?

Log in

No account? Create an account
На смерть периметра - Журнал Восставшей Машины [entries|archive|friends|userinfo]
ArkanoiD

[ userinfo | livejournal userinfo ]
[ archive | journal archive ]

На смерть периметра [Jan. 13th, 2015|07:41 pm]
ArkanoiD
[Tags|, ]

Некоторые радикалы от инфобеза уже лет пятнадцать пророчат нам смерть "периметра" и порицают деление сети на чистых и нечистых. Обычно, у них денег очень много. Другие, в то же время, сохраняют уверенность, что ничего удобнее вдумчивой сегментации с фаерволами не придумали. С одной стороны, "периметр" неуклонно сдает позиции, "фаерволы", сколько раз их не переименовывай в очередное модное слово, все менее эффективны, а резать зоны безопасности с помощью VLAN'ов уже давно считается общественно приемлемым поведением.

При этом мы, вопреки, как кажется, логике анализа рисков, упорно сопротивляемся попыткам нафигачить dual homed хостов, порт-форвардинга и прочей пакости. Точка обмена трафиком должна быть одна.

А собственно, почему? Казалось бы, если у тебя 100500 юзеров в офисной сети, минимум пять процентов из них -- долбоебы, которые нацепляют троянов, как им ни объясняй. И никакого периметра у тебя уже давно нет, потому что из этих троянов явно попадется тот, на который сигнатуры сраного антивируса не обучены, поставит свой уникальный пейлоад и потрет за собой следы.

И вероятность этого на десятичный, как минимум, порядок, выше, чем та, что хакиры будут тщательно ломать доступный с одного внешнего хоста самописный сервис, или что расковыряют тщательно обслуживаемый и вовремя пропатченный (в отличие от десктопа безвестного юзера) dual homed хост, или еще что. По оптимистичному прогнозу. По реалистичному при некотором размере сети можно смело считать ее равной единице.

Так откуда такая религиозная нетерпимость?

Я отвечу на этот вопрос. Потому что как только ты соглашаешься, что трафик у тебя может ходить как попало и ты это как попало даже не собираешься анализировать (опять же, не берем в рассчет богатых буратин, которые рядом с любым хостом могут поставить кучу сборщиков данных и анализаторов аномалий), у тебя опускаются руки. Все, можно плевать на пол, бросать на него объедки и ты понимаешь, что никогда, вообще никогда это разгрести будет невозможно.

А если ты этого не делаешь, у тебя есть шанс рано или поздно привести все это в человеческий вид. Или хотя бы надежда.
linkReply

Comments:
[User Picture]From: dmarck
2015-01-13 05:50 pm (UTC)
> Или хотя бы надежда.

Ну, как мне кажется, это крепко зависит от степени внутренней дисциплины and/or мотивированности.

Что, впрочем, факта не отменяет.
(Reply) (Thread)
[User Picture]From: otmenych
2015-01-13 05:52 pm (UTC)
Так критика «периметра» идёт как раз из того, что появляется море разнообразной хероты, за которой просто не успеваешь следить. Новые типы угроз появляются слишком часто, а производители «фаерволов» не успевают за ними следить. А на каждую сеть не посадишь профессионала, который будет руку на пульсе держать и сеть ковырять.

Ну и традиционное правило 80/20 (80% усилий уходит на контроль 20% угроз).

Блин, даже не знаю, как сформулировать. Короче, периметр прорван и бассейн захвачен, уже.
(Reply) (Thread)
[User Picture]From: Evgeny Kolesnikov
2015-01-13 06:35 pm (UTC)
Почему кремлевский забор сейчас выполняет декоративные функции, а подвиг китайских строителей никто не желает повторять (кроме их же самих, на электронном теперь уже уровне, с ровно тем же успехом)?

Броня в очередной раз проиграла. Надо менять тактику.
(Reply) (Thread)
From: karpion
2015-01-13 11:36 pm (UTC)
США построили стену на границе с Мексикой.
Израиль построил стену на границе с Палестиной.
Украина строит стену на границе с Россией.
Так что повторяют.
(Reply) (Parent) (Thread) (Expand)
[User Picture]From: _slw
2015-01-13 06:40 pm (UTC)
А если ты этого не делаешь, у тебя есть шанс рано или поздно привести все это в человеческий вид. Или хотя бы надежда.

коммунизм неизбежен
(Reply) (Thread)
From: luarvique
2015-01-13 07:06 pm (UTC)
Точно то же самое и с легалайзом, хехе! =)
(Reply) (Thread)
[User Picture]From: xsaper
2015-01-13 07:45 pm (UTC)
Идею за 7 лет отстоял, внедрил и пока держусь :)

Но что делать с, например Microsoft, который класть хотел на все правила и просит открыть печальные 445, 135, 139 и пр. для того же патчинга/мониторинга или другие печальные порты ко всем контроллерам домена для аутентификации NTLM/Kerberos?

Мне кажется, безответственность таких компаний в своих технических решениях и ломает в глазах многих (не только безопасников) идею периметра.
(Reply) (Thread)
From: karpion
2015-01-13 11:38 pm (UTC)
А разве у контроллеров домена на этих портах висят уязвимые сервисы???
(Reply) (Parent) (Thread) (Expand)
From: smallftg
2015-01-13 07:50 pm (UTC)

ато

У юзера куча дырявых браузеров с дырявими flash player-ами, джавами и адоб-ридерами. Там просто не паханное поле...
(Reply) (Thread)
[User Picture]From: xsaper
2015-01-13 08:24 pm (UTC)

Re: ато

Кстати да, и Adobe с Oracle не торопятся это исправить.
(Reply) (Parent) (Thread)
(Deleted comment)
(no subject) - (Anonymous) Expand
[User Picture]From: dma
2015-01-13 08:34 pm (UTC)
Не "руки опускаются", а "становится гораздо сложнее объяснить, зачем нужен безопасник".
Хотя, как только ты соглашаешься, что трафик у тебя может ходить как попало - это просто значит, что у тебя "периметр" внезапно теперь вокруг сервиса.
И это хорошо, на самом деле. Потому что больше нельзя ебашить везде телнет, не задумываясь.
(Reply) (Thread)
[User Picture]From: humpty_dumpty
2015-01-14 04:31 am (UTC)
На самом деле можно. Потому что как только ты говоришь "Теперь нельзя ебашить везде телнет не задумываясь" тебя вызывает начальство и говорит "А почему? Деды ебашили везде телнет не задумываясь! Отцы ебашили везде телнет не задумываясь! А ты тут пришёл такой умный и говоришь нельзя. Обоснуй." И тут ты понимаешь, что зря начал задумываться тем более совершенно очевидно, что тебе платят не за это.
(Reply) (Parent) (Thread) (Expand)
[User Picture]From: siamsky
2015-01-13 10:10 pm (UTC)
hh точка ru/vacancy/3284381

Администратор защиты информации
Компания "Сухой", Москва
от 24 000 до 28 000 руб.

Обязанности:

Администрирование систем защиты информации от несанкционированного доступа, участие в работах по созданию систем защиты информации объектов вычислительной техники.


Требования:

Высшее профессиональное образование (МАИ, МГТУ, МФТИ, МИРЭА) или любой другой технический ВУЗ, где есть кафедра защиты информации или специализация по организации компьютерных сетей и информационным технологиям.
Специализация: "Защита информации от несанкционированного доступа".
Желательно опыт службы в вооруженных силах, работа в компаниях-лицензиатах ФСТЭК России.
Желательно знание англ. языка.

Условия:

Хороший социальный пакет.
Тип занятости
Полная занятость, полный день
(Reply) (Thread)
[User Picture]From: arkanoid
2015-01-13 10:19 pm (UTC)
быхыхы
(Reply) (Parent) (Thread) (Expand)
[User Picture]From: vit_r
2015-01-13 10:30 pm (UTC)
Надо не периметр ограждать, а зоны выделять. Чтобы начальники и прочие кретины могли смотреть свою порнографию отдельно от основной работы.

Другое дело, среди админов кретинов сейчас предостаточно, а некоторые во время увольнения рассылают по конторе вирусы.
(Reply) (Thread)
[User Picture]From: arkanoid
2015-01-13 10:47 pm (UTC)
это-то очевидно.
(Reply) (Parent) (Thread)
[User Picture]From: kritik_at_work
2015-01-13 10:53 pm (UTC)
white listing for applications/DNS не спасет отца русской демократии?
мне кажется, что все к тому идет, по крайней мере на десктопе.
(Reply) (Thread)
[User Picture]From: arkanoid
2015-01-14 11:18 am (UTC)
Не идет. То есть, зависит от корпоративной культуры. Тем, у кого получается, повезло.
(Reply) (Parent) (Thread)
[User Picture]From: cdplayer
2015-01-14 02:56 am (UTC)
Ты Bromium смотрел?
(Reply) (Thread)
[User Picture]From: arkanoid
2015-01-14 11:21 am (UTC)
Руками не трогал, но подход очень верный. Но есть куча нюансов, как всегда. Иначе бы задача решалась проще. Можно было бы и на tails все делать.
(Reply) (Parent) (Thread)
[User Picture]From: humpty_dumpty
2015-01-14 04:21 am (UTC)
Ещё один всё понял.
Только к шансам и надеждам всё это не имеет никакого отношения. Как только ты соглашаешься, что трафик у тебя может ходить как попало и ты это как попало даже не собираешься анализировать это значит, что твоя работа на самом деле сплошная имитация и тебе теперь с этим жить, а так же со страхом, что когда-нибудь это поймёт и руководство. И ты убеждаешь себя, что это всё равно лучше чем ничего и что твоя деятельность имеет смысл.
(Reply) (Thread)
[User Picture]From: xsaper
2015-01-14 08:47 am (UTC)
Тсс, не пали всех! :)
(Reply) (Parent) (Thread)
[User Picture]From: auto194419
2015-01-14 10:21 am (UTC)
я вообще не понимаю, какой нахер периметр. я в КАЖДОЙ конторе, где консультирую, сталкиваюсь с таким вот дебилом-эникейщиком. да пошёл ты нахуй со своими заборами! да и нету уже ничего кроме gmail, gdocs/office36*, и gdrive/dropbox. ну нету.

а дебилам надо выдавать хромбуки. и пиздить за нытьё :)

UPD: забыл про всякие git'ы и тп - но они все тоже в облаке.

Edited at 2015-01-14 10:22 am (UTC)
(Reply) (Thread)
[User Picture]From: arkanoid
2015-01-14 10:48 am (UTC)
Это у тебя нету. А у людей дохуя чего есть.
(Reply) (Parent) (Thread)
From: spqr_voldi
2015-01-23 07:30 pm (UTC)
В одной не сильно мелкой конторе сочетание административного деления и физического расположения было таким, что не контролировалась и не могла контролироваться большая часть сети (со своими шлюзами наружу), при этом начальство было уверено в том, что у них периметр, какие-то брандмауэры и прочий анализ трафика внедрялся.
(Reply) (Thread)
[User Picture]From: arkanoid
2015-01-24 03:22 pm (UTC)
so typical
(Reply) (Parent) (Thread)