Ещё один день из жизни IT
Прозвенел будильник, полусонный выпиваешь чашку кофе и садишься на кресло. Загружаешь свой ПК и видишь окно логина. Понеслась!
Пароль на домашнем рабочем ПК меняешь достаточно редко, но в офисах отдел по борьбе с общественностью информационной безопасности установил политику смены пароля. Поэтому пароль ты не помнишь. Ищем в карманах пароль, и вбиваем его в окно логина.
Я работаю из дома, поэтому далее повествую от лица удалёнщиков. И ещё маленькая деталь, я линуксоид, т.к. в Linux имеется большинство необходимых для работы инструментов.
Для начала работы нужно подключить VPN. Иногда мне везёт и компании используют OpenVPN, но я неудачник и приходится использовать другие виды, которые куплены за откаты порекомендованы отделом ИБ. Поэтому, если хочешь получать деньги за работу, ставишь сторонний клиент со стороннего сайта. Не все VPN умеют сохранять пароли, т.к. это «небезопасно». Открываем «безопасный» блокнот с любимым файлом паролей, извлекаем нужный пароль среди сотен или тысяч других паролей. Запускаем клиент, вставляем пароль.
Открываем браузер, и выбираем в Избранном корпоративный календарь. Надеемся сессия не истекла. Увы! Сессия истекла. Лезем в файл паролей и входим в календарь.
Выбираем в Избранном трекер задач. Надеемся сессия не истекла. Увы! Сессия истекла. Лезем в файл паролей и входим.
Есть задача у клиента фирмы. Выбираем в Избранном документацию. Надеемся сессия не истекла. Увы! Сессия истекла. Лезем в файл паролей и входим. Открываем страницу клиента и видим, чтобы попасть к клиенту надо открыть другой экзотический VPN. Лезем в файл паролей и входим.
Для доступа к нужному серверу клиента надо открыть RDP (зачем линуксоидам RDP? А ещё RDP может и не подключиться). Лезем в файл паролей и входим.
Далее смотрим сервер. Надо скопировать кусок лога в задачу. Копируем из терминала, открытого в RDP и… RDP отключен буфер обмена.
Ручками перепечатывать многокилобайт данных… ну такое… Думаем что делать. Сохраняем на рабочем столе удалённом. Открываем удалённый браузер, открываем почту (которая не всегда доступна). Лезем в файл паролей и входим
Отправляем кусок лога с почты на почту. Переключаемся на почту на своём ПК. Но почты нет, т.к. при подключении VPN отваливается сеть (привет маршрут по умолчанию 0/0). Отключаем VPN, отваливается RDP.
Переключаем окно на трекер задач, копируешь кусок лога, вставляешь в задачу. Потом подключаем обратно VPN и исправляем баги. Переключаем окно, вводим текст в трекер задач, сохраняем текст и текст не сохранился, т.к. мы забыли отключить VPN. Испытываем стресс, отключаем VPN, обновляем страницу, вводим текст заново.
Открываем новую задачу и другой вид VPN. Погружаемся в новую задачу и…
В этот момент отвлекает срочный звонок менеджера. Теряем контекст задачи, открываем новый VPN, логинимся в GitLab. Надеемся сессия не истекла. Увы! Сессия истекла. Лезем в файл паролей и входим. Упс! Не входим. Двухфакторная авторизация, нужен второй сгенерированный пароль. Не у всех есть аппаратный U2F. А ещё некоторые любят подключать специфические вещи. Например клиент, который работает только под Android и ios. Но даже так нельзя войти, т.к. твой аппарат перепрошит тобой, а значит рутован и утилита тупо повествует, что дальнейшая работа на рутованном устройстве невозможна.
В общем большая часть дня проходит в том, что открыто кучи различных вкладок, переключением между различными окнами, IM, VPN.
P.S.: Уважаемые безопасники! Мы уважаем Ваш труд. Но пожалуйста, не усложняйте нам жизнь чрезмерными ненужными барьерами. Мы перегораем от этого. Оставляйте мессенджеры, VPN с открытыми протоколами, двухфакторки через TOTP (не только QR, но и строкой) и возможностью выбора клиентов. Даже IPSec можно поднять везде искаропки. Оставляйте хоть где-то буферы для консолей. Ваши RDP и цитриксы просто неработающая куча дров, которую надо спалить в печке.
Когда уже будут статья про жизнь шахтеров, металлургов, сталеваров и тд. Про жизнь в айти мы тут уже все все знаем причем в разных странах в разных должностях. Надоело!
Так это вам на шахтёрские форумы нужно, но там вы тоже ничего не узнаете потому что они работают и писать им некодга.
В целом, вот можете посмотреть:
https://www.youtube.com/watch?v=POaGOuVH1z4
Думается что все вопросы в данном случае к ИБшникам.
У нас тоже все не просто. Потому что банк. Например, тестовый сервер доступен только из внутренней сети. Никаких доступов "по VPN" к нему нет. По VPN можно через RDP зайти на виртуалку во внутренней сети и с нее уже терминалом работать на сервере.
Просто через VPN доступны некоторые ресурсы - Git, Jira, Confluence, Artifactory, Cisco Jabber. А вот терминал на сервер и Jenkins только с виртуалки.
И да, буфер обмена заблокирован на RDP. Но есть способы не перепечатывать килобайты данных.
Вход по VPN без пароля. По персональному сертификату. Чтобы зайти на виртуалку дополнительно нужен персональный software token (приложение на телефоне). Плюс логин-пароль во внутреннюю сеть (менять каждые 90 дней). На сервер свой логин-пароль (тоже раз в 90 дней менять) - там совсем другая платформа.
Можно до рабочего компа достучаться, но сложнее - сначала через VPN по RDP на виртуалку, потом с нее по RDP на рабочий комп.
Но все достаточно единообразно. К обычным пароль в рабочую сеть + пароль на сервер добавился сертификат VPN и токен.
История о том как человек считает себя линуксоидом и создаёт сам себе проблемы работая с виндой у клиентов. Поставь винду и x86 android себе в виртуалке и не мучайся
У нас на работе на одном RDP буфер обмена отключили, переписывай длинные строки как хочешь)
Нужна приблуда, распознающая символы на области экрана.
Опять же, есть RDPшный чат
На счет RDP. Если в компании большая часть сотрудников использует windows - ради небольшой кучки линуксоидов никто не будет плодить сущности. Это и не выгодно экономически, и добавляет новый вектор атаки.