Приветствую всех! Я работаю системным инженером в компании «Онланта». На одном из наших проектов я занимался внедрением и сопровождением Elastic Stack. Мы прошли путь от сбора логов фактически вручную до централизованного, автоматизированного процесса. Вот уже два года мы практически не меняем архитектуру решения и планируем использовать удобный инструмент в других проектах. Нашей историей его внедрения, а также некоторыми сильными и слабыми сторонами делюсь с вами в этом посте.

Источник
Читать дальше →

Рады сообщить вам о запуске нового бесплатного курса “Check Point для начинающих”. Курс разрабатывается по инициативе компании Check Point при нашем непосредственном участии. По сути это наш существенно переработанный курс Check Point Getting Started, который мы читали только в офлайне. Благодаря правкам и дополнениям от сотрудников Check Point получается максимально полезный (для новичков) материал. Главный инициатор, редактор и переводчик курса — Валерий Лукин (Check Point Cyber Security Evangelist). Вторым редактором является Dameon Welch-Abernathy, больше известный как “PhoneBoy”.

Курс доступен исключительно для пользователей CheckMates (свободная регистрация) и пока только на английском языке. Если вас заинтересовало содержание курса или что такое CheckMates, то добро пожаловать под кат… Читать дальше →

В августе этого года Microsoft включил в новый релиз Skype сквозное end-to-end шифрование, получившее название “частные беседы” (“Private Conversations”). Шифрование работает для звонков, текстовых сообщений, а также для файлов и использует протокол Signal, разработанный некоммерческой организацией Open Whisper Systems.

Безусловно, в Skype и до появления “частных бесед” использовалось шифрование, но это не было шифрованием канала между двумя пользователями, на ключах, выработанных только для их конечных устройств. До покупки этого мессенджера Майкрософтом в Skype использовалось AES-шифрование канала с 256-битными сессионными ключами, но потом от этого полностью отказались. А сейчас для обычного общения Skype использует TLS-протокол, который «накрывает» канал между пользователем и облаком компании.

Практически все современные системы предотвращения утечек данных (DLP-системы) научились отслеживать (а некоторые даже и контролировать) обычную передачу сообщений и файлов в Skype через достаточно стандартный прием — подмену сертификатов, известную как атака «человек посередине» (MitM).

Читать дальше →

При конфигурировании протокола MP-BGP, на оборудовании Juniper, может возникнуть (не)очевидная ситуация с переустановлением соседств. Причина подробно описана в Junuper Knowledge base KB20870, здесь же краткий пересказ с моими замечаниями.

Читать дальше →

Helm без хайпа. Трезвый взгляд

Helm — это менеджер пакетов для Kubernetes.

На первый взгляд, неплохо. Этот инструмент значительно упрощает процесс релиза, но порой может и хлопот доставить, ничего не попишешь!

Читать дальше →

Если вы в свое время приобрели лицензию 3CX, но по какой-то причине решили ее не обновлять, сейчас такой устаревшей системой следует пользоваться весьма аккуратно. Дело в том, что для активации лицензии и загрузки обновлений 3CX использует SSL сертификаты, удостоверяющие, в частности, что вы загружаете действительно файлы от разработчика, а не «подставные» файлы, например, он распространителей вируса Petya.

Однако срок действия этих сертификатов как на серверах 3CX, так и в ваших системах, если они не обновлялись, подошел к концу. Проблема усложняется еще и тем, что центр сертификации, который в свое время выдавал сертификаты 3CX, сейчас не может их продлить в связи с техническими разногласиями с Google и другими игроками рынка.

Чтобы решить эту проблему, 3CX предложила абсолютно всем пользователям предыдущих версий 3CX перейти на самую последнюю версию бесплатно. Фактически, вы получили многолетнюю подписку на обновления в подарок! Рассылка предложений велась в течение двух месяцев по e-mail адресам, указанных при активации лицензии. Все, что требовалось сделать, — поэтапно перейти с вашей версией системы до последней через резервное копирование.

Однако все это было актуально до 31 октября 2018 г. Теперь же нужно быть особенно осторожным. Что происходит, если вы все таки не обновились до v15.5 Update 6? Ваша система продолжит работать как раньше, но вы не сможете активировать лицензию, если активация вдруг «слетит». Активация 3CX привязывается, прежде всего, к MAC адресу сетевой карты, но и к другим параметрам сервера. Поэтому в такой ситуации крайне важно не переустанавливать 3CX, и не менять конфигурацию сервера! Ваша 3CX уже не сможет активироваться и перейдет в режим бесплатной редакции (для той версии 3CX, которая у вас установлена). Фактически, ваша телефония «остановится». Читать дальше →

Мы уже писали о «консольных помощниках» для Kubernetes год назад, а ещё раньше делали обзор других полезных утилит. Однако с развитием K8s и его сообщества претерпевает изменения и сопутствующая экосистема. Поэтому нам снова есть о чём рассказать любителям консоли. Поехали! Читать дальше →

Прошлые посты в корпоративном блоге не содержали ни одной консольной команды, и мы решили наверстать упущенное.

В нашей компании есть метрика, созданная для предотвращения больших факапов на виртуальном хостинге. На каждом сервере виртуального хостинга расположен тестовый сайт на WordPress, к которому периодически идут обращения.

Так выглядит тестовый сайт на каждом сервере виртуального хостинга

Читать дальше →

Ковбойская стратегия:
[A] блочное системное шифрование Windows 7 установленной системы;
[B] блочное системное шифрование GNU/Linux (Debian) установленной системы (включая /boot);
[C] настройка GRUB2, защита загрузчика цифровой подписью, защита аутентификацией;
[D] зачистка — уничтожение нешифрованных данных;
[E] универсальное резервное копирование зашифрованных ОС;
[F] атака <на п.[C]> на загрузчик GRUB2;
[G] полезная документация.

Схема <BIOS/MBR/1HDD без lvm>:

* шифрование не скрытое;
* Windows 7 установленная — шифрование полное системное;
* GNU/Linux установленная (Debian и производные дистрибутивы) — шифрование полное системное (/, включая /boot; swap);
* независимые загрузчики: загрузчик VeraCrypt установлен в MBR, загрузчик GRUB2 установлен в расширенный раздел;
* установка/переустановка ОС не требуется;
* используемое криптографическое ПО: VeraCrypt, Cryptsetup, GnuPG, Seahorse, GRUB2 – свободное/бесплатное. Читать дальше →

8 ноября 2018 года произошел централизованный сбой в системе активации ОС Windows 10.
Все началось с того, что относительно небольшое число пользователей стали сообщать о потере активации Windows 10, так как при загрузке ПК они получили уведомление об истекшем ключе и предложении активировать систему. В ряде случаев Windows 10 Pro превратилась в Windows 10 Домашняя.
Проверьте свои лицензии на всякий случай.


Читать дальше →

В августе Southbridge провели интенсив по Кубернетес Слёрм-1.
В октябре мы его повторили (Слёрм-2) и добавили продвинутый курс (МегаСлёрм).

Удовольствие не из дешевых: Слёрм-2 стоил 35 000 ₽, МегаСлёрм — 75 000 ₽ (онлайн 15 и 35). Я общался с заказчиками, участниками и спикерами, проводил опросы и собирал статистику.

Вот мои наблюдения о том, кто что получил за свои деньги. Многие выводы можно экстраполировать на платные курсы в целом.

1. Слёрм помогает определиться по Кубернетес

Оказалось, понимание «нам подходит Кубернетес» ценнее, чем «мы можем в Кубернетес».

Руководители, отправляя своих инженеров (разработчиков, администраторов) на Слёрм, декларировали: «Пусть пощупает технологию и решит, подходит ли она для наших задач».

Участники Слёрма-1 рассказывали: «После интенсива мы внедрили Кубернетес, теперь я приехал на МегаСлёрм».

3 дня интенсива — в самый раз, чтобы увидеть технологию в полный рост, а не в режиме «Рабинович по мануалам установил». Тут даже вопросов нет, оно того стоит.

Читать дальше →

Спустя несколько лет использования 1С в контейнерной виртуализации Proxmox, появилось достаточно набитых шишек, которые оформлю здесь в виде коротких общих заметок по этапам процесса внедрения.

Это не не руководство к действию и не мануал. Если какой-то из пунктов следует расписать более подробно — пожалуйста, не стесняйтесь в комментариях.
Читать дальше →

Довольно долго история с ВКС очень напоминала какие-то археологические процессы. Людям «с улицы» довольно тяжело объяснить хотя бы то, зачем нужно покупать сервера для видеоконференцсвязи и какие там сложности внутри организации. Вкратце:

• Крупные компании любят общаться по видео, причём массово.
• Они же не любят пускать трафик через любые нешифрованные каналы.
• Лучше всего, если трафик идёт по своей физической корпоративной сети, не заглядывая в Интернет.
• Все устройства обработки видеосигнала и его передачи должны быть локальными.
• На один узел приходит обычно от 10 до 50 видеопотоков (по количеству участников конференции), поэтому нужны промежуточные сервера, которые будут склеивать из них один поток или микшировать как-то иначе.
• Нужно поддерживать зоопарк устройств и вендоров плюс подключать людей с мобильных телефонов и планшетов.
• У каждого вендора — свои стандарты, и не поддерживать друг друга — коммерческая позиция.

Сильно легче стало после виртуализации ВКС: в частности, появился Cisco Meeting Server, совместимый не только с Циской, но и со всем, что есть на рынке, кроме особо древних моделей.
Читать дальше →

Облака, облака и ещё раз облака. Движение в облака, будь то ваше частное облако у вас в ЦОД, приватное облако у провайдера или у публичных провайдеров таких как Amazon AWS, Microsoft Azure, IBM Cloud, Google Cloud, неумолимо. Особенно я это заметил, переехав в США. Здесь о них говорят все и всегда — воздух буквально пропитан этой темой. Производители как программного, так и аппаратного обеспечения прекрасно это поняли и не хотят упустить данное окно возможностей в этом изменяющемся мире.

Читать дальше →

Остановимся на анализе мультикаст-трафика через IGMP-протокол. Рассмотрим реализацию работы протокола IGMP, работы протокола PIM, отправки JOIN-запросов. После анализа проблемы была разработана оптимальная конфигурация сетевого оборудования, эффективная настройка QOS. Данная задача появилась после обнаружения проблемы в сети, такой как прерывание сигнала у клиентов, наличие фризов и прерывание звука.

IGMP — Internet Group Management Protocol — это сетевой протокол взаимодействия абонентов мультикаст-трафика и ближайшего к ним сетевого оборудования.

Читать дальше →

ProcDump для Linux — реинкарнация классического инструмента ProcDump из комплекта технических средств и утилиты для управления, диагностики, устранения неполадок и мониторинга среды Microsoft Windows.


Читать дальше →

Читать дальше →

Введение
Давным-давно прошли времена, когда единственным средством защиты периметра сети мог быть роутер из старого компьютера с какой-нибудь бесплатной UNIX-like операционной системой, например, FreeBSD и штатным файерволом.

Сегодня системным администраторам доступны как многочисленные специализированные дистрибутивы для установки на сервер, так и готовые программно-аппаратные комплексы.
Читать дальше →

В данной статье мы рассмотрим варианты построения распределенных сетей с помощью Check Point. Я постараюсь описать главные особенности Site-to-Site VPN от Check Point, рассмотрю несколько типовых сценариев, опишу плюсы и минусы каждого из них и попробую рассказать, как можно сэкономить при планировании распределенной VPN сети.

Check Point использует стандартный IPSec
Это первое, что нужно знать про Site-to-Site VPN от Check Point. И этот тезис отвечает на один из самых частый вопросов относительно Check Point VPN:

— Можно ли его “подружить” с другими устройствами?
— Да, можно!
Так называемый 3rd party VPN. Поскольку используется стандартный IPSec, то и VPN можно строить с любым устройством, которое поддерживает IPSec. Лично я пробовал строить VPN с Cisco ASA, Cisco Router, D-Link, Mikrotik, StoneGate. Все работает, хотя и есть некоторые особенности. Главное правильно задать все параметры для первой и второй фазы. Поддерживаемые параметры для IPSec соединения: Читать дальше →

Прим. перев.: Оригинальная статья написана представителями компании BlueData, основанной выходцами из VMware. Она специализируется на том, чтобы сделать доступнее (проще, быстрее, дешевле) развёртывание решений для Big Data-аналитики и машинного обучения в различных окружениях. Этому призвана способствовать и недавняя инициатива компании под названием BlueK8s, в которой авторы хотят собрать плеяду Open Source-инструментов «для деплоя stateful-приложений и управления ими в Kubernetes». Статья посвящена первому из них — KubeDirector, что, согласно замыслу авторов, помогает энтузиасту в области Big Data, не имеющему специальной подготовки в Kubernetes, разворачивать в K8s приложения типа Spark, Cassandra или Hadoop. Краткая инструкция о том, как это сделать, и приведена в статье. Однако учтите, что у проекта ранний статус готовности — pre-alpha.



KubeDirector — Open Source-проект, созданный для упрощения запуска кластеров из сложных масштабируемых stateful-приложений в Kubernetes. KubeDirector реализован с помощью фреймворка Custom Resource Definition (CRD), использует родные возможности расширения Kubernetes API и опирается на их философию. Такой подход обеспечивает прозрачную интеграцию с управлением пользователей и ресурсов в Kubernetes, а также с существующими клиентами и утилитами. Читать дальше →