Протокол TCP проектировали в семидесятых годах прошлого века, когда сеть обслуживала закрытые исследовательские кластеры. Доверие закладывали в архитектуру по умолчанию. Три шага установки соединения до сих пор обеспечивают надёжную доставку: клиент посылает пакет с флагом SYN и случайным начальным номером последовательности, сервер отвечает комбинацией SYN-ACK со своим номером, клиент завершает цикл подтверждением ACK. Сессия получает … Читать далее
«Интернет держится на двух версиях одного протокола: устаревшей, но доминирующей IPv4 и современной, но медленно внедряемой IPv6. Разница между ними, это не просто длина адреса, а фундаментальный сдвиг в архитектуре сети, который до сих пор не завершён из-за огромной инерции существующей инфраструктуры.» IPv4: основа, которая не должна была стать вечной Протокол IPv4, определённый в 1981 … Читать далее
“Сегментация часто воспринимается как простая настройка виртуальных сетей. Однако реальная защита начинается там, где вместо подсетей на сотни узлов вы управляете доступом между каждым сервисом и контейнером. Это не архитектура сети, а архитектура безопасности”. Что такое сегментация? Сетевая сегментация, это стратегия защиты, основанная на разделении единой инфраструктуры на изолированные логические блоки. Суть не в физическом … Читать далее
"Пакетная фильтрация, это не просто перечень разрешающих и запрещающих правил. Это низкоуровневый язык, на котором ваша инфраструктура ведёт диалог с внешним миром, где каждое правило, это жёсткое ограничение доверия. Частая ошибка — рассматривать её как статический барьер, в то время как это динамическая система контроля потока, эффективность которой определяется не количеством правил, а точностью их … Читать далее
«Сегментация, это не просто настройка VLAN и фаерволов. Это архитектурная дисциплина, которая заставляет задуматься, как должна течь информация в организации, и строить сеть как набор изолированных ‘островов’ с мостами строго заданной пропускной способности. В условиях 152-ФЗ это превращается из рекомендации в обязательный каркас защиты». Основы и зоны Сегментация сети, это разделение единой инфраструктуры на логически … Читать далее
«Теория сложных сетей даёт конкретные метрики для того, что раньше считалось просто «устойчивостью» инфраструктуры. Resilience и robustness, это не синонимы. Resilience, это способность восстановить функциональность после удара. Robustness — способность её сохранить под ударом. Первое похоже на иммунитет, второе — на бронежилет. И одно без другого в современной киберзащите не работает.» От простой надёжности к … Читать далее
“Обычно протоколы защиты данных показывают в виде таблицы сравнения. Я хочу показать SSL/TLS и IPsec как два инструмента, которые решают разные задачи, а не конкурируют за одну. Понимание их архитектуры — от заголовков до доверия — помогает делать осознанный выбор, а не просто следовать рекомендациям. Для российских специалистов важно учитывать, как эти технологии работают в … Читать далее
«DNS-логи часто воспринимают как простые списки запросов, но в них скрыт целый слой сетевых отношений, уязвимостей и тактик злоумышленников. Пристальный взгляд на формат полей и их контекст, это не рутина, а основа для построения реальной оборонной глубины». Что скрывается за строчками логов Записи DNS и прокси-серверов часто оказываются в фокусе при расследовании инцидентов. Однако их … Читать далее
«BGP и DNS обычно обсуждаются отдельно — один как протокол «нижнего» уровня для маршрутизации, другой как «верхний» сервис для имён. Но атаки и сбои последних лет показывают, что это разделение искусственное. На практике доступность веб-сайта или облачного сервиса зависит от того, как маршруты BGP сходятся к серверам с определёнными IP, а DNS-резолверы по цепочке доверия … Читать далее
«Проблема не в том, чтобы просто заменить старые адреса новыми. IPv6, это другой взгляд на сеть, где масштабируемость достигается не за счёт искусственных ограничений вроде NAT, а через архитектурную логику и избыток ресурсов. Он избавляет нас от многих костылей IPv4, но взамен требует переосмыслить привычные модели безопасности и управления.» Структура IPv6-адреса IPv6-адрес длиной 128 бит … Читать далее