По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
Параллельно с развитием технологий в сегменте корпоративных сетей повышаются риски компании понести убытки от уязвимостей в безопасности сети. Злоумышленники прибегают к кибер – атакам на сеть предприятия с целью получения и распространения важной коммерческой документации, нанесения урона ИТ – комплексам с целью вывода из строя или нанесении урона по имиджу и репутации компании.
Число зарегистрированных нарушений сетевой безопасность на предприятиях, учебных заведениях и правительственных организациях резко возросло за последние несколько лет. Все чаще советы и даже подробные инструкции по «вторжению» в корпоративную сеть можно найти в свободном доступе в сети интернет, следовательно, специалисты по сетевой безопасности должны анализировать риски и применять определенные методики для предотвращения атак «извне».
Современные угрозы различны: атаки на отказ оборудования DDoS (Distributed Denial of Service), так называемые «черви», «трояны» и программы, предназначенные для похищения важной информации. Эти угрозы могут легко повредить важную информацию, восстановление которой займет много времени.
Рассмотрим подробнее базовые принципы сетевой безопасности, терминологию и решения по безопасности от компании Cisco Systems – Cisco Adaptive Security Appliances (ASA).
Первое, о чем пойдет речь – это «фаервол». «Фаервол» может устанавливаться как на границе сети (защита периметра), так и локально, на рабочих станциях.
Сетевые «фаерволы» обеспечивают безопасность периметра сети. Главная задача такого «фаервола» это запрет или разрешение трафика, который проходит через единую точку входа сети. Правила запрета определяются заранее настроенной конфигурацией оборудования.
Процесс фильтрации трафика включает в себя следующие пункты:
Простая фильтрация пакетов;
Многогранная проверка трафика;
Инспекция пакетов с сохранением состояния;
Трансляция сетевых адресов.
Простая фильтрация пакетов
Цель «простой» фильтрации пакетов заключается в контроле доступа в определенный сегмент сети в зависимости от проходящего трафика. Обычно, инспектирование проходит на четвертом уровне эталонной модели OSI (Open System Interconnection). Например, «фаервол» анализирует Transmission Control Protocol (TCP) или User Datagram Protocol (UDP) пакеты и принимает решение в зависимости от заранее настроенных правил, которые имеют название Access Control Lists (ACLs).
Следующие элементы проходят проверку:
Адрес отправителя;
Адрес получателя;
Порт отправителя;
Порт получателя;
Протокол
Нарушение информационной безопасности влечет прямые финансовые потери компаний
В рамках данного понятия оперирует устройство под названием «прокси-сервер». Прокси-сервер - это устройство, которое выступает посредником от имени клиента защищенной сети. Другими словами, клиенты защищенной сети отправляет запрос на соединение с незащищенной сетью интернет напрямую прокси-серверу [7]. Далее, прокси отправляет запрос в сеть от имени клиента, инициирующего соединение. Большая часть прокси-серверов работает на уровне приложений модели OSI. Фаерволы на базе прокси могут кэшировать (запоминать) информацию, чтобы ускорять работу клиентов. Одно из главных преимуществ прокси-сервера защита от различных WEB атак [10]. Недостаток прокси «фаерволов» - плохая масштабируемость.
Инспекция пакетов с сохранением состояния
Фаерволы по типу Statefull Packet Inspection (SPI) обладает большим функционалом по сравнению с простой фильтрацией пакетов. SPI-фаервол проверяет не только заголовки пакетов, но и информацию на уровне приложений, в рамках поля полезной нагрузки. На фаерволе может быть применено множество правил фильтрации, чтобы разрешать или запрещать трафик в зависимости от содержимого поля полезной нагрузки. SPI отслеживает параметрические данные соединения в течении сессии и записывает их в так называемую «таблицу состояний». В таблице хранится такая информация как время закрытия соединения, время открытия, установления и перезагрузки. Этот механизм предотвращает обширный список атак на корпоративную сеть.
Фаервол может быть сконфигурирован как устройство для разделения некоторых сегментов сети. Такие сегменты называют демилитаризированные зоны, или Demilitarized Zone (DMZ). Подобные зоны обеспечивают безопасность ИТ – комплексам, которые находятся в пределах этих зон, а также, различные уровни безопасности и политики между ними. DMZ могут иметь несколько назначений: например, они могут выступать как сегмент, в котором находится WEB серверная ферма, или как сегмент соединения к «экстранету» партнера по бизнесу.
Выше, изображена сеть, где в DMZ 1 находятся WEB сервера, доступные из сети Интернет, внутренней сети и сети партнера. Cisco ASA, расположенная в центре рисунка, контролирует доступ из сети партнера, ограничивая доступ из DMZ 2 только ресурсам WEB серверов, запрещая доступ к внутренней сети.
В следующих статьях мы расскажем о технологиях трансляции адресов и систем IDS/IPS.
YAML (YAML – Ain’t Markup Language, что можно перевести как "YAML – это не язык разметки"") считается языком сериализации по типу XML и JSON. Он представляет собой расширенную версию JSON, которая используется, в основном, для файлов конфигурации. Вы можете сохранить YAML-файл с расширением .yaml или .yml. Это удобочитаемый файловый формат, состоящий из пар «ключ-значение» и делающий акцент на отступы и отбивку строк. YAML активно используется в файлах конфигурации многих хорошо известных инструментов/технологий, по типу docker-compose, Kubernetes, Ansible и т.д.
Ниже приведено сравнение YAML с XML и JSON.
Теперь давайте обсудим синтаксис, типы данных и особенности YAML-файлов.
Пары «ключ-значение»
Пара «ключ-значение» – это базовая составляющая YAML. Каждый элемент в YAML-документе является членом как минимум одного словаря. Ключами чаще всего являются строки, а значением могут быть данные любого типа: число, логическое значение, строка, пустое значение, массив и объект.
name: John
age: 25
city: LA
Числа
Числа – это одни из скаляров, которые могут использоваться в качестве значения YAML-файлов. Числа бывают десятичными, с плавающей запятой, экспоненциальными, восьмеричными и шестнадцатеричными. Если добавлять их без одинарных или двойных кавычек, то они обрабатываются как строки.
decimal : 10
float : 2.5
exponential : 5.0e+12
infinity : .inf
octal : 0o12
hexadecimal : 0xF
Примечание: Будьте осторожны при представлении некоторых стандартных типов чисел (время, восьмеричные и шестнадцатеричные коды и т.д.). Они могут быть некорректно интерпретированы. Вот несколько примеров.
time : 6:00
hexval: 0x12
octval: 0o25
В этом примере время преобразуется в минуты, поэтому 6:00 интерпретируется как 360. 0x12 обрабатывается как шестнадцатеричный код, поэтому оно переводится в десятеричное значение 18, а 0o25 интерпретируется в десятеричное значение 21. Так что если вы не собираетесь использовать их в таком виде, то добавляйте эти значения в кавычках.
Примечание: Начиная со спецификации YAML 1.2, 0o представляет восьмеричные значения. В более ранних версиях для этих целей использовался 0.
Логические значения
Логические значения похожи на другие языки программирования/представления с двумя состояниями: true или false. Логическими значениями в YAML-файлах считаются не только стандартные true/false, но также yes/no и on/off (исключение: если они добавлены в кавычках).
Примечание: Следите за тем, как вы используете значения yes/no и on/off. Если добавлять их не в одинарных кавычках, то они будут интерпретироваться как логические значения true/false.
Комментарии
Вы можете комментировать содержимое YAML-файла с помощью символа #. Пример ниже:
# This a comment on the first.
# And this a commented second line.
Строки
В YAML-файле вы можете прописывать строки без кавычек. Либо добавлять их в одинарные или двойные кавычки. Можно даже пользоваться всеми тремя способами.
Если в строке содержатся специальные символы, которые нужно экранировать с помощью , то добавлять такую строку нужно в двойных кавычках. Пример:
signature: "John Williams
Sales Executive
XYZ Company LA."
Но при использовании любого из специальных символов ниже:
:, {, }, [, ], ,, &, *, #, ?, |, -, , =, !, %, @, `
не нужно ничего экранировать. Воспользуйтесь одинарными кавычками – с ними строка будет интерпретироваться как нужно.
Одиночная строка
Если вы хотите разбить одну строку на несколько строчек, но синтаксический анализатор должен будет интерпретировать их как одиночную строку, то сделайте следующее:
message: >
this is a normal string
which spans more than multiple lines
but needs to be treated
as a single line.
Начните код с символа > , а затем впишите содержимое строки в виде блока с отступами. В конце проанализированного содержимого добавляется
. Если вам не нужен символ новой строки, то воспользуйтесь символом >-.
Многострочное значение
При добавлении строки, которая разделяется на несколько строк и анализируется так же, как написана, воспользуйтесь схемой ниже.
message: |
this is a multi-line string
which spans across multiple lines
and needs to be treated
as a multi-line string.
| добавляет в конце проанализированного содержимого символ перехода на новую строку. Если вы не хотите видеть в конце проанализированного содержимого символ
, то лучше воспользуйтесь |-.
Нулевые значения
Вы можете представить нулевое значение с помощью ~ или null. Такие значения добавляются без кавычек.
foo: ~
bar: null
Массивы
В YAML значения можно представить в форме массивов/списков. Пример массива данных:
teams:
- name: Australia
rank: 3
- name: New Zealand
rank: 4
- name: England
rank: 1
- name: India
rank: 2
В примере выше представлен массив объектов с названием и рангом команды. Обязательно проверьте, что отбивка строк и отступы заданы единообразно. В противном случае, файл будет некорректным.
Каждый элемент массива обозначается через дефис -. Все элементы должны находиться на одном уровне с одинаковыми отступами.
Если вместо объектов в массиве используются примитивные элементы, то их можно представить следующим образом:
teams: [ Australia, New Zealand, England, India ]
Объекты
Объекты в YAML представляются так:
student:
name: John
age: 22
city: NY
college: NYU
gpa: 3.5
Все атрибуты внутри объекта должны находиться на одном уровне и с одинаковым отступом. Именно это условие указывает на принадлежность к одному объекту и гарантирует корректность YAML-документа.
Заключение
В данной статье вы познакомились с базовыми концепциями при работе с YAML-файлами. Разобравшись в них, вы поймете, как правильно прописывать файлы для своих собственных инструментов и технологий.
В наши дни смартфоны оснащены намного мощной начинкой, чем нужно для запуска легковесного SSH клиента для подключения к VPS (виртуальный частный сервер) и решить какую-то критическую проблему, если под рукой нет ноутбука и Wi-Fi.
SSH клиенты для смартфонов
На самом деле, все мобильные SSH-клиенты позволяют делать то же самое: подключиться по SSH к серверу. Друг от друга они отличаются тем, насколько удобны они в использовании на мобильном устройстве. Ведь клавиатура на мобильном устройстве имеет свои особенности, основное её предназначение переписка и набор коротких сообщений, а не кодирование. Даже набирать - и / стандартной iOS-клавиатуре довольно сложно, так как требуется нажать три кнопки.
Хорошие мобильные SSH-клиенты упрощают этот процесс. Например, Termius - очень популярный бесплатный SSH-клиент для iOS и Android. Интерфейс самого терминала предоставляет обычную клавиатуру, а над ней расположены элементы управления, которые не часто используются на обычной мобильной клавиатуре. Например, для часто используемой клавиши-модификатор Ctrl у Termius есть отдельная кнопка рядом с Esc. Так же в командной строке часто используются тире и косые черты /, поэтому под них также выделены отдельные клавиши, что сильно упрощает процесс набора.
Вне терминала тоже интерфейс очень функциональный: удобное создание новых SSH ключей, а также есть опция передачи ключей на Macbook, для последующего добавления в список authorized_keys на сервере.
Termius доступен бесплатно для платформ iOS и Android, но такие функции как вкладки, переброс агента SSH, SFTP подключение доступно только Pro версии, подписка на которую стоит $8 в месяц.
Prompt - это премиум-клиент для iOS, который сочетает в себе множество полезных функций. Он имеет тот же дизайн панели быстрого доступа, что и Termius, но может меняться в зависимости от приложения.
Это приложение также поддерживает сохранение часто используемых команд как шорт-каты, что освобождает от постоянного ввода одних и тех же команд. Оно стоит 15 долларов, но это разовая цена и включает все премиум функции.
Mosh
Mosh является альтернативой SSH и построен специально для мобильных пользователей, так как использует UDP. Традиционное SSH ожидает ответа сервера перед тем, как отображать введенные символы, что сильно раздражает при подключениях с большим временем задержки. В то время как 4G имеет хорошую среднее время отклика - 50 мс, то при соединении по 3G, задержка может вырасти до более чем 300 мс. Mosh помогает обходить это ограничение, и значительно уменьшает время отклика:
Кроме этого, Mosh не разрывает соединение, если интернет оборвался, что часто случается с мобильным интернетом. В любом случае, можно использовать tmux или screen, но иметь под рукой Mosh, который поддерживает эту функцию «из коробки» очень удобно.
Mosh как опция включена в Termius и Blink. А вот интеграции с Prompt нет, так как последняя не распространяется свободно.
Используйте tmux или screen для непрерывной работы
После установления соединения нужно подключиться к tmux или screen. Tmux терминальный мультиплексор, который позволяет запускать несколько терминальных сессий в одном окне. Также он дает возможность отключаться от сессии при том, не завершая его на сервере. Таким образом, откуда угодно можно подключиться к запущенной сессии. Например, можно запустить сессию на компьютере, а потом подключиться к ней со смартфона.
Если tmux не установлен, сделать это можно командой:
sudo apt-get install tmux
А затем, дело за малым: создано новую сессию и задать ей имя:
tmux new -s session
После этого в нижней части окна появится строка состояния, которая указывает на то, что вы работаете в tmux. Чтобы отключиться от сессии введите команду:
tmux detach
Или просто нажмите комбинацию клавиш Ctrl+B, а затем D, но может быть неудобно делать это на смартфоне. Вместо этого можно использовать команду exit.
Сессия продолжает выполняться на сервере; запущенные программы, журнал команд и все остальное продолжают выполняться в фоновом режиме, даже если вы не подключены к сети.
Для повторного подключения к сеансу используйте:
tmux a -t session
В некоторых SSH-клиентах, таких как Prompt, можно задать команду startup, которая будет выполняться при подключении к ней. Таким образом, если на сервере запущен сеанс tmux, к которому всегда подключаетесь, используйте команду startup для автоматического подключения.