Как стать автором
Обновить
21
Карма
0
Рейтинг
Виталий @mrzar

Системный администратор

Обход блокировок WireGuard в Египте

Информационная безопасность *Сетевые технологии *

В 2021 году VPN протокол WireGuard стал настолько популярен в Египте, что удостоился чести пополнить список заблокированных, несказанно “обрадовав” не только клиентов Cloudflare Warp+, Mullvad Wireguard и других коммерческих VPN-провайдеров, но и некоторых пользователей корпоративных VPN. Предварительные исследования показали, что по всей видимости DPI нацелен на WireGuard Handshake Initiate пакеты, которые имеют фиксированный размер (148 байт) и узнаваемую структуру (первые четыре байта UDP пакета [0x01, 0x00, 0x00, 0x00]). Мы постараемся разобраться с особенностями работы DPI по блокировке WireGuard и попробуем ее обойти. Кого заинтересовал - добро пожаловать под кат.

Читать далее
Всего голосов 17: ↑17 и ↓0 +17
Просмотры 20K
Комментарии 36

Wireguard VPN, Yggdrasil, ALFIS DNS и AdGuard

Децентрализованные сети *Сетевые технологии *
Из песочницы

На написание этой статьи спровоцировала вот эта статья, с кучей странностей, и необязательных действий. Если коротко, то автор не понимает зачем он ставит те или иные программы, а именно - Unbound и dnsproxy. Но так как кроме исправления недочётов той статьи хочется добавить чего-то полезного, мы несколько расширим возможности подключающихся к серверу клиентов.

Во-первых, несколько слов об Yggdrasil. Это одноранговая сеть с адресами IPv6, которая по сути может считаться новым слоем сети Интернет. При установке и настройке у вас появляется новый сетевой интерфейс, который является окном в этот новый слой. Всё так же, как с обычным протоколом IPv6 - вы можете использовать его для удалённого подключения к своим устройствам без реального IPv4, для удалённого администрирования, размещения там каких-то ресурсов, например того же Nextcloud. Всё это находится как бы в глобальном пространстве общей приватной сети. Кто-то там разместил прокси-серверы для Telegram, которые нельзя заблокировать, кто-то выход в "большой" Интернет через сеть Tor. Там же есть несколько серверов для общения, вроде Mattermost, IRC и XMPP. Статей по настройке и использованию на Хабре уже достаточно.

Читать далее
Всего голосов 23: ↑21 и ↓2 +19
Просмотры 19K
Комментарии 22

А твой Exchange в полном порядке? Как бесплатно мониторить здоровье сервера

Настройка Linux *Open source *Системное администрирование *
Из песочницы

Всем привет. Меня зовут Игорь - я занимаюсь администрированием офисной инфраструктуры, руковожу отделом мониторинга и технической поддержки пользователей в компании NUT.Tech.

Уже более 10-ти лет я так или иначе сталкиваюсь с различными задачами, связанными с администрированием Microsoft Exchange Server. В основном – ничего сложного, обычные прикладные задачи вроде создания в системе новых почтовых ящиков и решения различных проблем с доставкой почтовых сообщений. Но так или иначе у меня накопилась некоторая экспертиза в этом вопросе.

Основная идея этой статьи – рассказать о решении, которое позволяет быстро и без затрат реализовать мониторинг Exchange сервера, используя популярные open source решения.

Читать далее
Всего голосов 14: ↑13 и ↓1 +12
Просмотры 8.8K
Комментарии 12

Вопросы построения сети. ЛВС: стандарты и протоколы (часть 2)

Блог компании Timeweb Cloud IT-инфраструктура *Сетевые технологии *Сетевое оборудование

В продолжение предыдущей статьи, где описали основные принципы и протоколы для построения вендор-независимой и отказоустойчивой сети, будем разбираемся дальше:

1. Рекомендации по применению базовых протоколов и стандартов

2. Общие настройки сетевого оборудования

3. Коротко и таблично уделим внимание безопасности

Читать далее
Всего голосов 3: ↑2 и ↓1 +1
Просмотры 9.3K
Комментарии 4

Как я добился обещанного гигабита, использовав Mikrotik + мозг

Блог компании RUVDS.com Системное администрирование *Сетевые технологии *

100 мегабит в секунду от предыдущего провайдера начал сильно замедлять рабочий процесс, поэтому я начал искать провайдера с нормальной скоростью. В моем доме, из быстрых был только МГТС, на чем я и остановился. Провели интернет быстро, два дня между заявкой и кабелем в квартире, оставили большую бухту оптики, за что спасибо…
Читать дальше →
Всего голосов 87: ↑85 и ↓2 +83
Просмотры 105K
Комментарии 105

Шпаргалка, которая нужна на яхте

Транспорт

По прошествии многих лет проживания и использования яхты пришёл к выводу, что лучше все на борту яхты сделать самому: Чартплотер OpenCPN, подключаемую переферию или хотябы уметь ремонтировать самостоятельно в любых условиях абсолютно всё оборудование.


В последнее время становятся доступными путешествия на яхте. Такие путешествия порой могут быть опасными для яхты, если капитан не обладает необходимым опытом.


Публикую шпаргалку, которую я составлял в течение 2006 — 2007 года, когда готовился к путешествию на яхте. Она охватывает самые базовые понятия.


Яхтинг это очень полезный вид спорта. На борту яхты умеренные нагрузки. Всегда чистый воздух и чистая тёплая вода вокруг. Диван для отдыха и камбуз и холодильник с полезной едой всегда рядом. За бортом водится вкусная очень свежая и полезная для костей рыба. В гости всегда приплывают дельфины а иногда и киты. На островах можно найти и другую еду и запасы пресной воды.


Наиболее интересная часть этой статьи — перечень всех активных действий в случае возникновения непредвиденной ситуации. Когда думать некогда. Когда все действия надо делать без раздумий на уровне рефлексов. Некоторые из перечисленных способов спасения своей яхты и экипажа не являются тривиальными. Чтобы самостоятельно до них дойти требуются годы опыта работы в море.


Все ситуации я выбрал из статей в подписках за все годы из журналов Катера и Яхты.


Информация публикуется впервые.


Читать дальше →
Всего голосов 52: ↑37 и ↓15 +22
Просмотры 44K
Комментарии 134

BGPexplorer – машина времени для IP/MPLS сетей

Сетевые технологии *Rust *
Из песочницы

Современные сети, основанные на маршрутизации IP-пакетов, а точнее сервисы, которые они предоставляют, по факту управляются протоколом BGP. Этот протокол был спроектирован в конце 80-хх на трех салфетках. Да, с тех пор в этот протокол добавили массу возможностей, в том числе обмен маршрутной информацией VPN, правилами фильтрации трафика и всяким прочим полезным, но основа там осталась все той же, описанной на трех салфетках. И в этом есть свой плюс, потому что этот протокол в своей сути очень прост.

Но я хотел поговорить не о его простоте, а о "махании кулаками после драки", с которой частенько приходится сталкивать любой службе эксплуатации сети. Поступает жалоба на то что вот недавно что-то не работало. Или же что что-то сломалось и не очень ячно как же оно работало раньше. А узнать историю без дополнительного инструментария (или машины времени) нет возможности. Предлагаю рассмотреть такой инструмент.

Читать далее
Всего голосов 8: ↑8 и ↓0 +8
Просмотры 3.7K
Комментарии 6

Сетевая безопасность — IPS с использованием BGP

Информационная безопасность *Сетевые технологии *Rust *

В вопросах именно сетевой безопасности функционально выделяются два компонента:

IDS - Intrusion Detection System, система обнаружения вторжений.

IPS - Intrusion Prevention System, система предотвращения вторжений, компонент, блокирующий злоумышленнику сетевой доступ к атакуемому приложения. Реализована эта система может быть как встроенная в приложение функция, настраиваемый пакетный фильтр на хосте, как фаерволл на периметре защищаемого сегмента сети или же обычный сетевой маршрутизатор с BGP. Вот про этот вариант сегодня и поговорим.

Читать далее
Всего голосов 4: ↑4 и ↓0 +4
Просмотры 3.6K
Комментарии 2

Никогда такого не было и вот опять. Почему нужно использовать self-hosted VPN. Релиз Amnezia

Блог компании Amnezia VPN Информационная безопасность *Open source *Законодательство в IT
Вот и пришло время для релиза VPN-клиента, родившегося благодаря хакатону DemHack, и выращенного при поддержке РосКомСвободы, PrivacyAccelerator и Теплицы социальных технологий.

Спустя полгода с того момента, как идея была впервые озвучена, мы презентуем готовый продукт — бесплатный опенсорсный клиент для self-hosted VPN, с помощью которого вы сможете установить VPN на свой сервер в несколько кликов.

Вместо скучной технической статьи о том, что вот оно: что-то сделали, что-то не успели, что-то пересмотрели, которую можно сократить до нескольких абзацев сути, я решил написать о своих размышлениях, о том, что вообще происходит, о бешеных принтерах, о развитии Интернета, в контексте его приватности, анонимности и блокировок.

image
Читать дальше →
Всего голосов 130: ↑128 и ↓2 +126
Просмотры 99K
Комментарии 163

Атаки китайской APT-группировки HAFNIUM c использованием 0-day в Microsoft Exchange Server: как это было в России

Блог компании Ростелеком-Солар Информационная безопасность *


Важная новость в мире информационной безопасности появилась на прошлой неделе от компании Microsoft о том, что китайская группировка HAFNIUM атакует американские компании и организации с использованием 0-day уязвимости в Microsoft Exchange Server. Новость стала настолько резонансной, что ее транслировали даже федеральные каналы, а ведущие ИБ-компании незамедлительно публиковали подробности атак, которые они наблюдали (Volexity, Fireeye, Cisco Talos Intelligence Group).

Вопрос, который всю предыдущую неделю задавал себе, наверное, каждый специалист по ИБ в России: а как же мы? Нас тоже атаковали с использованием 0-day уязвимости? Спойлер – да. Технические подробности под катом.
Читать дальше →
Всего голосов 27: ↑27 и ↓0 +27
Просмотры 12K
Комментарии 5

Эксплуатация Ceph: как распределять пулы по разным типам (HDD/SSD) и группам серверов

Блог компании Southbridge Системное администрирование *Серверное администрирование *Хранение данных *DevOps *


В Ceph можно распределять пулы с данными по разным типам серверов: «горячие» данные хранить и реплицировать на SSD, «холодные» — на HDD. Кроме того, пулы одного кластера можно разделять физически. В статье расскажем, как это сделать.


Статья подготовлена на основе лекции Александра Руденко, ведущего инженера группы разработки «Облака КРОК». Лекция доступна в рамках курса по Ceph в «Слёрме». Тема была добавлена уже после релиза видеокурса, в январе 2021. Также в январе в рамках развития курса появились новые практические задания:


  • Установка при помощи cephadm.
  • Установка при помощи Ansible.
  • Использование Ceph: объектное хранилище.
  • Пулы и классы хранения Ceph.
Читать дальше →
Всего голосов 17: ↑17 и ↓0 +17
Просмотры 8.1K
Комментарии 4

Как мы переводили MIKOPBX с chan_sip на PJSIP

*nix *Asterisk *

MIKOPBX - это бесплатная АТС с открытым исходным кодом на базе Asterisk 16. Год назад мы взялись за переход на PJSIP. Основные причины:

- PJSIP поддерживает "множественную регистрацию"

- PJSIP более гибок в настройке

- chan_sip не развивается, объявлен deprecated в Asterisk 17

Читать далее
Всего голосов 10: ↑10 и ↓0 +10
Просмотры 8.7K
Комментарии 12

Мониторинг сервера — бесплатно или за деньги? Утилиты Linux и специализированные сервисы

Блог компании VDSina.ru Настройка Linux *Системное администрирование *Серверное администрирование *Софт


Есть много полезных инструментов, которые помогают отслеживать нагрузку на сервер, начиная с утилит Linux и заканчивая специализированными службами.

Простые утилиты Linux показывают текущее потребление памяти для каждого процесса, нагрузку на CPU, свободное место на диске и статистику по трафику.

Кроме того, есть платные и бесплатные сервисы, которые круглосуточно отслеживают состояние вашего сервера, регистрируют сбои в его работе или в сетевой доступности, а также проверяют производительность приложений.
Читать дальше →
Всего голосов 40: ↑39 и ↓1 +38
Просмотры 26K
Комментарии 38

ELK, SIEM из OpenSource, Open Distro: Введение. Развертывание инфраструктуры и технологий для SOC как Service (SOCasS)

IT-инфраструктура *NoSQL *Серверное администрирование *Big Data *Визуализация данных *
Перевод

ELK SIEM Open Distro: Введение. Развертывание инфраструктуры и технологий для SOC как Service (SOCasS)


За последние пару лет количество кибератак зашкаливает. Эти атаки нацелены не только на отдельных людей, но и на фирмы, правительства, критическую инфраструктуру и т. д. Традиционные решения, такие как антивирус, брандмауэр, NIDS и NIPS, больше не являются достаточными из-за сложности атак и их подавляющего количества.


Эта серия статей были задуманы как построение аналога SIEM на полном опенсорсе. Подробности будут представлены в следующих статьях.

Читать дальше →
Всего голосов 9: ↑9 и ↓0 +9
Просмотры 10K
Комментарии 19

Классификация критичности информационных систем

Системное администрирование *Анализ и проектирование систем *IT-инфраструктура *IT-стандарты *Финансы в IT
«Альфа-банк надежен, как танк,
А Гамма-банк надежен как банк!»

Виктор Пелевин, «Числа»

Когда в разговорах возникает фраза «банковская система», воображение рисует сверхнадёжную систему, построенную на самом дорогом оборудовании, кластеризованную на всех возможных уровнях и ограждённую от окружающего мира доступными и недоступными средствами защиты. Действительно, такие системы существуют. Но…



Если посмотреть вакансии разработчиков в банке, то вполне можно увидеть там среди требований знания Cassandra, MongoDB и других платформ, которые никак не внушают мыслей о 100% доступности. Да и такие СУБД как Oracle или Microsoft SQL Server где-то устанавливают на кластер из дорогих серверов, подключённых к самым надёжным и высокопроизводительным массивам, а где-то – на обычную виртуальную машину в ферме из самого что ни на есть commodity.

Причины очевидны – избыточные решения дороги. Но как найти компромисс между стоимостью платформы и её надёжностью?
Читать дальше →
Всего голосов 5: ↑5 и ↓0 +5
Просмотры 17K
Комментарии 3

Инновации по-русски

Развитие стартапа Законодательство в IT Карьера в IT-индустрии
Я — профессиональный участник инновационной индустрии. Вместе с коллегами последние 10 лет мы участвуем в создании новых технологий.

И я должен сказать о причине, по которой не стоит заниматься инновациями в России. Здесь можно порассуждать о плохом инвестиционном климате, неэффективности государственных программ, размере внутреннего рынка, смещенных мотивациях участников. Но кроме этого есть и плохо контролируемый риск, который заключается в возможности оказаться за решеткой. И об этом не принято говорить вслух, а нужно. Под катом топ-5 инновационных компаний по версии следственного комитета, известных мне, а их злоключения не были ранее упомянуты на хабре.
Читать дальше →
Всего голосов 513: ↑480 и ↓33 +447
Просмотры 164K
Комментарии 614

Двухфакторая аутентификация VPN/Mikrotik – просто и масштабируемо

Информационная безопасность *PHP *IT-инфраструктура *Сетевые технологии *Удалённая работа
Из песочницы
Здравствуйте!

На написание данной статьи меня побудило прочтение аналогичного содержания статьи пользователя nkusnetsov. По количеству просмотров видно, что сообществу интересна данная тема.

Поэтому я решил поделиться с вами собственным решением, которое было ранее реализовано мной и обладает:

  • Низким уровнем вхождения и простотой кода (для понимания/отладки другим сотрудником)
  • Простые скрипты ROS не создают никакой нагрузки и работают даже на hAP Lite
  • Масштабируемость – возможность подключения большого количества VPN-шлюзов с целью снижения нагрузки или географического распределения
  • Возможность использования Mikrotik CHR в качестве VPN-сервера
  • «1хN» – 1 SMS-шлюз на неограниченное количество роутеров с возможностью расширения при росте нагрузки
  • Возможность привязки отдельного роутера к «конкретному» модему (для чего? – об этом позже)
  • Использование всего одного php скрипта на удаленном сервере
  • Не важно какое устройство инициировало VPN-соединение, авторизация по ссылке из SMS
  • Ведение log'а всех авторизаций на сервере (можно вкл/выкл)
  • Увеличение отказоустойчивости и снижение нагрузки системы путем отправки SMS рандомно с нескольких модемов
  • Возможность отправки SMS через платные SMS-шлюзы (в коде на примере smsc.ru)
  • Функция Firewall – доступ только у роутеров занесенных в список (можно вкл/выкл)
  • Новое: Отправка кодов через Synology Chat и Telegram Bot. Причем различным пользователям уведомления могут доставляться по различным каналам.


Если вас интересует данная тематика, сохраните статью в закладки, я буду периодически её обновлять, по мере расширения функционала скрипта.
Читать дальше →
Всего голосов 11: ↑11 и ↓0 +11
Просмотры 18K
Комментарии 41

Гляди в оба: как не выставить наружу прокси для внутренних сервисов

Блог компании Флант Информационная безопасность *Системное администрирование *Сетевые технологии *


Распределенные атаки типа DDoS весьма популярны. Зачастую для защиты от них используются сервисы вроде Cloudflare, позволяющие «поглотить» поток вредного трафика. Но даже применение дополнительных механизмов защиты в них (например, режима «I'm Under Attack» в сочетании с белым списком для упомянутого сервиса) не поможет, когда вы допустили неосторожность и, сами того не заметив, раскрыли всему миру свой IP-адрес. О случае из жизни и о том, как не допустить подобного (и, соответственно, ненужных DDoS-атак), — читайте под катом.
Читать дальше →
Всего голосов 38: ↑38 и ↓0 +38
Просмотры 7.5K
Комментарии 4

Да мой старый laptop в несколько раз мощнее, чем ваш production server

Виртуализация *Серверное администрирование *Microsoft SQL Server *
Именно такие претензии я услышал от наших девелоперов. Самое интересное, что это оказалось правдой, дав начало длительному расследованию. Речь пойдет про SQL servers, которые крутятся у нас на VMware.


Читать дальше →
Всего голосов 182: ↑180 и ↓2 +178
Просмотры 96K
Комментарии 73
Новая работа — это не всегда праздник. Особенно если твой предшественник оставил после себя массу «хвостов» и отношение «нутыжкомпьютерщик». Но настоящему профи и не такое по плечу. Готов проверить, сможешь ли ты справиться «за себя и за того парня» и не вылететь?
Да я готов!
Всего голосов 27: ↑23 и ↓4 +19
Просмотры 19K
Комментарии 24
1

Информация

В рейтинге
Не участвует
Откуда
Москва, Москва и Московская обл., Россия
Дата рождения
Зарегистрирован
Активность