Как я внедрял первое правило ведения бизнеса в России

image
«1. Держите сервера за границей»
(с) 9,5 правил ведения безопасного бизнеса в России


Вводная часть.

Мы — маленькая компания из 10 сотрудников, половина из которых периодически работает удаленно.
Что мы имели изначально: сервер с Windows и терминальным доступом, который стоял в офисе. У всех пользователей были ноутбуки. Никакой особо конфиденциальной информации у нас нет, за исключением важной для бизнеса информации.
В один прекрасный момент меня окончательно «добила» паранойя и было принято решение вынести сервер за пределы офиса.



1) Мы арендовали два сервера: один в Германии, второй — в Нидерландах.
Конфигурации одинаковые: Intel Xeon Quad Core E3-1230 3.20 GHz / 8GB / 2x 1TB.
Обязательными условиями были: IP-KVM 24x7, гарантия ответа техподдержки до 4 часов круглосуточно, гарантия замены сервера на следующий рабочий день (NBD) и безлимитный трафик.
Дополнительные требования к ПО: Windows 2008 standard, Windows 2008 enterprise, терминальные лицензии и MS Office (Word, Excel, PowerPoint)
Эти пожелания и определили достаточно нескромный бюджет: 756 евро/мес.

Хостеров оставим неназванными. Могу только сказать, что из-за желания платить через Webmoney (т.е. не кредитными картами), пришлось обратиться к реселлерам.

2) Настройка обоих серверов на начальном этапе была полностью идентичной. После получения доступа к серверам, весь первый день был потрачен на апдейт ОС. После был установлен Hyper-V.
Сразу же была создана виртуалка на CentOS, которая и стала роутером: именно у неё был «белый» IP. Все остальные машины (в том числе хост-система) работали на «серых» адресах.
Для проведения этого фокуса с IP, нам пригодился постоянно подключенный IP-KVM. В данном случае — встроенный IPMI и iLo на каждом из серверов.
На роутере был поднят Open VPN-сервер, «снаружи» был доступен только он. Все остальные порты были закрыты.
Также на роутере поднят NAT и proxy-сервер.

3) На первом сервере на всю доступную память была создана виртуалка с Windows 2008 Standard, которая стала нашим новым офисным сервером.
7 ГБ для одновременной работы 10 человек в терминале – более чем комфортные условия. Интернет пользователям офисного сервера доступен только через прокси.
Работает Dr.Web, лицензии на который нам достались по подписке от сети, к которой подключен наш офис.
Стандартный набор офисного софта: MS Office, Acrobat Reader, PDF Creator, WinRAR, InfranView, KeePass, Chrome, Firefox.
Чтобы пользователи не путались, всем в автозагрузку был вложен файл Bginfo, который меняет цвет рабочего стола и пишет на нем, что это за сервер.

4) На втором сервере все немного интересней.
На хост-сервере стоит Windows 2008 Enterprise, которая позволяет бесплатно установить до 4-х виртуалок с Windows 2008 Standard.
Таким образом, это, по сути, сервер для бухгалтера: тут работают четыре виртуалки — CRM/биллинг, 1C8 (на нее переходим), 1C7 (с ней работаем), клиент-банк.
Все четыре сервера отделены друг от друга: они находятся в разных виртуальных сетях Hyper-V, которые не могут видеть друг друга.
Так сделано для того, чтобы в ситуации, когда какая-то из машин подхватит какую-то заразу, заражение не распространилось дальше неё.
С этих же машин отправляем отчеты в налоговую через MeDOC и “Податкову звiтнiсть”. Налоговая видит, что отчеты приходят из IP нашего офиса а не из Европы, так как трафик с «бухгалтерских» серверов маршрутизируется через VPN-туннель в офис.
Так же, как и на офисной виртуалке, на серверах с 1С, интернет доступен через прокси, работают Dr.Web'ы и стандартный софт.
В 1С 7ой ключ работает через Usb-over-network, с 1С 8 используем программный ключ.
На сервере клиент-банка интернет отключен: доступ есть только к серверам банков. Банк также видит наш офисный IP а не реальный IP сервера.

5) Все эти серверы доступны через удаленный рабочий стол (RDP) после авторизации на Open VPN-сервере (любом из двух).
И еще один плод моей паранойи: при подключении к Open VPN-серверу невозможно увидеть ни один сервер в своей сети.
По RDP на серверы можно зайти только через нестандартный порт, который «прокидывается» (DNAT) на RDP-порт соответствующей виртуалки.

6) В офисе у нас стоит Wi-Fi роутер D Link DIR-320. Мы перепрошили его, после чего настроили на нем OpenVPN-клиент.
В DIR-320 включен USB-принтер, на который через туннель могут печатать все виртуалки.
Сотрудники из офиса могут работать, ничего не меняя на своих ноутбуках.
Сотрудникам, которые хотят поработать удаленно, выдали ключи Open VPN и следующие инструкции: как настроить туннель на MacOS/Windows, как зайти на удаленный рабочий стол, как печатать на офисный принтер, как печатать на домашний принтер и тому подобное.

7) Самое важное — бекап.
Так как на хост-системах ничего кроме Hyper-V нет, их не бекапим.
В пятницу днем всем сотрудникам приходит рассылка (напоминание о событии от Google Calendar) с просьбой не забыть закрыть все приложения и сохранить все документы.
В ночь с пятницы на субботу Power Shell–скрипт выключает все виртуалки, копирует их VHD-образы в отдельную папку, а откуда копирует на дублирующий сервер через VPN-туннель + на мой сервер в Украине.
Но это только половина дела.
Каждый день на всех виртуалках запускается скрипт, который архивирует изменившиеся за сутки данные; а каждую неделю – архивирует все данные пользователей (действительно все – от документов до 1С-баз).
Архивация происходит по мотивам этой инструкции: habrahabr.ru/blogs/personal/82185, но архивы мы делаем запароленными, многотомными и с добавлением информации для восстановления. Архивы складываются в премиум-аккаунты DropBox и Google Drive и через эти сервисы попадают на оба сервера (+ директору на ноутбук).

Что имеем в итоге:
— По запросу я могу восстановить любой документ за любой день.
— Все архивы под паролем из сотни случайных символов. Даже если DropBox кому-то опять покажет все свои файлы, мой архив вскрыть будет крайне непросто.
— При каком-либо форс-мажоре с одним из ДЦ, я, чуть меньше чем за час, смогу запустить копию сервера недельной давности на другом сервере в другой стране + накатить изменения из архивов.

Все описанное работает у нас уже почти год. Особых нареканий нет, разве что апдейт ПО на четырех серверах занимает вчетверо больше времени :).
Данные из бекапных архивов пару раз восстанавливал по требованию – работает как часы.
Для теста имитировал несколько раз отключение ДЦ: поднимал все серверы из бекапа на одном из серверов. Все работает, разве что для 1С8 с программным ключом важно сделать полностью аналогичную конфигурацию на новом сервере.
У бухгалтера однажды “слетел” ноутбук, – работу восстановили за пол часа, просто выдав новый и настроив ярлыки для подключения к серверам.
Дата-центры были недоступны несколько раз на пол-часа из-за апгрейда маршрутизаторов, но в рабочее время подобного ни разу не было.
Также однажды была атака на ДЦ в Нидерландах: все «лагало» около часа в рабочее время.
Теоретически можно было бы еще наворотить шифрованные ФС и разнести серверы по разным континентам, но в нашем случае я не вижу в этом никакого смысла.


Надеюсь, эта информация была интересной. Буду рад если она кому-то пригодится.
Если решите повторить такую конфигурацию, не стесняйтесь спрашивать: я с удовольствием помогу советом и раскрою какие-либо неочевидные подробности.
Метки:
Поделиться публикацией
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Реклама
Комментарии 135
  • +52
    Месье знает толк в извращениях
    • +72
      Я бы сказал, месье знает толк в подготовке инфраструктуры для ведения бизнеса в России
      • +10
        Судя по “Податкову звiтнiсть” это не совсем Россия.
        • 0
          а судя по Медку — людям можно посочувстсовать.
        • +2
          Как мне показалось — в Украине. Но это непринципиально.
          • +4
            Верно! По задумке, в названии статьи словосочетание «первое правило ведения бизнеса в России» нужно воспринимать как одно целое. Во избежание двусмысленности — читай «Как я внедрял в Украине первое правило ведения бизнеса в России»
      • +55
        Не дай бог уволить СисАдмина!
        • +44
          У меня после прочтения сложилось впечатление, что директор и сисадмин — одно лицо.
          • +1
            Заодно с бухами (всеми сразу).

            А вообще молодцы, «спасение утопающих» — дело такое, сам не почешешься, «податкова звiтнiсть» вряд ли поможет, _в_хорошем_смысле_слова_ :)
          • 0
            в заявленную Вами тему, вопрос к топикстартеру:

            pashaxp, а что будет с этой фирмой, если Вы вдруг не сможете уделить ей внимание из-за какой-либо форсмажорной причины?
            • 0
              чтобы увидеть, для этого нужно создать такую ситуацию, наверное :)
              • 0
                Не прогнозируемо и не предусмотрено?
                • +1
                  Думаю, особых проблем не возникнет. В наших рядах есть достойные специалисты, которые справятся, я уверен.
          • +2
            Браво!
            • +6
              Всё правильно сделал!
              • +7
                паранойя обычно наоборот не позволяет пользоваться сервисами гугла и хостерами
                • +18
                  Статья не совсем полна без прохладного рассказа о налёте каких-нибудь структур! =)
                  • +1
                    Те же мысли. Статей как всё унести за бугор полно. Новостей как проводят обыски, тоже не мало. Но вот хоть бы одну статейку от подобного параноика, который пережил обыск и попытку убить бизнес, через конфискацию…
                  • +17
                    «(+ директору на ноутбук).» — а вот это слабое место с точки зрения терморектального криптоанализа.
                    • НЛО прилетело и опубликовало эту надпись здесь
                      • +3
                        ключевыми являются последние два слова unwrecker ;)
                        • +4
                          И от того, где хранится сам директор.
                          • 0
                            10-е правило ведения бизнеса в России — директор-нерезидент? )
                            • +4
                              Я бы даже сказал — директор-виртуал. То если директора украли, то надо сменить пароли и запустить копию директора на новом хостинге.
                      • 0
                        Минусы-то есть какие-нибудь? Или только одни плюсы?
                        • +8
                          -756 евро в месяц это одни плюсы?
                          • 0
                            Зависит от прибыли компании за этот месяц. Может, это малюсенький минусик…
                            • НЛО прилетело и опубликовало эту надпись здесь
                              • +4
                                Подозреваю, что для пристрастного анализа читателями и получения полезных дополнений.
                                • +2
                                  Гордость — хорошо.
                              • 0
                                если это сумма за 4 сервера, то да
                                • +1
                                  Так 2 же сервера-то…
                                  • 0
                                    Видимо, мелись ввиду 4 VPS сервера на каждом из dedicated'ов.
                              • +1
                                Ну у меня в подобной схеме основным минусом была скорость работы по RDP через ADSL. Ещё 1C8 после каждой перезагрузки виртуалки (WinXP на KVM на Убунте) считала что изменился процессор и требовала новые ключи.
                                • 0
                                  бюджет
                                  upd. Упс, опередили)
                                • +2
                                  Что имеем в итоге:
                                  — По запросу я могу восстановить любой документ за любой день.
                                  — Все архивы под паролем из сотни случайных символов. Даже если DropBox кому-то опять покажет все свои файлы, мой архив вскрыть будет крайне непросто.
                                  — При каком-либо форс-мажоре с одним из ДЦ, я, чуть меньше чем за час, смогу запустить копию сервера недельной давности на другом сервере в другой стране + накатить изменения из архивов.


                                  Вопрос о бекапах. Что если накрывается все в четверг вечером перед бекапом? И вся работа за неделю летит к черту?
                                  И какой толк от недельного бекапа если нужен вчерашний файл.

                                  Никакой особо конфиденциальной информации у нас нет, за исключением важной для бизнеса информации.
                                  > В один прекрасный момент меня окончательно «добила» паранойя и было принято решение вынести сервер за пределы офиса.

                                  Вы опасаетесь рейдерского захвата? Фирм же миллиард. Почему вы? Конкуренты? Давление властей? Хотя способ мне нравится кроме стоимости и относительно сложной архитектуры.

                                  Так… окей. Врываются к вам оборотни с russian-untouchables.com/rus/ — выносят все компьютеры, печати, сотовые телефоны, задерживают.
                                  В этом случае нужно предусмотреть случай, как в LOST, каждые 108 минут нажимать кнопку, и, если вы не нажали, то на сервере автоматически меняются пароли. Ну как в кино, если я не выйду на связь — мой парнер сообщает в полицию. Если вас задерживают, то кнопку вы не нажимаете => пароли меняются и вы получаете полную справку к психиатру)
                                  • 0
                                    На самом деле бэкапы делаются каждый день
                                    > Каждый день на всех виртуалках запускается скрипт, который архивирует изменившиеся за сутки данные

                                    По поводу захвата… Так спокойнее, лишний раз перестраховаться :)
                                    • +1
                                      Мне кажется было бы дешевле хорошую дверь, а бекапы сливать на сервера. При взломе физически убивать данные.
                                      Хотя у моего бывшего заказчика вырезали стальную дверь, специально защищенную от взлома. Менты сказали что оборудование мчс. Хотя похоже ничего не украли, торговал он в Москве металлоискателями. ФСБ может ошиблось…
                                  • +3
                                    Блин, даже трафик в налоговую обратно через родную сеть пустили!
                                    Что с Вами такое случилось, что Вы на всё это пошли? Неужто просто превентивно?
                                    • +5
                                      Блогов перечитал, видимо:)
                                    • 0
                                      В виде пролога к статье рассчитывал прочесть историю про «маски-шоу» в вашем офисе и изъятие серверного оборудования с вытекающими последствиями.
                                      • +5
                                        Слава Богу, таких статей было предостаточно, чтобы вынести необходимые из них уроки, и сделать соответствующие выводы и действия!
                                        • 0
                                          Можно ссылки на статьи с маски-шоу? Хочется почитать…
                                    • +4
                                      Ноут директора очень слабое звено и знатная подстава.

                                      Я бы сделал эти копии куда-то настолько налево, чтобы про это знали я и директор, может еще кто-то, пароли от архивов бекапов этому человеку можно не сообщить, но не говоря об местоположении архивов сообщить пароли главбуху, например.
                                      лучше куда-то на впс или еще амазон какой, тупо для файла.

                                      Потому что придут к директору, заберут ноут и пушистый полярный зверек во всей красе, когда спросят «Вась, а Вась, а что это у тебя тут за хоумпорно под паролем? а ну поделись!», применят некоторые методы и выудят пароли.
                                      А так на директорском ноуте будут только «невинные» «рабочие» документы, а бекапы будут в более другом надежном месте, про которое никто не знает.

                                      ну а в случае если совсем что печальное с человеками случится — не проплата и удаление данных хостером…
                                      • 0
                                        в этом случае нужно юзать не ноуты (где возможны копии документов), а тонкие клиенты — у сименса есть решение. Включаешь в монитор интернет и попадаешь в vpn свою сеть на рабочий стол. То есть физически никаких данных на клиенте нет.
                                        • 0
                                          Политиками на сервере можно запретить копипаст информации с rdp сессии на станцию с rdp клиентом.
                                          Да какая разница. ноуты или нет.
                                          • 0
                                            Да просто по RDP на сервере работать с документами.
                                      • 0
                                        Зачет!
                                        • +16
                                          С одной стороны восхищаюсь изобретательностью и предусмотрительностью автора. С другой — стыдно за свое государство в котором нужны такие меры.
                                          • –2
                                            Просто интересно, чем вы таким занимаетесь, что для вас критично получение органами данных с ваших офисных серверов?
                                            Налоги небось не платите? Тогда надо в самом офисе сделать сервер с «белой и пушистой» базой, чтобы проверяющие его быстро нашли, гордо унесли и только через пару дней разобрались что к чему. Если эти товарищи ничего не найдут — вам же хуже будет.
                                            И всё-таки при чем здесь Россия? У нас маски-шоу, тьфу-тьфу, сейчас только для совсем уж криминальных контор выписывают.
                                            • +1
                                              Боюсь разочаровать Вас, но с документами, налогами все кристально чисто. Все это реализовано, по большому счету, для обеспечения непрерывной, стабильной работы организации, причем даже в случае набегов «маски-шоу» от недоброжелателей. Плюс, на душе так спокойнее. Также безопасность гарантируется и в случае кражи/утери ноутов работников компании.
                                              • +2
                                                Просто не понятно, зачем в этом случае сервера в Европе. Вам достаточно своего сервера в местном датацентре (оформленного на вашу бабушку) плюс ежедневные бэкапы (которые уже могут храниться и в Европе). Изъять железку не так-то просто, особенно если сами данные лежат на соседней железке (сторадже), принадлежащей другому лицу. И даже в худшем случае — аренда другой такой же железки плюс поднятие из бэкапа займет пару часов.
                                                Минусы вашего решения: пинг до европ имеет место быть, что плохо для рдп. Ну и у вас какая-то невменяемая стоимость аренды (свой сервер отобъется за 3-5 месяцев), да и заморочки с вебмани тоже стоят денег.
                                                • +1
                                                  Вот кстати насчет ноутов: пароли то где хранятся? Забиты в конфиги? Записаны в текстовые файлы на рабочем столе? Написаны на желтом стикере на клавиатуре?
                                                  • 0
                                                    Пароли придумывают себе работники сами, достаточно сложные с точки зрения безопасности, и простые для запоминания. Нигде не записываются. Как-то так.
                                                    • +2
                                                      Ну то есть первое же общение кого-нибудь из бухгалтерии с оперативниками и мягкий намек на то, что у них дети-родственники и что им проблемы не нужны — и система скомпрометирована?

                                                      Вообще, зашел сюда увидеть картинку с xkcd, но ее почему-то нет…
                                                      • –1
                                                        | Пароли придумывают себе работники сами

                                                        Привет, «123»! ;)
                                                    • +1
                                                      Поддерживаю, психологический момент очень важен. Кроме того, думаю, Вам было еще и просто интересно все это устроить технически.
                                                    • 0
                                                      > И всё-таки при чем здесь Россия?
                                                      Вот притом roizman.livejournal.com/1469355.html
                                                      • –1
                                                        Автор этой статьи как-то связан с наркотиками или является политическим активистом?
                                                        • +1
                                                          Да. И действие происходит в России.
                                                          • +3
                                                            Я про автора этого хабратопика
                                                          • 0
                                                            Отнюдь.
                                                        • +2
                                                          Например, очень криминальная контора информ агентство Ура.ру: lenta.ru/news/2012/09/27/uraru/
                                                          К сожалению, никогда не угадаешь, где тебе «повезет» :(
                                                          • –2
                                                            Ну да, лента в своем репертуаре. Там забыли дописать, что это не просто какой-то шмон, а по заявлению про попил бюджета, поданое совладельцем этого агентства. При обыске кстати были найдены несколько десятков печатей на разные фирмы однодневки. Плюс еще параллельно есть дело об вымогательстве.
                                                            • +4
                                                              Да-да-да. А удальцов планировал теракты, девочки, плясавшие в храме сидят, в отличии от товарищей-убий в погонах.

                                                              Вы написали, про в РФ этого уже почти не бывает, я вам привел пример, что бывает и далеко не в криминальных серьезных историях. Если допустить, что Ура.ру занимались экономическими преступлениями, нафига нужны маски-шоу, мне не ясно.

                                                              Кроме того, знаете, вполне себе сцена рейдерского захвата например: заявление от совладельца, люди в масках и все дела. И далеко не в каждом случае обвинения имеют под собой законные основания, а не коммерческий передел или политический заказ.

                                                              ps. ленту выдал гугл, там еще с пол-сотни разных, наверное тоже «ангажированных» сми.
                                                              • 0
                                                                А вы знаете что он планировал или не планировал? Девочки? Может все же взрослые женщины, с детьми? И причем здесь все эти люди?

                                                                Я ничего не писал до этого, вы ошиблись и отвечали до этого пользователю chainik. И про ура.ру я другое написал. Еще раз — проблемы не у агентства, а у конкретной мадам, которая решила прикрыться агентством. И кроме подавшего заявления совладельца, есть еще несколько других, которые её и так могут снять обычным голосованием, что и планируют.
                                                                • +1
                                                                  При том же, причем и ура.ру — вы не знаете достоверно в чем там дело. С чего вы решили, что мадам прикрывается агентством?

                                                                  Да, пардон, вы не писали. Но пример с ура.ру был как раз в ответ на возможные маски-шоу в РФ. Они возможны и не только в связи с большим криминалом. И все. Сами же говорите, мадам можно было снять голосованием. Ну и что тогда там омон делал…
                                                                  • –1
                                                                    С того, что дело заведено на Панову, ура без нее никуда не денется, тем более что дело которое связано с этим обыском появилось по заявлению самих владельцев. И таки да, есть первые результаты, уже вышли на след фирм однодневок через которые как подозревают она и выводила деньги. Собственно потому и обыски, нужно же доказать и найти эти деньги, вернуть их. А вы что, просто бы уволили и плевать на всё?
                                                                • 0
                                                                  Гм, по-вашему, Удальцов — невинная жертва кровавой гэбни?
                                                                  Вы, как я понимаю, видеозаписи его общения с грузинами не смотрели, да?
                                                                  • 0
                                                                    А вы, как я понимаю, не умеете пользоваться аудио и видео редакторами. Или, например, никогда ничего предсудительного не говорили на кухне. Я не знаю, что он там планировал или не планировал. Но верить фиг знает как сделанной видеозаписи не буду.

                                                                    Как юрист, могу вам сказать, что для состава преступления по данной статье нужны факты о реальной подготовке: как теракта, так и массовых беспорядков. Даже то, что Вася говорил Пете о своем желании захватить почту и телеграф, не достаточно.

                                                                    Если есть желание обсудить эту тему, предлагаю сделать это в личке и не разводить оффтопик :)
                                                                    • 0
                                                                      гм, любопытно. В первом предложении вы опосредованно заявляете о возможной подделке видео. Во втором предложении смысл «а даже если и говорил, то что такого?»
                                                                      Сам Удальцов признал факт разговора, и не заявлял о том, что запись подделана, или там что-то изменено.

                                                                      «Как юрист, могу вам сказать, что для состава преступления по данной статье нужны факты о реальной подготовке: как теракта, так и массовых беспорядков. Даже то, что Вася говорил Пете о своем желании захватить почту и телеграф, не достаточно. „
                                                                      вот интересно, я тоже юрист, и да, я в курсе, что должны быть все элементы состава преступления.
                                                                      Для того, чтобы собрать доказательства, и проводится предварительное расследование (которое сейчас и идет).
                                                                      И вы как юрист должны знать, что этой записи вполне достаточно для возбуждения уголовного дела и проведения предварительного расследования (как раз с целью установления наличия преступления).
                                                                      И эта запись — лишь одно из доказательств, какие там еще доказательства есть — хз, я не адвокат по данному делу, и дела не изучал.
                                                                      Посмотрим, чем дело кончится, я думаю, там не только на этой видеозаписи приговор будет базироваться.

                                                                      P.S. насчет лички — ок, пишите ответ в личку, если хотите.
                                                            • +2
                                                              когда у нас не так давно был омон (кстати они без масок уже это делают) и когда нам разрешили более менее ходить (ближе к ночи) и ребята увидели у меня немножко цисок они сказали: — о а мы у них не так давно были с «визитом» на крылатской.
                                                              так что в России пока быть просто белым и пушистым недостаточно
                                                              • 0
                                                                Да вроде ж про «органы» ни слова в статье ;)

                                                                Автор написал, что ничего конфиденциального на серверах нет (и в архивах, получается, тоже), но ВАЖНЫ сами ДАННЫЕ на серверах.
                                                                Вероятно это все городилось только для того, чтоб если случится форс-мажор (ну в том числе и «вынесут» офис :)), то все продолжило работать в нормальном режиме (из дома, на новых ноутбуках, с новыми сотрудниками?) — сейлы продолжат работать с CRM, бухгалтера с 1С и т.д.
                                                                А архивы на пароли, это только чтоб если случится очередной фейл дропбокса, то никто не догадался что там в архивах
                                                                • 0
                                                                  В статье ж ни слова про «органы» — вы это сами додумали :)

                                                                  Автор написал, что ничего конфиденциального на серверах нет (и в архивах, получается, тоже), но ВАЖНЫ сами ДАННЫЕ на серверах, и, очевидно, непрерывность бизнес-процессов.
                                                                  Вероятно это все городилось только для того, чтоб если случится форс-мажор (ну в том числе и «вынесут» офис :)), то все продолжило работать в более-менее нормальном режиме (из дома, на новых ноутбуках, с новыми сотрудниками?) — сейлы продолжат работать с CRM, бухгалтера с 1С и т.д.
                                                                  А архивы на паролях, туннели — это всего лишь издержки того, что серверы за пределами офиса.
                                                                • 0
                                                                  Переместил коммент.
                                                                  • +1
                                                                    А как в нововведениям отнесся Ваш персонал? Люди быстро привыкли?
                                                                    • +3
                                                                      А что тут привыкать? Залогинился по RDP, работаешь себе, как будто на локальной машине. Рабочий стол и т.д. Плюс, можешь оставлять неделями открытые окна. Очень удобно, по-моему.
                                                                    • 0
                                                                      А зачем постоянно бекапить клиентские виртуалки? Нельзя вынести профиль пользователя в хранилище данных (рабочий стол, мои документы и т.д.) и бекапить его или писать напрямую в Dropbox/GDrive.
                                                                      • 0
                                                                        Кроме рабочего стола, «моих документов», есть еще офисные, прикладные программы, настройки, различные конфигурационные файлы, базы, которые должны быть именно на виртуалке и вынести их либо не представляется возможным, либо будет излишним. В данной реализации нас все устраивает.
                                                                        • 0
                                                                          Дропбокс уже лажал — www.ht.ua/news/123431.html
                                                                          Потому держать там (да и вообще где-то в публичном облаке) важные данные без шифрования может вылезти боком.
                                                                        • +1
                                                                          Парни, а RDP в последних инкарнациях разве легко поломать? Паранойя паранойей, но накладные расходы vpn-туннеля усложнят и без того частенько некачественный канал связи.
                                                                          Автору респект, но в реальных условиях такие церберовские мероприятия не оказываются востребованными. Например, как попытка многих коллег-админов генерить архисложные пароли, а потом созерцать стикеры под мониторами у юЗверей с их распечатками :-)
                                                                          • 0
                                                                            ну например если сделать впн по сертификату, а я думаю у автора так, то отзываешь сертификат и нет проблемы. причем все остальные работают. а если рдп дырка наружу то мне кажется это гораааздо хуже.
                                                                            • +1
                                                                              Дык, ломают же всё подряд! RDP то чем панацейней? А если вложить одно шифрование в другое, то шанс пострадать от уязвимости нулевого дня уменьшается на порядки.

                                                                              Распечатка пароля в данном случае — не самое страшное. Главное в случае нападения быстро обрубить канал.
                                                                              • 0
                                                                                Даже хуже. Было как то недавно у клиентов кто обновления не ставит, винда 2008 летала. Бага была в RDP.
                                                                                Само то шифрование там нормальное но вот дыры сервиса(ов)… через VPN как то спокойнее.
                                                                              • НЛО прилетело и опубликовало эту надпись здесь
                                                                                • +1
                                                                                  Не приходили, подозрений не было. Но перестраховаться никогда не будет лишним (от конкурентов, недоброжелателей и т.п. )
                                                                                  • 0
                                                                                    Ну имея такой оборот средств — есть куда разгуляться :)
                                                                                    • 0
                                                                                      у меня со всеми этими схемами один вопрос — а что будет если ваш vpn-сервер изымут?
                                                                                      • 0
                                                                                        за границей? как?
                                                                                        + судя по схемам он анонимный
                                                                                        • 0
                                                                                          Вряд ли кто-то будет изымать небольшую железку — роутер, это же не комп и не ноут, что там могут быть пользовательские файлы… Даже на такой случай, пожалуй, можно сделать дамп прошивки роутера, сохранения конфигурации уже имеются. И в случае изъятия роутера, что маловероятно, можно использовать другой ( такой же модели) и быстренько залить на него дамп вместе с конфигурацией :)
                                                                                        • 0
                                                                                          Налоговая видит, что отчеты приходят из IP нашего офиса а не из Европы


                                                                                          Учитывая, что вся налоговая отчетность в Украине отправляется по email'у, то налоговая разве что увидит IP-адреса SMTP сервера вашего почтового акаунта. Тут явно перемудрили.
                                                                                          • 0
                                                                                            >отправляем отчеты в налоговую через MeDOC и “Податкову звiтнiсть”
                                                                                            Пользуемся вышеуказанной программой для отправки отчетов, а не почтой. На почту приходят уведомления от налоговой о получении.
                                                                                            • 0
                                                                                              Эти программы отправляют отчет по почте. Шлюз налоговой — это почтовый адрес, поэтому вся отчетность отправляется электронной почтой.
                                                                                              • 0
                                                                                                Именно так. Всё любые самые навороченные отчётностные программы имеют параметр настройки SMTP и дальше сливают через него XML-файлики на емайл zvit(@)sta.gov.ua
                                                                                          • 0
                                                                                            Amazon S3 или ещё лучше Amazon Glacier дешевле будет чем дропбокс или гугл драйв. За экономию, можно купить софт, или самому написать скрипт для бэкапа. И шифрование там имеется.
                                                                                            • 0
                                                                                              EncFS или BoxCryptor и не нужно ничего писать с нуля :)
                                                                                              всё что нужно для AES-256 уже изобрели и стандартизировали
                                                                                              • 0
                                                                                                Шифрование там имеется из коробки. Я о софте который умеет заливать на данные сервисы данные, знает о backup retention и тому подобное.
                                                                                            • +2
                                                                                              А вы могли бы в статье или серии статей расписать как настраивали всю эту инфраструктуру, в стиле how to?
                                                                                              • 0
                                                                                                Присоединяюсь. Ещё интересно почитать про альтернативные конфигурации и методы, хотя бы в виде векторов направлений по темам.

                                                                                                Думаю, размер получится довольно большим, но такая стопроцентно попадет многим в избранное.
                                                                                              • 0
                                                                                                А вам производительности DIR320 для офиса хватает? Стоит такая железка дома, не очень то ей доволен.
                                                                                                • +1
                                                                                                  я не ТС, но для офиса dir320 — самоубийство, если юзать wi-fi. Для трех человек максимум.
                                                                                                  • 0
                                                                                                    Очень любопытно — 700+ евро в месяц с оверхедами в виде левых схемам оплаты (вебмани всякие) нашлись, а на нормальный роутер (да Микротик тот же, не говоря, что решение «комп из под стола» и Vyatta на нем то же делает, а обойдется старый комп недорого) — нет.

                                                                                                    Впрочем, «работает — не трогай», но DIR как-то странно выглядит на общем фоне.

                                                                                                    P.S. ПО, я так понимаю, не купленное?
                                                                                                    • 0
                                                                                                      На то время, когда это все затеяли, уже был в наличии этот роутер, подумали — почему бы не использовать его. Тогда это был вполне нормальный роутер, тем более, что с виду с такой не особо мощной «железки» можно было сделать чуть ли не космический аппарат, сменив прошивку на ту, что предлагает небезызвестный Олег или dd-wrt. Вполне обеспечивает работу небольшой компании :)

                                                                                                      По поводу лицензий: ПО купленное. Это описано в первом «шаге». Именно лицензии потянули львиную долю бюджета.
                                                                                                      • 0
                                                                                                        За лицензии сорри, просто как-то космически у Вас получилось, видно — Enterprise недешев…

                                                                                                        DD-WRT — это все же не корпоратив. Версия за версией патчат одно, рушат другое, мы было бы страшновато такое в процесс зарабатывания денег включать… Впрочем, «работает — ...» :)

                                                                                                        В любом случае, молодцы. И руками поработать получилось, и спокойствие заработалось :)
                                                                                                        • 0
                                                                                                          SPLA Windows Enterprise SAL стоит порядка 20 евро/мес
                                                                                                          • 0
                                                                                                            Это при условии, что взята в аренду не голая машина, а именно машина с системой. Если голая (а с Hyper-V я в аренду не видел, чтобы сдавались сервера), то, как бы, поднимать механизм лицензирования придется ручками, со всеми вытекающими.
                                                                                                            • 0
                                                                                                              А разве нельзя взять машину с Windows и роль Hyper-V добавить самому?
                                                                                                              • 0
                                                                                                                Конечно можно — если хочется за винду платить. Голая машина обойдется дешевле, а Win Server Hyper-V бесплатен, так что выбор очевиден.
                                                                                                                • 0
                                                                                                                  Думаю вы что-то путаете.
                                                                                                                  Hyper-V также бесплатен в комплекте Windows как и IIS, например
                                                                                                                  Но лицензию на Windows никто не отменял, даже если использовать Windows Core (без оболочки)
                                                                                                                  • 0
                                                                                                                    В Win Server 2012 это так, но существует вариант Microsoft Hyper-V Server 2008 (Hyper-V Server 2008 R2), который бесплатен. Сделают ли бесплатный Microsoft Hyper-V Server 2012 — не возьмусь сказать.

                                                                                                                    С другой стороны, гипервизоров в мире несколько, и не все они «от MS» (от которой, Вы правы, всегда можно ожидать сюрпризов). KVM или Xen не хуже Hyper-V спасут отца русской демократии (т.е., простите, украинской бухгалтерии %) )
                                                                                                                    • 0
                                                                                                                      Понял о чем вы — согласен.
                                                                                                                      Но в любом случае нужны лицензии на ОС виртуалок, и как написано в статье, — Enterprise дает поставить 4 Standard'а бесплатно, а это даже по SPLA как минимум 40 евро
                                                                                                                      • 0
                                                                                                                        Ну я потому и спросил, покупалось ли ПО.

                                                                                                                        Поставить KVM (чтобы уж наверняка Open Source), в нем поднять (заметьте — не выставляя задницей в инет) хоть какие ОСи — здесь никто не проверит, что у человека там крутится. Я не призываю так делать, я к тому, что очень уж напрашивается, при таком-то количестве серверов (на такое число юзеров) вывод, что не имеет ли место такая вот «экономия» :).
                                                                                                          • 0
                                                                                                            У нас стоит прошивка от Олега :) А вообще, кажется, где-то читал, что даже сами производители принимают эти прошивки как равные своим официальным? Поправьте, если это не так…
                                                                                                            • 0
                                                                                                              Там немного другое, мне кажется — производители отчаялись сделать что-то лучшее :)
                                                                                                    • 0
                                                                                                      А почему отсутствует WSUS?
                                                                                                      • 0
                                                                                                        Т.е. почему отсутствует домен-контроллер вас не удивляет? %)
                                                                                                        • +1
                                                                                                          Черт. Надо уже выспаться как-нибудь.
                                                                                                      • 0
                                                                                                        По прочтении приходили мысли о жутких черных схемах и нечистой предметной области бизнеса. Тогда (с технической т. з.) меры были бы оправданы. Но автор уверил, что все кристально чисто. Имхо, тогда можно было бы, в плане защиты от рейдерских неприятностей и попроще все обустроить. Но даже если предположить, что меры оправданы, как правило таким образом шифрующиеся товарищи, пытаясь найти уязвимое место в своих решениях мыслят «со своей колокольни», что бы смогли они, будь на другой стороне баррикад. А крайне полезно знать, что действительно может другая сторона. При том, что другая сторона в целом знает, что можете вы, то вы в не самом выгодном положении. Незамысловатая простота и при этом эффективность мер, никак не связанных со «штурмом криптокрепостей» может несведущего человека шокировать.

                                                                                                        infowatch.livejournal.com/351666.html
                                                                                                        • 0
                                                                                                          Человек сделал тунель и шифрованные архивы и уже «жуткие черные схемы» :)
                                                                                                          Я думаю тут важнее, что данные в безопасности + быстрое восстановление работы в случае поломки ноута, пожара в офисе или одном из ДЦ :)
                                                                                                          А тунели и шифрование — издержки необходимости держать серверы вне офиса.
                                                                                                          • +1
                                                                                                            Человек сам назвал это «параноей». Я почему-то ему верю.
                                                                                                        • +1
                                                                                                          ТС а можно следующий топик назвать так: Как я внедрял первое правило ведения бизнеса в России развёрнутая версия, уж очень интересно как вы всё настраивали и устанавливали, сколько заняло по времени и с какими трудностями пришлось столкнутся, заранее спасибо
                                                                                                          • 0
                                                                                                            Возможно в будущем получится сделать такую статью, но для этого надо, как минимум, отыскать записи, как мы это делали, а это дело годичной давности, а как максимум, проделать такую схему еще раз, чтобы получить скриншоты, комментарии при каждом подводном камне и т.д.
                                                                                                            • +2
                                                                                                              Что-то мне говорит, что если дать автору пару серверов и денег — получится не только статья но и готовое решение для своего офиса :)
                                                                                                            • +1
                                                                                                              Наверное, вам нужно попробовать внедрить первое правило ведения бизнеса самому. Не все то, что описано в статье может быть нужно, или нужно в реализованном ТС виде.
                                                                                                            • 0
                                                                                                              Мне кажется, бюджет гораздо выше названных 756 евро/мес, учитывая все эти премиум аккаунты dropbox и т.д. Так сколько, если не секрет? И какой интернет-канал в офисе? (uplink тоже важен).
                                                                                                              • 0
                                                                                                                Подключены к каналу 30 Мбит/сек, синхронному.
                                                                                                                • 0
                                                                                                                  Симметричному, вы хотели сказать.
                                                                                                                  • 0
                                                                                                                    Точно! Перепутал слово, даже не заметил… Конечно, симметричному верно. 30Мбит/сек на вход и столько же на выход.
                                                                                                                • +2
                                                                                                                  Почему больше?
                                                                                                                  Допустим у нас:
                                                                                                                  — 100Mbps сервер DE с IP-KVM & Windows Std — 240 EUR
                                                                                                                  — 100Mbps сервер NL с IP-KVM & Windows Ent — 250 EUR
                                                                                                                  — 10 терминальных лицензий — 100 EUR
                                                                                                                  — 12 лицензий на офис — 120 EUR
                                                                                                                  ИТОГО: 710 EUR
                                                                                                                  Интернет канал в офисе у клиента уже был, а премиум-аккаунты это сущие мелочи — терабайт тут не нужен.

                                                                                                                  Автора, кстати, мы после этого рассказа переманили работать к нам в Дата-Хату. Такие кадры на дороге не валяются.
                                                                                                                • 0
                                                                                                                  Оо, та же болезнь ) Только самостоятельно этим заниматься тот еще геморрой. Делал через Дата-Хату, знакомую, проверенную контору. Моя параноя удовлетворена )
                                                                                                                  • +1
                                                                                                                    Знавал однажды контору, которая страдала чуть меньше параноей, но тоже кое-какие меры принимала. И вот маски шоу. Вроде все знали, что надо делать и считали, что никаких проблем. И вот час Х. Что это у вас тут, мадам? Разрешите. Ошалевшая бухгалтер «разрешает», что тут у нас? Незалоченный РДП сеанс? А что тут? 1С? А позвольте ка взглянуть… Ну или почти так, смысл примерно верный.
                                                                                                                    • +1
                                                                                                                      С чисто технической точки зрения автор конечно молодец. Но если посмотреть шире, то картина как мне кажется будет следующая



                                                                                                                      P.S. Мне всегда хочется спросить людей, которые строят подобные схемы — бывали ли они сами хоть раз в милиции в качестве к примеру подозреваемого?
                                                                                                                      • +1
                                                                                                                        Очень перспективная паранойа!!!
                                                                                                                        А компания случайно не предоставляет услуг по лечению паранои у других компаний? Я бы с радостью заказал ;)
                                                                                                                        • 0
                                                                                                                          С 1 декабря 2012г автор этого рассказа работает в компании Дата-Хата. Ждем ваших заказов :)

                                                                                                                        Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.