Категория ‘Мрежи’

октомври 18, 2010   Jordan   Мрежи, Разни, Сигурност, Хостинг
4

Дата център

Историята на дата центровете

Дата центровете започват да се развиват от огромни сървърни стаи през ранните години на компютърната индустрия. Ранните компютърни системи били трудни за управление и поддръжка и изисквали специални помещения за да функционират. Били необходими много кабели за да бъдат свързани необходимите компоненти, това довело до създаването на отделни методи за организиране и подреждане на оборудването: сървърни ракли за монтиране на оборудването, повдигнати подове, окачени тавани, кабелни скари. Също така старите компютри консумирали прекалено много електрическа енергия и, следователно, е трябвало да бъдат охлаждани, за да се избегне прегряването. Информационната сигурност още тогава била от огромно значение. Компютрите били използвани преди всичко за военни цели. Достъпа до дата центровете бил строго ограничен.

По време на взрива на компютърната индустрия през 80-те години на 20-ти век компютрите започнали да се появяват навсякъде. В много от случаите потребителите вообще не се замисляли в каква среда машините работят. Въпреки това след като информационните технологии започнали да се развиват, операциите започнали да стават все по-сложни. Компаниите започнали да усещат нуждата от организиране на компютърното оборудване. С разиването на технологията клиент-сървър, сървърите постепенно започнали да намират своето място в старите компютърни стаи. Появата на евтино мрежово оборудване, в съчетание с новите мрежови стандарти за окабеляване, това е предпоставката за появата на йерархичен дизайн, поставящ сървърите в отделни помещения в офисите на компаниите. Именно тогава термина „дата център“ започва да става все по-популярен и бива прилаган за отделните сървърни помещения.

Взрива на дата центровете се явява по време на „точка com манията“. Компаниите имали нужда от бърз интернет достъп и денонощно присъствие за да бъдат представени в интернет. Инсталирането на скъпо оборудване не било подходящо за по-малките компании. Много компании започнали изграждането на огромни бази, наречени Internet Data Centers (IDC), предлагащи на бизнеса неограничени възможности за опериране. Новата технология била изградена по такъв начин, че да управлява информация в мащаб. Тази практика се преобразувала до личните дата центрове и била широко използвана благодарение на нейната приложимост.

От 2007 година насам, дизайна на дата центрове, тяхното изграждане и опериране е добре позната дисциплина по целия свят. Има създадени редица стандарти за тях. Все още усърдно се работи за осъвършенстването на работата на дата центровете, също така и за подобряването на тяхното екологично въздействие.

Изискванията към съвременните дата центрове

IT операциите са от основно значение при повечето бизнес операции. От основно значение е непрекъсваемостта на бизнеса; компаниите разчитат на своите информационни системи за функционирането на бизнеса. Ако някоя информационна система прекъсне, операциите във фирмата могат да бъдат нарушени или напълно прекъснати. Необходимо е да бъде създадена надеждна инфраструктура за бизнес операциите в дадена компания. Информационната сигурност също е от основно значение. Поради тази причина дата центровете трябва да предоставят сигурна среда за да бъдат сведени до минимум възможностите за експлоитиране на уязвимости. Дата центровете трябва да спазват високи стандарти за осигуряването на цялостността и функционалността на компютърната система. Това е достигнато благодарение на огромното количество оптични кабели и резервно електроснабдяване, включително и с дизелови генератори и електрически батерии.

Успешното функциониране на един дата център предполага разумното и балансирано инвестиране както в самото съоръжение, така и в съхраняваните устройства. Първата стъпка е да се създаде основна среда, подходяща за инсталиране на сървърно-мрежово оборудване впоследствие. Стандартизирането и модулирането могат да спестят много разходи при проектирането на телекомуникационни дата центрове.

Стандартизирането означава интегрирано построяване и проектиране на оборудването. Основното преимущество на модулирането е възможността за мащабиране впоследствие и по-лесното разширяване, дори когато плановете не са чак толкова оптимални. Поради тази причина, дата центровете трябва да бъдат изграждани с периодичност, постоянно добавяйки отделни блокове оборудване, в съчетание с електрическа подсигуреност. Необходими са прецизни планове за да бъде избегнато надстрояването, или още по-лошия вариант: недостатъчното дострояване.

Класификация на дата центровете

TIA-942:Data Center Standards Overview стандарта описва изискванията за структурата на дата центровете. Най-примитивното ниво на сигурност е Tiet 1 стандарта, което само по себе си е сървърна стая. Най-високия стандарт е Tier 4, това са дата центрове, създадени за да съхраняват сървърни системи от основно значение, с огромно количество подсистеми и отделни защитени зони, контролирани от биометрични системи за достъп. Друга широкo използвана техника е базирането на дата центрове в подземни помещения. Основна причина за това е сигурността на информацията, а също така и низките температури.

Четирите нива на дата центровете са дефиниране и са със защитено авторско право от Uptime Institute. Нивата описват наличността на информацията от гледна точка на геолокацията на хардуера. Нивата са следните:

Tier ниво Изисквания
1
  • Едно не преосигурено помещение за обслужването на IT оборудването
  • Достатъчен капацитет без излишни елементи
  • Основна инфраструктура, гарантираща 99.671% онлайн време
2
  • Пълно покриване на Tier 1
  • Структура на помещението, гарантираща 99.741% онлайн време
3
  • Пълно покритие на Tier 1 и Tier 2
  • Няколко независими пътища за обслужване на IT оборудването
  • Цялото IT оборудване трябва да бъде двойно подсигурено и да бъде напълно съвместимо със структурата на дата центъра
  • Структура, гарантираща 99.982% онлайн време
4
  • Пълно покриване на стандартите Tier 1, Tier 2, Tier 3
  • Всички системи за охлаждане са двойно подсигурени, включително и вентилационната система и климатичната инсталация
  • Устойчива на сривове инфраструктура, с допълнително електроснабдяване, гарантиращи 99.995% онлайн време

Физическа структура

Един дата център може да заема една стая от помещение, един или повече етажи или цяла сграда. По-голяма част от оборудването е в сървърни кутии, монтирани на 19“ ракли, поставени в отделни редове, образуващи коридори. Това позволява на персонала достъпа както от предната, така и от задната част на оборудването. Сървърите се различават по техните размери: от 1U сървъри до огромни стоящи съоръжения, заемащи голяма част от етажа. Много големите дата центрове могат да използват цели корабни контейнери за съхраняване на сървърите, като всеки контейнер съдържа повече от 1000 сървъра. Когато е необходим ремонт или обновяване на системата, биват заменяни целите контейнери (вместо замяната на отделните машини).

Местните строителни норми биха могли да определят минималния размер на сървърните помещения.

Физическите условия на един дата център могат биват динамично определяни.

  • Използват се климатични инсталации за контролирането на температурата и влажността на въздуха. Според стандартите най-добрата температура на въздуха е от 16 до 24 градуса и влажност от порядъка на 40-55% с максимална точка на кондензиране от 15 градуса. Ако не работят системите температурата ще се повиши, защото електрическата енергия използвана за работата на оборудването генерира топлина. Това може да доведе до неправилно функциониране на уредите. Климатичните инсталации могат да се използват и за контролиране на влажността на въздуха, охлаждайки въздуха под точката на кондензиране. Голямата влажност на въздуха може да доведе до кондензиране в сървърните елементи. В случай на низка влажност на въздуха, може да започне образуването на статично електричество, което може да повреди отделните компоненти на компютъра. Подземните помещения поддържат подобни условия и биха могли да спестят електроенергия.
  • Модерните дата центрове спестяват енергия, използвайки въздуха извън помещението за охлаждане. Във Вашингтон към 2010 година има няколко дата центъра, който използват въздуха извън сградата за охлаждане 11 месеца в годината. Те използват минимално количество от капацитета на климатичните инсталации, спестявайки милиони.
  • Резервното електроснабдяване се състои от един или повече UPS-a, и/или дизелови генератори.
  • За да бъдат избегнати единичните точки на падение, всички системи са с дублирано електроснабдяване.
  • Дата центровете обикновено имат повдигнати на 60 сантиметра подове, с подвижни плочи на пода. Там са разположени въздушните инсталации, също така повдигнатите подове се използват за кабелите.

  • Дата центровете разполагат и с пожарогасителни системи, включващи пасивни и активни елементи, както и системи за избягване на пожарите. Разположени са и детектори за пушек, разпознаващи пожара още преди да е започнал. Пасивната защита от огън предполага инсталирането на специални панели против огън извън помещението, по такъв начин, че да бъде ограничено проникването на пожара.

  • Физическата защита също е от основно значение при дата центровете. Достъпа до помещенията е защитен от доверен персонал. Видео наблюдението е задължително и почти винаги има охрана, особено ако съхраняваната информация е от основно значение. Използват се биометрични системи за достъп, за вход в помещенията се използват пръстови отпечатъци.

Използване на енергията

Електроенергията е основен ресур при дата центровете. Използваната енергия може да варира от няколко киловата за малки сървърни ракли до няколко десетки мегавати при по-големи дата центрове. Някои такива използват до 100 пъти повече електричество от обикновенните офис сгради. Електрическата енергия е основен разход в този бизнес, в повечето случаи поглъща повече от 10% от цялостната цена на дата центъра. До 2012 се очаква цената на електроенергията да надвиши всички останали инвестиции в дата центровете.

Енергийна ефективност

Основен метод за определяне на ефективността на един дата център е PUE (Power Usage Effectiveness) коефициента. Този прост коефициент е цялата електроенергия, постъпваща в дата центъра, разделена на енергията използвана от оборудването вътре.

Основният излишък на електроенергия идва от допълнителното оборудване. Това са климатичните инсталации, системите за енергийно осигуряване. Един средностатически дата център в Америка има PUE коефициент от 2.0, което означава че допълнителните системи използват един ват електроенергия за всеки ват използван от сървърите. Идеален дата център е такъв, който използва 1.2 PUE.

Мрежово оборудване

Телекомуникацията в повечето дата центрове днес се осъществява благодарение на мрежи, използващи IP протокола. Дата центровете използват суитчове и рутери за да транспортират трафика между отделните сървъри и по света. Непрекъсваемостта на интернет услугата доста често се осъществява с използването на няколко интернет доставчика. Някои от сървърите в дата центровете се използват за обикновенни интернет и интранет услуги, като имейл сървъри, DNS сървъри или Proxy сървъри.

Обикновенно се добавят и елементи, осигуряващи сигурността на информацията: firewalls, VPN gateways, IDS системи и т. н.

Приложения

Основната идея на всеки един дата център е да задвижва приложенията, използвани за ключови бизнес операции. Например ERP и CRM решения. Отделните сървъри могат да отговарят за конкретна част от приложението. Така се разделят, например, сървъри за базите данни, файлови сървъри, сървъри за приложенията и много други.

Дата центровете също така се използвата и за бекъп решения (резервни копия). Компаниите могат да използват услугите предлагани от дата центровете за своите бекъп решения. Записването на информацията става на магнитни касети.

За неотложни възстановявания големи компании (Cisco Systems, Sun Microsystems, IBM и HP) са разработили различни софтуерни продукти, които могат да бъдат спешно инсталирани и информацията да бъде възстановена максимално бързо.

Прочети повече
август 11, 2010   Jordan   Мрежи, Сигурност, Софтуер
1

Обезопасяване на безжична Wi-Fi мрежа

7 неща, които хакерите се надяват да не знаете.

Най-успешния начин да се защитите от Wi-Fi хакерите е да се научите да мислите като такъв. Без значение дали сте хакер, който иска да получи безплатен интернет достъп или сте високо квалифициран престъпник, нает да разбие някоя бизнес мрежа с цел получаване на информация за важни документи или кредитни карти, има няколко неща, които винаги се набиват на очи. Знаенето на тези неща може да Ви помогне да се защитите.

Намиране на потенциални жертви.

Първото нещо, което ще провери хакера, е до какви мрежи има достъп. Нещото, което се прави, се нарича военно шофиране (war driving). Нещото, от което имате нужда е програма, наречена inSSIDer. Този софтуер сканира вълните и показва точките на достъп. Както се вижда на изображението, някой мрежи имат име, а други не.

Намиране на така наречените скрити мрежи.

Мрежите без име са настроени през контролния панел на рутера да не споделят своите SSID-та. Мрежовия администратор сигурно си мисли, че по този начин обезопасява първото ниво на сигурност на безжичната мрежа. Но въпреки това, SSID-то на мрежата може бързо да бъде намерено. За тази цел може да бъде използвана друга програма, наречена CommView for Wi-Fi. Това е комерсиален продукт, но въпреки всичко има безплатна временна версия.

След като хакера отвори софтуера за сканиране, той има опция види скритите мрежи. На имената на някои мрежи може да излиза празно място, но веднага, щом някой започне да използва мрежата, името ще се види. Не трябва да се забравя, че компютрите от мрежата, постоянно изпращат сигнали (broadcasting), така че едва ли ще се наложи хакера да чака много.

На изображението се виждат 2 скрити мрежи.

И двете са еднакво уязвими. Дори мрежите да са криптирани, тяхното име може да се разбере. Въпреки, че името на мрежата не е всичко, то поставя хакера една крачка напред.

Разбиване на безжичното криптиране.

Следващото, с което ще се сблъска хакера е криптирането, като то може да бъде WEP, WPA или WPA2, например. При сканирането на мрежите, хакера ще види мрежите с и без криптиране. Тези, които са без криптиране, са крайно уязвими. Всеки може да свърже към тях буквално за няколко секунди. В повечето случаи тези мрежи се администрират от домашни потребители, които или не ги е грижа, или не знаят как да си конфигурират мрежата, но понякога такива мрежи се намират и при бизнес потребителите. Това са хора широко отворени към света.

Добър хакер може да разбие WEP криптиране за няколко минути, като за това нещо има голямо количество инструменти в нета. Колкото по-сложна е паролата, толкова по-сложна е за разбиване. За кракването на паролите, хакерите използват речници (с милиони думи вътре), като правят асоциации с името на мрежата и насочеността на потребителя. Понякога тази техника е изключително успешна.

По-големите компании използват WPA2 криптиране, използвайки Extensible Authentication Protocol (EAP) и 802.1X. Техните пароли не могат да бъдат разбити с използване на речници и Brute Force, но са уязвими към man-in-the-middle (човек по средата) атаки.

Как атакуват такива мрежи? На мястото на текущата, установяват нова, имаща същото SSID, като се опитват да примамят потребителите да се свържат към измамната мрежа. За целта използват модифициран RADIUS сървър за оторизация. Ако всичко върви по план, хакера ще успее да прихване потребителските имена. А паролите ще атакува по вече известният начин.

Маскиране на МАК адреса

Друга техника, която използват някои администратори е филтриране по МАК адрес. Всяка мрежова карта или устройство съдържа МАК адрес, затова всеки администратор може да създава списъци с позволените или забранените за достъп МАК адреси. Това може да бъде използвано дори и без мрежово криптиране, дори и при скрити мрежи.

Ако хакера прецени, че мрежата се филтрира по МАК адрес, просто ще се наложи да използва софтуер за анализ на мрежата, като отново може да използва CommView. Ще бъдат прегледани МАК адресите на машините, като за целта ще бъдат анализирани прихванатите Wi-Fi пакети, докато не бъде намерен „добър” МАК адрес.

След като бъде намерен подходящия адрес, може да бъде емулиран на мрежовата карта на компютъра на хакера.

Време е за действие.

След като хакера получи достъп до мрежата, той може да започне да подслушва трафика с цел получаване на информация.

Изводи.

  1. Изключването на SSID не спира хакерите, а само води до главоболия, освен това намалява производителността на мрежата.
  2. Не използвайте WEP криптиране, безсмислено е.
  3. WPA/WPA2-PSK криптирането има смисъл само при използването на сложни пароли.
  4. WPA/WPA2-Enterprise е още по-добър вариант при правилна администрация.
  5. Опитайте се да използвате само WPA2 (с AES/CCMP) криптиране.
  6. За допълнителен контрол на достъпа използвайте Network Access Control (NAC) или Network Access Protection (NAP).
Прочети повече

  • Бъдете информирани

    RSS Feed Следете ни в Twitter
  • Славчо Хаджийски: Аз не съм толкова в час с нещата, в които се ровя ... »
  • DIDEXS: Това е доста полезно точно това ми трябваше за да ... »
  • Делян: Атанасе моля те хващай мотиката и стига писа глупо... »
  • Делян: Сара ще да е изхвърчала от Сони като тапа от задни... »
  • Делян: За домашни потребители, които нямат чуствителна ин... »