1. Чем это отличается от вайбера и других публичных сервисов?
Коротко – тем, что публичным сервисам можно только верить, но их нельзя проверить.
Если кто-то получил, или пытался получить доступ к личному
вайберу, то этого не узнаешь.
Логов-то нет. То есть они есть, но ни гугль, ни вайбер, ни телеграм –
никакой публичный сервис глянуть в свои логи не дадут. В лучшем случае
могут предупредить по почте – мол, кто-то пытался зайти. Но это если
захотят… Однако, в некоторых случаях им запрещено предупреждать.
А свой сервер протоколирует работу. Примерно так:
[22/Jan/2022 12:00:16] SIP: Authentication failed from host 37.19.206.42 (uri:”1111111111111″<sip:1111111111111@192.168.100.100>). Attempts: 1.
[23/Jan/2022 05:44:09] SIP: Authentication failed from host 207.244.144.250 (uri:<sip:0046812420120@192.168.100.100>). Attempts: 1.
Это могут быть попытки получения доступа, или наоборот – отправки недозволенного изнутри. С этим можно работать.
Своему серверу можно устроить независимый аудит безопасности, а публичные сервисы не дадут проводить у себя проверки.
Утечки с крупных сервисов – норма жизни сегодня: https://www.iguides.ru/main/security/telegram_bot_kotoryy_vydayet_paroli_po_adresu_pochty/
Массовые инциденты с крупными сервисами не редкость:
https://habr.com/ru/post/535878/
https://www.it-world.ru/cionews/security/181218.html
Торговля учётными данными пользователей крупных сервисов – обычное дело:
https://baza-akk.ru/bazabrut
https://forumteam.best/forums/bazy-email-combolist.4/
https://mipped.com/f/threads/1-milliard-400-millionov-loginov-i-parolej.62634/
28 июля 2022 года сервис поиска утечек и мониторинга даркнета DLBI сообщил, что на продажу опять выставлена утечка «Билайна» от сентября 2021 года с почти 1,5 млн ПД пользователей.
Утечь могут пароли и от собственного сервера, но это будет видно по логам. А в случае публичного сервиса можно годами не знать, кто ещё читает ваши сообщения, слушает ваши разговоры.
Свой сервер защищает от тайных утечек информации и слежки, но не является инструментом прямой конфронтации с властью.
2. Крупные зарубежные сервисы бесплатны и/или предоставляют услуги по минимальным ценам…
Ну, если совсем нет денег, то таки бесплатное – лучше. Но фабричный пошив одежды не отменил индивидуального… Техподдержка крупного сервиса ответит на корректно заданный вопрос в рамках своей зоны ответственности. Но достаточно часто корректно сформулировать вопрос сложнее, чем ответить на него.
Зачастую под рукой нужен человек, способный превратить смутное неудовольствие в корректно заданные вопросы…
3. А закон?..
Закон защищает не наши данные, а возможность доступа к ним “кого надо”. Поэтому:
- Компании просят хранить данные в “облаках”…
- Но при этом никого не волнуют утечки, да и не особо даже их расследуют.
Пока все данные пользователей, представляющие потенциальный интерес для властей, находятся в лёгком доступе – всё ОК.
А тема “защиты ПД”, под соусом которой это подаётся населению – это та же “защита детей”, под соусом которой ограничивают права взрослых.
4. Нужен ли сервер за рубежом?
А хоть на Луне. Только задержки доступа вырастут. На компьютере/телефоне пользователя все пароли/ключи сохранены. и с него доступ есть. Его и заберут. Это советская милиция не знала, что такое удалённый доступ. А если не сохранять пароль? Тогда его попросят дать. И это ещё и неудобно.
Иногда лучше, сохранив физический доступ к своему серверу, точку подключения пользователей вынести за рубеж, к ней же подключив и сам сервер.
5. Привязан ли заказчик к изготовителю?
Нет. Наоборот, была потрачена масса усилий для создания удобных интерфейсов управления, чтобы повседневные задачи управления мог решать человек, способный настроить домашний роутер.
6. Есть ли защита от копирования системы и её компонентов?
Нет. Система – это хост ESXi 6.5/6.7, заполненный виртуальными машинами по потребностям заказчика. Их можно копировать/сохранять/восстанавливать стандартными средствами.
7. Но могут же приехать и забрать?
Физическое изъятие такого хоста бессмысленно, поскольку ESXi поддерживает шифрование виртуальных машин. Поэтому, если пароля нет, то его можно только отнести на Кардачи и продать. А если пароль есть, то можно получить доступ к данным, находись они хоть на Луне. Нахождение хоста в офисе непринципиально, такой сервер можно установить на любом быстром канале интернета. Можно предусмотреть уничтожение любой информации при вводе пароля в обратном порядке. Например, 654321 вместо 123456.
8. Как это выглядит?
Да хоть вот так:
Конечно, это крайний случай, но и это работает.
9. Какое подходит оборудование?
Любой стоечный сервер не старше 10 лет, или брендовый системный блок б/у. Конкретные параметры зависят от предполагаемой нагрузки и набора опций. В минимальных вариантах можно использовать даже компактные системные блоки, вроде такого:
Можно использовать кетайский самосбор. Есть способы подоткнуть драйверы сетевых карт Realtek в ESXi 6.5/6.7. Но лучше так не делать.
10. Это надёжно?
Вполне. Вот скрин, сделанный на три года аптайма:
Но лучше держать резервные копии отдельно.
11. Для удалённой работы нужен интернет. А если он пропадёт?
Пользователям заоблачная скорость, в большинстве случаев не требуется. Они могут временно поработать и мобильным интернетом. Да, будут некоторые «тормоза», но важную работу вы все равно сделаете.
А серверу нужен резервный канал. Нет проблемы настроить его отказоустойчивую работу при наличии нескольких подключений к интернету.
12. Если нет света? Или сервер просто украли… Или здание сгорело…
Оборудование б/у стоит недорого и можно организовать синхронную работу в двух разных локациях с прозрачным (автоматическим) переключением пользователей.
13. Откуда берутся QR-коды настройки мобильной телефонии?
Генератор включён в состав админки АТС. Можно пользоваться моим.
Пример строки настройки вот:
<?xml version=”1.0″ encoding=”utf-8″?><AccountConfig version=”1″><Account><RegisterServer>192.168.100.100</RegisterServer><OutboundServer></OutboundServer><UserID>100</UserID><AuthID>100</AuthID><AuthPass>password</AuthPass><AccountName>Random_name</AccountName><DisplayName></DisplayName><Dialplan>{x+|*x+|*++}</Dialplan><RandomPort>0</RandomPort><SecOutboundServer></SecOutboundServer><Voicemail></Voicemail></Account></AccountConfig>
14. Но зачем?!.
Если вы прочитали всё вышеизложенное и не понимаете – зачем это нужно, то оно таки вам не нужно.