![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
ORM (Object-Relational Mapping / Об’єктно-реляційне відображення) — це програмна технологія, яка дозволяє працювати з базою даних не напряму через SQL-запити, а через об’єкти мови програмування.
Простими словами:
- Без ORM: ви пишете
SELECT * FROM users WHERE id=1; - З ORM: ви пишете
User.find(1)і отримуєте об’єктUser, з яким можна працювати у коді.
Де застосовується
- ORM є проміжним шаром (layer) між додатком і БД.
- Він транслює методи й властивості об’єктів у SQL-запити і назад.
- Це робить код простішим, зручнішим у підтримці та менш залежним від конкретної СУБД.
Приклади ORM
- Java: Hibernate, EclipseLink
- .NET: Entity Framework
- Python: SQLAlchemy, Django ORM
- Ruby: ActiveRecord
- PHP: Doctrine, Eloquent (Laravel)
Tags:
У ISO/IEC/IEEE 42010 (Systems and Software Engineering — Architecture Description) є два близькі, але різні поняття:
Viewpoint (точка зору)
- Визначення: це "шаблон" або правило, яке пояснює як і для кого треба створювати архітектурне подання.
- Він відповідає на питання: які інтереси стейкхолдера ми показуємо, яку інформацію включаємо, якими засобами (діаграми, таблиці, текст) описуємо.
- Простими словами: viewpoint — це інструкція або рецепт для створення подання.
View (подання)
- Визначення: це конкретний результат застосування viewpoint до вашої системи.
- Тобто це вже готова діаграма, таблиця чи текст, що показує систему під певним кутом зору.
- Простими словами: view — це фото системи, зроблене за тим рецептом.
Приклад
Уявімо, що будуємо архітектуру для хмарної платформи:- Stakeholder (зацікавлена сторона)
- CIO (Chief Information Officer, директор з ІТ)
- Його concern (потреба): чи масштабована система і як забезпечено інтеграцію між додатками?
- CIO (Chief Information Officer, директор з ІТ)
- Viewpoint (точка зору на інтеграцію додатків)
- Назва: Application Communication Viewpoint
- Призначення: показати, як взаємодіють модулі та сервіси
- Мова: UML Component Diagram або ArchiMate Application Collaboration
- Яку інформацію включати: сервіси, API, протоколи, залежності
- Назва: Application Communication Viewpoint
- View (конкретне подання)
- Діаграма з Azure AD, веб-додатком на Ubuntu, RDS MySQL, інтеграцією з O365.
- Тут видно, що користувачі логіняться через Entra ID, доступ йде через API-шлюз, БД інтегрується через ORM-шар.
- Це вже готова картинка, яку CIO може подивитися.
- Діаграма з Azure AD, веб-додатком на Ubuntu, RDS MySQL, інтеграцією з O365.
🔹 Отже:
- Viewpoint = каже: "покажи архітектуру додатків через компоненти і протоколи"
- View = конкретна діаграма з вашим Entra ID, API Gateway і MySQL
Tags:
В чому незручність, коли використовують тільки одну методологію для опису архітектурних рівнів?
- TOGAF дає методологію (ADM-фази, артефакти, каталоги, матриці), але іноді в ньому бракує гнучкості у формальному представленні результатів.
- ISO/IEC/IEEE 42010 дає рамку опису архітектури: хто стейкхолдери, які їхні потреби (concerns), через які viewpoints ці потреби відображати, і у вигляді яких views це презентувати.
- Якщо користуватися лише TOGAF — є ризик, що опис буде “каталог + текст”, але не зовсім зрозумілий різним групам зацікавлених сторін.
- Якщо користуватися лише ISO 42010 — буде гарна структура “хто/що/для чого”, але без готових методичних кроків і артефактів (каталогів, матриць).
Комбінація TOGAF і ISO/IEC/IEEE 42010 методично сильніша, ніж використання кожного окремо: TOGAF забезпечує процес і набір артефактів, а ISO 42010 — формалізований спосіб представлення архітектури через стейкхолдерів, concerns і viewpoints. Разом вони дозволяють зробити опис не лише повним, а й зрозумілим для різних аудиторій.
| Критерій | TOGAF | ISO/IEC/IEEE 42010 | Разом (TOGAF + ISO 42010) |
|---|---|---|---|
| Призначення | Методологія розробки архітектури (ADM, фази, артефакти) | Рамка для опису архітектури (stakeholders, concerns, viewpoints, views) | Повний цикл: розробка + формалізований опис |
| Сильна сторона | Дає покроковий процес (ADM) і набір артефактів (каталоги, матриці) | Дає чітку структуру для комунікації з різними стейкхолдерами | Виходить і методика роботи, і методика подачі результатів |
| Слабка сторона | Може вийти занадто “всередину ІТ”, важко донести до нефахівців | Немає власної методики створення артефактів, лише правила їх опису | Компенсують слабкі сторони один одного |
| Фокус | Що і як робити (Data, Application, Technology, Business Architectures) | Як показати і пояснити (concerns, viewpoints, views) | І процес, і представлення зрозумілі й прозорі |
| Приклад результату | Каталоги даних, матриці застосунків, моделі потоків | Logical Data View, Security View, паспорти viewpoints | Каталоги + матриці (TOGAF), оформлені у views для різних стейкхолдерів (ISO 42010) |
Таким чином, можна сказати так — разом вони дають повну картину:
- TOGAF = як і що робити (ADM, каталоги, матриці).
- ISO 42010 = як правильно це описати й донести (stakeholders, concerns, viewpoints, views).
Див. також:
⋄ Приклад опису архітектури системи згідно TOGAF → https://bga68comp.dreamwidth.org/787432.html
Tags:
Продовжуємо розбирати шаблони рівнів архітектури ІТ-систем. Це доповнення до опису архітектури за посиланнями:
• Приклад опису архітектури системи згідно TOGAF
• Побудова віртуальної інфраструктури на базі Microsoft Azure
✅ Опис інформаційної архітектури компанії
🖼️ Згідно з наданою схемою (RDS, Files, IIS Web Front/Back, AD DC1/DC2, VPN)
🧾 Інформаційна архітектура ІТ-системи компанії
🔹 1. Методологія
- TOGAF 9.2, ADM, фаза C (Data Architecture): побудова інформаційного рівня архітектури.
- ISO/IEC/IEEE 42010:2011: опис архітектури через зацікавлені сторони, погляди (views), моделі та відповідності.
🔹 2. Архітектурний контекст
- Усі серверні ресурси компанії розміщені в тенанті Azure.
- Користувачі підключаються до корпоративної мережі через захищені канали (VPN або Azure Bastion).
- Робоче середовище реалізоване через RDS-сервер (DevSRV).
- Веб-додатки розділені на фронт- (IIS Web Front) та бекенд (IIS Web Back).
- Ідентифікація та авторизація забезпечуються двома доменними контролерами (AD DC1, DC2).
🔹 3. Архітектурні погляди (Views)
3.1 📡 Deployment View
- DevSRV – RDS сервер для користувачів.
- Files – файловий сервер зі спільними каталогами.
- IIS Web Srv Front / Back – розподілення логіки веб-додатку.
- AD DC1 / DC2 – розподілена автентифікація, DNS, GPO.
- Всі ресурси ізольовані через NSG, Firewall, розміщені у VNet з Subnet-сегментацією.
- Користувачі підключаються через захищений шлюз (VPN/Bastion).
3.2 🧩 Data Architecture View
| Сутність даних | Опис |
|---|---|
| User Profile | Профілі користувачів, зберігаються в AD та RDS |
| File Object | Файли користувача на файловому сервері |
| DNS-записи | Зони та записи, керуються AD DC1/DC2 |
| Web Session | Дані сесій на IIS Front |
| GPO Configuration | Групові політики, що застосовуються через AD |
| RDP Logs | Логи входів і дій у RDS |
3.3 🔐 Access & Security View
- RBAC на основі груп у AD.
- GPO-політики: заборона USB, блокування локального диска, перенаправлення папок.
- Шифрування: RDP over TLS, SMB over TLS.
- Аудит: централізоване логування входів, дій на RDS.
- Двофакторна автентифікація (MFA) через Azure AD / Conditional Access.
- Firewall + NSG: розмежування Frontend, Backend, Infra.
3.4 🔄 Information Flow View
| Звідки → Куди | Протокол | Захист |
|---|---|---|
| Користувач → RDS | RDP over TLS | VPN / MFA / GPO |
| RDS → Files | SMB 3.0 | ACL + GPO + TLS |
| RDS → AD | LDAP/Kerberos | Шифрування, автентифікація |
| RDS → IIS Front/Back | HTTP/HTTPS | ACL, WAF, сегментація |
| RDS → DNS | DNS | ACL-захист зони |
🔹 4. Зацікавлені сторони (Stakeholders)
| Сторона | Інтерес |
|---|---|
| Користувачі | Стабільний і безпечний доступ до робочого середовища |
| Системні адміністратори | Централізоване управління політиками та файлами |
| Відділ ІБ | Впровадження GPO, аудит, захист інформації |
| Бізнес | Доступність сервісів, віддалена робота |
🔹 5. Цільова модель та вдосконалення
| Компонент | Поточна реалізація | Рекомендоване покращення |
|---|---|---|
| RDS | DevSRV на VM | Перехід до RDS Farm + Load Balancer |
| Files | Windows FS | Azure Files + Private Endpoint |
| MFA | Часткове | Універсальне MFA через Azure AD |
| AD | DC1 + DC2 | Гібрид із Azure AD DS |
| IIS Front/Back | На VM | Azure App Service або контейнеризація |
🔹 6. Узгодженість із ISO/IEC/IEEE 42010
| Компонент | Відповідність |
|---|---|
| Stakeholders | Визначено |
| Architectural Views | Згруповано (Deployment, Security, Data) |
| Вимоги | Ураховані: доступність, безпека, контроль |
| Traceability | Показано зв’язок між цілями й рішеннями |
✅ На останок:
Інформаційна архітектура побудована згідно з TOGAF ADM (фаза C) та структурована за стандартом ISO 42010.
Враховано як функціональні, так і нефункціональні вимоги: доступність, безпека, масштабованість.
Усі основні компоненти (RDS, Files, AD, IIS) інтегровані через захищені канали й управляються централізовано.
Annex:
🟠 Фази ADM (Architecture Development Method)
- Preliminary Phase
- Phase A: Architecture Vision
- Phase B: Business Architecture
- Phase C: Information Systems Architectures
- Phase D: Technology Architecture
- Phase E: Opportunities and Solutions
- Phase F: Migration Planning
- Phase G: Implementation Governance
- Phase H: Architecture Change Management
- Requirements Management
Tags:
- active directory,
- azure,
- cloud,
- cobit,
- dld,
- dlp,
- dns,
- fileserver,
- iso 27001,
- microsoft,
- network,
- security,
- togaf,
- virtual,
- vpn,
- администратор,
- архітектура,
- заготовка,
- информационная безопасность,
- ипф,
- перспективы,
- проект,
- серверная,
- система,
- специалист иб,
- стратегия,
- требования,
- управление,
- утечка,
- чек-лист
Insecure Port Vs Secure Port | Credits:
e-Learn Cyber Security
e-Learn Cyber Security
Insecure Ports vs Secure Ports
| Insecure Port | Protocol | Description | Secure Port | Protocol | Description |
|---|---|---|---|---|---|
| 21 | FTP | Sends username and password in plaintext. | 22 | SFTP | Encrypts user credentials and data packets. |
| 23 | Telnet | Sends all info in plaintext; vulnerable to interception. | 22 | SSH | Encrypts terminal traffic; protects from sniffing. |
| 25 | SMTP | Sends emails without encryption; vulnerable to sniffing. | 587 | SMTP (TLS) | Encrypts emails between client and server. |
| 37 | TIME | Legacy protocol, mostly replaced. | 123 | NTP | Better error handling and accuracy. |
| 53 | DNS | Widely used but unencrypted. | 853 | DoT | Encrypts DNS with TLS, protects in transit. |
| 80 | HTTP | Unencrypted web traffic; vulnerable to sniffing. | 443 | HTTPS | Uses TLS to protect browser-server communication. |
| 143 | IMAP | Retrieves email without encryption. | 993 | IMAP (SSL/TLS) | Encrypts email retrieval traffic. |
| 445 | SMB | Unencrypted file sharing on Windows networks. | 2049 | NFS | Can be encrypted, but often blocked by firewalls. |
| 389 | LDAP | Unencrypted directory queries; vulnerable to attacks. | 636 | LDAPS | Adds SSL/TLS to secure directory access. |
🇺🇦 Незахищені порти порівняно із захищеними
| Незахищений порт | Протокол | Опис | Захищений порт | Протокол | Опис |
|---|---|---|---|---|---|
| 21 | FTP | Передає ім’я користувача і пароль у відкритому вигляді. | 22 | SFTP | Шифрує облікові дані користувача і передані дані. |
| 23 | Telnet | Уся інформація передається у відкритому вигляді; вразлива до перехоплення. | 22 | SSH | Шифрує термінальний трафік; захищає від перехоплення. |
| 25 | SMTP | Відправляє електронну пошту без шифрування; вразлива до перехоплення. | 587 | SMTP (TLS) | Шифрує пошту між клієнтом і сервером. |
| 37 | TIME | Застарілий протокол, майже не використовується. | 123 | NTP | Краще обробляє помилки, підвищує точність. |
| 53 | DNS | Широко використовується, але не шифрується. | 853 | DoT | Шифрує DNS через TLS, захищає під час передавання. |
| 80 | HTTP | Нешифрований вебтрафік; вразливий до перехоплення. | 443 | HTTPS | Використовує TLS для захисту з’єднання браузера з сервером. |
| 143 | IMAP | Отримання пошти без шифрування. | 993 | IMAP (SSL/TLS) | Шифрує трафік отримання електронної пошти. |
| 445 | SMB | Нешифроване спільне використання файлів у Windows-мережах. | 2049 | NFS | Може шифруватися, але зазвичай блокується фаєрволами. |
| 389 | LDAP | Нешифровані запити до каталогу; вразливі до атак. | 636 | LDAPS | Додає SSL/TLS для захисту доступу до каталогу. |
Акронім AAA:
Використовується для позначення автентифікації, авторизації та обліку різноманітних сервісів (англ. authentication, authorization, accounting, AAA)
Див. також:
Vinga
Модель: Type-C Male to RJ45 Lan 1 Gbps compact
vinga.ua/ua/perehidnyk_type-c_male_to_rj45_lan_1_gbps_compact_vinga_(vcpatclgbc)
Характеристики
Основні характеристики | |
|---|---|
| Тип | для передачі даних |
| Призначення | для телефону для ноутбука для планшета |
| Роз'єм 1 | USB Тип C |
| Роз'єм 2 | RJ45 |
Інші |
|
| Виробник | Vinga |
| Модель | Type-C Male to RJ45 Lan 1 Gbps compact |
| Артикул | VCPATCLGBC |
| Гарантія, міс | 12 |
| Примітка | Виробник може змінювати властивості, характеристики, зовнішній вигляд і комплектацію товарів без попередження |
Мал. 1. Традиційна топологія мережі Azure
Рекомендації щодо проектування.
• Різні мережеві топології можуть підключатися до кількох віртуальних мереж цільової зони. Приклади топологій мережі включають одну велику неструктуровану віртуальну мережу, кілька віртуальних мереж, підключених до кількох каналів Azure ExpressRoute або підключень, концентратор і периферійних мереж, повній сітці та гібридному середовищі.
• Віртуальні мережі не можуть виходити за межі передплати, але ви можете забезпечити можливість підключення між віртуальними мережами в різних підписках за допомогою пірінгу між віртуальними мережами, каналу ExpressRoute або VPN-шлюзів.
• Для підключення віртуальних мереж в Azure кращим способом є пірінг між віртуальними мережами. Піринг між віртуальними мережами можна використовувати для підключення віртуальних мереж в одному регіоні, між різними регіонами Azure та різними клієнтами Microsoft Entra.
• Як піринг між віртуальними мережами, і глобальний піринг між віртуальними мережами є транзитивними. Щоб увімкнути транзитну мережу, потрібні маршрути (UDR) і віртуальні (модуль) мережі (NVA), що визначаються користувачем. Щоб отримати додаткові відомості, див. Зіркоподібна мережа топології в Azure.
• Ви можете надати спільний доступ до плану захисту від атак DDoS Azure у всіх віртуальних мережах в одному клієнті Microsoft Entra для захисту ресурсів із загальнодоступними IP-адресами. Щоб отримати додаткові відомості, див. Захист від атак DDoS Azure.
◌ Плани захисту від атак DDoS Azure охоплюють лише ресурси із загальнодоступними IP-адресами.
◌ Вартість плану захисту від атак DDoS Azure включає 100 загальнодоступних IP-адрес у всіх захищених віртуальних мережах, пов'язаних із планом захисту від атак DDoS. Захист додаткових ресурсів доступний за окремою ціною. Додаткові відомості про ціни на план захисту від атак DDoS Azure див. на сторінці цін на захист від атак DDoS Azure або на запитання, що часто ставляться .
◌ Перегляньте підтримувані ресурси планів захисту від атак DDoS Azure.
• Канали ExpressRoute можна використовувати для підключення між віртуальними мережами в межах одного регіону або за допомогою надбудови рівня "Преміум" для підключення між регіонами. Пам'ятайте наступне:
◌ Мережевий трафік може зіткнутися з більшою затримкою, оскільки трафік має прикріпитись до маршрутизаторів Microsoft Enterprise Edge (MSEE).
◌ Номер SKU шлюзу ExpressRoute обмежує пропускну здатність.
◌ Розгортання визначуваних користувачем користувачів та керування ними за необхідності перевірки або реєстрації визначуваних користувачем користувачів для трафіку у віртуальних мережах.
• VPN-шлюзи з протоколом BGP є транзитивними в Azure та локальних мережах, але за промовчанням не надають транзитивний доступ до мереж, підключених через ExpressRoute. Якщо вам потрібний транзитивний доступ до мереж, підключених через ExpressRoute, розгляньте сервер маршрутизації Azure.
• При підключенні кількох каналів ExpressRoute до однієї віртуальної мережі використовуйте ваги підключень та методи BGP, щоб забезпечити оптимальний шлях для трафіку між локальними мережами та Azure. Щоб отримати додаткові відомості, див. Оптимізація маршрутизації ExpressRoute.
• Використання метрик BGP, щоб вплинути на маршрутизацію ExpressRoute – це зміна конфігурації, виконана за межами платформи Azure. Ваша організація або постачальник послуг з'єднання повинні належним чином настроїти локальні маршрутизатори.
• Канали ExpressRoute із надбудовами рівня "Преміум" забезпечують глобальний зв'язок.
• ExpressRoute має певні обмеження; Існує максимальна кількість підключень ExpressRoute на шлюз ExpressRoute, а приватний піринг ExpressRoute може визначити максимальну кількість маршрутів з Azure до локального середовища. Додаткові відомості про обмеження ExpressRoute див. у розділі "Обмеження ExpressRoute".
• Максимальна сумарна пропускна здатність VPN-шлюзу становить 10 гігабіт на секунду. VPN-шлюз підтримує до 100 тунелів типу "мережа-мережа" або "мережа-мережа".
• Якщо NVA є частиною архітектури, розгляньте azure Route Server, щоб спростити динамічну маршрутизацію між віртуальною мережею (модуль) (NVA) та віртуальною мережею. Сервер маршрутизації Azure дозволяє обмінюватися даними про маршрутизацію безпосередньо через протокол маршрутизації BGP (BGP) між будь-яким NVA, що підтримує протокол маршрутизації BGP та програмно-визначувану мережу Azure (SDN) у віртуальній мережі Azure без необхідності вручну налаштовувати або підтримувати таблиці маршрутів.
Рекомендації щодо проектування.
• Розглянемо архітектуру мережі на основі традиційної зіркоподібної топології мережі для наступних сценаріїв:
◌ Мережева архітектура, розгорнута в одному регіоні Azure.
◌ Мережева архітектура, що охоплює декілька регіонів Azure, без необхідності транзитного підключення між віртуальними мережами для цільових зон у різних регіонах.
◌ Мережева архітектура, яка охоплює кілька регіонів Azure та пірінг глобальних віртуальних мереж, які можуть підключати віртуальні мережі між регіонами Azure.
◌ Немає потреби у можливості транзитивного підключення між підключеннями VPN та ExpressRoute.
◌ Основним методом гібридного підключення є ExpressRoute, а кількість VPN-підключень менше 100 на VPN-шлюз.
◌ Існує залежність від централізованих мережевих віртуальних модулів та детальної маршрутизації.
• Для регіональних розгортань переважно використовується зіркоподібна топологія. Використовуйте віртуальні мережі цільової зони, які підключаються з пірингом між віртуальними мережами віртуальної мережі у центральному концентраторі для наступних сценаріїв:
◌ Крос-локальне підключення через ExpressRoute.
◌ VPN для підключення гілки.
◌ Підключення між периферійними мережами за допомогою NVAs та визначених користувачем користувачів.
◌ Захист від вихідного трафіку через Інтернет через Брандмауер Azure або іншу сторонню NVA.
Див.:
Традиційна топологія мережі Azure. 28.03.2023
Cisco. Acronyms
2023-08-21 23:55
Сокращения AAA – Authentication, Authorisation, Accounting ACI – (Cisco) Application Centric Infrastructure ACK – Acknowledgement ACL – Access Control List AD – (Microsoft) Active Directory API – Application Programming Interface APIC – (Cisco) Application Policy Infrastructure Controller APIC-DC – (Cisco) Application Policy Infrastructure Controller – DataCentre ARP – Address Resolution Protocol ASIC – Application-Specific Integrated Circuit BGP – Border Gateway Protocol BPDU – Bridge Protocol Data Unit CoPP – Control Plane Policing C&C – Command and Control CC – Controlled Conduit CEF – Cisco Express Forwarding CIP – Common Industrial Protocol (ODVA) CMD – Command COS – Class Of Service CPwE – Cisco Plantwide Ethernet CRC – Cyclic Redundancy Check CTS – Cisco TrustSec dACL – Dynamic Access Control List DAI – Dynamic ARP Inspection DC – Datacentre DDOS – Distributed Denial of Service DHCP – Dynamic Host Configuration Protocol DLR – Device Level Ring DMVPN – Dynamic Multipoint Virtual Private Network DMZ – Demilitarised Zone DLR – Device Level Ring DNS – Domain Name Service DNA – (Cisco) Digital Network Architecture DNA E/A/P – (Cisco) Digital Network Architecture Essentials/Advanced/Premium Licensing DSCP – (IP) Differentiated Services Code Point DTP – (Cisco) Dynamic Trunking Protocol EIGRP – Exterior Interior Gateway Routing Protocol EPG – End Point Group ERP – Enterprise Resource Planning ERSPAN – Encapsulated Remote Switched Port Analyser ETA – (Cisco) Encrypted Traffic Analytics FNF – Flexible NetFlow GPS – Global Positioning System GE – Gigabit Ethernet GETVPN – Group Encrypted Transport Virtual Private Network GRE – Generic Routing Encapsulation GUI – Graphical User Interface HMI – Human Machine Interface HR – Human Relations HSR – High-availability Seamless Redundancy (Ring) HTTP – Hypertext Transfer Protocol HTTPS – Hypertext Transfer Protocol Secure HW – Hardware IACS – Industrial Automation and Control Systems IBN – Intent-Based Networking ICMP – Internet Control Message Protocol ICS – Internet Control System IE – Industrial Ethernet IEC – International Electrotechnical Commission IDS – Intrusion Detection System IDMZ – Industrial De-Militarised Zone IEEE – Institute of Electrical and Electronics Engineers IETF – Internet Engineering Task Force IKEv2 – Internet Key Exchange Version 2 IND – Industrial Network Director (Cisco) IOS – (Cisco) Internet Operating System IOS-XE – “XE” train of the (Cisco) Internet Operating System IOx – Application environment for Cisco Networking Equipment IP – Internet Protocol IPAM – Internet Protocol Address Management IPS – Intrusion Prevention System IPSec – Internet Protocol Security (protocol suite) ISA – International Society of Automation ISE – Identity Services Engine (Cisco) ISIS – Intermediate System to Intermediate System (Routing Protocol) IND – (Cisco) Industrial Network Director IOC – Indicators of Compromise IRIG-B – Inter-Range Instrumentation Group time code “B” IT – Internet Technology ITSec – Internet Technology Security L2 – (ISO Model) Layer 2 L3 – (ISO Model) Layer 3 LAN – Local Area Network LDAP – Lightweight Directory Access Protocol LIMS – Laboratory Information Management System LSP – Label Switch Path LTE – Long-Term Evolution (4G mobile communications standard) MAB – MAC Authentication Bypass MAC – Medium Access Control MACsec – IEEE MAC Security Standard (IEEE 802.1AE) MDM – Mobile Device Management MES – Manufacturing Execution System MRP – Media Redundancy Protocol NAT – Network Address Translation NBA – Network Behaviour Analysis NTP – Network Time Protocol ODVA – Open DeviceNet Vendor Association OPC – Open Platform Communications (OPC Foundation) OPC UA – OPC Unified Architecture OPS – Operations OSPF – Open Shortest Path First (Routing Protocol) OT – Operations Technology pxGrid – Platform Exchange Grid PCN – Process Control Network PLC – Programmable Logic Controller POE – Power Over Ethernet POE+ – Power Over Ethernet Plus PRP – Parallel Redundancy Protocol PTP – Precision Time Protocol PVST+ – (Cisco) Rapid per VLAN Spanning Tree Plus PROFINET – Process Field Net PROFINET RT – PROFINET Real-Time PROFINET IRT – PROFINET Isochronous Real-Time QoS – Quality of Service RADIUS – Remote Authentication Dial-In User Service RBAC – Roll-Based Access Control RBACL – Roll-Based Access Control List RDP – Remote Desktop Protocol REP – Resilient Ethernet Protocol RIB – Routing Information Base RSPAN – Remote Switch Port Analyser SCADA – Supervisory Control And Data Acquisition SDA – (Cisco) Software Defined Access SGACL – Scalable Group Access Control List SGT – Scalable Group Tag SIEM – Security Information and Event Management SNMP – Simple Network Management Protocol SPAN – Switch Port Analyser SPT – Spanning Tree STP – Spanning Tree Protocol SW – Software TOD – Time Of Day TCP – Transport Control Protocol TLS – Transport Layer Security TSN – Time Sensitive Networking UADP – (Cisco ASIC) Unified Access Data Plane UDP – User Datagram Protocol USB – Universal Serial Bus VoIP – Voice Over IP VLAN – Virtual Local Area Network VM – Virtual Machine VN – Virtual Network VXLAN – Virtual Extensible Local Area Network VNI – VXLAN Network Identifier VPN – Virtual Private Network VRF – Virtual Routing and Forwarding VSOM – (Cisco) Video Surveillance Operations Manager VSS – Virtual Switching System VTP – (Cisco) VLAN Trunking Protocol VXLAN – Virtual Extensible Local Area Network WAN – Wide Area Network WEBUI – World Wide Web User Interface WWW – World Wide Web
source: https://www.ciscolive.com/c/dam/r/ciscolive/apjc/docs/2019/pdf/BRKIOT-1315.pdf :
©2019
Industrial Automation Security Design Guide 2.0 :
First Published: 2023-01-17
Last Modified: 2023-01-17
©2023 © Cisco Systems, Inc. All rights reserved.
 | CiscoTips Готовимся к сертификации Cisco. Материалы CCNA на русском |
Этапы развития всеобщей информатизации с точки зрения компании Cisco:
- 1995-2000 — Время фиксированных вычислений, когда пользователь должен подойти к устройству чтобы работать с ним, связанно это было в первую очередь с относительно высокой стоимостью вычислительных устройств и малым их количеством;
- 2000-2011 — Время мобильных устройств (BYOD — bring your own device) — время, когда вычислительное устройство есть у многих пользователей при себе и даже работа в офисе часто выполняется на своём личном ноутбуке (BYOD)
- 2011-2020 — Время подключения устройств (Internet of Thing) — время, когда всё больше и больше устройств взаимодействуют друг с другом посредством подключения к сети (например, автомобиль, взаимодействующий с телефоном хозяина, или холодильник, взаимодействующий с терминалом магазина, телевизор с выходом в интернет и т. п.)
- 2020-... — Время подключения всего ко всему (Internet of everything) — это, с точки зрения Cisco, наше будущее, когда каждая сущность должна иметь своё представление в сети: люди, идеи, процессы, устройства, всё должно быть разложено на составные части, взаимодействующие друг с другом посредством сети.
Источник:
CiscoTips. Современные сети
 | CiscoTips Готовимся к сертификации Cisco. Материалы CCNA на русском |
В чём разница между WAN и LAN?
LAN (Local Area Network) – локальная сеть. WAN (Wide Area Network) – глобальная сеть. В основном, локальные сети отличаются от глобальных по следующим признакам:
- Размер сети. Локальная сеть, как правило включает в себя либо одно здание, либо территорию кампуса – комплекса расположенных рядом зданий. Глобальная сеть может распределяться на гораздо большие расстояния, например, VPN-линк между удалёнными офисами в разных городах – это глобальная сеть.
- Количество подключенных пользователей. К локальной сети, как правило, подключено большое количество пользователей. Каждый компьютер в офисе – это узел локальной сети. В то же время, WAN обычно имеет меньшее количество узлов: например, в предыдущем примере с удалённым офисом, у нас будет всего два узла: маршрутизатор основного офиса и маршрутизатор удалённого офиса.
- Типом сервисов, доступных на узлах сети. Например, на узлах локальной сети обычно используются службы доступа к файлам и принтерам (SMB) в то же время, на узлах глобальной сети – маршрутизаторах и службы соответствующие: VPN, маршрутизация и т.п.
- Отличия физического уровня: стандартом для LAN в настоящий момент является Ethernet по витой паре. В лабораторных по CCNA WAN настраивается не через витую пару, а по Serial кабелю.
- Отличие на канальном уровне: на канальном уровне просто используются разные протоколы. Перечислим те из них, которые входят в программу CCNA. Для LAN – Ethernet, 802.1q (trunking), 802.11 (wifi), для WAN это HDLC, Frame Relay, PPP.
Способы изображения на схеме WAN и LAN
Относится к теме: CCNA 1.1 — Исследование сети CCNA 4.2 — Подключение к глобальным сетям
Источник:
В чём разница между WAN и LAN? | CiscoTips
Tags:
AAA:
- Authentication — validates the user identity. Authentication takes place before the user is allowed access to switch services.
- Authorization — determines which services the user is allowed to access. Examples of services are access to the switch management console and access to network services.
- Accounting — collects and sends security information about switch management console users and switch management commands
Источник:
downloads.dell.com manuals user's-guide13 ru-rs.pdf
downloads.dell.com manuals user's-guide13 en-us.pdf
ААУ:
- Аутентификация - проверяет личность пользователя. Аутентификация проходит до того, как пользователю будет разрешен доступ к подключению служб.
- Авторизация - определяет, к каким сервисам пользователь имеет доступ. Примерами служб являются доступ к консоли управления коммутатором и доступ к сетевым сервисам.
- Учет (мониторинг) - собирает и отправляет информацию в журнал безопасности о действиях пользователей в консоли управления коммутатора и о командах управления коммутатором.
Прим. вместо Учета иногда используют Идентификáцию:
Идентификáция в информационных системах — процедура, в результате выполнения которой для субъекта идентификации выявляется его идентификатор, однозначно идентифицирующий этого субъекта в информационной системе.
Идентификáция в информационных системах — процедура, в результате выполнения которой для субъекта идентификации выявляется его идентификатор, однозначно идентифицирующий этого субъекта в информационной системе.
Наверняка каждый пользователь операционных систем Windows сталкивался с ситуацией, когда значок сетевого подключения в панели задач отображался с желтым треугольником, что означает отсутствие подключения к Интернету.
То же самое можно увидеть и в свойствах сетевого подключения. Каким же образом операционная система определяет, есть ли на данном сетевом интерфейсе соединение с Интернетом, или только доступ к локальной сети?
А дело в том, что в операционных системах Microsoft начиная с Windows Vista есть такая функция, как индикатор статуса сетевого подключения (Network Connectivity Status Indicator, NCSI). Эта функция вызывается службой сведений о подключенных сетях (Network Awareness) при подключении к любой сети.
Для определения возможностей сети в NCSI есть множество различных методов, одним из которых является определение возможности выхода в Интернет. Проверка проводится в два этапа:
• При подключении к сети система посылает HTTP-запрос по адресу http://www.msftncsi.com/ncsi.txt. Это обычный текстовый файл, в котором содержится всего одна строка Microsoft NCSI. В случае успешного запроса от сервера должен прийти ответ с заголовком 200 ОК, содержащий эту строку;
• На втором этапе проверяется работоспособность службы DNS, для чего NCSI пытается разрешить в IP-адрес имя dns.msftncsi.com. Ожидаемое значение 131.107.255.255
По завершении проверки, если оба этапа были успешно пройдены, система считает что доступ в Интернет имеется. Если файл ncsi.txt недоступен, а dns.msftncsi.com не разрешается или разрешается с другим IP-адресом, то система сообщает о невозможности подключения к Интернет. В том случае, если ncsi.txt недоступен, но dns.msftncsi.com разрешается в правильный IP — система выдает сообщение о необходимости аутентификации через браузер.
Настройки NCSI находятся в системном реестре, в разделе HKLM\System\CurrentControlSet\Services\NlaSvc\Parameters\Internet, при желании их можно отредактировать. Вот наиболее важные параметры для IPv4 (для IPv6 просто добавляем префикс V6):
EnableActiveProbing — наличие автоматической проверки подключения к интернет (1 — проверка включена, 0 — отключена);
ActiveDNSProbeContent — IP-адрес для проверки DNS;
ActiveDNSProbeHost — имя хоста для проверки DNS;
ActiveWebProbeHost — адрес веб-сайта для проверки;
ActiveWebProbePath — путь к файлу проверки;
ActiveWebProbeContent — содержимое файла.
Используя эти настройки, можно изменить дефолтные адреса на свои, и подняв веб-сервер, по его логам отслеживать подключения нужных компьютеров. Впрочем, смысла особого в этом лично я не вижу.
https://windowsnotes.ru/other/kak-windows-opredelyaet-podklyuchenie-k-internetu/
Open Source Security Controls
© The Cyber Security Hub
Перейти на начальную страницу https://bga68.livejournal.com
© The Cyber Security Hub
Перейти на начальную страницу https://bga68.livejournal.com
Tags:
© The Cyber Security Hub
Больше комманд на https://linoxide.com/linux-how-to/linux-commands-brief-outline-examples/
Перейти на начальную страницу https://bga68.livejournal.com
Tags:
Кирилл Пузанков,Cпециалист отдела информационной безопасности телекоммуникационных систем
Атаки на мобильные сети: что скрывается за громкими новостями
Прошел 9 ноября в 14:00
Новостные ленты СМИ пестрят сообщениями о проблемах безопасности мобильных сетей. Прослушка телефонных разговоров, перебои со связью, кража денег со счетов онлайн-банков, взлом биткойн-кошельков — это далеко не полный список того, к чему могут привести уязвимости мобильных операторов. На вебинаре мы разберем громкие случаи атак, покажем, как на самом деле злоумышленники проникают в мобильные сети и эксплуатируют уязвимости. Вебинар для широкого круга слушателей.
VMware vSphere 6.7
Год Выпуска: 2018
Версия: 6.7
Разработчик: VMWare
Сайт разработчика: http://www.vmware.com/
Системные требования:
Архитектура: x86, amd64
Язык интерфейса: Английский
Описание
Последняя версия популярного гипервизора, что нового в версии 6.7:
Знакомство с VMware vSphere 6.7!
Знакомство с vCenter Server 6.7
Знакомство с Faster Lifecycle Management Operations в VMware vSphere 6.7
(операции управления жизненным циклом)
Знакомство с vSphere 6.7 Security
Знакомство с vSphere with Operations Management 6.7
Знакомство с интерфейсами разработчика и автоматизации для vSphere 6.7
Знакомство с vSphere 6.7 для корпоративных приложений
Год Выпуска: 2018
Версия: 6.7
Разработчик: VMWare
Сайт разработчика: http://www.vmware.com/
Системные требования:
- CPU: x86_64 compatible
- HDD и RAM - чем больше, тем лучше
Архитектура: x86, amd64
Язык интерфейса: Английский
Описание
Последняя версия популярного гипервизора, что нового в версии 6.7:
- Новая архитектура: все-в-одном. Т.е. все компоненты для управления заключены в нем.
- vCenter HA кластер.
- Для простоты миграции на новый апплаенс - vCenter Server Appliance Migration tool.
- Новый API (REST-based APIs for VM Management) для упрощения автоматизации и управления инфраструктурой.
- Официальный веб-клиент vSphere Client на базе HTML5.
- Обновлены VMware Update Manager, Host Profiles и Auto Deploy. Упрощено все в обслуживании.
- Проактивный HA. При появлении проблем с хостом, хост может быть выведен в карантин, а ВМ смигрировать с него, до того, как проблема действительно выведет из строя хост.
- vSphere HA Orchestrated Restart. Политики зависимостей ВМ при перезагрузке после срабатывания HA.
- Fault Tolerance интегрирован с DRS для определения оптимального хоста и хранилища для теневой копии ВМ. А также Fault Tolerance работает через несколько сетевых адаптеров.
- Много расширений в работе DRS и др.
- Безопасная загрузка для хостов и ВМ.
- Шифрование при vMotion.
- Шифрование дисков ВМ.
- Расширенный аудит.
- Управление с помощью политик.
Знакомство с VMware vSphere 6.7! Знакомство с vCenter Server 6.7 Знакомство с Faster Lifecycle Management Operations в VMware vSphere 6.7 (операции управления жизненным циклом)
Знакомство с vSphere 6.7 SecurityЗнакомство с vSphere with Operations Management 6.7Знакомство с интерфейсами разработчика и автоматизации для vSphere 6.7Знакомство с vSphere 6.7 для корпоративных приложенийМы нашли крупную компанию, которая 5 лет не занималась информационной безопасностью, и она ещё жива
Примерно 5-6 лет назад там был реально крутой админ, который настроил сеть как часы и оснастил современным на тот момент оборудованием экономсегмента. Недостаток бюджета админ компенсировал хорошими конфигами и правильной архитектурой. В общем, видно, что было сделано много работы.
Потом компания разделилась на две, расширилась, в ней всё поменялось пару раз — и за всё это время сеть поддерживали на костылях. Поскольку ИТ не профильный бизнес нашего заказчика, ситуация в целом понятна. Она такая много где, но чтобы большая сеть (территориально распределённая компания, десятки филиалов) продержалась в таком виде 5 лет — я такого ещё не видел.
Собственно, и не продержалась. Нас позвали провести аудит сетевой инфраструктуры после зафиксированного случая взлома, когда их базы данных со всей представляющей коммерческую тайну информацией оказались просто скачаны. Точнее, всплыли не у тех людей.
Обстоятельства, части топологии и другие детали немного изменены, чтобы нельзя было узнать заказчика. Тем не менее пост основан на реальных событиях и максимально приближен к действительности, насколько позволили наши безопасники.
Компания представляет собой основное производство (там же серверный узел) и десятки филиалов по всей стране. В филиалах установлены тонкие клиенты, которые ходят по VPN + RDP до серверного узла, где пользователи и работают. Также в филиалах есть оборудование, которое использует сервисы и базы данных центрального узла. Если в филиале пропадает коннект, то он просто умирает до подключения сети снова.
( Read more... )
Примерно 5-6 лет назад там был реально крутой админ, который настроил сеть как часы и оснастил современным на тот момент оборудованием экономсегмента. Недостаток бюджета админ компенсировал хорошими конфигами и правильной архитектурой. В общем, видно, что было сделано много работы.
Потом компания разделилась на две, расширилась, в ней всё поменялось пару раз — и за всё это время сеть поддерживали на костылях. Поскольку ИТ не профильный бизнес нашего заказчика, ситуация в целом понятна. Она такая много где, но чтобы большая сеть (территориально распределённая компания, десятки филиалов) продержалась в таком виде 5 лет — я такого ещё не видел.
Собственно, и не продержалась. Нас позвали провести аудит сетевой инфраструктуры после зафиксированного случая взлома, когда их базы данных со всей представляющей коммерческую тайну информацией оказались просто скачаны. Точнее, всплыли не у тех людей.
Обстоятельства, части топологии и другие детали немного изменены, чтобы нельзя было узнать заказчика. Тем не менее пост основан на реальных событиях и максимально приближен к действительности, насколько позволили наши безопасники.
Компания представляет собой основное производство (там же серверный узел) и десятки филиалов по всей стране. В филиалах установлены тонкие клиенты, которые ходят по VPN + RDP до серверного узла, где пользователи и работают. Также в филиалах есть оборудование, которое использует сервисы и базы данных центрального узла. Если в филиале пропадает коннект, то он просто умирает до подключения сети снова.
( Read more... )
