Безопасность приложений с Citrix NetScaler



Всем привет! Ни для кого не секрет, что в последнее время возросло большое количество угроз. Большое внимание стало уделяться темам безопасности и защите доступа к используемым ресурсам. В данной статье разберем продукт Citrix NetScaler VPX и его интегрированную платформу Unified Gateway, а заодно поговорим о том, какие методы аутентификации сегодня применяют, что такое мультифакторная аутентификация и многое другое. Всех заинтересовавшихся прошу к прочтению.
Читать дальше →

Как импортировать учётные записи из CSV в Zimbra

Один из распространенных вопросов при перенастройке системы с другого почтового сервера
(Microsoft Exchange, MDaemon, Qmail или Postfix) на Zimbra — это импорт учетной записи
электронной почты.

image

Читать дальше →

Вебинар «Новые серверы Fujitsu PRIMEQUEST»

Привет, Хабр! Приглашаем зарегистрироваться на вебинар: «Серверы Fujitsu PRIMEQUEST – непревзойденная надежность и масштабируемость», который состоится 30 января 2018 года. На вебинаре мы обсудим следующие вопросы:

  • Насколько производительнее стал сервер PRIMEQUEST, построенный на базе процессора Intel Xeon Scalable?
  • В чем заключается уникальная масштабируемость Mission Critical сервера Fujitsu?
  • Какие функции и конструктивные особенности обеспечивают непревзойденную надежность Fujitsu PRIMEQUEST серии E?

Зарегистрируйтесь сегодня!
Читать дальше →

[Перевод] Учимся надежно управлять Kubernetes

Недавно мы создали распределенную систему планирования cron-заданий на основе Kubernetes – захватывающей новой платформы для управления кластером контейнеров. Сейчас Kubernetes занимает лидирующие позиции и предлагает множество интересных решений. Одно из основных его достоинств – то, что инженерам не нужно знать, на каких машинах работают их приложения.
Распределенные системы по-настоящему сложны, и управление их службами – одна из самых больших проблем, с которыми сталкиваются операционные группы. Внедрить новое программное обеспечение в производство и научиться надежно управлять им – задача, к которой стоит относиться серьезно. Чтобы понять, почему обучение работе с Kubernetes важно (и почему это сложно!), мы предлагаем ознакомиться с фантастическим одночасовым переключением, вызванным ошибкой в Kubernetes.


В этой статье объясняется, почему мы решили построить архитектуру на Kubernetes. Мы расскажем, как проходила интеграция Kubernetes в существующую инфраструктуру, приведем подход к построению (и улучшению) доверия надежности кластера Kubernetes, а также рассмотрим абстракции, которые мы реализовали над Kubernetes.

Читать дальше →

Маршрутизация в socks. Еще один способ

Рассмотрим еще один способ маршрутизации локальной сети через «socks-прокси». В отличии от предыдущего способа с «redsocks», в этом, будет рассмотрена возможность маршрутизации на сетевом уровне (сетевой модели OSI), по средствам пакета «badvpn-tun2socks». Данная статья ориентирована на создание и постоянное использование такого маршрутизатора на базе ОС «Debian stretch». Прежде чем перейти к описанию настройки системы, предоставлю ссылку на бинарники badvpn (может кому-то понадобится). Итак, после скачивания и распаковки пакета, предлагаю сразу создать сервис systemd со следующим содержанием:
cat /etc/systemd/system/tun2socks.service 
[Unit]
Description=Start tun2socks
After=network.target

[Service]
ExecStart=/путь/к/badvpn-tun2socks --tundev tun0 --netif-ipaddr 10.0.0.2 --netif-netmask 255.255.255.0 --socks-server-addr 127.0.0.1:1080

[Install]
WantedBy=multi-user.target
Здесь, в параметре запуска "--socks-server-addr 127.0.0.1:1080" видно, что «tun2socks» будет направлять запросы по адресу socks-прокси сервера. (К примеру, ssh-tunnel из предыдущего способа). Параметры "--netif-ipaddr 10.0.0.2" и "--netif-netmask 255.255.255.0", отвечают за создание «маршрутизатора tun2socks» с адресом 10.0.0.2, на который будут приходить запросы с виртуального интерфейса, указанного в параметре "--tundev tun0...Далее...

Защита от DDoS на уровне веб-сервера

Статистика DDoS-атак показывает неизменный рост и смещение вектора с сетевого уровня на уровень приложений.

image

Если у Вас есть небольшой сайт на сервере с минимальными характеристиками, то положить его можно любым вполне легальным средством стресс-тестирования. (Не рекомендую этого никому делать т.к. IP-адрес легко вычисляется и экспериментатор может влететь на возмещение убытка.) Поэтому сайт без защиты от DDoS очень скоро будет выглядеть так же дико, как компьютер с Windows-98 без анивирусника.
Читать дальше →

Прозрачный socks. Еще один способ

Рассмотрим еще один способ маршрутизации локальной сети через «socks-прокси». В отличии от предыдущего способа с «redsocks», в этом, будет рассмотрена возможность маршрутизации на сетевом уровне (сетевой модели OSI), по средствам пакета «badvpn-tun2socks». Данная статья ориентирована на создание и постоянное использование такого маршрутизатора на базе ОС «Debian stretch». Прежде чем перейти к описанию настройки системы, предоставлю ссылку на бинарники badvpn (может кому-то понадобится): code.google.com/archive/p/badvpn/downloads Итак, после скачивания и распаковки пакета, предлагаю сразу создать сервис systemd со следующим содержанием:
cat /etc/systemd/system/tun2socks.service 
[Unit]
Description=Start tun2socks
After=network.target

[Service]
ExecStart=/путь/к/badvpn-tun2socks --tundev tun0 --netif-ipaddr 10.0.0.2 --netif-netmask 255.255.255.0 --socks-server-addr 127.0.0.1:1080

[Install]
WantedBy=multi-user.target
Здесь, в параметре запуска "--socks-server-addr 127.0.0.1:1080" видно, что «tun2socks» будет направлять запросы по адресу socks-прокси сервера. (К примеру, ssh-tunnel из предыдущего способа). Параметры "--netif-ipaddr 10.0.0.2" и "--netif-netmask 255.255.255.0", отвечают за создание «маршрутизатора tun2socks» с адресом 10.0.0.2, на который будут приходить запросы с виртуального интерфейса, указанного в параметре "--tundev tun0...Далее...

VMware Dispatch: новый фреймворк для работы с serverless-приложениями

2017-й стал годом расцвета Kubernetes. Как отметили в RightScale, процент компаний, работающих с Kubernetes, за прошлый год увеличился с 7 до 14%. Kubernetes вошел в пятерку самых популярных DevOps-инструментов, которые «приняли на вооружение» в 2017 году, и стал вторым среди планируемых к внедрению.

Kubernetes стали чаще использовать средние и малые компании. Кроме того, фреймворк уже внедрили и крупные организации — Google, Red Hat, IBM, Microsoft и другие.

Одна из причин популярности платформы — богатый набор инструментов, разрабатываемых на её основе. Одним из таких релизов стал проект VMware Dispatch — фреймворк для создания и работы с serverless-приложениями. В этой статье рассмотрим новый продукт, а также расскажем о его особенностях и возможностях.

Читать дальше →

[Перевод] Введение в современную сетевую балансировку и проксирование


Недавно я осознал нехватку вводных обучающих материалов о современной сетевой балансировке и проксировании. Я подумал: «Почему так? Балансировка нагрузки — одна из ключевых концепций для построения надёжных распределённых систем. Ведь должна быть доступна качественная информация об этом?» Я поискал и обнаружил, что информации мало. Статьи в Википедии о балансировке и прокси-серверах содержат обзоры некоторых концепций, но не могут похвастаться последовательным описанием предмета, особенно в том, что касается современных микросервисных архитектур. Поиск в Google информации о балансировке в основном возвращает сайты вендоров, заполненные модными терминами и скупые на подробности.


В этой статье я постараюсь восполнить нехватку постепенного введения в современную сетевую балансировку и проксирование. По правде сказать, это объёмная тема, достойная целой книги. И чтобы статья не получилась безразмерной, я постарался ряд сложных задач подать в виде простого обзора.

Читать дальше →

[recovery mode] Подключение телефонов Fanvil к 3CX через туннель L2TP на Mikrotik

Введение

В этой статье я опишу свой опыт подключения телефонов Fanvil X2, X3S, X4, X5S и X6 (новая линейка IP-телефонов Fanvil) к серверу 3CX через встроенный в прошивку телефонов VPN-туннель L2TP. Прежде всего, объясню, для чего это нужно. Допустим, у вас есть удаленный сотрудник (или даже несколько) работающий из дома. Вы можете подключить его «домашний офис» по VPN, однако для этого необходимо поддержка VPN со стороны его домашнего роутера и настройка различных ограничений доступа к корпоративным ресурсам из домашней сети этого сотрудника. Вы также можете подключить телефон напрямую через RPS сервер, как описано в этом руководстве. Однако недостаток такого подхода в том, что вам придется открывать SIP-порт 5060 для всего мира. Хотя в 3CX весьма основательная система собственной безопасности, использовать такую конфигурацию следует с осторожностью. Вторая проблема — не все маршрутизаторы «позволяют» IP-телефонам корректно работать через NAT. Кроме того, вы не сможете оперативно подключаться к веб-интерфейсу IP-телефона (ведь он находится в домашней сети пользователя). Хороший способ подключения удаленных пользователей реализует фирменная технология ...Далее...


Последние посты