Ну, посмотреть в windows куда пойдет пакет до адреса можно через powershell:
Find-NetRoute -RemoteIPAddress "8.8.8.8" (пишу по памяти, мог ошибиться). Неужто нейронка не посоветовала?
А так в целом маршрутизация в windows не особо и отличается от других систем. Также смотрится префикс, также смотрится метрика.
Соответственно, объясню что было вместо нейронки, кратенько:)
Без впнов - у вас дефолтный маршрут в роутер, линк-локал маршрут (на /24 подсеть) на интерфейс. Соответственно видите локалку (/24 подсеть меньше), видите интернет. Маршрут отдельный на локалку не нужен
Подрубаете впн. Теперь у вас есть два дефолта с разными метриками, маршрут в роутер до впн-сервера с /32 (приоритетный), линк-локал в локалку (/24)
Умные впн-клиенты, дублируют существующие маршруты в себя, с более приоритетной метрикой. Чтоб трафик не утекал. Соответственно с умным впн-клиентом - отрубилась локалка
Ну и вы соответственно исключили локалку из впн-а через сплит - и вуаля. Не знаю, можно ли это сделать по-другому через амнезию, так как не пользуюсь - но получилось что так она не дублирует маршрут в себя и всё сработало
В целом - советую использовать повершелл, там оно удобнее и понятнее, чем в старом и добром cmd..
это возможно личное и меня триггерит:) в своём субъективном опыте я чаще встречал оттопыренные и забытые базы, с которыми случался ой. понимаем что ИБ и удобство как правило находится на разных полюсах, но какой-то минимум должен быть даже на стадии маленького проекта.
ну и конечно же соглашусь, что в любом случае это должно быть не "сделаем потому что удобно и выше ТТМ", а "мы понимаем такие и такие риски, отдаём себе в них отчёт, и что будем делать если они вдруг сработают", что по мне так ~= "нам не жалко потерять базу или если данные в ней станут публичными"%)
при успешном сканировании адрес и порт могут быть добавлены в публичные и непубличные базы, для развлечения кульхацкеров
помимо брутфорса есть ещё риск эксплуатации уязвимостей, в т.ч и опубликованных (будет ли такая оттопыренная база обновляться? ой не факт). Уязвимости тоже проверяются в автоматическом режиме
вам нужно каким-то образом обеспечить, чтобы пароль был рандомен, не допускать беспарольного входа
стандартные истории, в виде "оставили креды в репе", "не сменили креды при увольнении\расторежении договора с подрядчиком"
вопрос шифрования (перехвата трафика), туда же и чуть более экзотические, но встречающие варианты с потерей ноута с кредами, вируса-квартируса, что передал креды злодею и т.д.
Жуть какая. Имхо базу топырить наружу можно только в одном случае - её не жалко потерять и её содержимое не несет ценности (например там нет персоналки).
В наше время вопрос рентабельности часто не стоит - да и ломают те же роботы, в автоматическом режиме…
Шутки шутками (а я продолжу), а когда-то давно с программированием в школе познакомился через Черепашку, Чертёжника и Робота - https://kpolyakov.spb.ru/school/robots/download.htm и в качестве основ алгоритмики - почему бы и не писать на русском (нет, 1с-разработчиком не стал)
по идее тут тоже можно провести аналогию с SAN-сетями - общая память тоже не единое устройство, а несколько, с отказоустойчивостью\репликацией + локальной оперативки это не отменяет. в общем штука довольно забавная, даже не столько для памяти, сколько для других ресурсов, вроде тех же видях. так что будем наблюдать за развитием:)
Вот в том числе и для этого cxl придумали, и в статье было - понятно что оперативка локальная быстрее, но вот оперативка из cxl-пула уже будет пошустрее ssd…
А ведь есть и фуджики типа fujitsu lifebook u9312x.. трансформеры и нет, меньше кило, с кучей портов включая usb и езернет, и ещё и в весёлых цветах :)
Тут самое главное сохранять баланс между бюрократией ради бюрократии и разумным процессам и документации:)
Даже вот по тексту - владелец всего конкретная персоналия (это ок). Но значит должна быть система, со списком владельцев, процесс и инструкции по трансферу владения, по действиям в случае временного отсутствия.. и вот уже начинается немношк бюрократии.
Абсолютно без формализованных процессов работать весело и чудесно, в микроконторе. Чуть расширяется - и уже неуправляемый хаос мешает работе (а что это за сервис? А зачем он нужен? А мы тут купили 40 ноутбуков, где они все? Прод лежит, кто-то вчера в ниндзю релизил? Почему у нас народ бежит после онбоардинга, говоря что задалбаывает у всех спрашивать где что и почему, и коллеги гоняют по кругу к друг дружке с вопросами)
Может я сам бюрократ:D но как будто бюрократия это инструмент, который надо использовать разумно в соответствии с проблемами и нуждами компании, не усугубляя их:)
Да, потом (как вариант) приходит смс типа как бе от госуслуг, типа зафиксирован подозрительный вход! Срочно свяжитесь по телефону …
А там уже готовы окучивать дальше, например вотсап с шерингом экрана и просмотром более реальных смс, а там уж до майора из главного управления недалеко
Ну, посмотреть в windows куда пойдет пакет до адреса можно через powershell:
Find-NetRoute -RemoteIPAddress "8.8.8.8" (пишу по памяти, мог ошибиться). Неужто нейронка не посоветовала?
А так в целом маршрутизация в windows не особо и отличается от других систем. Также смотрится префикс, также смотрится метрика.
Соответственно, объясню что было вместо нейронки, кратенько:)
Без впнов - у вас дефолтный маршрут в роутер, линк-локал маршрут (на /24 подсеть) на интерфейс. Соответственно видите локалку (/24 подсеть меньше), видите интернет. Маршрут отдельный на локалку не нужен
Подрубаете впн. Теперь у вас есть два дефолта с разными метриками, маршрут в роутер до впн-сервера с /32 (приоритетный), линк-локал в локалку (/24)
Умные впн-клиенты, дублируют существующие маршруты в себя, с более приоритетной метрикой. Чтоб трафик не утекал. Соответственно с умным впн-клиентом - отрубилась локалка
Ну и вы соответственно исключили локалку из впн-а через сплит - и вуаля. Не знаю, можно ли это сделать по-другому через амнезию, так как не пользуюсь - но получилось что так она не дублирует маршрут в себя и всё сработало
В целом - советую использовать повершелл, там оно удобнее и понятнее, чем в старом и добром cmd..
это возможно личное и меня триггерит:) в своём субъективном опыте я чаще встречал оттопыренные и забытые базы, с которыми случался ой. понимаем что ИБ и удобство как правило находится на разных полюсах, но какой-то минимум должен быть даже на стадии маленького проекта.
ну и конечно же соглашусь, что в любом случае это должно быть не "сделаем потому что удобно и выше ТТМ", а "мы понимаем такие и такие риски, отдаём себе в них отчёт, и что будем делать если они вдруг сработают", что по мне так ~= "нам не жалко потерять базу или если данные в ней станут публичными"%)
при успешном сканировании адрес и порт могут быть добавлены в публичные и непубличные базы, для развлечения кульхацкеров
помимо брутфорса есть ещё риск эксплуатации уязвимостей, в т.ч и опубликованных (будет ли такая оттопыренная база обновляться? ой не факт). Уязвимости тоже проверяются в автоматическом режиме
вам нужно каким-то образом обеспечить, чтобы пароль был рандомен, не допускать беспарольного входа
стандартные истории, в виде "оставили креды в репе", "не сменили креды при увольнении\расторежении договора с подрядчиком"
вопрос шифрования (перехвата трафика), туда же и чуть более экзотические, но встречающие варианты с потерей ноута с кредами, вируса-квартируса, что передал креды злодею и т.д.
так что нет, всё ещё плохая идея:)
Жуть какая. Имхо базу топырить наружу можно только в одном случае - её не жалко потерять и её содержимое не несет ценности (например там нет персоналки).
В наше время вопрос рентабельности часто не стоит - да и ломают те же роботы, в автоматическом режиме…
Интересно, что Юмани при этом принадлежит Сберу :)
Так edit же вернули :) https://habr.com/ru/companies/ru_mts/articles/957670/
Кажется (смотря со стороны), что можно обойтись не то что без 20%, а без всех 60% минимум. Особенно включая грейдированных..
да, это по сути адаптация Лого. конкретно эта реализация умела в поднять и опустить хвост :D
Шутки шутками (а я продолжу), а когда-то давно с программированием в школе познакомился через Черепашку, Чертёжника и Робота - https://kpolyakov.spb.ru/school/robots/download.htm и в качестве основ алгоритмики - почему бы и не писать на русском (нет, 1с-разработчиком не стал)
Ну, чаще всё ж встречал два TOR.. соответственно от каждого по линку на каждый сервак и аплинк двойной..
по идее тут тоже можно провести аналогию с SAN-сетями - общая память тоже не единое устройство, а несколько, с отказоустойчивостью\репликацией + локальной оперативки это не отменяет. в общем штука довольно забавная, даже не столько для памяти, сколько для других ресурсов, вроде тех же видях. так что будем наблюдать за развитием:)
Вот в том числе и для этого cxl придумали, и в статье было - понятно что оперативка локальная быстрее, но вот оперативка из cxl-пула уже будет пошустрее ssd…
Да, строится cxl-фабрика, можно провести аналогию с SAN (сети ранения данных). Можно почитать всякого по запросу cxl fabric или cxl switch
будет повод перестать платить за годовые сертификаты, и поразвлекаться c автокликерами, назвав это RPA :D но да, я конечно негодую.
Вы не поверите.. https://servernews.ru/1121360
Runas плохой вариант, он позволяет потом запускать с правами пользователя любой бинарь с тем же именем. Тут вот пособирали вариантов https://habr.com/ru/companies/servermall/articles/485958/
А ведь есть и фуджики типа fujitsu lifebook u9312x.. трансформеры и нет, меньше кило, с кучей портов включая usb и езернет, и ещё и в весёлых цветах :)
Тут самое главное сохранять баланс между бюрократией ради бюрократии и разумным процессам и документации:)
Даже вот по тексту - владелец всего конкретная персоналия (это ок). Но значит должна быть система, со списком владельцев, процесс и инструкции по трансферу владения, по действиям в случае временного отсутствия.. и вот уже начинается немношк бюрократии.
Абсолютно без формализованных процессов работать весело и чудесно, в микроконторе. Чуть расширяется - и уже неуправляемый хаос мешает работе (а что это за сервис? А зачем он нужен? А мы тут купили 40 ноутбуков, где они все? Прод лежит, кто-то вчера в ниндзю релизил? Почему у нас народ бежит после онбоардинга, говоря что задалбаывает у всех спрашивать где что и почему, и коллеги гоняют по кругу к друг дружке с вопросами)
Может я сам бюрократ:D но как будто бюрократия это инструмент, который надо использовать разумно в соответствии с проблемами и нуждами компании, не усугубляя их:)
Да, потом (как вариант) приходит смс типа как бе от госуслуг, типа зафиксирован подозрительный вход! Срочно свяжитесь по телефону …
А там уже готовы окучивать дальше, например вотсап с шерингом экрана и просмотром более реальных смс, а там уж до майора из главного управления недалеко
Или украсть. Хороший вор сможет украсть и чудовище, и принцессу, и замок…