Алексей КомаровПосты в блоге
Свежие посты
По годам
По датам
17
Апреля
2020
» Дайджест КИИ 187-ФЗ 2020-16
Публикации в СМИ, пресс-релизы и подборка мнений о новом проекте методики моделирования угроз в Дайджесте КИИ 187-ФЗ
10
Апреля
2020
» Дайджест КИИ 187-ФЗ 2020-15
Методика моделирования угроз от ФСТЭК России - центральная тема недели и очередного Дайджеста КИИ
03
Апреля
2020
» Дайджест КИИ 187-ФЗ 2020-14
Пока в стране продолжаются "карантикулы", подводим итоги первой нерабочей рабочей недели в Дайджесте КИИ
27
Марта
2020
» Дайджест КИИ 187-ФЗ 2020-13
Заканчивается 13 неделя этого непростого года. В Дайджесте КИИ рекомендации регуляторов (по дистанционной работе), публикации СМИ, пресс-релизы и посты из блогов и соцсервисов.
05
Января
2020
» Чаты и каналы Telegram по информационной безопасности 2020
Добавлено 18.01.2021 Обновлённая версия от 2021 года: Чаты и каналы Telegram по информационной безопасности 2021
06
Августа
2019
» Персональный VPN-сервер с возможностью подключения штатными средствами
Написанный более двух лет назад мини-гайд Как настроить свой личный VPN-сервер за час-другой? всё ещё актуален и, судя по статистике использования приведённой в том посте реферальной ссылки (давала $10 на счёт в Digital Ocean), остаётся популярным и продолжает приносить пользу читателям. Описанный мной ранее способ разворачивания личного VPN-сервера на базе OpenVPN с успехом прослужил мне года полтора, пока не нашлось ещё более изящного решения. О нём и расскажу. Вот что потребуется сделать, если быть кратким: Удостовериться, что вас не пугает командная строка. Создать аккаунт на Digital Ocean. Настроить IKEv2 VPN Server. Настроить штатные VPN клиенты в Windows, macOS, iOS и/или Android. Наслаждаться персональным VPN-сервером за $5/месяц. Первый шаг - регистрация на Digital Ocean По обновлённым правилам реферальной программы Digital Ocean теперь при регистрации по реферальной ссылке предоставляется $50 на 30 дней: https://m.do.co/c/f27f98d20847 $50 на 30 дней Для этого после регистрации по приведённой ссылке нужно будет указать данные своей банковской карты либо внести как минимум $5 через PayPal. Второй вариант удобнее тем, что в PayPal без проблем можно привязать виртуальную банковскую карту. Банковская карта или PayPal Что точно ещё рекомендую сделать после регистрации, даже если в конечном итоге платежи будут проходить через виртуальную карту с жёстким (или вовсе нулевым) лимитом на транзакции, так это настроить в личном кабинете Digital Ocean двухфакторную аутентификацию, пройдя по ссылке: https://cloud.digitalocean.com/account/security 2FA Второй шаг - создание сервера и настройка IKEv2 VPN Server на базе StrongSwan в Ubuntu 18.04 Создать сервер (Droplet) в Digital Ocean можно буквально в пару кликов. Создание Droplet На счету $50 (или $55, если пополняли через PayPal), но для персонального использования достаточно самого простого варианта стоимостью $5 в месяц. Все последующие шаги подробнейшим образом описаны в руководстве How to Set Up an IKEv2 VPN Server with StrongSwan on Ubuntu 18.04 в шагах с первого по шестой. Третий шаг - настройка VPN-клиентов Самое приятное в варианте со StrongSwan (в отличие от OpenVPN) - это возможность использовать штатный VPN-клиент во многих современных операционных системах. Сама настройка достаточно проста и в уже упомянутом выше руководстве уместилась в один финальный седьмой шаг: Step 7 - Testing the VPN Connection. Отсутствие необходимости устанавливать дополнительное программное обеспечение на ноутбуке/компьютере/мобильном устройстве не только упрощает жизнь (меньше настроек, нет необходимости следить за своевременным обновлением клиента), но и в том числе сужает общую поверхность атаки для потенциального злоумышленника: на клиентских устройствах достаточно следить за своевременной установкой патчей для системного ПО, не заботясь отдельно о VPN-клиенте. C точки зрения пользовательского удобства штатный (интерфейсно более простой) клиент тоже может оказаться лучше: два клика или три тапа - и вот VPN уже работает, позволяя спокойно смотреть презентации на заблокированном SlideShare. В случае с iOS дополнительно появляется возможность включить режим принудительного постоянного использования VPN-подключения. Правда, для этого потребуются некоторые махинации с Apple Configurator 2 (доступен только для macOS), а само устройство надо будет перевести в контролируемый (supervised) режим. В определённых случаях это может быть удобно, но не сказал бы, что такой вариант является широко рекомендуемым: если ваше iOS-устройство с принудительным VPN-подключением окажется единственным способом выхода в сеть Интернет, а развёрнутый VPN-сервер вдруг перестанет корректно работать, то не будет возможности подключиться к нему для исправления ситуации иначе, как удалением профиля с VPN. Другой нюанс состоит в том, что у многих сотовых операторов есть специальные пакетные опции для трафика определённого типа - например, безлимитные соцсети или мессенджеры за фиксированную месячную плату. Понятно, что при постоянном VPN-соединении весь трафик будет идти на один IP-адрес, в том числе и тот трафик, что должен был бы тарифицироваться как льготный. —- Наверное, можно было бы этот пост не писать, дав просто ссылку на готовое руководство от Digital Ocean, но, во-первых, как бы тогда я дал реферальную ссылку =) А во-вторых, хотелось поделиться именно личным мнением, основанным на успешном опыте практического использования рассмотренного варианта. Почти год использования - полёт нормальный, нареканий нет. —- Ссылки по теме: Как настроить свой личный VPN-сервер за час-другой? How to Set Up an IKEv2 VPN Server with StrongSwan on Ubuntu 18.04 IPSec VPN для OS X и iOS. Без боли VPN везде и всюду: IPsec без L2TP со strongSwan PPTP vs L2TP vs OpenVPN vs SSTP
19
Июня
2019
» След смерти
Проходная книга, случайно оказавшаяся в моей коллекции.
16
Июня
2019
» Мы
«Если они не поймут, что мы несем им математически безошибочное счастье, наш долг заставить их быть счастливыми.»
14
Июня
2019
» Дайджест КИИ 187-ФЗ 2019-24
Безопасность критической информационной инфраструктуры. События. Новости. Главное.
07
Июня
2019
» Дайджест КИИ 187-ФЗ 2019-23
Безопасность критической информационной инфраструктуры. События. Новости. Главное.
Публикации в СМИ, пресс-релизы и подборка мнений о новом проекте методики моделирования угроз в Дайджесте КИИ 187-ФЗ
Методика моделирования угроз от ФСТЭК России - центральная тема недели и очередного Дайджеста КИИ
Пока в стране продолжаются "карантикулы", подводим итоги первой нерабочей рабочей недели в Дайджесте КИИ
Заканчивается 13 неделя этого непростого года. В Дайджесте КИИ рекомендации регуляторов (по дистанционной работе), публикации СМИ, пресс-релизы и посты из блогов и соцсервисов.
Добавлено 18.01.2021 Обновлённая версия от 2021 года: Чаты и каналы Telegram по информационной безопасности 2021
Написанный более двух лет назад мини-гайд Как настроить свой личный VPN-сервер за час-другой? всё ещё актуален и, судя по статистике использования приведённой в том посте реферальной ссылки (давала $10 на счёт в Digital Ocean), остаётся популярным и продолжает приносить пользу читателям. Описанный мной ранее способ разворачивания личного VPN-сервера на базе OpenVPN с успехом прослужил мне года полтора, пока не нашлось ещё более изящного решения. О нём и расскажу. Вот что потребуется сделать, если быть кратким: Удостовериться, что вас не пугает командная строка. Создать аккаунт на Digital Ocean. Настроить IKEv2 VPN Server. Настроить штатные VPN клиенты в Windows, macOS, iOS и/или Android. Наслаждаться персональным VPN-сервером за $5/месяц. Первый шаг - регистрация на Digital Ocean По обновлённым правилам реферальной программы Digital Ocean теперь при регистрации по реферальной ссылке предоставляется $50 на 30 дней: https://m.do.co/c/f27f98d20847 $50 на 30 дней Для этого после регистрации по приведённой ссылке нужно будет указать данные своей банковской карты либо внести как минимум $5 через PayPal. Второй вариант удобнее тем, что в PayPal без проблем можно привязать виртуальную банковскую карту. Банковская карта или PayPal Что точно ещё рекомендую сделать после регистрации, даже если в конечном итоге платежи будут проходить через виртуальную карту с жёстким (или вовсе нулевым) лимитом на транзакции, так это настроить в личном кабинете Digital Ocean двухфакторную аутентификацию, пройдя по ссылке: https://cloud.digitalocean.com/account/security 2FA Второй шаг - создание сервера и настройка IKEv2 VPN Server на базе StrongSwan в Ubuntu 18.04 Создать сервер (Droplet) в Digital Ocean можно буквально в пару кликов. Создание Droplet На счету $50 (или $55, если пополняли через PayPal), но для персонального использования достаточно самого простого варианта стоимостью $5 в месяц. Все последующие шаги подробнейшим образом описаны в руководстве How to Set Up an IKEv2 VPN Server with StrongSwan on Ubuntu 18.04 в шагах с первого по шестой. Третий шаг - настройка VPN-клиентов Самое приятное в варианте со StrongSwan (в отличие от OpenVPN) - это возможность использовать штатный VPN-клиент во многих современных операционных системах. Сама настройка достаточно проста и в уже упомянутом выше руководстве уместилась в один финальный седьмой шаг: Step 7 - Testing the VPN Connection. Отсутствие необходимости устанавливать дополнительное программное обеспечение на ноутбуке/компьютере/мобильном устройстве не только упрощает жизнь (меньше настроек, нет необходимости следить за своевременным обновлением клиента), но и в том числе сужает общую поверхность атаки для потенциального злоумышленника: на клиентских устройствах достаточно следить за своевременной установкой патчей для системного ПО, не заботясь отдельно о VPN-клиенте. C точки зрения пользовательского удобства штатный (интерфейсно более простой) клиент тоже может оказаться лучше: два клика или три тапа - и вот VPN уже работает, позволяя спокойно смотреть презентации на заблокированном SlideShare. В случае с iOS дополнительно появляется возможность включить режим принудительного постоянного использования VPN-подключения. Правда, для этого потребуются некоторые махинации с Apple Configurator 2 (доступен только для macOS), а само устройство надо будет перевести в контролируемый (supervised) режим. В определённых случаях это может быть удобно, но не сказал бы, что такой вариант является широко рекомендуемым: если ваше iOS-устройство с принудительным VPN-подключением окажется единственным способом выхода в сеть Интернет, а развёрнутый VPN-сервер вдруг перестанет корректно работать, то не будет возможности подключиться к нему для исправления ситуации иначе, как удалением профиля с VPN. Другой нюанс состоит в том, что у многих сотовых операторов есть специальные пакетные опции для трафика определённого типа - например, безлимитные соцсети или мессенджеры за фиксированную месячную плату. Понятно, что при постоянном VPN-соединении весь трафик будет идти на один IP-адрес, в том числе и тот трафик, что должен был бы тарифицироваться как льготный. —- Наверное, можно было бы этот пост не писать, дав просто ссылку на готовое руководство от Digital Ocean, но, во-первых, как бы тогда я дал реферальную ссылку =) А во-вторых, хотелось поделиться именно личным мнением, основанным на успешном опыте практического использования рассмотренного варианта. Почти год использования - полёт нормальный, нареканий нет. —- Ссылки по теме: Как настроить свой личный VPN-сервер за час-другой? How to Set Up an IKEv2 VPN Server with StrongSwan on Ubuntu 18.04 IPSec VPN для OS X и iOS. Без боли VPN везде и всюду: IPsec без L2TP со strongSwan PPTP vs L2TP vs OpenVPN vs SSTP
Проходная книга, случайно оказавшаяся в моей коллекции.
«Если они не поймут, что мы несем им математически безошибочное счастье, наш долг заставить их быть счастливыми.»
Безопасность критической информационной инфраструктуры. События. Новости. Главное.
Безопасность критической информационной инфраструктуры. События. Новости. Главное.