[kaeskat]

On 6/28/2022 at 2:35 PM, Nickuz said:

так вы и не отключайте. СКФ - она же на стороне РТ, пусть у них и жужжит.

Напомню что СКФ работает для рабочих мест, выборочно. Даже сам РТК в своих регламентах разделяет на компьютеры учащихся и компьютеры административного персонала, без доступа детей, на которых СКФ может быть отключена по необходимости, есть соответствующие акты приемки настройки и работы обоих вариантов.

Причем сделано это на основании ТЗ министерства, т.к. изначально было понятно, что через прокси у административного персонала ничего нормально работать не будет.

А вот теперь нам говорят что фигня это всё, СКФ должен быть включен для всех компьютеров без исключений.

 

 

[Nickuz]

В 28.06.2022 в 16:48, kaeskat сказал:

Причем сделано это на основании ТЗ министерства, т.к. изначально было понятно, что через прокси у административного персонала ничего нормально работать не будет.

А вот теперь нам говорят что фигня это всё, СКФ должен быть включен для всех компьютеров без исключений.

Министерство до сих пор не понимает. Поэтому - больше бумаги, меньше форумов.

"В соответствии с вашей указявкой № от в ОО была подключена и принята по акту № от система контентной фильтрации. Согласно акту услуга работоспособна и соответствует требованиям госконтракта. хх.хх.хх в уу:уу с компьютера с IP-адресом 10.а.б.с была предпринята попытка обращения к ресурсу https://самыйважныйотчёт, на что получен отлуп (фото отлупа прилагаем). При обращении в техническую поддержку (номер обращения defghj) было предложено отключить СКФ для данного адреса, что противоречит указявке № от. Прошу в срок до kk.ll.mm (срок сдачи отчёта на ресурсе https://самыйважныйотчёт) сообщить о возможности отключения СКФ на IP-адресе 10.a.б.с.  Вечно Ваш, директор ОО ИвановаМарьванна.

[kaeskat]

On 6/29/2022 at 9:58 AM, Nickuz said:

 сообщить о возможности отключения СКФ на IP-адресе 10.a.б.с.  Вечно Ваш, директор ОО ИвановаМарьванна.

Это не так должно быть, если следовать их логике - СКФ не отключается нигде и никогда.

Должен быть видимо запрос типа "ресурс https://самыйважныйотчёт прошу включить в список адресов, пропускаемых СКФ напрямую и доступных без вмешательства в трафик". Такие вроде как есть, какой-то перечень госсайтов.

И вот если в ответ будет предложение - да вы просто для своего IP, с которого заходите на ресурс, отключите СКФ, тогда тыкать в нос указиловкой.

Тем не менее проблема сейчас именно в указиловке - никто не может нормативку сказать, как должно быть.

[Nickuz]

В 02.07.2022 в 07:37, kaeskat сказал:

Это не так должно быть

вот пусть и отпишутся, как должно быть.

[JabXX]

Всем привет)  Провели инет РТК, прописал статические адреса на всех компах, сеть условно открытый сегмент 10.55.33.0/26 Кому с фильтром, включаю прокси, кому без фильтра- авторизация через ЕСИА. Провели ещё и Wi-Fi, там выдаются адреса из сети типа 10.70.50.0/23. Причем если у подключенного по проводу ПК вкл DHCP, то ему присваивается адрес из сети 10.70.50.0/23, как у вай-фая (510 хостов?!) Компы везде видят друг друга как в одной сети.

1.Зачем тогда прописывать статику из сети 10.55.33.0/26? Снять фильтр с определённых АРМ, чтоб без всяких госуслуг? Так нам сначала сказали пишите заявку. Написали. А потом нам сказали так нельзя, только ЕСИА

2. Кто как делит локалку? Например, чтобы сетевое МФУ не устанавливалось на всех компах с win10, где не надо, ну или просто для безопасности. Если поставить роутер на нужную группу компов, прописать ему на WAN один из адресов сети 10.55.33.0/26, а у компов будет сеть 192.168.1.0/24. Но не дадут ли по шапке, если несколько компов через один IP будут выходить в сеть? Понятно, что эти группы компов будут либо все с фильтром, либо все без фильтра

Изменено 17 июля, 2022 пользователем JabXX

[sdy_moscow]

@JabXX Вы задавайте ИМ вопросы! Ну кто вам скажет ТУТ, на форуме, за что вам "дадут", а за что "не дадут". Пишите письма, жалобы! Они это придумали - пусть у них голова и болит. ЕГЭ кончилось, у Вас есть 1,5 месяца на игру в бюрократию, до начала след. учебного года.

[JabXX]

Ну это да, время ещё есть. Писал им раз, месяц с лишним ждал ответа. Ну я просто спрашиваю, кто как делал, у всех просто одна сеть и всё? Хотя... Вы правы, неважно кто как сделал, важно то, что можно ли так делать. Поэтому напишу ИМ.

Изменено 17 июля, 2022 пользователем JabXX

[Nickuz]

В 17.07.2022 в 17:47, JabXX сказал:

Ну это да, время ещё есть. Писал им раз, месяц с лишним ждал ответа. Ну я просто спрашиваю, кто как делал, у всех просто одна сеть и всё? Хотя... Вы правы, неважно кто как сделал, важно то, что можно ли так делать. Поэтому напишу ИМ.

 

По проекту РТК никакого деления подсетей не предусмотрено. Все компы ОО в одной подсети /24. Раздача руками. Высовывать напрямую в ЕСПД вашу сетку не советую, маршрутизация "от каждого к каждому", если хотите, чтобы ваша сеть была как на ладони у всей страны, то тогда конечно, пожалуйста.

Изменено 18 июля, 2022 пользователем Nickuz

[JabXX]

Я конечно сделаю как положено, но на всей ладони это как? В отдельной подсети же наоборот безопаснее, нет?

[Nickuz]

В 18.07.2022 в 08:25, JabXX сказал:

Я конечно сделаю как положено, но на всей ладони это как? В отдельной подсети же наоборот безопаснее, нет?

это так: с любого хоста ЕСПД разрешены входящие подключения ко всем хостам в вашей подсети. И повлиять на это в стандартной схеме вы не сможете

[lea-nsk]

В 17.07.2022 в 17:27, JabXX сказал:

кому без фильтра- авторизация через ЕСИА

Корректно будет работать только без использования промежуточного маршрутизатора (т.е. прямое подключение подключение АРМ ОО к проектному ЕСПД).

Если вы планируете использовать схему с промежуточным маршрутизатором (собственность  ОО), тогда пользовательская сессии ЕСИА будет работать не корректно в глобальном режиме, т.е. авторизация одного ЕСИА пользователя будет распространяться на все АРМ в вашей ЛВС.

 

В 17.07.2022 в 17:27, JabXX сказал:

Провели ещё и Wi-Fi

Смело отключайте точки доступа Wi-Fi, которые вам установил РТК - уровень ИТ безопасности в данном проекте не дотягивает до базового начального уровня.

 

Я не знаю, какие коллективные умы создавали проект ЕСПД ???

Куда смотрит ФСБ, которая должна была проверить данный проект на соответствующую безопасность?

У меня сложилось такое впечатление, что проект создавал школьник. 

 

В общем, ситуация такая, что без особого труда, через Wi-Fi ОО (проект минцифры ЕСПД) можно получить свободный доступ к сети интернет (с обходом блокировок)  и доступ к сетевой ИТ- инфраструктуре ОО (АРМ, СЕРВЕРЫ), при этом даже не нужно находиться в самом здании ОО...

 

РТК, Минцифра - об этом знают, но никаких действий на исправление своих ошибок не предпринимают(((

Корее всего, это связанно с дефицитом квалифицированных кадров...

 

В 17.07.2022 в 17:27, JabXX сказал:

Но не дадут ли по шапке, если несколько компов через один IP будут выходить в сеть?

В ваших интересах, защитить собственную ИТ-  инфраструктуру, чтобы своевременно предотвратить утечку данных персональных данных из вашей ОО.

 

В 17.07.2022 в 17:27, JabXX сказал:

если несколько компов через один IP будут выходить в сеть?

Доступ к сети интернет через авторизацию пользовательской сессии ЕСИА не будет корректно у Вас работать (1 пользовательская авторизация через ЕСИА -  будет распространятся на все ваши АРМ находящиеся в одной подсети или нескольких подсетей использующих 1 внешний IP выданный DHCP-сервером ЕСПД) .

 

 

 

 

[omnus]

В 18.07.2022 в 23:29, lea-nsk сказал:

В общем, ситуация такая, что без особого труда, через Wi-Fi ОО (проект минцифры ЕСПД) можно получить свободный доступ к сети интернет (с обходом блокировок)  и доступ к сетевой ИТ- инфраструктуре ОО (АРМ, СЕРВЕРЫ), при этом даже не нужно находиться в самом здании ОО...

День добрый.

А можно поподробнее, можно даже в личку ...

 

В 17.07.2022 в 17:27, JabXX сказал:

Зачем тогда прописывать статику из сети 10.55.33.0/26? Снять фильтр с определённых АРМ, чтоб без всяких госуслуг? Так нам сначала сказали пишите заявку. Написали. А потом нам сказали так нельзя, только ЕСИА

Добрый день.

Это делается для обратной совместимости, так как ранее в ОО не было проекта ЦОС. Что-бы не перенастраивать 200+ компов, есть возможность подключения ранее настроенных узлов со старой адресацией.

[Связной (С)]

В 18.07.2022 в 23:29, lea-nsk сказал:

через Wi-Fi ОО (проект минцифры ЕСПД) можно получить свободный доступ к сети интернет (с обходом блокировок) 

Каким образом, если канал идет через узел Ростелекома, который и фильтрует трафик, в т.ч. и как оператор связи?

 

Пример построения сети в школе что ведет Ростелеком - 

[lea-nsk]

В 19.07.2022 в 12:25, Связной (С) сказал:

Каким образом, если канал идет через узел Ростелекома, который и фильтрует трафик, в т.ч. и как оператор связи?

Не всё он умеет фильтровать... Обход блокировок работает так на канале ЕСПД от РТК...

 

Доступ к запрещённым сайтам (на видео) осуществлялся через канал ЕСПД использующий прокси.

 

Расписывать как это работает не буду. Пусть ясные умы из РТК + Минцифра ломают голову над этой и другими прочими проблемами связанными с проектом ЕСПД...

 

 

[lea-nsk]

В 19.07.2022 в 12:25, Связной (С) сказал:

Пример построения сети в школе что ведет Ростелеком - 

Уберите, пожалуйста, эту ужасную схему с точками доступа Wi-Fi!

 

Проект от минцифры + РТК просто супер!!! Созданный специально для обнажения школьной ЛВС, раздачи бесплатного доступа к сети интернет, которым может свободно и без контрольно пользоваться население из рядом стоящих многоквартирных жилых домов и не только.

При этом, вся ответственность эксплуатации канала ЕСПД ложится на плечи школы, у которой нет полномочий по ведению полного контроля,мониторинга, учёта подключения клиентов к ТД Wi-Fi ЕСПД в собственной ИТ-инфраструктуре.

Таким образом, через школьные ТД Wi-Fi (ЕСПД) может осуществляться массовая рассылка или сообщений различного вредоносного содержания... Автору таких вредоносных рассылок не обязательно находиться внутри здания школы. 

 

 

 

 

 

[ixi]

В 19.07.2022 в 09:17, lea-nsk сказал:

Расписывать как это работает не буду

Анонимайзеры блокируются разве что белыми списками. Требовать их блокировки бессмысленно.

[Nickuz]

В 19.07.2022 в 08:32, omnus сказал:

Добрый день.

Это делается для обратной совместимости, так как ранее в ОО не было проекта ЦОС. Что-бы не перенастраивать 200+ компов, есть возможность подключения ранее настроенных узлов со старой адресацией.

Так, стоп. Если мне выделена подсеть 10.а.б.0/24, а у меня была адресация 192.168.1.0/24, я просто втыкаю ЕСПДшный роутер с адресом 10.а.б.1 и всё работает? Мне казалось, что фантастика в другом отделе...

[omnus]

В 19.07.2022 в 16:09, Nickuz сказал:

Так, стоп. Если мне выделена подсеть 10.а.б.0/24, а у меня была адресация 192.168.1.0/24, я просто втыкаю ЕСПДшный роутер с адресом 10.а.б.1 и всё работает? Мне казалось, что фантастика в другом отделе...

Нет.

Тут такая ситуация. школу подключили к ЕСПД (без ЦОС), дали адресацию из сети 10.XX.0.0/24 В дальнейшем было принято решение подключать в этой школе ЦОС. Тут уже используется другая адресация (с учетом устанавливаемых точек доступа) 10.YY.0.0/23, ее и прописывают в DHCP.

Что-бы не перенастраивать ранее подключенный компьютеры, для совместимости, на маршрутизаторе параллельно с новой сетью оставляют старую.

 

В 19.07.2022 в 13:17, lea-nsk сказал:

Не всё он умеет фильтровать... Обход блокировок работает так на канале ЕСПД от РТК...

Вы используете анонимайзер. Все верно, не все блокируется.

В работе КФ очень много нюансов (при таком масштабе и требованиях), какую-то часть блокировок наполняют на основе обратной связи от школ.

Плохо то, что единицы школ предоставляют обратную связь, в основном один негатив.

В 19.07.2022 в 14:14, lea-nsk сказал:

Созданный специально для обнажения школьной ЛВС, раздачи бесплатного доступа к сети интернет, которым может свободно и без контрольно пользоваться население из рядом стоящих многоквартирных жилых домов и не только.

Как минимум пароль от WiFi всегда можно сменить.

 

В 19.07.2022 в 14:14, lea-nsk сказал:

у которой нет полномочий по ведению полного контроля,мониторинга, учёта подключения клиентов к ТД Wi-Fi ЕСПД в собственной ИТ-инфраструктуре

То что вы пишите, это единицы школ (частный случай). В общем разрезе по всей стране на 100 школ будет от силы 10, которые поймут о чем вы говорите.

 

В 19.07.2022 в 14:14, lea-nsk сказал:

Таким образом, через школьные ТД Wi-Fi (ЕСПД) может осуществляться массовая рассылка или сообщений различного вредоносного содержания..

Тоже непонятно. Как минимум нужно произвести авторизацию через ЕСИА, либо использовать некую VPN умеющую работать через прокси

[Nickuz]

В 20.07.2022 в 05:44, omnus сказал:

ут такая ситуация. школу подключили к ЕСПД (без ЦОС), дали адресацию из сети 10.XX.0.0/24 В дальнейшем было принято решение подключать в этой школе ЦОС. Тут уже используется другая адресация (с учетом устанавливаемых точек доступа) 10.YY.0.0/23, ее и прописывают в DHCP.

Что-бы не перенастраивать ранее подключенный компьютеры, для совместимости, на маршрутизаторе параллельно с новой сетью оставляют старую.

Зачем? Проводной сегмент - своя адресация, свой VLAN. Беспроводной - другая, в другом VLANe. Зачем мешать разные сети с разными степенями доверия?

В 20.07.2022 в 05:44, omnus сказал:

Плохо то, что единицы школ предоставляют обратную связь, в основном один негатив.

плохо то, что они даже не знают, куда её предоставлять. 

В 20.07.2022 в 05:44, omnus сказал:

То что вы пишите, это единицы школ (частный случай). В общем разрезе по всей стране на 100 школ будет от силы 10, которые поймут о чем вы говорите.

поэтому нужно для  унификации уронить уровень 10 школ до уровня тех 90, которые ничего не поняли?

В 20.07.2022 в 05:44, omnus сказал:

нужно произвести авторизацию через ЕСИА

Утром на ЕСИА авторизуется один пользователь, который пошёл в интернет первым, а вечером в паблике "Нет войне!" напишет абсолютно другой пользователь, возможно, даже не находившийся на территории ОО. Но весь аккаунтинг будет на первого. Чувствуете разницу?

[lea-nsk]

В 20.07.2022 в 07:44, omnus сказал:

Вы используете анонимайзер.

Нет, не анонимайзер, хотя и он работает.

Существуют иные методы и технические решения по обходу блокировок, основанные технологиях динамической обработки веб-запросов... включая проброс межсетевого трафика...

И всё это в настоящее время работает без проблем через ЕСПД с КФ.

 

В 20.07.2022 в 07:44, omnus сказал:

  часть блокировок наполняют на основе обратной связи от школ.

От куда у Вас такие сведения?

 

В 20.07.2022 в 07:44, omnus сказал:

Как минимум пароль от WiFi всегда можно сменить.

1) Сменить пароль Wi-Fi - проект ЕСПД не позволяет, на то она "глобальная ЕСПД" )))

2) Пароль от Wi-Fi узнаётся за считанные секунды, достаточно получить физический доступ к подключенному к Wi-Fi оборудованию. Существуют и другие прочие способы получения пароля от Wi-Fi.

Практически любой школьник легко справится с этой простой задачей... с последующим распространением полученных данных среди своих сверстников и прочих лиц...

 

В 20.07.2022 в 07:44, omnus сказал:

Плохо то, что единицы школ предоставляют обратную связь, в основном один негатив.

Кому предоставляют? Пишите конкретный адресат направленных обращений!

Пишем вопросы, заявки регистрируются, ответа нет месяцами...

Сотрудники из ТП колл-центра РТК - не компетентны в большинстве технических вопросов... разводят только руками и просят в конце разговора закрыть открытую заявку.

 

В 20.07.2022 в 07:44, omnus сказал:

То что вы пишите, это единицы школ (частный случай). В общем разрезе по всей стране на 100 школ будет от силы 10, которые поймут о чем вы говорите.

От куда у Вас эти данные? Только в моём отдельном регионе указанная вами цифра превышает свыше 100...

 

В 20.07.2022 в 07:44, omnus сказал:

Тоже непонятно. Как минимум нужно произвести авторизацию через ЕСИА, либо использовать некую VPN умеющую работать через прокси

Раскрывать данные о методике обхода блокировок в ЕСИА не стану. В Минцифре и РТК - имеются высококвалифицированные IT-специалисты, которые должны соответствовать своей занимаемой должности... пусть самостоятельно поработают без подсказок )))

 

P.S.

Представленный мною выше факт (видео-пример обхода блокировок), был основан на обходе авторизации через ЕСИА, с применением Wi-Fi (ЕСПД от РТК).

 

 

 

 

 

[omnus]

В 20.07.2022 в 09:41, Nickuz сказал:

 

Не ставили цели разделения физически сегментов на проводе и на вафле.

Всем школам при монтаже должны оставлять справчную информацию с телефоном и e-mail ситуационного центра минцифры. Так-же эта информация передавалась в минобр.

Для отдельных школ есть вариант рассмотрения специфических схем. Плюс, надо понимать, что эту специфику должен кто-то сопровождать и поддерживать. Не стоит забывать, что у некоторых хотелки специфические. Адресация из сети 10.0.0.0/8 рассчитана не на один регион, а на некую область (федеральный округ).

А вот отсутствие функции выхода из ЕСИА (сброса авторизации для сессии) это да, косяк.

 

В 20.07.2022 в 13:32, lea-nsk сказал:

Нет, не анонимайзер, хотя и он работает.

Существуют иные методы и технические решения по обходу блокировок, основанные технологиях динамической обработки веб-запросов... включая проброс межсетевого трафика...

И всё это в настоящее время работает без проблем через ЕСПД с КФ.

Интересно...

 

В 20.07.2022 в 13:32, lea-nsk сказал:

От куда у Вас такие сведения?

Нуууу, есть такие сведения.

 

По WiFi спорить не стану, там есть много нюансов. Надеюсь только на то, что в дальнейшем это все допилят.

 

В 20.07.2022 в 13:32, lea-nsk сказал:

Пишем вопросы, заявки регистрируются, ответа нет месяцами...

Сотрудники из ТП колл-центра РТК - не компетентны в большинстве технических вопросов... разводят только руками и просят в конце разговора закрыть открытую заявку.

Не в первый раз уже слышу такое. Жаль конечно что такое происходит.

 

В 20.07.2022 в 13:32, lea-nsk сказал:

От куда у Вас эти данные? Только в моём отдельном регионе указанная вами цифра превышает свыше 100...

Судя по нику вы из НСО? там все сложно, с учетом реализации схемы от местной Минцифры.

[Nickuz]

В 20.07.2022 в 12:02, omnus сказал:

Всем школам при монтаже должны оставлять справчную информацию с телефоном и e-mail ситуационного центра минцифры. Так-же эта информация передавалась в минобр.

при монтаже заставили подписать акты приёмки и после этого испарились, сказав в воздух "ну там где страница с блокировкой будут контактные данные куда звонить если что". Простите, но звонить девочке в колл-центр и объяснять, что менеджеры придумали косячную схему - ну это всё равно что разговаривать с каменной стеной.

В 20.07.2022 в 12:02, omnus сказал:

Для отдельных школ есть вариант рассмотрения специфических схем.

 С кем общаться?

В 20.07.2022 в 12:02, omnus сказал:

Плюс, надо понимать, что эту специфику должен кто-то сопровождать и поддерживать.

Именно поэтому нужно было разработать проект для каждой школы ДО внедрения, а не после. Мы честно заполнили опросник перед развертыванием ЕСПД, в котором указали всё, вплоть до температуры у охранника на входе, но, похоже, эту информацию даже никто не читал. А если бы читал - не стал бы натягивать ужа на ежа.

Те, кто согласен с типовым решением и не имеет возможности поддерживать своими силами - пусть кушают то, что дали. Те, кто понимает, что он уже сделал и планирует делать дальше - пусть выставляет свои ТУ оператору. Хотя 6 миллиардов уже попилены, скорее всего, никто уже ничего делать не будет.

Кто-то собирается решать вопрос с защитой сегментов ЛВС ОО от соседей по ЕСПД? Или каждой школе теперь нужно нанимать в штат безопасника и покупать ещё одну железку, которая умеет фильтровать в режиме бриджа? Прошу прощения, я уже ответил на свой же вопрос в предыдущем абзаце.

Изменено 20 июля, 2022 пользователем Nickuz

[lea-nsk]

В 20.07.2022 в 14:02, omnus сказал:

Надеюсь только на то, что в дальнейшем это все допилят.

Остатки не освоенного бюджета они только и могут допилить...

С учётом закупки и внедрения телекоммуникационного оборудования в ЕСПД имеющего ограничения по функциональными возможностям, глобальных изменений в ближайшее время не предвидеться. Вероятно, скоро появится очередной новый проект и всё начнётся снова....

 

В 20.07.2022 в 14:46, Nickuz сказал:

Всем школам при монтаже должны оставлять справчную информацию с телефоном и e-mail ситуационного центра минцифры.

Есть такие данные

 

 

вот только от них току нет. Специалисты там не компетентны в технических вопросах(((

 

В 20.07.2022 в 14:46, Nickuz сказал:

Для отдельных школ есть вариант рассмотрения специфических схем.

Это только условно. По-факту, представители проекта заявили, что на это им нужно дополнительное финансирование. Без соответствующего финансирования они ничего делать не будут.

[OKOIPT]

В 18.07.2022 в 21:29, lea-nsk сказал:

Смело отключайте точки доступа Wi-Fi, которые вам установил РТК - уровень ИТ безопасности в данном проекте не дотягивает до базового начального уровня.

 

В 18.07.2022 в 21:29, lea-nsk сказал:

Добрый вечер всем. Так возможно эти точки доступа у РТК на мониторинге, потом приедут товарищи в штатском и спросят, почему отключена точка доступа. И как им объяснить что "

уровень ИТ безопасности в данном проекте не дотягивает до базового начального уровня"

 

 

 

 

[lea-nsk]

В 20.07.2022 в 21:33, OKOIPT сказал:

Так возможно эти точки доступа у РТК на мониторинге

Нет. Там всё довольно примитивно устроено и сам проект создавался и реализовывался на "скорую руку" с привлечением сторонних подрядных и субподрядных организаций...

 

В 20.07.2022 в 21:33, OKOIPT сказал:

потом приедут товарищи в штатском и спросят, почему отключена точка доступа

По этой причине не приедут. 

А вот, в следствии наличия утечки персональных и прочих данных из вашей организации, отправленных электронных сообщений вредоносного содержания... - в этом случае приедут. 

 

Этой весной, проводил практический эксперимент в нескольких школах (не находясь внутри здания), в которых был введён в эксплуатацию проект ЕСПД (минцифра) с применением Т.Д. Wi-Fi.

Везде такая вот примерная картина получается...(((

На представленном скриншоте, в сети присутствуют бухгалтерские АРМ находятся в общем сетевом доступе...

Включая свободный доступ к сети интернет с обходом ЕСИА авторизации и КФ... - доступ менеджерам и различным сервисам способным осуществлять массовую рассылку сообщений...

 

 

     

 

 

Изменено 21 июля, 2022 пользователем lea-nsk