[OffPlankton]

16 часов назад, Nickuz сказал:

Тогда и вы не выдвигайте ложных обвинений.

Это было не обвинение, а контраргумент. Если вы подозреваете сотрудников РТК в том, что они могут что-то сделать с документами ОУ, предположительно имея к ним доступ, но директор ОУ точно так же должен подозревать всех своих сотрудников том же самом, особенно сисадмина. Обычно именно сотрудники организации и сливают её документацию и базы в сеть, в пример могу привести многочисленные сливы баз абонентов МТС и недавний слив базы сотрудников РТК.

 

18 часов назад, Nickuz сказал:

п. 2.10.

будем почитать

 

17 часов назад, lea-nsk сказал:

Зачем админам это делать? Включите свою логику!

Затем же, зачем сотрудники операторов связи сливают базы клиентов.

 

17 часов назад, lea-nsk сказал:

Сертификат и инструкция по настройке https://espd.wifi.rt.ru/ в публичном доступе лежат с РТК подачи.

Не все админы ОУ знают про эти инструкции, а вы говорите про других людей в сети интернет. Если эта информация распространяется, значит её кто-то слил, и скорее всего это сотрудник ОУ.

 

17 часов назад, lea-nsk сказал:

Ещё, у ЕСПД обнаружилась плешь, где можно использовать VPN предоставляющий полноценный интернет через сеть ЕСПД без использование ЕСИА.

Эта "плешь" сделана, дабы в ОУ работали vpn от крипто-про и VipNet. Если у кого-то школьники имеют права для установки vpn-клиентов, то в чем вина провайдера?

 

17 часов назад, lea-nsk сказал:

Если вы не знали, без ЕСИА авторизации хорошо работает доступ локальным сетевым ресурсам и можно свободно входить в сеть интернет через СКФ и без него.

Звучит как бред. Конкретные примеры можете привести?

 

17 часов назад, lea-nsk сказал:

Когда видишь вот такое отечественное производство:

И что тут не так? Хотели увидеть полностью роботизированное производство? Я тоже почитываю фантастику, но надо уметь разделять вымысел и реальность.

 

17 часов назад, lea-nsk сказал:

Это был пример не имеющий никакого отношения к указанному бренду.

23 часа назад, lea-nsk сказал:

сегодня они могут быть Элтексом, закончится госзаказ, завтра - объявят себя банкротом, после завтра - сменят юр.лицо и название бренда на какой нибудь Элекс...

Нет, вы прямо указали название бренда.

 

17 часов назад, lea-nsk сказал:

С чего вы это взяли? Или в вашем понимании разные подсети в одной физической - это и есть разделение?

Хорошо, тогда где физическая изоляция этих сетей, если сервисный маршрутизатор обслуживает только один VLAN объединённых подсетей Wi-Fi и школьной ЛВС?

Разговор шёл о каналах разных ОУ, а не о подсетях в каком-то конкретном. Читайте внимательнее.

[OffPlankton]

18 часов назад, Nickuz сказал:

п. 2.10.

И где тут про " доступ к ЛВС имеют все, кто подключен к ЕСПД"? Четко же написано про изоляцию сетей.

[lea-nsk]

2 часа назад, OffPlankton сказал:

Затем же, зачем сотрудники операторов связи сливают базы клиентов.

Что этим вы хотели сказать? Школы не занимаются таким грязным бизнесом (слив персональные данные учащихся) на который вы тут намекаете. Или вы хотите сказать, что у Вас (операторов связи) это нормальная практика?

 

2 часа назад, OffPlankton сказал:

Если эта информация распространяется, значит её кто-то слил, и скорее всего это сотрудник ОУ.

Вот даже как!)

Вы поисково системой в интернете умеете пользоваться? Или Вы работаете, когда вам дадут конкретный адрес?

 

Очень странно слышать такие  ответы от человека, который работает в организации напрямую связанной с интернетом. Это ещё раз доказывает, что в РТК работают сотрудники, которые не соответствуют своей занимаемой должности. Про всех конкретно говорить не могу, но мне они часто попадаются в последнее время...  Теоретиков - много, а толковых практиков - единицы... Включая техническую поддержку РТК, которая не способна логически самостоятельно мыслить не пользуясь заранее написанными кем-то "скриптами"...

 

Это очередное доказательство не в вашу пользу.

 

3 часа назад, OffPlankton сказал:

Звучит как бред. Конкретные примеры можете привести?

 

Изучите внимательно данную ветку форума, там приложены "скриншоты" с доказательствами. Или здесь вы тоже не способны работать с информацией? 

 

4 часа назад, OffPlankton сказал:

И что тут не так? Хотели увидеть полностью роботизированное производство? Я тоже почитываю фантастику, но надо уметь разделять вымысел и реальность.

 

Скажите, только честно, как вы устроились в Ростелеком? Складывается такое ощущение, что сразу после окончания профильного заведения - вы сели на место начальника, который в теории что-то знает или слышал, но на практике ничего не видел и не желает дальше обучаться. 

 

Вам прямым текстом здесь пишет человек, который работал на производстве, а вы тут настаиваете на своём субъективном мнении...

 

4 часа назад, OffPlankton сказал:

Нет, вы прямо указали название бренда.

И? Это Вас задело... - это ваше право.  

 

 

4 часа назад, OffPlankton сказал:

Разговор шёл о каналах разных ОУ, а не о подсетях в каком-то конкретном. Читайте внимательнее.

 

Не уходите от ответа

Цитата

 доступ к ЛВС имеют все, кто подключен к ЕСПД.

 

Все - включает в себя школьную ЛВС и Wi-Fi, а не межсетевая прямая связь между ЕСПД.

А вот в закрытом сегменте  ЕСПД - находится много доступных подсетей с различным оборудованием: ip-видеорегистраторы, ip-камеры, маршрутизаторы и т.д. 

 

 

4 часа назад, OffPlankton сказал:

Эта "плешь" сделана, дабы в ОУ работали vpn от крипто-про и VipNet. Если у кого-то школьники имеют права для установки vpn-клиентов.

 

Опять прокол не в вашу пользу. Через беспроводную сеть Wi-Fi подключаться к ЕСПД сети могут не только школьники, педагоги, административно-хозяйственный персонал, но ещё третьи  посторонние лица находящиеся в радиусе действия ТД, который доступен за пределами школьной территории...

 

4 часа назад, OffPlankton сказал:

то в чем вина провайдера?

 

Как всегда концов не найти, в данном случае виновны оба участника "Минцифры РФ" (иницианизатор проекта, заказчик контракта) и "Ростелеком" (исполнитель контракта, который халатно относится к ИТ - безопасности и не предпринимает ни каких шагов по устранению проектных недочётов). Минцифра не занимается техническими вопросами связанной с проектом ЕСПД, а перенаправляет в Ростелеком. 

Ещё раз повторюсь: хотите играть в такой футбол по установленным законом правилам, значит будем искать влиятельного судью, который будет следовать букве закона. 

[OKOIPT]

А можно как-нибудь через техподдержку Ростелекома сделать так, чтобы не было доступа Wi-Fi клиентов к проводной локальной сети учреждения ? Кто-то пробовал это сделать ? 

 

 

[lea-nsk]

5 минут назад, OKOIPT сказал:

А можно как-нибудь через техподдержку Ростелекома сделать так, чтобы не было доступа Wi-Fi клиентов к проводной локальной сети учреждения ? Кто-то пробовал это сделать ? 

 

 

В техподдержке РТК говорят - нельзя, всё сделано согласно утверждённому проекту от Минцифры... Пришлось вырубить физически все точки Wi-Fi "espd" - жалобы пишет на нас РТК, причина: тд входят в состав предоставления ими услуги, за которую им необходимо отчитываться перед заказчиком и контролирующими прочими органами. Жалобы пишет Минцифре, последние пишут жалобу в городской отдел управление образованием. В ответ получают объяснительную от нас со всеми техническими разъяснениями, УО ничего не понимает в технических вопросах и не даёт обратный ответ... Ок. 

На меня вышел центральный офис РТК по моему вопросу связанным с Wi-Fi, сказали, что  необходимо обратиться к президенту Ростелекома... 

[OKOIPT]

Я пока сделал так - на серверах с файлообменниками на сетевой карте прописал IP адрес и маску из сети 10.х.х.х. Без указания шлюза. ДНС тоже прописал. Доступа из сети WIFI до этих серверов нет. Проверено много раз. А на пользовательских ПК отрубаю все брандмауэром. Доступа тоже нет, если и есть, то при подключении просит логин и пароль от локальной учетной записи. 

 

PS. И как, есть желание у кого-нибудь обратиться к президенту Ростелекома ?

[YuryD]

@lea-nsk

> Пришлось вырубить физически все точки Wi-Fi "espd" - жалобы пишет на нас РТК, причина: тд входят в состав предоставления ими услуги, за >которую им необходимо отчитываться перед заказчиком и контролирующими прочими органами.  Погасить радиоэфир или резко снизить уровни сигнала - ну это-же просто. Если антенны внешние и сьемные - открутите их. Если несьемные  - опутайте тд металлической сеткой и заземлите. В результате - тд по эзернету доступна и якобы работает, а что к ней подключений не бывает - ну завхоз прикрыл от пыли мух, или хулюганы антенны отвандалили...

 

p.s. сплошной фольгой не надо - перегреются, на размеры отверстий - смотрите на сетку в дверце микроволновки ~1mm. Где взять - смотрите металлические сетки на окна, под кошку, они возможно железные.

[lea-nsk]

1 час назад, YuryD сказал:

@lea-nsk

> Пришлось вырубить физически все точки Wi-Fi "espd" - жалобы пишет на нас РТК, причина: тд входят в состав предоставления ими услуги, за >которую им необходимо отчитываться перед заказчиком и контролирующими прочими органами.  Погасить радиоэфир или резко снизить уровни сигнала - ну это-же просто. Если антенны внешние и сьемные - открутите их. Если несьемные  - опутайте тд металлической сеткой и заземлите. В результате - тд по эзернету доступна и якобы работает, а что к ней подключений не бывает - ну завхоз прикрыл от пыли мух, или хулюганы антенны отвандалили...

 

p.s. сплошной фольгой не надо - перегреются, на размеры отверстий - смотрите на сетку в дверце микроволновки ~1mm. Где взять - смотрите металлические сетки на окна, под кошку, они возможно железные.

Ага, ещё контур заземления придётся тянуть к каждой точки доступа по всём этажам...😄 

Если серьёзно, точки доступа не имеют внешних антенн. Откручивания фольгой - тогда точно потребуется заземление... Так что не вариант. 

[YuryD]

@lea-nsk

>Ага, ещё контур заземления придётся тянуть к каждой точки доступа по всём этажам...😄 

 

 это не так сложно, либо 3-й провод в электроразводке (он ноль, но в шкафах ноль с землей все равно соединён). Далее - водопроводы  холодной воды должны быть обязательно заземлены, если все на металлопластик не заменили. В железобетоне - забейте дюбель подлиннее, не силовое но вполне заземление, в панельных техэтажах работает. Для проверки - забейте дюбель и померьте китайским тестером ~напряжение от любого контакта силовой розетки.

 

 И не пужайте меня этажностью школьных зданий, в текущем варианте до 3х этажей, в древних - до 5эт. Столовая, как правило электро, и земля там обязательно есть, 1эт обычно. Далее - тащить полный стандартный контур заземления до этой сетки необязательно. Достаточно милливаттные токи снять.

[lea-nsk]

41 минуту назад, YuryD сказал:

@lea-nsk

>Ага, ещё контур заземления придётся тянуть к каждой точки доступа по всём этажам...😄 

 

 это не так сложно, либо 3-й провод в электроразводке (он ноль, но в шкафах ноль с землей все равно соединён). Далее - водопроводы  холодной воды должны быть обязательно заземлены, если все на металлопластик не заменили. В железобетоне - забейте дюбель подлиннее, не силовое но вполне заземление, в панельных техэтажах работает. Для проверки - забейте дюбель и померьте китайским тестером ~напряжение от любого контакта силовой розетки.

 

 И не пужайте меня этажностью школьных зданий, в текущем варианте до 3х этажей, в древних - до 5эт. Столовая, как правило электро, и земля там обязательно есть, 1эт обычно. Далее - тащить полный стандартный контур заземления до этой сетки необязательно. Достаточно милливаттные токи снять.

У нас старое здание использующее систему заземления TN-C-S. В остальном вашем описании, необходимо: закупать дополнительно провод, фальгу,... - производить соответствующие монтажные работы, всё бы хорошо, но это упирается в деньги, которых нет. Ещё могут наведаться проверяющие из минцифры, которые проверяют целостность и работоспособность ЦОС ЕСПД оборудования. Мне легче для проверки воткнуть обратно патч-корды в ТШ от ТД, чем потом возиться с фольгой бегая по всему зданию... 

 

Тут уже дело принципа, жду продолжения и финала всего этого цирка под названием "Контрактный ЕСПД". 

Изменено 22 февраля, 2023 пользователем lea-nsk

[YuryD]

@lea-nsk  Однако, вы очень принципиальны в сей отрасли. Идете как Дон-Кихот! Я Вас уважаю!

[jffulcrum]

В 21.02.2023 в 10:03, lea-nsk сказал:

Производство радиокомпонентом в Китае делится на 3 категории:

Разновидностей побольше, одни эксперты выделяют пять, другие даже семь.

 

В 21.02.2023 в 15:56, lea-nsk сказал:

Когда видишь вот такое отечественное производство: https://vc.ru/tech/585442-fotografii-proizvodstva-rossiyskogo-monitora-beshtau

По ссылке отверточная сборка, к производству РЭА это имеет очень отдаленно отношение. Такие отечественные вендоры сетевого оборудования существуют, но это меньшинство, большинство работает по модели "Интеграл", а крупняк вроде Eltex имеет автоматизированные линии по монтажу компонентов на платы, платы, правда (вернее, их заготовки) пока заказанные из Китая, но есть уже и попытки в посконный текстолит. Закупается все, понятное дело, уже не на Алибабе.

[lea-nsk]

16 часов назад, jffulcrum сказал:

По ссылке отверточная сборка, к производству РЭА это имеет очень отдаленно отношение

Почти, я специально акцентировал ваше внимание на технологический производственный подход "производство на глаз". Монитор включился и что-то показывает - хорошо! Аналогичный подход действует по гос.контрактам в госучреждения, где могут в поставляемых моноблоках: внешние видеокарты двухсторонним скотчем к внутреннему шасси приклеивать...

 

16 часов назад, jffulcrum сказал:

большинство работает по модели "Интеграл",

 

Вот именно. Как не крути, изначально из всего произведенного производная "NoName" получается.

 

Конечно можно делать собственную трассировку печатных плат с нанесением своего логотипа, номера версии, серийного номера... Создавать собственные импульсные источники питания всё на той же имеющейся в природе рабочей основе, создавать собственный дизайн корпуса и т.д.  - это не проблема.

Даже взаимозаменяемость прошивок взятых из других брендов - тоже не проблема. 

 

Проблема в ключевых высокотехнологичных радиокомпонентах, например, использование RTL9301 в своих изделиях - по сути, это чужая интеллектуальная собственность.

Сегодня - она доступна, завтра - может попасть под санационный запрет для продажи в Россию, включая аналоги...

Это ещё не самое страшное, в наше время, никого не удивишь такими словами как: утечка персональных и прочих данных, промышленный шпионаж... Из всех источников информации говориться: про человеческий фактор, компьютерные вирусы, хакеров и т.д.

Но мало, кто слышал про угрозу радиоэлектронной безопасности. Когда технические проблемы самопроизвольно возникают в том или ином электронном устройстве. 

Дело в том, что некоторые высокотехнологичные радиокомпоненты могут скрывать в себе второе своё тёмное предназначение.  Внешние параметры чипа, его маркировка, рабочие параметры - всё соответствует заявленным, внутри может располагаться дополнительная функциональная схема или запрограммированный дополнительный скрытый логический алгоритм, когда этот чип установлен в конечное изделие, производитель и потребитель данного изделия не будет подозревать о том, что в устройстве существует интегрированная в электроники отдельная вредоносная система ожидающая свою активацию из вне, либо запрограммированная на работу временного таймера, или для сбора и передачи информации...

Чем это грозит?

Первый вариант. Группа ключевого радиоэлектронного оборудования расположенного в правительственных учреждениях, а также на крупных узлах связи, атомных и прочих электростанциях и т.д.  - по переданной команде из вне перестанут выполняться свои первоначальные функции, в электронных устройствах нарушиться работа логических алгоритмов, блокируя различные логические уровни доступа...

   

Второй вариант. телекоммуникационное оборудование будет являться шпионом-ретранслятором цифровых данных содержащую гос. тайну и т.д.

 

В первую очередь, это касается российских компаний-производитель отечественного высокотехнологичного оборудования, кто связан с крупными госзаказами...

 

 

К сожалению, это не фантастика, разработка была начата в далёкие годы "холодной войны" недружественных стран с СССР.

 

В нашем случае, я специально сделал акцент на отечественного производителя телекоммуникационного оборудования Eltex, который снабжает своим оборудованием крупные госзаказы федерального масштаба, закупая зарубежные радиокомпоненты.

 

 

18 часов назад, jffulcrum сказал:

вроде Eltex имеет автоматизированные линии по монтажу компонентов

 

Станки для автоматизированной линии не отечественные (TOLO и др.), требуют к себе соответствующее техническое обслуживание, наличие расходных материалов, запасных ремонтных комплектов, обновление ПО ЧПУ...

 

В остальном, мне не нравится архитектура схемотехники в Eltex

 

На фото,изделие в разборе: Коммутатор Eltex MES2124

 

 

В данном изделии, много используется электролитических конденсаторов среднего класса, которые спустя 2,5-3 года выйдут из строя в режиме работы 24/7.  Фото с БП я не видел :(

 

На фото, изделие в разборе: Вышедший из строя коммутатор Eltex MES2348B

 

 

Недостатки:

1. Близкое расположение дросселя к металлическому корпусу в узле сетевого фильтра БП.

2. Зачем было оставлять такие длинные провода и загонять их в термоусадочную трубку,которые свободно могут перемещаться внутри корпуса, накапливать на себе пыль?

3. Система активного охлаждения с двумя вентиляторами довольно странно устроена: в закрытом корпусе, в рабочем состоянии, поток воздуха будет распределяться не равномерно внутри корпуса, часть радиаторов не получат должного охлаждения т.к. основной поток воздуха будет двигаться по наименьшему сопротивлению от вентиляционных отверстий в корпусе... (Возможно там и были направляющие воздуховоды, нужно смотреть в разборе весь оригинал).  

 

На фото, изделие в разборе: Коммутатор Eltex MES2*48P

 

В данном изделии, используется много электролитических конденсаторов среднего класса, которые спустя 2,5-3 года выйдут из строя в режиме работы 24/7.  Подробного фото, в разборе, вместе с 2 модульными БП я не видел :(

     

Ещё меня добил этот "колхоз" с силовыми проводами имеющих поперечное сечением 1,5-2,5 мм2 в опрессованными гильзами и винтовыми клеммами (PCB) переходящие в проводник меньшего поперечного сечения ... - а припаять провод напрямую на плату -  видимо не судьба.

 

 

Фото экскурсия по самому заводу https://yandex.ru/images/search?from=tabbar&text=завод элтекс

оставила у меня положительные впечатления. Там действительно видно настоящее производство.     

 

 

 

 

 

[jffulcrum]

По конденсаторам - там нет ни больших токов, ни большого тепловыделения, и работать оно может достаточно долго. Опасны разве что длительные простои без питания - достав такой со склада и включив можно быстро столкнуться с деградацией, а в эксплуатации оно легко отработает по нескольку расчетных сроков (которые обычно рассчитывает производитель для высоких нагрузок/верхней границе эксплуатационных требований

[lea-nsk]

33 минуты назад, jffulcrum сказал:

По конденсаторам - там нет ни больших токов, ни большого тепловыделения, и работать оно может достаточно долго. Опасны разве что длительные простои без питания - достав такой со склада и включив можно быстро столкнуться с деградацией, а в эксплуатации оно легко отработает по нескольку расчетных сроков (которые обычно рассчитывает производитель для высоких нагрузок/верхней границе эксплуатационных требований

Конденсаторы - ещё нужно учитывать важный фактор касающейся стабилизации предельного уровня величины напряжения. Смотреть поведение БП в различных его режимах работы. Как отмечают сами пользователи коммутаторов (официальная группа сообщества  Eltex) ... Eltex , - конденсаторы в БП и не только хорошо взрываются. 

 

Мне коллеги писали, что них коммутаторы MES долго не проработали. Ещё имеется проблема -  они быстро дохнут, если они не подключены к контуру заземления (об этом регулярно пишут участники из группы сообщества Eltex). Я не зря на фото отметил близко расположенный к корпусу дроссель... 

 

В настоящее время, я сам эксплуатирую  POE коммутаторы Eltex более 14 месяцев - проблем не наблюдаю, кроме повышенного небольшого тепловыделения. 

 

У некоторых моих коллег ТШ на 6 юнитов - заперт на замок, вентиляция в ТШ слабая... в летнее время в тех помещениях бывает довольно жарко... вот жду от коллег новостей связанных с эксплуатацией телекоммуникационного оборудования Eltex в экстремальных условиях. 

Изменено 23 февраля, 2023 пользователем lea-nsk

[NarkoHeal]

По поводу доступа с WIFI Espd к локальным ресурсам ОУ:
Никто не мешает всю лвс закинуть за nat, только использовать любую машину с парой физических интерфейсов или более менее вменяемый роутер. На каждый интерфейс прописать практически весь выданный диапазон IP и за натом, каждую машину выпускать с нужным IP в espd (будет нечто похожее на прозрачный нат). Тогда и авторизация ЕСИА будет на каждом ПК своя работать и доступ с wifi espd к лвс можно прибить. Я уж не говорю о том, что и остальные плюшки появляются. И геморроя нет, работы на 5 минут, 2 из которых на воспоминании пароля от ssh...
Так же на железке, выполняющую роль роутера можно воткнуть свою проксю и гнать нужные ПК с необходимых портов через iptables на него, а того в свою очередь гнать с разными ip на СКФ. Там же, если нужно, можете и vpn пригрохнуть, запретив http_connect для неразрешенных удаленных ip.
По проекту оно так сделано, я думаю, чтобы подключались рабочие ПК через wifi и имели доступ к ресурсам, таким как: принтеры, smb и пр... Вообще, проект писался, я думаю, не мин.цифры, а самим РТК (обычно так и делают), но вот мин. цифры не вникали, а РТК делали удобно для себя. Достаточно вспомнить, как обстоят дела с ONT у физических лиц. Вот так и подписалось все это.
А в iptables уже расписать, кого с каким ip гнать. Используя маркировку, еще и расписать, какой трафик гнать на прокси, какой миновать прокси (например, эл. журнал, авторизация есиа). Из хлопот останется: выпустить свой корневой сертификат, установить его на ПК в ОУ и взять нужные MACи либо компов где должна быть СКФ или наоборот, где не должна быть. А там уже, либо по MAC-ам маркировать или выдавать нужные IP по dhcp.

Кто то еще писал про то, что РТК нафиг данные не нужны и сливать они не будут. С этим могу в некоторой степени поспорить. Может быть далеко сливать и не будут, но в нашем регионе РТК умудрились сделать сводный отчет пользования СКФ и притащить в УО (не путать с ОУ), где подробно были указаны часто посещаемые странички, инфа о get/post запросах не в форматированном виде, естественно IP espd и еще много чего интересного. Я, конечно, понимаю, что работник на работе должен выполнять рабочие задачи, но в post запросах мелькают пароли от той же личной почты работника.. В связи с этим вопрос, с какой целью чувствительные данные записываются, а потом еще и, практически, кто хочет может с ними ознакомиться?
Борьба с этим очень интересная. Берется диапазон IP и каждый запрос (получение dns, загрузка картинки, css стиля, js файла, шрифт и прочего имеющегося на каждой веб страничке) бежит через разный IP еспд, временами подмешивая к этому GET запросы к pornhub. У потребителя все открывается по правилам СКФ, а у тех, кто делает отчеты - головная боль.


А про штрафы к РТК по госзаказу, смысла улыбаться нет. Там в этом контракте штрафы уже заложены были. РТК свои деньги считать умеет. Думаю, многие прекрасно видели, как происходило все это развертывание. Например, имея силовую линию, от промышленных ИБП в ОУ, они умудрились от щитовой затащить новую линию, набить свой кабель канал рядом с идущим практически пустом кабель канале и поставить свой ippon аж black office на целых 300 (кто то там заикался, о том, что оборудование для долгого срока службы должно работать через ИБП, только вот этот ИБП при наличии напряжения на входе, тупо через реле соединяет ввод с выводом и никак не ограничивает превышения по питанию, не говоря уж об модификации амплитуды). Я уж не говорю о том, что оптику, которую 2 года назад прокладывали прямо от АТС, в которой еще остались свободные волокна, они повторно перепрокладывали с рядом имеющейся. У нас они еще пытались свои коммутаторы впарить взамен тех, что уже у нас имеются (имею ввиду не про тот ящик на стене, который они с какой то помойки притащили, судя по следам многолетней ржавчины).

Изменено 26 февраля, 2023 пользователем NarkoHeal

[OffPlankton]

В 22.02.2023 в 16:49, OKOIPT сказал:

А можно как-нибудь через техподдержку Ростелекома сделать так, чтобы не было доступа Wi-Fi клиентов к проводной локальной сети учреждения ? Кто-то пробовал это сделать ? 

 

Технически это возможно, но из-за используемой конфигурации сети есть вероятность, что так же пропадёт связь между wifi-клиентами, подключенными к точкам доступа, подключенным у разным POE-коммутаторам. Ну и по регламенту это нельзя делать, поскольку меняется схему. Но можете попробовать подать заявку, если попадете на инженера, который точно знает как это провернуть, то всё может и выгореть.

[lea-nsk]

11 часов назад, NarkoHeal сказал:

По поводу доступа с WIFI Espd к локальным ресурсам ОУ:
Никто не мешает всю лвс закинуть за nat, только использовать любую машину с парой физических интерфейсов или более менее вменяемый роутер. На каждый интерфейс прописать практически весь выданный диапазон IP и за натом, каждую машину выпускать с нужным IP в espd (будет нечто похожее на прозрачный нат).

Такое техническое решение по интеграции ЕСПД с ЛВС ОУ уже давно работает.

Это не снимает вопрос касающейся безопасности Wi-Fi (ESPD):

1. Доступа к сети интернет посторонним лицам;

2. Использование злоумышленниками "сниффер техноллогий" для извлечения/эмуляции различных данных (получение доступа персональным данным в ЕСИА и прочим ресурсам, извлечение персональных данных...);

 

До сих пор, нет внятного ответа на вопрос - Кто несёт ответственность за утечку ПД, за распространение вредоносного распространяемого контента через беспроводную сеть Wi-Fi (ESPD) распространяемого от неизвестного источника?   

 

 

11 часов назад, NarkoHeal сказал:

По проекту оно так сделано, я думаю, чтобы подключались рабочие ПК через wifi и имели доступ к ресурсам, таким как: принтеры, smb и пр...

Не думаю, авторы проекта очень торопились с реализацией проекта... Хотя, использование ЦОС предполагает использование гаджетов в учебных целях с использование беспроводных сетей... До ЕСПД, в других регионах имелась аналогичная реализация проекта ЦОС, там было предусмотрено всё, включая мониторинг сети и клиентов на уровне ОУ...

 

11 часов назад, NarkoHeal сказал:

А про штрафы к РТК по госзаказу, смысла улыбаться нет.

Не в этом дело, дело в профильной компетенции заказчика и исполнителя.

 

Посмотрите посты немного выше, и вы поймёте какой нынче профильный уровень современных знаний и навыков у сотрудников работающих в телекоммуникационных ИТ-компаниях...

 

11 часов назад, NarkoHeal сказал:

Там в этом контракте штрафы уже заложены были. РТК свои деньги считать умеет.

Это другое.

 

12 часов назад, NarkoHeal сказал:

Например, имея силовую линию, от промышленных ИБП в ОУ, они умудрились от щитовой затащить новую линию, набить свой кабель канал рядом с идущим практически пустом кабель канале

 

Всё верно они сделали, имеется проект, монтажные работы производились согласно утверждённому РП.

Технические характеристики устанавливаемого оборудования, если они удовлетворяют требования заказчика, значит всё нормально по-мнению заказчика. Возможно, это было сделано с целью экономической выгоды (по-дешевле, для галочки), а может - подвела компетенция...

 

   

 

[NarkoHeal]

2 часа назад, lea-nsk сказал:

Всё верно они сделали, имеется проект, монтажные работы производились согласно утверждённому РП.

Технические характеристики устанавливаемого оборудования, если они удовлетворяют требования заказчика, значит всё нормально по-мнению заказчика. Возможно, это было сделано с целью экономической выгоды (по-дешевле, для галочки), а может - подвела компетенция...

Я понимаю, что они правильно сделали исходя из распила денег. Хотели бы нормально, сделали бы возможность корректировать. Место монтажа и количество кабеля они же решают на месте, никого это не смущает. Так же по количеству они отчитывались и подписи еще и с нас брали, что мы подтверждаем и видели количество затраченного материала.

 

 

2 часа назад, lea-nsk сказал:

Такое техническое решение по интеграции ЕСПД с ЛВС ОУ уже давно работает.

Ну так и забейте на технические бреши. У Вас все работает, а как у остальных, должно мало волновать. У нас в регионе вообще правила РТК и правила, что выдвигает ЦИТ - сильно противоречат друг другу и никого это не парит. Просто пару раз какие то организации раком встанут, взгреют РТК, те в свою очередь на мин.цифры вину будут сваливать, а там то и дойдет разбор до тех, кто это дело согласовал.

 

2 часа назад, lea-nsk сказал:

Это не снимает вопрос касающейся безопасности Wi-Fi (ESPD):

1. Доступа к сети интернет посторонним лицам;

2. Использование злоумышленниками "сниффер техноллогий" для извлечения/эмуляции различных данных (получение доступа персональным данным в ЕСИА и прочим ресурсам, извлечение персональных данных...);

И на это забейте. У РТК есть технический регламент, им и отвечать за wifi. Вы только предоставляете им место для размещения точки, а все, что касается ЕСИА и дальше, за это уже отвечают другие люди.

На форуме с этим бесполезно разбираться. Есть почта мин.цифры, им можно туда задавать вопросы. Они, правда, на ростелеком все переадресуют, но если вы от них получите пару ответов, по типу: все нормально, все по регламенту - то у Вас есть бумажка, которой можно прикрыться в случае чего. Или Вы хотите, чтобы Вам вообще все прикрыли и на своем рабочем месте без разрешения на ссылку в гугле потом не могли нажать? Как говорится, не трож *****, вонять не будет. Не надо им идей подкидывать, это плохо заканчивается.


 

У меня больше вопрос к OffPlankton,

3 часа назад, OffPlankton сказал:

 

Вы, вроде как, как то связаны с этой историей?
Можете как то рассказать, что за закрытый сегмент сети? Никакой достоверной информации, которая работает - найти не удалось. Сначала разговаривал с УО (не путать с ОУ), те говорят, якобы должен быть доступ из нее к ФИС ФРДО, защищенной сети эл. журнала, которая в обычной сети работает только через vipnet. Я как то попробовал, но на ней ничего не завелось. Никто толком не может сказать, что должно в итоге заработать и как. Не раскрывают информацию, какие dns использовать и использовать ли, пинг вообще никуда не идет. Звонили на горячую линию мин. цифры, там сначала не могли сказать, что эта за сеть и как она должна работать, затем вообще заявили, что в нашем регионе не работает. Хотя при этом, сотрудники из УО, пробуя эту сеть года 2 назад, говорили, что работало все. (Админ часть электронного журнала и все плюшки, работающие сейчас через vipnet)

Изменено 27 февраля, 2023 пользователем NarkoHeal

[OffPlankton]

32 минуты назад, NarkoHeal сказал:

Вы, вроде как, как то связаны с этой историей?

Меня тут один недовольный и всезнающий товарищ записал в некие начальники РТК 😄 Это конечно приятно, но нет, я рядовой сотрудник ТП ЕСПД. Сижу тут на форуме чисто на добровольной основе, отвечаю в меру доступной мне информации.

 

28 минут назад, NarkoHeal сказал:

Можете как то рассказать, что за закрытый сегмент сети?

В целом это канал связи от ОУ до сети Минцифры, где расположены сервера с ресурсами вроде того же ФИС ФРДО и т.п. Стандартная схема такая - подключаетесь к третьему порту криптошлюза, настраиваете сетевые настройки, которые вам могут назвать в ТП ЕСПД, и вуаля - интернета нет, но есть доступ к закрытым ресурсам. Всё остальное, вроде настройки маршрутизации на школьном роутере, дабы закрытый сегмент был доступен из сети ОУ - на усмотрение самого ОУ и руками его же сотрудников.

 

38 минут назад, NarkoHeal сказал:

заявили, что в нашем регионе не работает

Подскажите ваш регион

[NarkoHeal]

2 минуты назад, OffPlankton сказал:

Подскажите ваш регион

11 Коми.

[lea-nsk]

4 минуты назад, NarkoHeal сказал:

На форуме с этим бесполезно разбираться. Есть почта мин.цифры, им можно туда задавать вопросы.

 

Это не разборка, а "информационный посыл". Современные технологии позволяют в сети интернет получать и анализировать данные из разных цифровых информационных источников... Дальше, информация дойдёт до конечного истинного адресата, это дело времени.   

 

Почта мин.цифры - есть, компетентных ответов - нет, или перенаправляют вопросы сразу в РТК... (бесконечный "футбол").   

 

16 минут назад, NarkoHeal сказал:

Ну так и забейте на технические бреши...

 

Верно, это не моя забота, для этих целей имеются "высококвалифицированные специалисты", которые заваривают эту кашу - путь её расхлёбывают потом.

 

Тем более, Правительство РФ - торопит минцифры РФ со сроками введения "электронного  удостоверение личности гражданина России". На сегодняшний день из технических решений имеется только использование "QR-кода", который будет работать через сервис "госуслуги" использующий ЕСИА...

 

Последствия, конечно будут... совсем скоро, мы сами всё это увидим в действии.

 

 

  

[lea-nsk]

5 минут назад, OffPlankton сказал:

Меня тут один недовольный и всезнающий товарищ записал в некие начальники РТК 😄 Это конечно приятно, но нет, я рядовой сотрудник ТП ЕСПД.

 

Проходилось мне общаться с некоторыми начальниками из различных подразделений РТК, получал от них аналогичные с вашими ответы... Ещё, они не особо любят деловое общение через интернет...

 

28 минут назад, OffPlankton сказал:

Минцифры, где расположены сервера с ресурсами вроде того же ФИС ФРДО и т.п.

 

В закрытом сегменте нет ФИС ФРДО - он находится в защищённой сети передачи данных № 3608, чтобы туда подключиться необходимо выполнить целый ряд установленных оператором условий, включая аттестацию рабочего места:

http://fis-frdo.ru/?ysclid=lemlfzme6v254934774

 

В остальных случаях только через VipNet или по схеме: VipNet-клиент (программный или аппаратный VipNet Coordinator HW...)  --> местный ЦИТ --> сеть передачи данных № 3608 (доступ только к ресурсу ФИС ФРДО).

 

 

 

 

 

[OffPlankton]

2 часа назад, NarkoHeal сказал:

11 Коми.

Мне ответили, что в вашем регионе закрытый сегмент функционирует. ip|маску|шлюз можете узнать в ТП ЕСПД, а dns (если он нужен) и адреса ресурсов нужно запросить в региональном отделении Минцифры.

 

1 час назад, lea-nsk сказал:

В закрытом сегменте нет ФИС ФРДО

Были сообщения, что ФИС ФРДО и ФИС ГИА будут включены в закрытый сегмент, но сроков решения не было, решение оставалось за Минцифрой РФ. Вероятно что всё действительно осталось на старой схеме.

[shipiguzeff]

Привет Всем! Расскажите кто как вышел из положения с разделением сети на открытый и закрытый сегмент? При общении с РТК я так понял что они не должны быть завязаны на один маршрутизатор и идеальная схема такова что: 

Закрытый сегмент: 3 порт - комок - ПК со статикой
Открытый сегмент: 2 порт - комок - ПК со статикой

При этом в закрытом сегменте инета нет и учителям как-то надо постоянно переключаться с открытого сегмента в закрытый (смена провода и ip)