• Реализация honeypot на маршрутизаторах Cisco
    0
    Возраст обсуждаемого подхода гораздо больше возраста fail2ban. Софт этот аж в 2006 появился, вроде по его хистори.
    Кстати, самый главный вопрос — а в чем тут honeypot-ость? Все же это вполне устоявшийся термин, который подразумевает несколько более широкий функционал и несколько даже иной.
    Ничего не эмулируется, самое главное — никакой содержательной информации о методах взлома и тактике злоумышленника не соберешь. Это простейшая IPS с простейшими правилами. Типа снорта, только с тремя-четырьмя правилами :) Но снорт ни разу ни хонипот.
  • Реализация honeypot на маршрутизаторах Cisco
    0
    Вроде в статье этого нет. Но пусть будет. Вы столкнетесь с необходимостью компромисса между защитой control plane, что бы ЦПУ чрезмерно не поплохело и потерями записей в журнале. И так это костыль, а с этими оговорками совсем ставится под вопрос целесообразность таких танцев. А еще, если это вдруг железо, где АЦЛ работают не на ЦПУ общего назначения, а аппаратно, благодаря TCAM-ресурсу, можно нашлепать этих правил, что TCAM исчерпается. Да, можно постараться везде подстраховаться и все предусмотреть, но выглядит это для продакшна не айс.
    Вся ценность статьи в примере парсинга, за это спасибо. А сам подход из мира линукса и микротиков. Так еще лет двадцать назад делали с логами иптаблеса, парсили перлом, наполняли цепочки… Старые песни о главном, короче.
  • Реализация honeypot на маршрутизаторах Cisco
    0
    Для некоторых роутеров логи дневные составляют десятки и сотни мегабайт чистого текста, а строк блокировок может быть десятки и сотни тысяч. Хороший вырисовывается сценарий для DOSа на железку с подобной педалью.
  • Зачем выставлять в Интернет интерфейс управления или атака на Cisco Smart Install
    0
    И кстати, про те же l3 свичи. Если брать за аналогию ssh, telnet, https и проч., что можно заюзать для удаленного администрирования — по умолчанию, по крайней мере, это доступно с ип любого l3 интерфейса. Ну, на тех свичах, что я сталкивался, может это не универсально.
    С 4786 портом, думаю, аналогично. И тогда уже несколько понятней, откуда именно в инете оказывается столько уязвимых устройств, вовсе не от того, что в инет выставляют голой ж… vlan1 или лупбэк, используемый для администрирования.
  • Зачем выставлять в Интернет интерфейс управления или атака на Cisco Smart Install
    0
    Кстати, по поводу заголовка статьи. А точно ли это касается только интерфейсов управления? На l2 устройствах — понятно, это vlan1 и в нормальной ситуации ни пользователям ни кому-то еще он доступен быть не должен (как минимум — напрямую, т.е. в сегменте vlan1 не должно быть клиентов, каналов и т.п.)
    А вот так слушается искомый порт на l3 свиче, например. Сдается мне, что с любого пользовательского влан-а это доступно, если не закрыто ацл-ем. И если это так и почему-то не отключается, то ацл надо вешать на все интерфейсы, причем так формировать ацл, что бы не навредить лигитимному трафику, где порт 4786 — это, допустим, порт источника, т.е. порт, с которого происходит тсп-коннект, а не порт конечного сервиса, к которому происходит подключение.

    sh tcp brief all
    TCB Local Address Foreign Address (state)
    0443E2DC *.4786 *.* LISTEN
    0552D460 *.443 *.* LISTEN
  • Украина подверглась самой крупной в истории кибератаке вирусом Petya
    –2
    Вот пристали вы со своим синдромом вахтера. Улыбаюсь. Не в тему, ну не в тему этот образ в данном случае.
    Я не вполне понимаю вашу специфику, поэтому категоричен не буду, в отличие от ваших арбузов, выкатываемых на мое поле. Но даже не вполне понимая, интуитивно догадываюсь и в целом, мне так кажется, ситуацию оценить могу. Подобного много, приходится сталкиваться. Ваш подход мне представляется непрофессиональным, мальчишество какое-то. Что значит надо? Когда это надо стало понятно и известно? Выясняли ли вы заранее эту возможность, давали ли запрос? Ну хотя бы искали выходов на спецов и устно обсуждали это? На лицо наскок, порыв, полет мысли, как, например, в вашей единственной публикации на хабре. Интересной, замечу, но вот этот подход быстро сделать, на коленке, зато ловко придумано — за версту виден. Мой жизненный опыт подсказывает, что все эти ловкачества, даже если работают какое-то время, как временное решение, дорого потом обходятся. Я вас могу понять только в том случае, если вы руководитель, гешефт которого напрямую зависит от того — сдадим, не сдадим, успеем — нет. Тогда понятно. Если вы просто спец по найму — я бы на вашем месте доложил по вертикали власти что препятствует реализации проекта, на кого надо выходить и как правильно формулировать вопрос. А дальше… Дальше пусть искомую находчивость и ловкость проявляют те, кто должен в данном случае. И это правильно. Если они поднапрягутся, найдут прямые контакты и все решат и более того, застолбят это решение, есть хотя бы какая-то надежда, что ваш костыль завтра не сломается от того, что политика оператора в очередной раз изменилась. Вы ткнете в него пальцем и скажете — он все сломал. А он скажет — друзья, а кто вам мешал сделать ПРАВИЛЬНО? Поднимет «архивы» и заявки от вас не найдет. Скажет — да они и заявку не давали. А вы ответите — а нам надо было сразу, а не через… Поверьте, из этих двух сторон вы будете выглядеть бледней. Думаете у меня подобного не возникает, только в других сферах? Опыт показывает, все решаемо или почти все. А иногда надо, ради будущего нормального и правильного функционирования систем где-то чем-то и пожертвовать, а не гнаться за победой любой ценой, типа — не даете прямо, сделаем операцию на глазу через задний проход. Хотя, на вкус и цвет. Если вы жить не можете без того, что бы не устроить везде, где работаете пионернет — это ваше право и ваш выбор. Может от того и карма у вас такая в итоге — работать с заказчиками, где вам приходится оптику подпольно кидать?
  • Украина подверглась самой крупной в истории кибератаке вирусом Petya
    –2
    Мы вроде попрощались? Ну да ладно.

    Я начинал с эникея давно, когда инет у нас был по >=4 р. за мб (а мобильного не было вовсе да и мобильники были далеко не у всех). Все, что только можно увидеть — я видел и все, что можно знать про ухищрения пользователей — я знаю. Ну или почти все, а чего не знаю — догадываюсь. Подо мной сейчас команда эникеев, которые тоже неплохо осведомлены как в результате «прямого контакта» так и благодаря всяким автоматизированным средствам. Вышестоящая над нами условная «пирамида» власти постоянно трясет нас на предмет отчетов в самых разных разрезах как по серверам, так и по раб. станциям. Они нам снятся уже. Смешно читать конец вашего поста, про админов, для которых львиная доля сети не существует.

    1. Локальные шары не нужны. По факту. Большинству пользователей. Для большинства пользователей раб. станция — это тонкий клиент для доступа к удаленным сервисам, провод до ЦОДа и только. Многие тети за 50, поверьте, даже не знают и не поймут вас, что это такое — шара. Зато они виртуозно барабанят в SAPе или 1С. Для снятия стресса можно и в инет. Поискать тур для отпуска. Но есть и действительно нужные задачи. Закупки. Торги. Конкурсы всякие. Отчетность. Соц. сети не приветствуются, но люди пользуются. В итоге все нарушают и все под колпаком, любого можно притянуть. Все это понимают и никто не борзеет в целом. Компромисс и разумное сосуществование. Эксцессы редки.

    Про разработчиков я уже писал. Будут у вас в вашей песочнице и шары и RPC и проч. Все, что вы заявите для вашей работы.

    ТеамВьювера у офисного планктона не будет. Зарезано как по сетке так и мерами уровня хоста. Разными способоами. Обойти можно все теоретически, но это не тот случай. Слишком накладно становится, нет смысла. Можно получить вполне лигитимный удаленный доступ, если это обоснованно и нужно для работы. Никому руки целовать за это не надо будет.

    Устроить шару на внешке можно. И даже некоторые сервисы будут работать. Но мало кто в здравом уме это будет делать. А попадется — лишиться работы, а может и получит юр. преследование. Это никому не надо, поверьте. За работу сейчас держатся. К тому же, если кто-то имеет доступ к чему-то действительно важному, всегда есть способ «унести». Ну, сфоткать в конце-концов экран. Особо важная инфа обычно не весит гигабайты, она компактна. Так что это совсем другой вопрос, он не решается исключительно техническими мерами никогда.

    Неделями ответ от админа ждать не надо. Есть сервис деск. Админу и любому другому ит-специалисту там считается время реакции, время выполнения, есть крайние сроки, уставки временные с предупреждениями, начальники получают по почте варнинги и имеют этих самых ит-спецов за проволынивание работ. Просроченная заявка — это вообще ЧП. Собирать много подписей на заявку, включая подписи СБ нужно только на базовые, основополагающие вещи, типа завести учетку в АД при приеме на работу, обеспечить физически раб. место и т.п.
    Описанные вами вопросы (типа порт открыть, что-то подкрутить) решаются посредством хелпдеска без волокиты, в рабочем порядке, по результатам экспертной оценки ит-специалиста. Как правило в течении дня, максимум двух, если это действительно надо.
    ИТ службе периодически ставится оценка, независимый аудит опрашивает юзеров, анонимно. За плохую оценку итшников имеют. Ну… журят хотя бы :)

    2. Ну плохо, что сказать? Только не надо экстраполировать этот опыт на всех. Хотя, если это элементы критичной инфраструктуры (ваши 5 хостов), пусть даже строго юридически это никак не оформлено, но все понимают, что по факту это оно, возможно, что будет задержка. Как минимум на то, что даже 5 компов надо нанести на схему, продумать подключение со всеми политиками так, что бы потом раз и навсегда и минимально вмешиваться. Если же речь о стенде, временном размещения «на показать» — нет проблем, мешать вам там ничего не будет.

    На счет 700 метров оптики… Блин. Я фигею, дорогая редакция. Да вас там винтить надо было за самоуправство. Видно, тот еще бардак на предприятии. По пром. объекту ходить надо строго по разрешенным маршрутам-дорожкам, посторонним, которые в силу каких-то обстоятельств на объекте оказались — в сопровождении. Как можно что-то кидать куда-то вот просто так… нет слов. Наверняка и ТБ нарушали, на стремянку поди лазали, может работа на высоте была. В общем — полный сюр. Случись какая травма во время этих работ — подсудное дело для ответсвенных лиц.
    Или вы плохо объяснили ваш статус на этом объекте, как вариант.

    Итого, вывод — нормальных сетей корпоративных вы не видели или видели, но не рассмотрели толком. Ну, знакомьтесь, мотайте на ус, т.с. Хотя, например, все что я описал — это норма, в целом постоянно муссируется, что вот незрелые мы, не все в порядке в королевстве. Но читая вас, я начинаю т.с. другими глазами смотреть на свою работу. Прямо аж себе завидовать.
  • Украина подверглась самой крупной в истории кибератаке вирусом Petya
    +1
    Может быть, не исключено… Несколько лет не был на хабре, надо осмотреться, почитать, что интересного было на эту тему.
  • Украина подверглась самой крупной в истории кибератаке вирусом Petya
    +2
    Ну и конечно, не в каждой сети и не у каждого эти исключения есть, иногда более опасные сценарии и решения можно заменить на менее опасные и т.д.
    Когда червь «работает» на основе 0-дай и ему вообще плевать на любые права и прочие формальности, сетевые меры становятся одними из главных и весьма эффективны. Не раз наблюдал, как их вынужденны были временно вводить на лету, разрушая процессы и работу, выбора не было. Уж лучше сеть сразу так построить, что бы большая часть этих мер сразу была заложена, а стиль работы — на эти меры рассчитан. И да, я еще раз скажу — это свойство промсетей, это свойство «корпоратов». Это не домовые сети начала нулевых и пионернеты. Это нормально и это практикуется. И вовсе не синдром вахтера. А как раз «колхозы» и лажатся по поводам, описанным в топике.
  • Украина подверглась самой крупной в истории кибератаке вирусом Petya
    +2
    Конечно, это часть мер и я тоже это упоминал. С контроллерами бывает все плохо, когда они не в твоем подчинении. Про срвера-исключения тоже упоминал. Например это SCCM. Ему надо коннектиться к клиентам, да (оппонент же приводил примеры, которые реально не есть проблема, типа политик и скриптов). Но отсюда никак не следует, что на другие условные 100 серверов можно и нужно забиить, раз один или два мы не можем подвести под эту схему. Для таких серверов должен быть усиленный контроль и усиленные меры другого рода.
  • Украина подверглась самой крупной в истории кибератаке вирусом Petya
    +1
    Спасибо за ликбез.
    Иногда выгодней на подсети не делить, а в рамках больших сетей задавать правила взаимодействия, отсекая ЗАВЕДОМО ненужное, решая попутно массу потенциальных проблем ИБ. Но видно у вас мысленный эксперимент не вытанцовывается никак. Ну да ладно, я вроде уже попрощался. Еще раз всех благ.
  • Украина подверглась самой крупной в истории кибератаке вирусом Petya
    +1
    Хех, не читая этого коммента я вам уже ответил, как оказывается.

    «Вы разработчик? Вы не сидите с этими 1000+ пользователями в одном сегменте и не испытываете проблем в своих тестах, вам обеспечена нужная свобода для маневра. Вот что тут можно не понять?»

    Перевоспитывать меня не надо. Я для этого староват да и на самовоспитание потратил много времени. Мой результат мне дорого.
    Всех благ.
  • Украина подверглась самой крупной в истории кибератаке вирусом Petya
    0
    Читайте выше. Не охватывается как-то у вас решения, присущие корпоративным сетям, в т.ч. промышленным. И кстати, сужу не по одной своей. Все же просто. ~1000 юзеров офисной направленности? Все, что написал IGHOR верно. Доступ в ЦОДы, серверные сегменты, возможно — в инет. Полная изоляция между собой. АСУТП у вас есть? Через файрволы, шлюзы-посредники и проч. средства стык с ЛВС, допустим, внутри АСУТП несколько иные подходы, это нормально. Вы разработчик? Вы не сидите с этими 1000+ пользователями в одном сегменте и не испытываете проблем в своих тестах, вам обеспечена нужная свобода для маневра. Вот что тут можно не понять? Я недоумеваю. Или у вас завод на десять машин? Тогда да, там можно попроще все, наверное. И сервер к ним в сегмент. На неуправляемый свич.
  • Украина подверглась самой крупной в истории кибератаке вирусом Petya
    +2
    Да, вы видно просто не админ. Сегменты большие, есть такие, где много разрешено. RPC ходит в НУЖНЫХ направлениях. В сегментах на сотни машин взаимодействие между ними полностью запрещено (PACL, IPACL). Большие серверные сегменты. Между большинством серверов, кроме тех случаев, где это необходимо (обеспечивают единый сервис, кластеры и т.д.) — общение запрещено.
    Мы как на разных языках разговариваем. Да, я постоянно получаю заявки на отркытие чего либо. Где? На ван каналах. К сосденим площадкам. В инет. Это нормально. В ЛВС заявок нет. Почти нет. Потому что все более-менее продумано и подходы к работе не подразумевают таких вещей, например, как шара на пользовательских машинах, пер-ту-пир между юзерами и т.д.
    И ничему это не мешает. Файлы люьтся через файлообменники, пир-ту-пир бегает между воип телефонами в спец. сегментах и т.д. ЭТО ПРОЗРАЧНО. А то, что с файлового сервера невозможен коннект в пользовательские сегменты? Вот знаете, кроме меня и нескольких тех. спецов об этом никто и не знает. Это никому не мешает, кроме вирусов, конечно. Это я про описанную вами схему заражения не за секунду, а за две. Не работает она, так-то.
  • Украина подверглась самой крупной в истории кибератаке вирусом Petya
    +3
    Не совсем так. Достаточно большие сети, в т.ч. офисного назначения, можно сделать существенно безопасней, если логически, в какой-то мере приблизить их к описанной выше системе контуров, сегментации и т.д.
    Вы, возразив против межпользовательской сегментации, не утверждали ведь сперва, что это неудобно, что это мешает. Вы сказали — это не решает проблемы, это бесполезно. Я показываю — это во многом решает проблему, это так же полезно, как контуры в АСУТП.
    Тогда вы заявили, что это неудобно, что это сплошное запинание, а не работа. Могу предположить, что вы просто не пробовали. Ведь контуры АСУТП — не запинание? А почему? Потому что они продуманны. И не возникает задач залезать через телеком разрыв из одного контура в другой, ну не нужно это, т.к. все задачи без этого решаются.
    Так же и с тем, что я описал, например с контроллером АД и запретом от него исходящих тсп к клиентам. Вы это оцениваете «в уме», на вскидку и ужасаетесь. А я юзаю и доволен как слон. Ни кидо, ни ванна, ни петя меня не задели вот ничуть, хотя вокруг — да, бушевали. И кстати, серверные админы не то что не замечают этих, по вашему диких костылей и преград, даже не догадываются о них. Вот такие жуткие неудобства. И кстати, это в других регионах нашей организации был типичный сценарий. Админ с правами лезет на контроллер по WAN копр. каналам, этакий старший брат. Заражает, далее с контроллера зараза ломится в сети регионального предприятия. У всех площадок — кроме меня. Контроллер заразили, в ЛВС — ноль вирусного трафика, этакая ДМЗ в «сердце» ЛВС, а не на периметре, как обычно. С т.з. дизайна сети это отнюдь не влан на юзера, как у провайдеров. Все средней «крупности». Но описанные фичи — сильно выручают. Уже не один год. Так что не спешите оценивать на вскидку, не распробовав. И да, инфраструктурники, кто серверами рулят, даже не замечают этого. Один или два раза пытались для теста сделать «телнет на порт» с консоли сервера к клиентам, для теста, удивились, что не прошло. Вот и все жуткие потери от подхода. Надо их еще раз оценить, может действительно так жить нельзя?
  • Украина подверглась самой крупной в истории кибератаке вирусом Petya
    +1
    Это у вас домыслы какие-то. В строго техническом смысле сегменты у меня — от десятка до сотни машин в сегменте, если мы говорим о 802.1q вланах. Иногда, когда это необходимо и удобно — используются Port ACL, иногда IP ACL в точках L3-терминации. Мужики-то в циске и не знают правильных подходов, утверждая, что в классическом дизайне ядро-распределение-доступ секьюрити фичи должны делаться на доступе, край — на агрегации, а на доступе — это PACL в том числе. Подумайте — для чего.
    Жуткая «сегментация» получается. Прям до уровня порта. На счет докладных и мучительного ожидания. Я не знаю, что вы там в сетях у себя технологических крутите, для этого есть стенды и выделенное под это оборудование. А в нормальном продакшне все работает без особых сбоев годами, а некоторое оборудование — и без перезагрузок годами. Откуда там взяться этим докладным постоянным на какое-то нездокументированное сетевое взаимодейтсвие — не понятно. Вы тут намекали, что мол у некоторых галимый офис, а у нас тут завод, у нас тут все серьезно. Но не вяжется эта серьезность с остальными утверждениями. Где действительно все серьезно — не жалеют потратить время на то, что бы все продумать, задокументировать, нормально реализовать с этапом тестирования и юзать уже потом до следующей модернизации или замены решения. А вообще, советую вернуться к исходному тезису, что изоляция пользователей друг от друга — вещь бесполезная и еще раз прочитать аргументацию. Ответами на которую были рассуждения в духе «а вот если табуретку подставить и на шкаф еще залезть». Если не убеждает… ну, даже уж и не знаю. Наверное, тогда лучше дискуссию прекратить.
  • Украина подверглась самой крупной в истории кибератаке вирусом Petya
    +1
    Да, может быть. Поэтому ИБ — вещь комплексная. Все самые шустрые в смысле скорости распространения черви, что были на моей памяти, начиная с мсбласт-а работали по принципу сетевой скан+уязвимость, никак указанные вами механизмы не задействуя. Но это к слову. Тут был выдвинут тезис — изоляция клиентов друг от друга — вещь бестолковая. Я не раз убеждался, что весьма толковая. Была высказана мысль — все равно заражение произойдет в два хода (а не в один), через цепочку пользователь -> заражение сервера -> заражение пользователей. Я показал, что этого в случае классических сетевых червей ВО МНОГИХ случаях (в смысле разных серверов) легко можно избежать. Только и всего.
  • Украина подверглась самой крупной в истории кибератаке вирусом Petya
    –1
    Ну, есть отличие все же. Не задушенный в зародыше шторм, допустим, в одном L2 сегменте, может положить весь девайс в итоге или их группу, если L2 по ней растянут (и положит), в случае физически раздельных сетей этого можно избежать при правильном дизайне. Но в целом замечание верное.
    Возможно, тут момент психологический. Первое решение как-то не представляется, не укладывается в голове в виде слишком мелкого дробления. Ну, две там сетки, офис и технология. А второе как бы намекает на дурную множественность, наделим, надробим. Хотя автор пишет «много мелких сетей» и тогда я уже теряюсь.
  • Украина подверглась самой крупной в истории кибератаке вирусом Petya
    0
    И кстати, посмотрите, если найдете, какие-то типовые схемы АСУТП, возможно СТМиС и проч. Там по сути реализованы те же подходы, только не софтверно, а физически. Контуры. Сервера на границе контуров, много сетевух. Нужные сервисы смотрят только в нужные «стороны», многоуровневая сегментация (тему резервирования не трогаем) и в итоге некие точки предоставления данных, веб, допустим, многократно и многуровено изолированные от систем, где возможно что-то запороть и чем-то «порулить». Кто-то даже юзает «диод данных», но этот геммор на любителя.
    Где-то это хорошо и правильно. Где-то можно обойтись меньшей кровью и физику заменить логикой и фильтрами. Результат тоже в итоге бывает приятным.
  • Украина подверглась самой крупной в истории кибератаке вирусом Petya
    +1
    Прежде, чем волосами шевелить, опишите, где и как используется у вас OPC, в каких частях вашей сетии.
    Если речь у вас об АСУТП сегменте, где бегает МЭК, живут разные скады и инженерные станции — так это отдельный разговор. Все то, что вам кажется таким страшным зверством в моих предложениях там будет преимущественно на границе этой сети (и даже большее зверство), а внутри будет достаточно высокий уровень доверия, вяжитесь там хоть по NETBEUI в кач-ве транспорта. А вот закрытый, еще раз, медленно, в направлении ОТ СЕРВЕРА к клиентам RPC, от контроллера домена в частности — ни к чему плохому не приводит, уж поверьте мне.
    Или вы считаете, что на энергетическом предприятии вот так все и живет с моими «зверствами»? Все не работает и лежит примерно 365 дней в году?

    И кстати, юзеры разные бывают. Те, кто не в косынку играет, а режимы технологические ведет… эээ, о каком там домене вы говорите? Какие контроллеры? Хотя, если взять сименс, например, они в своих сетевых дизайнах таки да, рисуют. Свой лес для офиса, соверешенно отдельное АД для одного сегмента технологии (допустим, чисто информационные системы), отдельное — для другого. Но это уже черезчур.

    На счет что легче, а что нет, надо просто понимать работу сетевых протоколов, немного потратить времени на изучение профиля трафика в ваших сетях, как офисных, так и технологических, а дальше все будет легко и просто. И спотыкаться никто не будет.
  • Украина подверглась самой крупной в истории кибератаке вирусом Petya
    –1
    Я в энергетическом секторе работаю. Турбины знаете ли и все такое. И офис, куда ж без него. И «воздушные зазоры» есть и есть, когда их нет. Свои истины я выяснил примерно как уставы пишутся, не кровью конечно, но пОтом — точно.
  • Украина подверглась самой крупной в истории кибератаке вирусом Petya
    +1
    Э?
    Политики — это файлы, которые грузятся с сервера в результате подключения к этому серверу клиента, если речь об АД. Логон и логофф скрипты для юзеров и компов — это тоже ВХОДЯЩИЕ для сервера соединения. Перемещаемые профили… и с ними проблем нет. Бывают случаи, когда исходящие соединения в сторону юзеров от сервера нужны, например всякие воип и медиа заморочки. Ну и разрешите соотв. порты и протоколы (не сталкивался с червями, работающими через SIP, например), а самбу, RPC и прочее закройте. Это все не проблема, проблема, когда в головах предрассудки.
  • Украина подверглась самой крупной в истории кибератаке вирусом Petya
    +2
    А зачем ему ходить на машины юзеров с серверов? Тем более по своим сервисам бесконечно далеких от этих задач?

    Разницу не чувствуете? Вы описали правильно схему заражения юзер--->сервер--->>юзеры.

    Когда речь идет о машине админа, начальная стадия юзер--->админ невозможна. Админская машина по определению в выделенном сегменте. Из него — можно, в него — ни-ни, только обратный трафик в рамках установленных админом тсп соединений, ицмп-ответы, юдп.
    Ну, а безопасность админской машины… Если админ с головой, проблем не будет.

    Прописные истины корпоративных сетей.
  • Украина подверглась самой крупной в истории кибератаке вирусом Petya
    +2
    А кто мешает серверу это запретить? Открою секрет, даже контроллеру домена можно без особых последствий запретить исходящие tcp к юзерам. Это проверено, это работает. И так же для массы других серверов, в смысле сервисов. Возможны неприятные исключения, да, но в целом это рабочее решение и оно активно используется. Со времен кидо не было проблем, включая само «время кидо». Имею в виду свою сеть.
  • Как я bind`ом вирусы искал…
    0
    "… раздаёт DHCP ADSL-модема"

    К ситуации автора ваши доводы не относятся, хотя для ваших скоростей они актуальны. Но когда дома гигабит и планируется 10 (?), то и моя реплика про сетевой мост тоже не актуальна. Вы там чем-то таким интересным занимаетесь, что наверняка можете себе позволить rspan на коллектор трафика, стоящий в стороне, имеющий подходящие сетевые интерфейсы и процессорные мощности. Окиньте взглядом вашу стойку, наверняка там такой есть.

  • Как я bind`ом вирусы искал…
    0
    А просто поснифать весь трафик и получить то же самое плюс еще много чего интересного нельзя? Включите в разрыв между провайдером и вашим роутером нечто, в простейшем случае комп с двумя сетевухами, настроенными мостом и наслаждайтесь. Можно и snort какой-нибудь еще на трафик натравить.
  • Атаки нулевого дня, APT-атаки и защита от них с использованием решений Check Point
    0
    Все же адресные атаки не ограничиваются почтой в кач-ве точки входа. А как же периметр? В нем не бывает дыр? Прямые атаки на сетевое оборудование, в том числе это может быть зеродэй, атаки через веб-ресурсы компании, атаки на пользователей как на серферов через веб-ресурсы, зараженные или полностью фейковые. Поэтому пункт 1 в ответе на вопрос «Итак, как же стадии проникновения атаки нулевого дня в IT-инфраструктуры?» слишком категоричен, дать бы там пояснения, что это один из способов, достаточно распространенный, потому что легче реализуется адресность и точечность и прочая-прочая.
  • Что попадает в deny ip any any?
    0
    Было время — были вот такие, например, вещи — nag.ru/articles/article/16988/upravlyaem-neupravlyaemyim.html
    И уровень мусора был совсем другой. И сети умудрялись быть достаточно большими и даже большую часть времени функционировать, а не лежать.

    Сейчас все сильно проще все же.
  • Что попадает в deny ip any any?
    0
    Я в комментарии выше имел в виду немного другое. Не надо со стороны абонентов. Можно на OUT в сторону магистрала. По вашему рисунку это int3. И там это будет не более десятка строк, типа 10.0.0.0/8, 192.168.0.0/16 и т.д. Зачем вам их выпускать в мир?
    А если и внутри своих сетей пресекать спуфинг, то можно не плодить эти правила в ядре, нагружая его, можно (если позволяет железо), делать это на доступе, зачем мусор тянуть через всю сеть, когда трафик можно почистить максимально близко к его источнику. Благо доступ давно сильно поумнел, а провайдеры приноровились скриптами творить чудеса автоматизации по настройке этого самого доступа :)
  • Overclock мозга или Внутренняя виртуализация сознания
    0
    Отож. Голосуй сердцем. Помните?
  • Что попадает в deny ip any any?
    0
    Предупредить мироеда? Мы раз билайну пытались что-то доказать про упавшую емкость канала, последняя миля которого собрана из e1 потоков. Неделя нервов и только личный контакт с четким челом из Мск офиса этой контоны через forum.nag.ru спас ситуацию на вторую неделю мытарств. Похожие истории с ростелекомом. Ну а указывать им на какие-то ошибки, даже не могу представить себе такую картину.
    На счет уникальных ACL — может они и не нужны массово. Но хотя бы на int3 из вашей схемки лист повесить можно с запретом на инпут с серых диапазонов и запретом на аут с белыми ип срц, вам не принадлежащими. Вроде все весьма лаконично должно получиться, не портянка.
  • Что попадает в deny ip any any?
    0
    Кривость в инфраструктуре провйдера.
  • Что попадает в deny ip any any?
    +1
    Ну и клиенты тоже хороши. Получая трафик с серых ип с инета, их роутеры часто честно шлют ицмп эхо ответы или там анричиблы какие внутрь корпоративных ЛВС, что дает возможность элементарного флуда с инета в приватные сети (главное знать внутренню адресацию). И это у многих даже при включенном NAT-е и жестком фильтре на входе.

    А еще недавно в корп. MPLS VPN проанонсировал гугловский 8.8.8.8 и оказалось, что многие регионы нашей большой распределенной организации не фильтруют в бгп маршруты и ко мне потек днс трафик :)
  • Что попадает в deny ip any any?
    +1
    «Вот эти два случая остались для меня загадкой — кто, как и зачем?»

    Элементарно. У кого-то за роутером своя сетка с серой адресацией. Пока в ней все ок, к вам ничего не утекает. Потом пропадает какой-то внутренний линк между какими-то площадками, специфические правильные внутренние маршруты исчезают и все (на адреса назначения отвалившей подсети) начинает улетать по дефолт роуту к вам (в том числе с белых ип срц, если люди используют NAT). У людей отсутствует защитный маршрут в Null с завышенной по сравнению с AD динамического протокола дистанцией. А еще лучше делать такие маршруты не в Null, а куда-нибудь в сторонку, и там банить и логгировать. Я так массу интересных вещей ловлю.

    А еще есть добивающий меня приколы. Многие провайдеры не фильтруют у себя нифига, в итоге с их линков на выданные ими белые ип прилетает трафик с серых сетей (причем не из провайдерской сети, а именно с инета), на выход они это тоже часто не фильтруют. Один из провайдеров у нас например не фильтрует даже белые ип срц и в итоге можно через два линка от разных провов мутить асимметричный трафик. Уходит через одного, с неродным для него ип, назад прилетает через другого, для которого этот ип корректен. СОРМ у каждого провайдера видит только половину трафика :)
  • Overclock мозга или Внутренняя виртуализация сознания
    +1
    «что я считаю главным звеном в IT мне все таки человека»

    «Если что-то я не пробовал, но рассказать об этом важно буду отмечать особо»

    Вы с разгоном перестарались, откатите, пока разрушение структур не пошло :)
  • По следам бременских музыкантов, или «Как нам выстроить информационную защиту России» правильно
    –1
    Опять демагогия.
    Комментарием выше я лишь хотел сказать, что хамство никого не красит. Культурный человек, даже при фактическом отсутствии уважения к собеседнику, по вопросу, не затрагивающему напрямую честь его или близких не станет хамить. Тем более тому, кто наверняка существенно старше вас.
    Вы сначала обоснуйте, где тут пи, кто и почему тут за то, что бы оно было равно 4, а потом поговорим. Может быть.
  • По следам бременских музыкантов, или «Как нам выстроить информационную защиту России» правильно
    –1
    А раз не против, к чему воздух сотрясать? Современная атомная станция в РФ пережила бы то, что не пережила Фукусима (надеюсь, по крайней мере проект предусматривает). Это где-то близко к вашему метеориту. Если же он на столько велик, то угроза стране или даже планете от него самого больше угрозы от аварии на АЭС.
  • По следам бременских музыкантов, или «Как нам выстроить информационную защиту России» правильно
    –2
    Я понимаю, уважаемый, что у вас есть свое обоснованное мнение по любому вопросу на этом ресурсе, но именно поэтому в глазах некоторых людей, меня например, вы выглядите именно как белка-истеричка и к любой бочке затычка. Значение числа пи может и не изменяется, но люди, которые бегают с вытаращенными глазами и доказывают, что они знают правду об этом числе, а все другие придурки, выглядят не очень красиво. Это и об авторе обсуждаемой публикции можно сказать. Дальше вопросов секурности своего бизнеса и его никому другому не интересных финансовых потерь он смотреть явно не может.
  • По следам бременских музыкантов, или «Как нам выстроить информационную защиту России» правильно
    0
    И я не о том, о чем вы, а о том, что для ряда объектов, как например водоканал, именно монетизируемость как мерило оценки привлекательности вообще идет лесом. Для КВО по нашему текущему законодательству устраняется (по крайней мере должен) любой ненулевой риск без оглядки на формулу риск = ущерб Х вероятность. И модель злоумышленника, если это именно КВО в первую очередь подразумевает спецслужбы других государств и террористов.
    Не надо демагогии, взяли конкретный пример — водоканал. Согласились с весьма катастрофическими последствиями. А потом приплели детские совершенно рассуждения про монетизируемость эксплуатации уязвимости. В жизни это по-другому. Если объект попал в разряд КВО по оценке государства — поднимаются уже готовые доки от регуляторов (ДСП в большинстве случаев) и все делается по этим стандартам. Другой вопрос, что до недавнего времени не работало это, сейчас ситуация меняется. Завтра разные водоканалы в разряд КВО будут попадать принудительно, а не на добровольных началах.
  • По следам бременских музыкантов, или «Как нам выстроить информационную защиту России» правильно
    +1
    А финансы по вашему — единственный мотив? Т.е. вы предлагаете надеяться на сознательность определенного контингента? Не берете в расчет терроризм, потенциальный военный конфликт и т.п.? Вы не знаете примеров, когда нечто ломается просто для лулзов, меренья пиписьками, информационного эффекта и т.д.? Не предполагаете, что дырявость может быть такого уровня, что может сработать не целевая, а веерная атака, банальный вирусный скан, которыми переполнены публичные сети.
    Внесите свое предложение в ФСТЭК, как раз в апреле решается вопрос по приказу ФСТЭК "… к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, ...". Мужики-то и не догадываются, сколько сил можно сэкономить по такой хитрой причине, что эти объекты как тот неуловимй Джо, который нафик никому не нужен. Раскройте им глаза.