https://www.opennet.ru/openforum/vsluhforumID10/5542.html изолировать от сети сохранив передачу данных, или один диск на два пк. как?<br>----------------------------------------------------------------------------<br>Здравствуйте :) !<br><br>есть машина[A] которая rsunc-ом общается с сервером[B] в сети, забирает данные и отправляет результат своей работы.<br>теоретически сервер в сети рано или поздно будет взломан и при наличии неизвестной мне уязвимости в rsync вломана будет и машина[A].<br>ее взлом критичен и допустить его нельзя.<br><br>по этому возник вопрос, а можно ли не программно(firejail\lxc\doker\kvm и т.д) а аппаратно изолировать эту машину сохранив при этом возможность передачи данных?<br><br>например вот по такой схеме:<br><br>[машина_А]=&lt;==sata==&gt;=[HDD]=&lt;==sata==&gt;=[машина_С с rsync]--&lt;---сеть---&gt;--[сервер_B]<br><br>или<br><br> +-&lt;-sata_read-&lt;--[HDD]-&lt;-sata_write-&lt;-+<br>[машина_А] [машина_С с rsync]--&lt;---сеть---&gt;--[сервер_B]<br> +-&gt;-sata_write-&gt;-[HDD]-&gt;-sata_read-&gt;--+<br><br>или с помощью какого либо другого устройства...<br><br>смысл чтобы обме https://www.opennet.ru/openforum/vsluhforumID10/5542.html#16 Thu, 23 Jul 2020 17:38:55 GMT &gt; смысл чтобы обмениваться данными без участия сетевых программ и протоколов.<br><br>Как вариант - SAN (СХД) технологии.<br>[машина_А] подключается к FC-switch или SAS-switch и монтирует LUN, выделенный для совместного использования с [машина_С с rsync].<br>На серверах нужна поддержка кластерной файловой системы (shared disks). Или можно просто по очереди монтировать этот LUN по расписанию. :)<br> https://www.opennet.ru/openforum/vsluhforumID10/5542.html#15 Tue, 21 Jul 2020 01:53:18 GMT &gt; Или пусть одна машина показывает на экране QR, а другая распознаёт веб-камерой. <br><br>интересная идея, но это должно быть довольно медленно.<br> <br>&gt; Вроде бы, можно порт USB перевести в роль device, так чтобы одни <br>&gt; компьютер представлялся флешкой другому. Это всё еще считается за аппаратную изоляцию, <br>&gt; или уже нет? Хотя, я бы больше доверил сети IP.<br><br>вот тут затрудняюсь ответить, буду изучать эту возможность.<br><br>&gt; Для каждой транзакции, сервер А можно загружать с RO носителя и на <br>&gt; время отключать от Internet.<br><br>вот это тоже интересно, не подумал об этом, сейчас уже утро а не спал еще, в более адекватном состоянии обдумаю.<br><br>&gt; Короче, это не столько вопрос технологии, сколько строгости протокола и масштаба неудобств <br>&gt; которые вы готовы терпеть.<br><br>да, согласен полностью.<br><br>Licha Morada, спасибо вам за варианты!<br><br><br> https://www.opennet.ru/openforum/vsluhforumID10/5542.html#14 Mon, 20 Jul 2020 23:02:58 GMT &gt; аппаратно изолировать<br>&gt; сохранив при этом возможность передачи данных<br><br>Противоречие. Или надо переопределить термины, чтобы появилось пересечение между "ещё можно обмениваться данными" и "уже аппаратно изолированно".<br><br>Пусть оператор читает с экрана одной машины и набивает данные на другой. Это достаточно изолированно?<br>Или пусть одна машина показывает на экране QR, а другая распознаёт веб-камерой.<br>Не так давно описывали сценарий проникновения в изолированную сеть когда одна машина пищала динамиком, а другая слушала микрофоном.<br><br>Или пусть оператор на внешних носителях таскает данные, хотя иранские центрифуги от Stuxnet это не спасло.<br><br>Вроде бы, можно порт USB перевести в роль device, так чтобы одни компьютер представлялся флешкой другому. Это всё еще считается за аппаратную изоляцию, или уже нет? Хотя, я бы больше доверил сети IP.<br><br><br>Вам про изолированную сеть дело писали, она может быть просто шнурком от одной машины к другой.<br>Интернет - сервер А - изолированная сеть - сервер Б.<br><br>Если процесс https://www.opennet.ru/openforum/vsluhforumID10/5542.html#13 Mon, 20 Jul 2020 18:33:44 GMT &gt; мне кажется ты слишком свысока пишешь и явно хочешь ощутить свое превосходство <br>&gt; даже там где это вызывает недоумение :) <br><br>Нет, всего лишь не пытаюсь быть вежливым. <br><br><br><br><br><br> https://www.opennet.ru/openforum/vsluhforumID10/5542.html#12 Mon, 20 Jul 2020 17:44:39 GMT &gt; что и вызвало мой к тебе посыл. Быстро же ты меняешь приоритеты.<br>&gt; Боюсь, что прямой ответ снова вызовет у тебя боль и недоумение :) <br>&gt; не [cencored] мозги себе и людям.<br><br>мне кажется ты слишком свысока пишешь и явно хочешь ощутить свое превосходство даже там где это вызывает недоумение :)<br><br>мы видимо не понимаем друг друга, да и ладно.<br><br>твои предложения я учел, подожду, почитаю, может еще кто ответит, люди разные, решений тоже немало.<br><br><br><br><br> https://www.opennet.ru/openforum/vsluhforumID10/5542.html#11 Mon, 20 Jul 2020 17:03:09 GMT &gt; приходится искать компромисс, если поступать четко по безопасности болванки придется носить <br>&gt; каждые 5-10 минут.<br><br>Изначально ты искал безопасное решение, причем имеющаяся среда, предполагающая компромисс, тебя на тот момент не устраивала, что и вызвало мой к тебе посыл. Быстро же ты меняешь приоритеты.<br><br>&gt; если я не найду решение так и будут делать. но мозг мне <br>&gt; зачем?<br><br>Боюсь, что прямой ответ снова вызовет у тебя боль и недоумение :)<br><br>&gt;&gt; Еще раз спрашиваю - тебе за безопасность или за поговорить о погоде?<br>&gt; мне компромисс. <br><br>Компромиссное решение я тебе предложил изначально - не [cencored] мозги себе и людям, соблюдай элементарные правила сетевой гигиены, и будет тебе щастье. А день и ночь отмахиваться матрасом от мифических угроз - руки устанут.<br><br>&gt; а конкретно сейчас ищу как один диск к двум компам <br>&gt; подключить и чтоб работало.<br><br>Смотри на распределенные файловые системы - Cepf, Lustre, GlusterFS.<br>Смотри в сторону собственных облаков - Owncloud, Nextcloud<br>Все это - компромиссы в незащище https://www.opennet.ru/openforum/vsluhforumID10/5542.html#10 Mon, 20 Jul 2020 16:23:06 GMT &gt;&gt; их пользователи шлют. на болванках раз в день приносить?<br>&gt; Да, там где безопасность диктует свои требования, так и поступают.<br><br>приходится искать компромисс, если поступать четко по безопасности болванки придется носить каждые 5-10 минут.<br><br>если я не найду решение так и будут делать. но мозг мне зачем?<br><br>&gt; Еще раз спрашиваю - тебе за безопасность или за поговорить о погоде? <br><br>мне компромисс. а конкретно сейчас ищу как один диск к двум компам подключить и чтоб работало.<br><br> https://www.opennet.ru/openforum/vsluhforumID10/5542.html#9 Mon, 20 Jul 2020 15:56:10 GMT &gt;&gt; Хорошо, вот тебе решение согласно твой модели - строй собственную изолированную сеть <br>&gt;&gt; передачи данных. Тяни собственные кабели, закупай оборудование и обеспечивай охрану всего <br>&gt;&gt; этого хозяйства. Потянешь ты все это? Думаю, нет - что возвращает <br>&gt;&gt; нас к моему первоначальному посылу.<br>&gt; ну потяну и что? только зачем мне городить дорогущий комбайн<br><br>Затем, что настоящая безопасность стоит дорого.<br><br>&gt; ты вот говоришь "строй изолированную сеть" а мне в нее то данные <br>&gt; как пихать если она изолированная? данные в интернете если что, <br><br>Интернет по умолчанию открытая, небезопасная сеть. Поэтому либо ты принимаешь связанные с нею риски - и мы возвращаемся к моему первоначальному посылу; либо...<br><br>&gt; их пользователи шлют. на болванках раз в день приносить?<br><br>Да, там где безопасность диктует свои требования, так и поступают.<br><br>Имею в своей организации подобную изолированную сеть. Свои два сервера и четыре рабочих места. Плюс еще два компьютера со спецдоступом. На один скидывают данные извне, и там их тщ https://www.opennet.ru/openforum/vsluhforumID10/5542.html#8 Mon, 20 Jul 2020 15:46:12 GMT &gt;Наружу ты выйти можешь, а внутрь не попасть.<br><br>хотя если я неправильно понял и речь о пакетах, то да, если весь входящий закрыт то и тор не сработает<br>