September 13, 2007 – 3:47 pm
Всего несколько лет назад инсталляция Linux на корпоративных серверах и рабочих станциях означала, что вы заполучили для себя дешевую (или вообще бесплатную) ОС, но должны мириться с большими эксплуатационными расходами. Теперь все это позади. Дистрибутивы ОС Linux достигли своей зрелости и стабильности. При этом стоимость эксплуатации этой ОС стала низкой как никогда раньше.
Конечно, установить и эксплуатировать Linux на одном сервере легко, однако эта легкость исчезает, если приходится развертывать и эксплуатировать целый парк корпоративных серверов и рабочих станций с этой ОС. Для крупномасштабных инсталляций Linux обычно разрабатывают сложные, привязанные к местным условиям сценарии и программы установки, при этом “привязка” выходит далеко за пределы возможностей традиционных установочных систем, предоставляемых производителями.
Облегчить эту задачу можно при помощи специальных систем управления ИТ-ресурсами. В рамках общего интерфейса в них объединяются средства установки и конфигурирования ОС и приложений, принудительного проведения системных политик и установки программных “заплат”. Эти системы обеспечивают комплексный подход к ди-стрибуции и обновлению ПО для ОС Unix и Linux и устраняют необходимость в каких-либо средствах установки, предоставляемых поставщиком ПО, а также в заказных сценариях и программах его “привязки”. Крупные организации, работающие с Unix и Linux, могут извлечь громадную пользу от применения таких систем.
прочитать полностью »
September 13, 2007 – 3:42 pm
Как говорится, дружба дружбой, а табачок — врозь. Несмотря на тесную привязанность к определенным программным средствам, ИТ-профессионалы все время должны держать в поле зрения свои финансовые отношения с поставщиками этих продуктов, чтобы не расстроить окончательно свой скудный бюджет. Почему же тогда во многих организациях пакет Microsoft Office продолжает оставаться “священной коровой”?
По нашему мнению, которое сложилось как из собственного опыта прощания со “священной коровой”, так и в результате бесед с представителями многих организаций, сделавших первый шаг в этом направлении, сейчас вопрос не в том, следует ли организациям внедрять офисные пакеты с открытым исходным кодом, а в том, когда начать это делать. Если вы возьмете стоимость одной лицензии на ПО Microsoft (а это пара сотен долларов) и умножите ее на число ваших рабочих станций, которых сотни или тысячи, то вам станет ясно, что обосновывать нужно не переход на другое ПО, а, наоборот, те дополнительные расходы, которые вы несете из-за своей “верности” Microsoft Office.
Конечно, вы наверняка встретите сопротивление с разных сторон, когда начнете обсуждать целесообразность отказа от Microsoft Office. Но, удостоверившись, что значительные финансовые выгоды перехода перевешивают аргументы в пользу привязанности к этому пакету, вы безусловно заинтересуетесь приводимыми ниже рекомендациями, следование которым сделает процесс перехода управляемым.
прочитать полностью »
September 13, 2007 – 3:29 pm
Система предотвращения вторжений на хосты (Host Intrusion Prevention System — HIPS) — это относительно новая технология защиты оконечных устройств, которая в немалой степени строится на существующих системах безопасности. Так, от антивируса HIPS унаследовала защиту от вирусов, у ПО защиты от вредоносных программ (anti-malware) позаимствовала средства выявления вредоносного кода, а от системы предотвращения сетевых вторжений — мониторинг сетевого интерфейса.
Те организации, у которых все эти элементы уже реализованы, могут справедливо удивиться: а зачем, собственно, добавлять еще один?
Однако HIPS — это нечто большее, нежели простая сумма перечисленных составляющих. Наши тестирование и анализ показали, что на текущий момент данный сегмент рынка, по-видимому, предлагает наиболее всеобъемлющие решения для защиты настольных систем. Ни один отвечающий за свои слова поставщик таких решений не гарантирует вам 100% отражения атак “нулевого дня” (zero-day), но решения HIPS наиболее близки к этому показателю за счет применения в них технологий защиты памяти и среды исполнения, предотвращающих построение злоумышленником кода в сегменте данных и его исполнение, а также за счет отслеживания случаев неавторизованного и вообще необычного доступа к файлам.
прочитать полностью »
September 13, 2007 – 3:24 pm
Несмотря на то что на рынке появляются все новые и новые продукты, которые делают более простым для специалистов по сетевой безопасности обнаружение rootkit-утилит на скомпрометированных машинах, выявление самих таких машин и удаление названных вредоносных программ остается исключительно сложным делом. На таких машинах злоумышленники по-прежнему имеют явное превосходство. Чтобы замаскироваться на скомпрометированной машине и ускользнуть от обнаружения, вредоносная программа включает в себя полнофункциональную rootkit-утилиту или rootkit-подобные возможности. Согласно результатам исследований компании McAfee, частота применения взломщиками технологий сокрытия вредоносного ПО с 2004 г. увеличилась аж на 600%; растет и число используемых специализированных rootkit-утилит, с трудом обнаруживаемых (а то и вовсе не обнаруживаемых) с помощью сигнатур.
Сообщество менеджеров сетевой безопасности откликнулось на вышеперечисленные разработки созданием автономных инструментальных средств поиска root-kit-утилит, с помощью которых их можно найти, анализируя данные низкого уровня, такие, как исходная информация файловой системы. Кроме того, некоторые производители добавляют улучшенные возможности обнаружения root-kit-утилит в свое ПО безопасности. Инструментальные средства anti-rootkit обычно выполняют одну из двух нижепоименованных задач: обнаруживают и блокируют root-kit-утилиты до того, как они скомпрометируют ПК, или пытаются найти и удалить их уже после проникновения в ОС.
прочитать полностью »
September 13, 2007 – 3:19 pm
Давайте признаемся себе в том, что, как только речь заходит об информационной безопасности, Microsoft часто становится “мальчиком для битья”. Недавно компания снова вызвала на себя огонь антимонопольных орудий Европейского союза. На этот раз мишенью, среди всего прочего, стала закрытость ядра ОС Vista. Масла в огонь добавило еще и то, что первый случай обнаружения атаки на Vista был зафиксирован уже 22 декабря 2006 г., т. е. спустя всего три недели после официального выпуска ОС.
Сейчас единственный “луч света в темном царстве” для Microsoft — это Windows Longhorn Server, продукт основательной переработки ядра Windows. В нем прослеживается четкая направленность на повышение безопасности, а также на упрощение управления и повышение производительности. Чтобы выяснить, какую пользу организациям принесут изменения, сделанные Microsoft в этой своей серверной ОС следующего поколения, мы проверили новые функции безопасности этого продукта в нашей лаборатории Real-World Labs Сиракузского университета.
После нескольких недель придирчивых изысканий этот продукт вызвал у нас полный восторг. Как компания Microsoft и обещала, в Longhorn значительно повышена безопасность процессов установки и конфигурирования, налицо преимущества, обусловленные модульностью ОС, в наличии имеются функция определения состояния клиентского ПО с точки зрения его исправности, усовершенствованный межсетевой экран (МЭ) и новый IP-стек.
прочитать полностью »
September 13, 2007 – 3:05 pm
Итак, вы встали перед необходимостью использовать внешний RAID-массив в вашей информационной системе. Перечислим некоторые вопросы, требующие ответа при выборе технологии хранения данных и затрагивающие три аспекта проблемы – финансовый, технический и организационный.
- Два или более серверов одновременно будут обслуживать ваш внешний RAID-массив в ближайшие 2 года?
- Будет ли установлена на серверах какая-либо из ОС Microsoft Windows NT или Windows 2000?
- Каково взаимное местоположение серверов и внешнего RAID-массива?
- Насколько критична безопасность хранения данных с точки зрения секретности?
- Каково количество управляемых RAID-массивов в вашей системе?
- Какова интенсивность использования и частота обновления ваших данных?
- Наличие в штате вашей компании специалистов по Fibre Channel (FC) SAN?
- Что критичнее для вас – минимизация затрат на оборудование или его функциональность?
прочитать полностью »
September 13, 2007 – 2:53 pm
Устройства хранения данных используются уже десятки лет, но подключать их к сетям стали сравнительно недавно — примерно семь лет назад, и эта практика оказалась вполне успешной. Ну что ж, разработчики сетей хранения данных (Storage-Area Networks — SAN) проделали большую работу, но им предстоит решить еще немало проблем.
Преобладающей технологией сетей SAN является протокол Fibre Channel (FC), специально разработанный для передачи трафика систем хранения данных. Его главные конкуренты — самые распространенные технологии связи между компьютерами — Ethernet и TCP/IP, дополненные протоколом iSCSI, который обеспечивает доступ к хранящейся информации на блочном уровне. Однако по сравнению с FC-решениями, Ethernet-системы хранения данных менее распространены и имеют меньшую долю рынка.
С самого своего появления технология FC стала безусловным лидером рынка сетей SAN. Компании, которые первыми начали производить оборудование FC — Brocade, Emulex, McData и QLogic, сейчас являются крупными “игроками” на этом рынке. Они немало поспособствовали распространению технологии FC.
прочитать полностью »
September 13, 2007 – 1:26 pm
Подобно LAN, SAN может создаваться с использованием различных топологий и носителей. При построении SAN может использоваться как параллельный SCSI интерфейс, так и Fibre Channel или, скажем, SCI (Scalable Coherent Interface), но своей все возрастающей популярностью SAN обязана именно Fibre Channel. В проектировании этого интерфейса принимали участие специалисты со значительным опытом в разработке как канальных, так и сетевых интерфейсов, и им удалось объединить все важные положительные черты обеих технологий для того, чтобы получить что-то в самом деле революционно новое. Что именно?
Основные ключевые особенности канальных:
- Низкие задержки
- Высокие скорости
- Высокая надежность
- Топология точка-точка
- Небольшие расстояния между нодами
- Зависимость от платформы
и сетевых интерфейсов:
- Многоточечные топологии
- Большие расстояния
- Высокая масштабируемость
- Низкие скорости
- Программная загрузка
- Большие задержки
объединились в Fibre Channel:
- Высокие скорости
- Независимость от протокола (0-3 уровни)
- Большие расстояния
- Низкие задержки
- Высокая надежность
- Высокая масштабируемость
- Многоточечные топологии
Традиционно сторедж интерфейсы (то, что находится между хостом и устройствами хранения информации) были преградой на пути к росту быстродействия и увеличению объема систем хранения данных. В то же время прикладные задачи требуют значительного прироста аппаратных мощностей, которые, в свою очередь, тянут за собой потребность в увеличении пропускной способности интерфейсов для связи со сторедж-системами. Именно проблемы построения гибкого высокоскоростного доступа к данным помогает решить Fibre Channel.
прочитать полностью »
September 12, 2007 – 8:43 pm
RAID – аббревиатура, расшифровываемая как Redundant Array of Independent Disks – “отказоустойчивый массив из независимых дисков” (раньше иногда вместо Independent использовалось слово Inexpensive). Концепция структуры, состоящей из нескольких дисков, объединенных в группу, обеспечивающую отказоустойчивость родилась в 1987 году в основополагающей работе Паттерсона, Гибсона и Катца.
Исходные типы RAID-массивов
RAID-0
Если мы считаем, что RAID это “отказоустойчивость”(Redundant…), то RAID-0 это “нулевая отказоустойчивость”, отсутствие ее. Структура RAID-0 это “массив дисков с чередованием”. Блоки данных поочередно записываются на все входящие в массив диски, по порядку. Это повышает быстродействие, в идеале во столько раз, сколько дисков входит в массив, так как запись распараллеливается между несколькими устройствами. прочитать полностью »
September 12, 2007 – 7:16 pm
Увидел у себя в статистике переходы по такой фразе с яндекса, причем не один, а аж несколько переходов :)
Ну чем вам помочь я смогу. Ничем.. Так как я сам запрещаю, и рассказывать методы запретов не собираюсь. Хотя нет, как раз методы запретов установки программ я напишу, немного позднее. Да и есть у меня такое мнение, что если запретил грамотный админ, то задолбётесь устанавливать свои программы:)
На этом заканчиваю эту краткую заметку, удачи в обходах. Вы дырки находите, мы закрываем.
