Important (надуло в firewall-wizards)

[arkenoi]

Most organizations have already given up control over outgoing
traffic. What they don't realize is that, by extension, they have
also given up control over incoming traffic.

mjr.

Ну, друзья мои, вы тут все, конечно, не пальцем деланные, и понимаете, что в нашей (см тэги) области все не плохо,
а очень плохо (как и везде, просто об остальном мы меньше знаем).
Но вот этот документ ОБЯЗАТЕЛЕН к изучению всеми, кто имеет хоть какое-то отношение к проблематике компьютерной безопасности - просто для ориентации в реальном мире.

В двух словах - 80% firewall'ов можно просто выбросить без большого ущерба - они и так все пропускают. Ну, то есть заменить на грошовую китайскую NAT-коробку. 60% не фильтруют даже Netbios и RPC. 85% сконфигурированы с чудовищными ошибками - объекты, части которых живут в разных зонах безопасности, например. Ну и так далее.

http://www.eng.tau.ac.il/~yash/computer2004.pdf

Конечно, ориентация на Checkpoint дает несколько нерепрезентативную выборку, но это дерьмо ведь до сих пор лидер рынка..

"7% людей, говорите? да каждый второй уже!" (c)

Comments

[oldmann.livejournal.com]

В FW-1, если мне не изменяет память, были дырки на remote root во время оно.

[zynaps.livejournal.com]

Слушай, а можно executive summary или, что лучше, твой пересказ этой статьи о шести страницах? Неохота просеивать творчество человека, которому платят за строчку.

[1master.livejournal.com]

+1

впрочем я подозреваю, что сухой остаток будет "ломают нонче не протоколы и сети, а приложения, а их хрен кто кроме разработчика защитит". И это правда.

[yakov-sirotkin.livejournal.com]

Думаю, "ломать" в большинстве случаев будет слишком громким словом:) Единственное, что спасает - малое количество злонамеренных людей, которым было бы интересно ломать всякое корпоративное барахло.

[arkanoid.livejournal.com]

ну это скорее сухой остаток общих дискуссий в firewall-wizards, почитай, там весело:

http://honor.trusecure.com/pipermail/firewall-wizards/2006-January/thread.html#start

[arkanoid.livejournal.com]

Табличка в начале третьей страницы и комментарий внизу. Вообще там практически все по делу.

[dr-nicodimus.livejournal.com]

> В двух словах - 80% firewall'ов можно просто выбросить без большого ущерба - они и так все пропускают.

По содержанию статьи - скорее уволить 80 % админов. А всё потому, что установкой и администрацией брандмауэров занимаются не админы по безопасности, а просто админы, имеющиеся под рукой. Давайте заставим почтальона заодно работать и участковым ментом, и посмотрим на преступность на участке :))

А в плане статистики Соляра вс. Винда вс. Нокиа Бзда и размер компании, не знаю, имеет ли это какое-то отношение или нет, но нечто подобное регулярно вижу и с 802.11.
У здоровых контор и организаций гораздо больше настежь открытых сеток, даже по сравнению с домашними пользователями, не говоря уже о мелких компаниях. Зато если сравнивать "закрытые", то у здоровых контор с "закрытыми" сетками больше процент WPA обоих версий, чем у мелких и домашних юзеров. Причин тому куча, и если честно, описывать их просто влом :)

Да это понятно

[arkanoid.livejournal.com]

кстати, подбил бы статистику да дал бы анализ, а мы бы и почитали.

Re: Да это понятно

[dr-nicodimus.livejournal.com]

А всё равно для второй Wi-Foo будем устраивать очередной мегавардрайв, так что прийдется. Только вот хотелось бы ещё покрыть ГолубойЗуб, а учитывая качество и возможности имеющихся для этого утилит, нужен свой сканнер / брутфорсер и т.д., вот dr_schmulge его добьет, и займемся.

Навскидку по последнему в Москве: "закрыто" около 30-40 % сетей, где-то половина из них - WPA, из которого пара процентов - WPA2. От общего количества найденных сетей, WPA Industry всего 8-9 %, видел и одну сетку с обычным WEPом, крутящим ключи через 802.1х :)

читал я тебя и придумалась поговорка...

[ex-ivlad.livejournal.com]

не так плох чекпойнт, как его админы. :)

[xfyre.livejournal.com]

слушай, вот я не очень в теме, но мне всегда казалось, что применение правила "запретить все и разрешить только то, что необходимо бизнесу" нормально решает чуть ли не любую ситуацию, независимо от сложности, будь это обычный iptables или сложный корп. файрволл.

так что разруха-то скорее в головах а не в клозетах.

[furry.livejournal.com]

Угу. Только в изрядной доле случаев "что нужно бизнесу" неизвестно, а в половине остальных случаев уязвимым оказывается и то, что нужно ;-)))

[xfyre.livejournal.com]

... что, в свою очередь, тезис про разруху только подтверждает :)

[furry.livejournal.com]

О, несомненно ;-) Причем в головах как админов, так и разработчиков..

[iskatel.livejournal.com]

Заказчик, который сам может квалифицированно сказать, что он хочет - редкость. Впрочем, типовой заказчик и с помощью исполнителей задачу сразу внятно не сформулирует.

[arkanoid.livejournal.com]

Да ничего оно не решает, кстати говоря. Потому что говорить об информационных потоках в терминах уровня tcp/udp это смешно.

Особенно с преобладанием "firewall-friendly" (читай, тунеллируемых по http, убил бы) приложений.

Но статья не об этом, а о том, что даже применительно к существующим инструметнальным средствам разруха в головах приносит ужасающие последствия.

[arkanoid.livejournal.com]

см ответ ниже.

[iskatel.livejournal.com]

>> 60% не фильтруют даже Netbios и RPC. 85% сконфигурированы с чудовищными ошибками

А значит, бот-неты жили, живут и будут процветать.

[sanches.livejournal.com]

О! А напиши мне статеечку на данную тему?

[ex-jane-bai.livejournal.com]

ошибки делают люди.
людей этих не контролируют.
правило "запрети все" не работет потому как непонятно что разрешать
что нужно бизнесу - неизвестно
потому как скорей всего во всех конторах кризис управления
а кризис управления сидит в башке у директора
а если директор дурак, то никакие файрволы не помогут)))))))))))

[netsentry.livejournal.com]

Нормальная такая статья с ужасающими выводами.
Причем вполне нормальный научно-рекламный стиль - сперва говорим "80% МСЭ не удовлетворяют элементарному критерию", а потом указываем в описании критерия "в общем, часто это приводит к нарушению безопасности" (см, например, 12).
Всегда приводит? Нет, конечно нет.
А сколько из "ошибочных" конфигураций действительно уязвимы? Молчание.

То же самое про 11 критерий. Разрешать Any плохо? Концептуально, да. Сто пудов.
На практике - а давайте посмотрим, какие там правила блокировки стоят.

Вес ошибко 2-4 и 5 отчетливо разный. Однако считаются они одинаково.

В общем, по уровню ИМХО - курсовая работа хорошиста.
Я бы своим деткам больше не поставил, сорри.

[arkanoid.livejournal.com]

Меня сначала тоже смутило, подумал, может, не так все и плохо? Вчитался - нет, все-таки плохо. Хотя да, изложено сумбурно.

[netsentry.livejournal.com]

дело не в сумбурности, а в очевидном передергивании.
полезная статья для семинара курса для третьего.

[arkanoid.livejournal.com]

Это все же именно сумбурность, потому что несмотря на некорректное изложение, выводы все же можно сделать верные. Кстати интересно, как получилось что в 90% случаев в конфигурации оказывются объекты с элементами на разных интерфейсах?