Комментарии 8
Толковая статья, спасибо. Хорошо бы ещё написали reverse_tcp с использованием VPN.
Честно пытаюсь вникнуть, но не понимаю исходных данных.
Логично.
Статья о том, как не нужно делать DMZ?
Сетевая изоляция будет бесполезна в случае, если мы скомпрометируем узел сети, имеющий доступ во все изолированные подсети.
Логично.
Как видно на схеме выше, устройство в центре имеет два сетевых интерфейса
Статья о том, как не нужно делать DMZ?
А, ага, дочитал.
Сами же пишете в конце «Хосты, находящиеся в DMZ должны быть доступны только из DMZ.». Ну да, всё, что было в Вегасе, остается в Вегасе. Любая другая схема ДМЗ вообще противоречит концепции демилитаризованной зоны и таковой не будет являться. В нормальной DMZ хосты еще и друг от друга изолированы. В проведенной атаке, имхо, ДМЗ притянута за уши и суть статьи не в этом.
Меры противодействия:«не делайте так».
Сами же пишете в конце «Хосты, находящиеся в DMZ должны быть доступны только из DMZ.». Ну да, всё, что было в Вегасе, остается в Вегасе. Любая другая схема ДМЗ вообще противоречит концепции демилитаризованной зоны и таковой не будет являться. В нормальной DMZ хосты еще и друг от друга изолированы. В проведенной атаке, имхо, ДМЗ притянута за уши и суть статьи не в этом.
Вовсе нет. Рискну предположить что в 99% корпоративных сетей существуют компьютеры находящиеся в DMZ и имеющие 2 и более интерфейсов. Либо потому что так «исторически сложилось», либо потому что «решать проблему надо было здесь и сейчас, а потом оставили, всё равно никто не знает». С вариациями типа у нас по SMS поднимается линк, мы хитрые. Это практика: безопасность приносит слишком много проблем, чтобы после возведения стен в них не крутили дырки. Конечно, выбирая между дать доступ или быть уволенным человек даст доступ. Поэтому в 99% корпоративных сетей это есть, я исключений не видел практически. Всё равно же никто не знает)))
А можно будет потом (как-нибудь, когда у меня возникнет возможность к ней обратиться) внимательно прочитать эту статью и запросить подробные комментарии, чтобы понять все детали?
Для меня тема безопасности — тёмный лес, а разобраться надо. А то пока это всё выглядит очень страшно. Получается, что можно делать всё, что угодно. Хотя, многое предотвращается простой внимательностью системного администратора.
Но, неужели, никто не подумал обо всём этом заранее и не попытался встроить в технологию какую-то защиту или не не придумал непреодолимый протокол, выполнение которого гарантирует определённый уровень безопасности? С точки зрения дилетанта, кажется, что сеть должна конфигурироваться под определённую задачу таким образом, чтобы никто не мог даже попытаться обратиться к определённом узлу. А то очень страшно читать примеры команд: кто же в здравом уме дал возможность удалённому пользователю что-то там сканировать?!!!
Для меня тема безопасности — тёмный лес, а разобраться надо. А то пока это всё выглядит очень страшно. Получается, что можно делать всё, что угодно. Хотя, многое предотвращается простой внимательностью системного администратора.
Но, неужели, никто не подумал обо всём этом заранее и не попытался встроить в технологию какую-то защиту или не не придумал непреодолимый протокол, выполнение которого гарантирует определённый уровень безопасности? С точки зрения дилетанта, кажется, что сеть должна конфигурироваться под определённую задачу таким образом, чтобы никто не мог даже попытаться обратиться к определённом узлу. А то очень страшно читать примеры команд: кто же в здравом уме дал возможность удалённому пользователю что-то там сканировать?!!!
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Продвинутое туннелирование: атакуем внутренние узлы корпоративной сети