Вне зависимости от масштаба вашей организации и используемого оборудования, периодически возникают различные неполадки. То доступ к сети прерывается, то одна из систем дает сбой, то случается что-то еще. Естественно, при обнаружении проблемы, ответственные сотрудники принимают все возможные меры для скорейшего восстановления работоспособности.

После восстановления проводится анализ причин произошедшего инцидента и разрабатываются меры для предотвращения подобных ситуаций в будущем. Все это можно охарактеризовать как «Процесс управления инцидентами».

Как правило, в компаниях применяется один из подходов к реагированию на инциденты:

Стартап или небольшая фирма.

В случае любых проблем и аварий, все сотрудники обращаются к конкретному специалисту. Он, в свою очередь, анализирует обстановку и решает возникшие вопросы.

Средний бизнес

Более крупная компания, где поддержка ИТ-инфраструктуры осуществляется несколькими сотрудниками или даже отделами. В подобных ситуациях часто создаются общие чаты в мессенджерах, где все возникшие инциденты обсуждаются коллегиально. Сотрудник, обнаруживший проблему в своей зоне ответственности, предоставляет коллегам подробную информацию об инциденте и делится субъективной оценкой времени, необходимого для восстановления.

Крупный бизнес

В крупных организациях для урегулирования инцидентов выстраивается полноценный процесс. На постоянной основе осуществляется мониторинг всех критически важных систем. Специалисты отдела мониторинга и реагирования в случае возникновения инцидента немедленно организуют аварийную конференцию и приглашают соответствующих специалистов. После устранения инцидента фиксируется предполагаемая причина и данные направляются в специальную комиссию. Кроме того, с определенной периодичностью проводятся заседания комиссии по разбору инцидентов, где каждый случай тщательно анализируется. Выявляются причины инцидентов, разрабатываются меры для их предотвращения и определяются ответственные за их реализацию сотрудники.

И хотя все это звучит современно и технологично, нюансы кроются в деталях…

Давайте более подробно рассмотрим последний вариант с процессом и комиссией, которая занимается анализом инцидентов, учитывая, что все участники процесса — люди.

Комиссия по авариям

В ее состав входят уважаемые сотрудники, занимающие соответствующие должности. Они по праву занимают эти посты и обладают широким кругозором, знаниями и опытом. Однако, очевидно, что они не могут знать все. И не всегда им может хватить компетенции для вынесения корректного суждения. Например, они обладают значительным опытом в области системного администрирования серверов, но проблема возникла в сетевой среде, в протоколах динамической маршрутизации, о которых они только читали или слышали.

С другой стороны, их роль подразумевает принятие решения, даже при недостаточном уровне знаний в конкретной области.

И третий аспект: морально-психологический. Большинство людей, занимающих руководящие должности, подсознательно боятся потерять лицо и публично признать, что не разбираются в вопросе.

Со временем вырабатывается стандартный алгоритм поведения членов комиссии по разбору инцидентов. Анализ любого инцидента должен дать им ответы на два вопроса: кто виноват и что делать?

Инженеры

Теперь посмотрим на этот процесс глазами ответственного сотрудника. Во время инцидента он оперативно отреагировал на проблему, устранил ее последствия и восстановил работу своей системы.

Он молодец?

Да, безусловно. Но практически сразу после инцидента к нему обращается коллега или руководитель с просьбой подготовить отчет, в котором подробно описывается случившееся. Естественно, с указанием точного времени, всех деталей и в соответствии с установленной формой.

Даже если все причины известны и понятны, оформление их на бумаге требует времени и усилий. А если окажется, что сбой произошел после действия самого сотрудника? А он тоже человек. И он не хочет чувствовать себя виноватым. Поэтому вместо решения текущих задач он начинает думать, как представить факты так, чтобы избежать ответственности.

Чем крупнее организация, тем более формализован данный процесс и тем сильнее может сложиться впечатление, что все эти отчеты и разборы являются частью системы наказания сотрудника за факт возникновения инцидента.

Кто больше всего страдает от подобного подхода?

Примем за данность, что люди совершают ошибки.

ИТ-специалисты, отвечающие за поддержание инфраструктуры в рабочем состоянии, не исключение. Предположим, что специалист ошибается в одном случае из тысячи операций. И простая опечатка в процессе настройки какого-либо оборудования может и вовсе не повлиять на работу системы. Например, если инженер ошибся в поле description. И с такой же вероятностью опечатка в конфигурации может привести к потере доступности важного для компании ресурса или даже всей инфраструктуры.

В любом случае, чем больше специалист выполняет операций, тем больше ошибок он совершает. Другими словами, тот, кто больше работает, больше и ошибается, и, следовательно, больше страдает от подобного отношения к инцидентам.

Получается, что процесс, созданный для борьбы с инцидентами, в некоторых случаях начинает давать обратный эффект:

• во-первых, тратит больше времени сотрудников, отвлекая их от решения повседневных задач и увеличивая риск возникновения инцидентов.
• во-вторых, косвенно наказывает тех, кто работает больше всех.

Не правда ли, это не совсем правильно?

Критикуешь? Предлагай!

В первую очередь, при любом из подходов к управлению инцидентами, я советую не искать виновных. Все без исключения участники процесса: пользователи, специалисты, руководители и даже владельцы компании, вместо поиска виновных, должны быть сосредоточены на быстром выявлении причин возникновения инцидентов и их последующем устранении. Это возможно только в том случае, если все будут уверены в том, что за правду им ничего не будет.

Другими словами, при любом инциденте необходимо задавать вопрос: «Что и кто делал последним?» И на него каждый специалист должен честно и без промедления отвечать: «Ничего не делал» или «Сделал то-то и там-то». Если инцидент вызван человеческим фактором, это позволит в разы сократить время на его устранение. Если взглянуть на ситуацию глубже, можно сказать, что у специалиста есть право, вернее Привилегия на ошибку.

Посудите сами. Если его будут ругать за любые промахи, сбои и простои, то естественной реакцией будет вообще не трогать систему. Следовательно, он не до конца будет понимать ее возможности и ограничения. А значит, потребуется больше времени на реагирование в случае отказа системы.

Опытный специалист не боится совершать ошибки. Через них он получает ценный опыт и понимание сильных и слабых сторон системы в целом.

Вместе с тем, опытный специалист ни на минуту не забывает об ответственности и доверии, которые на него возложены. Ведь его действия напрямую влияют на доступность вверенных ему систем и сервисов, а значит, и на бизнес в целом.

Девизом специалиста должна стать фраза: «Сломал? Почини!»

Помните об ответственности

Каждый специалист должен знать, что за единичный инцидент, вызванный именно его действиями, не последует никакого наказания. Однако все будут ожидать от него активного участия в разборе причин.

В случае повторного инцидента следует рассмотреть вопрос об изменении ИТ-процесса в компании, который, возможно, приводит к ошибкам, связанным с человеческим фактором.

И только при третьем повторении одного и того же инцидента с участием одного и того же специалиста стоит рассматривать вопрос о каких-либо мерах.

Подводя итог всему вышесказанному:

• Не ищите виновных, это в конечном итоге приведет к увеличению числа инцидентов или времени на их устранение. А, следовательно, к прямым убыткам компании.
• Вместо этого старайтесь максимально сократить время на поиск причин инцидентов.
• Если система не работает, никто ничего не делал и непонятно, что с ней делать, просто перезагрузите ее.

Системы мониторинга – это, безусловно, полезный и важный инструмент. Все осознают их необходимость. Однако, у большинства организаций внедрение таких систем сопряжено с трудностями. Нередко случается так, что инженеры тратят основное время на поддержание работоспособности самой системы мониторинга, вместо того, чтобы она помогала им в решении задач.

Поделюсь личным опытом, который, вероятно, поможет многим лучше осознать проблему, . 

Мониторинг «как обычно»

Итак, руководство приходит к выводу о критической важности системы мониторинга и ставит задачу её внедрения. Инженеру, занятому своими непосредственными обязанностями, например, настройкой сетей, поручают «развернуть систему мониторинга». Как это сделать, зачастую никто не знает, поскольку это первый опыт в данной области. Допустим, у компании есть сотня удаленных филиалов, и необходимо контролировать доступность каналов связи с каждым из них. В такой ситуации начинается поиск бесплатных решений, изучение доступных вариантов и выбор одного из них.

Как правило, предпочтение отдается максимально простому решению, основанному на проверке доступности конечных точек с помощью ping. После установки и настройки, затратив значительное время, ожидается немедленный результат. Однако, система начинает выдавать ложные срабатывания. Например, в удаленном филиале есть основной и резервный каналы связи, и система мониторинга отслеживает оба из них. Инженер получает уведомление о проблемах с каналом, проверяет доступность, но обнаруживает, что все работает нормально. Система мониторинга сработала ложно. Несмотря на случаи с реальными проблемами, большинство срабатываний оказываются ложными. В результате, система мониторинга, вместо помощи, лишь рассеивает внимание и приводит к тому, что ей начинают пренебрегать.

Рассмотрим другой сценарий. Помимо удаленных точек и каналов связи, в центральном офисе также имеется важное оборудование, которое необходимо контролировать. Настраивается мониторинг доступности устройств и их параметров. Однако, при возникновении реальной аварии в центральном офисе, особенно если она затрагивает сетевое оборудование, система мониторинга оказывается бесполезной. Как она может передать информацию, если корневое оборудование инфраструктуры вышло из строя? Скорее всего, о проблеме сообщат по телефону или криком: «Все сломалось, беги чинить!». После устранения неисправности система мониторинга включится и завалит почту тысячами сообщений о случившемся. Очень своевременно, не правда ли?

Предположим, компания осознала необходимость более продвинутой системы мониторинга и выбрала решение с поддержкой SNMP. Этот протокол позволяет устройствам отправлять данные о своем состоянии, такие как загрузка процессора, использование памяти, состояние сетевых интерфейсов, в централизованный коллектор. После установки и настройки системы, не являясь специалистом в этой области, выясняется, что каждое устройство в сети постоянно сообщает о каких-либо проблемах. Например, у одного устройства постоянно высокая загрузка процессора, у другого – нехватка памяти. В целом, такое состояние может быть нормальным для конкретного устройства. Однако, система мониторинга постоянно сообщает о проблемах, требуя постоянного внимания и проверки. В результате, возникает то же самое: нежелание реагировать на постоянные ложные сообщения и стремление получать только достоверную информацию о реальных проблемах. В конечном итоге, системе мониторинга уделяется меньше внимания, чем следовало бы.

И последний сценарий. Предположим, настройка системы мониторинга увлекла, и все настроено идеально. Данные отправляются корректно, ложные срабатывания сведены к минимуму. Но авария происходит в нерабочее время. Что делать? Если настроены уведомления на внешние каналы связи, то сообщение об аварии будет получено дома. Но стоит ли ехать на работу среди ночи? Если же уведомления не настроены, то о проблеме станет известно только утром, что может привести к потере времени и несвоевременному реагированию.

Мониторинг. Успешные кейсы.

В качестве конструктивного предложения, поделюсь опытом, полученным от профессионала в области мониторинга. Он рассказал о нескольких успешных кейсах использования системы мониторинга во благо.

Первый кейс – мониторинг маршрутизатора в удаленном офисе, выполняющего роль шлюза для внутренних сетей и имеющего внешние каналы связи. Простое отслеживание внешних интерфейсов не позволяет определить выход из строя всего маршрутизатора. Мониторинг внутренних интерфейсов также не дает полной картины, поскольку их можно случайно или намеренно вывести из строя. Контроль загрузки процессора или памяти может не указывать на аварию, а отражать нормальную работу устройства. Что же делать? Решением является корреляция событий. В каждом офисе есть набор статических инфраструктурных сервисов: принт-сервер, файловый сервер, DNS-сервер, почтовый сервер. Современные системы мониторинга позволяют связывать события, то есть, для определения неисправности маршрутизатора необходимо отслеживать выход из строя всех этих сервисов за короткий промежуток времени, например, за 15 секунд. В совокупности с мониторингом каналов связи, это дает основания для привлечения инженера и подозрения на выход из строя маршрутизатора.

Второй кейс — один из самых показательных примеров, демонстрирующих ценность систем мониторинга даже с точки зрения финансовой выгоды для компании. Мне рассказывал об этом человек, работавший в банковской сфере. Как известно, банки обладают разветвленной сетью офисов обслуживания, банкоматов и прочих удаленных точек, которые подключены к центральному офису через каналы связи.

Эти каналы связи обычно приобретаются у крупного оператора, способного обеспечить покрытие необходимой территории, и закрепляются договором. В договоре прописывается SLA (соглашение об уровне сервиса), гарантирующее бесперебойную работу каналов связи в режиме 24/7. Все стороны согласны, договор подписан, связь обеспечена.

Однако, учитывая масштаб сети, у оператора связи периодически возникают проблемы, приводящие к сбоям и отключениям каналов. Здесь и проявляется эффективность системы мониторинга. В первую очередь, система в автоматическом режиме формировала заявку оператору при обнаружении обрыва связи. Эта заявка, содержащая номер договора, информацию о точке сбоя, времени и другие параметры, отправлялась дежурному инженеру, которому оставалось лишь подтвердить и отправить ее по электронной почте на адрес технической поддержки оператора связи..

Во-вторых, система мониторинга вела статистику по всем заявкам и формировала ежемесячный отчет, отражающий общее время простоя каналов связи и детали по каждому инциденту. Это позволяло компании существенно экономить средства за счет штрафов за несоблюдение SLA. Таким образом, создавалась взаимовыгодная ситуация: при отсутствии сбоев оператор связи добросовестно выполнял свои обязательства, а в противном случае банк получал компенсацию за нарушение условий договора.

Послесловие

Внедрение системы мониторинга – задача комплексная и ответственная, требующая не только специализированных знаний, но и понимания бизнес-процессов компании. Поэтому нецелесообразно поручать ее настройку инженерам, занятым другими задачами.

Для эффективной работы системы необходим выделенный специалист, занимающийся ее настройкой, оптимизацией и мониторингом. Кроме того, требуются сотрудники, оперативно реагирующие на возникающие инциденты – дежурная смена или специально обученные специалисты. При комплексном подходе система мониторинга станет незаменимым инструментом для компании, значительно упростив работу инженеров и повысив эффективность бизнеса.

Поговорим о самом интересном — зарплатах современных ИТ специалистов. Естественно, указанные ставки — не догма, а примерный ориентир.

Младший сетевой инженер или просто сетевой инженер.

• Изучил основы сетевых технологий.
• Знает что такое маршрутизация, как работают коммутаторы.
• Слышал про межсетевые экраны.
• Имеет базовый кругозор про существующие ИТ системы, серверы, виртуализацию — на уровне «прочитал пару статей в википедии или подобных ресурсах».

С таким багажом знаний, отсутствием опыта, но присутствием большого желания он приходит на собеседование и после успешного его прохождения начинает работать на позиции с оплатой 60-100 тыс. руб. в месяц.

На новой работе он занимается простыми рутинными задачами: настройкой оборудования по готовому шаблону, проверкой причин выхода из строя каналов связи, выполнением заявок на предоставление доступа. Занимается прочими рутинными задачами. Параллельно, благодаря постоянной практике и работе с оборудованием, он гораздо более глубоко погружается как в теоретические вопросы работы тех или иных технологий, так и зарабатывая опыт взаимодействия с имеющимся в компании сетевым оборудованием.

Так он трудится примерно 2-3 года, получая бесценный опыт и знания, после чего начинает претендовать на позиция старшего сетевого инженера.

Старший сетевой инженер

Эта позиция приносит инженеру 100-150 тыс. руб. в месяц. Она включает в себя все те же обязанности , что и у младшего сетевого инженера, однако специалист на этом уровне направляется на решение особо важных или сложных рутинных задач.

Его руководство так или иначе иногда начинает поручать ему какие-то новые уникальные задачи, для которых еще не существует шаблонов или регламентов в организации.

Например, есть 10 офисов и с каждым строится VPN тоннель. В каждом офисе используется одно и то же оборудование одного и того же производителя. Но внезапно появился новый офис, с которой нужно сделать такой же VPN тоннель, но так оказалось, что туда купили оборудование того же класса, но другого производителя. Нужно настроить VPN туннель с ним.

С виду — это такая же задача, которую специалист уже решал. Но использование нового неизвестного специалисту оборудования добавляет сложности.

Кроме того инженер, не будь дураком, все это время параллельно продолжает все глубже изучать теорию по сетевым технологиям, а также развивает свой кругозор.

А что значит «развивать кругозор»? звучит сложно и непонятно. Однако, в современном мире огромное количество уже существующих технологий и не меньше тех, которые только появляются. Так или иначе мы постоянно слышим какие-то новые слова и термины. Так вот для развития кругозора достаточно всего лишь каждый раз, когда услышите какой-то новый термин, то  запишите его себе в блокнот, а в конце дня просто поищите в интернете по запросу “что это вообще за термин и технология”. Причем необязательно это будет что-то новое про сети пусть вас заинтересует виртуализация, базы данных да хоть даже что-то новое про языки программирования,. Уверяю вас, что если каждый день читать по одной небольшой статье, за год наберется очень солидный багаж знаний, который поможет в любой сфере деятельности.

Возвращаясь к зарплатам ИТ специалистов мы видим картину, что этот самый старший сетевой инженер имеет за плечами 5-6 дет работы, отличные практические навыки по настройке оборудования, багаж теоретических знаний и вполне себе приличный кругозор в мире ИТ технологий.  Со всем этим он готов претендовать на позицию «Ведущий инженер» со ставкой 200-300 тыс. руб. в месяц

Ведущий инженер

Таким инженерам уже не нужны шаблоны. Они четко знают как все устроено, как оптимальнее настроить то или иное оборудование, да и в целом понимают как оптимизировать ту или иную область своей работы.

На этой должности инженер начинает решать все больше новых нестандартных задач, большинство из которых сводятся к двум направлениям:

• каким образом изменить существующую сеть, чтобы та отвечала новым задачам, требованиям и условиям
• как в существующую сеть внедрить новые устройства таким образом, чтобы они выполняли свои функции, но, при этом, не повредили существующей инфраструктуре компании Так называемая интеграция новых технологий

Сюда можно отнести :

• замену старого оборудования на новое или более мощное
• Установку новых систем, аналога которых еще не было в организации
• Комплексное изменение самой схемы сети
• Прочие интересные задачи и вызовы.

Здесь уже ваш кругозор начинает развиваться практически без вашего на то согласия. Каждая задача — новый вызов. Новое оборудование, новые интеграции в существующую сеть и прочие интереснейшие аспекты.

Следующие несколько лет на этой позиции делают из вас настоящего профессионала, знающего свое дело! и готового выжимать максимум из имеющегося оборудования, принося пользу компании.

Главный инженер, Архитектор и Руководитель проектов

Примерно через 5-7 лет карьеры перед уже ставшим настоящим профессионалом инженером встает выбор из трех векторов, по которым он может идти дальше. Каждая из позиция одинаково позволит получать от 250 до 350 тыс.руб. в месяц, однако, в зависимости от выбранного пути, будет меняться роль, которую будет играть инженер.

Если специалист работает в относительно малой компании с небольшим количеством сотрудников, то его должность будет включать в себя все три этих роли. Однако, если это крупная организация, то скорее всего это будут уже три отдельных должность. Инженер может стать Главным инженером, Архитектором или руководителем проектов.

Главный инженер — это прямой путь развития, подразумевающий концентрацию сил и опыта на поддержке и сопровождении уже существующей сети. Через такого инженера проходят все новые проекты и внедрения. Именно он отвечает за то, чтобы все работало штатно, а любые технические неполадки или трудности решались максимально быстро. Обычно эту позицию занимают люди с ярко выраженными техническими навыками, памятью, знаниями и практическим опытом. Часто они не очень любят лишнее общение. Им гораздо интереснее возиться с оборудованием и извлекать из него максимум.

Сетевой архитектор очередь отвечает наоборот за развитие сети. Это инженер с хорошей фантазией, творческой жилкой и стратегическим мышлением. Он постоянно в тренде, старается изучить новое оборудование и технологии, которые появляются на рынке. Его основная задача — проектировать новые участки сети, активно участвовать в интеграциях новых продуктов, составлять схемы для работы систем и так далее

Эта роль предполагает гораздо больше общения с коллегами, причем даже теми, кто не очень понимает технические вопросы. Сетевому архитектору необходимо осознать существующие задачи, изучить все доступные на текущий момент технические решения, после чего выбрать самое эффективное. После этого проработать все теоретические вопросы и совместно с командой внедрения реализовывать задуманное, отвечая за конечный успех.

Руководитель проектов. Это человек с внушительным кругозором и имеющим опыт по направлению, которым он занимается. Это наименее “техническая” роль на этой позиции, однако не менее важная. Именно этот специалист должен связывать воедино все имеющиеся точки зрения: руководителя, который ставит задачу, сетевого архитектора, который предлагает тот или иной путь выполнения, и главного инженера вместе с коллегами, которым предстоит настраивать и сопровождать оборудование. Руководитель проекта должен найти общий язык со всеми и постоянно синхронизировать действия участников процесса. На этой позиции хорошо себя чувствуют коммуникабельные активные люди, которым менее интересны технические детали и гораздо больше по нраву организационная работа.

Если же брать не сетевое направление, а, к примеру, рассмотреть системного инженера, то порядок зарплат и примерный функционал будет абсолютно таким же. Меняться будут только конкретные задачи и нюансы, связанные именно с выбранным направлением. 

Информационная безопасность ИТ инфраструктуры / NGFW

Межсетевой экран (firewall) — это устройство безопасности, которое создано для разграничения доступа и контроля сетевого трафика. Работает на3 и 4 уровнях модели OSI, анализируя ip адреса и порты источника и назначения в проходящем через него трафике. Для ряда протоколов анализирует состояние установленных сессий. Эта технология называется stateful inspection.

NGFW — Next Generation FireWall.  Развитие технологий привело к тому, что у производителей оборудования появилась возможность объединить несколько устройств безопасности в одно. В качестве базы взят обычный межсетевой экран, а к нему в виде виртуальных модулей добавлены дополнительные возможности, например модуль IPS — Intrusion Prevention System.

Также используя модуль Application Control.позволяет контролировать трафик на 7 уровне модели OSI, указывая в правилах доступа не протокол и порт (4 уровень OSI), а конкретное приложение (7 уровень OSI). Например в обычном межсетевом экране для разрешения SSH трафика необходимо открыть TCP 22. Но ведь какой-то сервер или служба могут работать по протоколу SSH, но использовать нестандартный порт. Например 10022 (или любой другой). Это может быть сделано как разработчиком для каких-то целей, так и использоваться злоумышленниками, которые пытаются замаскировать свою активность. NGFW с наличием модуля App Control позволит указать в правиле доступа именно протокол SSH, после чего устройство будет регулировать такой тип трафика несмотря на порт TCP. Удобно и безопасно.

Чем отличается роутер от межсетевого экрана и NGFW

Основные средства защиты информации (СЗИ) для защиты ИТ инфраструктуры:

SIEM (Security information and event management)

Cистема управления событиями безопасности

На основе анализа логов, поступающих от контроллеров домена, рабочих станций, серверов, сетевых устройств, серверов, баз данных и иных систем обнаруживает события информационной безопасности в реальном времени.

NGFW (Next Generation Firewall)

Межсетевые экраны (нового поколения)

Позволяют контролировать сетевой трафик, предоставлять права сетевого доступа для пользователей и ресурсов, а также контролировать и защищать проходящий через них трафик.

WAF (Web Application Firewall)

Система защиты веб приложений

Дополнительный уровень защиты для веб приложений. Работает по принципу реверс прокси сервера — выдает себя за приложение для клиента и от своего имени запрашивает данные с целевого сервера. Анализирует поступающие запросы на уровне протокола HTTP, сигнализирует и/или блокирует вредоносные запросы и активность.

AVP (Antivirus Protection)

Система антивирусной защиты

Обеспечивает защиту от проникновения известных вредоносных программ. Позволяет обнаружить и уничтожить вредоносные программы.

DLP (Data Leak Prevention)

Система предотвращения утечек данных

Обычно представляет собой взаимосвязь между центральным сервером управления и установленнми агентами на целевых устройствах (рабочие станции, серверы). Система анализирует весь поток данных на рабочей станции и мгновенно блокирует любую передачу данных при обнаружении утечки.

Контролирует доступ по сети (email, ftp, соц. сети…), доступ на физические носители (USB, CS, DVD, Bluetoth…), а также все действия, которые совершает пользователь. Часто имеет возможность записывать звук микрофона, делать снимки экрана и фиксировать иные действия подконтрольных рабочих станций.

Vulnerability scanner

Сканнер уязвимостей

Это система позволяет проанализировать имеющуюся ИТ инфраструктуру на наличие известных уязвимостей. Помимо аудита и выявления проблем также часто может предложить пути по их устранению

Существует 2 базовых подхода к сканированию:

WhiteBox. Сканнер располагается внутри инфраструктуры и проводит анализ, заранее «зная» что именно анализируется будь то сеть, система, приложение или иной ресурс. Сканирование проводится без учета имеющихся средств защиты. Подход позволяет полностью исследовать объект. Минус в том, что такой анализ гораздо менее приближен к реальной среде и тому, как исследуемый ресурс представляется для потенциального злоумышленника

BlackBox. Сканнер проводит сканирование извне и «видит» целевой ресурс также, как и потенциальный злоумышленник. Соответственно, в итоговом отчете будет отражена картина не по цели сканирования, а по всей инфраструктуре, включая все имеющиеся средства защиты.
Например, при сканировании веб сервера извне при таком подходе сканнеру будут доступны только те порты, которые открыты на межсетевом экране, а часть уязвимостей может быть отражена средствами WAF, защищающего этот сервер.

Резюме

Любой поиск работы начинается с резюме. А главная задача на этом этапе — сообщить с его помощью вашему будущему руководителю полную информацию о вас максимально полно, при этом четко и емко.

Самое важное на этом этапе не впасть в соблазн и написать «Что я ДЕЛАЛ». Вместо этого написать «Что СДЕЛАЛ»

Плохой пример:

• Настройка коммутаторов Cisco
• Настройка маршрутизаторов
• Настройка Firewall

Хороший пример

• Отвечал за поддержку локальной офисной сети, построенной на коммутаторах Cisco. Занимался поддержкой существующей инфраструктуры, установкой нового оборудования и заменой вышедших из строя устройств.
• Занимался настройкой маршрутизаторов Cisco, обеспечивая стабильность подключений удаленных офисов к центральному офису по технологии VPN.
• Отвечал за предоставления сетевого доступа по заявкам путем добавления правил на Firewall компании.
• Участвовал в проекте по миграции с оборудования одного производителя на более современные модели оборудования другого производителя. Отвечал за перенос и дальнейшую корректировку конфигурации.

Прочитав ваше резюме, ваш потенциальный будущий начальник должен понять чем вы занимались ранее и какой опыт имеете.

не нужно писать много. Не нужно писать мало. Напишите о себе и своих навыках кратко, но емко.

Расскажите о себе?

И вот, ваше резюме заметили и пригласили вас на собеседование.

После короткого приветствия вас попросят рассказать о своем прошлом опыте работы в других компаниях Будьте готовы уложить в 2-3 минуты рассказ о себе и о том, чем вы занимались на прошлом месте работы. Сильно углубляться в детали смысла нет — вас спросят о всех интересных подробностях позже. Расскажите какую должность занимали, что входило в ваши обязанности и о своих основных достижениях.

Если у вас совсем нет опыта и вы только закончили учебное заведение или курсы, то расскажите о том, что изучали. Подойдет как описание программы курсов, так и краткое содержание дипломной работы.

А знаете ли вы эту технологию?

Сразу после или даже во время вашего монолога «о себе» вас будут спрашивать о деталях, касающихся вашей деятельности, а потом плавно перейдут к теоретическим вопросам. Вас спросят про общеизвестные технологии, настройки, методы. Например:

• Что такое протокол BGP? Зачем он нужен?
• Что такое таблица маршрутизации? Какие параметры указываются для маршрутов?
• Что такое Spanning tree? Зачем он нужен?
• Чем отличается маршрутизатор от межсетевого экрана?
• Что нужно для того, чтобы построить IPSEC VPN тоннель?

Отвечайте максимально все. что знаете. Если забыли какие-то таймеры, термины или что-то подобное, то рассказывайте своими словами — это тоже покажет ваш кругозор и будет ценно.

А вдруг все-таки спросят вопрос по теме, которую я не знаю? 

Не переживайте! Точно спросят! На это есть простой и правильный ответ, который звучит примерно так: «Нет, эту тему я не знаю. Мне не приходилось работать с ней ранее. Но ОЧЕНЬ интересно будет изучить. Давно хотел!»

Помните, что 80% знаний мы получаем не когда учимся на курсах, а пока работаем и занимаемся ей повседневно.

Почему ищете работу?

После технической части вас спросят про ваше отношение к прошлой работе и карьерным целям.

Плохой ответ на подобные вопросы — рассказать о том, какие негодяи окружали вас на прошлом месте (особенно начальник) и как тяжело было с ними работать.

Хороший ответ звучит примерно так «На прошлом месте я уже сделал много хорошего и полезного. Достиг предела в развитии. Хочется расти и развиваться, но там этого сделать не получается, поэтому смотрю компании, которым могу быть полезен и рассматриваю предложения.»

Сколько денег вы хотите?

Традиционная игра на каждом собеседовании! Правила просты — кто первым озвучил сумму заработной платы, тот и проиграл.

Пример ответа: «Я, конечно же, хотел бы чем больше — тем лучше. Но понимаю, что у вас есть фиксированная ставка на эту позицию. Если я подхожу на эту вакансию, то готов рассмотреть любые ваши предложения.»

Без сомнения уместно назвать желаемую сумму самому, если вы хорошо представляете сколько стоит подобный специалист на рынке труда, но ни в коем случае не вздумайте занизить свои ожидания! Помните, что собеседование — это как раз тот момент, когда вы договариваетесь о желаемой заработной плате! Повысить ее во время работы в разы сложнее, чем даже перейти на другое место работы!

Ваша очередь спрашивать. Что вам интересно узнать?

Плохой ответ — «Ничего. У меня нет вопросов.»

Хорошие вопросы, которые должны вас интересовать:

• Какие главные задачи на этой позиции на ближайшие пол года?
• Расскажите о коллективе? Кто входит в команду и с кем нужно будет взаимодействовать?
• Какой у вас принят формат работы: уделенный: гибридный? все время в офисе?
• Часто ли бывают аварии или нужно задерживаться по рабочим вопросам?
• Предоставляется ли корпоративное оборудование для работы: ноутбук, телефон?…

Не пренебрегайте этими и другими вопросами. Спросите хотя бы пару из них «для вежливости». В любом случае это даст лично вам больше понимания об этом месте, так как выбирают в данные момент не только вас, но и вы сами.

После собеседования

Любое интервью — это стресс даже для очень опытных специалистов. После него нужно отдохнуть, а на следующий день со свежими силами проанализировать весь диалог и выявить свои сильные и слабые стороны.

Если вас спросили о какой-то технологии или функции, которую вы не знаете, то почитайте о ней в интернете для общего развития. Будет достаточно краткой статьи на Википедии или другом ресурсе для понимания ее принципов. На следующем собеседовании вы уже будете знать что ответить!

Что дальше?

Кстати о будущих собеседованиях. Не ждите ответа от этого работодателя, а сразу договаривайтесь с другими о следующих интервью. Ваша задача — пройти несколько собеседований и получить сразу несколько предложений о работе, после чего выбрать наиболее понравившееся.

Даже если вы прошли всего лишь одно собеседование и вам сразу же предложили работу, все равно постарайтесь  пообщаться еще хотя бы в одном или двух местах.Если вы думаете, что несколько собеседований проходят лишь те, имеют мало опыта и знаний, то это глубочайшее заблуждение! Наоборот, если вы прошли собеседование в компанию и вас сразу же берут,, то скорее всего вам или сказочно повезло (маловероятно) или что вы обозначили свои зарплатные ожидания гораздо меньше рыночной стоимости и вас хотят принять на меньшие деньги как можно скорее.

Не думайте лишнего о том, что «это же некрасиво…». У вас точно есть 1 или 2 недели на «подумать». используйте их с максимальной эффективностью для себя! Ориентируйтесь на количество от 3 до 10 собеседований. на каких-то не понравитесь или не подойдете вы, на каких-то вам не понравится работодатель (это будет происходить гораздо чаще, чем можно себе представить). Из оставшихся вы будете выбирать(!) к кому же пойти.

Маршрутизатор

Маршрутизатор (Router) — это устройство, созданное главным образом для передачи пакетов на основе информации об ip адресах. Его задача — получить пакет на одном из своих интерфейсов, заглянуть в таблицу маршрутизации и решить в какой интерфейс и на какой следующий шлюз отправлять трафик дальше.

Практически у каждого маршрутизатора есть базовая функция безопасности — возможность создания правил доступа — Access Control Lists (ACL).  В них нужно указать ip адреса источника, назначения, протокол и порт и пометить: разрешен ли такой трафик или запрещен. Таким образом можно регулировать сетевой трафик, ограничивая нежелательные соединения.

Важно!

Важно отметить, что логика работы ACL в маршрутизаторах похожа на трафарет, который устройство прикладывает к входящему или исходящему пакету. Если совпадение есть — пропускает трафик. Если совпадений нет — не пускает.

Например, можно сделать такое правило для какого-нибудь внешнего ip адреса сайта в сети Интернет, на котором располагаются вредоносные программы.

Однако, нужно всегда помнить, что маршрутизатор создан в первую очередь для передачи трафика, а не для его контроля. Его задача — стабильность и скорость передачи трафика.

Межсетевой экран

Межсетевой экран (firewall) — это устройство безопасности. Он создан именно для контроля трафика и обладает в своей базе гораздо большим арсеналом возможностей. Здесь также есть списки доступа и они выглядят точно также, как и маршрутизаторах — адрес источника, адрес назначения, протокол, порт и действие (разрешить или запретить). Ключевое отличие в том, что межсетевой экран для ряда протоколов анализирует состояние установленных сессий. Эта технология называется stateful inspection.

Разницу в логике работы ACL с маршрутизатором отлично можно увидеть на примере протокола TCP (HTTPS). Представим, что пользователь в корпоративной сети идет на какой-то сайт в Интернет, посылая запрос. В этот момент маршрутизатор и межсетевой экран будут действовать одинаково — получив запрос пользователя посмотрят в свои базы правил и пропустят через себя трафик.

Далее веб сервер отвечает на запрос пользователя и тут логика маршрутизатора и межсетевого экрана будет работать также одинаково — оба пропустят ответный пакет. А в чем тогда разница?

Разница будет тогда, когда злобный хакер решит попробовать взломать вашу сеть и попытается обмануть устройство, выставив себя за веб сервер. Он попробует сразу послать пакет, сделав его ответным на несуществующий запрос. Если у вас будет стоять маршрутизатор, то он обратится к своей базе правил, увидит соответствие и благополучно пропустит такой пакет, не заподозрив неладное. Дальше хакер может установить соединение с каким-то из узлов внутри сети и продолжить вершить свои темные дела.

А вот межсетевой экран, получив ответный пакет после быстрого анализа поймет, что для него не было запросов. И такой пакет пропускать не станет, Еще и в лог сделает соответствующую запись, чтобы администратор обязательно обратил внимание на такие попытки.

За возможность работы этой и других функций безопасности межсетевому экрану приходится расплачивается своей производительностью. А выводом из всего этого будет то, что оба устройства важны и нужны, только у каждого из них своя область применения. Если нужно передать большие объемы трафика, то нужен маршрутизатор.  А если нужно контролировать сетевой трафик, то не обойтись без межсетевого экрана.

NGFW

NGFW — Next Generation FireWall.  Развитие технологий привело к тому, что у производителей оборудования появилась возможность объединить несколько устройств безопасности в одно. В качестве базы взят обычный межсетевой экран, а к нему в виде виртуальных модулей добавлены дополнительные возможности, например модуль IPS — Intrusion Prevention System.

Если по-простому, то IPS — это модуль, который содержит в себе несколько тысяч заготовленных правил. Правила называются сигнатурами и каждая из них описывает набор параметров, по которым можно определить вредоносный трафик. NGFW сверяет поступающий трафик с этой базой и применяет к трафику заданные действия (разрешения, уведомления, блокировки…)

Также очень полезен модуль Application Control. Он позволяет указывать в правилах доступа не протокол и порт, а конкретное приложение. Например в обычном межсетевом экране для разрешения SSH трафика необходимо открыть TCP 22. Но ведь какой-то сервер или служба могут работать по протоколу SSH, но использовать нестандартный порт. Например 10022 (или любой другой). Это может быть сделано как разработчиком для каких-то целей, так и использоваться злоумышленниками, которые пытаются замаскировать свою активность. NGFW с наличием модуля App Control позволит указать в правиле доступа именно протокол SSH, после чего устройство будет регулировать такой тип трафика несмотря на порт TCP. Удобно и безопасно.

Модуль Network Antivirus — позволяет проводить антивирусную проверку для проходящих через устройство файлов.

Модуль URL filtering — позволяет открыть доступ в Интернет на определенные категории сайтов. Например разрешить пользователям читать новости, пользоваться поисковыми системами и онлайн магазинами, при этом запретить контент для взрослых, запрещенные вещества и другие непотребства.

Модуль SSL Inspection — позволяет расшифровывать SSL (HTTPS) трафик с целью поиска уязвимостей и вредоносной активности. NGFW получает запрос от пользователя на доступ к веб ресурсу в интернете, расшифровывает его и отправляет дальше от своего имени. Без этого модуля NGFW не может заглянуть внутрь такого трафика, так как передаваемые данные зашифрованы.

Читайте другие статьи о сетях В стиле Deltaconfig 

Наш канал в Telegram

Основная задача коммутатора — объединить устройства в единую сеть. Он передает данные, полученные на один из своих интерфейсов в другой на основе информации о MAC адресах источника и назначения, содержащейся в передаваемом фрейме.

В основе их логики лежит Таблица коммутации. Как только в сети появляется новый хост и пробует передать любую информацию, коммутатор фиксирует, что на одном из его интерфейсов появился новый MAC адрес. Он заносит эти данные вида:

Когда этот вновь появившийся хост пытается обратиться к какому-то MAC адресу, например соседнего хоста, коммутатор анализирует информацию о MAC адресе назначения и смотрит, есть ли таковой в его таблице коммутации. Как только нашлось соответствие, то дальше дело за малым — коммутатору остается только передать ее из одного интерфейса в другой.

Если же он не найдет соответствия, то попытается отправить фрейм сразу по всем своим интерфейсам. Если целевой хост назначения «живой», то он обязательно ответит на такой запрос. А коммутатор, увидев ответ от еще одного MAC адреса, занесет данные в таблицу коммутации и далее при сетевом взаимодействии этих двух хостов будет просто пересылать данные из одного интерфейса в другой.

Срок жизни данных в таблицах коммутации обычно составляют 5 минут. Если оба устройства перестанут отправлять и получать информацию друг от друга, то постепенно данные о их MAC адресах исчезнут из таблицы. Процесс повторится вновь как только хостам снова потребуется что-то передать друг другу.

Читайте другие статьи о сетях В стиле Deltaconfig 

Наш канал в Telegram