CyberLaka

защити свои данные, управляй безопасностью с умом

Рубрика: Админу в помощь

  • Как работает DHCP Relay на L3-коммутаторе и почему DHCP-сервер понимает, какой пул адресов использовать.

    Механика простая, но часто вызывает вопросы. Разбираем по шагам.

    1. Что делает DHCP Relay на коммутаторе

    • Клиент в VLAN (например, VLAN 5, сеть 192.168.2.0/24) посылает DHCP Discover (broadcast).
    • Так как broadcast не маршрутизируется, этот пакет до DHCP-сервера (например, в 192.168.1.0/24) не дойдёт.
    • Коммутатор с включённой функцией dhcp relay перехватывает этот broadcast и отправляет его уже как unicast на указанный адрес DHCP-сервера (например, 192.168.1.10).
    • При этом коммутатор подменяет поле giaddr (Gateway IP Address) в DHCP-запросе на свой IP-адрес интерфейса VLAN (в примере — 192.168.2.1).

    2. Как DHCP-сервер выбирает пул

    DHCP-сервер смотрит на поле giaddr в запросе.… Читать далее…

  • Как потерять защиту за 5 минут: сервер антивируса в домене

    Сервер управления антивирусной системой является критически важным элементом инфраструктуры информационной безопасности. Его компрометация влечёт за собой возможность массового отключения защитных агентов, изменения политик безопасности и скрытия вредоносной активности во всей корпоративной сети. По этой причине недопустимо вводить такой сервер в состав домена Active Directory. При компрометации доменных учётных записей администраторов злоумышленник получает прямой доступ к консолям управления антивирусом, что фактически превращает атаку на AD в полный контроль над системой защиты рабочих станций и серверов.

    Наилучшей практикой считается размещение сервера управления в отдельной рабочей группе, в изолированном сегменте сети, с доступом только из административных подсетей.… Читать далее…

  • Почему подрядчику нельзя просто «дать» VPN-клиент Континент или ViPNet

    Многие админы сталкивались с задачей: подключить подрядчика к корпоративной сети через СКЗИ-VPN (например, Континент АП или ViPNet). Кажется логичным — взять и выдать ему готовый дистрибутив с лицензией. Но по закону это не работает. Разбираемся почему.

    Что говорит закон

    Федеральный закон № 99-ФЗ «О лицензировании отдельных видов деятельности» (ред. от 23.05.2025), ст. 12:

    «Лицензированию подлежит деятельность по разработке, производству, распространению шифровальных (криптографических) средств, … оказанию услуг в области шифрования информации…»

    Другими словами, если организация сама передаёт ПО-СКЗИ другому юрлицу, это приравнивается к распространению. Для этого нужна лицензия ФСБ.… Читать далее…

  • Безопасное наименование узлов внутри сети

    Один из часто упускаемых, но важных аспектов построения безопасной IT-инфраструктуры — это политика наименования серверов, рабочих станций и виртуальных машин. Казалось бы, безобидные имена вроде backup-srv или admin-vpn могут существенно облегчить жизнь злоумышленнику, уже попавшему во внутреннюю сеть.

    Чем меньше “шумов” оставлять в именах — тем меньше поводов для разведки у злоумышленника внутри сети. Идеальная практика — баланс между безопасностью и управляемостью:

    Для администрирования — полная структура хранится в CMDB.

    Для ИБ — обезличенные имена внутри.

  • Открытый RDP в интернет: приглашение на взлом

    Открытый RDP в интернет: приглашение на взлом

    “А чё такого, я просто открыл RDP, чтобы из дома подключаться…”
    “Да никто ж не знает мой IP!”
    “Пароль у меня сложный — qwerty123Q!”

    Ну что ж. Серверу было хорошо. Царство ему небесное.

    Что такое RDP?

    RDP — это удалённый рабочий стол от Microsoft. Удобная штука, чтобы работать с сервером, не вставая со стула.

    Но вот беда — по умолчанию он открывается на весь мир, если ты не позаботился о фаерволе, VPN и других банальных мерах безопасности.

    А что будет, если просто открыть порт 3389?

    А будет так:

    • Через 5 минут сервер появляется в списках Shodan.
    Читать далее…
  • Почему сервер Kaspersky Security Center лучше не вводить в домен

    Почему сервер Kaspersky Security Center лучше не вводить в домен

    Если вы администратор, который привык всё в домен, всё под одну гребёнку, всё централизованно и красиво — есть нюанс.
    Когда дело касается Kaspersky Security Center (KSC), производитель сам рекомендует:
    «Лучше не надо в домен.»

    Звучит неожиданно? Сейчас объясним, почему это не паранойя, а здравый смысл.

    В чём суть?

    Сервер KSC — это не просто «ещё один сервер в домене».
    Это центр управления защитой всей инфраструктуры:

    • политики безопасности,
    • задачи сканирования,
    • обновления,
    • реакция на инциденты,
    • и, главное, отключение защиты тоже оттуда.

    Теперь представим:
    компрометация домена → злоумышленник получает учётку администратора AD → логично, что он может использовать её, чтобы залогиниться на KSC.… Читать далее…

  • Бэкапы есть? А проверял?

    Бэкапы есть? А проверял?

    Старый как мир диалог: — У вас были бэкапы?
    — Были…
    — А восстанавливали хоть раз?
    — Ну… вообще… нет.

    А потом начинается пляска с бубном, слёзы в глазах и фраза «ну хоть не продакшн, да?». А это был именно продакшн.

    Бэкап ≠ защита. Проверенный бэкап = защита

    Сделать бэкап — полдела. Настроить скрипт, крутить tar, rsync, Veeam или даже сливать на магнитные ленты (да-да, ещё живы эти динозавры!) — всё это хорошо.
    Но знаешь, что плохо?

    Не проверять, что оно реально работает.
    — Лента пишется? — Пишется.
    — Журналы есть?… Читать далее…

  • Зачем нужен сканер уязвимостей и почему важно обновлять системы

    Представьте классическую ситуацию: бухгалтер Марина получила письмо от «ФНС» с темой «Срочно! Проверка!». Открыла, кликнула, запустила вложение — и всё. Хакер уже потягивает кофе у себя на кухне и разгуливает по вашей сети, как у себя дома. И тут он такой:
    «Опа, Windows Server 2012 без обновлений, Java 1.7, Tomcat без пароля на админку? Да вы меня балуете!»

    А ведь всё могло быть иначе. Достаточно было просто… ОБНОВИТЬСЯ.
    Но давайте по порядку.

    Что такое уязвимость?

    Уязвимость — это баг, дыра, косяк в системе или программе, через который злоумышленник может зайти, не позвонив в дверь.… Читать далее…

  • Идея для защищенного файлового сервера

    Идея для защищенного файлового сервера

    Архитектура

    1. VPN-сервер (OpenVPN/WireGuard) — защищённый удалённый доступ.
    2. Auth-сервер (Authelia + SMTP) — обработка логинов и 2FA.
    3. Файловый сервер (Windows Server + SMB) — хранение данных и контроль доступа.

    Как это работает

    1. Подключаешься к VPN.
    2. Вводишь логин, пароль и код 2FA.
    3. После успешной аутентификации получаешь доступ к файловой шаре (\\10.10.10.100\share).

    Дополнительные меры защиты

    • Включение шифрования SMB 3.0.
    • Ограничение доступа через межсетевой экран.
    • Использование BitLocker для защиты данных.

    Такое решение балансирует удобство и безопасность, позволяя безопасно работать с файлами из любой точки.

  • Защита почтового сервера с помощью фейковой MX-записи

    Защита почтового сервера с помощью фейковой MX-записи

    Любой администратор, управляющий почтовым сервером, сталкивается с проблемой спама. Одним из эффективных, но малоизвестных способов фильтрации мусорных сообщений на самом раннем этапе является использование фейковой MX-записи. Этот метод позволяет отсекать значительную часть спама ещё до установления SMTP-сессии.

    Принцип работы

    Почтовые серверы, отправляя письмо, сначала запрашивают MX-записи домена получателя, чтобы определить, куда направлять сообщения. Стандартный механизм обработки MX-записей предполагает сортировку по приоритету (чем ниже значение, тем выше приоритет). Спам-боты, не соблюдающие этот порядок, часто берут первую попавшуюся запись и сразу пытаются отправить письмо.

    Добавление фейковой MX-записи с наивысшим приоритетом (минимальным числом) на несуществующий или неподдерживающий SMTP-хост позволяет отсечь значительную часть ботов.… Читать далее…