Да, запускать такие сервисы на клиентской машине мы никогда не будем. Конечный пользователь должен сам принять решение.
Практика показывает, что конечный пользователь ложит болт на все эти мероприятия по защите. Поэтому я поставил эту утилиту на несколько бухгалтерских машин, у которых наружу торчит RDP и горя не знаю.
Как человек писал выше, если твоя лампочка начала брутить твой сервер, ты просто на свой сервер по RDP не войдешь.
Для такого случая IP адреса внутренней сети можно записать в white list.
Ну а вообще — если в вашей внутренней сети уже работает бот / малварь, то перебор RDP паролей — это уже ваша не самая большая проблема.
Это как в том анекдоте:
— У нас дыра в безопасности!
— Ну хоть что-то у нас в безопасности.
Я посмотрел вашу утилиту на Гитхабе.
Получается, что она не работает, как сервис, а требует, чтобы админ запускал эти команды, что-то там соображал.
Я себе поставил вот эту утилиту, работает как сервис, всё делает сама на полном автомате: github.com/digitalruby/ipban
Отслеживает несколько зафейленных логинов, а добавляет IP в firewall.
[ElasticSearch] также может хранить и искать видео и изображения.
Первый раз слышу, что Elastic может использоваться для хранения видео и картинок.
Всегда думал, что Elastic — это для текстовых / числовых (логи/метрики) данных.
Что, правда кто-то использует Elastic для хранения картинок?
блокирование IP — в случае серьезных противников может быть бесполезным, а то и опасным.
Что-то слишком много маркетинкового шлака в статье.
И тем более это сложно, если IP специально скрывается.
Как можно скрыть IP адрес? Автор вообщем понимает что он пишет? Прям какое-то новое слово в администрировании сетей.
К тому же блокировка отдельных IP на сервере Windows — не такая уж простая задача.
Сложно? Ставим вот эту open source утилиту: github.com/digitalruby/ipban
Инсталлируется одной командой PowerShell'a. И всё работает из коробки.
И получается вот так (это мой опыт):
Как по мне — то это пример write-only кода. То есть такого кода, который можно написать, но прочитать (и понять) уже практически никто не может, зачастую даже и сам автор.
Также в статье не упомянут Filebeat. Не знаю, насколько он лучше/хуже чем Fluent Bit, но в последнее время Elastic добавили туда фишек именно для работы с Kubernetes. У Filebeat есть удобные фильтры и настройки для вытягивания логов из контейнеров.
Я сам Kubernetes не использую, но использую Docker, чтобы хостить сайты разных фрэйморках на одном хосте. Использую связку FileBeat + MetricBeat + AuditBeat => Elastic => Kibana.
Всё работает, не хватает только дэшбоардов в Кибана из коробки, приходится самому немного допиливать.
мне вот тоже иногда интересно запустить виртуалку с аккаунтом типа root:test
И посмотреть как её ломают.
Но вот страшновато немного потому что взломанная машина даёт хакеру доступ к локальной сети, на что я не готов.
А изолировать локальную сеть от виртуалки мой домашний роутер не умеет.
Кто-нибудь знает как это можно сделать по простому?
у нас есть так называемый стандарт доверенного пользовательского устройства, который применяется к любому ноутбуку, смартфону или планшету, который подключается к нашей инфраструктуре. Независимо от того, является это устройство корпоративным или выданным.
Если устройство выданное, то оно — не корпоративное? А если корпоративное — то не выданное?
Или имеется в виду BYOD, то есть что можно подключаться со своих личных устройств? Если да — то каким образом устройство становится доверенным? На него надо ставить ваш админский софт? Или собирать MAC и отсылать службе безопасности, чтобы они добавили в «белый список»?
Удаленное подключение напрямую к рабочему месту использовать противопоказано.
Мне вот интересно, почему в RDP постоянно находят дыры?
Что — сам протокол такой сложный? кривой?
Вот SSH — казалось бы некоторый аналог. У SSH бывает устаревают шифры, бывает находят путь повысить привилегии после логина, но что-то не припомню уязвимостей уровня «не нужен даже пароль».
Практика показывает, что конечный пользователь ложит болт на все эти мероприятия по защите. Поэтому я поставил эту утилиту на несколько бухгалтерских машин, у которых наружу торчит RDP и горя не знаю.
Для такого случая IP адреса внутренней сети можно записать в white list.
Ну а вообще — если в вашей внутренней сети уже работает бот / малварь, то перебор RDP паролей — это уже ваша не самая большая проблема.
Это как в том анекдоте:
— У нас дыра в безопасности!
— Ну хоть что-то у нас в безопасности.
Получается, что она не работает, как сервис, а требует, чтобы админ запускал эти команды, что-то там соображал.
Я себе поставил вот эту утилиту, работает как сервис, всё делает сама на полном автомате:
github.com/digitalruby/ipban
Отслеживает несколько зафейленных логинов, а добавляет IP в firewall.
Первый раз слышу, что Elastic может использоваться для хранения видео и картинок.
Всегда думал, что Elastic — это для текстовых / числовых (логи/метрики) данных.
Что, правда кто-то использует Elastic для хранения картинок?
Что-то слишком много маркетинкового шлака в статье.
Как можно скрыть IP адрес? Автор вообщем понимает что он пишет? Прям какое-то новое слово в администрировании сетей.
Сложно? Ставим вот эту open source утилиту: github.com/digitalruby/ipban
Инсталлируется одной командой PowerShell'a. И всё работает из коробки.
И получается вот так (это мой опыт):
Больше подробностей вот здесь:
habr.com/ru/post/487056
www.elastic.co/guide/en/beats/filebeat/master/filebeat-input-syslog.html
Недавно наткнулся на Alerting от OpenDistro — может быть интересно, возможно буду пробовать на следующем проекте:
opendistro.github.io/for-elasticsearch-docs/docs/alerting
Также в статье не упомянут Filebeat. Не знаю, насколько он лучше/хуже чем Fluent Bit, но в последнее время Elastic добавили туда фишек именно для работы с Kubernetes. У Filebeat есть удобные фильтры и настройки для вытягивания логов из контейнеров.
Я сам Kubernetes не использую, но использую Docker, чтобы хостить сайты разных фрэйморках на одном хосте. Использую связку FileBeat + MetricBeat + AuditBeat => Elastic => Kibana.
Всё работает, не хватает только дэшбоардов в Кибана из коробки, приходится самому немного допиливать.
Получается возможность патчить ядро — это доступно только за $$?
Или есть бесплатные варианты?
Я искал варианты решений. Есть много сайтов, которые предлагают сделать это за $$$, но например как прикрутить 2FA к Windows я так и не нашёл.
С порт-кнокингом тоже было бы зачётно, но и тут: простых и понятный решений не нашёл.
Так что, реквестирую статью на Хабре на этим темам.
Своим опытом с RDP я уже делился вот тут:
habr.com/ru/post/487056
www.elastic.co/blog/ingesting-metrics-securely-elastic-stack-role-based-access-control-rbac
Не уверен про «с шифрацией пароля в конфиг файле»
И ещё одна их статья по теме:
www.elastic.co/blog/elastic-siem-for-small-business-and-home-2-securing-cluster-access
Вот только лицензия не такая открытая, как у open distro от Amazon.
А по возможностям Elastic намного круче open distro от Amazon.
И посмотреть как её ломают.
Но вот страшновато немного потому что взломанная машина даёт хакеру доступ к локальной сети, на что я не готов.
А изолировать локальную сеть от виртуалки мой домашний роутер не умеет.
Кто-нибудь знает как это можно сделать по простому?
А сегодня ребятя из Докера уже написали статью, в которой говорят, что они вовсю тестируют докер с WSL 2:
www.docker.com/blog/how-we-test-docker-desktop-with-wsl-2
Я смотрю, что оригинал был написал больше года назад. Сам Докер за это время не научился в WSL нативно?
Пытаюсь понять вот это предложение:
Если устройство выданное, то оно — не корпоративное? А если корпоративное — то не выданное?
Или имеется в виду BYOD, то есть что можно подключаться со своих личных устройств? Если да — то каким образом устройство становится доверенным? На него надо ставить ваш админский софт? Или собирать MAC и отсылать службе безопасности, чтобы они добавили в «белый список»?
Мне вот интересно, почему в RDP постоянно находят дыры?
Что — сам протокол такой сложный? кривой?
Вот SSH — казалось бы некоторый аналог. У SSH бывает устаревают шифры, бывает находят путь повысить привилегии после логина, но что-то не припомню уязвимостей уровня «не нужен даже пароль».
Что не так с RDP?