Інформаційна архітектура ІТ-системи компанії. Приклад

2025-06-26 20:58
bga68comp: (Default)

Продовжуємо розбирати шаблони рівнів архітектури ІТ-систем. Це доповнення до опису архітектури за посиланнями:
Приклад опису архітектури системи згідно TOGAF
Побудова віртуальної інфраструктури на базі Microsoft Azure



Опис інформаційної архітектури компанії
🖼️ Згідно з наданою схемою (RDS, Files, IIS Web Front/Back, AD DC1/DC2, VPN)

🧾 Інформаційна архітектура ІТ-системи компанії

🔹 1. Методологія

  • TOGAF 9.2, ADM, фаза C (Data Architecture): побудова інформаційного рівня архітектури.
  • ISO/IEC/IEEE 42010:2011: опис архітектури через зацікавлені сторони, погляди (views), моделі та відповідності.

🔹 2. Архітектурний контекст

  • Усі серверні ресурси компанії розміщені в тенанті Azure.
  • Користувачі підключаються до корпоративної мережі через захищені канали (VPN або Azure Bastion).
  • Робоче середовище реалізоване через RDS-сервер (DevSRV).
  • Веб-додатки розділені на фронт- (IIS Web Front) та бекенд (IIS Web Back).
  • Ідентифікація та авторизація забезпечуються двома доменними контролерами (AD DC1, DC2).

🔹 3. Архітектурні погляди (Views)

3.1 📡 Deployment View

  • DevSRV – RDS сервер для користувачів.
  • Files – файловий сервер зі спільними каталогами.
  • IIS Web Srv Front / Back – розподілення логіки веб-додатку.
  • AD DC1 / DC2 – розподілена автентифікація, DNS, GPO.
  • Всі ресурси ізольовані через NSG, Firewall, розміщені у VNet з Subnet-сегментацією.
  • Користувачі підключаються через захищений шлюз (VPN/Bastion).

3.2 🧩 Data Architecture View

Сутність даних Опис
User Profile Профілі користувачів, зберігаються в AD та RDS
File Object Файли користувача на файловому сервері
DNS-записи Зони та записи, керуються AD DC1/DC2
Web Session Дані сесій на IIS Front
GPO Configuration Групові політики, що застосовуються через AD
RDP Logs Логи входів і дій у RDS

3.3 🔐 Access & Security View

  • RBAC на основі груп у AD.
  • GPO-політики: заборона USB, блокування локального диска, перенаправлення папок.
  • Шифрування: RDP over TLS, SMB over TLS.
  • Аудит: централізоване логування входів, дій на RDS.
  • Двофакторна автентифікація (MFA) через Azure AD / Conditional Access.
  • Firewall + NSG: розмежування Frontend, Backend, Infra.

3.4 🔄 Information Flow View

Звідки → Куди Протокол Захист
Користувач → RDS RDP over TLS VPN / MFA / GPO
RDS → Files SMB 3.0 ACL + GPO + TLS
RDS → AD LDAP/Kerberos Шифрування, автентифікація
RDS → IIS Front/Back HTTP/HTTPS ACL, WAF, сегментація
RDS → DNS DNS ACL-захист зони

🔹 4. Зацікавлені сторони (Stakeholders)

Сторона Інтерес
Користувачі Стабільний і безпечний доступ до робочого середовища
Системні адміністратори Централізоване управління політиками та файлами
Відділ ІБ Впровадження GPO, аудит, захист інформації
Бізнес Доступність сервісів, віддалена робота

🔹 5. Цільова модель та вдосконалення

Компонент Поточна реалізація Рекомендоване покращення
RDS DevSRV на VM Перехід до RDS Farm + Load Balancer
Files Windows FS Azure Files + Private Endpoint
MFA Часткове Універсальне MFA через Azure AD
AD DC1 + DC2 Гібрид із Azure AD DS
IIS Front/Back На VM Azure App Service або контейнеризація

🔹 6. Узгодженість із ISO/IEC/IEEE 42010

Компонент Відповідність
Stakeholders Визначено
Architectural Views Згруповано (Deployment, Security, Data)
Вимоги Ураховані: доступність, безпека, контроль
Traceability Показано зв’язок між цілями й рішеннями

✅ На останок:

Інформаційна архітектура побудована згідно з TOGAF ADM (фаза C) та структурована за стандартом ISO 42010.
Враховано як функціональні, так і нефункціональні вимоги: доступність, безпека, масштабованість.
Усі основні компоненти (RDS, Files, AD, IIS) інтегровані через захищені канали й управляються централізовано.



Tags:
  • Add Memory
  • Share This Entry

DNS MasterCard error

2025-01-26 00:21
bga68comp: (Default)


Philippe Caturegli
• Chief Hacking Officer at Seralys

Впродовж останніх 4,5+ років MasterCard мала помилку в записах DNS, коли в одному з її піддоменів був запис NS, що вказує на a22-65.akam.ne, а не на a22-65.akam.net (Akamai Technologies).
На щастя, ми виявили цю проблему під час нашого нещодавнього дослідження безпеки DNS та управління доменами та «оборонно» зареєстрували домен, щоб запобігти зловживанням. Але цікаво, що, як зазначив Brian Krebs, «хтось у Росії зареєстрував цей домен з друкарською помилкою ще в 2016 році і протягом декількох років час від часу дозволяв його IP-адресу в Німеччині (185.53.177.31)». 😱

Будь ласка, перевірте ще раз свої записи DNS...
Одна помилка може відкрити двері для атак типу «людина посередині», фішингу, перехоплення даних і багато іншого. Якщо ви не контролюєте домен, на який вказують ваші сервери імен, зловмисники можуть це зробити.



Джерело:
https://www.linkedin.com/posts/caturegli_for-the-past-45-years-mastercard-had-a-activity...


Tags:
  • Add Memory
  • Share This Entry

Як налаштувати DNS комп'ютера на DNS-сервери Google?

2024-11-14 23:58
bga68comp: (Default)

Як налаштувати DNS комп'ютера на DNS-сервери Google?

Інколи треба зробити свою роботу в інтернеті швидшою, надійнішою, безпечнішою та приватнішою. Навіщо? Про це трохи нижче. А от що для цього треба зробити — скористатися досить простим способом: переналаштувати DNS свого комп'ютера.

Щоб налаштувати DNS комп'ютера на використання DNS-серверів Google, виконайте такі кроки:

Для Windows 10:

  1. Відкрийте Панель управління (Control Panel).
  2. Перейдіть до Мережа та Інтернет > Центр управління мережами та загальним доступом.
  3. Знайдіть зліва пункт Змінити параметри адаптера і натисніть на нього.
  4. Клацніть правою кнопкою миші на вашому мережевому підключенні та оберіть Властивості.
  5. У вікні Властивості знайдіть і виберіть пункт Протокол Інтернету версії 4 (TCP/IPv4), натисніть Властивості.
  6. Виберіть Використовувати наступні адреси DNS-серверів.
  7. Введіть адреси DNS-серверів Google:
    • Основний DNS-сервер: 8.8.8.8
    • Альтернативний DNS-сервер: 8.8.4.4
  8. Натисніть ОК для збереження змін.


У Windows 11 налаштування мають трохи інший вигляд. Якщо у Вас Windows 11 версії 24H2 із зборкою ОС чи 26120.2222 чи вище, то виконайте такі кроки:

Для Windows 11 версії 24H2 збірки 26120.2222:

  1. Клацніть правою кнопкою миші на іконці мережі у правому нижньому кутку Панелі задач і виберіть Налаштування мережі і Інтернет:



  2. У вікні справа Мережа і інтернет прогортайте сторінку донизу і виберіть Додаткові мережеві налаштування:

  3. Знайдіть свій мережевий адаптер:

  4. Як приклад, це на малюнку - Бездротова мережа.
  5. Клацніть мишею на вашому мережевому адаптері та розгорніть його донизу:

  6. Виберіть Подивитись додаткові властивості:

  7. Натисніть кнопку Змінити:

  8. Введіть адреси DNS-серверів Google:
    • Переважний DNS-сервер: 8.8.8.8
    • Додатковий DNS-сервер: 8.8.4.4
  9. Натисніть кнопку Зберегти для збереження змін:

  10. Перевіряємо, що сервери змінились:

  11. Все.

Read more... )


Tags:
  • Add Memory
  • Share This Entry

Top Cyber Attacks 2024

2024-10-28 18:27
Tags:
  • Add Memory
  • Share This Entry

DNS from Cloudflare

2023-12-07 23:42
Tags:
  • Add Memory
  • Share This Entry

Cisco. Acronyms

2023-08-21 23:55
bga68comp: (Default)

Сокращения 
AAA     – Authentication, Authorisation, Accounting
ACI     – (Cisco) Application Centric Infrastructure
ACK     – Acknowledgement
ACL     – Access Control List
AD      – (Microsoft) Active Directory
API     – Application Programming Interface
APIC    – (Cisco) Application Policy Infrastructure Controller
APIC-DC – (Cisco) Application Policy Infrastructure Controller – DataCentre
ARP     – Address Resolution Protocol
ASIC    – Application-Specific Integrated Circuit
BGP     – Border Gateway Protocol
BPDU    – Bridge Protocol Data Unit
CoPP    – Control Plane Policing
C&C     – Command and Control
CC      – Controlled Conduit
CEF     – Cisco Express Forwarding
CIP     – Common Industrial Protocol (ODVA)
CMD     – Command
COS     – Class Of Service
CPwE    – Cisco Plantwide Ethernet
CRC     – Cyclic Redundancy Check
CTS     – Cisco TrustSec
dACL    – Dynamic Access Control List
DAI     – Dynamic ARP Inspection
DC      – Datacentre
DDOS    – Distributed Denial of Service
DHCP    – Dynamic Host Configuration Protocol
DLR     – Device Level Ring
DMVPN   – Dynamic Multipoint Virtual Private Network
DMZ     – Demilitarised Zone
DLR     – Device Level Ring
DNS     – Domain Name Service
DNA     – (Cisco) Digital Network Architecture
DNA E/A/P – (Cisco) Digital Network Architecture Essentials/Advanced/Premium Licensing
DSCP    – (IP) Differentiated Services Code Point
DTP     – (Cisco) Dynamic Trunking Protocol
EIGRP   – Exterior Interior Gateway Routing Protocol
EPG     – End Point Group
ERP     – Enterprise Resource Planning
ERSPAN  – Encapsulated Remote Switched Port Analyser
ETA     – (Cisco) Encrypted Traffic Analytics
FNF     – Flexible NetFlow
GPS     – Global Positioning System
GE      – Gigabit Ethernet
GETVPN  – Group Encrypted Transport Virtual Private Network
GRE     – Generic Routing Encapsulation
GUI     – Graphical User Interface
HMI     – Human Machine Interface
HR      – Human Relations
HSR     – High-availability Seamless Redundancy (Ring)
HTTP    – Hypertext Transfer Protocol
HTTPS   – Hypertext Transfer Protocol Secure
HW      – Hardware
IACS    – Industrial Automation and Control Systems
IBN     – Intent-Based Networking
ICMP    – Internet Control Message Protocol
ICS     – Internet Control System
IE      – Industrial Ethernet
IEC     – International Electrotechnical Commission
IDS     – Intrusion Detection System
IDMZ    – Industrial De-Militarised Zone
IEEE    – Institute of Electrical and Electronics Engineers
IETF    – Internet Engineering Task Force
IKEv2   – Internet Key Exchange Version 2
IND     – Industrial Network Director (Cisco)
IOS     – (Cisco) Internet Operating System
IOS-XE  – “XE” train of the (Cisco) Internet Operating System
IOx     – Application environment for Cisco Networking Equipment
IP      – Internet Protocol
IPAM    – Internet Protocol Address Management
IPS     – Intrusion Prevention System
IPSec   – Internet Protocol Security (protocol suite)
ISA     – International Society of Automation
ISE     – Identity Services Engine (Cisco)
ISIS    – Intermediate System to Intermediate System (Routing Protocol)
IND     – (Cisco) Industrial Network Director
IOC     – Indicators of Compromise
IRIG-B  – Inter-Range Instrumentation Group time code “B”
IT      – Internet Technology
ITSec   – Internet Technology Security
L2      – (ISO Model) Layer 2
L3      – (ISO Model) Layer 3
LAN     – Local Area Network
LDAP    – Lightweight Directory Access Protocol
LIMS    – Laboratory Information Management System
LSP     – Label Switch Path
LTE     – Long-Term Evolution (4G mobile communications standard)
MAB     – MAC Authentication Bypass
MAC     – Medium Access Control
MACsec  – IEEE MAC Security Standard (IEEE 802.1AE)
MDM     – Mobile Device Management
MES     – Manufacturing Execution System
MRP     – Media Redundancy Protocol
NAT     – Network Address Translation
NBA     – Network Behaviour Analysis
NTP     – Network Time Protocol
ODVA    – Open DeviceNet Vendor Association
OPC     – Open Platform Communications (OPC Foundation)
OPC UA  – OPC Unified Architecture
OPS     – Operations
OSPF    – Open Shortest Path First (Routing Protocol)
OT      – Operations Technology
pxGrid  – Platform Exchange Grid
PCN     – Process Control Network
PLC     – Programmable Logic Controller
POE     – Power Over Ethernet
POE+    – Power Over Ethernet Plus
PRP     – Parallel Redundancy Protocol
PTP     – Precision Time Protocol
PVST+   – (Cisco) Rapid per VLAN Spanning Tree Plus
PROFINET – Process Field Net
PROFINET RT – PROFINET Real-Time
PROFINET IRT – PROFINET Isochronous Real-Time
QoS     – Quality of Service
RADIUS  – Remote Authentication Dial-In User Service
RBAC    – Roll-Based Access Control
RBACL   – Roll-Based Access Control List
RDP     – Remote Desktop Protocol
REP     – Resilient Ethernet Protocol
RIB     – Routing Information Base
RSPAN   – Remote Switch Port Analyser
SCADA   – Supervisory Control And Data Acquisition
SDA     – (Cisco) Software Defined Access
SGACL   – Scalable Group Access Control List
SGT     – Scalable Group Tag
SIEM    – Security Information and Event Management
SNMP    – Simple Network Management Protocol
SPAN    – Switch Port Analyser
SPT     – Spanning Tree
STP     – Spanning Tree Protocol
SW      – Software
TOD     – Time Of Day
TCP     – Transport Control Protocol
TLS     – Transport Layer Security
TSN     – Time Sensitive Networking
UADP    – (Cisco ASIC) Unified Access Data Plane
UDP     – User Datagram Protocol
USB     – Universal Serial Bus
VoIP    – Voice Over IP
VLAN    – Virtual Local Area Network
VM      – Virtual Machine
VN      – Virtual Network
VXLAN   – Virtual Extensible Local Area Network
VNI     – VXLAN Network Identifier
VPN     – Virtual Private Network
VRF     – Virtual Routing and Forwarding
VSOM    – (Cisco) Video Surveillance Operations Manager
VSS     – Virtual Switching System
VTP     – (Cisco) VLAN Trunking Protocol
VXLAN   – Virtual Extensible Local Area Network
WAN     – Wide Area Network
WEBUI   – World Wide Web User Interface
WWW     – World Wide Web


source: https://www.ciscolive.com/c/dam/r/ciscolive/apjc/docs/2019/pdf/BRKIOT-1315.pdf :


©2019

Industrial Automation Security Design Guide 2.0 :


First Published: 2023-01-17
Last Modified: 2023-01-17
©2023 © Cisco Systems, Inc. All rights reserved.
 
Tags:
  • Add Memory
  • Share This Entry

DNS. Напоминалка

2021-11-29 20:45
bga68comp: (Default)
 
 

 
Основные записи DNS

Запись A - сопоставляет ip-адрес доменному имени
Запись MX - показывает почтовые сервера для домена
Запись NS - показывает DNS-сервер этого домена
Запись CNAME - дополнительное имя для домена
Запись SRV - указывает на сервисы, которые обслуживают данную зону
Запись SOA - покажет сервер с эталонной информацией о домене

Tags:
  • Add Memory
  • Share This Entry

Структура системы киберзащиты

2020-01-03 17:42
bga68comp: (Default)

Уроки Petya / Netya

Почему он был такой «успешный»? Вот почему:

Реакция IT-персонала ряда компаний во время атаки 27 июня 2017 г.:
• Не увидели: системы мониторинга выявили атаку, но ответственных за обработку уведомлений не было
• Не поняли: система мониторинга выдавала различные «оранжевые» предупреждения, сопоставить которые с угрозой не смогли
• Не отреагировали: поняли, что атакуют, но вместо быстрого отключения пораженных сегментов начали «разбираться, как это работает»
• Не смогли отреагировать: всё понимали, но не было полномочий на отключение пораженных систем и сервисов Не смогли (быстро) восстановиться: не было регламентов (DR-планов) и навыков восстановления систем после сбоев

Security is a process, not a product. (Bruce Schneier, CTO of IBM Resilient)

Вопросы, которые следует задать себе:

Когда (не если!) защиту вашей сети обойдут, то каковы будут:
• Время восстановления базовой работоспособности и % деградации функционала?
• Время восстановления полной работоспособности?
• За какой период будут утрачены данные (результаты работы бизнеса)?

Ответы, которые следует запомнить:

NIST Best Practices (Best Practices in Cyber Supply Chain Risk Management):
• Развивайте свою защиту, основываясь на принципе, что ваши системы будут взломаны.
/ Develop your defenses based on the principle that your systems will be breached. /
• Кибербезопасность - это не просто технологическая проблема, это проблема людей, процессов и знаний.
/ Cybersecurity is never just a technology problem, it’s a people, processes and knowledge problem. /



Рис. Структура системы киберзащиты на основе TIER

Источник (частично):
https://it-integrator.ua/sites/default/files/imce/rezervnoe_kopyrovanye.pdf

См.также:
DX - цифровая трансформация


Tags:
  • Add Memory
  • Share This Entry

Об утечках через DNS, которые не ловит ни одна DLP

2018-01-23 13:31
bga68comp: (Default)
image Алексей Лукацкий

17 Января, 2018

Об утечках через DNS, которые не ловит ни одна DLP

Наверное то есть, кто давно занимается информационной безопасностью помнят, что в 1996-м году была очень популярная вредоносная программа Loki, которая позволяла организовывать туннели внутри ICMP-протокола, обычно не контролируемого распространенными на тот момент межсетевыми экранами. Идея Loki была проста - путем обмена командами ECHO REQUEST и ECHO REPLY (то есть обычный Ping) в поле данных пакета ICMP можно было засунуть все, что угодно. Детектировать такие атаки на МСЭ почти невозможно и помогали их обнаруживать только IDS, для которых писались правила, отслеживающие длину запросов и ответов ICMP (она должна быть равна 42 байтам), а также смотрящие за тем, чтобы поле данных ICMP-пакета было пустым (с нулевой длиной). С разной эффективностью схожий метод использовался некоторыми другими вредоносными программами, которые появлялись уже позже, в 2000-х годах, и в 2010-х.
Read more... )
Tags:
  • Add Memory
  • Share This Entry

Кибератаки в подробностях: вмешательство в работу DNS

2015-11-27 17:38
bga68comp: (Default)
Кибератаки в подробностях: вмешательство в работу DNS

Оригинал: Cyber Attacks Explained: DNS Invasions
Автор: Prashant Phatak
Дата публикации: 22 февраля 2012 г.
Перевод: А.Панин
Дата перевода: 8 декабря 2012 г.


http://rus-linux.net/MyLDP/sec/cyber-attacks-dns-invasions.html

 
 
Tags:
  • Add Memory
  • Share This Entry

DNS. Дописывать следующие DNS-суффиксы (по порядку)

2015-11-25 17:25
bga68comp: (Default)
DNS. Дописывать следующие DNS-суффиксы (по порядку)

Иногда администраторы при нежелании разбираться с проблемами DNS рекомендуют пользователям в Дополнительных параметрах TCP/iP на вкладке DNS выбирать радиокнопку Дописывать следующие DNS-суффиксы (по порядку) в поле ввода добавлять суффиксы, которые будут подставляться принудительно.



Нажимаем кнопку Добавить и вводим суффиксы доменов:



После добавления суффиксов вручную необходимо обязательно выполнить команду на клиентском компьютере:

Microsoft Windows

ipconfig /flushdns

Прим.: Команда ipconfig /displaydns показывает DNS-кэш.

MacOS X

lookupd -flushcache

Пример:
C:\Users\bga68>ipconfig /flushdns

Настройка протокола IP для Windows

Кэш сопоставителя DNS успешно очищен.

C:\Users\bga68>


 
 
Tags:
  • Add Memory
  • Share This Entry

Обновление настроек DNS на клиентских компьютерах

2015-06-11 10:16
bga68comp: (Default)
После того, как администратор вносит какие-либо изменения в настройки DNS, иногда приходится вручную их обновлять на клиентских компьютерах.

Для этого существует команда:


ipconfig /RegisterDNS

Более подробно в статье Майкрософт Обновление регистрации клиента DNS с помощью команды ipconfig

Вернуться к Оглавлению
Tags:
  • Add Memory
  • Share This Entry

Windows XP. Ошибка ввода в домен

2014-03-22 21:36
bga68comp: (Default)
На ОС Microsoft Windows XP при вводе компьютера в домен возникает следующая ошибка:

При присоединении к домену "ххх.ххх" произошла следующая ошибка: Не найден сетевой путь

Для исправления ошибки

1. проверяем запущена ли служба:

LmHosts
Модуль поддержки NetBIOS через TCP/IP
C:\WINDOWS\system32\svchost.exe -k LocalService

Включает поддержку службы NetBIOS через TCP/IP (NetBT) и разрешения NetBIOS-имен в адреса.

2. в свойствах протокола TCP/IPv4 выбрать Использовать следующие адреса DNS-серверов и установить Предпочитаемый DNS-сервер именно тот, который содержит сведения о контролере домена, в который вводится компьютер

tcp-ip

Перейти к Оглавлению
Tags:
  • Add Memory
  • Share This Entry

Profile

bga68comp: (Default)
bga68comp

June 2025

S M T W T F S
123 4567
8 91011121314
15161718192021
22232425 262728
2930     

Syndicate

RSS Atom

Most Popular Tags

Page Summary

Style Credit

Expand Cut Tags

No cut tags
Page generated 2025-06-27 02:37
Powered by Dreamwidth Studios