По вашей ссылке https://blog.haschek.at/tools/bomb.php?bombme=true gzip размером 1.7Гб а не 10 Гб.
И наверно лучше сжимать командой gzip с параметром --best
Учитывая срок жизни принтеров, скорее всего большенство обновились и обзавелись Ethernet/Wi-Fi без хост-компьютеров.
Я вашу точку зрения услышал, спасибо за общение.
Думаю не стоит больше продолжать плодить ветки комментариев.
Я в курсе, что банкоматы до сих пор работают на Windows XP, при том не все на Embeded версии.
Те терминалы которые мне удалось изучить, обновляются безопасно, с проверкой сертификатов. Даже обычные пополнялки.
По умолчанию используют сеть VPN по 3G, при том порты по VPN все доступны.
Никто к ним не подключает ноутбуки обслуживающего персонала.
И банальным блоком портов могли избежать заражения WannaCry например.
Ваше право со мной не соглашаться.
И вместо множества вопросов лучше бы изложили свою точку зрения сразу.
Думаю вы переоцениваете профессиональность вирусов.
В свое время 95% вирусов, что инфицировались через флешки, можно было нейтрализовать банальным созданием папки autorun.inf
Это само собой не тот уровень, но если вирус должен занимать в два раза больше кода, чтобы сканировать порты, идентифицировать протоколы и тд., а даст он только +5% больше заражений, то скорее всего этот код писать не будут.
Суть всего что я написал в том, что любая защита — это борьба с вероятностью взлома, которую можно и нужно понижать любыми способами.
Это само собой не облегчает жизнь админам, но бизнес многих компаний мог бы сейчас не страдать, если б малварь запнулась на любом нарушении сценария.
Я уже третий раз вам говорю что ни разу не упоминал блокировку доступа к серверам ни к интернету.
И третий раз вам скажу что имел ввиду ограничение доступа к портам между локальными компьютерами в корпоративной сети.
И отвечу на ваш вопрос. Между сервером и клиентской машиной не должно быть ни больше ни меньше открытых портов чем используются в поставленных задачах.
Между софтом терминала и сервером не должно быть никаких коммуникаций кроме запросов через внутреннее API, будь то обновление софта, либо запрос данных.
Согласитесь, вероятность найти эксплойт в неизвестном API меньше чем в протоколах ОС.
Зачем упрощать жизнь малвари позволяя, неиспользуемый в задачах, трафик между машинами?
При наличии дыр, а вероятность, что их можно найти всегда есть, в будущем блокировка портов может снизить диапазон заражения.
К примеру терминалы, банкоматы, бигборды, все в одной сети своей компании могли избежать атаки WannaCry только лишь правильной настройкой роутеров.
Я ни разу не говорил о блокировке серверов, я имел ввиду ограничения только между компьютерами в локальной сети.
Задача хорошего админа создать нестандартное окружение сети и установка на офисные машины нестандартного софта, в котором будет сложно составить сценарий заражения вирусом.
Все порты включая порт SQL сервера должны быть нестандартными, зачем делать жизнь зловредов легче?
Есть вероятность что многие машины еще не обновили.
Еще ходят слухи что все это работает похожим образом как WannaCry, и работает на последних обновлениях Windows 10. Так что у меня только слухи и подсчет вероятностей возможного сценария.
Блокировка портов внутри локальной сети обосновано безопаснее, так как в будущем могут найти похожие эксплойты.
Возможно все эти компьютеры уже были заражены до WannaCry, потом обновлены, но у хакеров остался доступ, а только теперь запустили сеть.
Вероятность того, что админы сети следят за аномальным локальным трафиком, близится к нулю.
Защититься от неизвестного эксплойта сетевого протокола невозможно.
А от фишинговой атаки подозрительными файлами проще.
Почему вы считаете что блокировать зловреду прямой доступ к портам всех 1000+ локальных машин бесполезно?
Фишинговая атака исполняется долго, да и могли прочитать новости и перестать запускать что-либо.
В случае если все порты открыты, то заражение 1000+ машин будет осуществлено за 10 минут.
Текущий сценарий:
1) Один из 1000+ компьютеров компании запустил PDF файл
2) Он разослал всем из адресной книги свою копию, может кто запустит, кто нет, почитают новости и не заразятся.
3) Он прозвонил 1000+ машин и заразил все через эксплойты сетевых протоколов в течении 10 минут
Сценарий если внутри сети все порты заблокированы:
1) Один из 1000+ компьютеров компании запустил PDF файл
2) Он разослал всем из адресной книги свою копию, может кто запустит, кто нет, почитают новости и не заразятся.
3) Он прозвонил 1000+ машин, а порты то закрыты, и заразились на 1000+ машин меньше
Почитайте еще раз, я не говорил о ограничениях доступа в интернет, только между локальными машинами.
Пусть заразится один через PDF файл, с изоляцией портов не сможет использовать никакие эксплойты, чтобы заражать других по локальной сети.
Можно смело перейти с SMB на FTP, чем больше не стандартных методов выполнения стандартных задач, тем меньше шансов попасть под сценарий вируса.
О блокировке почты и меседжеров я не говорил, интернет можно вообще не ограничивать, так как фаерволы и политики ограничения пользователя защищают от случайных запусков подозрительных программ.
Ограничить надо только видимость локальных машин между собой, ну и проброс портов на внешние ІР адреса под запретом.
Это была крупная компания 1000+ машин, с последними обновлениями лицензионного Windows, настроенным файрволом, порезанными правами для юзеров
Чего ж такие крупные компании не позаботились о настройке роутеров на изоляцию машин внутри локальной сети?
Им бы только доступ в интернет и порт для принтера видеть достаточно.
И наверно лучше сжимать командой gzip с параметром --best
Я вашу точку зрения услышал, спасибо за общение.
Думаю не стоит больше продолжать плодить ветки комментариев.
Те терминалы которые мне удалось изучить, обновляются безопасно, с проверкой сертификатов. Даже обычные пополнялки.
По умолчанию используют сеть VPN по 3G, при том порты по VPN все доступны.
Никто к ним не подключает ноутбуки обслуживающего персонала.
И банальным блоком портов могли избежать заражения WannaCry например.
И вместо множества вопросов лучше бы изложили свою точку зрения сразу.
Думаю вы переоцениваете профессиональность вирусов.
В свое время 95% вирусов, что инфицировались через флешки, можно было нейтрализовать банальным созданием папки autorun.inf
Это само собой не тот уровень, но если вирус должен занимать в два раза больше кода, чтобы сканировать порты, идентифицировать протоколы и тд., а даст он только +5% больше заражений, то скорее всего этот код писать не будут.
Суть всего что я написал в том, что любая защита — это борьба с вероятностью взлома, которую можно и нужно понижать любыми способами.
Это само собой не облегчает жизнь админам, но бизнес многих компаний мог бы сейчас не страдать, если б малварь запнулась на любом нарушении сценария.
Если вы не понимаете в чем суть моих комментариев, то прошу задавать прямые вопросы без сарказма.
И третий раз вам скажу что имел ввиду ограничение доступа к портам между локальными компьютерами в корпоративной сети.
И отвечу на ваш вопрос. Между сервером и клиентской машиной не должно быть ни больше ни меньше открытых портов чем используются в поставленных задачах.
Между софтом терминала и сервером не должно быть никаких коммуникаций кроме запросов через внутреннее API, будь то обновление софта, либо запрос данных.
Согласитесь, вероятность найти эксплойт в неизвестном API меньше чем в протоколах ОС.
Зачем упрощать жизнь малвари позволяя, неиспользуемый в задачах, трафик между машинами?
Не сегодня так завтра…
Безопасный софт (какой бы ни был, ось или сервер протокола) не тот, в котором нет дыр, а тот в котором их никогда не найдут ©.
При наличии дыр, а вероятность, что их можно найти всегда есть, в будущем блокировка портов может снизить диапазон заражения.
К примеру терминалы, банкоматы, бигборды, все в одной сети своей компании могли избежать атаки WannaCry только лишь правильной настройкой роутеров.
Задача хорошего админа создать нестандартное окружение сети и установка на офисные машины нестандартного софта, в котором будет сложно составить сценарий заражения вирусом.
Все порты включая порт SQL сервера должны быть нестандартными, зачем делать жизнь зловредов легче?
Еще ходят слухи что все это работает похожим образом как WannaCry, и работает на последних обновлениях Windows 10. Так что у меня только слухи и подсчет вероятностей возможного сценария.
Блокировка портов внутри локальной сети обосновано безопаснее, так как в будущем могут найти похожие эксплойты.
Возможно все эти компьютеры уже были заражены до WannaCry, потом обновлены, но у хакеров остался доступ, а только теперь запустили сеть.
Вероятность того, что админы сети следят за аномальным локальным трафиком, близится к нулю.
А от фишинговой атаки подозрительными файлами проще.
Почему вы считаете что блокировать зловреду прямой доступ к портам всех 1000+ локальных машин бесполезно?
В случае если все порты открыты, то заражение 1000+ машин будет осуществлено за 10 минут.
1) Один из 1000+ компьютеров компании запустил PDF файл
2) Он разослал всем из адресной книги свою копию, может кто запустит, кто нет, почитают новости и не заразятся.
3) Он прозвонил 1000+ машин и заразил все через эксплойты сетевых протоколов в течении 10 минут
Сценарий если внутри сети все порты заблокированы:
1) Один из 1000+ компьютеров компании запустил PDF файл
2) Он разослал всем из адресной книги свою копию, может кто запустит, кто нет, почитают новости и не заразятся.
3) Он прозвонил 1000+ машин, а порты то закрыты, и заразились на 1000+ машин меньше
Пусть заразится один через PDF файл, с изоляцией портов не сможет использовать никакие эксплойты, чтобы заражать других по локальной сети.
О блокировке почты и меседжеров я не говорил, интернет можно вообще не ограничивать, так как фаерволы и политики ограничения пользователя защищают от случайных запусков подозрительных программ.
Ограничить надо только видимость локальных машин между собой, ну и проброс портов на внешние ІР адреса под запретом.
Чего ж такие крупные компании не позаботились о настройке роутеров на изоляцию машин внутри локальной сети?
Им бы только доступ в интернет и порт для принтера видеть достаточно.