Смотря какой бизнес, и чем он занимается.
Ну у нас никто никакие тимсы и дырозумы не осваивал.
VPN уже есть, просто коммютеров добавили, внутренний чатик уже был, и ему после того, как юзер через VPN прошёл на свою машинку, ничего лишнего не надо, etc.
-
Вообще никаких проблем с переходом на удалёнку не возникло. Отчасти из-за того, что всё уже в принципе и так готово. Единственный момент был в том, чтобы максимально обезопасить аутентификацию на внутренние машины для коммютеров — чтобы потенциально хакнутые домашние компы не представляли угрозы, но и это решилось.
-
Я правда сразу оговорюсь: для нас важнее сделать так, чтобы залетевший за какой-либо из периметров случайный дятел не мог быстро натворить дел — оборудование разбросано по всей Европе, даже при их небольших расстояниях инженерам ездить долго и накладно. Те же утечки имеют куда меньший приоритет.
Ну уж зачем так-то подставляться под огонь?
https://haveibeenpwned.com/PwnedWebsites
Там в основном мелочёвка, но надо листать глубже:
-
— Avast
— Badoo (!)
— Comcast (!)
— Dropbox (!)
— Epic Games (!)
— Forbes
— Indian Railways
— imgur
— Kickstarter
— Last.fm
— LinkedIn (!!!)
— LiveJournal
— mail.ru (:D)
— MasterCard (!!!!!!!!!!)
— OVH (правда там тупо форумные аккаунты)
— Patreon
— Rambler (:D)
— Sony (!!!)
— Taobao (!)
— VTentacle (:D)
и т.п.
-
И это, замечу, только легко идентифицируемые утечки credentials, только сетевых компаний, только с внешней инфраструктуры. Те, что с внутренней и более серьёзные по контенту (типа разработок, бизнес-планов, документации, финансовых данных) — так легко не идентифицируются, циркуляция более ограничена.
-
Кстати большинство этих утечек — как раз голым задом или почти выставленная в открытый мир инфраструктура.
В чём прелесть VPN — это в том, что условный васян не будет сканировать внутренние системы на предмет дыр. Ему сначала придётся затроянить мою машину, да так, чтобы я этого не заметил. Потом даже если с этой затрояненной машины он попадёт за VPN, ему придётся пройти как раз следующий этап — анализа рабочих машин на предмет как туда попасть, и только после этого он попадёт к оборудованию, которое естественно тоже не голым задом в изолированный сегмент, там своя аутентификация :)
Именно так. А потом админ жмёт кнопку — и вылезает жопа, не вылезшая на тестовых системах :) А жопа у админа в мыле потому, что окно небольшое :)
-
И да, не везде возможны окна вида «положить всё». В данном случае окно вида «ляжет, ну, херово, но если быстро поднять, то терпимо». Окна вида «можно положить всё», увы, непозволительная роскошь.
Интерфейсы управления критическим инфраструктурным оборудованием и сейчас в открытую сеть не выставляются. А когда от твоей работы зависит наличие сети и телефонии у фиговой тучи крупных госпиталей и прочих госструктур (и фиговой тучи физиков попутно) — особенно.
-
Видя кучу утечек у стильно-модно-молодёжных и не очень компаний понимаешь, что этот «костыль» своего значения не потерял, просто девляпсики любят смузи, а этот «костыль» не любят очень, сложновато для неокрепших мозгов. Та же (причём сильно упрощённая для пользователя) криптография вобьёт под плинтус каждого второго. Не говоря уже о том, что для дебага надо понимать, что там твориться, неокрепшим мозгам логи VPN-устройств или софта обычно просто не удаётся разобрать даже с поллитрой подмышкой.
Чтобы Dell/Compellent выкатил апдейт на SCv — их надо об этом отдельно просить. Или они предупреждают, когда critical. Далее согласовывается окно, и выполняется обновление — либо под присмотром их инженеров поддержки, либо таковые просто уведомляются по факту завершения обновления или возникновения проблем. Обновления с релиза на релиз — только под присмотром в согласованное окно времени. Такие дела. Реальный SAN — это не корм для хомячков :)
---
> Apple обновил MacOS, половина приложение не работает
Яббловодам придётся пострадать, дело привычное :)
Управлять без VPN оборудованием в частично изолированной среде (сиречь без транзита интерфейсов систем управления к внешнему миру) трудновато :) Да и через VPN ещё приходится сначала залогиниться на рабочую систему, с VPN-подсеток доступа к оборудованию тоже нет.
Какая она нафиг кошка. Закрытое криволапие, да ещё с лицензионными нарушениями, и анально огороженное от взгляда на систему. Но свою работу — допустим NAT на два ISP и кучу IPSec'а, OSPF, GRE/IPIP-туннели, etc. — делает, без необходимости городить костыли, без активного охлаждения, при очень маленьком размере и энергопотреблении нормального роутера и нищебродском по сути ценнике. Приятным бонусом — WiFi. Как-то так.
А чего бы его не обсирать, если вчера из-за прилетевшего на серверы _обкатанного предварительно на тестовых площадках и не давшего там проблем_ апдейта у админа была задница в мыле, потому что треть из них посбрасывала настройки сетевых интерфейсов. Я ему так и сказал в очередной раз — отключи эти обновления драйверов нахрен и обновляйся руками раз в полгода. К большому счастью _почти_ ничего не легло, потому что всё дублированное, но неприятность.
Абсолютно правильно. А помимо католической — ещё и Mikrotik. А помимо него — много кошки на работе.
-
Если интересно — сейчас я подключен через ту самую пару кошки и микротика через двух операторов сразу :) А на работу — через два туннеля VPN :)
Аваст так-то хуже любого вируса, эксплуатирующим соболезнования.
Не понимаю, чем этим людям встроенного дефендера не хватает.
Эпоха навесных антивирей в дуршлаге вообще прошла, там встроенный нормальный.
Для построения ботнетов используются говнонедороутеры наделанные говнобракоделами и очень популярные у неплатёжеспособных говнопокупателей — ибо говнодёшево.
-
В ATM дуршлаг используют потому, что древнющий софт под него заточен, причём дуршлаг по этой же причине спокойно может быть XP, а не спасательная десяточка. Про то, что никакие дыры в таковой уже 100500 лет не затыкаются, напоминать? Безопасность там обеспечена тем, что ты в этот дуршлаг снаружи ничего не загрузишь, а изнутри он сидит окопавшись от внешнего мира и огородившись в не менее изолированный VPN.
-
Всё остальное вода.
-
Про циску — каждый год наслаждаемся всяким, но почему-то даже при этом наслаждении на роутеры дуршлаг так ставить и не начали :) Видимо, мазохисты, сэр. 90% публично доступных сайтов на дуршлаге также не работают. Публичная инфраструктура DNS не на дуршлаге. И так далее.
Абсолютно. Только хотел сказать — разрешение подкачало. Был бы Full HD — была бы конфетка. Причём это тупо позиционирование, поддержка Full HD ценник сильно не увеличила бы.
Ну у нас никто никакие тимсы и дырозумы не осваивал.
VPN уже есть, просто коммютеров добавили, внутренний чатик уже был, и ему после того, как юзер через VPN прошёл на свою машинку, ничего лишнего не надо, etc.
-
Вообще никаких проблем с переходом на удалёнку не возникло. Отчасти из-за того, что всё уже в принципе и так готово. Единственный момент был в том, чтобы максимально обезопасить аутентификацию на внутренние машины для коммютеров — чтобы потенциально хакнутые домашние компы не представляли угрозы, но и это решилось.
-
Я правда сразу оговорюсь: для нас важнее сделать так, чтобы залетевший за какой-либо из периметров случайный дятел не мог быстро натворить дел — оборудование разбросано по всей Европе, даже при их небольших расстояниях инженерам ездить долго и накладно. Те же утечки имеют куда меньший приоритет.
https://haveibeenpwned.com/PwnedWebsites
Там в основном мелочёвка, но надо листать глубже:
-
— Avast
— Badoo (!)
— Comcast (!)
— Dropbox (!)
— Epic Games (!)
— Forbes
— Indian Railways
— imgur
— Kickstarter
— Last.fm
— LinkedIn (!!!)
— LiveJournal
— mail.ru (:D)
— MasterCard (!!!!!!!!!!)
— OVH (правда там тупо форумные аккаунты)
— Patreon
— Rambler (:D)
— Sony (!!!)
— Taobao (!)
— VTentacle (:D)
и т.п.
-
И это, замечу, только легко идентифицируемые утечки credentials, только сетевых компаний, только с внешней инфраструктуры. Те, что с внутренней и более серьёзные по контенту (типа разработок, бизнес-планов, документации, финансовых данных) — так легко не идентифицируются, циркуляция более ограничена.
-
Кстати большинство этих утечек — как раз голым задом или почти выставленная в открытый мир инфраструктура.
-
И да, не везде возможны окна вида «положить всё». В данном случае окно вида «ляжет, ну, херово, но если быстро поднять, то терпимо». Окна вида «можно положить всё», увы, непозволительная роскошь.
-
Видя кучу утечек у стильно-модно-молодёжных и не очень компаний понимаешь, что этот «костыль» своего значения не потерял, просто девляпсики любят смузи, а этот «костыль» не любят очень, сложновато для неокрепших мозгов. Та же (причём сильно упрощённая для пользователя) криптография вобьёт под плинтус каждого второго. Не говоря уже о том, что для дебага надо понимать, что там твориться, неокрепшим мозгам логи VPN-устройств или софта обычно просто не удаётся разобрать даже с поллитрой подмышкой.
---
> Apple обновил MacOS, половина приложение не работает
Яббловодам придётся пострадать, дело привычное :)
-
Если интересно — сейчас я подключен через ту самую пару кошки и микротика через двух операторов сразу :) А на работу — через два туннеля VPN :)
Не понимаю, чем этим людям встроенного дефендера не хватает.
Эпоха навесных антивирей в дуршлаге вообще прошла, там встроенный нормальный.
-
В ATM дуршлаг используют потому, что древнющий софт под него заточен, причём дуршлаг по этой же причине спокойно может быть XP, а не спасательная десяточка. Про то, что никакие дыры в таковой уже 100500 лет не затыкаются, напоминать? Безопасность там обеспечена тем, что ты в этот дуршлаг снаружи ничего не загрузишь, а изнутри он сидит окопавшись от внешнего мира и огородившись в не менее изолированный VPN.
-
Всё остальное вода.
-
Про циску — каждый год наслаждаемся всяким, но почему-то даже при этом наслаждении на роутеры дуршлаг так ставить и не начали :) Видимо, мазохисты, сэр. 90% публично доступных сайтов на дуршлаге также не работают. Публичная инфраструктура DNS не на дуршлаге. И так далее.