Ну WS-транспорт может быть полезным чтобы подольше от DPI прятаться. Другие варианты имеют уж очень приметные сигнатуры, а QUIC бывает целиком отсыхает из-за РКН - вот тут да, в наших реалиях он бесполезен.
Да, "это не цель Yggdrasil" (c), но все же если что-то работает - оно имеет право на жизнь.
По теме - мне надо обязательно найти время пощупать. Отсутствие CKR в go-реализации - это то, из-за чего у меня боль-дырка-задница
Если прикидываться пингами "на всю котлету"(максимально возможный MTU) - порежут легко такое на ТСПУ. А если кидать стандартные 64 байтные пакеты, то, во-первых скорость будет полное говно, а во-вторых по количеству пакетов это тоже будет аномалия и это тоже порежут легко и непринужденно.
ICMP и DNS-туннели были нишевым вариантом когда ни о каких DPI и речи не шло.
Возможности работы с большими каталогами пользователей AD/ALD
Забавно слышать подобное, учитывая что еще пару лет назад ваш продукт не мог забрать данные с AD, если DNS-сервера самой доменной зоны располагаются не на контроллерах домена
Нет, мы честно попытались месяц с вашими инженерами это подебажить, но когда получилось откровенное ничего - рассматривать вас стало сложно.
А жаль. Потому что до вот этого досадного факапа, в моих глазах вы по сравнению с UserGate ощутимо выигрывали в техническом плане
DoT рубится по сигнатурам. DoH отрезать сложнее, но у нас по условиям задачи уже гипотетическая ситуация где более HTTPS. А в случае DNSSEC - насколько я понимаю вы будете защищены от только от подмены. Задача регулятора при борьбе с такими записями стоит не в том чтобы прислать вам какую-то подмененную запись - задача не доставить вам эту запись вообще.
В этом и заключается принципиальная разница между нами. Вы считаете что даже в текущей ситуации надо бороться играя с системой-шулером на ее поле краплеными картами. Я же считаю что в текущей ситуации пистолет с одной пулей эффективнее исправляет несправедливый приговор - потому что законных способов это сделать нет, а так хотя ьы страдать из-за несправедливости не будешь.
Если не смущает интерфейс все в одном - то есть Retroshare. Правда оно desktop-only(мобильного интерфейса нет) и когда я еще им пользовался - вменяемого режима для запуска без GUI(на сервере) у него не было.
Справедливости ради(не защищая конкретно ФБК) - борьба с коррупцией на определенных масштабах ИМХО не может быть аполитичной сама по себе.
Нет, если мы говорим о взяточничестве третьего заместителя семнадцатого секретаря усть-переп*дюйского райкома - то конечно может. Но как только цели становятся крупнее - возникают всякие нюансы
Все тоже самое - создаете УЦ любым удобным для вас способом, подписывайте им сертификат с нужными вами EKU и добавляете этот сертификат везде в доверенные издатели(ЕМНИП в Windows оно называется так).
Важное примечание: без Timestamp-сервера в подпись Powershell-скрипта не зашивается дата, когда скрипт был подписан. Из-за чего вам придется переподписывать все скрипты при прокисании codesign-сертификата. Если это устраивает - ок. Если нет - подумайте о разворачивании Timestamp-сервера (они есть как в составе некоторые сетевых УЦ, так и standalone-реализации)
>Но почему-то ни для кого это не является проблемой
Еще как является, только сделать с этом ничего нельзя. Но это не значит что об этой проблеме надо перестать говорить. Как и о проблеме написания говнокода с помощью ИИ.
Тем временем российский PT NAD до сих пор не имеет API для автоматизированного обновления сертификатов. Кровавый энтерпрайз как никогда кровав, наши безопасники очень довольны заниматься слежением за устаревающими сертами(нет)
Между вендорами - обычно никак. Внутри вендора - как повезет, но если не откровенная китайщина - то стараются сильно с цветами не мудрить и делают +/- одинаковую раскраску.
Ну WS-транспорт может быть полезным чтобы подольше от DPI прятаться. Другие варианты имеют уж очень приметные сигнатуры, а QUIC бывает целиком отсыхает из-за РКН - вот тут да, в наших реалиях он бесполезен.
Да, "это не цель Yggdrasil" (c), но все же если что-то работает - оно имеет право на жизнь.
По теме - мне надо обязательно найти время пощупать. Отсутствие CKR в go-реализации - это то, из-за чего у меня боль-дырка-задница
Лучше быть луддитом, но с данными, чем продвинутым пользователем без них
VLESS + Reality - это уже прошлый век. XHTTP с Self-steal поактуальнее будет
Если прикидываться пингами "на всю котлету"(максимально возможный MTU) - порежут легко такое на ТСПУ. А если кидать стандартные 64 байтные пакеты, то, во-первых скорость будет полное говно, а во-вторых по количеству пакетов это тоже будет аномалия и это тоже порежут легко и непринужденно.
ICMP и DNS-туннели были нишевым вариантом когда ни о каких DPI и речи не шло.
Забавно слышать подобное, учитывая что еще пару лет назад ваш продукт не мог забрать данные с AD, если DNS-сервера самой доменной зоны располагаются не на контроллерах домена
Нет, мы честно попытались месяц с вашими инженерами это подебажить, но когда получилось откровенное ничего - рассматривать вас стало сложно.
А жаль. Потому что до вот этого досадного факапа, в моих глазах вы по сравнению с UserGate ощутимо выигрывали в техническом плане
Хотите изобрести второй DeltaChat? :-)
DoT рубится по сигнатурам.
DoH отрезать сложнее, но у нас по условиям задачи уже гипотетическая ситуация где более HTTPS.
А в случае DNSSEC - насколько я понимаю вы будете защищены от только от подмены. Задача регулятора при борьбе с такими записями стоит не в том чтобы прислать вам какую-то подмененную запись - задача не доставить вам эту запись вообще.
В этом и заключается принципиальная разница между нами. Вы считаете что даже в текущей ситуации надо бороться играя с системой-шулером на ее поле краплеными картами. Я же считаю что в текущей ситуации пистолет с одной пулей эффективнее исправляет несправедливый приговор - потому что законных способов это сделать нет, а так хотя ьы страдать из-за несправедливости не будешь.
Если не смущает интерфейс все в одном - то есть Retroshare. Правда оно desktop-only(мобильного интерфейса нет) и когда я еще им пользовался - вменяемого режима для запуска без GUI(на сервере) у него не было.
Конституции РФ, статья 55, пункт 3: кроет статью 29 как за нефиг делать. Ибо меру определить в других законах можно легко и непринужденно.
Так DPI небось на базе DPDK построены
Справедливости ради(не защищая конкретно ФБК) - борьба с коррупцией на определенных масштабах ИМХО не может быть аполитичной сама по себе.
Нет, если мы говорим о взяточничестве третьего заместителя семнадцатого секретаря усть-переп*дюйского райкома - то конечно может. Но как только цели становятся крупнее - возникают всякие нюансы
Все тоже самое - создаете УЦ любым удобным для вас способом, подписывайте им сертификат с нужными вами EKU и добавляете этот сертификат везде в доверенные издатели(ЕМНИП в Windows оно называется так).
Важное примечание: без Timestamp-сервера в подпись Powershell-скрипта не зашивается дата, когда скрипт был подписан. Из-за чего вам придется переподписывать все скрипты при прокисании codesign-сертификата. Если это устраивает - ок. Если нет - подумайте о разворачивании Timestamp-сервера (они есть как в составе некоторые сетевых УЦ, так и standalone-реализации)
Так у SSTP известные сигнатуры есть. Например можно посмотреть как это дело проверяет NMAP:
https://svn.nmap.org/nmap/scripts/sstp-discover.nse
>Но почему-то ни для кого это не является проблемой
Еще как является, только сделать с этом ничего нельзя. Но это не значит что об этой проблеме надо перестать говорить. Как и о проблеме написания говнокода с помощью ИИ.
В тред врывается английское слово Folder. Его как тогда переводить будем? По устоявишмся сейчас канонам это вроде как и есть "Папка"
Тем временем российский PT NAD до сих пор не имеет API для автоматизированного обновления сертификатов. Кровавый энтерпрайз как никогда кровав, наши безопасники очень довольны заниматься слежением за устаревающими сертами(нет)
Насколько мне известно - никак. В том смысле что если не зарубить подобное файрволом, то при использовании какого-нибудь torify - оно пойдет напрямую
Update: в tun2socks вообще отвечают на ICMP вместо хоста-назначения (https://github.com/xjasonlyu/tun2socks/issues/361)
И получится второй Gitlab. И тормозить будет также.
Но вообще да, просмотр 3D-файлов в web-интерфейсе системы контроля версий - штука сомнительная.
Между вендорами - обычно никак. Внутри вендора - как повезет, но если не откровенная китайщина - то стараются сильно с цветами не мудрить и делают +/- одинаковую раскраску.