не, такое практикую разве что по серту (на комп) и с лимитированным доступом. на полноценный впн осознанно запрос пароля + второго фактора, безопасность должна быть безопасной:)
как будто вводить руками пароль это что-то плохое :D мне чем нравится отдавать pbk - это просто файл забрали, двойным кликом запустили, подключились, также отключились. а с CMAK-ом было весело когда были популярны х86 десктопы. приходилось делать два CMAK-а, и опять же запихивать в автоустановщик с выбором разрядности системы.
сейчас практикую больше впн-ы без клиентских настроек-конфигов-прочих подпрыгиваний, вроде any\open connect
альтернативно - можно закинуть rasphone.pbk с сертификатом (можно зашить в бинарь, можно sfx собрать..), ну или воспользоваться инструментом CMAK, тогда можно и кастомизировать окно подключения (например добавить телефон техподдержки). так же как и при создании пошиком, удобно сразу добавить маршруты для реализации split-tunnel, только ЕМНИП пошиком докидывание маршрутов работает начиная с вин10
да, альтернативой тогда был радмин и деймварь альтернативно-лицензированные, работали весело и вкусно, но мы всё ж ударяли по пиратству опенсорцом и поделками:) в рамках локалки vnc работал пристойно, а вот по хреновому *dsl была немношк боль
Когда уже есть какое-то количество условно бесплатные сервисы начинали блочить
нуу, тим с патчами тоже имел место быть (или простой сброс id путём установки tap-интерфейса), но это уже было позжее:)
Бэкап с одного микротика даже на аналогичную модель лучше не разворачивать, не говоря про разные:) только через експорт конфиг и вдумчивый импорт, при этом при импорте надо полностью удалить конфу (reset - no default). При должной сноровке импорт можно делать менее вдумчиво и сразу применять при сбросе :)
Было время, когда яндекс списывал бабки при заказе, потом доначислял немношк:) последнее время списывает по завершении поездки, и да - сумма отличалась, иногда даже в меньшую сторону. Точно было несколько раз за последний год
Мне кажется стоимость поездки всегда была условно-ориентировочной. По пути можно внезапно постоять в пробке, можно попросить поехать другим маршрутом, заехать за тортом и т.п :) вроде как раньше итоговая стоимость отличалась от заявленной чаще (развитие алгоритмов!). И не помню, может это был убер когда он был убером - было два варианта стоимости, фикс и «по счётчику»..
Да, оно красивое на бумажке, но требует осмысления, доработки и изменений. Тот же imap можно объявить легаси и похоронить в пользу вебинтерфейса условной зимбры. Или прикрутить к нему mtls (так же закрыть на серт клиентский)..
Если винда - с adfs тож не особо сложно. Больше проблем с сервисами, что или заводят для галочки поддержку, или начинают считать что это суперентерпрайзно и хотеть множество деняк:)
Подумайте над имплементацией в том или ином формате подхода zero trust security. Условно нам не важно, где комп - в локалке (в впн) или дома, мы одинаково защищаем сервисы. Оно хорошо ложится на byod-подход и в целом не особо затратно можно сделать без накручивания conditional access и client posture/profiling.
Как вариант имплементации (не факт что подойдёт вам, чисто вариант концепта) сервисы вывешиваем на внешний адрес, но помимо аутентификации и авторизации через ldap крутим mfa, и проверяем наличие клиентского сертификата выданного внутренним СА. Сертификатом спасаемся от всяких zero-day, mfa - на случай если и учётка и серт утекут (например стырили ноут, а он нешифрован и пароль на рабочем столе). Можно использовать и совместно с впн, например mfa запрашивать только при внешнем подключении (тут понадобится опять же сплит/дмз, но по крайней мере часть сотрудников не будет страдать от mfa). Mfa хорошо крутить с sso вроде самл/oauth (в один сервис зашёл, в другие в период n часов влетаешь без запросов).
Ну, главное что риск оценен, взвешен и принят :) к слову, тут ещё возможны косяки (в теории и отаки, но вы вероятно тоже учли) при работе без впн, когда можно попасть по имени куда-то совсем не туда - вплоть до отправки чуйствительной информации вроде паролей плейнтекстом-куков и т.п.
Я как чувак, что ближе к кровавому тыртырпрайзу предпочитаю сплитднс при отсутствии возможности/желания работать с внешними адресами сервисов или реверс-прокси (подробнее про нюансы отож писал выше).
всё правильно, внутренние ресурсы, для внутренних пользователей.
и один балансировщик. с терминацией ссл. смотрящий наружу (одной ногой условно для www.domain.name) и запрашивающий вайлдкард *.domain.name. обращения к внутренним сервисам - через этот балансировщик, по уже внутренней ноге. одна точка терминации, один сертбот. заодно внутренни сервисы принимают подключения только с одного внутреннего адреса (ну если делать ha - c нескольких) что упрощает фаерволенг и сегментирование сети.
в целом для внутренних клиентов обращаться по внешнему адресу тоже допустимо, но без настройки маршрутизации между внешними и внутренними адресами (например с полноценной DMZ и своей AS) - оно будет ну такое, на балансировщике внутренних адресов не увидите.
Простой вариант как калаш - один балансировщик-реверпрокси (тот же нжиникс или хапрокси или и то, и то - тут по вкусу) с терминацией ссл и вайлдкардами для нужных обслуживаемых доменов…
Отдавать наружу внутренние адреса чот ну такое. Мало того, что относительно публичны имена внутренних хостов, так ещё и ip их известны - а лучше отдавать наружу меньше инфы об инфраструктуре:)
Ага, инструменты разные. Можно конечно прикрутить экспортёр к прометеусу, но зачем - заббикс хорош для «низкоуровневого» мониторинга, прометеус - для сбора метрик, особенно для сбора метрик приложений. А для визуализации один шут графана:)
Ну, периодически ловили всякое подобное.. лечится - да, в идеале отпилом нафиг 2.4, а в 5 - ручной настройкой мощности точек в сторону уменьшения (при необходимости с увеличением их количества), а так же вопросом геометрии покрытия , чтоб избежать интересного хода волны (вместо всенаправленных точек вешать направленные/секторальные). Чтобы перекрытие было минимальным и клиент вовсе не видел лишнего - на складах, особенно с металлической мебелью и стеклом, волны порой довольно причудливо себя ведут. За вендора ваших точек ничего не скажу (не знаю), но ловили подобное и на цисках с юнифаями.
И присоединюсь к ораторам выше - пойти в проект поглубже, оптимизировать бизнес-процессы/по чтоб потеря нескольких пакетов не мешала работе. Если конечно есть возможность. Встречалась схема работы вида - ребята подъезжают на зону разгрузки с оператором, там вайфай ловит :) получают сборочный лист на терминал - и погнали. Так склад без покрытия вафая
ну, есть отечественные вендоры, есть cisco plr для тех, кому близок по духу вольный дух Тортуги%) ну и можно изобретать всякое, например 802.1x c радиусом и атрибутами cisco-av-pair (ессно нужно оборудование с поддержкой этого дела), каптивы..
не, такое практикую разве что по серту (на комп) и с лимитированным доступом. на полноценный впн осознанно запрос пароля + второго фактора, безопасность должна быть безопасной:)
как будто вводить руками пароль это что-то плохое :D мне чем нравится отдавать pbk - это просто файл забрали, двойным кликом запустили, подключились, также отключились. а с CMAK-ом было весело когда были популярны х86 десктопы. приходилось делать два CMAK-а, и опять же запихивать в автоустановщик с выбором разрядности системы.
сейчас практикую больше впн-ы без клиентских настроек-конфигов-прочих подпрыгиваний, вроде any\open connect
альтернативно - можно закинуть rasphone.pbk с сертификатом (можно зашить в бинарь, можно sfx собрать..), ну или воспользоваться инструментом CMAK, тогда можно и кастомизировать окно подключения (например добавить телефон техподдержки). так же как и при создании пошиком, удобно сразу добавить маршруты для реализации split-tunnel, только ЕМНИП пошиком докидывание маршрутов работает начиная с вин10
да, альтернативой тогда был радмин и деймварь альтернативно-лицензированные, работали весело и вкусно, но мы всё ж ударяли по пиратству опенсорцом и поделками:) в рамках локалки vnc работал пристойно, а вот по хреновому *dsl была немношк боль
нуу, тим с патчами тоже имел место быть (или простой сброс id путём установки tap-интерфейса), но это уже было позжее:)
О да. Автоит, uvnc.. я только ещё туда закидывал plink для ssh-туннеля:)
К счастью в 2к22 есть растдеск и другие альтернативы, внц уж очень туговат.
Бэкап с одного микротика даже на аналогичную модель лучше не разворачивать, не говоря про разные:) только через експорт конфиг и вдумчивый импорт, при этом при импорте надо полностью удалить конфу (reset - no default). При должной сноровке импорт можно делать менее вдумчиво и сразу применять при сбросе :)
Грац с обновкой, вяловяло смотрю на hap ax3 :)
Я просто оставлю это тут https://github.com/lithnet/ad-password-protection (проверка по словарям с нормализацией, расширенное управление политиками сложности и т.п). Годное
Было время, когда яндекс списывал бабки при заказе, потом доначислял немношк:) последнее время списывает по завершении поездки, и да - сумма отличалась, иногда даже в меньшую сторону. Точно было несколько раз за последний год
Мне кажется стоимость поездки всегда была условно-ориентировочной. По пути можно внезапно постоять в пробке, можно попросить поехать другим маршрутом, заехать за тортом и т.п :) вроде как раньше итоговая стоимость отличалась от заявленной чаще (развитие алгоритмов!). И не помню, может это был убер когда он был убером - было два варианта стоимости, фикс и «по счётчику»..
Да, оно красивое на бумажке, но требует осмысления, доработки и изменений. Тот же imap можно объявить легаси и похоронить в пользу вебинтерфейса условной зимбры. Или прикрутить к нему mtls (так же закрыть на серт клиентский)..
Если винда - с adfs тож не особо сложно. Больше проблем с сервисами, что или заводят для галочки поддержку, или начинают считать что это суперентерпрайзно и хотеть множество деняк:)
Подумайте над имплементацией в том или ином формате подхода zero trust security. Условно нам не важно, где комп - в локалке (в впн) или дома, мы одинаково защищаем сервисы. Оно хорошо ложится на byod-подход и в целом не особо затратно можно сделать без накручивания conditional access и client posture/profiling.
Как вариант имплементации (не факт что подойдёт вам, чисто вариант концепта) сервисы вывешиваем на внешний адрес, но помимо аутентификации и авторизации через ldap крутим mfa, и проверяем наличие клиентского сертификата выданного внутренним СА. Сертификатом спасаемся от всяких zero-day, mfa - на случай если и учётка и серт утекут (например стырили ноут, а он нешифрован и пароль на рабочем столе). Можно использовать и совместно с впн, например mfa запрашивать только при внешнем подключении (тут понадобится опять же сплит/дмз, но по крайней мере часть сотрудников не будет страдать от mfa). Mfa хорошо крутить с sso вроде самл/oauth (в один сервис зашёл, в другие в период n часов влетаешь без запросов).
Ну, главное что риск оценен, взвешен и принят :) к слову, тут ещё возможны косяки (в теории и отаки, но вы вероятно тоже учли) при работе без впн, когда можно попасть по имени куда-то совсем не туда - вплоть до отправки чуйствительной информации вроде паролей плейнтекстом-куков и т.п.
Я как чувак, что ближе к кровавому тыртырпрайзу предпочитаю сплитднс при отсутствии возможности/желания работать с внешними адресами сервисов или реверс-прокси (подробнее про нюансы отож писал выше).
всё правильно, внутренние ресурсы, для внутренних пользователей.
и один балансировщик. с терминацией ссл. смотрящий наружу (одной ногой условно для www.domain.name) и запрашивающий вайлдкард *.domain.name. обращения к внутренним сервисам - через этот балансировщик, по уже внутренней ноге. одна точка терминации, один сертбот.
заодно внутренни сервисы принимают подключения только с одного внутреннего адреса (ну если делать ha - c нескольких) что упрощает фаерволенг и сегментирование сети.
в целом для внутренних клиентов обращаться по внешнему адресу тоже допустимо, но без настройки маршрутизации между внешними и внутренними адресами (например с полноценной DMZ и своей AS) - оно будет ну такое, на балансировщике внутренних адресов не увидите.
этот комментарий не вам:)
Простой вариант как калаш - один балансировщик-реверпрокси (тот же нжиникс или хапрокси или и то, и то - тут по вкусу) с терминацией ссл и вайлдкардами для нужных обслуживаемых доменов…
Отдавать наружу внутренние адреса чот ну такое. Мало того, что относительно публичны имена внутренних хостов, так ещё и ip их известны - а лучше отдавать наружу меньше инфы об инфраструктуре:)
Ага, инструменты разные. Можно конечно прикрутить экспортёр к прометеусу, но зачем - заббикс хорош для «низкоуровневого» мониторинга, прометеус - для сбора метрик, особенно для сбора метрик приложений. А для визуализации один шут графана:)
Ну, периодически ловили всякое подобное.. лечится - да, в идеале отпилом нафиг 2.4, а в 5 - ручной настройкой мощности точек в сторону уменьшения (при необходимости с увеличением их количества), а так же вопросом геометрии покрытия , чтоб избежать интересного хода волны (вместо всенаправленных точек вешать направленные/секторальные). Чтобы перекрытие было минимальным и клиент вовсе не видел лишнего - на складах, особенно с металлической мебелью и стеклом, волны порой довольно причудливо себя ведут. За вендора ваших точек ничего не скажу (не знаю), но ловили подобное и на цисках с юнифаями.
И присоединюсь к ораторам выше - пойти в проект поглубже, оптимизировать бизнес-процессы/по чтоб потеря нескольких пакетов не мешала работе. Если конечно есть возможность. Встречалась схема работы вида - ребята подъезжают на зону разгрузки с оператором, там вайфай ловит :) получают сборочный лист на терминал - и погнали. Так склад без покрытия вафая
емнип тот же usergate мог (с агентом), ideco - через rpc до контроллеров домена...
ну, есть отечественные вендоры, есть cisco plr для тех, кому близок по духу вольный дух Тортуги%) ну и можно изобретать всякое, например 802.1x c радиусом и атрибутами cisco-av-pair (ессно нужно оборудование с поддержкой этого дела), каптивы..