Статьи

Фильм «День сурка» как отражение проблемы доступности приложений
19.09.2014

Недавно со мной поделились историей. Фабула такая. Дело происходило в заключительный рабочий день месяца. Во многих организациях, как и в той, в которой работал рассказчик, – это день, когда сводят итоги работы за отчетный период. И тут, в полном соответствии с одним из законов Мерфи, отказывает самая нужная прикладная система. Работоспособность системы удалось восстановить примерно через 4 часа вместо предполагаемых…

Обработка нештатных ситуаций в MLAG
21.07.2014

В работе любой системы, как правило, можно выделить как минимум два режима функционирования — штатный и нештатный. Причем, как вы понимаете, эти режимы могут отличаться друг от друга по поведению весьма существенно. И хотелось бы верить в то, что при создании любых систем этот факт принимается во внимание. А администратор не начинает в панике бегать по потолку, когда какой-то компонент…

Построение бессерверных филиалов (часть 6). Непрерывность функционирования
20.06.2014

Сеть, связывающая удаленные подразделения с центральной площадкой, становится критичным элементом в условиях консолидации всех ресурсов в ЦОД. Подразделение оказывается полностью зависимым от работоспособности центральной площадки и каналов связи с ней. Приведем реальный пример: организация занимается розничной торговлей, есть множество удаленных площадок – магазинов. За день случается разрыв связи с оператором примерно у сотни площадок (около трети от общего числа).

Построение бессерверных филиалов (часть 5). Применение WOC для обеспечения уровня обслуживания в симметричной схеме
29.05.2014

Применение WOC (WAN Optimization Controller) возможно в двух сценариях: асимметричном и симметричном. Асимметричная схема предусматривает реализацию функций WOC только на центральной площадке, в точке сопряжения ЦОД с WAN. В этом случае центральная площадка берет на себя задачи: — анализ трафика для распознавания приложений и оценки качества их работы через WAN; — управление трафиком в локальной точке конкуренции…

Построение бессерверных филиалов (часть 4). Гарантии уровня обслуживания в WAN
08.05.2014

На границе WAN – в точке конкуренции за ресурсы – нужен инструмент, который позволит, во-первых, задать требования к уровню обслуживания в терминах приложений, их значимости для деятельности организации, времени отклика; во-вторых,  применить эти требования к трафику в данной проблемной точке. Например, реализовать такую политику: обеспечить для голосового трафика и ВКС время отклика до 100 мс; для терминальных сессий и сетевых…

NAT/FW traversal для ВКС. Проблемы и решения
15.04.2014

Heartbleed рядом
10.04.2014

Уязвимость в OpenSSL CVE-2014-0160, опубликованная 7 апреля и получившая наименование Heartbleed, позволяет удаленному атакующему читать фрагменты оперативной памяти уязвимого процесса. Что это значит на практике? Мы проверили 1000 IP-адресов одного из ЦОД Беларуси. Приведем скриншот прочитанного блока памяти одного из уязвимых серверов (обратите внимание на наличие полей Cookie, login, password). Фактически удаленный анонимный злоумышленник может получить имена,…

Построение бессерверных филиалов (часть 3). Что если расширить WAN-каналы или применить QoS?
08.04.2014

Как мы выяснили в предыдущей части, чтобы уменьшить время отклика (ART – Application Response Time), нужно для трафика соответствующих приложений: — сократить время ожидания в буфере; — свести к минимуму потери пакетов.    Увеличение пропускной способности каналов Что если просто увеличить пропускную способность WAN-каналов – расширить «трубу»? Очевиден выигрыш: во-первых, сокращается время ожидания, поскольку буфер освобождается быстрее;…

И снова Heartbleed: размер ущерба?
22.03.2014

Многие организации уже спустя несколько часов после того, как CVE-2014-0160 (Hearbleed) была опубликована, поспешили сообщить, что их информационные системы более не подвержены уязвимости. И если информационные системы, которые не были подвержены уязвимости (к примеру, использовали OpenSSL  ver. 0.9.8 ) заведомо не пострадали от HeartBleed, этого нельзя со всей уверенностью сказать о системах, которые использовали уязвимую версию библиотеки. Масло в огонь…

Как скомпрометировать веб-приложение? История атаки (часть 2)
14.03.2014

В предыдущей части блога был рассмотрен один из возможных сценариев атаки на target.by. В качестве возможного вектора атаки на веб-приложение выбран open source «движок» для управления рекламой, размещенный в домене *.target.by. Вообще говоря, в домене *.target.by мог бы размещаться любой «движок» – важно, что это не уникальная разработка, а коробочное решение. Поскольку информация об уязвимостях коробочных веб-приложений публична, злоумышленник,…