Возможности работы с большими каталогами пользователей AD/ALD
Забавно слышать подобное, учитывая что еще пару лет назад ваш продукт не мог забрать данные с AD, если DNS-сервера самой доменной зоны располагаются не на контроллерах домена
Нет, мы честно попытались месяц с вашими инженерами это подебажить, но когда получилось откровенное ничего - рассматривать вас стало сложно.
А жаль. Потому что до вот этого досадного факапа, в моих глазах вы по сравнению с UserGate ощутимо выигрывали в техническом плане
DoT рубится по сигнатурам. DoH отрезать сложнее, но у нас по условиям задачи уже гипотетическая ситуация где более HTTPS. А в случае DNSSEC - насколько я понимаю вы будете защищены от только от подмены. Задача регулятора при борьбе с такими записями стоит не в том чтобы прислать вам какую-то подмененную запись - задача не доставить вам эту запись вообще.
В этом и заключается принципиальная разница между нами. Вы считаете что даже в текущей ситуации надо бороться играя с системой-шулером на ее поле краплеными картами. Я же считаю что в текущей ситуации пистолет с одной пулей эффективнее исправляет несправедливый приговор - потому что законных способов это сделать нет, а так хотя ьы страдать из-за несправедливости не будешь.
Если не смущает интерфейс все в одном - то есть Retroshare. Правда оно desktop-only(мобильного интерфейса нет) и когда я еще им пользовался - вменяемого режима для запуска без GUI(на сервере) у него не было.
Справедливости ради(не защищая конкретно ФБК) - борьба с коррупцией на определенных масштабах ИМХО не может быть аполитичной сама по себе.
Нет, если мы говорим о взяточничестве третьего заместителя семнадцатого секретаря усть-переп*дюйского райкома - то конечно может. Но как только цели становятся крупнее - возникают всякие нюансы
Все тоже самое - создаете УЦ любым удобным для вас способом, подписывайте им сертификат с нужными вами EKU и добавляете этот сертификат везде в доверенные издатели(ЕМНИП в Windows оно называется так).
Важное примечание: без Timestamp-сервера в подпись Powershell-скрипта не зашивается дата, когда скрипт был подписан. Из-за чего вам придется переподписывать все скрипты при прокисании codesign-сертификата. Если это устраивает - ок. Если нет - подумайте о разворачивании Timestamp-сервера (они есть как в составе некоторые сетевых УЦ, так и standalone-реализации)
>Но почему-то ни для кого это не является проблемой
Еще как является, только сделать с этом ничего нельзя. Но это не значит что об этой проблеме надо перестать говорить. Как и о проблеме написания говнокода с помощью ИИ.
Тем временем российский PT NAD до сих пор не имеет API для автоматизированного обновления сертификатов. Кровавый энтерпрайз как никогда кровав, наши безопасники очень довольны заниматься слежением за устаревающими сертами(нет)
Между вендорами - обычно никак. Внутри вендора - как повезет, но если не откровенная китайщина - то стараются сильно с цветами не мудрить и делают +/- одинаковую раскраску.
445 порт - а там не только файлошара, там вполне себе RPC, в котором находили и продолжают находить дыры.
С одной стороны постоянное желание венды обновиться многих задрало, но с другой стороны - вы поэтому реже слышить о проблемах с уязвимостями на открытых портах - потому что они быстро латаются
Насколько приятно описана статья о процессах внутри компании... Настолько же отвратительное впечатление у меня сложилось с взаимодействием с компанией снаружи: получили пару коммутаторов на тест, выслали список вопросов/замечаний(неработающий VRF, NTP и еще кое что по мелочи на последней на тот момент прошивке) - ни ответа, ни привета. Вообше никакой обратной связи.
MeshCentral - это всё же немного не то(если наша задача - получить опыт аналогичный TeamViewer и AnyDesk), там заранее надо агенты на машины ставить. Сами используем в корпоративной среде - в целом довольны. Хотя последнее время когда ключевой разработчик отошел от дел некоторых вещей может не хватать (в Linux-агентах, например, до сих пор нет поддержки Wayland, для кого-то это может оказаться существенным недостатком)
Хотя есть MeshCentral Assistant - его я не щупал, судя по описанию оно как раз похоже.
Забавно слышать подобное, учитывая что еще пару лет назад ваш продукт не мог забрать данные с AD, если DNS-сервера самой доменной зоны располагаются не на контроллерах домена
Нет, мы честно попытались месяц с вашими инженерами это подебажить, но когда получилось откровенное ничего - рассматривать вас стало сложно.
А жаль. Потому что до вот этого досадного факапа, в моих глазах вы по сравнению с UserGate ощутимо выигрывали в техническом плане
Хотите изобрести второй DeltaChat? :-)
DoT рубится по сигнатурам.
DoH отрезать сложнее, но у нас по условиям задачи уже гипотетическая ситуация где более HTTPS.
А в случае DNSSEC - насколько я понимаю вы будете защищены от только от подмены. Задача регулятора при борьбе с такими записями стоит не в том чтобы прислать вам какую-то подмененную запись - задача не доставить вам эту запись вообще.
В этом и заключается принципиальная разница между нами. Вы считаете что даже в текущей ситуации надо бороться играя с системой-шулером на ее поле краплеными картами. Я же считаю что в текущей ситуации пистолет с одной пулей эффективнее исправляет несправедливый приговор - потому что законных способов это сделать нет, а так хотя ьы страдать из-за несправедливости не будешь.
Если не смущает интерфейс все в одном - то есть Retroshare. Правда оно desktop-only(мобильного интерфейса нет) и когда я еще им пользовался - вменяемого режима для запуска без GUI(на сервере) у него не было.
Конституции РФ, статья 55, пункт 3: кроет статью 29 как за нефиг делать. Ибо меру определить в других законах можно легко и непринужденно.
Так DPI небось на базе DPDK построены
Справедливости ради(не защищая конкретно ФБК) - борьба с коррупцией на определенных масштабах ИМХО не может быть аполитичной сама по себе.
Нет, если мы говорим о взяточничестве третьего заместителя семнадцатого секретаря усть-переп*дюйского райкома - то конечно может. Но как только цели становятся крупнее - возникают всякие нюансы
Все тоже самое - создаете УЦ любым удобным для вас способом, подписывайте им сертификат с нужными вами EKU и добавляете этот сертификат везде в доверенные издатели(ЕМНИП в Windows оно называется так).
Важное примечание: без Timestamp-сервера в подпись Powershell-скрипта не зашивается дата, когда скрипт был подписан. Из-за чего вам придется переподписывать все скрипты при прокисании codesign-сертификата. Если это устраивает - ок. Если нет - подумайте о разворачивании Timestamp-сервера (они есть как в составе некоторые сетевых УЦ, так и standalone-реализации)
Так у SSTP известные сигнатуры есть. Например можно посмотреть как это дело проверяет NMAP:
https://svn.nmap.org/nmap/scripts/sstp-discover.nse
>Но почему-то ни для кого это не является проблемой
Еще как является, только сделать с этом ничего нельзя. Но это не значит что об этой проблеме надо перестать говорить. Как и о проблеме написания говнокода с помощью ИИ.
В тред врывается английское слово Folder. Его как тогда переводить будем? По устоявишмся сейчас канонам это вроде как и есть "Папка"
Тем временем российский PT NAD до сих пор не имеет API для автоматизированного обновления сертификатов. Кровавый энтерпрайз как никогда кровав, наши безопасники очень довольны заниматься слежением за устаревающими сертами(нет)
Насколько мне известно - никак. В том смысле что если не зарубить подобное файрволом, то при использовании какого-нибудь torify - оно пойдет напрямую
Update: в tun2socks вообще отвечают на ICMP вместо хоста-назначения (https://github.com/xjasonlyu/tun2socks/issues/361)
И получится второй Gitlab. И тормозить будет также.
Но вообще да, просмотр 3D-файлов в web-интерфейсе системы контроля версий - штука сомнительная.
Между вендорами - обычно никак. Внутри вендора - как повезет, но если не откровенная китайщина - то стараются сильно с цветами не мудрить и делают +/- одинаковую раскраску.
Она давным-давно эффективно отменяется статьей 55
445 порт - а там не только файлошара, там вполне себе RPC, в котором находили и продолжают находить дыры.
С одной стороны постоянное желание венды обновиться многих задрало, но с другой стороны - вы поэтому реже слышить о проблемах с уязвимостями на открытых портах - потому что они быстро латаются
Насколько приятно описана статья о процессах внутри компании... Настолько же отвратительное впечатление у меня сложилось с взаимодействием с компанией снаружи: получили пару коммутаторов на тест, выслали список вопросов/замечаний(неработающий VRF, NTP и еще кое что по мелочи на последней на тот момент прошивке) - ни ответа, ни привета. Вообше никакой обратной связи.
MeshCentral - это всё же немного не то(если наша задача - получить опыт аналогичный TeamViewer и AnyDesk), там заранее надо агенты на машины ставить. Сами используем в корпоративной среде - в целом довольны. Хотя последнее время когда ключевой разработчик отошел от дел некоторых вещей может не хватать (в Linux-агентах, например, до сих пор нет поддержки Wayland, для кого-то это может оказаться существенным недостатком)
Хотя есть MeshCentral Assistant - его я не щупал, судя по описанию оно как раз похоже.