forum.opennet.ru

Составление сообщения

Исходное сообщение

"Выпуск системы обнаружения атак Suricata 7.0 "
Отправлено noc101, 20-Июл-23 18:49

> 1. забудьте про существование любых локальных сетей, в 2023 любоая локальная сеть
> по факту публичная и настроено в ней должно быть все точно
> так же как если бы торчало в интернеты.
Ты хотел сказать, что в локальной сети между хостами надо настраивать так как же и выход/вход в глобальную сеть? Да, почти да. В Локальной сети по хорошему надо даже жестче настраивать хождение трафика и пользователей. Тупо потому, что на это есть больше инструментов и возможностей.
Зачем только ты пишешь забыть про локальную сеть? Это глупость.
> 2. Ипсользуйте нормальный дистрибутив который следит и обновляет все сесюрити rhelклоны
> дебиан/убунта альпина etc. Обновляйтесь сразу как только обновление вышло, имейте способ
> безболезненного отката. Обновление безопасности всегда ставится по логике сначала ставим
> потом думаем, никакого предварительного тестирования быть тут не может, время ваш
> враг.
Обновлять надо тоже с умом. Не надо тормозить с обновлениями, но и спешить нельзя.
Во первых смотреть если ты там патчи безопасности, если нету, то можно пропустить одно обновление не сильно боясь. Или подождать, а то может быть ситуация, что ты накатишь обновления со свежими дырами)
> 2. Используйте изоляцию на уровне приложений полный контроль любого вашего приложения не
> должен позволять сделать ничего за пределами функций этого приложения. Дистролесс контейнеры
> в k8s это хорошая идея. Но пакетированые приложения и SElinux еще
> лучше.
Еще бы весь софт умел так работать. А учитывая виндов хосты, где с этим немного проблемы. Совет хороший, но жаль в жизни сложней всё.
> 3. Используте изоляцию на уровне хостов, поный контроль хоста не должен данить
> ничего дополнительного, только то что хост мог делать в нормальном режиме
> работы.
Топ
> 4. Торчите свое приложение по возможности только по http и ws. Подумайте
> 50 раз прежде чем обабатывать сырые пакеты tcp/udp своими приложениями.
Если приложение не публичное, а нужно общение между серверами, даже внутри локальной сети, трафик лучше тунелировать. К сожалению наверное большинство сетевого софта работают сырыми пакетами.
> 5. Любое изменение в инфре, коде и прочем должно быть санкционировано аппаратным
> ключем который нельзя скопировать независимо от того сделано оно человеком или
> роботом.
!!!
Жаль это идеал не достигается часто.
З.Ы. На самом деле все советы по безопасности в отрыве от задачи, просто пустой звук. Так как часто все идеальные советы ломаются об реальность и тебе приходится нарушать правила, чтобы всё работало как надо. И придумывать обходные правила для повышения безопасности.

Исходное сообщение
"Выпуск системы обнаружения атак Suricata 7.0 " Отправлено noc101, 20-Июл-23 18:49
> 1. забудьте про существование любых локальных сетей, в 2023 любоая локальная сеть > по факту публичная и настроено в ней должно быть все точно > так же как если бы торчало в интернеты. Ты хотел сказать, что в локальной сети между хостами надо настраивать так как же и выход/вход в глобальную сеть? Да, почти да. В Локальной сети по хорошему надо даже жестче настраивать хождение трафика и пользователей. Тупо потому, что на это есть больше инструментов и возможностей. Зачем только ты пишешь забыть про локальную сеть? Это глупость. > 2. Ипсользуйте нормальный дистрибутив который следит и обновляет все сесюрити rhelклоны > дебиан/убунта альпина etc. Обновляйтесь сразу как только обновление вышло, имейте способ > безболезненного отката. Обновление безопасности всегда ставится по логике сначала ставим > потом думаем, никакого предварительного тестирования быть тут не может, время ваш > враг. Обновлять надо тоже с умом. Не надо тормозить с обновлениями, но и спешить нельзя. Во первых смотреть если ты там патчи безопасности, если нету, то можно пропустить одно обновление не сильно боясь. Или подождать, а то может быть ситуация, что ты накатишь обновления со свежими дырами) > 2. Используйте изоляцию на уровне приложений полный контроль любого вашего приложения не > должен позволять сделать ничего за пределами функций этого приложения. Дистролесс контейнеры > в k8s это хорошая идея. Но пакетированые приложения и SElinux еще > лучше. Еще бы весь софт умел так работать. А учитывая виндов хосты, где с этим немного проблемы. Совет хороший, но жаль в жизни сложней всё. > 3. Используте изоляцию на уровне хостов, поный контроль хоста не должен данить > ничего дополнительного, только то что хост мог делать в нормальном режиме > работы. Топ > 4. Торчите свое приложение по возможности только по http и ws. Подумайте > 50 раз прежде чем обабатывать сырые пакеты tcp/udp своими приложениями. Если приложение не публичное, а нужно общение между серверами, даже внутри локальной сети, трафик лучше тунелировать. К сожалению наверное большинство сетевого софта работают сырыми пакетами. > 5. Любое изменение в инфре, коде и прочем должно быть санкционировано аппаратным > ключем который нельзя скопировать независимо от того сделано оно человеком или > роботом. !!! Жаль это идеал не достигается часто. З.Ы. На самом деле все советы по безопасности в отрыве от задачи, просто пустой звук. Так как часто все идеальные советы ломаются об реальность и тебе приходится нарушать правила, чтобы всё работало как надо. И придумывать обходные правила для повышения безопасности.

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, [email protected] (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру