Antihammer na RDC pre WinSBS2003

Diskuze k serverovým edicím Microsoft Windows

Moderátor: Moderátoři Živě.cz

Odeslat příspěvekod Nexus_sk 23. 8. 2011 14:09

michalli píše:
Nexus_sk píše:Cize, vycerpal som teda vsetky svoje technicke (o tom, ze uzivatelia tam jazdia po roznych pornach s trojanmi neriesim) moznosti, ako zabranit prieniku na server? Samozrejme, pri dodrzani popisu vyssie ...


1. účet administrator přejmenuj nebo zablokuj. účet administrator nepoužívej a na stanicích jej taky zablokuj!
2. ve firewallu bych naopak dal seznam jen povolených ip ze kterých chceš přistupovat pro správu serveru (pro port RDP), nastavit to tam rozhodně jde (v kerio control).

-- 16. 8. 2011 14:24 --

mimochodem pokud jde o požadavky společnosti nebo uživatelů - o tomhle by si mělo rozhodnout vedení. každopádně bys je měl upozornit na to že heslo o 6ti znacích je v dnešní době velmi krátké. minimální doporučená délka je 8 znaků u alfanumerického hesla, ideálně aby to bylo složité heslo a zamykal bych po 5 pokusech, 3 pokusy jsou někdy moc málo.

 #1 - ucet som pouzival, ako som pisal vyssie v pripade, ze BFU ani po par rokoch nejaksi nevedia, ako sa volaju. Kazdopadne som ho teraz zablokova a "legislativne" som si to osetril tak, ze ked mi niekto blokne ucet, tak maju holt smolu ... Ak sa bude tento stav opakovat castejsie, tak vypnem "zapamatanie posledne prihlaseneho uzivatela" a som vysmiaty :).
#2 - nad tymto som tiez premyslal, ale narazil som opat na dost zasadny problem - nemam predstavu, odkial sa budem pripajat, kedze zakaznik je na tolko jesitny, ze pozaduje riesit problem hned (ved vcera bolo uz neskoro) a to aj ked som u ineho zakaznika - inak povedane, ak by som nadefinoval, ze sa budem pripajat iba z domu a z firmy, tak po case zistim, ze mi to nestaci. Pozeral som sa aj na katalog IP adries pre cele Slovensko (t.j. rucne ich zadat do Kerio s tym, ze sa budem vediet pripajat odkialkolvek na Slovensku), ale ten zoznam nie je prave najkratsi a asi sa z casu na cas aktualizuje :( (alebo skor bude aktualizovat, ked sa bude prechadzat na IPv6). Alebo som prehliadol niekde nejaku moznost "Copy&Paste"? (t.j. skopirovat tento zoznam priamo z webu do konkretneho konfiguracneho suboru v kerio)

Ako som pisal vyssie, ja osobne nemam problem pouzivat 24 znakove heslo s maximalnou komplexnostou, ale miestne osadenstvo ma problem si zapamatat aj to 6 znakove, kde casto nepouzivaju cislice :(. Inak povedane "chceme nove super veci, pri ktorych sa nebudeme musiet ucit nic nove" - z logickej podstaty je toto max kravina :(.

Kazdopadne dakujem za tipy - musim bohuzial postupovat tak, aby si uzivatel nic nevsimol, co sa proste neda :(.
Nexus_sk
Junior

Odeslat příspěvekod Milanr1 23. 8. 2011 14:25

To neřeš, jedná se o čistě organizační záležitost.
Na tahu je vedení dané firmy, zda a kdy uspořádá školení pro své negramotné BFU. ;-)
http://www.goaml.cz/?q=ecdl-ridicak-na-pocitac
http://www.obaka-cestesin.cz/ecdl.html
Milan
Milanr1
Pokročilý
Uživatelský avatar

Odeslat příspěvekod Nexus_sk 23. 8. 2011 17:12

Milanr1 píše:Na tahu je vedení dané firmy, zda a kdy uspořádá školení pro své negramotné BFU. ;-)

Nikdy ... To by museli zaplatit a to si radsej dotankuju svoje "landrovery, mercedesy, folksvageny a dzipy" :(. Diki za linky, na Slovensku je tiez x skoliacich spolocnosti (minuly rok, ked mali zachvat riesit to som im robil "cenovy prieskum" a odpoved bola presne taka ista, ako tie predosle - bud to niekto zasponzoruje, alebo sa to raz vyriesi ...).

V zasade ale maju pravdu - raz sa to vyriesi same :). Bud im tam niektory BFU spravy top pruser a poletia (a pri mojom stasti ja s nimi), alebo ten BFU pojde do dochodku a novy uzivatel uz tento problem mat nebude - snad :).

Ale to je uz mimo temu - predpokladam, ze podobne praktiky su nie len u nas v kurze ("haloooo, zastavte planetu, vystupujem!!!").
Nexus_sk
Junior

Odeslat příspěvekod michalli 23. 8. 2011 18:28

Nexus_sk píše:ze ked mi niekto blokne ucet, tak maju holt smolu ... Ak sa bude tento stav opakovat castejsie, tak vypnem "zapamatanie posledne prihlaseneho uzivatela" a som vysmiaty :).

já pořád nechápu jednu věc. jak oni mohou zablokovat tebe?

1. uživatelé mají používat SVŮJ účet
2. administrátorský účet (login) nemá být vůbec uživatelům známý, správně by neměli ani vědět login svých kolegů. každopádně pokud oni znají tvůj login tak si jej přejmenuj. předpokládám že login administrator vůbec v síti neexistuje - tudíž nechápu jaké máš pořád potíže s blokováním tvého účtu (asi bys měl uvést konkrétní příklady abychom se v tom vyznali).

těmito dvěma kroky vyřešíš svůj problém.

-- 23. 8. 2011 19:31 --

Nexus_sk píše:
Milanr1 píše:Na tahu je vedení dané firmy, zda a kdy uspořádá školení pro své negramotné BFU. ;-)

Nikdy ... To by museli zaplatit a to si radsej dotankuju svoje "landrovery, mercedesy, folksvageny a dzipy" :(.

školení jím přece můžeš udělat ty. když to spravuješ proč bys nemohl školit?

-- 23. 8. 2011 19:36 --

Nexus_sk píše:"zapamatanie posledne prihlaseneho uzivatela" a som vysmiaty :).

tato funkce je v mých sítích zapnuta vždy tak jako v jiných firmách. pak už totiž jen stačí uhodnout heslo. tím že neví ani jméno musí řešit útočník dva problémy

1. jaké je uživatelské jméno? je opravdu správné když systém odmítne přístup?
2. jaké je heslo? je opravdu problém v hesle nebo v předchozím bodě?

složitost útoku tak narůstá.

Nexus_sk píše:kedze zakaznik je na tolko jesitny, ze pozaduje riesit problem hned (ved vcera bolo uz neskoro) a to aj ked som u ineho zakaznika

to je tvůj problém jak si to domluvíš se zákazníkem. předpokladem je že když hned tak si to náležitě necháš ohodnotit (v podstatě se jedná o tvůj organizační problém).

každopádně vzdálený přístup můžeš přece vyřešit i přes VPN...

-- 23. 8. 2011 19:38 --

Nexus_sk píše:Ale to je uz mimo temu - predpokladam, ze podobne praktiky su nie len u nas v kurze ("haloooo, zastavte planetu, vystupujem!!!").


a na co se ptáš? že by mi někdo zablokoval můj účet opravdu neřeším (protože ho neví a i kdyby věděli tak by je to nikdy nenapadlo si myslím).
Michal Zobec
Senior IT Consultant, ZOBEC Consulting
michalli
Junior
Uživatelský avatar

Odeslat příspěvekod Nexus_sk 23. 8. 2011 22:04

michalli píše:já pořád nechápu jednu věc. jak oni mohou zablokovat tebe?

Velmi jednoducho - ked sa niekto po mne chce prihlasit, tak je tam moje prihlasovacie meno. BFU ale bez mihnutia oka nabucha svoje heslo s mojim menom (= 3x zada svoje heslo v kombinacii s mojim menom, cize voci serveru to vyzera, ze niekto vie moje meno a skusa natipovat moje heslo = blok).

michalli píše:školení jím přece můžeš udělat ty. když to spravuješ proč bys nemohl školit?

Skolit ich kludne mozem, ale to by stravili cas so mnou a nie v praci = pre vedenie to vyzera tak, ze sa flakaju. Druha strana mince je fakt, ze ich vedenie pretazuje, takze ja riesim problem stylu "chytro mi to pridi vyriesit, nezaujima ma, ako si to vyriesil a ani co som zle spravil, proste chcem, aby to fungovalo a nic dalsie ma netrapi". Ked mam stastie, tak v jeden den riesim jeden problem kludne aj s desiatimi BFU po sebe a to je uz potom fakt situacia na nervy ...

michalli píše:to je tvůj problém jak si to domluvíš se zákazníkem. předpokladem je že když hned tak si to náležitě necháš ohodnotit (v podstatě se jedná o tvůj organizační problém).

To je zaujimava myslienka, nechat si od zakaznika tieto zasahy plne preplacat - uz len staci najst takeho zakaznika, ktory to aj zaplati :(. Suhlasim, je to moj organizacny problem, nechcem sa mu venovat, je to tema hodne mimo ... Nebudem rozoberat praktiky podaktorych mojich konkurentov, len to napisem vseobecne - "Nechces mi do firmy nainstalovat nelegalny SW? Nevadi, objednam si niekoho, kto to urobi namiesto Teba, kedze mna nezaujima, co je to licencna politika, mna zaujima, aby mi firma fungovala s nulovymi nakladmi". Mam ale malo ohybnu chrbticu, tak sa zakaznikovy poklonim, zazelam mu pekny den a odchadzam zo sceny - do kriminalu sa nechystam, na to ja uz proste nervy nemam ... To, ze niektory moji konkurenti si zakupia jednu licenciu na antivirovy program na svoje osobne pouzitie (1uzivatel, 1PC) a instaluju to do kazdeho PC, ktore kedy akemukolvek zakaznikovy predali je proste moc silna kava. Microsoft ako taky nemam velmi v laske, doma pouzivam linux, ale ked niekto chce mat "PC s oknami", tak jedine s OEM licenciou. Moji konkurenti ale zakaznikovy daju vyhodnu zlavu, na ktoru poukazujem o par riadkov vyssie :(. A vratim sa na zaciatok odstavca: preco by mi mal nieco zakaznik preplacat, ked moji konkurenti mu to spravia "zdarma"? Mam "natriet" svoju konkurenciu? Co tym ziskam pri nulovej vymozitelnosti prava ?! Nic ... Teda hladam riesenia "freeware", alebo "opensource", kedy zakaznik dostane to, co mu ponuka konkurencia a ja sa nemusim obavat, ze mi jedny krasne vianoce pridu na dvere zaklopat kolednici v efektnych zelenych oblekoch ... Cize popisem situaciu na forum a dufam, ze mi niekto poradi riesenie, ktore odskusal, fungovalo mu to a je s nim spokojny.

michalli píše:a na co se ptáš? že by mi někdo zablokoval můj účet opravdu neřeším (protože ho neví a i kdyby věděli tak by je to nikdy nenapadlo si myslím).


Nexus_sk píše: Bari007 píše:Spíš než blokace účtu bych volil blokace IP adresy, z které neplatné pokusy přijdou.

BINGO! Sem som sa snazil smerovat, ale nejaksi som dostal sprsku kamenia, ze to mam nastavene zle ... Cize sa vratim ku samotnemu napisu: "antihammer na RDC". Firewall je tam KerioControll, ktory som preliezol zhora-zdola, ale nikde som nenasiel moznost automatickeho blokovania IP adresi, z ktorej prislo vela neuspesnych pokusov o pripojenie.

Skusim to napisat este inak - hladam riesenie, ktore by dokazalo po velkom mnozstve pokusov o prihlasenie na RDC sluzbu servera zabezpecit, aby sa z danej IP adresi uz ziaden pokus nerealizoval.

Ako uz pisal Bari007, tieto opatrenia by mali stacit, ale v rovnakom prispevku spomenul aj tu onu blokaciu IP adresi, kedze manualne riesenie je praca pre otroka.
Nexus_sk
Junior

Odeslat příspěvekod michalli 24. 8. 2011 04:27

striktně dodržuju zákony. až ti řeknou že máš někoho zabít tak to taky uděláš? vždyť přece můžeš mrtvolu rozpustit v kyselině a nikdo na nic nepřijde. pokud má někdo nějaké náklady dá si je přece do nákladů tzn. do účetnictví. až se na to při kontrole přijde všichni budou říkat že o ničem neví a za všechno můžeš ty - což předpokládám že právně máš zodpovědnost ty za stav a legálnost sítě.

o placení či neplacení za nějakou reakci - nevím jak si účtuješ ale pokud něco někdo chce hned tak to samozřejmě nebudu chtít zadarmo. podívej se na ceny a uvědom si jak dlouho je někdo schopen dlouhodobě a zodpovědně poskytovat služby při nějakých reakčních dobách. ideální je porovnat to s konkurencí.

to že ti uživatelé zablokují tvůj účet protože jsi na nějakém pc byl předtím znamená pár věcí:

1. je ti úplně asi jedno jaká je v síti bezpečnost. v opačném případě by sis nenechal srát na hlavu a na některých věcech bys trval i kdyby se zákazník stavěl na hlavu (já bych to tak dělal i za cenu že o zakázku přijdu). viz zobrazování posledního přihlášeného uživatele.
2. zákazníkovi je jedno s čím vším tě jeho zaměstnanci otravují protože opakované tytéž problémy znamenají že zaměstnanci na všechno dlabou a firma aŤ to zaplatí. pokud by sis udělal statistiky že ti 10x měsíčně volají kvůli tomu samému problému tak by si to příště ta firma rozmyslela jestli zbuzeruje zaměstnance nebo bude dál platit to samé dokolečka. zaměstnanci mají mít taky zodpovědnost. nepředpokládám že někdo je ochoten zaměstnávat a platit idioty a pak ještě platit i tebe.

prostě tobě se to musí vyplatit. plakáním na fóru si ničím nepomůžeš. buď se ti to vyplatí a vyděláš na tom, pak si nemáš na co stěžovat a nebo jsi hloupej a děláš to pod cenou. chápu že na SK je horší situace ale to neznamená že budu něco někomu dělat levně s 2h reakční dobou. měl by sis stanovit nějaké přiměřené ceny za nějakou reakční dobou (netuším jak si to účtuješ). normální bývá sazba v podobě paušálu.

pokud jde o ty přístupy psal jsem ti o vpn...
Michal Zobec
Senior IT Consultant, ZOBEC Consulting
michalli
Junior
Uživatelský avatar

Předchozí stránka

Kdo je online

Uživatelé procházející toto fórum: Žádní registrovaní uživatelé a 0 návštevníků

cron