A aparut vSphere 5.1 Update 1.

Si de ce nu, sa fac si eu update. Ca luna Aprilie a fost luna de update-uri (BIOS, ESXi, routere, switch-uri FC etc). Long overdue un pic, da inca putin si gata, ajung la zi cu planurile.

Eh, data trecuta, de la 5.0 la 5.1 upgrade-ul s-a facut usor, a durat totul vreo 3-4 ore in total cu download de software, instalat, migrat masini virtuale, reboot servere fizice etc.

De la 5.1 la 5.1 Update 1 – e cu cantec, de aseara ma tot screm cu el :(

• Simple install plange ca nu poate si tre sa fac io adlabam stuff
• Single Sign-On uita sa-si opreasca serviciile si drept urmare nu poate sa-si rescrie fisiere. Dar asta nu e tot, lasa aplicatia jumate fututa. Sa am io ce cauta si repara. Asta mi-a mancat ficatii, ca mi-a luat aproape o zi sa-l dovedesc in mortii lui.
• Lui Virtual Center server ii da virgula ordinea de pornire a serviciilor si dureaza o ora si ceva instalarea. Da cu eroare, da la sfarsit ii iese bine. Fuck that also.
• Syslog collector e si ala in papusoi. N-a vrut instalare ca nu’sce ma-sa nu-i place. Asta e, se poate si fara. Nevermind, un reboot face minuni :( a mers din prima, fara sa planga de nimic.
• E un bug (cred) pe undeva la ‘Enter in maintenance mode’ la hosturi ca migreaza tot mai putin un lucru: secondary-urile de la Fault Tolerance si tre sa le dau mutare manuala. Aici mai e de investigat un pic.
• 5.1.0 Update 1 pe host-uri nu se pune asa usor, intai vrea un restart la host – inca nu m-am prins de ce, abia dupa aia se poate face remediere
• Pe Linux nu merge VMware Tools Autoupdate, noroc ca n-am asa multe. Trebuie sa mai investighez asta.

Adica ultima versiune a produselor Check Point pentru securitate de perimetru. Cel putin azi, 26/06/2012.

Zilele astea a trebuit sa tin niste prezentari de Check Point la niste oameni, din care una batut in cap de beat. Eu ma dau cu Check Point de prin 2004 si am ajuns sa-l cunosc destul de bine, mi-am dat si cateva examene de control, sa fie acolo, ca nu se stie :)

De obicei nu prea ma omor p’aci sa scriu de produsele cu care lucrez, insa R75.40 merita si el cateva randuri pentru ca dupa ce l-am frecat in ultima saptamana am ajuns la concluzia ca e pe undeva la 70-75% din ce ar trebui sa fie un firewall UTM performant, capabil si care sa aiba o interfata de management mai mult decat decenta. Restul de firewall-uri sunt undeva mult mai jos, si da, m-am dat cu destul de multe.

Ce stie sa faca foarte bine:

• Firewall: este foarte avansat, stie sa faca inspectie la nivel de protocol (like daca pe portul 25 ii zic ca e SMTP, atunci stie sa urmareasca corect comenzile SMTP si sa le accepte doar pe alea valide).
• IPS: as in true IPS, cu politica, cu reguli, cu exceptii, cu posibilitate de capturare de trafic a pachetelor suspicioase sau blocate, cu GeoProtection (like nu vrei trafic originat din tara X) si multe altele
• Integrare transparenta cu Active Directory (aka Identity Awareness in terminologie Check Point): pot sa pun reguli pe baza de utilizator, grup de utilizator, computer, grup de computere in combinatie cu adrese IP sau subnet-uri. Si chiar merge foarte bine, si nu mai trebuie sa stiu ce user ce IP are.
• URL filtering & Application Control: per baza de reguli poti bloca accesul la aplicatii si/sau URL-uri, cu posibilitate de a le debloca dinamic. Cred ca cel mai tare feature e ala de responsabilizare a utilizatorului, in care il pune sa dea OK ca are voie sa stea doar 15 minute pe zi pe Facebook, si daca sare calul sa stie ca cineva mai sus il vede.
• SSL Inspection. Man-in-the-middle, insa cu o autoritate de certificare care poate emite certificate SSL on-the-fly. Tot ce trebuie sa faca un admin e sa incarce in browser certificatul CA-ului de la firewall. Lucru realizabil foarte usor prin GPO, ca tot e mediu enterprise.
• IPSec VPN (Site-to-Site si Remote Access). De asta nu zic ca nu e nimic spectaculos.
• Raportare integrata, poti sa scoti tot felul de informatii utile si de trenduri doar click-click.
• Log searching rapid, contextul google like. Asta chiar e feature nou si e al dracu de util si interesant cand ai catralioane de loguri si ai nevoie de un search rapid de genul: utilizatorul John Doe ce-a accesat ieri pe VPN. Si sa scrii asta intr-un query de genul: John Doe yesterday blade:VPN.
• AntiBot: feature nou. Se leaga la cloudul lor si pe baza unor mecanisme proprietare clasifica si coreleaza traficul suspect, si daca vede de la mai multi trafic catre destinatii dubioase (like IP-uri din China) incepe sa se uite mai cu atentie la el si sa vada daca e trafic de botnet C&C. Ideeea e destul de simpla: Divided we fall. United we stand.
• DLP aka Data Loss Prevention: merge bine la nivel de gateway, stie sa faca stuff, are foarte multe reguli predefinite, merge pe ideea de a educa si responsabiliza utilizatorul inainte de a-i da in cap (ca deh, toti suntem oameni si gresim).
• OS-ul: acu chiar ca l-au nimerit, poti sa-l configurezi aproape cap-coada numai click-click din interfata web, administrare bazata pe roluri si multe alte bunatati.

Ce suge:

• SSL-VPN: Ideea e buna, portalul spre client aproape arata decent. Insa decat sa vrei sa configurezi rahatul ala mai bine iti bagi un bat in cur, ca asa de greu e de configurat si neintuitiv. Capabilitatile sunt misto, like Secure Virtual Workspace si conectivitate Layer3 on-demand, insa tot d’ampulea e de configurat. Cre’ca ar ajunge market leader instant daca ar copia interfata de la Juniper SA.
• Antivirusul: e super-basic, n-ai cine stie ce optiuni, si de obicei ajungi sa-i dai disable.
• Antispam: cam la fel, suge grupa mare.
• QoS: poti sa pui reguli de prioritizare si garantare de banda, insa trebuie sa renunti la toate capabilitatile de accelerare a traficului. Ceea ce e un big no-no.

Ca si concluzie, tind sa cred ca sunt pe drumul cel bun pentru un firewall pentru enterprise.

am ajuns la concluzia ca e cazul sa am si eu un laptop personal pe care sa-l folosesc. si cu concluzia asta a trebuit sa-mi fac o lista de cerinte pe care sa le indeplineasca laptopul:

• sa aiba rezolutie buna (1440×900 sau 1600×900)
• sa fie de maxim 13″ sau 13.3″
• sa nu fie mai greu de 2kg
• sa aiba SSD
• sa aiba cel putin 8GB RAM, preferabil 16
• sa aiba DisplayPort sau HDMI
• sa fie Sandy sau Ivy Bridge, preferabil DualCore sau QuadCore

Eh, si aici e beleua maxima: in afara de ultrabook-uri facute de firme obscure, gen Asus nu gasesc nimic mai normal. Toata lumea a innebunit cu 1366*768 rezolutie, care arata de tot rahatul.

De vreo cateva luni bune, ma tot uit asa cu jind la un MacBook Air de 13.3″ care guess what: e usor, are rezolutie buna, are vreo 4GB RAM si SSD de 256GB, si DisplayPort. Da e scump cu spume, vreo ~1350EUR in DutyFree.

Astia de la Dell au baut gaz, si dupa ce nu stiu cati ani au scos laptopuri drepte si care aratau bine, acum le-au rotunjit pe toate, le-au facut mari, si plasticul ala de pe langa ecrane ocupa asa mult loc, sunt inalte, parca zici ca’s d’alea de 20mil din hypermarket.

So, unde sa ma uit dupa un laptop mic, dragut si care sa nu coste o mana si’un picior ?

Primii mail acu de la CloudFlare cum ca mai nou blogul este si IPv6 ready, ca mi-au pus ei AAAA record pentru ipv6.imacandi.net.

So, cand o merge, ca acum cam sughita, stiinta prezenta pe blog va fi disponibila si pe IPv6.

… sau mai bine zis cum sa te uiti ca prostu la monitor si sa zici ca nu e adevarat.

Setup simplu: Exchange 2010 SP2 UR1 (UR=Update Rollup), Windows 2008 R2 SP1 puse pe ESXi 5.0U1. 2 servere: un mailbox si un CAS.

Mai acu ceva vreme a iesit UR2 pentru Exchange 2010 SP2. Pe care l-am instalat cu succes si fara dude pe serverul pe care se afla mailboxurile. Dupa vreo ~ saptamana sau cam asa, am zis ca daca tot nu s-a intamplat nimic, hai sa-l pun si pe CAS, sa fie si ala fericit sa vad ca e totul bine pe o pereche de servere pana sa-l instalez si pe restul.

Cum pe mine ma apuca treaba asta numai noaptea, am dat install si am asteptat, si am asteptat, m-am dus prin oras, am mancat, m-am plimbat cu bicicleta si cand m-am intors se tot instala. M-am uitat io asa prin event viewer, am gasit niste mesaje de oroare destul de interesante.

Partea insa foarte interesanta a fost cand am observat ca nexam trafic IPv4 intre Exchange si DC-uri. Si conexiunile deja stabilite. Orice altceva canci. Nada. m-am frecat un pic in cap si am zis ca WTF, nu se poate. Pana la urma am zis ca ‘what can go wrong’ si am dat disable si enable la placa de retea, a dat semne ca s-a instalat si minuntea de UR, a zis ca vrea reboot, i-am dat, am vazut c’a rebootat si m-am dus la nani ca mi-era incredbil de somn.

A doua zi, SMS ca ‘nu merge OWA, da eroare’. A doua zi eram la 100km distanta de un computer de pe care puteam sa ma leg sa fixez jucaria. Anyway, am ajuns acasa, am sapat, am vazut ce eroare da, m-am pus sa dezinstalez UR-ul, l-am dezinstalat si pe ala de dinainte ca se pare ca se futuse si installerul de Windows si lua ce vroia el la dezinstalat, rebootat de cateva ori, si dat din nou sa instalez UR sa vad ce si cum.

Bineinteles ca s’a instalat pana pe la cap cand a inceput .NET optimizerul sa mai faca niste chestii si iar canci conectivitate IPv4. aia de IPv6 mergea de n-avea aer, numai ca dintr-un motiv care-mi scapa mie, in cazul asta, Exchange-ul isi doare foarte tare numai IPv4, asa ca am facut ce facusem si data trecuta, enable/disable la placa de retea, s-a deztepenit (cu mentiunea ca acu a dat mai putine mesaje de oroare), reboot si surpriza: merge OWA.

Singurul lucru diferit e ca pe CAS am pus direct UR2 versus alalalt server care avea UR1 pus si pe care am pus si UR2. Cred ca e o buba prin ce rahat face CAS-ul de se blocheaza asa tembel.

Si uite asa ajungi sa injuri pe toata lumea la doua dimineata cand se intampla lucruri care n-ar tebui sa aiba absolut nicio legatura una cu alta.

Deci da, cand instalezi un patch la ceva care nici macar n-are treaba cu sistemul de operare, mai nou poti ramane fara conectivitate IPv4 pentru conexiuni noi. Ain’t computers fucking predictable ?