Category: it

Частенько так бывает



На баше сегодня было утром.

Самая ржака начинается, когда у сисадмина дома начинаются проблемы с кабельным интернетом и он звонит в техподдержку, а его просят перезагрузить роутер по питанию и всячески отрицают, что проблема на стороне провайдера. А еще, узнав что вместо их фирменного роутера (китайского говна по цене циски), стоит какой нибудь самопальный шлюз на фряхе или какой нибудь микротик, начинают говорить - мы это оборудование не поддерживаем и вообще вы сами во всем виноваты. Сцена напоминает сцепившихся котов в борьбе за территорию.

Да, вчера закопал стюардессу завершилась эпоха. Вывел пару машин на Windows XP из домена под управлением Server 2019.

Microsoft Edge на движке Chromium

Untitled-23copy

Новость прошлой осени: Microsoft свой флагманский браузер переводит на движок Cromium. Они там что, просрали все полимеры? Выглядит как "Рок против наркотиков, пчёлы против мёда."

У владельцев Windows 10 обновление Egde должно было приехать в сервиспаке 1909. Прошло оно мимо меня. Поставил вот только после нового года, посмотреть как оно там. И, внезапно, оно мне нравится. Страницы, для которых я держал IE 11 теперь открыты в Edge. Если до этого потребление памяти было 300-500Мб, то сейчас все умещается в 50. Сам Хром на этой же машине бывает запустит себя в десяти экземлерах и жрет память как не в себя. А с Edge этого пока не наблюдается.

На Windows 7 встало. Для проведения экперимента ставить десятку не обязательно.

Что называется, продолжаем наблюдения.

Хозяйке на заметку.



Наступил на интересные грабельки. Связка Mikrotik+Zabbix еще и повышенной жаре в офисе может алрамы слать.

Переехал тут роутер из "коридора" в в место концентрации сетевых железок. И нашлось ему место как раз поверх домашенго Zyxel-я на котором исторически висит гостевой WiFi.

Ну перенес и перенес железяку с места на место. Проверил после перемещения: пинги бекать не перестали и офисные сервисы с наружи доступны. Пошел заниматься другими фИгнями. Перед уходом из офиса краем глаза вижу, что в Zabbix висит предупреждение: Ай-йа-йай, температура процессора более 50 градусов.

Пошел посмотреть на него, чего ему там стало жарко. Оказалось, что Zyxel аки утюг греется. Никогда б не подумал. Валяется он там уже несколько лет и внимания не просит. Переложил микрота рядом на полочку. Полегчало ему сразу.

Untitled-3 copy

Ошибка "Network is unreachable" на KSMG при отправке на некоторые домены.

DSC_0198

После переезда на фильтрацию почты с помощью Kaspersky Secure Mail Gateway при отправке почты в некоторые домены получил кучку не отправленной почты с ошибкой типа:

3F3A419F305 ***@***.ru sert@inter-ex.ru 115.03 КБ 10:27:47 11 дек. 2019 connect to mx1.spaceweb.ru[2a02:408:7722:1:77:222:41:100]:25: Network is unreachable

Везде ошибка указывает на то, что не возможно достучаться до почтовика на IPv6-адресе. Почтовый шлюз проверяет mx-записи домена. Если есть записи не только IPv4, но и IPv6, то почта передается на железку с IPv6.

Поднимать поддержку IPv6 ради десятка писем в неделю очень не хочется. Написал вопрос в техподдержку KSMG и хостеру проблемного домена. Через час хостер ответил что так и должно быть. IPv6 имеет приоритет.

Пришлось искать временный вариант.

В web-интерфейсе KSMG переходим в раздел "Домены". Пишем там правило для проблемного: не искать доменную запись mx, а слать сразу в ip=1.2.3.4. Работает. Но с нюансами. Ну и к косяку придется возвращаться если адресат сменит хостинг.

Техподдержка Касперского после суточного раздумия ответила: попробуйте, пожалуйста, следующее на хосте с KSMG:

В /opt/kaspersky/klms-appliance/share/postfix/main.cf.template
поменять
inet_protocols = all
на
inet_protocols = ipv4

Затем для применения запустить:
/opt/kaspersky/klms-appliance/bin/update_postfix_config.sh


Таким способом все вылечилось.

Новости импортозамещения.

DSC_1230

Тут в сентябре новость пробежала про то что Acronis подняла инвестиций так заметно. Сумма существенная даже для американского рынка. Про российский уж промолчим.

Компания Acronis, занимающаяся киберзащитой, объявила в среду об инвестиционном раунде на сумму $147 млн. Раунд возглавила Goldman Sachs. Представитель Goldman Sachs подтвердил «Ведомостям» эту информацию. Новые акционеры – Goldman Sachs и ее партнеры – получили менее 10% компании. Исходя из этих данных, Acronis оценена более чем в $1,47 млрд. В результате инвестиционного раунда оценочная стоимость компании превысит $1 млрд, говорит Штейнер. Основатели Acronis Сергей Белоусов и Илья Зубарев сохраняют контроль над компанией и владеют более чем 70% акций.

Acronis планирует направить средства на поглощение других компаний, расширение штата инженеров, а также открытие новых центров обработки данных, говорится в сообщении компании. Кроме того, она хочет ускорить рост бизнеса в Северной Америке в партнерстве с Acronis SCS, поставляющей софт для госучреждений.


А прошлой осенью мне нужно было бекапилку для серверов прикупить. Я проторенной дорогой пошёл к продавцу софта от компании с российскими корнями. А мне говорят, извини, у нас тут реорганизация. Продукты для российских пользователей выводим в отдельную компанию и вообще ничего сейчас продать не можем. Сертификация не закончена!!!!

Ну на нет и суда нет. Купил коробочный продукт у другого поставщика. Из складских запасов. Бюджет был что то около 40 тр на один сервер. Acronis backup & recovery 12.5 если кому интересно.

Снова осень, снова нужно нужно обеспечить бекап корпоративных данных. Уже в другом месте и с более другим функционалом. Решил посмотреть решения от конкурентов - Veeam. Механизмы доступа к данным то одинаковые для всех и технологии используются похожие. Раньше с Veeam-ом не задалось. Acronis для моих задач получался дешевле (40 против 70 тысяч). Сейчас Veeam Backup & Replication Standard при единоразовой покупке выходит чуть дороже 70 тр. Запросил цены у реорганизованного продавца Acronis. Прифигел. Старых продуктов нет. Есть новые. Входящие в "единый реестр российских программ для электронных вычислительных машин и баз данных". То что наши государственные заказчики могут покупать. "Acronis Защита Данных Расширенная для платформы виртуализации" - 98 512 рублей. Спасибо. Не надо.

Деньги то в общем бюджете мероприятия не большие, но вот сам подход... А всё начиналось с 35 тр два года назад. За такую же бекапилку виртуального Exchange.

И это. Если не покупать, а брать в аренду решение по сохранности данных (Backup as service), то решение не из реестра выходят дешевле. Как по стоимости клиентского ПО, так и по стоимости мегабайта хранилки бекапов.

Зашел ради интереса на американский сайт. Посмотрел цены. Там полный паритет Acronis vs Veeam. Плюс-минус десятка долларов для одинаковых продуктов. Вот что крест животворящий свободная конкуренция делает.

Untitled-2 copy

Acronis — компания-разработчик системных решений для корпоративных и домашних пользователей по работе с жёсткими дисками, резервным копированием данных, управлению загрузкой операционных систем, редактированию дисков, уничтожению данных и прочих системных средств.
Дата основания: 2003 г., Сингапур
Штаб-квартира: Шаффхаузен, Швейцария

Официальный гимн Управления по вопросам кибербезопасности Китая.

DSC_2944

Светят ярко звезды преданности нашей,
Днем и ночью за доменами следим.

Светят ярко звезды преданности нашей,
Наш союз Сети и Правды - нерушим.

В нашем сердце бьется сила Интернета,
В наших венах инновации текут.

Наша миссия - вести вперед планету,
Наше дело - сеять счастье там и тут.

Братство Сети, Китай кругом и больше ничего.
Братство Сети, на страже процветания Его.
Братство Сети, Китай кргугом и больше ничего.

Нет, я не начал изучать китайский. И не переехал в Китай.
В четверг выпустили новую серию фильма про историю русского Интернета. Там уже дошли до времён разгона Ленты и РБК. Депутат Горелкин с инциативами про Яндекс будет, наверное, всю последнюю серию занимать. А гимн управления кибербезопасности Китая там в финале идёт.

Фотографии с один фотографом трамваев и водителя с мышкой в процессе разбора. Не переключайтесь!

Снес Yandex-браузер

Untitled-3 copy

Пару дней назад вылезло интересное: Yandex-браузер с установленным плагином browsec перестал ходить туда куда было нужно. Потыкал разные страны в browsec. Одна хурма. Полез гуглить про отключение технологии Protect в yandex-браузер. Раньше оно могла отключаться. Временно, но совсем. В последних сборках оно отключается "на всегда", но не полностью. То есть какие то компоненты вообще не отключаемы.

Ну на нет и суда нет. Базар большой, на расстоянии одного клика мышки есть другие и другие приложения.

Да. Тут же в тему. Климарёв вчера, что ли, писал что Firefox выкатил в публичное тестирование DNS over HTTPS. И предположил, что остальные производители софта, увидя эту фишку у конкурента, запилят и у себя тоже.

Прямо сейчас в войска поступает.

DSC_0181-1

Стенд Mikrotik на МАКС 2019. Посмотрел вчера на хранилку от отечественного производителя для закона "Яровой". Удобно, чо. Создаем себе трудности, а потом героически их преодалеваем.

Фоточки самолётов лежат тут. Смотрим и лайкаем.

Недокументированные плюшки использования Kaspersky Security Center 11.

Untitled-2 copy

В ходе разворачивания клиентских антивирусов с использованием Kaspersky Security Center 11 нашлось несколько интересных профитов, не описанных в документации у Касперского.

  1. Индикация нехватки свободного места на рабочих станциях. При централизованном "разлитии" по машинам сотрудников сначала устанавливается "Агент администрирования Kaspersky Security Center". Вес у него "копеечный". Ставиться легко и быстро. А потом уже через него начинает ставиться основной продукт "Kaspersky Endpoint Security". А вот он уже не мелкий. 150 Мб папка с файлами и 800+ Мб папка с базами. Если у пользователя оставалась пара свободных гигабайт на диске, то процесс установки падает и в централизованной консоли появлется запись о недостатке свободного места. Пришлось прореживать папки с установленными hotfix и прочие временные склады файлов.

  2. Автоматическое удаление Microsoft Firewall Client. Начиная с версии 10.3 Kaspersky Endpoint Security он не совместим клиентом для MS TMG Server (инсталятор антивируса замечательно сносит firewall client в автоматическом режиме). Тогда вопрос решался сносом MS FWC, установкой антивируса и установкой FWC уже после этого. У меня в интернет смотрел MS TMG (который уже давно End of Life), установленный на MS Server 2008, который свой земной путь завершит в ближайшем январе. Все равно его нужно выводить из эксплуатации. Решил проехать на этой волне: Поменять TMG-шлюз на современное решение, ни и снести в автоматическом режиме его клиента с рабочих станций. Получилось замечательно.

  3. Анализ "живости" рабочих станций в домене. Это всегда было удобно делать через централизованную консоль управления антивирусом. При первоначальном обследовании сети идет запрос в Active Directory. А там, как водиться, тьма старых машин или вариантов названий User, User-New, User-New-надо-поменять-когда-выйдет-новый-сотрудник. Запускаем установку антивируса. На кого успешно всё встало, тот сейчас актуален. Кто "не возможно разрешить имя" или "узел возможно отключён от сети", тот скорее всего "зомби" и его давно нужно удалить из AD. Есть ньюансы, но вот лучше по моему мнению чем лезть в кишки домена или ставить внешние утилитки для копеешной задачки.

  4. Ценрализованная установка софта и обновлений на рабочие станции. Уже достаточно давно в KSC эта функция влючена (безопасная система-обновленная система). На презантациях по продукту это рассказывали пару лет назад. Если сеть с доменом, то на эти "фишки" как бы и пофиг, а вот если всё живет в рамках "рабочей группы", то эта штука может съэкономить кучу времени на разливку софта и обновлений.

Мониторинг Mikrotik по SNMP

Untitled-3 copy

Задумался о мониторинге загрузки интерфейсов офисного Mikrotik. C The Dude, чего то не сложилось. Решил запустить Zabbix. Пусть железка сама логи собирает, а мне шлет письма, только если уж совсем всё плохо. Ага.

Первая ссылка в выдаче гугля по словам "snmp mikrotik". Тыкаем мышкой и повторяем инструкцию. Однако Mikrotik в Zabbix все еще висит с красным значком "SNMP".

Проверяем из консоли сервера с Zabbix, чего там как с отдачей данных с роутера в базу.

snmpwalk -v1 -c public 192.168.1.254.

(snmpwalk в поставку CentOS 7 не входит. Для установки пишем в консоли yum install net-snmp-utils)

В ответ получаем отлуп по таймауту.

Добрые ребята из merionet.ru забыли написать, что нужно было еще окно прорубить для snmp трафика.

;;; SNMP
      chain=input action=accept protocol=udp dst-port=161,162 log=no
      log-prefix=""

Untitled-4 copy

В сторону сервера Zabbix смотрит интерфейс ether2.

Пишем правило в IP-Firewall, двигаем его как можно выше в списке Filter Rules. Наслаждаемся выдачей команды snmpwalk. После этого значок SNMP против Mikrotik в Zabbix сразу позеленел.