• Mikrotik QOS в распределенных системах или умные шейперы

    • Tutorial
    А что бы вы со своей стороны могли предложить?
    — Да что тут предлагать… А то пишут, пишут… конгресс, немцы какие-то… Голова пухнет. Взять все, да и поделить.
    — Так я и думал, — воскликнул Филипп Филиппович, шлепнув ладонью по скатерти, — именно так и полагал.
    М. Булгаков, «Собачье сердце»


    image Про разделение скорости, приоритезацию, работу шейпера и всего остального уже много всего написано и нарисовано. Есть множество статей, мануалов, схем и прочего, в том числе и написанных мной материалов. Но судя по возрастающим потокам писем и сообщений, пересматривая предыдущие материалы, я понял — что часть информации изложена не так подробно как это необходимо, другая часть просто морально устарела и просто путает новичков. На самом деле QOS на микротике не так сложен, как кажется, а кажется он сложным из-за большого количества взаимосвязанных нюансов. Кроме этого можно подчеркнуть, что крайне тяжело освоить данную тему руководствуясь только теорией, только практикой и только прочтением теории и примеров. Основным костылем в этом деле является отсутствие в Mikrotik визуального представления того, что происходит внутри очереди PCQ, а то, что нельзя увидеть и пощупать приходится вообразить. Но воображение у всех развито индивидуально в той или иной степени.
    Читать дальше →
  • Обновление MS16-072 ломает Group Policy. Что с этим делать?

    Ошибка: Filtering: Not Applied (Unknown Reason)

    Ничего не предвещало беды в прошлый «вторник обновлений» (14 июня): бюллетень обновлений содержал лишь сухой список важных обновлений безопасности и стандартные рекомендации по их немедленной установке. Однако, после применения обновлений, системные администраторы по всему миру столкнулись со странным поведением политик безопасности. Наиболее распространённый симптом: начали «отваливаться» сетевые принтеры и папки.
    Читать дальше →
  • Автоматизация легкого управления списками баз 1С



    Наверное, вам в работе, как и мне, часто приходится заниматься ИТ-системами компаний, которые до тебя непонятно кем и как обслуживались. Прежде чем полноценно поставить компанию на обслуживание необходимо обязательно сделать ИТ-Аудит и привести все системы в порядок.

    Часто одной из систем, где порядок отсутствует, является система 1С. Например, можно встретить базы с названием папок «new_copybase1_old» или «База1КомпанияЗП», или вообще вложенные друг в друга папки.

    Кто и какой имеет к данным базам доступ определить порой крайне сложно. Списки баз на клиентских компьютерах, в самом приложении 1С, тоже могут быть названы непонятно. В общем, не очень радостная картина.

    Если у вас пришло время привести все базы к одному общему стандарту и автоматизировать подключение пользователей, то прошу под кат.
    Читать дальше →
  • Корпоративный иммунитет: создаём систему централизованного управления сетевой безопасностью в компании и её филиалах

      Правила игры изменились. Еще вчера мы специализировались на решениях для малого и среднего бизнеса, и не из-за того, что обладали какими-либо техническими ограничениями, а лишь потому, что на рынке было засилие тяжеловесов в IT отрасли. Наше ПО попросту не рассматривали корпорации, как комплексное решение в области безопасности, хотя и устанавливали Traffic Inspector для защиты отдельных офисов и небольших подразделений.

      Но с середины 2014 года, в связи с изменением рыночной конъюнктуры и санкционной политики западных компаний, в наш офис стали все чаще поступать запросы о возможности объединения наших программно-аппаратных устройств в единое решение для корпораций. В результате чего, нами был разработан новый продукт Traffic Inspector Enterprise – комплексная система защиты разветвленной сети под управлением единой консоли.



      Итак, как мы к этому пришли?
      Читать дальше →
    • «Прозрачный» Squid с фильтрацией HTTPS ресурсов без подмены сертификатов (x86)

      Не секрет, что в больших конторах тема фильтрации Интернета довольно актуальная. С этой задачей справляется немало программных и аппаратных решений. Но в настоящее время все те сайты, которые мы резали ранее, работают по протоколу HTTPS, т.е. порт 443. Как известно, данный протокол проследить, прослушать и т. п., невозможно. А любой кеширующий фильтрующий прокси-сервер, редиректор и т. п. фильтрует только HTTP, т.е. порт 80. Как же резать Вконтакте, Одноклассники, iphide.info и многие другие подобные сайты? Как блокировать доступ к личной почте в организации, если использование оной запрещено порядками в организации? Да, можно фильтровать по IP адресам, но они частенько меняются, да и на многих ресурсах несколько IP адресов. Блокировать их на уровне файрвола как-то совсем не православное решение, и не совсем удобное.

      И вот, совсем недавно, мне один товарищ рассказал, что он поднимает у себя в конторе кеширующий прокси с фильтрацией HTTPS, меня это заинтересовало.
      Читать дальше →
    • Технический способ защиты от неправомерной выдачи дубликатов сим-карт (и вообще персональных данных), реализуемый на уровне оператора

      Последние пару недель наблюдаю как рунет шумит на тему мошенничества с дубликатами симок. На хабре вот тоже про это уже писали. При этом проблема эта совершенно не новая, но всплывает постоянно и все более интенсивно.

      В связи с этим мне хотелось бы рассказать о том, как справляется Deutsche Telekom (и другие немецкие операторы) с этой ситуацией. Сразу надо заметить, что ситуация с точками продаж в Германии очень похожая: точку может открыть практически любой, т.е. круг лиц, которые могут иметь доступ к данным, заранее достаточно широк. Но применяется очень трезвый технический способ защиты.
      Читать дальше →
    • Mikrotik: небольшие полезности. Часть 1

        В данной статье я хочу поделиться небольшими находками и приспособлениями, которые мне удалось найти и реализовать в RouterOS. Все, что будет написано ниже, проверено и работает на Mikrotik RB 951 серии.

        Сегодня я поделюсь следующими штуками в среде RouterOS:
        1) Полуавтоматическое обновление прошивок устройств Mikrotik, уведомление по эл.почте и/или СМС
        2) Автоматическое копирование настроек между устройствами
        3) Блокировка трафика, заворот его в другой шлюз

        Интересно? Тогда прошу под кат.
        Мне интересно
      • SMS из Bash или учим Zabbix новым трюкам

          Данная статья посвящена организации СМС оповещения в очень бюджетном исполнении.
          Такой метод подходит для домашнего использования или использования в SOHO. На что-то большее данная схема не способна, имейте это ввиду.
          Ранее на Хабре уже были статьи на тему СМС информирования, но все сводилось к локальным USB-модемам или сервисам email2sms.
          В этой статье будет рассмотрена иная схема взаимодействия. А именно: оборудование Mikrotik выступит в роли GSM шлюза, а Zabbix будет отправлять СМС через терминал.

          Что понадобится:
          1) Mikrotik 951 серии (активный USB-хаб крайне рекомендуется)
          2) USB-модем с сим-картой
          3) и развернутый Zabbix-сервер.
          И как это работает?
        • Охлаждение погружением, серверы «под водой»: Immersion-2 для 3M™ Novec™ обеспечил волшебные результаты, применение на практике в Гонконге

            Охлаждение погружением — иммерсионное охлаждение. В прошлой статье посвященной иммерсионному охлаждению были рассмотрены по сути преимущества размещения серверов в минеральном масле. Я глубоко заблуждался, когда мне казалось, что это наиболее эффективное решение в глобальном плане. Ознакомившись с некоторыми иными разработками я осознал, что эффективен сам базовый принцип — охлаждение погружением, а вот все остальное, как говорят «depends on»…

            Cегодня я Вам хочу поведать о сравнительно новой двухфазной системе охлаждения Immersion-2, которая использует все преимущества «сухой воды» 3M Novec для достижения по истине волшебных результатов, превращая недостатки в достоинства!

            Что такое 3M Novec повторяться не будем, об этом уже писали в рунете много раз, и даже на Хабре существует прекрасная статья, а вот как это можно применять для охлаждения серверов на практике и почему «сухая вода» оказывается эффективнее минерального масла, жидкостных систем охлаждения электроники в замкнутых контурах, рассмотрим сейчас.

            Читать дальше →
          • Резервное копирование физических машин с помощью бесплатного продукта Veeam Endpoint Backup FREE

            • Tutorial
            Мы уже рассказывали на Хабре про выпуск Veeam Endpoint Backup Free (бесплатного инструмента резервного копирования для физических рабочих станций, ноутбуков и домашних компьютеров). Сегодня я хочу рассказать об этом продукте более подробно: об архитектуре, основных настройках заданий резервного копирования, параметрах расписания, о схеме резервного копирования, и об интеграции с Veeam Backup & Replication v8 (если он установлен).
            image
            Читать дальше →
          • Создаем рекурсивные ярлыки в Windows

              Все мы знаем, что такое ярлык. А что будет, если сделать ссылку ярлыка самого на себя?
              Создание ярлыка на ярлык приводит к его копированию. И что будет, если принудительно создать побайтно такой ярлык?

              Но, расскажу я не об этом, а о том, как можно создать папку, от вида которой все программы вылетают с ошибками.
              Да, только от вида: на папку даже кликнуть не успеете.

              Зайти в такую папку обычными файловыми менеджерами будет невозможно.

              Но тут не обошлось без ярлыка, и я расскажу, как это сделать и для чего можно использовать.
              Читать дальше →
            • Собираем базу людей из открытых данных WhatsApp и VK

              Etan Hunt
              кадр из фильма Миссия Невыполнима II

              Эта история началась пару месяцев назад, в первый день рождения моего сына. На мой телефон пришло СМС-сообщение с поздравлением и пожеланиями от неизвестного номера. Думаю, если бы это был мой день рождения мне бы хватило наглости отправить в ответ, не совсем культурное, по моему мнению, «Спасибо, а Вы кто?». Однако день рождения не мой, а узнать кто передаёт поздравления было интересно.

              Первый успех


              Было решено попробовать следующий вариант:
              • Добавить неизвестный номер в адресную книгу телефона;
              • Зайти по очереди в приложения, привязанные к номеру (Viber, WhatsApp);
              • Открыть новый чат с вновь созданным контактом и по фотографии определить отправителя.

              Мне повезло и в моём случае в списке контактов Viber рядом с вновь созданным контактом появилась миниатюра фотографии, по которой я, не открывая её целиком, распознал отправителя и удовлетворенный проведенным «расследованием» написал смс с благодарностью за поздравления.

              Сразу же за секундным промежутком эйфории от удачного поиска в голове появилась идея перебором по списку номеров мобильных операторов составить базу [номер_телефона => фото]. А еще через секунду идея пропустить эти фотографии через систему распознавания лиц и связать с другими открытыми данными, например, фотографиями из социальных сетей.
              Далее перебор аккаунтов WhatsApp и VK по Москве и Ненецкому АО и распознание лиц
            • Кибергруппа Hacking Team подверглась масштабному взлому

                Известная кибергруппа Hacking Team (@hackingteam), которая специализируется на разработке и продаже специального шпионского ПО для правоохранительных органов и спецслужб различных государств стала объектом кибератаки, в результате которой для общественности стал доступен архив с 400ГБ различной конфиденциальной информации. В сеть утекла личная переписка Hacking Team с их клиентами, заключенные договора на продажу своих кибер-изделий различным государствам, а также большое количество другой информации, связанной с деятельностью компании.



                В результате утечки стало известно, что к услугам HT прибегали не только государственные структуры, но и частные компании. Также из опубликованных данных видно, что одним из клиентов HT были российские структуры или фирмы. Архив содержит и информацию о наработках кибергруппы (Exploit_Delivery_Network_android, Exploit_Delivery_Network_Windows), а также огромное количество различной поясняющей информации (wiki).

                Читать дальше →
              • Удаленная инъекция Wi-Fi кадров

                  image

                  Стандарт WiFi 802.11n использует механизм агрегации кадров для уменьшения накладных расходов при передаче данных.
                  Для этого несколько кадров объединяются в один. При этом маркер разделителя кадров передается вместе с данными.
                  Это позволяет сформировать данные, которые при прохождении через WiFi устройство будут интерпретированы им как отдельные кадры.

                  То есть имея контроль над потоком данных передаваемых от сервера клиенту (например при загрузке файла с сервера атакующего) или от клиента к серверу, можно генерировать произвольные пакеты на всех уровнях OSI:

                  • Пакет с любыми заголовками RadioTap: Beacon, Probe Request/Respone, Deauthentication
                  • L2 уровень: указать любой MAC адрес в заголовках пакета, можно производить ARP спуфинг
                  • L3/L4 уровень: скрафтить любой TCP/UDP/ICMP пакет с любыми заголовками IP
                  • и так далее


                  Уязвимости подвержены только открытые сети стандарта 802.11n.
                  Читать дальше →
                • Аксиальные двигатели внутреннего сгорания


                    Аксиальный ДВС Duke Engine

                    Мы привыкли к классическому дизайну двигателей внутреннего сгорания, который, по сути, существует уже целый век. Быстрое сгорание горючей смеси внутри цилиндра приводит к увеличению давления, которое толкает поршень. Тот, в свою очередь, через шатун и кривошип крутит вал.

                    image
                    Классический ДВС

                    Если мы хотим сделать двигатель помощнее, в первую очередь нужно увеличивать объём камеры сгорания. Увеличивая диаметр, мы увеличиваем вес поршней, что отрицательно сказывается на результате. Увеличивая длину, мы удлиняем и шатун, и увеличиваем весь двигатель в целом. Или же можно добавить цилиндров — что, естественно, также увеличивает результирующий объём двигателя.

                    image

                    С такими проблемами столкнулись инженеры ДВС для первых самолётов. Они, в конце концов, пришли к красивой схеме «звездообразного» двигателя, где поршни и цилиндры расположены по кругу относительно вала через равные углы. Такая система хорошо охлаждается потоком воздуха, но очень уж она габаритная. Поэтому поиски решений продолжались.

                    В 1911 году Macomber Rotary Engine Company из Лос-Анджелеса представила первый из аксиальных (осевых) ДВС. Их ещё называют «бочковыми», двигателями с качающейся (или косой) шайбой. Оригинальная схема позволяет разместить поршни и цилиндры вокруг основного вала и параллельно ему. Вращение вала происходит за счёт качающейся шайбы, на которую поочерёдно давят шатуны поршней.
                    Читать дальше →
                  • Внезапный диван леопардовой расцветки

                      Если вы интересуетесь искусственным интеллектом и прочим распознаванием, то наверняка уже видели эту картинку:


                      А если не видели, то это результаты Хинтона и Крижевского по классификации ImageNet-2010 глубокой сверточной сетью

                      Давайте взглянем на ее правый угол, где алгоритм опознал леопарда с достаточной уверенностью, разместив с большим отрывом на втором и третьем месте ягуара и гепарда.

                      Это вообще довольно любопытный результат, если задуматься. Потому что… скажем, вы знаете, как отличить одного большого пятнистого котика от другого большого пятнистого котика? Я, например, нет. Наверняка есть какие-то зоологические, достаточно тонкие различия, типа общей стройности/массивности и пропорций тела, но мы же все-таки говорим о компьютерном алгоритме, которые до сих пор допускают какие-то вот такие достаточно глупые с человеческой точки зрения ошибки. Как он это делает, черт возьми? Может, тут что-то связанное с контекстом и фоном (леопарда вероятнее обнаружить на дереве или в кустах, а гепарда в саванне)? В общем, когда я впервые задумался над конкретно этим результатом, мне показалось, что это очень круто и мощно, разумные машины где-то за углом и поджидают нас, да здравствует deep learning и все такое.

                      Так вот, на самом деле все совершенно не так.
                      под катом пятна
                    • Грабли при верстке HTML писем

                        Довольно часто наши клиенты устраивают регулярные рассылки с новостями. Почти всегда их не устраивают текстовые рассылки или простое оформление HTML рассылок. Наши дизайнеры вовсю креативят, а мы потом набиваем шишки при верстке их макетов с корректным отображением во множестве почтовых клиентов.

                        Ниже список встретившихся нам особенностей и способы их разрешения (как то упорядочить их мне не удалось, поэтому всё идет единым списком)
                        Читать дальше →
                        • +264
                        • 97.2k
                        • 77
                      • Sony и Panasonic анонсировали «наследника» Blu-ray



                          За последние несколько лет технология Blu-ray стала довольно распространенной, будучи интегрированной в медиа-плееры, игровые консоли (PlayStation 3, например) и некоторые другие устройства. Благодаря большому объему информации, которая помещалась на Blu-ray диск, те же производители игр могли умещать на таком носителе массу графической информации.

                          Теперь, по мнению Sony и Panasonic, настало время внедрить следующее поколение технологий записи на компакт-дисках. Объединенная команда специалистов обеих компаний разработала «наследника» Blu-ray, технологию, получившую название Archival Disc. Каждый такой диск может умещать вплоть до 1ТБ информации.

                          Читать дальше →
                        • Сети для самых маленьких. Часть девятая. Мультикаст

                          • Tutorial

                          Наш умозрительный провайдер linkmeup взрослеет и обрастает по-тихоньку всеми услугами обычных операторов связи. Теперь мы доросли до IPTV.
                          Отсюда вытекает необходимость настройки мультикастовой маршрутизации и в первую очередь понимание того, что вообще такое мультикаст.
                          Это первое отклонение от привычных нам принципов работы IP-сетей. Всё-таки парадигма многоадресной рассылки в корне отличается от тёплого лампового юникаста.
                          Можно даже сказать, это в некоторой степени бросает вызов гибкости вашего разума в понимании новых подходов.

                          В этой статье сосредоточимся на следующем:




                          Читать дальше →