Comments 47
Великий китайский файервол заблокировал ESNI, а мы по старинке перебираем IP? Нет, спасибо, все что явно не разрешено — запрещено. Хочешь HTTPS до сайтов кроме списка — обоснуй, добавим.
Понимаю такую позицию, но так как работаю уже в существующей сетевой инфраструктуре, которая перешла ко мне попередникив, то приходится «бегать с молотком и забивать гвозди». У нас уже и Youtube решали блокировать… потом как-то откатили назад. История говорит что через 1 месяц у тебя будет 20 видов Випов, какждому из которых нужна отдельная политика разрешений, и при этом денег на оборудование нет.
Быстрое забывается, временное остается. Вы сами себе создаете «неоплачиваемую», «невидимую» работу по поддержанию таких списков.
С технической стороны на «почему?» босса разумно предоставить Allow List, расчетную стоимость обслуживания каждой записи и коммерческое предложение DPI.
С организационной стороны, разумно рекомендовать боссу издать приказ с запретом и установить ответственность за нарушение.
С технической стороны на «почему?» босса разумно предоставить Allow List, расчетную стоимость обслуживания каждой записи и коммерческое предложение DPI.
С организационной стороны, разумно рекомендовать боссу издать приказ с запретом и установить ответственность за нарушение.
Ngfw Вам в помощь, нет денег на оборудование — пускай сами еб@ться с этим. В крайнем случае можно что то на виртуальной намутить типа usergate или ideco
Тогда проще сразу весь интернет заблокировать, ведь 99% сайтов работать и так не будет.
Чистый белый список? Серьезно? Это где такой «интернет»?
Такой подход «работа только по белым спискам» очень дорог и возможен только там, где большой штат айтишников. Причем сотрудники (а точнее их руководители) должны понимать и соглашаться, что 1) запросы на добавление сайтов будут выполняться с задержкой 2) периодически, ранее работавшие сайты перестанут работать целиком или частично.
Обычно такой подход (белые списки) показатель или ну очень сильно заточенной на безопасность организации или признак «мамкиного админа», который в книжках за 1997 год прочитал «про это», а на практике так и не пробовал (никого не хочу обидеть).
Вы попробуйте разрешить работу с каким-то сайтом, где публикуются журналы (платная подписка). Там, чтобы показать вам контент, данные подгружаются с большого количества других доменов. Причем половина из них — технические домены и их имена могут меняться (cdn). Я уже молчу, что на нужных по работе сайтах будут ссылки на ютуб и прочие общие сайты (которые нужны пользователю, заходящему на этот сайт).
При современном интернете (доступном с любого утюга) запрет на посещение левых сайтов может быть продиктован только безопасностью. А это решается значительно дешевле, проще, быстрее и лучше, чем белые списки (особенно с cdn, ага)
Обычно такой подход (белые списки) показатель или ну очень сильно заточенной на безопасность организации или признак «мамкиного админа», который в книжках за 1997 год прочитал «про это», а на практике так и не пробовал (никого не хочу обидеть).
Вы попробуйте разрешить работу с каким-то сайтом, где публикуются журналы (платная подписка). Там, чтобы показать вам контент, данные подгружаются с большого количества других доменов. Причем половина из них — технические домены и их имена могут меняться (cdn). Я уже молчу, что на нужных по работе сайтах будут ссылки на ютуб и прочие общие сайты (которые нужны пользователю, заходящему на этот сайт).
При современном интернете (доступном с любого утюга) запрет на посещение левых сайтов может быть продиктован только безопасностью. А это решается значительно дешевле, проще, быстрее и лучше, чем белые списки (особенно с cdn, ага)
Что-то мне кажется, что РКН начинал блокировать Telegram ровно такими же методами.
Хорошо если на 1 IP один сайт, в реальности это не так, как-то не мог попасть на тематический сайт, начинали разбираться, оказалось что на єтом же IP хостится заблокированый по полт.соображениям сайт, и все… Написал админу тематического сайта, он расплывчато пообещал «Будем думать». Суровые будни ограничений.
Бегать с молотком за молью — это конечно очень спортивно и развивающе. Но комплексная проблема нуждается в комплексном решении — ставьте прокси, настраивайте политики/группы/доступы и блокируйте остальное. В интернете много и софтовых и аппаратных решений.
Ого, скок труда. Я хз как наши админы это быстро сделали, но как боссы сказали НЕТ удаленке, то буквально через 10 минут все известные удаленки типа Team Viewer, AnyDesk, Ammy Admin резко перестали работать. На мой вопрос, админ сказал «На Микротике это не сложно».
Так на микротике спокойно всё фильтровать на 7 уровне OSI можно, а тут человек решил сделать всё на 3 уровне.
Да не сложно для известных программ. Более того, это более правильный выбор, чем устанавливать ПО на каждую машину. Но это работает ровно до тех пор, пока не станет использоваться новое ПО (или не обновиться текущее).
Правильный вариант (имхо) — мониторинг ПК сотрудников + орг. выводы
Люди должны понимать, что так делать нельзя, а если не понимают, то надо выявлять и показывать, что так делать нельзя
Правильный вариант (имхо) — мониторинг ПК сотрудников + орг. выводы
Люди должны понимать, что так делать нельзя, а если не понимают, то надо выявлять и показывать, что так делать нельзя
На миротике не сложно, только когда нагрузка не него серьезная, от тупо говорит что у Вас петля и перезагружает интерфейс, L7 для нас уже пройденный вариант, пользоваться да можно, но не усугублять и искать пути снижения нагрузки.
Метод windows domain админа — «а че, у вас мона запускать всяку херь, не прописанную в GPO?»
Метод linux админа — «а че, у вас можно запускать всяку херь, не прописанную в selinux?»
Метод MTCRE или CCNA — «а че, у вас __снаружи__ на х.з. какой порт клиента может коххектится х.з. кто х.з откуда?»
После того, как я в своей жизни прошел все 3 метода, я пришел к 4-му.
«Шеф, это не техническая, это административная проблема! Зачем они это делают? Ну не фильмы ве они смотрят, а работу работают. Шеф, ты порешай вопрос, почему в рабочее время народ не успевает сделать работу.»
Метод linux админа — «а че, у вас можно запускать всяку херь, не прописанную в selinux?»
Метод MTCRE или CCNA — «а че, у вас __снаружи__ на х.з. какой порт клиента может коххектится х.з. кто х.з откуда?»
После того, как я в своей жизни прошел все 3 метода, я пришел к 4-му.
«Шеф, это не техническая, это административная проблема! Зачем они это делают? Ну не фильмы ве они смотрят, а работу работают. Шеф, ты порешай вопрос, почему в рабочее время народ не успевает сделать работу.»
Совершенно верно. Бороться с занятиями на рабочем месте методом блокировок в компьютере бесполезно. У каждого в кармане телефон. Другое дело в рамках безопасности это закрывать, но там тоже административными действиями можно добиться гораздо большего эффекта, причем дешевле, быстрее и эффективнее.
Метод MTCRE или CCNA — «а че, у вас __снаружи__ на х.з. какой порт клиента может коххектится х.з. кто х.з откуда?»
Так ведь это же исходящее соединение от софтины на компе до сервера разработчиков софтины. И уже к серверу подключаются клиентом. Соответственно, сетевое железо это не посчитает входящим соединением и не отрежет.
мне больше нравятся два других способа:
- Установить приложение удаленного доступа, прописать пароль для подключения и запретить удалять приложение, изменять настройки и подключаться с другим паролем. Пароль никому не сказать
- Запретить пользователям установку приложений и разрешить запуск приложений только из тех мест, что разрешены
Это легко реализуется для обычных пользователей и называется SRP.
Но чаще всего проблема возникает с «необычными пользователями» — разработчиками/программистами/техподдержкой и пр. Тем, кому приходится давать права на запуск от админа (в том или ином виде). Не все разработчики, даже в 2020 понимают, что программа не должна требовать прав админа для своей штатной работы. Например, медицинские программы, идущие с дорогим оборудованием вообще, по ощущениям, писались студентами на коленке в год выхода windows xp.
Это не техническая, а административная проблема. Решается мониторингом запущенных процессов/портов и соответствующими оргвыводами
Но чаще всего проблема возникает с «необычными пользователями» — разработчиками/программистами/техподдержкой и пр. Тем, кому приходится давать права на запуск от админа (в том или ином виде). Не все разработчики, даже в 2020 понимают, что программа не должна требовать прав админа для своей штатной работы. Например, медицинские программы, идущие с дорогим оборудованием вообще, по ощущениям, писались студентами на коленке в год выхода windows xp.
Это не техническая, а административная проблема. Решается мониторингом запущенных процессов/портов и соответствующими оргвыводами
Дело в том, что некоторым разработчикам надо давать права локального админа в любом случае: ну как я без них буду к примеру писать драйвера?
Я про это и написал. Надо решать административно: «приказ. запрет на установку и использование ПО, предоставляющего...»
…
и мониторить выполнение приказа.
…
и мониторить выполнение приказа.
AnyDesk, TeamViewerQS устанавливать не нужно. С TeamViewerQS проще, он пітается распаковаться и запуститься из TEMP сто запрещено политиками, а вот AnyDesk — интереснее.
В винде просто запрещается запуск ПО кроме как из разрешенных каталогов, куда обычные пользователи писать не могут. И все — не будет разницы распаковывается, запускается или еще что-то делается. А если человек админ, то технические меры это не решение. Не надо на это тратить усилия (*кроме некоторых случаев, но это не та ситуация).
Смотрите, статья соответствует теме (хотя ProcessMonitor-ом и скриптом это бы нашлось быстрее и универсальнее). А вот комментарии говорят о том, что не все понимают, что это не механизм обеспечения запрета удаленного доступа. Это частная задача. Невозможно техническими средствами гарантированно ограничить удаленный доступ к своему ПК в обычной корпоративной сети* *(без dlp и прочего).
Количество стороннего ПО, которое может предоставлять доступ к ПК много. Оно появляется ежеминутно. Достаточно просто погуглить и установить его просто «накликав». Более того, есть сырцы того же vnc, которые скомпилировать сможет и школьник (со своим портом и названием процесса). Таким образом, выбирать «любимчика» (как сказано в статье) — это решение частной задачи, не имеющей никакого отношения к ИБ. Умные «несогласные» выберут редкоиспользуемый софт, на который никто не обратит внимание. Кстати, известный софт удаленного доступа более безопасен (с точки зрения его неправомерного использования третьими лицами), нежели кустарные поделки.
Кроме того, сейчас большое количество ПО имеет или может иметь встроенный функционал удаленного доступа. Банальный пример — хром. Сейчас скайп позволяет демонстрировать свой рабочий стол. А кто гарантирует, что при обновлении версии скайпа не станет доступна возможность управлять этим столом? А тот же зум?
Один из главных механизмов обеспечения безопасности это административные меры. Кроме шуток. А для того, чтобы люди относились к этому серьезно — есть механизм контроля по выполнению этих мер. Это мониторинг. После нескольких разговоров с руководством, «неспрошальщики» перестанут делать глупости.
ps блокировать по ip это плохой вариант, т.к. anydesk может в любое время что-то поменять в своей cdn а вы потом будете искать — почему не открывается какая-то менюшка рабочего сайта
Смотрите, статья соответствует теме (хотя ProcessMonitor-ом и скриптом это бы нашлось быстрее и универсальнее). А вот комментарии говорят о том, что не все понимают, что это не механизм обеспечения запрета удаленного доступа. Это частная задача. Невозможно техническими средствами гарантированно ограничить удаленный доступ к своему ПК в обычной корпоративной сети* *(без dlp и прочего).
Количество стороннего ПО, которое может предоставлять доступ к ПК много. Оно появляется ежеминутно. Достаточно просто погуглить и установить его просто «накликав». Более того, есть сырцы того же vnc, которые скомпилировать сможет и школьник (со своим портом и названием процесса). Таким образом, выбирать «любимчика» (как сказано в статье) — это решение частной задачи, не имеющей никакого отношения к ИБ. Умные «несогласные» выберут редкоиспользуемый софт, на который никто не обратит внимание. Кстати, известный софт удаленного доступа более безопасен (с точки зрения его неправомерного использования третьими лицами), нежели кустарные поделки.
Кроме того, сейчас большое количество ПО имеет или может иметь встроенный функционал удаленного доступа. Банальный пример — хром. Сейчас скайп позволяет демонстрировать свой рабочий стол. А кто гарантирует, что при обновлении версии скайпа не станет доступна возможность управлять этим столом? А тот же зум?
Один из главных механизмов обеспечения безопасности это административные меры. Кроме шуток. А для того, чтобы люди относились к этому серьезно — есть механизм контроля по выполнению этих мер. Это мониторинг. После нескольких разговоров с руководством, «неспрошальщики» перестанут делать глупости.
ps блокировать по ip это плохой вариант, т.к. anydesk может в любое время что-то поменять в своей cdn а вы потом будете искать — почему не открывается какая-то менюшка рабочего сайта
Достойный комментарий внимательного человека! Я просто поделился некоторыми соображениями, бегло перед своими действиями посерфив инет. Был бы адекватный для меня рецепт, мне не нужно было бы «играться» — проблем и так хватает. Анализ, соображение
, дейстивие. Про печальный опыт блокировки могу поделиться, как-то блокируя ссылки вредоносных сайтов дошли мы до серверов amazon, и сразуже вылезли прблемы с Viber-ом. Нет абсолютных вариантов решения проблем, это как игра в шашки, раз-два и ты ничего не понял как это получилось (и проиграл:)… Шахматы отдадим почтовым системам.
, дейстивие. Про печальный опыт блокировки могу поделиться, как-то блокируя ссылки вредоносных сайтов дошли мы до серверов amazon, и сразуже вылезли прблемы с Viber-ом. Нет абсолютных вариантов решения проблем, это как игра в шашки, раз-два и ты ничего не понял как это получилось (и проиграл:)… Шахматы отдадим почтовым системам.
NGFW вам в помощь.
А что мешает использовать прокси (например SQUID), и в нем запретить хождение напрямую по ip, вместо имени сайта? Именно так я и блокировал и этот AnyDesk и тот же Teamviewer.
Настройте через GPO разрешенные/запрещенные приложения, в конце концов можно и ФВ в винде по app настроить. Решение выглядит как костыль, смазанный коричневым.
и так все нервные и если в чем-то «усекать» права можно стать причиной мирового кризиза, да костыль — на производительности сети не сказывается, мне лично вспоминается идея Льва Тольстого про дубину против шпаги. Ребя Вы эстеты, потому что можете себе это позволить! Не нужно говорить что GPO спасет мир, это удобый инструмент, но по протоколу у меня не входят ноуты в доменную сеть, и думайте теперь как быть.
подымаем впн на промежуточный хост с которого руководим процессом, трафик шифруем c анти dpi. При очень большом желании используя DDNS и хост с выходом на какого нибудь мобильного оператора, можно дополнить список заблокированных ip парой миллионов адресов :-). Т.е. чисто технически проблема не решается. А что делать если чел, вообще свой телефон с модемом прикрутит и проксик подымет, чтоб только трафик тимвьюва шел через телефон?
спасибо всем за внимание, прошу отметить что были изложены лишь соображения о наблюдении за сервисом, закрыть все нельзя, можно лишь затруднить нерекомендумые действия для пользователя
Попробуйте pfsense + pfblocker или pi-hole\adguard home
Про pfsense и не только — forum.netgate.com/topic/120102/proxmox-ceph-zfs-pfsense-и-все-все-все/
Зы. Для блокировки по ДНС достаточно завернуть все dns запросы от клиентов на адрес pfsense. И уже на нем запрещать доступ. Но остается вопрос с DoH.
Про pfsense и не только — forum.netgate.com/topic/120102/proxmox-ceph-zfs-pfsense-и-все-все-все/
Зы. Для блокировки по ДНС достаточно завернуть все dns запросы от клиентов на адрес pfsense. И уже на нем запрещать доступ. Но остается вопрос с DoH.
норм статья. но конкретно с AnyDesk'ом так заморачиваться не обязательно.
У них для этих целей выделено специальное доменное имя:
relays.net.anydesk.com
оно резолвится в 391 ip-адрес специально чтобы нам удобнее было блокировать работу Anydesk'а))
У них для этих целей выделено специальное доменное имя:
relays.net.anydesk.com
оно резолвится в 391 ip-адрес специально чтобы нам удобнее было блокировать работу Anydesk'а))
В 2022 попробовал - уже не резолвится.
Нашел так - https://www.virustotal.com/gui/domain/relays.net.anydesk.com/relations
А почему вы для ip-адресов AnyDesk прописывали несуществующий маршрут, а не добавляли блокирующее правило дла фаерволла (netsh..)?
сути процесса не меняет,
но моя причина чисто "религиозная": как только начинаются проблемы на машине сразу освобождайся от антивируса и файрвола :) - это нормальные условия для тестирования.
история с маршрутами более топорная НО рабочая,
кстати прикладная программа может себя в файрволе добавлять в исключения, тем более программа такой направленности (+ проблема моей лени + и тимвиер я так "шлепал" и сбросить если что все маршруты могу до адекватного состояния)
Кстати, не знаете как в Windows из консоли добавить программу в исключения системного фаерволла? Можно в личку.
netsh advfirewall firewall add rule name="My Application" dir=in action=allow program="C:\MyApp\MyApp.exe" enable=yesвзято с самого.... https://docs.microsoft.com/ru-ru/troubleshoot/windows-server/networking/netsh-advfirewall-firewall-control-firewall-behavior
думаю с action Вы разберетесь.......
применение подобного это хороший прикладной уровень, кстати сейчас всех присаживают на PowerShell - меньше неожиданностей,
а системные утилиты уже делают из версии в версию несовместимыми, соотвенно если программа написана "правильно" можно незаметно ядро подменить программе, и она ничего не почувствует.
А наши хитрости - это заплатки на тонущем корабле - эффективные, но не для каждых.
Sign up to leave a comment.
Анализ возможности блокировки приложения для удаленного управления компьютером по сети, на примере AnyDesk