Алексей КомаровПосты в блоге
Свежие посты
По годам
По датам
24
Апреля
2020
» Дайджест КИИ 187-ФЗ 2020-17
Если бы не ФСТЭК России, Википедия и Алексей Лукацкий, то сегодняшний Дайджест КИИ был бы совсем скучный =)
17
Апреля
2020
» Дайджест КИИ 187-ФЗ 2020-16
Публикации в СМИ, пресс-релизы и подборка мнений о новом проекте методики моделирования угроз в Дайджесте КИИ 187-ФЗ
10
Апреля
2020
» Дайджест КИИ 187-ФЗ 2020-15
Методика моделирования угроз от ФСТЭК России - центральная тема недели и очередного Дайджеста КИИ
03
Апреля
2020
» Дайджест КИИ 187-ФЗ 2020-14
Пока в стране продолжаются "карантикулы", подводим итоги первой нерабочей рабочей недели в Дайджесте КИИ
27
Марта
2020
» Дайджест КИИ 187-ФЗ 2020-13
Заканчивается 13 неделя этого непростого года. В Дайджесте КИИ рекомендации регуляторов (по дистанционной работе), публикации СМИ, пресс-релизы и посты из блогов и соцсервисов.
03
Марта
2020
» Ваши селфи в ваших руках
Волею судеб близко познакомился с некоторыми особенностями оказания аутсорсинговых услуг одним из сервисов (Сервис) вот с таким красивым рекламным слоганом:
05
Января
2020
» Чаты и каналы Telegram по информационной безопасности 2020
Добавлено 18.01.2021 Обновлённая версия от 2021 года: Чаты и каналы Telegram по информационной безопасности 2021
02
Октября
2019
» Реализация мер ИАФ из приказа ФСТЭК №239
Прощаемся с Дайджестами КИИ 187-ФЗ.
08
Августа
2019
» Таблица с мерами из приказов ФСТЭК
Прощаемся с Дайджестами КИИ 187-ФЗ.
06
Августа
2019
» Персональный VPN-сервер с возможностью подключения штатными средствами
Написанный более двух лет назад мини-гайд Как настроить свой личный VPN-сервер за час-другой? всё ещё актуален и, судя по статистике использования приведённой в том посте реферальной ссылки (давала $10 на счёт в Digital Ocean), остаётся популярным и продолжает приносить пользу читателям. Описанный мной ранее способ разворачивания личного VPN-сервера на базе OpenVPN с успехом прослужил мне года полтора, пока не нашлось ещё более изящного решения. О нём и расскажу. Вот что потребуется сделать, если быть кратким: Удостовериться, что вас не пугает командная строка. Создать аккаунт на Digital Ocean. Настроить IKEv2 VPN Server. Настроить штатные VPN клиенты в Windows, macOS, iOS и/или Android. Наслаждаться персональным VPN-сервером за $5/месяц. Первый шаг - регистрация на Digital Ocean По обновлённым правилам реферальной программы Digital Ocean теперь при регистрации по реферальной ссылке предоставляется $50 на 30 дней: https://m.do.co/c/f27f98d20847 $50 на 30 дней Для этого после регистрации по приведённой ссылке нужно будет указать данные своей банковской карты либо внести как минимум $5 через PayPal. Второй вариант удобнее тем, что в PayPal без проблем можно привязать виртуальную банковскую карту. Банковская карта или PayPal Что точно ещё рекомендую сделать после регистрации, даже если в конечном итоге платежи будут проходить через виртуальную карту с жёстким (или вовсе нулевым) лимитом на транзакции, так это настроить в личном кабинете Digital Ocean двухфакторную аутентификацию, пройдя по ссылке: https://cloud.digitalocean.com/account/security 2FA Второй шаг - создание сервера и настройка IKEv2 VPN Server на базе StrongSwan в Ubuntu 18.04 Создать сервер (Droplet) в Digital Ocean можно буквально в пару кликов. Создание Droplet На счету $50 (или $55, если пополняли через PayPal), но для персонального использования достаточно самого простого варианта стоимостью $5 в месяц. Все последующие шаги подробнейшим образом описаны в руководстве How to Set Up an IKEv2 VPN Server with StrongSwan on Ubuntu 18.04 в шагах с первого по шестой. Третий шаг - настройка VPN-клиентов Самое приятное в варианте со StrongSwan (в отличие от OpenVPN) - это возможность использовать штатный VPN-клиент во многих современных операционных системах. Сама настройка достаточно проста и в уже упомянутом выше руководстве уместилась в один финальный седьмой шаг: Step 7 - Testing the VPN Connection. Отсутствие необходимости устанавливать дополнительное программное обеспечение на ноутбуке/компьютере/мобильном устройстве не только упрощает жизнь (меньше настроек, нет необходимости следить за своевременным обновлением клиента), но и в том числе сужает общую поверхность атаки для потенциального злоумышленника: на клиентских устройствах достаточно следить за своевременной установкой патчей для системного ПО, не заботясь отдельно о VPN-клиенте. C точки зрения пользовательского удобства штатный (интерфейсно более простой) клиент тоже может оказаться лучше: два клика или три тапа - и вот VPN уже работает, позволяя спокойно смотреть презентации на заблокированном SlideShare. В случае с iOS дополнительно появляется возможность включить режим принудительного постоянного использования VPN-подключения. Правда, для этого потребуются некоторые махинации с Apple Configurator 2 (доступен только для macOS), а само устройство надо будет перевести в контролируемый (supervised) режим. В определённых случаях это может быть удобно, но не сказал бы, что такой вариант является широко рекомендуемым: если ваше iOS-устройство с принудительным VPN-подключением окажется единственным способом выхода в сеть Интернет, а развёрнутый VPN-сервер вдруг перестанет корректно работать, то не будет возможности подключиться к нему для исправления ситуации иначе, как удалением профиля с VPN. Другой нюанс состоит в том, что у многих сотовых операторов есть специальные пакетные опции для трафика определённого типа - например, безлимитные соцсети или мессенджеры за фиксированную месячную плату. Понятно, что при постоянном VPN-соединении весь трафик будет идти на один IP-адрес, в том числе и тот трафик, что должен был бы тарифицироваться как льготный. —- Наверное, можно было бы этот пост не писать, дав просто ссылку на готовое руководство от Digital Ocean, но, во-первых, как бы тогда я дал реферальную ссылку =) А во-вторых, хотелось поделиться именно личным мнением, основанным на успешном опыте практического использования рассмотренного варианта. Почти год использования - полёт нормальный, нареканий нет. —- Ссылки по теме: Как настроить свой личный VPN-сервер за час-другой? How to Set Up an IKEv2 VPN Server with StrongSwan on Ubuntu 18.04 IPSec VPN для OS X и iOS. Без боли VPN везде и всюду: IPsec без L2TP со strongSwan PPTP vs L2TP vs OpenVPN vs SSTP
Если бы не ФСТЭК России, Википедия и Алексей Лукацкий, то сегодняшний Дайджест КИИ был бы совсем скучный =)
Публикации в СМИ, пресс-релизы и подборка мнений о новом проекте методики моделирования угроз в Дайджесте КИИ 187-ФЗ
Методика моделирования угроз от ФСТЭК России - центральная тема недели и очередного Дайджеста КИИ
Пока в стране продолжаются "карантикулы", подводим итоги первой нерабочей рабочей недели в Дайджесте КИИ
Заканчивается 13 неделя этого непростого года. В Дайджесте КИИ рекомендации регуляторов (по дистанционной работе), публикации СМИ, пресс-релизы и посты из блогов и соцсервисов.
Волею судеб близко познакомился с некоторыми особенностями оказания аутсорсинговых услуг одним из сервисов (Сервис) вот с таким красивым рекламным слоганом:
Добавлено 18.01.2021 Обновлённая версия от 2021 года: Чаты и каналы Telegram по информационной безопасности 2021
Прощаемся с Дайджестами КИИ 187-ФЗ.
Прощаемся с Дайджестами КИИ 187-ФЗ.
Написанный более двух лет назад мини-гайд Как настроить свой личный VPN-сервер за час-другой? всё ещё актуален и, судя по статистике использования приведённой в том посте реферальной ссылки (давала $10 на счёт в Digital Ocean), остаётся популярным и продолжает приносить пользу читателям. Описанный мной ранее способ разворачивания личного VPN-сервера на базе OpenVPN с успехом прослужил мне года полтора, пока не нашлось ещё более изящного решения. О нём и расскажу. Вот что потребуется сделать, если быть кратким: Удостовериться, что вас не пугает командная строка. Создать аккаунт на Digital Ocean. Настроить IKEv2 VPN Server. Настроить штатные VPN клиенты в Windows, macOS, iOS и/или Android. Наслаждаться персональным VPN-сервером за $5/месяц. Первый шаг - регистрация на Digital Ocean По обновлённым правилам реферальной программы Digital Ocean теперь при регистрации по реферальной ссылке предоставляется $50 на 30 дней: https://m.do.co/c/f27f98d20847 $50 на 30 дней Для этого после регистрации по приведённой ссылке нужно будет указать данные своей банковской карты либо внести как минимум $5 через PayPal. Второй вариант удобнее тем, что в PayPal без проблем можно привязать виртуальную банковскую карту. Банковская карта или PayPal Что точно ещё рекомендую сделать после регистрации, даже если в конечном итоге платежи будут проходить через виртуальную карту с жёстким (или вовсе нулевым) лимитом на транзакции, так это настроить в личном кабинете Digital Ocean двухфакторную аутентификацию, пройдя по ссылке: https://cloud.digitalocean.com/account/security 2FA Второй шаг - создание сервера и настройка IKEv2 VPN Server на базе StrongSwan в Ubuntu 18.04 Создать сервер (Droplet) в Digital Ocean можно буквально в пару кликов. Создание Droplet На счету $50 (или $55, если пополняли через PayPal), но для персонального использования достаточно самого простого варианта стоимостью $5 в месяц. Все последующие шаги подробнейшим образом описаны в руководстве How to Set Up an IKEv2 VPN Server with StrongSwan on Ubuntu 18.04 в шагах с первого по шестой. Третий шаг - настройка VPN-клиентов Самое приятное в варианте со StrongSwan (в отличие от OpenVPN) - это возможность использовать штатный VPN-клиент во многих современных операционных системах. Сама настройка достаточно проста и в уже упомянутом выше руководстве уместилась в один финальный седьмой шаг: Step 7 - Testing the VPN Connection. Отсутствие необходимости устанавливать дополнительное программное обеспечение на ноутбуке/компьютере/мобильном устройстве не только упрощает жизнь (меньше настроек, нет необходимости следить за своевременным обновлением клиента), но и в том числе сужает общую поверхность атаки для потенциального злоумышленника: на клиентских устройствах достаточно следить за своевременной установкой патчей для системного ПО, не заботясь отдельно о VPN-клиенте. C точки зрения пользовательского удобства штатный (интерфейсно более простой) клиент тоже может оказаться лучше: два клика или три тапа - и вот VPN уже работает, позволяя спокойно смотреть презентации на заблокированном SlideShare. В случае с iOS дополнительно появляется возможность включить режим принудительного постоянного использования VPN-подключения. Правда, для этого потребуются некоторые махинации с Apple Configurator 2 (доступен только для macOS), а само устройство надо будет перевести в контролируемый (supervised) режим. В определённых случаях это может быть удобно, но не сказал бы, что такой вариант является широко рекомендуемым: если ваше iOS-устройство с принудительным VPN-подключением окажется единственным способом выхода в сеть Интернет, а развёрнутый VPN-сервер вдруг перестанет корректно работать, то не будет возможности подключиться к нему для исправления ситуации иначе, как удалением профиля с VPN. Другой нюанс состоит в том, что у многих сотовых операторов есть специальные пакетные опции для трафика определённого типа - например, безлимитные соцсети или мессенджеры за фиксированную месячную плату. Понятно, что при постоянном VPN-соединении весь трафик будет идти на один IP-адрес, в том числе и тот трафик, что должен был бы тарифицироваться как льготный. —- Наверное, можно было бы этот пост не писать, дав просто ссылку на готовое руководство от Digital Ocean, но, во-первых, как бы тогда я дал реферальную ссылку =) А во-вторых, хотелось поделиться именно личным мнением, основанным на успешном опыте практического использования рассмотренного варианта. Почти год использования - полёт нормальный, нареканий нет. —- Ссылки по теме: Как настроить свой личный VPN-сервер за час-другой? How to Set Up an IKEv2 VPN Server with StrongSwan on Ubuntu 18.04 IPSec VPN для OS X и iOS. Без боли VPN везде и всюду: IPsec без L2TP со strongSwan PPTP vs L2TP vs OpenVPN vs SSTP