10 perguntas que você TEM que fazer para fornecedores de storage

Empresas de todos os portes hoje têm que encarar um mesmo problema: onde ficarão armazenados seus dados com segurança? E tão problemático quanto isso é que o volume de dados que precisam ser gerenciados tem levado as empresas a ter que avaliar soluções de storage de portes e com funcionalidades que eles não estão acostumados e com preços de tirar o sono.

Se você está no meio de um projeto destes ou se ainda não se deparou com este desafio, conheça as 10 perguntas que precisam ser feitas ao fornecedor de Storage para se precaver de futuros problemas e mau entendidos:

1. QUANDO EU QUISER AUMENTAR O TAMANHO DE UM VOLUME LÓGICO, TEREI QUE MIGRAR OS DADOS E DEIXAR O VOLUME INDISPONÍVEL?

Muitas vezes um conjunto de discos começa a ficar cheio e você precisa aumentar sua capacidade agregando mais discos. Muitas soluções têm ferramentas muito boas para fazer isso. O problema é que poucas conseguem fazer isso sem impactar a disponibilidade dos dados já gravados. Uma migração tem que ser agendada, os dados migrados para um sistema intermediário e depois de volta para o sistema, ou seja, a migração de dados ocorre duas vezes, aumentando a possibilidade de corrupção e downtime dos sistemas.

2. QUANDO EU QUISER MUDAR A POLÍTICA DE RAID DE UM VOLUME LÓGICO, TEREI QUE REFORMATÁ-LO? QUANTO TEMPO ISTO LEVA?

Semelhante à pergunta anterior, isto é uma operação de reconfiguração do volume. Isso pode ser desejável quando, por exemplo, um volume acostumado a armazenar arquivos pequenos passa a receber arquivos gigantes (como vídeos ou imagens). Algumas políticas de RAID apresentam um desempenho péssimo em relação a arquivos grandes.

3. QUAL A MENOR ENCOMENDA DE DISCOS QUE POSSO FAZER? OS DISCOS TÊM QUE SER IGUAIS AOS DISCOS JÁ INSTALADOS?

Uma política de venda muito bem bolada, pelo menos do ponto de vista do fornecedor, vai exigir que você compre discos em conjuntos de no mínimo 6 ou 8. Acontece que isso não favorece você e nem seu orçamento, especialmente se os discos precisam ser idênticos, ou pior, tem uma interface proprietária. Como é crítico ter peças de reposição a disposição, você talvez tenha que comprar 6 discos sobressalentes e deixar na caixa aguardando uma falha.

Continuar a ler →

Atacando PostgreSQL

O PostgreSQL é um banco de dados que vem com o MacOS X Lion como database padrão. De acordo com a wikipedia a maioria das distribuições Linux têm o PostgreSQL nos pacotes fornecidos. Portanto além das base de dados regulares (Oracle, MySQL, etc), haverá momentos que teremos que avaliar este bancos de dados com algum teste de penetração. Neste post vamos ver como podemos atacar um sistema que contém base de dados PostgreSQL.

Vamos dizer que temos executar um port scan na porta de um servidor e temos que identificar o que está executando um banco de dados PostgreSQL na porta 5432.

Discovery of PostgreSQL Database

Vamos tentar um ataque de força bruta, a fim de descobrir as credenciais fracas que nos permitirão, em seguida, em conectar ao banco de dados. Nós abriremos o Metasploit Framework e vamos usar o scanner postgres_login.

Choosing and configuring the postgres scanner

Este scanner já está configurado para usar as listas de palavras padrão do PostgreSQL do Metasploit Framework que será utilizado nesse caso. Como podemos ver na imagem seguinte conseguimos descobri algumas credenciais válidas após a execução do scanner.

Continuar a ler →