IT is Easy

Тонкости работы pfsense в среде vmware

Pfsense — отличные опенсорсные межсетевые экраны. Я писал в своем блоге уже о них в статье «Сложный NAT на pfsense». В их процессе эксплуатации возникает ряд нюансов, про которые лучше знать заранее. И, учитывая их, заблаговременно планировать свою инфраструктуру. Между тем, виртуализация вычислительных ресурсов под управлением систем VMware преобладает в современном IT мире. С моей точки зрения и опыта, другие системы виртуализации не дают таких возможностей, а также удобства в работе. Все что написано в этой статье, почерпнуто из опыта работы на продуктах Vsphere. Тем не менее, я думаю, что это будет полезно, даже если Вы используете pfsense и в других виртуальных средах.

В статье расскажу о том, как избежать некоторых неприятных нюансов при работе с межсетевыми экранами pfsense. Это касается добавления новых сетевых интерфейсов в наш фаервол. Как оказалось это не совсем тривиальная задача. Потом затрону проблему с измененим очередности виртуальных сетевых интерфейсов после перенастройки фаервола. Также рассмотрим простоту и удобство кластеризации pfsense. И затронем проблему, которая возникает если в Вашей сети или сети Вашего провайдера работает также протокол VRRP.

Контролируем уязвимости с OpenVAS

Тематика обнаружения и контроля за уязвимостями в сети актуальна для любого специалиста по Информационной Безопасности. Не важно занимаетесь Вы построением системы защиты IT инфраструктуры, проводите пентесты или аудиты информационной безопасности. Уязвимости в программном обеспечении и оборудовании — это наиболее критический момент, который в большинстве случаев позволяет злоумышленникам получить несанкционированный доступ к IT ресурсам. Я сам в свое время долгое время проработал в компании системном интеграторе. И прекрасно знаю о коммерческих решениях по поиску уязвимостей. Это и Qualys, и Nessus. И ряд прочего аналогичного программного обеспечения. Такие продукты шикарно закрывают вопрос с поиском уязвимостей в сети. Но обладают недостатком в необходимости ежегодно платить хорошую сумму в у.е. за подписку на них. К тому же Qualys — это полностью облачный продукт. И для меня, например, нет 100 процентной уверенности, что данные из этого облака не утекают в ЦРУ или АНБ.

Опенсорсное решение OpenVAS позволяет создать систему по анализу уязвимостей в сети организации или дома. Да, при этом Вам придется посложнее, чем при работе с Qualys. Но думаю, что при работе с любым Open Source продуктом инженеру приходится проявлять ум и смекалку. Если говорить общими словами, то OpenVAS поддерживают большую базу уязвимостей, которая постоянно пополняется. Он позволяет без ограничений по количеству ip адресов проводить сканирования. Чем больше Вы выделите ему компьютерных мощностей, тем более производительным он будет. Кроме того OpenVAS позволяет создавать сканирования сети по расписанию c отправкой оповещений о проделанной работе, например, по электронной почте. Все это, а также прочие возможности продукта, делают OpenVAS отличным претендентом на сканер уязвимостей в сети организации.

Управляем логами с ELK

Сколько себя помню в IT профессии, анализ и обработка логов — были всегда актуальной задачей. Оборудование и программное обеспечение постоянно генерируют лог записи о своей жизнедеятельности. И чем больше у Вас техники под управлением, тем больше массив данных, который ежедневно генерируется. Раньше были очень дорогие платные решения, типа HP ArcSight Logger, а также бесплатные опенсорсные как Adiscon LogAnalyzer. Но если первый тип продуктов, во-первых, был очень дорогим и недоступным для многих, а во-вторых, крайне «тяжелым» в эксплуатации. То второй тип программного обеспечения давал очень мало нужного функционала, слабо масштабировался и плохо проводил аналитику имеющихся логов. С приходом на IT сцену ELK — картина радикально поменялась. ELK или комплекс продуктов на базе Elastic Stack эффективно позволяет решать любые задачи с обработкой, хранением и визуализацией массивов логов различных устройств и программного обеспечения.

Сам по себе стек Elastic состоит из ряда отдельных продуктов, таких как Elasticsearch, Kibana, Logstash и ряда других. Однако все они взаимодополняют друг друга, работая как одно общее целое. Поэтому, принято говорить о работе всего стека ELK, который обрабатывает массив поступающей информации, позволяя ее эффективно анализировать и визуализировать. Elasticsearch — это ядро всего этого комплекса, которое отвечает за поиск нужной информации во всем массиве данных. Kibana — красивая визуальная среда, которая позволяет комфортно взаимодействовать с системой ELK ее пользователям. Ну а Logstash — это программное обеспечение, ответственное за прием данных из внешних источников и их обработку таким образом, чтобы дальше было легко их искать и анализировать.

Защита веб приложений с nginx

Частенько в процессе работы в IT возникает задача организовать защищенное быстрое функционирование того или иного веб приложения. У кого-то используются свои самописные приложения. У кого-то это сторонние готовые приложения. Но при этом приложения могут работать без аутентификации, либо при запуске использовать большой объем ОЗУ. Это, как правило, приложения на JAVA, Python и т.д., которые запускаются напрямую без использования веб сервера. В принципе, они конечно могут работать и таким образом. Но, в реальных продакшн условиях, это неэффективно с точки зрения компьютерных ресурсов. А также не секьюрно с точки зрения информационной безопасности. Во всех подобных случаях настоятельно советую использовать Nginx веб сервер как реверс прокси для Вашего приложения.

Основные преимущества такой конфигурации просты и очевидны. Во-первых, основная нагрузка по взаимодействию с клиентами перкладывается на профессиональный веб сервер. Nginx с этим делом справляется просто на УРА с минимальными затратами процессора и памяти. Во-вторых, возможность с легкостью устанавливать пароль для доступа к данному приложению. В организационной рабочей среде, приложение без пароля просто находка для хакера. Ну и в-третьих, быстрая настройка доступа через HTTPS протокол, что обеспечивает безопасность передачи данных по сети. Если у Вас публичный сервис, то Вы также можете настроить сертификат с помощью LetsEncrypt, о чем ранее писал в статье на этом блоге. Если сервис непубличный, то придется использовать свои самоподписанные сертификаты.

Деловая этика в IT

Последнее время частенько думаю о такой вещи как «Деловая Этика» в Информационных Технологиях. Вроде бы, что тут такого и зачем об этом думать. Есть общие правила деловой этики в бизнесе, которые необходимо соблюдать Но специфика IT все-таки накладывает определенные особенности на профессиональную деятельность. Из моего опыта, большинство фирм не обращает выделено внимание на этот вопрос. Как правило, по мере возникновения проблем, люди выстраивают те или иные правила или запреты в организации. Для себя эти правила были всегда каким-то неформализованным кодексом. Тут хотелось бы обобщить все то, с чем сталкивался в работе в IT сфере с точки зрения деловой этики. Я думаю, что подобные определенные правила должны быть формализованы внутри любой организации. И они должны доноситься в явной форме до всех сотрудников, задействованных в IT.

Привожу ниже основные принципы деловой этики ITшника, которые выработались у меня за годы работы. Конечно же, по большому счету, они все вытекают из общих правил этики и морального воспитания. И они, по сути, являются составной частью профессионализма. Без них сложно себе представить эффективную работу IT специалиста выского уровня. Да и, наверное, специалиста любого уровня, который не соблюдает эти правила лучше не видеть в своей команде или своем окружении.

Защищаем свой сайт с LetsEncrypt

В Интернете часто приходится видеть много веб сайтов, которые работают только по протоколу http. Также можно наблюдать использование протокола https с самоподписанными сертификатами в глобальной паутине. Для больших организаций это выглядит, как минимум, не серьезно. А как максимум, это и настоящая угроза безопасности при передаче данных между сайтом и клиентами. Если Вы используете пароли, какие-то админки управления на сайте, то без шифрования с помощью https, весь Ваш трафик может быть легко перехвачен и просмотрен. Поэтому, использование шифрования для передачи веб трафика в современном мире это не каприз, а важная необходимость. Для корректного использования протокола https на веб сайте в Интернете необходим цифровой сертификат, который будет выпущен общепризнанным мировым Центром Сертификации. Как правило, такие сертификаты стоят денег, и зачастую хороших денег. Но, сервис letsencrypt позволяет free of charge получить нужные сертификаты на свой веб сайт. Для блогера или особенно человека, который не получает монетизации от своего веб ресурса, это особенно важно и полезно.

В этой небольшой статье хотелось бы поделиться тем, как каждый владелец веб сайта, может настроить шифрование и протокол HTTPS на своем сервере. С моей точки зрения, сервис letsencrypt — просто огромная находка для любого сайтодержателя. Для автоматизации всего процесса получения и обновления цифровых сертификатов используется certbot. При этом поддерживаются популярные веб платформы и методы использования https сертификатов.

Подсказки по утилите Git

Уровень проникновения инфраструктуры Git, GitHub, GitLab в ITшную работу и жизнь просто колосальный. С этими системами приходится сталкиваться постоянно в том или ином виде. Утилита git в современных операционных системах идет, как правило, предустановленной. При желании или необходимости она легко устанавливается из исходников или различных репозитариев. Git — сегодня представляет не просто фреймворк для системы контроля версия, а целую философию и своеобразную экосистему для всех разновидностей программного кода. Для того, чтобы нормально работать с этой платформой нужны определенные базовые знания. Составил для себя основные команды утилиты git, которые применяются в работе. Для ведения локальной разработки этих возможностей на первом этапе будет достаточно.

Сложный NAT на pfsense

Есть прекрасные коммерческие межсетевые экраны, такие как CheckPoint или Cisco ASA. Однако, среди Open Source решений есть такой отличный продукт, как pfSense, который составляет им серьезную конкуренцию. Он решает большинство аналогичных задач в области информационной безопасности по защите периметра сети. Для pfsense заявлена поддержка пропускной способности до 10 Гб/с. Для получения еще больших скоростей вендором предлагается приобретать платную версию данного фаервола. Но не в этом суть, и не об этом хотелось написать заметку. Упомяну для общей информации, что pfsense работает на базе FreeBSD. В последние годы, большинство разработчиков выбирает для своих продуктов Linux. Девелоперы pfsense тут являются одним из редких исключений. Данный опен сорсный фаервол по сути включает в себя ряд других общедоступных разработок. Но скомпилировано это очень грамотно и элегантно. И все вместе позволяет защищать свою сеть на высоком уровне без лишних платежей производителям.

Немного о блогинге

Ведя более полугода свой блог, хотелось бы поделиться мнением, какие плюсы я вижу в этом, а также зачем все это нужно. Ведение блога или блогинг может выражаться в различных формах. Это и свой сайт, и telegram канал, и страничка в Instagram или Youtube, не говоря уже про возможности Facebook и других аналогиных социальных сетей. Вариантов самовыражения современные средства Интернета предоставляют множество. И, как правило, различные тематики хорошо заходят на различных платформах. Скажем, если Вы любите готовить и рассказывать об этом, то Instagram Ваш лучший друг при этом. Специфика Информационных Технологий другая. Тут более информативным является текст и код. Поэтому в этой области преобладают блоги с текстовым наполнением. Как пример, в русскоязычном сегменте Интернета в области IT очень популярна площадка — habr.com. Обобщив, можно сказать, что доступных возможностей для самовыражения каждый человек в современном мире имеет огромное множество.

Если говорить, конкретно про меня, то на выбор формата блога повлияло несколько обстоятельств. Во-первых, у меня давно было желание делиться своими размышлениями и знаниями в области IT. А для этого требуется объяснение определенных специфичных терминов и масса логических выражений во время объяснения. Соответственно формат блога подразумевал текстовый формат. Во-вторых, мне хотелось иметь полностью независимый свой сайт с блогом. Это позволяет понять все кухню работы веб приложения. Вы сами «взращиваете» свой сайт, и как любой нормальный создатель окунаетесь в тонкости работы всех технологий лежащих за этим. Этот опыт отразился в рубрике блога о WordPress.

Тестируем Ansible роли с Molecule

Времена меняются, системные администраторы постепенно становятся DevOps-ами. И соответственно в работу администратора постепенно проникают элементы программирования и QA тестирования. Так при написании Ansible ролей, можно самому проверять их с использованием виртуальных машин или используя автоматизацию на Vagrant. Однако, программный продукт Molecule позволяет еще более комплексно автоматизировать процесс тестирования. А кроме того добавляет возможность по созданию собственных функциональных тестов с помощью модулей testinfra и pytest. То есть мало того, что Molecule автоматически проверит работоспособность действий из Ansible роли, но и запустит специфичные тесты, которые придется написать нам самим, по проверке состояния тех или иных частей системы, после отработки роли. Таким образом, часть нашей работы превращается в настоящее QA тестирование. И что самое интересно, это необходимая работа, без которой не обойтись в современных реалиях. Ansible роли могут применяться на сотнях и тысячах серверах, их полноценное тестирование просто необходимо для дальнейшей спокойной работы.

TDD — Test Driven Development, подход к работе при котором происходит постоянное тестирование для проверки работоспособности программного кода. В нашем случае использование Molecule для Ansible ролей позволяет вести профессиональную их разработку по методике TDD. Это обеспечивает постоянную целостность и корректность создаваемого кода.