Внедрение 1с-коннект в свою сеть чужой организацией. Минусы?

Question

[Сергей]

Фирма, обслуживающая организацию, ест плешь бухгалтерам. О том как же будет хорошо с этой фигней! Может я настолько старый ... или паранойя замучила! Но у меня от этой мысли только рвотные рефлексы. Полноценный рдп и передача файлов ... с полным доступом в сеть. Я сам как сисадмин не юзаю, по ряду причин, удаленку в своих сетях(на пользовательские компы или сервера). Плюсы этого решения(для них) перечислять не нужно. Они и так понятны. А минусы(для нас!)? Хочется сторонеее мнение.

Кто вообще в свою сеть пускает эту гадость? Поделитесь впечатлениями.

Answer 1

[CityCat4]

Лесом однозначно. Потому что это равносильно сдаче всей бухотчетности на сторону :) Данные, прошедшие корпоративный периметр, тебе уже не принадлежат и распространение их ты не можешь контролировать. 1С-программист у нас перед тем, как начать работать, сообщает - и ему открывается доступ по RDP. Отработал - закрывается.

Answer 2

[other_letter]

Паранойя - да, верно. Я бы тоже не пустил.
Вообще эти парни проедают плешь вот отчего - так их работа станет существенно легче. Лучше будет вписываться в типовые рамки и всё такое.

Им-то Ваши данные из бухгалтерии наверняка нафиг не нужны. Однако, имейте ввиду, что хранятся подобные сведения (часто это что-то вроде файлика client5.txt с логинами-паролями или просто расшаренная паролехранилка) доступны большинству их работников, а ввиду их ротации в принципе не контролируются.

Answer 3

[Константин Цветков]

1с-коннект

Тот, кто у вас занимается 1С, тот пусть и решает с директором по безопасности. Мой главный бухгалтер категорически против любого внешнего доступа с базам 1С.

Я сам как сисадмин не юзаю, по ряду причин, удаленку в своих сетях.

Тогда вы не системный администратор. Настройте свою сеть, так чтобы удалённый доступ не ломал безопасность. Не забывайте, что удалённый доступ может предоставляться учётной записи с весьма ограниченными правами — их установка и является обязанностью системного администратора. В моём случае удалённый 1С-программист имеет доступ только к одному компьютеру и изменению конфигурации 1С. Доступа к БД 1С у него нет, как и доступа к другим компьютерам.

Comments

[Сергей]

А зачем мне удаленка? Я считаю что это последнее дело делать что-то локально с компьютера юзера. Я до этого просто не довожу.

[Сергей]

А сервера ПШ и диспетчер серверов. Так что с квалификацией все ок ;)

[Сергей]

Ты сам ради интереса поиграй в эту игру недельку. Называется "не подходи к компам юзера вообще и выпутывайся всем чем угодно кроме удаленки"

[Сергей]

Тонус обеспечен)

[Saboteur]

Сергей: Вы играете в странные игры. Задача не "не подходи к компам", а обеспечить работу инфраструктуры с достаточным уровнем надежности и комфорта. Сочинять дополнительные правила - зачем?

[Константин Цветков]

Сергей: Я уже многие годы работаю удалённым системным администратором. Личное присутствие нужно лишь для замены картриджей (этим есть кому заняться), да кнопку "питание" нажать.
Всё остальное удалённый терминал и IP-KVM.

[Константин Цветков]

Сергей: Да ещё у меня в арсенале GPO и UltraVNC. Удалённая работа по ТК статья 312.1. Мой рекорд — физическое отсутствие на площадке — 2,5 года.

[Сергей]

Константин Цветков: а у меня пять лет непрсутствия на удаленно объекте. Который по впн зацеплен к основному шлюзу. Там люди даже винду по сети сами подгружают с установленными программами(слесарь). Там уже два раза комп менялся на новый(высокая влажность). Нахрена мне рдп?) рдп для неудачников. Я считаю что "включил рдп или любую другую удаленку и ты признал что где-то накосячил". Мой вопрос был задан совершенно по другому направлению! Я как специалист должен был выдать рекомендацию заказчику. На лицо конфликт с моими интересами. Поэтому нужно было мнение сообщества.

[Сергей]

Константин Цветков: и возьмите на заметку вещи посерьёзнее. www.netop.com/remotesupport.htm

Answer 4

[Константин]

Внедрение 1с-коннект

Для начала нужно разобраться что это за зверь.
Если упрошено это гибрид Скайпа+ТеамВьювера, т.е. система позволяющая упростить тех.поддержку. Интегрируется с новыми конфигурациями 1С. Можно задать вопрос из программы, кинуть ссылку на "проблемный" документ.

Пускать или нет. Ответьте на вопрос каким образом осуществляется тех.поддержка 1С, может очень упростить и укорить ее.

Кто вообще в свою сеть пускает эту гадость?

Достаточное количество народа). Даже знаю случаи когда поднимали 1с-коннект на собственном сервере для внутреннего пользования.
Если у вас почему-то закрыты персоналки, нужно разобрать в причинах. Ну я сталкивался когда комп не только к сети не подключен, так чтобы иметь возможность сеть за него по работать нужно получить визу от 3 руководителей.

Comments

[Сергей]

упростить 1с обслуживание ценой общей дыры в безопасности?) тут за каждый порт и конфиг борешься ... а программа создает на все рабочие места тимвивер к которому можно законнектится с инета ... ну да .. для фирм из трех калек само то! я считаю что 1с обслуживающая организация должна развернуть портал. и там принимать запросы. а не лезть в чужую сеть.

[Сергей]

если у фирмы не хватает ресурсов .. знаний .. желания или любых других мотиваторов для поднятия HelpDesk для своих юзеров ... а она начинает вводить в заблуждение клиентов и говорить что "тимвивер решение всех ваших проблем" ... то должен же кто-то напомнить ей о элементарной безалабенище. что не просто-так ставится на контур сети циски по 200 рублей. что не просто-так окупаются рейды на файлохренилище. впн сервера работают круглые сутки. и игнрируя все это ... нужно впустить программу за 1000 рублей в есть прямым ходом?)

[Сергей]

*в сеть прямым ходом

[Сергей]

контур безопасности сети формируется исходя из размера ущерба для той или иной фирмы. который может быть причинён сторонними лицами. задача администратора заключается в минимизации ущерба. определении векторов атаки. кто даст гарантии что на компьютере вашего спеца нет закладок от хитромудрых людей? у вас в договоре прописана сумма ущерба которую вы готовы компенсировать в результате ваших недоработок?

[Сергей]

или у вас расплывчато "мы вам делаем 1с ... а все остальное через суд"?)

[Константин]

>>>упростить 1с обслуживание ценой общей дыры в безопасности?) тут за каждый порт и конфиг борешься
Рекомендую задать этот вопрос. Хотя даже на сайте написанно:
- Вся информация, передаваемая по открытым каналам связи, шифруется с использованием современных алгоритмов и протоколов TLS, AES + RSA, https
- Удаленное подключение к компьютеру возможно только с разрешения пользователя.

Не надо быть параноиком, а по умному относится к безопасности.

[Сергей]

Константин: вы новости почитайте. В америке выпускают на свободу педофила. Точнее отказываются от обвинений к нему. Для того чтоб не пришлось сообщать суду как же были взломаны сверхзащищенные и шифрованные сервера с этим). Я не верю в шифрование. Вообще). Если вам очень хочется ... это ваше право

[Константин]

Зачем вам минусы, вы их и так на сочиняли.

[Константин]

Коннект - позволяет упростить получение услуг.

[Сергей]

Константин: хелпдеск тоже упрощает получение услуги. Дайте мне ссылку на ваш

[Константин]

ну я не показатель т.к. использую ЗОО. от Жири и Битрикса, так и Коннект. Все зависит от запросов клиентов.
Относить Коннект к ХД не корректно т.к. у него другое предназначение и возможности.

Answer 5

[Roman Mindlin]

Смотреть нужно в первую очередь не как, а кто получает доступ. Вы же понимаете, что эти товарищи так или иначе получают доступ к данным вашей организации и не важно, удаленно или локально.
А по поводу всего остального, выше правильно пишут, что вы на то и сисадмин, чтобы обеспечить безопасность удаленного подключения. Не умеете - учитесь.

Comments

[Сергей]

Чуть выше отписался)

[Roman Mindlin]

Сергей: вообще основной смысл ответа не об удаленке. Если эти ребята уже получили доступ к вашим базам, то бояться их поздно. А пользуется ли админ удаленкой или нет, в данном случае вторично.

Answer 6

[Дмитрий Кинаш]

Судя по тому как вы построили вопрос и по тому, что вы без лишних уточнений выбрали ответ точно такого же перепуганного сисадмина, то вы явно не поняли суть вопроса. При чем тут минусы? Как раз минусы тут очевидны: злые дядьки, которые работают на ваших конкурентов, теперь не должны лично приезжать к вам в офис под видом обслуживающей организации, а могут получить ту же информацию удаленно. Только при чем тут вы? Разве что вы отвечаете и службу безопасности. А если да, то зачем вы даете доступ к вашей бухгалтерии сомнительным личностям????? Вообще-то, бухгалтера сами без всякой сторонней помощи могут и конфигурацию обновить и позвонить на линию поддержки 1С, где им любой вопрос "разжуют".

В этом вопросе вам стоило подумать, а есть ли плюсы, на которые вам стоит уделить внимание. Вы точно читали про эту технологию? Лично ни разу не покупал и не ставил, так как все клиенты с удовольствием дают удаленный доступ по TeamViewer (в паре компаний сиадмины были против, но их мнение успешно игнорировалось - замечательное дополнение к вашим страхам, не так ли?). Но вот я зашел на описание на их сайте и сразу вижу: запись всех разговоров, логирование всех действий удаленного специалиста, встроенные отчеты для анализа работ по подключению.

По моему мнению, это вы же первым должны быть рады, что вам не нужно стоять над головой у сомнительных личностей и внимательно всматриваться в то, что они делают и что бы они ненароком флешку не вставили. Тут же вам даже лично мониторить не нужно - настройте скрипт для анализа логов и как только удаленный специалист начнет шарится по сети или заходить в папки помимо разрешенных, тут же рубите доступ и выезжайте с друзьями для проведения профилактического разговора.

Comments

[Сергей]

у меня был конфликт интересов с заказчиком. Ничего нового я не планировал услышать. Я и так все давно знаю. Меня больше интересовало мнение людей. Как только решение было принято директором ... я отметил все ответы которые совпали с его решением)

[Дмитрий Кинаш]

"Ничего нового я не планировал услышать." - тогда зачем вообще написали этот вопрос? Вам стороннее мнение вообще интересно?
---
Вот вы отметили как гениальную мысль, что доступ к вашей бухгалтерской базе по удаленке могут получить новенькие сотрудники и это ужасно плохо. Т.е. вы искренне считаете, что запрет подключится по удаленке помешает руководству отправить этих же сотрудников напрямик в ваш офис, где они могут совершить те же самые диструктивные действия? Или можете ли вы гарантировать что ваш подрядчик уведомит вас об увольнении своего сотрудника, который наделал пакостей, а ваша бухгалтерша по привычке не позвонит ему на мобильный с просьбой приехать и "все починить" - а ему только и нужно насолить своей старой конторе и он с радостью совершит любые новые злонамеренные действия?
---
В общем мое мнение вы услышали. Вам предлагают оперативность и повышения контроля с вашей стороны, а вы выступаете за неуправляемость и за повышение рисков получить убытки от простоя учетной системы. Ваше право.

Answer 7

[K-700A]

Ну, что тут сказать.......... У нас подобные проблемы, решаются на уровне директора клиента. И если возникают, подобные вопросы, а так же, админ клиента начинает бздеть, то делаем следующее:
1. У себя на сервере разворачиваем тестовую БД;
2. Обновляем/вносим изменения и т.д, короче выполняем все хотелки клиента;
3. Даем удаленный доступ к этой БД;
4. Подключается, тот кто принимает работу у нас, со стороны клиента;
5. Проверяет и говорит все ОК;
6. Высылаем cf-файл;
7. Звонят со стороны клиента, говорят, что с этим файлом делать???
8. Предлагаем, чтобы ваш админ обновил сам рабочую базу, т.к нет удаленки и нет возможности приехать, расстояние более 1200 км.
9. Дальше идут сопли, слюни, звонки, админ рыдает и т.д и т.п.
10. Итог. Получаем доступ, обновляем сами все. Все счастливы. Админ-неАдмин. )))

Comments

[Сергей]

Странные у вас админы. У них умер Гугл?)

[Сергей]

Теперь к вашему ответу.
1. Не вижу не одной причине вам Давать доступ к чему-либо кроме базы.
2. Поэтому можно сосать чупачупс с рдп и передачей файлов на пользовательские места.
3. Можно найти поближе исполнителя работа (который сможет приехать по вызову)

Не находите что проблема начинает легко решаться?)

[Сергей]

4. Направить админа на трехмесячные курсы по программированию 1с и забыть вас как страшный сон ;)

[K-700A]

Сергей: "Направить админа на трехмесячные курсы по программированию 1с и забыть вас как страшный сон ;)" - так отправь, в чем проблема???
"Поэтому можно сосать чупачупс с рдп и передачей файлов на пользовательские места." - так, как раз такие, как ты и сосут в первую очередь.
"Странные у вас админы. У них умер Гугл?) " - что ты там решил спросить??? Как базу обновить??? ))))

[K-700A]

"Не находите что проблема начинает легко решаться?)" - так давай уже соберись, реши ее!

[Сергей]

K-700A: как обновить нетиповой базу. Это ж у вас любимый прикол по привязыванию клиента?)

[Сергей]

Сергей: решаемс)

[K-700A]

Сергей: да ладно не бзди ))) На рынке 1с конкуренция не слабая, поэтому рулит клиент и успех зависит не от "привязывание", но ты от этого далек........................ Так что, мне тебя очень жаль )))

Answer 8

[Дмитрий]

Мой семилетний опыт работы с поделкой 1С-коннект.
1. Вы видите всех, все видят вас. Не в смысле все ваши клиенты, а в смысле все клиенты, которые существуют в коннекте в принципе. Что вас отделяет от них? В первую очередь интеллект пользователя, но уже на этом можно остановиться, потому что очень ненадёжный фильтр.
2. Косяки обновлений. В моей организации 50++ пользователей. Каждый месяц некоторые из них отваливаются. Начинаешь играть в угадайку как подключиться. Выясняется - не стало обновление. Причём пользователи абсолютно разные отваливаются. Самый счастливый период был при переходе с 4-й версии на 5-ю, потому что на 4-ю перестали приходить обновления и за этот период не было ни одной жалобы клиентов. Сейчас только 5-я ... всё стало как раньше.
3. Список контактов. Это отдельный ужас. 5-ой версии уже более двух лет. В принципе отсутствует сортировка контактов. Т.е. разделить пользователь в сети или нет - невозможно, отсортировать пользователей по алфавиту - невозможно. Т.е. просто существует мусорка с контактами, которая постоянно случайным образом перемешивается. В 4-ой было по-другому, но она уже не существует. Формат списка контактов - раньше помещалось на экране 40 контактов, теперь 15. Добавлено в описание контактов куча мусора, которые невозможно отключить.
4. Техподдержка. Типичная современная корпоративная этика. Если они облажались, то никогда этого не признают и не дадут прямого ответа. С вас будут трусить логи, тикеты, завалят ссылками на какие-то информационные сообщения и т.п. Но прямого ответа вы никогда не получите. Вы можете писать какие-то просьбы и вам дадут номер обращения, но они никогда не будут выполнены. У меня куча таких обращений, самому старшему лет 6, но его так и не выполнили. Самым младшим года два - это сразу как попробовал 5-ю версию, ужаснулся и вернулся на 4-ю. Написал, что не понравилось. За два года ничего не изменилось. Отдел разработки либо не получает подобную информацию от пользователей, либо сразу отправляет её в мусорку ... тут на ваше усмотрение как про это думать, но результат одинаковый.
5. Отсутствие облегчённой версии. Сам коннект это жирная неповоротливая корова с кучей лишнего функционала. Если у вас слабенький ПК и нужен только удалённый доступ с чатом, то это не ваш вариант. Либо тащите за собой всю эту корпоративную ботву на 300 метров, которая будет стартовать по 2-3 минуты. Тот же Амик весит 1 Мб, стартует мгновенно и быстро работает на любом ПК, но к сожалению у него нет чата и удобного списка подключений. Неужели такой функционал тянет за собой 299 метров? О_о
Итого - если вам скучно и хочется как-то себя взбодрить, то можете связаться с коннектом. Я же для себя активно ищу альтернативы, но как обычно всё упирается в деньги и руководство.
P.S. В последнее время у меня очень сильно пригорело от пользования 1С-коннектом, поэтому этот отзыв о нём вы можете встретить где-то ещё ... может так что-то изменится.