OpenVPN на pfSense. Часть 2 - выпуск сертификатов
Продолжаем настраивать OpenVPN сервер на pfSense. В первой части настроили возможность аутентификации через Active Directory. Здесь рассмотрим выпуск сертификатов, которые будут нужны для создания и настройки OpenVPN сервера - https://sysadminchik.ru
Продолжаем настраивать OpenVPN сервер на pfSense. В первой части настроили возможность аутентификации через Active Directory. Здесь рассмотрим выпуск сертификатов, которые будут нужны для создания и настройки OpenVPN сервера - https://sysadminchik.ru
Я тут выпал на некоторое время из творческого процесса. Нужно было оперативно подготовиться к тесту на 1С:Профессионал по технологическим вопросам. Этот тест сильно отличается от того, про который я писал - эксплуатация информационных систем. То что я описывал больше подходит системным администраторам. А то что мне пришлось сдавать, наверное, больше подходит архитекторам 1С.
👍12
OpenVPN на pfSense. Часть 3 - создание VPN-сервера
Создаём OpenVPN сервер на pfSense. В первой части настроили возможность аутентификации через Active Directory. Во второй части выпустили сертификаты, которые будут нужны для создания и настройки OpenVPN сервера. В этой части добавим в pfSense сам OpenVPN сервер - https://sysadminchik.ru
Создаём OpenVPN сервер на pfSense. В первой части настроили возможность аутентификации через Active Directory. Во второй части выпустили сертификаты, которые будут нужны для создания и настройки OpenVPN сервера. В этой части добавим в pfSense сам OpenVPN сервер - https://sysadminchik.ru
👍2
На днях возникла интересная ситуация. Есть организация, к сети которой подключается несколько удаленных сотрудников. Эти сотрудники сидят в офисе в другом городе. Подключение осуществлено при помощи OpenVPN. У всех, кроме одной сотрудницы, всё хорошо. Эта одна сотрудница стала жаловаться на то, что у неё всё время разрывается подключение. Я перепроверил все настройки и у неё и на сервере - всё, как у всех.
Заглянул в журнал событий на VPN-сервере, а там по её подключению видно, что она подключается с одного IP-адреса (офисного), потом через несколько секунд отключается и подключается с другого IP-адреса (неизвестного). Снова подключается с основного адреса, и снова переподключается с другого. Сперва я подумал, что это так провайдер блокирует VPN. Но эта идея не сработала, так как её коллега подключается и работает нормально из той же сети.
Разгадка оказалась простой. Эта сотрудница зачем-то настроила аналогичное подключение на домашнем компьютере, который всё время включён и подключен по VPN к организации.
Заглянул в журнал событий на VPN-сервере, а там по её подключению видно, что она подключается с одного IP-адреса (офисного), потом через несколько секунд отключается и подключается с другого IP-адреса (неизвестного). Снова подключается с основного адреса, и снова переподключается с другого. Сперва я подумал, что это так провайдер блокирует VPN. Но эта идея не сработала, так как её коллега подключается и работает нормально из той же сети.
Разгадка оказалась простой. Эта сотрудница зачем-то настроила аналогичное подключение на домашнем компьютере, который всё время включён и подключен по VPN к организации.
OpenVPN на pfSense. Часть 4 - подключение к VPN-серверу
В первой части я показал, как можно настроить аутентификацию для OpenVPN через Active Directory. Во второй части мы выпустили сертификаты, которые будут нужны для создания и настройки OpenVPN сервера. В третьей части создали в pfSense OpenVPN сервер.
Осталось создать сертификат пользователю, который будет подключаться по VPN, выгрузить клиентские файлы OpenVPN и настроить подключение на стороне клиента - https://sysadminchik.ru
В первой части я показал, как можно настроить аутентификацию для OpenVPN через Active Directory. Во второй части мы выпустили сертификаты, которые будут нужны для создания и настройки OpenVPN сервера. В третьей части создали в pfSense OpenVPN сервер.
Осталось создать сертификат пользователю, который будет подключаться по VPN, выгрузить клиентские файлы OpenVPN и настроить подключение на стороне клиента - https://sysadminchik.ru
👍2
Программа LGPO для чтения локальных политик Windows
В одной организации на компьютерах сотрудников был настроен запрет съемных запоминающих устройств при помощи локальных групповых политик (gpedit.msc). Для чего это было сделано при наличии доменных групповых политик, история умалчивает, но нужно было навести в этом вопросе порядок. Задача усложнялась тем, что в той организации более 1000 компьютеров и список рабочих мест с такими настройками никто не вёл.
В этом вопросе может помочь служебная программа командной строки от Microsoft - Local Group Policy Object (LGPO), которая предназначена для автоматизации управления локальными групповыми политиками - https://www.sysadminchik.ru
В одной организации на компьютерах сотрудников был настроен запрет съемных запоминающих устройств при помощи локальных групповых политик (gpedit.msc). Для чего это было сделано при наличии доменных групповых политик, история умалчивает, но нужно было навести в этом вопросе порядок. Задача усложнялась тем, что в той организации более 1000 компьютеров и список рабочих мест с такими настройками никто не вёл.
В этом вопросе может помочь служебная программа командной строки от Microsoft - Local Group Policy Object (LGPO), которая предназначена для автоматизации управления локальными групповыми политиками - https://www.sysadminchik.ru
👍1
Manspider - поиск информации в общих папках и локально
Есть задача регулярно проверять общие папки в локальной сети организации на наличие файлов, содержащих конфиденциальную информацию. Одним из инструментов, который может в этом помочь является программа Manspider.
Как это работает - https://sysadminchik.ru
Есть задача регулярно проверять общие папки в локальной сети организации на наличие файлов, содержащих конфиденциальную информацию. Одним из инструментов, который может в этом помочь является программа Manspider.
Как это работает - https://sysadminchik.ru
Всё больше приходится погружаться в тему информационной безопасности. Одна организация по роду своей деятельности подпадает под действие Указа Президента РФ от 01.05.2022 N 250 "О дополнительных мерах по обеспечению информационной безопасности Российской Федерации", где написано, что с 1 января 2025 г. запрещается использовать средства защиты информации, странами происхождения которых являются иностранные государства, совершающие в отношении России недружественные действия.
Пришлось в этой организации инициировать покупку межсетевого экрана от российского разработчика. По результатам просмотра семинаров различных вендоров, общения со специалистами продавцов, сравнения цен - выбор пал на UserGate NGFW. Цены сейчас на продукты такого рода - ого-го. Хорошо, что в организации использовался старый прокси-сервер, который начинал глючить. Его в любом случае нужно было менять.
Пришлось в этой организации инициировать покупку межсетевого экрана от российского разработчика. По результатам просмотра семинаров различных вендоров, общения со специалистами продавцов, сравнения цен - выбор пал на UserGate NGFW. Цены сейчас на продукты такого рода - ого-го. Хорошо, что в организации использовался старый прокси-сервер, который начинал глючить. Его в любом случае нужно было менять.
ИИ в помощь веб-разработчику
Дошли руки до создания веб-страницы с тестом по 1С (по технологическим вопросам). Для написания кода решил воспользоваться искусственным интеллектом :)
Сочинил следующий запрос:
Я попробовал GigaChat от Сбер и DeepSeek. Оба полученных кода были далеки от моих ожиданий. От GigaChat ещё и неправильно работал. Для своих целей за основу я взял код от DeepSeek.
Страница с тестом будет по этому адресу - https://sysadminchik.ru
Как наполню её вопросами, напишу отдельный пост.
Дошли руки до создания веб-страницы с тестом по 1С (по технологическим вопросам). Для написания кода решил воспользоваться искусственным интеллектом :)
Сочинил следующий запрос:
Помоги написать код для веб-страницы, на которой будет онлайн тест. Используй языки html и php. На вход подаётся вопрос, несколько вариантов ответов и один правильный ответ. Из вариантов ответов формируются чекбоксы. При нажатии на чекбокс должно появиться уведомление - правильный ответ или нет. Должна быть кнопка "Далее" для перехода к следующему вопросу.
Я попробовал GigaChat от Сбер и DeepSeek. Оба полученных кода были далеки от моих ожиданий. От GigaChat ещё и неправильно работал. Для своих целей за основу я взял код от DeepSeek.
Страница с тестом будет по этому адресу - https://sysadminchik.ru
Как наполню её вопросами, напишу отдельный пост.
👍2
Требования к защите персональных данных
На днях вступают в силу поправки к КоАП РФ в части ужесточения наказания за нарушения законодательства в области персональных данных (ст. 13.11). В связи с этим решил систематизировать моменты, связанные с мерами по обеспечению безопасности персональных данных в организациях.
Много бумажной работы, не меньше технических мер, и у всего этого нет финальной точки. Меняется законодательство, инфраструктура, работники приходят и уходят. Этим и привлекает данное направление в работе.
Подробнее на сайте - https://sysadminchik.ru
На днях вступают в силу поправки к КоАП РФ в части ужесточения наказания за нарушения законодательства в области персональных данных (ст. 13.11). В связи с этим решил систематизировать моменты, связанные с мерами по обеспечению безопасности персональных данных в организациях.
Много бумажной работы, не меньше технических мер, и у всего этого нет финальной точки. Меняется законодательство, инфраструктура, работники приходят и уходят. Этим и привлекает данное направление в работе.
Подробнее на сайте - https://sysadminchik.ru
👍1
На днях присутствовал на собеседовании с молодым парнем, который изъявил желание заняться информационной безопасностью на предприятии. Это была повторная встреча. На первой беседе он немного рассказал про свои навыки и ему были обозначены задачи, которые стоят перед отделом.
Итак, вторая встреча. Студент-заочник, учится по схожему направлению. С его слов знает некоторые языки программирования. Увлекается компьютерными играми и свободное время посвещает им. На обозначенные при первой встрече задачи никаких своих предложений не принёс. Хотя они пересекались с его навыками программирования. При разговоре на темы информационной безопасности увлечённости в его ответах и глазах я не заметил. Зато при упоминании об играх он сразу оживал.
В схожем возрасте я в таких ситуациях рассказывал, как настраивал компьютеры, объединял их в сеть, разворачивал 1С в клиент-серверном варианте. При разговоре об увлечениях, говорил о машинах, книгах и путешествиях.
Мораль - работать нужно с единомышленниками :)
Итак, вторая встреча. Студент-заочник, учится по схожему направлению. С его слов знает некоторые языки программирования. Увлекается компьютерными играми и свободное время посвещает им. На обозначенные при первой встрече задачи никаких своих предложений не принёс. Хотя они пересекались с его навыками программирования. При разговоре на темы информационной безопасности увлечённости в его ответах и глазах я не заметил. Зато при упоминании об играх он сразу оживал.
В схожем возрасте я в таких ситуациях рассказывал, как настраивал компьютеры, объединял их в сеть, разворачивал 1С в клиент-серверном варианте. При разговоре об увлечениях, говорил о машинах, книгах и путешествиях.
Мораль - работать нужно с единомышленниками :)
😁4👍1
Дополнительное сообщение с рекомендацией изменить пароль
В организации групповыми политиками Windows настроены максимальный срок действия пароля для пользователей и напоминание пользователям за некоторое количество дней до истечении срока действия их пароля.
На компьютере пользователя это выглядит, как сообщение в нижнем правом углу рабочего стола. Минус в том, что это сообщение появляется всего на несколько секунд и само исчезает.
Поступило предложение, чтобы похожее уведомление висело на рабочем столе, пока пользователь его сам не закроет. Подробнее здесь - https://sysadminchik.ru
В организации групповыми политиками Windows настроены максимальный срок действия пароля для пользователей и напоминание пользователям за некоторое количество дней до истечении срока действия их пароля.
На компьютере пользователя это выглядит, как сообщение в нижнем правом углу рабочего стола. Минус в том, что это сообщение появляется всего на несколько секунд и само исчезает.
Поступило предложение, чтобы похожее уведомление висело на рабочем столе, пока пользователь его сам не закроет. Подробнее здесь - https://sysadminchik.ru
👍5
Windows - запрет передачи файлов на мобильный телефон
Возникла задача заблокировать возможность пользователям использовать на работе смартфоны (планшеты, фотоаппараты и др.), как носители информации.
Опишу два способа: через групповые политики (правда, он получился только через локальные групповые политики) и при помощи Kaspersky Security Center - https://sysadminchik.ru
Возникла задача заблокировать возможность пользователям использовать на работе смартфоны (планшеты, фотоаппараты и др.), как носители информации.
Опишу два способа: через групповые политики (правда, он получился только через локальные групповые политики) и при помощи Kaspersky Security Center - https://sysadminchik.ru
👍4
Один состоятельный человек заказал у художника картину за очень высокую цену. Когда он узнал, что эту картину художник писал всего два часа, состоятельный человек потребовал от художника вернуть деньги. Тогда художник ответил: "Я писал картину всю жизнь и ещё два часа".
Мне бывало неловко брать с людей или организаций деньги за работу, которую я выполнил за условные 15 минут. Или за ответ, который я дал сразу. Так как в такие моменты я часто ловлю недоумённые взгляды заказчиков.
Многие легче расстаются с деньгами, если видят, что работа заняла много времени. В таких случаях, если нет аврала и спешить некуда, я подгонял время выполнения работ под ожидаемый для себя доход за конкретную работу. И консультации давал спустя время на "подумать". Но в последнее время мне стало дорого моё время (возраст, наверное) и я руководствуюсь цитатой того художника, которую привёл выше - я сделал работу быстро не потому что она лёгкая, а потому что знаю, как ее выполнить.
Мне бывало неловко брать с людей или организаций деньги за работу, которую я выполнил за условные 15 минут. Или за ответ, который я дал сразу. Так как в такие моменты я часто ловлю недоумённые взгляды заказчиков.
Многие легче расстаются с деньгами, если видят, что работа заняла много времени. В таких случаях, если нет аврала и спешить некуда, я подгонял время выполнения работ под ожидаемый для себя доход за конкретную работу. И консультации давал спустя время на "подумать". Но в последнее время мне стало дорого моё время (возраст, наверное) и я руководствуюсь цитатой того художника, которую привёл выше - я сделал работу быстро не потому что она лёгкая, а потому что знаю, как ее выполнить.
👍6
1С: Тест по технологическим вопросам - для ознакомления
В рамках тестирования скрипта для онлайн-теста на своей странице я загрузил вопросы из 7 тем теста 1С по технологическим вопросам, которые больше подходят для системных администраторов: это с 1 по 5, 11 и 12. Подробнее здесь - https://sysadminchik.ru
В рамках тестирования скрипта для онлайн-теста на своей странице я загрузил вопросы из 7 тем теста 1С по технологическим вопросам, которые больше подходят для системных администраторов: это с 1 по 5, 11 и 12. Подробнее здесь - https://sysadminchik.ru
👍4
UserGate NGFW - Настройка VPN-сервера с двухфакторной аутентификацией. Часть 1
На примере UserGate NGFW 7.3 покажу, как настроить VPN-сервер с двухфакторной аутентификацией (одноразовый код будет приходить на электронную почту) - https://sysadminchik.ru
На примере UserGate NGFW 7.3 покажу, как настроить VPN-сервер с двухфакторной аутентификацией (одноразовый код будет приходить на электронную почту) - https://sysadminchik.ru
👍3
UserGate NGFW - Подключение по VPN на примере Windows 10. Часть 2
В первой части я настроил VPN-сервер на UserGate NGFW. Теперь переходим на сторону VPN-клиента - удалённого пользователя. Покажу на примере ОС Windows 10 (проверено, на Windows 11 тоже работает) - https://sysadminchik.ru
В первой части я настроил VPN-сервер на UserGate NGFW. Теперь переходим на сторону VPN-клиента - удалённого пользователя. Покажу на примере ОС Windows 10 (проверено, на Windows 11 тоже работает) - https://sysadminchik.ru
👍3
Символические ссылки в Windows для копирования при помощи Robocopy
В инструкции «Команда robocopy - копирование каталога с пробелами в имени» я описывал, как при помощи команды robocopy и планировщика задач Windows настроить создание резервных копий папок с документами. Там же я написал, что для копирования папок, в названии которых есть русские буквы, нужно подбирать кодировку.
На одном сервере что-то пошло не по плану и кодировка не помогла. Эксперименты со сменой кодировки также приводили к ошибке копирования. Помогли симлинки, подробнее здесь - https://sysadminchik.ru
В инструкции «Команда robocopy - копирование каталога с пробелами в имени» я описывал, как при помощи команды robocopy и планировщика задач Windows настроить создание резервных копий папок с документами. Там же я написал, что для копирования папок, в названии которых есть русские буквы, нужно подбирать кодировку.
На одном сервере что-то пошло не по плану и кодировка не помогла. Эксперименты со сменой кодировки также приводили к ошибке копирования. Помогли симлинки, подробнее здесь - https://sysadminchik.ru
👍4
Alt Linux - общая папка с ограниченным доступом
В своей инструкции «Создание сетевой папки или файлового сервера на Linux» я описывал, как настроить сетевую папку в Linux с полным доступом без авторизации. Однако при попытке войти в такую папку из новых версий Windows появляется ошибка «Вы не можете получить доступ к этой общей папке, так как политики безопасности вашей организации блокируют гостевой доступ без проверки подлинности».
Менять политики безопасности на таких Windows-системах не позволяют корпоративные требования. В такой ситуации нужно изменить настройки Samba на Linux-машине, где находится такая сетевая папка - https://sysadminchik.ru
В своей инструкции «Создание сетевой папки или файлового сервера на Linux» я описывал, как настроить сетевую папку в Linux с полным доступом без авторизации. Однако при попытке войти в такую папку из новых версий Windows появляется ошибка «Вы не можете получить доступ к этой общей папке, так как политики безопасности вашей организации блокируют гостевой доступ без проверки подлинности».
Менять политики безопасности на таких Windows-системах не позволяют корпоративные требования. В такой ситуации нужно изменить настройки Samba на Linux-машине, где находится такая сетевая папка - https://sysadminchik.ru
👍5
Центр сертификации в Alt Linux - штатное средство и XCA
Возникла задача выпустить сертификаты для корпоративного веб-портала, а также для SSL-инспектирования в межсетевом экране UserGate. Доменного центра сертификации в организации нет и системные администраторы не видят смысла его разворачивать.
Есть два достаточно быстрых способа, как это реализовать на ОС Linux. Покажу на примере Alt Linux 10.4 - https://sysadminchik.ru
Возникла задача выпустить сертификаты для корпоративного веб-портала, а также для SSL-инспектирования в межсетевом экране UserGate. Доменного центра сертификации в организации нет и системные администраторы не видят смысла его разворачивать.
Есть два достаточно быстрых способа, как это реализовать на ОС Linux. Покажу на примере Alt Linux 10.4 - https://sysadminchik.ru
Появилась задача поиска в сетевых папках организации файлов с запрещённым содержимым. В первую очередь сюда относятся документы с персональными данными. Задача усложняется тем, что искать нужно не только в текстовых файлах, но и в графических файлах.
Прежде чем творить своё решение, я решил посмотреть, что есть на рынке. Представители компаний, занимающиеся системной интеграцией в области ИТ и ИБ, предложили различные DCAP и DLP системы и прислали мне презентации этих программ (к слову, все отечественные). Цены на эти программы на сайтах компаний разработчиков не найти. Цена формируется позже в процессе таинства онлайн-встреч, заполнения опросных листов и ещё каких-то неведомых заказчику процессов. В результате получили коммерческие предложения на суммы от 1,5 млн до 27 млн рублей. На все программы цена формируется от количества доменных пользователей.
Все предложенные программы обладают большим набором функций - подобие «кухонного комбайна». Для нашей организации эти функции являются излишними и переплачивать за них руководство не готово. Во время онлайн-встреч с разработчиками я спрашивал о программах с меньшим набором функций. На что мне отвечали, что это им не интересно, так как за такие программы много не возьмёшь. Вот так и живём: организации не готовы переплачивать за лишние функции, а разработчики не желают подстраиваться под возможности и потребности потенциальных заказчиков.
Из общей картины выбилась одна программа, где цена может зависеть от объёма информации, который необходимо контролировать. Тут цена уже ниже (0,7 млн для 1 Тб и 1,1 для 5 Тб), но всё равно прилично.
Прежде чем творить своё решение, я решил посмотреть, что есть на рынке. Представители компаний, занимающиеся системной интеграцией в области ИТ и ИБ, предложили различные DCAP и DLP системы и прислали мне презентации этих программ (к слову, все отечественные). Цены на эти программы на сайтах компаний разработчиков не найти. Цена формируется позже в процессе таинства онлайн-встреч, заполнения опросных листов и ещё каких-то неведомых заказчику процессов. В результате получили коммерческие предложения на суммы от 1,5 млн до 27 млн рублей. На все программы цена формируется от количества доменных пользователей.
Все предложенные программы обладают большим набором функций - подобие «кухонного комбайна». Для нашей организации эти функции являются излишними и переплачивать за них руководство не готово. Во время онлайн-встреч с разработчиками я спрашивал о программах с меньшим набором функций. На что мне отвечали, что это им не интересно, так как за такие программы много не возьмёшь. Вот так и живём: организации не готовы переплачивать за лишние функции, а разработчики не желают подстраиваться под возможности и потребности потенциальных заказчиков.
Из общей картины выбилась одна программа, где цена может зависеть от объёма информации, который необходимо контролировать. Тут цена уже ниже (0,7 млн для 1 Тб и 1,1 для 5 Тб), но всё равно прилично.