IT-Security Step-by-step

ORM

2025-09-02T23:28:52Z

ORM (Object-Relational Mapping / Об’єктно-реляційне відображення) — це програмна технологія, яка дозволяє працювати з базою даних не напряму через SQL-запити, а через об’єкти мови програмування.

Простими словами:

Без ORM: ви пишете SELECT * FROM users WHERE id=1;
З ORM: ви пишете User.find(1) і отримуєте об’єкт User, з яким можна працювати у коді.

Де застосовується

ORM є проміжним шаром (layer) між додатком і БД.
Він транслює методи й властивості об’єктів у SQL-запити і назад.
Це робить код простішим, зручнішим у підтримці та менш залежним від конкретної СУБД.

Приклади ORM

Java: Hibernate, EclipseLink
.NET: Entity Framework
Python: SQLAlchemy, Django ORM
Ruby: ActiveRecord
PHP: Doctrine, Eloquent (Laravel)

🪟 На стартову сторінку

comments

ISO/IEC/IEEE 42010: Viewpoint & View

2025-09-02T23:13:18Z

У ISO/IEC/IEEE 42010 (Systems and Software Engineering — Architecture Description) є два близькі, але різні поняття:

Viewpoint (точка зору)

Визначення: це "шаблон" або правило, яке пояснює як і для кого треба створювати архітектурне подання.
Він відповідає на питання: які інтереси стейкхолдера ми показуємо, яку інформацію включаємо, якими засобами (діаграми, таблиці, текст) описуємо.
Простими словами: viewpoint — це інструкція або рецепт для створення подання.

View (подання)

Визначення: це конкретний результат застосування viewpoint до вашої системи.
Тобто це вже готова діаграма, таблиця чи текст, що показує систему під певним кутом зору.
Простими словами: view — це фото системи, зроблене за тим рецептом.

Приклад

Уявімо, що будуємо архітектуру для хмарної платформи:

Stakeholder (зацікавлена сторона)
- CIO (Chief Information Officer, директор з ІТ)
- Його concern (потреба): чи масштабована система і як забезпечено інтеграцію між додатками?
Viewpoint (точка зору на інтеграцію додатків)
- Назва: Application Communication Viewpoint
- Призначення: показати, як взаємодіють модулі та сервіси
- Мова: UML Component Diagram або ArchiMate Application Collaboration
- Яку інформацію включати: сервіси, API, протоколи, залежності
View (конкретне подання)
- Діаграма з Azure AD, веб-додатком на Ubuntu, RDS MySQL, інтеграцією з O365.
- Тут видно, що користувачі логіняться через Entra ID, доступ йде через API-шлюз, БД інтегрується через ORM-шар.
- Це вже готова картинка, яку CIO може подивитися.

🔹 Отже:

Viewpoint = каже: "покажи архітектуру додатків через компоненти і протоколи"
View = конкретна діаграма з вашим Entra ID, API Gateway і MySQL

🪟 На стартову сторінку

comments

TOGAF vs ISO 42010 vs Разом

2025-09-02T22:57:14Z

В чому незручність, коли використовують тільки одну методологію для опису архітектурних рівнів?

TOGAF дає методологію (ADM-фази, артефакти, каталоги, матриці), але іноді в ньому бракує гнучкості у формальному представленні результатів.
ISO/IEC/IEEE 42010 дає рамку опису архітектури: хто стейкхолдери, які їхні потреби (concerns), через які viewpoints ці потреби відображати, і у вигляді яких views це презентувати.
Якщо користуватися лише TOGAF — є ризик, що опис буде “каталог + текст”, але не зовсім зрозумілий різним групам зацікавлених сторін.
Якщо користуватися лише ISO 42010 — буде гарна структура “хто/що/для чого”, але без готових методичних кроків і артефактів (каталогів, матриць).

Комбінація TOGAF і ISO/IEC/IEEE 42010 методично сильніша, ніж використання кожного окремо: TOGAF забезпечує процес і набір артефактів, а ISO 42010 — формалізований спосіб представлення архітектури через стейкхолдерів, concerns і viewpoints. Разом вони дозволяють зробити опис не лише повним, а й зрозумілим для різних аудиторій.

Критерій	TOGAF	ISO/IEC/IEEE 42010	Разом (TOGAF + ISO 42010)
Призначення	Методологія розробки архітектури (ADM, фази, артефакти)	Рамка для опису архітектури (stakeholders, concerns, viewpoints, views)	Повний цикл: розробка + формалізований опис
Сильна сторона	Дає покроковий процес (ADM) і набір артефактів (каталоги, матриці)	Дає чітку структуру для комунікації з різними стейкхолдерами	Виходить і методика роботи, і методика подачі результатів
Слабка сторона	Може вийти занадто “всередину ІТ”, важко донести до нефахівців	Немає власної методики створення артефактів, лише правила їх опису	Компенсують слабкі сторони один одного
Фокус	Що і як робити (Data, Application, Technology, Business Architectures)	Як показати і пояснити (concerns, viewpoints, views)	І процес, і представлення зрозумілі й прозорі
Приклад результату	Каталоги даних, матриці застосунків, моделі потоків	Logical Data View, Security View, паспорти viewpoints	Каталоги + матриці (TOGAF), оформлені у views для різних стейкхолдерів (ISO 42010)

Таким чином, можна сказати так — разом вони дають повну картину:

TOGAF = як і що робити (ADM, каталоги, матриці).

ISO 42010 = як правильно це описати й донести (stakeholders, concerns, viewpoints, views).

Див. також:
⋄ Приклад опису архітектури системи згідно TOGAF → https://bga68comp.dreamwidth.org/787432.html

🪟 На стартову сторінку

comments

RFC (Request for Comments)

2025-08-20T17:57:54Z

RFC (Request for Comments) — це серія відкритих технічних документів, які описують стандарти, протоколи та технології, що використовуються в Інтернеті й комп’ютерних мережах.

Основні моменти:

Хто створює: документи видаються організацією IETF (Internet Engineering Task Force) та іншими спільнотами.
Для чого: щоб узгодити правила роботи мереж, формати даних, протоколи (наприклад, HTTP, SMTP, DNS) або запропонувати нові ідеї.
Нумерація: кожен документ має унікальний номер, наприклад RFC 791 (описує IPv4), RFC 2616 (HTTP/1.1).
Статус: не всі RFC є стандартами — частина з них може бути інформативною, експериментальною чи навіть застарілою.

Приклади:

RFC 791 — Internet Protocol (IP, версія 4).
RFC 1035 — Domain Names – Implementation and Specification (DNS).
RFC 8446 — Transport Layer Security (TLS 1.3).

Тобто RFC — це своєрідна "бібліотека правил та інструкцій", за якими працює Інтернет.

Посилання на офіційні сторінки RFC:

RFC 791 – Internet Protocol (IPv4)
Див. на сайті RFC‑Editor: RFC 791 (rfc-editor.org)
RFC 8446 – The Transport Layer Security (TLS) Protocol Version 1.3
Документ на IETF Data Tracker: RFC 8446 (datatracker.ietf.org)
RFC 1035 – Domain Names – Implementation and Specification (DNS)
Документ на IETF Data Tracker: RFC 1035 (datatracker.ietf.org)

🪟 На стартову сторінку

comments

Інформаційна архітектура ІТ-системи компанії. Приклад

2025-06-26T18:06:09Z

Продовжуємо розбирати шаблони рівнів архітектури ІТ-систем. Це доповнення до опису архітектури за посиланнями:
• Приклад опису архітектури системи згідно TOGAF
• Побудова віртуальної інфраструктури на базі Microsoft Azure

✅ Опис інформаційної архітектури компанії
🖼️ Згідно з наданою схемою (RDS, Files, IIS Web Front/Back, AD DC1/DC2, VPN)

🧾 Інформаційна архітектура ІТ-системи компанії

🔹 1. Методологія

TOGAF 9.2, ADM, фаза C (Data Architecture): побудова інформаційного рівня архітектури.
ISO/IEC/IEEE 42010:2011: опис архітектури через зацікавлені сторони, погляди (views), моделі та відповідності.

🔹 2. Архітектурний контекст

Усі серверні ресурси компанії розміщені в тенанті Azure.
Користувачі підключаються до корпоративної мережі через захищені канали (VPN або Azure Bastion).
Робоче середовище реалізоване через RDS-сервер (DevSRV).
Веб-додатки розділені на фронт- (IIS Web Front) та бекенд (IIS Web Back).
Ідентифікація та авторизація забезпечуються двома доменними контролерами (AD DC1, DC2).

🔹 3. Архітектурні погляди (Views)

3.1 📡 Deployment View

DevSRV – RDS сервер для користувачів.
Files – файловий сервер зі спільними каталогами.
IIS Web Srv Front / Back – розподілення логіки веб-додатку.
AD DC1 / DC2 – розподілена автентифікація, DNS, GPO.
Всі ресурси ізольовані через NSG, Firewall, розміщені у VNet з Subnet-сегментацією.
Користувачі підключаються через захищений шлюз (VPN/Bastion).

3.2 🧩 Data Architecture View

Сутність даних	Опис
User Profile	Профілі користувачів, зберігаються в AD та RDS
File Object	Файли користувача на файловому сервері
DNS-записи	Зони та записи, керуються AD DC1/DC2
Web Session	Дані сесій на IIS Front
GPO Configuration	Групові політики, що застосовуються через AD
RDP Logs	Логи входів і дій у RDS

3.3 🔐 Access & Security View

RBAC на основі груп у AD.
GPO-політики: заборона USB, блокування локального диска, перенаправлення папок.
Шифрування: RDP over TLS, SMB over TLS.
Аудит: централізоване логування входів, дій на RDS.
Двофакторна автентифікація (MFA) через Azure AD / Conditional Access.
Firewall + NSG: розмежування Frontend, Backend, Infra.

3.4 🔄 Information Flow View

Звідки → Куди	Протокол	Захист
Користувач → RDS	RDP over TLS	VPN / MFA / GPO
RDS → Files	SMB 3.0	ACL + GPO + TLS
RDS → AD	LDAP/Kerberos	Шифрування, автентифікація
RDS → IIS Front/Back	HTTP/HTTPS	ACL, WAF, сегментація
RDS → DNS	DNS	ACL-захист зони

🔹 4. Зацікавлені сторони (Stakeholders)

Сторона	Інтерес
Користувачі	Стабільний і безпечний доступ до робочого середовища
Системні адміністратори	Централізоване управління політиками та файлами
Відділ ІБ	Впровадження GPO, аудит, захист інформації
Бізнес	Доступність сервісів, віддалена робота

🔹 5. Цільова модель та вдосконалення

Компонент	Поточна реалізація	Рекомендоване покращення
RDS	DevSRV на VM	Перехід до RDS Farm + Load Balancer
Files	Windows FS	Azure Files + Private Endpoint
MFA	Часткове	Універсальне MFA через Azure AD
AD	DC1 + DC2	Гібрид із Azure AD DS
IIS Front/Back	На VM	Azure App Service або контейнеризація

🔹 6. Узгодженість із ISO/IEC/IEEE 42010

Компонент	Відповідність
Stakeholders	Визначено
Architectural Views	Згруповано (Deployment, Security, Data)
Вимоги	Ураховані: доступність, безпека, контроль
Traceability	Показано зв’язок між цілями й рішеннями

✅ На останок:

Інформаційна архітектура побудована згідно з TOGAF ADM (фаза C) та структурована за стандартом ISO 42010.
Враховано як функціональні, так і нефункціональні вимоги: доступність, безпека, масштабованість.
Усі основні компоненти (RDS, Files, AD, IIS) інтегровані через захищені канали й управляються централізовано.

Annex:
🟠 Фази ADM (Architecture Development Method)

Preliminary Phase
Phase A: Architecture Vision
Phase B: Business Architecture
Phase C: Information Systems Architectures
Phase D: Technology Architecture
Phase E: Opportunities and Solutions
Phase F: Migration Planning
Phase G: Implementation Governance
Phase H: Architecture Change Management
Requirements Management

🪟 На стартову сторінку

comments

DNS MasterCard error

2025-01-25T22:22:11Z

Philippe Caturegli
• Chief Hacking Officer at Seralys

Впродовж останніх 4,5+ років MasterCard мала помилку в записах DNS, коли в одному з її піддоменів був запис NS, що вказує на a22-65.akam.ne, а не на a22-65.akam.net (Akamai Technologies).
На щастя, ми виявили цю проблему під час нашого нещодавнього дослідження безпеки DNS та управління доменами та «оборонно» зареєстрували домен, щоб запобігти зловживанням. Але цікаво, що, як зазначив Brian Krebs, «хтось у Росії зареєстрував цей домен з друкарською помилкою ще в 2016 році і протягом декількох років час від часу дозволяв його IP-адресу в Німеччині (185.53.177.31)». 😱

Будь ласка, перевірте ще раз свої записи DNS...
Одна помилка може відкрити двері для атак типу «людина посередині», фішингу, перехоплення даних і багато іншого. Якщо ви не контролюєте домен, на який вказують ваші сервери імен, зловмисники можуть це зробити.

Джерело:
• https://www.linkedin.com/posts/caturegli_for-the-past-45-years-mastercard-had-a-activity...

🪟 На стартову сторінку

comments

Як налаштувати DNS комп'ютера на DNS-сервери Google?

2024-11-14T22:04:03Z

Як налаштувати DNS комп'ютера на DNS-сервери Google?

Інколи треба зробити свою роботу в інтернеті швидшою, надійнішою, безпечнішою та приватнішою. Навіщо? Про це трохи нижче. А от що для цього треба зробити — скористатися досить простим способом: переналаштувати DNS свого комп'ютера.

Щоб налаштувати DNS комп'ютера на використання DNS-серверів Google, виконайте такі кроки:

Для Windows 10:

Відкрийте Панель управління (Control Panel).
Перейдіть до Мережа та Інтернет > Центр управління мережами та загальним доступом.
Знайдіть зліва пункт Змінити параметри адаптера і натисніть на нього.
Клацніть правою кнопкою миші на вашому мережевому підключенні та оберіть Властивості.
У вікні Властивості знайдіть і виберіть пункт Протокол Інтернету версії 4 (TCP/IPv4), натисніть Властивості.
Виберіть Використовувати наступні адреси DNS-серверів.
Введіть адреси DNS-серверів Google:
- Основний DNS-сервер: 8.8.8.8
- Альтернативний DNS-сервер: 8.8.4.4
Натисніть ОК для збереження змін.

У Windows 11 налаштування мають трохи інший вигляд. Якщо у Вас Windows 11 версії 24H2 із зборкою ОС чи 26120.2222 чи вище, то виконайте такі кроки:

Для Windows 11 версії 24H2 збірки 26120.2222:

Клацніть правою кнопкою миші на іконці мережі у правому нижньому кутку Панелі задач і виберіть Налаштування мережі і Інтернет:
У вікні справа Мережа і інтернет прогортайте сторінку донизу і виберіть Додаткові мережеві налаштування:
Знайдіть свій мережевий адаптер:
Як приклад, це на малюнку - Бездротова мережа.
Клацніть мишею на вашому мережевому адаптері та розгорніть його донизу:
Виберіть Подивитись додаткові властивості:
Натисніть кнопку Змінити:
Введіть адреси DNS-серверів Google:
- Переважний DNS-сервер: 8.8.8.8
- Додатковий DNS-сервер: 8.8.4.4
Натисніть кнопку Зберегти для збереження змін:
Перевіряємо, що сервери змінились:
Все.

( Read more... )

🪟 На стартову сторінку

comments

Top Cyber Attacks 2024

2024-10-28T16:29:30Z

Cyber Edition

Insightful Cybersecurity News & Analysis
Забезпечення безпеки та проведення розслідувань

🪟 На стартову сторінку

comments

DNS from Cloudflare

2023-12-07T22:01:20Z

https://one.one.one.one/uk-UA
( Set up 1.1.1.1 for router )

comments

Cisco. Acronyms

2023-08-21T21:38:09Z

Сокращения 
AAA     – Authentication, Authorisation, Accounting
ACI     – (Cisco) Application Centric Infrastructure
ACK     – Acknowledgement
ACL     – Access Control List
AD      – (Microsoft) Active Directory
API     – Application Programming Interface
APIC    – (Cisco) Application Policy Infrastructure Controller
APIC-DC – (Cisco) Application Policy Infrastructure Controller – DataCentre
ARP     – Address Resolution Protocol
ASIC    – Application-Specific Integrated Circuit
BGP     – Border Gateway Protocol
BPDU    – Bridge Protocol Data Unit
CoPP    – Control Plane Policing
C&C     – Command and Control
CC      – Controlled Conduit
CEF     – Cisco Express Forwarding
CIP     – Common Industrial Protocol (ODVA)
CMD     – Command
COS     – Class Of Service
CPwE    – Cisco Plantwide Ethernet
CRC     – Cyclic Redundancy Check
CTS     – Cisco TrustSec
dACL    – Dynamic Access Control List
DAI     – Dynamic ARP Inspection
DC      – Datacentre
DDOS    – Distributed Denial of Service
DHCP    – Dynamic Host Configuration Protocol
DLR     – Device Level Ring
DMVPN   – Dynamic Multipoint Virtual Private Network
DMZ     – Demilitarised Zone
DLR     – Device Level Ring
DNS     – Domain Name Service
DNA     – (Cisco) Digital Network Architecture
DNA E/A/P – (Cisco) Digital Network Architecture Essentials/Advanced/Premium Licensing
DSCP    – (IP) Differentiated Services Code Point
DTP     – (Cisco) Dynamic Trunking Protocol
EIGRP   – Exterior Interior Gateway Routing Protocol
EPG     – End Point Group
ERP     – Enterprise Resource Planning
ERSPAN  – Encapsulated Remote Switched Port Analyser
ETA     – (Cisco) Encrypted Traffic Analytics
FNF     – Flexible NetFlow
GPS     – Global Positioning System
GE      – Gigabit Ethernet
GETVPN  – Group Encrypted Transport Virtual Private Network
GRE     – Generic Routing Encapsulation
GUI     – Graphical User Interface
HMI     – Human Machine Interface
HR      – Human Relations
HSR     – High-availability Seamless Redundancy (Ring)
HTTP    – Hypertext Transfer Protocol
HTTPS   – Hypertext Transfer Protocol Secure
HW      – Hardware
IACS    – Industrial Automation and Control Systems
IBN     – Intent-Based Networking
ICMP    – Internet Control Message Protocol
ICS     – Internet Control System
IE      – Industrial Ethernet
IEC     – International Electrotechnical Commission
IDS     – Intrusion Detection System
IDMZ    – Industrial De-Militarised Zone
IEEE    – Institute of Electrical and Electronics Engineers
IETF    – Internet Engineering Task Force
IKEv2   – Internet Key Exchange Version 2
IND     – Industrial Network Director (Cisco)
IOS     – (Cisco) Internet Operating System
IOS-XE  – “XE” train of the (Cisco) Internet Operating System
IOx     – Application environment for Cisco Networking Equipment
IP      – Internet Protocol
IPAM    – Internet Protocol Address Management
IPS     – Intrusion Prevention System
IPSec   – Internet Protocol Security (protocol suite)
ISA     – International Society of Automation
ISE     – Identity Services Engine (Cisco)
ISIS    – Intermediate System to Intermediate System (Routing Protocol)
IND     – (Cisco) Industrial Network Director
IOC     – Indicators of Compromise
IRIG-B  – Inter-Range Instrumentation Group time code “B”
IT      – Internet Technology
ITSec   – Internet Technology Security
L2      – (ISO Model) Layer 2
L3      – (ISO Model) Layer 3
LAN     – Local Area Network
LDAP    – Lightweight Directory Access Protocol
LIMS    – Laboratory Information Management System
LSP     – Label Switch Path
LTE     – Long-Term Evolution (4G mobile communications standard)
MAB     – MAC Authentication Bypass
MAC     – Medium Access Control
MACsec  – IEEE MAC Security Standard (IEEE 802.1AE)
MDM     – Mobile Device Management
MES     – Manufacturing Execution System
MRP     – Media Redundancy Protocol
NAT     – Network Address Translation
NBA     – Network Behaviour Analysis
NTP     – Network Time Protocol
ODVA    – Open DeviceNet Vendor Association
OPC     – Open Platform Communications (OPC Foundation)
OPC UA  – OPC Unified Architecture
OPS     – Operations
OSPF    – Open Shortest Path First (Routing Protocol)
OT      – Operations Technology
pxGrid  – Platform Exchange Grid
PCN     – Process Control Network
PLC     – Programmable Logic Controller
POE     – Power Over Ethernet
POE+    – Power Over Ethernet Plus
PRP     – Parallel Redundancy Protocol
PTP     – Precision Time Protocol
PVST+   – (Cisco) Rapid per VLAN Spanning Tree Plus
PROFINET – Process Field Net
PROFINET RT – PROFINET Real-Time
PROFINET IRT – PROFINET Isochronous Real-Time
QoS     – Quality of Service
RADIUS  – Remote Authentication Dial-In User Service
RBAC    – Roll-Based Access Control
RBACL   – Roll-Based Access Control List
RDP     – Remote Desktop Protocol
REP     – Resilient Ethernet Protocol
RIB     – Routing Information Base
RSPAN   – Remote Switch Port Analyser
SCADA   – Supervisory Control And Data Acquisition
SDA     – (Cisco) Software Defined Access
SGACL   – Scalable Group Access Control List
SGT     – Scalable Group Tag
SIEM    – Security Information and Event Management
SNMP    – Simple Network Management Protocol
SPAN    – Switch Port Analyser
SPT     – Spanning Tree
STP     – Spanning Tree Protocol
SW      – Software
TOD     – Time Of Day
TCP     – Transport Control Protocol
TLS     – Transport Layer Security
TSN     – Time Sensitive Networking
UADP    – (Cisco ASIC) Unified Access Data Plane
UDP     – User Datagram Protocol
USB     – Universal Serial Bus
VoIP    – Voice Over IP
VLAN    – Virtual Local Area Network
VM      – Virtual Machine
VN      – Virtual Network
VXLAN   – Virtual Extensible Local Area Network
VNI     – VXLAN Network Identifier
VPN     – Virtual Private Network
VRF     – Virtual Routing and Forwarding
VSOM    – (Cisco) Video Surveillance Operations Manager
VSS     – Virtual Switching System
VTP     – (Cisco) VLAN Trunking Protocol
VXLAN   – Virtual Extensible Local Area Network
WAN     – Wide Area Network
WEBUI   – World Wide Web User Interface
WWW     – World Wide Web

source: https://www.ciscolive.com/c/dam/r/ciscolive/apjc/docs/2019/pdf/BRKIOT-1315.pdf :

©2019

Industrial Automation Security Design Guide 2.0 :

First Published: 2023-01-17
Last Modified: 2023-01-17
©2023 © Cisco Systems, Inc. All rights reserved.

comments