HD
пришлось все закрывать, чтобы в сети ничего не светилось, даже в мелких одноранговых сетях, чтобы даже при кривом тыке локально и заносе заразы, она дальше не пошла
Size: a a a
2021 July 08
AM
Так чем вы закрываете? сети через что пропускаете? Сразу же меня смутило слово полных.
AM
Вы уменьшили количество дыр, может на порядок. Но они остались.
HD
простой скан сети что дает? чтобы прошел эксплойт, он должен хотя бы увидеть, что на другом конце есть ответчик. Как можно взломать машины в сети, если вы не знаете, что она там есть?
AM
Коммутатор, к которому подключена машина, тоже не знает ничего о своих интерфейсах?
AM
Что мешает просматривать промежуточные узлы и продвигаться в сеть глубже?
Д
Я так понял коллега весь трафик упаковывает, в один канал
AM
Упаковывает же чем-то
Д
Ну можно в ssh всё упаковать, в границах контролируемой зоны никто не требует сертификации, а реальную защищенность резко повышает
HD
сначала надо хотя бы минимизировать количество дыр, а это только руками, сторонний софт, да помогает, за деньги
AM
Вот с минимизировать я не спорю, вот когда говорят про абсолют меня смущать начинает это
Д
Абсолюта нет и быть не может ежедневно более сотни cve публикуется
HD
отдельный сегмент без интернета), нормально справляется))
HD
и флешка), чтобы данные передавать)
AM
Так о чем и речь. Поэтому меня смущает фраза о полных инкапсуляциях, изоляциях и так далее.
Д
Но можно выбрать такой режим эксплуатации ( например инкапсулировать сетевое взаимодействие в один канал) чтобы снизить влияние этого большого количества уязвимостей
AM
Без интернета конечно проще))) для ИБ, но не для жизни.) А на флешку тоже можно что-нибудь запилить.)
HD
cd-r для гурманов)
AM
на бумагу уж сразу тогда😂
AM
либо надо использовать фундаментальные физические законы, пока они не опровергнуты. Для канала, например, можно использовать квантовое шифрование. Но при этом узлы остаются уязвимыми.