|
ru.linux
- RU.LINUX ---------------------------------------------------------------------
From : Valentin Nechayev 2:5020/400 03 Feb 2008 19:18:15
To : Poruchik
Subject : Re: email + gprs?
--------------------------------------------------------------------------------
>>> Poruchik wrote:
P>>> развешенная по всему городу\шару, решается с рабочего места админа,
P>>> изнутри сети, потому что
EB>> Через vpn -- это именно "изнутри сети", только не физической, а
EB>> логической.
P> Я эту логику, на носу вертел, честно. Ты нарисуй на бумажке эту ценную
P> схему и подумай над тем, как через неё тебя можно эффективно трахнуть.
Hу видимо тех фирм, у которых опасность от "трахнуть" снаружи через
спёртые данные меньше опасности от того, что всё накроется и админу
придётся сильно долго ехать - таки менее 100%.
Можно подумать об обеспечении работы инструкциями, тренировками
персонала, etc. до такого уровня, чтобы никогда не было
необходимости (речь не про возможность) что-то делать снаружи.
Hо это дорого.
EB>> А рабочее место админа может быть и ноутом, если он не пасёт серверы
EB>> с гостайной в брюхе или ядрёным реактором в порту. Причём в число
EB>> возможных варианов удалённого доступа входит и "админ в
P> У тебя ни разу такого не было, что бы обычная маленькая фирмочка
P> разорялась, только потому, что конкурентам становилось известно, какой товар
P> они заказали и проплати привезти им из за бугра? Это к вопросу о реакторе.
Hу опять же ты опираешься на частные случаи и пытаешься их обобщить
на 100% ситуаций. В то время как их явно даже не 50.
А что бывают фирмочки с такими проблемами... да, верю. Только чаще
оказывается, что товар весь конкурентам известен (хотя бы потому,
что они могут зайти в магазин и посмотреть).
P> В моей сфере, если админы на столько кретины, что даже просто допускают
P> мысль о том, что бы можно было пустить кого либо из них из дома во
P> внутрибанковскую сеть, то этих людей надо увольнять, по возможности быстро.
P> Это будет гораздо дешевле, чем один раз не отправить рейс. Чем такие
P> хохмы кончаются можешь повыяснять на примере ситибанка.
Ситибанк совершенно не пример такого - по крайней мере по известным
мне данным. Это пример, когда вообще никакой реальной защиты не
было.
EB>> Hаружу только vpn, а ssh/etc уже под ним. Это аж 2 уровня защиты,
EB>> между которыми можно засунуть файрвол, dmz и сирену группы быстрого
EB>> реагирования.
P> Атака через доверенную сеть и проксирование через лигитимные для клиента,
P> заметим с админскими правами, сервисы. Одна. Одна атака. Тебе её хватит. Мне
P> хватило посмотреть на 30 банкоматов, которые потом грустно поднимали неделю,
P> как раз из-за того, что в цисковском иосе на тот момент обнаружили
P> возможность для ДДОС. Двойной впн, провайдера, наш, закрытый канал с
P> банкомата, и шифрование внутри закрытого канала с банкомата -- не помогли.
P> Достаточно уронить один уровень, что бы не работали все и одновременно.
Речь всё-таки про _DDOS_? И после этого поднимать _неделю_
банкоматы? Вместо того, чтобы через несколько секунд сделать
попытки реконнекта - и всё бы восстановилось само как только
восстановился тракт?
Кого-то у вас однозначно надо было уволить без выходного пособия.
Может, программистов, может, авторов ТЗ, но жертвы необходимы.
P>>> потом выяснять, где админ проипал ноут\ключи, на самом деле нет.
EB>> Потребности нет по иной причине: ключи нормального vpn закрываются
EB>> паролём.
P> И это мешает схватить кейлоггер?
Кейлоггер плюс спёртый ключ через троян - да, проблема такая может
быть. Hо это можно решить и техническими средствами, и политикой над
ними. Обычно достаточно не использовать Windows.:))
-netch-
--- ifmail v.2.15dev5.4
* Origin: Dark side of coredump (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
