IT is Easy

Настраиваем iphone с помощью профилей

Для большинства пользователей телефонов и планшетов Apple — эти устройства являются красивыми игрушками и гаджетами, которые требуют минимум конфигурации и настроек. Как считает один мой товарищ, это детище Стива Джобса сильно отупляет население, благодаря тому, что при его использовании от человека требуется минимум интеллектуальных усилий для использования. Во многом я согласен с этим утверждением. Но если немного углубиться в работу этих девайсов, можно и поменять свою точку зрения. Для тех, кто не хочет быть в общей массе юзеров, поглощающих продукты жизнедеятельности IOS гаджетов, рекомендую приглядеться к программному продукту Apple Configurator.

Именно с помощью этого программного обеспечения можно проводить централизованную настройкй IOS устройств, вытаскивать логи работы той или иной программы на iphone или ipad. А также конфигурировать такие параметры на гаджетах, которые в обычном пользовательском интерфейсе недоступны. Еще одним достоинством данного программного обеспечения, является использование конфигурационных файлов для гаджетов в формате XML. И это позволяет создавать и легко редактировать эти файлы для множества гаджетов, что делает вопросы администрирования очень удобным.

IT инфраструктура для стартапа в Узбекистане (часть 1)

Недавно на встрече со своими друзьями меня спросили, почему я пишу в блоге о каких-то гиковских вещах, которые мало кому понятны. При этом мало уделяю внимание реальным проблемам, которые актуальны в стране и в моем ближайшем окружении. На это я только и готов был ответить, что пишу о том, что мне самому интересно в данный момент. Когда-то я уже выражался на этом сайте по поводу моей личной мотивации при написании статьей в заметке «Немного о блогинге». Однако, спасибо тебе, Фаррух Караматов, за правильные идеи о том, что нужно давать информацию, которая будет практически востребована окружающим тебя сообществом. Не надо слишком сильно отрываться от действительности и летать в облаках, когда тут и сейчас это не востребовано. Кстати, всем рекомендую Фарруха как генератора идей в области IT. Это один из немногих людей, которые видят реальные возможности использования технологий на практике и старается это применить в работе.

Но давайте вернемся к озвученной теме данной статьи. Идея, подсказанная Фаррухом — рассказать о том как построить IT инфраструктуру для вновь создаваемого стартапа. Для тех, кто постоянно варится в данной теме, это кажется банальной вещью, про которую особо и не стоит рассказывать. Для меня на текущий момент есть гораздо более интересные вещи, о которых хочется говорить и писать. Однако, спрос рождает предложение, и если в окружении есть большое количество людей, которые хотят прокачаться в этом — надо обязательно дать им такую возможность, помочь и показать путь в нужном направлении. Несколько полезных советов для такой ситуации я уже публиковал в статье на Хабре — Советы по организации IT в малом бизнесе. Все что там написано, взято из моей реальной практики работы с IT системами в различных организациях. Тут хотелось бы продолжить и показать как подходить к построению IT инфраструктуры для «чайников» из бизнеса.

Сертификация в ИБ — CISSP

Хотелось бы написать небольшую статью об одной из самых популярных сертификаций в области информационной безопасности — CISSP. Сертификация, как ни крути, одна из важных частей образования и профессии в IT вообщем, и в Информационной Безопасности в частности. Мы можем много и долго учиться, быть экспертами в различных сферах, но при этом для потенциальных работодателей или заказчиков это будет оставаться тайной за семью печатями. Если веб дизайнер или программист сайтов в качестве портфолио может предъявить свои функционирующие работы в Интернете, то для специалиста в области ИБ все не так просто и очевидно. Хорошо, если Вас знают лично и осведомлены о Ваших конкретных работах. Однако в жизни такое бывает далеко не всегда. И в этих случаях именно всемирно признанная сертификация способна подтвердить, что Вы являетесь экспертом в своем деле.

Страны Запада уже давно эффективно используют сертификацию знаний и навыков специалистов в различных отраслых. Без соответствующий корочки или диплома нельзя и представить, что Вы сможете работать медиком или юристом. Аналогично и в отрасли кибер безопасности. Если у Вас нет соответствующего диплома или сертификата соответствия, то Вы, наврятли, сможете работать в серьезной организации или с серьезными заказчиками. Широко признанных повсеместно сертификаций в области ИБ не так много. Их можно пересчитать по пальцам одной руки. И CISSP от ISC2 — именно одна из них. ISC2 или International Information Systems Security Certification Consortium — некоммерческая организация, объединяющая экспертов по кибер безопасности разных направлений. Организация не занимается выпуском программного обеспечения или оборудования в сфере ИБ. Являясь независимой от различных вендоров, она позволяет оценивать степень профессионализма, не привязываясь к конкретным техническим решениям. У ISC2 есть несколько сертификаций различных направлений кибер безопасности. Но, пожалуй, именно CISSP или Certified Information Systems Security Professional является ключевой. О моем личном опыте с данной сертификацией и написана эта статья.

Немного о цифровых сертификатах X509

С цифровыми сертификатами сейчас сталкивается любой житель страны, даже глубоко не разбирающий в IT. Банальный пример, чтобы получить ряд сервисов в «Центре Гос Услуг» необходима ЭЦП. Или другой простой повседневный образец использования цифровых сертификатов — доступ к веб серверу по протоколу HTTPS. Мы, используя эти технологии шифрования и безопасности, даже не задумываемся о той подводной части IT айсберга под ними. Тут не буду углубляться в дебри теории. Об этом написано много талмудов и трудов. Поговорим о практике и конкретно об утилите OpenSSL и ее использовании для работы с сертификатами, ключами ассиметричного шифрования и прочими нюансами.

Как правило, для ассиметричного шифрования и подлинности используются ключи RSA. Есть конечно же и варианты с Elliptic-curve и чем-то еще более экзотичным, но в повседневной практике такого использования практически не встречается. Сам по себе цифровой сертификат X509 представляют собой открытый ассиметричный ключ, подписанный центром сертификации.Также в этом сертификате содержатся специфичные атрибуты, которые позволяют включать дополнительную информацию о хозяевах сертификатов. В операционной системе Linux/Unix/MacOS практически все возможные операции c ключами и сертификатами можно проводить с вышеуказанной утилитой OpenSSL. Диапазон ее возможностей огромен. С помощью только этой одной утилиты возможно организовать отдельный центр сертификации. Однако, мы тут рассмотрим базовые вещи, которые необходимы ITшникам в процессе работы.

VSAN — локомотив SDS от VMware

Давайте порассуждаем об одной технологии в хранении данных, которая только относительно недавно появилась. Но на данный момент она уже семимильными шагами входит в корпоративный сегмент IT. По моим ощущениям, эта технология через несколько лет будет настолько же часто встречающей, как виртуальные машины сегодня. Я имею в виду VMware VSAN или размазанный кластер хранения данных между серверами, на которых одновременно работают гипервизоры ESXi. Частенько это все хозяйство называют гиперконвергентным решением. Под этим термином подразумевают объединение в одном решение вычислительных ресурсов, сетевых и мощностей дисковой подсистемы. И именно VMware VSAN способен обеспечить отказоустойчивую систему хранения данных на самих физических серверах. При этом отпадает необходимость в дорогих системах хранения и сопутствующей сети SAN. В целом, VSAN — представляет собой разновидность Software Defined Storage или SDS. В свою очередь SDS является одним из компонентов идеологии Software Defined Data Center или SDDC.

Технология SDS в виде VMware VSAN была несколько лет назад пионером в этой области. Она позволяет дополнить функционал гипервизиров виртуализации ESXi возможностями по распределенном хранению данных на тех же самых физических серверах. И да, я вижу, что постепенно то тут, то там эта технология начинает применяться в организациях различного профиля. Но для меня лично поводом для размышления стало то, что компания Microsoft начала выпускать аналог VMware VSAN для своих гипервизоров. Данная фишка от компании Била Гейтса называется Storage Spaces Direct (S2D). И тут показательно то, что ценник этого решения от Microsoft по сути нулевой по сравнению с VMware VSAN. И в свете этого перспектива дальнейшего более широкого внедрения конвергентых решений видится радужной.

Работа с консольником в MacOS

Многолетний опыт работы инженером связи и IT не дает о себе забывать. Хочется затронуть одну тему, с которой IT инженеры сталкиваются постоянно. Я думаю, что все, кто работает в этой сфере, хорошо знают, что такое консольный кабель. В свое время они практически все повсеместно были с разъемом DB9 с обоих сторон. Однако, технологии развиваются. На сегодняшний момент найти компьютер с выходом DB9 практически невозможно. Но на рядах с компьютерной техникой, Вы легко купите переходник с USB разъема на DB9. С помощью него Вы уже сможете подключаться с персонального компьютера к консольным выходам практически на любом телекоммуникационном и IT оборудовании. В данной небольшой статье хочется показать способы использования консольного кабеля на технике Apple. На Microsoft Windows для этого мы используем Putty или встроенный Hyper Terminal. Как легко и просто это реализовать в MacOS читаем дальше в статье. Это будет продолжением уже серии статей в блоге о небольших лайфхаках на макбуках от гиков (MacOS и загрузочная флешка и Делаем из макбука WiFi VPN роутер).

MacOS и загрузочная флешка

Периодически всем, кто непосредственно связан с IT, приходится сталкиваться с необходимостью создания загрузочной USB флешки. Если раньше лет 10-15 лет назад практически повсеместно использовались CD-ROM и DVD-ROM. В сегодняшнем мире ситуация немного поменялась. Такие устройства по большому счету стали архаичными и редко встречающимися. Поэтому их использование, практически, сведено к нулю. Тут хотелось бы поделиться информацией, как, используя MacBook, решить эффективно этот вопрос без дополнительного программного обеспечения. Эта статья продолжит тему предыдущей заметки «Делаем из макбука WiFi VPN роутер», о небольших полезных лайфхаках с MacOS, которые не совсем очевидны большинству пользователей.

Делаем из макбука WiFi VPN роутер

Как много раз уже писал и говорил об этом, компьютерная техника Apple — это по сути не понты модных мальчиков и девочек. Хотя такое часто и имеет место случаться в жизни. Техника Apple — это прежде всего очень технологичное оборудование и программное обеспечение, предоставляющее широкий спектр возможностей своим пользователям. В этой статье рассмотрим красивые ноутбуки и компьютеры MAC с точки зрения гиков. Хочется показать, как превратить обычный MacBook в WiFi VPN роутер, который сможет обеспечивать небольшое подразделение организации доступом в головной офис. Конечно же, для того, чтобы это реализовать есть более дешевые и подходящие средства. Как пример — уже готовые аппаратные модемы или Linux на небольшом сервере. Но, если возникает такая необходимость, а под рукой ничего из вышеперечисленного нет, мы можем использовать для этих целей и MacBook.

Возьмем гипотетический пример, что в центре города у нас распологается центральный офис нашей организации. А где-то на окраине мы открыли филиал. И нам необходима безопасная передача данных между двумя подразделениями. Также предположим, что в нашей организации работают любители техники Apple, которые пользуются именно ей в своей работе. А также то, что специального оборудования для организации VPN доступа в филиале мы еще не купили. В такой ситуации мы можем задействовать один из компьютеров с MacOS в качестве маршрутизатора, WiFi точки доступа, и VPN клиента. Несколько лайфхаков как это сделать приводится ниже. Основную цель, которую приследую при этом, показать обилие возможностей, заложенных в MacOS, о которых большая часть пользователей и не подозревает.

Автоматизируем pfsense через pfsense PHP Shell

Продолжу свою серию статей об open source межсетевом экране pfsense. Хотелось бы затронуть тему автоматизации процесса настройки и перенастройки этого программного продукта. Веб интерфейс фаервола безусловно отлично продуман и функционален. Однако, в работе современных больших IT систем, этого зачастую бывает недостаточно. Для динамически быстро меняющейся инфраструктуры крайне необходима автоматизация всех ее элементов. А реализовать это через веб интерфейс крайне затруднительно и проблематично. Так же и элементы Информационной Безопасности в сети должны быть максимально автоматизироваться. Каких-то прямых и готовых инструментов для этого к сожалению нет. Но разработчики дают доступ к pfsense Dev shell или pfsense PHP Shell. Эта командная оболочка не радует обилием документации, но позволяет с помощью скриптов управлять межсетевыми экранами pfsense.

Сами разработчики не очень приветствуют использование данного инструмента. В интернете для автоматизации работы pfsense есть варианты с самописными модулями ansible, а также внешним модулем Rest API для pfsense. Но для меня эти инструменты показались недостаточно функциональны и опасны в использовании. Так с помощью Rest API — FauxAPI можно вносить изменения напрямую в конфигурационный файл /cf/conf/config.xml. По сути, все найстройки межсетевого экрана находятся в этом файле. Однако, любая ошибка или неточность при работе с данным файлом приводит к общему фейлу фаерволу и глобальным проблемам в его работе. Поэтому в продакшене использование такого подхода для меня кажется слишком рискованным. И наиболее адекватным для автоматизации видится обращение к функционалу pfsense PHP Shell.

Мониторим работу pfsense с помощью Zabbix

Мониторинг IT инфраструктуры важен для любой организации. Такие устройства или виртуальные аплаинса как межсетевые экраны обычно мониторятся с помощью Zabbix или похожего программного обеспечения. Вообще, в своем блоге выделено тему мониторинга я еще не поднимал. Тем не менее, это одно из важнейших направлений в работе администратора. С ним приходится работать любому нормальному ITшнику. Чем больше инфраструктура, с которой приходится работать, тем важнее роль системы мониторинга в ней. В современном мире, основные системы мониторинга, с которыми придется работать — это Zabbix и Prometheus. Если первый оптимален под статичную инфраструктуру, то второй больше используется в микросервисной архитектуре и облаках. Соответственно в этой статье мы рассмотрим, как наблюдать за основными параметрами работы межсетевых экранов pfsense.

Про межсетевые экраны pfsense писал уже несколько статей в блоге. Упомяну про Тонкости работы pfsense в среде vmware, и Сложный NAT на pfsense. Это уже третья статья из цикла о них. С учетом тех возможностей, которые дают эти опенсорсные фаерволы, а также их стабильной работы, я думаю это будет не последняя статья о них. Как упомянал выше, мониторинг является неотъемлимой частью любой IT системы. Поэтому отдельно и было решено написать эту статью о том, как следить за работой pfsense. Тут есть свои небольшие хитрости, которые позволят добиться желаемого результата.