Vlákno názorů k článku Apache Guacamole: gateway pro vzdálený desktop (RDP a VNC) od D.J.Bobo - VPN je bezva (na WinOnly SSTP asi nejjednodušší)....
-
VPN je bezva (na WinOnly SSTP asi nejjednodušší). Ale:
- VPN do DMZ, kde je jen Terminal server … nicméně, pokud útočník pronikne vinou nekvalitního hesla uživatele na terminál, stejně má k dispozici většinu sítě.
- VPN do sítě: dtto, připojený PC/NTB je riziko pro LAN a neuhlídáš, zda uživatel nemá jeden PC i s dětmi, kteří hrajou hry a bezpečnost/antivir neřeší.
- řešením není ani dvoufaktorová autentizace … viz bod 2.Nezbývá, než pravidelně zálohovat, projít LAN, zda tam není slabé místo pro průnik s vysokým oprávněním (typicky SMB1 nebo SMB2/3 Public bez hesla), sledovat LAN 24/365 a pokud by došlo k instalacei Emotetu, ihned odpojit všechny uživatele a hledat, odkud to přišlo … útočník zanechá stopu na napadeném PC, ze kterého pak vede útok.
A bohužel … pak reinstalace všech serverů, protože nevíš, kde se Emotet skrývá … může být i vzálohách a jen vyčkávat i 14 dnů, než se pustí do práce.
… a hlavně modlit se, aby zrovna u Vás nebyl Emotet nalezen … v podstatě největším rizikem je vždy uživatel a to ten nejslabší (obvykle nějaký lajdák, nebo starší před důchodem, co tomu vůbec nerozumí a bezpečnost je cizí slovo. Seznam je jediné, co zná ...
-
Karel Hudaň (neregistrovaný)
Reinstalace...
Zatím jsem to teda nikdy v nouzi nepotřeboval, ale jelikož všechny servery (primárně Linux, ale sem tam i Windows) jedu v režimu HW -> KVM -> VMs, tak pokud by se něco takového stalo, tak to merge LVM snapshotu jistí.Běžně to používám třeba v rámci instalace nového SW na Windows serverech, abych se mohl vrátit, když to jde šejdrem, a vždy OK. Plus samozřejmě mám zálohy systému i dat, lokálně i vzdáleně. Zálohovaný stroj má právo pouze udělat novou zálohu, staré mazat nemůže.
A co se týká LAN, pohrávám si s myšlenkou, že časem nasadím WireGuard na komunikaci mezi stanicí a servery (+firewall). No uvidíme :).
ČLÁNKY DO MAILU