ну, есть отечественные вендоры, есть cisco plr для тех, кому близок по духу вольный дух Тортуги%) ну и можно изобретать всякое, например 802.1x c радиусом и атрибутами cisco-av-pair (ессно нужно оборудование с поддержкой этого дела), каптивы..
Сегментация населения по l2 чудесна.. когда применима :( часто красиво нарисованное ломается о реальность и вагоне исключений, и тут на помощь приходят всякие механизмы, которые условно можно отнести к ngfw - фаерволить не по сетям, но по пользователям (группам в которых пользователь состоит).. да и ngfw поможет (немношк) избавится от легаси-прокси, с реализацией реально прозрачной работы. С работой через mitm или хотя бы по sni.
А для подключения инженеров к рабочим станциям лучше использовать не доменные учётки, а локальные с уникальными паролями (laps).
И ещё - стоит обязательно вдумчиво продумывать адресацию, чтобы использовать аггрегацию сетей для классической фильтрации. Например, сегмент users 192.168.0.0/23, в который входит sales с 192.168.0.0/24 и buh 192.168.1.0/24. Вдумчивый адресный план поможет с классическим фаерволеньем без моднейших nac и ngfw систем, или удачно их дополнит.
был тут немного удивлён. подавал на налоговый вычет. звонок, я на совещании - сбросил. приходит СМС, здравствуйте, меня зовут ИмяФамилия, я из налоговой по вопросу налогового вычета, позвоните мне пожалуйста. позвонил - у вас не хватает этой бумажки, а вот этот скан не прикрепился в pdf, у нас такое бывает, можете пожалуйста добавить скан в .jpg и нужную бумажку? как добавите, наберите меня если получится до 19 сегодня, я сразу всё проверю и запущу дальше. всё очень вежливо и корректно, даже не ожидал:)
1 - для работы с буквоцифрами -да. для работы только с цифрами и простой матемтикой - цифровой блок мастхев. видел как-то и Ъ использование, когда почти вся работа велась на цифровом блоке с включением-выключением numlock одной рукой - очень быстро) левая при этом на подхвате если нужны редкие буквы)
ну видимо тут у каждого своё:) у меня в ro не уходила ни одна из SSD. дохли внезапно за исключением одной (та начала тупить, потом сдохла). всего дохлых было 20+. не беру в расчёт сгоревший физически сервачок (хотя к слову - ссд там сдохли совсем, пластик потёк, а харды остались живы)
по части хдд - было несколько со сдохшим контроллером (хдд дохлых видел значительно больше, но и ссд стали массовыми не так давно). пару раз - был брат-близнец и данные вытягивались пересадкой платы, без обращений в СЦ с PC3000 и подобными штуковинами. сыпались по механике - значительно больше
По сравнению с ссд харды умирают предсказуемее, а не оп - и сдох (смарт, звуки, тупняки). Поэтому рекомендую всем покупать разумно сообразно требованиям и делать бэкапы важного:)
а какие вирусы вы нашли в рокетчате? О_о с багами согласен, их там порядком:) ну и пуши - в опенсорц-версии емнип 10к пушей, ну или компиляй приложения мобильные сам. и монга.
есть ещё интересный продукт под названием Zulip, напомнил помесь тимс и слака. опенсорц, пока без ограничений в опенсорц версии (в отличие от рокета и маттермоста, где как бы нет saml, расширенной ldap-интеграции и т.п.)
есть и некоторое количество интересных отечественных мессенджеров, но которые хотят денег (express, dialog)
..если что, под трансграничку можно подвести как всякие azure ad со слаками и атласианами, так и документы содержащие ПДн сотрудников или клиентов в условном гуглдоке.
Я бы даж упростил немного (соглашаясь с ораторами выше). Зависит от модели угроз. Например, вы шифруете холодный кошель с 100500 битками. Сравните угрозу «к вам пришли бандиты просто пограбить» и «к вам пришли бандиты пограбить, зная что у вас есть 100500 битков».
Или можно вспомнить старый-добрый cmak:) но я бы конечно рекомендовал ssl vpn (вроде sstp, anyconnect, openvpn в конце концов) - минимальны проблемы с прохождением трафика у разных провайдеров и домашних роутеров
спасибо. я когда-то для проекта думал брать роутербокс (платформу с али "под пфсенс"), но проект в итоге в массы не пошёл. удивлён, что не один я перешивал микротики под openwrt :D думал я один такой дурачок :D
по dns мне вот очень зашёл вариант с DoH. не надо подбирать подходящий днс, не надо искать сокс с udp, всё идёт через tcp. Кажется чуть более изящное решение
красивое:) для полного счастья не хватает конфига соксов через вебморду + разный вывод dns для разных девайсов (если например соксы разных стран и хочется избежать dns leak). как вариант, отдавать разные локальные адреса в качестве резолвера, а трафик с них пихать в соответствующий туннель..
а не подскажете, для общего развития - какое железо используете и сколько инстансов tun2socks?
интересный вариант, спасибо (узнал про nwan3, буду иметь ввиду). Правда, кажется применим для более мощных роутеров, которые помимо раздачи проксированного wi-fi делают что-то ещё. моя концепция - тяп-ляп сделали коробочку на чистой системе, которую воткнули в локалку и она раздаёт проксированный wi-fi, лазить и настраивать правила на регулярной основе не нужно. Ну и следует учесть, что один инстанс tun2socks может кушать под 60+мб оперативки, поэтому не только лишь каждый роутер вытянет несколько соксов
c натяжкой (требуется win hello, azure ad и подключение к нему клиентских устройств) но считается, спасибо :) попозже почитаю внимательнее, что там используется "под капотом", мб просто выдаёт керберос-токен и дальше прозрачный rdp (но доступ к кейтабам проверяется winhello), или ещё что.
заметьте, я не не был уверен в правоте - поскольку несколько лет не занимался безопасностью терминальных ферм и серверов:)
ну, есть отечественные вендоры, есть cisco plr для тех, кому близок по духу вольный дух Тортуги%) ну и можно изобретать всякое, например 802.1x c радиусом и атрибутами cisco-av-pair (ессно нужно оборудование с поддержкой этого дела), каптивы..
Спасибо за статью, но чуть включу зануду :))
Сегментация населения по l2 чудесна.. когда применима :( часто красиво нарисованное ломается о реальность и вагоне исключений, и тут на помощь приходят всякие механизмы, которые условно можно отнести к ngfw - фаерволить не по сетям, но по пользователям (группам в которых пользователь состоит).. да и ngfw поможет (немношк) избавится от легаси-прокси, с реализацией реально прозрачной работы. С работой через mitm или хотя бы по sni.
А для подключения инженеров к рабочим станциям лучше использовать не доменные учётки, а локальные с уникальными паролями (laps).
И ещё - стоит обязательно вдумчиво продумывать адресацию, чтобы использовать аггрегацию сетей для классической фильтрации. Например, сегмент users 192.168.0.0/23, в который входит sales с 192.168.0.0/24 и buh 192.168.1.0/24. Вдумчивый адресный план поможет с классическим фаерволеньем без моднейших nac и ngfw систем, или удачно их дополнит.
был тут немного удивлён. подавал на налоговый вычет. звонок, я на совещании - сбросил. приходит СМС, здравствуйте, меня зовут ИмяФамилия, я из налоговой по вопросу налогового вычета, позвоните мне пожалуйста. позвонил - у вас не хватает этой бумажки, а вот этот скан не прикрепился в pdf, у нас такое бывает, можете пожалуйста добавить скан в .jpg и нужную бумажку? как добавите, наберите меня если получится до 19 сегодня, я сразу всё проверю и запущу дальше.
всё очень вежливо и корректно, даже не ожидал:)
1 - для работы с буквоцифрами -да. для работы только с цифрами и простой матемтикой - цифровой блок мастхев. видел как-то и Ъ использование, когда почти вся работа велась на цифровом блоке с включением-выключением numlock одной рукой - очень быстро) левая при этом на подхвате если нужны редкие буквы)
ну видимо тут у каждого своё:) у меня в ro не уходила ни одна из SSD. дохли внезапно за исключением одной (та начала тупить, потом сдохла). всего дохлых было 20+. не беру в расчёт сгоревший физически сервачок (хотя к слову - ссд там сдохли совсем, пластик потёк, а харды остались живы)
по части хдд - было несколько со сдохшим контроллером (хдд дохлых видел значительно больше, но и ссд стали массовыми не так давно). пару раз - был брат-близнец и данные вытягивались пересадкой платы, без обращений в СЦ с PC3000 и подобными штуковинами. сыпались по механике - значительно больше
По сравнению с ссд харды умирают предсказуемее, а не оп - и сдох (смарт, звуки, тупняки). Поэтому рекомендую всем покупать разумно сообразно требованиям и делать бэкапы важного:)
а вы работали с рокетчатом?:)
зато нативно есть гифачки:)
а какие вирусы вы нашли в рокетчате? О_о с багами согласен, их там порядком:) ну и пуши - в опенсорц-версии емнип 10к пушей, ну или компиляй приложения мобильные сам. и монга.
есть ещё интересный продукт под названием Zulip, напомнил помесь тимс и слака. опенсорц, пока без ограничений в опенсорц версии (в отличие от рокета и маттермоста, где как бы нет saml, расширенной ldap-интеграции и т.п.)
есть и некоторое количество интересных отечественных мессенджеров, но которые хотят денег (express, dialog)
..если что, под трансграничку можно подвести как всякие azure ad со слаками и атласианами, так и документы содержащие ПДн сотрудников или клиентов в условном гуглдоке.
Я бы даж упростил немного (соглашаясь с ораторами выше). Зависит от модели угроз. Например, вы шифруете холодный кошель с 100500 битками. Сравните угрозу «к вам пришли бандиты просто пограбить» и «к вам пришли бандиты пограбить, зная что у вас есть 100500 битков».
а это точно легально, в Грузии нет конепции приравнивании таких отношений к трудовым, с последующей выплатой неуплаченных налогов, как в РФ?
закриптовать дело хорошее, но применимость зависит от модели угроз:)
Или можно вспомнить старый-добрый cmak:) но я бы конечно рекомендовал ssl vpn (вроде sstp, anyconnect, openvpn в конце концов) - минимальны проблемы с прохождением трафика у разных провайдеров и домашних роутеров
Аналогично rdp defender. Только что код закрыт.. в отличие от решния ТС один ip забаненый - одно правило в фаерволе
вот тут изобретаешь всякое (делал это всё с год назад), а тут кинетик вжжух - и реализовал:D и даже с DoH через прокси.. спасибо!
спасибо. я когда-то для проекта думал брать роутербокс (платформу с али "под пфсенс"), но проект в итоге в массы не пошёл. удивлён, что не один я перешивал микротики под openwrt :D думал я один такой дурачок :D
по dns мне вот очень зашёл вариант с DoH. не надо подбирать подходящий днс, не надо искать сокс с udp, всё идёт через tcp. Кажется чуть более изящное решение
красивое:) для полного счастья не хватает конфига соксов через вебморду + разный вывод dns для разных девайсов (если например соксы разных стран и хочется избежать dns leak). как вариант, отдавать разные локальные адреса в качестве резолвера, а трафик с них пихать в соответствующий туннель..
а не подскажете, для общего развития - какое железо используете и сколько инстансов tun2socks?
интересный вариант, спасибо (узнал про nwan3, буду иметь ввиду). Правда, кажется применим для более мощных роутеров, которые помимо раздачи проксированного wi-fi делают что-то ещё. моя концепция - тяп-ляп сделали коробочку на чистой системе, которую воткнули в локалку и она раздаёт проксированный wi-fi, лазить и настраивать правила на регулярной основе не нужно. Ну и следует учесть, что один инстанс tun2socks может кушать под 60+мб оперативки, поэтому не только лишь каждый роутер вытянет несколько соксов
c натяжкой (требуется win hello, azure ad и подключение к нему клиентских устройств) но считается, спасибо :) попозже почитаю внимательнее, что там используется "под капотом", мб просто выдаёт керберос-токен и дальше прозрачный rdp (но доступ к кейтабам проверяется winhello), или ещё что.
заметьте, я не не был уверен в правоте - поскольку несколько лет не занимался безопасностью терминальных ферм и серверов:)
PS судя по всему, там да, под капотом эмуляция смарт-карты - https://learn.microsoft.com/en-us/windows/security/identity-protection/hello-for-business/hello-feature-remote-desktop?source=recommendations ну и помимо сертов, можно использовать и биометрию