Рубрика «Блог компании КРОК» - 14

Особенности миграции c RISC на х86 в России: теперь нас держит старый банковский софт времён DOS и Netware - 1

Подозреваю, что довольно значимая часть читателей поста младше, чем эти операционные системы. Но на них в закромах Родины ещё бегает наш российский (и не только) софт. Да и вы наверняка нет-нет, да видели DOS-приклад на рабочих местах Сбербанка или в больницах.

Есть такие Power-машины, которые предназначены для расчётов больших и тяжёлых штук. На них работает приклад, который не может быть запущен в обычном кластере, как правило — банковские системы и всякие биржевые штуки. Проблема в том, что современные гипервизоры создают виртуальную машину не больше, чем физический сервер, где они стоят. А один физический x86-сервер для таких задач мелковат. Поэтому и используется архитектура x64 (RISC).

Одинаковые по суммарной производительности системы на x86 и x64 отличаются по цене в десятки и сотни раз. Казалось бы, никаких проблем: надо переписать софт так, чтобы он мог работать в сотни потоков и встать в кластер или облако, да?

Ага, сейчас! Программистов, кто это писал, уже нет. Исходники обычно утеряны или же написаны на языках времён мезозоя. Даже документации обычно нет. Поэтому знаете, что мы делаем? Мы заворачиваем гипервизор в гипервизор. О, это отдельная песня. Сейчас расскажу.

Читать полностью »

Cisco Meeting Server — теперь вся видео-конференц-связь из одного места - 1
Здесь мог бы быть ваш президент, но сейчас — просто тесты соединения

В сравнении с этой новой штукой от Циски предыдущие архитектуры ВКС реализовывались именно через то место, о котором вы сейчас, возможно, подумали. Чтобы рассказать про глубину проблемы, нужно немного окунуться в историю.

Итак, зачем людям нужны собственные ВКС-линки, когда есть скайп, веб-конференции с видеочатами и всякие другие приблуды? Главный аспект здесь — есть компании, которые никогда не пойдут на то, чтобы гонять трафик через кого-то, кроме себя. Чтобы было ещё понятнее, отмечу, что, например, у судов или у военных в России своя собственная сеть, физически не соединённая с Интернетом. Она ещё и децентрализованная на случай, если уничтожат пару узлов вместе с городами. Ни министерства, ни крупный бизнес не будут доверять чужим серверам и чужим сетям.

Дальше вендоры, видя потребность, начали делать свои ВКС-решения и максимально «привязывать» клиентов к ним проприетарным стеком протоколов, общей парадигмой, совместимостью железа и стандартов и так далее. Результат — появилось около 5–10 «религий», которые затем были слиты в несколько базовых слияниями-поглощениями.

И теперь Циско делает неожиданный поворот, предлагая виртуализованный сервер, который может работать с подавляющим большинством стандартов и — внимание! — может даже ставиться на инфраструктуру «другой религии». Вот про это чудо я и скажу пару слов.
Читать полностью »

Раскурочивание на части особо выносливого железа линейки bullion S, где 768 Гб оперативы - 1
Отрываем от передней части Ultra capacitor module — штуковина предназначена для работы блоков питания в режиме Active/Passive, а также для гарантированного переключения без просадок питания на резервный БП. Оказывается, его также можно использовать для защиты серверной от потенциального противника, быстро переделывая в мощный электрошокер. И знаете что? С ним пускают в самолёт, когда говоришь «да этот сервер стоит как квартира напротив Кремля!»

Оглядываясь, во что бы ещё воткнуть лом, мы заинтересовались серверным оборудованием Bull и решили взять на тестирование один из серверов. Вообще, есть линейка продуктов Bull компании Atos. Bullion S — это высокопроизводительные сервера с морем памяти на борту на базе серверов x86-архитектуры. Всё, что нужно считать внутри оперативной памяти, — это их епархия. Заявленная фишка — высокая отказоустойчивость в сочетании с мощностью и относительной дешевизной.

В общем, нам достался один такой. Первое удивление было в том, что грузится он 15 минут (вендор говорит: в полной выкладке до получаса), тестирует 768 Гб оперативы. Загрузился — мы начали дёргать всё, что только могли. Ага, прямо на ходу. Железка вела себя достойно. По всем I/O пережил нормально, просто переходили пути, а диски оставались доступными с некоторой задержкой. При выдёргивании других кусков иногда делались короткие ребилды (производительность падала), потом всё восстанавливалось. Восстановилась — мы продолжали откручивать детали дальше. Кстати, если оторвать вот этот капасити-модуль с фото или блок питания, сервер это тоже переживёт без происшествий.

Единственный момент — если вынимать из него во время нагрузки плашки памяти «на горячую» руками, он уйдёт в перезагрузку при определённых условиях (о них ниже расскажу).
Читать полностью »

Телефоны ищут свои «родные» сети, поэтому время от времени отправляют в окружающее пространство пакеты с их запросами. Обычная Wi-Fi-инфраструктура (хотспот, раздающий сеть для персонала магазина) может слушать эти пакеты — не отвергать их, а записывать в лог MAC-адрес и дальность до терминала (по уровню сигнала).

Как магазин в торговом центре узнаёт вас по Wi-Fi (точнее, по MAC-адресу) — на базе обычных хотспотов - 1

В случае одной точки это используется как счётчик посетителей на уровне «за вчера 182 человека зашло в магазин, из них 34 уже у нас были», а если точек три или больше — можно уже трассировать потоки людей и видеть наиболее интересные им товары:

Как магазин в торговом центре узнаёт вас по Wi-Fi (точнее, по MAC-адресу) — на базе обычных хотспотов - 2

Ещё раз: никакого спецоборудования, обычные точки Wi-Fi Cisco и софт для обработки их логов. От модели точки доступа Cisco зависит точность. В нашей схеме нужен ещё аплинк до сервера аналитики, где также развёрнут виртуальный контроллер Cisco — точки сгружают ему логи.
Читать полностью »

Что было в прошлом году: №1 по ИТ-услугам в стране, 2000+ проектов, много инженерных историй - 1

С новым годом вас, друзья! Дело в том, что итоги 2016 года мы традиционно подводим в апреле, когда всё посчитано до мелочей и сдана годовая отчётность. А сейчас, на старте отпусков, появилась возможность ещё раз оглянуться назад и рассказать не о результатах, а, скорее, о тенденциях из наблюдений наших экспертов. Так уж получилось, что со скромной позиции интегратора №1 среди поставщиков ИТ-услуг в стране (по рейтингу PA Consulting group). На конец 16 года у нас было 2174 человека в штате, и мы сделали более 2000 проектов на 28,5 миллиардов рублей. Мы видим если и не всю ИКТ-картину в стране, то основную её часть точно.

Поехали!

Итак, как это ни странно, в прошлом году снизилась напряжённость борьбы со спамом. Доля спама в почтовом трафике в прошлом году значительно упала, в частности, по данным компании Symantec, его показатели сравнимы с уровнем 2003 года. Точнее, спам стал умнее, фишинговые письма стали частью направленных APT-атак, особенно на банки. Им массово присылают крутой RTF, который создаёт не менее крутой exe-файл, а дальше уже ставится всё остальное нужное из payload.

Из важного — везде чувствуется переход на отечественные решения. Читать полностью »

Wannacry — икс-команда, на выезд - 1

Мы тут немного поработали ассенизаторами.

Около 66% атак первой волны пришлось на российские сети. И здесь есть огромное заблуждение: почему-то все называют механизм поиска определённого домена killswitch'ем. Так вот, возможно, нет. В случае российских сетей госкомпаний, финансов и производств — это механика обхода песочниц. Основные песочницы на входе в защитный периметр имеют множество тестов. В частности, при запросе определённых сайтов изнутри песочницы они умеют отдавать, например, 200 ОК или 404. Если приходит подобный ответ, зловред мгновенно деактивируется — и таким образом проходит динамический анализатор кода. От статического анализа он защищён несколькими свертками сжатия-шифрования. Таким образом, это не killswitch, а одна из новых механик обхода песочниц.

Об этом я тоже расскажу, но куда интереснее другой практический вопрос: какого чёрта полегло столько машин от троянца? Точнее, почему все вовремя не запатчились или не отключили SMB 1.0? Это же просто как два байта переслать, правда же?
Читать полностью »

Микросегментация сетей в примерах: как эта хитро закрученная штука реагирует на разные атаки - 1

Раньше, когда нужно было что-то разграничить (например, сервера с обработкой платежей и терминалы юзеров офиса), просто строили две независимых сети с мостом-файерволом в середине. Это просто, надёжно, но дорого и не всегда удобно.

Позже появились другие виды сегментации, в частности, по правам на основе карты транзакций. Параллельно развивались ролевые схемы, где машине, человеку или сервису назначаются свои конкретные права. Следующий логический виток — микросегментация в виртуальных инфраструктурах, когда DMZ ставится вокруг каждой машины.

В России пока есть единичные внедрения подобных защитных построений, но скоро их точно будет больше. А потом мы, возможно, не будем даже понимать, как можно было жить без такого. Давайте рассмотрим сценарии атак на такую сеть и как она на это реагирует. Читать полностью »

На страх параноикам: куда нас привела разработка системы аналитики для борьбы с промшпионажем - 1

У одного из наших заказчиков появился довольно интересный запрос, связанный с работой контрразведки на предприятии. Цель — чтобы более чем дорогую (в том числе для государства) информацию не выносили наружу. Идея реализации — сбор всех возможных открытых данных о сотрудниках и выявление среди них «казачков» по шаблонам поведения. Собственно, это и раньше делали безопасники вручную, но теперь предлагалось применить хороший дата-майнинг.

А дальше стало жутковато: мы поняли, как много можем узнать друг о друге, используя всего лишь открытые данные. Начиная с промышленного шпионажа и заканчивая личными отношениями на работе. Полезло столько всего, что нам чуть было не порезали публикацию этого поста. Да и порезали бы, если бы полезных «гражданских» применений не оказалось бы в разы больше.
Читать полностью »

14 инженерных подсистем здания (жизнеобеспечение и дата-центр) - 1
Этот проект поистине уникальный: даже в комнату хранения оружия не забыли сделать закладные по проекту. Такого в нашей обширной практике ещё не было.

Моя команда работала на субподряде по ремонту одного достаточно занимательного здания, отличающегося от окрестных повышенной живучестью. В случае разных интересных внешних обстоятельств. Внутри здания полагался дата-центр, но в результате всех расчётов он забрался аж на 9-й этаж. Оказалось, что укрепить здание специальными двутавровыми балками в мою вытянутую руку толщиной (чтобы сервера не проваливались в пол, 1200 кг на квадратный метр) получается практичнее, чем перекомпоновывать комплексы с первых этажей.

В общем, очень интересный проект. Но давайте начну с самого начала.

Здание на 12 этажей и 2 парковочных этажа под землей. Заказчик переезжает в него и развёртывается без прекращения своих рабочих процессов. На нас — вся слаботочка, видеонаблюдение и ИТ. Есть ещё узел спецсвязи, но про него — ни-ни.Читать полностью »

Вот этот график показывает, как сетевая задержка влияет на максимальную скорость при использовании TCP. Проще говоря, если у вас пинг 500 миллисекунд, то при доступной полосе пропускания 6, 10, 100, 500 и т. д. мегабит трафик между двумя хостами у вас не разгонится выше одного мегабита.

Нельзя так просто взять и расширить каналы связи - 1

Моя команда занимается оптимизацией каналов связи. Иногда удаётся поправить всё буквально парой кликов вручную, но чаще нужно устанавливать специальные устройства, которые существенно ужимают обмен и превращают протоколы в более «оптимистичные» или «предиктивные».

Что такое «оптимистичный» протокол? Очень примерно — это когда удалённый сервер ещё не ответил, что можно отправлять следующий фрейм, а железка уже говорит «посылай», потому что знает, что шанс успеха — 97%. Если вдруг что-то пойдёт не так, она уже сама дошлёт нужный пакет, не беспокоя отправляющий сервер.
Читать полностью »


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js