О токенах, используемых в операционных системах семейства Windows слышали многие, ведь они являются важным звеном, участвующим в контексте безопасности всей операционной системы. Данная статья является результатом моих наработок о токенах. В ходе написания данного материала я ставил перед собой следующие вопросы: откуда берутся токены? как устроены токены? как это работает на практике?

Я уже написал здесь много статей на тему прокси-протоколов и прокси-клиентов, которые очень сложно детектировать и заблокировать, и которые используют пользователи в Китае, Иране, Ираке, Туркменистане, и теперь вот в России (мы здесь в отличной компании, правда?). Но довольно часто мне в комментариях писали, мол, это все отлично, но мне нужен именно VPN для целей именно VPN - доступа в частные локальные сети, либо для соединения клиентов между собой, и желательно так, чтобы его не заблокировали обезьяны с гранатой. Поэтому сегодня мы поговорим именно о VPN.

Классические OpenVPN, Wireguard и IPSec отметаем сразу - их уже давно умеют блокировать и блокировали не раз. Модифицированный Wireguard от проекта Amnezia под названием AmneziaWG — отличная задумка, но есть одно но...

Большой процент так называемых «экспертов» сегодня знают только, как использовать какой-нибудь хайповый инструмент, но они ничего не понимают в том, как все работает на более глубоком уровне. Это реальный вызов и большая проблема на будущее.

Когда собственник и главный управляющий уже приняли решение о цифровой трансформации своей компании, изучили все риски и понимают, что готовы идти по этому непростому и долгому пути, то важнейшим направлением их фокуса внимания должен стать блок по управлению персоналом. Потому что любой бизнес и любую трансформацию делают люди, и они же коллективно могут любую идею «похоронить». Поэтому фокус должен быть на построении новой организационной культуры в компании и на мотивации сотрудников, чтобы у них загорелись глаза, и их не пугали возможные изменения, которые обязательно в бизнесе произойдут.

Что рекомендуется сразу сделать в компании на начальном этапе? Собрать топ-менеджмент и определить вместе с ними приоритеты цифровизации, понять, на каком участке возникнет больше проблем по оцифровке, на каком меньше, из-за чего могут быть сложности, в чём риски. Например, блок по бюджетированию уже успешно автоматизирован, там всё хорошо, а на складе учёт ведётся «на коленке», значит, тут придётся перестраивать и отлаживать многие процессы, что понравится не всем работникам.  

Если это крупная компания, и у неё большой объём бизнес-процессов, то один человек (даже самый главный) всё необходимое знать о предприятии не может. Поэтому ему, в первую очередь, необходимо определить круг своих доверенных лиц на проекте и назначить, кто за какой раздел учёта будет отвечать. Таких людей в проектах цифровизации могут называть по-разному. Например, если предприятие выбрало методологию Scrum для управления проектом цифровой трансформации, то участников команды, которая будет представлять интересы заказчика во время разработки, называют Product Owner. Среди вариантов наименований: продакт-менеджер или владелец продукта. Это определенная роль в проекте — ответственный сотрудник, кто будет принимать готовый продукт от исполнителей, кто компетентен в том или ином процессе, кто будет выдвигать требования к этому продукту, каким он должен быть.

Много шуму поднято из-за публичного обсуждения "вхождения во власть" Илона Маска с его новоприобретённым Твиттером. Это действительно хороший повод для понимания того, что творится в современных информационных технологиях. Поэтому рассмотрим проблему со стороны оппонентов повсеместно распространённой излишней сложности, коллективно называемой "микросервисная архитектура".

Мне довольно часто приходится настраивать "одинокие" терминальные сервера(и не только терминальные) в "Облаках", с "легким, быстрым" доступом к нему по RDP.

Все объяснения для пользователей\заказчиков, что такие сервера должны быть доступны только с доверенных IP или через VPN воспринимаются "в штыки" и тогда приходится рисковать...

Конечно сервер защищается от Bruteforce(а), используются парольная политика, нестандартный порт, но все равно сервер постоянно под угрозой, в среднем в месяц можно увидеть по 15000 попыток подобрать пароль.

Такое обстоятельство дел заставило меня подумать о простом и действенном способе защиты сервера и в то же время этот способ не должен усложнить пользователям подключение к серверу.

Первое что пришло в голову - Port Knocking, использую его на RouterOS, но беглое гугление показало что для Windows не существует подобного штатного функционала, поиск сторонних средств которые могли бы помочь организовать задуманное не дал результата,  больше покопавшись нашел только странные и страшные поделки на Java не внушавшие доверия.

Тогда решил написать PortKnocking для Windows. Написать его решил на PowerShell, чтоб не пришлось устанавливать на сервер дополнительно Java или Python.

Т.к. есть опыт c телеграм ботами(@SuperMon_Bot), решил добавить и информирование о работе PortKnocking через телеграм.

Определился, что вся задумка должна состоять из нескольких скриптов.

Как получить и использовать библиотеки «HTML Agility Pack» и «AngleSharp» для создания простого парсера HTML в скрипте для программ-оболочек «Windows PowerShell» версии 5.1 и «PowerShell» версии 7 в операционной системе «Windows 10». Приведен простой пример кода для обеих библиотек.