sanychel Опубликовано 18 октября, 2022 (изменено) · Жалоба Где то можно почитать про ЕСПД? Интересуют вопросы: - Какие сетевые протоколы доступны в случае, если станция не прошла авторизацию через гос. услуги? - Сколько по времени "держится" авторизованная сессия. Известно, что на данный момент есть счастливчики, у которых для административных станций доступен прямой доступ (без авторизации), но со следующего года, такая возможность будет упразднена для всех (со слов техподдержки). Авторизация будет запрашиваться для всех станций (без прокси контент фильтра) каждый день. Изменено 18 октября, 2022 пользователем sanychel Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lea-nsk Опубликовано 18 октября, 2022 (изменено) · Жалоба В 18.10.2022 в 14:09, sanychel сказал: Где то можно почитать про ЕСПД? Только здесь https://espd.wifi.rt.ru/ В 18.10.2022 в 14:09, sanychel сказал: - Сколько по времени "держится" авторизованная сессия. 12 часов. В 18.10.2022 в 14:09, sanychel сказал: - Какие сетевые протоколы доступны в случае, если станция не прошла авторизацию через гос. услуги? В локальной подсети - будут доступны все поддерживаемые железом сетевые протоколы. Включая АРМ и прочие сетевые устройства подключенные к данной подсети (ЕСПД от РТ). В глобальную сеть интернет (через ЕСПД), можно выходить без ЕСИА, достаточно указать параметр прокси (интернет с СКФ) и включить его в настройках ОС. В 18.10.2022 в 14:09, sanychel сказал: но со следующего года, такая возможность будет упразднена для всех (со слов техподдержки). Авторизация будет запрашиваться для всех станций (без прокси контент фильтра) каждый день. В таком случае, вам придётся полностью переводить вашу ЛВС на ЕСПД от РТ, без использования дополнительного вашего оборудования (промежуточные маршрутизаторы, межсетевые экраны, серверы контроля доступа). Изменено 18 октября, 2022 пользователем lea-nsk дополнение Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sanychel Опубликовано 18 октября, 2022 (изменено) · Жалоба @lea-nsk спасибо за ответ, меня интересует именно "шлюз" еспд. Уточню, что именно, например без авторизации и прокси, доступен протокол ICMP, так же доступен виндовый сервер NTP и др. Вот я хотел узнать информацию в этом ключе, что еще доступно, а что блокируется. Изменено 18 октября, 2022 пользователем sanychel Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nickuz Опубликовано 19 октября, 2022 · Жалоба В 18.10.2022 в 14:32, lea-nsk сказал: 12 часов. пользователь привязывается к IP ЕСПД, с которого была авторизация, или в браузер подкидывается кукис? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lea-nsk Опубликовано 19 октября, 2022 · Жалоба В 19.10.2022 в 14:18, Nickuz сказал: пользователь привязывается к IP ЕСПД, с которого была авторизация Именно так и работает. Если использовать схему с применением "промежуточного маршрутизатора" в подключении к ЕСИА, то получим одну глобальную пользовательскую ЕСИА сессию, распространяемую на все АРМ данной подсети. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lea-nsk Опубликовано 19 октября, 2022 · Жалоба В 18.10.2022 в 17:20, sanychel сказал: "шлюз" еспд. Уточню, что именно, например без авторизации и прокси, доступен протокол ICMP, На внешний шлюз - скорее всего, нет. Врать не буду, не проверял. В 18.10.2022 в 17:20, sanychel сказал: виндовый сервер NTP и др Это можно проверить на месте, при помощи стандартного набора строенных в винду утилит. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
65465132152 Опубликовано 19 октября, 2022 · Жалоба Добрый день. Есть тут коллеги из Татарстана которые уже осуществили переход с ГИСТ на ЕСПД? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Angry Agent Опубликовано 20 октября, 2022 · Жалоба Добрый день! Завели ЕСПД, пока его ещё не задействовали в сети, у меня есть вопрос: требуется ли установка сертификата на компьютеры, имеющие IP-адреса с отключённым КФ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 20 октября, 2022 · Жалоба Минцифры приостановило программу подключения Wi-Fi в школах «Программы, которые мы вынужденно приостанавливаем, это Wi-Fi в школах. У нас уже 9 тысяч школ подключены к Wi-Fi полноценно», — сказал ( https://tass.ru/ekonomika/16106027) глава Минцифры Максут Шадаев на заседании комитета Госдумы по бюджетам и налогам. Он добавил, что ведомство вернется к этому вопросу позже. Также Шадаев рассказал ( https://www.interfax.ru/russia/868717), что в 2023 году все российские военкоматы подключат к защищенному интернету и сети Минобороны Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lea-nsk Опубликовано 21 октября, 2022 · Жалоба В 20.10.2022 в 17:42, Andrei сказал: Минцифры приостановило программу подключения Wi-Fi в школах «Программы, которые мы вынужденно приостанавливаем, это Wi-Fi в школах. У нас уже 9 тысяч школ подключены к Wi-Fi полноценно», — сказал ( https://tass.ru/ekonomika/16106027) глава Минцифры Максут Шадаев на заседании комитета Госдумы по бюджетам и налогам. Он добавил, что ведомство вернется к этому вопросу позже. Также Шадаев рассказал ( https://www.interfax.ru/russia/868717), что в 2023 году все российские военкоматы подключат к защищенному интернету и сети Минобороны Минцифру, нужно привлекать к соответствующей ответственности, - за некомпетентность в технических вопросах, касающихся безопасности связи! Включая генерального подрядчика проекта (Ростелеком). В 20.10.2022 в 17:42, Andrei сказал: У нас уже 9 тысяч школ подключены к Wi-Fi полноценно», Школы подключены по типовому проекту. Wi-Fi в школах, не имеет никакой: защиты, контроля, мониторинга по подключенным клиентам. У школы нет возможности контролировать все клиентские подключения к ЕСПД через Wi-Fi и проводную подсеть ЕСПД. Доступ к локальным школьным сетевым ресурсам (рабочие станции, серверы, прочие сетевые устройства) входящих в став сегмента школьной ЛВС ЕСПД от РТ, благодаря Wi-Fi ЕСПД - полностью открыт и не защищён! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nickuz Опубликовано 21 октября, 2022 · Жалоба В 21.10.2022 в 06:44, lea-nsk сказал: Минцифры приостановило программу подключения Wi-Fi в школах 3,14здец с оборудованием и с финансированием. Да и зачем он сейчас в школах - актуальнее сборка/разборка автомата. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
OKOIPT Опубликовано 21 октября, 2022 · Жалоба В 21.10.2022 в 06:44, lea-nsk сказал: Wi-Fi в школах, не имеет никакой: защиты, контроля, мониторинга по подключенным клиентам. У школы нет возможности контролировать все клиентские подключения к ЕСПД через Wi-Fi и проводную подсеть ЕСПД. Доступ к локальным школьным сетевым ресурсам (рабочие станции, серверы, прочие сетевые устройства) входящих в став сегмента школьной ЛВС ЕСПД от РТ, благодаря Wi-Fi ЕСПД - полностью открыт и не защищён! А если сделать так: на устройствах (серверах или МФУ), подключенных через LAN, которые не должны быть доступны через Wi-Fi ЕСПД, в сетевых настройках не прописывать шлюз, а только IP адрес и маску подсети из адресации открытого сегмента сети. ДНС тогда тоже не прописывать. В таком случае тот, кто подключился через Wi-Fi, доступ к таким устройствам (серверам или МФУ) не получит. А тем рабочим станциям, которым нужен доступ к серверам или МФУ вручную прописывать IP адреса из открытого сегмента. (IP адрес, маску подсети, шлюз и ДНС). А чтобы из WI-Fi сети не лезли на рабочие станции выбирать "общественную сеть" в настройках сетевой карты. Или включать брандмауэр. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lea-nsk Опубликовано 24 октября, 2022 · Жалоба В 21.10.2022 в 23:04, OKOIPT сказал: А если сделать так: на устройствах (серверах или МФУ), подключенных через LAN, которые не должны быть доступны через Wi-Fi ЕСПД, в сетевых настройках не прописывать шлюз, а только IP адрес и маску подсети из адресации открытого сегмента сети. ДНС тогда тоже не прописывать. В таком случае тот, кто подключился через Wi-Fi, доступ к таким устройствам (серверам или МФУ) не получит. А тем рабочим станциям, которым нужен доступ к серверам или МФУ вручную прописывать IP адреса из открытого сегмента. (IP адрес, маску подсети, шлюз и ДНС). А чтобы из WI-Fi сети не лезли на рабочие станции выбирать "общественную сеть" в настройках сетевой карты. Или включать брандмауэр. Нет, таким образом вы обрываете только доступ к самому интернету. Перечисленные вами устройства будут входить в состав подсети ЕСПД и будут по прежнему доступны. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
65465132152 Опубликовано 24 октября, 2022 · Жалоба У меня конроллер домена поднят. Несколько филиалов. Кто-нибудь знает как работать с ЕСПД. Мне как минимум свои ДНС надо оставлять. а на сервере пересылки уже прописывать их. Между сетями ЕСПД хотид трафик? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nickuz Опубликовано 25 октября, 2022 · Жалоба В 24.10.2022 в 22:54, marat-209 сказал: У меня конроллер домена поднят. У вас КД голой жо.. всеми портами смотрит в ЕСПД? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
65465132152 Опубликовано 25 октября, 2022 · Жалоба On 10/25/2022 at 5:44 AM, Nickuz said: У вас КД голой жо.. всеми портами смотрит в ЕСПД? Пока ещё не подключили его. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lea-nsk Опубликовано 25 октября, 2022 · Жалоба В 25.10.2022 в 00:54, marat-209 сказал: У меня конроллер домена поднят. Несколько филиалов. Кто-нибудь знает как работать с ЕСПД. Будет работать, но, без индивидуальных пользовательских сессий ЕСИА. В 25.10.2022 в 00:54, marat-209 сказал: Мне как минимум свои ДНС надо оставлять. Это делается через настройку DHCP Options, используя код 6 Пример использования данного кода: Опция1, код 6, 'ISP1-DNS-Server-1''ISP1-DNS-Server-2'... Опция2, код 6, 'ISP2-DNS-Server-1''ISP2-DNS-Server-2'... Далее, в настройках DHCP-сервера, статическим клиентам (DHCP-сервера) назначаете соответствующую опцию ("Опция1" или "Опция2"). Таким образом, клиенты DHCP-сервера, будут получать соответствующие параметры настроек необходимых DNS-серверов. В самом AD, создаёте несколько новых "объектов групповой политики" (GPO): 1. Установка сертификата (для ЕСПД). 2. Включение параметров прокси (для осуществления доступа к ЕСПД через прокси). 3. Выключение параметров прокси (для осуществления доступа к ЕСПД без прокси). В разделе управления AD "Пользователи и компьютеры", в нужном вам подразделении: 1. Создаёте новое подразделение "ЕСПД с прокси" и назначаете групповую политику "Включение параметров прокси (для осуществления доступа к ЕСПД через прокси)"; 2. Создаёте новое подразделение "Интернет с выключением параметра прокси" и назначаете групповую политику " Выключение параметров прокси (для осуществления доступа к ЕСПД без прокси)"; Далее, вам только останется, перемещать учётные записи в нужные подразделения "ЕСПД с прокси" или ""Интернет с выключением параметра прокси". Настройка учётных записей на АРМ будет происходить в автоматическом режиме, в соответствии назначенными вами объектами GPO. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
65465132152 Опубликовано 25 октября, 2022 · Жалоба On 10/25/2022 at 5:44 AM, Nickuz said: У вас КД голой жо.. всеми портами смотрит в ЕСПД? Пункт 2,10 контракта говорит об изолированности сетей. Это есть по факту? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lea-nsk Опубликовано 25 октября, 2022 · Жалоба В 25.10.2022 в 12:26, marat-209 сказал: Пункт 2,10 контракта говорит об изолированности сетей. По факту, данный пункт говорит о монополизации ЕСПД. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nickuz Опубликовано 25 октября, 2022 · Жалоба В 25.10.2022 в 10:26, marat-209 сказал: Пункт 2,10 контракта говорит об изолированности сетей. Это есть по факту? Есть, только вот уровень доверия к ЕСПД точно такой же, как к дикому интернету. То, что вас не заразят бякой китайские боты, ничуть не лучше того, что вас заразят бякой ПК на ВинХР из деревни Малокукуевка. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Angry Agent Опубликовано 25 октября, 2022 · Жалоба Добрый вечер! Поднял прокси на squid, работает, всё бы ничего, НО: не фильтруется ничего, прокси РТК передаёт всё в голом виде и без подмены сертификата, заявки на отключение КФ не отправляли. curl -x *адрес прокси РТК и адрес моего прокси* https://vk.com выкидывает блокировку, но если стучаться без указания прокси путём REDIRECT в iptables, то никаких блокировок нет. Что делать и кто с этим сталкивался? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 25 октября, 2022 · Жалоба В 25.10.2022 в 18:14, Angry Agent сказал: Добрый вечер! Поднял прокси на squid, работает, всё бы ничего, НО: не фильтруется ничего, прокси РТК передаёт всё в голом виде и без подмены сертификата, заявки на отключение КФ не отправляли. curl -x *адрес прокси РТК и адрес моего прокси* https://vk.com выкидывает блокировку, но если стучаться без указания прокси путём REDIRECT в iptables, то никаких блокировок нет. Что делать и кто с этим сталкивался? Прочитать про транспарент сквид что мешает ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Angry Agent Опубликовано 25 октября, 2022 · Жалоба В 25.10.2022 в 16:20, YuryD сказал: Прочитать про транспарент сквид что мешает ? Он и так в транспарент настроен, но прокси РТК серт не подменяет и ничего не фильтрует Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 25 октября, 2022 · Жалоба В 25.10.2022 в 18:32, Angry Agent сказал: Он и так в транспарент настроен, но прокси РТК серт не подменяет и ничего не фильтрует Не хочу нехорошему учить, митм вроде, при https.... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Angry Agent Опубликовано 25 октября, 2022 · Жалоба В 25.10.2022 в 16:39, YuryD сказал: Не хочу нехорошему учить, митм вроде, при https.... Ну так да, всё правильно, но прикол в том что прокси Ростелекома не делает митм, сертификат не подменяет, в итоге могу зайти даже на порнхаб Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...