твоя позиция понятна и правильная
mitigate risk

Alert! You ☠️✌️ is a known spammer and is CAS banned. Ban is strongly recommended.

RDP если и идёт, то на промышленных компьютерах с виндой. Реализовывать его самостоятельно нет особого смысла. А Microsoft довольно оперативно правит серьёзные баги

Как далеки тут некоторые от народа.

А что странного? Это опыт и практика. Антивирус ж..пу делал многим и не раз. Это можно сравнить с опытом наблюдения автоаварий на дороге. Регулярно и лично и по телеку, рутина. А другие решения и их проблемы, на которые вроде как некоторые "слепнут" с ваших слов, это как примерно падение метеорита на крышу дома. Описаны случаи, бывает, кто-то даже может видел лично раз в жизни. Опенвпн при нормальной настройке, когда все тщательно продумано и протестировано и приняты доп. меры, например в виде жесткой фильтрации по белым ип (со стороны сервера тоже можно, не смотря на динамику и NAT со стороны клиента) - редко обеспечивал ж... или никогда. И дело не в опенвпне собственно, давайте его заменим почти на что угодно. Даже на устаревший и ломабельный пптп. В  телекоме я лет 20. Насмотрелся на разное и в самых разных масштабах.  Если академические выкладки и умный тон отбросить, многие решения при формальных признаках кривые, в реальности не столь плохи и ненадежны, если без понтов и по существу. И наоборот. Сам бы делать как в статье не стал. Если совсем туго с фикс. свзяью, то вместо моб. инета предпочел APN. Если объектов подобных много - в "голову" бы пригласил моб оператора фиксой, L3-впн-ом. Хотя и статейный вариант не слишком страшный. Белого ип на моб. соединении нет, если не договорились с провайдером об обратном, что сильно вряд ли. Т.е. это серый адрес + операторский NAT. Даже если админ ламер и не умеет готовить фв, входящие соединения из Инета не пройдут, от других абонентов оператора угроза тоже весьма условна, почти нулевая. Уже не плохо. Если реально управление чем-то серьезным - предусмотреть резерв как по каналам, так и по железу. И на удаленных объектах и в голове. Динамику туда или хотя бы статику+пинговалки, мониторинг, логи с локальным хранением и удаленным (трансляция в голову), шейпинг-полисинг на тунели, что бы сислог или что-то еще не задавило полосу для технотрафика. В общем, два-три микротика копеешных на объект, пара относительно бюджетных ISR-ов в голову или никсы. Грамотно сделать, обхаживать, лелеять, следить, при необходимости напильничком дорабатывать - решение будет жить годами. Есть такие, которым уже лет по 10-15, имею к ним доступ и могу лицезреть. Может скромненько, простенько, но "чистенько". И это гораздо лучше, чем в среднем по больнице. А подрядчики проектирут связь на подобных объектах вообще так - рисуют облачком инет или вообще там пишут внутри "сеть" и лепят к облачку палочки. Как это будет работать, они не знают, реализуют это чаще всего в силу своей испорченности представители телекома заказчика. И то, что оно будет хотя бы как в статье - это нечасто можно увидеть (в пределах моих возможностей наблюдать, конечно).

Давайте по существу. Вот прям предельно конкретно. Город полумилионник, областной центр. Десятки котельных, ПНС, БНС, всякой фигни, которая сейчас автоматизируется (плюс ОПС, видеонаблюдение иногда). На половине объектов можно организовать выделенки, на половине объективно нельзя, строительство за космические деньги, только связь от моб. операторов. Что поставить в голову такой техносети, что на объекты, что бы все было правильно с т.з. гарантий и поддержки и вообще по уму, вот что бы профессиональный ИБшник даже не крякнул и бровь не поднял. И ценник. И что мы за него получим в рассмотрении конкретной аварии на объекте в части телекома или ИБ инциденте.

Ценник за точку - 120 тыров (со всеми сертификатами), за диспетчерский пункт, соответственно, от 120. Это только криптуха, без антивирусов/IPS/IDS/целостностности/...

отсальное можно закрыть Check Point с типом Д

Без работ, монтажа и проекта, естественно...

В KICS for Networks поддерживаются как открытые, так и 

закрытые

 промышленные протоколы, разбор которых является 

ноу-хау

 «Лаборатории Касперского»

Т.е. реверс инжинириг без поддержки вендоров? Как они потом смотрят на это во время тестов?

Или View Point)

В KICS for Networks поддерживаются как открытые, так и 

 промышленные протоколы, разбор которых является 

 «Лаборатории Касперского»

Как они смотрят на всех остальных кто так делает?

меня интересует в целом реакция

типа ей Эммерсон мы тут распарсили ваш протокол,  было сложно, но вы там статический ключ используете, можете сертифицировать для использования?

Если это касается статьи на хабре, то безопасность схемы там весьма условна. Инженер сделал, через пол года перешел в другое подразделение\уволился, схема осталась висеть, ей пользуются другие люди, которые о принципах ее работы знают весьма приблизительно, а потому забивают болт на обновление прошивки зикселя (если автор сам про это подумал). И еще через полгода на зиксель с 10-ибальной дырой нарывается сканер IoT ботнета и хорошо если после этого просто связь пропадет из-за сноса прошивки. Могут ведь и контроллером за ним стоящим заинтересоваться. Не надо строить такие схемы, плохо это.

Вот о чем и речь. А реальность такова, что какой-нибудь ХХХтеплосеть или ХХХтеплосбыт или ТЭЦ какая-нибудь скорей закроется (в каждой шутке есть доля шутки), чем потратит такие деньги. Прямо сейчас у меня на столе три микротика, цена вопроса рублей 15ть. И то говорят  - дорого, если на 10 помножить. Вот ХХХсистемы раньше нам на длинке делали (одном), 3 рубля было. Что бы это изменить, надо конкретно придти какой-то коммисии и закрыть пяток другой объектов, а главного инженера посадить (шутка).  Тогда деньги найдутся. Все, что делается сейчас - до этого эффекта и близко не "дострельнет". А микротики будут работать, кстать и неплохо. Логи будут писаться и даже читаться. Прошивка обновляться. ФВ и прочие меры, типа л2 изоляции - допиливаться по мере необходимости. А если что-то согрит или сломается, заменено это будет без всяких гарантий, поддержек и прочего очень быстро и доступно.

Заменим зухуль на циску, что-то поменялось? Там дыр критичных не было? Схему понимать не надо?