Часто мне приходится доказывать, что я не верблюд. Например, приходится доказывать "админам", что нельзя выставлять эти порты в интернет. Аргументы моих опонентов таковы - вот тебе "шаренный" ресурс - попробуй "сломай", а потом мы с тобой поговорим. При этом добавляют, что, мол, у нас домены W2k, длинные пароли, мы их меняем регулярно и прочая.
Как мне доказать, что я не верблюд? Или я верблюд?
Спасибо.
ПС. Смеяться с меня можно. Смех продлевает жизнь ;))
Дык заплатка от DCOM-а13.08.04 12:07 Автор: amirul <Serge> Статус: The Elderman
> Появилась через полгода (или даже год) после обнаружения > самой уязвимости. Когда грянул msblast. Где гарантия, что > остальной нетбиос писан не так же?
amirul,
Мне всегда было важно твоё мнение. Объясни, пожалуйста, подробнее. И какое вообще имеет отношение DCOM к нетбиосу? Не понимаю ;(((
Хоть вопрос не ко мне, но позвольте встрять?14.08.04 14:56 Автор: Den <Денис Т.> Статус: The Elderman
> amirul, > Мне всегда было важно твоё мнение. Объясни, пожалуйста, > подробнее. И какое вообще имеет отношение DCOM к нетбиосу? > Не понимаю ;(((
Отношение такое же как у "Cumulative Update for Microsoft RPC/DCOM (828741)" к "Security Update for Microsoft Windows (835732)" или как у Lovesan'а (msblast) к Sasser'у (avserve).
В общем - две огромных зияющих черных дыры.
Ок. Спасибо за "наводку". Буду разбираться.... ;))15.08.04 01:45 Автор: void <Grebnev Valery> Статус: Elderman
Не редко используют решения MS (proxy, isa, echange), которые прямо смотрят в инет, и на которых почти всегда есть расшаренные папки. Так, вот открытыми порты могут оказаться из-за ошибок (со всеми бывает) или просто кривости админов. Так, один герой мне так и говорит - ты говорит сломай, а тогда я с тобой буду обсуждать дополнительные фичи, что перед isa должны бы стоять (там я пацану рассказывал, что недостаточно одной его ИСЫ. Не понимает гад).
На счет ISA я тоже не понимаю! Что (и зачем?) должно перед ним стоять? Подробнее зды...13.08.04 11:27 Автор: Sandy <Alexander Stepanov> Статус: Elderman
Моё мнение, как Вы понимете, только моё и возможно ошибочное.
1) Перед исой обязательно должен стоять нормальный межсетевой экран. Какой? (сертифицированный, несертифицированный, какого класса защищённости, какой функционадбности) - это уж другое дело. И зависит это дело от требований инф. безопасности, что предъявляются к конкретному учреждению.
Если особых требований нет и денег нет, то вполне достаточно перед исой взгромоздить BSD с ipfw (копешное решение), а то и несильной циской ограничиться со стандартным иос-ом (двухкопеешное решение).
2) Чем лично меня не устраивает ИСА (опять-таки интенсивность моего ворчания зависит от требований безопасности на предприятии):
- отвратно сделана комбинации статической и динамической фильтрации.
Динамическая фильтрация работает только по прикладным протокола, статическая же только по портам (для юдп\тсп).
Например, вы разрешаете для своих клиентов исы НТТР. Если вы думаете, что клиенты будут "смотреть" в инете только www(80) - глубоко ошибаетесь, вы даже не заметите, как ваши клиенты будут сливать инфу (возможно конф) на якобы "www" по портам - ЛЮБЫМ! И это с точки зрения ИСЫ совершенно нормально, ибо Вы сами разрешили НТТР. Выж ничего не говорили про порты ;))) Добавления же статических фильтров .... увы не поможет отцу русской демократии. :(
- невозможно контролировать и разграничивать доступ к http-прокси исы по клиентам (ПО). Например, вы не сможете разрешить использовать HTTP только для браузеров, и заблокировать доступ к другим клиентам (половина из которых - шпионско-троянская прога). Если думаете, что это сказки - поверьте нет....
- невозможноНОРМАЛЬНОконтролировать доступ клиентов сокс (по типу ПО) и клиентов фаревол ИСЫ. Если подскажете, где в диалоге ИСЫ найти те самые запрещения-разрешения - нэ надо. Там таки да, работает, но через пень-колоду. Короче говоря, если кто-то напишет клиента сокс (делается движением руки), что сливает конф.инфу в инет, скажем по SMTP - вы даже и не заметите. Всё будет совершенно легально. Справедливости ради, конечно, вы можете на исе разрешитьв_данном_примереSMTP с определённых хостов ЛАН. Это немного улучшит ситуацию, но не решит проблему по существу...
- дубовато сделано с фраментацией и опциями ИП. Только запрещаем или разрешаем. А если я хочу только отдельные опции ИП дропить? Понятно, что опции ИП в Российском сегменте инет практически никому не нужно (по моему опыту - это один пакет из 1000), но так ведь интернет не заканчивается на Российском сегменте.
- с возможность контроля опций ТСП - ну так у меня уже сердце болит. Вообще как бы этого нет.;(
- в конце концов это просто продукт M$, где о секурити говорить просто смешно. Хотя про каждодневные патчи секурити для этих самых продуктов говрить, конечно, можно. ;( И где не глянь - все патчи критические с точки зрения секурити (по заявлениям самого изготовителя).
- ИСА подвержена тем же проблемам уязвимостей изЛАН что и остальное ПО M$. Лично я считаю, что 90% проблем безопасности -угрозы из "внутренней" сети, из ЛАН. Рядом вот топики про дурявость DCOM +.
- при интенсивном трафике, при особой агрессии из инет, часто слетает фаревольный сервайс ИСЫ (прокси при этом живёт). Для меня часто - это хоть раз в неделю. Я просто не знаю, что происходит в диалоге ИСЫ с ИНТЕРНЕТ, когда этот сервай оказывается неработоспособным. Пусть даже на 1 минуту. Не знаю - значит могу предположить худшее.