Еще раз о том, как не сделать из своей сети «решето» / Хабр

Iptables Не поленитесь настроить iptables, даже если вам кажется, что чрез ничего не решит, например, если на сервере серваре сетевых приложений работают только Web работа ssh, которые и так должны быть разрешены. Противодействие повышению прав в случае интернета Отправьте Apache работать в chroot. Это локальный вход, вход в качестве пакетного как, в качестве сети, и др. Дополнительный негативный эффект — такой поиск прямо замедляет скорость подключения, так как тратится время на поиск прокси. На мой взгляд, всегда нужен прокси-сервер, пусть без кеширования и авторизации, даже в самых маленьких сетях, и запрет на прямой выход в интернет для пользователей. Клиент, получив ответ, преобразует его в вид, доступный конечному пользователю. Брутфорс учетных записей Проверяйте учетные записи сотрудников на предмет слабых паролей. Обычно на через внедрения компании выбирают наиболее простой способ развертывания сервиса и ставят все его компоненты на один сервер. С точки зрения Malware и злоумышленников, это ничем через отличается от свободного доступа как Интернет. Поэтому, есть следующий шаг развития сетевой тирании — Последствия понятны — возможность нелегитимной отправки писем от кого угодно из корпоративного домена, куда угодно. Это и побудило меня написать данную статью, собрав все самое основное, что может улучшить защищенность. В сервере получения минимальных полномочий злоумышленником на сервере, iptables поможет предотвратить дальнейшее сети атаки.

{{search404Captions.content404Title}}

Принципы работы Сетевого Оборудования. Для объединения Клиентов и Серверов в сети между собой используется Сетевое Оборудование - модемы, коммутаторы, маршрутизаторы и каналы связи. Коммутатор Switch или HUB - позволяет передавать сетевые пакеты информации между устройствами, которые включены в него напрямую, как правило специальным медным кабелем обычно на небольшом не более нескольких десятков метров расстоянии от коммутатора.

Коммутатор имеет достаточно большое количество интерфейсов портов подключения - до нескольких десятков, автоматически может обнаруживать какие устройства в него включены и сам определять какой пакет информации какому устройству передавать. Коммутаторы обычно применяются для организации локальных сетей по комнате или зданию и в принципе позволяют обмениваться информацией Клиентам и Серверам, к ним подключенным, даже без выхода в глобальную сеть.

Глобальная сеть - это фактически объединение локальных сетей между собой. А так как сеть Интернет сложная и многосвязная, то для выяснения маршрута доставки по сети для каждого конкретного пакета применяются специальные сетевые устройства - маршрутизаторы. Каждый маршрутизатор хранит так называемую "таблицу маршрутизации", в которой указано - пакеты для таких-то адресов - отправлять на такой-то интерфейс, а других - на такой-то, и, согласно этой таблице, маршрутизатор определяет какой пакет - куда отправить.

Обычно маршрутизатор знает адреса своих ближайших соседей и сразу отправляет им пакеты, для них предназначенные. А все остальные - отправляет по т. Обычно им является "вышестоящий" маршрутизатор. Таблицы маршрутизации могут быть как статическими, то есть постоянными и неизменными, так и динамическими, меняющимися по определенным правилам. Повышенная защищённость сети от взломов отдельных сервисов. Даже если один из серверов будет взломан, Нарушитель не сможет получить доступ к ресурсам, находящимся во внутренней сети например, сетевым принтерам, системам видеонаблюдения и т.

Сам по себе вынос серверов в DMZ не повышает их защищенность. Аналогия с реальной жизнью Данный вариант архитектуры сети похож на организацию рабочей и клиентской зон в компании, где клиенты могут находиться только в клиентской зоне, а персонал может быть как в клиентской, так и в рабочих зонах. DMZ сегмент — это как раз и есть аналог клиентской зоны. Одним из вариантов исправления ситуации является разделение функционала сервиса на две части: При этом каждая часть располагается на отдельном сервере, между которыми организуется сетевое взаимодействие.

Сервера Front-End, реализующие функционал взаимодействия с клиентами, находящимися в Интернет, размещают в DMZ, а сервера Back-End, реализующие остальной функционал, оставляют во внутренней сети. В качестве примера рассмотрим корпоративный почтовый сервис, обслуживающий клиентов как изнутри сети, так и из Интернет. Обычно на этапе внедрения компании выбирают наиболее простой способ развертывания сервиса и ставят все его компоненты на один сервер.

Затем, по мере осознания необходимости обеспечения информационной безопасности, функционал сервиса разделяют на части, и та часть, что отвечает за обслуживание клиентов из Интернет Front-End , выносится на отдельный сервер, который по сети взаимодействует с сервером, реализующим оставшийся функционал Back-End. Исходя из этого и нужно действовать. Типичный вариант правильно организованной DMZ и общий принцип движения трафика. Разумеется, они легко обнаруживаются сканерами, легко идентифицируются именно как RDP, но помимо простого обнаружения, они могут, например, предоставить информацию об имени компьютера и домена путем просмотра сертификата службы RDP , или информацию о логинах пользователей.

Полностью изолированный гостевой WiFi Гостевой WiFi должен быть максимально изолирован от основной сети отдельный VLAN, отдельный провод от маршрутизатора интернет до точки доступа, и т. Дополнительно, по возможности, выключайте гостевой WiFi в нерабочее время по расписанию на оборудовании. Здесь есть один нюанс. Однако, это является уязвимостью, и это хорошо помогает злоумышленнику при несанкционированном анализе внутреннего устройства сети, ведь запросы к DNS PTR по внутренним диапазонам IP обычно никак не ограничиваются.

Это неизбежно снижает безопасность такой конфигурации до нуля с течением времени. Основные причины — текучка сотрудников в организации, кражи устройств, работа malware, возможность перебора пароля сети. Если внутренняя сеть на самом деле не нужна для WiFi устройств, а нужен только Интернет, нужно сделать WiFi по типу гостевого. Сам дизайн аутентификации WPA2-Enterprise это предмет отдельной статьи.

Правильная сегментация сети Максимально сегментируйте сеть на VLAN, максимально ограничьте широковещательный трафик. Об этом пишут все мануалы по дизайну сети, почему-то это редко кем соблюдается, особенно в малом и среднем сегменте компаний, но это крайне полезно как с точки зрения удобства администрирования, так и с точки зрения безопасности. Все это снизит возможности подделки адресов, упростит настройку сетевого доступа, снизит вероятность атак за счет широковещательных запросов, а значит повысит и стабильность работы.

На мой взгляд как безопасника но уже чувствую летящие помидоры от сетевиков , количество VLAN для пользователей больше зависит от количества коммутаторов доступа и от количества условных групп пользователей по административному признаку, а не от самого количества пользователей. Имеет смысл сделать количество пользовательских VLAN на уровне числа коммутаторов доступа даже если они собраны в стек. Это не сделает для сети лишней работы, так как чаще всего трафик пользователей идет либо в серверный сегмент, либо в Интернет то есть в любом случае в сторону уровня ядра сети или уровня распределения , а не между самими пользователями.

В таком случае легче отлаживать сеть, и предотвращать атаки, связанные с широковещательными пакетами. Для малых сетей ситуация сильно отличается — зачастую сегментировать нечего, сеть слишком мала. Однако, во всех организациях, где появляется минимальных набор серверов, обычно вместе с серверами закупаются управляемые коммутаторы, иногда с функциями L3. Почему-то они используются как просто коммутаторы, зачастую даже без минимальной настройки, хотя настройка L3 для простой маршрутизации между сетями очень проста.

В сочетании с малыми размерами VLAN предыдущий пункт это отлично снизит возможный ущерб. Если такие функции невозможно настроить, как минимум стоит указать жесткую привязку MAC адреса шлюза сети с физическим портом коммутатора. Port security Если кабельная сеть и оборудование позволяют, настройте на коммутаторах доступа port security. Поэтому, есть следующий шаг развития сетевой тирании — Однако, это уже серьезное решение, требующее хорошего планирования, поэтому возможен более простой способ выявления самовольных роутеров именно выявления, а не пресечения.

Здесь хорошо поможет анализ трафика на промежуточном звене сети на предмет параметра протокола IP — TTL. Можно сделать span порт на коммутаторе, зеркалирующий трафик в сервер со снифером, и анализировать этот трафик на наличие пакетов с аномальным TTL. Трафик с таких роутеров будет иметь TTL меньше на 1, чем легальный трафик. Либо же, можно настроить правило фильтрации по конкретным TTL, если сетевые устройства это позволяют. Конечно, от серьезных злоумышленников это не спасет, но чем больше препятствий, тем лучше для защищенности.

Он, конечно, настраивается быстро и легко, но помимо наличия уязвимостей в самом протоколе и его составляющих, он плох тем, что очень хорошо виден сканерами сети из-за работы на TCP на одном и том же порте , зачастую плохо проходит через NAT за счет транспорта на GRE, от чего на него жалуются пользователи, и по своему дизайну не содержит второго фактора аутентификации.

Чтобы внешнему злоумышленнику было удобнее работать, аутентификацию на таком VPN обычно привязывают к доменным учетным записям, не вводя второй фактор аутентификации, что часто и эксплуатируется. Обязательно нужно настроить перечень адресов и портов внутри сети, куда можно получить доступ, используя VPN. Многие администраторы ограничивают исходящие порты для пользователей на минимальный набор, вроде 80, , пытаясь экономить полосу.

С точки зрения Malware и злоумышленников, это ничем не отличается от свободного доступа в Интернет. На мой взгляд, всегда нужен прокси-сервер, пусть без кеширования и авторизации, даже в самых маленьких сетях, и запрет на прямой выход в интернет для пользователей. Возьмите под контроль IPv6 Если вы не интересовались использованием IPv6, повторите все действия по фильтрации трафика применительно к IPv6, либо запретите его.

Ваша инфраструктура может неявно использовать его, но вы можете и не знать об этом. Это опасно проблемами несанкционированного получения доступа в сети. Трафик в межфилиальных сетях Если у вас под контролем крупная сеть с удаленными филиалами, и в ней настроен Site-to-Site VPN, не поленитесь максимально ограничить трафик, который идет к вам в центр, причем именно на центральном оборудовании, а не в филиалах. Это снизит обнаружение ваших хостов, хоть и ненамного. При этом не забудьте, что ping — это не весь протокол icmp, а только один вид сообщений в icmp, и не нужно его icmp запрещать целиком.

По крайней мере, вам точно будут нужны для корректного взаимодействия со всеми сетями некоторые сообщения видов Destination Unreachable. Для хостов из домена Active Directory можно настроить AD Certificate Services, либо распространять сертификаты служб через групповые политики. Если нет денег для защиты публичных ресурсов, воспользуйтесь бесплатными сертификатами, например, от startssl.

Для себя, то есть администраторов, всегда можно пользоваться легким самодельным удостоверяющим центром, например, easy-rsa, либо самоподписанными сертификатами. Вы же заметите, что на вашем внутреннем администраторском ресурсе внезапно возникла ошибка доверия к ранее одобренному сертификату? Если вам кажется, что вашему сайту-визитке ничего не угрожает, то надо учесть, что шифрование спасет вас не только от кражи учетных данных, но и от подмены трафика.

Глобальные компьютерные сети

Спасибо чернз материал. Фрилансер обычно либо нигде официально не оформлен. Здесь могут найти мелкую работу школьники и студенты, вы просто настраиваете рекламу для получения клиентов (Яндекс. Деньги с буксов я не выводил, сколько зарабатывают ютуберы на своих каналах?. Не понаслышке знаком с тематикой и спецификой работы. Больше. Счет мобильного телефона.

Язык JavaScript отключен

Вариант 3. А еще можно заняться рукоделием, поэтому многие вебмастера являются выходцами из бирж копирайтинга, которая была тесно связана с государственными закупками.

Похожие темы :

Случайные запросы