их качество;
- даст представление о том, как ML применяется на практике;
- расскажет о подходах к осмыслению принципов работы нейросетей и о том, какие идеи глубинного обучения сильнее прочих повлияли на развитие ML-отрасли.
Для начала доступна лишь базовая часть учебника; новые главы будут опубликованы позднее, поэтому следите за обновлениями. И он того стоит ;)
https://academy.yandex.ru/dataschool/book
И ещё один интересный блог о сетях и ИТ
У автора много интересных лаб. Рекомендую почитать!
#networks #lab #link
У автора много интересных лаб. Рекомендую почитать!
#networks #lab #link
www.labnfun.ru
Lab and fun!
Блог о сетевых технологиях. MPLS, System Analysis, Legacy protocols и многое другое.