Cloud4Y Oct 11 2024 at 14:04

Правила файрволов не так уж и безобидны

Easy

7 min

7.6K

Cloud4Y corporate blogInformation Security*IT Infrastructure*Server Administration*System administration*

Tutorial

+16

Comments 8

jackchickadee Oct 11 2024 at 14:27

«Крутые погромисты со 100-летним опытом», которой нужно будет предоставить сервера под тестовую и
промышленную среду разрабатываемого продукта в подконтрольной вам инфраструктуре.

ошибка уже здесь. если они такие крутые то:

пусть разрабатывают и тестируют на своих серверах под своим управлением где-то там.
отдают готовый проверенный продукт для деплоя из своего гит-репозитория и не лезут в инфраструктуру.

ps: так можно получить трояна в составе продукта. а можно и не получить.

PikNic Oct 11 2024 at 15:22

Работал в одной конторе, в которой с трудом выбил возможность удалённого подключения. Для понимания уровня паранойи — на рабочих ПК не было доступа в Интернет. Но можно же подключиться через VPN, и пусть открыт только RDP порт (SSH открывать отказались). Что ж, SSH-сервер на порту RDP + SSH-туннель + squid дома и у меня есть полноценный Интернет на рабочем месте, в то время как остальные пишут объяснительные за подключение смартфона к ПК. Как никто не пропалил? А очень просто — анальные зонды IT-отдел устанавливал только под винду, а линуксом пользоваться никто не умел.

Потом VPN у меня отобрали с очередной сменой руководства, а сам я покинул это болото маразма, где правила мешали работать настолько, что начинаешь деградировать.

Shaman_RSHU Oct 13 2024 at 18:40

Когда ИТ-отдел занимается "типа безопасностью", всё что не понимают/не могут контролировать запрещают. А может быть у них NGFW не было :)

V-core Oct 11 2024 at 16:47

А где то, в другой вселенной, рассуждают о зеротрастах...

voidstrx Oct 12 2024 at 00:14

Что мешает завернуть трафик в тот же канал с которого подключаются разработчики?

jackchickadee Oct 13 2024 at 14:38

разработчики могут прийти откуда угодно и безопастностью себя не утруждают.
даже на ssh jump server со стаическим IP вы их не уговорите, все придется делать самому.

kvazimoda24 Oct 12 2024 at 10:34

А в чём смысл не пускать соединения из/в интернет с хостов, которые отданы под растерзание сторонним разработчикам? В любом случае, мы пустили на эти хосты недоверенных лиц, и эти хосты теперь скомпроментированы. А значит, доступ к внутренним ресурсам должен быть строго ограничен белым списком необходимого. А снаружи, если этим разрабам надо, то пусть ходят.

На счёт троянов или украсть какие-то данные. Если у разработчиков и так есть, пусть даже периодический, доступ, то что им мешает заложить этого трояна в их разрабатываемый софт, и что мешает вытянуть данные при очередном сеансе доступа?

Ну, т.е. на мой вгляд, вся эта история с анальными ограничениями для сторонних разрабов выглядит скорее как синдром вахтёра и неспособность оценивать реальные риски, оценивать угрозы. И приводит это к тому, что разработчики вместо того, чтобы софт разрабатывать, отлаживать какие-то трудновоспроизводимые глюки, просто обновить библиотеки на подконтрольных им хостах, вынуждены заниматься вот этой историей из статьи с реверсивными прокси, туннелями через ssh и т.д. и т.п.

Belibak Oct 16 2024 at 07:14

Как же замечательно, что в моей жизни, лишь раз попался такой вот параноик, ональный ограничиватель. Чтоб обновить какую-то драную либу, нужно написать 25 писем, всем, от эникея до чуть ли не ген директора. Больше с такими кадрами меня палкой не загонишь работать.

Автору еще предстоит узнать 1000 и 1 способ пробраться через его горящую стену. Я их придумал/нагуглил минимум десяток, за тот короткий период работы в том дурдрме. Ни один кстати не порезали.

С другой стороны, если хочется вот вобще ничего не делать, и получать малую копейку - прекрасный вариант. Пиши себе письма на квждую команду в терминале и жди от белого хозяина разрешения что-то загрузить из вне. Думаю, что можно держаться на такой работе годами, не произведя ничего полезного.