Сообщение Re[5]: В чем польза DMZ для защиты от 05.09.2017 15:46
Изменено 05.09.2017 22:44 wildwind
Re[5]: В чем польза DMZ для защиты
Здравствуйте, Stalker., Вы писали:
S>если хакер запустил вирус на вебсервер способный захватить файловую систему с конфиг файлами, то что именно в ДМЗ остановит этот вирус от захвата теперь уже аппсервера с его конфиг файлами?
То, что апсервер находится не в DMZ, а во внутренней сети (это мне КО подсказал). А из DMZ на нем доступен только порт приложения, принимающего запросы. Ты, может быть, представляешь себе, что у хакера, атакующего сеть, есть некий супер-мега-вирус, способный проникнуть на любой сервер через любой порт. На самом деле все эти "вирусы" нацелены на конкретное ПО конкретных версий. И если версия используемый веб-вервер хакеру скорее всего известен (из загоолвков или по результатам сканирования из интернета), то какое ПО используется на аппсервере, нужно еще выяснить. Кроме того, при грамотном подходе к защите в сети работает IDS, которая анализирует трафик, проходящий через периметр, и сигнализирует о подозрительной активности.
S>Я как максимум вижу что здесь хакеру надо делать еще один шаг, это важно конечно и чем больше телодвижений надо сделать для захвата — тем выше безопасность, но непонятно насколько создание подобных прокладок реально усложняют захваты систем.
Именно так. Все меры в комплексе надежно отсекают закеров из разряда "нажми-на кнопку, получишь результат", узнавших вчера про Metasploit, а более серьезным ребятам сильно осложняют жизнь. Если интересно, почитай отчеты о пентестах, которые иногда публикуют. Весьма познавательно.
S>Вот из разработку усложнят
Разработку они усложняют при плохо организованном процессе. При правильно организованном разработчики отвечают за код, а за деплой и работоспособность боевого сервера отвечают админы.
S>если хакер запустил вирус на вебсервер способный захватить файловую систему с конфиг файлами, то что именно в ДМЗ остановит этот вирус от захвата теперь уже аппсервера с его конфиг файлами?
То, что апсервер находится не в DMZ, а во внутренней сети (это мне КО подсказал). А из DMZ на нем доступен только порт приложения, принимающего запросы. Ты, может быть, представляешь себе, что у хакера, атакующего сеть, есть некий супер-мега-вирус, способный проникнуть на любой сервер через любой порт. На самом деле все эти "вирусы" нацелены на конкретное ПО конкретных версий. И если версия используемый веб-вервер хакеру скорее всего известен (из загоолвков или по результатам сканирования из интернета), то какое ПО используется на аппсервере, нужно еще выяснить. Кроме того, при грамотном подходе к защите в сети работает IDS, которая анализирует трафик, проходящий через периметр, и сигнализирует о подозрительной активности.
S>Я как максимум вижу что здесь хакеру надо делать еще один шаг, это важно конечно и чем больше телодвижений надо сделать для захвата — тем выше безопасность, но непонятно насколько создание подобных прокладок реально усложняют захваты систем.
Именно так. Все меры в комплексе надежно отсекают закеров из разряда "нажми-на кнопку, получишь результат", узнавших вчера про Metasploit, а более серьезным ребятам сильно осложняют жизнь. Если интересно, почитай отчеты о пентестах, которые иногда публикуют. Весьма познавательно.
S>Вот из разработку усложнят
Разработку они усложняют при плохо организованном процессе. При правильно организованном разработчики отвечают за код, а за деплой и работоспособность боевого сервера отвечают админы.
Re[5]: В чем польза DMZ для защиты
Здравствуйте, Stalker., Вы писали:
S>если хакер запустил вирус на вебсервер способный захватить файловую систему с конфиг файлами, то что именно в ДМЗ остановит этот вирус от захвата теперь уже аппсервера с его конфиг файлами?
То, что апсервер находится не в DMZ, а во внутренней сети (это мне КО подсказал). А из DMZ на нем доступен только порт приложения, принимающего запросы. Ты, может быть, представляешь себе, что у хакера, атакующего сеть, есть некий супер-мега-вирус, способный проникнуть на любой сервер через любой порт. На самом деле все эти "вирусы" нацелены на конкретное ПО конкретных версий. И если используемый веб-вервер хакеру скорее всего известен (из заголовков или по результатам сканирования из интернета), то какое ПО используется на аппсервере, нужно еще выяснить. Кроме того, при грамотном подходе к защите в сети работает IDS, которая анализирует трафик, проходящий через периметр, и сигнализирует о подозрительной активности.
S>Я как максимум вижу что здесь хакеру надо делать еще один шаг, это важно конечно и чем больше телодвижений надо сделать для захвата — тем выше безопасность, но непонятно насколько создание подобных прокладок реально усложняют захваты систем.
Именно так. Все меры в комплексе надежно отсекают хакеров из разряда "нажми на кнопку, получишь результат", узнавших вчера про Metasploit, а более серьезным ребятам сильно осложняют жизнь. Если интересно, почитай отчеты о пентестах, которые иногда публикуют. Весьма познавательно.
S>Вот из разработку усложнят
Разработку они усложняют при плохо организованном процессе. При правильно организованном разработчики отвечают за код, а за деплой и работоспособность боевого сервера отвечают админы.
S>если хакер запустил вирус на вебсервер способный захватить файловую систему с конфиг файлами, то что именно в ДМЗ остановит этот вирус от захвата теперь уже аппсервера с его конфиг файлами?
То, что апсервер находится не в DMZ, а во внутренней сети (это мне КО подсказал). А из DMZ на нем доступен только порт приложения, принимающего запросы. Ты, может быть, представляешь себе, что у хакера, атакующего сеть, есть некий супер-мега-вирус, способный проникнуть на любой сервер через любой порт. На самом деле все эти "вирусы" нацелены на конкретное ПО конкретных версий. И если используемый веб-вервер хакеру скорее всего известен (из заголовков или по результатам сканирования из интернета), то какое ПО используется на аппсервере, нужно еще выяснить. Кроме того, при грамотном подходе к защите в сети работает IDS, которая анализирует трафик, проходящий через периметр, и сигнализирует о подозрительной активности.
S>Я как максимум вижу что здесь хакеру надо делать еще один шаг, это важно конечно и чем больше телодвижений надо сделать для захвата — тем выше безопасность, но непонятно насколько создание подобных прокладок реально усложняют захваты систем.
Именно так. Все меры в комплексе надежно отсекают хакеров из разряда "нажми на кнопку, получишь результат", узнавших вчера про Metasploit, а более серьезным ребятам сильно осложняют жизнь. Если интересно, почитай отчеты о пентестах, которые иногда публикуют. Весьма познавательно.
S>Вот из разработку усложнят
Разработку они усложняют при плохо организованном процессе. При правильно организованном разработчики отвечают за код, а за деплой и работоспособность боевого сервера отвечают админы.