Файрвол — первый и, к сожалению, во многих случаях последний бастион сети. В интернете полно рекомендаций, как настроить эту часть системы, но бездумное копирование чужих правил может принести больше вреда, чем пользы. Поэтому сначала нужно разобраться, как работает и что может файрвол в RouterOS.

Многие воспринимают сисадмина как мальчика, который вытаскивает из принтера застрявшие бумажки по требованию начальника. В реальности профессия системного администратора подразумевает наличие неплохого багажа теоретических знаний и практических навыков. Админству нужно учиться. Давай посмотрим, где и как это можно делать.

OpenVPN был и остается одним из самых популярных проектов для построения виртуальных частных сетей. Да, к нему нет встроенного клиента в Windows, mac OS и мобильных устройствах, а пропускная способность туннелей не слишком высока... Зато способность работать поверх TCP позволяет ему проходить даже через самые безумные сети!

Все крупные сети и особенно сети провайдеров строятся на одном протоколе — BGP. Сегодня мы рассмотрим с технической стороны один из главных недостатков BGP: полное отсутствие проверки полученных маршрутов. Из-за этого возможна уязвимость, которая называется route leak или «утечка маршрутов».

Команды ping, traceroute и whois — в числе первых вещей, о которых узнают начинающие админы. Многие, кто не специализируется на сетях, ими и ограничиваются, и совершенно зря. С помощью стандартных инструментов можно извлечь гораздо больше информации о проблеме, чем может показаться.

Ошибки в прошивках популярных роутеров обнаруживают регулярно. Однако просто найти баг недостаточно, его еще нужно обезвредить. Сегодня мы поговорим о том, как обезопасить себя от уже известных уязвимостей в RouterOS и защититься от тех, которые будут выявлены в будущем.

IPv6 печально знаменит своей сложностью, во многом — оправданно. Взамен наследия IPv4 появились новые концепции и варианты настройки. Авторы стека протоколов IPv6 хотели сделать его более дружественным к конечным пользователям и самонастраивающимся сетям. Увы, простота для пользователя нередко оборачивается сложностями для админа.

VRRP, несмотря на неясную ситуацию с патентами Cisco, остается стандартным протоколом для горячего резервирования маршрутизаторов. Популярный в системах семейства BSD протокол CARP свободен от патентных ограничений, но статус стандарта и поддержка со стороны многих поставщиков имеют свои преимущества.

BGP — единственный протокол глобальной маршрутизации в интернете, так что если ты зарегистрировал в RIPE или ином RIR автономную систему, то неизбежно с ним столкнешься. Ни один другой протокол не предоставляет столько возможностей фильтрации и модификации маршрутов. Но у гибкости есть и обратная сторона — в опциях легко запутаться. Сегодня мы рассмотрим некоторые распространенные проблемы и пути их решения.

В сфере IT существует несколько вполне законных способов сэкономить. Можно перевести предприятие на Linux, можно использовать Zentyal вместо службы Active Directory, а еще можно настроить под Linux сервер 1С, переведя работу бухгалтерии на бесплатную платформу. Чем мы сегодня и займемся, попутно сэкономив еще и на сервере терминалов.

Если верить базе данных MITRE, многие APT-группировки начинают свои атаки с фишинговых рассылок на корпоративную почту. Чтобы обезопасить пользователей, существуют шлюзы безопасности или Email Security Gateway. Но чтобы они приносили пользу, их нужно грамотно настроить. Об этом и поговорим.

Инциденты с prefix hijacking случаются регулярно, когда трафик массово отправляется не тем путем, которым должен. Некоторые из них, может, и связаны со злым умыслом, но большинство случайны и происходят по вине невнимательных админов. Сегодня я расскажу, как провайдеры могут предотвратить их или свести к минимуму, а заодно и как самому не стать их виновником.

Изоляция трафика разных сетей в пределах одной ОС распространена повсеместно. Для конечных пользователей она незаметна — в этом ее цель. Но знаешь ли ты, какие средства для разных уровней изоляции предоставляет ядро Linux и как ими воспользоваться самому, не рассчитывая на интегрированные средства управления вроде Docker? Давай разбираться.

Самое известное средство контейнеризации и автоматизации развертывания приложений — Docker. Известное, но не единственное: достойную конкуренцию ему составляет Kubernetes. Разумеется, он тоже представляет определенный интерес для злоумышленников. Как защитить Kubernetes от взлома и сетевых атак? Об этом — сегодняшняя статья.

Защита своей территории — один из сильнейших природных инстинктов. Животные используют для этого клыки, рога и когти, а сисадмины — правильную настройку софта и железа для предотвращения сетевых атак. Сегодня мы рассмотрим наиболее популярные виды таких вторжений и разберем методы защиты от них на примере операционной системы Cisco IOS.

В мире веб-приложений протоколы для SSO широко распространены и легко реализуемы. Ряд популярных приложений, к примеру консольный клиент PostgreSQL (psql), предоставляют такую возможность для локальных подключений через сокеты UNIX. В этой статье мы рассмотрим, как это сделать с помощью опции SO_PEERCRED.

Настраивать проброс портов и общий доступ к интернету через один публичный адрес умеют все, но не все знают, что возможности NAT в netfilter гораздо шире. Сегодня я продемонстрирую тебе эти возможности с помощью синтаксиса команды iptables.

Docker — прекрасная вещь, которая может экономить массу сил и времени. В этой статье мы поговорим о том, как использовать Docker максимально безопасно и отлавливать потенциальные угрозы заранее. Также ты найдешь здесь готовые рекомендации, команды и инструменты, которые легко использовать в своем проекте.

IPsec — сложный стек протоколов. На клиентской стороне он обычно автоматизирован, что в сочетании с его названием легко может вызвать у пользователя ощущение полной безопасности. Однако не всегда оправданное. Только IPsec из протоколов, пригодных для организации VPN, поддерживают все сетевые ОС, поэтому у тебя есть неплохой шанс с ним столкнуться. И чтобы быстро настраивать соединения и правильно оценивать их безопасность, …

Электронная почта — один из самых популярных каналов распространения спама, малвари и фишинговых ссылок. В этой статье я расскажу, как усилить безопасность корпоративных почтовых серверов (MS Exchange и Postfix) с помощью доступных штатных средств — DKIM-, SPF- и DMARC-записей, не требующих использования дорогостоящих коммерческих продуктов.

Большую часть времени мы используем только самые простые возможности сетевого стека Linux. Маршрут по умолчанию, SNAT, несколько правил netfilter — все, что нужно среднему маршрутизатору. Однако существует множество функций для менее распространенных и даже весьма нестандартных ситуаций.

Классические туннели, такие как GRE и IPIP, знакомы каждому админу. Однако Linux не ограничивается ими. Малоизвестные опции классических туннелей и более новые протоколы могут существенно упростить решение задач. В этой статье мы рассмотрим несколько не самых распространенных протоколов и научимся управлять ими с помощью iproute2, стандартного инструмента для работы с сетевым стеком Linux.

IPSec широко используется для шифрования данных при передаче по незащищенным сетям. Однако администраторы часто используют настройки, которые не обеспечивают требуемого уровня безопасности. Мы рассмотрим уязвимости IPSec pre-shared key, типичные ошибки при внедрении IPSec с аутентификацией PKI CA и другие нюансы, которые важно понимать при его использовании.

С 2020 года использование шифрования по ГОСТ Р 34.10—2001 окажется под запретом, а значит, все организации, которые взаимодействуют с госструктурами, вынуждены срочно внедрять следующий стандарт — 2012 года. Если ты работаешь в одной из них, то не проходи мимо: в этой статье мы поговорим о том, как решить проблему, используя сервер на CentOS 7 и пакет CryptoPro JCP.

Сегодня я расскажу о важной части системы мониторинга Zabbix — низкоуровневом обнаружении, или Low Level Discovery. Статья познакомит тебя с базовыми сведениями об этой интересной функции и поможет автоматизировать твою систему мониторинга и вывести ее на новый уровень.

Сделать так, чтобы сервис тянул большую нагрузку, — задача, с которой однажды сталкивается любой сисадмин. И лучше всего позаботиться о создании механизма отказоустойчивости заранее, до того, как важные узлы сети начнут выходить из строя. В этой статье я расскажу о двух бесплатных и открытых решениях, которые позволят тебе создать кластер и не сойти при этом с ума.

В сегодняшнем материале мы продолжаем наш практический обзор самых популярных и функциональных утилит проверки уровня защищенности (Hardening) десктопных и серверных версий Windows. В первой части мы сосредоточили внимание на бесплатных и open sources инструментах, сегодня же сделаем уклон в сторону коммерческих программ и комплексных enterprise-решений.

В жизни сисадмина однажды настает момент, когда приходится с нуля разворачивать инфраструктуру предприятия либо переделывать уже имеющуюся, перешедшую по наследству. В этой статье я расскажу о всех тонкостях этого процесса, включая управление гипервизором, консольные и GUI-утилиты, расширение ресурсов и миграцию виртуальных машин на другой гипервизор.

В этой статье я расскажу про два очень полезных плагина для панели управления хостингом WHM/cPanel. Они повышают уровень безопасности не только cPanel, но и самого хостингового сервера. В конце статьи я приведу пару примеров, как можно отбиться от небольшой DDoS-атаки с использованием плагина CSF.

В этой статье мы пройдемся по самым популярным и мощным утилитам для проверки уровня защищенности десктопных и серверных версий Windows (именно это и называется hardening), а также посмотрим на разные тулзы для настройки опций, усиливающих безопасность. Это — true must have арсенал инструментов для любого ИТ-админа и аудитора ИБ, так что читай обязательно!

Атакующие ломают даже самые защищенные системы, а администраторы месяцами не замечают злоумышленника, который прочно закрепился в системе и сливает данные. Чтобы предотвратить такой сценарий и детектировать атаку, существуют системы обнаружения вторжений. С одной из них — опенсорсной Snort — мы научимся работать в этой статье.

В этом материале мы познакомимся с основными утилитами для Linux hardening. На русском языке это называется как-то вроде «проверка уровня защищенности Linux-систем и оценка корректности конфигов с точки зрения ИБ». Разумеется, мы не только сделаем обзор программ, но и приведем примеры их использования.

Для обеспечения балансировки нагрузки, масштабируемости и повышения отказоустойчивости могут использоваться вспомогательные средства — оркестраторы. Среди них большой популярностью сейчас пользуется сервис Kubernetes. Самый простой способ попробовать его в деле — развернуть его в облаке, чем мы сегодня и займемся.

При переходе с bash на PowerShell часто возникают неудобства, связанные с незнанием, какие есть аналоги и как ими пользоваться. И вроде вся логика понятна, и скрипт-то в одну строку, а как реализовать — неясно. Именно с этим и предлагаю разобраться.

Кажется, Microsoft все больше и больше любит Linux! Приложения ASP.NET Core теперь по-настоящему кроссплатформенны и могут запускаться в «никсах», а соответственно, и в Docker. Давай посмотрим, как их можно упаковать, чтобы развертывать на Linux и использовать в связке с Nginx.

15 июня 2018 года ребята из Vulners представили опенсорсный проект Zabbix Threat Control, позволяющий превратить систему мониторинга Zabbix в систему контроля безопасности машин. В этой статье мы расскажем, что такое Zabbix Threat Control, покажем, как его установить, и проверим работоспособность системы.

Ты уверен, что в курсе всего происходящего у тебя в системе? Возможно, ты даже пользуешься какой-то системой мониторинга наподобие Prometheus или Zabbix, но знаешь ли ты, как самому получить подробные отчеты о работе системы и железа? В этой статье мы расскажем, как, используя командную строку Linux и стандартные утилиты, доступные в любом дистрибутиве, выжать максимум информации о работе системы.

Технические специалисты, которые, расследуя ИБ-инциденты или устраняя неполадки при траблшутинге, хоть раз пытались найти в логах операционных систем семейства Microsoft Windows реально важную для них информацию, знают, что в журналы аудита событий попадает далеко не все, что нужно. Можно ли исправить эту ситуацию без дополнительных финансовых вложений с использованием инструментов, гарантированно совместимых с Windows-средой? Разумеется, можно!

Чемоданчик инструментов — вот что отличает опытного специалиста от новичка. А в вопросах, связанных с администрированием Linux, такой чемоданчик — едва ли не самое важное. В этой статье мы не будем говорить о таких вещах, как Nagios, Puppet, Webmin, или изощренных анализаторах логов Apache — обо всем этом ты должен знать и так. Вместо этого мы поговорим о небольших утилитах, способных сделать твою жизнь намного проще.