По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие наши статьи:
img
Фаервол на Микротике основан на базе принципов iptables в Linux позволяет фильтровать входящий и исходящий трафик по определенным правилам. В статье мы хотим рассказать про ключевые компоненты Firewall, дизайне и реализации этого инструмента. Погнали! Общее представление Основная идея любого фаервола это определение того, что разрешено и запрет всего остального. Так работают все современные инструменты фильтрации. При наличии фаервола, сеть можно разделить на ненадежные, полу - надежные и надежные. Firewall Chains Цепочки (последовательности) фаерволов сопоставляют по своим правилам входящий и исходящий с интерфейса трафик. После того, как трафик попал под определенное правило («сматчился»), вы можете совершать определенные манипуляции с ним: разрешить, блокировать, отклонить, внести в лог запись и так далее. В Mikrotik есть следующие флаги: Input, Output и Forward. Input Chain Input матчит входящий на интерфейсы маршрутизатора трафик. Условно говоря – это прилетающие на роутера IP - пакеты. Обычная практика – дропать пакеты, прилетающие на WAN, направленные на сканирование портов, попытки взлома и прочие. Помимо этого, многие блокируют входящий трафик изнутри локальной сети (например, допуск к Winbox или SSH должен быть только с определенного VLAN – остальные дропаются). Всегда используйте VLAN – это базовое разграничение, которое позволит вам обеспечить современные стандарты безопасности. Output Chain Как можно догадаться по названию, данный инструмент направлен на фильтрацию исходящего от роутера трафика. Здесь можно блокировать запросы, исходящие непосредственно с роутера: например, DNS или ICMP запрос с роутера. Forward Chain Самое интересное – данный инструмент «матчит» трафик проходящий через Mikrotik с одного интерфейса на другой. Пример: пакет, отправленный с хоста внутри LAN через маршрутизатор в сторону провайдера. Пакет прилетает на внутренний интерфейс, а выходит через WAN. Firewall Actions Правила на фаерволе могут делать множество вещей, основные из которых: accept (принять), drop (сбросить) и отклонить (reject). Accept Данное правило позволяет просто «пропустить» проходящий через фаервол трафик. Никакой модификации или изменения маршрута – пакету будет позволено продолжить свой изначальный путь. Reject Фаервол может легко отклонить (сделать reject) пакетов, которые попадут под определенное правило. При этом, источнику такого пакета будет отправлено уведомление о соответствующей блокировке. В данном методе есть один весомый минус: в случае, если злоумышленник попробует «сканировать» порты или совершить другой вид атаки – отправленные в его сторону REJECT сообщения лишь помогут ему в злодеяниях. Поэтому, в целях безопасности, мы рекомендуем использовать DROP. Drop Данное правило «дропает» пакет без отправления уведомления об этом источнику. Этот метод наиболее безопасен на этапе защиты своего Mikrotik от сканирования портов и прочих атак. Firewall Rules Правила Firewall определяют пакеты, которые будут обработаны на уровне фаервола, а какие будут отброшены. Каждое правило – это комбинация параметров IP – адресации (источник/получатель пакета), цепочек (chains), действий (actions), интерфейсов и прочих опций. Как мы говорили ранее – хорошо настроенный фаервол пропустит только необходимый для бизнеса трафика, дав запрет на пропуск всего остального потока трафика. Указывая набор разрешающих правил, всегда замыкайте их на конце строчкой «DENY ALL» (запретить все). Chains Каждое создаваемое правило назначается определенной цепочке (chain). После определения принадлежности к цепочке, пакеты проходят проверку через последовательность правил в порядке убывания (сверху вниз). Порядок правил в фаерволе играет важную роль! Поэтому, от последовательности проверки зависит эффективность фильтрации. Actions Правило отрабатывает по одному из основных действий: принять (accept), отклонить (reject) и отбросить (drop). Выше мы подробнее рассказывали про каждое из указанных действий. Адресация Нашему правилу можно сказать, по какому критерию проводить блокировку: это может быть протокол, IP – адрес (это может быть как хост с /32 маской, так и целая подсеть с /24, например). Помимо этого, критерием могут быть физические или логические интерфейсы (eth/GRE). Комментарии Создавая правила комментируйте их. Это важно, как и при программировании – код без комментариев очень сложно анализировать и понимать в будущем. Советы Хотим так же поделиться парой полезных советов по настройке Firewall: Разрешайте только необходимый для работы трафик - да, это сложно. Но методом проб и ошибок мы рекомендуем добиться той настройки фаервола, в рамках которой все ваши подключения будут ясны и понятны. Подключения только с определенного пула адресов - это может быть удаленный офис, IP – адреса ЦОД или VPN адресация. Тут нужно быть особенно бдительным. В конце правил всегда используйте «deny all» - после того, как вы выполнили первую и вторую рекомендации и весь тип трафика по протоколам, адресации, источникам (в том числе L7, например) четко определен – в конце цепочки добавьте правило запрета всего. Это будет означать, дословно: «Все, что не разрешено - запрещено». Атакуйте свою сеть! - да, да, вы не ослышались. Конечно, без фанатизма :) Мы предлагаем периодически сканировать порты на вашем фаерволе. Например, это можно делать с помощью утилиты исследования сети Nmap.
img
Что такое хэш-функция? Хэш-функция принимает входное значение, например, строку данных, и возвращает какое-то значение фиксированной длины. Идеальная хэш-функция должна обладать следующими свойствами: она должна быть очень быстрой; она должна иметь возможность возвращать огромный диапазон хэш-значений; она должна генерировать уникальный хэш для каждого входного значения (без коллизий); она должна генерировать различные хэш-значения для одинаковых входных значений; сгенерированные ей хэш-значения не должны иметь ярко выраженной закономерности в своем распределении. Разумеется, идеальных хэш-функций не бывает, однако каждая хэш-функция максимально старается приблизится к идеалу. Учитывая тот факт, что большинство хэш-функций возвращают значения фиксированной длины и из-за этого диапазон значений ограничен, в принципе это ограничение можно игнорировать. Например, количество возможных значений, которые может вернуть 256-битная хэш-функция, соразмерно количеству атомов во Вселенной. В идеале хэш-функция должна работать без коллизий, иными словами ни одна пара различных входных значений не должна генерировать одно и то же значение хэш-функции. Это является важным условием особенно для криптографических хэш-функций, поскольку коллизии хэшей рассматриваются как уязвимости. И наконец, хэш-функция должна генерировать различные хэш-значения для любого входного значения без возможности их прогнозирования. Например, возьмем следующие два очень похожих предложения: 1. "The quick brown fox." 2. "The quick brown fax." А теперь сравним хэш-значения MD5, сгенерированные для каждого предложения: 1. 2e87284d245c2aae1c74fa4c50a74c77 2. c17b6e9b160cda0cf583e89ec7b7fc22 Для двух похожих предложений были сгенерированы два мало похожих хэша. Такое свойство является полезным как для проверки, так и для криптографии. Это и есть закон распределения: хэш-значения всех входных данных должны быть равномерно распределены без возможности прогнозирования по всему диапазону возможных хэш-значений. Популярные хэш-функции Существует несколько широко используемых хэш-функций. Все они были разработаны математиками и программистами. В процессе их дальнейшего изучения было выявлено, что некоторые из них имеют недостатки, однако все они считаются приемлемыми для не криптографических приложений. MD5 Хэш-функция MD5 генерирует 128-битное хэш-значение. Изначально она была разработана для использования в криптографии, однако со временем в ней были обнаружены уязвимости, вследствие чего для этой цели она больше не подходит. И тем не менее, она по-прежнему используется для разбиения базы данных и вычисления контрольных сумм для проверки передачи файлов. SHA-1 SHA расшифровывается как Secure Hash Algorithm. SHA-1 – это первая версия алгоритма, за которой в дальнейшем последовала SHA-2. В то время как MD5 генерирует 128-битный хэш, SHA-1 создает 160-битный (20 байт). Если представить это число в шестнадцатеричном формате, то это целое число длиной в 40 символов. Подобно MD5, этот алгоритм был разработан для криптографических приложений, но вскоре в нем также были найдены уязвимости. На сегодняшний день он считается более устойчивым к атакам в сравнении с MD5. SHA-2 Вторая версия алгоритма, SHA-2, имеет множество разновидностей. Пожалуй, наиболее часто используемая – SHA-256, которую Национальный институт стандартов и технологий (NIST) рекомендует использовать вместо MD5 и SHA-1. Алгоритм SHA-256 возвращает 256-битное хэш-значение, что представляет собой шестнадцатеричное значение из 64 символов. Хоть это и не самый идеальный вариант, то текущие исследования показывают, что этот алгоритм значительно превосходит в безопасности MD5 и SHA-1. Если рассматривать этот алгоритм с точки зрения производительности, то вычисление хэша с его помощью происходит на 20-30% медленнее, чем с использованием MD5 или SHA-1. SHA-3 Этот алгоритм хэширования был разработан в конце 2015 года и до сих пор еще не получил широкого применения. Этот алгоритм не имеет отношения к тому, что использовался его предшественником, SHA-2. Алгоритм SHA3-256 – это алгоритм с эквивалентной применимостью более раннего алгоритма SHA-256, причем вычисления первого алгоритма занимают немного больше времени, чем вычисления второго. Использование хэш-значений для проверки Как правило, хэш-функции используются для проверки правильности передачи данных. Одним из таких применений является проверка сжатых коллекций файлов, таких как архивные файлы .zip или .tar. Имея архив и его ожидаемое хэш-значение (обычно называемое контрольной суммой), можно выполнить собственное вычисление хэш-функции, чтобы убедиться в целостности полученного вами архива. Например, можно сгенерировать контрольную сумму MD5 для tar-файла в Unix, используя следующие команды: tar cf - files | tee tarfile.tar | md5sum - Чтобы получить хэш MD5 для файла в Windows, используйте команду PowerShell Get-FileHash: Get-FileHash tarfile.tar -Algorithm MD5 Сгенерированную контрольную сумму можно разместить на сайте загрузки рядом со ссылкой на скачивание архива. Получатель, скачав архив, может проверить правильность его получения, выполнив следующую команду: echo '2e87284d245c2aae1c74fa4c50a74c77 tarfile.tar' | md5sum -c где 2e87284d245c2aae1c74fa4c50a74c77 - сгенерированная контрольная сумма, которая была размещена. При успешном выполнении вышеуказанной команды появится статус OK, как показано ниже: echo '2e87284d245c2aae1c74fa4c50a74c77 tarfile.tar' | md5sum -ctarfile.tar: OK
img
В эпоху автоматизации люди все время ищут средства для эффективного выполнения задач. А почему бы и нет, каждая секунда имеет значение! Аналогично, если вы пользуетесь Unix-подобной операционной системой, планировщик Cron очень экономит время за счет автоматизации рутинных задач. Давайте кратко разберем, как это работает, а затем изучим некоторые облачные решений для мониторинга самого Cron. Так, что же такое Cron и с чем его едят? Планировщик Cron - это служебная программа, которая выполняет заранее запланированные сценарии или команды на сервере. Эта команда встроена в запланированное время и дату для автоматического выполнения без выполнения вручную. Кроме того, планировщик Cron точно реализованы для автоматизации повторяющихся задач, таких как удаление файлов за неделю, перезагрузка сервера или выполнение некоторых других функций. Основные элементы задания Cron Планировщик Cron работает поверх трех важными компонентов: Сценарий - сценарий является первым составляющим Cron, которое вызывается для выполнения. Расписание - когда запускать указанные сценарии. Действие - это ход вывода, который происходит после окончательного выполнения. Типы заданий Cron, требующих мониторинга Отсутствие уведомлений о статусе заданий Cron может не иметь сиюминутных последствий, но может помешать работе системы в долгосрочной перспективе. Вот некоторые из заданий Cron, которые обычно остаются незамеченными если не использовать эффективную службу мониторинга: Резервные копии Обновление SSL-сертификата Антивирусное сканирование Динамические обновления DNS Перезагрузка сервера Преимущества мониторинга статуса заданий Cron Помимо контроля за своевременным выполнение запланированных заданий Cron, службы мониторинга предоставляют следующие практические преимущества: Планирование заданий - можно запланировать любые задания доступные через планировщик Cron прямо из панели управления сервиса; Мгновенные оповещения - если какое-либо приложение или процесс задания занимает больше времени, чем ожидалось, то эти службы будут выдавать мгновенные оповещения. Metric Insights - вы можете отслеживать все метрики по заданиям и оптимизировать их выполнение. Теперь давайте рассмотрим некоторые облачные средства мониторинга Cron. 1. HealthChecks Простота и эффективность HealthCheck делают его одним из лучших вариантов для мониторинга заданий Cron. Она предоставляет еженедельные отчеты по триггерам оповещений, сбоям в выполнении запланированных задач, сбоям резервного копирования и многом другом. Еще одна впечатляющая вещь в HealthCheck заключается в том, что он предлагает уникальный URL для каждой задачи, для которой включен мониторинг. Вы можете легко проверять запросы на обслуживание по HTTP или отправлять сообщения по электронной почте. Применение HealthChecks для мониторинга cron уменьшит количество автоматических сбоев. Сервис располагает удобной панелью мониторинга с интерактивным обновлением, которая предоставляет подробные сведения обо всех предупреждениях или проверках. Можно также назначить имена или теги всем проверяемым службам, что в конечном итоге поможет легко распознать их при необходимости. Она поставляется с простой конфигурацией с параметрами "Grace Time" и "Period" для указания различных аспектов или состояния мониторинга. Он позволяет добавить подробное описание для каждого задания Cron. Для выполнения дальнейших действий можно добавить указатели и заметки. Кроме того, можно просмотреть историю отправленных или полученных сообщений ping. Другие функции включают в себя публичные значки состояния, поддержку выражений Cron и интеграцию с Slack, Email, WebHooks, Microsoft Teams и т.д. 2. Cronitor Cronitor поможет вам более удобно планировать задачи с помощью быстрых оповещений. Он работает с несколькими заданиями Cron, такими как запланированные события AWS, планировщик заданий Microsoft, планировщик Jenkins, Kubernetes Cron, Java Cron и многое другое. Мониторинг контрольного сигнала позволяет получить представление о состоянии конвейеров данных, фоновых заданий, демонов, сценариев, ETL-заданий и других. Его легко можно использовать для любого языка и на любой платформе. Сервис обладает гибкими настройками политик и правил оповещения. Cronitor также предлагает мониторинг времени безотказной работы для веб-сайта, API, S3 объектов Amazon (корзин) и т.д. 3. Cronhub Cronhub устраняет необходимость в написании любых кодов для планирования и контроля фоновых заданий. Вам просто нужно сконцентрироваться на своих приложениях и позволить им планировать ваши задачи. Вы получаете мгновенные предупреждения о всех аспектах мониторинга, как только появится отклонение от нормы в любом из запланированных задач. Поддерживается планирование заданий с использованием выражений Cron или временных интервалов. Для этого достаточно задать API или целевой URL-адрес, который будет выполняться в задании. Затем Cronhub отправляет HTTP-запрос на указанный API или целевой URL. Если расписание будет прервано по какой-либо причине, Cronhub немедленно отправит предупреждения через настроенные каналы, в число которых входит SMS, Slack, Email и другие. Помимо этого, Cronhub также помогает отслеживать информацию о запланированных заданиях, обеспечивает поддержку команды, доступ к журналу. Это в конечном итоге поможет вам найти лазейки в приложении вместе с заданиями в фоновом режиме. 4. Dead Man’s Snitch Еще один сервис, который на русский язык переводится довольно забавно "Стукач Мертвеца" Dead Man’s Snitch завоевал рынок, во время бума служб мониторинга планировщика Cron. Он больше ориентирован на задания вроде выставления счетов или резервного копирования, которые не были выполнены в соответствии установленным графикам. Dead Man's Snitch гарантирует, что разработчики и пользователи будут следить за работой Cron так, как они ожидали. С помощью этого сервиса можно контролировать Cron, Heroku Scheduler и другие планировщики. Для уведомления о сбоях в работе может использоваться любой HTTP клиент, например, cURL. cURL - это фрагмент, добавляемый как суффикс к концу строки Crontab. Он предлагает запрос к Dead Man 's Snitch, чтобы проверить, выполняется ли задание или выполняется ли оно должным образом или нет. Для различных заданий, вы можете изменить Snitch URL, чтобы знать результаты мониторинга для каждого из них по отдельности. Другой интересной особенностью является добавление к заданию функции "Полевой агент". Можно загрузить и установить его для улучшения результатов мониторинга вместе с метриками и записями данных. С его помощью можно проверить журналы ошибок заданий Cron, чтобы найти лучшее разрешение для них. Эти функции являются идеальным сочетанием для обеспечения лучшего отслеживания фоновых заданий. Его цены начинаются всего от 5 долларов в месяц для трех "доносчиков" и неограниченных членов команды. 5. CronAlarm CronAlarm - это универсальный концентратор, помогающий получить представление о надежности и производительности запланированных задач с минимальными сложностями. Лучшее в CronAlarm это поддержка каждого Cron задания с возможностью доступа к URL без особых хлопот. Обо всех фоновых заданиях приложений, будь то выполняющиеся слишком быстро или медленно, либо с опережением, или с отставанием, сообщается и пользователям. Существует несколько платформ интеграции для оповещения пользователей, включая электронную почту, Slack и webhooks. Необходимо предоставить CronAlarm информацию о расписаниях работы, таких как время запуска, продолжительность выполнения и т.д. Он назначает определенный ключ API различным заданиям. Чтобы начать работу со службой мониторинга CronAlarm, необходимо просто добавить ключ API или вызов в начале или конце URL. Вы также можете обратиться к CronAlarm чтобы получить более функциональный API, оснащенный интегрированными функциями для более эффективного решения проблем. 6. WebGazer Web Gazer помогает планировать задачи и выполнять мониторинг всех выбранных заданий Cron для отслеживания производительности. В Web Gazers не посылает ложные аварийные сигналы, так как инциденты проверяются в течение нескольких секунд перед отправкой предупреждения пользователю. Кроме того, Web Gazer обеспечивает квитирующий мониторинг (heartbeat monitoring), мониторинг SSL. Его план начинается с $19/месяц, а также доступна бесплатная версия со всем основным функционалом. Заключение За автоматизацией будущее. Планирование и мониторинг заданий Cron помогают эффективно выполнять задачи. В противном случае, как бы вы узнали, что выполняются ли запланированные операции подобающим образом или нет? Но к счастью, вышеуказанные решения, в конечном итоге, помогут вам оптимизировать задачи и устранить недочёты, мешающие работе пользователя.
ВЕСЕННИЕ СКИДКИ
40%
50%
60%
До конца акции: 30 дней 24 : 59 : 59