forum.opennet.ru - "изолировать от сети сохранив передачу данных, как?" (16)

"изолировать от сети сохранив передачу данных, как?"

Форум Информационная безопасность (Безопасность системы)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"изолировать от сети сохранив передачу данных, как?"	+1 +/–
Сообщение от несторМахно (?), 20-Июл-20, 15:18
изолировать от сети сохранив передачу данных, или один диск на два пк. как? ---------------------------------------------------------------------------- Здравствуйте :) ! есть машина[A] которая rsunc-ом общается с сервером в сети, забирает данные и отправляет результат своей работы. теоретически сервер в сети рано или поздно будет взломан и при наличии неизвестной мне уязвимости в rsync вломана будет и машина[A]. ее взлом критичен и допустить его нельзя. по этому возник вопрос, а можно ли не программно(firejail\lxc\doker\kvm и т.д) а аппаратно изолировать эту машину сохранив при этом возможность передачи данных? например вот по такой схеме: [машина_А]=<==sata==>=[HDD]=<==sata==>=[машина_С с rsync]--<---сеть--->--[сервер_B] или +-<-sata_read-<--[HDD]-<-sata_write-<-+ [машина_А] [машина_С с rsync]--<---сеть--->--[сервер_B] +->-sata_write->-[HDD]->-sata_read->--+ или с помощью какого либо другого устройства... смысл чтобы обмениваться данными без участия сетевых программ и протоколов. можно конечно как вариант копировать данные с сервера в облако и из него забирать машиной[A] тогда для взлома потребуется взломать облачного провайдера что сложно, но хотелось бы найти решение без облаков. возможно кто-то уже сталкивался с такой задачей, или просто есть идеи?
Ответить \| Правка \| Cообщить модератору

Оглавление

Ага, шапочка из фольги, говорят, помогает По теме - бред какой-то несешь Взлома, Аноним (1), 16:36 , 20-Июл-20, (1)
Ну что же ты так, недопараноил Предположим, что в данных, которые отдаёт В , си, ACCA (ok), 16:46 , 20-Июл-20, (2)

Анон ты че такой злой Кофе кончился или жена не дала я описал модель угрозы от , несторМахно (?), 16:57 , 20-Июл-20, (3)

Я вполне благодушен Кофе не пью, жена дает два-три раза в неделю, нам хватает , Аноним (1), 17:38 , 20-Июл-20, (4)

ну потяну и что только зачем мне городить дорогущий комбайн там где справится к, несторМахно (?), 18:10 , 20-Июл-20, (5)

Затем, что настоящая безопасность стоит дорого Интернет по умолчанию открытая, н, Аноним (1), 18:56 , 20-Июл-20, (9)

приходится искать компромисс, если поступать четко по безопасности болванки прид, несторМахно (?), 19:23 , 20-Июл-20, (10)

Изначально ты искал безопасное решение, причем имеющаяся среда, предполагающая к, Аноним (1), 20:03 , 20-Июл-20, (11)

мне кажется ты слишком свысока пишешь и явно хочешь ощутить свое превосходство д, несторМахно (?), 20:44 , 20-Июл-20, (12)

Нет, всего лишь не пытаюсь быть вежливым , Аноним (1), 21:33 , 20-Июл-20, (13)

А если найду уязвимость в проверяльщике Про изоляцию сетей Недавно встретил пре, ACCA (ok), 18:21 , 20-Июл-20, (6)

если уязвимость позволит запустить твой код - сервис взломан, я пошел сушить сух, несторМахно (?), 18:33 , 20-Июл-20, (7)

хотя если я неправильно понял и речь о пакетах, то да, если весь входящий закрыт, несторМахно (?), 18:46 , 20-Июл-20, (8)

Противоречие Или надо переопределить термины, чтобы появилось пересечение между, Licha Morada (ok), 02:02 , 21-Июл-20, (14)

интересная идея, но это должно быть довольно медленно вот тут затрудняюсь ответи, несторМахно (?), 04:53 , 21-Июл-20, (15)

Как вариант - SAN СХД технологии машина_А подключается к FC-switch или SAS-s, Аноним (16), 20:38 , 23-Июл-20, (16)

Сообщения [Сортировка по времени | RSS]

1. "изолировать от сети сохранив передачу данных, как?" +/–

Сообщение от Аноним (1), 20-Июл-20, 16:36

> возможно кто-то уже сталкивался с такой задачей, или просто есть идеи?
Ага, шапочка из фольги, говорят, помогает.
По теме - бред какой-то несешь. Взломают, не взломают... Облако еще приплел, его взломать сложнее, мда... Ну свое облако подними, если тебе так спокойнее.
Либо настрой файрвол, обновляй своевременно ОС/софт и не парь мозг себе и людям, либо вози свои данные на троллейбусе.

Ответить | Правка | Наверх | Cообщить модератору

2. "изолировать от сети сохранив передачу данных, как?" +/–

Сообщение от ACCA (ok), 20-Июл-20, 16:46

Ну что же ты так, недопараноил.
> есть машина[A] которая rsunc-ом общается с сервером [В] в сети, забирает данные и
> отправляет результат своей работы.
Предположим, что в данных, которые отдаёт [В], сидит троян. При попытке обработки данных на [А] его запускает. Дальше нафантазируешь сам.
Всё, что для взлома - это знать, как устроен обработчик на [A].

Ответить | Правка | Наверх | Cообщить модератору

3. "изолировать от сети сохранив передачу данных, как?" +/–

Сообщение от несторМахно (?), 20-Июл-20, 16:57

>>>По теме - бред какой-то несешь.Облако еще приплел, его взломать сложнее, мда... Либо настрой файрвол, обновляй своевременно ОС/софт и не парь мозг себе и людям, либо вози свои данные на троллейбусе. <<<
Анон ты че такой злой? Кофе кончился или жена не дала?
я описал модель угрозы от которой защищаюсь, если ты не понял так хоть негатив при себе держи.

> Ну что же ты так, недопараноил.
> Предположим, что в данных, которые отдаёт [В], сидит троян. При попытке обработки
> данных на [А] его запускает. Дальше нафантазируешь сам.
> Всё, что для взлома - это знать, как устроен обработчик на [A].
спасибо, это учел :) данные проверяются перед обработкой.

Ответить | Правка | Наверх | Cообщить модератору

4. "изолировать от сети сохранив передачу данных, как?" +/–

Сообщение от Аноним (1), 20-Июл-20, 17:38

>>>>По теме - бред какой-то несешь.Облако еще приплел, его взломать сложнее, мда... Либо настрой файрвол, обновляй своевременно ОС/софт и не парь мозг себе и людям, либо вози свои данные на троллейбусе. <<<
> Анон ты че такой злой? Кофе кончился или жена не дала?
Я вполне благодушен. Кофе не пью, жена дает два-три раза в неделю, нам хватает. Просто говорю то, что думаю без обиняков.
> я описал модель угрозы от которой защищаюсь, если ты не понял так
> хоть негатив при себе держи.
Хорошо, вот тебе решение согласно твой модели - строй собственную изолированную сеть передачи данных. Тяни собственные кабели, закупай оборудование и обеспечивай охрану всего этого хозяйства. Потянешь ты все это? Думаю, нет - что возвращает нас к моему первоначальному посылу.

Ответить | Правка | Наверх | Cообщить модератору

5. "изолировать от сети сохранив передачу данных, как?" +/–

Сообщение от несторМахно (?), 20-Июл-20, 18:10

> Хорошо, вот тебе решение согласно твой модели - строй собственную изолированную сеть
> передачи данных. Тяни собственные кабели, закупай оборудование и обеспечивай охрану всего
> этого хозяйства. Потянешь ты все это? Думаю, нет - что возвращает
> нас к моему первоначальному посылу.
ну потяну и что? только зачем мне городить дорогущий комбайн там где справится китайский контроллер задающий очередь чтения\записи на один диск для двух компов?
только вот ненагуглил я такого... но не может быть чтобы подобный вопрос ни разу не возникал у безопасников.
ты вот говоришь "строй изолированную сеть" а мне в нее то данные как пихать если она изолированная? данные в интернете если что, их пользователи шлют. на болванках раз в день приносить?
а если нет то уже не изолированная она, ведь каким-то клиентом мы из нее должны куда-то лезть и данные брать.

Ответить | Правка | Наверх | Cообщить модератору

9. "изолировать от сети сохранив передачу данных, как?" +/–

Сообщение от Аноним (1), 20-Июл-20, 18:56

>> Хорошо, вот тебе решение согласно твой модели - строй собственную изолированную сеть
>> передачи данных. Тяни собственные кабели, закупай оборудование и обеспечивай охрану всего
>> этого хозяйства. Потянешь ты все это? Думаю, нет - что возвращает
>> нас к моему первоначальному посылу.
> ну потяну и что? только зачем мне городить дорогущий комбайн
Затем, что настоящая безопасность стоит дорого.
> ты вот говоришь "строй изолированную сеть" а мне в нее то данные
> как пихать если она изолированная? данные в интернете если что,
Интернет по умолчанию открытая, небезопасная сеть. Поэтому либо ты принимаешь связанные с нею риски - и мы возвращаемся к моему первоначальному посылу; либо...
> их пользователи шлют. на болванках раз в день приносить?
Да, там где безопасность диктует свои требования, так и поступают.
Имею в своей организации подобную изолированную сеть. Свои два сервера и четыре рабочих места. Плюс еще два компьютера со спецдоступом. На один скидывают данные извне, и там их тщательно проверяют. Если ничего криминального не находят - переносят их на второй комп, который включен в изолированную сеть, и с него (и только с него) загружают на сервер.
Все это хозяйство стоит как МКС, потому что каждая резиновая ножка у подставки монитора сертифицирована ФАПСИ, ФСБ, ФСТЭК и еще многими непонятными лично мне аббревиатурами, я, слава богу, лично к этому отношения никакого не имею. Те, кто имеют, имеют небольшой профит к зарплате и много проблем в личной жизни.
Еще раз спрашиваю - тебе за безопасность или за поговорить о погоде?

Ответить | Правка | Наверх | Cообщить модератору

10. "изолировать от сети сохранив передачу данных, как?" +/–

Сообщение от несторМахно (?), 20-Июл-20, 19:23

>> их пользователи шлют. на болванках раз в день приносить?
> Да, там где безопасность диктует свои требования, так и поступают.
приходится искать компромисс, если поступать четко по безопасности болванки придется носить каждые 5-10 минут.
если я не найду решение так и будут делать. но мозг мне зачем?
> Еще раз спрашиваю - тебе за безопасность или за поговорить о погоде?
мне компромисс. а конкретно сейчас ищу как один диск к двум компам подключить и чтоб работало.

Ответить | Правка | Наверх | Cообщить модератору

11. "изолировать от сети сохранив передачу данных, как?" +/–

Сообщение от Аноним (1), 20-Июл-20, 20:03

> приходится искать компромисс, если поступать четко по безопасности болванки придется носить
> каждые 5-10 минут.
Изначально ты искал безопасное решение, причем имеющаяся среда, предполагающая компромисс, тебя на тот момент не устраивала, что и вызвало мой к тебе посыл. Быстро же ты меняешь приоритеты.
> если я не найду решение так и будут делать. но мозг мне
> зачем?
Боюсь, что прямой ответ снова вызовет у тебя боль и недоумение :)
>> Еще раз спрашиваю - тебе за безопасность или за поговорить о погоде?
> мне компромисс.
Компромиссное решение я тебе предложил изначально - не [cencored] мозги себе и людям, соблюдай элементарные правила сетевой гигиены, и будет тебе щастье. А день и ночь отмахиваться матрасом от мифических угроз - руки устанут.
> а конкретно сейчас ищу как один диск к двум компам
> подключить и чтоб работало.
Смотри на распределенные файловые системы - Cepf, Lustre, GlusterFS.
Смотри в сторону собственных облаков - Owncloud, Nextcloud
Все это - компромиссы в незащищенной сети Что тебя изначально не устраивало, иначе первый же запрос в гугле привел тебя если не к этим словам, то к чему-то, очень на них похожему. И имеющие свои уязвимые места.

Ответить | Правка | Наверх | Cообщить модератору

12. "изолировать от сети сохранив передачу данных, как?" +/–

Сообщение от несторМахно (?), 20-Июл-20, 20:44

> что и вызвало мой к тебе посыл. Быстро же ты меняешь приоритеты.
> Боюсь, что прямой ответ снова вызовет у тебя боль и недоумение :)
> не [cencored] мозги себе и людям.
мне кажется ты слишком свысока пишешь и явно хочешь ощутить свое превосходство даже там где это вызывает недоумение :)
мы видимо не понимаем друг друга, да и ладно.
твои предложения я учел, подожду, почитаю, может еще кто ответит, люди разные, решений тоже немало.

Ответить | Правка | Наверх | Cообщить модератору

13. "изолировать от сети сохранив передачу данных, как?" +/–

Сообщение от Аноним (1), 20-Июл-20, 21:33

> мне кажется ты слишком свысока пишешь и явно хочешь ощутить свое превосходство
> даже там где это вызывает недоумение :)
Нет, всего лишь не пытаюсь быть вежливым.

Ответить | Правка | Наверх | Cообщить модератору

6. "изолировать от сети сохранив передачу данных, как?" +/–

Сообщение от ACCA (ok), 20-Июл-20, 18:21

> спасибо, это учел :) данные проверяются перед обработкой.
А если найду уязвимость в проверяльщике?
Про изоляцию сетей. Недавно встретил прелюбопытнейшую конфигурацию - cеть на публичных адресах, но изолирована простейшим firewall без трансляции адреса. Наружу ты выйти можешь, а внутрь не попасть. Даже VPN туда невозможно пробросить.

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

7. "изолировать от сети сохранив передачу данных, как?" +/–

Сообщение от несторМахно (?), 20-Июл-20, 18:33

> А если найду уязвимость в проверяльщике?
если уязвимость позволит запустить твой код - сервис взломан, я пошел сушить сухари.
если нет - не все потеряно :)
> Про изоляцию сетей. Недавно встретил прелюбопытнейшую конфигурацию - cеть на публичных
> адресах, но изолирована простейшим firewall без трансляции адреса. Наружу ты выйти
> можешь, а внутрь не попасть. Даже VPN туда невозможно пробросить.
если можно наружу то можно и внутрь, простейший пример tor_hidden_service, поднимаем его внутри этой сетки, он лезет наружу, регается на нодах, и все - заходи по ssh.

Ответить | Правка | Наверх | Cообщить модератору

8. "изолировать от сети сохранив передачу данных, как?" +/–

Сообщение от несторМахно (?), 20-Июл-20, 18:46

>Наружу ты выйти можешь, а внутрь не попасть.
хотя если я неправильно понял и речь о пакетах, то да, если весь входящий закрыт то и тор не сработает

Ответить | Правка | Наверх | Cообщить модератору

14. "изолировать от сети сохранив передачу данных, как?" +/–

Сообщение от Licha Morada (ok), 21-Июл-20, 02:02

> аппаратно изолировать
> сохранив при этом возможность передачи данных
Противоречие. Или надо переопределить термины, чтобы появилось пересечение между "ещё можно обмениваться данными" и "уже аппаратно изолированно".
Пусть оператор читает с экрана одной машины и набивает данные на другой. Это достаточно изолированно?
Или пусть одна машина показывает на экране QR, а другая распознаёт веб-камерой.
Не так давно описывали сценарий проникновения в изолированную сеть когда одна машина пищала динамиком, а другая слушала микрофоном.
Или пусть оператор на внешних носителях таскает данные, хотя иранские центрифуги от Stuxnet это не спасло.
Вроде бы, можно порт USB перевести в роль device, так чтобы одни компьютер представлялся флешкой другому. Это всё еще считается за аппаратную изоляцию, или уже нет? Хотя, я бы больше доверил сети IP.

Вам про изолированную сеть дело писали, она может быть просто шнурком от одной машины к другой.
Интернет - сервер А - изолированная сеть - сервер Б.
Если процесс позволяет, сервер Б можно держать отключённым, от эенергии и/или от изолированной сети, и включать только когда надо переборсить данные.
Для каждой транзакции, сервер А можно загружать с RO носителя и на время отключать от Internet.
Короче, это не столько вопрос технологии, сколько строгости протокола и масштаба неудобств которые вы готовы терпеть.

Ответить | Правка | Наверх | Cообщить модератору

15. "изолировать от сети сохранив передачу данных, как?" +/–

Сообщение от несторМахно (?), 21-Июл-20, 04:53

> Или пусть одна машина показывает на экране QR, а другая распознаёт веб-камерой.
интересная идея, но это должно быть довольно медленно.

> Вроде бы, можно порт USB перевести в роль device, так чтобы одни
> компьютер представлялся флешкой другому. Это всё еще считается за аппаратную изоляцию,
> или уже нет? Хотя, я бы больше доверил сети IP.
вот тут затрудняюсь ответить, буду изучать эту возможность.
> Для каждой транзакции, сервер А можно загружать с RO носителя и на
> время отключать от Internet.
вот это тоже интересно, не подумал об этом, сейчас уже утро а не спал еще, в более адекватном состоянии обдумаю.
> Короче, это не столько вопрос технологии, сколько строгости протокола и масштаба неудобств
> которые вы готовы терпеть.
да, согласен полностью.
Licha Morada, спасибо вам за варианты!

Ответить | Правка | Наверх | Cообщить модератору

16. "SAN (СХД) технологии" +/–

Сообщение от Аноним (16), 23-Июл-20, 20:38

> смысл чтобы обмениваться данными без участия сетевых программ и протоколов.
Как вариант - SAN (СХД) технологии.
[машина_А] подключается к FC-switch или SAS-switch и монтирует LUN, выделенный для совместного использования с [машина_С с rsync].
На серверах нужна поддержка кластерной файловой системы (shared disks). Или можно просто по очереди монтировать этот LUN по расписанию. :)

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "изолировать от сети сохранив передачу данных, как?"	+/–
Сообщение от Аноним (1), 20-Июл-20, 16:36
> возможно кто-то уже сталкивался с такой задачей, или просто есть идеи? Ага, шапочка из фольги, говорят, помогает. По теме - бред какой-то несешь. Взломают, не взломают... Облако еще приплел, его взломать сложнее, мда... Ну свое облако подними, если тебе так спокойнее. Либо настрой файрвол, обновляй своевременно ОС/софт и не парь мозг себе и людям, либо вози свои данные на троллейбусе.
Ответить \| Правка \| Наверх \| Cообщить модератору

2. "изолировать от сети сохранив передачу данных, как?"	+/–
Сообщение от ACCA (ok), 20-Июл-20, 16:46
Ну что же ты так, недопараноил. > есть машина[A] которая rsunc-ом общается с сервером [В] в сети, забирает данные и > отправляет результат своей работы. Предположим, что в данных, которые отдаёт [В], сидит троян. При попытке обработки данных на [А] его запускает. Дальше нафантазируешь сам. Всё, что для взлома - это знать, как устроен обработчик на [A].
Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "изолировать от сети сохранив передачу данных, как?"	+/–
	Сообщение от несторМахно (?), 20-Июл-20, 16:57
	>>>По теме - бред какой-то несешь.Облако еще приплел, его взломать сложнее, мда... Либо настрой файрвол, обновляй своевременно ОС/софт и не парь мозг себе и людям, либо вози свои данные на троллейбусе. <<< Анон ты че такой злой? Кофе кончился или жена не дала? я описал модель угрозы от которой защищаюсь, если ты не понял так хоть негатив при себе держи. > Ну что же ты так, недопараноил. > Предположим, что в данных, которые отдаёт [В], сидит троян. При попытке обработки > данных на [А] его запускает. Дальше нафантазируешь сам. > Всё, что для взлома - это знать, как устроен обработчик на [A]. спасибо, это учел :) данные проверяются перед обработкой.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "изолировать от сети сохранив передачу данных, как?"	+/–
	Сообщение от Аноним (1), 20-Июл-20, 17:38
	>>>>По теме - бред какой-то несешь.Облако еще приплел, его взломать сложнее, мда... Либо настрой файрвол, обновляй своевременно ОС/софт и не парь мозг себе и людям, либо вози свои данные на троллейбусе. <<< > Анон ты че такой злой? Кофе кончился или жена не дала? Я вполне благодушен. Кофе не пью, жена дает два-три раза в неделю, нам хватает. Просто говорю то, что думаю без обиняков. > я описал модель угрозы от которой защищаюсь, если ты не понял так > хоть негатив при себе держи. Хорошо, вот тебе решение согласно твой модели - строй собственную изолированную сеть передачи данных. Тяни собственные кабели, закупай оборудование и обеспечивай охрану всего этого хозяйства. Потянешь ты все это? Думаю, нет - что возвращает нас к моему первоначальному посылу.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "изолировать от сети сохранив передачу данных, как?"	+/–
	Сообщение от несторМахно (?), 20-Июл-20, 18:10
	> Хорошо, вот тебе решение согласно твой модели - строй собственную изолированную сеть > передачи данных. Тяни собственные кабели, закупай оборудование и обеспечивай охрану всего > этого хозяйства. Потянешь ты все это? Думаю, нет - что возвращает > нас к моему первоначальному посылу. ну потяну и что? только зачем мне городить дорогущий комбайн там где справится китайский контроллер задающий очередь чтения\записи на один диск для двух компов? только вот ненагуглил я такого... но не может быть чтобы подобный вопрос ни разу не возникал у безопасников. ты вот говоришь "строй изолированную сеть" а мне в нее то данные как пихать если она изолированная? данные в интернете если что, их пользователи шлют. на болванках раз в день приносить? а если нет то уже не изолированная она, ведь каким-то клиентом мы из нее должны куда-то лезть и данные брать.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "изолировать от сети сохранив передачу данных, как?"	+/–
	Сообщение от Аноним (1), 20-Июл-20, 18:56
	>> Хорошо, вот тебе решение согласно твой модели - строй собственную изолированную сеть >> передачи данных. Тяни собственные кабели, закупай оборудование и обеспечивай охрану всего >> этого хозяйства. Потянешь ты все это? Думаю, нет - что возвращает >> нас к моему первоначальному посылу. > ну потяну и что? только зачем мне городить дорогущий комбайн Затем, что настоящая безопасность стоит дорого. > ты вот говоришь "строй изолированную сеть" а мне в нее то данные > как пихать если она изолированная? данные в интернете если что, Интернет по умолчанию открытая, небезопасная сеть. Поэтому либо ты принимаешь связанные с нею риски - и мы возвращаемся к моему первоначальному посылу; либо... > их пользователи шлют. на болванках раз в день приносить? Да, там где безопасность диктует свои требования, так и поступают. Имею в своей организации подобную изолированную сеть. Свои два сервера и четыре рабочих места. Плюс еще два компьютера со спецдоступом. На один скидывают данные извне, и там их тщательно проверяют. Если ничего криминального не находят - переносят их на второй комп, который включен в изолированную сеть, и с него (и только с него) загружают на сервер. Все это хозяйство стоит как МКС, потому что каждая резиновая ножка у подставки монитора сертифицирована ФАПСИ, ФСБ, ФСТЭК и еще многими непонятными лично мне аббревиатурами, я, слава богу, лично к этому отношения никакого не имею. Те, кто имеют, имеют небольшой профит к зарплате и много проблем в личной жизни. Еще раз спрашиваю - тебе за безопасность или за поговорить о погоде?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "изолировать от сети сохранив передачу данных, как?"	+/–
	Сообщение от несторМахно (?), 20-Июл-20, 19:23
	>> их пользователи шлют. на болванках раз в день приносить? > Да, там где безопасность диктует свои требования, так и поступают. приходится искать компромисс, если поступать четко по безопасности болванки придется носить каждые 5-10 минут. если я не найду решение так и будут делать. но мозг мне зачем? > Еще раз спрашиваю - тебе за безопасность или за поговорить о погоде? мне компромисс. а конкретно сейчас ищу как один диск к двум компам подключить и чтоб работало.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	11. "изолировать от сети сохранив передачу данных, как?"	+/–
	Сообщение от Аноним (1), 20-Июл-20, 20:03
	> приходится искать компромисс, если поступать четко по безопасности болванки придется носить > каждые 5-10 минут. Изначально ты искал безопасное решение, причем имеющаяся среда, предполагающая компромисс, тебя на тот момент не устраивала, что и вызвало мой к тебе посыл. Быстро же ты меняешь приоритеты. > если я не найду решение так и будут делать. но мозг мне > зачем? Боюсь, что прямой ответ снова вызовет у тебя боль и недоумение :) >> Еще раз спрашиваю - тебе за безопасность или за поговорить о погоде? > мне компромисс. Компромиссное решение я тебе предложил изначально - не [cencored] мозги себе и людям, соблюдай элементарные правила сетевой гигиены, и будет тебе щастье. А день и ночь отмахиваться матрасом от мифических угроз - руки устанут. > а конкретно сейчас ищу как один диск к двум компам > подключить и чтоб работало. Смотри на распределенные файловые системы - Cepf, Lustre, GlusterFS. Смотри в сторону собственных облаков - Owncloud, Nextcloud Все это - компромиссы в незащищенной сети Что тебя изначально не устраивало, иначе первый же запрос в гугле привел тебя если не к этим словам, то к чему-то, очень на них похожему. И имеющие свои уязвимые места.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	12. "изолировать от сети сохранив передачу данных, как?"	+/–
	Сообщение от несторМахно (?), 20-Июл-20, 20:44
	> что и вызвало мой к тебе посыл. Быстро же ты меняешь приоритеты. > Боюсь, что прямой ответ снова вызовет у тебя боль и недоумение :) > не [cencored] мозги себе и людям. мне кажется ты слишком свысока пишешь и явно хочешь ощутить свое превосходство даже там где это вызывает недоумение :) мы видимо не понимаем друг друга, да и ладно. твои предложения я учел, подожду, почитаю, может еще кто ответит, люди разные, решений тоже немало.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	13. "изолировать от сети сохранив передачу данных, как?"	+/–
	Сообщение от Аноним (1), 20-Июл-20, 21:33
	> мне кажется ты слишком свысока пишешь и явно хочешь ощутить свое превосходство > даже там где это вызывает недоумение :) Нет, всего лишь не пытаюсь быть вежливым.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "изолировать от сети сохранив передачу данных, как?"	+/–
	Сообщение от ACCA (ok), 20-Июл-20, 18:21
	> спасибо, это учел :) данные проверяются перед обработкой. А если найду уязвимость в проверяльщике? Про изоляцию сетей. Недавно встретил прелюбопытнейшую конфигурацию - cеть на публичных адресах, но изолирована простейшим firewall без трансляции адреса. Наружу ты выйти можешь, а внутрь не попасть. Даже VPN туда невозможно пробросить.
	Ответить \| Правка \| К родителю #3 \| Наверх \| Cообщить модератору


	7. "изолировать от сети сохранив передачу данных, как?"	+/–
	Сообщение от несторМахно (?), 20-Июл-20, 18:33
	> А если найду уязвимость в проверяльщике? если уязвимость позволит запустить твой код - сервис взломан, я пошел сушить сухари. если нет - не все потеряно :) > Про изоляцию сетей. Недавно встретил прелюбопытнейшую конфигурацию - cеть на публичных > адресах, но изолирована простейшим firewall без трансляции адреса. Наружу ты выйти > можешь, а внутрь не попасть. Даже VPN туда невозможно пробросить. если можно наружу то можно и внутрь, простейший пример tor_hidden_service, поднимаем его внутри этой сетки, он лезет наружу, регается на нодах, и все - заходи по ssh.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "изолировать от сети сохранив передачу данных, как?"	+/–
	Сообщение от несторМахно (?), 20-Июл-20, 18:46
	>Наружу ты выйти можешь, а внутрь не попасть. хотя если я неправильно понял и речь о пакетах, то да, если весь входящий закрыт то и тор не сработает
	Ответить \| Правка \| Наверх \| Cообщить модератору

14. "изолировать от сети сохранив передачу данных, как?"	+/–
Сообщение от Licha Morada (ok), 21-Июл-20, 02:02
> аппаратно изолировать > сохранив при этом возможность передачи данных Противоречие. Или надо переопределить термины, чтобы появилось пересечение между "ещё можно обмениваться данными" и "уже аппаратно изолированно". Пусть оператор читает с экрана одной машины и набивает данные на другой. Это достаточно изолированно? Или пусть одна машина показывает на экране QR, а другая распознаёт веб-камерой. Не так давно описывали сценарий проникновения в изолированную сеть когда одна машина пищала динамиком, а другая слушала микрофоном. Или пусть оператор на внешних носителях таскает данные, хотя иранские центрифуги от Stuxnet это не спасло. Вроде бы, можно порт USB перевести в роль device, так чтобы одни компьютер представлялся флешкой другому. Это всё еще считается за аппаратную изоляцию, или уже нет? Хотя, я бы больше доверил сети IP. Вам про изолированную сеть дело писали, она может быть просто шнурком от одной машины к другой. Интернет - сервер А - изолированная сеть - сервер Б. Если процесс позволяет, сервер Б можно держать отключённым, от эенергии и/или от изолированной сети, и включать только когда надо переборсить данные. Для каждой транзакции, сервер А можно загружать с RO носителя и на время отключать от Internet. Короче, это не столько вопрос технологии, сколько строгости протокола и масштаба неудобств которые вы готовы терпеть.
Ответить \| Правка \| Наверх \| Cообщить модератору


	15. "изолировать от сети сохранив передачу данных, как?"	+/–
	Сообщение от несторМахно (?), 21-Июл-20, 04:53
	> Или пусть одна машина показывает на экране QR, а другая распознаёт веб-камерой. интересная идея, но это должно быть довольно медленно. > Вроде бы, можно порт USB перевести в роль device, так чтобы одни > компьютер представлялся флешкой другому. Это всё еще считается за аппаратную изоляцию, > или уже нет? Хотя, я бы больше доверил сети IP. вот тут затрудняюсь ответить, буду изучать эту возможность. > Для каждой транзакции, сервер А можно загружать с RO носителя и на > время отключать от Internet. вот это тоже интересно, не подумал об этом, сейчас уже утро а не спал еще, в более адекватном состоянии обдумаю. > Короче, это не столько вопрос технологии, сколько строгости протокола и масштаба неудобств > которые вы готовы терпеть. да, согласен полностью. Licha Morada, спасибо вам за варианты!
	Ответить \| Правка \| Наверх \| Cообщить модератору

16. "SAN (СХД) технологии"	+/–
Сообщение от Аноним (16), 23-Июл-20, 20:38
> смысл чтобы обмениваться данными без участия сетевых программ и протоколов. Как вариант - SAN (СХД) технологии. [машина_А] подключается к FC-switch или SAS-switch и монтирует LUN, выделенный для совместного использования с [машина_С с rsync]. На серверах нужна поддержка кластерной файловой системы (shared disks). Или можно просто по очереди монтировать этот LUN по расписанию. :)
Ответить \| Правка \| Наверх \| Cообщить модератору