delay-pools не может ограничивать https трафик. Это связано с тем, что delay-pools использует методы классификации трафика на уровне протокола HTTP. Лучше рассмотреть возможность настройки шейпинга на уровне сетевого оборудования, например, маршрутизатора.
К сожалению, нельзя полностью просмотреть какая именно интернет-страница была открыта, как при MITM-атаке. К плюсам можно отнести: 1) Это не MITM-атака, и не будет проблем с банк-клиентами. 2) Отображение доменных имен в статитстике сайтов запрашиваемых по https.
Фильтровать запросы на уровне DNS не совсем правильное решение. Так как на уровне прокси вы можете определить список групп пользователей, которым необходим доступ к ресурсу и список пользователей, которым доступ запрещен. Из соображений безопасности SNAT по различным портам лучше не использовать и пускать юзеров только через прокси.
Не совсем. Прокси подключается к HTTPS ресурсу, получает его сертификат, и может «посмотреть» некоторые данные о ресурсе, в частности имя сервера с помощью SNI и применяет действие terminate согласно списку ACL.
Вы можете ограничить ресурсы контейнера, указав дополнительные опции при запуске. Например, ограничить выделяемую память можно опцией --memory. podman run -d --name test --network infranet --memory 128m almalinux:custom. А проверить установленный лимит можно командой: podman stats --no-stream test
Для просмотра исходящих соединений достаточно стандартных для RHEL netstat, ss.
На хосте докера вы не сможете увидеть соединения контейнеров с netstat или ss, так как соединения проходят через цепочку FORWARD в виртуальную сеть докера, а не на сам узел (цепочки INPUT и OUTPUT). А устанавливать на каждый контейнер пакет с net-tools или собирать кастомный образ не особо хочеться.
Зачем? Если нет расследования, почему бы не выключить скомпрометированный контейнер ?
Причиной распространения малвари являются службы, которые доступные извне и конечно же уязвимости в ПО. Например, разработчик случайно пробросил порт в Docker с опцией -p 5432:5432 для контейнера postgre с кредами по умолчанию или последняя уязвимость в Confluence позволяющая злоумышленику удаленно выполнять произвольный код на сервере. Следует отметить, что малварь использует различные IP-адреса для подключения "агентов", а также различные порты в случае, если вы решите заблокировать обращения по адресу или порту. Например, в контейнере я заблокировал весь исходящий трафик на порты 80/tcp и 5555/tcp, чтобы остановить работу майнера. В случае с Confluence, достаточно аттрибута immutable для крона пользователя confluence это не даст процессу малвари запуститься снова и можно будет спокойно накатить хотфикс: https://github.com/httpvoid/writeups/blob/main/Confluence-RCE.md
Как работает малварь Kinsing? Я думаю этот вопрос заслуживает отдельной статьи.
delay-pools не может ограничивать https трафик. Это связано с тем, что delay-pools использует методы классификации трафика на уровне протокола HTTP. Лучше рассмотреть возможность настройки шейпинга на уровне сетевого оборудования, например, маршрутизатора.
Чтобы обойти ограничения по DNS, пользователю достаточно включить протокол DoH в браузере.
К сожалению, нельзя полностью просмотреть какая именно интернет-страница была открыта, как при MITM-атаке. К плюсам можно отнести: 1) Это не MITM-атака, и не будет проблем с банк-клиентами. 2) Отображение доменных имен в статитстике сайтов запрашиваемых по https.
Фильтровать запросы на уровне DNS не совсем правильное решение. Так как на уровне прокси вы можете определить список групп пользователей, которым необходим доступ к ресурсу и список пользователей, которым доступ запрещен. Из соображений безопасности SNAT по различным портам лучше не использовать и пускать юзеров только через прокси.
Не совсем. Прокси подключается к HTTPS ресурсу, получает его сертификат, и может «посмотреть» некоторые данные о ресурсе, в частности имя сервера с помощью SNI и применяет действие terminate согласно списку ACL.
При каждом запуске контейнера ему присваивается новый мак-адрес. Начиная с версии 1.7 появилась возможность указать статичный мак-адрес.
Вы можете ограничить ресурсы контейнера, указав дополнительные опции при запуске. Например, ограничить выделяемую память можно опцией --memory. podman run -d --name test --network infranet --memory 128m almalinux:custom. А проверить установленный лимит можно командой: podman stats --no-stream test
На хосте докера вы не сможете увидеть соединения контейнеров с netstat или ss, так как соединения проходят через цепочку FORWARD в виртуальную сеть докера, а не на сам узел (цепочки INPUT и OUTPUT). А устанавливать на каждый контейнер пакет с net-tools или собирать кастомный образ не особо хочеться.
И остановить работу бизнеса)
Причиной распространения малвари являются службы, которые доступные извне и конечно же уязвимости в ПО. Например, разработчик случайно пробросил порт в Docker с опцией -p 5432:5432 для контейнера postgre с кредами по умолчанию или последняя уязвимость в Confluence позволяющая злоумышленику удаленно выполнять произвольный код на сервере. Следует отметить, что малварь использует различные IP-адреса для подключения "агентов", а также различные порты в случае, если вы решите заблокировать обращения по адресу или порту. Например, в контейнере я заблокировал весь исходящий трафик на порты 80/tcp и 5555/tcp, чтобы остановить работу майнера. В случае с Confluence, достаточно аттрибута immutable для крона пользователя confluence это не даст процессу малвари запуститься снова и можно будет спокойно накатить хотфикс: https://github.com/httpvoid/writeups/blob/main/Confluence-RCE.md
Как работает малварь Kinsing? Я думаю этот вопрос заслуживает отдельной статьи.