Да, вы правы - публикация в первую очередь про корпоративные инфраструктуры на базе Microsoft Active Directory. В таких средах IPv6, как правило, включён по умолчанию, но при этом фактически не используется.
При этом атаки на IPv6 действительно кроссплатформенные и не зависят от операционной системы. Как именно они работают, я разбирал отдельно — например, здесь: https://t.me/depit_ru/61
Если IPv6 используется осознанно, то корректный путь — это защита на сетевом уровне: RA Guard, DHCPv6 Guard, ND inspection, Source Guard, First Hop Security - об этом также написано в статье (если вы ее дочитаете все же).
Проблема в том, что на практике далеко не все коммутаторы (особенно в небольших и средних компаниях) поддерживают эти механизмы.
Отсюда и моя практическая рекомендация: если IPv6 не является частью архитектуры и не защищён на L2/L3 уровне - его безопаснее отключить на клиентских интерфейсах, чтобы исключить целый класс атак.
Поделитесь странами, где IPv6 нужно применять в результате регулирования?
Атаки вида DHCPv6 или IPv6 RA spoofing крайне распространены. Моя рекомендация следует из того, что в большинстве корпоративных инфраструктур IPv6 никак не используется и на настроен, поэтому для исключения данного типа атак можно просто отключить IPv6 на интерфейсах клиентских компьютеров.
В данном случае рекомендую книжки по администрированию Windows - там расписано как подключать принтеры с принт-сервера и объяснено как работают групповые политики.
Ну чтобы злодеи дошли до уровня ректального криптоанализа, нужно не только базу из моей статьи настроить, но и действительно внедрить "DLP, SIEM и прочие Endpoint" - тогда да, у них не останется другого выбора :)
А когда у вас в инфраструктуре SRP не настроен, то никто не будет даже фамилию сисадмина узнавать.
Согласен что куда проще сидеть под учетной записью администратора домена и дотягиваться со своего компьютера до всего. Только это проще как для вас, так и для злодеев. Так что да, безопасность требует в том числе и некоторых самоограничений.
SMB 2.0 появился в этом же году - проверьте, может есть обновление. Ну и как бы да, если вам безопасность важна, то придется обновлять в том числе и железо - это тоже база.
Мое понимание, что система хорошая и конечно в крупной компании - обязательная к применению, как и SOC и MFA и прочее штуки.
Просто эта вещь теряет смысл если в сети все еще включен SMB1, NTLM, можно использовать arp-spoofing и прочее - в этом случае все эти аутентификации по сертификатам, SOC и MFA просто не играют никакой роли.
А, дак вот оно че - я уважаемым людям из ИБ дорогу перешел :)
Да не переживайте вы так - даже эту БАЗУ осилят далеко не все (по комментариям это видно). Ну и на ваш труд по созданию безопасности на бумаге я вообще никак не покушаюсь.
Чтобы отключить SMB1 на Киосерах (точнее, включить на них поддержку SMB2.0) достаточно обновить на них прошивки. Ну и в целом на Kyocera следует обновить прошивки хотя бы по этой причине: https://t.me/depit_ru/57 SMBv1 никак не укрепить: https://t.me/depit_ru/36
В изолированном от пользователей отдельном влане - вот так предельно точно :)
Да, вы правы - публикация в первую очередь про корпоративные инфраструктуры на базе Microsoft Active Directory. В таких средах IPv6, как правило, включён по умолчанию, но при этом фактически не используется.
При этом атаки на IPv6 действительно кроссплатформенные и не зависят от операционной системы. Как именно они работают, я разбирал отдельно — например, здесь: https://t.me/depit_ru/61
Если IPv6 используется осознанно, то корректный путь — это защита на сетевом уровне: RA Guard, DHCPv6 Guard, ND inspection, Source Guard, First Hop Security - об этом также написано в статье (если вы ее дочитаете все же).
Проблема в том, что на практике далеко не все коммутаторы (особенно в небольших и средних компаниях) поддерживают эти механизмы.
Отсюда и моя практическая рекомендация: если IPv6 не является частью архитектуры и не защищён на L2/L3 уровне - его безопаснее отключить на клиентских интерфейсах, чтобы исключить целый класс атак.
Поделитесь странами, где IPv6 нужно применять в результате регулирования?
Атаки вида DHCPv6 или IPv6 RA spoofing крайне распространены. Моя рекомендация следует из того, что в большинстве корпоративных инфраструктур IPv6 никак не используется и на настроен, поэтому для исключения данного типа атак можно просто отключить IPv6 на интерфейсах клиентских компьютеров.
Вам ничего не мешает подключить МФУ локально через USB, а сеть оставить только для мониторинга состояния МФУ.
В данном случае рекомендую книжки по администрированию Windows - там расписано как подключать принтеры с принт-сервера и объяснено как работают групповые политики.
Обратитесь в сервис, у них есть прошивки.
Просто настройте политику, которая всем входящим на данный компьютер пользователям будет подключать определенный набор принтеров.
Loopback processing и GPO для подключения принтеров и пользователю всегда будет подключаться с принт-сервера ближайший к компьютеру принтер.
Ну чтобы злодеи дошли до уровня ректального криптоанализа, нужно не только базу из моей статьи настроить, но и действительно внедрить "DLP, SIEM и прочие Endpoint" - тогда да, у них не останется другого выбора :)
А когда у вас в инфраструктуре SRP не настроен, то никто не будет даже фамилию сисадмина узнавать.
Я однажды смотрел, сколько времени на подстанциях занимает выключить один-единственный рубильник:
Надеть спецодежду
Провести инструктаж и заполнить журнал
Дойти до шкафа вдвоём
Повторить команды
Только потом - выключить рубильник
Безопасность - она такая, да.
Вопрос был в том с какими именно системами (их много разных) у человека возникают затруднения - чтобы мой ответ стал более предметным.
Поэтому и нужно настроить SRP/Applocker, чтобы ссылки из письма не срабатывали. Вроде же это база :)
Да, это база. Но жизнь показывает что она далеко не у всех сделана - для них и расписал.
Согласен что куда проще сидеть под учетной записью администратора домена и дотягиваться со своего компьютера до всего. Только это проще как для вас, так и для злодеев. Так что да, безопасность требует в том числе и некоторых самоограничений.
SMB 2.0 появился в этом же году - проверьте, может есть обновление. Ну и как бы да, если вам безопасность важна, то придется обновлять в том числе и железо - это тоже база.
Мое понимание, что система хорошая и конечно в крупной компании - обязательная к применению, как и SOC и MFA и прочее штуки.
Просто эта вещь теряет смысл если в сети все еще включен SMB1, NTLM, можно использовать arp-spoofing и прочее - в этом случае все эти аутентификации по сертификатам, SOC и MFA просто не играют никакой роли.
А, дак вот оно че - я уважаемым людям из ИБ дорогу перешел :)
Да не переживайте вы так - даже эту БАЗУ осилят далеко не все (по комментариям это видно). Ну и на ваш труд по созданию безопасности на бумаге я вообще никак не покушаюсь.
Сервер печати в серверном VLAN.
Про Киосеры ответил постом выше - установите на них обновления. И курсы по основам системного администрирования все же рекомендую.
Чтобы отключить SMB1 на Киосерах (точнее, включить на них поддержку SMB2.0) достаточно обновить на них прошивки.
Ну и в целом на Kyocera следует обновить прошивки хотя бы по этой причине: https://t.me/depit_ru/57
SMBv1 никак не укрепить: https://t.me/depit_ru/36