https://asnokaze.hatenablog.com/entry/2021/01/29/014759
こういう攻撃があるのねえ。
とりあえずメモ
VPNは実装がとてもとても多いのと、どんなときもどんなケースでもちゃんと動く、というのはあまりないのよね。
セキュリティも考え出すときりがないし、接続方法によってはネットワーク的知識とか設計が必要になるし。
要は銀の弾丸はないんだけど、今のところ5択ぐらいか?
- 操作とか設定方法に癖があるけど、偏執的にしっかり実装してる SoftEther でがんばる。
- ナウくてシンプルな WireGuard でドヤる
- メーカーとかクラウドベンダとかがサポートしてくれるもので頑張る
- 泣きながらIPsecとかの標準化されたプロトコルで頑張る
- ユースケースが限られるなら、sshトンネルとかで限定的なトンネルを掘ってなんとかする。
良いIPAM(構成管理)ツールないの?、とCONBU OBのSlackで聞いたら教えてもらった。
https://github.com/netbox-community/netbox-docker
docker-composeでサクっと立ち上がるのが素敵。
APIで情報の追加ができたり、Ansibleで操作ができたり、なかなか良さそう。
ただ基本的な情報を入れるのはやっぱり面倒。
CISCOルータセット基本セット、とか、そういうテンプレート集が欲しい。
誰か作ってないのかなあ。
https://golden-lucky.hatenablog.com/entry/2019/01/31/150740
そういえば学生向けの資料を作らないといけないんだよねえ。
ここに書いてある構成案は悪くないような気がしている。
第1章 ウェブの概要
第2章 HTTP
第3章 インターネットの信頼モデルと認証付き暗号
第4章 QUICとその一部としてのTLS
第5章 トランスポートの信頼性に関するさまざまな技術
第6章 IPv6の概要
とりあえずメモとして書いておく。
http://yuyarin.hatenablog.com/entry/2021/01/11/152109
yuyarinが翻訳してくれた。
後で読んでおこうメモ。
備忘録としてメモ
インストール
sudo apt install lldpad
インストール後に自動的に起動される。
lldpadのステータス確認。
sudo systemctl status lldpad.socket
sudo systemctl status lldpad.service
LLDPを送受信できるように設定
sudo lldptool set-lldp -i <インターフェース名> adminSatus=rxtx
LLDPの送受信状態の確認
sudo lldptool get-lldp -i <インターフェース名> adminSatus
インターフェースのLLDPステータス確認。
lldptool stats -i <インターフェース名>
プロジェクトルーム内にネットワーク機器が増えてきたので、LLDPでネットワーク図を作ってくれるツールない?、と某Slackで聞いたら、青山さんに教えてもらった。
http://skydive.network/index.html
https://github.com/skydive-project/skydive
ちょっといじってみた感じでは、スイッチ機器で作ったネットワークを可視化するのには向いてないかな。
でも、仮想化ホスト内のネットワークを調べる目的なら、ものすごく強力。
セットアップも簡単で docker-compose.yml だけを拾ってきて実行すれば、
すぐにダッシュボードを見ることができる。
実行した機器のアイコンをクリックすると内部のネットワークが展開されるのがすごく格好良い。
仮想ホストにはとりあえずこれ入れとくと便利じゃないか、と思った。
渋谷のソラスタという新しいビルでAristaのハンズオンセミナーを受講してきた。
AWS上に各人が自由にいじれるAristaの仮想環境が用意されていて、それを使って
- BGPの設定
- VXLANの設定
- EVPNの設定
- Ansibleによるオペレーション
- Cloud Visionによるオペレーション
を丸1日でやってしまう、というヤバイセミナーだった。
素人には絶対無理。
- CISCOルータ操作経験必須。
- ある程度のネットワーク知識必須。
- サーバオペレーション経験必須。vi使えなきゃ駄目。
- リアルな運用の現場知識必須
という感じ、だったのに、80人ほどの受講者で脱落してそうな人はいない。
受講者もヤバかった。
すごく勉強にはなった。
そして、おやつもランチもおいしかった。
でも、適当に内職しようと思ってたけど、全然できなかったよ。
http://www.publickey1.jp/blog/13/chefenterprise_chef5windows.html
メーカーが協力してくれるならうまい仕組みが実現できるのかしら?
スイッチの config のやり方や考え方はメーカーによってかなり違うからねえ。
手順は統一化できても、データスキーマはどうしても違ってくるもんだし。
http://www.janog.gr.jp/meeting/janog32/weathermap.html
中野さんの力作。
実際に使用した conf も公開している。
アニメーションgifもとっても素敵。
恰好良いので、ここにも貼らせてくださいまし。
https://web.archive.org/web/20180703134403/http://tsuchinoko.dmmlabs.com/
DMM.com のエンジニアはどこにいるんだよ、
ツチノコかよ、というブログがあったんだけど
呼ばれたので出てきたらしい。
なかなか表に出てこないツチノコとDMM
http://cpplover.blogspot.jp/2013/05/dmm.html
DMM.com の技術的特徴は以下かしら。
- DRMによる認証付きの動画配信を昔からやってる
- 大規模イベント中継の実績も豊富
- 物品、コンテンツ購入、のEコマースの仕組みを持っている
- 沢山のユーザがいてシングルサインオンの仕組みも持っている
- サービスが次から次へと増えていっている
- 半額キャンペーンなどのスパイクトラフィックもさばいている
- 最近はゲームも始めた
個々の要件をちゃんと実現するのは結構大変で、
それなりに沢山のノウハウを持ってるのよね。
書いてるのは、実はDMM.comのインフラの偉い人で、
仕事でも大変お世話になっております。
すでにいくつかディープなことが書いてあるけど、
さらにどんどん発信されるはず。
ですよね???w
http://www.seirios.org/~seirios/dokuwiki/doku.php?id=networkapp%3Apfsense
さくらのクラウドにも pfSense のイメージがあるので、
試してみようかしら、と思ってたら、タイムリーに許さんが
インストール手順をまとめてくれてる。
ありがたや。
普通にファイアウォールとして使えて、
- 国単位で通信を止められる
- Snort が入ってる
あたりはわりと便利かも。
http://www.sdnjapan.org/outline/
とりあえず申しこんだ。
ただ、このURLはイケてないと思う。
継続的に来年も活動するつもりだったら、2013とかそういうのを
URLに入れるべきかと。
URLの永続性ってやつね。
URL設計のガイドラインはいろいろあるけど、
このへんとかがまとまってるかな↓
URL最適化5つのSEOポイント
http://web-tan.forum.impressrd.jp/e/2009/05/28/5592
http://www.geekpage.jp/programming/ruby-network/udp.php
Rubyを使ったネットワークプログラミングのサンプル。
これを見て、Rubyって楽だなあ、っていう話が流れてた。
でも bash で送信ならもっと簡単。
echo MESSAGE > /dev/udp/HOST名/PORT番号
これだけ。
bash ができるなら zsh はもっと素敵?、って思うけど、
残念ながら zsh では UDP を上手く扱うことができない。
ただ、TCP はもっと素敵なモジュールがある。
zmodload zsh/net/tcp
これで tcp モジュールをロードすると ztcp コマンドが
使えるようになって、ちょっとしたテストをするのにこれはなかなか便利。
使い方↓
http://cims.nyu.edu/cgi-systems/info2html?%28zsh%29The%2520zsh%2Fnet%2Ftcp%2520Module
http://itpro.nikkeibp.co.jp/article/NEWS/20120802/413705/
地味にいいな。
http://d.hatena.ne.jp/stereocat/20120729/1343553348
みんなあんまりmax-metric使ってないのね。ciscoで言うところのrouter ospfで
"max-metric router-lsa on-startup wait-for-bgp"って呪文を入れとくと、
BGPの収束までOSPF的に迂回してくれてGood! #janog
なんかこれ知ってれば防げそうな事故があったようななかったような。
シリアルケーブルで繋いで
enable
configure
do restore-default
で初期化できる。
こういうノウハウは使わないにこしたことないんだけど。
関連)
Windows Server の分からなくなったパスワードをリセットする --> [2012-07-29-5]
Allied telesis CentreCOM GS924M のパスワードをリセットしたい! --> [2012-08-01-1]
コンソールポートにRS232のシリアルケーブルを接続して、
...
電源投入時にCtrl+Cを押しっぱなしにするとCFEブートのプロンプトで
入力出来るようになるので、factresetと入力してEnter。
*** command status = 0が帰ってきたらbootと入力してEnter。
Returned to the initializeation.で止まったら、Enter。
Ctrl+C を押しながら電源ケーブルを刺すのがコツ。
こういうノウハウは使わないにこしたことないんだけど。
関連)
Windows Server の分からなくなったパスワードをリセットする --> [2012-07-29-5]
DELL PowerConnect 28xx をシリアスポート接続で初期化する --> [2012-08-01-2]
INTEROPの合間に、森田さんとお茶。
世間話をしながら、最近の光スイッチの動向について聞いた。
- 技術は進歩しており、伝送量も増えている。
- 光を溜めておく技術はまだない (NICTの人も言ってた)
- ルータのバックプレーンで使われるようになるはず。今年はまだ出てないけど。
いろいろなところに納品している。
- 韓国や中国との競争が大変。
10年前、10年後は光スイッチが主流になるんだろうな、と思ってたけど、
残念ながらそうはなってないのよね。
光の扱いはまだ難しい上、電気の性能がどんどん上がってる。
それでもルータのバックプレーンなんかだと限界は見えてきているように思う。
光はサーキットを作っておいて、そこに流す、という形でコントロールするしかなく、
コントロールプレーンとデータプレーンが分離している。
ひょっとすると、OpenFlowと相性が良いのかもな、と思った。
関連)
富士通研、転送速度25Gbpsを実現する小型光トランシーバ技術を開発 --> [2012-06-01-2]
http://www.itmedia.co.jp/news/articles/1206/12/news076.html
Skeedは「Winny」開発者として知られる金子勇氏(Skeed創設者/社外取締役)の
協力のもと、「TCPでは使いきれていなかった帯域をアグレッシブに使える」
という独自プロトコル「SSBP」を開発。
SSBPではTCPと比較し、通信距離が長い場合や回線品質が低い場合の通信が
「ものすごく速くなる」(金子氏)という。
面白そう。
でも、アグレッシブすぎると途中で絞られたりしないかしら?、とか思った。
追記)
SSBPの解説は以下にあった。
http://www.skeed.co.jp/tech/skeedsilverbullet/technology.html