Если вернуться к разговору о безопасности Android.
Часто появляются новости, что на Android нашли очередного зловреда (и всегда много паники на этот счёт). Если начинаешь копать, то выясняется, что этого зловреда пользователь должен САМ установить (т.е. он не «пробирается» на смартфон тайком). Пользователю, на каком нибудь сайте, предлагают установить например бесплатный плеер порно или получить на халчву денег и пользователь САМ ставит APK файл при этом отключая защиту Android (включают опцию «Неизвестные источники — Разрешить установку приложений из неизвестных источников»).

Примеры с включенной опцией «Неизвестные источники» встречаюсь часто. Иногда просят «починить» телефон и видишь, что эта опция включена. На вопрос — «а зачем включали?», ответ — «хотели игрушку поставить и она это попросила»…

Виноват ли в этом Android...? Сомневаюсь…

У меня возникает вопрос… Существуют ли действительно зловреды для Android, которые РЕАЛЬНО тайком пробираются на смартфон? Без каких либо действий со стороны пользователя?
Я такого пока не встречал не лично не в новостях…
Начинать надо с предоставления инфы пользователю. Чтобы доходило только то, что уже прошло через какие-то фильтры. Нужон рубежъ\эшелоны.
  • avatar bkmz
  • 0
Приветствую.
Какя понимаю 25 числа будет выложена запись подкаста?
Хм, крайне удивила некомпетентность Наташи в области законодательного регулирования удаленки. Она описывает ситуацию и делает предположения в рамках условий, существовавших до весны 2013 года («в законодательстве нет такого понятия, как удаленная работа», оформление удаленщиков как командированных или открытие ради них обособленных подразделений в регионах и т.п.) В апреле 2013 вступила в действие глава 49.1 Трудового кодекса «Особенности регулирования труда дистанционных работников», где все эти проблемы были разрулены. Уже пять лет как удаленщики могут быть оформлены стопроцентно «вбелую». Именно об этом говорят упомянутые ведущим компании, широко практикующие найм удаленщиков.

Наталье надо подтянуть знание нормативной базы )) Вообще странно, что это прошло мимо нее, тогда эта новация пронеслась ураганом статей по всем HR-порталам и волной экстаза в комментариях к ним.
На днях запись будет готова.
  • avatar admin
  • 0
Пожалуйста. 25-го можно переслушать)
Где взять запись? На патреоне нет.
У меня в EVE, сработала только команда crypto ipsec security-association idle-time 60
пару раз проверил перезагружая хаб.
Эта почему то не работает crypto isakmp keepalive 10 2 periodic интересно бы проверить на живом оборудовании.
В EVE такой «роутер» Cisco IOS Software, Linux Software (I86BI_LINUX-ADVENTERPRISEK9-M), Version 15.4(2)T4, DEVELOPMENT TEST SOFTWARE
Спасибо! Хороший выпуск!
Когда уже начало?
Прямо тут, в этом топике.
а где отвечать то будут?
Исправлено, спасибо)
Добрый день, в конце раздела про IGMP Snooping не прописался тег с ссылкой.
Извините конечно, но отвечу сам себе. после некоторых поисков на оф сайте cisco www.cisco.com/c/en/us/td/docs/ios/12_0s/feature/guide/TE_1208S.html. прочитал что помимо того что на интерфейсах находящихся в домене MPLS помимо команды «mpls traffic-eng tunnels» еще необходимо добавить команду «Router(config-if)# ip rsvp bandwidth bandwidth» причем параметр bandwidth для запуска RSVP можно и невводить
Ну и собственно сам конфиг:

mpls traffic-eng tunnels
!

ip tcp synwait-time 5
!
interface Loopback0
ip address 1.1.1.1 255.255.255.255
!
interface Tunnel1
bandwidth 200
ip unnumbered Loopback0
ip load-sharing per-packet
tunnel destination 6.6.6.6
tunnel mode mpls traffic-eng
tunnel mpls traffic-eng autoroute announce
tunnel mpls traffic-eng autoroute metric relative -5
tunnel mpls traffic-eng priority 7 7
tunnel mpls traffic-eng bandwidth 100
tunnel mpls traffic-eng path-option 5 explicit name R1-to-R6-primary
no routing dynamic
!
interface Tunnel2
bandwidth 200
ip unnumbered Loopback0
ip load-sharing per-packet
tunnel destination 6.6.6.6
tunnel mode mpls traffic-eng
tunnel mpls traffic-eng autoroute announce
tunnel mpls traffic-eng autoroute metric relative -5
tunnel mpls traffic-eng priority 7 7
tunnel mpls traffic-eng bandwidth 200
tunnel mpls traffic-eng path-option 5 explicit name R1-to-R6-secondary
no routing dynamic
!
interface FastEthernet0/0
ip address 7.0.1.1 255.255.255.0
duplex auto
speed auto
mpls traffic-eng tunnels
ip rsvp bandwidth
!
interface FastEthernet0/1
ip address 7.0.3.1 255.255.255.0
duplex auto
speed auto
mpls traffic-eng tunnels
ip rsvp bandwidth
!
interface FastEthernet1/0
no ip address
shutdown
duplex auto
speed auto
!
interface FastEthernet2/0
no ip address
shutdown
duplex auto
speed auto
!
interface FastEthernet3/0
no ip address
shutdown
duplex auto
speed auto
!
interface FastEthernet4/0
no ip address
shutdown
duplex auto
speed auto
!
router ospf 1
mpls traffic-eng router-id Loopback0
mpls traffic-eng area 0
log-adjacency-changes
network 1.1.1.1 0.0.0.0 area 0
network 7.0.1.0 0.0.0.255 area 0
network 7.0.3.0 0.0.0.255 area 0
!
ip forward-protocol nd
!
!
no ip http server
no ip http secure-server
!
ip explicit-path name R1-to-R6-secondary enable
next-address 7.0.1.2
next-address 7.0.2.2
next-address 7.0.6.2
!
ip explicit-path name R1-to-R6-primary enable
next-address 7.0.3.2
next-address 7.0.4.2
next-address 7.0.5.2
next-address 7.0.6.2

в результате табличка маршрутизации правильная, туннельные интерфейсы активные и трафик делится по туннелям в отношении 1 к 2.
кому интересно можете взять готовый проект с работающим трафик инжинирингом yadi.sk/d/n0tnRPkq3XGPtw
Здравствуйте. подскажите может кто сталкивался, собрал топологию в GNS3 как в разделе «Практика RSVP TE», все команды прописал, сделал все на оспф, по началу все заработало RSVP распределял метки, трафик между туннелями делился ы нужных пропорциях, сейчас по прошествию двух месяце, запускаю проект, а RSVP не занимается своим делом, метки не раздаются. оспф в свою очередь отправляет LSA 10.
Привожу пример конфига маршрутизатора который должен создавать два туннеля до некоторого маршрутизатора с адресом 6.6.6.6.

конфиг:

version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R1
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
memory-size iomem 5
no ip icmp rate-limit unreachable
ip cef
ip cef load-sharing algorithm tunnel
!
no ip domain lookup
ip auth-proxy max-nodata-conns 3
ip admission max-nodata-conns 3
!
mpls traffic-eng tunnels
!
ip tcp synwait-time 5
!
!
interface Loopback0
ip address 1.1.1.1 255.255.255.255
!
interface Tunnel1
bandwidth 200
ip unnumbered Loopback0
ip load-sharing per-packet
tunnel destination 6.6.6.6
tunnel mode mpls traffic-eng
tunnel mpls traffic-eng autoroute announce
tunnel mpls traffic-eng autoroute metric relative -5
tunnel mpls traffic-eng priority 7 7
tunnel mpls traffic-eng bandwidth 100
tunnel mpls traffic-eng path-option 5 explicit name R1-to-R6-primary
no routing dynamic
!
interface Tunnel2
bandwidth 200
ip unnumbered Loopback0
ip load-sharing per-packet
tunnel destination 6.6.6.6
tunnel mode mpls traffic-eng
tunnel mpls traffic-eng autoroute announce
tunnel mpls traffic-eng autoroute metric relative -5
tunnel mpls traffic-eng priority 7 7
tunnel mpls traffic-eng bandwidth 200
tunnel mpls traffic-eng path-option 5 explicit name R1-to-R6-secondary
no routing dynamic
!
interface FastEthernet0/0
ip address 7.0.1.1 255.255.255.0
duplex auto
speed auto
mpls traffic-eng tunnels
!
interface FastEthernet0/1
ip address 7.0.3.1 255.255.255.0
duplex auto
speed auto
mpls traffic-eng tunnels
!
interface FastEthernet1/0
no ip address
shutdown
duplex auto
speed auto
!
interface FastEthernet2/0
no ip address
shutdown
duplex auto
speed auto
!
interface FastEthernet3/0
no ip address
shutdown
duplex auto
speed auto
!
interface FastEthernet4/0
no ip address
shutdown
duplex auto
speed auto
!
router ospf 1
mpls traffic-eng router-id Loopback0
mpls traffic-eng area 0
log-adjacency-changes
network 1.1.1.1 0.0.0.0 area 0
network 7.0.1.0 0.0.0.255 area 0
network 7.0.3.0 0.0.0.255 area 0
!
ip forward-protocol nd
!
!
no ip http server
no ip http secure-server
!
ip explicit-path name R1-to-R6-secondary enable
next-address 7.0.1.2
next-address 7.0.2.2
next-address 7.0.6.2
!
ip explicit-path name R1-to-R6-primary enable
next-address 7.0.3.2
next-address 7.0.4.2
next-address 7.0.5.2
next-address 7.0.6.2
!
no cdp log mismatch duplex
!
control-plane
!
line con 0
exec-timeout 0 0
privilege level 15
logging synchronous
line aux 0
exec-timeout 0 0
privilege level 15
logging synchronous
line vty 0 4
login
!
!
end

Вывод информации по туннелю 1
R1#show interfaces tunnel 1
Tunnel1 is up, line protocol is down
Hardware is Tunnel
Interface is unnumbered. Using address of Loopback0 (1.1.1.1)
MTU 1514 bytes, BW 200 Kbit/sec, DLY 500000 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation TUNNEL, loopback not set
Keepalive not set
Tunnel source UNKNOWN, destination 6.6.6.6
Tunnel protocol/transport Label Switching

Fast tunneling enabled
Tunnel transmit bandwidth 8000 (kbps)
Tunnel receive bandwidth 8000 (kbps)
Last input never, output never, output hang never
Last clearing of «show interface» counters never
Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
Queueing strategy: fifo
Output queue: 0/0 (size/max)
5 minute input rate 0 bits/sec, 0 packets/sec
5 minute output rate 0 bits/sec, 0 packets/sec
0 packets input, 0 bytes, 0 no buffer
Received 0 broadcasts, 0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
0 packets output, 0 bytes, 0 underruns
0 output errors, 0 collisions, 0 interface resets
0 unknown protocol drops
0 output buffer failures, 0 output buffers swapped

табличка маршрутизации, вмидит все лупбэки
R1#show ip route

1.0.0.0/32 is subnetted, 1 subnets
C 1.1.1.1 is directly connected, Loopback0
2.0.0.0/32 is subnetted, 1 subnets
O 2.2.2.2 [110/11] via 7.0.1.2, 00:27:37, FastEthernet0/0
3.0.0.0/32 is subnetted, 1 subnets
O 3.3.3.3 [110/11] via 7.0.3.2, 00:27:37, FastEthernet0/1
4.0.0.0/32 is subnetted, 1 subnets
O 4.4.4.4 [110/21] via 7.0.3.2, 00:27:37, FastEthernet0/1
5.0.0.0/32 is subnetted, 1 subnets
O 5.5.5.5 [110/21] via 7.0.1.2, 00:27:37, FastEthernet0/0
6.0.0.0/32 is subnetted, 1 subnets
O 6.6.6.6 [110/22] via 7.0.1.2, 00:27:39, FastEthernet0/0
7.0.0.0/24 is subnetted, 7 subnets
O 7.0.7.0 [110/31] via 7.0.1.2, 00:27:41, FastEthernet0/0
O 7.0.6.0 [110/21] via 7.0.1.2, 00:27:41, FastEthernet0/0
O 7.0.5.0 [110/30] via 7.0.3.2, 00:27:41, FastEthernet0/1
[110/30] via 7.0.1.2, 00:27:41, FastEthernet0/0
O 7.0.4.0 [110/20] via 7.0.3.2, 00:27:41, FastEthernet0/1
C 7.0.3.0 is directly connected, FastEthernet0/1
O 7.0.2.0 [110/20] via 7.0.1.2, 00:27:41, FastEthernet0/0
C 7.0.1.0 is directly connected, FastEthernet0/0

но туннельных интерфейсов в этой табличке нет
В общем грешу я пока на GNS3.
Всем привет!

Соглашусь с тезисом из подкаста о том, что CommuniGate Pro на сегодня это больше, чем почтовый сервер.
Но даже если рассматривать только почтовый функционал, то сравнивать MS Exchange и CommuniGate Pro не совсем корректно.

1) CommuniGate Pro — решение операторского уровня, которое захватывает и другие рынки, с меньшим количеством пользователей.
2) Кластер — это то, что есть в системе уже десятилетия. И проверено операторами с мировым именем. 18 лет работы потрачено на то, чтобы функционал довести до совершенства.
3) Это российское ПО, которое известно во всем мире. Зарекомендовавшее себя без диких PR-компаний.
4) Импортозамещение сейчас, это не только «хитрые» схемы с покупкой софта у «прокладок». Спросите у МВД с централизованной инфраструктурой на 500К, РЖД с децентрализованной на 250К пользователей и многих других.
5) Интеграция со сторонними продуктами? Зачем, если у CommuniGate Pro все основные сервисы внутри (IP-телефония, IM, файлохранилище и т.д.)? То, чего нет внутри дополняется обвязкой, стыкуемой по протоколам, описанным в RFC. Примеров множество.
6) CommuniGate Pro у вас заработает сразу после этого: rpm -i CGatePro-Linux*.rpm

Конечно, в среде только MS продуктов у Exchange есть какие-то преимущества по интеграции. Но когда речь заходит о разношерстных средах, с «особенностями» каждого из продуктов, то мы бы сильно поспорили.
недосказал мысль, какое на этой основе предлагает решение, почему и как он его обосновывает.
Eсли под «сделать дизайн» вы понимаете выдать рез-тат работы дизайнера, то это не проверишь и за целый день.
В дизайне на мой взгляд важно получить исходные данные как можно точнее. Тот кто проектировал понимает что это все не о том сколько разных протоколов IGP существует и прочей хероте, оценивать нужно какие вопросы задает собеседуемый и какое на этой основе предлагает решение.
В траблшутинге то же самое, нужно смотреть какие вопросы задает кандидат, смог ли собрать максимальные сведения и «описать проблему», наксолько он последовательный, гадает или же делает нормальный step-by-step траблшутинг, ИТД.
Я подымал, администрировал и периодически привлекаюсь к администрированию Zimbra. У Zimbra замечательные возможности масштабирования и распределённости. Я подымал распределённую систему серверов из 2 штук. Один был в европе, другой был в китае. В моём случае был главный в европе сервер, который рулил и вторым сервером в китае. Когда возникали проблемы с китайскими отправками из китая, можно было легко сказать серверу слать всё через европу, и наоборот. Если вы считаете что это не нужно, то могу сказать, что в случае с китаем, можно постоянно ловить нежданчики, ответ на которые не знает провайдер их местный, или не хочет говорить, а на просьбу сделать PTR запись, они спрашивали — А что это?

А можно сделать, чтобы сервера были равнозначными. И менять конфигурацию из любого места. Вот с дублированием хранилища данных я не разбирался.
Самая большая жопа для админа, когда вам нужно будет делать Backup или переносить ящики (в смысле хранилще почты ящика), то тут в бесплатной версии нет вам помощи и вы извращаетесь, как хотите.

Под капотом конфигурация всё рулится LDAP'ом.

Если нужно довлкючить ещё один сервер в каком-то новом регионе, то это легко делается.
Если вы хотите расслоить SMTP-сервер, хранилище, веб-клиент — это тоже пожалуйста.
У меня было два веб-интерфейса и в китае и в европе. А клиенты (почтовые) были во Владивостоке, в Китае и Москве. Так вот я мог с любого интерфейса попасть и на почтовый ящик расположенный в китае, и на почтовый ящик в Европе.
За три года я не ловил никаких неизведанных проблем, которые бы требовали вскрывать капот. Все проблемы были с Китаем, разработчиками нашими, которые успешно срали на неизведанные номера и до последнего не сознавались.

Кстати! Очень гениальное решение одного сотрудника в Китае. Приложение на 1С слало через Zimbra клиентам уведомления. В карточке клиента в 1С нельзя было оставить пустым поле почты, и нельзя было отключить рассылку. Поэтом сотрудник реши эту проблему исправлением почты на несуществующую. И вот такое говно копилось в почтовой очереди и ни одна собака не сознавалась. Потом это как-то выяснили уже после моего увольнения.

Полтора года уже работает без пристального внимания администратора. Кроме меня никто в него не лез — боялись, начальник IT отдела наш ящики там заводит только, ну и иногда ворота меняет, когда в китае фигня с сетью творится.

Если у вас многофилиальная, территориально распределённая организация, то лучшего, бесплатного и удобного (на сколько это возможно) решения вам не найти. Exchange с многофилиальной структурой и с хорошей отказоустойчивостью и независимостью офисов, вам встанет о-о-о-о-очень дорого! В Zimbra это всё расковыривается даже по их безобразным инструкциям, если есть понимание о SMTP, IMAP, LDAP, DNS, Proxy.
Касаемо прожёрливости Java — скажите, какие минимальные требования к системе у Exchange? — Zimbra легко уложится в эти рамки.

Если вы захотите платную Zimbra, то купите Exchange. Вам её даже продать не смогут здесь в России. Когда я задавал вопрос о покупке пару лет назад, мне ни один интегратор Российский не ответил на письмо, а ответили из Европейского офиса. Не стоит расчитывать с Zimbra хоть на сколько-нибудь адекватную поддержку и сопровождение со стороны интеграторов. Только если вы Linux'ятник извращенец, который не совсем оторван от жизни, чтобы подымать всё на голых Postfix, Dovecot, LDAP, CalDav, CardDav, то Zimbra ваш вариант.

Я начинал с Book of Postfix — считаю эту книжку достаточной для целостного понимания, как устроена почта.