Мне кажется стоимость поездки всегда была условно-ориентировочной. По пути можно внезапно постоять в пробке, можно попросить поехать другим маршрутом, заехать за тортом и т.п :) вроде как раньше итоговая стоимость отличалась от заявленной чаще (развитие алгоритмов!). И не помню, может это был убер когда он был убером - было два варианта стоимости, фикс и «по счётчику»..
Да, оно красивое на бумажке, но требует осмысления, доработки и изменений. Тот же imap можно объявить легаси и похоронить в пользу вебинтерфейса условной зимбры. Или прикрутить к нему mtls (так же закрыть на серт клиентский)..
Если винда - с adfs тож не особо сложно. Больше проблем с сервисами, что или заводят для галочки поддержку, или начинают считать что это суперентерпрайзно и хотеть множество деняк:)
Подумайте над имплементацией в том или ином формате подхода zero trust security. Условно нам не важно, где комп - в локалке (в впн) или дома, мы одинаково защищаем сервисы. Оно хорошо ложится на byod-подход и в целом не особо затратно можно сделать без накручивания conditional access и client posture/profiling.
Как вариант имплементации (не факт что подойдёт вам, чисто вариант концепта) сервисы вывешиваем на внешний адрес, но помимо аутентификации и авторизации через ldap крутим mfa, и проверяем наличие клиентского сертификата выданного внутренним СА. Сертификатом спасаемся от всяких zero-day, mfa - на случай если и учётка и серт утекут (например стырили ноут, а он нешифрован и пароль на рабочем столе). Можно использовать и совместно с впн, например mfa запрашивать только при внешнем подключении (тут понадобится опять же сплит/дмз, но по крайней мере часть сотрудников не будет страдать от mfa). Mfa хорошо крутить с sso вроде самл/oauth (в один сервис зашёл, в другие в период n часов влетаешь без запросов).
Ну, главное что риск оценен, взвешен и принят :) к слову, тут ещё возможны косяки (в теории и отаки, но вы вероятно тоже учли) при работе без впн, когда можно попасть по имени куда-то совсем не туда - вплоть до отправки чуйствительной информации вроде паролей плейнтекстом-куков и т.п.
Я как чувак, что ближе к кровавому тыртырпрайзу предпочитаю сплитднс при отсутствии возможности/желания работать с внешними адресами сервисов или реверс-прокси (подробнее про нюансы отож писал выше).
всё правильно, внутренние ресурсы, для внутренних пользователей.
и один балансировщик. с терминацией ссл. смотрящий наружу (одной ногой условно для www.domain.name) и запрашивающий вайлдкард *.domain.name. обращения к внутренним сервисам - через этот балансировщик, по уже внутренней ноге. одна точка терминации, один сертбот. заодно внутренни сервисы принимают подключения только с одного внутреннего адреса (ну если делать ha - c нескольких) что упрощает фаерволенг и сегментирование сети.
в целом для внутренних клиентов обращаться по внешнему адресу тоже допустимо, но без настройки маршрутизации между внешними и внутренними адресами (например с полноценной DMZ и своей AS) - оно будет ну такое, на балансировщике внутренних адресов не увидите.
Простой вариант как калаш - один балансировщик-реверпрокси (тот же нжиникс или хапрокси или и то, и то - тут по вкусу) с терминацией ссл и вайлдкардами для нужных обслуживаемых доменов…
Отдавать наружу внутренние адреса чот ну такое. Мало того, что относительно публичны имена внутренних хостов, так ещё и ip их известны - а лучше отдавать наружу меньше инфы об инфраструктуре:)
Ага, инструменты разные. Можно конечно прикрутить экспортёр к прометеусу, но зачем - заббикс хорош для «низкоуровневого» мониторинга, прометеус - для сбора метрик, особенно для сбора метрик приложений. А для визуализации один шут графана:)
Ну, периодически ловили всякое подобное.. лечится - да, в идеале отпилом нафиг 2.4, а в 5 - ручной настройкой мощности точек в сторону уменьшения (при необходимости с увеличением их количества), а так же вопросом геометрии покрытия , чтоб избежать интересного хода волны (вместо всенаправленных точек вешать направленные/секторальные). Чтобы перекрытие было минимальным и клиент вовсе не видел лишнего - на складах, особенно с металлической мебелью и стеклом, волны порой довольно причудливо себя ведут. За вендора ваших точек ничего не скажу (не знаю), но ловили подобное и на цисках с юнифаями.
И присоединюсь к ораторам выше - пойти в проект поглубже, оптимизировать бизнес-процессы/по чтоб потеря нескольких пакетов не мешала работе. Если конечно есть возможность. Встречалась схема работы вида - ребята подъезжают на зону разгрузки с оператором, там вайфай ловит :) получают сборочный лист на терминал - и погнали. Так склад без покрытия вафая
ну, есть отечественные вендоры, есть cisco plr для тех, кому близок по духу вольный дух Тортуги%) ну и можно изобретать всякое, например 802.1x c радиусом и атрибутами cisco-av-pair (ессно нужно оборудование с поддержкой этого дела), каптивы..
Сегментация населения по l2 чудесна.. когда применима :( часто красиво нарисованное ломается о реальность и вагоне исключений, и тут на помощь приходят всякие механизмы, которые условно можно отнести к ngfw - фаерволить не по сетям, но по пользователям (группам в которых пользователь состоит).. да и ngfw поможет (немношк) избавится от легаси-прокси, с реализацией реально прозрачной работы. С работой через mitm или хотя бы по sni.
А для подключения инженеров к рабочим станциям лучше использовать не доменные учётки, а локальные с уникальными паролями (laps).
И ещё - стоит обязательно вдумчиво продумывать адресацию, чтобы использовать аггрегацию сетей для классической фильтрации. Например, сегмент users 192.168.0.0/23, в который входит sales с 192.168.0.0/24 и buh 192.168.1.0/24. Вдумчивый адресный план поможет с классическим фаерволеньем без моднейших nac и ngfw систем, или удачно их дополнит.
был тут немного удивлён. подавал на налоговый вычет. звонок, я на совещании - сбросил. приходит СМС, здравствуйте, меня зовут ИмяФамилия, я из налоговой по вопросу налогового вычета, позвоните мне пожалуйста. позвонил - у вас не хватает этой бумажки, а вот этот скан не прикрепился в pdf, у нас такое бывает, можете пожалуйста добавить скан в .jpg и нужную бумажку? как добавите, наберите меня если получится до 19 сегодня, я сразу всё проверю и запущу дальше. всё очень вежливо и корректно, даже не ожидал:)
1 - для работы с буквоцифрами -да. для работы только с цифрами и простой матемтикой - цифровой блок мастхев. видел как-то и Ъ использование, когда почти вся работа велась на цифровом блоке с включением-выключением numlock одной рукой - очень быстро) левая при этом на подхвате если нужны редкие буквы)
ну видимо тут у каждого своё:) у меня в ro не уходила ни одна из SSD. дохли внезапно за исключением одной (та начала тупить, потом сдохла). всего дохлых было 20+. не беру в расчёт сгоревший физически сервачок (хотя к слову - ссд там сдохли совсем, пластик потёк, а харды остались живы)
по части хдд - было несколько со сдохшим контроллером (хдд дохлых видел значительно больше, но и ссд стали массовыми не так давно). пару раз - был брат-близнец и данные вытягивались пересадкой платы, без обращений в СЦ с PC3000 и подобными штуковинами. сыпались по механике - значительно больше
По сравнению с ссд харды умирают предсказуемее, а не оп - и сдох (смарт, звуки, тупняки). Поэтому рекомендую всем покупать разумно сообразно требованиям и делать бэкапы важного:)
а какие вирусы вы нашли в рокетчате? О_о с багами согласен, их там порядком:) ну и пуши - в опенсорц-версии емнип 10к пушей, ну или компиляй приложения мобильные сам. и монга.
есть ещё интересный продукт под названием Zulip, напомнил помесь тимс и слака. опенсорц, пока без ограничений в опенсорц версии (в отличие от рокета и маттермоста, где как бы нет saml, расширенной ldap-интеграции и т.п.)
есть и некоторое количество интересных отечественных мессенджеров, но которые хотят денег (express, dialog)
Мне кажется стоимость поездки всегда была условно-ориентировочной. По пути можно внезапно постоять в пробке, можно попросить поехать другим маршрутом, заехать за тортом и т.п :) вроде как раньше итоговая стоимость отличалась от заявленной чаще (развитие алгоритмов!). И не помню, может это был убер когда он был убером - было два варианта стоимости, фикс и «по счётчику»..
Да, оно красивое на бумажке, но требует осмысления, доработки и изменений. Тот же imap можно объявить легаси и похоронить в пользу вебинтерфейса условной зимбры. Или прикрутить к нему mtls (так же закрыть на серт клиентский)..
Если винда - с adfs тож не особо сложно. Больше проблем с сервисами, что или заводят для галочки поддержку, или начинают считать что это суперентерпрайзно и хотеть множество деняк:)
Подумайте над имплементацией в том или ином формате подхода zero trust security. Условно нам не важно, где комп - в локалке (в впн) или дома, мы одинаково защищаем сервисы. Оно хорошо ложится на byod-подход и в целом не особо затратно можно сделать без накручивания conditional access и client posture/profiling.
Как вариант имплементации (не факт что подойдёт вам, чисто вариант концепта) сервисы вывешиваем на внешний адрес, но помимо аутентификации и авторизации через ldap крутим mfa, и проверяем наличие клиентского сертификата выданного внутренним СА. Сертификатом спасаемся от всяких zero-day, mfa - на случай если и учётка и серт утекут (например стырили ноут, а он нешифрован и пароль на рабочем столе). Можно использовать и совместно с впн, например mfa запрашивать только при внешнем подключении (тут понадобится опять же сплит/дмз, но по крайней мере часть сотрудников не будет страдать от mfa). Mfa хорошо крутить с sso вроде самл/oauth (в один сервис зашёл, в другие в период n часов влетаешь без запросов).
Ну, главное что риск оценен, взвешен и принят :) к слову, тут ещё возможны косяки (в теории и отаки, но вы вероятно тоже учли) при работе без впн, когда можно попасть по имени куда-то совсем не туда - вплоть до отправки чуйствительной информации вроде паролей плейнтекстом-куков и т.п.
Я как чувак, что ближе к кровавому тыртырпрайзу предпочитаю сплитднс при отсутствии возможности/желания работать с внешними адресами сервисов или реверс-прокси (подробнее про нюансы отож писал выше).
всё правильно, внутренние ресурсы, для внутренних пользователей.
и один балансировщик. с терминацией ссл. смотрящий наружу (одной ногой условно для www.domain.name) и запрашивающий вайлдкард *.domain.name. обращения к внутренним сервисам - через этот балансировщик, по уже внутренней ноге. одна точка терминации, один сертбот.
заодно внутренни сервисы принимают подключения только с одного внутреннего адреса (ну если делать ha - c нескольких) что упрощает фаерволенг и сегментирование сети.
в целом для внутренних клиентов обращаться по внешнему адресу тоже допустимо, но без настройки маршрутизации между внешними и внутренними адресами (например с полноценной DMZ и своей AS) - оно будет ну такое, на балансировщике внутренних адресов не увидите.
этот комментарий не вам:)
Простой вариант как калаш - один балансировщик-реверпрокси (тот же нжиникс или хапрокси или и то, и то - тут по вкусу) с терминацией ссл и вайлдкардами для нужных обслуживаемых доменов…
Отдавать наружу внутренние адреса чот ну такое. Мало того, что относительно публичны имена внутренних хостов, так ещё и ip их известны - а лучше отдавать наружу меньше инфы об инфраструктуре:)
Ага, инструменты разные. Можно конечно прикрутить экспортёр к прометеусу, но зачем - заббикс хорош для «низкоуровневого» мониторинга, прометеус - для сбора метрик, особенно для сбора метрик приложений. А для визуализации один шут графана:)
Ну, периодически ловили всякое подобное.. лечится - да, в идеале отпилом нафиг 2.4, а в 5 - ручной настройкой мощности точек в сторону уменьшения (при необходимости с увеличением их количества), а так же вопросом геометрии покрытия , чтоб избежать интересного хода волны (вместо всенаправленных точек вешать направленные/секторальные). Чтобы перекрытие было минимальным и клиент вовсе не видел лишнего - на складах, особенно с металлической мебелью и стеклом, волны порой довольно причудливо себя ведут. За вендора ваших точек ничего не скажу (не знаю), но ловили подобное и на цисках с юнифаями.
И присоединюсь к ораторам выше - пойти в проект поглубже, оптимизировать бизнес-процессы/по чтоб потеря нескольких пакетов не мешала работе. Если конечно есть возможность. Встречалась схема работы вида - ребята подъезжают на зону разгрузки с оператором, там вайфай ловит :) получают сборочный лист на терминал - и погнали. Так склад без покрытия вафая
емнип тот же usergate мог (с агентом), ideco - через rpc до контроллеров домена...
ну, есть отечественные вендоры, есть cisco plr для тех, кому близок по духу вольный дух Тортуги%) ну и можно изобретать всякое, например 802.1x c радиусом и атрибутами cisco-av-pair (ессно нужно оборудование с поддержкой этого дела), каптивы..
Спасибо за статью, но чуть включу зануду :))
Сегментация населения по l2 чудесна.. когда применима :( часто красиво нарисованное ломается о реальность и вагоне исключений, и тут на помощь приходят всякие механизмы, которые условно можно отнести к ngfw - фаерволить не по сетям, но по пользователям (группам в которых пользователь состоит).. да и ngfw поможет (немношк) избавится от легаси-прокси, с реализацией реально прозрачной работы. С работой через mitm или хотя бы по sni.
А для подключения инженеров к рабочим станциям лучше использовать не доменные учётки, а локальные с уникальными паролями (laps).
И ещё - стоит обязательно вдумчиво продумывать адресацию, чтобы использовать аггрегацию сетей для классической фильтрации. Например, сегмент users 192.168.0.0/23, в который входит sales с 192.168.0.0/24 и buh 192.168.1.0/24. Вдумчивый адресный план поможет с классическим фаерволеньем без моднейших nac и ngfw систем, или удачно их дополнит.
был тут немного удивлён. подавал на налоговый вычет. звонок, я на совещании - сбросил. приходит СМС, здравствуйте, меня зовут ИмяФамилия, я из налоговой по вопросу налогового вычета, позвоните мне пожалуйста. позвонил - у вас не хватает этой бумажки, а вот этот скан не прикрепился в pdf, у нас такое бывает, можете пожалуйста добавить скан в .jpg и нужную бумажку? как добавите, наберите меня если получится до 19 сегодня, я сразу всё проверю и запущу дальше.
всё очень вежливо и корректно, даже не ожидал:)
1 - для работы с буквоцифрами -да. для работы только с цифрами и простой матемтикой - цифровой блок мастхев. видел как-то и Ъ использование, когда почти вся работа велась на цифровом блоке с включением-выключением numlock одной рукой - очень быстро) левая при этом на подхвате если нужны редкие буквы)
ну видимо тут у каждого своё:) у меня в ro не уходила ни одна из SSD. дохли внезапно за исключением одной (та начала тупить, потом сдохла). всего дохлых было 20+. не беру в расчёт сгоревший физически сервачок (хотя к слову - ссд там сдохли совсем, пластик потёк, а харды остались живы)
по части хдд - было несколько со сдохшим контроллером (хдд дохлых видел значительно больше, но и ссд стали массовыми не так давно). пару раз - был брат-близнец и данные вытягивались пересадкой платы, без обращений в СЦ с PC3000 и подобными штуковинами. сыпались по механике - значительно больше
По сравнению с ссд харды умирают предсказуемее, а не оп - и сдох (смарт, звуки, тупняки). Поэтому рекомендую всем покупать разумно сообразно требованиям и делать бэкапы важного:)
а вы работали с рокетчатом?:)
зато нативно есть гифачки:)
а какие вирусы вы нашли в рокетчате? О_о с багами согласен, их там порядком:) ну и пуши - в опенсорц-версии емнип 10к пушей, ну или компиляй приложения мобильные сам. и монга.
есть ещё интересный продукт под названием Zulip, напомнил помесь тимс и слака. опенсорц, пока без ограничений в опенсорц версии (в отличие от рокета и маттермоста, где как бы нет saml, расширенной ldap-интеграции и т.п.)
есть и некоторое количество интересных отечественных мессенджеров, но которые хотят денег (express, dialog)