Архитектура корпоративных приложений - клиент-сервер, исключение VoIP(там есть и P2P). Соответственно на уровне доступа пользователей мы имеем возможность пропускать IP трафик от пользователя к серверам, пропустить RTP VoIP ( UDP порты > 16k) и icmp для диагностики на всех, запрет на приватные адреса, разрешить остальной трафик (Интернет). IP адреса серверов должны находиться в сети с некой широкой маской, охватывающей все серверные сегменты. Получаем простое стандартное правило фильтрации, применимое для сетевого оборудования уровня для L3 коммутации точно. В итоге взаимодействия между пользовательскими сетевыми сегментами исключены. Если оборудование уровня доступа пользователей имеет возможность фильтрации на физическом порту, то мы исключим опасные межпользовательские взаимодействия даже внутри сегмента. Исключения для сетевиков, безопасники, группы обслуживания АРМ(хотя лучше их пускать через терминальный сервер). Возлагать больше функций на сетевое оборудование уровня пользовательского доступа не стоит, мое мнение( если не вспоминать про 802.1x). Выход в Интернет или защита серверов это другая проблема, тут могут быть ngfw, поднять ipsec/vpn во внутренней сети, мутить с сертификатами... Практический результат - все вирусные эпидемии за десятилетия имели минимальное воздействие.
Если не лень читать. Из прошлого опыта на очень больших масштабах ( более 14к пользователей). Классификация ПК и переключение в разные сетевые сегменты является крайне сложным и трудоемким процессом, постоянно вызывающим нарекания клиентов. На больших масштабах, распределенных командах, востребованности WiFi, текучки кадров, наличие опенспейсов, постоянного перемещения сотрудников и явления всяких прочих исключений это будет мало применимо. Была куча побочных эффектов: сложные коммуникации между командой сетевиков и командой обслуживания ПК, большое количество виланов на сетевом оборудовании уровня доступа, требования пробрасывать вилан из здания в здание для распределенных команд (вот за это сетевики имеют моральное права разок дать в морду за будущие хлопоты и нервы).
Если у стейбл-коина было бы обеспечение исключительно в долларах и государственных облигациях, вы бы считали бы его надёжным? Полагаю да.
Это не совсем так. Взяли вы год назад 10 летних гособлигаций с доходностью в 1.5%. Сейчас их доходность около 4%, то есть купленная год назад облигация потеряла до 30% стоимости. И в моменте это дырища в балансе при самой консервативной стратегии
Нормальный продукт, поразительно нетребовательный к железу, отсутствие SAN мало напрягает. Есть несколько предложений.
Управление MTU на сетевых интерфейсах ВМ отсутствует. VXLan, IPsec - все откусывает байтики от стандартного 1500 байтного фрейма. Из-за нескольких байт пакет может быть фрагментирован многократно. Установление MTU через тот же cloud-init , было бы уместно.
Повторное использование уничтоженных ранее id машин - при использовании автоматики (тот же терраформ) нужно быть предельно осторожным, любые сбои или действия с ВМ через разные механизмы могут привести к тому, что терраформ примит за свою ВМ, к которой уже не имеет никакого отношения, что от терраформа не ожидаешь. Было бы полезно внести опциональную возможность для новых ВМ использовать id больше максимального, созданного на кластере, а не минимального свободного.
Терраформ в целом с Proxmox работает, но к пример не удалось импортировать в Terraform уже созданные ВМ. Терраформ не может удалить лишний сетефой Интерфейс.
А тут думать не надо, автор все продумал, наивно нам предлагает кивнуть.
Виновник — владелец, лучшие годы конторы позади. Персоналу стоит приготовится к эвакуации, шансы на появление нормального руководителя минимальны — владелец потерял нюх, а может и не имел, а контора продукт удачного стечения обстоятельств и встречи с правильными людьми.
Касаемо АвтоВАЗа — «о покойниках либо хорошее, либо ничего, кроме правды». Единственный выживший в 90-е производитель легковых автомобилей. Предприятия в Москве, Ижевске, Нижним Новгороде сложились как карточные домики — проклятое место. В 90-е обеспечивал 5% ВВП страны, содержал социалку 750-тысячного города(плюсом к выплате всех налогов), был прибыльным до смены руководства.
Ansible инструмент, который не сильно далеко отошел от MVP и у которого вместо CMDB текстовый файл, но в остальном ansible реально хорош. На «красноглазиков» можно было посмотреть даже на Cisco Connect, только попасть в аудиторию было нереально.
Bacula тяжеловата в освоении и все, что сложнее файла, приходитcя обслуживать скриптами, но со временем все уже кажется не таким страшным. Ну и в качестве примера, уверен, что на ansible можно написать плейбук: подключить репозиторий, установить bacula-fd (агент), определить файловые системы клиента для бекапирования из стандартных /,/var, /home, развернуть PKI для шифрования обмена и бекапов, испечь и закинуть сертификаты на клиента, определить наличие установленных пакетов БД и включить скрипты резервное копирование стандартных БД, сгенерировать конфигурацию клиента и клиентского описания на сервере бакула, открыть порт агента на фаерволе только для сервера, запустить или перезапустить все что надо, а потом в zabbix сказать, чтоб отслеживал наличие процесса агента бакула на клиенте. Неделю — две над таким попотеть придется, но потом одной строкой переменная для хоста backup_enable: true и слава на github.
Большая часть плейбука будет пониматься при минимальных знаниях. Это для представления возможностей ansible.
Вертолеты России связаны с ВПК и давно под санкциями, со всеми вытекающими последствиями. Расчет цены и превосходство DPM над Bacula уже вторично.
ТВ весьма сомнительный источник информации. Можно же легко найти финансовые результаты работы лет за двадцать. Ну и кроме того, АвтоВАЗ — не отечественный автопром (RIP), это Рено:
«АвтоВАЗ» сообщил, что предоставит компании Renault Finance (100%-ная «дочка» Renault) возобновляемый заем на сумму до 10 млрд руб. сроком до марта 2023 г. Договор заключен 15 августа. Условия и цели займа не раскрываются.
Думаете это на деньги налогоплательщиков? Предлагаю в другом месте поискать.
Что-то похожее из опыта:
1. На логсервере алиасом поднято несколько IP адресов, каждые адрес отвечает за сбор данных с разных направлений: сеть, сервера, телефония, безопасность, инженерные системы. Соответственно, файлы журналов размещаются в различных каталогах, в зависимости от направления.
2. Файлы журналов размещаются в подкаталогах с именами, включающих год и месяц. Жмутся по крону через месяц, удаляются обычно через год, пустые каталоги удаляются. Имя файла кроме hostname из обратного DNS резольвинга содержит и IP адрес источника лога.
3. Существует отдельный файл с копией журналов особо критичных устройств, критичных ошибок со всех устройств, авторизация админами с неадминских IP сетей. В начале рабочего дня и ближе к концу на 15 минут в файл пропускаются ошибки резервированных блоков питания, вентиляторов — иначе банально забьют логи сообщениями раз в 30секунд. Сам файл показывается по web через loganalyzer, который включен внешней страницей в слайдшоу zabbix. Все это на телевизоре в комнате админов.
Правда все на syslog-ng.
При входе на компьютер MS сохраняет хешик от пароля у себя, в дальнейшим этот же хешик пароля ( а не пароль !) может использоваться для авторизации на других компьютерах домена. Доступ к хешику могут получить только администраторы компьютера и не штатными средствами MS.
Я ссылку на pdf дал, в первой версии в начале описывается проблема.
Microsoft Malware Protection Center blog.
https://blogs.technet.microsoft.com/mmpc/2017/06/27/new-ransomware-old-techniques-petya-adds-worm-capabilities/
У ПозитиваТ в том же ключе: по распространению использует уязвимости WannaCry + вытаскивает учетные данные локальных и доменных пользователей и пытается двигаться по сети под официальными логинами админов, укладывая даже отпаченную Windows.
Если антивирус не сдержит, то предохраниться реально сложно.
https://www.microsoft.com/en-us/download/details.aspx?id=36036 читаем много букв в PDF.
От себя: разделите админов ПК, серверов, домена. Используйте FireWall для ограничений сетевых взаимодействий, я бы ограничил взаимодействие между клиентскими ПК, соответственно скомпрометированным админом ПК нельзя воспользоваться по назначению.
Банальный рецепт, сменить пароль админам ПК, никто не дает, но временно должно помочь.
Это же Рейтер для домохозяек, Вы то что умничать стали? Не Ваша аудитория, вот Вам карму и попортили. По ссылки сходите, от видеоряда с Путиным страшно за всю цивилизацию становится. Фотография здания Эшелона по тегом Open Source изрядно позабавила.
Из полезной информации: Symantec не будет передавать ВСЕ свои продукты на сертификация на отсутствие недекларированных возможностей, остальное журналистская слизь.
NGFW умеет много чего, но вот быстро и дешево не может. Именно простого пакетного фильтра достаточно для реализации правила: «сетевые взаимодействия между пользовательскими ПК запрещены, ибо все есть клиент-сервер» при $150 за порт и 40Gb/s матрицы коммутации на свитч с 50ю интерфейсами. Если есть возможность повесить фильтр не на вилан, а на порт — вот и изолированные сегменты в 1 ПК за счет типового для всей корпоративной сети небольшого пакетного фильтра. После реализации ПК не может заразить другой ПК, расслабляться не надо, но там фатального ничего (типа Wannacry) не произойдет, сконцентрируйте интеллект и деньги(NGFW) на периметре, DMZ и серверах.
Можно раскрыть тему «уязвимость ошибочной миграции машин»?
Чем меньше виланы сегментов пользовательских ПК, тем лучше, но растет сложность администрирования. Компромисс — вилан формируется на базе только одного свича.
Сервера размещаются в едином блоке IP адресов, ну или нескольких блоках.Никаких сервисов в пользовательских сегментах, печать через сервер.
Все корпоративные приложения имеют архитектуру клиент-сервер, исключения составляет VoIP RTP (udp/16k-32k или даже udp/1k-64k).
На выходе из пользовательского сегмента стоит фильтр: разрешить IP до серверов, ICMP, RTP, запретить IP на приватные адреса, разрешить все.
Портфолио данной методики начинается с Чернобыля (Virus.Win9x.CIH) 1999г, то был ад. С той поры больше слушаешь про приключения других.
Если к вашему проекту приставлен заинтересованный и толковый человек из крупной конторы, то можно даже не узнать про многие "ужасы". У этого человека не должна быть слишком высокая должность — может продавливать, но пахать на проект не будет. Если вас вывели сразу на группу по внедрению, уже пора начинать беспокоиться.
С самого начала намекайте, что успех проекта сильно зависит от руководителя проекта со стороны компании, вне зависимости от количества соучастников проекта. Вдруг повезет.
Официальные документы действительно нужны.
Собственно, документ — это нервный импульс, вынуждающий различные части сложного организма действовать. У импульса должен быть источник, обычно это конкретный человек, представляющий некую структуру. "Бюрократ" не хочет быть источником того, что не является его прямыми обязанностями (см п.1 еще раз), и он прав на 99%.
В большинстве случаев у документа должен быть исполнитель — тот кто доступен и может пояснить содержимое документа или уточнить какие-либо моменты. Часто исполнитель является автором документа, руководство просто его визирует.
Протокол удобная форма возбуждения импульса при ослабленной персональной мотивации "бюрократа". Некий коллективный разум, что-то решает, вес решению предает статус участников. Всегда пишите протоколы официальных встреч, чтобы осмыслить, чтобы люди не забывали и начинали действовать. На повторяющихся встречах ВСЕГДА озвучивайте предыдущий протокол, сделайте отчет сами и попытайтесь получить отчет по поручениям от других — у вас ведь все серьезно.
Почта и устные переговоры не транслируются на третьих лиц.
Это не говорит о том, что они вредны, просто круг воздействия ограничен кругом непосредственных участников. Для подключения больших ресурсов, потребуется усилия для трансляции из устной речи в "бюрократическую" — документ.
Пишите понятные документы.
Частенько документы приходят без контекста, будто все знают о трудностях вопрошающего. Хуже только бояться писать документы. Не забываем про исполнителя.
Попробуйте получить доступ к внутреннему электронному документообороту.
Я представляю все трудности, но бонусы! Так или иначе, в электронном документообороте прекрасно видно проблемы и работник компании вправе устанавливать горизонтальные связи для их решения (еще раз смотрим п.1)
Какие-то международные последствия этот бред вызвать не может. Озвучено для внутренних нужд да еще со заимствованием:
Цель – получение доступа к исходным кодам ПО атакованных компаний и к информации о китайских диссидентах.
Из фильма «Горячие головы»:
Наша цель разрушить ядерную установку на высотах, показанных здесь. Это ваша основная цель. Если вам не удастся нанести удар по главной цели, то наносите по второстепенным: одна из них фабрика по изготовлению аккордеонов, вторая — школа пантомимного искусства.
Специалист по безопасности работает с теоретическими рисками.
Сисадмин часто оказывается один на передовой, да еще в отсутствии полного понимания проблемы, работая на уровне ощущений или внутреннего голоса. Все это удовольствие при остром недостатке времени и большими реальными последствиями. Стресс жесточайший.
Другое дело, что удовлетворение от работы сисадмина получить проще, чем зудя всем про риски, длинные пароли, объясняя разницу между сертификатом и ЭЦП, пропагандирую идиотские процедуры, прося денег на никому непонятную хрень.
Архитектура корпоративных приложений - клиент-сервер, исключение VoIP(там есть и P2P). Соответственно на уровне доступа пользователей мы имеем возможность пропускать IP трафик от пользователя к серверам, пропустить RTP VoIP ( UDP порты > 16k) и icmp для диагностики на всех, запрет на приватные адреса, разрешить остальной трафик (Интернет). IP адреса серверов должны находиться в сети с некой широкой маской, охватывающей все серверные сегменты. Получаем простое стандартное правило фильтрации, применимое для сетевого оборудования уровня для L3 коммутации точно. В итоге взаимодействия между пользовательскими сетевыми сегментами исключены. Если оборудование уровня доступа пользователей имеет возможность фильтрации на физическом порту, то мы исключим опасные межпользовательские взаимодействия даже внутри сегмента. Исключения для сетевиков, безопасники, группы обслуживания АРМ(хотя лучше их пускать через терминальный сервер). Возлагать больше функций на сетевое оборудование уровня пользовательского доступа не стоит, мое мнение( если не вспоминать про 802.1x). Выход в Интернет или защита серверов это другая проблема, тут могут быть ngfw, поднять ipsec/vpn во внутренней сети, мутить с сертификатами...
Практический результат - все вирусные эпидемии за десятилетия имели минимальное воздействие.
Если не лень читать. Из прошлого опыта на очень больших масштабах ( более 14к пользователей). Классификация ПК и переключение в разные сетевые сегменты является крайне сложным и трудоемким процессом, постоянно вызывающим нарекания клиентов. На больших масштабах, распределенных командах, востребованности WiFi, текучки кадров, наличие опенспейсов, постоянного перемещения сотрудников и явления всяких прочих исключений это будет мало применимо. Была куча побочных эффектов: сложные коммуникации между командой сетевиков и командой обслуживания ПК, большое количество виланов на сетевом оборудовании уровня доступа, требования пробрасывать вилан из здания в здание для распределенных команд (вот за это сетевики имеют моральное права разок дать в морду за будущие хлопоты и нервы).
РенТВ уже на Хабре ?
Это не совсем так. Взяли вы год назад 10 летних гособлигаций с доходностью в 1.5%. Сейчас их доходность около 4%, то есть купленная год назад облигация потеряла до 30% стоимости. И в моменте это дырища в балансе при самой консервативной стратегии
Нормальный продукт, поразительно нетребовательный к железу, отсутствие SAN мало напрягает. Есть несколько предложений.
Управление MTU на сетевых интерфейсах ВМ отсутствует. VXLan, IPsec - все откусывает байтики от стандартного 1500 байтного фрейма. Из-за нескольких байт пакет может быть фрагментирован многократно. Установление MTU через тот же cloud-init , было бы уместно.
Повторное использование уничтоженных ранее id машин - при использовании автоматики (тот же терраформ) нужно быть предельно осторожным, любые сбои или действия с ВМ через разные механизмы могут привести к тому, что терраформ примит за свою ВМ, к которой уже не имеет никакого отношения, что от терраформа не ожидаешь. Было бы полезно внести опциональную возможность для новых ВМ использовать id больше максимального, созданного на кластере, а не минимального свободного.
Терраформ в целом с Proxmox работает, но к пример не удалось импортировать в Terraform уже созданные ВМ. Терраформ не может удалить лишний сетефой Интерфейс.
А тут думать не надо, автор все продумал, наивно нам предлагает кивнуть.
Виновник — владелец, лучшие годы конторы позади. Персоналу стоит приготовится к эвакуации, шансы на появление нормального руководителя минимальны — владелец потерял нюх, а может и не имел, а контора продукт удачного стечения обстоятельств и встречи с правильными людьми.
Касаемо АвтоВАЗа — «о покойниках либо хорошее, либо ничего, кроме правды». Единственный выживший в 90-е производитель легковых автомобилей. Предприятия в Москве, Ижевске, Нижним Новгороде сложились как карточные домики — проклятое место. В 90-е обеспечивал 5% ВВП страны, содержал социалку 750-тысячного города(плюсом к выплате всех налогов), был прибыльным до смены руководства.
Bacula тяжеловата в освоении и все, что сложнее файла, приходитcя обслуживать скриптами, но со временем все уже кажется не таким страшным. Ну и в качестве примера, уверен, что на ansible можно написать плейбук: подключить репозиторий, установить bacula-fd (агент), определить файловые системы клиента для бекапирования из стандартных /,/var, /home, развернуть PKI для шифрования обмена и бекапов, испечь и закинуть сертификаты на клиента, определить наличие установленных пакетов БД и включить скрипты резервное копирование стандартных БД, сгенерировать конфигурацию клиента и клиентского описания на сервере бакула, открыть порт агента на фаерволе только для сервера, запустить или перезапустить все что надо, а потом в zabbix сказать, чтоб отслеживал наличие процесса агента бакула на клиенте. Неделю — две над таким попотеть придется, но потом одной строкой переменная для хоста backup_enable: true и слава на github.
Большая часть плейбука будет пониматься при минимальных знаниях. Это для представления возможностей ansible.
Вертолеты России связаны с ВПК и давно под санкциями, со всеми вытекающими последствиями. Расчет цены и превосходство DPM над Bacula уже вторично.
Думаете это на деньги налогоплательщиков? Предлагаю в другом месте поискать.
1. На логсервере алиасом поднято несколько IP адресов, каждые адрес отвечает за сбор данных с разных направлений: сеть, сервера, телефония, безопасность, инженерные системы. Соответственно, файлы журналов размещаются в различных каталогах, в зависимости от направления.
2. Файлы журналов размещаются в подкаталогах с именами, включающих год и месяц. Жмутся по крону через месяц, удаляются обычно через год, пустые каталоги удаляются. Имя файла кроме hostname из обратного DNS резольвинга содержит и IP адрес источника лога.
3. Существует отдельный файл с копией журналов особо критичных устройств, критичных ошибок со всех устройств, авторизация админами с неадминских IP сетей. В начале рабочего дня и ближе к концу на 15 минут в файл пропускаются ошибки резервированных блоков питания, вентиляторов — иначе банально забьют логи сообщениями раз в 30секунд. Сам файл показывается по web через loganalyzer, который включен внешней страницей в слайдшоу zabbix. Все это на телевизоре в комнате админов.
Правда все на syslog-ng.
Я ссылку на pdf дал, в первой версии в начале описывается проблема.
https://blogs.technet.microsoft.com/mmpc/2017/06/27/new-ransomware-old-techniques-petya-adds-worm-capabilities/
У ПозитиваТ в том же ключе: по распространению использует уязвимости WannaCry + вытаскивает учетные данные локальных и доменных пользователей и пытается двигаться по сети под официальными логинами админов, укладывая даже отпаченную Windows.
Если антивирус не сдержит, то предохраниться реально сложно.
https://www.microsoft.com/en-us/download/details.aspx?id=36036 читаем много букв в PDF.
От себя: разделите админов ПК, серверов, домена. Используйте FireWall для ограничений сетевых взаимодействий, я бы ограничил взаимодействие между клиентскими ПК, соответственно скомпрометированным админом ПК нельзя воспользоваться по назначению.
Банальный рецепт, сменить пароль админам ПК, никто не дает, но временно должно помочь.
Из полезной информации: Symantec не будет передавать ВСЕ свои продукты на сертификация на отсутствие недекларированных возможностей, остальное журналистская слизь.
Можно раскрыть тему «уязвимость ошибочной миграции машин»?
Сервера размещаются в едином блоке IP адресов, ну или нескольких блоках.Никаких сервисов в пользовательских сегментах, печать через сервер.
Все корпоративные приложения имеют архитектуру клиент-сервер, исключения составляет VoIP RTP (udp/16k-32k или даже udp/1k-64k).
На выходе из пользовательского сегмента стоит фильтр: разрешить IP до серверов, ICMP, RTP, запретить IP на приватные адреса, разрешить все.
Портфолио данной методики начинается с Чернобыля (Virus.Win9x.CIH) 1999г, то был ад. С той поры больше слушаешь про приключения других.
С самого начала намекайте, что успех проекта сильно зависит от руководителя проекта со стороны компании, вне зависимости от количества соучастников проекта. Вдруг повезет.
Собственно, документ — это нервный импульс, вынуждающий различные части сложного организма действовать. У импульса должен быть источник, обычно это конкретный человек, представляющий некую структуру. "Бюрократ" не хочет быть источником того, что не является его прямыми обязанностями (см п.1 еще раз), и он прав на 99%.
В большинстве случаев у документа должен быть исполнитель — тот кто доступен и может пояснить содержимое документа или уточнить какие-либо моменты. Часто исполнитель является автором документа, руководство просто его визирует.
Протокол удобная форма возбуждения импульса при ослабленной персональной мотивации "бюрократа". Некий коллективный разум, что-то решает, вес решению предает статус участников. Всегда пишите протоколы официальных встреч, чтобы осмыслить, чтобы люди не забывали и начинали действовать. На повторяющихся встречах ВСЕГДА озвучивайте предыдущий протокол, сделайте отчет сами и попытайтесь получить отчет по поручениям от других — у вас ведь все серьезно.
Это не говорит о том, что они вредны, просто круг воздействия ограничен кругом непосредственных участников. Для подключения больших ресурсов, потребуется усилия для трансляции из устной речи в "бюрократическую" — документ.
Частенько документы приходят без контекста, будто все знают о трудностях вопрошающего. Хуже только бояться писать документы. Не забываем про исполнителя.
Я представляю все трудности, но бонусы! Так или иначе, в электронном документообороте прекрасно видно проблемы и работник компании вправе устанавливать горизонтальные связи для их решения (еще раз смотрим п.1)
Сисадмин часто оказывается один на передовой, да еще в отсутствии полного понимания проблемы, работая на уровне ощущений или внутреннего голоса. Все это удовольствие при остром недостатке времени и большими реальными последствиями. Стресс жесточайший.
Другое дело, что удовлетворение от работы сисадмина получить проще, чем зудя всем про риски, длинные пароли, объясняя разницу между сертификатом и ЭЦП, пропагандирую идиотские процедуры, прося денег на никому непонятную хрень.