Казалось бы, получив доступ во внутреннюю сеть, злоумышленник может относительно беспрепятственно исследовать соседние узлы, собирать передаваемую информацию и в общем уже все потеряно.


Тем не менее при корректном подходе к контролю уровня доступа можно существенно осложнить упомянутые процедуры. При этом грамотно подготовленная сетевая инфраструктура, заметив зловредную аномалию, об этом своевременно сообщит, что поможет снизить ущерб.

Под катом перечень механизмов, которые помогут выполнить данную функцию.

802.1x — это стандарт, который используется для аутентификации и авторизации пользователей и рабочих станций в сети передачи данных. Благодаря стандарту 802.1x можно предоставить пользователям права доступа к корпоративной сети и ее сервисам в зависимости от группы или занимаемой должности, которой принадлежит тот или иной пользователь. Так, подключившись к беспроводной сети или к сетевой розетке в любом месте корпоративной сети, пользователь будет автоматически помещен в тот VLAN, который предопределен политиками группы, к которой привязана учетная запись пользователя или его рабочей станции в AD. К данному VLAN будет привязан соответствующий список доступа ACL (статический, либо динамический, в зависимости от прав пользователя) для контроля доступа к корпоративным сервисам. Кроме списков доступа, к VLAN можно привязать политики QoS для контроля полосы пропускания.

В продолжение темы об оптимизации ESXi хоста для взаимодействия с СХД NetApp ONTAP, эта статья будет просвещена оптимизации производительности VMWare ESXi 6.X, предыдущие статьи были посвящены тюнингу ОС Linux, Windows и VMware ESXi 5.X в среде SAN. Компания NetApp давно тесно сотрудничает с VMware, подтверждением тому может стать тот факт, что нашумевшая технология vVOL была реализована одной из первых ещё в релизе Clustered Data ONTAP 8.2.1 (Август 2014), в то время как vSphere 6.0 ещё даже не был выпущен. Компания NetApp первой объявила поддержку vVol c NFS (Возможно NetApp по-прежнему здесь единственный, не слежу). В связи с чем системы хранения ONTAP крайне популярны в этом окружении.

Эта статья будет полезна владельцам систем хранения с ONTAP, а часть про Disk Alignment будет полезна не только владельцам NetApp`а.

Настройки VMWare ESXi 6.X можно разделить на следующие части:

• Оптимизация гипервизора
• Оптимизация гостевой ОС (GOS)
• Оптимальные настройки SAN (FC/FCoE и iSCSI)
• Настройки NAS (NFS)
• Проверка совместимости оборудования, прошивок и ПО

Для поиска узкого места обычно выполняют методику последовательного исключения. Предлагаю перво-наперво начать с СХД. А дальше двигаться СХД -> Сеть (Ethernet / FC) -> Хост ( Windows / Linux / VMware ESXi ) → Приложение.

И снова всем привет! Сегодня речь пойдет о протоколах верхнего уровня. Разберем, как они работают, из чего состоят и где применяются теоретически и на практике.

Как уже отмечалось много раз, за последнее время рынок видео-конференц-связи (ВКС) стремительно смещается в сторону программных решений. В статьях о подобных реализациях (Mind и Yealink) я подробно описал функционал, настройку и стоимость решения, но вопросу оборудования для ВКС было уделено незначительное внимание. Это не справедливо — каким бы ни был удобным и качественным сервис ВКС, при неудачно подобранном оборудовании для персональных рабочих мест или переговорных комнат, Вы не сможете оценить все достоинства программного решения.

В случае с продуктами представителей аппаратных решений, мы имеем готовые комплекты для переговорных — так называемые терминалы, которые включают кодек ВКС, спикерфон и камеру. В случае с программной реализацией, мы можем использовать как готовые аппаратные терминалы, так и различное ВКС-оборудование с программным клиентом на базе ПК.

Выбор этого оборудования весьма велик, и подбор может занять немало времени: важно учитывать особенности переговорной комнаты, её размер, форму и вместимость.

В этой статье я опишу типовые задачи по оборудованию переговорных комнат и решения на основе конкретных примеров.

Итак, в феврале 2009 г. в языке PHP появились новые функции для работы с массивами: функции array_replace, array_walk_recursive и array_diff_assoc, что упрощает работу с массивами и сравнение их элементов.

Остановимся на каждой функции и дадим примеры их использования.

Баста карапузики, кончилися танцы.

В предыдущей части мы детально рассмотрели «читерские» приёмы обхода «защит» (скрытие SSID, MAC-фильтрация) и защит (WPS) беспроводных сетей. И хотя работает это в половине случаев, а иногда и чаще — когда-то игры заканчиваются и приходится браться за тяжёлую артиллерию. Вот тут-то между вашей личной жизнью и взломщиком и оказывается самое слабое звено: пароль от WPA-сети.

В статье будет показан перехват рукопожатия клиент-точка доступа, перебор паролей как с помощью ЦП, так и ГП, а кроме этого — сводная статистика по скоростям на обычных одиночных системах, кластерах EC2 и данные по разным типам современных GPU. Почти все они подкреплены моими собственным опытом.

К концу статьи вы поймёте, почему ленивый 20-значный пароль из букв a-z на пару солнц более стоек, чем зубодробительный 8-значный, даже использующий все 256 значений диапазона.

Оглавление:
1) Матчасть
2) Kali. Скрытие SSID. MAC-фильтрация. WPS
3) WPA. OpenCL/CUDA. Статистика подбора

Последнее время всё больше компаний начинает серьёзно относиться к сетевой безопасности. Особое внимание уделяется в том числе и контролю доступа к локальной сети внутри организации. Не редкость, что политика безопасности требует, чтобы абсолютно все подключаемые к проводной и беспроводной сетям устройства проходили аутентификацию (не рассматриваем оборудование, физически изолированное в серверных комнатах).

Мне, как сетевому инженеру, как раз и была поставлена задача всё это реализовать. Сразу отмечу, что у нас в компании более десяти офисов разных размеров, сети которых насчитывают от одного до тридцати коммутаторов уровня доступа Cisco Catalyst. Исторически сложилось, что практически в каждом офисе уже был поднят Microsoft Network Policy Server (NPS), как RADIUS-сервер для аутентификации беспроводных клиентов.

Именно все эти NPS и требовалось задействовать для выполнения поставленной задачи, так как вариант с централизованным RADIUS-сервером типа Cisco ISE/ACS отпадал из-за ненадёжности WAN-каналов, а покупать другие продукты не было средств.

Рассмотрим задачу более подробно.

О биткоин я узнал с Хабра в 2010 году, по-моему это был пост alizar. Идея показалась мне интересной.

У меня всегда были достаточно мощные компьютеры, в студенческие годы я даже пытался участвовать в программах распределенных вычислений типа Folding@home, просто из интереса. Но я до сих пор задаю себе вопрос, почему за все это время я ничего не намайнил? Может быть потому, что как раз тогда у меня родился сын, и интересы были смещены в сторону выбора оптимальных по впитывающим свойствам подгузников.

Информация о развитии системы биткоин то и дело попадалась на глаза, и когда я уже почти собрался начать майнить на своем Core 2 Quad, оказалось что люди начали майнинг на GPU, когда обзавелся видеокартой помощнее, люди начали майнить на FPGA. История норвежского студента — Кристофера Коха, которую я прочитал года два назад меня вообще немного подкосила, и я начал думать о покупке майнера. Пока я думал, FPGA уступили место ASIC, так я и встретил 2015 год без единого биткоина.

И вот недавно я увидел пост об «облачном майнинге». Конечно, понятно, что это совсем не то, но мне стало достаточно интересно, чтобы я зашел на сайт, зарегистрировался и посмотрел панель управления.

В комментариях было много споров по поводу того, что риски слишком велики для доходности порядка 20%, по поводу курса и судьбы bitcoin вообще, заработаешь или не заработаешь, и тому подобное.

Поэтому я решил провести эксперимент: купил себе небольшой хэшрейт, который, по идее, должен мне через год намайнить заначечку в биткоин, о которой я всегда мечтал.

^{добавлено 25.11.15}
за эти полгода экспиремент показал себя удачным, так что регистрируйтесь, читайте отчет, и не забывайте проверять обновления.

Под катом вы можете посмотреть как выглядит сайт ребят из hashflare.io, если вы по какой-то причине не посмотрели сами, и результаты моего майнинга за неделю. Добавляйте пост в избранное, я буду его ежемесячно обновлять результатами намайненного, изменением курса биткоин, и через год можно будет сделать обоснованный вывод, кто оказался прав, кто виноват.

В этой статье я хочу поделиться своим опытом установки и настройки гипервизора Hyper-V Server 2012R2 от компании Microsoft. Итак, приступим. Дано: 2 сервера и iscsi СХД.

1. Подготовка образа

Скачиваем образ для установки сервера с сайта Microsoft. Если вы располагаете развернутой службой Windows Deployment Services или установленным «Комплект средств для развертывания и оценки Windows» (Windows ADK), можно полученный по ссылке выше дистрибутив архиватором 7-zip распаковать в папку, например, D:\W2012\x64\dvd. Затем полученные скопировать в папку D:\W2012\x64\upd, создать папку D:\W2012\mnt и с помощью следующего батника обновить образ.

Доброго времени суток всем!
В этой статье хотел бы поделиться опытом в одном не самом тривиальном вопросе: как подключить коробочный IPS к многоуровневому коммутатору в режиме Inline. Речь пойдёт именно о «железном» исполнении IPS в виде апплаинса (отдельной коробки) и именно о его Inline-внедрении. Статья главным образом ориентирована на оборудование Cisco: IPS 4510 и Catalyst 6500.

Как скоро я смогу вас заинтересовать, если скажу, что в этой статье речь пойдет о VPN-сервере, который может поднимать L2TP/IPsec, OpenVPN, MS-SSTP, L2TPv3, EtherIP-серверы, а также имеет свой собственный протокол «SSL-VPN», который неотличим от обычного HTTPS-трафика (чего не скажешь про OpenVPN handshake, например), может работать не только через TCP/UDP, но и через ICMP (подобно pingtunnel, hanstunnel) и DNS (подобно iodine), работает быстрее (по заверению разработчиков) текущих имплементаций, строит L2 и L3 туннели, имеет встроенный DHCP-сервер, поддерживает как kernel-mode, так и user-mode NAT, IPv6, шейпинг, QoS, кластеризацию, load balancing и fault tolerance, может быть запущен под Windows, Linux, Mac OS, FreeBSD и Solaris и является Open-Source проектом под GPLv2?

То-то и оно. Такое пропустить нельзя.

Хочу рассказать как я делал для себя медипроигрыватель на базе старой Apple TV первого поколения. Получилось устройство полностью подходящее под мои требования.

Мое знакомство с домашним NAS началось несколько лет назад с Synology 207+. Пока NAS был пустой, он мне очень нравился своими возможностями. Но стоило только перенести на него свою коллекцию фильмов, музыки и фоток, как стало понятно, что пользоваться им невозможно из-за очень низкой производительности. И агрегат превратился в обычную файлопомойку, а в последствии и вовсе был убран в кладовку за ненадобностью. Сама Synology забила на эту линейку и прекратила выпуск новых оболочек на нее. Я периодически следил за новинками у Synology, там как всегда множество хвалебных статей, но доверия они уже не вызывали.
Случайно я наткнулся на проект XPEnology, оказалось, что можно попробовать новую оболочку Synology и на виртуальной машине и на обычном компьютере.
Про установку Synology DSM 4.2 на виртуальную машину в ESXi я и расскажу в этой статье, установка на обычное железо еще проще, но если будет интерес, напишу отдельный топик.