Comments 98
UFO just landed and posted this here
Прежний админ крут. Прям «админ судного дня». Вы его так тут отрекламировали, что возмжно многие захотят его координаты. Если б они не размножились простым делением — возможно ещё лет 5 продержались бы. Ну и — многие, видел, живут в стиле «или шах, или ишак» — и это вполне осознанная стратегия.
Только, если старой закалки :)
Ибо, как раз где-то лет 5-7 назад *сисадмин* уже почти обесценилось и теперь стало синонимом мышкофтыкателя, ну(и из-за), как в комменте выше.
«пойдука поработаю сисадмином пока на погророграмммиста учусь». оттуда и, в большинстве случаев, отношение как к обсл. персоналу с зп 25-50к на фултайме еще и с овертаймом, правда с хотелками на 250к+ :)
Сейчас такое же наблюдаю с девопсами, оно правда пока в самом начале, но уже прям во всю подает корни, так, что лет через 5 будет — «ищем девопс инжинера для настройки аутлук\офис 2020 прокладки сетей, настройки терминальных ферм, деплоя корп сайта на пхп 5.6 — зп: больше вашей стипендии, опыт от 10 лет»
Ибо, как раз где-то лет 5-7 назад *сисадмин* уже почти обесценилось и теперь стало синонимом мышкофтыкателя, ну(и из-за), как в комменте выше.
«пойдука поработаю сисадмином пока на п
Сейчас такое же наблюдаю с девопсами, оно правда пока в самом начале, но уже прям во всю подает корни, так, что лет через 5 будет — «ищем девопс инжинера для настройки аутлук\офис 2020 прокладки сетей, настройки терминальных ферм, деплоя корп сайта на пхп 5.6 — зп: больше вашей стипендии, опыт от 10 лет»
Ну вы прям Америку открыли… такие компании скорее не редкость… я таких несколько штук знаю. 5 лет это вообще не срок для компаний где it не профиль и изменения начинаются либо когда кое-кто клюнет в одно место, либо сертификация или требования партнеров.
Вполне типичная ситуация.
Был свидетелем:
1) Пригласили глянуть сеть. Маленькая фирма. Просто проходил мимо. Руководитель — мой друг.
2) По заявлению руководства — на входе стоить крутой экран на базе линя. Админ — «редкоприходящий»
3) С удивлением обнаруживаем, что комп «экрана» выключен и отключен от сети. А сеть торчит напрямую в инете.
4) Восстановил хронологию: около полугода назад пропал инет. Вызвали инженера провайдера. Он обнаружил, что инет блокирует именно файрвол. Он был отключен, сетка включена «напрямую». Обещали немедленно связаться с админом и все настроить.
5) Т.к. инет появился, через 5 минут всё забыли. Админа не вызвали. Так и работали полгода…
Был свидетелем:
1) Пригласили глянуть сеть. Маленькая фирма. Просто проходил мимо. Руководитель — мой друг.
2) По заявлению руководства — на входе стоить крутой экран на базе линя. Админ — «редкоприходящий»
3) С удивлением обнаруживаем, что комп «экрана» выключен и отключен от сети. А сеть торчит напрямую в инете.
4) Восстановил хронологию: около полугода назад пропал инет. Вызвали инженера провайдера. Он обнаружил, что инет блокирует именно файрвол. Он был отключен, сетка включена «напрямую». Обещали немедленно связаться с админом и все настроить.
5) Т.к. инет появился, через 5 минут всё забыли. Админа не вызвали. Так и работали полгода…
Это история о том, как к докторам ходить, каждый день к разным. В поисках самого-самого из самых. Известная проблема с головой у многих заказчиков. Приводит именно к таким результатам обычно. Каждый следующий ни капли не отвечает за всю систему в целом, а только за то что попросили. Для заказчика этот подход опасен для жизни.
А потом пройдет год, и снова все встанет по прежнему.
IMHO "правильно закрученная сеть" будет жить, пока железки не умрут
А базу то как угнали определили? Может ее абсолютно штатно скопировал приходящий админ?
Как утащили базу, неизвестно, но это стало сигналом к тому, что надо заниматься ИБ.
Однако при этом надо отметить, что хоть, некогда единая контора, разделилась, вели они по отношению друг к другу как «джентльмены» (или я таки что-то в тексте упустил?) — 5 лет вот таким образом жить с общим доступом до «информационных каналов и базы», это не хухры-мухры. Поэтому, наверное текущие владельцы могут друг другу руки пожать.
Создается впечатление, что автор просто предлагает использовать вообще все известные ему security функционалы, не вдаваясь в обоснованность их использования. Как будто локальная сеть компании наводнена не сотрудниками, а посторонними хакерами, которые только и делают, что в открытую ломают сеть, втыкают свои DHCP сервера и коммутаторы, рассылающие BPDU, и на зависть всем спецслужбам мира дешифровывают IPSEC VPN с «недостаточно надежным» 3DES MD5 алгоритмом!
Модель угроз ИБ, не?
делают, что в открытую ломают сеть, втыкают свои DHCP сервера и коммутаторы, рассылающие BPDU, и
дай чуток прав пользователям, и они им 100% воспользуются и что-то поломают.
Лично я придерживаюсь модели: обрезай все по максимуму ползователям. Закрывай доступы ко всему кроме того, что нужно.
Поддерживаю. Автор лепит не к месту всё в одну кучу
UFO just landed and posted this here
Александру Сигачёву огромная благодарность за статью, сам недавно пришёл в организацию (государственную). Начал изучать структуру сети, в итоге мне стало ясно, что живут по принципу «неуловимого Джо».
Все живут по принципу неуловимого Джо потому, что если цель будет хакнуть — хакнут.
Задача всех защит закрыться от массированных атак без конкретного нацеливания.
Задача всех защит закрыться от массированных атак без конкретного нацеливания.
А если не хакнут железо то хакнут людей.
Если не хакнут людей, то хакнут железо.
Найти выход на сотрудника многим проще, чем найти хакера.
Найти выход на сотрудника многим проще, чем найти хакера.
Если закрутить гайки например по SRP и не открывать никаких сервисов, то «паровоз пролетит» и 10 лет
да ёклмн… хватит считать это панацеей. SRP нужен для защиты компов от рядовых пользователей с заданным набором — например, кассиров и т.д. на большее он дефолтный не годится. Его киллер фича — hash rule, применима только в случаях выше, иначе можно создавать отдел который только и будет, что разгребать его правила и вносить туда сюда аксесс листы.
Поэтому 90% забивает и врубают тупо whitelisting(иногда даже FilePAth Rule), что максимум — не даст тете Глаше запустить её любимый солитер с именем бинарника solitair.exe. Но оно прекрасно запустится, если будет переименовано в Word.exe, в случае же filepath подойдет уже любой современный донор в appdata. И более-менее, мотивированный на залипание в зуму, манагер это решение нагуглит себе часов за n.
Это я еще умалчиваю на тему целенаправленного взлома — нагнуть applocker & srp займет даже у *киддиса* минут 10-15(пока будет перебирать способы инжекта или подмены) :)
Поэтому 90% забивает и врубают тупо whitelisting(иногда даже FilePAth Rule), что максимум — не даст тете Глаше запустить её любимый солитер с именем бинарника solitair.exe. Но оно прекрасно запустится, если будет переименовано в Word.exe, в случае же filepath подойдет уже любой современный донор в appdata. И более-менее, мотивированный на залипание в зуму, манагер это решение нагуглит себе часов за n.
Это я еще умалчиваю на тему целенаправленного взлома — нагнуть applocker & srp займет даже у *киддиса* минут 10-15(пока будет перебирать способы инжекта или подмены) :)
UFO just landed and posted this here
Я тут могу только одно посоветовать — телепортируйтесь уже наконец из ~2012 в 2к18 :)
Его киллер фича — hash rule
Что? Это его самая большая дыра, которую лучше не использовать вообще.
А можно поподробнее об этом факте?
UFO just landed and posted this here
SRP можно строить не только по хэшам, но и по цифровым подписям, они имеют наивысший приоритет над всеми остальными (хэши и каталоги запуска). Если добавить сертификат вендора, то все программы и библиотеки, подписанные этим сертификатом будут считаться валидными, поэтому рекомендуется строить именно белый список, поскольку если сертификат попадет в черный список, все программы вендора, подписанные данным сертификатом, будут считаться запрещенными к запуску. Таким образом можно сдержать безудержный рост белого списка SRP и сохранить контроль над ним.
Сразу вспомнил рожу своего Одмина когда он удивился как я смог запустить Tor и спокойно сёрфить нет как мне хочется))))
Они сейчас закупают снова современное оборудование корпоративного уровня. Будет пара файрволов, будут новые, более функциональные маршрутизаторы, будут правильные настройки и правила разрешённого трафика.
Пройдет еще лет 5 и все скатится туда же откуда и пошло, если не будет человека, который будет поддерживать это в актуальном состоянии. Хорошо, если это все оправдано. Но почему-то многие компании думают, что если они закупят брендовое оборудование, обложат себя firewall и съэкономят на админе — то ничего поддерживать не придется. Типичный пример из жизни, есть одна гос. контора, которая решила нанять другую контору для аудита сети и написания ТЗ аукциона, те в свою очередь не стесьняясь заложили на 50 сотрудников с одним файловым сервером на Win 2003 несколько checkpoint firewall, экзотическую железку с DPI и естественно потом сами их поставили и настроили. Прошла пара лет, контора увеличилась в двое, появилось с десяток филиалов — потребовалось расширить сеть и перенастроить, контора та зарядила такой ценник конский, на закупку еще таких же checkpoint, обновления старых железок и настройку — что дешевле было админа нанять, тем более что штат расширился. Тот админ, ничего не понимающий в этих ваших checkpoint, снес все к хренам и построил свою сеть с блекджеком и pfsense, который и поставил на этот checkpoint и на какие-то мини PC в филиалах :) DPI с каким-то хитрым ПО, вообще не понятно как использовался, тем более что ПО этой хрени надо было продлевать по подписке.
Пройдет еще лет 5 и все скатится туда же откуда и пошло, если не будет человека, который будет поддерживать это в актуальном состоянии. Хорошо, если это все оправдано. Но почему-то многие компании думают, что если они закупят брендовое оборудование, обложат себя firewall и съэкономят на админе
Не факт что пять лет пройдет. Может завтра тот же самый, кто предыдущую базу увел так же ее и сольет вновь. Имея на то доступы. Защита периметра безусловна нужна, но если брать даже мировую статистику «забор» помогает все меньше. Эксплоиты «нулевого дня», письма с «бомбами» заинтересованные сотрудники или непонятные «компутерщики» с ломанным RAdmin в лидерах. Особенно в тихих… скромных… неприметных…
Сколько раз видел (с помощю shodan.io) открытые всему миру SMB шары в которых лежит файл типа pssword.doc со всеми паролями от VPN,DC и всего остального. Некоторым даже писал письма с просьбой закрыть пока не поздно. Некоторые даже закрывали… И не только в России.
Да ничего удивительного. 5 лет — не срок. Конечно, от масштабов конторы завиисит, но описанное мало чем отличается от ситуации маленькой компании с D-Link DIR-320 в качестве роутера и D-Link DES-1016 в роли сразу и ядра, и уровня доступа. Опять же, людей специально целенаправленно не взламывали, а автоматизированные переборщики дыр, вероятно, то ли не дошли, то ли не нашли ничего сильно простого. Ну и изнутри сеть тоже не атаковали, что часто берется как допущение при построение сетей — «своим мы верим», и все тут.
Можно комментарий попросить вот про это:
Скажите, а как новые модели коммутаторов существенно улучшают безопасность на 2 уровне OSI? Вы про то, что старые не умеют VLAN? Так это не про модели коммутаторов, а про разделение сетей. Тем более что на картинке изображен пыльный-пыльный HP Procurve, и не из младших, я бы и на старой прошивке такому верил бы. Выглядит так, чтополовина часть списка просто на тему «что бы такое продать клиенту».
Можно комментарий попросить вот про это:
На площадке используются устаревшие модели коммутаторов с устаревшими версиями ОС. Рекомендуется обновить версии ОС на коммутаторах, но и после этого данные коммутаторы не смогут предоставить необходимую на сегодняшний день безопасность сети передачи данных на втором уровне модели OSI.
Скажите, а как новые модели коммутаторов существенно улучшают безопасность на 2 уровне OSI? Вы про то, что старые не умеют VLAN? Так это не про модели коммутаторов, а про разделение сетей. Тем более что на картинке изображен пыльный-пыльный HP Procurve, и не из младших, я бы и на старой прошивке такому верил бы. Выглядит так, что
Если совсем старьё, то они не смогут большую часть из рекомендаций после аудита (снупинги, порт-секьюрити, шторм контроль и т.д.). По опыту работы о таких штуках не задумываешься до первого случая, а случай возникает при, например, при заражении одного компа вирусней.
Это так, но… В случае этой компании (как и многих других) проще пережить атаку вирусни через прогиб сети от пакетов, вычислить заражённые хосты, отрубить их от сети, и дальше жить, постепенно разбираясь.
Сравните с ситуацией, когда покупается продвинутое железо с кучей умных функций, функции настраиваются на глазок (а откуда взяться опыту, чтобы настроить точно по параметрам будущей атаки — что у админа подобной компании, что у, будем говорить, иного интегратора; по рекомендациям технических писателей, сочиняющих документацию на свичи?), и железо за кучу денег имеет шанс пропустить большую часть атаки до юзеров, но все думают, что оно стоит на посту и ничего точно не пропустит.
Не говоря уже, что лет 5 назад атаки были попроще, и защита, настроенная 5 лет назад, может сегодня быть неэффективной.
Так что в подходе компании (бессознательном, стихийно сложившимся, но все же) «будут проблемы — будем переживать их» есть свой смысл: для них настройка сложной защиты слишком вероятно может оказаться на сферическую атаку в вакууме.
Впрочем, последнее, повторюсь, и про многие другие компании можно сказать.
Сравните с ситуацией, когда покупается продвинутое железо с кучей умных функций, функции настраиваются на глазок (а откуда взяться опыту, чтобы настроить точно по параметрам будущей атаки — что у админа подобной компании, что у, будем говорить, иного интегратора; по рекомендациям технических писателей, сочиняющих документацию на свичи?), и железо за кучу денег имеет шанс пропустить большую часть атаки до юзеров, но все думают, что оно стоит на посту и ничего точно не пропустит.
Не говоря уже, что лет 5 назад атаки были попроще, и защита, настроенная 5 лет назад, может сегодня быть неэффективной.
Так что в подходе компании (бессознательном, стихийно сложившимся, но все же) «будут проблемы — будем переживать их» есть свой смысл: для них настройка сложной защиты слишком вероятно может оказаться на сферическую атаку в вакууме.
Впрочем, последнее, повторюсь, и про многие другие компании можно сказать.
Кстати на счет старого бюджетного оборудования. Вот, например, неофициальный багтрекер микротика. Треть из списка можно точно адаптировать как минимум для DoS. Думаю, аналогичные трекилки можно найти и по старью 3com, edge-core, dlink etc. Может даже не публичные.
Так и у любого другого бренда, в т.ч. у кисок, такое найдется. Вопрос, что доберется до конторы, какая атака. Но вот незадача: те же циски продают как дорогое, но надёжное. Но им надо уметь пользоваться и, самое главное, обновлять!
Вы устройте на Хабре опрос, как часть люди обновляют софт свичей. Не роутером, а именно свичей. Думаю, мы все удивимся ответам.
Не удивимся. По факту софт обновляется только тогда, когда нужно применить какую-нибудь заявленную фичу, которая бажно (или вообще нет) работает в старой версии софта. А требование на включение такой фичи как правило придет по линии ИБ в случае аудита или хака. Ну или инициатива изойдет от самого админа чтобы упростить головную боль.
Я все это к тому, что использование старого необновляемого оборудования — это хоть и плохая, но мировая практика в индустрии. Чтобы сетевой инженер что-то сделал, у него должен быть заказчик. Все это понимают, поэтому в крупных конторах и проводят периодические аудиты.
Я все это к тому, что использование старого необновляемого оборудования — это хоть и плохая, но мировая практика в индустрии. Чтобы сетевой инженер что-то сделал, у него должен быть заказчик. Все это понимают, поэтому в крупных конторах и проводят периодические аудиты.
Золотые слова. Мы все знаем, что обновить софт во всей сети — значит, делай приёмку сети заново, а старый добрый вопрос "какие задавать параметры защиты" как стоял, та и стоит.
Интегратор может либо взять цифры с потолка, либо из мануалов вендоров (где цифры порой придуманы техническими писателями, и для других версий прошивки), либо порекомендовать из своего опыта (это ещё отличный вариант), но опыт может быть и не точно тот, что нужен в конкретном случае.
Все то же может и админ сделать (с той же уверенностью в правильности установок). Одно важно: если в конторе оно кому-то от души надо, то будут делать, а если нет, то даже интегратор не сильно поможет.
Аудит — да, идеально его закладывать в план работ раз в полгода или год. Менять железо — сомневаюсь, что без этого никак. Важнее, чтобы ИТ вообще имело бюджет и возможность развиваться.
Но это все должно быть нужно конторе и админу. Тот же приходящий спец может либо сделать хорошо, чтобы не ходить лишний раз (и ему вроде дальше не за что будет платить, как порой думают), либо сделает на отвали, потому что с конкретной точки онтполучает копейку, и заниматься профилированием трафика ему не с руки.
Зря так про микротики, все баги из трекера уже, скорее всего, пофиксили. За свои деньги лучшего железа, на мой взгляд, нет. Обновления выходят постоянно, обновляться проще простого.
Ну если уж заговорили про dlink dir 320 и Des 1016. Dir обычный маршрутизатор для домашнего использования. Без поддержки vlan и довольно слабым ЦП (это к вопросу по всякие шифрование на лету и пр). Скрещенные маршрутизатор и концентратор.
Des так вообще неуправляемый концентратор. Он не может быть ни концентратором распределения, ни концентратором уровня доступа. Зачем их в пример приводить.
а зачем фаервол… ваще не понял… неужто у них все ИПшки наружу торчат?
Удивительно, что их действительно не тронули конкуренты за столько-то лет.
Интересно, этот админ-основатель вёл документацию (топологию сети, требования к стойкости паролей, правила назначения имен хостов, текстовое описание структуры ActiveDirectory и т.п.)? Не хочу хвалиться, но история с админом-основателем напомнила меня, также создавал сеть с нуля с распределенными филиалами… Каждый элемент/технологию/узел документировал, поэтому после моего увольнения из организации сменщики говорили «Спасибо!», поскольку знали где оно и как оно. Контора посл моего увольнения прожила еще пять лет, после чего разделилась на две: с «хорошими» активами, и «плохими». Новая контора с «плохими» активами благополучно умерла вместе с железом и моими настройками, а сеть для новой делали другие люди.
Я в своей нынешней компании перманентно борюсь с такой проблемой (а надо сказать, что материнская компания котируется на бирже, так что не микробизнес). Но это как с ветряными мельницами. У руководства простой подход — если мы это не понимаем и нам это не приносит деньги, значит это решать не надо. На возражения, что если завтра взломают, то все вместе пойдем на биржу труда (тут я, конечно, утрирую, но суть ясна), я получаю ответ: если за 5 лет не взломали, то и сейчас — если ты не поможешь — не взломают (тот самый неуловимый Джо, ага). Увы, но я уже имею на руках скрипт, способный положить целый бизнес под ноль. И его может написать любой человек без каких-либо знаний инфраструктуры нашей компании. Но что делать? Не запускать же этот скрипт, чтобы доказать свою правоту…
Только я за первые два абзаца понял, что речь про известный магазин автозапчастей?)
Я выслал заказчику опросные листы и попросил их заполнить до того, как буду проводить работы.
Надо продолжить так:
«Мне написали все что знали, все явки и пороли. Я их анализировал 3 недели, и дал заключение: сеть что до меня сделал админ 5 лет назад —
А можно мне, тупенькому, пояснить как именно новые железки связаны с безопасностью? Просто для собственного развития.
Для старых прошивки не обновляют. Там дыры которые известны и изготовитель забил на них.
Не все ли равно если они за натом?
Если просто за натом, то не все равно. Полно способов пробить нат в зависимости от реализации и настройки.
Если к нату мы добавляем возможности statefull fw, мы защитимся от внешних угроз.
Но это все равно не решит проблемы с троянским заражениям пользовательских машин и последующей генерации такого трафика, который положит сеть или вообще откроет бекдор с последующей эксплуатацией багов для несанкционированного доступа в защищенные сегменты.
Если к нату мы добавляем возможности statefull fw, мы защитимся от внешних угроз.
Но это все равно не решит проблемы с троянским заражениям пользовательских машин и последующей генерации такого трафика, который положит сеть или вообще откроет бекдор с последующей эксплуатацией багов для несанкционированного доступа в защищенные сегменты.
Но это все равно не решит проблемы с троянским заражениям пользовательских машин
Простите за назойливость, а что решит эту проблему? Пользователь сам запустит троян, а если атака нацеленная то могу предположить, что антивирус даже не пискнет. Дальше в рамках полномочий пользователя мы в любом случае получаем доступ.
Например в случае с 1с (как одного из самых популярных продуктов) это позволит утащить всю базу.
У меня была противоположная ситуация. В филиале Пятигорске оператор глушил UDP (голосовой трафик конкурентам резал). Долго мучился. В итоге уменьшил MTU и чудо! VPN стал работать устойчиво. Проходит пара месяцев выясняется, что почта в головной офис (в одно из подразделений) не доходит. Ну основное ходит, а это подразделение на отшибе и туда раз в год пишут. В Exim ругань на таймаут. Открываю телнет. Все Ок. Почта прошла. Шлю через тандербед. Неа. Минут час думал. Поменял MTU. О! Пошло. Звоню тамошнему админу. Говорю что там у вас с PMTU? А тот глаза так вылупил, что они из телефонной трубки вылезли «С ЧЕМ???». Я думал он издевается. Не. Он работает сисадмином три года и не знает что такое PMTU. Я звоню сисадмину в головной офис и говорю, что там у вас во втором офисе с PMTU и слышу «C ЧЕМ???». Оказалось у нас бюджета на ИТ небыло я все собирал на обычных офисных компьютерах. Роутеры СОХО уровня все фаерволы и VPN на Linux. А у них ворованный Эксчейндж и циски. Циски настраивал приезжий дядя. Наверное до сих пор так и живут (лет 7 прошло).
Стало интересно, что имеется в виду под «хорошими конфигами и правильной архитектурой». Можете хотя бы тезисно описать, что там было такого что вам понравилось? А лучше с примерами.
Хорошие конфиги, это конфиги которые позволяют максимально обезопасить само устройство от атак и непосредственно сетевую инфраструктуру.
Если речь идет о коммутаторах – то это в первую очередь отключение неиспользуемых интерфейсов, добавление description для всех портов, сегментирование трафика на разные вланы, настройка STP BPDU Guard и STP Root Guard, настройка storm control и port-security. В идеале использование dot1x. Использование безопасных протоколов удаленного доступа – https, ssh, snmpv3. Отключение всех неиспользуемых сервисов Использование централизованной аутентификации и авторизации, в крайнем случае – использование нескольких разных локальных учеток с разным уровнем привилегий. Использование логгирования и синхронизации времени. Подходящая архитектура, это устройства и ПО, поддерживающие данный перечисленный функционал.
Если речь идет о коммутаторах – то это в первую очередь отключение неиспользуемых интерфейсов, добавление description для всех портов, сегментирование трафика на разные вланы, настройка STP BPDU Guard и STP Root Guard, настройка storm control и port-security. В идеале использование dot1x. Использование безопасных протоколов удаленного доступа – https, ssh, snmpv3. Отключение всех неиспользуемых сервисов Использование централизованной аутентификации и авторизации, в крайнем случае – использование нескольких разных локальных учеток с разным уровнем привилегий. Использование логгирования и синхронизации времени. Подходящая архитектура, это устройства и ПО, поддерживающие данный перечисленный функционал.
Так и не понял, что имеется именно под архитектурой. С моей точки зрения отключить неиспользуемые порты, настроить некоторые фичи на коммутаторе, включить iptables на шлюзе, организовать централизованную телематику вообще не относятся к архитектурным особенностям. Наверно архитектура это больше к какой-то централизованной маршрутизации-коммутации.
Остаётся непонятным, что имеется в виду под обнаружены следы нормального конфига. Что имеется в виду? Корректная настройка iptables в части ACL?
Остаётся непонятным, что имеется в виду под обнаружены следы нормального конфига. Что имеется в виду? Корректная настройка iptables в части ACL?
Если сублимировать мысль автора: забейте на безопасность, не тратьтесь на специалистов, один раз вложившись в инсталляцию системы вы получите паровоз, который по инерции пролетит лет 5 — 7, чем меньше ваша компания, тем больше будет срок полета, а дальше придем мы, умные дяди, чтобы ваша система опять взлетела.
Получается как-то так. По крайней мере, на меня эта публикация произвела именно такое впечатление.
Получается как-то так. По крайней мере, на меня эта публикация произвела именно такое впечатление.
Я вот хочу спросить автора: а клиент рад, что про него в таком тоне рассказали на всю страну? Как бы люди не закрывали глаза на ИТ, вряд ли они рады даже намёкам.
Я бы после этого к Кроку не пошел. Одно дело в курилке с коллегой обсудить древность прошивок, другое — показать, что вы будете легенды рассказывать про компанию, неплохо ещё заработав (надеюсь).
Скажите, а в своем офисе вы как часто прошивки свичам меняете?
Большое спасибо! Взял ваши выдержки из отчета на вооружение (красиво и ёмко).
Вот только читать данный отчет порой просто некому :) и тут уже по принципу: «умный не скажет, дурак не поймет»
Вот только читать данный отчет порой просто некому :) и тут уже по принципу: «умный не скажет, дурак не поймет»
Вздыхает, а мне вот сказали что нам защита не нужна. Ну даже если уведут базу и фиг с ним. Честно я не нашел что ответить.
а что такое MPLS V3 VPN? Может, L3?
Меня лично тут сильно смущает факт сочетания крупной компании и супер админа в прошедшем времени.
По практике даже идеально настроенная сетевая инфраструктура требует постоянного внимания и контроля. Ни разу, от слова «ВООБЩЕ», не встречал средних или крупных компаний, где всё это могло бы прожить на автомате без поддержки квалифицированными специалистами.
В связи с этим вся статья смахивает на байку ради пиара, или какие там ещё автор ставит перед собой цели.
По практике даже идеально настроенная сетевая инфраструктура требует постоянного внимания и контроля. Ни разу, от слова «ВООБЩЕ», не встречал средних или крупных компаний, где всё это могло бы прожить на автомате без поддержки квалифицированными специалистами.
В связи с этим вся статья смахивает на байку ради пиара, или какие там ещё автор ставит перед собой цели.
Согласен. Грамотный админ должен быть всегда. Другое дело, что не каждая компания может позволить себе платить 100+ в месяц, что бы его содержать. А так админ должен быть всегда и постоянно работать с инфраструктурой.
100К руб/мес, если большое предприятие не хочет платить эти, в общем то маленькие, деньги, то рано или поздно оно заплатит гораздо больше.
Админ не просто обязан быть в «крупной компании», он ещё и должен быть освобождён от дел типа anykey, иначе рискует не инфраструктурой заниматься, а быть в поддержке хелпдеска.
Админ не просто обязан быть в «крупной компании», он ещё и должен быть освобождён от дел типа anykey, иначе рискует не инфраструктурой заниматься, а быть в поддержке хелпдеска.
платить 100+
С учётом описанной вами ранее квалификации для замкадья это 35-40+эникейство, какие же тут 100.
Сколько ориентировочно стоит подобное событие?
Вот поэтому я и вижу кассы-терминалы на ipad. Хорошее решение не должно разламываться за несколько лет.
В будущем победят те системы которые будут достаточно гибкими и устойчивыми. Пример — приложения на смартфонах: дуракоустойчивые, простые и относительно надежные. После обновления может не понравится дизайн, но все продолжит работать.
UFO just landed and posted this here
Знаю организацию у которой профиль ИТ основной =). Ну или близок к нему. Так вот у них все почти также. Когда-то давно админ выбирал правильное железо, делал правильные настройки… а потом либо сам ушел, либо его ушли. И все это после него работает уже 10 лет и новые админы с квалификацией сильно меньше пока ничего не сломали =).
отличная статья, спасибо!
из своей практики могу посоветовать изменить формулировку в рекомендациях с «должно магическим образом стать так» на «IT директор Дима должен поставить админу Васе задачу включить это или объяснить что нам нужно купить чтобы это заработало. Директору Диме нужно ставить задачу админу Васе проверять что это включено и работает на всём оборудовании каждые N месяцев и контролировать выполнение»
из своей практики могу посоветовать изменить формулировку в рекомендациях с «должно магическим образом стать так» на «IT директор Дима должен поставить админу Васе задачу включить это или объяснить что нам нужно купить чтобы это заработало. Директору Диме нужно ставить задачу админу Васе проверять что это включено и работает на всём оборудовании каждые N месяцев и контролировать выполнение»
SSID объявляются в широковещательном режиме, рекомендуется объявлять их в скрытомопять этот пункт… скажите, а в этом есть какой-то практический смысл? любой скрипт-кидди за 30 секунд обойдёт эту ммм… настройку. мне действительно интересно узнать юзкейс, где такая настройка действительно решает какую-то настоящую проблему — потому что в моей практике это лишний пункт в списке рекомендаций, который админы любят сделать и отчитаться, вместо того чтобы сделать какой-то более нужный пункт.
На самом деле там во многих пунктах нет никакого практического смысла. Например, довольно экзотично будет использовать одновременно DHCP Snooping, port-security, Dynamic ARP Inspection. Да, до кучи еще туда надо ip source guard. Я такого нигде не встречал. ИМХО — будет наворочено много лишнего внутри периметра где половина угроз решается чисто административными методами. И как он может обосновать, что нужно использовать именно AES-256, SHA-512 и выше и DH 19? А с документами ФСТЭК по защите информации он знаком? Вообщем, все-равно складывается впечатление, что автор, недавно освоив курс security тут же решил применить все узнанное не практике.
Sign up to leave a comment.
Мы нашли крупную компанию, которая 5 лет не занималась информационной безопасностью, и она ещё жива