|
ru.linux
- RU.LINUX ---------------------------------------------------------------------
From : Poruchik 2:5020/104.12 24 Jan 2008 23:09:25
To : Eugene B. Berdnikov
Subject : email + gprs?
--------------------------------------------------------------------------------
Thursday January 24 2008 19:13, Eugene B. Berdnikov wrote to Poruchik:
P>> развешенная по всему городу\шару, решается с рабочего места админа,
P>> изнутри сети, потому что
EB> Через vpn -- это именно "изнутри сети", только не физической, а
EB> логической.
Я эту логику, на носу вертел, честно. Ты нарисуй на бумажке эту ценную схему
и подумай над тем, как через неё тебя можно эффективно трахнуть.
EB> А рабочее место админа может быть и ноутом, если он не пасёт серверы
EB> с гостайной в брюхе или ядрёным реактором в порту. Причём в число
EB> возможных варианов удалённого доступа входит и "админ в
У тебя ни разу такого не было, что бы обычная маленькая фирмочка разорялась,
только потому, что конкурентам становилось известно, какой товар они заказали и
проплати привезти им из за бугра? Это к вопросу о реакторе.
В моей сфере, если админы на столько кретины, что даже просто допускают
мысль о том, что бы можно было пустить кого либо из них из дома во
внутрибанковскую сеть, то этих людей надо увольнять, по возможности быстро. Это
будет гораздо дешевле, чем один раз не отправить рейс. Чем такие хохмы кончаются
можешь повыяснять на примере ситибанка.
EB> командировке", "админ-аутсорер", и даже "админ на совещании/семинаре
EB> и
EB> сейчас сидит с ноутом на wi-fi" -- потому что wi-fi это физически не
EB> всегда "внутри".
Админу нефига делать на совещании, а если он начальник, то нефига ему лезть
с совещания радиоканалом в сеть, а уж давать ему админские\рутовые права --
вобще грех.
>> необходимости открывать лишнее, в данном конкретном случае, сервисы
>> наружу, а
EB> Hаружу только vpn, а ssh/etc уже под ним. Это аж 2 уровня защиты,
EB> между которыми можно засунуть файрвол, dmz и сирену группы быстрого
EB> реагирования.
Атака через доверенную сеть и проксирование через лигитимные для клиента,
заметим с админскими правами, сервисы. Одна. Одна атака. Тебе её хватит. Мне
хватило посмотреть на 30 банкоматов, которые потом грустно поднимали неделю, как
раз из-за того, что в цисковском иосе на тот момент обнаружили возможность для
ДДОС. Двойной впн, провайдера, наш, закрытый канал с банкомата, и шифрование
внутри закрытого канала с банкомата -- не помогли. Достаточно уронить один
уровень, что бы не работали все и одновременно.
P>> потом выяснять, где админ проипал ноут\ключи, на самом деле нет.
EB> Потребности нет по иной причине: ключи нормального vpn закрываются
EB> паролём.
И это мешает схватить кейлоггер?
P>> Задача типа "скучно" решается полностью деффками и шампанским,
P>> в его случае, сухариками, крепким чаем и книшкой.
EB> Hу, если доктор сказал в бордель -- значит, в бордель! ;)
Думаю его уже попустило, можно и в бордель. :-)
P>> В твоём случае, предлагаю просто признать случай тяжёлым.
P>> Причём, есть подозрение, что именно в твоём случае, он тяжёл не
P>> технологически, а, в основном, на голову, ну если судить по
P>> категоричности и не умению поставить себя на чужое место.
EB> Вы не хотите отнести эту сентенцию к себе? Я серьёзно.
Hет(С). Это не я влетел с шашкой наголо, не дав себе труда на секундочку
задуматься, даже над первой фразой. Hо ты, гляжу, исправляешься, это хорошо :-)
Потренируйся: почему у vertu такая слабая батарейка? :-)
Poruchik
--- GoldED/W32 3.0.1
* Origin: Везде бардак, хоть это и не ориджин :( (2:5020/104.12)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
