#брандмауэр — Public Fediverse posts

[Перевод] Создаём брандмауэр при помощи eBPF и контрольных групп

Технология eBPF — интересная штука. С её помощью можно без труда внедрять в ядро Linux фрагменты кода, которые затем компилируются в коды операций (опкоды), которые гарантированно не обрушат работу ядра. Набор допустимых инструкций ограничен, переходы назад не допускаются (поэтому не будет никаких неопределённых циклов). При этом вы не можете разыменовывать указатели, но вместо этого можете выполнять проверяемые операции считывания через указатели, которые потенциально могут оказаться неудачными, но при этом не спровоцируют паник на всю систему. eBPF в ядре Linux можно закреплять в тысячах хуков (точек перехвата), в качестве которых могут выступать u-пробы, k-пробы, точки трассировки и даже такие штуки как отказы страниц. У eBPF есть целый спектр захватывающих возможностей, которые при этом очень активно разрабатываются. Фичи, поддерживаемые в каждой конкретной версии ядра, перечислены в виде списка по этому адресу .

https://habr.com/ru/companies/timeweb/articles/1022028/

#timeweb_статьи_перевод #ebpf #linux #брандмауэр #mkdir #ядро_linux #tls #интернет #http #программирование

[Перевод] Создаём брандмауэр при помощи eBPF и контрольных групп

Технология eBPF — интересная штука. С её помощью можно без труда внедрять в ядро Linux фрагменты кода, которые затем компилируются в коды операций (опкоды), которые гарантированно не обрушат работу ядра. Набор допустимых инструкций ограничен, переходы назад не допускаются (поэтому не будет никаких неопределённых циклов). При этом вы не можете разыменовывать указатели, но вместо этого можете выполнять проверяемые операции считывания через указатели, которые потенциально могут оказаться неудачными, но при этом не спровоцируют паник на всю систему. eBPF в ядре Linux можно закреплять в тысячах хуков (точек перехвата), в качестве которых могут выступать u-пробы, k-пробы, точки трассировки и даже такие штуки как отказы страниц. У eBPF есть целый спектр захватывающих возможностей, которые при этом очень активно разрабатываются. Фичи, поддерживаемые в каждой конкретной версии ядра, перечислены в виде списка по этому адресу .

https://habr.com/ru/companies/timeweb/articles/1022028/

#timeweb_статьи_перевод #ebpf #linux #брандмауэр #mkdir #ядро_linux #tls #интернет #http #программирование

[Перевод] Создаём брандмауэр при помощи eBPF и контрольных групп

Технология eBPF — интересная штука. С её помощью можно без труда внедрять в ядро Linux фрагменты кода, которые затем компилируются в коды операций (опкоды), которые гарантированно не обрушат работу ядра. Набор допустимых инструкций ограничен, переходы назад не допускаются (поэтому не будет никаких неопределённых циклов). При этом вы не можете разыменовывать указатели, но вместо этого можете выполнять проверяемые операции считывания через указатели, которые потенциально могут оказаться неудачными, но при этом не спровоцируют паник на всю систему. eBPF в ядре Linux можно закреплять в тысячах хуков (точек перехвата), в качестве которых могут выступать u-пробы, k-пробы, точки трассировки и даже такие штуки как отказы страниц. У eBPF есть целый спектр захватывающих возможностей, которые при этом очень активно разрабатываются. Фичи, поддерживаемые в каждой конкретной версии ядра, перечислены в виде списка по этому адресу .

https://habr.com/ru/companies/timeweb/articles/1022028/

#timeweb_статьи_перевод #ebpf #linux #брандмауэр #mkdir #ядро_linux #tls #интернет #http #программирование

[Перевод] Создаём брандмауэр при помощи eBPF и контрольных групп

Технология eBPF — интересная штука. С её помощью можно без труда внедрять в ядро Linux фрагменты кода, которые затем компилируются в коды операций (опкоды), которые гарантированно не обрушат работу ядра. Набор допустимых инструкций ограничен, переходы назад не допускаются (поэтому не будет никаких неопределённых циклов). При этом вы не можете разыменовывать указатели, но вместо этого можете выполнять проверяемые операции считывания через указатели, которые потенциально могут оказаться неудачными, но при этом не спровоцируют паник на всю систему. eBPF в ядре Linux можно закреплять в тысячах хуков (точек перехвата), в качестве которых могут выступать u-пробы, k-пробы, точки трассировки и даже такие штуки как отказы страниц. У eBPF есть целый спектр захватывающих возможностей, которые при этом очень активно разрабатываются. Фичи, поддерживаемые в каждой конкретной версии ядра, перечислены в виде списка по этому адресу .

https://habr.com/ru/companies/timeweb/articles/1022028/

#timeweb_статьи_перевод #ebpf #linux #брандмауэр #mkdir #ядро_linux #tls #интернет #http #программирование

Защита от эксплойтов rdp, smb c помощью IPSec и сертификатов

На многих предприятиях остаются всё ещё работать старые версии операционных систем windows, которые не обновляются, или просто не установлены обновления по непонятным причинам. Типичный ответ у нас после обновления отвалились принтеры, и мы отключили их. В результате были использованы эксплойты по типу CVE-2019-0708, или другие приватные эксплойты, что повлекло за собой утечку информации, и вывод серверов из строя. Чтобы этого не случилось, я написал инструкцию шаг за шагом, которая позволит это предотвратить, или сузить вектор атаки. Про IPSec много написано, поэтому здесь только настройки. В качестве примера я взял rdp (протокол удалённого рабочего стола) и smb (сетевой протокол удалённого доступа к файлам). Первый компьютер с именем StorageServer и ip адресом 17.17.17.200 , данный компьютер находится в домене st.local , на нём находятся копии баз данных. На этом компьютере открыты порты 3389 (rdp) и 445 (smb). Нам нужно защитить этот компьютер, даже если на нём нет обновлений безопасности. Второй компьютер с именем adminivan и ip адресом 17.17.17.17 , данный компьютер находится в домене st.local , c которого администратор подключается с учётной записью storageadmin . Для получения сертификатов пользователя нужно развернуть центр сертификации. Для этого нужно установить роль сервера, службы сертификатов Active Directory. Есть куча статей как его развернуть и настроить, не будем на этом подробно останавливаться. Имя моего центра сертификации IPSecCA . Запускаем на StorageServer wf.msc и откроется монитор брандмауэра, переходим на вкладку входящие подключения и смотрим.

https://habr.com/ru/articles/947100/

#ipsec #windows_server #pki #firewall #информационная_безопасность #брандмауэр #rdp #smb

Сеть как за кирпичной стеной: как защитить серверы с помощью облачного файрвола Seleсtel

Статистика в сфере информационной безопасности остается неутешительной. Так, DDoS-Guard зафиксировала в России 384,8 тыс DDoS–атак — и это только в первом квартале 2023 года. А по данным «РТК-Солар», количество кибератак в этот период выросло до 290 тыс. Это в полтора раза больше, чем в первом полугодии 2022 года. Чтобы не пополнить статистику и защитить свою инфраструктуру, важно заранее позаботиться о безопасности серверов . Есть разные способы защиты, например, можно использовать файрвол или iptables. Они фильтруют входящий и исходящий трафик и отсекают нелегитимные подключения. В этой статье мы подробнее расскажем о нашем решении — облачном файрволе Selectel. Покажем, как настроить правила трафика и установить защиту за пару кликов. Подробности под катом.

https://habr.com/ru/companies/selectel/articles/778560/

#selectel #облачная_платформа #файрвол #облачные_сервисы #безопасность_данных #брандмауэр

Как не превратить рабочий ноутбук в решето: простые правила и полезные программы

Ваш рабочий ноутбук — это не просто инструмент для работы, а хранилище корпоративных секретов, персональных данных и доступов к важным ресурсам. Одно неловкое движение — и всё это может оказаться в руках злоумышленников. В этой статье разберёмся, как можно максимально просто и эффективно защитить себя и свою компанию от потенциальных угроз.

https://habr.com/ru/articles/879844/

#защита_данных #шифрование #vpn #безопасность #антивирус #брандмауэр

Сеть как за кирпичной стеной: как защитить серверы с помощью облачного файрвола Seleсtel

Статистика в сфере информационной безопасности остается неутешительной. Так, DDoS-Guard зафиксировала в России 384,8 тыс DDoS–атак — и это только в первом квартале 2023 года. А по данным «РТК-Солар», количество кибератак в этот период выросло до 290 тыс. Это в полтора раза больше, чем в первом полугодии 2022 года. Чтобы не пополнить статистику и защитить свою инфраструктуру, важно заранее позаботиться о безопасности серверов . Есть разные способы защиты, например, можно использовать файрвол или iptables. Они фильтруют входящий и исходящий трафик и отсекают нелегитимные подключения. В этой статье мы подробнее расскажем о нашем решении — облачном файрволе Selectel. Покажем, как настроить правила трафика и установить защиту за пару кликов. Подробности под катом.

https://habr.com/ru/companies/selectel/articles/778560/

#selectel #облачная_платформа #файрвол #облачные_сервисы #безопасность_данных #брандмауэр

Защита от эксплойтов rdp, smb c помощью IPSec и сертификатов

На многих предприятиях остаются всё ещё работать старые версии операционных систем windows, которые не обновляются, или просто не установлены обновления по непонятным причинам. Типичный ответ у нас после обновления отвалились принтеры, и мы отключили их. В результате были использованы эксплойты по типу CVE-2019-0708, или другие приватные эксплойты, что повлекло за собой утечку информации, и вывод серверов из строя. Чтобы этого не случилось, я написал инструкцию шаг за шагом, которая позволит это предотвратить, или сузить вектор атаки. Про IPSec много написано, поэтому здесь только настройки. В качестве примера я взял rdp (протокол удалённого рабочего стола) и smb (сетевой протокол удалённого доступа к файлам). Первый компьютер с именем StorageServer и ip адресом 17.17.17.200 , данный компьютер находится в домене st.local , на нём находятся копии баз данных. На этом компьютере открыты порты 3389 (rdp) и 445 (smb). Нам нужно защитить этот компьютер, даже если на нём нет обновлений безопасности. Второй компьютер с именем adminivan и ip адресом 17.17.17.17 , данный компьютер находится в домене st.local , c которого администратор подключается с учётной записью storageadmin . Для получения сертификатов пользователя нужно развернуть центр сертификации. Для этого нужно установить роль сервера, службы сертификатов Active Directory. Есть куча статей как его развернуть и настроить, не будем на этом подробно останавливаться. Имя моего центра сертификации IPSecCA . Запускаем на StorageServer wf.msc и откроется монитор брандмауэра, переходим на вкладку входящие подключения и смотрим.

https://habr.com/ru/articles/947100/

#ipsec #windows_server #pki #firewall #информационная_безопасность #брандмауэр #rdp #smb

Защита от эксплойтов rdp, smb c помощью IPSec и сертификатов

На многих предприятиях остаются всё ещё работать старые версии операционных систем windows, которые не обновляются, или просто не установлены обновления по непонятным причинам. Типичный ответ у нас после обновления отвалились принтеры, и мы отключили их. В результате были использованы эксплойты по типу CVE-2019-0708, или другие приватные эксплойты, что повлекло за собой утечку информации, и вывод серверов из строя. Чтобы этого не случилось, я написал инструкцию шаг за шагом, которая позволит это предотвратить, или сузить вектор атаки. Про IPSec много написано, поэтому здесь только настройки. В качестве примера я взял rdp (протокол удалённого рабочего стола) и smb (сетевой протокол удалённого доступа к файлам). Первый компьютер с именем StorageServer и ip адресом 17.17.17.200 , данный компьютер находится в домене st.local , на нём находятся копии баз данных. На этом компьютере открыты порты 3389 (rdp) и 445 (smb). Нам нужно защитить этот компьютер, даже если на нём нет обновлений безопасности. Второй компьютер с именем adminivan и ip адресом 17.17.17.17 , данный компьютер находится в домене st.local , c которого администратор подключается с учётной записью storageadmin . Для получения сертификатов пользователя нужно развернуть центр сертификации. Для этого нужно установить роль сервера, службы сертификатов Active Directory. Есть куча статей как его развернуть и настроить, не будем на этом подробно останавливаться. Имя моего центра сертификации IPSecCA . Запускаем на StorageServer wf.msc и откроется монитор брандмауэра, переходим на вкладку входящие подключения и смотрим.

https://habr.com/ru/articles/947100/

#ipsec #windows_server #pki #firewall #информационная_безопасность #брандмауэр #rdp #smb

Защита от эксплойтов rdp, smb c помощью IPSec и сертификатов

На многих предприятиях остаются всё ещё работать старые версии операционных систем windows, которые не обновляются, или просто не установлены обновления по непонятным причинам. Типичный ответ у нас после обновления отвалились принтеры, и мы отключили их. В результате были использованы эксплойты по типу CVE-2019-0708, или другие приватные эксплойты, что повлекло за собой утечку информации, и вывод серверов из строя. Чтобы этого не случилось, я написал инструкцию шаг за шагом, которая позволит это предотвратить, или сузить вектор атаки. Про IPSec много написано, поэтому здесь только настройки. В качестве примера я взял rdp (протокол удалённого рабочего стола) и smb (сетевой протокол удалённого доступа к файлам). Первый компьютер с именем StorageServer и ip адресом 17.17.17.200 , данный компьютер находится в домене st.local , на нём находятся копии баз данных. На этом компьютере открыты порты 3389 (rdp) и 445 (smb). Нам нужно защитить этот компьютер, даже если на нём нет обновлений безопасности. Второй компьютер с именем adminivan и ip адресом 17.17.17.17 , данный компьютер находится в домене st.local , c которого администратор подключается с учётной записью storageadmin . Для получения сертификатов пользователя нужно развернуть центр сертификации. Для этого нужно установить роль сервера, службы сертификатов Active Directory. Есть куча статей как его развернуть и настроить, не будем на этом подробно останавливаться. Имя моего центра сертификации IPSecCA . Запускаем на StorageServer wf.msc и откроется монитор брандмауэра, переходим на вкладку входящие подключения и смотрим.

https://habr.com/ru/articles/947100/

#ipsec #windows_server #pki #firewall #информационная_безопасность #брандмауэр #rdp #smb

Как не превратить рабочий ноутбук в решето: простые правила и полезные программы

Ваш рабочий ноутбук — это не просто инструмент для работы, а хранилище корпоративных секретов, персональных данных и доступов к важным ресурсам. Одно неловкое движение — и всё это может оказаться в руках злоумышленников. В этой статье разберёмся, как можно максимально просто и эффективно защитить себя и свою компанию от потенциальных угроз.

https://habr.com/ru/articles/879844/

#защита_данных #шифрование #vpn #безопасность #антивирус #брандмауэр

Как не превратить рабочий ноутбук в решето: простые правила и полезные программы

Ваш рабочий ноутбук — это не просто инструмент для работы, а хранилище корпоративных секретов, персональных данных и доступов к важным ресурсам. Одно неловкое движение — и всё это может оказаться в руках злоумышленников. В этой статье разберёмся, как можно максимально просто и эффективно защитить себя и свою компанию от потенциальных угроз.

https://habr.com/ru/articles/879844/

#защита_данных #шифрование #vpn #безопасность #антивирус #брандмауэр

Как не превратить рабочий ноутбук в решето: простые правила и полезные программы

Ваш рабочий ноутбук — это не просто инструмент для работы, а хранилище корпоративных секретов, персональных данных и доступов к важным ресурсам. Одно неловкое движение — и всё это может оказаться в руках злоумышленников. В этой статье разберёмся, как можно максимально просто и эффективно защитить себя и свою компанию от потенциальных угроз.

https://habr.com/ru/articles/879844/

#защита_данных #шифрование #vpn #безопасность #антивирус #брандмауэр