forum.opennet.ru

Составление сообщения

Исходное сообщение

"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено qux, 17-Ноя-09 12:46

>>Если всё множество перекрываемых более слабым средством атак входит в множество перекрываемых
>>более сильным — согласен. Но имхо это не тот случай же.
>Именно тот.
>SSH (точнее, самые популярные его реализации) достаточно надёжен, чтобы открывать его всему миру — если его надёжность не ослабляется кривой политикой безопасности.
Хотел спросить, хотите ли вы сказать, что тут все возможные (и в будущем) атаки на сервис ограничиваются прямым перебором пароля, но вы ниже ответили. Возможно, мне стоит умерить фантазию и паранойю, не спорю )
>>Затраты на кастомизацию — это запоминание+вписывание в конфиги нестандартного порта ssh?
>А также дополнительная настройка и поддержка сервисов, работающих поверх SSH.
Под вписыванием порта в конфиги и имел в виду настройку сервисов. Если только это, то невелики затраты, имхо.
>>Хорошо, но в реале все равно приходится защищаться от всего, что только
>>можно придумать.
>Постулат безопасности: система считается достаточно защищённой, если противнику для её взлома требуется
>затратить больше средств, чем он получит бонусов в результате взлома.
К этому постулату уже сложновато приводить взломы, не имеющие явной коммерческой ценности для автора. А если в его бонусы еще и входит удовольствие уже от процесса, то еще сложнее.
Хотя да, и по нему же можно говорить, что из
> насчёт «дойти надо» — кому надо, тот и дойдёт
какой-то процент атакующих будет отваливаться на каждой принятой мере безопасности, так как оно им не настолько надо.
>>А уж один новый порт можно и запомнить, особенно если выбирать его
>>не совсем из /dev/urandom
>Можно. Только порты типа 2022 и так уже нередко сканят. ;) Да
>и смысл перевешивать на легко угадываемый порт?!
22345, 12322, 22446, 46822, 22{любое запоминающееся трехзначное число},... Пусть угадывают )
>Перенос порта — это переезд из одной квартиры в другую в том
>же доме. Вот port knocking — это да, маскировка. Со своими
>неудобностями, но всё же неплохой и порой оправданный метод.
Аналогия имхо не совсем точна, в сторону большей благоприятности. В реале взломщик не будет же бегать по многоквартирному дому, ища того, кто ему надо, если по известному номеру квартиры его не оказалось.
Если позволить себе еще раз дернуть военные аналогии, перенос порта — малозаметность, port knocking — незаметность. Второе, конечно, эффективнее, но и минусы больше, соответственно область применения меньше.

Исходное сообщение
"Зафиксирована новая ботнет-сеть, распространяющаяся через по..." Отправлено qux, 17-Ноя-09 12:46
>>Если всё множество перекрываемых более слабым средством атак входит в множество перекрываемых >>более сильным — согласен. Но имхо это не тот случай же. >Именно тот. >SSH (точнее, самые популярные его реализации) достаточно надёжен, чтобы открывать его всему миру — если его надёжность не ослабляется кривой политикой безопасности. Хотел спросить, хотите ли вы сказать, что тут все возможные (и в будущем) атаки на сервис ограничиваются прямым перебором пароля, но вы ниже ответили. Возможно, мне стоит умерить фантазию и паранойю, не спорю ) >>Затраты на кастомизацию — это запоминание+вписывание в конфиги нестандартного порта ssh? >А также дополнительная настройка и поддержка сервисов, работающих поверх SSH. Под вписыванием порта в конфиги и имел в виду настройку сервисов. Если только это, то невелики затраты, имхо. >>Хорошо, но в реале все равно приходится защищаться от всего, что только >>можно придумать. >Постулат безопасности: система считается достаточно защищённой, если противнику для её взлома требуется >затратить больше средств, чем он получит бонусов в результате взлома. К этому постулату уже сложновато приводить взломы, не имеющие явной коммерческой ценности для автора. А если в его бонусы еще и входит удовольствие уже от процесса, то еще сложнее. Хотя да, и по нему же можно говорить, что из > насчёт «дойти надо» — кому надо, тот и дойдёт какой-то процент атакующих будет отваливаться на каждой принятой мере безопасности, так как оно им не настолько надо. >>А уж один новый порт можно и запомнить, особенно если выбирать его >>не совсем из /dev/urandom >Можно. Только порты типа 2022 и так уже нередко сканят. ;) Да >и смысл перевешивать на легко угадываемый порт?! 22345, 12322, 22446, 46822, 22{любое запоминающееся трехзначное число},... Пусть угадывают ) >Перенос порта — это переезд из одной квартиры в другую в том >же доме. Вот port knocking — это да, маскировка. Со своими >неудобностями, но всё же неплохой и порой оправданный метод. Аналогия имхо не совсем точна, в сторону большей благоприятности. В реале взломщик не будет же бегать по многоквартирному дому, ища того, кто ему надо, если по известному номеру квартиры его не оказалось. Если позволить себе еще раз дернуть военные аналогии, перенос порта — малозаметность, port knocking — незаметность. Второе, конечно, эффективнее, но и минусы больше, соответственно область применения меньше.

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру