Zarejestruj się na Inna Sieć!
Masz już konto? Zaloguj się

📬 ISN 194: Certyfikaty IP, Grupowanie po ASN, Python dla Sieci i Architektura AI/ML!

Numer 194 to przegląd certyfikatów IP, efektywnego grupowania ruchu według ASN oraz podziału zadań w Pythonie. Poznaj też architekturę sieci dla klastrów AI/ML i uniknij błędów przy pierwszym wrażeniu online!
Rafał Rudewicz
8 min czytania
📬 ISN 194: Certyfikaty IP, Grupowanie po ASN, Python dla Sieci i Architektura AI/ML!

Certyfikaty dla adresów IP

We’ve Issued Our First IP Address Certificate
Since Let’s Encrypt started issuing certificates in 2015, people have repeatedly requested the ability to get certificates for IP addresses, an option that only a few certificate authorities have offered. Until now, they’ve had to look elsewhere, because we haven’t provided that feature. Today, we’ve issued our first certificate for an IP address, as we announced we would in January. As with other new certificate features on our engineering roadmap, we’ll now start gradually rolling out this option to more and more of our subscribers.
Let's Encrypt

Let's Encrypt, organizacja, która zrewolucjonizowała rynek certyfikatów SSL/TLS, właśnie ogłosiła wydanie swojego pierwszego certyfikatu dla adresu IP. Jest to funkcjonalność, o którą społeczność specjalistów IT zabiegała od lat, a która do tej pory była dostępna jedynie u kilku wybranych urzędów certyfikacji.


Do tej pory certyfikaty SSL/TLS były wydawane głównie dla nazw domenowych, co odzwierciedlało sposób, w jaki użytkownicy identyfikują usługi online. Jednakże w niektórych przypadkach posiadanie certyfikatu bezpośrednio dla adresu IP może być kluczowe.

Dlaczego certyfikaty dla adresów IP są rzadziej stosowane?
Istnieje kilka technicznych powodów, dla których certyfikaty dla adresów IP nie cieszyły się dotąd dużą popularnością:

Dynamiczna natura adresacji IP - Adresy IP mogą się zmieniać bez uprzedzenia, szczególnie w przypadku usług przenoszonych między dostawcami hostingu. Użytkownicy rozpoznają serwisy po nazwach domenowych, nie po adresach IP.
Słabsze poczucie "własności" - W przeciwieństwie do nazw domenowych, które są jednoznacznie przypisane do właścicieli, adresy IP często są przydzielane tymczasowo, zwłaszcza w przypadku użytkowników domowych z dynamicznymi adresami IP.
Współdzielenie adresów IP - W środowiskach wirtualnego hostingu wiele stron może współdzielić jeden adres IP, co komplikuje próbę nawiązania połączenia bezpośrednio z adresem IP.
Ograniczona użyteczność - Większość operatorów usług internetowych nie zakłada, że użytkownicy końcowi będą celowo łączyć się z ich serwisami bezpośrednio przez adres IP.

Zastosowania certyfikatów dla adresów IP

  1. Zabezpieczanie infrastruktury DNS over HTTPS (DoH)
    Jednym z najbardziej znaczących zastosowań będzie możliwość lepszego zabezpieczania serwerów DoH. Posiadanie certyfikatu znacząco ułatwia serwerom DoH potwierdzenie swojej tożsamości wobec klientów. To może umożliwić klientom DoH egzekwowanie wymogu posiadania ważnego, publicznie zaufanego certyfikatu podczas łączenia się z serwerami DoH.
  2. Zabezpieczanie tymczasowych połączeń w infrastrukturze chmurowej
    Dla zespołów DevOps i inżynierów sieciowych pracujących w środowiskach chmurowych, możliwość zabezpieczania efemerycznych połączeń między serwerami back-endowymi lub tymczasowych połączeń administracyjnych do nowych lub krótkotrwałych serwerów za pomocą HTTPS jest nieoceniona - pod warunkiem, że serwery te mają dostępny co najmniej jeden publiczny adres IP.
  3. Strony domyślne dla dostawców hostingu
    Z perspektywy dostawców usług hostingowych, certyfikaty dla adresów IP umożliwiają zabezpieczenie domyślnych stron, które są wyświetlane gdy ktoś wklei adres IP serwera do przeglądarki zamiast nazwy indywidualnej strony. Obecnie takie działanie zwykle powoduje błąd w przeglądarce związany z niezgodnością certyfikatu.
  4. Zabezpieczanie urządzeń IoT i NAS
    W kontekście zabezpieczania zdalnego dostępu do niektórych urządzeń domowych (jak serwery NAS czy urządzenia IoT), certyfikaty dla adresów IP mogą umożliwić szyfrowanie komunikacji nawet bez konieczności posiadania nazwy domenowej.

Jak uzyskać certyfikat dla adresu IP?
Certyfikaty Let's Encrypt dla adresów IP są już dostępne w środowisku testowym (Staging). Ich pełna dostępność w środowisku produkcyjnym jest planowana na późniejszą część 2025 roku, równocześnie z wprowadzeniem certyfikatów krótkoterminowych.
Należy zwrócić uwagę na następujące aspekty techniczne:

Certyfikaty krótkoterminowe - Z zasady, certyfikaty Let's Encrypt obejmujące adresy IP muszą być certyfikatami krótkoterminowymi, ważnymi przez około sześć dni. W związku z tym klient ACME musi obsługiwać specyfikację "draft ACME Profiles" i być skonfigurowany do żądania profilu "shortlived".
Metody weryfikacji - Nie można użyć metody weryfikacji DNS do potwierdzenia kontroli nad adresem IP; możliwe jest wykorzystanie wyłącznie metod http-01 i tls-alpn-01.
Kompatybilność klientów - Wiele aplikacji klienckich Let's Encrypt powinno już obsługiwać certyfikaty dla adresów IP, choć w niektórych przypadkach mogą być wymagane drobne zmiany techniczne.

Jeśli oprogramowanie klienckie zażąda certyfikatu dla adresu IP z parametrami niezgodnymi z tymi zasadami, zamówienie zostanie odrzucone przez serwer ACME. W takim przypadku aplikacja kliencka może wymagać aktualizacji lub rekonfiguracji.

Przegapiona szansa na pierwsze wrażenie

HPE and Juniper Miss an Opportunity
Ever since HPE’s acquisition of Juniper was announced in January 2024, the big question in my mind has been how they would handle two competing WLAN portfolios. Today, on the official close of the acquisition, the leaders of these companies had an opportunity to provide clarity to customers, partners, and analysts. They didn’t take it.... Read more »
Packet Pushers horizontal logoDrew Conry-Murray

Po ponad roku spekulacji, fuzja HPE i Juniper Networks została oficjalnie sfinalizowana 2 lipca 2025 roku. Jednak mimo zakończenia procesu przejęcia, kluczowe pytania dotyczące integracji technologii pozostają bez odpowiedzi.

Fuzja miała na celu stworzenie kompleksowego dostawcy rozwiązań sieciowych. Głównym celem było połączenie portfeli produktów obu firm w obszarach:

  • Infrastruktury kampusowej i centrum danych
  • Rozwiązań bezprzewodowych WLAN
  • Technologii AI-native i cloud-native
  • Zintegrowanych "fabryk AI" dla przedsiębiorstw

Największym problemem pozostaje kwestia integracji dwóch różnych rozwiązań bezprzewodowych:

HPE Aruba Networking:

  • Platforma zarządzania: Aruba Central
  • Ugruntowana pozycja na rynku enterprise
  • Rozbudowane funkcje bezpieczeństwa

Juniper Mist:

  • Platforma zarządzania: AI Ops for Mist
  • Zaawansowane możliwości AI i machine learning
  • Innowacyjne podejście do automatyzacji sieci

Pomimo upływu ponad roku od ogłoszenia przejęcia, kierownictwo nie przedstawiło jasnego planu integracji. Używane sformułowania jak "przemyślana strategia integracji" nie dostarczają konkretnych informacji.

Rahim wskazał na "True North" oparty na trzech filarach:

  1. AI-native networking
  2. Cloud-native solutions
  3. Secure networking

Jednak szczegóły implementacji pozostają niejasne.

W ramach ugody z Departamentem Sprawiedliwości USA, HPE musi zorganizować aukcję licencji na kod źródłowy AI Ops for Mist. Maksymalnie dwa podmioty mogą uzyskać dostęp do tej technologii.

Potencjalne zagrożenia:

  • Konkurenci mogą uzyskać dostęp do kluczowych technologii
  • Utrata przewagi konkurencyjnej w obszarze AI
  • Możliwość wzmocnienia pozycji rynkowej głównych konkurentów

HPE zapowiedziało utworzenie jednostki biznesowej HPE Networking pod kierownictwem Rami Rahima. W ramach tej struktury będą działać dwie marki:

  • HPE Aruba Networking - kontynuacja dotychczasowej oferty
  • HPE Juniper Networking - zachowanie tożsamości produktowej Juniper

Grupowanie ruchu sieciowego według ASN

Traffic meter per ASN without logs
anarcat
anarcat

Narzędzie asncounter pozwala na szybkie grupowanie ruchu sieciowego według numerów AS (ASN), pomagając zidentyfikować, które organizacje generują największy ruch na Twoim serwerze. To rozwiązanie powstało z potrzeby monitorowania i blokowania natarczywych botów oraz analizowania obciążenia serwera, szczególnie gdy tradycyjne logi są anonimowe lub niewystarczające.

Podział zadań w Pythonie

The CQS (Command Query Separation) Design Principle
When writing code, clarity and maintainability are everything. One of the most powerful design principles you can apply to achieve this is CQS - Command Query Separation. What is CQS? CQS (Command Query Separation) means: A function should either do something (a Command) or answer something (a Query) - never
Packet Coders - Learn Network AutomationRick Donato

CQS (Command Query Separation) to zasada mówiąca, że funkcja powinna albo coś zrobić (Komenda), albo coś zwrócić (Zapytanie) — nigdy obu rzeczy na raz. Komendy zmieniają stan systemu i nic nie zwracają, zapytania zaś zwracają dane i nie modyfikują stanu. Dzięki temu kod jest czytelniejszy, łatwiejszy do testowania i utrzymania.

Architektura sieci dla klastrów AI/ML

Świetnie! Udało ci się pomyślnie zarejestrować.
Witaj z powrotem! Zalogowałeś się pomyślnie.
Pomyślnie subskrybowałeś Inna Sieć.
Twój link wygasł.
Sukces! Sprawdź swoją skrzynkę e-mailową, aby uzyskać magiczny link do logowania.
Sukces! Twoje informacje rozliczeniowe zostały zaktualizowane.
Twoje informacje rozliczeniowe nie zostały zaktualizowane.