[sanychel]

Где то можно почитать про ЕСПД?

Интересуют вопросы: 

 - Какие сетевые протоколы доступны в случае, если станция не прошла авторизацию через гос. услуги?

 - Сколько по времени "держится" авторизованная сессия.

Известно, что на данный момент есть счастливчики, у которых для административных станций доступен прямой доступ (без авторизации), но со следующего года, такая возможность будет упразднена для всех (со слов техподдержки). Авторизация будет запрашиваться для всех станций (без прокси контент фильтра) каждый день.

 

 

 

Изменено 18 октября, 2022 пользователем sanychel

[lea-nsk]

В 18.10.2022 в 14:09, sanychel сказал:

Где то можно почитать про ЕСПД?

Только здесь https://espd.wifi.rt.ru/

 

В 18.10.2022 в 14:09, sanychel сказал:

- Сколько по времени "держится" авторизованная сессия.

12 часов.

 

В 18.10.2022 в 14:09, sanychel сказал:

 - Какие сетевые протоколы доступны в случае, если станция не прошла авторизацию через гос. услуги?

В локальной подсети - будут доступны все поддерживаемые железом сетевые протоколы. Включая АРМ и прочие сетевые устройства подключенные к данной подсети (ЕСПД от РТ).

В глобальную сеть интернет (через ЕСПД), можно выходить без ЕСИА, достаточно указать параметр прокси (интернет с СКФ) и включить его в настройках ОС.

 

В 18.10.2022 в 14:09, sanychel сказал:

но со следующего года, такая возможность будет упразднена для всех (со слов техподдержки). Авторизация будет запрашиваться для всех станций (без прокси контент фильтра) каждый день.

 

 В таком случае, вам придётся полностью переводить вашу ЛВС на ЕСПД от РТ, без использования дополнительного вашего оборудования (промежуточные маршрутизаторы, межсетевые экраны, серверы контроля доступа).

Изменено 18 октября, 2022 пользователем lea-nsk
дополнение

[sanychel]

@lea-nsk  спасибо за ответ, меня интересует именно "шлюз" еспд. Уточню, что именно, например без авторизации и прокси, доступен протокол ICMP, так же доступен виндовый сервер NTP и др. Вот я хотел узнать информацию в этом ключе, что еще доступно, а что блокируется.

Изменено 18 октября, 2022 пользователем sanychel

[Nickuz]

В 18.10.2022 в 14:32, lea-nsk сказал:

12 часов.

пользователь привязывается к IP ЕСПД,  с которого была авторизация, или в браузер подкидывается кукис?

[lea-nsk]

В 19.10.2022 в 14:18, Nickuz сказал:

пользователь привязывается к IP ЕСПД,  с которого была авторизация

Именно так и работает. Если использовать схему с применением "промежуточного маршрутизатора" в подключении к ЕСИА, то получим одну глобальную пользовательскую ЕСИА сессию, распространяемую на все АРМ данной подсети.    

[lea-nsk]

В 18.10.2022 в 17:20, sanychel сказал:

"шлюз" еспд. Уточню, что именно, например без авторизации и прокси, доступен протокол ICMP,

На внешний шлюз - скорее всего, нет. Врать не буду, не проверял.

 

В 18.10.2022 в 17:20, sanychel сказал:

виндовый сервер NTP и др

Это можно проверить на месте, при помощи стандартного набора строенных в винду утилит.

[65465132152]

Добрый день. Есть тут коллеги из Татарстана которые уже осуществили переход с ГИСТ на ЕСПД?

[Angry Agent]

Добрый день! Завели ЕСПД, пока его ещё не задействовали в сети, у меня есть вопрос: требуется ли установка сертификата на компьютеры, имеющие IP-адреса с отключённым КФ?

[Andrei]

Минцифры приостановило программу подключения Wi-Fi в школах

«Программы, которые мы вынужденно приостанавливаем, это Wi-Fi в школах. У нас уже 9 тысяч школ подключены к Wi-Fi полноценно», — сказал ( https://tass.ru/ekonomika/16106027) глава Минцифры Максут Шадаев на заседании комитета Госдумы по бюджетам и налогам. Он добавил, что ведомство вернется к этому вопросу позже.

Также Шадаев рассказал ( https://www.interfax.ru/russia/868717), что в 2023 году все российские военкоматы подключат к защищенному интернету и сети Минобороны

[lea-nsk]

В 20.10.2022 в 17:42, Andrei сказал:

Минцифры приостановило программу подключения Wi-Fi в школах

«Программы, которые мы вынужденно приостанавливаем, это Wi-Fi в школах. У нас уже 9 тысяч школ подключены к Wi-Fi полноценно», — сказал ( https://tass.ru/ekonomika/16106027) глава Минцифры Максут Шадаев на заседании комитета Госдумы по бюджетам и налогам. Он добавил, что ведомство вернется к этому вопросу позже.

Также Шадаев рассказал ( https://www.interfax.ru/russia/868717), что в 2023 году все российские военкоматы подключат к защищенному интернету и сети Минобороны

Минцифру, нужно привлекать к соответствующей ответственности, - за некомпетентность в технических вопросах, касающихся безопасности связи! Включая генерального подрядчика проекта (Ростелеком).

В 20.10.2022 в 17:42, Andrei сказал:

У нас уже 9 тысяч школ подключены к Wi-Fi полноценно»,

Школы подключены по типовому проекту.

 

Wi-Fi в школах, не имеет никакой: защиты, контроля, мониторинга по подключенным клиентам.

У школы нет возможности контролировать все клиентские подключения к ЕСПД через Wi-Fi и проводную подсеть ЕСПД.

Доступ к локальным школьным сетевым ресурсам (рабочие станции, серверы, прочие сетевые устройства) входящих в став сегмента школьной ЛВС ЕСПД от РТ, благодаря Wi-Fi ЕСПД - полностью открыт и не защищён!     

[Nickuz]

В 21.10.2022 в 06:44, lea-nsk сказал:

Минцифры приостановило программу подключения Wi-Fi в школах

3,14здец с оборудованием и с финансированием. Да и зачем он сейчас в школах - актуальнее сборка/разборка автомата.

[OKOIPT]

В 21.10.2022 в 06:44, lea-nsk сказал:

 

 

Wi-Fi в школах, не имеет никакой: защиты, контроля, мониторинга по подключенным клиентам.

У школы нет возможности контролировать все клиентские подключения к ЕСПД через Wi-Fi и проводную подсеть ЕСПД.

Доступ к локальным школьным сетевым ресурсам (рабочие станции, серверы, прочие сетевые устройства) входящих в став сегмента школьной ЛВС ЕСПД от РТ, благодаря Wi-Fi ЕСПД - полностью открыт и не защищён!     

А если сделать так: на устройствах (серверах или МФУ), подключенных через LAN, которые не должны быть доступны через Wi-Fi ЕСПД, в сетевых настройках не прописывать шлюз, а только IP адрес и маску подсети из адресации открытого сегмента сети. ДНС тогда тоже не прописывать. В таком случае тот, кто подключился через Wi-Fi, доступ к таким устройствам (серверам или МФУ) не получит. А тем рабочим станциям, которым нужен доступ к серверам или МФУ вручную прописывать IP адреса из открытого сегмента. (IP адрес, маску подсети, шлюз и ДНС). А чтобы из WI-Fi сети не лезли на рабочие станции выбирать "общественную сеть" в настройках сетевой карты. Или включать брандмауэр.

[lea-nsk]

В 21.10.2022 в 23:04, OKOIPT сказал:

А если сделать так: на устройствах (серверах или МФУ), подключенных через LAN, которые не должны быть доступны через Wi-Fi ЕСПД, в сетевых настройках не прописывать шлюз, а только IP адрес и маску подсети из адресации открытого сегмента сети. ДНС тогда тоже не прописывать. В таком случае тот, кто подключился через Wi-Fi, доступ к таким устройствам (серверам или МФУ) не получит. А тем рабочим станциям, которым нужен доступ к серверам или МФУ вручную прописывать IP адреса из открытого сегмента. (IP адрес, маску подсети, шлюз и ДНС). А чтобы из WI-Fi сети не лезли на рабочие станции выбирать "общественную сеть" в настройках сетевой карты. Или включать брандмауэр.

Нет, таким образом вы обрываете только доступ к самому интернету. Перечисленные вами устройства будут входить в состав подсети ЕСПД и будут по прежнему доступны.

[65465132152]

У меня конроллер домена поднят. Несколько филиалов. Кто-нибудь знает как работать с ЕСПД. Мне как минимум свои ДНС надо оставлять. а на сервере пересылки уже прописывать их. Между сетями ЕСПД хотид трафик?

[Nickuz]

В 24.10.2022 в 22:54, marat-209 сказал:

У меня конроллер домена поднят.

У вас КД голой жо.. всеми портами смотрит в ЕСПД?

[65465132152]

On 10/25/2022 at 5:44 AM, Nickuz said:

У вас КД голой жо.. всеми портами смотрит в ЕСПД?

Пока ещё не подключили его. 

[lea-nsk]

В 25.10.2022 в 00:54, marat-209 сказал:

У меня конроллер домена поднят. Несколько филиалов. Кто-нибудь знает как работать с ЕСПД.

Будет работать, но, без индивидуальных пользовательских сессий ЕСИА.

 

В 25.10.2022 в 00:54, marat-209 сказал:

Мне как минимум свои ДНС надо оставлять.

Это делается через настройку DHCP Options, используя код 6

 

Пример использования данного кода:

Опция1, код 6, 'ISP1-DNS-Server-1''ISP1-DNS-Server-2'...  

Опция2, код 6, 'ISP2-DNS-Server-1''ISP2-DNS-Server-2'...

 

Далее, в настройках DHCP-сервера, статическим клиентам (DHCP-сервера) назначаете соответствующую опцию ("Опция1" или "Опция2").

Таким образом, клиенты DHCP-сервера, будут получать соответствующие параметры настроек необходимых DNS-серверов.

 

В самом AD, создаёте несколько новых "объектов групповой политики" (GPO):

1. Установка сертификата (для ЕСПД). 

2. Включение параметров прокси (для осуществления доступа к ЕСПД через прокси). 

3. Выключение параметров прокси (для осуществления доступа к ЕСПД без прокси).

 

В разделе управления AD "Пользователи и компьютеры", в нужном вам подразделении:

1. Создаёте новое подразделение "ЕСПД с прокси" и назначаете групповую политику "Включение параметров прокси (для осуществления доступа к ЕСПД через прокси)";

2. Создаёте новое подразделение "Интернет с выключением параметра прокси" и назначаете групповую политику " Выключение параметров прокси (для осуществления доступа к ЕСПД без прокси)";

 

Далее, вам только останется, перемещать учётные записи в нужные подразделения "ЕСПД с прокси" или ""Интернет с выключением параметра прокси". Настройка учётных записей на АРМ будет происходить в автоматическом режиме, в соответствии назначенными вами объектами GPO. 

 

 

 

[65465132152]

On 10/25/2022 at 5:44 AM, Nickuz said:

У вас КД голой жо.. всеми портами смотрит в ЕСПД?

Пункт 2,10 контракта говорит об изолированности сетей. Это есть по факту?

[lea-nsk]

В 25.10.2022 в 12:26, marat-209 сказал:

Пункт 2,10 контракта говорит об изолированности сетей.

По факту, данный пункт говорит о монополизации ЕСПД.

[Nickuz]

В 25.10.2022 в 10:26, marat-209 сказал:

Пункт 2,10 контракта говорит об изолированности сетей. Это есть по факту?

Есть, только вот уровень доверия к ЕСПД точно такой же, как к дикому интернету. То, что вас не заразят бякой китайские боты, ничуть не лучше того, что вас заразят бякой ПК на ВинХР из деревни Малокукуевка.

[Angry Agent]

Добрый вечер! Поднял прокси на squid, работает, всё бы ничего, НО: не фильтруется ничего, прокси РТК передаёт всё в голом виде и без подмены сертификата, заявки на отключение КФ не отправляли. curl -x *адрес прокси РТК и адрес моего прокси* https://vk.com выкидывает блокировку, но если стучаться без указания прокси путём REDIRECT в iptables, то никаких блокировок нет. Что делать и кто с этим сталкивался?

[YuryD]

В 25.10.2022 в 18:14, Angry Agent сказал:

Добрый вечер! Поднял прокси на squid, работает, всё бы ничего, НО: не фильтруется ничего, прокси РТК передаёт всё в голом виде и без подмены сертификата, заявки на отключение КФ не отправляли. curl -x *адрес прокси РТК и адрес моего прокси* https://vk.com выкидывает блокировку, но если стучаться без указания прокси путём REDIRECT в iptables, то никаких блокировок нет. Что делать и кто с этим сталкивался?

 Прочитать про транспарент сквид что мешает ?

[Angry Agent]

В 25.10.2022 в 16:20, YuryD сказал:

 Прочитать про транспарент сквид что мешает ?

Он и так в транспарент настроен, но прокси РТК серт не подменяет и ничего не фильтрует

[YuryD]

В 25.10.2022 в 18:32, Angry Agent сказал:

Он и так в транспарент настроен, но прокси РТК серт не подменяет и ничего не фильтрует

 Не хочу нехорошему учить, митм вроде, при https....

[Angry Agent]

В 25.10.2022 в 16:39, YuryD сказал:

 Не хочу нехорошему учить, митм вроде, при https....

Ну так да, всё правильно, но прикол в том что прокси Ростелекома не делает митм, сертификат не подменяет, в итоге могу зайти даже на порнхаб