45 ответов в теме

[Масю]

И это что - проблема для тебя ? 

Никак не решаемо ? 

 

 

 

есть требования к окружающей среде приложения

[duboff]

есть требования к окружающей среде приложения

И что , эти требования нереально  выполнить ? 

Скверно , в общем 

[Масю]

И что , эти требования нереально  выполнить ? 

Скверно , в общем 

ну можно, но гемор того не стоит

[Сеньор Рикардо]

За что  их , болезных ,вешать-то ? 

 

За шею (с) один ссыльный каторжник

[AleM]

не поможет. там куча ботов дыры шарит.

Ну если Windows голым задом в и-нет выставить, то тогда да...

[olegus]

Ну если Windows голым задом в и-нет выставить, то тогда да...

уже теплей.

[duboff]

уже теплей.

заду ? 

[olderon]

не поможет. там куча ботов дыры шарит.

Олег давай я тебе дам апишник и ты попробуешь ломануть rdp а потом я при тебе зайду по rdp и расскажу как настроено

Даже покажу что бы не было сомнений

сделано именно как ребята говорят VPN  + доп авторизация по ключу или смс коду который присылается только на номер сотрудника запросившего доступ,  который указан в настройках

Политиками блокировка юзера после трех неудачных попыток входа на 15 минут
Ну и понятно что винда наружу не светит организован проброс порта

Если сломаешь тебя в СБ или Техблок МТС сразу возмут )))))

[Gzzz]

Да Олегусу помню предлагали уже такое..

[olegus]

МТС

не хочу в мтс.

сделано именно как ребята говорят VPN  + доп авторизация по ключу или смс коду который присылается только на номер сотрудника запросившего доступ,  который указан в настройках

бетонный дот вместо уютного домика - это очень круто, но совершенно излишне
все решается гораздо проще.

[olderon]

не хочу в мтс.
бетонный дот вместо уютного домика - это очень круто, но совершенно излишне
все решается гораздо проще.

Зря тут со следующего года должно быть очень интересно и много работы.

Я сижу оракл линукс потихоньку ковыряю.

Есть у меня одна бредовая мысль

Изменено: olderon, 22.12.2016 - 10:41

[olegus]

Зря тут со следующего года должно быть очень интересно и много работы.

я не работаю ради работы. и судя по описанному тобой бесммысленного и беспощадного оверхеда я там не приживусь. заболею со смеха.

[AleM]

я не работаю ради работы. и судя по описанному тобой бесммысленного и беспощадного оверхеда я там не приживусь. заболею со смеха.

Да ладно уж. Человек это такая зараза, ко всему привыкает

К тому же даже в недрах МТС скрываются компетентные, адекватные и позитивные технари, их ещё не всех успели "соптимизировать" эффективные манагеры из Масквы.

[olegus]

К тому же даже в недрах МТС скрываются компетентные, адекватные и позитивные технари, их ещё не всех успели "соптимизировать" эффективные манагеры из Масквы.

говорят, что и в йутыкарэтэка тоже есть еще пара адекватных инженеров ,но они тщательно скрываются

[SGray]

 

как мы отбиваемся от подбора паролей в rdp?

vpn + забавный логин = пусть боты до второго пришествия подбирают

про политики уже писали...

[olegus]

vpn + забавный логин = пусть боты до второго пришествия подбирают
про политики уже писали...

это прикладной уровень. нельзя на прикладном уровне строить защиту, это же основы безопасности. про дырявость впн мелких только ленивый не слышал, а openvpn или ssh там нет.

Изменено: olegus, 22.12.2016 - 11:58

[SGray]

 

это прикладной уровень. нельзя на прикладном уровне строить защиту. про дырявость впн мелких только ленивый не слышал, а openvpn или ssh там нет.

тебе уже предлагали проявить себя и зайти по ip на сервачок - слился?

о чём тут ещё говорить?

[olegus]

тебе уже предлагали проявить себя и зайти по ip на сервачок

зачем? объясни - зачем мне тестировать чьи-то мутные схемы? я тебе говорю о другом: защита должна быть многоуровневая. если кто-то этого не знает, его просто нельзя подпускать к организации подобных вещей. иначе потом все переделывать с нуля.

[artarik]

https://habrahabr.ru/sandbox/36428/

 

А почему ищется вакансия спеца, а не руководителя?

Изменено: artarik, 22.12.2016 - 12:16

[Стас]

https://habrahabr.ru/sandbox/36428/

А почему ищется вакансия спеца, а не руководителя?

у руководителя требования попроще и зп повыше, но видимо занято...

Изменено: Стас, 22.12.2016 - 13:16

[olegus]

https://habrahabr.ru/sandbox/36428/

жестко, но направление верное.

три строки это делают

iptables -A INPUT -p tcp -m tcp --dport 3389 -m state --state NEW -m hashlimit --hashlimit 1/hour --hashlimit-burst 2 --hashlimit-mode srcip --hashlimit-name RDP --hashlimit-htable-expire 60000 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 3389 --tcp-flags SYN,RST,ACK SYN -j DROP
iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 3389 -j ACCEPT 

https://habrahabr.ru/post/88461/

это первый уровень. а затем уже всякие впн и политики, разделение учеток по типам доступа (те внешний доступ должен быть с другой учеткой). а блокирование единой учетки - самая глупая затея, которую можно придумать.
далее: венда не должна торчать голым попком в интернет. лучшее место венды - в виртуалке под контролем любой нормальной ОС, чтолбы можно было ей управлять и бекапить.
подключения из локалки к венде так же надо защищать.

Изменено: olegus, 22.12.2016 - 13:58