![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
https://www.vmware.com/products/pulse.html?src=so_5a314d05d1654&cid=70134000001SkJY
IoT Device Management with VMware Pulse IoT Center
IoT Device Management with VMware Pulse IoT Center
Не виртуальные аспекты виртуализации
14 апреля 2009 Jet Info №8, Автор: Михаил Гришунин
Источник: http://www.jetinfo.ru/stati/ne-virtualnye-aspekty
СОДЕРЖАНИЕ
Немного истории:
В 1937 году был сформулирован «тезис Черча-Тьюринга», ставший теоретическим обоснованием возможности виртуализации.
В 1998 году компания VMware выпустила VMware Virtual Platform для архитектуры Intel IA-32.
В 2007 году платформу виртуализации VMware использовало уже более 20 000 корпоративных заказчиков.
За последние годы виртуализация вычислительных ресурсов стала одним из главных трендов на рынке корпоративных IT-систем. И это неудивительно: по заверениям разработчиков, виртуализация – волшебная таблетка, быстро решающая большинство насущных проблем руководителей ИТ-подразделений.
К таким источникам головной боли, по мнению компании IDC, проведшей в 2008 году опрос почти 200 ИТ-директров крупных компаний, в первую очередь следует отнести (см. рис.1 ):
Рис. 1. Рейтинг основных проблем ИТ-директоров (число опрошенных 197, источник: IDC survey , 2008).
Ограничение роста парка серверного оборудования и вытекающие из этого сокращение энергопотребления, тепловыделения, занимаемого места в стойках, в сочетании с повышением доступности, гибкости и управляемости инфраструктуры – все это преимущества, предоставляемые современными технологиями виртуализации. В этой статье мы поговорим об аспектах и нюансах применения платформ виртуализации на примере одной из них – VMWare.
Подходы к виртуализации вычислительных ресурсов
Что же такое виртуализация вычислительных ресурсов? По определению из свободной энциклопедии Wikipedia – это «процесс представления набора вычислительных ресурсов или их логического объединения, который дает какие-либо преимущества перед оригинальной конфигурацией. Это новый виртуальный взгляд на ресурсы, не ограниченный реализацией, географическим положением или физической конфигурацией составных частей».
Рис 2. Основные подходы к виртуализации вычислительных ресурсов
Таким образом, виртуализация позволяет абстрагироваться от аппаратных ресурсов и работать с ними как с ресурсами логическими, разделяя, объединяя и перераспределяя их по своему усмотрению. Существует несколько походов к виртуализации вычислительных ресурсов, наиболее распространены из них следующие четыре (см. рис. 2 ).
Аппаратные разделы
Аппаратные разделы обеспечивают полную изоляцию и надежную защиту раздела от аппаратных и программных сбоев в соседних разделах. Таким образом, аппаратные разделы обеспечивают возможность выполнения нескольких независимых копий разных операционных систем и предоставляют возможность перераспределения ресурсов между разделами (при этом требуется перезагрузка только реконфигурируемых разделов, остальные разделы продолжают работать). Применение данной методики не влечет возникновения накладных расходов на виртуализацию, неизбежных при использовании других методов, и позволяет эффективно использовать вычислительные ресурсы hi-end серверов. Слабой стороной этой технологии является недостаточная гранулярность разделения ресурсов: как правило, минимальной единицей ресурсов для аппаратных разделов является «ячейка» (cell), содержащая один или несколько процессоров, память и платы ввода/вывода.
Примеры технологий аппаратных разделов: nPAR, Dynamic System Domains
Полная (нативная) виртуализация
В случае применения этого метода часть аппаратного обеспечения, достаточная для изолированного запуска виртуальной машины (ВМ), виртуализуется. Так как виртуализируется не все «железо», такой подход позволяет запускать только операционные системы, разработанные для той же архитектуры, что и у физического сервера (хоста). Этот вид виртуализации позволяет существенно увеличить быстродействие гостевых систем по сравнению с полной эмуляцией (в которой виртуализируются все аппаратные ресурсы) и, пожалуй, наиболее широко используется в настоящее время. В основе данного метода лежит специальная «прослойка» между гостевой операционной системой и оборудованием – так называемый «гипервизор» или «монитор виртуальных машин». Гипервизор обеспечивает возможность обращения гостевой операционной системы к ресурсам аппаратного обеспечения. Данный метод обеспечивает хорошую производительность и низкие накладные расходы на виртуализацию. Недостатком полной виртуализации является зависимость виртуальных машин от архитектуры аппаратной платформы, однако, влияние этого ограничения невелико.
Примеры продуктов для нативной виртуализации: VMware ESX Server, Virtual PC, VirtualBox, Parallels Desktop и другие.
Паравиртуализация
В отличие от полной виртуализации, гипервизор паравиртуализации не скрывает себя от гостевых операционных систем. Но в этом случае они должны быть подготовлены к работе с этой системой. В результате, применение паравиртуализации требует модификации кода гостевой ОС на уровне ядра, что позволяет ей общаться с гипервизором на более высоком уровне, обеспечивая более высокое быстродействие.
Гипервизор предоставляет гостевой ОС специальный программный интерфейс (API), исключающий необходимость прямого обращения к таким ресурсам, как, например, таблицы страниц памяти.
При применении паравиртуализации нет необходимости эмулировать аппаратное обеспечение, более того, гостевая ОС и гипервизор используют общий набор драйверов, что выгодно отличает эту технологию от эмуляции устройств, когда гостевая ОС и гипервизор используют различные драйверы. До недавних пор основным недостатком паравиртуализации являлась необходимость модификации кода ОС, однако, с появлением аппаратной поддержки виртуализации, такой как Intel VT и AMD-V, стало возможным выполнение любых ОС без модификации ядра. Снятие ограничений по типу выполняемых ОС
в сочетании с высокой производительностью и низкими накладными расходами позволяет говорить о хороших перспективах этого метода виртуализации.
Примеры платформ паравиртуализации: XenSource, Virtual Iron, Microsoft Hyper-V, VMware ESX Server*.
Виртуализация уровня операционной системы
Виртуализация ресурсов на уровне ОС обеспечивает разделение одного физического сервера на несколько защищенных виртуализированных частей (контейнеров), каждая из которых представляется для владельца как один сервер. Виртуальная машина представляет собой окружение для приложений, запускаемых изолированно. При этом виртуальные контейнеры, работающие на уровне ядра ОС, крайне мало теряют в быстродействии по сравнению с производительностью «реального» сервера, что позволяет запускать в рамках одного физического хоста десятки и сотни виртуальных контейнеров. Однако существуют определенные ограничения по запуску виртуальных машин с разными версиями ядра ОС. Вышеперечисленные преимущества делают виртуализацию уровня операционной системы наиболее применимой при оказании хостинг-услуг, услуг SaaS и т.д., когда в рамках одного сервера необходимо организовать множество однотипных изолированных друг от друга виртуальных машин.
Примеры виртуализации уровня ОС: Solaris Containers, LPAR, Virtuozzo, OpenVZ.
Функциональные возможности платформы виртуализации
И аппаратные разделы, и виртуализация уровня ОС требуют как минимум по отдельной статье для всестороннего своего освещения. Поэтому пока оставим их в стороне и попробуем разобраться с наиболее известными платформами, использующими методы нативной виртуализации и паравиртуализации. Для того, чтобы сравнить эти платформы и поближе познакомиться с их возможностями, перечислим функциональные возможности, которые ожидает получить в результате внедрения виртуализации заказчик.
Гипервизор
Гипервизор – основа динамической виртуализированной ИТ-инфраструктуры. Гипервизор – служебное программное обеспечение, реализующее уровень виртуализации и разделяющее системные ресурсы (процессоры, память, платы ввода\вывода) на несколько виртуальных машин. Современный гипервизор должен отвечать следующим требованиям: устанавливаться на «голое железо», обеспечивать минимальный уровень накладных расходов (overhead) на виртуализацию, уметь работать с многоядерными многопроцессорными системами.
Обеспечение высокой доступности (HA)
Одна из важнейших задач виртуализации – обеспечение высокой доступности информационных сервисов, работающих на виртуальных машинах. Данный функционал в случае аппаратного или программного сбоя на сервере обеспечивает перезапуск затронутой сбоем виртуальной машины на любом сервере, располагающем достаточным количеством ресурсов. Применение такого подхода не требует дорогостоящего дублирования ресурсов и не зависит от конфигурации оборудования, версий операционной системы и т.д.
«Живая» миграция ВМ
«Живая» миграция позволяет перемещать работающие виртуальные машины с одного физического сервера на другой, обеспечивая тем самым возможность обслуживания оборудования без прерывания работы информационных сервисов.
«Живая» миграция образов ВМ
Обеспечивает «горячий» перенос образов виртуальных машин как между массивами, так и между логическими разделами в пределах одного хранилища. Такая возможность позволяет выполнять профилактические работы с СХД, выполнять миграцию, обновление и вывод из эксплуатации массивов без прерывания работы виртуальных машин.
Интеллектуальное распределение ресурсов
Интеллектуальные функции переноса виртуальных машин динамически распределяют и балансируют нагрузку среди набора аппаратных средств, объединенных в единый логический пул ресурсов. Данный инструмент отслеживает нагрузку в виртуализированной инфраструктуре и оперативно перераспределяет ресурсы в соответствии с бизнес-приоритетами для максимального эффективного их использования. Дополнительным преимуществом этого функционала можно назвать возможность высвобождения и выключения некоторых серверов в часы минимальной загрузки с целью экономии электроэнергии.
Централизованные инструменты управления
Централизованные инструменты управления обеспечивают централизованное управление виртуализированной средой, автоматизацию процессов и эффективную оптимизацию ресурсов. Эти возможности обеспечивают беспрецедентный уровень простоты эксплуатации, эффективность и надежность работы ИТ-инфраструктуры. Дополнительным плюсом является наличие открытых программных интерфейсов, обеспечивающих интеграцию с продуктами для управления инфраструктурой других производителей (HP OpenView, IBM Tivoli), а также разработку собственных специализированных решений.
Централизованные инструменты обновления
В масштабных виртуализированных средах интегрированные инструменты обновления просто незаменимы. Они обеспечивают централизованное управление процедурами обновления программного обеспечения как на физических серверах, так и на виртуальных машинах, обеспечивая тем самым безопасность и стабильность работы систем.
Интегрированный фреймворк для резервного копирования
Резервное копирование виртуальных машин связано с рядом трудностей, о которых мы поговорим ниже в соответствующем разделе. Как следствие, возникает необходимость в интегрированном в ПО виртуализации фреймворке для резервного копирования, обеспечивающим эффективное резервное копирование содержимого виртуальных машин и сокращение нагрузки на хост-систему.
Табл. 1. Сводная таблица платформ виртуализации.
Подробнее: http://www.jetinfo.ru/stati/ne-virtualnye-aspekty
14 апреля 2009 Jet Info №8, Автор: Михаил Гришунин
Источник: http://www.jetinfo.ru/stati/ne-virtualnye-aspekty
СОДЕРЖАНИЕ
Введение
Подходы к виртуализации вычислительных ресурсов
Аппаратные разделы
Полная (нативная) виртуализация
Паравиртуализация
Виртуализация уровня ОС
Функциональные возможности платформы виртуализации
Почему VMware?
Быть или не быть виртуализации?
Инфраструктурные решения и синергетический эффект
Вычислительная платформа
SAN и система хранения данных
Особенности проектирования сетей и систем хранения для среды VMware
Резервное копирование в среде VMware
Перспективы и тренды
Виртуализация рабочих мест
Доставка приложений
Выводы
Введение
Немного истории:
В 1937 году был сформулирован «тезис Черча-Тьюринга», ставший теоретическим обоснованием возможности виртуализации.
В 1998 году компания VMware выпустила VMware Virtual Platform для архитектуры Intel IA-32.
В 2007 году платформу виртуализации VMware использовало уже более 20 000 корпоративных заказчиков.
За последние годы виртуализация вычислительных ресурсов стала одним из главных трендов на рынке корпоративных IT-систем. И это неудивительно: по заверениям разработчиков, виртуализация – волшебная таблетка, быстро решающая большинство насущных проблем руководителей ИТ-подразделений.
К таким источникам головной боли, по мнению компании IDC, проведшей в 2008 году опрос почти 200 ИТ-директров крупных компаний, в первую очередь следует отнести (см. рис.1 ):
Рис. 1. Рейтинг основных проблем ИТ-директоров (число опрошенных 197, источник: IDC survey , 2008).
Ограничение роста парка серверного оборудования и вытекающие из этого сокращение энергопотребления, тепловыделения, занимаемого места в стойках, в сочетании с повышением доступности, гибкости и управляемости инфраструктуры – все это преимущества, предоставляемые современными технологиями виртуализации. В этой статье мы поговорим об аспектах и нюансах применения платформ виртуализации на примере одной из них – VMWare.
Подходы к виртуализации вычислительных ресурсов
Что же такое виртуализация вычислительных ресурсов? По определению из свободной энциклопедии Wikipedia – это «процесс представления набора вычислительных ресурсов или их логического объединения, который дает какие-либо преимущества перед оригинальной конфигурацией. Это новый виртуальный взгляд на ресурсы, не ограниченный реализацией, географическим положением или физической конфигурацией составных частей».
Рис 2. Основные подходы к виртуализации вычислительных ресурсов
Таким образом, виртуализация позволяет абстрагироваться от аппаратных ресурсов и работать с ними как с ресурсами логическими, разделяя, объединяя и перераспределяя их по своему усмотрению. Существует несколько походов к виртуализации вычислительных ресурсов, наиболее распространены из них следующие четыре (см. рис. 2 ).
Аппаратные разделы
Аппаратные разделы обеспечивают полную изоляцию и надежную защиту раздела от аппаратных и программных сбоев в соседних разделах. Таким образом, аппаратные разделы обеспечивают возможность выполнения нескольких независимых копий разных операционных систем и предоставляют возможность перераспределения ресурсов между разделами (при этом требуется перезагрузка только реконфигурируемых разделов, остальные разделы продолжают работать). Применение данной методики не влечет возникновения накладных расходов на виртуализацию, неизбежных при использовании других методов, и позволяет эффективно использовать вычислительные ресурсы hi-end серверов. Слабой стороной этой технологии является недостаточная гранулярность разделения ресурсов: как правило, минимальной единицей ресурсов для аппаратных разделов является «ячейка» (cell), содержащая один или несколько процессоров, память и платы ввода/вывода.
Примеры технологий аппаратных разделов: nPAR, Dynamic System Domains
Полная (нативная) виртуализация
В случае применения этого метода часть аппаратного обеспечения, достаточная для изолированного запуска виртуальной машины (ВМ), виртуализуется. Так как виртуализируется не все «железо», такой подход позволяет запускать только операционные системы, разработанные для той же архитектуры, что и у физического сервера (хоста). Этот вид виртуализации позволяет существенно увеличить быстродействие гостевых систем по сравнению с полной эмуляцией (в которой виртуализируются все аппаратные ресурсы) и, пожалуй, наиболее широко используется в настоящее время. В основе данного метода лежит специальная «прослойка» между гостевой операционной системой и оборудованием – так называемый «гипервизор» или «монитор виртуальных машин». Гипервизор обеспечивает возможность обращения гостевой операционной системы к ресурсам аппаратного обеспечения. Данный метод обеспечивает хорошую производительность и низкие накладные расходы на виртуализацию. Недостатком полной виртуализации является зависимость виртуальных машин от архитектуры аппаратной платформы, однако, влияние этого ограничения невелико.
Примеры продуктов для нативной виртуализации: VMware ESX Server, Virtual PC, VirtualBox, Parallels Desktop и другие.
Паравиртуализация
В отличие от полной виртуализации, гипервизор паравиртуализации не скрывает себя от гостевых операционных систем. Но в этом случае они должны быть подготовлены к работе с этой системой. В результате, применение паравиртуализации требует модификации кода гостевой ОС на уровне ядра, что позволяет ей общаться с гипервизором на более высоком уровне, обеспечивая более высокое быстродействие.
Гипервизор предоставляет гостевой ОС специальный программный интерфейс (API), исключающий необходимость прямого обращения к таким ресурсам, как, например, таблицы страниц памяти.
При применении паравиртуализации нет необходимости эмулировать аппаратное обеспечение, более того, гостевая ОС и гипервизор используют общий набор драйверов, что выгодно отличает эту технологию от эмуляции устройств, когда гостевая ОС и гипервизор используют различные драйверы. До недавних пор основным недостатком паравиртуализации являлась необходимость модификации кода ОС, однако, с появлением аппаратной поддержки виртуализации, такой как Intel VT и AMD-V, стало возможным выполнение любых ОС без модификации ядра. Снятие ограничений по типу выполняемых ОС
в сочетании с высокой производительностью и низкими накладными расходами позволяет говорить о хороших перспективах этого метода виртуализации.
Примеры платформ паравиртуализации: XenSource, Virtual Iron, Microsoft Hyper-V, VMware ESX Server*.
Виртуализация уровня операционной системы
Виртуализация ресурсов на уровне ОС обеспечивает разделение одного физического сервера на несколько защищенных виртуализированных частей (контейнеров), каждая из которых представляется для владельца как один сервер. Виртуальная машина представляет собой окружение для приложений, запускаемых изолированно. При этом виртуальные контейнеры, работающие на уровне ядра ОС, крайне мало теряют в быстродействии по сравнению с производительностью «реального» сервера, что позволяет запускать в рамках одного физического хоста десятки и сотни виртуальных контейнеров. Однако существуют определенные ограничения по запуску виртуальных машин с разными версиями ядра ОС. Вышеперечисленные преимущества делают виртуализацию уровня операционной системы наиболее применимой при оказании хостинг-услуг, услуг SaaS и т.д., когда в рамках одного сервера необходимо организовать множество однотипных изолированных друг от друга виртуальных машин.
Примеры виртуализации уровня ОС: Solaris Containers, LPAR, Virtuozzo, OpenVZ.
Функциональные возможности платформы виртуализации
И аппаратные разделы, и виртуализация уровня ОС требуют как минимум по отдельной статье для всестороннего своего освещения. Поэтому пока оставим их в стороне и попробуем разобраться с наиболее известными платформами, использующими методы нативной виртуализации и паравиртуализации. Для того, чтобы сравнить эти платформы и поближе познакомиться с их возможностями, перечислим функциональные возможности, которые ожидает получить в результате внедрения виртуализации заказчик.
Гипервизор
Гипервизор – основа динамической виртуализированной ИТ-инфраструктуры. Гипервизор – служебное программное обеспечение, реализующее уровень виртуализации и разделяющее системные ресурсы (процессоры, память, платы ввода\вывода) на несколько виртуальных машин. Современный гипервизор должен отвечать следующим требованиям: устанавливаться на «голое железо», обеспечивать минимальный уровень накладных расходов (overhead) на виртуализацию, уметь работать с многоядерными многопроцессорными системами.
Обеспечение высокой доступности (HA)
Одна из важнейших задач виртуализации – обеспечение высокой доступности информационных сервисов, работающих на виртуальных машинах. Данный функционал в случае аппаратного или программного сбоя на сервере обеспечивает перезапуск затронутой сбоем виртуальной машины на любом сервере, располагающем достаточным количеством ресурсов. Применение такого подхода не требует дорогостоящего дублирования ресурсов и не зависит от конфигурации оборудования, версий операционной системы и т.д.
«Живая» миграция ВМ
«Живая» миграция позволяет перемещать работающие виртуальные машины с одного физического сервера на другой, обеспечивая тем самым возможность обслуживания оборудования без прерывания работы информационных сервисов.
«Живая» миграция образов ВМ
Обеспечивает «горячий» перенос образов виртуальных машин как между массивами, так и между логическими разделами в пределах одного хранилища. Такая возможность позволяет выполнять профилактические работы с СХД, выполнять миграцию, обновление и вывод из эксплуатации массивов без прерывания работы виртуальных машин.
Интеллектуальное распределение ресурсов
Интеллектуальные функции переноса виртуальных машин динамически распределяют и балансируют нагрузку среди набора аппаратных средств, объединенных в единый логический пул ресурсов. Данный инструмент отслеживает нагрузку в виртуализированной инфраструктуре и оперативно перераспределяет ресурсы в соответствии с бизнес-приоритетами для максимального эффективного их использования. Дополнительным преимуществом этого функционала можно назвать возможность высвобождения и выключения некоторых серверов в часы минимальной загрузки с целью экономии электроэнергии.
Централизованные инструменты управления
Централизованные инструменты управления обеспечивают централизованное управление виртуализированной средой, автоматизацию процессов и эффективную оптимизацию ресурсов. Эти возможности обеспечивают беспрецедентный уровень простоты эксплуатации, эффективность и надежность работы ИТ-инфраструктуры. Дополнительным плюсом является наличие открытых программных интерфейсов, обеспечивающих интеграцию с продуктами для управления инфраструктурой других производителей (HP OpenView, IBM Tivoli), а также разработку собственных специализированных решений.
Централизованные инструменты обновления
В масштабных виртуализированных средах интегрированные инструменты обновления просто незаменимы. Они обеспечивают централизованное управление процедурами обновления программного обеспечения как на физических серверах, так и на виртуальных машинах, обеспечивая тем самым безопасность и стабильность работы систем.
Интегрированный фреймворк для резервного копирования
Резервное копирование виртуальных машин связано с рядом трудностей, о которых мы поговорим ниже в соответствующем разделе. Как следствие, возникает необходимость в интегрированном в ПО виртуализации фреймворке для резервного копирования, обеспечивающим эффективное резервное копирование содержимого виртуальных машин и сокращение нагрузки на хост-систему.
Табл. 1. Сводная таблица платформ виртуализации.
Подробнее: http://www.jetinfo.ru/stati/ne-virtualnye-aspekty
САЙТ МИНОБОРОНЫ РФ РАСКРЫВАЕТ ПЕРСОНАЛЬНЫЕ ДАННЫЕ ВОЕННЫХ
Зайти в «Личный кабинет» военнослужащего можно, зная лишь дату его рождения и личный номер.
Официальный сайт Министерства обороны РФ раскрывает личные данные военнослужащих. Обладая сведениями о дате рождения и личном номере военного, любой желающий может зайти в его «Личный кабинет» и узнать размер его заработной платы, должность и даже место и характер службы. Об обнаруженной уязвимости сообщили журналисты издания «Фонтанка» в материале «Минобороны раскрыло зарплаты военных вероятному противнику» за 5 февраля текущего года.
Проблема связана с отсутствием должной защиты данных на сайте Минобороны. Зайдя в свой «Личный кабинет», военные и гражданские служащие могут получить свои расчетные листы за любой период. Авторизация осуществляется двумя способами: с помощью логина и пароля или даты рождения и личного номера (номера СНИЛС для гражданских сотрудников). Второй способ не требует какой-либо регистрации, и воспользоваться им может любой желающий, в том числе потенциальный противник.
Личный номер и дата рождения указываются на металлическом жетоне военнослужащего и в удостоверении личности. Попав в плен, военный должен сообщить эти данные противнику для получения статуса военнопленного. Вооружившись этими сведениями, противнику не составит труда зайти на сайт Минобороны РФ, авторизоваться в «Личном кабинете» и узнать информацию не только по зарплате пленного, но также о характере службы и выполняемых заданиях (за некоторые из них полагаются определенные надбавки), жилищных условиях, о его включении в единый реестр военнослужащих.
В случае попадания в плен военный не сможет замаскировать свое звание, отмечает «Фонтанка». Летчик не сможет выдать себя за пехотинца или тыловика, что облегчило бы его положение в плену. Получив сведения о зарплате и профессии пленного, противник будет иметь большие преимущества при допросе.
Издание проверило уязвимость в действии и получило доступ к данным. В частности, «Фонтанка» опубликовала сведения по зарплате пилота Романа Филипова, сбитого в Сирии при выполнении задания 3 февраля.
После выхода материала Минобороны обвинило издание в нарушении журналистской этики и закона о персональных данных. Как пояснило ведомство, при регистрации в «Личном кабинете» необходимо установить пароль, однако погибший Филипов не успел этого сделать.
Подробнее: https://www.securitylab.ru/news/491300.php
Зайти в «Личный кабинет» военнослужащего можно, зная лишь дату его рождения и личный номер.
Официальный сайт Министерства обороны РФ раскрывает личные данные военнослужащих. Обладая сведениями о дате рождения и личном номере военного, любой желающий может зайти в его «Личный кабинет» и узнать размер его заработной платы, должность и даже место и характер службы. Об обнаруженной уязвимости сообщили журналисты издания «Фонтанка» в материале «Минобороны раскрыло зарплаты военных вероятному противнику» за 5 февраля текущего года.
Проблема связана с отсутствием должной защиты данных на сайте Минобороны. Зайдя в свой «Личный кабинет», военные и гражданские служащие могут получить свои расчетные листы за любой период. Авторизация осуществляется двумя способами: с помощью логина и пароля или даты рождения и личного номера (номера СНИЛС для гражданских сотрудников). Второй способ не требует какой-либо регистрации, и воспользоваться им может любой желающий, в том числе потенциальный противник.
Личный номер и дата рождения указываются на металлическом жетоне военнослужащего и в удостоверении личности. Попав в плен, военный должен сообщить эти данные противнику для получения статуса военнопленного. Вооружившись этими сведениями, противнику не составит труда зайти на сайт Минобороны РФ, авторизоваться в «Личном кабинете» и узнать информацию не только по зарплате пленного, но также о характере службы и выполняемых заданиях (за некоторые из них полагаются определенные надбавки), жилищных условиях, о его включении в единый реестр военнослужащих.
В случае попадания в плен военный не сможет замаскировать свое звание, отмечает «Фонтанка». Летчик не сможет выдать себя за пехотинца или тыловика, что облегчило бы его положение в плену. Получив сведения о зарплате и профессии пленного, противник будет иметь большие преимущества при допросе.
Издание проверило уязвимость в действии и получило доступ к данным. В частности, «Фонтанка» опубликовала сведения по зарплате пилота Романа Филипова, сбитого в Сирии при выполнении задания 3 февраля.
После выхода материала Минобороны обвинило издание в нарушении журналистской этики и закона о персональных данных. Как пояснило ведомство, при регистрации в «Личном кабинете» необходимо установить пароль, однако погибший Филипов не успел этого сделать.
Подробнее: https://www.securitylab.ru/news/491300.php
Использование биометрических технологий Microsoft Face API в борьбе с подделкой личности
ИБ: Модели безопасности
2018-02-02 13:34Оправданное применение средств безопасности
Чтобы оправдать применение средств безопасности для вашей проблемы, контекстная архитектура безопасности должна вводить следующие вопросы:
Общие векторы атаки
Полная инфо по методологии:
http://security-and-privacy-reference-architecture.readthedocs.io/en/latest/06-secmodels.html#threat-models
Чтобы оправдать применение средств безопасности для вашей проблемы, контекстная архитектура безопасности должна вводить следующие вопросы:
- Что защищено чем?
- С какими основными угрозами нам нужна защита?
Общие векторы атаки
- Анализ уязвимостей в скомпилированном программном обеспечении без исходного кода
- Антисудебные методы
Полная инфо по методологии:
http://security-and-privacy-reference-architecture.readthedocs.io/en/latest/06-secmodels.html#threat-models
Cisco iSE. Какие курсы нужны для нормального управления решением Cisco iSE?
Для полноценного управления Cisco iSE требуется прохождение двух сертификаций:
Для полноценного управления Cisco iSE требуется прохождение двух сертификаций:
- Курс Cisco CCNA Security
Курс Cisco CCNA Security – это следующий этап для желающих улучшить свои профессиональные навыки уровня CCNА и углубить свои знания в области сетевой безопасности. Учебная программа дает представление об основополагающих принципах информационной безопасности, необходимые для установки, устранения неисправностей и мониторинга сетевых устройств с целью поддержания целостности, конфиденциальности и доступности данных и устройств.
В рамках этого курса слушатели:- получают представление о таких понятиях, как разработка политики безопасности для сети, оценка уязвимости и борьба с угрозами сетевой безопасности;
- изучают современный опыт и технологии в сфере сетевой безопасности;
- учатся работать с технологиями AAA, Firewall, VPN;
- приобретают навыки по обеспечению безопасности сетевого периметра.
Краткий обзор Cisco CCNA Security (CCNA Security Data Sheet PDF) https://www.netacad.com/documents/300010/11300388/CCNAsecurity_DS.pdf/ba691463-80c9-4391-aca1-7b341d251206 - Курс CCNP, который состоит из трех частей:
- CCNP ROUTE: внедрение технологии IP-маршрутизации,
- CCNP SWITCH: внедрение технологии IP-коммутации и
- CCNP TSHOOT: обслуживание и устранение неисправности IP-сетей.
Краткий обзор Cisco CCNP (PDF) https://www.netacad.com/documents/300010/11300388/CCNP_AAG.pdf/582bee57-0a9d-44fb-a368-8bf26a8ec241
https://xakep.ru/2018/01/31/cisco-asa-patch/
Компания Cisco выпустила патчи, устраняющие критическую уязвимость CVE-2018-0101 в продуктах, работающих под управлением ПО Adaptive Security Appliance (ASA). Стоит отметить, что ПО Cisco ASA является ядром всей линейки устройств Cisco ASA, в которую входят многофункциональные аппаратные межсетевые экраны.
Согласно опубликованному компанией бюллетеню безопасности, баг получил 10 баллов по десятибалльной шкале CVSS. Проблема связана с работой Secure Sockets Layer (SSL) VPN в ASA, а именно активацией функции webvpn. Баг позволяет неавторизованному атакующему, при помощи специально сформированных пакетов XML, выполнить произвольный код или спровоцировать отказ в обслуживании (DoS) и последующую перезагрузку устройства.
Проблеме подвержены следующие продукты компании:
Разработчики Cisco предупреждают, что «минимизировать» опасность этой проблемы, не устанавливая патчи, не представляется возможным. Нужно либо устанавливать обновления, либо отключать функциональность VPN вообще. По данным Cisco, проблему пока не эксплуатируют в ходе реальных атак, хотя воспользоваться багом очень легко, а баг в коде появился еще во времена ASA 8.x, то есть порядка пяти лет назад.
Компания Cisco выпустила патчи, устраняющие критическую уязвимость CVE-2018-0101 в продуктах, работающих под управлением ПО Adaptive Security Appliance (ASA). Стоит отметить, что ПО Cisco ASA является ядром всей линейки устройств Cisco ASA, в которую входят многофункциональные аппаратные межсетевые экраны.
Согласно опубликованному компанией бюллетеню безопасности, баг получил 10 баллов по десятибалльной шкале CVSS. Проблема связана с работой Secure Sockets Layer (SSL) VPN в ASA, а именно активацией функции webvpn. Баг позволяет неавторизованному атакующему, при помощи специально сформированных пакетов XML, выполнить произвольный код или спровоцировать отказ в обслуживании (DoS) и последующую перезагрузку устройства.
Проблеме подвержены следующие продукты компании:
- Серия 3000 Industrial Security Appliance (ISA);
- Серия ASA 5500 Adaptive Security Appliances;
- Серия ASA 5500-X Next-Generation Firewalls;
- ASA Services Module для свитчей Cisco Catalyst 6500 и роутеров Cisco 7600;
- ASA 1000V Cloud Firewall;
- Adaptive Security Virtual Appliance (ASAv);
- Серия Firepower 2100 Security Appliance;
- Firepower 4110 Security Appliance;
- Firepower 9300 ASA Security Module;
- Firepower Threat Defense Software (FTD).
Разработчики Cisco предупреждают, что «минимизировать» опасность этой проблемы, не устанавливая патчи, не представляется возможным. Нужно либо устанавливать обновления, либо отключать функциональность VPN вообще. По данным Cisco, проблему пока не эксплуатируют в ходе реальных атак, хотя воспользоваться багом очень легко, а баг в коде появился еще во времена ASA 8.x, то есть порядка пяти лет назад.
Как запустить старые DOS-программы на Windows 7-8-10
Найденные на просторах Интернет и подтвержденные не раз
Советы
Если используется 32-разрядная версия Windows, можно запустить программу DOS, выбрав соответствующий *.com файл. Если запуск происходит впервые из Windows 7 и выше, вероятно, будет предложено установить компонент под названием NTVDM - нажмите кнопку Установить этот компонент:
После успешной установки, возможно, придется перезапустить приложение:
Обращаю внимание, что перед запуском 16 bit MS-DOS приложения нужно выполнить некоторые преобразования с компонентом Командная строка. Иначе получим следующую ошибку:
Итак: в Свойствах командной строки устанавливаем галочку в чекбоксе Использовать прежнюю версию консоли (требуется перезапуск), т.к. "новая" консоль не поддерживает 16-битные приложения:
Часть DOS программ грузится в полном экране, часть в окне:
( Read more... )
( Пример реальных конфигурационных файлов... )
Найденные на просторах Интернет и подтвержденные не раз
Советы
Если используется 32-разрядная версия Windows, можно запустить программу DOS, выбрав соответствующий *.com файл. Если запуск происходит впервые из Windows 7 и выше, вероятно, будет предложено установить компонент под названием NTVDM - нажмите кнопку Установить этот компонент:
После успешной установки, возможно, придется перезапустить приложение:
Обращаю внимание, что перед запуском 16 bit MS-DOS приложения нужно выполнить некоторые преобразования с компонентом Командная строка. Иначе получим следующую ошибку:
Итак: в Свойствах командной строки устанавливаем галочку в чекбоксе Использовать прежнюю версию консоли (требуется перезапуск), т.к. "новая" консоль не поддерживает 16-битные приложения:
Часть DOS программ грузится в полном экране, часть в окне:
( Read more... )
( Пример реальных конфигурационных файлов... )
http://koptelov.info/publikatsii/cdo-chef-digital-officer/
ДИРЕКТОР ПО ЦИФРОВЫМ ТЕХНОЛОГИЯМ — CHEF DIGITAL OFFICER (CDO)
Со всех сторон звучит термин «цифровая трансформация», при этом большинство российских компаний находится в «каменном веке» с точки зрения внутренней автоматизации, понимания клиента и предоставления цифровых сервисов. Для того, чтобы начать трансформацию компании в направлении «Digital» некоторые компании назначают сотрудника ответственного за цифровую трансформацию — Chef Digital Officer (CDO). Рассмотрим, что это за должность и какие обязанности на нее возлагают.
Для чего нужен Chef Digital Officer?
Те, кто погружен в тему цифровой трансформации прекрасно понимают, что переход в «Digital» для трансформируемой компании, это не просто косметический ремонт, а коренная перестройка всех бизнес-процессов, и даже изменение бизнес-модели компании.
( Read more... )
ДИРЕКТОР ПО ЦИФРОВЫМ ТЕХНОЛОГИЯМ — CHEF DIGITAL OFFICER (CDO)
Со всех сторон звучит термин «цифровая трансформация», при этом большинство российских компаний находится в «каменном веке» с точки зрения внутренней автоматизации, понимания клиента и предоставления цифровых сервисов. Для того, чтобы начать трансформацию компании в направлении «Digital» некоторые компании назначают сотрудника ответственного за цифровую трансформацию — Chef Digital Officer (CDO). Рассмотрим, что это за должность и какие обязанности на нее возлагают.
Для чего нужен Chef Digital Officer?
Те, кто погружен в тему цифровой трансформации прекрасно понимают, что переход в «Digital» для трансформируемой компании, это не просто косметический ремонт, а коренная перестройка всех бизнес-процессов, и даже изменение бизнес-модели компании.
( Read more... )
Алексей Лукацкий17 Января, 2018
Об утечках через DNS, которые не ловит ни одна DLP
Наверное то есть, кто давно занимается информационной безопасностью помнят, что в 1996-м году была очень популярная вредоносная программа Loki, которая позволяла организовывать туннели внутри ICMP-протокола, обычно не контролируемого распространенными на тот момент межсетевыми экранами. Идея Loki была проста - путем обмена командами ECHO REQUEST и ECHO REPLY (то есть обычный Ping) в поле данных пакета ICMP можно было засунуть все, что угодно. Детектировать такие атаки на МСЭ почти невозможно и помогали их обнаруживать только IDS, для которых писались правила, отслеживающие длину запросов и ответов ICMP (она должна быть равна 42 байтам), а также смотрящие за тем, чтобы поле данных ICMP-пакета было пустым (с нулевой длиной). С разной эффективностью схожий метод использовался некоторыми другими вредоносными программами, которые появлялись уже позже, в 2000-х годах, и в 2010-х.
( Read more... )
By Джим Дюбуа (Jim DuBois), корпоративный вице-президент и ИТ-директор Microsoft on 07/06/2016
ИТ-отдел Microsoft выполняет в компании две важнейшие функции. Как и другие ИТ-отделы в крупных корпорациях, мы помогаем компании в процессе трансформации, управляя приложениями, инфраструктурой и безопасностью. Но, в отличие от других компаний, мы также берем на себя роль эксперта по работе с корпоративными клиентами: мы тестируем новое программное обеспечение и сервисы и предоставляем обратную связь. Являясь первым клиентом Microsoft, мы изучаем сценарии, затрагивающие несколько групп продуктов, чтобы убедиться в полноте их функциональности, и представляем свое заключение проектировщикам. Далее мы демонстрируем клиентам собственный опыт внедрения в ИТ-департаменте.
За прошедший год мы повысили качество взаимодействия внутри компании, чтобы обе функции ИТ-отдела выполнялись эффективно вне зависимости от организационных рамок. Для преобразования компании руководители Microsoft продолжают повышать значимость ИТ с помощью интеграции цифровых услуг в 15 универсальных сервисных предложений. Эти предложения отражают основные процессы и возможности компании и позволяют объединить все области ИТ в так называемые комплексные ИТ.
( Read more... )
ИТ-отдел Microsoft выполняет в компании две важнейшие функции. Как и другие ИТ-отделы в крупных корпорациях, мы помогаем компании в процессе трансформации, управляя приложениями, инфраструктурой и безопасностью. Но, в отличие от других компаний, мы также берем на себя роль эксперта по работе с корпоративными клиентами: мы тестируем новое программное обеспечение и сервисы и предоставляем обратную связь. Являясь первым клиентом Microsoft, мы изучаем сценарии, затрагивающие несколько групп продуктов, чтобы убедиться в полноте их функциональности, и представляем свое заключение проектировщикам. Далее мы демонстрируем клиентам собственный опыт внедрения в ИТ-департаменте.
За прошедший год мы повысили качество взаимодействия внутри компании, чтобы обе функции ИТ-отдела выполнялись эффективно вне зависимости от организационных рамок. Для преобразования компании руководители Microsoft продолжают повышать значимость ИТ с помощью интеграции цифровых услуг в 15 универсальных сервисных предложений. Эти предложения отражают основные процессы и возможности компании и позволяют объединить все области ИТ в так называемые комплексные ИТ.
( Read more... )
Дата публикации:
02.11.2012
Опасность:
Низкая
Наличие исправления:
Нет
Количество уязвимостей:
2
CVSSv2 рейтинг:
(AV:A/AC:L/Au:N/C:P/I:N/A:N/E:U/RL:U/RC:C) = Base:3.3/Temporal:2.8
(AV:A/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:U/RC:C) = Base:2.9/Temporal:2.5
CVE ID:
CVE-2012-5687
Вектор эксплуатации:
Локальная сеть
Воздействие:
Межсайтовый скриптинг
Раскрытие важных данных
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
TP-LINK TL-WR841N Router
Уязвимые версии: TP-LINK TL-WR841N Router 3.13.9 build 120201 Rel.54965n, возможно другие версии.
Описание:
Уязвимость позволяет удаленному пользователю получить доступ к важным данным на системе.
- Уязвимость существует из-за недостаточной обработки входных данных в URL в сценарии help/. Удаленный пользователь может с помощью специально сформированного запроса, содержащего символы обхода каталога, просмотреть содержимое произвольных файлов на системе.
- Уязвимость существует из-за недостаточной проверки подлинности HTTP запросов при выполнении некоторых действий. Удаленный пользователь может произвести CSRF нападение и изменить учетные данные пользователя.
URL производителя: http://www.tp-link.com/en/products/details/?model=TL-WR841N
Решение: Способов устранения уязвимости не существует в настоящее время.
Ссылки: http://archives.neohapsis.com/archives/fulldisclosure/2012-10/0224.html
http://archives.neohapsis.com/archives/fulldisclosure/2012-12/0094.html
Подробнее: https://www.securitylab.ru/vulnerability/435584.php?R=1
КАК ПОДКЛЮЧИТЬСЯ К WI-FI СЕТИ СОСЕДА
В отличие от точек доступа, принадлежащих компаниям, которые, как правило, находятся под защитой, весьма вероятно, что соседский домашний роутер сконфигурирован некорректно.
Автор: Pranshu Bajpai
В отличие от точек доступа, принадлежащих компаниям, которые, как правило, находятся под защитой, весьма вероятно, что соседский домашний роутер сконфигурирован некорректно. Термин «соседский» здесь упоминается в том смысле, что для успешного взлома необходимо быть в непосредственной близости от жертвы (что, в общем, не проблема, если у вас есть внешняя антенна). В последнее время появилось множество утилит (типа «Wifite»), при помощи которых проникнуть внутрь близлежащей Wi-Fi сети может даже злоумышленник без особой квалификации. Скорее всего, и среди ваших соседей найдутся такие, которые используют плохо сконфигурированную точку доступа. Кстати, чтобы проникнуть в сеть, вовсе не обязательно руководствоваться злонамеренными целями, а просто ради любопытства. Кроме того, ознакомившись с методами взлома, вы сможете защитить собственную Wi-Fi сеть.
Перечень используемых утилит:
Получение пароля к точке доступа
( Read more... )
В отличие от точек доступа, принадлежащих компаниям, которые, как правило, находятся под защитой, весьма вероятно, что соседский домашний роутер сконфигурирован некорректно.
Автор: Pranshu Bajpai
В отличие от точек доступа, принадлежащих компаниям, которые, как правило, находятся под защитой, весьма вероятно, что соседский домашний роутер сконфигурирован некорректно. Термин «соседский» здесь упоминается в том смысле, что для успешного взлома необходимо быть в непосредственной близости от жертвы (что, в общем, не проблема, если у вас есть внешняя антенна). В последнее время появилось множество утилит (типа «Wifite»), при помощи которых проникнуть внутрь близлежащей Wi-Fi сети может даже злоумышленник без особой квалификации. Скорее всего, и среди ваших соседей найдутся такие, которые используют плохо сконфигурированную точку доступа. Кстати, чтобы проникнуть в сеть, вовсе не обязательно руководствоваться злонамеренными целями, а просто ради любопытства. Кроме того, ознакомившись с методами взлома, вы сможете защитить собственную Wi-Fi сеть.
Перечень используемых утилит:
Получение пароля к точке доступа
( Read more... )
Как я взломал роутер
2018-01-23 13:2925.07.2014
Некоторое время назад один товарищ (будем называть его Билл) попросил меня о довольно странной просьбе – взломать его систему. Все имена и названия (кроме производителей) также изменены.
http://disconnected.io/
Некоторое время назад один товарищ (будем называть его Билл) попросил меня о довольно странной просьбе – взломать его систему. Все имена и названия (кроме производителей) также изменены.
( Read more... )
Некоторое время назад один товарищ (будем называть его Билл) попросил меня о довольно странной просьбе – взломать его систему. Все имена и названия (кроме производителей) также изменены.
http://disconnected.io/
Некоторое время назад один товарищ (будем называть его Билл) попросил меня о довольно странной просьбе – взломать его систему. Все имена и названия (кроме производителей) также изменены.
( Read more... )
Последняя версия Burp Suite | Системы обнаружения вторжения | Сканеры уязвимостей
Burp Suite
Лицензия:
Ссылки:Burp Suite представляет собой интегрированную платформу для осуществления атак на web-приложения. Она содержит разнообразные инструменты с многочисленными интерфейсами, предназначенными для облегчения и ускорения процесса атаки.
Все инструменты используют один и тот же фреймворк для обработки и отображения HTTP-сообщений, аутентификации, прокси-серверов, регистрации, оповещения и т.п. Доступна ограниченная бесплатная версия, а также Burp Suite Professional ($299 для одного пользователя в год).
https://www.securitylab.ru/software/423593.php
Burp Suite
Лицензия:
- Free trial
- $299
Ссылки:Burp Suite представляет собой интегрированную платформу для осуществления атак на web-приложения. Она содержит разнообразные инструменты с многочисленными интерфейсами, предназначенными для облегчения и ускорения процесса атаки.
Все инструменты используют один и тот же фреймворк для обработки и отображения HTTP-сообщений, аутентификации, прокси-серверов, регистрации, оповещения и т.п. Доступна ограниченная бесплатная версия, а также Burp Suite Professional ($299 для одного пользователя в год).
https://www.securitylab.ru/software/423593.php
