Свет мой зеркальце, скажи…
И снова наши любимые нейросети, которые сегодня просто везде и многие горячие головы рекомендуют использовать их вместо поиска. Хотя, на самом деле, они не оригинальны в своих начинаниях и поисковики давно на самом верху выдачи приводят компиляции по заданному вопросу от нейросетей.
Пока не касаешься этого вопроса глубоко, то может показаться что все не так и плохо и нейросети помогают нам получить выжимку и систематизировать ее, уменьшая время поиска необходимой информации.
Но это только на первый взгляд. Потому что у нейросетей есть один, но очень существенный недостаток – они не умеют молчать. Если человек может сказать – я не знаю, поисковик вернуть полупустую страницу по запросу, то нейросеть обязательно должна что-то вам рассказать. И не важно правду или вымысел, главное – рассказать.
Третьего дня задал нейросети простой вопрос, просто лень вспоминать было, и получил вполне нормальный ответ по существу. Но потом меня дернуло спросить, а нет ли каких-нибудь особенностей (хотя их там не было, вопрос был простой, о матрице совместимости)?
И тут сеть начала выдавать такую пургу, что любо-дорого. А когда я попросил привести первоисточник – дала ссылку на общую документацию, мол там, где-то есть, ищи как хочешь.
Когда я указал сетке на этот момент она спокойно ответила, что отдельной страницы в документации она не знает и посоветовала воспользоваться поиском по сайту.
Но я был настойчив и уведомил ее, что ничего подобного я там не нашел. И сетка тут же переобулась в воздухе, мол да, бывает, значит это было написано в документации к какому-то плагину или патчу, или вообще не было никогда написано…
И если бы на этом она остановилась, но нет, она тут же предложила альтернативу вывалив еще полотно пурги, правда на этот раз просто обильно разбавила водой исходную информацию.
И вот тут в полный рост встает вопрос доверия. И усугубляет его не то, что сетка иногда врет, а то, как именно она врет. А делает она это исключительно умело, подмешивая к достоверной информации собственные фантазии так, что у вас даже не закрадется сомнений.
Но погодите, скажет иной читатель, а как же с тем, что сетка пишет код, составляет тексты, рисует и вообще делает массу полезной работы.
Делает, но для того, чтобы сетка это делала нужно подробно и доходчиво пояснить ей чего вы хотите, чего не хотите и в каких рамках она должна держаться, в том числе насколько допускаются ее фантазии и предположения.
Если взять серьезные рабочие промпты, то, по сути, это готовые технические задания, составленные тем, кто в теме и кто четко знает какой результат надо получить. Однако составить такой промпт – это тоже серьезная работа.
И в этом случае сетка выступает не в роли кладезя мудрости, а в роли исполнительного, начитанного, но придурковатого помощника. Которому нужно все очень подробно разъяснить и пояснить, причем не только то, что надо сделать, но и то, чего делать не надо. Иначе, он как в той поговорке, лоб расшибет.
Но какое техзадание может быть при поиске информации, когда мы еще сами не знаем чего хотим? Плюс у нас полностью или практически полностью отсутствует критическая оценка результата, ровно по той же причине – отсутствия знаний.
А нет ТЗ – результат ХЗ, это давно известно и полностью применимо к поиску при помощи нейросетей. Вы никогда не узнаете сказала ли вам сетка правду или что-то от себя добавила.
Хотя самые первые и общие запросы как правило близки к правде, а вот как только вы захотите что-то уточнить, то тут можно столкнуться со всем чем угодно, бесконечно далеким от реальности.
А дальше вы так или иначе теряете время на проверку и перепроверку полученной информации и хорошо, если еще ничего не поломаете в процессе.
Поэтому будьте внимательны и критически подходите к тому, что сообщает вам сеть. А лучше всего начните с классических источников – официальной документации, так будет быстрее и проще. А сетку можете попросить пояснить непонятные вам моменты, это у нее получается неплохо.
И снова наши любимые нейросети, которые сегодня просто везде и многие горячие головы рекомендуют использовать их вместо поиска. Хотя, на самом деле, они не оригинальны в своих начинаниях и поисковики давно на самом верху выдачи приводят компиляции по заданному вопросу от нейросетей.
Пока не касаешься этого вопроса глубоко, то может показаться что все не так и плохо и нейросети помогают нам получить выжимку и систематизировать ее, уменьшая время поиска необходимой информации.
Но это только на первый взгляд. Потому что у нейросетей есть один, но очень существенный недостаток – они не умеют молчать. Если человек может сказать – я не знаю, поисковик вернуть полупустую страницу по запросу, то нейросеть обязательно должна что-то вам рассказать. И не важно правду или вымысел, главное – рассказать.
Третьего дня задал нейросети простой вопрос, просто лень вспоминать было, и получил вполне нормальный ответ по существу. Но потом меня дернуло спросить, а нет ли каких-нибудь особенностей (хотя их там не было, вопрос был простой, о матрице совместимости)?
И тут сеть начала выдавать такую пургу, что любо-дорого. А когда я попросил привести первоисточник – дала ссылку на общую документацию, мол там, где-то есть, ищи как хочешь.
Когда я указал сетке на этот момент она спокойно ответила, что отдельной страницы в документации она не знает и посоветовала воспользоваться поиском по сайту.
Но я был настойчив и уведомил ее, что ничего подобного я там не нашел. И сетка тут же переобулась в воздухе, мол да, бывает, значит это было написано в документации к какому-то плагину или патчу, или вообще не было никогда написано…
И если бы на этом она остановилась, но нет, она тут же предложила альтернативу вывалив еще полотно пурги, правда на этот раз просто обильно разбавила водой исходную информацию.
И вот тут в полный рост встает вопрос доверия. И усугубляет его не то, что сетка иногда врет, а то, как именно она врет. А делает она это исключительно умело, подмешивая к достоверной информации собственные фантазии так, что у вас даже не закрадется сомнений.
Но погодите, скажет иной читатель, а как же с тем, что сетка пишет код, составляет тексты, рисует и вообще делает массу полезной работы.
Делает, но для того, чтобы сетка это делала нужно подробно и доходчиво пояснить ей чего вы хотите, чего не хотите и в каких рамках она должна держаться, в том числе насколько допускаются ее фантазии и предположения.
Если взять серьезные рабочие промпты, то, по сути, это готовые технические задания, составленные тем, кто в теме и кто четко знает какой результат надо получить. Однако составить такой промпт – это тоже серьезная работа.
И в этом случае сетка выступает не в роли кладезя мудрости, а в роли исполнительного, начитанного, но придурковатого помощника. Которому нужно все очень подробно разъяснить и пояснить, причем не только то, что надо сделать, но и то, чего делать не надо. Иначе, он как в той поговорке, лоб расшибет.
Но какое техзадание может быть при поиске информации, когда мы еще сами не знаем чего хотим? Плюс у нас полностью или практически полностью отсутствует критическая оценка результата, ровно по той же причине – отсутствия знаний.
А нет ТЗ – результат ХЗ, это давно известно и полностью применимо к поиску при помощи нейросетей. Вы никогда не узнаете сказала ли вам сетка правду или что-то от себя добавила.
Хотя самые первые и общие запросы как правило близки к правде, а вот как только вы захотите что-то уточнить, то тут можно столкнуться со всем чем угодно, бесконечно далеким от реальности.
А дальше вы так или иначе теряете время на проверку и перепроверку полученной информации и хорошо, если еще ничего не поломаете в процессе.
Поэтому будьте внимательны и критически подходите к тому, что сообщает вам сеть. А лучше всего начните с классических источников – официальной документации, так будет быстрее и проще. А сетку можете попросить пояснить непонятные вам моменты, это у нее получается неплохо.
💯31👍19❤6🔥1🤔1
Кстати, картинка к тексту как раз таки прекрасная иллюстрация работы сетей. Я заутомился пояснять сетке, что в руках у персонажей не должно ничего быть. И каждый раз список приходилось увеличивать, так как не орех, так чашка, не чашка - так яблоко. Ну и некоторые иные фантазии начинали выглядеть пугающе, "так что пусть в этой песне все остается как было" (С) Юра Хой.
😁32👍5
Вернемся к вчерашнему вопросу про OpenVPN и два маршрута.
Правильный ответ: препятствует переопределению нулевого маршрута
Почему так? Давайте разбираться. Пример таблицы маршрутов с активным OpenVPN соединением показан на рисунке ниже.
Сразу же в очередной раз вспоминаем, как идет поиск маршрута в таблице:
1️⃣ Сначала ищется маршрут к узлу назначения с самой узкой маской
2️⃣Затем определяется интерфейс выхода среди непосредственно присоединенных сетей, который позволяет достичь указанного в маршруте шлюза.
Если к одному узлу назначения ведут несколько маршрутов с одинаковой шириной маски, то выбирается маршрут с лучшей метрикой .
Теперь давайте смотреть: прежде всего обратим внимание на маршрут
Затем у нас есть два маршрута к непосредственно присоединенным сетям
Остальной трафик не попадает ни под один из указанных выше маршрутов и поиск для него продолжается дальше.
В результате будет найдет один из двух маршрутов
А так как маска
Потому что даже если мы не будем делить маршруты на два диапазона и пропишем еще один нулевой, то в системе появится два нулевых маршрута с разными шлюзами и разными метриками. Но использоваться будет тот, чья метрика меньше.
Основной недостаток такого подхода – это переопределение нулевого маршрута другим подключением. Например, вы присоединили 4G модем, переподключились к другой беспроводной сети или подключили еще один VPN.
Как минимум это потребует переподключения OpenVPN, а в иных случаях ручного переопределения приоритетов маршрутов.
Чтобы избежать подобных ситуаций OpenVPN использует два маршрута с более узкой маской вместо одного нулевого, в этом случае даже при переопределении нулевого маршрута в системе трафик пользователя все равно будет уходить в VPN-туннель.
Правильный ответ: препятствует переопределению нулевого маршрута
Почему так? Давайте разбираться. Пример таблицы маршрутов с активным OpenVPN соединением показан на рисунке ниже.
Сразу же в очередной раз вспоминаем, как идет поиск маршрута в таблице:
1️⃣ Сначала ищется маршрут к узлу назначения с самой узкой маской
2️⃣Затем определяется интерфейс выхода среди непосредственно присоединенных сетей, который позволяет достичь указанного в маршруте шлюза.
Если к одному узлу назначения ведут несколько маршрутов с одинаковой шириной маски, то выбирается маршрут с лучшей метрикой .
Теперь давайте смотреть: прежде всего обратим внимание на маршрут
xx.xx.254.75/32 который указывает на сам OpenVPN сервер через основной шлюз. Так как это наиболее узкая из всех возможных масок, то поиск маршрута на этом прекращается и пакет к серверу уходит через основное подключение.Затем у нас есть два маршрута к непосредственно присоединенным сетям
10.8.0.0/24 и 192.168.0.0/24. Эти маршруты обеспечат правильное направление пакетов для локальной сети и внутренней сети VPN.Остальной трафик не попадает ни под один из указанных выше маршрутов и поиск для него продолжается дальше.
В результате будет найдет один из двух маршрутов
0.0.0.0/1 или 128.0.0.0/1, которые делят пополам все доступное адресное пространство. И по совокупности представляют собой нулевой маршрут, куда будет уходить весь трафик, для которого не будет найдено отдельного маршрута.А так как маска
/1 уже маски /0, то поиск никогда не дойдет до маршрута 0.0.0.0/0, поэтому ответ «сохраняет для клиента нулевой маршрут» неверен.Потому что даже если мы не будем делить маршруты на два диапазона и пропишем еще один нулевой, то в системе появится два нулевых маршрута с разными шлюзами и разными метриками. Но использоваться будет тот, чья метрика меньше.
Основной недостаток такого подхода – это переопределение нулевого маршрута другим подключением. Например, вы присоединили 4G модем, переподключились к другой беспроводной сети или подключили еще один VPN.
Как минимум это потребует переподключения OpenVPN, а в иных случаях ручного переопределения приоритетов маршрутов.
Чтобы избежать подобных ситуаций OpenVPN использует два маршрута с более узкой маской вместо одного нулевого, в этом случае даже при переопределении нулевого маршрута в системе трафик пользователя все равно будет уходить в VPN-туннель.
👍37❤5
Кадры решают все
Третьего дня попросил нас один заказчик помочь ему с подбором персонала. Задача для нас привычная, но последние несколько лет мы такими вещами как-то не занимались, поэтому оказалось достаточно интересно освежить свой опыт.
А коллегам, как мне кажется, будет полезно посмотреть на ситуацию глазами работодателя и, возможно, увидеть собственные ошибки при отклике на вакансии.
Сама вакансия предусматривает закрытие линейной должности системного администратора, основная задача которого – это обслуживание рабочих мест, включая офисное и торговое оборудование, а также поддержка пользователей (как удаленная, так и на месте).
Режим работы смешанный. Офис + удаленка. Плюс дежурства в выходные и праздничные дни, оплачиваются отдельно. Предлагаемая з/п по окладу в рынке, возможно даже и немного выше рынка для аналогичной должности.
На текущем этапе мы с представителем заказчика проработали только резюме, никаких личных контактов с соискателями не проводилось. Резюме было довольно много, но прошли не только лишь все. Вот именно о тех, кто сразу не прошел и поговорим.
1️⃣ Госы. Таких соискателей, надо сказать, много. Идут с аналогичных должностей из различных МУП, ГУП, администраций, учебных заведении и т.д. и т.п. Такие резюме сразу в мусорку. Ну разве что там будет молодой парень с первым и единственным местом работы, ну и тот станет в самый конец очереди.
Почему? Я уже давно и неоднократно писал, что госы – это кладбище кадров и человек проработавший там определенное время стремительно деградирует как специалист и командный сотрудник, но взамен приобретает многие иные качества, крайне нужные для выживания в госах, но бесполезные или даже откровенно вредные вне их.
При этом это не только мое мнение, но и мнение заказчика, где он несколько в ином ключе высказал практически аналогичные тезисы.
Даже если оставить сугубо профессиональные качества, то бывший сотрудник госов не способен к продуктивной командной работе, не умеет работать самостоятельно, предпочитает отлынивать от работы там, где это возможно, склонен к перекладыванию задач и ответственности, а также крайне негативно и разлагающе воздействует на рабочую атмосферу в коллективе.
😤 Написанное выше может вызвать массовое возгорание пятых точек, но увы, это так, во всяком случае со стороны коммерческого работодателя.
Что делать? Для начала понять и принять, что гос – для большинства работодателей черная метка. А там решайте, готовы ли вы что-то менять, причем менять радикально, или лучше спокойно досидеть, где сидится.
В противном случае берите подработки, просите рекомендации, ищите личные выходы. Через резюме найти работу будет достаточно затруднительно.
2️⃣ Оверквалификация. Таких резюме поменьше, но тоже хватает, и кого там только нет, чуть ли не кандидаты наук. Бывшие инженеры, программисты, руководители направлений и отделов. Послужные списки многих впечатляют.
Только вот с должностью, на которую они претендуют это соотносится крайне слабо. Что вызывает закономерные вопросы. На которые напрашиваются закономерные ответы.
🐏 Вариант 1. Соискатель на самом деле туп как бревно, а все эти регалии приписаны по принципу «рядом стоял, через плечо глядел». Либо просиживал стул на руководящей должности, а работали подчиненные.
После чего следует закономерный вывод – а нафига он тут такой красивый нужен? Даже если его квалификации и хватает для закрытия вакансии в коллективе он явно не уживется, к месту и не к месту напоминая «кем был Паниковский до Революции».
👋 Вариант 2. Соискатель действительно обладает всеми указанными квалификациями, но в силу определенных жизненных обстоятельств ищет любую работу. Это, конечно, с одной стороны похвально, но с другой создает работодателю массу иных проблем.
Основная из них – это временный сотрудник, как только он найдет работу, соответствующую его квалификации – он помашет вам ручкой. А вы снова будете искать себе сотрудника. Потом снова будете его учить и т.д. и т.п.
Поэтому снова нет, вне зависимости от вариантов.
👉 Продолжение следует...
Третьего дня попросил нас один заказчик помочь ему с подбором персонала. Задача для нас привычная, но последние несколько лет мы такими вещами как-то не занимались, поэтому оказалось достаточно интересно освежить свой опыт.
А коллегам, как мне кажется, будет полезно посмотреть на ситуацию глазами работодателя и, возможно, увидеть собственные ошибки при отклике на вакансии.
Сама вакансия предусматривает закрытие линейной должности системного администратора, основная задача которого – это обслуживание рабочих мест, включая офисное и торговое оборудование, а также поддержка пользователей (как удаленная, так и на месте).
Режим работы смешанный. Офис + удаленка. Плюс дежурства в выходные и праздничные дни, оплачиваются отдельно. Предлагаемая з/п по окладу в рынке, возможно даже и немного выше рынка для аналогичной должности.
На текущем этапе мы с представителем заказчика проработали только резюме, никаких личных контактов с соискателями не проводилось. Резюме было довольно много, но прошли не только лишь все. Вот именно о тех, кто сразу не прошел и поговорим.
1️⃣ Госы. Таких соискателей, надо сказать, много. Идут с аналогичных должностей из различных МУП, ГУП, администраций, учебных заведении и т.д. и т.п. Такие резюме сразу в мусорку. Ну разве что там будет молодой парень с первым и единственным местом работы, ну и тот станет в самый конец очереди.
Почему? Я уже давно и неоднократно писал, что госы – это кладбище кадров и человек проработавший там определенное время стремительно деградирует как специалист и командный сотрудник, но взамен приобретает многие иные качества, крайне нужные для выживания в госах, но бесполезные или даже откровенно вредные вне их.
При этом это не только мое мнение, но и мнение заказчика, где он несколько в ином ключе высказал практически аналогичные тезисы.
Даже если оставить сугубо профессиональные качества, то бывший сотрудник госов не способен к продуктивной командной работе, не умеет работать самостоятельно, предпочитает отлынивать от работы там, где это возможно, склонен к перекладыванию задач и ответственности, а также крайне негативно и разлагающе воздействует на рабочую атмосферу в коллективе.
😤 Написанное выше может вызвать массовое возгорание пятых точек, но увы, это так, во всяком случае со стороны коммерческого работодателя.
Что делать? Для начала понять и принять, что гос – для большинства работодателей черная метка. А там решайте, готовы ли вы что-то менять, причем менять радикально, или лучше спокойно досидеть, где сидится.
В противном случае берите подработки, просите рекомендации, ищите личные выходы. Через резюме найти работу будет достаточно затруднительно.
2️⃣ Оверквалификация. Таких резюме поменьше, но тоже хватает, и кого там только нет, чуть ли не кандидаты наук. Бывшие инженеры, программисты, руководители направлений и отделов. Послужные списки многих впечатляют.
Только вот с должностью, на которую они претендуют это соотносится крайне слабо. Что вызывает закономерные вопросы. На которые напрашиваются закономерные ответы.
🐏 Вариант 1. Соискатель на самом деле туп как бревно, а все эти регалии приписаны по принципу «рядом стоял, через плечо глядел». Либо просиживал стул на руководящей должности, а работали подчиненные.
После чего следует закономерный вывод – а нафига он тут такой красивый нужен? Даже если его квалификации и хватает для закрытия вакансии в коллективе он явно не уживется, к месту и не к месту напоминая «кем был Паниковский до Революции».
👋 Вариант 2. Соискатель действительно обладает всеми указанными квалификациями, но в силу определенных жизненных обстоятельств ищет любую работу. Это, конечно, с одной стороны похвально, но с другой создает работодателю массу иных проблем.
Основная из них – это временный сотрудник, как только он найдет работу, соответствующую его квалификации – он помашет вам ручкой. А вы снова будете искать себе сотрудника. Потом снова будете его учить и т.д. и т.п.
Поэтому снова нет, вне зависимости от вариантов.
👉 Продолжение следует...
👍47🤡20❤9😁2🤝2
Из пункта A в пункт Б
Как показывает практика – маршрутизация всегда была непростым вопросом, особенно если речь идет о маршрутизации между сетями. И чаще всего бывает так – я все сделал по инструкции, но ничего не работает.
Как быть, что делать, куда бежать? А бежать никуда не надо, надо просто взять в руки два простых инструмента и заняться диагностикой. Эти инструменты всем известны: пинг и трассировка.
Но прежде посмотрим на схему внизу материала. Где:
🔹 A и F – конечные устройства в разных сетях
🔹 B и E – внутренние интерфейсы VPN-серверов (роутеры)
🔹 С и D – стороны туннеля
🔹 X и Y – внешние адреса серверов
Итак, наша задача попасть из пункта A в пункт F и для начала мы посмотрим, как должна выглядеть правильная трассировка. Нам должны ответить по очереди следующие узлы:
1️⃣ B
2️⃣ D
3️⃣ F
И никакие другие. Почему? Потому что пакет по дороге совершает три прыжка: от компьютера-источника A на VPN-сервер B, с него на противоположный конец туннеля – D и оттуда в пункт назначения F, интерфейсы С и E в передаче пакета не участвуют (точнее используются только как интерфейсы выхода).
Если у вас в трассировке появились другие узлы – следовательно вы неправильно настроили маршрутизацию.
Теперь начнем диагностику. Если наша трассировка не доходит даже до первого промежуточного узла B, то берем ping и проверяем его доступность. Если он недоступен – то тут все понятно.
Но может ли быть так, что узел B пингуется, а трассировка не проходит? Может, в том случае, если VPN-сервер не является основным шлюзом сети и это означает что у вас не работает локальная маршрутизация.
В этом случае следует прописать маршрут к удаленной сети через узел B либо непосредственно на узле А, либо на основном шлюзе сети.
Здесь разобрались, идем дальше. Если у нас недоступен следующий узел трассировки – D, то это означает что пакет не удалось отправить на другую сторону туннеля.
В этом случае проверяем доступность (пингом) узла C, что покажет нам поднят ли туннельный интерфейс и отвечает ли он на наши запросы.
Если интерфейс поднят, но не отвечает на пинг, то проверяем включена ли маршрутизация на VPN-сервере и не блокирует ли данные соединения брандмауэр.
Интерфейс поднят и отвечает. Отлично. Теперь самое время разобраться в типе нашего VPN-подключения. Соединения на основе PPP, OpenVPN или AnyConnect строятся по клиент-серверной схеме.
Если с вашей стороны клиент, то доступность туннельного интерфейса означает что туннель поднят и работает, за редкими исключениями. Например, в OpenVPN при неправильно выставленных настройках сжатия туннель поднимается, но не работает.
Поэтом пробуем пропинговать точку D непосредственно с сервера. Если пинг проходит, то смотрим маршруты непосредственно на VPN-сервере (на самом деле клиенте) или проверяем брандмауэр на другой стороне.
Если мы сами сервер – то в первую очередь проверяем подключен ли к нам клиент со стороны D, далее точно также – маршруты и брандмауэр.
Другое дело stateless туннели, это GRE, IP-IP и WireGuard. Они ничего не знают о состоянии другой стороны и всегда подняты. В этом случае проверяем доступность узла противоположной стороны – Y, проверяем параметры туннеля с обоих сторон, правильность настроек.
Потому что в случае неправильных настроек туннельные интерфейсы с обоих сторон все равно будут подняты, также они будут подняты даже если узлы X и Y будут недоступны.
Если же трассировка прерывается на последнем этапе, то переходим к этапу 1, только с другой стороны. Мало доставить пакет от узла A к узлу F, надо еще чтобы узел F сумел доставить нам ответ.
В этом случае проверяем, включена ли маршрутизация на VPN-сервере с другой стороны, смотрим, не блокирует ли нас брандмауэр, а после этого смотрим, умеет ли узел F отправлять пакеты в сеть узла A. Для этого лучше всего выполнить встречную трассировку.
Ну и конечно же убедитесь, что все конечные и промежуточные узлы могут отвечать на пинг, например, Windows с настройками брандмауэра по умолчанию этого не делает.
Как показывает практика – маршрутизация всегда была непростым вопросом, особенно если речь идет о маршрутизации между сетями. И чаще всего бывает так – я все сделал по инструкции, но ничего не работает.
Как быть, что делать, куда бежать? А бежать никуда не надо, надо просто взять в руки два простых инструмента и заняться диагностикой. Эти инструменты всем известны: пинг и трассировка.
Но прежде посмотрим на схему внизу материала. Где:
🔹 A и F – конечные устройства в разных сетях
🔹 B и E – внутренние интерфейсы VPN-серверов (роутеры)
🔹 С и D – стороны туннеля
🔹 X и Y – внешние адреса серверов
Итак, наша задача попасть из пункта A в пункт F и для начала мы посмотрим, как должна выглядеть правильная трассировка. Нам должны ответить по очереди следующие узлы:
1️⃣ B
2️⃣ D
3️⃣ F
И никакие другие. Почему? Потому что пакет по дороге совершает три прыжка: от компьютера-источника A на VPN-сервер B, с него на противоположный конец туннеля – D и оттуда в пункт назначения F, интерфейсы С и E в передаче пакета не участвуют (точнее используются только как интерфейсы выхода).
Если у вас в трассировке появились другие узлы – следовательно вы неправильно настроили маршрутизацию.
Теперь начнем диагностику. Если наша трассировка не доходит даже до первого промежуточного узла B, то берем ping и проверяем его доступность. Если он недоступен – то тут все понятно.
Но может ли быть так, что узел B пингуется, а трассировка не проходит? Может, в том случае, если VPN-сервер не является основным шлюзом сети и это означает что у вас не работает локальная маршрутизация.
В этом случае следует прописать маршрут к удаленной сети через узел B либо непосредственно на узле А, либо на основном шлюзе сети.
Здесь разобрались, идем дальше. Если у нас недоступен следующий узел трассировки – D, то это означает что пакет не удалось отправить на другую сторону туннеля.
В этом случае проверяем доступность (пингом) узла C, что покажет нам поднят ли туннельный интерфейс и отвечает ли он на наши запросы.
Если интерфейс поднят, но не отвечает на пинг, то проверяем включена ли маршрутизация на VPN-сервере и не блокирует ли данные соединения брандмауэр.
Интерфейс поднят и отвечает. Отлично. Теперь самое время разобраться в типе нашего VPN-подключения. Соединения на основе PPP, OpenVPN или AnyConnect строятся по клиент-серверной схеме.
Если с вашей стороны клиент, то доступность туннельного интерфейса означает что туннель поднят и работает, за редкими исключениями. Например, в OpenVPN при неправильно выставленных настройках сжатия туннель поднимается, но не работает.
Поэтом пробуем пропинговать точку D непосредственно с сервера. Если пинг проходит, то смотрим маршруты непосредственно на VPN-сервере (на самом деле клиенте) или проверяем брандмауэр на другой стороне.
Если мы сами сервер – то в первую очередь проверяем подключен ли к нам клиент со стороны D, далее точно также – маршруты и брандмауэр.
Другое дело stateless туннели, это GRE, IP-IP и WireGuard. Они ничего не знают о состоянии другой стороны и всегда подняты. В этом случае проверяем доступность узла противоположной стороны – Y, проверяем параметры туннеля с обоих сторон, правильность настроек.
Потому что в случае неправильных настроек туннельные интерфейсы с обоих сторон все равно будут подняты, также они будут подняты даже если узлы X и Y будут недоступны.
Если же трассировка прерывается на последнем этапе, то переходим к этапу 1, только с другой стороны. Мало доставить пакет от узла A к узлу F, надо еще чтобы узел F сумел доставить нам ответ.
В этом случае проверяем, включена ли маршрутизация на VPN-сервере с другой стороны, смотрим, не блокирует ли нас брандмауэр, а после этого смотрим, умеет ли узел F отправлять пакеты в сеть узла A. Для этого лучше всего выполнить встречную трассировку.
Ну и конечно же убедитесь, что все конечные и промежуточные узлы могут отвечать на пинг, например, Windows с настройками брандмауэра по умолчанию этого не делает.
👍28❤6
Кадры решают все. Продолжение
Продолжаем вчерашнюю тему, а остановились мы на оверквалификации, когда резюме соискателя явно не соответствует должности, на которую он претендует, причем не соответствует в «лучшую» сторону.
Для работодателя это выглядит как два варианта: либо резюме «нарисованное» и на самом деле соискатель не тянет указанные квалификации, либо ему нужно временное место работы пока он найдет что-то подходящее по уровню.
И тот и другой случай в большинстве своем говорят о том, что такой сотрудник не нужен, подробно об этом мы писали вчера.
Как быть в такой ситуации соискателю? А тут надо честно решить, что вам надо. Пересидеть несколько месяцев – устройтесь таксистом или курьером, не создавайте лишних сложностей ни себе, ни людям.
Потому как на следующем месте работы поглядят в вашу трудовую и сделают выводы, которые могут вам не понравиться. А именно – работодатели не сильно любят таких товарищей, прыгающих с места на место, и при прочих равных отдадут предпочтение иному соискателю.
3️⃣ Напишу все что знаю. Я долго затруднялся подобрать заголовок к этому пункту, поэтому пусть будет такой. Резюме таких товарищей больше напоминают оглавление какого-нибудь справочника или список аббревиатур.
Там могут быть перечислены все известные версии Windows, Office и прочих программных пакетов, длинные списки протоколов, языков и технологий. Короче все, что может прийти в голову.
Подобные резюме вызывают только недоумение. К чему это все? Особенно применительно к текущей вакансии. И что именно хочет сказать этим соискатель? Что он, хотя бы на базовом уровне знает все вышеперечисленное? Так это не сложно выяснить на собеседовании, и я уверен, что 99,9% написавших это такую проверку не пройдут.
Сюда же можно отнести товарищей старательно перечисляющие все свои регалии, включая победу в конкурсе по метанию клавиатур и сертификаты от всего чего только можно.
Нет, сертификаты – это хорошо, но только хорошие сертификаты, которые выдаются авторитетными организациями и гарантирующими хотя бы какой-то минимум знаний у получившего их.
А вот сертификаты разных «онлайн-школ» и прочих курсов, бесплатных или не очень лучше всего повесить на стену в кабинете для размышлений, потому как у большинства работодателей они вызывают реакцию прямо противоположную ожидаемой.
Поэтому, ребята, не нужно писать такие резюме, обычно их выкидывают в мусорку не читая, потому что это признак того, что по существу сказать нечего и это просто маскируется за тоннами наименований, аббревиатур и сертификатов.
Пишите по существу вакансии, на которую претендуете, коротко, но по делу. Нечего написать? Так подумайте ваша ли эта вакансия, даже если вы каким-то образом пройдете отбор все быстро выяснится уже в течении испытательного срока. Оно вам надо? Может лучше умерить амбиции и набраться реального опыта на вакансиях попроще?
4️⃣ Возраст. Тема очень больная и очень остро воспринимаемая соискателями. Для многих вакансий возраст имеет не меньшее значение чем иные, сугубо профессиональные качества.
Причем возраст может играть в обе стороны. Так на руководящие или ответственные должности могут, вопреки стереотипам, рассматриваться именно возрастные кандидаты, имеющие за плечами не менее 10-15 лет опыта.
Возьмем ту же должность главбуха, уже только услышав это слово мы представляем себе скорее даму бальзаковского возраста, нежели молодую девушку.
Что касается начальных или линейных позиций, то туда отдается предпочтение кандидатам помоложе, особенно если вакансия не предполагает постоянного сидения на стуле.
Соображения тут сугубо прагматичные. Молодой сотрудник более мобилен, меньше устает, лучше обучаем, у него не болит спина, ноги, руки и т.д. и т.п.
Плюс серьезным вопросом является интеграция такого сотрудника в коллектив, особенно если коллектив и его непосредственные руководители значительно моложе. Возрастной сотрудник может оказаться источником смуты, а таком коллективе, особенно если пытается давить возрастом и «жизненным опытом».
Продолжение следует...
Продолжаем вчерашнюю тему, а остановились мы на оверквалификации, когда резюме соискателя явно не соответствует должности, на которую он претендует, причем не соответствует в «лучшую» сторону.
Для работодателя это выглядит как два варианта: либо резюме «нарисованное» и на самом деле соискатель не тянет указанные квалификации, либо ему нужно временное место работы пока он найдет что-то подходящее по уровню.
И тот и другой случай в большинстве своем говорят о том, что такой сотрудник не нужен, подробно об этом мы писали вчера.
Как быть в такой ситуации соискателю? А тут надо честно решить, что вам надо. Пересидеть несколько месяцев – устройтесь таксистом или курьером, не создавайте лишних сложностей ни себе, ни людям.
Потому как на следующем месте работы поглядят в вашу трудовую и сделают выводы, которые могут вам не понравиться. А именно – работодатели не сильно любят таких товарищей, прыгающих с места на место, и при прочих равных отдадут предпочтение иному соискателю.
3️⃣ Напишу все что знаю. Я долго затруднялся подобрать заголовок к этому пункту, поэтому пусть будет такой. Резюме таких товарищей больше напоминают оглавление какого-нибудь справочника или список аббревиатур.
Там могут быть перечислены все известные версии Windows, Office и прочих программных пакетов, длинные списки протоколов, языков и технологий. Короче все, что может прийти в голову.
Подобные резюме вызывают только недоумение. К чему это все? Особенно применительно к текущей вакансии. И что именно хочет сказать этим соискатель? Что он, хотя бы на базовом уровне знает все вышеперечисленное? Так это не сложно выяснить на собеседовании, и я уверен, что 99,9% написавших это такую проверку не пройдут.
Сюда же можно отнести товарищей старательно перечисляющие все свои регалии, включая победу в конкурсе по метанию клавиатур и сертификаты от всего чего только можно.
Нет, сертификаты – это хорошо, но только хорошие сертификаты, которые выдаются авторитетными организациями и гарантирующими хотя бы какой-то минимум знаний у получившего их.
А вот сертификаты разных «онлайн-школ» и прочих курсов, бесплатных или не очень лучше всего повесить на стену в кабинете для размышлений, потому как у большинства работодателей они вызывают реакцию прямо противоположную ожидаемой.
Поэтому, ребята, не нужно писать такие резюме, обычно их выкидывают в мусорку не читая, потому что это признак того, что по существу сказать нечего и это просто маскируется за тоннами наименований, аббревиатур и сертификатов.
Пишите по существу вакансии, на которую претендуете, коротко, но по делу. Нечего написать? Так подумайте ваша ли эта вакансия, даже если вы каким-то образом пройдете отбор все быстро выяснится уже в течении испытательного срока. Оно вам надо? Может лучше умерить амбиции и набраться реального опыта на вакансиях попроще?
4️⃣ Возраст. Тема очень больная и очень остро воспринимаемая соискателями. Для многих вакансий возраст имеет не меньшее значение чем иные, сугубо профессиональные качества.
Причем возраст может играть в обе стороны. Так на руководящие или ответственные должности могут, вопреки стереотипам, рассматриваться именно возрастные кандидаты, имеющие за плечами не менее 10-15 лет опыта.
Возьмем ту же должность главбуха, уже только услышав это слово мы представляем себе скорее даму бальзаковского возраста, нежели молодую девушку.
Что касается начальных или линейных позиций, то туда отдается предпочтение кандидатам помоложе, особенно если вакансия не предполагает постоянного сидения на стуле.
Соображения тут сугубо прагматичные. Молодой сотрудник более мобилен, меньше устает, лучше обучаем, у него не болит спина, ноги, руки и т.д. и т.п.
Плюс серьезным вопросом является интеграция такого сотрудника в коллектив, особенно если коллектив и его непосредственные руководители значительно моложе. Возрастной сотрудник может оказаться источником смуты, а таком коллективе, особенно если пытается давить возрастом и «жизненным опытом».
Продолжение следует...
👎26👍14🤔5❤4🤡3
Что обозначает запись 5.6.7.0/23
Anonymous Quiz
15%
IP адрес узла
45%
IP подсеть
1%
Зависит от маски сети
6%
Этот адрес некорректный
8%
Для этого диапазона нельзя применять маску /23
2%
Это подсеть класса А, маска должна быть /8
3%
Это публичный адрес, маска должна быть /32
7%
Может означать все что угодно, зависит от конфигурации сетевого оборудования
6%
Недостаточно данных для правильного ответа
7%
Ни одного правильного ответа
🤮3❤1⚡1
На что способен GPU-сервер YADRO G4208P G3 c H100 NVL и RTX 4090 на борту
Какую платформу выбрать для решения конкретной ИИ-задачи? Нужны ли именно вам топовые H100 NVL или можно обойтись RTX 4090, которые в заводских условиях адаптированы для работы в GPU-сервере? Что такое NVLink и когда он нужен?
Инженеры из YADRO отвечают на эти и многие другие вопросы по итогам масштабного тестирования собственного GPU-сервера G4208P G3. Тесты проводились на десятке ИИ-моделей и бенчмарков, включая GPT-2 Андрея Карпаты на 1,6 млрд параметров и промышленный MLCommons.
Статья на Хабре →
erid: 2W5zFK5h2r4
Какую платформу выбрать для решения конкретной ИИ-задачи? Нужны ли именно вам топовые H100 NVL или можно обойтись RTX 4090, которые в заводских условиях адаптированы для работы в GPU-сервере? Что такое NVLink и когда он нужен?
Инженеры из YADRO отвечают на эти и многие другие вопросы по итогам масштабного тестирования собственного GPU-сервера G4208P G3. Тесты проводились на десятке ИИ-моделей и бенчмарков, включая GPT-2 Андрея Карпаты на 1,6 млрд параметров и промышленный MLCommons.
Статья на Хабре →
erid: 2W5zFK5h2r4
🤮6👍3❤2😁2
Про крутые госы
В комментариях многие ожидаемо обиделись на мою оценку госов и стали наперебой рассказывать, что на самом деле все не так, что в госах есть крутые, мощные специалисты, которые создают и поддерживают отличные системы и ответственности у них будет побольше. Потому как что-то федеральное, это вам не коммерс какой-то.
Ну да «по плодам их узнаете их», из этого и будем исходить. А ходить нам далеко не придется:
👉 17.06.2025 в 22:00 Федеральная государственная информационная система в области ветеринарии (ФГИС «ВетИС») подверглась вирусной атаке, в следствие чего 18.06.2025 в 00:30 переведена в аварийный режим работы.
По текущей оценке, работы по восстановлению будут проводиться до 23.06.2025, компоненты ФГИС «ВетИС» будут вводиться в эксплуатацию по мере их готовности с 19.06.2025.
ВетИС, он же Меркурий – федеральная система по ветеринарному контролю продукции, на которую завязаны все производители мяса, молока и прочих продуктов животноводства. Прилегла, на федеральном уровне и до сих пор лежит.
Кластера, горячий резерв, бекапы? Нет, не слышали. Кто-то подал заявление об отставке? Кого-то уволили? Начали проверки? Нет, не слышали. И не услышим.
А производители по стране несут вполне реальные, ощутимые убытки, так как продукция скоропортящаяся.
Ну да ладно, ВетИС признали косяк и объявили аварийный режим. Но многая продукция ВетИС должна также маркироваться Честным знаком, а в Честном знаке все хорошо и им на аварийные режим ВетИС начихать.
А остатки лежат, а сроки идут.
Ну в конце концов ведомства как-то между собой определились и выработали механизм маркировки такой продукции. Но все это время, а время – деньги, в данном случае в прямом смысле этого слова.
❗️ Честный знак – еще одна «крутая» система, которая тоже любит взять и прилечь, но в Честном знаке твердо знают первое правило госа – не важно, как оно на самом деле, важно красиво отчитаться.
В Честном знаке всегда все хорошо, даже когда он лежит, аварийный режим не объявляли ни разу (хотя технически он проработан), поддержка тоже всегда отвечает, что у них все хорошо.
Последний раз Честный знак лежал 11 июня и если розница еще как-то работала, то все остальное легло наглухо. Ни ввести продукцию в оборот, не передать другому участнику, ни принять. Пляшите, как хотите.
А речь, между прочим, о торговле, у которой простой – это не умозрительная упущенная выгода, а вполне конкретный убыток, исчисляющийся в рублях, особенно в продуктовой торговле, где мы стоим, а сроки годности идут.
В итоге что делает торговля? Правильно, нарушает. Потому что штраф может за это быть, а может не быть, а вот убыток будет здесь и сейчас.
Кто-то хоть раз признался? Извинился? Кого-то уволили? Провели проверку? Нет, не слышали.
В начале 20 чисел мая у розничных продавцов массово начали выбывать из оборота кеги сразу после перовой продажи. Т.е. открыли кегу на 30 литров, 1,5 литра продали. Кег выбыл. Официально его больше продавать нельзя, только вылить.
В отрасли серьезная проблема, Честный знак хранил молчание до 29 числа, когда наконец признался:
🤷♀️ В период с 21.05 по 22.05 была включена проверка на указанное значение в теге "ProductStatus" (2110) в чеках ... На текущий момент проверка была отключена и по новым кегах проблема воспроизводиться не будет.
Кому-то стало легче? Нет. А как быть с выбывшими кегами?
💁При необходимости быстрой корректировки кодов идентификации (выбывших из оборота), просьба сформировать официальный запрос на комиссию
И далее целое полотно о том, как этот запрос формировать, что туда включать, кем подписывать и куда подавать.
Только вся соль ситуации в том, что открытое пиво к 29 числу или было продано в обход Честного знака или прокисло.
По факту добросовестные пользователи Честного знака понесли убыток. Кто-то что-то компенсировал? Или хотя бы заикнулся? Кого-то наказали? Уволили? Хотя бы извинились? Нет, не слышали.
И не услышим. Потому что это госы, у них все хорошо. А если нехорошо, то все равно сами вы дураки. А мы снова красиво отчитаемся и снова у нас будет все хорошо.
В комментариях многие ожидаемо обиделись на мою оценку госов и стали наперебой рассказывать, что на самом деле все не так, что в госах есть крутые, мощные специалисты, которые создают и поддерживают отличные системы и ответственности у них будет побольше. Потому как что-то федеральное, это вам не коммерс какой-то.
Ну да «по плодам их узнаете их», из этого и будем исходить. А ходить нам далеко не придется:
👉 17.06.2025 в 22:00 Федеральная государственная информационная система в области ветеринарии (ФГИС «ВетИС») подверглась вирусной атаке, в следствие чего 18.06.2025 в 00:30 переведена в аварийный режим работы.
По текущей оценке, работы по восстановлению будут проводиться до 23.06.2025, компоненты ФГИС «ВетИС» будут вводиться в эксплуатацию по мере их готовности с 19.06.2025.
ВетИС, он же Меркурий – федеральная система по ветеринарному контролю продукции, на которую завязаны все производители мяса, молока и прочих продуктов животноводства. Прилегла, на федеральном уровне и до сих пор лежит.
Кластера, горячий резерв, бекапы? Нет, не слышали. Кто-то подал заявление об отставке? Кого-то уволили? Начали проверки? Нет, не слышали. И не услышим.
А производители по стране несут вполне реальные, ощутимые убытки, так как продукция скоропортящаяся.
Ну да ладно, ВетИС признали косяк и объявили аварийный режим. Но многая продукция ВетИС должна также маркироваться Честным знаком, а в Честном знаке все хорошо и им на аварийные режим ВетИС начихать.
А остатки лежат, а сроки идут.
Ну в конце концов ведомства как-то между собой определились и выработали механизм маркировки такой продукции. Но все это время, а время – деньги, в данном случае в прямом смысле этого слова.
❗️ Честный знак – еще одна «крутая» система, которая тоже любит взять и прилечь, но в Честном знаке твердо знают первое правило госа – не важно, как оно на самом деле, важно красиво отчитаться.
В Честном знаке всегда все хорошо, даже когда он лежит, аварийный режим не объявляли ни разу (хотя технически он проработан), поддержка тоже всегда отвечает, что у них все хорошо.
Последний раз Честный знак лежал 11 июня и если розница еще как-то работала, то все остальное легло наглухо. Ни ввести продукцию в оборот, не передать другому участнику, ни принять. Пляшите, как хотите.
А речь, между прочим, о торговле, у которой простой – это не умозрительная упущенная выгода, а вполне конкретный убыток, исчисляющийся в рублях, особенно в продуктовой торговле, где мы стоим, а сроки годности идут.
В итоге что делает торговля? Правильно, нарушает. Потому что штраф может за это быть, а может не быть, а вот убыток будет здесь и сейчас.
Кто-то хоть раз признался? Извинился? Кого-то уволили? Провели проверку? Нет, не слышали.
В начале 20 чисел мая у розничных продавцов массово начали выбывать из оборота кеги сразу после перовой продажи. Т.е. открыли кегу на 30 литров, 1,5 литра продали. Кег выбыл. Официально его больше продавать нельзя, только вылить.
В отрасли серьезная проблема, Честный знак хранил молчание до 29 числа, когда наконец признался:
🤷♀️ В период с 21.05 по 22.05 была включена проверка на указанное значение в теге "ProductStatus" (2110) в чеках ... На текущий момент проверка была отключена и по новым кегах проблема воспроизводиться не будет.
Кому-то стало легче? Нет. А как быть с выбывшими кегами?
💁При необходимости быстрой корректировки кодов идентификации (выбывших из оборота), просьба сформировать официальный запрос на комиссию
И далее целое полотно о том, как этот запрос формировать, что туда включать, кем подписывать и куда подавать.
Только вся соль ситуации в том, что открытое пиво к 29 числу или было продано в обход Честного знака или прокисло.
По факту добросовестные пользователи Честного знака понесли убыток. Кто-то что-то компенсировал? Или хотя бы заикнулся? Кого-то наказали? Уволили? Хотя бы извинились? Нет, не слышали.
И не услышим. Потому что это госы, у них все хорошо. А если нехорошо, то все равно сами вы дураки. А мы снова красиво отчитаемся и снова у нас будет все хорошо.
👍59🤡21💯15❤5🤔2
Подборка публикаций на тему VPN
🔶 Windows
🔹 Организация каналов между офисами при помощи OpenVPN с дополнительной парольной защитой
🔹 Как настроить несколько одновременных OpenVPN подключений в Windows
🔹 Настраиваем PPTP или L2TP VPN-сервер при помощи RRAS в Windows Server
🔹 Автоматическое добавление маршрутов для VPN-соединения в Windows
🔹 Управляем VPN-соединениями в Windows при помощи PowerShell
🔶 Linux
🔹 Организация каналов между офисами при помощи OpenVPN на платформе Linux
🔹 Настройка OpenVPN-сервера для доступа в интернет
🔹 Настройка двух и более OpenVPN-серверов на одном сервере
🔹 Настраиваем L2TP VPN-сервер на платформе Linux (Debian / Ubuntu)
🔹 Настройка туннелей GRE и IPIP в Debian и Ubuntu
🔹 Организация каналов между офисами через WireGuard VPN на платформе Linux
🔹 Настройка WireGuard VPN для доступа в интернет
🔹 Настраиваем OpenConnect - совместимый с Cisco AnyConnect VPN сервер на платформе Linux
🔹 Установка и настройка Рутокен VPN Community Edition
🔶 Не VPN, но тоже полезно
🔹 SSH-туннели на службе системного администратора
🔹 Защищаем сетевые службы при помощи stunnel
Во второй части будет Mikrotik, теория и разные кроссплатформенные настройки.
🔶 Windows
🔹 Организация каналов между офисами при помощи OpenVPN с дополнительной парольной защитой
🔹 Как настроить несколько одновременных OpenVPN подключений в Windows
🔹 Настраиваем PPTP или L2TP VPN-сервер при помощи RRAS в Windows Server
🔹 Автоматическое добавление маршрутов для VPN-соединения в Windows
🔹 Управляем VPN-соединениями в Windows при помощи PowerShell
🔶 Linux
🔹 Организация каналов между офисами при помощи OpenVPN на платформе Linux
🔹 Настройка OpenVPN-сервера для доступа в интернет
🔹 Настройка двух и более OpenVPN-серверов на одном сервере
🔹 Настраиваем L2TP VPN-сервер на платформе Linux (Debian / Ubuntu)
🔹 Настройка туннелей GRE и IPIP в Debian и Ubuntu
🔹 Организация каналов между офисами через WireGuard VPN на платформе Linux
🔹 Настройка WireGuard VPN для доступа в интернет
🔹 Настраиваем OpenConnect - совместимый с Cisco AnyConnect VPN сервер на платформе Linux
🔹 Установка и настройка Рутокен VPN Community Edition
🔶 Не VPN, но тоже полезно
🔹 SSH-туннели на службе системного администратора
🔹 Защищаем сетевые службы при помощи stunnel
Во второй части будет Mikrotik, теория и разные кроссплатформенные настройки.
1👍37🔥5
Как устроен IT-бизнес изнутри — без иллюзий и прикрас
Я — CTO и IT-консультант. Веду канал, где пишу о том, как действительно работают команды, технологии и IT-системы.
Разбираю на конкретных кейсах:
— Почему разваливаются проекты?
— Что происходит внутри eCommerce и EdTech?
— Как выстроить сильную команду и не сгореть?
— Какие ошибки ИТ стоят вам денег?
Если хотите разбираться глубже и видеть картину изнутри — подписывайтесь. Только полезное, без воды, продажи курсов и инфоцыганства.
👉 Авторский канал ИТ Директора
Я — CTO и IT-консультант. Веду канал, где пишу о том, как действительно работают команды, технологии и IT-системы.
Разбираю на конкретных кейсах:
— Почему разваливаются проекты?
— Что происходит внутри eCommerce и EdTech?
— Как выстроить сильную команду и не сгореть?
— Какие ошибки ИТ стоят вам денег?
Если хотите разбираться глубже и видеть картину изнутри — подписывайтесь. Только полезное, без воды, продажи курсов и инфоцыганства.
👉 Авторский канал ИТ Директора
🤮5👍3❤2🔥1
Подборка публикаций на тему VPN 2
🔶 Mikrotik
🔹 Настройка OpenVPN-сервера на роутерах Mikrotik в RouterOS 6
🔹 Настройка OpenVPN-сервера на роутерах Mikrotik в RouterOS 7
🔹 Настройка WireGuard VPN на роутерах Mikrotik
🔹Настраиваем IPsec-туннель между офисами на оборудовании Mikrotik
🔹 Настройка туннелей GRE и IPIP на роутерах Mikrotik
🔹 Настройка SSTP VPN-сервера на роутерах Mikrotik
🔹 Настройка PPTP или L2TP VPN-сервера на роутерах Mikrotik
🔹 Настраиваем IKEv2 VPN-сервер на роутерах Mikrotik с аутентификацией по сертификатам
🔹 Настройка VPN-подключения на роутерах Mikrotik если подсети клиента и офиса совпадают
🔹 Настройка Proxy ARP для VPN-подключений на роутерах Mikrotik
🔶 Общие вопросы, теория
🔹 Настраиваем VPN. Часть 1 - Общие вопросы
🔹 Настраиваем VPN. Часть 2 - Cтруктура сети
🔹 Организация VPN каналов между офисами. Маршрутизация
🔶 OpenVPN дополнительно
🔹 Создание ключей и сертификатов для OpenVPN при помощи Easy-RSA 3
🔹 Почему тормозит OpenVPN? Размер буферов приема и отправки
🔹 OpenVPN и инфраструктура открытых ключей (PKI)
🔹 OpenVPN объединяем ключи и конфигурацию клиента в один файл
🔹 Отзыв сертификатов пользователей в OpenVPN
🔶 WireGuard дополнительно
🔹 Создаем готовые клиентские конфигурации для WireGuard
🔶 Mikrotik
🔹 Настройка OpenVPN-сервера на роутерах Mikrotik в RouterOS 6
🔹 Настройка OpenVPN-сервера на роутерах Mikrotik в RouterOS 7
🔹 Настройка WireGuard VPN на роутерах Mikrotik
🔹Настраиваем IPsec-туннель между офисами на оборудовании Mikrotik
🔹 Настройка туннелей GRE и IPIP на роутерах Mikrotik
🔹 Настройка SSTP VPN-сервера на роутерах Mikrotik
🔹 Настройка PPTP или L2TP VPN-сервера на роутерах Mikrotik
🔹 Настраиваем IKEv2 VPN-сервер на роутерах Mikrotik с аутентификацией по сертификатам
🔹 Настройка VPN-подключения на роутерах Mikrotik если подсети клиента и офиса совпадают
🔹 Настройка Proxy ARP для VPN-подключений на роутерах Mikrotik
🔶 Общие вопросы, теория
🔹 Настраиваем VPN. Часть 1 - Общие вопросы
🔹 Настраиваем VPN. Часть 2 - Cтруктура сети
🔹 Организация VPN каналов между офисами. Маршрутизация
🔶 OpenVPN дополнительно
🔹 Создание ключей и сертификатов для OpenVPN при помощи Easy-RSA 3
🔹 Почему тормозит OpenVPN? Размер буферов приема и отправки
🔹 OpenVPN и инфраструктура открытых ключей (PKI)
🔹 OpenVPN объединяем ключи и конфигурацию клиента в один файл
🔹 Отзыв сертификатов пользователей в OpenVPN
🔶 WireGuard дополнительно
🔹 Создаем готовые клиентские конфигурации для WireGuard
1👍31🔥6
Сказка о прилегшем Честном знаке
- Здравствуйте, продайте мне хлеба и молока.
- Здравствуйте, хлеб берите, а молока не дадим, Честный знак не работает!
- Ну минералки тогда…
- И минералки тоже не дадим!
- Сока или квасу?
- Они тоже в Честном знаке, не дадим!
- Ну ладно, пива!
- И пиво тоже!
- И безалкогольное?
- И безалкогольное!
- А…
- А еще масла намазать на хлеб мы вам тоже не дадим, ни сливочного, ни подсолнечного!
- Так что же мне, сухой хлеб жевать?
- Именно так, сыра тоже не дадим, творога и кефира тоже, даже не смотрите туда!
- Вот блин!
- Водки возьмите, она через ЕГАИС, он сегодня работает.
- Ну как бы завтра работать еще…
- Ну тогда жуйте хлеб без водки.
- Ладно, уговорили, давайте! Запить бы чем…
- Все напитки в Честном знаке, кильки тоже не дадим, не тяните руки, она промаркирована!
- О, колбаска, она без маркировки!
- ВетИС уже неделю лежит, не будет вам колбаски!
- Ладно, давайте хлеб и водку!
- Водки тоже не дадим! Пока вы думали, ЕГАИС прилег!
- Здравствуйте, продайте мне хлеба и молока.
- Здравствуйте, хлеб берите, а молока не дадим, Честный знак не работает!
- Ну минералки тогда…
- И минералки тоже не дадим!
- Сока или квасу?
- Они тоже в Честном знаке, не дадим!
- Ну ладно, пива!
- И пиво тоже!
- И безалкогольное?
- И безалкогольное!
- А…
- А еще масла намазать на хлеб мы вам тоже не дадим, ни сливочного, ни подсолнечного!
- Так что же мне, сухой хлеб жевать?
- Именно так, сыра тоже не дадим, творога и кефира тоже, даже не смотрите туда!
- Вот блин!
- Водки возьмите, она через ЕГАИС, он сегодня работает.
- Ну как бы завтра работать еще…
- Ну тогда жуйте хлеб без водки.
- Ладно, уговорили, давайте! Запить бы чем…
- Все напитки в Честном знаке, кильки тоже не дадим, не тяните руки, она промаркирована!
- О, колбаска, она без маркировки!
- ВетИС уже неделю лежит, не будет вам колбаски!
- Ладно, давайте хлеб и водку!
- Водки тоже не дадим! Пока вы думали, ЕГАИС прилег!
🤣88👏13🔥7😢5❤4
Сеанс черной магии с разоблачением
Сегодня мы поговорим о том, как правильно рассчитать IP-адрес по маске и делать это будем исключительно руками без всяких калькуляторов.
Начнем с просто примера: 192.168.1.100 с маской 255.255.255.0 или /24
Прежде всего скажем, не обращайте никакого внимания на десятичные цифры, они тут нужны исключительно для удобства восприятия. Вся магия происходит на двоичном уровне. Хотя на самом деле никакой магии там нет, обычная двоичная математика.
IP адрес и маска состоят из 4 октетов, каждый из которых нам нужно перевести в двоичный вид. Для этого сделаем такую табличку:
Теперь берем первый октет, проверяем, помещается ли первое число 128 в 192? Помещается, ставим 1. Затем вычитаем из 192 число 128, получаем 64. Проверяем со вторым числом, помещается, снова ставим 1 и вычитаем из остатка 64.
У нас остался ноль, в который не помещаются остальные числа, там проставляем ноли.
В итоге адрес 192.168.1.100 мы запишем как
Теперь маска, также переводим ее в двоичный вид. Но если с 255.255.255.0 все понятно, то как понимать /24? А просто, 24 обозначает что маска содержит 24 единицы, т.е. вам даже не нужно ничего переводить:
А теперь начинается настоящая двоичная магия, записываем адрес и маску друг под другом:
Те части адреса, которые покрываются маской являются адресом сети, а те, которые не попадают в маску – адресом узла.
Таким образом у нас адрес сети (все что не попадает под маску меняем нолями):
Что соответствует 192.168.1.0
Минимальным адресом сети будет:
Максимальным:
А последний доступный адрес в сети является широковещательным:
Теперь поменяем маску на /23 или 255.255.254.0 и посмотрим, что изменится:
Адрес сети у нас та часть, которая покрывается маской, остальное заменяем нулями:
Минимальный адрес:
Максимальный адрес:
Широковещательный адрес:
А теперь вернемся к примеру из пятничного вопроса:
Адрес сети:
Минимальный адрес:
Максимальный адрес:
Широковещательный адрес:
Таким образом в результате таких вот магических манипуляций мы выяснили, что 5.6.7.0/23 является адресом узла сети.
Адресом сети с такой маской он не может быть ни при каком раскладе, так как ее просто не может существовать физически.
Почему? Расписываем в двоичном виде адрес и маску и понимаем, что сети с адресами 5.6.6.0/23 и 5.6.8.0/23 существовать могут, а вот сеть с адресом 5.6.7.0/23 – нет.
Сегодня мы поговорим о том, как правильно рассчитать IP-адрес по маске и делать это будем исключительно руками без всяких калькуляторов.
Начнем с просто примера: 192.168.1.100 с маской 255.255.255.0 или /24
Прежде всего скажем, не обращайте никакого внимания на десятичные цифры, они тут нужны исключительно для удобства восприятия. Вся магия происходит на двоичном уровне. Хотя на самом деле никакой магии там нет, обычная двоичная математика.
IP адрес и маска состоят из 4 октетов, каждый из которых нам нужно перевести в двоичный вид. Для этого сделаем такую табличку:
128 | 64 | 32 | 16 | 8 | 4 | 2 | 1
Теперь берем первый октет, проверяем, помещается ли первое число 128 в 192? Помещается, ставим 1. Затем вычитаем из 192 число 128, получаем 64. Проверяем со вторым числом, помещается, снова ставим 1 и вычитаем из остатка 64.
У нас остался ноль, в который не помещаются остальные числа, там проставляем ноли.
В итоге адрес 192.168.1.100 мы запишем как
11000000 10101000 00000001 01100100
Теперь маска, также переводим ее в двоичный вид. Но если с 255.255.255.0 все понятно, то как понимать /24? А просто, 24 обозначает что маска содержит 24 единицы, т.е. вам даже не нужно ничего переводить:
/24 = 255.255.255.0 = 11111111 11111111 11111111 00000000
А теперь начинается настоящая двоичная магия, записываем адрес и маску друг под другом:
11000000 10101000 00000001 01100100
11111111 11111111 11111111 00000000
Те части адреса, которые покрываются маской являются адресом сети, а те, которые не попадают в маску – адресом узла.
Таким образом у нас адрес сети (все что не попадает под маску меняем нолями):
11000000 10101000 00000001 00000000
Что соответствует 192.168.1.0
Минимальным адресом сети будет:
11000000 10101000 00000001 00000001 = 192.168.1.1
Максимальным:
11000000 10101000 00000001 11111110 = 192.168.1.254
А последний доступный адрес в сети является широковещательным:
11000000 10101000 00000001 11111111 = 192.168.1.255
Теперь поменяем маску на /23 или 255.255.254.0 и посмотрим, что изменится:
11000000 10101000 00000001 01100100
11111111 11111111 11111110 00000000
Адрес сети у нас та часть, которая покрывается маской, остальное заменяем нулями:
11000000 10101000 00000000 00000000 = 192.168.0.0
Минимальный адрес:
11000000 10101000 00000000 00000001 = 192.168.0.1
Максимальный адрес:
11000000 10101000 00000001 11111110 = 192.168.1.254
Широковещательный адрес:
11000000 10101000 00000001 11111111 = 192.168.1.255
А теперь вернемся к примеру из пятничного вопроса:
5.6.7.0/23
00000101 00000110 00000111 00000000
11111111 11111111 11111110 00000000
Адрес сети:
00000101 00000110 00000110 00000000 = 5.6.6.0
Минимальный адрес:
00000101 00000110 00000110 00000001 = 5.6.6.1
Максимальный адрес:
00000101 00000110 00000111 11111110 = 5.6.7.254
Широковещательный адрес:
00000101 00000110 00000111 11111111 = 5.6.7.255
Таким образом в результате таких вот магических манипуляций мы выяснили, что 5.6.7.0/23 является адресом узла сети.
Адресом сети с такой маской он не может быть ни при каком раскладе, так как ее просто не может существовать физически.
Почему? Расписываем в двоичном виде адрес и маску и понимаем, что сети с адресами 5.6.6.0/23 и 5.6.8.0/23 существовать могут, а вот сеть с адресом 5.6.7.0/23 – нет.
👍54🤔8🥱5❤3😁2
Сегодня выходной, поэтому еще немного вопросов не технических, но близких к этому.
По причине активно разгоревшихся дебатов по поводу отбора соискателей предлагаю посмотреть на проблему с другой стороны.
👉 Допустим у вас есть некоторая дача и на ней надо построить баню. У вас есть деньги и вам нужно найти исполнителя, который эту баню сложит. На ваше объявление откликнулись следующие товарищи:
1️⃣ Бригада крепких, физически здоровых мужиков, которые адекватно пояснили чего они могут, чего не могут и показали результаты своих других работ.
2️⃣ Молодой человек в модных штанишках на самокате, который долго рассказывал вам какие вообще бывают бани, какие технологии применяются в строительства и вообще был весьма словоохотлив, только вот по нему видно, что ничего тяжелее стакана смузи в руках не держал.
3️⃣ Некое светило из очень важного и секретного НИИ (или не НИИ, секретно ведь), который десятки лет строил секретные бани в секретных местах и хорошо знает, как их надо строить, какие стандарты соблюдать, какие есть правила и регламенты, кого нужно назначить крайним, и кто будет виноват если баню построить почему-то не получится.
4️⃣ Команда бывалых пожилого возраста, которые когда-то давно были бригадой крепких и здоровых мужиков, которые строили бани. Потом долго руководили такими бригадами, а сейчас жизнь повернулась такой стороной, что снова пришлось строить бани. Правда у одного спина болит, у другого колени, у третьего вообще давление.
5️⃣ Стайка молодых, разномастно одетых пацанов, которые не только строят бани, но и ломают их, также пасут коз и перекапывают огороды, на что имеются многочисленные полученные сертификаты, грамоты за участие в семинарах, памятные ручки, флажки и даже медалька есть, правда за победу в конкурсе по выпиванию пива.
🤫 Кому из них вы доверите заняться постройкой бани?
👇👇👇 Ответы в опросе ниже, там же оставляем комментарии.
По причине активно разгоревшихся дебатов по поводу отбора соискателей предлагаю посмотреть на проблему с другой стороны.
👉 Допустим у вас есть некоторая дача и на ней надо построить баню. У вас есть деньги и вам нужно найти исполнителя, который эту баню сложит. На ваше объявление откликнулись следующие товарищи:
1️⃣ Бригада крепких, физически здоровых мужиков, которые адекватно пояснили чего они могут, чего не могут и показали результаты своих других работ.
2️⃣ Молодой человек в модных штанишках на самокате, который долго рассказывал вам какие вообще бывают бани, какие технологии применяются в строительства и вообще был весьма словоохотлив, только вот по нему видно, что ничего тяжелее стакана смузи в руках не держал.
3️⃣ Некое светило из очень важного и секретного НИИ (или не НИИ, секретно ведь), который десятки лет строил секретные бани в секретных местах и хорошо знает, как их надо строить, какие стандарты соблюдать, какие есть правила и регламенты, кого нужно назначить крайним, и кто будет виноват если баню построить почему-то не получится.
4️⃣ Команда бывалых пожилого возраста, которые когда-то давно были бригадой крепких и здоровых мужиков, которые строили бани. Потом долго руководили такими бригадами, а сейчас жизнь повернулась такой стороной, что снова пришлось строить бани. Правда у одного спина болит, у другого колени, у третьего вообще давление.
5️⃣ Стайка молодых, разномастно одетых пацанов, которые не только строят бани, но и ломают их, также пасут коз и перекапывают огороды, на что имеются многочисленные полученные сертификаты, грамоты за участие в семинарах, памятные ручки, флажки и даже медалька есть, правда за победу в конкурсе по выпиванию пива.
🤫 Кому из них вы доверите заняться постройкой бани?
👇👇👇 Ответы в опросе ниже, там же оставляем комментарии.
🤡22❤7👍7🥱4😁3
Кому вы доверите постройку бани?
Anonymous Poll
47%
💪 Бригаде крепких и здоровых мужиков
3%
🥛 Молодому человеку в коротких штанишках со смузи
2%
☀️ Светиле или светилу (как его там) из секретного АБРЫГ
13%
👩🦽 Мужикам пожилого возраста
3%
🏅 Пацанам которые и строят, и ломают, и коз пасут
33%
😎 Сам бани строю, мне только ответы посмотреть
Как временно отключить пользователя OpenVPN
OpenVPN остается одним из самых популярных VPN-решений как для соединения отдельных площадок, так и для удаленного доступа и время от времени требуется отключить какого-то из клиентов.
Так как OpenVPN использует аутентификацию посредством сертификатов, то отключить пользователя можно через отзыв сертификата.
👉 Как это сделать рассказано в нашей статье: Отзыв сертификатов пользователей в OpenVPN
Но следует помнить, что отзыв сертификата – процедура необратимая и если вам через некоторое время потребуется снова подключить этого пользователя, то потребуется заново выпустить для него сертификат и установить его на клиентский ПК, что не всегда удобно и оправдано.
А как быть со сценариями, если клиента требуется отключить временно? Скажем на время отпуска или для проведения профилактических работ, чтобы кто-нибудь посреди технологического окна не решил «подключиться к программе».
Понятно, что отзыв сертификата с последующим перевыпуском тут не подходит. В этом случае мы будем использовать файлы
Расположение таких файлов определяется одноименной опцией конфигурационного файла
Где
Для того, чтобы снова включить клиента достаточно закомментировать строку
Настройка будет действовать только после переподключения клиента, если требуется применить ее сразу, то перезапустите службу OpenVPN.
OpenVPN остается одним из самых популярных VPN-решений как для соединения отдельных площадок, так и для удаленного доступа и время от времени требуется отключить какого-то из клиентов.
Так как OpenVPN использует аутентификацию посредством сертификатов, то отключить пользователя можно через отзыв сертификата.
👉 Как это сделать рассказано в нашей статье: Отзыв сертификатов пользователей в OpenVPN
Но следует помнить, что отзыв сертификата – процедура необратимая и если вам через некоторое время потребуется снова подключить этого пользователя, то потребуется заново выпустить для него сертификат и установить его на клиентский ПК, что не всегда удобно и оправдано.
А как быть со сценариями, если клиента требуется отключить временно? Скажем на время отпуска или для проведения профилактических работ, чтобы кто-нибудь посреди технологического окна не решил «подключиться к программе».
Понятно, что отзыв сертификата с последующим перевыпуском тут не подходит. В этом случае мы будем использовать файлы
client-config-dir (ccd), которые позволяют передавать клиентам настройки в индивидуальном порядке.Расположение таких файлов определяется одноименной опцией конфигурационного файла
client-config-dir, а для отключения нам достаточно выполнить команду: echo “disable” >> /etc/openvpn/ccd/certname
Где
certname – имя сертификата конечного пользователя, а /etc/openvpn/ccd – типовое расположение client-config-dir. Для того, чтобы снова включить клиента достаточно закомментировать строку
disable в указанном файле. Настройка будет действовать только после переподключения клиента, если требуется применить ее сразу, то перезапустите службу OpenVPN.
👍20🔥4❤1
Взломы и их причины
В комментариях на выходных нас попросили написать о причинах взломов, которые были у наших клиентов и которые были выявлены при последующем аудите.
Начнем с того, что нет такой системы, которую бы невозможно было взломать, все выливается в затраты на взлом и возможную выгоду от такого взлома. Поэтому большинство предприятий малого и среднего бизнеса взломщикам не интересны.
Но, становиться на позицию Неуловимого Джо тоже не стоит, так как современный уровень развития технологий предполагает, что рядом деструктивных вещей занимаются боты, а им все равно, они не устают и кушать не просят.
А принцип там простой – грести всех под одну гребенку, может с кого-то и будет какая-то прибыль. При том что боты работают практически бесплатно.
И именно боты представляют для малого и среднего бизнеса основную угрозу, вместе с человеческим фактором, который является ключевым элементом большинства взломов и иных инцидентов безопасности.
1️⃣ Слабая политика паролей. По нашей статистике – это одна из основных причин взломов. Слабые пароли, словарные пароли, утекшие пароли. Это просто вопрос времени, боты не знают устали и рано или поздно такой пароль подберут.
Отдельная проблема современности – утекшие пароли, когда пользователь имеет один пароль от рабочей учетной записи и аккаунта в каком-нибудь сервисе, в итоге после очередной утечки или по недосмотру самого пользователя данный пароль утекает в сеть.
Все знают, что пароль должен быть длинным, сложным и периодически меняться, но далеко не у всех хватает сил и воли внедрить и поддерживать такую политику. Как правило все сводится в некоторому компромиссу, по которой надежными начинают считаться пароли типа 1Q2w3E4r$ или Dima2008!, что вкупе с сочетанием других факторов приводит к печальному результату.
Чаще всего нарушителями этой политики становятся топы, которым «не удобно» и которые «не хотят».
В таких случаях не следует выпускать в мир подобные сервисы, закрывайте их при помощи VPN не предусматривающих парольную аутентификацию, например, OpenVPN по сертификатам.
Также обязательно установите системы, выявляющие и блокирующие подбирающих пароли ботов. Да, занятие это довольно бестолковое, но даже снижение частоты подбора уже усиливает сложность пароля.
Кроме того, не забывайте их регулярно менять, запрещая использовать старые варианты. Иначе однажды будет подобран даже сложный, соответствующий политике пароль, который просто утек.
2️⃣ Уязвимые и снятые с поддержки системы. Что в принципе можно рассматривать как одно и тоже. Пальму первенства тут держат Windows 2003/2008 с RDP сервером на борту, а если такой сервер еще и является членом домена – то это вовсе праздник какой-то, а если еще и контроллером – то прямо фестиваль. Понятно, что не у вас.
Отсюда же пошло расхожее мнение, что RDP наружу выставлять нельзя. Что, в общем справедливо, особенно если добавить сюда первый пункт.
За старыми версиями Windows следуют ESXi (преимущественно пиратские) и Mikrotik. Софт популярный, уязвимости находятся регулярно, поэтому отсутствие обновлений фактически переводит такие системы в состав уязвимых.
Еще одной ошибкой является мнение, что внутри периметра это не имеет существенного значения. Только вот периметр сегодня – понятие очень размытое. Особенно в сценариях, когда пользователи могут работать удаленно и со своих устройств.
Не можете отказаться от использования таких систем – выносите их в DMZ, чтобы наружу были доступны только предоставляемые ими сервисы и те, желательно, через дополнительную аутентификацию.
Также не забываем, что в этом случае нам нужно не только изолировать уязвимые системы от сети, но и сеть от уязвимых систем, чтобы в случае, если их все-таки взломают злоумышленник остался в пределах DMZ, а не вырвался на просторы сети.
И не стоит делать их членами домена и использовать сквозную аутентификацию, даже если это неудобно. Очень многие сценарии развивались негативно именно по причине доступа взломщика к AD и последующем повышении полномочий.
В комментариях на выходных нас попросили написать о причинах взломов, которые были у наших клиентов и которые были выявлены при последующем аудите.
Начнем с того, что нет такой системы, которую бы невозможно было взломать, все выливается в затраты на взлом и возможную выгоду от такого взлома. Поэтому большинство предприятий малого и среднего бизнеса взломщикам не интересны.
Но, становиться на позицию Неуловимого Джо тоже не стоит, так как современный уровень развития технологий предполагает, что рядом деструктивных вещей занимаются боты, а им все равно, они не устают и кушать не просят.
А принцип там простой – грести всех под одну гребенку, может с кого-то и будет какая-то прибыль. При том что боты работают практически бесплатно.
И именно боты представляют для малого и среднего бизнеса основную угрозу, вместе с человеческим фактором, который является ключевым элементом большинства взломов и иных инцидентов безопасности.
1️⃣ Слабая политика паролей. По нашей статистике – это одна из основных причин взломов. Слабые пароли, словарные пароли, утекшие пароли. Это просто вопрос времени, боты не знают устали и рано или поздно такой пароль подберут.
Отдельная проблема современности – утекшие пароли, когда пользователь имеет один пароль от рабочей учетной записи и аккаунта в каком-нибудь сервисе, в итоге после очередной утечки или по недосмотру самого пользователя данный пароль утекает в сеть.
Все знают, что пароль должен быть длинным, сложным и периодически меняться, но далеко не у всех хватает сил и воли внедрить и поддерживать такую политику. Как правило все сводится в некоторому компромиссу, по которой надежными начинают считаться пароли типа 1Q2w3E4r$ или Dima2008!, что вкупе с сочетанием других факторов приводит к печальному результату.
Чаще всего нарушителями этой политики становятся топы, которым «не удобно» и которые «не хотят».
В таких случаях не следует выпускать в мир подобные сервисы, закрывайте их при помощи VPN не предусматривающих парольную аутентификацию, например, OpenVPN по сертификатам.
Также обязательно установите системы, выявляющие и блокирующие подбирающих пароли ботов. Да, занятие это довольно бестолковое, но даже снижение частоты подбора уже усиливает сложность пароля.
Кроме того, не забывайте их регулярно менять, запрещая использовать старые варианты. Иначе однажды будет подобран даже сложный, соответствующий политике пароль, который просто утек.
2️⃣ Уязвимые и снятые с поддержки системы. Что в принципе можно рассматривать как одно и тоже. Пальму первенства тут держат Windows 2003/2008 с RDP сервером на борту, а если такой сервер еще и является членом домена – то это вовсе праздник какой-то, а если еще и контроллером – то прямо фестиваль. Понятно, что не у вас.
Отсюда же пошло расхожее мнение, что RDP наружу выставлять нельзя. Что, в общем справедливо, особенно если добавить сюда первый пункт.
За старыми версиями Windows следуют ESXi (преимущественно пиратские) и Mikrotik. Софт популярный, уязвимости находятся регулярно, поэтому отсутствие обновлений фактически переводит такие системы в состав уязвимых.
Еще одной ошибкой является мнение, что внутри периметра это не имеет существенного значения. Только вот периметр сегодня – понятие очень размытое. Особенно в сценариях, когда пользователи могут работать удаленно и со своих устройств.
Не можете отказаться от использования таких систем – выносите их в DMZ, чтобы наружу были доступны только предоставляемые ими сервисы и те, желательно, через дополнительную аутентификацию.
Также не забываем, что в этом случае нам нужно не только изолировать уязвимые системы от сети, но и сеть от уязвимых систем, чтобы в случае, если их все-таки взломают злоумышленник остался в пределах DMZ, а не вырвался на просторы сети.
И не стоит делать их членами домена и использовать сквозную аутентификацию, даже если это неудобно. Очень многие сценарии развивались негативно именно по причине доступа взломщика к AD и последующем повышении полномочий.
👍37🔥13❤4
erid: 2W5zFHrMtMW
Каждый бизнес — это цепочка процессов: от продаж до производства, от логистики до поддержки клиентов. Но если процессы не оптимизированы, компания теряет время, деньги и конкурентные преимущества.
Зачем анализировать процессы?
✔️ Понять, как работает бизнес — визуализация помогает выявить слабые места.
✔️ Устранить потери — находите и убираете лишние действия, дублирование и задержки.
✔️ Стандартизировать работу — создавайте четкие регламенты для сотрудников.
✔️ Масштабироваться без хаоса — с ростом бизнеса сложно уследить за изменениями PIX Robotics предлагает простое решение — «Облако процессов». Это бесплатная облачная платформа для моделирования, анализа и улучшения бизнес-процессов.Почему стоит попробовать?
✔️ Работа из браузера — не требует установки, доступно из любой точки мира.
✔️ 5 нотаций для моделирования процессов разного уровня (BPMN, VAD, EPC, Workflow, ArchiMate) — подходят для любых задач.
✔️ Регламенты и реестры — вся информация в одном месте.
✔️ Импорт из .bpmn, .vsdx — не нужно рисовать заново.
✔️ Открытая База знаний — поможем разобраться с первых шагов.
👉 Попробуйте бесплатно
Каждый бизнес — это цепочка процессов: от продаж до производства, от логистики до поддержки клиентов. Но если процессы не оптимизированы, компания теряет время, деньги и конкурентные преимущества.
Зачем анализировать процессы?
✔️ Понять, как работает бизнес — визуализация помогает выявить слабые места.
✔️ Устранить потери — находите и убираете лишние действия, дублирование и задержки.
✔️ Стандартизировать работу — создавайте четкие регламенты для сотрудников.
✔️ Масштабироваться без хаоса — с ростом бизнеса сложно уследить за изменениями PIX Robotics предлагает простое решение — «Облако процессов». Это бесплатная облачная платформа для моделирования, анализа и улучшения бизнес-процессов.Почему стоит попробовать?
✔️ Работа из браузера — не требует установки, доступно из любой точки мира.
✔️ 5 нотаций для моделирования процессов разного уровня (BPMN, VAD, EPC, Workflow, ArchiMate) — подходят для любых задач.
✔️ Регламенты и реестры — вся информация в одном месте.
✔️ Импорт из .bpmn, .vsdx — не нужно рисовать заново.
✔️ Открытая База знаний — поможем разобраться с первых шагов.
👉 Попробуйте бесплатно
🤮3👍1