информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Атака на InternetSpanning Tree Protocol: недокументированное применениеСтрашный баг в Windows
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Очередное исследование 19 миллиардов... 
 Оптимизация ввода-вывода как инструмент... 
 Зловреды выбирают Lisp и Delphi 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / sysadmin
Имя Пароль
если вы видите этот текст, отключите в настройках форума использование JavaScript
ФОРУМ
все доски
FAQ
IRC
новые сообщения
site updates
guestbook
beginners
sysadmin
programming
operating systems
theory
web building
software
hardware
networking
law
hacking
gadgets
job
dnet
humor
miscellaneous
scrap
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
Ламерский вопрос про 139, 445 порты в интернет. 13.08.04 02:11  
Автор: void <Grebnev Valery> Статус: Elderman
<"чистая" ссылка> <обсуждение закрыто>
Часто мне приходится доказывать, что я не верблюд. Например, приходится доказывать "админам", что нельзя выставлять эти порты в интернет. Аргументы моих опонентов таковы - вот тебе "шаренный" ресурс - попробуй "сломай", а потом мы с тобой поговорим. При этом добавляют, что, мол, у нас домены W2k, длинные пароли, мы их меняем регулярно и прочая.

Как мне доказать, что я не верблюд? Или я верблюд?

Спасибо.

ПС. Смеяться с меня можно. Смех продлевает жизнь ;))
Дык заплатка от DCOM-а 13.08.04 12:07  
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка> <обсуждение закрыто>
Появилась через полгода (или даже год) после обнаружения самой уязвимости. Когда грянул msblast. Где гарантия, что остальной нетбиос писан не так же?
amirul, 14.08.04 02:09  
Автор: void <Grebnev Valery> Статус: Elderman
<"чистая" ссылка> <обсуждение закрыто>
> Появилась через полгода (или даже год) после обнаружения
> самой уязвимости. Когда грянул msblast. Где гарантия, что
> остальной нетбиос писан не так же?

amirul,
Мне всегда было важно твоё мнение. Объясни, пожалуйста, подробнее. И какое вообще имеет отношение DCOM к нетбиосу? Не понимаю ;(((
Хоть вопрос не ко мне, но позвольте встрять? 14.08.04 14:56  
Автор: Den <Денис Т.> Статус: The Elderman
<"чистая" ссылка> <обсуждение закрыто>
> amirul,
> Мне всегда было важно твоё мнение. Объясни, пожалуйста,
> подробнее. И какое вообще имеет отношение DCOM к нетбиосу?
> Не понимаю ;(((

Отношение такое же как у "Cumulative Update for Microsoft RPC/DCOM (828741)" к "Security Update for Microsoft Windows (835732)" или как у Lovesan'а (msblast) к Sasser'у (avserve).
В общем - две огромных зияющих черных дыры.
Ок. Спасибо за "наводку". Буду разбираться.... ;)) 15.08.04 01:45  
Автор: void <Grebnev Valery> Статус: Elderman
<"чистая" ссылка> <обсуждение закрыто>
Это у Ваших админов ламерские вопросы. 8-) 13.08.04 04:06  
Автор: Zef <Alloo Zef> Статус: Elderman
<"чистая" ссылка> <обсуждение закрыто>
Вообще-то нормальный подход нормального админа: "Все, что не необходимо - запрещено."

На кой ляд выставлять эти порты наружу? Разве, что они для себя бэкдоры оставляют...

Если даже есть ненормальный софт, который на эти порты должен коннектиться снаружи, их разрешают ACLом, только для конкретных хостов.
Типичная ситуация... 13.08.04 05:37  
Автор: void <Grebnev Valery> Статус: Elderman
<"чистая" ссылка> <обсуждение закрыто>
Не редко используют решения MS (proxy, isa, echange), которые прямо смотрят в инет, и на которых почти всегда есть расшаренные папки. Так, вот открытыми порты могут оказаться из-за ошибок (со всеми бывает) или просто кривости админов. Так, один герой мне так и говорит - ты говорит сломай, а тогда я с тобой буду обсуждать дополнительные фичи, что перед isa должны бы стоять (там я пацану рассказывал, что недостаточно одной его ИСЫ. Не понимает гад).
На счет ISA я тоже не понимаю! Что (и зачем?) должно перед ним стоять? Подробнее зды... 13.08.04 11:27  
Автор: Sandy <Alexander Stepanov> Статус: Elderman
<"чистая" ссылка> <обсуждение закрыто>
Моё мнение, как Вы понимете, только моё и возможно... 14.08.04 03:13  
Автор: void <Grebnev Valery> Статус: Elderman
<"чистая" ссылка> <обсуждение закрыто>
Моё мнение, как Вы понимете, только моё и возможно ошибочное.

1) Перед исой обязательно должен стоять нормальный межсетевой экран. Какой? (сертифицированный, несертифицированный, какого класса защищённости, какой функционадбности) - это уж другое дело. И зависит это дело от требований инф. безопасности, что предъявляются к конкретному учреждению.

Если особых требований нет и денег нет, то вполне достаточно перед исой взгромоздить BSD с ipfw (копешное решение), а то и несильной циской ограничиться со стандартным иос-ом (двухкопеешное решение).

2) Чем лично меня не устраивает ИСА (опять-таки интенсивность моего ворчания зависит от требований безопасности на предприятии):

- отвратно сделана комбинации статической и динамической фильтрации.
Динамическая фильтрация работает только по прикладным протокола, статическая же только по портам (для юдп\тсп).
Например, вы разрешаете для своих клиентов исы НТТР. Если вы думаете, что клиенты будут "смотреть" в инете только www(80) - глубоко ошибаетесь, вы даже не заметите, как ваши клиенты будут сливать инфу (возможно конф) на якобы "www" по портам - ЛЮБЫМ! И это с точки зрения ИСЫ совершенно нормально, ибо Вы сами разрешили НТТР. Выж ничего не говорили про порты ;))) Добавления же статических фильтров .... увы не поможет отцу русской демократии. :(

- невозможно контролировать и разграничивать доступ к http-прокси исы по клиентам (ПО). Например, вы не сможете разрешить использовать HTTP только для браузеров, и заблокировать доступ к другим клиентам (половина из которых - шпионско-троянская прога). Если думаете, что это сказки - поверьте нет....

- невозможноНОРМАЛЬНОконтролировать доступ клиентов сокс (по типу ПО) и клиентов фаревол ИСЫ. Если подскажете, где в диалоге ИСЫ найти те самые запрещения-разрешения - нэ надо. Там таки да, работает, но через пень-колоду. Короче говоря, если кто-то напишет клиента сокс (делается движением руки), что сливает конф.инфу в инет, скажем по SMTP - вы даже и не заметите. Всё будет совершенно легально. Справедливости ради, конечно, вы можете на исе разрешитьв_данном_примереSMTP с определённых хостов ЛАН. Это немного улучшит ситуацию, но не решит проблему по существу...

- дубовато сделано с фраментацией и опциями ИП. Только запрещаем или разрешаем. А если я хочу только отдельные опции ИП дропить? Понятно, что опции ИП в Российском сегменте инет практически никому не нужно (по моему опыту - это один пакет из 1000), но так ведь интернет не заканчивается на Российском сегменте.

- с возможность контроля опций ТСП - ну так у меня уже сердце болит. Вообще как бы этого нет.;(

- в конце концов это просто продукт M$, где о секурити говорить просто смешно. Хотя про каждодневные патчи секурити для этих самых продуктов говрить, конечно, можно. ;( И где не глянь - все патчи критические с точки зрения секурити (по заявлениям самого изготовителя).

- ИСА подвержена тем же проблемам уязвимостей изЛАН что и остальное ПО M$. Лично я считаю, что 90% проблем безопасности -угрозы из "внутренней" сети, из ЛАН. Рядом вот топики про дурявость DCOM +.

- при интенсивном трафике, при особой агрессии из инет, часто слетает фаревольный сервайс ИСЫ (прокси при этом живёт). Для меня часто - это хоть раз в неделю. Я просто не знаю, что происходит в диалоге ИСЫ с ИНТЕРНЕТ, когда этот сервай оказывается неработоспособным. Пусть даже на 1 минуту. Не знаю - значит могу предположить худшее.

- контроль майм - весьма условный.
1




Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2025 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach