MFA построен на стандарте fido2, а это шифрование не одобренное товарищем, открою секрет, любой токен с неизвлекаемыми ключами можно взломать, вам потребуется лазер и электронный микроскоп, было бы желание взломать, вас взломают, а сами же пароли я храню в контейнере aes256, и любую важную информацию так же, с правдоподобным отрицанием, а токены это защита не от товарища майора, а от хакеров, если товарищ возьмётся за вас, вы сами ему все расскажете покажете, паяльник ни кто не отменял.
У меня на сервере outline в какой то момент жрал место как не в себя, захожу в панель хостера, вижу предупреждение что место кончилось, начал выяснять в чем причина, думал системные логи - нет, в директории outline причина была, очистил, через месяц повторяется, думаю пора локацию сервера поменять как раз, поменял и поменял его на xui.
Что?? Зачем? Зачем двойной туннель ? SS-2022 как бы достаточно. Это лишь накладные расходы. Смысл wg что он быстрый основан на udp, ss это tcp, и скорости ниже. Получается udp over tcp ... двойной туннель это всегда ниже скорости.
По факту, закладки могут быть везде, intel me закладка? В ключах шифрования одобреные nist есть закладки?
Тут как бы rutoken ecp 2.0 flash 32g куплен не для того чтобы хранить пароли а для того что бы иметь "флешку" с защитой от записи, а сами пароли храните в контейнере с aes256 с увеличенным числом итераций (например veracrypt). А в качестве безопасного токена для удалённого доступа очень даже подходит даже не смотря что там могли заложить закладку , т.к. на нем не хранится в открытом виде конфиденциальной информации
Ванильный wg и ovpn (когда они тестили ipsec офисы отвалились вот паника была, а wg работал, переподнял на wg, пока отвалов не было) стабильно работет на территории рф, чего для работяг достаточно, достут к офису есть, удаленка работает, админу не делают мозг что доступ упал. А для личных нужд, по умолчанию wg, в резерве ovpn через wstunnel(самый самый резерв для нужд доступа к серверу), и развернутый xui с vless reality tls, passwall с BGP на роуте поднят и успешно работает. И по поводу WG не вижу каких то проблем успешно работает 24/7 и уведомлений о том что канал на роуте упал не было. Канал идет зарубеж, паралельно идет dot.
Не исключено, выстрел в ногу произойдет если они https блокнут который пошел за пределы страны. А пока https есть можно заворачивать в него, у меня резервный канал до сервера это stunnel идущий на порт ssh. Obfs4 прокси можно пробовать, cloak и другие, но тучи сгущаются.
просто мысли
Могу провести аналогию с новыми оружейными поправками, сделали просто для того что бы сделать, проблемы поправки не решают, только все сугубили, если они боятся криминальных элементов то оборот гражданского оружия тут вообще не причем, т.е. там сидят люди которые не понимают как это должно работать, просто "а давайте усложним жизнь владельцам оружия и производителям оружия и боеприпасов - а давайте". С этим Чебурнетом, хранением трафика и ТСПУ схожая ситуация на что им сдался этот чебурнет и изоляция... Вроде свобода слова куда хотим туда и ходим, если голова на плечах есть то дурного не будет(а если есть мыли сделать дурное то обязательно сделает). К чему привела китайская изоляция? (к слову о киайцах.. за коррупцию у них смертная казнь..) К продвинутым средствам обхода, а у РКН нет ни опыта ни людей которые могли бы это сделать грамотно, по этому просто обрубим внешний интернет и все типо будет ок. Нет конечно, так это не работает. Что они сделали своими ТСПУ и хранением трафика? цены на интернет подняли только, ведь провайдеры отыграются на пользователях, у меня в месяц больше 3 тб трафика проходит, о каком хранении идет речь до кучи весь интернет стремиться быть зашифрованым т. е. они реально хотят когда нибудь в будущем расшифровать старый трафик? Зачем? Если условное «нечто» случилось 10лет назад об этом узнать? Предотвратить же они не смогли. Так какой смысл если за эти годы они и так по каким нибудь уликами найдут виновного. Сугубо мое видение ситуации, они боятся бучи, и что по столбам развесят. В общем я непонимаю этих телодвижений и мое недовольство ситуацией растет.
Так это понятно, я и не говорил что wg умеет маскироваться, его даже ngfw на opnsense детектит, что говорить о крупных коммерческих решениях. А вот awg весьма интересный вопрос, однако из за того что требуется использовать их клиент на мобильных устройствах вариант так себе. На Linux ок, собираем ставим, подымаем, на роутерах openwrt проблем так же нет, на freebsd пока не пробовал. А вот с виндой там есть какое то решение собрать вроде драйвер, нужно пробовать. Ssh тунель они Вряд-ли блокнут, это тоже самое что выстрелить себе в ногу, хотя возьмут и запретят ssh зарубеж, вот будет весело. Через sign box можно через ssh весь трафик с машины завернуть до сервера и работает норм, скорость может не такая высокая, но для браузера достаточно.
Я пользуюсь хранилищем KeePass XC на телефоне и десктопах, хранилище само хранится в условном домашнем облаке доступ со всех устройств шифрование канала в наличии, в браузерах полный запрет на сохранение пароля, стоит интеграция с браузером для ввода паролей. Весьма удобно когда привыкнешь. Ageis для 2fa, рутокены mfa для fido2 авторизаций, ssh и тд. Рутокен эцп 2.0 flash для безопасной os без возможности изменения, и так же доступ по сертификатам к vpn, ssh и тд.
относительно не дорогой, т.е. альтернатив дешевле я не встречал
Rutoken MFA стандарт Fido2 U2F дешевле даже базовой версии yubico, сели смотреть 5/5с и тд с поддержкой openpgp то разница ещё выше, а ключей требуется все равно 2.
Обусфикация, замене на vless reality tls, там еще у амнизии вышел форк wireguard вроде как не блокируется. Надо пробовать. Домашний ngfw детектит дефолтный wg весьма легко.
Блокировки не заметил, wg ovpn работает, как внутри так и наружу.
Про скорость интернета да, мтс на 4г выдаёт 16мбайт с vpn 12. Все знают кто виноват и почему мы должны терпеть цены на интернет стали выше, не обоснованно выше
Накатили бы сервер hyper-v, ну тот что бесплатный, настроили windows admin center, и уже в нем подняли бы терминальный сервер. В качестве клиентов подходят дешёвые неттопы и тд. На терминальный ставите офисный пакет, 1с и прочее что нужно, админ может ставить софт, остальные только работать, в качестве терминальной ос пойдёт любой жёстко ограниченный linux или os на токене для максимальной безопасности, например os barium на рутокене. Вложения будут все равно дешевле чем всех оснастить яблочной продукцией, а потом можно получить офис кирпичей если их заблочат.
Может проблема в том что отказаться от этих разрешений нельзя... как было со сбером, дай ему все что он хочет и тогда будет работать, что то не дал и все он не работает, сейчас благо без разрешений работает, так может 2гис пересмотреть политику обязательных разрешений.
Собрал я значит awg, собрался без проблем со свежим go, а вот wireguard-tools возникли проблемы, не захотел вставать на сервер где уже развернут wg. Так что пока wg работает переделывать рабочий сервер нет смысла, есть ssh tunnel иvless reality tls, прошивка для роутера с bgp и passwall была собрана. Да и клиента для openwrt у awg нет а это минус , у меня два роутера дома и портативный на базе rpi и модема. Для меня awg ещё не законченный продукт
Дополню для шифрования критической информации дополнительно шифруется открытым ключем ed25519
MFA построен на стандарте fido2, а это шифрование не одобренное товарищем, открою секрет, любой токен с неизвлекаемыми ключами можно взломать, вам потребуется лазер и электронный микроскоп, было бы желание взломать, вас взломают, а сами же пароли я храню в контейнере aes256, и любую важную информацию так же, с правдоподобным отрицанием, а токены это защита не от товарища майора, а от хакеров, если товарищ возьмётся за вас, вы сами ему все расскажете покажете, паяльник ни кто не отменял.
У меня на сервере outline в какой то момент жрал место как не в себя, захожу в панель хостера, вижу предупреждение что место кончилось, начал выяснять в чем причина, думал системные логи - нет, в директории outline причина была, очистил, через месяц повторяется, думаю пора локацию сервера поменять как раз, поменял и поменял его на xui.
Тут как бы выбор каждого. Я не призываю не голосовать или голосовать. Просто интересно кто сказал что явка обязательна ?! Где это в законе прописано?
Что?? Зачем? Зачем двойной туннель ? SS-2022 как бы достаточно. Это лишь накладные расходы. Смысл wg что он быстрый основан на udp, ss это tcp, и скорости ниже. Получается udp over tcp ... двойной туннель это всегда ниже скорости.
Она идёт вместе с KeePass это его модуль
По факту, закладки могут быть везде, intel me закладка? В ключах шифрования одобреные nist есть закладки?
Тут как бы rutoken ecp 2.0 flash 32g куплен не для того чтобы хранить пароли а для того что бы иметь "флешку" с защитой от записи, а сами пароли храните в контейнере с aes256 с увеличенным числом итераций (например veracrypt). А в качестве безопасного токена для удалённого доступа очень даже подходит даже не смотря что там могли заложить закладку , т.к. на нем не хранится в открытом виде конфиденциальной информации
Да ладно? Я не хожу на выборы в принципе
Ванильный wg и ovpn (когда они тестили ipsec офисы отвалились вот паника была, а wg работал, переподнял на wg, пока отвалов не было) стабильно работет на территории рф, чего для работяг достаточно, достут к офису есть, удаленка работает, админу не делают мозг что доступ упал. А для личных нужд, по умолчанию wg, в резерве ovpn через wstunnel(самый самый резерв для нужд доступа к серверу), и развернутый xui с vless reality tls, passwall с BGP на роуте поднят и успешно работает.
И по поводу WG не вижу каких то проблем успешно работает 24/7 и уведомлений о том что канал на роуте упал не было. Канал идет зарубеж, паралельно идет dot.
Не исключено, выстрел в ногу произойдет если они https блокнут который пошел за пределы страны. А пока https есть можно заворачивать в него, у меня резервный канал до сервера это stunnel идущий на порт ssh. Obfs4 прокси можно пробовать, cloak и другие, но тучи сгущаются.
просто мысли
Могу провести аналогию с новыми оружейными поправками, сделали просто для того что бы сделать, проблемы поправки не решают, только все сугубили, если они боятся криминальных элементов то оборот гражданского оружия тут вообще не причем, т.е. там сидят люди которые не понимают как это должно работать, просто "а давайте усложним жизнь владельцам оружия и производителям оружия и боеприпасов - а давайте". С этим Чебурнетом, хранением трафика и ТСПУ схожая ситуация на что им сдался этот чебурнет и изоляция... Вроде свобода слова куда хотим туда и ходим, если голова на плечах есть то дурного не будет(а если есть мыли сделать дурное то обязательно сделает). К чему привела китайская изоляция? (к слову о киайцах.. за коррупцию у них смертная казнь..) К продвинутым средствам обхода, а у РКН нет ни опыта ни людей которые могли бы это сделать грамотно, по этому просто обрубим внешний интернет и все типо будет ок. Нет конечно, так это не работает. Что они сделали своими ТСПУ и хранением трафика? цены на интернет подняли только, ведь провайдеры отыграются на пользователях, у меня в месяц больше 3 тб трафика проходит, о каком хранении идет речь до кучи весь интернет стремиться быть зашифрованым т. е. они реально хотят когда нибудь в будущем расшифровать старый трафик? Зачем? Если условное «нечто» случилось 10лет назад об этом узнать? Предотвратить же они не смогли. Так какой смысл если за эти годы они и так по каким нибудь уликами найдут виновного. Сугубо мое видение ситуации, они боятся бучи, и что по столбам развесят. В общем я непонимаю этих телодвижений и мое недовольство ситуацией растет.
Считаю любые web доступные хранилища паролей уязвимыми.
IOS не знаю, на android есть magikeyboard для KeePass(как бы его часть), она занимается автозаполнением при разблокированной базе
Так это понятно, я и не говорил что wg умеет маскироваться, его даже ngfw на opnsense детектит, что говорить о крупных коммерческих решениях. А вот awg весьма интересный вопрос, однако из за того что требуется использовать их клиент на мобильных устройствах вариант так себе. На Linux ок, собираем ставим, подымаем, на роутерах openwrt проблем так же нет, на freebsd пока не пробовал. А вот с виндой там есть какое то решение собрать вроде драйвер, нужно пробовать. Ssh тунель они Вряд-ли блокнут, это тоже самое что выстрелить себе в ногу, хотя возьмут и запретят ssh зарубеж, вот будет весело. Через sign box можно через ssh весь трафик с машины завернуть до сервера и работает норм, скорость может не такая высокая, но для браузера достаточно.
Я пользуюсь хранилищем KeePass XC на телефоне и десктопах, хранилище само хранится в условном домашнем облаке доступ со всех устройств шифрование канала в наличии, в браузерах полный запрет на сохранение пароля, стоит интеграция с браузером для ввода паролей. Весьма удобно когда привыкнешь. Ageis для 2fa, рутокены mfa для fido2 авторизаций, ssh и тд. Рутокен эцп 2.0 flash для безопасной os без возможности изменения, и так же доступ по сертификатам к vpn, ssh и тд.
Rutoken MFA стандарт Fido2 U2F дешевле даже базовой версии yubico, сели смотреть 5/5с и тд с поддержкой openpgp то разница ещё выше, а ключей требуется все равно 2.
Обусфикация, замене на vless reality tls, там еще у амнизии вышел форк wireguard вроде как не блокируется. Надо пробовать. Домашний ngfw детектит дефолтный wg весьма легко.
Блокировки не заметил, wg ovpn работает, как внутри так и наружу.
Про скорость интернета да, мтс на 4г выдаёт 16мбайт с vpn 12. Все знают кто виноват и почему мы должны терпеть цены на интернет стали выше, не обоснованно выше
Накатили бы сервер hyper-v, ну тот что бесплатный, настроили windows admin center, и уже в нем подняли бы терминальный сервер. В качестве клиентов подходят дешёвые неттопы и тд. На терминальный ставите офисный пакет, 1с и прочее что нужно, админ может ставить софт, остальные только работать, в качестве терминальной ос пойдёт любой жёстко ограниченный linux или os на токене для максимальной безопасности, например os barium на рутокене. Вложения будут все равно дешевле чем всех оснастить яблочной продукцией, а потом можно получить офис кирпичей если их заблочат.
Может проблема в том что отказаться от этих разрешений нельзя... как было со сбером, дай ему все что он хочет и тогда будет работать, что то не дал и все он не работает, сейчас благо без разрешений работает, так может 2гис пересмотреть политику обязательных разрешений.
Собрал я значит awg, собрался без проблем со свежим go, а вот
wireguard-tools возникли проблемы, не захотел вставать на сервер где уже развернут wg. Так что пока wg работает переделывать рабочий сервер нет смысла, есть ssh tunnel иvless reality tls, прошивка для роутера с bgp и passwall была собрана. Да и клиента для openwrt у awg нет а это минус , у меня два роутера дома и портативный на базе rpi и модема. Для меня awg ещё не законченный продукт