Необходимо указать, что в Windows 2019 Server нет службы NPS (как роль вы ее поставить не сможете). Есть удаленный доступ, в составе которого есть DirectAcess, в составе которого в свою очередь есть Radius.
Сдача экзамена CCNA дает самое главное - БАЗУ, что очень большая редкость у нынешних google/youtube "специалистов", которые, думают, что два в третьей степени будет 6. А дальше, с базой CCNA - хоть микротик, хоть юнипер, хоть хп - понять синтаксис команд и настраивать оборудование.
Работая в ИБ для АСУ ТП не могу не вставить пару (на самом деле их несколько сотен) после прочтения вашей статьи.
Начнем с упрощенной схемы сети АСУ ТП.
Первое. Приведенная вами схема никак не соответствует модели Purdue. Cогласно данной модели (Purdue), сеть АСУ ТП состоит из следующих сегментов:
Level 4 и 5. Enterprise. На вашей схеме это КСПД
Level 3.5 DMZ. На приведенной упрощенной схеме в ней находиться КСПД (что не соответствует назначению зоны DMZ) Данная зона согласно модели Purdue предназначена для разделения ИТ от ОТ (опять же упрощенно).
Level 3. Operation and Control. На этом уровне расположены обычно серверы, собирающие данные о продукции, так называемые Historian и управление производством (не технологическими устройствами, а процессами)
Level 2. Control systems (SCADA). На этом уровне сидят те самые операторы.
Level 1. На этом уровне находяться ПЛК, сенсоры, датчики, исполнительные механизмы, которые непосредственно управляют процессом производства.
Level 0. Производственные процессы. Сжигание, подогревание, нагнетание и т.п.
В ИБ АСУ ТП вышеупомянутая модель как "Отче наш". Ее обязан знать каждый, который так или иначе соприкасается с обеспечением информационной безопасности АСУ ТП.
Корпоративную и технологические сети разделяет шлюз.
В моей практике данные сети разделяют межсетевые экраны (firewalls) и замечательные устройства, которые называются data-diod. Также межсетевые экраны расположены между каждыми уровнями модели Purdue
Как правило, любая атака на корпоративную сеть включает две основные стадии:
Как правило, IT и ОТ (cеть enterprise и сеть АСУ ТП) разделены. Хотя, возможно в вашей практике встречались и другие, более упрощенные сети, типа 192.168.x.x на все предприятие и никаких firewall, vlan, access-lists и прочих мер безопасности.
использовать штатный удаленный доступ (через jump host по RDP подключиться к АРМ оператора
Такое впечатление, что рассказываете вы не о сети технологического предприятия, а о каком-то цехе по производству вареников, расположенном в селе Жердынбержерово
С сервера SCADA у атакующего есть возможность подменить информацию о технологическом процессе большим количеством способов. Например, он может заменить мнемосхему на всех автоматизированных рабочих местах
Для того, чтобы разобраться в технологическом процессе нужно немало времени. Это что-то из разряда фантастики.
Затем атакующий может переместиться на средний уровень технологической сети, где расположены ПЛК. У SCADA-сервера есть множество встроенных утилит, которые позволяют управлять ПЛК: передавать им команды, такие как «Стоп» и «Старт», или иным образом влиять на их работу.
Опять же, с тем, как работает ПЛК, нужно разбираться. Послать ему команды просто так не получиться (ну разве если злоумышленник попал на 1 уровень и там стоит компьютер с rdp с инструкцими на нем, как подключиться к тому или иному ПЛК и как отдавать ему команды).
В качестве примера рассмотрим вариант с оператором АРМ. Ему приходится круглосуточно дежурить и не спускать глаз с мнемосхемы. Неудивительно, что иногда ему бывает скучно и хочется развлечься. Легким движением руки оператор вставляет носитель, например флешку...
оператор подключает модем 3G или 4G или раздает интернет со смартфона, заходит на сомнительный ресурс, выигрывает (неожиданно!) в лотерее, а затем скачивает и запускает на своем рабочем месте исполняемый файл
Даже в простой ИТ сети порты USB закрывают, ну просто, для того, чтобы исключить внедрение вредоносного ПО. Ну или как вариант - я не видел таких предприятий, где оператору при управлении технологическим процессом можно смотреть фильмы на этом же компьютере или заходить через него в сеть Интернет с помощью 3/4G модема, с которого он управляет технологическими процессами. Бред какой-то.
Типичные для корпоративной сети решения ИБ в большинстве случае справляются со своими задачами.
Большая ошибка примерять лекало ИТ на ОТ. Это абсолютно разные системы.
Каким бы дорогим, качественным и надежным не было промышленное оборудование, все его преимущества обнуляются после вмешательства рукож@пых специалистов Этим все сказано.
Менталитет совдепа очень сложно победить в себе - никто мне не поможет. Поможет. Если очень захотеть - поможет. Просто так, ради спортивного интереса, долбить полицаев, которые могут только детей линчевать и бабок с семечками на вокзалах гонять. А как серьезное что-то - то сразу целая дивизия террористов напала, мы ничего не смогли сделать. Телефон в КЗ невозможно зарегистрировать без ИНН. ИНН - это конктретный человек. А есть человек - есть и дело. В reg.ru написал первым делом.
Я надеюсь лишь на то, что эту статью прочитает успешно перекатившийся в айти электроник, асушник, инженер-конструктор, киповец, и из чувства солидарности просто и без задней мысли предложит мне работу.
Не надеятся надо на солидарность и прочую чушь - а всего лишь немного приложить усилий, засунув в жопу свою неудовлетворенность миром, что весь "высший менедежмент" чудаки на букву "М", все вокруг гавно и люди свиньи. "Высшему и эффективному менеджменту" на все ваши вопли справедливости насрать, иным - только посмеятся и посочувствовать. Ваша проблема не в эффективных менеджерах и низких зарплатах. Ваша проблема в том, что себя то вы не любите. Начните с себя. Выучите английский. С вашей специальностью, если вы действительно инженер АСУ ТП, знающий современную базу PLC - с руками и ногами оторвут на любое производство (не в Россее) такие гиганты как Siemens,Honeywell, Schneider, Belden, AllienBradly и прочие производители и поставщики систем автоматизации и управления предприятиями. А если ваши знания Инженера АСУ ТП основаны на аналоговых приборах КСП-4, когда весь мир уже давно перешел на цифру и сеть - то грош вам цена. Начните прежде всего с себя.
Про девопс и аджайл улыбнуло. Да, часто юноши, которые по какой-то причине называют себя devopsами тумблер от кнопки отличить не могут. А когда узнают, что на одном физическом сетевом интерфейсе может быть аж целых 254 адреса ipv4 делают круглые глаза...Все эти аджайл и девопс от лукавого - без базовых знаний того, как работает сеть, или тот же диск, какой raid массив лучше для тех или иных задач ничего не будет работать, независимо от того, сколько сотен 4-х процессорных серверов у вас стоит в DC.
Никогда на всем пространстве СНГ так называемый "бизьнес" не научится работать. Вместо того, чтобы все запланировать нормально, как минимум за год - открытие новых магазинов, офисов и прочее, продумать всю инфраструктуру, запланировать ресурсы (в том числе и человеческие) и реализовать создание того или иного объекта строго по плану - делается все и всегда через ж... ну и также работает потом. Стоимость владения (TCO - total cost of ownership) такими бизьнесами всегда неприлично высокая, что в результате дает постепенное угасание бизьнеса с самого его начала. И все это сопровождают такие вот "шпаргалки", выдаваемые за что-то великое - хотя даже невооруженным глазом видно, что все делается "по месту", без плана и какого-либо задела на масштабирование. И ВСЕГДА все это выдается за подвиг.
...Для того, чтобы управлять, нужно как-никак иметь точный план, на некоторый, более-менее приличный срок, ну хотя бы лет на тысячу. Позвольте же вас спросить, как же может управлять человек, если он не может ручаться, за свой собственный, завтрашний день? (с) Булгаков М.А.
...Да, человек смертен. Но это еще пол беды. Плохо то, что он иногда внезапно смертен, вот в чем фокус. И вообще, не может сказать, что он будет делать в сегодняшний вечер.(с) Булгаков М.А.
Мне в этом году будет 46. Сетевой инженер. Несколько раз был начальником всяких разных ИТ отделов от 3 до 15 человек в подчинении. Не понравилось. В этом году (2021) сдал экзамен CCNP (захотелось). Годика через два думаю сдать CCIЕ, готовлюсь в комфортном для себя режиме. Работаю в иностранной компании. Доход около 7K USD в месяц. Иногда звонят старые знакомые, просят провести аудит проектов или инфраструктуры за золото. Все это достигалось только с помощью мозга, спокойно, размеренно, абсолютно никуда не торопясь. Большая часть коллег младше лет на 15-20. Работу никогда не ищу - ибо, как написано выше, также считаю что я больше нужен работе, чем она мне ). Главное преимущество перед молодыми, которые очень скоро станут "старыми", потому что все время куда-то летят сломя голову и у них все срочно - опыт, сын ошибок трудных, и методичное, регулярное обучение. Обучение не из страха отстать, нет. Это интересно, как перечитывание классической литературы - всегда находишь что-то новое, ранее не замеченное. Ну и самое главное никуда не торопиться, ибо это спешка для сетевого инженера - это почти всегда к дальней поездке :). И все будет хорошо.
Человек написал свое видение, при этом не забыв и упомянуть о достоинствах данного устройства. Мнение человека - это его личное мнение. Обвиняющие выпады адептов данного устройства и данной экосистемы - безосновательны. Как можно обвинять человека за его мнение? Человек описал свои пользовательские впечатления. Это все равно, что нападать человека за то, что он купил себе Мерседес, а не Опель или Тойоту. Более чем уверен, что пользователи Апл как те мыши "плачут, колятся но продолжают жрать кактус" - ибо "think different" мешает им сказать правду :).
Рюта Кавашима проводил такие исследования. Правда там они были в отношении памяти, но тем не менее работают в контесте этой статьи. На своем опыте могу сказать, что писать мысли на бумаге и на компьютере — это две разные вещи. На компьютере вы всегда можете удалить, на бумаге — только зачеркивать. Из-за этого мыслительный процесс становиться качественней — когда вам не хочется тратить лишней энергии на письмо — вы лучше продумываете то, что нужно написать на бумаге.
Статья описывает алгоритм, не более того. В статье не описываются методы проектирования серверной комнаты (пункт 1), подготовки инфраструктуры (как то локальная сеть, которая предполагается уже существует в новом офисе) и прочие упомянутые вами сложные технические детали. Технические аспекты переезда серверов также не упомянуты в статье, ибо это всего лишь алгоритм переезда. Алгоритм — это последовательность действий, а не описание того, какой админ на какую кассету записавает резервную копию и как ее потом восстановить. В соответствии с этом алгоритмом были перемещены не одна серверная комната с количеством шкафов с оборудованием от одного до 50. Предлагаю вам написать «грамотную» статью, подходящую «для перемещения нескольких тонн оборудования с учетом всех сложных технических деталей начиная с этапа «проектирование-постройка- написание плана переезда серверов-техническая подготовка к выполнению плана – сам переезд». Берегите себя.
Необходимо указать, что в Windows 2019 Server нет службы NPS (как роль вы ее поставить не сможете). Есть удаленный доступ, в составе которого есть DirectAcess, в составе которого в свою очередь есть Radius.
Сдача экзамена CCNA дает самое главное - БАЗУ, что очень большая редкость у нынешних google/youtube "специалистов", которые, думают, что два в третьей степени будет 6. А дальше, с базой CCNA - хоть микротик, хоть юнипер, хоть хп - понять синтаксис команд и настраивать оборудование.
Работая в ИБ для АСУ ТП не могу не вставить пару (на самом деле их несколько сотен) после прочтения вашей статьи.
Начнем с упрощенной схемы сети АСУ ТП.
Первое. Приведенная вами схема никак не соответствует модели Purdue. Cогласно данной модели (Purdue), сеть АСУ ТП состоит из следующих сегментов:
Level 4 и 5. Enterprise. На вашей схеме это КСПД
Level 3.5 DMZ. На приведенной упрощенной схеме в ней находиться КСПД (что не соответствует назначению зоны DMZ)
Данная зона согласно модели Purdue предназначена для разделения ИТ от ОТ (опять же упрощенно).
Level 3. Operation and Control. На этом уровне расположены обычно серверы, собирающие данные о продукции, так называемые Historian и управление производством (не технологическими устройствами, а процессами)
Level 2. Control systems (SCADA). На этом уровне сидят те самые операторы.
Level 1. На этом уровне находяться ПЛК, сенсоры, датчики, исполнительные механизмы, которые непосредственно управляют процессом производства.
Level 0. Производственные процессы. Сжигание, подогревание, нагнетание и т.п.
В ИБ АСУ ТП вышеупомянутая модель как "Отче наш". Ее обязан знать каждый, который так или иначе соприкасается с обеспечением информационной безопасности АСУ ТП.
В моей практике данные сети разделяют межсетевые экраны (firewalls) и замечательные устройства, которые называются data-diod.
Также межсетевые экраны расположены между каждыми уровнями модели Purdue
Как правило, IT и ОТ (cеть enterprise и сеть АСУ ТП) разделены. Хотя, возможно в вашей практике встречались и другие, более упрощенные сети, типа 192.168.x.x на все предприятие и никаких firewall, vlan, access-lists и прочих мер безопасности.
Такое впечатление, что рассказываете вы не о сети технологического предприятия, а о каком-то цехе по производству вареников, расположенном в селе Жердынбержерово
Для того, чтобы разобраться в технологическом процессе нужно немало времени. Это что-то из разряда фантастики.
Опять же, с тем, как работает ПЛК, нужно разбираться. Послать ему команды просто так не получиться (ну разве если злоумышленник попал на 1 уровень и там стоит компьютер с rdp с инструкцими на нем, как подключиться к тому или иному ПЛК и как отдавать ему команды).
Даже в простой ИТ сети порты USB закрывают, ну просто, для того, чтобы исключить внедрение вредоносного ПО. Ну или как вариант - я не видел таких предприятий, где оператору при управлении технологическим процессом можно смотреть фильмы на этом же компьютере или заходить через него в сеть Интернет с помощью 3/4G модема, с которого он управляет технологическими процессами. Бред какой-то.
Большая ошибка примерять лекало ИТ на ОТ. Это абсолютно разные системы.
Дэтская рекламная статья своего продукта.
Каким бы дорогим, качественным и надежным не было промышленное оборудование, все его преимущества обнуляются после вмешательства рукож@пых специалистов
Этим все сказано.
Менталитет совдепа очень сложно победить в себе - никто мне не поможет. Поможет. Если очень захотеть - поможет. Просто так, ради спортивного интереса, долбить полицаев, которые могут только детей линчевать и бабок с семечками на вокзалах гонять. А как серьезное что-то - то сразу целая дивизия террористов напала, мы ничего не смогли сделать. Телефон в КЗ невозможно зарегистрировать без ИНН. ИНН - это конктретный человек. А есть человек - есть и дело. В reg.ru написал первым делом.
Я надеюсь лишь на то, что эту статью прочитает успешно перекатившийся в айти электроник, асушник, инженер-конструктор, киповец, и из чувства солидарности просто и без задней мысли предложит мне работу.Не надеятся надо на солидарность и прочую чушь - а всего лишь немного приложить усилий, засунув в жопу свою неудовлетворенность миром, что весь "высший менедежмент" чудаки на букву "М", все вокруг гавно и люди свиньи. "Высшему и эффективному менеджменту" на все ваши вопли справедливости насрать, иным - только посмеятся и посочувствовать. Ваша проблема не в эффективных менеджерах и низких зарплатах. Ваша проблема в том, что себя то вы не любите. Начните с себя. Выучите английский. С вашей специальностью, если вы действительно инженер АСУ ТП, знающий современную базу PLC - с руками и ногами оторвут на любое производство (не в Россее) такие гиганты как Siemens,Honeywell, Schneider, Belden, AllienBradly и прочие производители и поставщики систем автоматизации и управления предприятиями. А если ваши знания Инженера АСУ ТП основаны на аналоговых приборах КСП-4, когда весь мир уже давно перешел на цифру и сеть - то грош вам цена. Начните прежде всего с себя.
Про девопс и аджайл улыбнуло. Да, часто юноши, которые по какой-то причине называют себя devopsами тумблер от кнопки отличить не могут. А когда узнают, что на одном физическом сетевом интерфейсе может быть аж целых 254 адреса ipv4 делают круглые глаза...Все эти аджайл и девопс от лукавого - без базовых знаний того, как работает сеть, или тот же диск, какой raid массив лучше для тех или иных задач ничего не будет работать, независимо от того, сколько сотен 4-х процессорных серверов у вас стоит в DC.
Никогда на всем пространстве СНГ так называемый "бизьнес" не научится работать. Вместо того, чтобы все запланировать нормально, как минимум за год - открытие новых магазинов, офисов и прочее, продумать всю инфраструктуру, запланировать ресурсы (в том числе и человеческие) и реализовать создание того или иного объекта строго по плану - делается все и всегда через ж... ну и также работает потом. Стоимость владения (TCO - total cost of ownership) такими бизьнесами всегда неприлично высокая, что в результате дает постепенное угасание бизьнеса с самого его начала. И все это сопровождают такие вот "шпаргалки", выдаваемые за что-то великое - хотя даже невооруженным глазом видно, что все делается "по месту", без плана и какого-либо задела на масштабирование. И ВСЕГДА все это выдается за подвиг.
...Для того, чтобы управлять, нужно как-никак иметь точный план, на некоторый, более-менее приличный срок, ну хотя бы лет на тысячу. Позвольте же вас спросить, как же может управлять человек, если он не может ручаться, за свой собственный, завтрашний день? (с) Булгаков М.А.
...Да, человек смертен. Но это еще пол беды. Плохо то, что он иногда внезапно смертен, вот в чем фокус. И вообще, не может сказать, что он будет делать в сегодняшний вечер.(с) Булгаков М.А.
На рынке дефицит высококвалифицированных низкооплачиваемых кадров.
Мне в этом году будет 46. Сетевой инженер. Несколько раз был начальником всяких разных ИТ отделов от 3 до 15 человек в подчинении. Не понравилось. В этом году (2021) сдал экзамен CCNP (захотелось). Годика через два думаю сдать CCIЕ, готовлюсь в комфортном для себя режиме. Работаю в иностранной компании. Доход около 7K USD в месяц. Иногда звонят старые знакомые, просят провести аудит проектов или инфраструктуры за золото. Все это достигалось только с помощью мозга, спокойно, размеренно, абсолютно никуда не торопясь. Большая часть коллег младше лет на 15-20. Работу никогда не ищу - ибо, как написано выше, также считаю что я больше нужен работе, чем она мне ). Главное преимущество перед молодыми, которые очень скоро станут "старыми", потому что все время куда-то летят сломя голову и у них все срочно - опыт, сын ошибок трудных, и методичное, регулярное обучение. Обучение не из страха отстать, нет. Это интересно, как перечитывание классической литературы - всегда находишь что-то новое, ранее не замеченное. Ну и самое главное никуда не торопиться, ибо это спешка для сетевого инженера - это почти всегда к дальней поездке :). И все будет хорошо.
Автор статьи молодец, следует главному принципу - чтобы что-либо получить, нужно для начала отдать и забыть про это. Молодец.
Человек написал свое видение, при этом не забыв и упомянуть о достоинствах данного устройства. Мнение человека - это его личное мнение. Обвиняющие выпады адептов данного устройства и данной экосистемы - безосновательны. Как можно обвинять человека за его мнение? Человек описал свои пользовательские впечатления. Это все равно, что нападать человека за то, что он купил себе Мерседес, а не Опель или Тойоту. Более чем уверен, что пользователи Апл как те мыши "плачут, колятся но продолжают жрать кактус" - ибо "think different" мешает им сказать правду :).
Отлично сказано.
Модель ИБП — любая мощностью от 5 квт.