Comments 34
Не могу сказать, что статья пустая, но это все известно со времен winxp, ничего нового автор не добавил
Бытует мнение, что широко любимая парольная защита "три неверных попытки, 5 минут блокировка" - заведомо порочна. Правильный путь: условно 20-30 попыток и блокировка аккаунта сразу на сутки (или до выяснения разбирательств).
Т.к. в первом случае постоянно будет "белый шум". Трудно отсеять человеческий фактор от действительных попыток брутфорса. Во втором же случае, очевидно, человек столько раз не будет пытаться упрямо вводить пароль и, в случае явного алерта, превентивно-заведомо повод напрячься.
Ну и, кстати, неизвестно, что еще хуже: торчащий RDP во внешке или голый, выставленный наружу Exchange (а, чаще всего, так и бывает). В последнем случае векторов атаки вообще тьма, начиная от всем известных уязвимостей и заканчивая банальной account lockout attack для пущего веселья. Exchange, наверное, даже на первое место поставил бы, в плане любимой кормушки для злоумышленников.
Голый — то есть не два порта, а все порты?
Под голым имею ввиду Exchange, перед которым нет дополнительной защиты в виде того же условного настроенного гейта FortiWeb/FortiGate Firewall к примеру. Также есть другие разновидности ПО, аналоги Fail2Ban для той же OWA.
Голый Exchange выставленный наружу, по сути, считайте что публикуете каталог LDAP active directory во внешку. Можно найти в интернете публичный адрес эйчара m.ivanova@company.com и потом из вне устроить атаку по маске со словарем и залочится половина учеток в компании.
Промежуточные firewall гейты такого сделать не дадут, спрячут exchange за собой. Сначала валидация и авторизация на них (со своими правилами, со своими настройками, вплоть до 2FA), дальше сквозной прозрачный пропуск до Exchange.
Как же знакомо :) Мало того, что балансера нету даже и MX с CASом придется руками менять при падении одного из серверов, рестарте или тех обслуживании с учетом ожидания ТТЛа, так еще и долбятся в IMAP/SMTP/ActiveSync/EWS все кому не лень. Про антиспам в целом умолчу.
И из-за кривого решение потом начинают ныть на тему блокировки аккаунтов. В итоге вводятся токеты и сертификаты на АктивСинк и получаем еще большую залупу. Браво. Аплодирую решениям.
А как надо делать, если у вас в компании есть 1 сервер, где работает почтовая служба и все остальные службы?
В принципе, можно из своей зарплаты купить и второй, однако никто не хочет. Хорошо уже, что сотрудники согласились купить маршрутизатор со встроенным брандмауэром.
Виртуализацию уже забанили или как?
Если фирма не может купить второй сервер, когда его цена пара штук евро, может следует сменить компанию и не кушать кактус, но не оправдывать фирму?
Рабочее место дороже стоит как бэ. С доком, лаптопом и парой мониторов.
Можно еще тогда поработать бесплатно, за спасибо, после работы ответить на все звонки, даже если за дежурство никто не платит. Периодически отвешивать поклоны, потому что хозяин приносит покушать. Всегда столько вопросов к людям, у которых какие-то проблемы с крепкостью того, что находится между их затылком и полупопиями. Видимо, я как то неправильно карьеру себе строю.
Окей, сменили компанию. А что делать той прежней компании-то? Ей учредитель не заложил в бюджет расходы на второй сервер. Рабочие места там оборудованы пятнадцать лет назад. Для особых задач есть один лаптоп, и его выдают если кому-то из сотрудников нужно поработать в другой локации.
Я не пойму: у вас Стокгольмский Синдром или вы троллите?
У меня нет таких проблем. В текущий момент я просто ухожу из компании, хлопнув дверью, потому что банально достало отсутствие изменений в лучшую сторону в компании и все ИТ проекты двигаются только мной. Дальше вопрос "что там в старой компании" меня перестает касаться, акциями ее я не владею. Серверные и шкафы во всех ДЦ могут хоть сгореть.
Тут, на Хабре, принято на многие вопросы отвечать одинаково:
— Доплатите за это и это и это, купите такое и такое.
Получается заливка деньгами. Но что же делать, когда денег не хватает? Вы объяснили, что если нельзя залить деньгами, значит, вообще никакого решения нет.
Дальше вы объяснили, что надо хлопнуть дверью. Да, многие люди уже хлопнули дверью и уехали в областной центр и другие миллионные города. Но проблемы они с собою не увезли, проблемы остались.
когда его цена пара штук евро
2 000 евро * 95 рублей курс = 190 000 рублей
190 тр в сумме / 25 тр зарплаты на человека = 7,6 человек
Пара штук евро составляет чистую зарплату семи сотрудников на полную ставку. Это очень много.
Тут надо соотносить возраст и социальное положение вопрошающего с аудиторией Хабра. Большинство Хабра-участников ветки люди взрослые, относительно состоявшиеся, семейные и с детьми. На зарплату условные $1000 в мес. даже не пошевелятся, не посмотрят ($1000?? А, это типичные еженедельные траты на данный момент).
Автору коммента, если только на старте развития, как ни крути, нужно двигать дальше. Эникейство -> Сисадминство -> компания уровня Corporate -> компания уровня Enterprise.
Что там Компания X с десятком компов останется без ИТ поддержки (о, ужас, это конец! (слова гендира)), нужно перебороть. Лайфхак: выруливает тотали релокация, как минимум, в другой город. Это как минимум. А в случае глобал релокации через полгода вообще забываете кто что и кому обещали, и что до этого чинили.
Дополню. Забыли ещё что:
Никто не вспомнит никогда, что вы там помогали гендиру/исполнительному/<вставить любую должность, чью попу нужно прикрыть> в трудную минуту, когда у него кошка/собака умерла/дом сгорел/метеорит упал/<вставить любую причину>
Поднимали серверную при крит дауне в 2 ночи в выходной/отпуск/болезнь несколько дней подряд
Большинству людей крайне лень строить карьеру и они живут в зоне комфорта. (Но крайне любят тыкать в твою сторону пальцами с завистью в голосе. Блджад, тебе то что мешает? Вперед, приходи домой и работай, фирма не сильно против заплатить, если это влияет на стабильность инфры)
Не имеет инициативности и живут на уровне: есть тикет - работаю, нет тикета - не работаю.
Для карьеры нужно приходить домой и вкалывать, нет, не так. Въе**вать еще часов 5-8-10 после работы. Обычно мало спать или отсыпатсья на выходных и опять идти тыркать дорогую энтерпрайз песочницу. И инвестировать тонны своего личного времени (всё) в скиллы. С учетом еще того, что рядом будет человек, который вечером/на выходных/ночью захочет внимания, пообщаться, а не чтобы ты пересобирал бизнес-критикал кластер, и который параллельно будет нет-да-нет кушать мозг.
Работа это не "мы здесь все семья". Это торгово-рыночные отношения. Соотв "если мне не поднимают ЗП и я сделал много проектов за посл год, я иду к другим, где платят лучше и ценят"
Смена места работы дает прибавку к ЗП от 25 до 100% и выше, в зависимости от набора скиллов.
При серьезном прицеле на карьеру если начиная с эникея-аля-L1/L2, ЗП в первые 5 лет не растёт со скоростью 25-50% в год (в зависимости от инфляции), считаю что нужно менять понимание в карьере, либо дальше пускать корни. Т.к. личный опыт показывает, что с официальным энтерпрайз опытом в 2-3-5 лет можно иметь скиллы больше и лучше тех, кто сидит на попе по 10-15-20 лет. (ЗП тоже).
Внизапно бывают случаи, когда ты приходишь в компанию на роль админа, а после 3х месяцев испытательного тебе дают еще больше денег и ты становишься лид админом, т.к. крайне быстро доказываешь, что ты не дурак. (За 3 месяца очень много всего можно сделать, даже в рид-онли, указав на проблемы и как их можно исправить). При этом сам ты ничего не просишь от слова совсем. (:
Ты работаешь только для себя. Лучшая работа - инвестирование в увольнение, чтобы уйти с багажем хороших работ/проектов. Я вот например могу похвастаться, что за 3 года работы в посл конторе лишь 1 раз обронил что-то по своей вине. И то всего на полчаса (ARP конфликт внутри стораджа создал при переделке архитектуры главной кластера БД, когда наживую переделывал всё, включая комутацию с direct-connect до серваков на подключение через свитч. Конфигом порта стораджа попал на уже существующий сервер, который подключен к нему, поспешил чутка. MSSQL в WSFC встал раком от этого на одной ноде и не хотел передавать роль и ребутиться, пока не дернул через IPMI. В целом лучи поноса WSFC передаю. Hyper-V кластера кто юзает, мои искренние соболезнования, вы точно знаете, какое это говно. Если нет, среди моих комментов годик-полтора назад был развернутый - почему)
Ну и в догонку: идём в r/sysadmin. В поиске пишем rant. Сортируем за всё время. Получаем кучу крайне познавательных историй о том, как НЕ надо делать. Миллион слезливых историй "да я для фирмы последнюю бязевую рубашку рвал". На кой хер фирме твоя рваная бязевая рубашка - вопрос открытый.
Крч, как обычно. Когда комменты на хабре лучше статьи (статья говно, будем честны) :D
А что делать той прежней компании-то?
Не пользоваться Exchange? Вы же нашли деньги на покупку его? Или спиратили?
Поставьте postfix/dovecot , ааа тогда же нужно будет платить квалифицированным линукс-администраторам.
Нету денег - продавайтесь, переходите на яндекс-почту или маилру. Там вы будете товаром и платить ничего не надо.
В мире IT ничего не бывает купил-и-пользуюсь-вечно, всё нужно поддерживать и обновлять, железо и ПО. Если вы это не учли в своей бизнес-модели, то вы хреновый бизнесмен и просто закрывайте контору.
А что делать той прежней компании-то? Ей учредитель не заложил в бюджет расходы на второй сервер
Значит учредитель считает что почта не важна. Ну, его компания, ему виднее. Пользуйтесь личной гуглопочтой, она бесплатная.
Чисто очень поверхностно, в двух словах, описал работу промежуточных защищенных гейтов перед Exchange. На самом деле функционал гораздо обширнее, очень много всего можно настроить. Из такого, что еще обыденные базовые вещи: есть гео-фильтрация по IP, можно ограничить коннекты к почтовым ящикам, например, чисто рунетом - все остальное в бан по умолчанию. Также подгружаются автоматом онлайн секьюрити сигнатуры всяких мутных IP-адресов. Типа если с IP-диапазона Сингапур ломятся, тоже сразу улетает в null не доходя до Exchange. Соответственно, есть те же самые whitelist, белые списки, можно только отсюда и только конкретно этому пользователю и как угодно настраивается, авторизация.
Меня, к слову, в свое время, поразил момент, когда через ActiveSync можно было стереть, полностью отформатировать телефон юзера, пользователя :) Если через дефолтное нативное почтовое приложение настроено было. Такие вот были крутые root-права у ActiveSync ))
https://learn.microsoft.com/ru-ru/exchange/clients/exchange-activesync/remote-wipe
Ответ точно мне? :)
Я в курсе возможностей Форти, т.к. работал и с Софосом (и UTM, и SFOS/XG) и с ПалоАльто и Форти тыркал, но мало. :) А динамик листы и на микроте можно запилить легко, но они не такие качественные, как нативные фортовские.
А я в свое время зае**лся вычищать тысячи мертвых АктивСинк устройств из АД, которому 15 лет. Учитывая еще что скорость удаления крайне медленная (не помню причину). Но заняло полдня точно. Потом то понятно, написал скрипт и забыл.
Ну я про "Как же знакомо :)"
А где Вы столкнулись с Palo Alto? Работая в РФ компаниях вот вообще не попадал на него ни разу. Первый раз поработал с ним работая за рубежом и сразу воткнулся, что он криво обрабатывает Multi-account log on, когда юзер с перемещаемым профилем прыгает между компами. Palo Alto люто дико штормить начинает, известное старое issue и непонятно победили ли до сих пор.
Про вычищать, у меня сейчас одна контора, где юзер аккаунты в AD блочили, а мертвые exchange почтовые ящики до сих пор висят аж с 2019-х годов )) чистил вот по сотни гигабайт буквально на днях
Европа. Балтика. Он с коня стоит. 30к евро за PA VM-300 2 штуки (Актив/Пассив кластер) на 3 года (вроде 3, точно не помню). Насколько я знаю, Форти куда дешевле за те же параметры, лимиты пропускной способности и функционал.
О. Добро пожаловать в мой мир с User-ID пупой-лупой. Я тоже долго искал, почему у меня интернет пропадал при логине по рдп в другой домен или с другой учеткой, пока на агентах не добавил админские аккаунты в игнор-лист. Сетевики же для вида сидят тут, в носу ковыряются. Не победили.
Там еще до этого было через WMI (или что там было? Ну не PS) настроен (агентлесс), так там ДЦ грузило на 20-30% ЦПУ. У меня глаз дергался с скоростью процента ЦПУ в секунду.
В целом, если еще и сидармоты его настраивают: получаем даун по переезду на пассив ноду, через пару минут даун (если нода наконец ребутнулась) по переезду на актив ноду (преемпшн или на нормальном языке фэилбэк). Пробивал лицо рукой себе.
В дефолте еще и блокирует все PE файлы. А когда сетевики мудаки (а у меня именно такие же: не могут требование для серта под ссл интерсепт предоставить..), цирк с конями происходит на wsuse, интюне, офисе, всех мс сервисах и т п
Про эксчендж: тут тоже кто-то решил, что клевая идея не удалять учетки и коллекционирование заниматься. А еще по 15 лет хранить PST архив (никто же сказал, сколько надо). ДБ эксча в 5 ТБ (на каждую ДАГ ноду соотв)
В догонку про ПА. В нем не хватает порой фич, вроде WAF того же. Софос этим радовал, там и балансер пилится под эксч. И антиспам заодно. И CAS, и MX крч. И еще и mail queue держит, если оба сервера упали.
3 года работало, ни одного проникновения😜
По логам вижу кучу попыток с переборами логин/паролей, и на этом всё
И это сопровождается новостями типа новый апдейты Microsoft сломал N по всему миру
Может, лучше по формуле «новое-1»?
Использовал RDP Guard. Он работает в связке с файерволом. Все атакующие IP на сутки в блок ставит.
А почему белый список адресов для подключения по RDP это не идеальное решение?
Это единственное разумное решение. Сотрудник заявляет список IP - проверяем их и даём доступ. Если IP сомнительные, требуем объяснительную. Это единственное безопасное решение. Использование VPN на самом деле опасное решение, так как позволяет сотруднику слить доступ на ВПН злоумышленнику и он получит доступ не только к РДП, но и другим сервисам внутренним которые якобы надёжно защищены впэном)
Хуже только basic auth на 80 порту
RdpGuard and rdpDeffender
Материал какой-то бред. А Хоум эдишен вообще не имеет РДП на борту. Сейчас взлом открытого RDP возможен только в случае отсутствия NLA и устаревшей системы.
Самая надёжная защита это доступ по белым спискам IP, NLA и нормальные логины пароли.
Самый частый взлом это вирусня непосредственно на клиентском компьютере, которая своровала из буфера обмена данные доступа. К примеру пользователь решил подключиться по РДП с компьютера племянник, на котором была куча пиратских игр. Кстати вроде даже самая популярная причина взлома РДП у бухгалтерш на форуме Касперского)
Взлом путём подбора пароля происходит только в случае действительно простых логинов паролей.
Подобрать пароль на RDP с NLA - логином Андрей и паролем Db3UjkSoPk нереален, даже если отключить стандартную политику блокировки учётной записи 10-10-10.
Ах да, VPN это мнимая безопасность. Доступ также может утечь, но при этом внутри может быть куча незащищённых столов, которые посчитали, что ничего страшного в 12345 нет, ведь они же за VPN.
Чем опасен открытый RDP в интернет. «Home Edition» vs «Enterprise»