Более года назад я написал длинную и скучную статью про стремительное изменение рабочей среды, про глобализацию, мобильность и безопасность различных типов удаленного доступа. Из-за отсутствия картинок и сухого слога статья не вызвала оживленной дискуссии, но лично мне дала сильный импульс в нужном направлении. Мысли об удобной и безопасной реализации удаленного доступа для сотрудников к ресурсам корпоративной сети воплотились в реальном продукте с кодовым названием «VPN Box».

Хочу рассказать, что получилось через год исследований и разработок. Все работы велись мною в норвежской компании INFOSS AS (не реклама), поэтому их логотип стоит на конечном устройстве.

Последние дни весь интернет заполнен статьями о планомерном закручивании гаек в отношении приватности пользовательского трафика, закрытием торрентов и тому подобное. Как обычно, инициативы законодателей прикрываются благородными мотивами, но мы все прекрасно понимаем, что истинная причина кроется в желании получить контроль над информацией и не допустить каких-то нежелательных событий, угрожающих существующему режиму. Чем тоталитарнее система, тем больше ограничений, это факт.

Однако, Хабр вне политики, поэтому закончу эмоциональную вводную к статье.

Существует множество различных вариантов спасения от всевидящего ока спецслужб, но по моему скромному убеждению лучшим решением является VPN. Если человек не ищет анонимности, а заинтересован именно в конфиденциальности и целостности своих данных, то качественный VPN в режиме постоянного подключения — это то, что надо. Добропорядочному пользователю нет смысла шифроваться под чужими именами в сетях I2P, но есть смысл защитить свой трафик от прослушки третьими лицами.

Под давлением патентного тролля VirneX в iOS7 изменили логику работы режима Connect On Demand (Always On). Теперь подключение VPN устанавливается только если DNS сервер не может найти запрашиваемый домен. Это подходит для подключения к «внутренним» ресурсам корпоративной сети, но совершенно исключает комфортную работу в режиме «VPN прокси», когда весь трафик с мобильного устройства проходит через VPN-сервер.

Безусловно, будут искаться какие-то варианты решения данной проблемы. Для пользователей ruVPN.net я рекомендую не обновляться до iOS7, так как будет потеряно основное преимущество услуги — гарантированное подключение к VPN при наличии трафика.

Проект ruVPN предлагает вашему вниманию решение VPN для компьютеров на базе Mac OS X, это макбуки, аймаки, мак мини и мак про. Особенно актуальна услуга будет для пользователей макбуков, им часто приходится использовать открытые беспроводные сети в кофейнях, аэропортах и гостиницах.

О возможных угрозах использования публичных сетей я уже писал ранее. Все описанные ситуации применимы к пользователям ноутбуков.

Однако, статья является не только анонсом. Я расскажу про нюансы установки профилей на компьютеры Apple.

Прежде всего отсылаю к большой статье про профили конфигурации для для мобильных устройств Apple. Там я лишь упомянул, что «технология загрузки профилей конфигурации с некоторыми допущениями относится и к мобильным устройствам на базе OS X 10.8+, то есть для свежих MacBook, MacBook Air/Pro». Сейчас пойдет речь про «некоторые допущения».

С сегодняшнего дня появилась возможность попробовать загрузку профиля VPN, прежде чем принимать решение о покупке. Профиль устанавливается автоматически на мобильные устройства под управлением Apple iOS (iPhone, iPad) и позволяет полноценно пользоваться IPSec VPN с автоматическим подключением в течение одного часа. Затем доступ через VPN прекращается, а сам профиль автоматически удаляется через сутки.

Для новых и сомневающихся пользователей будет очень интересно попробовать технологию Connect on Demand «вживую».

Ссылка на пробное подключение — ruvpn.net/ru/order/15
Ссылка на коммерческий тарифный план — ruvpn.net/ru/product/details/4

Уже давно считается хорошим тоном отдавать контент сайта на языке, предпочитаемом пользователем. Некоторые сервера определяют язык по месту нахождения пользователя с помощью модулей геолокации, остальные берут настройки браузера. Языковые предпочтения пользователя часто сохраняются в cookie, и затем используются при повторном визите.

Какой метод определения языка пользователя подходит лучше – вопрос достаточно спорный. Мой личный ранг значимости языковой информации (в порядке убывания): cookie, настройки браузера, регион.

Для поисковых систем, социальных сетей и прочих агрегаторов информации важно знать, на каком языке должна быть проиндексирована или загружена страница, например в качестве миниатюры в хронику фейсбука. Это значит, что ссылка должна однозначно указывать на язык.

Распространенные варианты кодирования языковой информации о ресурсе следующие:

• каждая языковая версия на отдельном субдомене, например en.example.com, ru.example.com
• язык ресурса указывается в префиксе URI, например example.com/en/, example.com/ru
• язык ресурса указывается в GET параметре, например example.com?lang=en, example.com?lang=ru

Первый вариант наиболее радикальный, каждая языковая версия сайта рассматривается как отдельный ресурс. Могут возникнуть сложности с SSL сертификатом, необходимо заранее предусмотреть все возможные варианты в SAN DNS Host Name, или заказать сертификат с маской, например *.example.com.

Второй вариант наиболее практичный, выбор языка входит в URI, значит, не будет проблем с индексацией и копированием ссылки.

Третий вариант выглядит менее привычно, требует дополнительной логики при добавлении остальных GET параметров и может смутить пользователя при копировании ссылки. Не самый лучший вариант для публичных ссылок.

Я расскажу о реализации второго варианта на базе сервера NGINX. При минимальных изменениях можно применить описанные настройки и для первого варианта.

На Хабре много статей про виртуальные частные сети (VPN): руководства по самостоятельной настройке, обзор технологии, примеры использования. Все они в той или иной степени рассчитаны на продвинутых пользователей, которые прекрасно осознают угрозы в современном информационном пространстве и целенаправленно выбирают тот или иной способ защиты.

Как же быть обычным пользователям? Что им угрожает? Нужен ли им вообще VPN?

Для ответа на эти вопросы достаточно собрать простейший тестовый стенд с точкой доступа Wi-Fi и анализатором трафика. Результат окажется очень занимательным.

Первое, что приходит в голову при мысли о мобильном оборудовании для сотрудника крупной компании – это ноутбук типа HP EliteBook и смартфон BlackBerry. Подавляющее большинство считает, что MacBook очень далек от корпоративных стандартов, и подходит только для дизайнеров, инди-разработчиков и продвинутых домохозяек. iPhone считается стильным гаджетом для написания твиттов и фотографирования «луков» для модного Инстаграма.



Сейчас я попытаюсь развеять подобные стереотипы и рассказать, на что способны мобильные устройства знаменитой компании из Купертино.

Неделю назад на сайте ruvpn.net было запущено функциональное бета-тестирование нового сервиса IPSec VPN-on-Demand. О результатах расскажу в конце статьи, а пока немного информации о проекте в целом. Сейчас проходит самый первый этап — IPSec VPN для устройств на базе Apple iOS.



Существует множество подобных решений, какой смысл делать еще одно? Все достаточно просто — аналогичные решения делались специалистами по сетям. Данное решение реализовано специалистами по безопасности сетей и цифровым сертификатам. Был использован опыт работы с очень крупными финансовыми компаниями, детально изучены корпоративные технологии в области информационной безопасности.

Эти знания натолкнули на мысль — а что если взять все лучшее из корпоративного сектора и попробовать внедрить для обычных пользователей? В частности, можно использовать технологии корпоративных VPN при развертывании нового сервиса.
В итоге можно получить все преимущества подобных решений:

• автоматическая настройка VPN на устройстве,
• авторизация на базе цифровых сертификатов,
• автоматическое подключение VPN при любой сетевой активности устройства (VPN-on-Demand).

Мир изменился.

Еще несколько лет назад работа в компании обязательно подразумевала наличие рабочего места в уютном офисе: стол с компьютером и фотографией любимой собаки, утренние встречи с коллегами у кофе-машины и все остальные атрибуты присутствия на территории работодателя. При этом для решения большинства задач было достаточно компьютера и подключения к корпоративной сети.

В современном мире доля таких задач приближается к ста процентам. Появились надежные и скоростные каналы связи. Ноутбуки стали в разы мощнее офисных компьютеров пятилетней давности. Смартфоны несут в себе большую вычислительную мощность, чем суперкомпьютеры, применявшиеся для расчета траекторий первых космических полетов.

Мир стал мобильнее, намного мобильнее, чем это может показаться на первый взгляд. Появилась и стремительно развивается новая ниша квалифицированной рабочей силы — фрилансеры и консультанты. Множество направлений крупнейших мировых корпораций отданы на аутсорс, задачи выполняют удаленные консультанты, которые не состоят в штате компании и работают над определенным проектом. Это позволяет гибко планировать ресурсы под конечные задачи и значительно минимизировать расходы.

Глобализация отложила отпечаток и на внутренние процессы крупных предприятий. Появились так называемые “виртуальные команды”: группы людей, работающих над одним проектом из различных филиалов компании. Они могут никогда не встречаться лично, но при этом отлично сработались и показывают превосходную эффективность.

Сотрудникам, постоянно находящимся в разъездах, исторически приходилось преодолевать множество трудностей, вызванных большими расстояниями до родной компании. Сначала все коммуникации сводились к длительным телефонным разговорам, с огромными счетами за роуминг в конечном итоге. Потом появился нестабильный и крайне дорогой в роуминге GPRS доступ. Затем началась эпоха Wi-Fi в отелях и бизнес-центрах. Сейчас, с появлением и распространением мобильных сетей третьего и четвертого поколений, можно устанавливать прямые сеансы видеосвязи со своими коллегами прямо с мобильного телефона.

Для больших мегаполисов характерны не только высокие заработки, но и высокие цены на жилье, постоянные пробки на дорогах. Мне известны люди, которые ежедневно тратили по два с половиной часа на то, чтобы добраться до работы. И потом еще столько же на обратную дорогу. Только подумайте — пять часов в сутки на дорогу. Это почти треть всего времени бодрствования, а значит почти треть жизни! После столь длительного пути сотрудник приходит на работу уже уставший, и значит, о максимальной отдаче можно забыть. С моей точки зрения, тратить больше часа на дорогу в одну сторону смысла нет. Если дорога занимает больше времени, то надо или искать подходящее жилье около офиса компании, или переходить на удаленный режим работы.

Итак, возможности современных информационных сетей достаточны для комфортной работы вне предприятия. Мотивы для использования удаленных подключений я изложил выше. Каковы же недостатки?

Как все настроить: пошаговая инструкция с пояснениями и мыслями вслух.

Решил поделится собственным опытом развертывания центра сертификации EJBCA в продакшн-системе. На Хабре уже есть хорошая обзорная статья по установке EJBCA, однако не всегда типовые конфигурации подходят для реальных нужд.
Когда же нужен центр сертификации (Certification Authority или CA) на предприятии? Нет нужды развертывать собственную инфраструктуру открытых ключей (PKI) если необходимо выпустить несколько SSL сертификатов для публичных веб-серверов. Более того, это крайне не рекомендуется, так как существует два варианта развития событий: