Рейтинг
0.00

Ihor Хостинг Marosnet ДЦ

13 читателей, 193 топика

Бесплатный SSL-сертификат для всех клиентов виртуального хостинга к каждому домену

Айхор хостинг и Let's Encrypt начали программу по развитию и популяризации защиты и шифрования данных, обеспечивая их сохранность и конфиденциальность.

Мы хотим, чтобы каждый клиент нашего хостинга мог не беспокоиться о своих или же персональных данных его клиентов, поэтому начиная с сегодняшнего дня любой пользователь, который пользуется услугами php-хостинга может совершенно бесплатно и за считанные секунды выпустить и установить SSL-сертификат от компании Let's Encrypt для своих доменов.

Установив SSL-сертификат, попасть в топ Google станет проще! Популярнейший поисковик изменил правила поисковой выдачи и теперь сайты, которые используют защищенное HTTPS-соединение, поднимаются выше в результатах поиска, по сравнению с конкурентами без SSL.

Let’s Encrypt — центр сертификации, который работает с 2015 года и предоставляет бесплатные SSL-сертификаты сроком действия в 90 дней с автоматическим бесплатным продлением для HTTPS-шифрования данных. За все время работы центра было выпущено более 1 миллиона бесплатных сертификатов.

Для выпуска и подключения SSL-сертификата к вашему домену достаточно
выполнить 2 простых шага:
  1. Перейти в панель управления хостингом — cPanel.
  2. В блоке «Безопасность» выбрать Let’s Encrypt for cPanel.

DDoS атака

В результате DDoS атаки на сетевое оборудование, наш хостинг в течение последних ~1.5 часов был практически недоступен. Автоматические фильтры Ростелекома не сработали должным образом, в результате чего проблему пришлось решать в ручном режиме, совместно с их специалистами. В ближайшее время планируется тестовый запуск собственной антиддос защиты на базе оборудования Huawei. Если результат работы данного оборудования будет высоким, то в будущем удастся избежать подобных проблем. Приносим свои извинения.

// с SE
Хочу всем сказать спасибо за слова поддержки. Они действительно помогают, дают понимание, что мы не зря работаем.
Помогают двигаться вперед, не смотря ни на какие препятствия, которые возникают на нашем пути естественным образом или которые нам пытаются создать искусственным путем.
Чтобы не копировать сюда все посты которые нам задавали, отвечу так:

1. Сделать с нуля и сразу высокотехнологичный бизнес и чтобы ничего не ломалось и не падало, и чтобы все сразу было защищено. Не удалось пока никому.

2. Мы стараемся развиваться максимально быстрыми темпами, если кто помнит (или можно почитать старые ветки, вся история запротоколирована), то мы открыли здесь свое представительство в конце 2013 года, тогда у нас был всего один 100 мбитный канал от Акадо, с почти нулевой связанностью и 4 стойки с серверами в небольшой серверной.
Теперь у нас 80 Гбит внешних аплинков и новый современный ДЦ на 120 стоек (около 5000 серверов). В 14 и начале 15 года у нас было несколько даунтайов из-за проблем с электричеством, сейчас этот вопрос полностью закрыт 6 ИБП по 420 КВт, каждый и двумя дизелями на 1.2 МВт каждый. За почти год работы нашего нового ДЦ, было 2 пропадания электроэнергии из города. Первый раз, запланированные работы, второй раз незапланированное падение вводов. Оба раза автоматика сработала без сбоев и наша система автономного питания приняла на себя всю нагрузку (за это — огромное спасибо нашей круглосуточной инженерной службе дата-центра, которая следит за исправной работой всего оборудования), хотя мы и упоминали о пропадании электричества, но мало кто обратил на это внимание, т.к. все работало.

3. Был серьезный обрыв оптики на территории стройки Следственного Коммитета РФ (для нас осталось тайной, покарали ли они за это сами себя ). В то время мы еще не успели организовать резервный оптический канал до М9. Работы затянулись буквально на месяц, которого не хватило для ввода альтернативного маршрута по оптике. Сейчас он есть. Также в ближайшие пару месяцев мы планируем ввести в работу две новых магистрали с большим количеством оптических волокон. Наша задача по каналам связи в течение этого года расширить магистрали до ДЦ до 400-500 Гбит/с, а также, запустить альтернативную пиринговую точку отличную от М9.

4. Безусловно, после каждой подобной аварии, мы делаем выводы и принимаем меры для их предотвращения в будущем — мы не из тех, кто наступает на одни и те же грабли дважды.

5. Мы не можем предвидеть все возможные проблемы, которые могут встретится по той простой причине, что многое из того, что мы делаем, никто раньше не делал, как минимум в нашей стране. Конечно мы отстаем от западных аналогов как в техническом, так и материальном плане (но это общая проблема нашей страны, которую можно наблюдать практически во всех отраслях, особенно в IT). По этому мы и стремимся развиваться максимально быстро, чтобы в кратчайшие сроки наверстать этот разрыв. Наверное отчасти скоростью нашего развития можно объяснить несколько частое возникновение каких либо проблем. Тот путь, который другие проходят за годы, мы проходим за месяцы ).

6. Конечно, у стороннего наблюдателя может возникнуть ощущение, что Айхор все время лежит, но на самом деле это конечно не так. Просто у нас уже достаточно большая клиентская база (цифры подвале нашего сайта, являются абсолютно реальными показателями и обновляются раз в 5 минут, а не как это принято у некоторых — «давайте нарисуем от фонаря, главное чтобы цифры были по внушительней». Естественно, когда когда уже около 7500 клиентов пользуется нашими услугами, всегда найдутся те, кто будет оперативно реагировать на возникающие проблемы, и это говорит только о нашей популярности. Также мы всегда реагируем на любые замечания в Сети. Для Вашего и нашего удобства, мы ведем постоянные группы во всех популярных соцсетях — Твиттер, ВК, Фейсбук. Везде стараемся оперативно оповещать в случае возникновения глобальных проблем.

7. Да, у нас еще есть проблемные места, на которыми нам надо работать и мы работаем над ними. Из того, что здесь прозвучало, основных задач сейчас две:
  • Антиддос — планируем ввести в опытную эксплуатацию до конца мая, сейчас согласовываем все конфиги и проект стойки на М9. Хочу заметить, что счастья сразу не будет, нам еще предстоит постепенный тюнинг новой железки. Не очень просто настроить качественную защиту на разнородном трафике который уже переваливает за 10G с постоянным ростом. Но я уверен, что мы справимся и в течение июня поставим все наши сети под собственную защиту.
  • Тут была жалоба на работу ТП, так вот. На последнем совещании было принято решение часть моего времени и сил пустить на отлаживание работы нашей тех. поддержки. За это время уже накопилось достаточно статистики и понимания того, как улучшить ее работу с учетом нашего постоянного масштабирования. Как я уже писал ранее, не сложно организовать ТП, когда клиентская база не растет или растет медленно, гораздо сложнее это сделать при быстром росте. Но это задача тоже решаемая.

Смена банковских реквизитов

ИНФОРМАЦИОННОЕ ПИСЬМО Общество с ограниченной ответственностью «Телекоммуникационная Компания МАРОСНЕТ»( ООО «ТК МАРОСНЕТ») уведомляет Вас о смене банковских реквизитов. С 10 мая 2016г. все расчеты будут производится по следующим реквизитам: Банк: Филиал «Центральный» Банка ВТБ (ПАО) Реквизиты Банка: ИНН 7702070139, КПП 770943002, к/с 30101810145250000411 БИК 0445255411 Р/с 40702810900300000534

Наша цель - сделать качественную защиту для всех наших клиентов!



Теперь, немого о текущей ситуации и о том, что нами было проделано в последнее время.
По моему ощущению 2016 год пройдет под знаком DDoS. Думаю, что в этом году мы все станем свидетелями огромного количества атак на всё подряд и на всех подряд. Об этом свидетельствуют целый ряд факторов:
  1. Мощность средней атаки выросла в 3-6 раз по сравнению с предыдущим годом. По нашей собственной статистике, в 2015 году редкая атака на наши ресурсы превышала 10 Гбит/с. Но буквально с декабря прошлого года средняя сила атак стала 25-30G, а самая крупная атака на нас была почти в 60G.
  2. Стоимость подобных атак стала стоить копейки. Буквально за 5$ в месяц, можно купить аккаунт и поливать налево и направо.
  3. В этом году уже пошли массовые атаки на различных хостеров, положили не только нас и нескольких коллег по цеху обитающих здесь на серчах, но даже и нынешнего лидера российского хостинга: roem.ru/21-03-2016/221280/regru-fall/ Также, прошли успешные атаки и на другие очень крупные интернет-ресурсы.

Но больше всего в текущем положении дел удручает то, что большинство IT-компаний просто не готовы своими инфраструктурами выдерживать возросшую силу ддос-атак.
Собственно говоря, отсутствие здесь моих комментов на этой неделе было связано как раз с тем, что мною и моей командой были проведены целый ряд ключевых встреч и переговоров по организации защиты нашего ДЦ от DDoS-атак. И самое печальное во всем этом, что вопрос упирается не деньги, а в отсутствие технических возможностей для быстрого развертывания хорошей защиты на необходимом уровне практически у всех, с кем мы общались. Вот несколько примеров:
  1. Один из ведущих экспертов по развитию услуг информационной безопасности одного из операторов большой тройки был сильно удивлен, когда мы сказали, что ддосы в 30G на нас это норма, а в пике было и 60. В своей практике он не сталкивался с ддосами больше 25G (везет ему, если бы у нас это было пиковым значением, наверное вообще почти никто не заметил бы из наших клиентов), при этом они активно продвигают свою услугу защиты от ддос, с центром очистки с максимальной пропускной способностью до 80G. Хватит на 1,5 таких клиента как мы .
  2. На наше предложение оператору связи №1 в России, расширить с ними стык на М9 с 10 до 80G, сначала долго совещались между собой, потом сказали, что оперативно смогут поднять только до 20G, а к концу апреля только до 40G. Как-то так...
  3. Ну о том, как прилег ТТК, когда мы встали под ддос-гвард, я уже писал… Поступало и много других предложений для защиты нас от атак аж до 20G!.. Здорово конечно, но это мы как-нибудь и сами отфильтруем.
В общем кажется мне, что в этом году у многих будут откровения и много SLA полетят в топку ддосов.

В общем то, это было понятно, что надо наращивать инфраструктуру еще в прошлом году. Но, к сожалению, не всегда получается делать все настолько быстро как мне того хочется, мир — достаточно инертная штука ).
Тем не менее, подвижки есть.
Попытка прикрыться ДДоС-Гуардом, оказалась не совсем удачной. Хотя со многими атаками они успешно справились, было несколько, достаточно мощных атак, от которых шатало самих гвардов и их апстримов. С добавлением нас в качестве клиентов, возникло ощущение, что возможности их системы фильтрации были на пределе своих ресурсов (честно говоря, думалось, что мы не очень большой генератор трафика, но видимо, получается, что не маленький).

Также, идея пропускать весь трафик через фильтры оказалась не очень удачной. Хотя это и дает возможность моментальной реакции при начале атаки, возникает очень много ложных срабатываний (из-за этого и происходили спонтанные обрывы сессий).
Тем не менее, мы продолжаем переговоры с гвардами и на понедельник запланирована встреча с ними у нас в офисе на предмет обсуждения альтернативных схем эффективной защиты от атак.
В настоящий момент, мы переключились под защиту от Ростелекома, которая построена на железках одного из лидеров в этой области Arbor Networks. Плюсы — фильтрация трафика происходит только в случае атаки. Минусы — время срабатывания детектора атаки и перевод трафика на очистку может достигать до 5 минут из-за этого и наблюдаются периодические провалы в доступности ресурсов. В течение этой недели нам удалось настроить фильтры на ключевые ресурсы совместно со специалистами из РТ. Некоторые ресурсы были переведены под постоянную защиту.

По этому, если Ваш сайт или сервер атакуют мелкими но частыми атаками, пишите в поддержку, будем вешать их на постоянную защиту.
Закончено тестирование антиддос-железки Radware DefensePro. В целом, наши админы остались довольны тестовым образцом. По этому поставили на заметку к возможному приобретению старшей модели. Однако, ждем железку от Huawei которая должна приехать к нам до 15 апреля на тест. Поскольку ее производительности хватит на закрытие от атак всего ДЦ, финальные тесты попробуем провести на живом трафике, о чем оповестим заранее. По окончании тестов будем определятся с покупкой.
Сегодня (в пятницу), привезли на тест анализатор атак от Инновентики, поставили на стенд, будем проводить испытания.
Анализатор атак понадобится в дальнейшем для выстраивания правильного контура очистки, наподобие того, как это сделано в OVH.

По факту, мы сейчас гоняем трафик только через Ростелеком, в силу того, что другие апстримы не смогли оперативно организовать защиту от атак в своих сетях. К сожалению, это несколько ухудшило нашу прекрасную связанность с другими сетями (отсюда и увеличение пингов по некоторым направлениям). Но к сожалению, без защиты сейчас вообще никак.
Тем не менее, мы уже ведем работы по модернизации нашей сети с целью подготовки контура очистки трафика, пока мы определяемся с покупкой железа для контура, постараемся отдать очистку трафика на аутсорс (например, к тем же гвардам и/или РТ), при этом используя собственные внешние каналы для приема и передачи трафика. Как только закончим работы, связанность будет полностью восстановлена и даже улучшена, за счет подключения новых апстримов.
Параллельно, продолжаем прочесывать рынок на предмет поиска интересных решений в области защиты от атак при большом объеме разнородного трафика.