Кабинет. В нём два компьютера.
Один (winxp) смотрит в (и)нтернет. Второй (win7) в изолированную сетку под (в)ипнетом. Задача — удалённо влезать в изолированную сеть через инет.

Решение в лоб: поставить вторую сетевую карту в (и)-комп, поднять на нём вмварю с випнетом, подключаться каким-нибудь тимвьювером. Но это как-то коряво очень. Как проще всего прокрутить это дело?

Tagged with →  

51 Responses to Кабинет.

  1. SicSwet:

    Не покарают ли повелители когда станет им известно о таком их воле противном поступке?

  2. TkaWin:

    Сетка под випнетом замыкается на правительство области. Физически хосты в трех разных городах — по каждому чиху не наездишься. У меня есть в то же самое правительство служебная линия, но другая подсеть. Говорю им — дайте роутинг, буду ходить в рамках вашей закрытой подсети. Нет, не дают, ведь подсети для разных управлений. А кто будет ездить? А их не ебёт. Ну, не ебёт — значит пробью дырку снизу.

  3. TosTunes:

    Модем 3g поставь на ту машинку и влазий сколько угодно 🙂

  4. SicSwet:

    они новые подключения не палят?

  5. Flued:

    А нельзя впендюрить ещё одну сетевуху в машину с випнетом, одну в машину с интернетом и сделать их в третьей подсети?
    Ну, да, железок на одну больше, зато меньше гемора с вмваре и в випнет добавлять ничо не надо? М?

  6. SicSwet:

    можно роутер поставить и все сети соединить. как раз четыре дырки хватит

  7. Flued:

    я думаю, что этот способ не подойдёт, так как если это госучреждение, то внутренняя сеть не должна быть соединена с интернетом. По крайней мере не так, напрямую через роутер.

  8. TkaWin:

    машина с випнетом — моноблок.

  9. Flued:

    Я не понял, ты чей друг, мой или медведя? 🙂

    Я так понимаю, что с 3г вариант тоже не прокатит, да?
    Ну, может, такая пепяка спасёт отца русской демократии?

  10. TkaWin:

    думаю снять образ с випнет-машины, и заходить, как существующий клиент.

  11. TkaWin:

    да, самый простой вариант. Нету его.

  12. SicSwet:

    чувак и так наверняка нарушает внутренние документы организации и вероятно ворох подписанный им. Если там вдруг гос. тайна и его обнаружат — расстреляют прямо в ближайшем туалете.

  13. TkaWin:

    не, никакой гостайны, я не настолько ебанутый. Обычная ИСПДн.

  14. SicSwet:

    тогда выведут на улицу и выпорят.

    Я к тому, что если какая хрень случится и допустим кто то из внутренней сети вдруг выйдет в вконтактик или китайские хакеры похитят фото с корпоративного празднования хануки, то вероятно ОНИ смогут опечалить допустившего такой страшный проступок.

    И тимвьювером не нужно подключаться. Это как то совсем уж наплевательски.

    Если есть бабло лучше подумать о IPKVM. Так хоть физической связи сетей не будет.

  15. EcnTunes:

    если неявно — может IPKVM тебя спасет. Безопасники тебя всё равно расстреляют, но обнаруживать будут дольше

  16. RepZero:

    я как инженер связанный с инф. безопасностью в госучреждении предрекаю тебе атата, причем вполне справедливое.

  17. TkaWin:

    так я сам и есть инженер по информационной безопасности. Ха-ха.

  18. TkaWin:

    да там всем реально всё равно. Двенадцать лет вообще без всякой защиты компы эти стояли. А потом решили заебенить единую закрытую сеть — что, безусловно, правильно. Но админить с головы никто её не хочет. Яисторически обслуживал это направление, которое теперь даже не наше организационно. Так что в случае чего покерфейс, ничего не видел и не делал — меня там как бы и нет.

  19. TkaWin:

    как меня обнаружат безопасники? На шлюз випнета будет авторизовываться легальный клиент с актуальной связкой ключей, получать айпишник, и сидеть себе тихонько в углу. Только это будет виртуальная машина, вот и всё.

  20. RepZero:

    я просто к тому что над инженером есть еще люди

  21. RepZero:

    да я тоже, поэтому и говорю 🙂 У нас это просто всё довольно серьезно контролируется всякими неприятными органами. Но у нас сертификация ФСТЭК К1, и правда есть что спиздить.

  22. TkaWin:

    у нас идиотизм в этом плане полный. Начальник моботдела уволился, инженер уволился, мне предложили место — недельные курсы на корочку — и вот я сижу, второй месяц охуеваю от объема бюрократии, и вообще не очень хорошо понимаю, что нужно делать. Консультироваться не с кем, звонки в соседние города мобистам не помогают, регуляторы хотят денег за любой чих, а я боюсь даже близко к кз подходить без понимания вопроса. Мрак.

  23. SicSwet:

    можно следить за новыми маками в сети. Наверняка есть и другие способы.

  24. SicSwet:

    а правда в организациях с ФСТЭК К1 есть, предусмотренные проектом, помещения для расстрелов?

  25. TkaWin:

    Но так-то конечно всего лишь К-3, два месяца до допуска, время есть мануалы покурить, не переживаю сильно. Но сложно без живой консультации пиздец как.

  26. TkaWin:

    можно, но зачем. Проект полумёртвый, там два человека его курируют, и то очень вяло.

  27. EcnTunes:

    например настроить циску так, чтобы она клала интерфейс на котором появился незареганный мак и репортила. Второй вариант — отслеживать появление нового ПО на машине. DLP на другом конце шлюза опять таки может быть.

  28. TkaWin:

    официально я там вообще не числюсь. Подключаться планирую нерегулярно, на 20-30 минут, по личной просьбе тёток, там работающих. А прихватят — ну, зарешаем как-нибудь.

  29. Gibno:

    дык тетки тебя и спалят, скорее всего даже без злого умысла.

  30. Gibno:

    классификаций К1-К4 давно не существует. Безопасники, блин, собрались.

  31. TkaWin:

    уведомление об обработке данных роскомнадзора свидетельствует об обратном (ctrl+f «класс информационной системы»).

  32. TkaWin:

    ну и ПП РФ №1119 вроде никто не отменял.

  33. RepZero:

    ахаха, ок 🙂

  34. RepZero:

    от обилия бюрократии ты еще охуеешь, бро

  35. RepZero:

    у нас даже гильотина своя есть!

  36. Gibno:

    ты хоть читаешь документы, которые используешь в работе? Читай актуальный текст 152-ФЗ и действующих подзаконных актов. Никаких классов не существует.

  37. Gibno:

    еще один. Читай документы, твои воспоминания о прошлом устарели. Кэш, так сказать, протух.

  38. Gibno:

    кликабле, для ленивых.

  39. TkaWin:

    читаю всё, до чего могу дотянуться. Я же выше описал, какой у меня пиздец в плане актуализации — элементарные вопросы задать некому.

  40. TkaWin:

    были классы, стали уровни.

  41. RepZero:

    как только ты донесешь эту же мысль до собсно самого ФСТЭК, ФСБ, МинОбрНауки, РосОбрНадзора и моих локальных министерств, я с тобой конечно же соглашусь.

  42. RepZero:

    потрясающие изменения! Просто офигеть ! Все их как классами называли так и называют.

  43. Gibno:

    facepalm.jpg
    уровне не классам на замену пришли.

  44. Gibno:

    эта мысль только до тебя еще не дошла, остальные как бы в курсе.

  45. RepZero:

    как бы это ничего не меняет абсолютно.

  46. Gibno:

    ок, продолжай так думать, ничего страшного.

  47. TkaWin:

    да прекрати, блин, издеваться. 5 типов ИСПДн, 4 уровня защищенности, 3 типа угроз безопасности. При этом классы так и остались для систем, введённых в строй ранее. Мне так на курсах сказали )

  48. Gibno:

    для введенных ранее остались, но только до переатестации.

  49. AHOSport:

    если это випнет от инфотекса, то клонированный клиент палится на ура по логам на шлюзе (естественно на випнет шлюзе).

  50. IriZlo:

    А если не через интернет?
    Если у тебя под рукой есть тачка, подключенная к той же випнет-сети, то ты спокойно можешь по ней стучаться до тех остальных тачек по тому же RDP(в випнете даже кнопочка спецаильная есть для этого). ну или на крайняк купить еще одного клиента и подключить одну тачку в эту сеть. обоснование — «Обеспечение своевременной технической поддержки и обслуживания оборудования, на котором производится обработка ПДн». Если вдруг уж нет связности между тачками — это лезтепишите в ЦУС и смотрите связи. обоснование выше. абсолютно честное и

    Вариант IPKVM вполне годен кстати по логике своей работы. но желательно сертифицированный [sic] и по защищенным каналам связи. Но в любом случае — фигни с виртуалками и вторыми сетевухами лучше не творить. Инфотексовский драйвер штука крайне глюкавая и нестабильная.

    не стоит нарушать регламенты использования СЗИ и прочие рекомендации ФСТЭК и ФСБ. Особенно в госструктурах. ))

  51. TkaWin:

    в том и дело, что у меня под рукой такой тачки нет. Была бы — придумал бы что-нибудь. А регламенты… я знаю минимум десять муниципальных организаций, в которых даже ответственных лиц за испдн не назначено. Нет положения о защите — нечего и нарушать, хех.
    Вообще я склонился к предложенному варианту с 3g модемом. IPKVM хорошо, но мне его не купят.

Добавить комментарий