Проблемы велосипедостроения известны более 20 лет как
По поводу шифрования — ГОСТ симметричный и использует s-boxы насколько я помню. Это значит что шифрует и дешифрует он за известное и одинаковое время. Да, без аппаратного ускорения это медленнее, но все равно время детерминированное. На днях попробую крутануть openssl в режиме benchmark с гост на arm - даже интересно стало
Что до линукса, но сетевая подсистема у него настолько вылизана уже, что даже самое дешевое железо выдает line rate не напрягаясь и сильно не напрягая платформу.
поэтому и кажется что все подобные «решения» несуществующих проблем чистой воды ИБД. Показав бурную деятельность какой нибудь сверхзакрытой дипломной комиссии вероятно можно получить плюшек например….
Так может "мировые лидеры-разработчики телеком-оборудования" делают все проще и правильнее: обрабатывают трафик по приоритетам ДО шифратора, выдают шифратору набор пакетов В ПРАВИЛЬНОЙ последовательности согласно приоритетам и ограничениям очередей а шифратор тупо берет пакеты, шифрует их и отсылает получателям? В чем вундервафельность то? В усложнении блока шифратора путем внедрения в него еще одного механизма приоритизации? Зачем? В переносе информации о шифрованных пакетах ЧЕРЕЗ ШИФРАТОР в "блок наружней маршрутизации" (что бы это не значило)? А тов. полковник о таких фривольностях знает?
Да и в современном мире говорить о каких-то титанических нагрузках на шифраторы как-то стыдно чтоли -- какая нибудь малинка за полкопейки может line rate или даже больше....
Я последний раз с такими "изделиями" лет 18-19 назад имел дело. Видимо, и к огромному сожалению, они так и не вышли из зоны "велосипедоизобретения" и как были устройствами для ИБД так и остались. Только административного давления теперь в разы больше, и возможностей получить степень за счет "решения" проблем выдуманных для "более современным криптошлюзам из-за более сложной архитектуры"..... Жалко и обидно.....
"Но в криптошлюзах с архитектурой как на рис. 3 весь защищаемый трафик между внутренними и внешними сегментами сети продвигаетсячерез шифратор (Ш), где потоки данных, исходящие во внешний сегмент сети, зашифровываются, а входящие – расшифровываются. Поэтому трафик по механизму очередей нужно обрабатывать не только на выходе маршрутизатора, но и на выходе из шифратора(блока криптографической обработки) с учетом его пропускной способности как отдельного виртуального интерфейса."
Так и не понял зачем?!?!? Те самые "мировые лидеры-разработчики телеком-оборудования" да и мировые лидеры в стандартописании в целом не идиоты и за ними довольно пристально следит целая армия крпто и телеком-спецов чтобы все было безопасно. В частности если передавать что-то криптозакрытое, то не стоит давать потенциальному слушателю возможность понять что часть трафика более приоритетна а если уж надо прям приоритетно и не приоритетно что-то передавать между точками ничего не мешает организовать ДВА SA (Security Association) и одному из них добавлять TOS/DSCP после шифрования.
Кстати, а эти отечественные изделия между собой хоть как-то совместимы?
ЕМНИП, в 2012-м было несколько поездов с WiFi и комбинированными системами 3G/4G модемов и VSAT-терминалом. Никаких ужасных сложностей ибо, как показал опыт эксплуатации, как механические антенны VSAT так и ФАР-ы (использовались оба типа VSAT-терминалов) вполне справлялись.
Логика системы была такая -- пока есть покрытие хоть одного из трех сотовых операторов, шлюз в интернет использовал их. Когда оно пропадало, происходил fall back на VSAT (трафик VSAT ощутимо дороже чем через сотовиков)
Системы эксплуатировались не самим РЖД а сторонними операторами (РуСат-ом в частности). Заглохло все когда РЖД понял что вроде работает и решил сам начать эксплуатацию, насколько я помню....
Если совсем коротко -- удобный комбаин для автоматизации, который прямо из коробки умеет 2 порта 485/MODBUS, 2 порта ethernet, wifi, 1-wire, (опционально) сотовый модем, и многое другое. У него на борту линукс и свой софт для скриптования действий, что позволяет интегрировать его в современные системы мониторинга, журнализации и т.д. Также производитель продает кучу разной периферии, работающей по MODBUS и не только
С сименсом дела не имел, но, подозреваю что преимущество в цене и универсальности. Недостатки -- это не real-time устройство, поэтому управлять процессами с миллисекундными точностями я бы на нем не стал. А для умных домов дач и энергоуправления на объектах -- более чем удобная железка
В любом случае GPS, ГЛОНАС, Galileo, BeiDu сидят не на геостате а сильно ближе и вполе себе рабоотают. ЕМНИП основная сложность в таких системах -- держать бортовые часы как можно более синхронизированными на всей группировке, так как все что они передают это сигнал точного времени..
"Большое количество "старых" спутников связи и навигации находятся на геостационарных орбитах" -- навигационные спутники очень далеко от геостата, да и для них это не имеет никакого значения так как задержка сигнала не сильно влияет на качество позиционирования
"Десятки Мбпс K-band" -- Наверное имелся ввиду Ka-диапазон а не K-диапазон. Вот даже статья по ссылке про него и говорит. Кроме того, речь идет о линии "абонент-хаб", тогда как довольно давно нет никаких проблем организовывать сотни Мбит/с на линии "хаб-абонент" а с появлением на орбитах HTS новейших поколений с транспондерами в 200+ Мгц то и Гбит/с на линии "хаб-абонент" не являются проблемой для современных систем спутниковой связи.
Ну или единица измерения в Мбпс как-то по-другому определяется :-)
Сдается мне что тайминг покупки и разгона всех цензоров как-то очень подозрительно подогнан к выборам 8-ого ноября. Ослабевшая цензура позволит накидать значительно больше дезы на вентилятор, а после 8-ого можно и обратно отпедалировать, если все удачно пройдет....
Я бы не хвастался что "Запись вебинара по Ansible, который ШЁЛ 5 ЧАСОВ!" Лично выдержал 1:30 этого потока сознания. Докладчик, безусловно, может ansible, но докладчиком не является и/или не подготовился к эфиру от слова "совсем" :-( Досматривал стрим на следующий день включив x2 и жалея что нет x2.5
Да, сам был немало удивлен, с учетом высокой популярности бренда, но увы, не умеет он L2TP клиента
Что до использования wireguard-а, и, тем более, бета-прошивок, то я пока потерплю :) WG штука, конечно, модная, но поддерживается далеконе все что у меня в хозяйстве есть а микротики были замечены в ломании вполне работающих вещей даже в stable коде, так что они могут накрутить в бетах я себе даже боюсь представить :)
Эксплуатация OpenVPN/tcp на флоте из 50+ устройств показывает, что производительности вполне хватает для задач управления, а в случае девайсов типа 4011 можно и FullHD кино посмотреть через такое соединение
Если тик был настроен по умолчанию до начала работ, то настройки фильтрации ната и прерутинга сильно избыточны -- ipsec policy отрабатывается сильно раньше чем правила фильтрации и ната.
Было бы неплохо перед обновлением прошивки сменить канал на long-term - микротики известны ломанием вполне работающего функционала в канале stable без признаков в release notes:
/system package update set channel=long-term
А про ssh-сервер было бы неплохо выключить простое и нулевое шифрование:
/ip ssh set strong-crypto=yes allow-none-crypto=no
"Стоимость производимой энергии ветряными турбинами с 2008 года сократилась с $ 1,8 тыс. за киловатт до $ 800." <sarcasm> Богатые же чуваки живут в США что готовы покупать электричество по $800 за киловатт....</sarcasm> В источнике речь о ценах за ветряк вообще-то
Проблемы велосипедостроения известны более 20 лет как
По поводу шифрования — ГОСТ симметричный и использует s-boxы насколько я помню. Это значит что шифрует и дешифрует он за известное и одинаковое время. Да, без аппаратного ускорения это медленнее, но все равно время детерминированное. На днях попробую крутануть openssl в режиме benchmark с гост на arm - даже интересно стало
Что до линукса, но сетевая подсистема у него настолько вылизана уже, что даже самое дешевое железо выдает line rate не напрягаясь и сильно не напрягая платформу.
поэтому и кажется что все подобные «решения» несуществующих проблем чистой воды ИБД. Показав бурную деятельность какой нибудь сверхзакрытой дипломной комиссии вероятно можно получить плюшек например….
Так может "мировые лидеры-разработчики телеком-оборудования" делают все проще и правильнее: обрабатывают трафик по приоритетам ДО шифратора, выдают шифратору набор пакетов В ПРАВИЛЬНОЙ последовательности согласно приоритетам и ограничениям очередей а шифратор тупо берет пакеты, шифрует их и отсылает получателям? В чем вундервафельность то? В усложнении блока шифратора путем внедрения в него еще одного механизма приоритизации? Зачем? В переносе информации о шифрованных пакетах ЧЕРЕЗ ШИФРАТОР в "блок наружней маршрутизации" (что бы это не значило)? А тов. полковник о таких фривольностях знает?
Да и в современном мире говорить о каких-то титанических нагрузках на шифраторы как-то стыдно чтоли -- какая нибудь малинка за полкопейки может line rate или даже больше....
Я последний раз с такими "изделиями" лет 18-19 назад имел дело. Видимо, и к огромному сожалению, они так и не вышли из зоны "велосипедоизобретения" и как были устройствами для ИБД так и остались. Только административного давления теперь в разы больше, и возможностей получить степень за счет "решения" проблем выдуманных для "более современным криптошлюзам из-за более сложной архитектуры"..... Жалко и обидно.....
"Но в криптошлюзах с архитектурой как на рис. 3 весь защищаемый трафик между внутренними и внешними сегментами сети продвигается через шифратор (Ш), где потоки данных, исходящие во внешний сегмент сети, зашифровываются, а входящие – расшифровываются. Поэтому трафик по механизму очередей нужно обрабатывать не только на выходе маршрутизатора, но и на выходе из шифратора (блока криптографической обработки) с учетом его пропускной способности как отдельного виртуального интерфейса."
Так и не понял зачем?!?!? Те самые "мировые лидеры-разработчики телеком-оборудования" да и мировые лидеры в стандартописании в целом не идиоты и за ними довольно пристально следит целая армия крпто и телеком-спецов чтобы все было безопасно. В частности если передавать что-то криптозакрытое, то не стоит давать потенциальному слушателю возможность понять что часть трафика более приоритетна а если уж надо прям приоритетно и не приоритетно что-то передавать между точками ничего не мешает организовать ДВА SA (Security Association) и одному из них добавлять TOS/DSCP после шифрования.
Кстати, а эти отечественные изделия между собой хоть как-то совместимы?
ЕМНИП, в 2012-м было несколько поездов с WiFi и комбинированными системами 3G/4G модемов и VSAT-терминалом. Никаких ужасных сложностей ибо, как показал опыт эксплуатации, как механические антенны VSAT так и ФАР-ы (использовались оба типа VSAT-терминалов) вполне справлялись.
Логика системы была такая -- пока есть покрытие хоть одного из трех сотовых операторов, шлюз в интернет использовал их. Когда оно пропадало, происходил fall back на VSAT (трафик VSAT ощутимо дороже чем через сотовиков)
Системы эксплуатировались не самим РЖД а сторонними операторами (РуСат-ом в частности). Заглохло все когда РЖД понял что вроде работает и решил сам начать эксплуатацию, насколько я помню....
Если совсем коротко -- удобный комбаин для автоматизации, который прямо из коробки умеет 2 порта 485/MODBUS, 2 порта ethernet, wifi, 1-wire, (опционально) сотовый модем, и многое другое.
У него на борту линукс и свой софт для скриптования действий, что позволяет интегрировать его в современные системы мониторинга, журнализации и т.д. Также производитель продает кучу разной периферии, работающей по MODBUS и не только
С сименсом дела не имел, но, подозреваю что преимущество в цене и универсальности. Недостатки -- это не real-time устройство, поэтому управлять процессами с миллисекундными точностями я бы на нем не стал. А для умных домов дач и энергоуправления на объектах -- более чем удобная железка
В любом случае GPS, ГЛОНАС, Galileo, BeiDu сидят не на геостате а сильно ближе и вполе себе рабоотают. ЕМНИП основная сложность в таких системах -- держать бортовые часы как можно более синхронизированными на всей группировке, так как все что они передают это сигнал точного времени..
Позанудствую немного :)
"Большое количество "старых" спутников связи и навигации находятся на геостационарных орбитах" -- навигационные спутники очень далеко от геостата, да и для них это не имеет никакого значения так как задержка сигнала не сильно влияет на качество позиционирования
"В данный момент, самый узкий радио-луч имеет угловую направленность около 2 градусов" -- непонятно что имелось ввиду под "угловой направленностью" так как даже для Ku-диапазона есть мелкие ФАР-ы (не сравнимые по размерам с приведенным монстром) с +- 2 градусами. (https://www.thinkom.com/wp-content/uploads/2022/06/thinair-ka1717-datasheet.pdf и https://www.thinkom.com/wp-content/uploads/2022/03/thinair-ka2517-datasheet.pdf например).
"Десятки Мбпс K-band" -- Наверное имелся ввиду Ka-диапазон а не K-диапазон. Вот даже статья по ссылке про него и говорит. Кроме того, речь идет о линии "абонент-хаб", тогда как довольно давно нет никаких проблем организовывать сотни Мбит/с на линии "хаб-абонент" а с появлением на орбитах HTS новейших поколений с транспондерами в 200+ Мгц то и Гбит/с на линии "хаб-абонент" не являются проблемой для современных систем спутниковой связи.
Ну или единица измерения в Мбпс как-то по-другому определяется :-)
Сдается мне что тайминг покупки и разгона всех цензоров как-то очень подозрительно подогнан к выборам 8-ого ноября. Ослабевшая цензура позволит накидать значительно больше дезы на вентилятор, а после 8-ого можно и обратно отпедалировать, если все удачно пройдет....
Я бы не хвастался что "Запись вебинара по Ansible, который ШЁЛ 5 ЧАСОВ!"
Лично выдержал 1:30 этого потока сознания. Докладчик, безусловно, может ansible, но докладчиком не является и/или не подготовился к эфиру от слова "совсем" :-(
Досматривал стрим на следующий день включив x2 и жалея что нет x2.5
Скрепграмм? Скрепограмм? Грамоскреп? :):)
И где же аутентификация по сертификатам?
Спасибо за статью. Который год тоже пытаюсь себя заставить OpenSCAD и каждый раз малодушничаю и запускаю Onshape или мазохирую во FreeCAD :-)
Недавно тут еще про одну поделку прочел: https://github.com/CadQuery/cadquery Может с ней попроще будет.... :-)
По прежнему tcp в ветках long-term и stable
Да, сам был немало удивлен, с учетом высокой популярности бренда, но увы, не умеет он L2TP клиента
Что до использования wireguard-а, и, тем более, бета-прошивок, то я пока потерплю :)
WG штука, конечно, модная, но поддерживается далеконе все что у меня в хозяйстве есть а микротики были замечены в ломании вполне работающих вещей даже в stable коде, так что они могут накрутить в бетах я себе даже боюсь представить :)
Эксплуатация OpenVPN/tcp на флоте из 50+ устройств показывает, что производительности вполне хватает для задач управления, а в случае девайсов типа 4011 можно и FullHD кино посмотреть через такое соединение
DH используется только при смене ключей и существенно на производительность трафика не влияют
Если тик был настроен по умолчанию до начала работ, то настройки фильтрации ната и прерутинга сильно избыточны -- ipsec policy отрабатывается сильно раньше чем правила фильтрации и ната.
Было бы неплохо перед обновлением прошивки сменить канал на long-term - микротики известны ломанием вполне работающего функционала в канале stable без признаков в release notes:
/system package update set channel=long-term
А про ssh-сервер было бы неплохо выключить простое и нулевое шифрование:
/ip ssh set strong-crypto=yes allow-none-crypto=no
"Стоимость производимой энергии ветряными турбинами с 2008 года сократилась с $ 1,8 тыс. за киловатт до $ 800." <sarcasm> Богатые же чуваки живут в США что готовы покупать электричество по $800 за киловатт....</sarcasm>
В источнике речь о ценах за ветряк вообще-то
Судя по статье, поддерживается "чистый" L2TP без использования IPSEc. И какой в этом глубинный смысл? Какую именно "безопасность" это должно повысить?