Archiv pro štítek: firewall

Řešení Hotel stack platform

hotel-rack-stack-hotel-logo-720  Hotel stack platforma


Co je to hotel stack ?

Hotelové prostředí v moderním pojetí dnes reprezentuje komplexní, živý a náročný „organismus“, dobře naladěný hotel poznáte během okamžiku, orchestrování hotelů dnes představuje manažerský kolotoč a bez kvalitního informačního zázemí se nelze obejít.

Jaká je však skutečnost technologického zázemí dnešních hotelů ?

Z naší praxe za 20 let pohybu v hotelovém segmentu musíme bohužel konstatovat, že zcela tristní !

Staré dosluhující systémy, bez podpory aktualizace software, často zcela bez zálohovacích nástrojů pro ochranu dat, hardware prvky za morální životností netrpělivě čekající na „křemíkové nebe“, v provozu často dva i více fyzických serverů, každý s využitím na zátěže  ~10%, energetická efektivita škoda mluvit a pravidelný restart 1x denně/týdně je dobrý standart. A co sítě ? Zde začíná teprve velmi slušný cirkus, plochá LAN, chaoticky vyzařující a vzájemně se rušící hotelové wifi, často sporadicky fungující wifi pro hosty, vouchery?, tickety? sms platby? haló je rok 2016, bezpečnost hotelové sítě, firewall, VPN, propojení lokalit, nic, nic, jen sprostá slova a VoIP, magie, která v komerčním prostředí funguje zcela spolehlivě, jen hotely mají 20+ staré ústředny, čest jejich památce, proč když začít je tak snadné.

Zní vám to povědomě ?

Proč hotel stack ?

Platforma hotel stack představuje naši evoluční odpověď na konsolidaci IT prostředí hotelových provozů, ucelená modulární platforma odbavující veškeré služby hotelu od datové konektivity pomocí metalických i optických sítí, bezpečnostní firewall s VPN, řešení pro výkonné bezdrátové sítě s centrálním řízením wireless controllerem, nástroje pro virtualizaci serverů a hotelového software, integrovanou moderní VoIP ústřednu s tarifikací a okamžitému nasazení, systém zálohování a obnovy dat, dohledový kamerový systém s podporou IP kamer, vše doručováno při vysoké efektivitě, modulárnosti, energetické úspoře a chráněno záložním zdrojem UPS s přepěťovou ochranou.

hotel-rack-stack-140-orig-2016

 

hotel-stack-icon-router-2016   Hotel stack Router, Switch

  • LAN, WAN, VPN, Wifi, IPTV podpora, PoE (volitelně)
  • Firewall, bezpečnost, VLAN, oddělení sítí
  • Propojení lokalit do jedné sítě (virtual private network, VPN)
  • Podpora záložního připojení k internetu
  • WIFI controller (komplexní hotelové wifi řešení)
  • Statistiky, www filtrování obsahu, reporting aktivit zaměstnanců

hotel-stack-icon-virtual-server-2016   Hotel stack virtual server

Virtualizace serverů a  operačních systémů přináší efektivní využití Vašich hardware prostředků , k čemu mít 5x fyzický server a každý využívat každý na 20%, když je možné jedno železo a vytížit ho plně, úspory značné v pořízení i provozu.

Reálná agregace z praxe je až 10x virtuálních strojů na 1x fyzický server.
Virtualizační technologie VMware server/KVM.
Možnost přechodu do cloud prostředí datacentra !
Nechcete udržovat vůbec vlastní serveru fyzický server?
Lze hostovat virtuální servery v našem datacentru.
Nabídka: 4x CPU, 16GB RAM, 300GB HDD SSD, Windows 2012R2
Cena:    1650Kč / měsíčně

Používáme výhradně certifikované servery Dell, IBM, Supermicro, Thomas Krenn, redundantní komponenty, RAID pole.

Podporujeme operační systémy:

  • Microsoft Windows
  • Linux
  • FreeBSD

Podpora pro hotelový software dodavatelů:

  • Agnis
  • Fidelio
  • Deneb
  • Abra
  • GUBI komplexní systém
  • Hores, ALTO
  • Medicus, Septim

Připravené scénáře k okamžitému nasazení na „jedno kliknutí“:

  • ZDARMA!
  • Konfigurace domény pro počítače (uživatelé, skupiny, zásady)
  • Sdílení souborů (CIFS)
  • Poštovní server (email, kalendář, kontakty, synchronizace, webmail, antispam)
  • DNS, NTP

hotel-stack-icon-voip-phone-2016   Hotel stack VoIP

Moderní VoIP ústředna, levné hovory do celého světa.

  • přesměrování hovorů, konferenční hovory, nahrávání hovorů
  • digitální recepční, hlasové schránky
  • podpora tarifikace (rozúčtování hotelovým hostům)
  • podpora pro vrátníky (intercom),  dálkové spínání
  • analogové brány (FXS/FXO), GSM brány
  • hotelové služby, programování modulů na zákázku (moduly úklid hotelu, buzení, objednávka služeb, digitální asistent)

hotel-stack-icon-backup-2016   Hotel stack zálohování, kamerový systém

Zálohování konfigurace celé platformy (router, switch, virtualizační server včetně virtuálních strojů), možnost synchronizovat zálohy na externí zrcadlo pro zvýšení bezpečnosti.

hotel-stack-icon-security-cam-2016 Kamerový systém představuje jednoduchý nástroj pro online 24/7 monitoring a ostrahu objektů, provozů, podpora pro IP kamery s vysokým rozlišením v kombinaci s VPN technologií poskytující zařízení hotel stack router je možné přenášet  a ukládat obraz ze vzdálených lokalit (spojení dva a více hotelů).

hotel-stack-icon-UPS-2016   Hotel stack UPS

Zálohované napájení energie pro platformu, ochrana přepětí sítě.

Hotel stack modulárnost, kompaktnost, podpora

Díky promyšlenému konceptu a v praxi odzkoušenému designu v kombinaci s výběrem kvalitních komponent je hotel stack platforma funkční řešení s přidanou hodnotou.

Modulární koncept, když chcete více nebo i méně, začít se dá i s minimalistickým hotel stackem, který bude s Vámi růst dle Vašich potřeb, chcete něco více docházkový systém, zabezpečovací ústřednu/alarm, definujte sami podobu svého hotelu.

Podpora → poskytuje SLA servisní smlouvu na celý stack na vybrané komponenty záruka 36 až 60 měsíců,poskytuje konfigurace a přizpůsobení, aktivní monitoring a reporting stavu stacku, dále vývoj řešení a aplikací na zakáznku v rámci hotel stacku včetně mobilních aplikací a napojení a třetí strany.

Zamilujte se !
Hotelové IT prostředí jako nikdy dosud...to je HOTEL STACK!
Technické konzultace, implementace, nacenění řešení.
Kontaktní e-mail: podpora@mojeservery.cz
Kontaktní telefon: +420 725 714 669

Hotel stack pro každého, nezáleží na provozu, pokryjeme stejně dobře potřeby škol, městských úřadů, knihoven, výrobních hal, skladů, malých i středních firem, nebojte se zeptat.

hotel-stack-demo1-2016 hotel-stack-demo2-2016 hotel-stack-demo3-2016

Linux mini-howto: Základní pravidla bezpečnosti serverů

Linux mini-howto?
Krátce o nástrojích ze života sysadmina.

Základní pravidla bezpečnosti serverů

Proč? Základní představa o bezpečnosti serverů je často mylná nebo žádná, tímto soupisem praxí ověřených pravidel se jí pokusme nastínit, v některých případech jde obecná pravidla platná napříč světem IT v jinde cílíme přímo na UNIX systémy, znovu připomínáme jde o takový dobrý základ od čeho se odrazit a v případě zájmu můžeme pokračovat dalším dílem.

Bezpečnost IT systémů není stav, je to neustálý proces a i z toho důvodu je 100% zabezpečení přelud, kterého nelze dosáhnout, ale můžeme se k němu zkusit přiblížit, jediný bezpečný systém je ten který nemáte ala jediné auto které Vám nezestárne je to které jste si nekoupili.

Pokračování textu Linux mini-howto: Základní pravidla bezpečnosti serverů

Linux mini-howto: Blokujeme TOR EXIT nodes

Linux mini-howto?
Krátce o nástrojích ze života sysadmina.

Důvod proč blokovat přístup ke službám ze sítě Tor je na Vašem rozhodnutí a není předmětem tohoto článku.

Tor je anonymizační nástroj (software) maskující skutečný pohyb uživatele po internetové síti, ukrývající skutečnou IP adresu případně další informace, které mohou umožnit jeho sledování.

Pokračování textu Linux mini-howto: Blokujeme TOR EXIT nodes

Linux: Firewall Iptables v příkladech

Zcela bez komentáře, linux firewall iptables v pár jednoduchých příkladech.

firewall status
# iptables -L -n -v
# iptables -n -L -v --line-numbers
# iptables -L INPUT -n -v
# iptables -L OUTPUT -n -v --line-numbers
Smazání všech pravidel (-F), chainu(-X), výchozí politika chainu(-P)
# iptables -F
# iptables -X
# iptables -t nat -F
# iptables -t nat -X
# iptables -t mangle -F
# iptables -t mangle -X
# iptables -P INPUT ACCEPT
# iptables -P OUTPUT ACCEPT
# iptables -P FORWARD ACCEP

# iptables -P INPUT DROP
# iptables -P OUTPUT DROP
# iptables -P FORWARD DROP
Insert a delete pravidel
# iptables -L INPUT -n --line-numbers
# iptables -I INPUT 10 -s 192.168.0.0/16 -j DROP
# iptables -L INPUT -n --line-numbers
# iptables -D INPUT 10
# iptables -D INPUT -s 192.168.0.0/16 -j DROP
Zahodit veškerý příchozí trafik i předávaní mezi rozhraním (forward), povolit pouze odchozí (ze stroje)
# iptables -P INPUT DROP
# iptables -P FORWARD DROP
# iptables -P OUTPUT ACCEPT
# iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
Zahození privátních rozsahů na rozhraní do internetu (eth0)
# iptables -A INPUT -i eth0 -s 10.0.0.0/8 -j DROP
# iptables -A INPUT -i eth0 -s 172.16.0.0/12 -j DROP
# iptables -A INPUT -i eth0 -s 192.16.0.0/16 -j DROP
# iptables -A INPUT -i eth0 -s 224.0.0.0/4 -j DROP
# iptables -A INPUT -i eth0 -s 240.0.0.0/5 -j DROP
# iptables -A INPUT -i eth0 -s 127.0.0.0/8 -j DROP
  • 10.0.0.0/8 -j  (A
  • 172.16.0.0/12  (B)
  • 192.168.0.0/16 (C)
  • 224.0.0.0/4 (MULTICAST D)
  • 240.0.0.0/5 (E)
  • 127.0.0.0/8 (LOOPBACK)
Blokovaní příchozí, odchozí adresy, rozsahu, portu
# iptables -A INPUT -s 1.2.3.4 -j DROP
# iptables -A INPUT -s 192.168.0.0/24 -j DROP
# iptables -A INPUT -p tcp --dport 80 -j DROP
# iptables -A INPUT -i eth1 -p tcp --dport 80 -j DROP
# iptables -A OUTPUT -d 1.2.3.4 -j DROP
# iptables -A OUTPUT -d 192.168.1.0/24 -j DROP
# iptables -A OUTPUT -o eth1 -d 192.168.1.0/24 -j DROP
Logování, burst a drop
# iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j LOG --log-prefix "IP_SPOOF A: "
# iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j DROP

# iptables -A INPUT -i eth1 -s 10.0.0.0/8 -m limit --limit 5/m --limit-burst 7 -j LOG --log-prefix "IP_SPOOF A: "
# iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j DROP
Zahození podle MAC
# iptables -A INPUT -m mac --mac-source d4:3d:7e:27:79:fc -j DROP
Blokování/povolení ICMP echo request/reply (ping)
# iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
# iptables -A INPUT -i eth1 -p icmp --icmp-type echo-request -j DROP
# iptables -A INPUT -s 192.168.1.0/24 -p icmp --icmp-type echo-request -j ACCEPT
# iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
Otevření skupiny(rozsahu) portů
# iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 7000:7010 -j ACCEPT
Manipulace s rozsahem adres
# iptables -A INPUT -p tcp --destination-port 80 -m iprange --src-range 192.168.1.100-192.168.1.200 -j ACCEPT
Povolení služeb
## ssh tcp port 22 ##
iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
## CUPS (tisk pouze z LAN) ##
iptables -A INPUT -s 192.168.1.0/24 -p udp -m udp --dport 631 -j ACCEPT
iptables -A INPUT -s 192.168.1.0/24 -p tcp -m tcp --dport 631 -j ACCEPT
## NTP ##
iptables -A INPUT -m state --state NEW -p udp --dport 123 -j ACCEPT
## SMTP ##
iptables -A INPUT -m state --state NEW -p tcp --dport 25 -j ACCEPT
# DNS ##
iptables -A INPUT -m state --state NEW -p udp --dport 53 -j ACCEPT
iptables -A INPUT -m state --state NEW -p tcp --dport 53 -j ACCEPT
## http/https (Apache) ##
iptables -A INPUT -m state --state NEW -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -m state --state NEW -p tcp --dport 443 -j ACCEPT
## POP3 ##
iptables -A INPUT -m state --state NEW -p tcp --dport 110 -j ACCEPT
## IMAP ##
iptables -A INPUT -m state --state NEW -p tcp --dport 143 -j ACCEPT
## Samba (pouze z LAN) ##
iptables -A INPUT -s 192.168.1.0/24 -m state --state NEW -p tcp --dport 137 -j ACCEPT
iptables -A INPUT -s 192.168.1.0/24 -m state --state NEW -p tcp --dport 138 -j ACCEPT
iptables -A INPUT -s 192.168.1.0/24 -m state --state NEW -p tcp --dport 139 -j ACCEPT
iptables -A INPUT -s 192.168.1.0/24 -m state --state NEW -p tcp --dport 445 -j ACCEPT
## PROXY (pouze z LAN) ##
iptables -A INPUT -s 192.168.1.0/24 -m state --state NEW -p tcp --dport 3128 -j ACCEPT
## mysql ##
iptables -I INPUT -p tcp --dport 3306 -j ACCEPT
Omezení počtu paralelních spojení (SSH 3 spojení z jedné IP adresy, HTTP 80 spojení z adres resp. seskupenou pod /24 IPv4 masku hosta)
# iptables -A INPUT -p tcp --syn --dport 22 -m connlimit --connlimit-above 3 -j REJECT
# iptables -p tcp --syn --dport 80 -m connlimit --connlimit-above 20 --connlimit-mask 24 -j DROP

 

František Havel

Linux: Blokujeme čínu,rusko firewallem a ipset

S Čínou i Ruskem jsou potíže, jsou veliké.

Nedávno zde proběhl článek Linux firewall: Blokujeme pomocí IPSET jak blokovat rozsáhlá pravidla v linux firewallu bez výkonové penalizace.

Dnes bych rád na toto téma lehce navázal, ukážeme si jak efektivně zablokovat provoz z konkrétní země, v našem případě jde o Čínu a Rusko, bude to jednoduché a rychlé, slibuji.

Co budeme potřebovat? Nástroj IPset,wget a seznam rozsahů konkrétní země.

Vytvoříme si dvě hash tabulky, následně stáhneme pomocí nástroje wget soubor veřejných rozsahů, aplikujeme v jednoduchém cyklu na ipset a poté pouze nasadíme iptables.

Pojďme na to!

root@havel-machine:~# ipset -N china hash:net
root@havel-machine:~# ipset -N russia hash:net

root@havel-machine:~# wget http://www.ipdeny.com/ipblocks/data/countries/cn.zone
root@havel-machine:~# wget http://www.ipdeny.com/ipblocks/data/countries/ru.zone

root@havel-machine:~# for i in $(cat cn.zone ); do ipset -A china $i; done
root@havel-machine:~# for i in $(cat ru.zone ); do ipset -A russia $i; done

root@havel-machine:~# iptables -A INPUT -p tcp -m set --match-set china src -j DROP
root@havel-machine:~# iptables -A INPUT -p tcp -m set --match-set russia src -j DROP

A to je vše! Dejte si pozor kam umístíte iptables DROP pravidla, musí být povětšinou před zbytkem pravidel, jinak nebudou mít efekt.

Prozkoumejte podrobněji www.ipdeny.com , k dispozici jsou i agregované seznamy rozsahů (v našem případě použit ne-agregovaný seznam, ipset agreguje za nás), pěkný je online generátor pravidel do iptables,ipchain,ipfw.acl. Co mě překvapilo je i seznam IPv6 rozsahů http://www.ipdeny.com/ipv6/ipaddresses/blocks/ , prostě skvělé.

K dokonalosti je vhodné celé řešení zabalit do scriptu, ošetřit možné chyby kolem wget a pravidelně aktualizovat, nechávám za domácí úkol.

Díky za Váš čas. František Havel