Блин, ну вы даёте.. PT NGFW ставите, выделяете контур, правила настраиваете и хоть там по FTP файлы передавайте. Устаревшие протоколы всегда будут и мир не стоит на месте. То, что надёжное сегодня завтра уже с Zerologonом. На знамя вешать отключение всего устаревшего - хорошая идея, но и затратная и во многих случаях не оправданная. Жесткие ограничения для старых систем - это ок. Я поэтому и интересовался на какие компании ваша база рассчитана..
Ну. Вы прикидываетесь человеком, который не видел японские рикоши с куасерами и хероками, которые нас с вами переживут и будут по SMB1 файлы класть на сервер. Просто сервер надо укрепить и сделать передаточным звеном к более безопасному.
Есть ли у вас данные как много обычных компаний готовы платить хорошие деньги за безопасников, решения для них и развитие их компетенций?.. Рост количества вакансий - всего лишь показатель, что компании начинают что-то понимать, но ценники то в большинстве вакансий смешные. Более того, большинство компаний думают, что если уж есть в штате безопасники, то более ничего не требуется.. А оказывается, что какие то криптошлюзы за оченьмного рублей нужны и такие же дешевые системы по 3-4 буквы (DLP, WAF, EDR, NGFW, SIEM)..и если копнуть глубже то вовсе на каждую систему по 2 человека минимум.. Это чувствуется как какие то пустые расходы (пока инцидентов нет). Поэтому очень-очень часто это в лучшем случае отдают на аутсорс (интеграторам ;) ), который до факапа что-то делает, а после него меняется на другого.
Если кот - отшельник, то точно покатит. Так то котейки - это не только потребитель корма и источник какашек, но и ценный мех! Обычно им внимания всё-таки не хватает :'(
Закапывал, и не один, но ровно тогда, когда бюджет соответствовал. О чём, собственно я вам и пишу... Использовать корпоративную инфраструктуру для обеспечения безопасности в маленькой компании не получится - это реальность.
Да, а от прилетевшего трафика по попытке перебора паролей сертификаты не спасают и как итог в вашей схеме - тормоза в сессиях у удалёнщиков либо вовсе отказ в обслуживании. В вашу связку нужно одно звено минимум добавить, которое будет "отсекать плохих", если уж корпоративно так всё. Сертификаты вы тоже попробуйте настроить в односерверной конфигурации - то ещё развлечение. Велосипеды могут сколько угодно быть странными и небезопасными, но они работают и на них ездят иначе они были бы не востребованы.
Потенциально и у терминального сервера может быть зиродэй дыра. Даже с халёными сертификатами. Ботнетов, которые ковыряют апач на нестандартном порту пока не видел. Да и дописать в скрипт защиту от трёх 404 за 10 минут - не проблема.
Мне искренне жаль, что вы стали жертвой маркетологов. Распишете, пожалуста, на пальцах чем подход "Подключиться с сретификатом под Win11" особо "безопасней и лучше" варианта, описанного мной ниже (открытие порта через веб и подключение с самоподписанным сертификатом)?
Это нужно в Сколково за грантом :)
Блин, ну вы даёте.. PT NGFW ставите, выделяете контур, правила настраиваете и хоть там по FTP файлы передавайте. Устаревшие протоколы всегда будут и мир не стоит на месте. То, что надёжное сегодня завтра уже с Zerologonом. На знамя вешать отключение всего устаревшего - хорошая идея, но и затратная и во многих случаях не оправданная. Жесткие ограничения для старых систем - это ок. Я поэтому и интересовался на какие компании ваша база рассчитана..
=) это лишь вопрос вашего опыта)) у меня есть 2 гроба рикошей, которые с 2006 года трудятся))))
Ну. Вы прикидываетесь человеком, который не видел японские рикоши с куасерами и хероками, которые нас с вами переживут и будут по SMB1 файлы класть на сервер. Просто сервер надо укрепить и сделать передаточным звеном к более безопасному.
Рациональное зерно в статье есть, безусловно. Просто в ИБ так получается, что либо вы конкретику качественную делаете, либо холиварите.
Он как Сатья - сам пожил, и делится принципом обхода граблей :) Ничего не навязывает.. просто всем говорит, что это - база.
Достаточно будет покрыть админов для начала :)
Будет? Т.е. нет таких компаний?
Капец захоливарили вы :) штат IT и штат ИБ интересно глянуть у такой компании, где такая база :)
Есть ли у вас данные как много обычных компаний готовы платить хорошие деньги за безопасников, решения для них и развитие их компетенций?.. Рост количества вакансий - всего лишь показатель, что компании начинают что-то понимать, но ценники то в большинстве вакансий смешные. Более того, большинство компаний думают, что если уж есть в штате безопасники, то более ничего не требуется.. А оказывается, что какие то криптошлюзы за оченьмного рублей нужны и такие же дешевые системы по 3-4 буквы (DLP, WAF, EDR, NGFW, SIEM)..и если копнуть глубже то вовсе на каждую систему по 2 человека минимум.. Это чувствуется как какие то пустые расходы (пока инцидентов нет). Поэтому очень-очень часто это в лучшем случае отдают на аутсорс (интеграторам ;) ), который до факапа что-то делает, а после него меняется на другого.
Если кот - отшельник, то точно покатит. Так то котейки - это не только потребитель корма и источник какашек, но и ценный мех! Обычно им внимания всё-таки не хватает :'(
[offtop]Я вообще 2 раза страницу обновлял - думал стили не догрузились :)[/offtop]
Только тут товарищу майору :)
Да просто в исключения добавить нужные имена файлов/сигнатуры и всё..
Спасибо! После прикрытия WG и OVPN очень полезная статья :)
/бубнит Лучше бы нормальные bitrix модули для СБП и интернет-эквайринга своего же сделали...
Закапывал, и не один, но ровно тогда, когда бюджет соответствовал. О чём, собственно я вам и пишу... Использовать корпоративную инфраструктуру для обеспечения безопасности в маленькой компании не получится - это реальность.
Да, а от прилетевшего трафика по попытке перебора паролей сертификаты не спасают и как итог в вашей схеме - тормоза в сессиях у удалёнщиков либо вовсе отказ в обслуживании. В вашу связку нужно одно звено минимум добавить, которое будет "отсекать плохих", если уж корпоративно так всё. Сертификаты вы тоже попробуйте настроить в односерверной конфигурации - то ещё развлечение. Велосипеды могут сколько угодно быть странными и небезопасными, но они работают и на них ездят иначе они были бы не востребованы.
Потенциально и у терминального сервера может быть зиродэй дыра. Даже с халёными сертификатами. Ботнетов, которые ковыряют апач на нестандартном порту пока не видел. Да и дописать в скрипт защиту от трёх 404 за 10 минут - не проблема.
Мне искренне жаль, что вы стали жертвой маркетологов. Распишете, пожалуста, на пальцах чем подход "Подключиться с сретификатом под Win11" особо "безопасней и лучше" варианта, описанного мной ниже (открытие порта через веб и подключение с самоподписанным сертификатом)?