Механика простая, но часто вызывает вопросы. Разбираем по шагам.

1. Что делает DHCP Relay на коммутаторе

• Клиент в VLAN (например, VLAN 5, сеть 192.168.2.0/24) посылает DHCP Discover (broadcast).
• Так как broadcast не маршрутизируется, этот пакет до DHCP-сервера (например, в 192.168.1.0/24) не дойдёт.
• Коммутатор с включённой функцией dhcp relay перехватывает этот broadcast и отправляет его уже как unicast на указанный адрес DHCP-сервера (например, 192.168.1.10).
• При этом коммутатор подменяет поле giaddr (Gateway IP Address) в DHCP-запросе на свой IP-адрес интерфейса VLAN (в примере — 192.168.2.1).

2. Как DHCP-сервер выбирает пул

DHCP-сервер смотрит на поле giaddr в запросе.… Читать далее…

Сервер управления антивирусной системой является критически важным элементом инфраструктуры информационной безопасности. Его компрометация влечёт за собой возможность массового отключения защитных агентов, изменения политик безопасности и скрытия вредоносной активности во всей корпоративной сети. По этой причине недопустимо вводить такой сервер в состав домена Active Directory. При компрометации доменных учётных записей администраторов злоумышленник получает прямой доступ к консолям управления антивирусом, что фактически превращает атаку на AD в полный контроль над системой защиты рабочих станций и серверов.

Наилучшей практикой считается размещение сервера управления в отдельной рабочей группе, в изолированном сегменте сети, с доступом только из административных подсетей.… Читать далее…

Многие админы сталкивались с задачей: подключить подрядчика к корпоративной сети через СКЗИ-VPN (например, Континент АП или ViPNet). Кажется логичным — взять и выдать ему готовый дистрибутив с лицензией. Но по закону это не работает. Разбираемся почему.

Что говорит закон

Федеральный закон № 99-ФЗ «О лицензировании отдельных видов деятельности» (ред. от 23.05.2025), ст. 12:

«Лицензированию подлежит деятельность по разработке, производству, распространению шифровальных (криптографических) средств, … оказанию услуг в области шифрования информации…»

Другими словами, если организация сама передаёт ПО-СКЗИ другому юрлицу, это приравнивается к распространению. Для этого нужна лицензия ФСБ.… Читать далее…

Один из часто упускаемых, но важных аспектов построения безопасной IT-инфраструктуры — это политика наименования серверов, рабочих станций и виртуальных машин. Казалось бы, безобидные имена вроде backup-srv или admin-vpn могут существенно облегчить жизнь злоумышленнику, уже попавшему во внутреннюю сеть.

Чем меньше “шумов” оставлять в именах — тем меньше поводов для разведки у злоумышленника внутри сети. Идеальная практика — баланс между безопасностью и управляемостью:

Для администрирования — полная структура хранится в CMDB.

Для ИБ — обезличенные имена внутри.