по первой ссылке - это смарткарта. работа через смарткарты реализована давно, тут вопросов нет. по второй ссылке - описана валидация серта сервера, тоже вопросов нет. Using certificates for authentication prevents possible man-in-the-middle attacks. When a communication channel is set up between the client and the server, the authority that generates the certificates vouches that the server is authentic. As long as the client trusts the server it is communicating with, the data being sent to and from the server is considered secure
>Зря вы считаете что МС вообще ничего в безопасности не понимает. не надо мне приписывать то, чего я не говорил :)
Технически можно ужаться в один. Да, к слову - а виртуализацию не используете принципиально? Можно тот же терминальник (даже без ad), но рядом routeros chr. Или линукс гипервизором, и реализовать port knocking на нём
Fail2ban + rds gateway + требования к паролям (включая проверку по словарям, благо такие решения есть) кмк более юзер-френдли. Ну и если что-то кликать населению перед началом работы - то уж лучше впн-клиент, это как-то поприятнее. Хотя бы ssh в туннельном режиме:)
Но ваш способ тоже интересный, спасибо что поделились:)
Насколько помню, нативно авторизации по клиентским сертификатам нет в rdp, даже с rds gateway. Есть разве что смарткарты, а нативно реализована валидация серта сервера. Можно изобразить, если использовать html5 клиенты например. Если что-то изменилось, был бы признателен за ссылку на документацию
Ну, не только госуслуги, по слухам ещё могут глядать реквизиты карты, благо в онлайнбанках их можно заглядать.
К слову, развлекаться и упражняться в остроумии тоже может быть чревато - ребята есть злопамятные и потом ваш номер могут использовать как подменный, для развода других людей. Так же, по легендам, могут тренировать нейронку, получив достаточно вашего голоса. Поэтому говорить лучше голосом изменённым:)
Решений примерно 100500 на любой вкус и цвет. Вопрос что выбрать гейтом и куда слать смс.
Например, есть гейты, которые пересылают смс на имейл, есть решения под андроид (оставляете смартфон с симкой, приложенька/скриптец форвардит куда-то, хоть в телегу), есть решения для модемов (усб-свичток втыкаете в комп, комп форвардит), в том числе вместе с астериском с выводом транка через жтот же модем.. в конце концов воткнутый в комп модем с вебмордой, к которой цепляться через впн или условный энидеск и читать смски
Тот же микротик к слову умеет смски читать с модемов, в резиме stick или своих встроенных (хз, может и hilink научился, давно не интересовался)
он кмк всегда был и для физиков, но подключался с некоторыми приключениями. крайне годная штука, особенно при учёте что можно завести транк куда угодно. но из плохого - пересыл в приложеньку СМС от банков (или от гейтов похожих на банковские) заблокирован, из соображений безопасности. поэтому гсм-гейт, где уже сам решаешь что делать со своими смс (неплохой вариант - кидать их в телегу, и наоборот из телеги в гсм обратно)
+1 к тому, что не селфхостед решение - решение сомнительное :) дискорд действительно неплох как корп мессенджер (лучше телеги), но вне периметра, нет интеграций с тем же лдап/saml, надо реализовывать контроль уволившихся, думать над утечками и т.п.. Из платных неплох ms teams.
Ну а селфхостед - рокетчат не так плох как его малюют (особенно платный) - интегрируется с онпремис bbb или jitsi, и всё удобненько. Убивает, что в бесплатном есть лимит на пуши, но можно скомпилять свои приложения на мобилки.
Маттермост тоже неплохой выбор. Из относительно экзотики, мне понравился бесплатный zulip (некий гибрид слака и мс тимс, как мне показалось).
Да и на отечественном рынке есть неплохие (с нюансами) решения, вроде express и dialog.
опять же, anyconnect на максималках может палить приложения (и алёртить) типа anydesk-а, + корп.впн со шлюзом по умолчанию завернёт в контору весь трафик (опционально отрубая локальный, так что даж src-nat+dst-nat (proxypass) не поможет). ну и трафик энидеска - может быть отрублен или сработать алёрт безопасникам.
немношк может помочь реверс-прокси со sni (что-то типа того) https://www.linuxbabe.com/linux-server/ocserv-vpn-server-apache-nginx-haproxy ну и фаервол со своей стороны. совсем по-царски - смотрим клиентский серт, если он ок - строим туннель, если не ок - отдаём вебсайт с котятками. что-то типа if ($ssl_client_verify = SUCCESS) {
ещё очень зависит от страны пребывания. ЕМНИП в узбекистане всякие впны рубятся провайдерами, ну, которые обнаружаемы. l2tp и pptp легко детектятся, ovpn похужее, всякие sstp\anyconnect слабоотличимы от https...
Предполагаю, что админы будут резать доступ извне, а не заниматься аналитикой входящих запросов. Но, да, на всякий случай стоит учесть.
ну, один весьма крупный финтех при обнаружении попыток подключений с забугорных ip лочит учётку. разлок - только в офисах. позиция "работать из-за рубежа запрещенно".
Налоговая это дело шустро просекает, если уволиться с ТК и перейти на ГПХ.Придётся ГПХ заключать на кого-то из родственников или доверенных друзей на пару лет.
ЕМНИП это валидная операция - но нужно именно прекратить действие трудового договора (уволится), и заключить договор ГПХ, корректный.
"Ну вы-же понимаете, войдите в положение текущей ситуации" ;)
тут двоякое. если работодатель ок и входит в положение (пусть и деюре это нарушение трудового договора), то и всё в порядке. а вот если работодатель чётко против работы из-за рубежа и в положение входить не хочет - ИМХО наиболее корректно с точки зрения морали будет уволиццо.
по первой ссылке - это смарткарта. работа через смарткарты реализована давно, тут вопросов нет.
по второй ссылке - описана валидация серта сервера, тоже вопросов нет.
Using certificates for authentication prevents possible man-in-the-middle attacks. When a communication channel is set up between the client and the server, the authority that generates the certificates vouches that the server is authentic. As long as the client trusts the server it is communicating with, the data being sent to and from the server is considered secure
>Зря вы считаете что МС вообще ничего в безопасности не понимает.
не надо мне приписывать то, чего я не говорил :)
Технически можно ужаться в один. Да, к слову - а виртуализацию не используете принципиально? Можно тот же терминальник (даже без ad), но рядом routeros chr. Или линукс гипервизором, и реализовать port knocking на нём
Fail2ban + rds gateway + требования к паролям (включая проверку по словарям, благо такие решения есть) кмк более юзер-френдли. Ну и если что-то кликать населению перед началом работы - то уж лучше впн-клиент, это как-то поприятнее. Хотя бы ssh в туннельном режиме:)
Но ваш способ тоже интересный, спасибо что поделились:)
Насколько помню, нативно авторизации по клиентским сертификатам нет в rdp, даже с rds gateway. Есть разве что смарткарты, а нативно реализована валидация серта сервера. Можно изобразить, если использовать html5 клиенты например. Если что-то изменилось, был бы признателен за ссылку на документацию
Ну например, «мама, я в беде, срочно нужны деньги» - только можно провести даже чуть более осмысленную беседу
Ну, не только госуслуги, по слухам ещё могут глядать реквизиты карты, благо в онлайнбанках их можно заглядать.
К слову, развлекаться и упражняться в остроумии тоже может быть чревато - ребята есть злопамятные и потом ваш номер могут использовать как подменный, для развода других людей. Так же, по легендам, могут тренировать нейронку, получив достаточно вашего голоса. Поэтому говорить лучше голосом изменённым:)
решить что хотите получить, загуглить.
например, sms to telegram usb dongle
или mikrotik sms to email
Сам не то чтоб сильно слежу, но в целом нет:) разве что шлюзы «аппаратные» стали доступнее, типа тех же yealink или zte/huawei
Решений примерно 100500 на любой вкус и цвет. Вопрос что выбрать гейтом и куда слать смс.
Например, есть гейты, которые пересылают смс на имейл, есть решения под андроид (оставляете смартфон с симкой, приложенька/скриптец форвардит куда-то, хоть в телегу), есть решения для модемов (усб-свичток втыкаете в комп, комп форвардит), в том числе вместе с астериском с выводом транка через жтот же модем.. в конце концов воткнутый в комп модем с вебмордой, к которой цепляться через впн или условный энидеск и читать смски
Тот же микротик к слову умеет смски читать с модемов, в резиме stick или своих встроенных (хз, может и hilink научился, давно не интересовался)
он кмк всегда был и для физиков, но подключался с некоторыми приключениями. крайне годная штука, особенно при учёте что можно завести транк куда угодно.
но из плохого - пересыл в приложеньку СМС от банков (или от гейтов похожих на банковские) заблокирован, из соображений безопасности. поэтому гсм-гейт, где уже сам решаешь что делать со своими смс (неплохой вариант - кидать их в телегу, и наоборот из телеги в гсм обратно)
+1 к тому, что не селфхостед решение - решение сомнительное :) дискорд действительно неплох как корп мессенджер (лучше телеги), но вне периметра, нет интеграций с тем же лдап/saml, надо реализовывать контроль уволившихся, думать над утечками и т.п.. Из платных неплох ms teams.
Ну а селфхостед - рокетчат не так плох как его малюют (особенно платный) - интегрируется с онпремис bbb или jitsi, и всё удобненько. Убивает, что в бесплатном есть лимит на пуши, но можно скомпилять свои приложения на мобилки.
Маттермост тоже неплохой выбор. Из относительно экзотики, мне понравился бесплатный zulip (некий гибрид слака и мс тимс, как мне показалось).
Да и на отечественном рынке есть неплохие (с нюансами) решения, вроде express и dialog.
писал тут - продвинутые впн-клиенты (типа anyconnect) виртуалки палят
опять же, anyconnect на максималках может палить приложения (и алёртить) типа anydesk-а, + корп.впн со шлюзом по умолчанию завернёт в контору весь трафик (опционально отрубая локальный, так что даж src-nat+dst-nat (proxypass) не поможет). ну и трафик энидеска - может быть отрублен или сработать алёрт безопасникам.
немношк может помочь реверс-прокси со sni (что-то типа того) https://www.linuxbabe.com/linux-server/ocserv-vpn-server-apache-nginx-haproxy
ну и фаервол со своей стороны.
совсем по-царски - смотрим клиентский серт, если он ок - строим туннель, если не ок - отдаём вебсайт с котятками. что-то типа
if ($ssl_client_verify = SUCCESS) {возможно, временно - wireguard тоже в целом легко обнаруживается сам по себе:)
ещё очень зависит от страны пребывания. ЕМНИП в узбекистане всякие впны рубятся провайдерами, ну, которые обнаружаемы. l2tp и pptp легко детектятся, ovpn похужее, всякие sstp\anyconnect слабоотличимы от https...
это всё-таки разные вещи со своими нюансами
ну, один весьма крупный финтех при обнаружении попыток подключений с забугорных ip лочит учётку. разлок - только в офисах. позиция "работать из-за рубежа запрещенно".
ЕМНИП это валидная операция - но нужно именно прекратить действие трудового договора (уволится), и заключить договор ГПХ, корректный.
тут двоякое. если работодатель ок и входит в положение (пусть и деюре это нарушение трудового договора), то и всё в порядке. а вот если работодатель чётко против работы из-за рубежа и в положение входить не хочет - ИМХО наиболее корректно с точки зрения морали будет уволиццо.
Вм может обнаруживаться чуть более продвинутыми впн клиентами, типа anyconnect
Да, технически более безопасный вариант. Или настроить впн-сервер на роутере в РФ, взяв статический адрес (стоимость сравнима с vps/vds)