Я понимаю, уважаемый, что у вас есть свое обоснованное мнение по любому вопросу на этом ресурсе, но именно поэтому в глазах некоторых людей, меня например, вы выглядите именно как белка-истеричка и к любой бочке затычка. Значение числа пи может и не изменяется, но люди, которые бегают с вытаращенными глазами и доказывают, что они знают правду об этом числе, а все другие придурки, выглядят не очень красиво. Это и об авторе обсуждаемой публикции можно сказать. Дальше вопросов секурности своего бизнеса и его никому другому не интересных финансовых потерь он смотреть явно не может.
И я не о том, о чем вы, а о том, что для ряда объектов, как например водоканал, именно монетизируемость как мерило оценки привлекательности вообще идет лесом. Для КВО по нашему текущему законодательству устраняется (по крайней мере должен) любой ненулевой риск без оглядки на формулу риск = ущерб Х вероятность. И модель злоумышленника, если это именно КВО в первую очередь подразумевает спецслужбы других государств и террористов.
Не надо демагогии, взяли конкретный пример — водоканал. Согласились с весьма катастрофическими последствиями. А потом приплели детские совершенно рассуждения про монетизируемость эксплуатации уязвимости. В жизни это по-другому. Если объект попал в разряд КВО по оценке государства — поднимаются уже готовые доки от регуляторов (ДСП в большинстве случаев) и все делается по этим стандартам. Другой вопрос, что до недавнего времени не работало это, сейчас ситуация меняется. Завтра разные водоканалы в разряд КВО будут попадать принудительно, а не на добровольных началах.
А финансы по вашему — единственный мотив? Т.е. вы предлагаете надеяться на сознательность определенного контингента? Не берете в расчет терроризм, потенциальный военный конфликт и т.п.? Вы не знаете примеров, когда нечто ломается просто для лулзов, меренья пиписьками, информационного эффекта и т.д.? Не предполагаете, что дырявость может быть такого уровня, что может сработать не целевая, а веерная атака, банальный вирусный скан, которыми переполнены публичные сети.
Внесите свое предложение в ФСТЭК, как раз в апреле решается вопрос по приказу ФСТЭК "… к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, ...". Мужики-то и не догадываются, сколько сил можно сэкономить по такой хитрой причине, что эти объекты как тот неуловимй Джо, который нафик никому не нужен. Раскройте им глаза.
А что такое ДК? Контроллер домена? Если да — то на нем в первую очередь. И богатый опыт, начиная со времен code red, свидетельствует о том, что это правильно и хорошо. Ну и человек вам верно написал. Плюс фильтрация, плюс сегментация, плюс анализ трафика. Но это когда недетский бизнес, а не контора по пошиву трусов.
Не только для удобства, но иногда строго по необходимости это невозможно. Если днс-сервис работает на контроллере домена — думаю не надо объяснять, что закрыть (как угодно, хоть телеком-фильтрацией) RPC и прочие подобные вещи для него невозможно без потери функциональности. А тому же кидо или любому другому подобному зловреду нужен только открытый порт и соотв. уязвимая системная служба, которую из-за архитектуры винды и конкретной роли не выпилишь.
Я бы сказал так, по поводу опроса. На видне (любой) антивирус необходим. Даже если это достаточно нагруженная БД. В этом случае его надо гибко настраивать на предмет исключений и прочих тонкостей. Исключения — мега критичный софт, а-ля SCADA и безапелляционная официальная позиция вендора о несовместимости его продукта с анитвирусными решениями. Тогда только жесткие компенсационные меры. Максимальная сетевая изоляция, контроль подключаемых устройств, IDS/IPS, которые фактически берут на себя роль антивируса, только делают свою работу на уровне трафика.
Выставлять достоинства своего продукта на фоне недостатков чужого не есть писать «назло и наперекор». У выражения «в пику» есть еще значение «досадить». Цель то достигнута или как? Досадили Русиновичу или кому там?
Что бы увидеть умственную мастурбацию совершенно не нужно иметь профильного образования в той сфере, в которой человек мастурбирует. И абстракции не самоценны, а только в контексте. А контекст тут очень простой — ЧСВ как индивида, так и человечества в целом.
Да, здравые комментарии на подобные темы на хабре редки. Ваш — приятное исключение. Минусы тоже об этом свидетельствуют. А по сути вопроса — именно так и есть. Только нужно иметь определенную ясность взгляда, что бы это понять. Сферических коней в вакууме изучает.
Ога. Я когда в начале 2000 начал работать в одной провайдерской конторе, где линукс и фря были наше фсе увидел такую же картину. Сидят постоянно под рутом. Если не нужен рут, то зачем вообще запущена консоль, нефик там делать.
Причем ламерами ну никак их назвать было нельзя, олдскульные товарищи.
Очевидно, что потери в тсп, не связанные с перегрузкой гнобят тсп по полной. Но это уже совершенно другая тема. Мы вроде обсуждаем, что тсп через тсп ведет себя забавно.
А при чем тут это? Основная мысль в том, что внутреннему тсп не будет шибко хуже, чем внешнему. Ну и миф собственно утверждает обратное (meltdown-эффект).
А что будет с тсп через тсп? Вот тут утверждают, основываясь в том числе и на эксперименте — что почти ничего и обратное — миф, вброшенный не вполне адекватным товарисчем, запутавшимся в матчасти и проводившем эксперименты на канале с потерями.
По ссылке как раз разобран случай, очень похожий на интерактивный трафик. В общем случае оно будет работать, но совсем не обязано. И наглядно показано, как необоснованные надежды могут быть развеяны.
"… И, наконец, в 2017 году объем мобильного трафика превысит объем трафика фиксированной широкополосной связи."
Это конечно все пока слова. Но DPI уже есть и у МТС и у Вымпелкома. Не думаю, что они не закложились на рост ближайших лет. И да, речь ведь не о суммах денег, а о том, могут ли себе их некоторые позволить. По факту — могут и позволяют.
Обсуждается ведь фраза «Я что-то сильно сомневаюсь что у магистрального провайдера могут в принципе стоять DPI».
Не надо демагогии, взяли конкретный пример — водоканал. Согласились с весьма катастрофическими последствиями. А потом приплели детские совершенно рассуждения про монетизируемость эксплуатации уязвимости. В жизни это по-другому. Если объект попал в разряд КВО по оценке государства — поднимаются уже готовые доки от регуляторов (ДСП в большинстве случаев) и все делается по этим стандартам. Другой вопрос, что до недавнего времени не работало это, сейчас ситуация меняется. Завтра разные водоканалы в разряд КВО будут попадать принудительно, а не на добровольных началах.
Внесите свое предложение в ФСТЭК, как раз в апреле решается вопрос по приказу ФСТЭК "… к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, ...". Мужики-то и не догадываются, сколько сил можно сэкономить по такой хитрой причине, что эти объекты как тот неуловимй Джо, который нафик никому не нужен. Раскройте им глаза.
Я бы сказал так, по поводу опроса. На видне (любой) антивирус необходим. Даже если это достаточно нагруженная БД. В этом случае его надо гибко настраивать на предмет исключений и прочих тонкостей. Исключения — мега критичный софт, а-ля SCADA и безапелляционная официальная позиция вендора о несовместимости его продукта с анитвирусными решениями. Тогда только жесткие компенсационные меры. Максимальная сетевая изоляция, контроль подключаемых устройств, IDS/IPS, которые фактически берут на себя роль антивируса, только делают свою работу на уровне трафика.
А еще в PE 15 букв, а в PH только 13!
Налицо оптимизация :)
Причем ламерами ну никак их назвать было нельзя, олдскульные товарищи.
www.barabanov.ru/arts/tcp/Tcp_over_tcp_is_not_so_bad-web.pdf
www.barabanov.ru/arts/tcp/Tcp_over_tcp_is_not_so_bad-web.pdf
habrahabr.ru/post/192046/#comment_6685532
Или по другому говоря — ну и что?
1,64 Петабайта мобильного трафика за один квартал в 2011 году в Украине. На дворе 2013.
telekomza.ru/2013/02/11/cisco-k-2017-godu-obem-mobilnogo-trafika-vyrastet-v-13-raz/
"… И, наконец, в 2017 году объем мобильного трафика превысит объем трафика фиксированной широкополосной связи."
Это конечно все пока слова. Но DPI уже есть и у МТС и у Вымпелкома. Не думаю, что они не закложились на рост ближайших лет. И да, речь ведь не о суммах денег, а о том, могут ли себе их некоторые позволить. По факту — могут и позволяют.
Обсуждается ведь фраза «Я что-то сильно сомневаюсь что у магистрального провайдера могут в принципе стоять DPI».
Оригинально.