Category Archives: Cтатьи

Написанное под волной отчаяния.

Коллектор sFlow на Logstash

В данном посте будет описана процедура установки коллектора sFlow на базе ELK на CentOS 7 для сбора трафика со свитча Juniper.

Компоненты:

  • Logstash — система принимающая данные, фильтрующая их и передающая их в Elasticsearch.
  • Elasticsearch — база данных, которая хранит информацию и осуществляет по ней поиск.
  • Kibana — служит для визуального представления данных, хранящихся в Elasticsearch.

Взаимодействие компонентов выглядит так:

10.10.10.10 — адрес сервера CentOS, где установлен ELK

Читать далее

«Мы находимся в критической точке развития капитализма» — Лорд Тернер

Перевод статьи Business Insider

Бывший вице-президент Merrill Lynch Europe и бывший глава финансового надзора Великобритании, лорд Адэир Тернер, обеспокоен тем, что развитие технологий подрывает капитализм и тормозит восстановление мировой экономики после кризиса.

В своем интервью Business Insider, Тернер заявляет: «В текущей экономической ситуации капитализм перестал покрывать нужды большинства, что подрывает его легитимность. Равноправие граждан может быть под угрозой из-за развития технологий. Развитие капитализма будет зависеть от развития технологий.»

Тернер возглавлял Конфедерацию Британской Промышленности (CBI) в середине 90-ых, затем был вице-председателем Merrill Lynch Europe c 2000 по 2006. Когда произошел мировой финансовой кризис, он работал в финансовом надзоре Соединенного Королевства (FSA).

Сейчас Тернер возглавляет Институт нового экономического мышления, организованный Джорджем Соросом и издал книгу «Между долгом и дьяволом» про мировой финансовый кризис.

Он рассказал Business Insider о том, как компании Facebook, Uber и Airbnb используя современные технологии получают сверх прибыли. В то же время им требуется меньше рабочих мест, чем компаниям предыдущего технологического цикла. Это подрывает основу капитализма, при которой развитие технологий и расширение экономики подразумевает выгоду для каждого.

Читать далее

Juniper SRX IPsec Site-to-Site VPN и Split-DNS

В данной статье будет рассматриваться настройка VPN между офисами (site-to-site) и особенности, если трафик возникает на самом SRX на примере Split-DNS.

В Juniper SRX существуют два варианта организации site-to-site VPN: на основе политик (policy based) и на основе маршрутов (route based). Они отличаются способом, по которому трафик попадает в туннель. Здесь будет рассматриваться route based VPN при котором на основании маршрутов в таблице маршрутизации SRX будет принимать решение об включении трафика в туннель. Эти маршруты могут быть получены автоматически (за счет протоколов динамической маршрутизации), но здесь будет показан самый простой ручной вариант, на основе статических маршрутов.

Когда филиал соединен с центральным офисом, или, когда все серверы расположены в центре обработки данных, до которого организован site-to-site VPN, один из вопросов сетевой доступности является DNS сервер компании. В данном случае речь идет про ситуацию, когда одни и те же доменные сетевые имена для внутрисетевых клиентов и для внешних клиентов разрешаются по-разному. Этот процесс называется split-DNS, когда домен компании обслуживают два DNS сервера: один для клиентов изнутри, второй для клиентов снаружи.

Клиенты в филиале как правило получают сетевые настройки от DHCP сервера. В филиале SRX может выполнять роль DHCP сервера. В этом случае опция 6 — «DNS сервер» может содержать адрес как внутреннего DNS сервера компании, так и самого SRX. Для чего это может понадобиться? Если в VPN туннель вы направляете только трафик до внутренних серверов и сервисов, то логично, что запросы на внутренний сервер DNS отправлялись только для доменных имен внутренних ресурсов. Именно поэтому выдавать клиентам филиала адрес SRX как DNS сервера позволит регулировать на самом SRX на какой DNS сервер отправлять запрос. Это функция называется Proxy DNS.

Читать далее

VPN сервер на основе StrongSwan на CentOS

В последних версиях мобильной и настольной ОС компании Apple появилась полноценная поддержка VPN подключений по IKEv2. В системах компании Microsoft она была реализована еще с Windows 7. Таким образом можно предположить, что IKEv2 станет мультиплатформенным стандартом для виртуальных сетей, заменив устаревший и небезопасный PPTP.

В данной статье будет описана настройка StrongSwan как сервера IKEv2 VPN, а также проверено подключение к нему с Windows и MacOS.

VPN сервер и клиенты IKEv2 могут аутентифицировать себя как по ключам, так и по сертификатам. Причем для каждой стороны можно задать свой выбор. Для уменьшения требований, предъявляемых к клиентам, было выбрано чтобы сервер StrongSwan аутентифицировал клиентов по логину и паролю, а VPN клиенты аутентифицировали сервер по сертификату, выданному доверенным центром сертификации.

Последовательность действий:

  1. Получение сертификата для сервера StrongSwan
  2. Установка и настройка сервера StrongSwan
  3. Проверка подключения к серверу с Windows и MacOS

Читать далее

Два сетевых механизма связанных с NAT

В данном посте пойдет речь про два не связанных напрямую между собой сетевых механизма: Hairpin NAT и Proxy ARP. Стоит заметить, что их использование необходимо только в определенных случаях NAT, далее будет описано подробнее.

Hairpin NAT


Сценарий: веб сервер и клиент находятся за общим NAT. Веб сервер опубликован на внешнем адресе 80.80.80.80 на порту 80. Внутренние IP адреса у клиента и сервера из одной подсети 10.10.10.0/24.

Клиент не может подключиться к веб серверу по внешнему адресу. При этом от других клиентов (с мобильного телефона, из дома и пр.) доступ работает.

Читать далее

Удаление нерабочего контроллера домена

Ниже будет приведена краткая инструкция о том, как, используя утилиту ntdsutil, удалить контроллер домена Active Directory, находящийся не в сети.

Первым делом стоит подтвердить, что все FSMO роли принадлежат рабочему контроллеру домена. Для этого понадобится членство в группах: Domain Admins, Enterprise Admins, Schema Admins.

FSMO роли являются критическими функциями без которых работа домена будет испытывать трудности. Они разделяются на два уровня:

  1. Уровень леса (forest level):
    • Schema master
    • Domain naming master
  2. Уровень домена (domain level):
    • RID master
    • PDC
    • Infrastructure master

В зависимости от того, какая у вас иерархия Active Directory, вам может понадобиться переместить лишь три роли уровня домена (если нерабочий контроллер не является коренным в лесу) или же все пять.

Далее будут прописаны последовательности команд, которые нужно вводить в консоли рабочего контроллера домена.

Читать далее

NAT не замена межсетевому экрану на примере Juniper SRX

Вы, наверное, слышали утверждение, что NAT не является системой безопасности. Оно появилось из-за того, что некоторые пользователи NAT считают, что, скрыв внутреннюю адресацию сети, можно добиться ее безопасности. На самом деле это не так и использование NAT не отменяет необходимости настраивать межсетевой экран.

Рассмотрим пример публикации внутреннего веб сервера на Juniper SRX.

Перед тем как перейти к конфигурации следует напомнить, как устройства SRX обрабатывают пакет.

На представленной картинке нас интересует порядок обработки NAT и политик безопасности. Если проследить последовательность, то можно заметить следующий порядок действий:

  1. Статический NAT
  2. NAT с преобразованием адреса получателя (Destination NAT)
  3. Применение политик безопасности
  4. Обратный статический NAT
  5. NAT с преобразованием адреса отправителя (Source NAT)

Отсюда следует, что при определении политик безопасности, адреса источника и получателя задаются как адреса конечных точек, а не промежуточного звена NAT.

Читать далее

Удаленный доступ по WMI и PowerShell для неадминистраторв

Это перевод статьи Ondrej Sevecek о настройке удаленного доступа WMI и PowerShell по протоколу WinRM для пользователей без прав администратора.

WinRM, также называемый WSMan, это технология удаленного управления, которая предоставляет для таких средств как WMI, PowerShell, Перенаправление событий (Event Forwarding) и даже Диспетчер сервера (Server Manager) транспорт по протоколу HTTP. WinRM принимает запросы по HTTP или HTTPS протоколу, которые затем передает зарегистрированным в нем провайдерам (плагинам). PowerShell, WMI и Перенаправление событий зарегистрированы в WinRM как соответствующие провайдеры.

Если бы вы были разработчиком клиент-серверного приложения, то вы могли бы создать свой провайдер (плагин) для WinRM, который можно было бы использовать для удаленного управления вашим приложением. Конечно можно и самому написать DCOM или HTTP веб-интерфейс, но WinRM предоставляет стандартный каркас приложения (фреймворк), что облегчает его администрирование.

WinRM поддерживает методы встроенной аутентификации Windows, такие как Kerberos, Negotiate (включая NTLM) и Schannel (сертификаты). Поскольку он использует обычный HTTP, то поддерживаются также методы аутентификации Basic и Digest.

Для удаленного доступа к инструментарию управления Windows (WMI, winmgmt) можно настроить специальный DCOM интерфейс на прием удаленных команд и запросов (WQL), или же использовать WinRM для этого. PowerShell, с другой стороны, не имеет своего собственного сервера, поэтому для приема удаленных команд используются специальные командлеты Enter-PSSession и Invoke-Command, которые передают запросы по WinRM протоколу. PowerShell принимает эти команды, обрабатывает их локально и возвращает ответ по протоколу WinRM.

Таким же образом работает Диспетчер сервера (Server Manager) и Перенаправление событий (Event Forwarding). Хотя у перенаправления событий, есть свой сервис Windows Event Collector (wecsvc), но Microsoft решила использовать WinRM для пересылки сообщений.

Читать далее

PXE Boot на Juniper SRX

Технология PXE boot используется для загрузки по сети установочного образа операционной системы с последующей его установкой. Она является альтернативой использованию установочного диска.

Для работы PXE используются такие протоколы как DHCP и TFTP.

Протокол DHCP предназначен для автоматического присвоения IP адресов клиентам в сети, а также дополнительных сетевых параметров (опций): адреса роутера, адреса DNS серверов и т.д.

Технология PXE использует в своей работе специальные DHCP опции, которые позволяют сетевым клиентам найти загрузочный сервер в сети и загрузить с него загрузочный файл.

Работа DHCP протокола состоит из обмена сообщениями между клиентом и сервером, по завершении которого, клиент присваивает себе определенный IP-адрес, выданный сервером. Эти сообщения: DHCP Discover, DHCP Offer, DHCP Request, DHCP Response.

Поскольку клиент на начальном этапе не имеет своего IP-адреса все сообщения передаются через широковещательную рассылку на адрес 255.255.255.255. Поскольку широковещательные пакеты не передается за пределы подсети, это означает, что DHCP сервер должен быть либо в одной подсети с клиентом, либо должна быть задействована технология Relay Agent, позволяющая передавать DHCP запросы за пределы подсети.

Читать далее

Почему Япония такая… другая?

Краткая история отделения от Китая, становления иной и превращения в современную Японию.

В марте 1885 года в японской газете Джиджи Шимпо вышла статья с заголовком «Покидая Азию». Автором статьи считается Юкичи Фукузава, гений 19-го века, стоявший за движением по модернизации страны, достигнувшим апогея в Реставрации Мэйдзи. В ней высказывалась мысль о том, что Японии больше нельзя ограничиваться «феодальными» Китаем и Кореей и необходимо «покинуть ряды азиатских народов и начать сближение с цивилизационными странами запада».

История разрыва отношений с Китаем, страной впоследствии оккупированной и униженной, остается актуальной до сих пор. Отношения между двумя странами остаются натянутыми и по сей день. Военные корабли и самолеты обеих государств постоянно маневрируют вокруг спорных островов в Восточно-Китайском море, эскалируя обстановку. Лидеры стран сравнивают текущее положение с 1914 или 1939 годами, когда мир стоял на грани войны.

Причиной вражды является вторжение Японии на территорию Китая в 1930-х и 1940-х годах, в результате данной неудачной попытки колонизировать Китай погибли миллионы. Корни вражды могут также крыться и в 1895 году, когда Япония, в результате войны с Китаем, присоединила к себе китайские территории, включая Тайвань и острова Сенкаку (которые на территории Китая называют Дяоюйдао), те самые, которые сегодня вызывают территориальные споры. На более бытовом уровне чувство обиды между двумя народами возникло с момента разрыва культурного обмена между Японией и Китаем, когда Япония приложила колоссальные усилия к модернизации и европеизации.

Китай когда-то считался вершиной мысли и прогресса для Японии, изолированной на архипелаге к востоку от Евразийского материка. Основанный в 8-ом веке Киото, являвшийся столицей Японии на протяжении тысячи лет, был создан по образу столицы Китая времен правления династии Тан — Сиань. Самые значимые японских поэты того времени писали на китайском. Только женщины использовали японскую слоговую азбуку кана, на которой в 11 веке была написана «Повесть о Гэндзи», считающаяся первым романом в мире. Для образования мужчин в Японии использовался исключительно китайский язык.

Читать далее