По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие наши статьи:
img
Многие люди, работающие в сферах, где утечка информации может нанести существенный ущерб компании или её репутации, беспокоились о безопасности хранения данных на компьютерах, различных носителях. Вскоре эта проблема была решена с появлением различных антивирусов, шифрований, пресекавших несанкционированный доступ к данным. Но как быть, если необходимо хранить данные в какой-то сети, скажем, из 5 компьютеров, но при этом, чтобы они имели выход в интернет? Для решения такой задачи были созданы межсетевые экраны. Одним из фаворитов, среди производителей сетевого оборудования является компания cisco. Название пишется с маленькой буквы, так как при оформлении уже существовала компания CISCO, а владельцам не осталось ничего иного, как cisco. Интересно, что такое название компания получила от сокращенного названия города Сан-Франциско, в котором была образована. На логотипе изображена достопримечательность города – мост «Золотые ворота», которые некоторые люди ошибочно принимают за модулированный сигнал. Компания регулярно радует «сетевиков» своими новинками, что и сделало cisco популярными повсеместно. Перейдем непосредственно к решению задачи по обеспечению безопасного хранения данных в локальной сети. Сетевой экран позволяет блокировать нежелательный трафик из сети Интернет, посредством фильтрации проходящей через них информации. Условно экран (Firewall) может находиться на любом из уровней модели OSI (взаимодействия открытых систем), за исключением физического. Как и любое сетевое устройство, которое вводится в эксплуатацию, Firewall должен разграничить доступ к настройке фильтрации. Рассмотрим на примере 2 ПК, cisco ASA 5505 по пунктам: Подключаем кабель через консольный порт (console), который отмечен голубым цветом вокруг. Второй конец подключаем к ПК, с которого будет производиться настройка. Есть 3 режима работы, многие ошибочно считают, что их всего 2. Общий Пользовательский Привилегированный Для настройки ASA 5005 нам необходим привилегированный режим. Чтобы перейти в него, нужно пройти предыдущие два. Вначале мы оказываемся в общем режиме. Чтобы перейти в пользовательский, вводим команду en или enable (разницы нет, это всего лишь сокращение). ciscoasa> ciscoasa> enable ciscoasa# Система известила нас о том, что произошел переход с пользовательский режим ответом ciscoasa#. #(решетка) означает тот самый пользовательский режим. Далее переходим в привилегированный режим командой conf t или configure terminal. ciscoasa# configure terminal ciscoasa(config)# С помощью ответа в виде ciscoasa(config)# firewall уведомил о переходе в максимально возможный режим с доступов ко всем настройкам. Чтобы ограничить доступ посторонних лиц к настройке, рекомендуется устанавливать пароль командой enable password XXX, где XXX – ваш пароль. ciscoasa(config)# enable password XXX Настроим интерфейсы cisco. Для этого в привилегированном режиме вводим следующие команды: Interface GigabitEthernet 0/0 (входим в настройку интерфейса 0/0). Далее, при новой настройке указывается Interface GigabitEthernet 0/1 и т.д. nameif XXX (XXX – имя интерфейса) security-level 0 (если на этот порт будет поступать информация из Интернета) или security-level 100 (если информация будет находиться в локальной сети) ip address 192.168.1.10 255.255.255.0 (присваиваем IP-адрес интерфейсу) no shutdown (открываем порт для прохождения информации через него) Настроим статическую маршрутизацию командой: ciscoasa(config)# route outside 0.0.0.0 0.0.0.0 83.230.23.69 Главное – последний IP. Задается IP провайдера. Настроим доступ по HTTP: ciscoasa(config)# http server enable ciscoasa(config)# http 192.168.1.10 255.255.255. 0 inside ciscoasa(config)# aaa authentication http console LOCAL Включили HTTPS-сервер, присвоили его к нашему интерфейсу, назначили его работу через локальную сеть. Настроим доступ по SSH: hostname XXX domain-name yyy.ru crypto key generate rsa modulus 2048 ssh 192.168.1.10 255.255.255.0 inside aaa authentication ssh console LOCAL Для того, чтобы можно было проверить соединение с помощью командой ping в командной строке, необходимо выключить ICMP протокол: fixup protocol icmo Если необходимо, чтобы все устройства локальной сети имели общий адрес в сети Интернет, вводим следующую команду: nat (inside,outside) after-auto source dynamic any interface Таким образом на данном межсетевом экране можно настроить и остальные 4 ПК, которые нам необходимо было настроить.
img
Команда ping - это сетевой инструмент для проверки работоспособности удаленной системы. Другими словами, команда определяет, доступен ли определенный IP-адрес или хост. Ping использует протокол сетевого уровня, называемый Internet Control Message Protocol (ICMP), и доступен во всех операционных системах. С другой стороны, номера портов принадлежат протоколам транспортного уровня, таким как TCP и UDP. Номера портов помогают определить, куда пересылается Интернет или другое сетевое сообщение, когда оно приходит. В этом руководстве вы узнаете, как проверить связь с портом в Windows и Linux с помощью различных инструментов. Можно ли пропинговать конкретный порт? Сетевые устройства используют протокол ICMP для отправки сообщений об ошибках и информации о том, успешна ли связь с IP-адресом. ICMP отличается от транспортных протоколов, поскольку ICMP не используется для обмена данными между системами. Ping использует пакеты ICMP, а ICMP не использует номера портов, что означает, что порт не может быть опрошен. Однако мы можем использовать ping с аналогичным намерением - чтобы проверить, открыт порт или нет. Некоторые сетевые инструменты и утилиты могут имитировать попытку установить соединение с определенным портом и ждать ответа от целевого хоста. Если есть ответ, целевой порт открыт. В противном случае целевой порт закрывается или хост не может принять соединение, потому что нет службы, настроенной для прослушивания подключений на этом порту. Как пропинговать определенный порт в Linux? Вы можете использовать три инструмента для проверки связи порта в Linux: Telnet Netcat (NC) Network Mapper (nmap) Пинг определенного порта с помощью Telnet Telnet - это протокол, используемый для интерактивной связи с целевым хостом через соединение виртуального терминала. 1. Чтобы проверить, установлен ли уже telnet, откройте окно терминала и введите: telnet 2. Если telnet не установлен, установите его с помощью следующей команды Для CentOS/Fedora: yum -y install telnet Для Ubuntu: sudo apt install telnet 3. Чтобы пропинговать порт с помощью telnet, введите в терминале следующую команду: telnet [address] [port_number] Где [address] - это домен или IP-адрес хоста, а [port_number] - это порт, который вы хотите проверить. telnet google.com 443 Если порт открыт, telnet устанавливает соединение. В противном случае он указывает на сбой. 4. Чтобы выйти из telnet, нажмите Ctrl +] и введите q. Пинг определенного порта с помощью Netcat Netcat (nc) позволяет устанавливать соединения TCP и UDP, принимать оттуда данные и передавать их. Этот инструмент командной строки может выполнять множество сетевых операций. 1. Чтобы проверить, установлен ли netcat: Для Debian, Ubuntu и Mint: введите netcat -h Для Fedora, Red Hat Enterprise Linux и CentOS: ncat -h 2. Если netcat не установлен, выполните в терминале следующую команду: sudo apt install netcat 3. Чтобы пропинговать порт с помощью netcat, введите следующее: nc -vz [address] [port_number] Выходные данные информируют пользователя об успешном подключении к указанному порту. В случае успеха - порт открыт. Пинг определенного порта с помощью Nmap Nmap - это сетевой инструмент, используемый для сканирования уязвимостей и обнаружения сети. Утилита также полезна для поиска открытых портов и обнаружения угроз безопасности. 1. Убедитесь, что у вас установлен Nmap, введя nmap -version в терминал. Если Nmap установлен, вывод информирует пользователя о версии приложения и платформе, на которой он работает. 2. Если в вашей системе нет Nmap, введите следующую команду: Для CentOS или RHEL Linux: sudo yum install nmap Для Ubuntu или Debian Linux: sudo apt install nmap 3. После установки Nmap в системе используйте следующую команду для проверки связи определенного порта: nmap -p [port_number] [address] Выходные данные информируют пользователя о состоянии порта и типе службы, задержке и времени, прошедшем до завершения задачи. 4. Чтобы проверить связь с более чем одним портом, введите nmap -p [number-range] [address]. Синтаксис [number-range]- это диапазон номеров портов, которые вы хотите пропинговать, разделенные дефисом. Например: nmap -p 88-93 google.com Как пропинговать определенный порт в Windows? Проверить связь с портом в Windows можно двумя способами: Telnet PowerShell Пинг определенного порта с помощью Telnet Перед использованием telnet убедитесь, что он активирован: Откройте панель управления. Щелкните «Программы», а затем «Программы и компоненты». Выберите «Включение или отключение компонентов Windows». Найдите клиент Telnet и установите флажок. Щелкните ОК. Готово! Вы активировали клиент Telnet в системе. После завершения активации можно пропинговать порт с помощью telnet. Для этого: 1. Введите cmd в поиске в меню «Пуск». Щелкните на приложение Командная строка. 2. В окне командной строки введите telnet [address] [port_number] Где [address] - это домен или IP-адрес хоста, а [port_number] - это порт, который вы хотите проверить. Выходные данные позволяют узнать, открыт ли порт и доступен ли он, иначе отображается сообщение об ошибке подключения. Пинг определенного порта с помощью PowerShell PowerShell - это текстовая оболочка, которая по умолчанию поставляется с Windows. Чтобы проверить связь с портом с помощью PowerShell, выполните следующие действия: 1. Введите PowerShell в поиске в меню «Пуск». Щелкните приложение Windows PowerShell. 2. В окне командной строке PowerShell введите: Test-NetConnection [address] -p [port_number] Если порт открыт и соединение прошло успешно, проверка TCP прошла успешно. В противном случае появится предупреждающее сообщение о том, что TCP-соединение не удалось. Заключение Теперь вы знаете, как выполнить эхо-запрос и проверить, открыт ли порт, с помощью нескольких сетевых инструментов и утилит в Linux и Windows.
img
Работая в экосистеме DevOps, скоро понимаешь, насколько важно иметь инструменты DevOps для уменьшения ручной работы. Для каждого этапа DevOps есть несколько наборов инструментов с различными функциональными возможностями. Kubernetes является одним из обязательных, если вы работаете в домене DevOps и запускаете свои приложения внутри контейнеров. Для большей функциональности Kubernetes можно использовать сотни различных инструментов. Говоря об инструментах имеется ввиду утилиты для упрощения управления, улучшения безопасности, различные панели и средства мониторинга Kubernetes кластеров. 1. Helm Helm - это менеджер пакетов для Kubernetes, который позволяет легко управлять приложениями и службами, которые используются во многих различных сценариях, облегчая их развертывание в типичном кластере Kubernetes. Используя Helm, вы можете найти, поделиться и использовать программное обеспечение, которое построено для Kubernetes. Он использует диаграммы, называемые Helm Charts, для определения, установки и обновления сложных приложений Kubernetes. Функции Helm: Отображает состояние всех Kubernetes приложений с помощью диаграмм Использует настраиваемые крючки, чтобы легко проводить обновления. Диаграммы можно использовать на общедоступных или частных серверах. Простой откат к предыдущему состоянию с помощью одной команды Повышение производительности разработчиков и эксплуатационной готовности 2. Flagger Flagger - это оператор прогрессивной доставки для Kubernetes. Он автоматизирует продвижение канареечного развертывания с помощью Istio, App Mesh, Nginx, Linkerd, Contour, Gloo, Skipper для маршрутизации трафика и Prometheus для анализа канарей. При канареечном развертывании выпуски развертываются для небольшой группы пользователей, тестируются, если работает нормально, то выпуски развертываются для всех. Он использует сетку служб, которая выполняется в кластере, для управления трафиком между развертыванием. Для переноса трафика в канарейку он измеряет такие показатели производительности, как средняя продолжительность запросов, частота успешных запросов HTTP, работоспособность модуля и т.д. Flagger может выполнять автоматизированный анализ приложений, продвижение и откат для нескольких стратегий развертывания, таких как Canary, A/B-тестирование, Blue/Green-развертывание. 3. Kubewatch Kubewatch это наблюдатель с открытым исходным кодом для Kubernetes, который отправляет уведомление через Slack. Он написан на языке Go и разработан Bitnami Labs. Он используется для мониторинга ресурсов Kubernetes и уведомляет, есть ли какие-либо изменения. Установить Kubewatch можно через kubectl или с помощью диаграмм helm. В нем легко разобраться и имеет очень простой в использовании интерфейс. Кроме Slack, он также поддерживает HipChat, Mattermost, Flock, webhook и SMTP. В зависимости от того, какой Kubernetes кластер вы хотите отслеживать, вы можете установить значение true или false для этих ресурсов в файле ConfigMap. После установки конфигурации kubewatch и запуска модуля вы начнете получать уведомления о событии Kubernetes, как показано ниже. 4. Gitkube Gitkube - это инструмент, который использует git push для создания и развертывания докер образов на Kubernetes. Имеет три компонента - Remote, gitkube-контроллер, gitkubed. Remote состоит из пользовательских ресурсов, управляемых gitkube-контроллером. gitkube-controller отправляет изменения в gitkubed, который затем строит образ докера и развертывает его. Особенности Gitkube: Простота установки, подключения и развертывания Обеспечивает управление доступом на основе ролей для обеспечения безопасности Проверки подлинности с помощью открытого ключа Поддерживается пространство имен для множественной аренды Никаких дополнительных зависимостей, кроме kubectl и git 5. kube-state-metrics kube-state-metrics - сервис, который генерирует метрики объекта состояния, прослушивая сервер API Kubernetes. Он используется для проверки работоспособности различных объектов, таких как узлы, модули, пространства имен и развертывания. Он предоставляет необработанные, немодифицированные данные из API Kubernetes. Ниже приведена информация, предоставленная kube-state-metrics: Задания Cron и статус задания Состояние модулей (готовность, выполнение и т.д.) Запросы на ресурсы и их диапазон Пропускная способность узла и его состояние Спецификация наборов реплик 6. Kamus Kamus - это инструмент GitOps с открытым исходным кодом, который используется для шифрования и дешифрования секретных ключей для приложений Kubernetes. Зашифрованные ключи, которые делает Kamus, могут быть расшифрованы только приложениями, работающими в кластере Kubernetes. Для шифрования ключей используется AES, Google Cloud KMS, Azure KeyVault. Начать работу с Kamus можно с помощью helm. Kamus поставляется с двумя утилитами - Kamus CLI и Kamus init container. Kamus CLI используется для интеграции с шифрованным API, а контейнер Kamus init - для интеграции с расшифровкой API. По умолчанию, пароли в Kubernetes закодированы в base64 и не зашифрованы. Поэтому, из соображений безопасности, нельзя держать такие ключи на. Любой, кто имеет доступ к репозиторию, сможет использовать эти секреты. Следовательно, необходимо правильное решение для шифрования/дешифрования, как, например, Kamus. Он также предоставляет модель угроз, которая учитывает угрозы и делает секреты безопасными. 7. Untrak Untrak - инструмент с открытым исходным кодом, используемый в Kubernetes для поиска неотслеживаемых ресурсов и сбора мусора. Он помогает находить и удалять файлы из кластера, которые не отслеживаются. После ввода манифестов в конвейер CI/CD с использованием шаблона kubectl apply или helm Kubernetes не знает, когда объект будет удален из репозитория. После удаления объектов они не отслеживаются в процессе доставки и по-прежнему находятся в кластере Kubernetes. Он выполняет команду внутренне, используя простой конфигурационный файл untrak.yaml, чтобы найти ресурсы, которые больше не являются частью управления исходным кодом. 8. Weave Scope Weave Scope предназначена для визуализации, мониторинга и устранения неполадок Docker и Kubernetes. Он отображает всю структуру контейнерного приложения сверху вниз, и полную инфраструктуру, с помощью которой вы можете легко выявить любые проблемы и диагностировать их. Выполнение приложений микросервисной архитектуры в контейнерах докеров не так просто. Компоненты здесь очень динамичны и трудно поддаются мониторингу. С помощью Weave Scope можно легко устранять утечки памяти и контролировать потребление ЦП, визуализировать узкие места сети. Функции Weave Scope: Помогает отслеживать контейнеры докеров в режиме реального времени Простая навигация между процессами, выполняемыми в контейнерах Показывает хост или службу использования ЦП и памяти Перезапуск, остановка или приостановка контейнеров с помощью интерфейса командной строки, не выходя из окна браузера Weave Scope. Поддержка пользовательских подключаемых модулей для получения более подробной информации о контейнерах, процессах и хостах 9. Kubernetes Dashboard Kubernetes Dashboard - веб-интерфейс, предоставляемый компанией Kubernetes. Он используется для развертывания, устранения неполадок и управления контейнерным приложением в кластере Kubernetes. Он предоставляет всю информацию о кластере, такую как сведения о узлах, пространствах имен, ролях, рабочих нагрузках и т.д. Можно использовать helm для развертывания панели управления Kubernetes или воспользоваться простой командой kubectl: kubectl apply - https://raw.githubusercontent.com/kubernetes/dashboard/v2.0.4/aio/deploy/recommended.yaml 10. Kops Kops, который расшифровывается как Kubernetes Operations - это проект с открытым исходным кодом, используемый для создания готовых к запуску в производственной среде кластеров Kubernetes. Kops, в первую очередь, можно использовать для развертывания кластеров Kubernetes на AWS и GCE. Небольшой кластер Kubernetes легко создать и обслуживать, но при масштабировании кластера добавляется множество конфигураций, и становится трудно управлять им. Kops - это инструмент, который помогает решать подобные задачи. Он использует подход, основанный на настройке, при котором кластер всегда находится в актуальном состоянии и в безопасености. Kops также имеет множество сетевых бэкэндов, и выбор одного из них, в зависимости от варианта использования, упрощает настройку различных типов кластеров. 11. cAdvisor cAdvisor - это инструмент с открытым исходным кодом для мониторинга контейнера. Он используется для чтения характеристик производительности и использования ресурсов контейнеров, работающих в кластере. Он работает на уровне узла и может автоматически обнаруживать все контейнеры, работающие на определенном узле, и собирать статистику использования памяти, файловой системы, ЦП и сети. Он предоставляет веб-интерфейс, который отображает динамические данные всех контейнеров в кластере. Для начала работы с cAdvisor необходимо запустить его docker образ google/cadvisor, а затем получить к нему доступ по адресу http://localhost:8080 в веб-браузере. 12. Kubespray Kubespray - это бесплатный инструмент, который был создан путём объединения playbooks Ansible и Kubernetes. Используется для управления жизненным циклом кластера Kubernetes. С помощью Kubespray можно быстро развернуть кластер и настроить все параметры реализации кластера, такие как режимы развертывания, сетевые плагины, конфигурация DNS, версии компонентов, методы создания сертификатов и т.д. Для начала работы кластера достаточно запустить один единственный ansible-playbook. Вы можете легко масштабировать или обновлять кластер Kubernetes. 13. K9s K9s - это терминальный инструмент с открытым исходным кодом, и его утилита панели мониторинга может делать все, что делает веб-интерфейс Kubernetes. Он используется для навигации, наблюдения и управления приложением, развернутым в кластере Kubernetes. K9s функции: Отслеживание кластера в реальном времени Настройка отображения для каждого ресурса Глубокий анализ проблем с ресурсами кластера Поддерживает управление доступом на основе ролей Встроенные эталонные тесты для проверки производительности ресурсов 14. Kubetail Kubetail - это простой сценарий bash, который используется для агрегирования журналов из нескольких модулей в одном потоке. Последняя версия Kubetail также имеет функции выделения и фильтрации. Эта функция позволяет выделять нужные части логов отдельным цветом. Используя homebrew, можно установить Kubetail с помощью одной команды. Чтобы упростить работу Kubetail можно добавить значения, как KUBETAIL_NAMESPACE, KUBETAIL_TAIL, KUBETAIL_SKIP_COLORS и т.д. в переменные среды. 15. PowerfulSeal PowerfulSeal - мощный инструмент хаос-инжиниринга с открытым исходным кодом, написанный на языке python для кластеров Kubernetes. Хаос-инжиниринг используется для того, чтобы проверить отказоустойчивость системы, ее способность справляться с проблемными ситуациями в производственной среде. Он вводит в кластер Kubernetes ошибки, чтобы выявить проблемы в нем как можно раньше. Создателей PowerfulSeal вдохновил Netflix Chaos Monkey и она используется для повышения устойчивости Kubernete. Используя Seal, инженеры сознательно пытаются нарушить работу кластера, чтобы проверить, как система реагирует. Seal работает в трех режимах - автономный, интерактивный, и режим меток. В автономном режиме он выполняет сценарии, считывая предоставленный файл политики. В интерактивном режиме он рассказывает о компонентах кластера, которые вручную пытаются разорвать. В режиме меток целевые объекты в кластере, такие как модули, уничтожаются с помощью меток. 16. Popeye Popeye - это утилита для очистки кластеров Kubernetes. Он сканирует весь кластер и сообщает о проблемах, связанных с конфигурациями и ресурсами. Это помогает применять лучшие практики в кластере Kubernetes, чтобы избежать распространенных проблем. Эта утилита доступна для Windows, Linux и macOS. В настоящее время он работает только с узлами, модулями, пространствами имен, службами. С помощью Popeye можно легко идентифицировать мертвые и неиспользуемые ресурсы, несоответствия портов, правила RBAC, использование метрик и многое другое.
ВЕСЕННИЕ СКИДКИ
40%
50%
60%
До конца акции: 30 дней 24 : 59 : 59