Правила использования ПО в организации
В комментариях задали вопрос – как контролировать установленное на компьютерах пользователей ПО, в частности плагины в браузерах. Многие наперебой начали советовать технические средства, но на самом деле этот вопрос выходит далеко за техническую плоскость.
Нравится вам это или нет, но из технической плоскости мы снова перейдем в правовую. Согласно действующего законодательства: владелец компьютера несет ответственность за то, как он используется, в том числе за использование нелицензионного ПО.
Обратите внимание – именно владелец, владельцем компьютера в нашем случае является организация. И даже если сотрудник установил на ПК какой-то плагин и совершил с его помощью противоправное деяние, то нести ответственность за это деяние будет организация.
Идем дальше – многие правонарушения предусматривают привлечение к ответственности также и должностных лиц, причем привлечение к ответственности организации не освобождает лицо от ответственности.
Кто является должностным лицом? Тот, кто официально отвечает за ту часть деятельности организации, где произошло нарушений. Если такого ответственного нет, то должностным лицом будет директор или ближайший руководитель.
И если мы берем новое «модное» комбо из КоАП и сотрудник, поставив хитрый плагин сходил туда куда не надо и нашел то, что искать запрещено, то он будет привлечен по 13.53 КоАП от 3 до 5 тыс. руб.
А вот организация и должностное лицо этой организации спокойно могут привлечь по 13.52 КоАП за нарушение порядка использования средств доступа в интернет со штрафами от 200 до 500 тыс. руб. на организацию и 80 – 150 тыс. руб. на должностное лицо.
Весело? Очень. Но с самого сотрудника, кроме штрафа, взятки гладки. Компенсировать ущерб организации с него не получится, хоть его вина и доказана. А почему? А потому что кроме КоАП он больше ничего не нарушил, а по КоАП его уже привлекли.
Поэтому следует не пускать все это на самотек, а перевести работу с ПО в организации в правовую плоскость. Для этого в качестве локального нормативного акта, который можно назвать Регламент процедур по установке и использованию программного обеспечения.
В данном регламенте подробно прописываем, как и кем устанавливается, обновляется и удаляется ПО в организации, а также права и обязанности пользователя по работе с ПО. Отдельными приложениями можем закрепить список ПО на компьютерах организации, либо предусмотреть для этого отдельные формуляры – тут можете делать, как угодно.
Главное – не забыть в регламенте явно прописать запрет, например:
🔹Пользователю запрещается:
▫️ устанавливать самостоятельно ПО;
▫️ вносить изменения в установленное ПО (включая обновление, установку плагинов, дополнений и расширений);
▫️ удалять ПО.
Далее закрепляем обязательность исполнения регламента всеми лицами, использующими программное обеспечение в правилах внутреннего трудового распорядка.
Сложно? Возможно. Но теперь у вас есть не только технические, но и административные рычаги воздействия на пользователя. А у пользователя появляется ответственность и не только материальная.
А далее регулярный контроль, в том числе и технический. Нарушения фиксируем комиссией и берем объяснительную. Далее организация имеет право применять к нарушителю все разрешенные Трудовым кодексом дисциплинарные взыскания.
Как показывает реальная практика, наличие такого регламента уже само по себе действует дисциплинирующее. А если вы только внедряете регламент, то всегда найдутся желающие «проверить его на вшивость». В таком случае пару «показательных порок» с полным документальным оформлением дисциплинарного проступка быстро остужают горячие головы.
При этом следует помнить, что наличие регламента не освобождает организацию от ответственности, если сотрудник, нарушив регламент, подведет организацию «под монастырь».
Но, в этом случае есть факт нарушения внутреннего трудового распорядка и возможность взыскания ущерба с сотрудника, равно как и увольнение его по статье.
В комментариях задали вопрос – как контролировать установленное на компьютерах пользователей ПО, в частности плагины в браузерах. Многие наперебой начали советовать технические средства, но на самом деле этот вопрос выходит далеко за техническую плоскость.
Нравится вам это или нет, но из технической плоскости мы снова перейдем в правовую. Согласно действующего законодательства: владелец компьютера несет ответственность за то, как он используется, в том числе за использование нелицензионного ПО.
Обратите внимание – именно владелец, владельцем компьютера в нашем случае является организация. И даже если сотрудник установил на ПК какой-то плагин и совершил с его помощью противоправное деяние, то нести ответственность за это деяние будет организация.
Идем дальше – многие правонарушения предусматривают привлечение к ответственности также и должностных лиц, причем привлечение к ответственности организации не освобождает лицо от ответственности.
Кто является должностным лицом? Тот, кто официально отвечает за ту часть деятельности организации, где произошло нарушений. Если такого ответственного нет, то должностным лицом будет директор или ближайший руководитель.
И если мы берем новое «модное» комбо из КоАП и сотрудник, поставив хитрый плагин сходил туда куда не надо и нашел то, что искать запрещено, то он будет привлечен по 13.53 КоАП от 3 до 5 тыс. руб.
А вот организация и должностное лицо этой организации спокойно могут привлечь по 13.52 КоАП за нарушение порядка использования средств доступа в интернет со штрафами от 200 до 500 тыс. руб. на организацию и 80 – 150 тыс. руб. на должностное лицо.
Весело? Очень. Но с самого сотрудника, кроме штрафа, взятки гладки. Компенсировать ущерб организации с него не получится, хоть его вина и доказана. А почему? А потому что кроме КоАП он больше ничего не нарушил, а по КоАП его уже привлекли.
Поэтому следует не пускать все это на самотек, а перевести работу с ПО в организации в правовую плоскость. Для этого в качестве локального нормативного акта, который можно назвать Регламент процедур по установке и использованию программного обеспечения.
В данном регламенте подробно прописываем, как и кем устанавливается, обновляется и удаляется ПО в организации, а также права и обязанности пользователя по работе с ПО. Отдельными приложениями можем закрепить список ПО на компьютерах организации, либо предусмотреть для этого отдельные формуляры – тут можете делать, как угодно.
Главное – не забыть в регламенте явно прописать запрет, например:
🔹Пользователю запрещается:
▫️ устанавливать самостоятельно ПО;
▫️ вносить изменения в установленное ПО (включая обновление, установку плагинов, дополнений и расширений);
▫️ удалять ПО.
Далее закрепляем обязательность исполнения регламента всеми лицами, использующими программное обеспечение в правилах внутреннего трудового распорядка.
Сложно? Возможно. Но теперь у вас есть не только технические, но и административные рычаги воздействия на пользователя. А у пользователя появляется ответственность и не только материальная.
А далее регулярный контроль, в том числе и технический. Нарушения фиксируем комиссией и берем объяснительную. Далее организация имеет право применять к нарушителю все разрешенные Трудовым кодексом дисциплинарные взыскания.
Как показывает реальная практика, наличие такого регламента уже само по себе действует дисциплинирующее. А если вы только внедряете регламент, то всегда найдутся желающие «проверить его на вшивость». В таком случае пару «показательных порок» с полным документальным оформлением дисциплинарного проступка быстро остужают горячие головы.
При этом следует помнить, что наличие регламента не освобождает организацию от ответственности, если сотрудник, нарушив регламент, подведет организацию «под монастырь».
Но, в этом случае есть факт нарушения внутреннего трудового распорядка и возможность взыскания ущерба с сотрудника, равно как и увольнение его по статье.
🔥22👍7👏3🌭2😁1
Небольшая подборка о том, что можно делать при помощи групповых политик.
🔹 Включаем отображение значков на рабочем столе Windows 10 через групповые политики
🔹 Как через групповые политики включить запрос на перезагрузку после установки обновлений для Windows 10
🔹 Автоматическое отключение локальных учетных записей через GPO
🔹 Усиливаем безопасность учетных данных пользователей при помощи групповых политик
🔹 Отключаем обновление Windows на следующую версию при помощи установки целевого выпуска
🔹 Установка сертификата при помощи групповых политик
🔹 Включаем отображение значков на рабочем столе Windows 10 через групповые политики
🔹 Как через групповые политики включить запрос на перезагрузку после установки обновлений для Windows 10
🔹 Автоматическое отключение локальных учетных записей через GPO
🔹 Усиливаем безопасность учетных данных пользователей при помощи групповых политик
🔹 Отключаем обновление Windows на следующую версию при помощи установки целевого выпуска
🔹 Установка сертификата при помощи групповых политик
👍19🔥9
Замедляет ли групповая политика загрузку ПК?
Представляем перевод статьи TechNet "Is Group Policy Slowing Me Down?" которая, на наш взгляд, будет интересна широкому кругу русскоязычных читателей.
👉 Привет всем, Натан Пенн снова обратился к одному из наиболее часто встречающихся вопросов: является ли групповая политика в моей среде замедляющим фактором загрузки и входа в систему? К счастью, если знать, где искать, мы можем быстро получить ответ на этот вопрос.
https://interface31.ru/tech_it/2018/12/is-group-policy-slowing-me-down.html
Представляем перевод статьи TechNet "Is Group Policy Slowing Me Down?" которая, на наш взгляд, будет интересна широкому кругу русскоязычных читателей.
👉 Привет всем, Натан Пенн снова обратился к одному из наиболее часто встречающихся вопросов: является ли групповая политика в моей среде замедляющим фактором загрузки и входа в систему? К счастью, если знать, где искать, мы можем быстро получить ответ на этот вопрос.
https://interface31.ru/tech_it/2018/12/is-group-policy-slowing-me-down.html
👍19
Клиент-серверная 1С. Структура
Вопросы и отзывы показывают, что многие коллеги слабо представляют себе устройство клиент-серверной 1С и взаимодействие между ее компонентами.
Начнем с сервера, он так и называется Сервер 1С:Предприятие и может работать как под Windows, так и в Linux. Рабочая инсталляция сервера называется Кластер серверов 1С, даже если экземпляр сервера один.
Впоследствии, для увеличения производительности, мы можем добавлять в кластер дополнительные рабочие сервера, и менеджер кластера будет распределять между ними нагрузку.
Также мы можем выносить на отдельные рабочие сервера дополнительные функции, например, сервер лицензирования.
Вся информация, с которой работает пользователь, а также код конфигурации (прикладного решения) хранятся в СУБД, в качестве которых чаще всего используется MS SQL или PostgreSQL.
Сразу хочется обратить внимание на то, что с СУБД взаимодействует исключительно сервер, клиенты доступа к серверу СУБД не имеют и напрямую в БД не обращаются. Более того, это прямо запрещено лицензионным соглашением 1С.
Вся информация из одной информационной базы 1С, включая конфигурацию, загруженные в нее отчеты, обработки и расширения хранится в одной базе данных СУБД. Т.е. вы можете выполнять полноценное копирование средствами СУБД и затем восстанавливать ИБ подобным образом.
Однако если вы лицензируете СУБД по количеству пользователей, то вам потребуется количество лицензий по числу реальных клиентских подключений.
Теперь перейдем к клиентам. Толстый клиент является устаревшим и современными конфигурациями не используется.
Его неприятной особенностью является то, что он все данные обрабатывает самостоятельно и сервер в этом случае будет для него просто посредником, который извлекает данные из СУБД, передает их клиенту и получив назад снова помещает в БД.
Для работы в таком режиме требуются широкие каналы и мощная рабочая станция, на которой запущен толстый клиент.
Сейчас в режиме толстого клиента работает только конфигуратор, но в эксплуатации еще могут быть устаревшие конфигурации на обычных формах, которые не умеют работать в ином режиме.
Основной вариант работы для современных конфигураций – это тонкий клиент. В этом случае задачи по извлечению и обработке данных ложатся на сервер, а клиент принимает только ввод пользователя и показывает ему результаты вычислений.
В дополнение к этому тонкий клиент самостоятельно обрабатывает введенные данные и выполняет простейшие вычисления, ради которых нет смысла обращаться к серверу. Например, пользователь изменил колонку цена, после чего тонкий клиент сам пересчитает колонку сумма.
Но любые действия по получению данных из СУБД и помещению их туда выполняет сервер, равно как и все основные тяжелые вычисления.
Благодаря этому тонкий клиент отлично работает даже на медленных каналах, включая мобильный интернет.
Он может подключаться к кластеру серверов как непосредственно, так и через веб-сервер. В серверном режиме веб-сервер просто проксирует запросы от тонкого клиента к кластеру серверов и непосредственных вычислений не производит.
Такой режим удобен для публикации баз наружу, в этом случае достаточно одного порта, который можно защитить SSL сертификатом и дополнительной парольной защитой.
Ну и наконец веб-клиент, работает в браузере и, по сути, мало чем отличается от тонкого клиента. Но в этом случае клиентом кластера серверов становится модуль веб-сервера и вся клиентская нагрузка ложиться на него, но она как правило невелика и особых проблем не составляет.
Единственной проблемой может стать выделение оперативной памяти, потому что после отключения веб-клиента его сеанс, а следовательно, и выделенная ему память, сохраняются в течении 20 минут.
Также веб-клиенту присущ ряд ограничений, а также у него своя схема лицензирования, поэтому использовать веб-клиент следует только тогда, когда использовать тонкий клиент невозможно.
Поэтому, проектируя соверменные схемы работы с 1С всегда исходите из использования тонкого клиента.
Вопросы и отзывы показывают, что многие коллеги слабо представляют себе устройство клиент-серверной 1С и взаимодействие между ее компонентами.
Начнем с сервера, он так и называется Сервер 1С:Предприятие и может работать как под Windows, так и в Linux. Рабочая инсталляция сервера называется Кластер серверов 1С, даже если экземпляр сервера один.
Впоследствии, для увеличения производительности, мы можем добавлять в кластер дополнительные рабочие сервера, и менеджер кластера будет распределять между ними нагрузку.
Также мы можем выносить на отдельные рабочие сервера дополнительные функции, например, сервер лицензирования.
Вся информация, с которой работает пользователь, а также код конфигурации (прикладного решения) хранятся в СУБД, в качестве которых чаще всего используется MS SQL или PostgreSQL.
Сразу хочется обратить внимание на то, что с СУБД взаимодействует исключительно сервер, клиенты доступа к серверу СУБД не имеют и напрямую в БД не обращаются. Более того, это прямо запрещено лицензионным соглашением 1С.
Вся информация из одной информационной базы 1С, включая конфигурацию, загруженные в нее отчеты, обработки и расширения хранится в одной базе данных СУБД. Т.е. вы можете выполнять полноценное копирование средствами СУБД и затем восстанавливать ИБ подобным образом.
Однако если вы лицензируете СУБД по количеству пользователей, то вам потребуется количество лицензий по числу реальных клиентских подключений.
Теперь перейдем к клиентам. Толстый клиент является устаревшим и современными конфигурациями не используется.
Его неприятной особенностью является то, что он все данные обрабатывает самостоятельно и сервер в этом случае будет для него просто посредником, который извлекает данные из СУБД, передает их клиенту и получив назад снова помещает в БД.
Для работы в таком режиме требуются широкие каналы и мощная рабочая станция, на которой запущен толстый клиент.
Сейчас в режиме толстого клиента работает только конфигуратор, но в эксплуатации еще могут быть устаревшие конфигурации на обычных формах, которые не умеют работать в ином режиме.
Основной вариант работы для современных конфигураций – это тонкий клиент. В этом случае задачи по извлечению и обработке данных ложатся на сервер, а клиент принимает только ввод пользователя и показывает ему результаты вычислений.
В дополнение к этому тонкий клиент самостоятельно обрабатывает введенные данные и выполняет простейшие вычисления, ради которых нет смысла обращаться к серверу. Например, пользователь изменил колонку цена, после чего тонкий клиент сам пересчитает колонку сумма.
Но любые действия по получению данных из СУБД и помещению их туда выполняет сервер, равно как и все основные тяжелые вычисления.
Благодаря этому тонкий клиент отлично работает даже на медленных каналах, включая мобильный интернет.
Он может подключаться к кластеру серверов как непосредственно, так и через веб-сервер. В серверном режиме веб-сервер просто проксирует запросы от тонкого клиента к кластеру серверов и непосредственных вычислений не производит.
Такой режим удобен для публикации баз наружу, в этом случае достаточно одного порта, который можно защитить SSL сертификатом и дополнительной парольной защитой.
Ну и наконец веб-клиент, работает в браузере и, по сути, мало чем отличается от тонкого клиента. Но в этом случае клиентом кластера серверов становится модуль веб-сервера и вся клиентская нагрузка ложиться на него, но она как правило невелика и особых проблем не составляет.
Единственной проблемой может стать выделение оперативной памяти, потому что после отключения веб-клиента его сеанс, а следовательно, и выделенная ему память, сохраняются в течении 20 минут.
Также веб-клиенту присущ ряд ограничений, а также у него своя схема лицензирования, поэтому использовать веб-клиент следует только тогда, когда использовать тонкий клиент невозможно.
Поэтому, проектируя соверменные схемы работы с 1С всегда исходите из использования тонкого клиента.
10👍27❤4🔥1👏1
Отмечаете ли вы День системного администратора?
Anonymous Poll
30%
Да
43%
Нет
3%
Первый раз услышал
15%
У нас каждый день, как праздник
5%
Ну вот, снова нет повода не выпить
4%
Я не системный администратор
Какие данные хранит сервер 1С:Предприятия
В комментариях к нашей прошлой заметке о сервере 1С был задан вопрос – а как его бекапить и что именно. Поэтому давайте разберемся, какие данные хранятся сервере 1С и насколько критична их потеря.
Сейчас мы будем говорить только о сервере 1С и не будем касаться сервера СУБД, даже если они расположены на одной машине.
Итак, какие данные сервер 1С хранит на диске и где? Для хранения данных используется специальная рабочая директория кластера. В Windows она располагается в C:\Program Files\1cv8\srvinfo\reg_1541, в Linux в /home/usr1cv8/.1cv8/1C/1cv8/reg_1541.
Обратите внимание, что в имени родительской директории присутствует номер порта, на котором зарегистрирована служба, если вы используете несколько установок сервера 1С:Предприятие с нестандартными портами, то имя каталога будет иное.
Начнем с сеансовых данных, которые хранятся в директории с именем snccntx + уникальный идентификатор.
Что из себя представляют сеансовые данные? Это все данные, введенные пользователем в формы и предназначенные для передачи на сервер, прикрепленные к базе файлы при их загрузке и получении и иные объекты Временного хранилища, а также результаты отчетов, сформированных на сервере перед их передачей клиенту.
В долгосрочной перспективе сеансовые данные никому не нужны, так как они автоматически очищаются после завершения сеанса пользователя.
В той же директории можно найти папки с именами, состоящими из уникальных идентификаторов, по одной на каждую информационную базу. Там находятся каталоги 1Cv8FTxt и 1Cv8Log.
Первый содержит индекс полнотекстового поиска, который позволяет искать по части введенной строки. Функция полезная, но сам по себе индекс не представляет никакой ценности, его всегда можно построить заново, более того постоянным обновлением и перестроением индекса занимаются регламентные задания.
Второй каталог содержит журнал регистрации, в который, в зависимости от настроек, пишутся все действия пользователя и с его помощью всегда можно отследить кто создал или изменил тот или иной документ и когда он это сделал.
Пожалуй, это единственная информация на сервере 1С:Предприятия, которую имеет смысл бекапить, но снова только в том случае если журнал регистрации вам реально нужен и вы им реально пользуетесь. И вам реально нужна его история.
Что еще? В рабочем каталоге кластера вы также можете найти профайлы, которые содержат список баз и настройки кластера и серверов. В теории их тоже можно было бы копировать. На практике это лишено особого смысла, разве что список баз, если у вас их реально много.
Что касается настроек, то для платформы уровня ПРОФ их порезали до крайне неприличного уровня и настраивать там решительно нечего. В случае если вы используете платформу КОРП, то профайлы таки имеет смысл копировать, но пользователи КОРП и так должны все это знать.
Таким образом даже полная потеря сервера 1С:Предприятие не приведет ни к каким фатальным последствиям, так как все данные необходимые для работы информационной базы хранятся на сервере СУБД и резервной копии БД будет вполне достаточно для восстановления.
В комментариях к нашей прошлой заметке о сервере 1С был задан вопрос – а как его бекапить и что именно. Поэтому давайте разберемся, какие данные хранятся сервере 1С и насколько критична их потеря.
Сейчас мы будем говорить только о сервере 1С и не будем касаться сервера СУБД, даже если они расположены на одной машине.
Итак, какие данные сервер 1С хранит на диске и где? Для хранения данных используется специальная рабочая директория кластера. В Windows она располагается в C:\Program Files\1cv8\srvinfo\reg_1541, в Linux в /home/usr1cv8/.1cv8/1C/1cv8/reg_1541.
Обратите внимание, что в имени родительской директории присутствует номер порта, на котором зарегистрирована служба, если вы используете несколько установок сервера 1С:Предприятие с нестандартными портами, то имя каталога будет иное.
Начнем с сеансовых данных, которые хранятся в директории с именем snccntx + уникальный идентификатор.
Что из себя представляют сеансовые данные? Это все данные, введенные пользователем в формы и предназначенные для передачи на сервер, прикрепленные к базе файлы при их загрузке и получении и иные объекты Временного хранилища, а также результаты отчетов, сформированных на сервере перед их передачей клиенту.
В долгосрочной перспективе сеансовые данные никому не нужны, так как они автоматически очищаются после завершения сеанса пользователя.
В той же директории можно найти папки с именами, состоящими из уникальных идентификаторов, по одной на каждую информационную базу. Там находятся каталоги 1Cv8FTxt и 1Cv8Log.
Первый содержит индекс полнотекстового поиска, который позволяет искать по части введенной строки. Функция полезная, но сам по себе индекс не представляет никакой ценности, его всегда можно построить заново, более того постоянным обновлением и перестроением индекса занимаются регламентные задания.
Второй каталог содержит журнал регистрации, в который, в зависимости от настроек, пишутся все действия пользователя и с его помощью всегда можно отследить кто создал или изменил тот или иной документ и когда он это сделал.
Пожалуй, это единственная информация на сервере 1С:Предприятия, которую имеет смысл бекапить, но снова только в том случае если журнал регистрации вам реально нужен и вы им реально пользуетесь. И вам реально нужна его история.
Что еще? В рабочем каталоге кластера вы также можете найти профайлы, которые содержат список баз и настройки кластера и серверов. В теории их тоже можно было бы копировать. На практике это лишено особого смысла, разве что список баз, если у вас их реально много.
Что касается настроек, то для платформы уровня ПРОФ их порезали до крайне неприличного уровня и настраивать там решительно нечего. В случае если вы используете платформу КОРП, то профайлы таки имеет смысл копировать, но пользователи КОРП и так должны все это знать.
Таким образом даже полная потеря сервера 1С:Предприятие не приведет ни к каким фатальным последствиям, так как все данные необходимые для работы информационной базы хранятся на сервере СУБД и резервной копии БД будет вполне достаточно для восстановления.
👍28❤2👌2
Некоторые мысли по поводу организации DNS-трафика в сетях с Mikrotik
Последние нововведения буквально уже прямым текстом говорят, что незащищенный DNS-трафик становится небезопасен и может потенциально принести множество проблем на ровном месте.
Сегодня мы рассмотрим один из возможных вариантов в сетях с использованием в качестве шлюза роутеров Mikrotik.
Ой, да что там думать, скажет иной читатель, включаем DoH и понеслась! Но не все так просто. При включении DoH перестают работать записи типа FWD, что во многих случаях неприемлемо, поэтому нужно искать другое решение.
Завернуть DNS-запросы в трубу… Ну такое себе решение, скажем честно. Труба в наше время может отвалиться в любой момент, и тогда вся ваша сеть вообще окажется без DNS.
Поэтому работать надо через основное подключение, но исключительно по защищенным протоколам.
Сегодня в домашней сети был опробован данный вариант и результат его можно считать отличным.
Мы не будем вдаваться в технические подробности, сделаем это позже, в других заметках, а обрисуем общую канву, тем более что вариативность здесь достаточная.
Для разрешения запросов мы подняли дополнительный кеширующий DNS-сервер Unbound, но вы можете использовать любое иное решение, главное, чтобы оно умело использовать в качестве апстрима сервера DoT/DoH.
Как вы уже должны были понять, в качестве вышестоящего сервера для Unbound мы использовали один из публичных серверов по протоколу DoT.
Почему DoT, а не DoH? DoT проще в настройке и позволяет четко определять такой трафик, что полезно если вы используете сложные правила фильтрации. С другой стороны, это делает видимым такой трафик для провайдера, но доступа к нему он все равно не имеет.
Смысла прятать факт наличия DNS-трафика в зашифрованном виде особо нет, но если вы хотите скрыть такую активность, то лучше использовать DoH. В общем – на ваш выбор.
После чего в качестве используемого DNS-сервера для Mikrotik указываем адрес нашего Unbound. Для клиентов сети основным DNS как был Mikrotik, так и остался, это нужно для того, чтобы работали FWD записи и разные другие правила.
Этот режим показан на диаграмме зелеными стрелочками. DNS-запрос приходит на Mikrotik и если его не нужно перенаправлять на какой-либо специфический сервер, то он уходит на Unbound, а с него по DoT/DoH на выбранный вышестоящий DNS-сервер.
А что будет, если клиент явно укажет на своем устройстве другие DNS-сервера? Все просто, решаем при помощи правила на Mikrotik:
Где
После чего ваш роутер будет перехватывать все транзитные DNS-запросы и отправлять их на ваш Unbound-сервер. Этот режим показан на схеме голубыми стрелочками.
Также для контроля возможной утечки DNS советуем вам на первых порах добавить в брандмауэр, на самый верх, еще два правила:
Если вдруг счетчики по этим правилам показывают значения отличные от нуля, то переходим в лог и ищем записи с префиксом LEAK_DNS по которым смотрим кто и куда пытался пойти в обход нашей схемы.
Сразу дадим одну наколку, если у вас используются коммутируемые подключения или вы получаете настройки по DHCP – обязательно снимите галочку Use Peer DNS.
Данная схема не претендует на полноту и оригинальность, но поставленную задачу она полностью решила – открытые DNS запросы более за пределы локальной сети не уходят.
Последние нововведения буквально уже прямым текстом говорят, что незащищенный DNS-трафик становится небезопасен и может потенциально принести множество проблем на ровном месте.
Сегодня мы рассмотрим один из возможных вариантов в сетях с использованием в качестве шлюза роутеров Mikrotik.
Ой, да что там думать, скажет иной читатель, включаем DoH и понеслась! Но не все так просто. При включении DoH перестают работать записи типа FWD, что во многих случаях неприемлемо, поэтому нужно искать другое решение.
Завернуть DNS-запросы в трубу… Ну такое себе решение, скажем честно. Труба в наше время может отвалиться в любой момент, и тогда вся ваша сеть вообще окажется без DNS.
Поэтому работать надо через основное подключение, но исключительно по защищенным протоколам.
Сегодня в домашней сети был опробован данный вариант и результат его можно считать отличным.
Мы не будем вдаваться в технические подробности, сделаем это позже, в других заметках, а обрисуем общую канву, тем более что вариативность здесь достаточная.
Для разрешения запросов мы подняли дополнительный кеширующий DNS-сервер Unbound, но вы можете использовать любое иное решение, главное, чтобы оно умело использовать в качестве апстрима сервера DoT/DoH.
Как вы уже должны были понять, в качестве вышестоящего сервера для Unbound мы использовали один из публичных серверов по протоколу DoT.
Почему DoT, а не DoH? DoT проще в настройке и позволяет четко определять такой трафик, что полезно если вы используете сложные правила фильтрации. С другой стороны, это делает видимым такой трафик для провайдера, но доступа к нему он все равно не имеет.
Смысла прятать факт наличия DNS-трафика в зашифрованном виде особо нет, но если вы хотите скрыть такую активность, то лучше использовать DoH. В общем – на ваш выбор.
После чего в качестве используемого DNS-сервера для Mikrotik указываем адрес нашего Unbound. Для клиентов сети основным DNS как был Mikrotik, так и остался, это нужно для того, чтобы работали FWD записи и разные другие правила.
Этот режим показан на диаграмме зелеными стрелочками. DNS-запрос приходит на Mikrotik и если его не нужно перенаправлять на какой-либо специфический сервер, то он уходит на Unbound, а с него по DoT/DoH на выбранный вышестоящий DNS-сервер.
А что будет, если клиент явно укажет на своем устройстве другие DNS-сервера? Все просто, решаем при помощи правила на Mikrotik:
/ip firewall nat
add action=dst-nat chain=dstnat comment="SAFE DNS" dst-address=!192.168.1.0/24 dst-port=53 protocol=udp to-addresses=192.168.1.53
Где
192.168.1.0/24 – адрес вашей внутренней сети, а 192.168.1.53 – адрес сервера Unbound.После чего ваш роутер будет перехватывать все транзитные DNS-запросы и отправлять их на ваш Unbound-сервер. Этот режим показан на схеме голубыми стрелочками.
Также для контроля возможной утечки DNS советуем вам на первых порах добавить в брандмауэр, на самый верх, еще два правила:
/ip firewall filter
add action=passthrough chain=output dst-address=!192.168.1.0/24 dst-port=53 log=yes log-prefix=LEAK_DNS protocol=udp
add action=passthrough chain=forward dst-address=!192.168.1.0/24 dst-port=53 log=yes log-prefix=LEAK_DNS protocol=udp
Если вдруг счетчики по этим правилам показывают значения отличные от нуля, то переходим в лог и ищем записи с префиксом LEAK_DNS по которым смотрим кто и куда пытался пойти в обход нашей схемы.
Сразу дадим одну наколку, если у вас используются коммутируемые подключения или вы получаете настройки по DHCP – обязательно снимите галочку Use Peer DNS.
Данная схема не претендует на полноту и оригинальность, но поставленную задачу она полностью решила – открытые DNS запросы более за пределы локальной сети не уходят.
👍34❤4🤔2👌1
Про бессмысленные и беспощадные
Вчера товарищ получил письмо счастья от известной конторы на три буквы. Все как всегда:
▫️ В соответствии … уведомляем, что на основании решения суда/уполномоченного федерального органа исполнительной власти (Кромской районный суд - Орловская область) от 03.10.2014 № б/н указатель страницы сайта в сети … включен(ы) в «Единый реестр доменных имен … содержащие информацию, распространение которой в Российской Федерации запрещено», номер реестровой записи XXXXXXX-РИ
Сайт товарища – тематический форум, когда-то был ого-го, но последние несколько лет там лениво тусуются буквально пять человек из старожилов, которые обсуждают отвлеченные темы в флудилке.
В уведомлении стояла ссылка на сообщение форума, которое вызвало еще большее недоумение. Сообщение датировано началом 2014 года в теме посвященной обсуждению текущей политической ситуации и содержит короткую цитату и ссылку на СМИ, откуда была цитата.
Ссылка живая, страница на сайте СМИ до сих пор существует и доступна. Что там могло не понравиться Кромскому районному суду – загадка. Причем не понравилось это ему более 10 лет назад, но боты на форум пришли только третьего дня.
А дальше… А что дальше? Обычный владелец сайта получить доступ к реестровой записи просто так не может, не положено. Он вообще может только проверить свой домен или адрес на нахождение в реестре. Но его пока там нет, потому что у владельца ресурса есть сутки добровольно убрать запрещенную информацию.
По сути вариантов тут нет, согласен, не согласен – все равно убирай. Потому как за сутки что-либо сделать невозможно, а если вы информацию не убрали, то указанный адрес будет включен в реестр и отправлен на оборудование провайдерам. А там кто во что горазд. Кто полностью сайт заблокирует, а кто и тупо IP-адрес в блок поставит, со всеми соседями.
Нет, оно можно чего-то там разбираться и доказывать, возможно даже и доказать и разблокировать, только за это время будут потеряны позиции в поиске, трафик, индексация, монетизация. В общем – овчинка выделки не стоит.
А далее подумал-подумал товарищ и перевел весь форум в закрытый режим, что читать могут только зарегистрированные, ибо кто его знает, чего там еще за все время понаписали и где это написанное может числиться.
По сути, сегодня все ресурсы с постмодерируемым пользовательским контентом (читай – форумы) – это бомба замедленного действия, потому как написанное там может потом выйти владельцу боком, как организатору распространения информации.
Ну и сам подход тоже «радует», тут кто-то что-то решил и признал, что читать вот это не надо, так что будьте добры убрать. Почему? Зачем? На каком основании признали? А оно вам надо? Меньше знаешь – крепче спишь.
В общем мы снова возвращаемся в те времена, когда нашел в сети интересную страничку – сохрани ее. Ибо завтра ее уже может не быть и никакой КВН не поможет, потому что ее автор сам уберет, получив очередное письмо счастья.
Вчера товарищ получил письмо счастья от известной конторы на три буквы. Все как всегда:
▫️ В соответствии … уведомляем, что на основании решения суда/уполномоченного федерального органа исполнительной власти (Кромской районный суд - Орловская область) от 03.10.2014 № б/н указатель страницы сайта в сети … включен(ы) в «Единый реестр доменных имен … содержащие информацию, распространение которой в Российской Федерации запрещено», номер реестровой записи XXXXXXX-РИ
Сайт товарища – тематический форум, когда-то был ого-го, но последние несколько лет там лениво тусуются буквально пять человек из старожилов, которые обсуждают отвлеченные темы в флудилке.
В уведомлении стояла ссылка на сообщение форума, которое вызвало еще большее недоумение. Сообщение датировано началом 2014 года в теме посвященной обсуждению текущей политической ситуации и содержит короткую цитату и ссылку на СМИ, откуда была цитата.
Ссылка живая, страница на сайте СМИ до сих пор существует и доступна. Что там могло не понравиться Кромскому районному суду – загадка. Причем не понравилось это ему более 10 лет назад, но боты на форум пришли только третьего дня.
А дальше… А что дальше? Обычный владелец сайта получить доступ к реестровой записи просто так не может, не положено. Он вообще может только проверить свой домен или адрес на нахождение в реестре. Но его пока там нет, потому что у владельца ресурса есть сутки добровольно убрать запрещенную информацию.
По сути вариантов тут нет, согласен, не согласен – все равно убирай. Потому как за сутки что-либо сделать невозможно, а если вы информацию не убрали, то указанный адрес будет включен в реестр и отправлен на оборудование провайдерам. А там кто во что горазд. Кто полностью сайт заблокирует, а кто и тупо IP-адрес в блок поставит, со всеми соседями.
Нет, оно можно чего-то там разбираться и доказывать, возможно даже и доказать и разблокировать, только за это время будут потеряны позиции в поиске, трафик, индексация, монетизация. В общем – овчинка выделки не стоит.
А далее подумал-подумал товарищ и перевел весь форум в закрытый режим, что читать могут только зарегистрированные, ибо кто его знает, чего там еще за все время понаписали и где это написанное может числиться.
По сути, сегодня все ресурсы с постмодерируемым пользовательским контентом (читай – форумы) – это бомба замедленного действия, потому как написанное там может потом выйти владельцу боком, как организатору распространения информации.
Ну и сам подход тоже «радует», тут кто-то что-то решил и признал, что читать вот это не надо, так что будьте добры убрать. Почему? Зачем? На каком основании признали? А оно вам надо? Меньше знаешь – крепче спишь.
В общем мы снова возвращаемся в те времена, когда нашел в сети интересную страничку – сохрани ее. Ибо завтра ее уже может не быть и никакой КВН не поможет, потому что ее автор сам уберет, получив очередное письмо счастья.
🔥29👍13😢11❤2😁2
Роутеры бывают разные
В комментариях подписчик задал вопрос – кто что использует сейчас в качестве роутера, чтобы удовлетворял всем современным требованиям к трубопроводам, КВН и всему такому прочему.
Вопрос интересный, поэтому решили сделать отдельную заметку. Скажем сразу – это не про домашний роутер простого человека. Мы будем исходить из того, что рассматриваем ситуацию, когда владелец всего этого добра знает, понимает и умеет, хотя бы на базовом уровне.
Сразу скажем – одного роутера сегодня вам будет мало. Потому что ситуация меняется с каждым днем и то, что еще вчера работало, сегодня работать перестает. Трубы засоряются, команды КВН внезапно испытывают глубокий творческий кризис и т.д. и т.п.
Это все требует определенной гибкости и вариативности, которую роутер не всегда может предоставить или предоставить не в полном объеме, или вообще иметь собственное представление о прекрасном, которое не совсем сочетается с вашим.
Следующий момент – роутер достаточно ограничен по ресурсам и не всегда может полноценно тянуть заданную вами нагрузку, даже если он поддерживает нужные вам технологии и протоколы.
Поэтому мы приходим к тому, что кроме роутера вам понадобится отдельный хост для работы вспомогательных сетевых служб, который позволяет быстро поднять на нем все, что вам потребуется без оглядки на поддержку, совместимость, ресурсы и т.д. и т.п.
Это может быть как «малинка» / «бананка» / «репка» или что-то более серьезное на x86. Из нового – это компактные неттопы на N100, которые можно купить от 15 000 руб., из б/у можно посмотреть на Авито неттопы на J1900 / N 3xxx, которые можно купить в хорошем состоянии где-то за 5000 руб.
А если у меня есть NAS / Медиасервер / Домашняя лаба (нужное подчеркнуть). Нет и еще раз нет. Сетевые службы являются критически важными и поэтому должны быть доступны 24/7 вне зависимости от других сервисов.
Поэтому отдельная железка – самое то. Сегодня на нее, как минимум, логично возложить функции VPN / Прокси и локального кеширующего DNS.
А что же роутер? А роутеру оставим его основную функцию – маршрутизацию.
Что касается самого роутера, то мы видим тут три основных варианта:
🔹 Mikrotik – умеет все, что нужно домашнему роутеру и даже намного больше. Но требует определенных знаний и умений. В наше время еще и дороговат, также потребует стороннего решения для Wi-Fi, если вы не садомазохист.
🔹 Keenetic – достаточно мощная и продвинутая платформа с низким порогом входа и дружелюбным интерфейсом. Может многое и не требует специфичных знаний для настройки. Минусы – достаточно дорого. Плюсы – хороший Wi-Fi из коробки.
🔹 OpenWRT – привет красноглазие. Порог входа не ниже, чем на Mikrotik, а то еще и побольше. Потому как надо еще уметь прошивать, заливать, разблокировать и прочую аппаратно-программную магию. Но возможности там практически как у нормального Linux и роутер можно взять относительно недорогой. По Wi-Fi – как повезет, но скорее да, чем нет.
А так вообще вариантов достаточно много, если вы вынесете все основные сетевые сервисы на дополнительный ПК, то можно вообще взять обычный роутер в стоке и пробросить нужные порты куда надо.
Еще есть варианты с перешивкой под Keenetic некоторых недорогих моделей роутеров, но там прошивкой занимается один энтузиаст и вы будете полностью зависеть от него, как в вопросах доверия, так и в ситуации «я устал, я ухожу».
Но в целом общая концепция следующая – роутер, как роутер, т.е. занимается маршрутизацией, предоставляет функции межсетевого экрана и все такое прочее.
Отдельный хост – как сосредоточие сетевых служб: VPN, Proxy, DNS и все что может понадобиться еще. Там стоит классический Linux и возможности ограничены только вашей фантазией и наличием пакетов.
В комментариях подписчик задал вопрос – кто что использует сейчас в качестве роутера, чтобы удовлетворял всем современным требованиям к трубопроводам, КВН и всему такому прочему.
Вопрос интересный, поэтому решили сделать отдельную заметку. Скажем сразу – это не про домашний роутер простого человека. Мы будем исходить из того, что рассматриваем ситуацию, когда владелец всего этого добра знает, понимает и умеет, хотя бы на базовом уровне.
Сразу скажем – одного роутера сегодня вам будет мало. Потому что ситуация меняется с каждым днем и то, что еще вчера работало, сегодня работать перестает. Трубы засоряются, команды КВН внезапно испытывают глубокий творческий кризис и т.д. и т.п.
Это все требует определенной гибкости и вариативности, которую роутер не всегда может предоставить или предоставить не в полном объеме, или вообще иметь собственное представление о прекрасном, которое не совсем сочетается с вашим.
Следующий момент – роутер достаточно ограничен по ресурсам и не всегда может полноценно тянуть заданную вами нагрузку, даже если он поддерживает нужные вам технологии и протоколы.
Поэтому мы приходим к тому, что кроме роутера вам понадобится отдельный хост для работы вспомогательных сетевых служб, который позволяет быстро поднять на нем все, что вам потребуется без оглядки на поддержку, совместимость, ресурсы и т.д. и т.п.
Это может быть как «малинка» / «бананка» / «репка» или что-то более серьезное на x86. Из нового – это компактные неттопы на N100, которые можно купить от 15 000 руб., из б/у можно посмотреть на Авито неттопы на J1900 / N 3xxx, которые можно купить в хорошем состоянии где-то за 5000 руб.
А если у меня есть NAS / Медиасервер / Домашняя лаба (нужное подчеркнуть). Нет и еще раз нет. Сетевые службы являются критически важными и поэтому должны быть доступны 24/7 вне зависимости от других сервисов.
Поэтому отдельная железка – самое то. Сегодня на нее, как минимум, логично возложить функции VPN / Прокси и локального кеширующего DNS.
А что же роутер? А роутеру оставим его основную функцию – маршрутизацию.
Что касается самого роутера, то мы видим тут три основных варианта:
🔹 Mikrotik – умеет все, что нужно домашнему роутеру и даже намного больше. Но требует определенных знаний и умений. В наше время еще и дороговат, также потребует стороннего решения для Wi-Fi, если вы не садомазохист.
🔹 Keenetic – достаточно мощная и продвинутая платформа с низким порогом входа и дружелюбным интерфейсом. Может многое и не требует специфичных знаний для настройки. Минусы – достаточно дорого. Плюсы – хороший Wi-Fi из коробки.
🔹 OpenWRT – привет красноглазие. Порог входа не ниже, чем на Mikrotik, а то еще и побольше. Потому как надо еще уметь прошивать, заливать, разблокировать и прочую аппаратно-программную магию. Но возможности там практически как у нормального Linux и роутер можно взять относительно недорогой. По Wi-Fi – как повезет, но скорее да, чем нет.
А так вообще вариантов достаточно много, если вы вынесете все основные сетевые сервисы на дополнительный ПК, то можно вообще взять обычный роутер в стоке и пробросить нужные порты куда надо.
Еще есть варианты с перешивкой под Keenetic некоторых недорогих моделей роутеров, но там прошивкой занимается один энтузиаст и вы будете полностью зависеть от него, как в вопросах доверия, так и в ситуации «я устал, я ухожу».
Но в целом общая концепция следующая – роутер, как роутер, т.е. занимается маршрутизацией, предоставляет функции межсетевого экрана и все такое прочее.
Отдельный хост – как сосредоточие сетевых служб: VPN, Proxy, DNS и все что может понадобиться еще. Там стоит классический Linux и возможности ограничены только вашей фантазией и наличием пакетов.
👍25😁6❤3⚡2🤡2
Конь, просто конь… Троянский
Весной я рассказывал про PowerLine адаптеры, которые мой товарищ купил для того, чтобы быстро провести интернет в гараж - https://t.me/interface31/4121
А сегодня он порадовал меня веселой картинкой. Адаптеры б/у от МГТС, куплены на Озоне. В веб-интерфейс он зашел случайно. Сканировал сеть, увидел, что таковой на этих железках есть ну и любопытно стало.
На одной из страниц осталась активная настройка подключения к провайдерскому ACS (сервер автоконфигурации и диагностики). Т.е. его устройство фактически все это время находилось под потенциальным чужим управлением.
В данном случае это не сильно страшно, но факт остается фактом. Как говорится – осадочек остался.
Также напомним про еще одну недавнюю публикацию, где коллега провел исследование роутеров с «вечным ВПН» на маркетплейсах - https://t.me/interface31/4440
❗️ Из всего вышеизложенного можно (и нужно) сделать один вывод – любое сетевое устройство которое попало к вам в распечатанной коробке следует считать потенциально троянским, пока не будет доказано обратное (желательно полным сбросом и перепрошивкой).
Весной я рассказывал про PowerLine адаптеры, которые мой товарищ купил для того, чтобы быстро провести интернет в гараж - https://t.me/interface31/4121
А сегодня он порадовал меня веселой картинкой. Адаптеры б/у от МГТС, куплены на Озоне. В веб-интерфейс он зашел случайно. Сканировал сеть, увидел, что таковой на этих железках есть ну и любопытно стало.
На одной из страниц осталась активная настройка подключения к провайдерскому ACS (сервер автоконфигурации и диагностики). Т.е. его устройство фактически все это время находилось под потенциальным чужим управлением.
В данном случае это не сильно страшно, но факт остается фактом. Как говорится – осадочек остался.
Также напомним про еще одну недавнюю публикацию, где коллега провел исследование роутеров с «вечным ВПН» на маркетплейсах - https://t.me/interface31/4440
❗️ Из всего вышеизложенного можно (и нужно) сделать один вывод – любое сетевое устройство которое попало к вам в распечатанной коробке следует считать потенциально троянским, пока не будет доказано обратное (желательно полным сбросом и перепрошивкой).
👍35💯10🤡1
Как я искал вчерашний день
Третьего дня заглянул я в список аренды IP-адресов своего роутера и сразу глаз зацепился за некоторую неправильность – в списке присутствовало сразу два устройства с классом android-dhcp-14.
Что здесь неправильного? А то, что я точно знаю, что Android 14 в домашней сети есть на единственном устройстве – телефоне сына. А если появился второй, то значит в сеть подключилось некое неопознанное устройство.
Ситуация сама по себе непонятная и неприятная, особенно если ты привык считать, что полностью контролируешь свою сеть.
Кто же это может быть? Может сын что принес или установил какой эмулятор? Спросил. Нет, ничего такого он не делал, он вообще последнее время RGB-тюнингом нового ПК занят.
МAC? А что MAC? Мобильные устройства давно генерируют его случайным образом при подключении к новой сети. Ну даже и выяснишь ты, что это какой-нибудь Mediatek, дальше что?
Будем изучать, начнем с сетевой активности. Сетевая активность ничем не отличается от телефона в состоянии покоя. Никуда особо не лазит, трафик не генерирует, обращается в основном к сервисам гугла и погоде.
Точно телефон. Но чей? Дальнейший анализ показал, что устройство подключено к точке в центре квартиры. Тут еще интереснее. Ладно бы к той, что на кухне, там от подъезда за нее зацепиться можно, но эта…
Тем более что мощность передатчиков я прикрутил, чтобы не светили далеко. Соседи? Да вроде не похожи они на хакеров…
Ладно, будем смотреть дальше. В мое отсутствие устройство активности не проявляло, вечером тоже ушло с радаров. Но утром и днем снова появилось. Причем активное, постоянно продляющее аренду.
Снова ушел – и оно пропало, вернулся – появилось. Что за ерунда???
Снял логи с точек доступа и выяснил, что устройство эпизодически перемещается между точками и время как-то подозрительно совпадает…
Так, а где был в это время мой собственный телефон? Там же где и это устройство.
Бинго! Это же новые умные часы Samsung, которые умеют в Wi-Fi и внутри которых новая WearOS на базе Android 14. Захожу в часы – MAC и IP адрес совпадают. А так как часы умные, то в целях энергосбережения они отключают Wi-Fi, когда он не нужен.
Вечером часы снова пропадают с радаров. Прошу жену прислать чего-нибудь на WhatsApp. Тишина, хотя сообщение на часы пришло. А если с фоткой? Ага, вот и Wi-Fi включился. Правильно, чего насиловать медленный Bluetooth, когда можно быстро получить все по Wi-Fi.
Поэтому днем, пока активно приходят сообщения и ты смотришь их на часах – они активны и светятся в сети, а вечером выключают сеть и отдыхают.
Такая вот история. Мораль из этой истории проста: принесли и подключили новое устройство – посмотрите какой у него MAC, какой адрес оно получило, как представилось DHCP-серверу и как вообще отображается в сетевом окружении, мониторинге и т.д.
Это добавит спокойствия и уверенности, а также избавит от подобных поисков вчерашнего дня.
Третьего дня заглянул я в список аренды IP-адресов своего роутера и сразу глаз зацепился за некоторую неправильность – в списке присутствовало сразу два устройства с классом android-dhcp-14.
Что здесь неправильного? А то, что я точно знаю, что Android 14 в домашней сети есть на единственном устройстве – телефоне сына. А если появился второй, то значит в сеть подключилось некое неопознанное устройство.
Ситуация сама по себе непонятная и неприятная, особенно если ты привык считать, что полностью контролируешь свою сеть.
Кто же это может быть? Может сын что принес или установил какой эмулятор? Спросил. Нет, ничего такого он не делал, он вообще последнее время RGB-тюнингом нового ПК занят.
МAC? А что MAC? Мобильные устройства давно генерируют его случайным образом при подключении к новой сети. Ну даже и выяснишь ты, что это какой-нибудь Mediatek, дальше что?
Будем изучать, начнем с сетевой активности. Сетевая активность ничем не отличается от телефона в состоянии покоя. Никуда особо не лазит, трафик не генерирует, обращается в основном к сервисам гугла и погоде.
Точно телефон. Но чей? Дальнейший анализ показал, что устройство подключено к точке в центре квартиры. Тут еще интереснее. Ладно бы к той, что на кухне, там от подъезда за нее зацепиться можно, но эта…
Тем более что мощность передатчиков я прикрутил, чтобы не светили далеко. Соседи? Да вроде не похожи они на хакеров…
Ладно, будем смотреть дальше. В мое отсутствие устройство активности не проявляло, вечером тоже ушло с радаров. Но утром и днем снова появилось. Причем активное, постоянно продляющее аренду.
Снова ушел – и оно пропало, вернулся – появилось. Что за ерунда???
Снял логи с точек доступа и выяснил, что устройство эпизодически перемещается между точками и время как-то подозрительно совпадает…
Так, а где был в это время мой собственный телефон? Там же где и это устройство.
Бинго! Это же новые умные часы Samsung, которые умеют в Wi-Fi и внутри которых новая WearOS на базе Android 14. Захожу в часы – MAC и IP адрес совпадают. А так как часы умные, то в целях энергосбережения они отключают Wi-Fi, когда он не нужен.
Вечером часы снова пропадают с радаров. Прошу жену прислать чего-нибудь на WhatsApp. Тишина, хотя сообщение на часы пришло. А если с фоткой? Ага, вот и Wi-Fi включился. Правильно, чего насиловать медленный Bluetooth, когда можно быстро получить все по Wi-Fi.
Поэтому днем, пока активно приходят сообщения и ты смотришь их на часах – они активны и светятся в сети, а вечером выключают сеть и отдыхают.
Такая вот история. Мораль из этой истории проста: принесли и подключили новое устройство – посмотрите какой у него MAC, какой адрес оно получило, как представилось DHCP-серверу и как вообще отображается в сетевом окружении, мониторинге и т.д.
Это добавит спокойствия и уверенности, а также избавит от подобных поисков вчерашнего дня.
🔥31👍14😁14❤5👌2
Спрашивают – отвечаем. Надо ли заземлять экран витой пары?
Очень часто задают вопрос – надо ли заземлять экран витой пары ScTP, FTP, SFTP и как именно это делать. Кто-то говорит, что это необязательно, кто-то предлагает заземлять только с одного конца. Так кого же слушать?
А слушать надо то, что говорят стандарты. И сегодня нам на помощь придёт ГОСТ Р 53246-2008 СИСТЕМЫ КАБЕЛЬНЫЕ СТРУКТУРИРОВАННЫЕ Проектирование основных узлов системы. Общие требования.
Итак, что нам говорит стандарт про экранированную витую пару:
Экранирование проводников кабеля помогает улучшить защиту от электромагнитного излучения, создаваемого носителями сигналов, и невосприимчивость к воздействию электромагнитных помех от внешних источников.
Способность экрана создавать определенные преимущества для кабельной системы зависит от множества факторов. К этим факторам можно отнести рабочие характеристики компонентов кабельной системы, специфические методы и тщательность монтажа, а также конструктивные особенности и способы подключения активного оборудования.
Итак. Экран нужен нам для защиты как от внешних, так и внутренних помех, но его эффективность завит от многих факторов, в т.ч. и от тщательности монтажа.
Но одним экранированным кабелем дело не обходится, снова читаем стандарт:
Экранированное коммутационное оборудование предназначено для терминирования экранированных кабелей типов ScTP/FTP и S/FTP на основе витой пары проводников с волновым сопротивлением 100 Ом.
Для обеспечения эффективности экранирования системы требуется сохранение непрерывности экрана во всех компонентах кабельных подсистем в моделях линий и каналов, а также подключение экранов к телекоммуникационной системе заземления и уравнивание потенциалов в соответствии с требованиями нормативных документов.
Поэтому кроме экранированного кабеля нам еще понадобится экранированное оборудование, способное терминировать экранированные кабели и обеспечивать непрерывность экрана.
Т.е. вам понадобятся еще экранированные коннекторы, патч-панели, розетки и активное сетевое оборудование, поддерживающее работу с экранированными кабелями.
При этом стандарт прямо запрещает создание патч-кордов и коммутационных перемычек на основе экранированной витой пары в полевых условиях.
Таким образом вывод можно сделать однозначный: применение экранированной витой пары требует ее сочетания с экранированным сетевым оборудованием и требует обязательного обеспечения непрерывности экрана.
☝️ Т.е. оставить экран кабеля не подключенным к экрану коннектора или патч-панели нельзя!
Неподключенный экран в некоторых ситуациях способен работать в качестве большой антенны и дополнительно собирать на себя наводки.
С экраном разобрались, но пока ни слова не было сказано о заземлении. Вообще, для работы экрана заземление как таковое не нужно, достаточно того, чтобы он был подключен в точку с постоянным потенциалом. Поэтому в стандарте говорится о системах заземления и уравнивания потенциалов.
А вот здесь мы вступаем на скользкую тропу электротехники и вторгаемся в отрасль весьма далекую от администрирования. Поэтому попробуем по-простому.
Именно заземление является самым простым и надежным способом обеспечить точку с постоянным потенциалом, которая нужна для работы экрана. В идеале – это иметь отдельную шину заземления для коммуникационного оборудования, т.н. информационную землю.
На практике же бывает разное, очень разное. Это и отдельные шины заземления в разных частях здания или предприятия, и зануление вместо заземления, да и просто не соответствующие стандарту заземление.
К чему это может привести? А к тому, что между двумя точками земли может оказаться разность потенциалов и по экрану потечет ток, со всеми вытекающими. Именно поэтому существует совет заземлять кабель только с одной стороны. Либо подключать экран к земле через емкость.
Но повторюсь еще раз – здесь мы выходим за рамки администрирования и данный вопрос следует решать с ответственными за это сотрудниками.
Очень часто задают вопрос – надо ли заземлять экран витой пары ScTP, FTP, SFTP и как именно это делать. Кто-то говорит, что это необязательно, кто-то предлагает заземлять только с одного конца. Так кого же слушать?
А слушать надо то, что говорят стандарты. И сегодня нам на помощь придёт ГОСТ Р 53246-2008 СИСТЕМЫ КАБЕЛЬНЫЕ СТРУКТУРИРОВАННЫЕ Проектирование основных узлов системы. Общие требования.
Итак, что нам говорит стандарт про экранированную витую пару:
Экранирование проводников кабеля помогает улучшить защиту от электромагнитного излучения, создаваемого носителями сигналов, и невосприимчивость к воздействию электромагнитных помех от внешних источников.
Способность экрана создавать определенные преимущества для кабельной системы зависит от множества факторов. К этим факторам можно отнести рабочие характеристики компонентов кабельной системы, специфические методы и тщательность монтажа, а также конструктивные особенности и способы подключения активного оборудования.
Итак. Экран нужен нам для защиты как от внешних, так и внутренних помех, но его эффективность завит от многих факторов, в т.ч. и от тщательности монтажа.
Но одним экранированным кабелем дело не обходится, снова читаем стандарт:
Экранированное коммутационное оборудование предназначено для терминирования экранированных кабелей типов ScTP/FTP и S/FTP на основе витой пары проводников с волновым сопротивлением 100 Ом.
Для обеспечения эффективности экранирования системы требуется сохранение непрерывности экрана во всех компонентах кабельных подсистем в моделях линий и каналов, а также подключение экранов к телекоммуникационной системе заземления и уравнивание потенциалов в соответствии с требованиями нормативных документов.
Поэтому кроме экранированного кабеля нам еще понадобится экранированное оборудование, способное терминировать экранированные кабели и обеспечивать непрерывность экрана.
Т.е. вам понадобятся еще экранированные коннекторы, патч-панели, розетки и активное сетевое оборудование, поддерживающее работу с экранированными кабелями.
При этом стандарт прямо запрещает создание патч-кордов и коммутационных перемычек на основе экранированной витой пары в полевых условиях.
Таким образом вывод можно сделать однозначный: применение экранированной витой пары требует ее сочетания с экранированным сетевым оборудованием и требует обязательного обеспечения непрерывности экрана.
☝️ Т.е. оставить экран кабеля не подключенным к экрану коннектора или патч-панели нельзя!
Неподключенный экран в некоторых ситуациях способен работать в качестве большой антенны и дополнительно собирать на себя наводки.
С экраном разобрались, но пока ни слова не было сказано о заземлении. Вообще, для работы экрана заземление как таковое не нужно, достаточно того, чтобы он был подключен в точку с постоянным потенциалом. Поэтому в стандарте говорится о системах заземления и уравнивания потенциалов.
А вот здесь мы вступаем на скользкую тропу электротехники и вторгаемся в отрасль весьма далекую от администрирования. Поэтому попробуем по-простому.
Именно заземление является самым простым и надежным способом обеспечить точку с постоянным потенциалом, которая нужна для работы экрана. В идеале – это иметь отдельную шину заземления для коммуникационного оборудования, т.н. информационную землю.
На практике же бывает разное, очень разное. Это и отдельные шины заземления в разных частях здания или предприятия, и зануление вместо заземления, да и просто не соответствующие стандарту заземление.
К чему это может привести? А к тому, что между двумя точками земли может оказаться разность потенциалов и по экрану потечет ток, со всеми вытекающими. Именно поэтому существует совет заземлять кабель только с одной стороны. Либо подключать экран к земле через емкость.
Но повторюсь еще раз – здесь мы выходим за рамки администрирования и данный вопрос следует решать с ответственными за это сотрудниками.
👍23💯4❤2
Ходят, бродят, ищут чего-то…
Перед вами лог веб-сервера, отфильтрованный по коду 404. Как видим, боты усердно ищут некий адрес
А что это за адрес? А это веб-панель от OpenWRT – LuCI. А конкретно ищут уязвимость от 2018 года, позволяющую обойти механизмы аутентификации и получить root-доступ.
И вообще почитать список уязвимостей в LuCI весьма познавательно. Нет, мы не про то, что OpenWRT плох или это решето. Но это решение, которое нужно постоянно сопровождать и поддерживать, иначе может быть «ой». В любом случае это не решение класса «поставил и забыл»
Перед вами лог веб-сервера, отфильтрованный по коду 404. Как видим, боты усердно ищут некий адрес
/cgi-bin/luci/;stok=/locale. А что это за адрес? А это веб-панель от OpenWRT – LuCI. А конкретно ищут уязвимость от 2018 года, позволяющую обойти механизмы аутентификации и получить root-доступ.
И вообще почитать список уязвимостей в LuCI весьма познавательно. Нет, мы не про то, что OpenWRT плох или это решето. Но это решение, которое нужно постоянно сопровождать и поддерживать, иначе может быть «ой». В любом случае это не решение класса «поставил и забыл»
👌17👍11🫡3💯2
🚀💪 Как администратору Linux выйти на уровень Middle+?
👉 Приобрести необходимые навыки под руководством топовых экспертов из ведущих российских и международных компаний на онлайн-курсе «Administrator Linux. Professional» от OTUS.
⚠️ Программа идеально подойдет для системных администраторов Linux и Windows, DevOps-инженеров и SRE, Fullstack и Backend-разработчиков, сетевых и инженеров по нагрузочному тестированию, а также для специалистов по ИБ.
💪 Вы на профессиональном уровне изучите подбор конфигураций, управление процессами, обеспечение безопасности, развертывание, настройку и обслуживание сетей, что позволит вам претендовать на вакантные должности в крупных компаниях.
🎁 За успешное прохождение вступительного тестирования на странице курса вам откроется доступ к записям вебинаров от экспертов курса.
👉 Пройти вступительный тест https://otus.pw/QukU/?erid=2W5zFHUF912
Реклама. ООО "ОТУС ОНЛАЙН-ОБРАЗОВАНИЕ". ИНН 9705100963.
👉 Приобрести необходимые навыки под руководством топовых экспертов из ведущих российских и международных компаний на онлайн-курсе «Administrator Linux. Professional» от OTUS.
⚠️ Программа идеально подойдет для системных администраторов Linux и Windows, DevOps-инженеров и SRE, Fullstack и Backend-разработчиков, сетевых и инженеров по нагрузочному тестированию, а также для специалистов по ИБ.
💪 Вы на профессиональном уровне изучите подбор конфигураций, управление процессами, обеспечение безопасности, развертывание, настройку и обслуживание сетей, что позволит вам претендовать на вакантные должности в крупных компаниях.
🎁 За успешное прохождение вступительного тестирования на странице курса вам откроется доступ к записям вебинаров от экспертов курса.
👉 Пройти вступительный тест https://otus.pw/QukU/?erid=2W5zFHUF912
Реклама. ООО "ОТУС ОНЛАЙН-ОБРАЗОВАНИЕ". ИНН 9705100963.
👎3👍1
Новые находки в старом чулане
Вчера вечером из недр чулана был извлечен на свет еще один раритет – жесткий диск Seagate ST380011A объемом целых 80 ГБ, произведен в далеком и светлом 2004 году, т.е. более 20 лет назад.
Самое время оглянуться и посмотреть какой путь прошла индустрия за это время, особенно это будет полезно молодым, которые подобного оборудования в руках не держали.
Поэтому вернемся ненадолго в 2004 и посмотрим, что там вообще происходило на рынке жестких дисков.
А могли мы там увидеть линейку моделей от 40 до 250 ГБ (40/80/120/160/250) с интерфейсами IDE и SATA. SATA тогда только делал свои первые шаги и особой популярностью не пользовался по многим причинам, некоторые из них мы осветим ниже.
А топовой моделью 2004 года стал Hitachi Deskstar 7K400 на целых 400 ГБ, хотя найти его в продаже было затруднительно.
Наш диск имеет интерфейс IDE и поддерживает спецификацию Ultra DMA (Ultra ATA/100). Казалось бы неплохо, но это только максимальная пропускная способность интерфейса, в реальности данная модель развивала куда более скромные скорости линейного чтения/записи примерно на уровне 54 МБ/с.
Сегодня такой объем и скорость способна обеспечить средняя флешка, но для той поры это был очень неплохой диск. Не топ, но крепкий середнячок.
После чего становится понятно и отношение к интерфейсу SATA у тогдашних пользователей. Ничего нового он еще не привнес, очереди команд NCQ только находились в разработке и фактически это была просто смена интерфейса без изменения характеристик самого диска.
Сегодня, когда мы ругаемся на очень медленный TLC-флеш, со скоростями около 100-150 МБ/с и привыкли видеть 150-250 МБ/с у обычного жесткого диска такие показатели выглядят дико. Но тогда это был массовый и достаточно неплохой жесткий диск.
Да и объемы информации тогда были другие. Я примерно в те же годы прикупил себе два таких диска и реально не знал, чем их забить. Один я разбил под систему и холодные данные, а второй использовал для установки игр и первых попыток поработать с виртуализацией.
Сегодня же флешка на 128 ГБ постоянно чем-то забита, причем забита всякой ерундой, которая чистится по принципу: так, что тут ценного? Ага, это и это. А теперь Ctrl+A, Shift + Del!!!
Тогда же и информации было меньше и отношение к ней было другое. Потому что интернет только-только начинал входить в повседневную жизнь и информацию надо было доставать. Поэтому и хранили ее бережно и структурировано.
А что сейчас? А сейчас места много, скорости доступа большие, трафик безлимитный – качай в кучу, потом разберемся.
Но это уже совсем другая история. А пока что можно просто оценить какой путь прошла отрасль за 20 лет и то, что мы имеем сегодня казалось нам, тогдашним, недостижимой фантастикой.
Вчера вечером из недр чулана был извлечен на свет еще один раритет – жесткий диск Seagate ST380011A объемом целых 80 ГБ, произведен в далеком и светлом 2004 году, т.е. более 20 лет назад.
Самое время оглянуться и посмотреть какой путь прошла индустрия за это время, особенно это будет полезно молодым, которые подобного оборудования в руках не держали.
Поэтому вернемся ненадолго в 2004 и посмотрим, что там вообще происходило на рынке жестких дисков.
А могли мы там увидеть линейку моделей от 40 до 250 ГБ (40/80/120/160/250) с интерфейсами IDE и SATA. SATA тогда только делал свои первые шаги и особой популярностью не пользовался по многим причинам, некоторые из них мы осветим ниже.
А топовой моделью 2004 года стал Hitachi Deskstar 7K400 на целых 400 ГБ, хотя найти его в продаже было затруднительно.
Наш диск имеет интерфейс IDE и поддерживает спецификацию Ultra DMA (Ultra ATA/100). Казалось бы неплохо, но это только максимальная пропускная способность интерфейса, в реальности данная модель развивала куда более скромные скорости линейного чтения/записи примерно на уровне 54 МБ/с.
Сегодня такой объем и скорость способна обеспечить средняя флешка, но для той поры это был очень неплохой диск. Не топ, но крепкий середнячок.
После чего становится понятно и отношение к интерфейсу SATA у тогдашних пользователей. Ничего нового он еще не привнес, очереди команд NCQ только находились в разработке и фактически это была просто смена интерфейса без изменения характеристик самого диска.
Сегодня, когда мы ругаемся на очень медленный TLC-флеш, со скоростями около 100-150 МБ/с и привыкли видеть 150-250 МБ/с у обычного жесткого диска такие показатели выглядят дико. Но тогда это был массовый и достаточно неплохой жесткий диск.
Да и объемы информации тогда были другие. Я примерно в те же годы прикупил себе два таких диска и реально не знал, чем их забить. Один я разбил под систему и холодные данные, а второй использовал для установки игр и первых попыток поработать с виртуализацией.
Сегодня же флешка на 128 ГБ постоянно чем-то забита, причем забита всякой ерундой, которая чистится по принципу: так, что тут ценного? Ага, это и это. А теперь Ctrl+A, Shift + Del!!!
Тогда же и информации было меньше и отношение к ней было другое. Потому что интернет только-только начинал входить в повседневную жизнь и информацию надо было доставать. Поэтому и хранили ее бережно и структурировано.
А что сейчас? А сейчас места много, скорости доступа большие, трафик безлимитный – качай в кучу, потом разберемся.
Но это уже совсем другая история. А пока что можно просто оценить какой путь прошла отрасль за 20 лет и то, что мы имеем сегодня казалось нам, тогдашним, недостижимой фантастикой.
👍9🥱1