IT is Easy

Делаем из макбука WiFi VPN роутер

Как много раз уже писал и говорил об этом, компьютерная техника Apple – это по сути не понты модных мальчиков и девочек. Хотя такое часто и имеет место случаться в жизни. Техника Apple – это прежде всего очень технологичное оборудование и программное обеспечение, предоставляющее широкий спектр возможностей своим пользователям. В этой статье рассмотрим красивые ноутбуки и компьютеры MAC с точки зрения гиков. Хочется показать, как превратить обычный MacBook в WiFi VPN роутер, который сможет обеспечивать небольшое подразделение организации доступом в головной офис. Конечно же, для того, чтобы это реализовать есть более дешевые и подходящие средства. Как пример – уже готовые аппаратные модемы или Linux на небольшом сервере. Но, если возникает такая необходимость, а под рукой ничего из вышеперечисленного нет, мы можем использовать для этих целей и MacBook.

Возьмем гипотетический пример, что в центре города у нас распологается центральный офис нашей организации. А где-то на окраине мы открыли филиал. И нам необходима безопасная передача данных между двумя подразделениями. Также предположим, что в нашей организации работают любители техники Apple, которые пользуются именно ей в своей работе. А также то, что специального оборудования для организации VPN доступа в филиале мы еще не купили. В такой ситуации мы можем задействовать один из компьютеров с MacOS в качестве маршрутизатора, WiFi точки доступа, и VPN клиента. Несколько лайфхаков как это сделать приводится ниже. Основную цель, которую приследую при этом, показать обилие возможностей, заложенных в MacOS, о которых большая часть пользователей и не подозревает.

Автоматизируем pfsense через pfsense PHP Shell

Продолжу свою серию статей об open source межсетевом экране pfsense. Хотелось бы затронуть тему автоматизации процесса настройки и перенастройки этого программного продукта. Веб интерфейс фаервола безусловно отлично продуман и функционален. Однако, в работе современных больших IT систем, этого зачастую бывает недостаточно. Для динамически быстро меняющейся инфраструктуры крайне необходима автоматизация всех ее элементов. А реализовать это через веб интерфейс крайне затруднительно и проблематично. Так же и элементы Информационной Безопасности в сети должны быть максимально автоматизироваться. Каких-то прямых и готовых инструментов для этого к сожалению нет. Но разработчики дают доступ к pfsense Dev shell или pfsense PHP Shell. Эта командная оболочка не радует обилием документации, но позволяет с помощью скриптов управлять межсетевыми экранами pfsense.

Сами разработчики не очень приветствуют использование данного инструмента. В интернете для автоматизации работы pfsense есть варианты с самописными модулями ansible, а также внешним модулем Rest API для pfsense. Но для меня эти инструменты показались недостаточно функциональны и опасны в использовании. Так с помощью Rest API – FauxAPI можно вносить изменения напрямую в конфигурационный файл /cf/conf/config.xml. По сути, все найстройки межсетевого экрана находятся в этом файле. Однако, любая ошибка или неточность при работе с данным файлом приводит к общему фейлу фаерволу и глобальным проблемам в его работе. Поэтому в продакшене использование такого подхода для меня кажется слишком рискованным. И наиболее адекватным для автоматизации видится обращение к функционалу pfsense PHP Shell.

Мониторим работу pfsense с помощью Zabbix

Мониторинг IT инфраструктуры важен для любой организации. Такие устройства или виртуальные аплаинса как межсетевые экраны обычно мониторятся с помощью Zabbix или похожего программного обеспечения. Вообще, в своем блоге выделено тему мониторинга я еще не поднимал. Тем не менее, это одно из важнейших направлений в работе администратора. С ним приходится работать любому нормальному ITшнику. Чем больше инфраструктура, с которой приходится работать, тем важнее роль системы мониторинга в ней. В современном мире, основные системы мониторинга, с которыми придется работать – это Zabbix и Prometheus. Если первый оптимален под статичную инфраструктуру, то второй больше используется в микросервисной архитектуре и облаках. Соответственно в этой статье мы рассмотрим, как наблюдать за основными параметрами работы межсетевых экранов pfsense.

Про межсетевые экраны pfsense писал уже несколько статей в блоге. Упомяну про Тонкости работы pfsense в среде vmware, и Сложный NAT на pfsense. Это уже третья статья из цикла о них. С учетом тех возможностей, которые дают эти опенсорсные фаерволы, а также их стабильной работы, я думаю это будет не последняя статья о них. Как упомянал выше, мониторинг является неотъемлимой частью любой IT системы. Поэтому отдельно и было решено написать эту статью о том, как следить за работой pfsense. Тут есть свои небольшие хитрости, которые позволят добиться желаемого результата.

Тонкости работы pfsense в среде vmware

Pfsense – отличные опенсорсные межсетевые экраны. Я писал в своем блоге уже о них в статье “Сложный NAT на pfsense”. В их процессе эксплуатации возникает ряд нюансов, про которые лучше знать заранее. И, учитывая их, заблаговременно планировать свою инфраструктуру. Между тем, виртуализация вычислительных ресурсов под управлением систем VMware преобладает в современном IT мире. С моей точки зрения и опыта, другие системы виртуализации не дают таких возможностей, а также удобства в работе. Все что написано в этой статье, почерпнуто из опыта работы на продуктах Vsphere. Тем не менее, я думаю, что это будет полезно, даже если Вы используете pfsense и в других виртуальных средах.

В статье расскажу о том, как избежать некоторых неприятных нюансов при работе с межсетевыми экранами pfsense. Это касается добавления новых сетевых интерфейсов в наш фаервол. Как оказалось это не совсем тривиальная задача. Потом затрону проблему с измененим очередности виртуальных сетевых интерфейсов после перенастройки фаервола. Также рассмотрим простоту и удобство кластеризации pfsense. И затронем проблему, которая возникает если в Вашей сети или сети Вашего провайдера работает также протокол VRRP.

Контролируем уязвимости с OpenVAS

Тематика обнаружения и контроля за уязвимостями в сети актуальна для любого специалиста по Информационной Безопасности. Не важно занимаетесь Вы построением системы защиты IT инфраструктуры, проводите пентесты или аудиты информационной безопасности. Уязвимости в программном обеспечении и оборудовании – это наиболее критический момент, который в большинстве случаев позволяет злоумышленникам получить несанкционированный доступ к IT ресурсам. Я сам в свое время долгое время проработал в компании системном интеграторе. И прекрасно знаю о коммерческих решениях по поиску уязвимостей. Это и Qualys, и Nessus. И ряд прочего аналогичного программного обеспечения. Такие продукты шикарно закрывают вопрос с поиском уязвимостей в сети. Но обладают недостатком в необходимости ежегодно платить хорошую сумму в у.е. за подписку на них. К тому же Qualys – это полностью облачный продукт. И для меня, например, нет 100 процентной уверенности, что данные из этого облака не утекают в ЦРУ или АНБ.

Опенсорсное решение OpenVAS позволяет создать систему по анализу уязвимостей в сети организации или дома. Да, при этом Вам придется посложнее, чем при работе с Qualys. Но думаю, что при работе с любым Open Source продуктом инженеру приходится проявлять ум и смекалку. Если говорить общими словами, то OpenVAS поддерживают большую базу уязвимостей, которая постоянно пополняется. Он позволяет без ограничений по количеству ip адресов проводить сканирования. Чем больше Вы выделите ему компьютерных мощностей, тем более производительным он будет. Кроме того OpenVAS позволяет создавать сканирования сети по расписанию c отправкой оповещений о проделанной работе, например, по электронной почте. Все это, а также прочие возможности продукта, делают OpenVAS отличным претендентом на сканер уязвимостей в сети организации.

Управляем логами с ELK

Сколько себя помню в IT профессии, анализ и обработка логов – были всегда актуальной задачей. Оборудование и программное обеспечение постоянно генерируют лог записи о своей жизнедеятельности. И чем больше у Вас техники под управлением, тем больше массив данных, который ежедневно генерируется. Раньше были очень дорогие платные решения, типа HP ArcSight Logger, а также бесплатные опенсорсные как Adiscon LogAnalyzer. Но если первый тип продуктов, во-первых, был очень дорогим и недоступным для многих, а во-вторых, крайне “тяжелым” в эксплуатации. То второй тип программного обеспечения давал очень мало нужного функционала, слабо масштабировался и плохо проводил аналитику имеющихся логов. С приходом на IT сцену ELK – картина радикально поменялась. ELK или комплекс продуктов на базе Elastic Stack эффективно позволяет решать любые задачи с обработкой, хранением и визуализацией массивов логов различных устройств и программного обеспечения.

Сам по себе стек Elastic состоит из ряда отдельных продуктов, таких как Elasticsearch, Kibana, Logstash и ряда других. Однако все они взаимодополняют друг друга, работая как одно общее целое. Поэтому, принято говорить о работе всего стека ELK, который обрабатывает массив поступающей информации, позволяя ее эффективно анализировать и визуализировать. Elasticsearch – это ядро всего этого комплекса, которое отвечает за поиск нужной информации во всем массиве данных. Kibana – красивая визуальная среда, которая позволяет комфортно взаимодействовать с системой ELK ее пользователям. Ну а Logstash – это программное обеспечение, ответственное за прием данных из внешних источников и их обработку таким образом, чтобы дальше было легко их искать и анализировать.

Защита веб приложений с nginx

Частенько в процессе работы в IT возникает задача организовать защищенное быстрое функционирование того или иного веб приложения. У кого-то используются свои самописные приложения. У кого-то это сторонние готовые приложения. Но при этом приложения могут работать без аутентификации, либо при запуске использовать большой объем ОЗУ. Это, как правило, приложения на JAVA, Python и т.д., которые запускаются напрямую без использования веб сервера. В принципе, они конечно могут работать и таким образом. Но, в реальных продакшн условиях, это неэффективно с точки зрения компьютерных ресурсов. А также не секьюрно с точки зрения информационной безопасности. Во всех подобных случаях настоятельно советую использовать Nginx веб сервер как реверс прокси для Вашего приложения.

Основные преимущества такой конфигурации просты и очевидны. Во-первых, основная нагрузка по взаимодействию с клиентами перкладывается на профессиональный веб сервер. Nginx с этим делом справляется просто на УРА с минимальными затратами процессора и памяти. Во-вторых, возможность с легкостью устанавливать пароль для доступа к данному приложению. В организационной рабочей среде, приложение без пароля просто находка для хакера. Ну и в-третьих, быстрая настройка доступа через HTTPS протокол, что обеспечивает безопасность передачи данных по сети. Если у Вас публичный сервис, то Вы также можете настроить сертификат с помощью LetsEncrypt, о чем ранее писал в статье на этом блоге. Если сервис непубличный, то придется использовать свои самоподписанные сертификаты.

Деловая этика в IT

Последнее время частенько думаю о такой вещи как “Деловая Этика” в Информационных Технологиях. Вроде бы, что тут такого и зачем об этом думать. Есть общие правила деловой этики в бизнесе, которые необходимо соблюдать Но специфика IT все-таки накладывает определенные особенности на профессиональную деятельность. Из моего опыта, большинство фирм не обращает выделено внимание на этот вопрос. Как правило, по мере возникновения проблем, люди выстраивают те или иные правила или запреты в организации. Для себя эти правила были всегда каким-то неформализованным кодексом. Тут хотелось бы обобщить все то, с чем сталкивался в работе в IT сфере с точки зрения деловой этики. Я думаю, что подобные определенные правила должны быть формализованы внутри любой организации. И они должны доноситься в явной форме до всех сотрудников, задействованных в IT.

Привожу ниже основные принципы деловой этики ITшника, которые выработались у меня за годы работы. Конечно же, по большому счету, они все вытекают из общих правил этики и морального воспитания. И они, по сути, являются составной частью профессионализма. Без них сложно себе представить эффективную работу IT специалиста выского уровня. Да и, наверное, специалиста любого уровня, который не соблюдает эти правила лучше не видеть в своей команде или своем окружении.

Защищаем свой сайт с LetsEncrypt

В Интернете часто приходится видеть много веб сайтов, которые работают только по протоколу http. Также можно наблюдать использование протокола https с самоподписанными сертификатами в глобальной паутине. Для больших организаций это выглядит, как минимум, не серьезно. А как максимум, это и настоящая угроза безопасности при передаче данных между сайтом и клиентами. Если Вы используете пароли, какие-то админки управления на сайте, то без шифрования с помощью https, весь Ваш трафик может быть легко перехвачен и просмотрен. Поэтому, использование шифрования для передачи веб трафика в современном мире это не каприз, а важная необходимость. Для корректного использования протокола https на веб сайте в Интернете необходим цифровой сертификат, который будет выпущен общепризнанным мировым Центром Сертификации. Как правило, такие сертификаты стоят денег, и зачастую хороших денег. Но, сервис letsencrypt позволяет free of charge получить нужные сертификаты на свой веб сайт. Для блогера или особенно человека, который не получает монетизации от своего веб ресурса, это особенно важно и полезно.

В этой небольшой статье хотелось бы поделиться тем, как каждый владелец веб сайта, может настроить шифрование и протокол HTTPS на своем сервере. С моей точки зрения, сервис letsencrypt – просто огромная находка для любого сайтодержателя. Для автоматизации всего процесса получения и обновления цифровых сертификатов используется certbot. При этом поддерживаются популярные веб платформы и методы использования https сертификатов.

Подсказки по утилите Git

Уровень проникновения инфраструктуры Git, GitHub, GitLab в ITшную работу и жизнь просто колосальный. С этими системами приходится сталкиваться постоянно в том или ином виде. Утилита git в современных операционных системах идет, как правило, предустановленной. При желании или необходимости она легко устанавливается из исходников или различных репозитариев. Git – сегодня представляет не просто фреймворк для системы контроля версия, а целую философию и своеобразную экосистему для всех разновидностей программного кода. Для того, чтобы нормально работать с этой платформой нужны определенные базовые знания. Составил для себя основные команды утилиты git, которые применяются в работе. Для ведения локальной разработки этих возможностей на первом этапе будет достаточно.