Выбрать язык


Выбрать язык | Show only


Русский | English


среда, 14 сентября 2016 г.

Ответ на вопрос читателей по защите от DNS Amplification

Задали недавно вопрос по моей статье: и чем же помогут твои рекомендации защититься от DDoS самому, а не только стать бесполезным для использования в качестве амплификатора при атаке на другого?
Хотя не быть амплификатором - тоже не каждому дано, судя по анализу статистики из Shodan тут и тут, но вопрос резонный. Попробую ответить.

пятница, 9 сентября 2016 г.

Как нельзя делать. Сводим безопасность HTTPS к минимуму

Вышло недавно мелкомягкое накопительное обновление KB3172605  как фикс к  KB3161608, в состав которого входит KB3161639. В последнем меняется приоритетность шифров в винде и по факту оно объявляет погаными наборы шифров, которые на серверах отнесены к категории Weak.

В общем, кто из админов веб-серверов не изволил усиливать шифры, теперь вынужден это делать для нормальной работы web-интерфейсов.

Последние годы идет всемирная тенденция перевода HTTP-сервисов на HTTPS как в Интернет, так и внутри компаний (ибо враги могут быть всюду).
Вспоминаем, что нам дает HTTPS:
  • Шифрование передаваемых данных. Уже не прослушаешь через WiFi чужие пароли, ибо HTTPS.
  • Достоверность легитимности посещаемого ресурса. Проверка равенства CN=FQDN, заверение всемирно доверенным центром, который произвел проверку заказа (если внешний ресурс) либо корпоративным CA (для внутренних ресурсов). При этом браузер будет показывать зеленый замочек, показывая, что все хорошо, и не будет ругаться. Мало кто не видел такую позитивную картинку: 
  • Предупреждение либо защиту от атаки MITM. Защита - в случае двусторонней аутентификации, при односторонней - предупреждение с возможностью отказаться, либо отказ (в зависимости от настроек ОС/ПО).