Да вы попадаете в обычную консоль, так же как если заходите по ssh или telnet, для сброса пароля там отдельная процедура, с перезагрузкой маршрутизатора (давно последний раз восстанавливал).
Это какие 95%, по моим ощущениям в 95% случаев используется ipsec, который в основном настраивается на нативных клиентах ios (да и других ОС) без особых проблем, изредко разве что надо шаблоны заливать для старых версий ios (разве что для циско ipsec нужен клиент, да и то вроде есть способы настроить нативно).
Да, я работаю в основном с небольшими компаниями, есть на 150 человек. Настраивать можно гибко, естественно, что у всех свои нюансы.
Если взять компании больше 300 человек, ходить по каждому пользователю и проверять/настраивать их компьютеры уйдет слишком много времени, которого как правило нет
Оставить без контроля 300 компьютеров, они через пару месяцев превратятся в ботнет, вы больше времени потратите на устранение проблем/восстановление от шифровальщиков, чем на настройку. У каждого, конечно, свои случаи, но наверняка в этой сети стоит AD/LDAP, а с ними что 30, что 300, разница не очень небольшая.
На разные группы пользователей вешают разные политики ограничений, а не всем одно и то же, для тех, для кого критично — все строго, для остальных, к примеру, разработчиков менее строгие политики ограничений.
Не обязательно прямо белые списки, можно просто запретить запуск исполняемых из профиля пользователя, все остальное оставить разрешенным, к примеру софт ставят админы на местах, даже если они не настраивают SRP (в случае windows), они ставят программы в Program Files, и эти программы без проблем будут работать. Т.е. корпоративный teamviewer установленный администратором будет работать, а teamviewer/вирус который запускает пользователь из профиля — нет (права обычных пользователей, да и для рабочих аккаунтов админов, ограничены, нет записи в системные папки типа Program Files). Для разъездных/недоменных настраиваются локальные политики, создается локальный администратор, в случае необходимости пароль выдается пользователю, он ставит все что нужно, потом приезжает, компьютер проверяется, пароль локального админа меняется. В случае, когда свои компьютеры, мне предложить тут нечего — останутся без ограничений, но и отвественность за них я не несу в этом случае, раз руководство готово на такие риски, ничего не поделать.
Как я уже упоминал настройка занимает время, SRP включается вначале в режиме логгирования, т.е. Вы уже пишите правила, но они не блокируют ничего, а просто логгируют. Вы просматриваете логи, составляете группы, заодно видите кто и что запускает «запрещенного». Если разработчикам нельзя составить правила по сертификатам или указать директорию, из который они могут запускать свои бинари, то тогда правила для них не включаются, тут уже да, желательно повесить какую-то систему контроля.
В общем я не предлагаю прямо для всех применять строгие белые фильтры наподобие SRP в windows, я просто указываю на то, что они прекрасно работают вместе с системами контроля и настолько упрощают работу как системным администраторам так и безопасникам, что не использовать этот удобный инструмент, там где возможно, просто халатность, а в Ваших примерах в статье очень сильно на это похоже. Админ у которого украли пароль, вообще что-то невообразимое.
В примерах статьи нужно менять системных администраторов, а не только обвешиваться системами контроля. Даже в маленьких компаниях до 20 человек я обычно настраиваю на клиентских устройствах фаерволы, если на винде то стандартные виндовые через GPO, в том числе на исходящий трафик. Любые невнесенные в правила приложения не получат доступ в интернет. Опять же для винды через GPO вешаются software restriction policies по сертификатам/путям, не одобренные приложения не только не получать доступ в интернет, но и не запустятся. Настройка занимает прилично времени, зато потом можно спать спокойно, лет 10 уже не ловил ни одного вируса/шифровальщика ни в одной из компаний, которые обслуживаю, так же могу быть уверен что ни одно приложение не будет запущено/установлено без моего ведома.
Эхх, тоже всегда брал Hitachi, вот только их больше нет, с недавнего времени выпускали wd под брендом Hitachi (по моим ощущениям по качесвту не отличались от wd), а теперь и бренд закрывают.
Там полно ААA, возможно Вы о них просто не слышали, ну про Zelda BOTW точно должны были, Mario Kart, Super Smash Bros, Xenoblade Chronicles 2, Fire Emblem: Three Houses, да целая куча еще, это только экслюзивы (кроме Fire Emblem), полно и всяких диабло 3, драгон квестов, вольфенштенов, напортировали кучу всего и с PC и с консолей (даже овервочи всякие). Радует (по крайней мере меня) что полно JRPG, который на PS4 2 штуки за все время вышло. Uncharted кстати отменили вроде, но тоже хотели портировать. На свиче много уникальных игр типа Nintendo Labo, погуглите, вряд ли Вы играли во что-то подобное, этим и интересен switch в т.ч.
Как-то после PS2 не тянет на консоли от Sony, cвою PS4 уже года 2 не включал, и судя по всему PS5 ничем не будет отличаться, ну разве что желез поновее, да геймпад немного обновили (еще, наверное, шутеров станет еще больше). В новшествах все какие-то незначительные мелочи. Посмотрели бы лучше на нинтендо, switch вышел действительно интересным (особенно если не патченый), с играми на любой вкус, начиная от NES игр, заканчивая думом последним и ведьмаком, при этом полно игр для 4-8 человек, лишь бы геймпадов/джойконов хватило. Кстати после джойконов, когда они отстегнуты и располагаются в каждой руке (которыми можно махать как хочешь прямо во время игры), стало ужасно непривычно брать геймпад от PS4, такое ощущение что руки связаны.
обходит веб-фильтры Великобритании, которые используют ту же технику перехвата DNS-запросов
просто ваш фильтр не основан на перехвате DNS запросов. Если, конечно, все правильно настроили. Зайдите на какой нибудь dnsleaktest.com и пройдите тест, в случае DOH у вас должны быть сервера Cloudflare (или какие вы там насторили в firefox), при этом ДНС системы лучше выставить другие, к примеру 8.8.8.8, чтобы можно было заметить разницу.
Едиственное отличие от обычных DNS в том, что корневые пока не поддерживают DOH, в остальном все то же самое. Не хватает публичных — можете поднять свой DOH.
Да это разве «рухнул», месяц назад был на отметке 9200 (сейчас 8400), 2 месяца назад был на отметке 9100, 3 месяца назад был на отметке 7700, а дальше 4ех месяцев вообще меньше 5000, больше на рост похоже. Кто-то продал по крупному, обычное дело, пора бы привыкнуть, а не разводить панику… хотя тоже понимаю, надо же как-то продавать тем, кто на 10 закупился, зазывая покупать сейчас на «минимуме». Хотя к битокину в целом отношение положительное, в некоторых случаях платить им для меня удобнее, выгоднее и быстрее.
Если Вам для тестов, то можно использовать и триал пару дней, потом убиваете виртуалку и создаете новую при необходимости (хотя точно не знаю, возможно все же нарушает лицензионное соглашение). Если такой вариант подходит, можно рассмотреть облачных хостеров которые официально не предлагают windows. Создавал такую на vultr за 3.5$ (сейчас такие сервера в дефиците или только с ipv6), можно создать на DO (сложнее), инструкции установки windows гуглить. Предварительная настройка проблематичней, но тоже вариант.
Это у них автоматом, боты и у ДО и у правообладателей, письма приходят через несколько минут после начала раздачи популярного контента. Инфу собирают правообладатели-пиры на раздаче и сразу шлют ДО, похоже через какое то api, если ip их, а ДО уже знакомит Вас с информацией.
Можно отключить раздачу в клиенте (раздавать без ДО), не раздаешь — не нарушил, по крайней мере у меня перестали письма приходить, а так уже с десяткок набралось за пару лет, пока без последствий (аккаунт ДО у меня США, не российский).
Все же, я склоняюсь к варианту, что ваше решение не полное, с ним возникают проблемы (убедился на собственном опыте), как минимум нужны дополнительные действия на клиентских устройствах. Многие меняют ДНС на статические, одна из популярных рекомендаций для обхода блокировок поставить 8.8.8.8 или 1.1.1.1. Многие меняют для фильтрации (детские фильтры и т.п.). После того как у половины друзей, которые ко мне приходили и подключались к сети, сайты были заблокированы (провайдер перехватывал трафик DNS отличных от моих серверов) или не работал интернет (в случае когда на моем роутере разрешены были только те DNS, что выдавал dhcp), я перешел с Вашего варианта на мой, так как не всем охота менять настройки приходя ко мне и потом менять обратно. После этого никаких проблем не возникало. При этом нагрузка даже на младших моделях микротик незаметна.
По поводу работы DNS в windows 10, как то давно пытался блокировать телеметрию через DNS, ничего хорошего не получилось и снифер показывал запросы по 53 порту на левые адреса (сейчас блокирую через GPO firewall, с отключением обычных правил, трафик только тот, что разрешил). Работа DNS в windows 10 вообще не очевидна, ОС, помоему, делает одновременный запрос на все ДНС сервера, и использует тот ответ, который пришел раньше, в связи с этим возникают проблемы, когда ответ через впн приходит позже и благодаря CDN балансировке (не тот регион) у вас возникают дополнительные тормоза через впн. Сейчас как минимум попробуйте подменить microsoft.com в hosts на свой и проверьте результат (ip не изменится), ну или попробуйте прослушивать трафик на 53.
Ну и на всякий случай, я не предлагаю вмешиваться в трафик как провайдеры, я тоже против этого. Просто в данном случае перехват трафика менее проблемный, если я не перехвачу весь трафик, то в половине случаев его перехватит провайдер, что приводит к проблемам.
Забыл упомянуть, не забывайте про безопасность, после включения set allow-remote-requests=yes убедитесь, что у вас закрыт 53 порт для интернета (по умолчанию закрыт), а то боты быстро набегут и повесят вам роутер.
Очень много вариантов. Не все получают DNS адреса через DHCP, к примеру у меня много друзей приходит, у которых настроены DNS вручную (ip адрес по DHCP).
Много софта полностью игнорирует DNS системы, к примеру Телеграм.
Да что уж говорить, Windows 10 полностью игнорирует системные настройки ДНС, когда это касается системных служб и телеметрии. Я в начале тоже раздавал по dhcp, потом пришел к этому варианту, с ним всегда все работает, не важно какие устройства и как настроены.
+ заварачивая трафик вы можете добавлять статические ДНС записи, к примеру добавив IP для example.com на микротик, он начнет резольвиться в этот адрес на всех устройствах в сети (не надо бегать добавлять всем в hosts, а на андроиде не всегда возможно), это часто бывает полезно, с Вашим вариантом так не получится
Если проблемы с реализацией на микротик, то тут все зависит от впна, с которым Вы хотите настроить, настройка впна отдельный вопрос, все варианты так просто не описать. Сам редирект ДНС не очень сложный, c IKEv2 у меня сейчас такая конфигурация:
На роутере настроены днсы 1.1.1.1 1.0.0.1 (если получаете ip от провайдера по DHCP, не забудьте отключить Use Peer DNS в настройках интерфейса)
Разрешаем днс запросы к роутеру /ip dns
set allow-remote-requests=yes
Заварачиваем 53 порт на роутер (правила в самый вверх) /ip firewall nat
add action=redirect chain=dstnat dst-port=53 protocol=udp src-address=192.168.88.0/24 to-ports=53
add action=redirect chain=dstnat dst-port=53 protocol=tcp src-address=192.168.88.0/24 to-ports=53
где 192.168.88.0/24 локальная есть.
Указываем через какой адрес/интерфейс делать запросы на 1.0.0.1 и 1.1.1.1, прописываем отдельные маршруты для наших днс серверов. /ip route
add distance=1 dst-address=1.0.0.1/32 gateway=pppoe-out pref-src=172.17.2.60
add distance=1 dst-address=1.1.1.1/32 gateway=pppoe-out pref-src=172.17.2.60
где pppoe-out интерфейс pppoe подключения провайдера, 172.17.2.60 ip адрес, который получил микротик от впн сервера (можно указывать просто впн интерфейс, если у вас не policy based впн как у меня, типа openvpn)
В принципе все, трафик на 53 порту перехватывается со всех устройств и направляется на роутер, когда роутер пытается делать ДНС запрос, он уходит через впн ip (т.е. заворачивается в впн).
У меня немного избыточная конфигурация (из за других настроек), но тоже не сложно. Для надежности можете заблокировать попытки обращения на другие днс сервера с других адресов/интерфейсов (на случай, к примеру, если забыли отключить Use Peer DNS).
Ну или можете написать личное сообщение, если будет время постараюсь подсказать.
Много провайдеров заварачивают весь ДНС трафик на себя для блокировки, к примеру домру, Вы можете указывать какие угодно днс сервера у себя, резольвить имена будет локальный днс провайдера.
Могу предложить несколько вариантов,
— если хотите для всех устройств и без их (устройств) настройки поднимаете на роутере впн, перехватываете весь DNS трафик на роутере и отправляете в впн (на микротике настраивается достаточно просто), но будете зависеть от ВПН, если он упадет, интернета у вас не будет
— если хотите в пределах одного устройства, но для всей операционной системы, настраиваете локальный ДНС, который обращается к глобальным ДНС с шифрованием, можно что-то типа DNSCrypt, а можно обычный ДНС сервера c поддержкой DNS-over-https (в bind вроде уже появился, да и других полно)
— если для Вас достаточно только в рамках браузера, то firefox поддерживает DNS-over-https, добавить пару строчек в about:config и готово.
Проделывал практически тоже самое лет 5 назад (на 4, 5 ой версии андроида)… и забил, потому что в принципе гемора много, а без гугл-сервисов (а с ними все это делать смысла нет), андроид мало чем отличается от обычной звонилки с браузером, которая работает 2е суток без подзарядки. Отказался от андроида на телефоне, при необходимости использую эмулятор или телефон без сим-карты для тестов.
Лет 5 назад все приложения вылетали с ошибкой или не запускались если в них использовалась реклама от гугл (AdMob и возможно не только), по моим ощущениям это процентов 90 всех приложений (если нужен пример — Perfect Player) В итоге ставить на андроид было нечего, даже мне (не говоря об обычных пользователях).
Подскажите, данная ситуация как то изменилась? Или кроме браузера и пары гиковский программ (немного утрирую) все еще невозможно использовать большинство приложений без гугл сервисов?
Оставить без контроля 300 компьютеров, они через пару месяцев превратятся в ботнет, вы больше времени потратите на устранение проблем/восстановление от шифровальщиков, чем на настройку. У каждого, конечно, свои случаи, но наверняка в этой сети стоит AD/LDAP, а с ними что 30, что 300, разница не очень небольшая.
На разные группы пользователей вешают разные политики ограничений, а не всем одно и то же, для тех, для кого критично — все строго, для остальных, к примеру, разработчиков менее строгие политики ограничений.
Не обязательно прямо белые списки, можно просто запретить запуск исполняемых из профиля пользователя, все остальное оставить разрешенным, к примеру софт ставят админы на местах, даже если они не настраивают SRP (в случае windows), они ставят программы в Program Files, и эти программы без проблем будут работать. Т.е. корпоративный teamviewer установленный администратором будет работать, а teamviewer/вирус который запускает пользователь из профиля — нет (права обычных пользователей, да и для рабочих аккаунтов админов, ограничены, нет записи в системные папки типа Program Files). Для разъездных/недоменных настраиваются локальные политики, создается локальный администратор, в случае необходимости пароль выдается пользователю, он ставит все что нужно, потом приезжает, компьютер проверяется, пароль локального админа меняется. В случае, когда свои компьютеры, мне предложить тут нечего — останутся без ограничений, но и отвественность за них я не несу в этом случае, раз руководство готово на такие риски, ничего не поделать.
Как я уже упоминал настройка занимает время, SRP включается вначале в режиме логгирования, т.е. Вы уже пишите правила, но они не блокируют ничего, а просто логгируют. Вы просматриваете логи, составляете группы, заодно видите кто и что запускает «запрещенного». Если разработчикам нельзя составить правила по сертификатам или указать директорию, из который они могут запускать свои бинари, то тогда правила для них не включаются, тут уже да, желательно повесить какую-то систему контроля.
В общем я не предлагаю прямо для всех применять строгие белые фильтры наподобие SRP в windows, я просто указываю на то, что они прекрасно работают вместе с системами контроля и настолько упрощают работу как системным администраторам так и безопасникам, что не использовать этот удобный инструмент, там где возможно, просто халатность, а в Ваших примерах в статье очень сильно на это похоже. Админ у которого украли пароль, вообще что-то невообразимое.
просто ваш фильтр не основан на перехвате DNS запросов. Если, конечно, все правильно настроили. Зайдите на какой нибудь dnsleaktest.com и пройдите тест, в случае DOH у вас должны быть сервера Cloudflare (или какие вы там насторили в firefox), при этом ДНС системы лучше выставить другие, к примеру 8.8.8.8, чтобы можно было заметить разницу.
Можно отключить раздачу в клиенте (раздавать без ДО), не раздаешь — не нарушил, по крайней мере у меня перестали письма приходить, а так уже с десяткок набралось за пару лет, пока без последствий (аккаунт ДО у меня США, не российский).
По поводу работы DNS в windows 10, как то давно пытался блокировать телеметрию через DNS, ничего хорошего не получилось и снифер показывал запросы по 53 порту на левые адреса (сейчас блокирую через GPO firewall, с отключением обычных правил, трафик только тот, что разрешил). Работа DNS в windows 10 вообще не очевидна, ОС, помоему, делает одновременный запрос на все ДНС сервера, и использует тот ответ, который пришел раньше, в связи с этим возникают проблемы, когда ответ через впн приходит позже и благодаря CDN балансировке (не тот регион) у вас возникают дополнительные тормоза через впн. Сейчас как минимум попробуйте подменить microsoft.com в hosts на свой и проверьте результат (ip не изменится), ну или попробуйте прослушивать трафик на 53.
Ну и на всякий случай, я не предлагаю вмешиваться в трафик как провайдеры, я тоже против этого. Просто в данном случае перехват трафика менее проблемный, если я не перехвачу весь трафик, то в половине случаев его перехватит провайдер, что приводит к проблемам.
Много софта полностью игнорирует DNS системы, к примеру Телеграм.
Да что уж говорить, Windows 10 полностью игнорирует системные настройки ДНС, когда это касается системных служб и телеметрии. Я в начале тоже раздавал по dhcp, потом пришел к этому варианту, с ним всегда все работает, не важно какие устройства и как настроены.
+ заварачивая трафик вы можете добавлять статические ДНС записи, к примеру добавив IP для example.com на микротик, он начнет резольвиться в этот адрес на всех устройствах в сети (не надо бегать добавлять всем в hosts, а на андроиде не всегда возможно), это часто бывает полезно, с Вашим вариантом так не получится
На роутере настроены днсы 1.1.1.1 1.0.0.1 (если получаете ip от провайдера по DHCP, не забудьте отключить Use Peer DNS в настройках интерфейса)
Разрешаем днс запросы к роутеру
/ip dnsset allow-remote-requests=yes
Заварачиваем 53 порт на роутер (правила в самый вверх)
/ip firewall natadd action=redirect chain=dstnat dst-port=53 protocol=udp src-address=192.168.88.0/24 to-ports=53
add action=redirect chain=dstnat dst-port=53 protocol=tcp src-address=192.168.88.0/24 to-ports=53
где 192.168.88.0/24 локальная есть.
Указываем через какой адрес/интерфейс делать запросы на 1.0.0.1 и 1.1.1.1, прописываем отдельные маршруты для наших днс серверов.
/ip routeadd distance=1 dst-address=1.0.0.1/32 gateway=pppoe-out pref-src=172.17.2.60
add distance=1 dst-address=1.1.1.1/32 gateway=pppoe-out pref-src=172.17.2.60
где pppoe-out интерфейс pppoe подключения провайдера, 172.17.2.60 ip адрес, который получил микротик от впн сервера (можно указывать просто впн интерфейс, если у вас не policy based впн как у меня, типа openvpn)
В принципе все, трафик на 53 порту перехватывается со всех устройств и направляется на роутер, когда роутер пытается делать ДНС запрос, он уходит через впн ip (т.е. заворачивается в впн).
У меня немного избыточная конфигурация (из за других настроек), но тоже не сложно. Для надежности можете заблокировать попытки обращения на другие днс сервера с других адресов/интерфейсов (на случай, к примеру, если забыли отключить Use Peer DNS).
Ну или можете написать личное сообщение, если будет время постараюсь подсказать.
— если хотите для всех устройств и без их (устройств) настройки поднимаете на роутере впн, перехватываете весь DNS трафик на роутере и отправляете в впн (на микротике настраивается достаточно просто), но будете зависеть от ВПН, если он упадет, интернета у вас не будет
— если хотите в пределах одного устройства, но для всей операционной системы, настраиваете локальный ДНС, который обращается к глобальным ДНС с шифрованием, можно что-то типа DNSCrypt, а можно обычный ДНС сервера c поддержкой DNS-over-https (в bind вроде уже появился, да и других полно)
— если для Вас достаточно только в рамках браузера, то firefox поддерживает DNS-over-https, добавить пару строчек в about:config и готово.
Лет 5 назад все приложения вылетали с ошибкой или не запускались если в них использовалась реклама от гугл (AdMob и возможно не только), по моим ощущениям это процентов 90 всех приложений (если нужен пример — Perfect Player) В итоге ставить на андроид было нечего, даже мне (не говоря об обычных пользователях).
Подскажите, данная ситуация как то изменилась? Или кроме браузера и пары гиковский программ (немного утрирую) все еще невозможно использовать большинство приложений без гугл сервисов?