snaiper04ek, тогда получается, что токен заставляет гонять весь шифруемый трафик туда-сюда, + время на шифрование + остальные задержки, запросы могут, тупо, протухать. Пинг 90 - это, похоже северная европа, оттуда до банка будет ещё 60, на круг может быть больше секунды ,а то и 2х. Попробуйте wireshark глянуть на сокет с банком.
snaiper04ek, Мы давно не берём токены, накой, если всё равно в реестре ключи держим. Но, помнится, старым криптопро ключи копировались с токенов. Ещё знаю фишку, хотя это может и не иметь отношения, 1с жёстко тупит на рандомном пинге, даже если тот и не велик. Клиент-сервер прям повисает на умеренно забитом wi-fi, при этом rdp на это пофиг абсолютно. А стабильный пинг, пусть и ощутимый, переваривает нормально. Может и тут так?
Когда токен воткнут в локальную машину, то локально работает нормально, а через рдп тупит? если я правильно понял - скопируйте ключи с рутокена в реестр рдп сервера на пользователя, если секюрити позволяет. Если секюрити, то там надо детально знать ситуацию. Почему тупит проброс юсб именно на рутокене - хз, не сталкивался.
Araxis, А что требовать сисадмину на собесе? или фрилансе? Как поставили вопрос, такой и ответ получили.
Спросили - сможешь поднять всё это и сколько хочешь? Что ему на это ответить? Ведь даже самый опытный может вам на это предложить только уже собранную им схему. А ведь вам нужна ваша, а не чья-то. А вникнуть и разобраться в общем списке сервисов на А4 надо время, и это само по себе работа, "составление ТЗ" называется. Или возьмите понравившегося вам лично админа, например на испытательный срок с условием поднять - хз - почту или voip. Или закажите комплексное внедрение, начиная с составления ТЗ. И лям за такое, я-бы посчитал вполне приемлемым, если нету контор, у которых есть типовые решения на эту тему. Но я о таких не слышал, а те, что видел для решений попроще- полное говно.
А почему друг или вы сами не можете зарегать на netacad.com новый акк и зарегаться на курс заново?
Кст, мнение о котором меня никто не спрашивал - курс прикольный, с выбором того, что важно, а что нет, но очень, очень устаревший. Хотя там и говорится, что ipv4 адреса уже не классовые, но предлагается выучить классы ip. Или, я в живую не встречал даже хабов, которые сами не могли-бы перекрестить патч-корд, но там предлагается всегда использовать cross.
PS: Способ через групповые политики не работает. Windows 10 17134.228
он уже в 7sp1 не работал, политика есть, применяется, но игнорируется. Искал такой способ лет 5 назад, ничего не придумал, грузился без проверки подписи. Запаривало, но было не критично.
hint000, бесплатно отдаю уязвимость, причём сразу с моральным оправданием: региональные отделения Philip Morris RU. Глобальный домен,на весь - ли ФМ или только на РУ - хз, сетевые принтеры, все принтеры в глобальном домене, 2 ви-фи, один на роутере, который держит ВПН, второй раздаёт на телефоны в той-же подсети, что и основной, с паролем типа 123.
Всё такое вкусное...
Так-что можно такое наворотить - специально будешь блекдор строить - не придумаешь.
Если организация настолько большая, то рядом с вами будут несколько опытных коллег,
Нет, по существу всё правильно, я-бы так ёмко не сказал. Просто только что был разговор:
Стуктура Газпрома, в области был IT отдел с начальником, тех подом, админом и 1с-ник. Не так чтоб много платили, 1 ставку делили на 3х. Потом говорят, что начальник для них жирно. И остаётся техпод с обязанностями начальника(считай менеджера) со ставкой 35, 1с-ник с обязанностями бухгалтера, т.к бухгалтерию тоже сократили и 1сник делает проводки по договорам it, ну и админ. Первый отлетает 1сник, потому, что совмещал, и бухгалтерия ему не впилась. Бывший начальник не готов тянуть 3 ставки по обязанностям и подаёт заявление, ну а админу за 30к это вот всё вообще не интересно, и он тоже отрабатывает 2 недели. И наша область в этом плане в отстающих, в соседних уж уволились it отделы в полном составе. Вакансии открыты, Опытные, на то и опытные, что видят жопу издали, как в домене, так и в зарплате. А наберут как-раз с минимальном опытом. И кто чего объяснит?
И случай, кст, сильно не единичный. в последнее время.
Damian Lewis, ни минуты не сомневаюсь в ваших словах, более того, об этом я и говорил. Что они осмелятся -вообще не вопрос. Вот только криптоднс сервер у вас не свой, а публичный, и если его нашли вы, могут найти и они, за 5 лет гуглом пользоваться научились. А человек хочет поставить собственный днс сервер. Ему советуют, для этого своего вышестоящим сделать восьмёрки, я-бы посоветовал настроить как положено, с вышестоящими корневыми. И вот в чём я сомневаюсь - что можно просто помешать человеку резволтить имена со своего, стоящего в "нейтральной" стране днс сервера. Он не гуглится по запросу "днс сервер", он даже может не шифровать ответы, если сервер и клиент будут работать на нестандартном порту, ведь тогда надо будет разобрать пакет и проанализировать его данные(это dpi). Это возможно, но вряд ли будут делать. Но даже если, шифрованный пакет можно только отбросить. Шифрованный пакет идёт на какой-то адрес из клаудфара, что внутри - хз, давайте его отбросим - и это что? Это конец рунету, это отвал https, ssh и всего остального. И Ютуб не открывается, и Инста. Такой вариант возможен, кто-ж спорит, вот только на это пойдут? Я, честно, хз, но думаю свой сервер днс уже мало кого будет интересовать после такого.
Вообще не понимаю такого технопессимизма. Согласен, впс-ка может попасть в блокируемую подсеть, но поднять свой днс и прописать его в настройки роутера - элементарно. Если это что-то типа кинетика(не говоря про микротик), то и с заменой портов. И даже восьмёрки, в этом случае не нужны, ваш днс может обращается напрямую с корневым серверам зон. В общем-то, так и надо делать, а не дёргать восьмёрки на каждый запрос, если вы можете у себя хранить какой-то кеш
Damian Lewis, я не понимаю, как это можно заблочить? Вы меняете потры с 53 на 5353, и то, что это днс можно только DPI определить, а крипто днс так вообще ничем. И я думаю, что они могут на пару дней это устроить, но в итоге просто будут перехватывать все dns запросы, или ещё проще - заблочат восьмёрки, и на этом всё кончится, т.к. покроет 99.9% их хотелок. В РКН могут канеш, начать отбрасывать все шифрованные пакеты, но когда ляжет 90% https и 99% всего банкинга, это их отрезвит на некоторое время. А что так и будет - я уверен, коснулся наладки видеонаблюдения на этих выборах - это треш и угар, резволт через host, bgp для резервирования, где перепутали PE и CPE, ручная маршрутизация и прочий подъём солнца лебёдкой.
Дмитрий, при EoIP у вас более одного дефолтного шлюза в одной подсети, не вижу в этом преимуществ, зато полно вариантов, как всё поломать. Просто, как синяя изолента, но не стоит её использовать без крайней необходимости.
по поводу шифровальшиков, да и просто по жизни - держать 1 бэкап стрёмно, лучше несколько. Несколько бэкапов, а не несколько копий одного бэкапа. Ну и врядли шифровальщик для винды отработает на NAS , и наоборот , особенно если настроить права на папки и использовать специальных пользователей для создания бэкапа.
Честно говоря, только недавно узнал про такую фигню, как EoIP на микротиках, как раз в ходе разбора похожего факапа. Нет, дело было не в EoIP, но он создал условия, при которых факап стал возможным. Я-бы не стал его никому советовать.
сравните arp cash компа который пингует шлюз и arp cash компа который не пингует. Возможно в сети появляется устройство адресом шлюза. А вообще, очень странная схема локальной сети. У провайдера в сети такие приколы бывают, он сам плохо знает, что там у него творится. А ещё учитывая, что подавляющее большинство его сотрудников не понимают сети на уровне масок.....
Да, на точки восстановления не много надежды. Я-бы, коль зашла речь про Acronis - настроил автоматический бэкап почаще, раз в месяц. например, и переписывал-бы его. Но один бэкап - как то стрёмно, поэтому 3 бэкапа раз в месяц после создания 4го - самый старый удалять. Как-то так. А стоп, точно так у меня и настроено)
А важные файлы бэкапятся в другое место по схеме дед-отец-сын ежедневно.
Drno, там дело даже не в мегапикселах, а в том, как она отрабатывает на авто падение освещённости. Держит обычный режим столько, сколько нужно, адекватно переходит в ночной режим, отлично реагирует на пятно засвета в кадре.