По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
Говоря о виртуализации, вы не можете не упомянуть VMware. Компания была основана в 1998 году и претерпела ряд изменений за последние два десятилетия, в последнее время она стала частью семейства Dell Technologies. В этой статье мы немного расскажем про историю компании и перейдем к обзору её основных продуктов.
О компании
История VMware
Компания была основана Дайан Грин и Мендель Розенблюм вместе со Скоттом Девином, Эллен Ван и Эдуардом Бугнионом. Затем она была приобретена в 2004 году корпорацией EMC, став частью Федерации EMC. Корпорация EMC была приобретена компанией Dell Technologies в 2016 году и в настоящее время является семейной компанией VMware. Грин занимал должность генерального директора в течение 10 лет, прежде чем в 2008 году был уволен советом директоров и заменён на Пола Марица, ветерана Microsoft. В 2012 году Мариц сменил Пэта Гелсингера, который до этого времени был директором отдела продуктов информационной инфраструктуры EMC. Несмотря на то, что VMware является дочерней компанией Dell Technologies, она по-прежнему находится в публичной торговле. Помимо семейной компании, заметными инвесторами являются JPMorgan, BlackRock и Cisco. Последние годовые показатели выручки, имеющиеся у компании, - за 2016 год, когда она отчиталась об общем доходе в $7 млрд (5 млрд). Ожидается, что данные за 2017 год будут опубликованы в начале февраля 2018 года, но его последние квартальные результаты, за Q2 2017 года, показывают рост в годовом выражении на 12%.
Что продает VMware?
Наследие VMware заключается в программном обеспечении виртуализации для облачных сред и центров обработки данных. Одним из популярных продуктов является vSphere, который наряду с Microsoft HyperV является одним из наиболее известных и наиболее широко используемых гипервизоров. Компания имеет несколько программ виртуализации настольных ПК и приложений, большинство из которых относятся к ее ассортименту продуктов Horizon, хотя она имеет три персональных продуктов виртуализации настольных ПК Fusion для Mac, Workstation для Windows и Workstation для Linux, которые выходят за рамки этого брендинга. Она также предлагает Horizon FLEX для управления этими тремя продуктами. Что касается облачной стороны вещей, то компания предлагает ряд управленческих продуктов под брендом vImplementation и vCloud. Интеграция с Amazon Web Services позволяет клиентам запускать средства VMware vSphere в общедоступном облаке. Другие менее основные продукты включают AirWatch для мобильности предприятия, vSAN для хранения данных и Pule IoT Center.
Показатели VMware
Пэт Гелсингер является нынешним генеральным директором VMware и занимает эту должность с 2012 года. Несмотря на короткое время пребывания в должности, Гелсингер фактически является третьим генеральным директором компании. Майкл Делл является председателем VMware с момента поглощения Dell в 2016 году предыдущей семейной компании VMware - EMC.
У компании есть три COO: Санджай Поонен, который присматривает за операциями клиентов, за продуктами и облачными сервисами присматривают Рагху Рагхурам и Раджив Рамасвами.
Рэй О 'Фаррелл - CTO компании, Зейн Роу - её финансовый директор и Жан-Пьер Брулард - SVP и GM для EMEA.
Основные продукты
Виртуализация
Гипервизор VMware (VMware hypervisor)
VMware виртуализирует физические компьютеры с помощью своего основного продукта гипервизора. Гипервизор - это тонкий слой программного обеспечения, который взаимодействует с базовыми ресурсами физического компьютера (называемого хостом) и распределяет эти ресурсы для других операционных систем (называемых гостями). Гостевая ОС запрашивает ресурсы у гипервизора.
Гипервизор разделяет каждую гостевую ОС, чтобы каждая могла работать без вмешательства других. Если одна гостевая ОС потерпит крах приложения, станет нестабильной или заражена вредоносным ПО, это не повлияет на производительность или работу других операционных систем, работающих на хосте.
VMware ESX
Гипервизор VMware ESXi для центров обработки данных представляет собой гипервизор типа 1 или «bare metal», заменяющий основную операционную систему, которая будет взаимодействовать с физическими компонентами компьютера. Это наследник ESX, который был большим гипервизором, который использовал больше ресурсов главного компьютера. VMware заменила ESX обновленым ESXi.
Ранняя версия гипервизора, ESX, включала ядро Linux (центральная часть ОС, управляющая аппаратным обеспечением компьютера). Когда VMware выпустила ESXi, она заменила ядро Linux своим собственным. ESXi поддерживает широкий спектр гостевых операционных систем Linux, включая Ubuntu, Debian и FreeBSD.
ESXi от VMware конкурирует с несколькими другими гипервизорами типа 1:
VMware vs Hyper-V: Microsoft Hyper-V - это продукт гипервизора, который позволяет запускать несколько операционных систем на одном сервере или клиентском компьютере. Как и ESXi от VMware, Hyper-V является гипервизором типа 1, который взаимодействует с базовыми физическими вычислительными ресурсами и ресурсами памяти. Hyper-V работает иначе, чем ESXi, используя разделы для управления своими виртуальными машинами. Hyper-V должен работать с ОС Windows. При активации он устанавливается вместе с операционной системой Windows в корневой раздел, что дает Windows привилегированный доступ к базовому оборудованию. Затем он запускает гостевые операционные системы в дочерних разделах, которые взаимодействуют с физическим оборудованием через корневой раздел. Hyper-V также поставляется с клиентами Windows 10, конкурирующими с гипервизорами VMware Type 2 Workstation.
VMware vs Citrix: Citrix предлагает продукты для виртуализации приложений и настольных систем и имеет большой опыт работы на рынке интеграции виртуальных десктопов. Основным предложением гипервизора является Citrix Hypervisor (известный как XenServer), который конкурирует с VMware vSphere. Продукты Citrix для виртуализации приложений и настольных компьютеров конкурируют с продуктом VMware Horizon для интеграции виртуальных десктопов.
VMware vs KVM: VMware ESXi и KVM являются гипервизорами, но KVM является частью ядра Linux (сердце ОС). Большое преимущество KVM перед VMware ESXi заключается в том, что он является продуктом с открытым исходным кодом, что делает его кодовую базу прозрачной. Вы можете использовать различные инструменты управления виртуализацией с открытым исходным кодом, которые интегрируются с ядром Linux. Как и во многих проектах с открытым исходным кодом, им может потребоваться дополнительная настройка. Вы также можете купить Red Hat Virtualization, которая предоставляет набор инструментов управления для виртуальных серверов, построенных на KVM.
Виртуализация десктопов
VMware Workstation
VMware Workstation включает в себя гипервизоры типа 2. В отличие от гипервизора типа 1, который полностью заменяет базовую ОС, гипервизор типа 2 запускается как приложение в настольной ОС и позволяет пользователям настольных компьютеров запускать вторую ОС поверх своей основной (host) ОС.
VMware Workstation поставляется в двух вариантах:
Workstation Player - бесплатная версия, которая поддерживает одну гостевую ОС (VMware Fusion — версия VMware Workstation для Mac).
Workstation Pro - поддерживает несколько гостевых операционных систем и интегрируется с инструментами управления виртуализацией предприятия VMware.
VMware Tools
Есть только одна вещь лучше, чем наличие второй ОС на настольном компьютере: наличие второй ОС, которая может обмениваться данными с первой. Вот тут и появляются VMware Tools. Это важная часть любой среды VMware Workstation. Это позволяет гостевой ОС, работающей в гипервизоре типа 2, лучше работать с хост-ОС.
Преимущества установки VMware Tools включают более высокую производительность графики и поддержку общих папок между гостевой и хост-ОС. Вы можете использовать VMware Tools для перетаскивания файлов, а также для вырезания и вставки между двумя операционными системами.
Гипервизоры VMware Type 2 конкурируют с другими на рынке, включая следующие:
VMware и Virtualbox: VirtualBox - это гипервизор типа 2, производимый принадлежащим Oracle Innotek, который конкурирует с VMware Workstation. Это бесплатный продукт с открытым исходным кодом, который позволяет устанавливать и использовать другую ОС поверх той, которая уже установлена на вашем настольном компьютере или ноутбуке. Вы можете установить продукты VMware на Linux и Windows. VirtualBox поддерживает Linux, Windows, Solaris и FreeBSD в качестве хост-операционных систем. Каждый продукт имеет свои сильные и слабые стороны в разных областях. Продукты VMware предлагают лучшую поддержку 3D-графики, а VirtualBox поддерживает больше образов виртуальных дисков, которые представляют собой файлы, содержащие данные виртуальной машины.
VMware и Parallels: Parallels - это гипервизор типа 2, предназначенный для работы гостевых операционных систем на платформе macOS. Это конкурирует с VMware Fusion. VMware Fusion доступен за разовую плату, но вы можете лицензировать Parallels только по модели подписки.
Интеграция с виртуальным рабочим столом (VDI - Virtual desktop integration)
VMware предлагает третью модель, которая находится где-то между виртуализацией серверов и настольных систем, описанной выше - интеграция виртуальных рабочих столов (VDI). VDI виртуализирует настольные операционные системы на сервере.
VDI предлагает централизованное управление настольными системами, позволяя вам настраивать и устранять неполадки операционных систем настольных систем без удаленного доступа или посещений на месте. Пользователи могут получать доступ к своим приложениям и данным с любого устройства в любом месте без необходимости инвестировать в дорогостоящее, мощное клиентское оконечное оборудование. Конфиденциальные данные никогда не покидает сервер.
VMware Horizon
VMware Horizon - это набор инструментов VDI от VMware. Он поддерживает рабочие столы как Windows, так и Linux. Вы можете запускать свои виртуальные рабочие столы в своих собственных помещениях или использовать Horizon Cloud для запуска их в нескольких размещенных облачных средах.
Пакет Horizon включает в себя Horizon Apps, платформу, которая позволяет вам создавать свой собственный магазин приложений для корпоративных пользователей для работы на их виртуальных рабочих столах. Ваши пользователи могут получить доступ к различным локальным, SaaS и мобильным приложениям, используя единый набор учетных данных для входа.
Vsphere
VMware vSphere - это платформа виртуализации предприятия VMware, включающая как программное обеспечение гипервизора ESXi, так и платформу управления vCenter Server для управления несколькими гипервизорами.
VSphere доступен в трех конфигурациях: Standard, Enterprise Class и Platinum. Каждый поддерживает хранилище виртуальных машин на основе политик, миграцию рабочей нагрузки в реальном времени и встроенные функции кибербезопасности. Варианты более высокого уровня включают шифрование на уровне виртуальной машины, интегрированное управление контейнерами, балансировку нагрузки и централизованное управление сетью. Платина сама по себе поддерживает автоматическое реагирование на угрозы безопасности и интеграцию со сторонними инструментами безопасности.
vCenter
Одним из важных компонентов vSphere является vCenter Server. Это компонент управления vSphere. Это позволяет вам управлять развертыванием виртуальной машины на большой коллекции серверов хоста. Он назначает виртуальные машины хостам, выделяет для них ресурсы, отслеживает производительность и автоматизирует рабочий процесс. Этот инструмент может использоваться для управления привилегиями пользователя на основе собственных политик пользователя.
VCenter Server состоит из трех основных компонентов:
VSphere Web Client - это пользовательский интерфейс платформы, предоставляющий администраторам доступ на основе браузера ко всем функциям.
База данных VCenter Server - это хранилище данных для продукта. Он хранит данные, необходимые хост-серверам для запуска гипервизоров и виртуальных машин.
Единый вход VCenter (Single Sign-On) - позволяет получить доступ ко всей инфраструктуре vSphere с помощью единого входа.
Кластеризация
Использование гипервизора на хост-сервере позволит максимально эффективно использовать это оборудование, но большинству корпоративных пользователей потребуется больше виртуальных машин, чем они могут уместить на одном физическом сервере. Вот где появляется технология кластеризации VMWare.
VMware распределяет ресурсы между хостами, группируя их в кластер и рассматривая их как одну машину. Затем вы можете использовать технологию кластеризации VMware для объединения аппаратных ресурсов между гипервизорами, работающими на каждом хосте в кластере. При добавлении виртуальной машины в кластер вы можете предоставить ей доступ к этим объединенным ресурсам. На предприятии с поддержкой VMware может быть много кластеров.
VMware позволяет создавать кластеры и управлять ими в своей среде vSphere. Кластер поддерживает множество функций vSphere, включая балансировку рабочей нагрузки, высокую доступность и отказоустойчивость.
Кластеризация VMware предоставляет вам доступ к нескольким функциям VMware, которые обеспечивают бесперебойную и надежную работу вашей виртуальной инфраструктуры.
VMware HA
Решение VMware vSphere High Availability (HA) позволяет переключать виртуальные машины между физическими хостами в случае сбоя основного оборудования. Оно контролирует кластер и, если обнаруживает аппаратный сбой, перезапускает свои виртуальные машины на альтернативных хостах.
VSphere HA определяет один хост в кластере как «ведущий», остальные называются «ведомыми». Мастер связывается с vCenter Server, сообщая о состоянии защищенных виртуальных машин и подчиненных хостов.
VMware Fault Tolerance
Несмотря на то, что vSphere HA обеспечивает быстрое восстановление после сбоев, вы все равно можете ожидать простоев во время перемещения и перезагрузки виртуальной машины. Если вам нужна дополнительная защита для критически важных приложений, vSphere Fault Tolerance предлагает более высокий уровень доступности. Он не обещает потери данных, транзакций или соединений.
VSphere Fault Tolerance работает путем запуска первичной и вторичной виртуальной машины на отдельных хостах в кластере и обеспечения их идентичности в любой точке. В случае сбоя одного из хостов оставшийся хост продолжает работать, и vSphere Fault Tolerance создает новую вторичную виртуальную машину, восстанавливая избыточность. VSphere автоматизирует весь процесс.
VMware DRS
Если вы позволите многим виртуальным машинам работать на хост-машинах неуправляемо, у вас возникнут проблемы. Некоторые виртуальные машины будут более требовательными к ресурсам процессора и памяти, чем другие. Это может создавать несбалансированные рабочие нагрузки: хосты обрабатывают больше, чем их доля работы, в то время как другие бездействуют. Распределенное планирование ресурсов VMware (DRS) решает эту проблему путем балансировки рабочих нагрузок между различными гипервизорами ESXi.
DRS, функция vSphere Enterprise Plus, работает в кластере хостов ESXi, которые совместно используют ресурсы. Он отслеживает использование ЦП и ОЗУ хоста и перемещает виртуальные машины между ними, чтобы избежать перегруженности и неиспользования хостов. Вы можете сами установить эти политики распределения, чтобы агрессивно перераспределять ресурсы или реже балансировать.
Виртуализация остальной части центра обработки данных
VMware сделала себе имя для виртуализации серверов, а затем и настольных операционных систем. В 2012 году компания объявила о планах виртуализации и автоматизации всего в центре обработки данных в рамках концепции, называемой программно-определяемым центром обработки данных (SDDC - software-defined data center).
Элементы VMDC SDDC включают следующее.
VMware NSX
VMware NSX - это продукт для виртуализации сети, позволяющий вам логически определять и контролировать свою ИТ-сеть в программном обеспечении. Вы можете объединить сетевые функции, такие как коммутация, маршрутизация, балансировка нагрузки трафика и брандмауэры, в гипервизоры, работающие на компьютерах x86. Вы можете управлять этими функциями вместе на одном экране, а не вручную настраивать различное оборудование для разных интерфейсов, а также применять программные политики для автоматизации сетевых функций. Это сетевой компонент SDDC от VMware, который обеспечивает те же преимущества виртуализации для сетевых, программных и вычислительных функций.
Продукт поддерживает несколько сред, включая ваш центр обработки данных, частное облако и общедоступные облака. Это упрощает поддержку вашей облачной сети приложениями, которые используют контейнерные среды и микросервисы.
VMware vSAN
VMware vSAN является частью решения VMware для виртуализации хранилищ. Он создает программный интерфейс между виртуальными машинами и физическими устройствами хранения. Это программное обеспечение - часть гипервизора ESXi - представляет физические устройства хранения в виде единого пула общего хранилища, доступного для компьютеров в одном кластере.
Используя VMware vSAN, ваши виртуальные машины могут использовать хранилище на любом компьютере в кластере, а не полагаться только на один компьютер, который может исчерпать хранилище. Это также позволяет избежать потери памяти физического компьютера, если виртуальные машины, работающие на этом компьютере, не используют ее. Виртуальные машины, работающие на других хостах, также могут использовать его хранилище.
VSAN интегрируется с vSphere для создания пула хранения для задач управления, таких как высокая доступность, миграция рабочей нагрузки и балансировка рабочей нагрузки. Пользовательские политики дают вам полный контроль над тем, как vSphere использует общее хранилище.
VMware Cloud
VMware предлагает несколько продуктов и услуг под баннером VMware Cloud. VMware Cloud Foundation, интегрированный программный пакет, поддерживающий гибридные облачные операции, включает в себя ряд услуг для программно-определяемых вычислений, систем хранения, сетей и безопасности, а также доступен в качестве услуги от различных поставщиков облачных услуг. Вы можете развернуть его в частной облачной среде через vSAN ReadyNode, проверенную конфигурацию сервера, предоставленную OEM, работающим с VMware.
VMware HCX (Сервис)
VMware HCX является компонентом VMware Cloud, который помогает компаниям использовать различные вычислительные среды. Это дает ИТ-командам необходимую функциональность по разумной цене и позволяет им хранить более конфиденциальные данные на своих компьютерах. Задача состоит в том, чтобы заставить эти виртуальные машины работать вместе в разных средах.
HCX - это ответ VMware на сложность этого гибридного облака. Это предложение программного обеспечения как услуги (SaaS), которое позволяет вам управлять несколькими экземплярами vSphere в разных средах, от локальных центров обработки данных до размещенных облачных сред. Ранее называвшийся Hybrid Cloud Extension и NSX Hybrid Connect, HCX абстрагирует вашу среду vSphere, так что виртуальные машины, которыми она управляет, имеют одинаковый IP-адрес, независимо от того, где они работают. HCX использует оптимизированное соединение глобальной сети (WAN) для расширения локальных приложений до облака без перенастройки. Это позволяет вам использовать дополнительные вычислительные мощности из облака для поддержания производительности локальных приложений, когда вычислительные потребности превышают локальные физические ресурсы.
Вы можете часто видеть эту ситуацию в розничной торговле. Резкий рост спроса на электронную коммерцию может израсходовать все ресурсы вашего центра обработки данных. Вы можете поддерживать выполнение заказов и избежать разочарований клиентов, используя вычислительные ресурсы в облаке. HCX позволяет вам реплицировать ваши данные в облачный экземпляр vSphere для аварийного восстановления. Если вам нужно переключиться на резервный сервер или систему, если локальная инфраструктура становится недоступной, вы можете сделать это без перенастройки IP-адресов.
Резервное копирование и снимки
Как и физические компьютеры, виртуальные машины должны быть зарезервированы. VMware использовала свою собственную систему защиты данных vSphere, но больше не выпускала этот продукт. Вместо этого вы можете использовать программное обеспечение EMC Avamar для резервного копирования, восстановления и дедупликации, которое обеспечивает защиту vSphere Data Protection. Есть также другие сторонние решения для резервного копирования, доступные от партнеров VMware.
Снимок VMware (снепшот) - это файл, который сохраняет состояние виртуальной машины и ее данных в определенный момент времени. Снимок позволяет восстановить виртуальную машину к моменту создания снимка. Снимки не являются резервными копиями, поскольку они сохраняют только изменения из исходного файла виртуального диска. Только полное решение для резервного копирования может полностью защитить ваши виртуальные машины.
Контейнеры VMware
Разработчики все чаще используют контейнеры в качестве альтернативы виртуальным машинам. Как и виртуальные машины, они представляют собой виртуальные среды, содержащие приложения, абстрагированные от физического оборудования. Однако контейнеры совместно используют ядро базовой операционной системы вместо виртуализации всей ОС, как это делают виртуальные машины.
Контейнеры обеспечивают большую гибкость и используют физические вычислительные мощности более эффективно, чем виртуальные машины, но они подходят не для всех случаев. Возможно, вы захотите разработать совершенно новое приложение, которое разделяет небольшие функциональные части, называемые микросервисами, на отдельные контейнеры, что делает разработку и обслуживание приложений более гибкими. С другой стороны, устаревшее приложение, написанное для запуска в виде одной двоичной программы, может быть более подходящим для работы в виртуальной машине, которая отражает среду, в которой она используется. Вы можете использовать контейнеры и виртуальные машины вместе, используя функцию интегрированных контейнеров vSphere VMware, которая устраняет разрыв между ними, позволяя контейнерам работать в средах VMware. Он состоит из трех компонентов:
VSphere Integrated Container Engine - позволяет разработчикам запускать контейнерные приложения на основе популярного формата контейнера Docker вместе с виртуальными машинами в той же инфраструктуре vSphere.
Project Harbor - это корпоративный реестр контейнеров, который позволяет разработчикам хранить и распространять образы контейнеров, чтобы другие разработчики могли их повторно использовать.
Project Admiral - это портал управления, который позволяет командам разработчиков предоставлять и управлять контейнерами.
AirWatch
AirWatch - это подразделение VMware, специализирующееся на управлении мобильностью предприятия. Его технология лежит в основе продукта VMware Workspace ONE Unified Endpoint Management, который позволяет управлять конечными точками, начиная с настольных ПК и заканчивая небольшими по размеру устройствами Интернета вещей (IoT), с помощью единой консоли управления.
Конечные точки являются уязвимостями безопасности для компаний. Злоумышленники могут получить доступ ко всей сети, заразив одну конечную точку вредоносным ПО. Конечные точки также уязвимы для физической кражи, что делает данные на них уязвимыми. Централизованное управление всеми конечными точками, даже если они не находятся в офисной сети, помогает администраторам обеспечить надлежащую защиту и шифрование конечных точек.
Продукт управления конечными точками поддерживает целый ряд операционных систем, от Android до MacOS и даже систем, ориентированных на IoT, таких как QNX. Вы можете настроить политики использования и параметры безопасности для каждого устройства в сети.
Заключение
Мы перечислили основные продукты компании VMware. Больше материалов про виртуализацию можно найти в нашем разделе.
Первые два типа систем (IPS - intrusion prevention system & IDS - intrusion detection system) появились в 1986 году как результат научной работы, и их базовые принципы до сих пор используются повсюду – в системах предотвращения и обнаружения, в NGIPS и NGFW – словом во всех системах, которые были упомянуты в заголовке. В статье мы расскажем, как IPS/IDS изменялись со временем, с какими проблемами сталкивались разработчики и что можно от них ожидать в будущем.
Итак, как мы уже сказали, системы обнаружения угроз и системы предотвращения угроз появились после написания научной статьи некой Дороти Деннинг, и называлась эта статья «Модель обнаружения угроз», и благодаря этой статье Стэнфордский Исследовательский Институт разработал нечто под названием Intrusion Detection Expert System/ (IDES). Вольно это можно перевести как экспертная система обнаружения угроз. Она использовала статистическое обнаружений аномалий, сигнатуры и хостовыепользовательские профили для детектирования редискового поведения у систем. Таким образом, она могла определить если такие протоколы как FTP или HTTP были использованы некорректно и даже могла определять атаки с отказом обслуживания (DoS).
2000 - 2005: Обнаружение предпочтительнее предотвращения
В ранних 2000х системы обнаружения считались хорошим тоном. А до этого межсетевые экраны были очень эффективны для ландшафта угроз безумных 90х годов. Фаерволы обрабатывали трафик относительно быстро, так как в них не было глубокой инспекции пакетов, то есть вы не знали, что это за трафик приходит к вам в сеть – фаерволы реагировали только на установленные в правилах (листах контроля доступа) порты, протоколы иили сетевые адреса. В начале 2000х появились новые атаки, такие как SQL-инъекции и прочие, и они моментально завоевали место на подиуме в арсенале взломщиков. И вот на этом этапе IDS системы и пригодились – а время систем предотвращения угроз еще не настало.
В то время некоторые организации боялись использовать IPS так как такая система потенциально могла заблокировать безвредный трафик. Как мы более подробно описывали в нашей статье про IPS и IDS, IPS ставится «в разрыв» и блокирует подозрительные соединения, полностью разрывая коннект и связь между отправляющей и принимающими сторонами. Но как вы могли понять, такое соединение могло стать подозрительным просто по причине какой-то аномалии в подключении и грубо говоря «глюке». Таким образом, IDS системы просто сообщали о такой аномалии и ничего не блокировали, чтобы сисадмин мог среагировать и проверить - правда ли это что-то плохое или же это просто доброкачественная аномалия. По этой причине в то время рынок для систем предотвращения угроз был настолько мал, что существовало всего несколько IPS вендоров. То есть идеей было что нужно пропускать любой трафик, а разберемся, мол, уже опосля – риск потери хорошего трафика был страшнее угрозы взлома.
В это время сигнатуры писались для обнаружения эксплойтов, но не уязвимостей – то есть для каждой уязвимости было 100 разных способов эксплойта. Как только злоумышленники находили уязвимость, они заставляли разработчиков IDS исходить потом и писать сотни разных сигнатур для эксплойтов – все только для того, чтобы система обнаружения отправила тревогу админу. И вендоры IDS хвастались количеством имеющихся у них сигнатрур, будто это выгодно отличало их от конкурентов – но как вы понимаете, это не было корректным критерием оценки. В общем и целом, механизмы тогда насчитывали следующее полчище методов – совпадение по паттернам, строкам, аномалиям и даже эвристический анализ.
Принятие IPS - год 2005
Когда в 2005 году системы предотвращения начали становится популярнее, большее количество вендоров стали соревноваться за место под солнцем на растущем рынке, и перестали хвастать самыми длинными сигнатурами. Опять же, по причине установки «в разрыв», клиенты боялись, что все эти сигнатуры будут замедлять сеть, так как каждое соединение должно быть пропущено через них. Таким образом, было решено сменить вектор написания сигнатур на другие – те, которые будут базироваться не на эксплойте, а на самой уязвимости. Было получено опытным путем, что если в системе более 3500 сигнатур, то это будет заметно сказываться на производительности. Сегодня производители все еще помещают в систему как новые сигнатуры, так и некую классику уязвимостей, которую злоумышленники могут использовать.
2006 – 2010: Настает время производительных IPS/IDS комбайнов
Вендоры, которые предлагали гибридные системы, быстро обошли конкурентов – они предлагали гораздо более производительные системы, вплоть до 5 Гбитсек, и могли мониторить сегментированные сети, DMZ, серверные фермы с веб-приложениями и площадь внутри периметра. К примеру, сегодня производительные IPS устройства легко дают более 40 гигабит в секунду.
В итоге, клиенты начали массово переходить на системы предотвращения вторжений и рынок начал очень быстро расти. А когда появился стандарт безопасности PCI DSS начал требовать от организаций поддержу оплаты картами установки или IDS, или МСЭ с возможностью фильтрации веб-приложений, очень много организаций купили гибридные системы. И прошло уже много лет с момента рождения технологии, так что технологию порядочно оттюнинговали и подрихтовали, так что, ложно-положительных срабатываний стало гораздо меньше. Однако, в этот же момент начала расползаться эпидемия ботнетов. И самым популярным способом стало помещение зловредных приложений на популярных сайтах, и, если какой-нибудь браузерный плагин вроде Java или Adobe Flash был с уязвимостью, при клике на соответствующий документ вредонос тихонько скачивался на компьютер. Кроме того, в 2008 году злоумышленники активно использовали перенаправляющие ссылки на вредоносные сайты, так что IDS/IPS вендоры начали также добавлять списки IP-адресов вредоносных командных центров и их веб-адресов – если эти ресурсы содержали на себе вредоносы.
2011 – 2015: Системы предотвращения вторжений следующего поколения
В эти годы был переломный момент для вендоров в сфере ИБ – так как они стали выпускать системы предотвращения угроз следующего поколеня, которые включали в себя такие фичи как контроль пользователей и приложений. Таким образом, традиционный IPS смотрит в сетевой трафик на предмет известных аттак и что-то делает с этим трафиком, в зависимости от модели развертывания, а IPS следующего поколения делает тоже самое, но кроме того он покрывает гораздо больше протоколов (вплоть до 7 уровня) для защиты от большего количества атак. Кроме того, он также позволяет гибко контролировать доступ к приложениям – то есть, например, чтобы можно было лайкать фотки в VK, но нельзя было их заливать. И более того – чтобы это могли делать только определенные группы пользователей.
Следующее дополнение к IDS/IPS системам появилось после взлома RSA (компании, которая занимается мультифакторной аутентификацией) в 2011 году – тогда новостные ресурсы назвали это APT (Advanced Persistent Threat)-атакой, то есть сложной постоянной угрозой. Позже было сказано, что это была фишинговая атака, в которой содержался документ с вредоносом внутри. Клиенты стали спрашивать ИБ вендоров, могут ли они их защитить от подобных вещей, если у вендора нет сигнатуры на данный конкретный вредонос, и ответом вендоров было предоставление такой фичи как эмуляция и песочницы – но это потребовало около 18 месяцев для большинства вендоров. Так что компании FireEye и Fidelis оказались в фазе бурного роста, так как они предоставляли такие технологии песочницы, до которых всем было очень далеко. Только подумайте, песочницы впервые за всю историю могли обнаружить до сих пор неизвестную атаку нулевого дня.
Как работает песочница: неизвестный исполняемый файл или документ сначала попадает в песочницу, где он запускается в разных операционных системах и алгоритм пытается имитировать действия пользователя – клавиши стучат, мышка елозит и кликает, время прокручивается – все в надежде на то, что вредонос вылупится и себя покажет.
Вендоры пошли чуть дальше. Если вредонос себя проявлял, то его хэш-сумма (MD5 или SHA) сохранялась для того, чтобы в будущем всегда ловить такие файлы. Соответственно, если другой клиент на такой же системе получал тот же файл – то он не пропускался в сеть и звучала тревога. Такие системы получили название Next Generation Firewall – межсетевых экранов следующего поколения.
Конечно, Гартнер использовал этот термин еще в 2003 году и предсказал, что они межсетевые экраны будут содержать внутри себя сложную IPS систему, но индустрия не принимала подобные устройства вплоть до 2013 года.
2018 – и далее: Межсетевые экраны следующего поколения
Сегодня большинство организаций используют NGFW и список их фич только растет. Так как эти МСЭ отличаются различными фичами, организациям придется выбирать в зависимости от точности поставленной задачи и их требований.
Опять же, есть за и против МСЭ следующего поколения: за – нужно купить только пару железяк вместо почти десятка. Против – это все один вендор, и его мудрость ограничена, то есть не существует лучшего вендора, который знал бы все и сразу. Таким образом очень неплохой практикой является комбинировать устройства защиты от разных производителей и разбавлять их «мудрость» между собой. Важно помнить, что любое устройство защиты всегда хорошо только настолько, насколько богаты знания и опыт, стоящие за этим устройством. Есть даже специальный термин – Threat Intelligence. Такие системы и базы знаний есть у всех больших ИБ вендоров. Более того, они есть полностью бесплатные и открытые – например, VirusTotal.
Сегодня ландшафт угроз постоянно меняется и большинство вендоров сконцентрировано на машинном обучении, чтобы алгоритмы анализа файлов всегда улучшались, а количество шума и ложных срабатываний стремилось к минимуму.
Но это бесконечная игра в кошки-мышки, и на каждый ход производителей хакеры придумают что-нибудь новое, что позже смогут нейтрализовать вендоры.
Дружище! В этой статье мы пошагово разберем процесс установки и первичной настройки Kamailio SIP сервера. Установку будем производить на Ubuntu 18.04/16.04. Готов приблизиться к телефонии уровня энтерпрайз, построенной на open – source? :)
А что есть Kamailio?
Kamailio берет начало от SER/Open SER. Откровенно говоря, Kamailio это масштабируемая и гибкая SIP – платформа, созданная как для маленьких инсталляций, так и для больших проектов уровня сервис – провайдеров. Продукт написан на C и работает на Linux/Unix машинах. Kamailio используется в связке с медиа – сервером (RTP потоки и данные, например, Asterisk) и обеспечивает такие фичи как:
До 5000 вызовов в секунду;
Поддержка 300 000 абонентов (WOW!) при условии наличия всего 4ГБ оперативной памяти для сервера Kamailio!
Легкая кластеризация и добавление новых нод в существующих кластер;
Вообще, Kamailio может выполнять такие роли как:
Registrar server - точка для регистрации клиентов (UAC) ;
Location server - сервер определения местоположения. Сервер хранит адрес (сетевой) абонента и отдает его SIP – серверам по запросу;
Proxy server - роль посредника для дальнейшего проксирования этих запросов далее по цепочке SIP - серверов;
SIP Application server - он же SAS. Сервер приложений. Любых. Плечи в БД, API, XML и так далее – все здесь;
Redirect server - информация клиенту (UAC) о его маршруте. Условно говоря, перенаправляет SIP – потоки по нужному пути;
На этом прелести Kamailio не заканчиваются. Вот еще немного фич, на которые стоит обратить внимание:
Поддержка NAT –T (NAT traversal) для SIP и RTP трафика;
Балансировка нагрузки и отказоустойчивость с множеством сценариев/алгоритмов распределения трафика (на случай отказа);
Лёгкий механизм настрйоки правил маршрутизации;
Простота в реализации отказоустойчивой маршрутизации! Отвалился один маршрут – легко перенаправить трафик на другой;
Поддержка IPv4 и IPv6;
SCTP (Stream Control Transmission Protocol) с поддержкой многопоточности и так называемого multi – homing (синхронизация хостов по двум и более физическим каналам);
Коммуникация по протоколам UDP, TCP, TLS и SCTP;
Кодите на Java, Python, Lua, Perl? Ваши навыки точно пригодятся :)
Приступаем
Перед началом работ, у вас должны быть выполнены следующие требования:
У вас есть сервер, с установленной на него Ubuntu 18.04/16.04;
Вы установили MariaDB на этот сервер;
Вы добавили репозитории Kamailio;
Мы предполагаем, что 1 и 2 пункты вы выполнили :) Приступаем к третьему.
Добавляем репозиторий Kamailio
Если у вас установлена Ubuntu версии 16.04 вам нужно добавить репозиторий Kamailio, который будет использован при установке этой SIP – платформы.
Для начала скачиваем и добавляем GPG ключ:
wget -O- http://deb.kamailio.org/kamailiodebkey.gpg | sudo apt-key add -
После этого нужно добавить строки в файл /etc/apt/sources.list. Работать мы будем с версией 5.1 Kamailio:
$ sudo vim /etc/apt/sources.list.d/kamailio.list
Добавляем данные:
deb http://deb.kamailio.org/kamailio51 xenial main
deb-src http://deb.kamailio.org/kamailio51 xenial main
Установка Kamailio
Как только мы сконфигурировали репозитории, приступаем к установке самого продукта. В том числе, мы установим некоторые MySQL модули:
$ sudo apt install kamailio kamailio-mysql-modules
Установим так же модуль для web – сокетов:
$ sudo apt install kamailio-websocket-modules
Ждем. Как только процессы, рождаемые этими командами будут выполнены, мы можем проверить приложение kamailio и увидеть его версию командой kamailio -V:
$ which kamailio
/usr/sbin/kamailio
$ kamailio -V
version: kamailio 5.1.2 (x86_64/linux)
flags: STATS: Off, USE_TCP, USE_TLS, USE_SCTP, TLS_HOOKS, DISABLE_NAGLE, USE_MCAST, DNS_IP_HACK, SHM_MEM, SHM_MMAP, PKG_MALLOC, Q_MALLOC, F_MALLOC, TLSF_MALLOC, DBG_SR_MEMORY, USE_FUTEX, FAST_LOCK-ADAPTIVE_WAIT, USE_DNS_CACHE, USE_DNS_FAILOVER, USE_NAPTR, USE_DST_BLACKLIST, HAVE_RESOLV_RES
ADAPTIVE_WAIT_LOOPS=1024, MAX_RECV_BUFFER_SIZE 262144, MAX_LISTEN 16, MAX_URI_SIZE 1024, BUF_SIZE 65535, DEFAULT PKG_SIZE 8MB
poll method support: poll, epoll_lt, epoll_et, sigio_rt, select.
id: unknown
compiled with gcc 7.3.0
Огонь. После этого, правим файл /etc/kamailio/kamctlrc (откройте так же через vim) и проверяем, что параметр DBENGINE выставлен в значение MySQL.
Раскомментируйте значение DBENGINE=MYSQL, удалив # перед строчкой
Далее, создаем базу данных. Команда, указанная ниже, создаст пользователей и таблицы, необходимые для Kamailio:
$ kamdbctl create
INFO: creating database kamailio ...
INFO: granting privileges to database kamailio ...
INFO: creating standard tables into kamailio ...
INFO: Core Kamailio tables succesfully created.
Install presence related tables? (y/n): y
INFO: creating presence tables into kamailio ...
INFO: Presence tables succesfully created.
Install tables for imc cpl siptrace domainpolicy carrierroute
drouting userblacklist htable purple uac pipelimit mtree sca mohqueue
rtpproxy rtpengine? (y/n): y
INFO: creating extra tables into kamailio ...
INFO: Extra tables succesfully created.
Install tables for uid_auth_db uid_avp_db uid_domain uid_gflags
uid_uri_db? (y/n): y
INFO: creating uid tables into kamailio ...
INFO: UID tables succesfully created.
Во время инсталляции, вам нужно будет указать пароль для MySQL. Инсталлятор сделает следующих юзеров:
kamailio - с паролем kamailiorw. Этот юзер имеет права на чтение и запись в БД;
kamailioro - с паролем kamailioro. Этот юзер имеет права только на чтение;
Почти готово. Теперь слегка поправим конфигурационный файл Kamailio /etc/kamailio/kamailio.cfg. Настроим SIP – домен:
$ sudo vim /etc/kamailio/kamctlrc
## ваш SIP домен
SIP_DOMAIN=wiki.merionet.ru
В том же файле, включим некоторые нужные модули. Расположите следующий код в том же файле, прямо под строкой #!KAMAILIO:
#!define WITH_MYSQL
#!define WITH_AUTH
#!define WITH_USRLOCDB
#!define WITH_ACCDB
Включаем Kamailio!
$ sudo systemctl restart kamailio
Командой systemctl status kamailio можно проверить текущий статус Kamailio. Если что-либо не работает, лог – файл приложения можно найти в /var/log/kamailio.log.