Category: it

Category was added automatically. Read all entries about "it".

Хозяйке на заметку.



Наступил на интересные грабельки. Связка Mikrotik+Zabbix еще и повышенной жаре в офисе может алрамы слать.

Переехал тут роутер из "коридора" в в место концентрации сетевых железок. И нашлось ему место как раз поверх домашенго Zyxel-я на котором исторически висит гостевой WiFi.

Ну перенес и перенес железяку с места на место. Проверил после перемещения: пинги бекать не перестали и офисные сервисы с наружи доступны. Пошел заниматься другими фИгнями. Перед уходом из офиса краем глаза вижу, что в Zabbix висит предупреждение: Ай-йа-йай, температура процессора более 50 градусов.

Пошел посмотреть на него, чего ему там стало жарко. Оказалось, что Zyxel аки утюг греется. Никогда б не подумал. Валяется он там уже несколько лет и внимания не просит. Переложил микрота рядом на полочку. Полегчало ему сразу.

Untitled-3 copy

Ошибка "Network is unreachable" на KSMG при отправке на некоторые домены.

DSC_0198

После переезда на фильтрацию почты с помощью Kaspersky Secure Mail Gateway при отправке почты в некоторые домены получил кучку не отправленной почты с ошибкой типа:

3F3A419F305 ***@***.ru sert@inter-ex.ru 115.03 КБ 10:27:47 11 дек. 2019 connect to mx1.spaceweb.ru[2a02:408:7722:1:77:222:41:100]:25: Network is unreachable

Везде ошибка указывает на то, что не возможно достучаться до почтовика на IPv6-адресе. Почтовый шлюз проверяет mx-записи домена. Если есть записи не только IPv4, но и IPv6, то почта передается на железку с IPv6.

Поднимать поддержку IPv6 ради десятка писем в неделю очень не хочется. Написал вопрос в техподдержку KSMG и хостеру проблемного домена. Через час хостер ответил что так и должно быть. IPv6 имеет приоритет.

Пришлось искать временный вариант.

В web-интерфейсе KSMG переходим в раздел "Домены". Пишем там правило для проблемного: не искать доменную запись mx, а слать сразу в ip=1.2.3.4. Работает. Но с нюансами. Ну и к косяку придется возвращаться если адресат сменит хостинг.

Техподдержка Касперского после суточного раздумия ответила: попробуйте, пожалуйста, следующее на хосте с KSMG:

В /opt/kaspersky/klms-appliance/share/postfix/main.cf.template
поменять
inet_protocols = all
на
inet_protocols = ipv4

Затем для применения запустить:
/opt/kaspersky/klms-appliance/bin/update_postfix_config.sh


Таким способом все вылечилось.

Новости импортозамещения.

DSC_1230

Тут в сентябре новость пробежала про то что Acronis подняла инвестиций так заметно. Сумма существенная даже для американского рынка. Про российский уж промолчим.

Компания Acronis, занимающаяся киберзащитой, объявила в среду об инвестиционном раунде на сумму $147 млн. Раунд возглавила Goldman Sachs. Представитель Goldman Sachs подтвердил «Ведомостям» эту информацию. Новые акционеры – Goldman Sachs и ее партнеры – получили менее 10% компании. Исходя из этих данных, Acronis оценена более чем в $1,47 млрд. В результате инвестиционного раунда оценочная стоимость компании превысит $1 млрд, говорит Штейнер. Основатели Acronis Сергей Белоусов и Илья Зубарев сохраняют контроль над компанией и владеют более чем 70% акций.

Acronis планирует направить средства на поглощение других компаний, расширение штата инженеров, а также открытие новых центров обработки данных, говорится в сообщении компании. Кроме того, она хочет ускорить рост бизнеса в Северной Америке в партнерстве с Acronis SCS, поставляющей софт для госучреждений.


А прошлой осенью мне нужно было бекапилку для серверов прикупить. Я проторенной дорогой пошёл к продавцу софта от компании с российскими корнями. А мне говорят, извини, у нас тут реорганизация. Продукты для российских пользователей выводим в отдельную компанию и вообще ничего сейчас продать не можем. Сертификация не закончена!!!!

Ну на нет и суда нет. Купил коробочный продукт у другого поставщика. Из складских запасов. Бюджет был что то около 40 тр на один сервер. Acronis backup & recovery 12.5 если кому интересно.

Снова осень, снова нужно нужно обеспечить бекап корпоративных данных. Уже в другом месте и с более другим функционалом. Решил посмотреть решения от конкурентов - Veeam. Механизмы доступа к данным то одинаковые для всех и технологии используются похожие. Раньше с Veeam-ом не задалось. Acronis для моих задач получался дешевле (40 против 70 тысяч). Сейчас Veeam Backup & Replication Standard при единоразовой покупке выходит чуть дороже 70 тр. Запросил цены у реорганизованного продавца Acronis. Прифигел. Старых продуктов нет. Есть новые. Входящие в "единый реестр российских программ для электронных вычислительных машин и баз данных". То что наши государственные заказчики могут покупать. "Acronis Защита Данных Расширенная для платформы виртуализации" - 98 512 рублей. Спасибо. Не надо.

Деньги то в общем бюджете мероприятия не большие, но вот сам подход... А всё начиналось с 35 тр два года назад. За такую же бекапилку виртуального Exchange.

И это. Если не покупать, а брать в аренду решение по сохранности данных (Backup as service), то решение не из реестра выходят дешевле. Как по стоимости клиентского ПО, так и по стоимости мегабайта хранилки бекапов.

Зашел ради интереса на американский сайт. Посмотрел цены. Там полный паритет Acronis vs Veeam. Плюс-минус десятка долларов для одинаковых продуктов. Вот что крест животворящий свободная конкуренция делает.

Untitled-2 copy

Acronis — компания-разработчик системных решений для корпоративных и домашних пользователей по работе с жёсткими дисками, резервным копированием данных, управлению загрузкой операционных систем, редактированию дисков, уничтожению данных и прочих системных средств.
Дата основания: 2003 г., Сингапур
Штаб-квартира: Шаффхаузен, Швейцария

Официальный гимн Управления по вопросам кибербезопасности Китая.

DSC_2944

Светят ярко звезды преданности нашей,
Днем и ночью за доменами следим.

Светят ярко звезды преданности нашей,
Наш союз Сети и Правды - нерушим.

В нашем сердце бьется сила Интернета,
В наших венах инновации текут.

Наша миссия - вести вперед планету,
Наше дело - сеять счастье там и тут.

Братство Сети, Китай кругом и больше ничего.
Братство Сети, на страже процветания Его.
Братство Сети, Китай кргугом и больше ничего.

Нет, я не начал изучать китайский. И не переехал в Китай.
В четверг выпустили новую серию фильма про историю русского Интернета. Там уже дошли до времён разгона Ленты и РБК. Депутат Горелкин с инциативами про Яндекс будет, наверное, всю последнюю серию занимать. А гимн управления кибербезопасности Китая там в финале идёт.

Фотографии с один фотографом трамваев и водителя с мышкой в процессе разбора. Не переключайтесь!

Снес Yandex-браузер

Untitled-3 copy

Пару дней назад вылезло интересное: Yandex-браузер с установленным плагином browsec перестал ходить туда куда было нужно. Потыкал разные страны в browsec. Одна хурма. Полез гуглить про отключение технологии Protect в yandex-браузер. Раньше оно могла отключаться. Временно, но совсем. В последних сборках оно отключается "на всегда", но не полностью. То есть какие то компоненты вообще не отключаемы.

Ну на нет и суда нет. Базар большой, на расстоянии одного клика мышки есть другие и другие приложения.

Да. Тут же в тему. Климарёв вчера, что ли, писал что Firefox выкатил в публичное тестирование DNS over HTTPS. И предположил, что остальные производители софта, увидя эту фишку у конкурента, запилят и у себя тоже.

Недокументированные плюшки использования Kaspersky Security Center 11.

Untitled-2 copy

В ходе разворачивания клиентских антивирусов с использованием Kaspersky Security Center 11 нашлось несколько интересных профитов, не описанных в документации у Касперского.

  1. Индикация нехватки свободного места на рабочих станциях. При централизованном "разлитии" по машинам сотрудников сначала устанавливается "Агент администрирования Kaspersky Security Center". Вес у него "копеечный". Ставиться легко и быстро. А потом уже через него начинает ставиться основной продукт "Kaspersky Endpoint Security". А вот он уже не мелкий. 150 Мб папка с файлами и 800+ Мб папка с базами. Если у пользователя оставалась пара свободных гигабайт на диске, то процесс установки падает и в централизованной консоли появлется запись о недостатке свободного места. Пришлось прореживать папки с установленными hotfix и прочие временные склады файлов.

  2. Автоматическое удаление Microsoft Firewall Client. Начиная с версии 10.3 Kaspersky Endpoint Security он не совместим клиентом для MS TMG Server (инсталятор антивируса замечательно сносит firewall client в автоматическом режиме). Тогда вопрос решался сносом MS FWC, установкой антивируса и установкой FWC уже после этого. У меня в интернет смотрел MS TMG (который уже давно End of Life), установленный на MS Server 2008, который свой земной путь завершит в ближайшем январе. Все равно его нужно выводить из эксплуатации. Решил проехать на этой волне: Поменять TMG-шлюз на современное решение, ни и снести в автоматическом режиме его клиента с рабочих станций. Получилось замечательно.

  3. Анализ "живости" рабочих станций в домене. Это всегда было удобно делать через централизованную консоль управления антивирусом. При первоначальном обследовании сети идет запрос в Active Directory. А там, как водиться, тьма старых машин или вариантов названий User, User-New, User-New-надо-поменять-когда-выйдет-новый-сотрудник. Запускаем установку антивируса. На кого успешно всё встало, тот сейчас актуален. Кто "не возможно разрешить имя" или "узел возможно отключён от сети", тот скорее всего "зомби" и его давно нужно удалить из AD. Есть ньюансы, но вот лучше по моему мнению чем лезть в кишки домена или ставить внешние утилитки для копеешной задачки.

  4. Ценрализованная установка софта и обновлений на рабочие станции. Уже достаточно давно в KSC эта функция влючена (безопасная система-обновленная система). На презантациях по продукту это рассказывали пару лет назад. Если сеть с доменом, то на эти "фишки" как бы и пофиг, а вот если всё живет в рамках "рабочей группы", то эта штука может съэкономить кучу времени на разливку софта и обновлений.

Мониторинг Mikrotik по SNMP

Untitled-3 copy

Задумался о мониторинге загрузки интерфейсов офисного Mikrotik. C The Dude, чего то не сложилось. Решил запустить Zabbix. Пусть железка сама логи собирает, а мне шлет письма, только если уж совсем всё плохо. Ага.

Первая ссылка в выдаче гугля по словам "snmp mikrotik". Тыкаем мышкой и повторяем инструкцию. Однако Mikrotik в Zabbix все еще висит с красным значком "SNMP".

Проверяем из консоли сервера с Zabbix, чего там как с отдачей данных с роутера в базу.

snmpwalk -v1 -c public 192.168.1.254.

(snmpwalk в поставку CentOS 7 не входит. Для установки пишем в консоли yum install net-snmp-utils)

В ответ получаем отлуп по таймауту.

Добрые ребята из merionet.ru забыли написать, что нужно было еще окно прорубить для snmp трафика.

;;; SNMP
      chain=input action=accept protocol=udp dst-port=161,162 log=no
      log-prefix=""

Untitled-4 copy

В сторону сервера Zabbix смотрит интерфейс ether2.

Пишем правило в IP-Firewall, двигаем его как можно выше в списке Filter Rules. Наслаждаемся выдачей команды snmpwalk. После этого значок SNMP против Mikrotik в Zabbix сразу позеленел.

Acronis жрет память.

Untitled-2 copy

Продолжение истории про нашествие вируса шифровальщика. При установке Acronis Backup пользователь сейчас получает кроме удобной бекапилки файлов, баз и писем дополнительную "феньку" Acronis Active Protection. Acronis Active Protection постоянно мониторит изменения файлов на компьютере и изучает закономерности. Поведения некоторых приложений может быть стандартным и ожидаемым. Поведение других приложений может сигнализировать об агрессивных действиях в отношении данных. Технология Acronis наблюдает за этими действиями и сравнивает их с вредоносными моделями поведения. Такой подход может быть эффективным для выявления атак с использованием программ-вымогателей, даже если они в данный момент еще не известны. Штука может отключаться. Из "коробки" не включена. Нужно идти "устройства"-"все устройства"-"активная защита" и "применить".

Однако на сервере после этого чего стало резко не хватать памяти под пользовательские задачи. Физически установлено 8Гб, под систему и задачи отъедалось до 3Гб в спокойном состоянии. А тут по наблюдениям стало всегда занято 7+Гб. Чуть какая дополнительная пользовательская нагрузка, так сразу всё ужас-ужас становится. При чем если в диспетчере задач просуммировать все строчки, то набирается как раз 2-2.5Гб. Где остальное - вопрос!

Полез разбираться. Запустил RamMap из комплекта утилит Русиновича. Утилитка показала, что вся потерянная память в nonpaged pool (по русски "не выгружаемый пул" в диспетчере задач WIndows 10). Гугль предположил что это драйвер чего то "напортачил" и направил в сторону Poolmoon из комплекта Windows Driver Kit (WDK) для дальнейших раскопок.

давим p  - отображаются только потребители nonpool area
давим b - процессы отсортируются по размеру потребляемой памяти
видим в топе по потребляемой памяти что то вида #A02

дальше в командной строке пишем findstr /m /l /s #A02 C:\Windows\System32\drivers\*.sys и видим, что память "выел" file_protector.sys. А это и есть как раз компонент Acronis Active Protection. В интрефейсе Acronis Backup отключаем этот компонент и видим, что свободной памяти в системе становится больше на 3 с лишком гигабайта.

Думаем что дальше дальше: памяти доставлять или жить дальше без компонента защиты от шифровальщиков.

В ходе "боданий" с Acronis Backup 12.5 выяснилась еще одна интресная подробность. Оно не умеет выгружать данные по SFTP на сервера не под Linux. Пробовал поставить CoreFTP под Windows. Клиент (ну типа WinSCP хотя бы) к этому серверу обратиться может, и Acronis Backup хранилище видит, но план бекапа, нацеленный на это хранилище падает с ошибкой. Техподдержка Acronis сказала не умничать и использовать линух-сервер для хранилища. Пришлось поднимать в хозяйстве еще и виртуалку с CentOS minimal с ролью хранилки бекапов.

Про Фельдъегерь 4.0

Untitled-3 copy

Ключи компаний подошли к концу. Нужно продлевать на очередной год. Внезапно выяснилось: старая система шифрования внутри Фельдъегеря LISSI-CSP перестает работать (кто то с кем то не договорился наверное про корпоративные лицензии).  Теперь будет всё бегать через Crypto Pro. Однако во первых лицензия на Crypto Pro стоит денег (копейки, но что бы из своего кармана не покупать это нужно учесть в бюджете обновления), а во вторых Crypto Pro с Lissi на одной машине не живёт.

Выход такой: либо все организации махом переводим на новые ключи, либо разносим Фельдъегерей с разным шифрованием по разным машинам. Тут уже ценник не 2700 рублей в год...

Collapse )

Lenovo E570 апгрейд железа.



Попала тут в руки достаточно свежая машинка Lenovo Thinkpad E570. Конфигурация с i5, четырьмя гигабайтами памяти и диском SATA на 1Тб. Под установленной на заводе десяткой машина откровенно не быстрая. Клиент подзаколебался ждать пока "стартанет" Word или Firefox. Решили поменять диск на SSD. Ну коли всё равно внутрь лезть, то и памяти доставили еще 4Гб. Машинка взбодрилась. Работать сразу стало комфортно. Диск и память находится под крышкой на попе, нужно открутить два винта часовой отверткой. Корпус разбирать не надо, что есть большой плюс этой модели.

Из грабелек, по которым в ходе улучшения производительности пришлось пройтись:

  • Загрузка машины идет только с UEFI. Для того что бы загрузиться с чего нибудь отличного от родного диска идем в BIOS (по F1 при включении) и правим всё там как нам надо.

  • Заводская Windows 10 пользователя не устроила. Пришлось откатываться на Windows 7. Операционная система встала нормально, НО из-за того что все порты USB 3.0, а дров в дистрибутиве W7 нет, то пришлось диск из ноута подключать к большому компу и заливать драйвера там.

  • Драйвера проводной сети встали как родные, а вот беспроводная сеть ака RTL 8821CE не смотря на то что становятся, но не работают (не подписаны должным образом). При загрузке жмем F8 и выбираем последний пункт меню "загружать не подписанные драйвера". Живет это до следующей перезагрузки. Что бы побороть на постоянной основе идем на сайт RealTek и просим драйверов. Они присылают ссылку на подписанную версию от конца 2017 года. Работает вроде.

  • Lenovo System Update после этого старательно все устанавливает и прошивает новый BIOS. А после перезагрузки еще обновляет FirmWare на Intel ME. Все обновления прошивок, понятное дело, идут только на питании от сети.