Re: sudo ws root
17.12.08, 23:47, "Dmitry Marin" <corvax@corvax.ru>:
> > > Из-за увеличения сложности повышается вероятность как отказа так и
> > Паранойя - это проф. ориентир для администраторов безопасности. Если что-то (кто-то) в теории может сделать что-то плохое, то значит надо исходить из того, что он это сделает и принимать меры в упреждающем порядке. За пределами сетей, это выглядит как вороватый взгляд вокруг, железные решётки в три слоя, бронежилет и свинцовые трусы. А компьютеры (и сети) всё терпят.
> >
> Допустим. Только не забывайте, что нож еще используется на кухне! :-) А
> если компьютеры у вас все терпят, то и работайте на компьютере,
> отключенном от ВСЕХ сетей. Шутка.
(задумчиво) Знаете, а ведь у нас на работе такое есть. На производстве стоят два компьютера (в локальной сети на два компьютера, соеденены кроссом), один из которых жестоко травмирован уродливыми драйверами производственного оборудования. Я их от основной сети изолировал для защиты сети от них (там страшный зоопарк софта, часть из которого ещё времён windows 3.11) - но в общем случае, именно так. Идеальный уровень защиты подразумевает полное отсутствие связи между защищённой вычислительной сетью и сетью, имеющей коннективити с компрометированными машинами (весь мир враги и шпионы).
> > Тезис же о том, что увеличение уровня безопасности уменьшает надёжность системы совершенно правильный. Разумеется, машина без файрвола, пускающая без паролей надёжнее, чем спрятанная за отдельным файрволом железка, проверяющая сертификаты и банящая "чуть что". Нельзя сделать безопасно и удобно, можно только найти компромисс между этими состояниями.
> Если это ехидство, то вы передергиваете. Я писал про увеличение
> _сложности_. А оно для меня не является таким уж очевидным критерием
> безопасности.
М... получается многозначность слова "сложность". Есть "сложность", которая парралельная (т.е. увеличение сложности приводит к потенциальному увеличению количества дыр), а есть последовательная, когда каждый последующий слой, конечно, портит жизнь обслуживающему персоналу, но одновременно усложняет жизнь злоумышленникам. Условно говоря, дорваться до компьютера с Жутко Секретной Базой Данных в случае мультивендрного решения с двумя файрволами потребует от злоумышленника:
* Сломать железку первого вендора (комплект навыков, знания дыр и мест, где админ может ошибиться).
* Сломать ОС компьютера в DMZ (ДРУГОЙ вендор, третий комплект дыр и навыков)
* Сломать железку второго вендора (ТРЕТИЙ комплект навыков, знаний и дыр).
* Сломать ОС с БД (ЧЕТВЁРТЫЙ комплект навыков, знаний и дыр).
При этом, если даже какой-то из них останется насквозь дырявым (например, второй файрвол имеет телнет в DMZ, логин/пароль admin/1234 и не имеет IDS), то это означает просто выключение из схемы одного из этапов - она, фактически, преврашается в схему с 3 активными устройствами.
Есть ещё одна "сложность" - это "сложность обслуживания". В переводе на мелкософтовского-буржуйский - TCO. Сколько денег нам потребуется на стаю спецов по каждой из железок. Причём, в месяц (а ещё премии/отпуска/больничные/страховки). Но ведь эта "сложность" это просто сумма денег.
Так что, схема, в которой у нас SSH находится за VPN, при условии, что VPN на той же машине, что и SSH - это увеличение дырявости (мы увеличиваем параллельную сложность).
Схема, в которой SSH за VPN за другим хостом с одинаковой ОС - это частичная последовательная сложность. С одной стороны, два хоста ломать, с другой - одни и те же дыры, одни и те же дурные привычки админа и т.д.
Так что в схеме с двумя хостами под одной ОС я не вижу смысла - она увеличивает парк железа без осмысленного увеличения безопасности.
Хотя, если уже шлюз и так и так есть (обычная офисная сетка с шлюзом и машинами за NAT'ом) - почему бы и нет? Но это не специализированное "для безопасности", это просто для удобства.
--
wBR,George.
Reply to: