art style, лол. Визульно видно что ставит программа на той же винде только если вы будете разбирать процесс установки дебаггером. Чуть-чуть в реестр, чуть-чуть в аппдату, чуть-чуть в папку с системой, чуть-чуть в програм файлс, чуть-чуть в указанную папку, чуть-чуть в темп, чуть-чуть ещё чёрт знает куда.
Вопрос в том, какие конкретно задачи вы себе ставите. Изучение веб сервисов? Баз данных? Читайте по ним документацию. Если вы хотите, чтобы всё из этого можно было намышкотыкать - удачи найти, от интерфейса глаза треснут, либо будет крайне мало возможностей.
А от куда клиент знает, где дк? И что дк это дк.
Ну я хз...
Есть сайт с тем же днс именем, дк с тем же днс именем, клиент извне, не в сети с дк....
На самом деле проблемы могут быть где угодно. От клиента, настройки днс, настройки дк, да даже фаервол может быть. Очень мало информации есть.
Валентин, ну в качестве роутера виртуалка с линуксом, а если роутер есть ещё до этого... Ну во первых если все порты закрыты - снаружи никто не пройдет, если конечно заранее не встроено бэкдора. А даже если и так - то всё равно, если пользоваться только связью через ssl (а за этим уже надо следить). Ну подменят а-запись на другой сервер в dns - выскочит ошибка сертификата (проинформировать юзера, что не юзать сайт, если на сертификат ругается и смотреть всегда, чтобы было https). Ну будут снимать tcp-дамп с зашифрованной белибердой и что?) скорость будет ниже. Даже если ваш железный роутер поломают (если он есть и в нём есть смысл... это например adsl или оптику конвертить) - за ним ваш роутер на линуксе с прокси, антивирусником и ips системой. Если езернатка идёт - то можно без железного роутера вообще. Но вообще использовать 2 роутера (один железо микротик например, второй виртуалка) может и имеет смысл. Но есть одно но - чем больше и сложней наворотите - тем чаще это всё нужно поддерживать и следить за критическими обновлениями и новостями каждого решения. Без поддержки это всё может быть плохо.
Лично я бы обошелся микротиком (как непрозрачный прокси), криптоконтейнером с самоуничтожением и правами юзера. Но лучше конечно отдельный пк с зашифрованным винтом без доступа в сеть.
Вообще взлом самого роутера тут это не то, на чём стоит сосредотачиваться, если конечно пароль на роутер не совпадает с другими паролями. Я бы больше проявлял бдительность со странными сообщениями, письмами, с похожими именами на доверенные домены, с не зашифрованными формами.
Тут надо представить себя на месте нарушителя и составить список вероятных нарушителей (наиболее вероятных). И уже думать про их действия в соответствии с их квалификацией.
Валентин, ну тогда я могу предложить следующее. Использовать НЕпрозрачный прокси (настроить на те 2.5 программы, которым нужен интернет + системные обновления). Системный обновления делать постоянно (ато уже было получить рута через cat), в репах всё должно быть https. Можно даже попробывать использовать профиль из центоса для спепслужб), честно я его не трогал. Снаружи не должно торчать открытых портов, фаервол должен давать интернет только тому хосту, которому он нужен. Прокси связать со snort или surricata например + проверка каким-нибудь антивирусником на лету. Работать обязательно под пользователем. Данные держать в криптоконтейнере, желательно чтобы он размонировался постоянно и надо было вводить пароль, а вот таймер уничтожения хз подойдет ли неквалифицированному пользователю. Рута юзеру не давать.
Про виртуалки скорее всего не стоит. 2 роутера тоже не надо, и прошивки тоже не трогайте, про md5 забудьте, роутер на линуксе поднимите (и только НЕпрозрачный прокси на нём), отдельную сетевуху ему дайте для точки входа. Дистрибутив выберите, который долго поддерживается и оперативно обновляется. Я бы рекомендовал именно centos по этим причинам. Все приложения, которые требуют интернет может через какую-нибудь песочницу запускать... либо действительно на отдельной виртуалке через проброс графического приложения через ssh.
Ну это всё, если рассматривать нулевой бюджет.
Валентин, извините, но вы недостаточно описали. Тем более риски. Что критичней, скомпрометировать данные или их лишиться совсем? Чего боимся? Случайной фигни из интернета и писем с Важный_Документ.doc.exe или таргетированной атаки? Если второе, то на каком уровне предполагаемая атака? Почему нельзя на изолированную машинку данные? Если "неудобно", то это ни в какие рамки. Кого боимся? КГБ? ЦРУ? Хакера Васю? Хакера конкурентов? Ведь в разных случаях надо делать по разному.
А что с сетевым оборудованием? Если снаружи портов например не открыто, фаерволом всё обмазано, даже всё равно (почти всегда), что оно дырявое.
Валентин, бюджет?
Я не просто так спрашиваю. Например есть решения от check point, fortigate и прочие с модулями системы предотвращения вторжений, обо что можно нехило удариться кошельком.
Может быть нужна защита физического периметра, это от видеонаблюдения, до охранника с автоматом.
Заббикс для этого проще всего. Вы можете сделать подключение через интернет, на стороне агентов даже ничего открывать не надо. Также автодискавери можно, чтобы сами добавлялись куда надо после установки агента.
Единая точка отказа( хз насколько вам критично. Броадкасты гонять не собираетесь?
Вообще я бы предложил либо ipsec tunnel, либо ipsec+gre tunnel.
Но обратите внимание на законодательство. Перс. данные возможно у вас можно гонять только по сертифицированным решениям. Что там у вас? ФСТЭК? Далеко не факт, что можно гонять микротиком. У нас например нельзя. Нужно покупать дорогие и глупые решения для местной крипты.
Ну керио может быть использоваться для статистики, блокировок по урл, митм сертификатов, там инспектор протоколов есть и прочие вещи, присущие продуктам наподобие чекпоинта.
tartarelin, качество+скорость работы, нервы сотрудников того определенно не стоят. Ещё черт знает по нагрузке, чуть больше нужного и всё(. Если ещё ставить mssql, сервер терминалов... ну 6 гб не серъёзно, учитывая, что мы ещё не знаем скорости винтов и параметры проца/ов.
tartarelin, а на верх 2-3 винды с сервисами + ещё астериск (а возможно ставить будут не него, а freepbx или вообще какой-нибудь elastix)? На 6 гб это точно не вариант.
Всмысле на это есть основания? Оно на виртуальной машине? Сколько можно делать время простоя для мэинтенанса?