Pull to refresh
23
0
Send message
Ну, есть отличие все же. Не задушенный в зародыше шторм, допустим, в одном L2 сегменте, может положить весь девайс в итоге или их группу, если L2 по ней растянут (и положит), в случае физически раздельных сетей этого можно избежать при правильном дизайне. Но в целом замечание верное.
Возможно, тут момент психологический. Первое решение как-то не представляется, не укладывается в голове в виде слишком мелкого дробления. Ну, две там сетки, офис и технология. А второе как бы намекает на дурную множественность, наделим, надробим. Хотя автор пишет «много мелких сетей» и тогда я уже теряюсь.
И кстати, посмотрите, если найдете, какие-то типовые схемы АСУТП, возможно СТМиС и проч. Там по сути реализованы те же подходы, только не софтверно, а физически. Контуры. Сервера на границе контуров, много сетевух. Нужные сервисы смотрят только в нужные «стороны», многоуровневая сегментация (тему резервирования не трогаем) и в итоге некие точки предоставления данных, веб, допустим, многократно и многуровено изолированные от систем, где возможно что-то запороть и чем-то «порулить». Кто-то даже юзает «диод данных», но этот геммор на любителя.
Где-то это хорошо и правильно. Где-то можно обойтись меньшей кровью и физику заменить логикой и фильтрами. Результат тоже в итоге бывает приятным.
Прежде, чем волосами шевелить, опишите, где и как используется у вас OPC, в каких частях вашей сетии.
Если речь у вас об АСУТП сегменте, где бегает МЭК, живут разные скады и инженерные станции — так это отдельный разговор. Все то, что вам кажется таким страшным зверством в моих предложениях там будет преимущественно на границе этой сети (и даже большее зверство), а внутри будет достаточно высокий уровень доверия, вяжитесь там хоть по NETBEUI в кач-ве транспорта. А вот закрытый, еще раз, медленно, в направлении ОТ СЕРВЕРА к клиентам RPC, от контроллера домена в частности — ни к чему плохому не приводит, уж поверьте мне.
Или вы считаете, что на энергетическом предприятии вот так все и живет с моими «зверствами»? Все не работает и лежит примерно 365 дней в году?

И кстати, юзеры разные бывают. Те, кто не в косынку играет, а режимы технологические ведет… эээ, о каком там домене вы говорите? Какие контроллеры? Хотя, если взять сименс, например, они в своих сетевых дизайнах таки да, рисуют. Свой лес для офиса, соверешенно отдельное АД для одного сегмента технологии (допустим, чисто информационные системы), отдельное — для другого. Но это уже черезчур.

На счет что легче, а что нет, надо просто понимать работу сетевых протоколов, немного потратить времени на изучение профиля трафика в ваших сетях, как офисных, так и технологических, а дальше все будет легко и просто. И спотыкаться никто не будет.
Я в энергетическом секторе работаю. Турбины знаете ли и все такое. И офис, куда ж без него. И «воздушные зазоры» есть и есть, когда их нет. Свои истины я выяснил примерно как уставы пишутся, не кровью конечно, но пОтом — точно.
Э?
Политики — это файлы, которые грузятся с сервера в результате подключения к этому серверу клиента, если речь об АД. Логон и логофф скрипты для юзеров и компов — это тоже ВХОДЯЩИЕ для сервера соединения. Перемещаемые профили… и с ними проблем нет. Бывают случаи, когда исходящие соединения в сторону юзеров от сервера нужны, например всякие воип и медиа заморочки. Ну и разрешите соотв. порты и протоколы (не сталкивался с червями, работающими через SIP, например), а самбу, RPC и прочее закройте. Это все не проблема, проблема, когда в головах предрассудки.
А зачем ему ходить на машины юзеров с серверов? Тем более по своим сервисам бесконечно далеких от этих задач?

Разницу не чувствуете? Вы описали правильно схему заражения юзер--->сервер--->>юзеры.

Когда речь идет о машине админа, начальная стадия юзер--->админ невозможна. Админская машина по определению в выделенном сегменте. Из него — можно, в него — ни-ни, только обратный трафик в рамках установленных админом тсп соединений, ицмп-ответы, юдп.
Ну, а безопасность админской машины… Если админ с головой, проблем не будет.

Прописные истины корпоративных сетей.
А кто мешает серверу это запретить? Открою секрет, даже контроллеру домена можно без особых последствий запретить исходящие tcp к юзерам. Это проверено, это работает. И так же для массы других серверов, в смысле сервисов. Возможны неприятные исключения, да, но в целом это рабочее решение и оно активно используется. Со времен кидо не было проблем, включая само «время кидо». Имею в виду свою сеть.
"… раздаёт DHCP ADSL-модема"

К ситуации автора ваши доводы не относятся, хотя для ваших скоростей они актуальны. Но когда дома гигабит и планируется 10 (?), то и моя реплика про сетевой мост тоже не актуальна. Вы там чем-то таким интересным занимаетесь, что наверняка можете себе позволить rspan на коллектор трафика, стоящий в стороне, имеющий подходящие сетевые интерфейсы и процессорные мощности. Окиньте взглядом вашу стойку, наверняка там такой есть.

А просто поснифать весь трафик и получить то же самое плюс еще много чего интересного нельзя? Включите в разрыв между провайдером и вашим роутером нечто, в простейшем случае комп с двумя сетевухами, настроенными мостом и наслаждайтесь. Можно и snort какой-нибудь еще на трафик натравить.
Все же адресные атаки не ограничиваются почтой в кач-ве точки входа. А как же периметр? В нем не бывает дыр? Прямые атаки на сетевое оборудование, в том числе это может быть зеродэй, атаки через веб-ресурсы компании, атаки на пользователей как на серферов через веб-ресурсы, зараженные или полностью фейковые. Поэтому пункт 1 в ответе на вопрос «Итак, как же стадии проникновения атаки нулевого дня в IT-инфраструктуры?» слишком категоричен, дать бы там пояснения, что это один из способов, достаточно распространенный, потому что легче реализуется адресность и точечность и прочая-прочая.
Было время — были вот такие, например, вещи — nag.ru/articles/article/16988/upravlyaem-neupravlyaemyim.html
И уровень мусора был совсем другой. И сети умудрялись быть достаточно большими и даже большую часть времени функционировать, а не лежать.

Сейчас все сильно проще все же.
Я в комментарии выше имел в виду немного другое. Не надо со стороны абонентов. Можно на OUT в сторону магистрала. По вашему рисунку это int3. И там это будет не более десятка строк, типа 10.0.0.0/8, 192.168.0.0/16 и т.д. Зачем вам их выпускать в мир?
А если и внутри своих сетей пресекать спуфинг, то можно не плодить эти правила в ядре, нагружая его, можно (если позволяет железо), делать это на доступе, зачем мусор тянуть через всю сеть, когда трафик можно почистить максимально близко к его источнику. Благо доступ давно сильно поумнел, а провайдеры приноровились скриптами творить чудеса автоматизации по настройке этого самого доступа :)
Отож. Голосуй сердцем. Помните?
Предупредить мироеда? Мы раз билайну пытались что-то доказать про упавшую емкость канала, последняя миля которого собрана из e1 потоков. Неделя нервов и только личный контакт с четким челом из Мск офиса этой контоны через forum.nag.ru спас ситуацию на вторую неделю мытарств. Похожие истории с ростелекомом. Ну а указывать им на какие-то ошибки, даже не могу представить себе такую картину.
На счет уникальных ACL — может они и не нужны массово. Но хотя бы на int3 из вашей схемки лист повесить можно с запретом на инпут с серых диапазонов и запретом на аут с белыми ип срц, вам не принадлежащими. Вроде все весьма лаконично должно получиться, не портянка.
Кривость в инфраструктуре провйдера.
Ну и клиенты тоже хороши. Получая трафик с серых ип с инета, их роутеры часто честно шлют ицмп эхо ответы или там анричиблы какие внутрь корпоративных ЛВС, что дает возможность элементарного флуда с инета в приватные сети (главное знать внутренню адресацию). И это у многих даже при включенном NAT-е и жестком фильтре на входе.

А еще недавно в корп. MPLS VPN проанонсировал гугловский 8.8.8.8 и оказалось, что многие регионы нашей большой распределенной организации не фильтруют в бгп маршруты и ко мне потек днс трафик :)
«Вот эти два случая остались для меня загадкой — кто, как и зачем?»

Элементарно. У кого-то за роутером своя сетка с серой адресацией. Пока в ней все ок, к вам ничего не утекает. Потом пропадает какой-то внутренний линк между какими-то площадками, специфические правильные внутренние маршруты исчезают и все (на адреса назначения отвалившей подсети) начинает улетать по дефолт роуту к вам (в том числе с белых ип срц, если люди используют NAT). У людей отсутствует защитный маршрут в Null с завышенной по сравнению с AD динамического протокола дистанцией. А еще лучше делать такие маршруты не в Null, а куда-нибудь в сторонку, и там банить и логгировать. Я так массу интересных вещей ловлю.

А еще есть добивающий меня приколы. Многие провайдеры не фильтруют у себя нифига, в итоге с их линков на выданные ими белые ип прилетает трафик с серых сетей (причем не из провайдерской сети, а именно с инета), на выход они это тоже часто не фильтруют. Один из провайдеров у нас например не фильтрует даже белые ип срц и в итоге можно через два линка от разных провов мутить асимметричный трафик. Уходит через одного, с неродным для него ип, назад прилетает через другого, для которого этот ип корректен. СОРМ у каждого провайдера видит только половину трафика :)
«что я считаю главным звеном в IT мне все таки человека»

«Если что-то я не пробовал, но рассказать об этом важно буду отмечать особо»

Вы с разгоном перестарались, откатите, пока разрушение структур не пошло :)
Опять демагогия.
Комментарием выше я лишь хотел сказать, что хамство никого не красит. Культурный человек, даже при фактическом отсутствии уважения к собеседнику, по вопросу, не затрагивающему напрямую честь его или близких не станет хамить. Тем более тому, кто наверняка существенно старше вас.
Вы сначала обоснуйте, где тут пи, кто и почему тут за то, что бы оно было равно 4, а потом поговорим. Может быть.
А раз не против, к чему воздух сотрясать? Современная атомная станция в РФ пережила бы то, что не пережила Фукусима (надеюсь, по крайней мере проект предусматривает). Это где-то близко к вашему метеориту. Если же он на столько велик, то угроза стране или даже планете от него самого больше угрозы от аварии на АЭС.

Information

Rating
Does not participate
Registered
Activity