J3qx

information archive

Archive for Декабрь 2014

DataCenter Bridging / Networking (DCB/DCN) в Windows Server 2012 R2

Posted by j3qx на Декабрь 14, 2014

DataCenter Bridging / Networking (DCB/DCN) в Windows Server 2012 R2

Привет.

Технологии семейства DCB (они же DCN – DataCenter Networking) – редкая тема для обсуждения, хотя их поддержка появилась ещё в Windows Server 2012. Отсутствие информации в авторизованных курсах плюс традиционно слабая подготовка преподавателей Microsoft в сетевых технологиях сделали своё чёрное дело – “технология есть, а плода – нет” (ц) к/ф “ДМБ”. Около 100% рекомендаций выглядят как “ну типа клёвая штука, на серверах можно включать, оно там чего-то лучше станет делать”.

Попробуем разобраться, что, зачем и почему следует из включения данной одинокой галки в Add Roles and Features. Я предполагаю, что Вы знакомы с сетевыми технологиями хотя бы на уровне азбучных вопросов курсаCisco ICND1. Если нет – лучше вначале изучить его, это бесплатно.

DCB в Windows Server

  • Ветхий завет технологий управления трафиком
  • DCB: 802.1Q и его друзья
  • Включаем поддержку DCB на сервере
  • Настройки DCB в Windows Server

Начнём.

Ветхий завет технологий управления трафиком

Вначале никакого QoS не было. Была радость, что кадры и ячейки вообще иногда доходят до другого конца провода.

Потом стало выясняться, что радость не очень полная – ведь протоколы канального уровня в подавляющем большинстве не могли сделать ничего, что выходит за рамки LLC1, т.е. могли лишь зафиксировать факт того, что к ним что-то приехало, и у этого чего-то сошлась FCS. Был, конечно, вариант, как в потомстве HDLC – с LAP-x, чтобы с восстановлением данных, надёжно, но подходил он только для медленных линий, высокого процента проблем, связанных с физикой канала и логикой “надёжно доставить не смотря на потери времени и полосы пропускания”. Читать далее…

Реклама

Posted in IT expert, sysadmin | Отмечено: , , | Leave a Comment »

Posted by j3qx на Декабрь 13, 2014

Как писать письма

Письма-неудачники

Сегодня опять пришло по работе несколько писем с вопросом
«Саша, что ты думаешь по этому поводу?» Казалось бы, что такого?
Но очень хочется выматериться.
И вот почему. Потому что Саша думает по этому поводу примерно
следующее:
 «Я не очень понимаю, чего от меня хотят».
 «Чтобы мне понять, чего от меня хотят мне, видимо, придется
прочесть всю эту простыню обсуждений. Особенно удобно читать
то, с чего все началось, там уже три мейл клиента так все
отформатировали, что медицина бессильна». Читать далее…

Posted in IT expert, IT manager | Отмечено: , | Leave a Comment »

Бронируем TLS в Windows Server 2012 R2

Posted by j3qx на Декабрь 8, 2014

Бронируем TLS в Windows Server 2012 R2

Привет.

Защита TLS – штука крайне нужная. У неё много аспектов – как безопасность самой хостовой ОС, на которой развёрнут веб-сервер, так и безопасность работающих приложений, криптографические аспекты и многое другое. Я попробую написать про то, что с моей точки зрения, является важным и не сильно документированным / очевидным. На этом вода про то, что с TLS лучше, чем без TLS, а с настроенным TLS лучше, чем с не настроенным TLS, официально объявляется закончившейся.

Стартовые ограничения статьи – не будет рассматриваться тюнинг SSL, т.к. уже 13 лет как есть TLS, SSL мы будем выключать полностью. Не будет рассматриваться настройка систем младше NT 6.0, т.к. про это можно найти в предыдущей статье, да и те, кто думает о безопасности TLS, наружу Windows Server 2003й в 2014м году не выставляет.

Для большинства операций я буду использовать ATcmd – им проще делать тонкий тюнинг SSL/TLS. Если хотите – можете найти другие методы по выполнению аналогичных действий на своей ОС, это некритично – функционал называется стандартно, и ту же фрагментацию TLS можно настраивать чем удобно.

Бронируем TLS в Windows Server 2012 R2

  • Версия SSL/TLS на сервере
  • Отключаем неиспользуемые версии SSL/TLS и PCT/MPUH
  • Пересогласование TLS
  • Фиксируем только нужные cipher suites
  • Блокируем небезопасные криптоалгоритмы
  • Настраиваем фрагментацию TLS
  • SSL Close-Notify
  • Журналирование TLS
  • Отправка клиенту списка доверенных CA в CTL-формате
  • Логика проверки x.509-сертификата клиента
  • Проверка промежуточных сертификатов через Интернет

Поехали.

Версия SSL/TLS на сервере

Первым делом – проведём инвентаризацию того, что умеет поддерживать SCHANNEL в Windows NT. Это будут:

  • Очень старый и просто старый варианты SSL – 2.0 и 3.0
  • Редкие и давно устаревшие PCT 1.0 и MPUH
  • Протоколы TLS 1.0, TLS 1.1, TLS 1.2 и их вариант для работы поверх UDP – DTLS

Разберемся по порядку.

Читать далее…

Posted in IT expert, ITSecurity | Отмечено: , | Leave a Comment »

Data Center TCP (DCTCP) в Windows Server 2012 R2

Posted by j3qx на Декабрь 6, 2014

Data Center TCP (DCTCP) в Windows Server 2012 R2

Привет.

Сети датацентров – пожалуй, одно из самых высокотехнологичных и передовых мест в современных сетевых технологиях, которое вдобавок находится на стыке массы технологий. Задача вида “выжать максимум” здесь является не уникальной, а операционной, поэтому надо быть во всеоружии. Давайте поговорим про то, кто такой новый TCP – DCTCP и чем он нам поможет.

Я предполагаю, что читатель знаком с сетевыми технологиями хотя бы на уровне базового бесплатного курса Cisco ICND1. Если нет – не страшно, но для полного понимания логики происходящего всё ж лучше представлять, как работает TCP и его отдельные подсистемы.

DCTCP в Windows Server 2012 R2

  • Проблемы протокола TCP
  • TCP Flow Control
  • TCP Global Syncronization
  • Управление заторами – ECN
  • Включение поддержки ECN и DCTCP
  • Настройка профилей TCP / DCTCP в Windows Server 2012 R2

Начнём.

Проблемы протокола TCP

Протокол TCP – очень хороший протокол. Количество решаемых им задач и имеющегося функционала – очень велико. И потоком он управлять умеет, и sequencing делает, и полнодуплексно работает, и разные логики изменения размера окна знает, и всякие out-of-band данные отправлять умеет. Но есть минус. В протоколе TCP нет поддержки телепатии.
Читать далее…

Posted in IT expert, sysadmin | Отмечено: , | Leave a Comment »