Ноябрь — месяц особенный. Целых два профессиональных праздника для российских безопасников: День специалиста по безопасности в России — 12 ноября и Международный день защиты информации — 30 ноября.
Находясь между этими датами, невольно задумываешься на тему: а что есть безопасность в принципе? И что приносит больший вред: внешние атаки или сумасшедшие ошибки, странные предрассудки и просто нежелание что-либо сделать хорошо?
Предлагаем вашему вниманию перечень "вредных советов", надеюсь, они вам понравятся.
Для начала пример из жизни
Один замечательный начальник отдела ИТ искренне считал, что главное — это быстро бегать по заявкам пользователей, производя впечатление максимальной загруженности. А ещё важно экономить на всём. На каждом совещании он не забывал похвалить себя и свой отдел, рассказывая, сколько чего было сэкономлено для компании.
Примечателен тот факт, что в сети ранее была создана вся необходимая структура для обеспечения стабильности, безопасности и т. д. В том числе закуплены коммутаторы L3, новенькие точки доступа Wi-Fi и много другого полезного.
Но вся эта техника просто не использовалась. А зачем? Никто этого не оценит. Зато быстро прибежавшего сисадмина сразу после телефонного звонка пользователи обязательно похвалят и даже угостят карамелькой. Пара новейших коммутаторов грустно лежала в коробке, потому что установить их было просто некому.
В итоге всё находилось в одной подсети. Ни о каких VLAN не могло быть и речи.
Разумеется, и СХД, и рабочие станции, и даже веб-сервер с внешним сайтом компании — всё было в одной сети класса С. Все 254 адреса были давным-давно оприходованы. И когда возник дефицит IP адресов, то начальник отдела ИТ принял оригинальное решение: урезать диапазон динамических IP адресов и снизить время лизинга IP адресов на DHCP сервере до 1 секунды.
Таким образом, компьютеры тех сотрудников, кто приходили на работу пораньше, получали доступ к локальной сети, а опоздавшие или те, кто приходил ровно к началу рабочего дня — "курили бамбук". Классический вариант: "кто раньше встал, того и тапки". Тем самым удалось и модернизации избежать, и дисциплину поднять, ведь теперь работники, мало того, что стараются прийти пораньше, так ещё и на работе задерживаются.
Но как же быть с теми хитрецами, кто не выключал компьютеры, уходя домой, чтобы сохранить доступ в сеть? Очень просто: все компьютеры, кроме ноутбуков топ-менеджеров, в 22-00 выключались принудительно.
Кроссовый журнал не вёлся. Мало того, повсеместно применялись сплиттеры, когда два компьютера сотрудников подключались к сети через одну настенную розетку. Сплиттеры делались силами сотрудников ИТ отдела из обычных внешних телефонных розеток и "хитрых патчкордов", где с одной стороны был RJ45, а с другой — телефонный штекер.
К любым, даже самым простым мерам безопасности вроде "обновить антивирусные базы" этот начальник ИТ относился с опасением. Фразы "у нас честная фирма, нам нечего скрывать" и "да кому мы нужны" — были главным определяющим фактором при принятии решений. Все работники имели права администратора на своем компьютере. Примерно треть пользователей— администраторы домена. А вдруг ответственному сотруднику внезапно понадобится какой-нибудь информационный ресурс для работы? Пароли были самые простые. Пользователи ведь не должны напрягаться, чтобы запоминать сложные пароли? Сочетание "1234" уже считалось вполне нормальным.
Вы считаете это выдумкой? Или такое возможно только в маленьких компаниях вроде "Я, секретарша и директор"? Увы, этот пример целиком взят из жизни.
Мало того, фирма, где это происходило — довольно крупная столичная компания, вполне современная, так сказать, внедряющая прогрессивные методы работы с клиентами.
Почему руководство компании терпело этот кавардак? Все вокруг искренне считали, что без этого "незаменимого сотрудника" в этом хаосе больше никто не разберется. Поэтому уволить такого "ценного кадра", чтобы сделать резервную копию (кстати, системы резервного копирования не было тоже, её пришлось бы строить с нуля) и потом всё отстроить заново — никак не решались. Всё-таки бизнес простаивать будет, а так, пусть "через пень колоду", но вроде пока ещё как-то работает...
Чтобы избежать таких… даже не ошибок, а просто нелепостей, предлагаем вашему вниманию перечень "вредных советов". Если им не следовать, то можно избежать многих проблем.
Проектирование и документация
При построении сети не составляйте даже эскизного проекта. Все решения должны приниматься спонтанно.
Если начальство требует привлечь для проекта стороннюю организацию, то выбирайте самый дешевый вариант. Из всех предложений на рынке наймите самую низкооплачиваемую команду проектировщиков.
Наличие документации совершенно не важно, лучше если её вообще не будет. И уж точно вас не должно волновать несоответствие в документации и того, что есть в реальности.
Логическая организация и сервисы
Не разделяйте сети. Не используйте VLAN. На самом деле это придумали те, кто просто хочет побольше заморочиться.
Не используйте STP или другие средства отказоустойчивости. Чем больше "петель" и обрывов — тем круче сеть.
Никакого контроля за IP адресами. Пусть и сервер DHCP, и статические адреса берутся из одного диапазона адресов "не глядя". Если кому-то не повезло и адреса совпали — "дело житейское". Повезет в следующий раз. И вообще, "Что наша жизнь? Игра!"
Не планируйте запас IP адресов "на вырост". Помните, что простой сети класса С и любимой маски 255.255.255.0 хватит на все случаи жизни.
Если у вас есть промышленное оборудование с IoT, то подключайте офисную сеть к промышленной напрямую в один и тот же сегмент сети, и всё это сразу подключите к Интернет через самый дешевый роутер.
Оборудование
Не обращайте внимание на элементную базу. Качество монтажа, качество комплектующих — вещи абсолютно незначимые.
Обязательно используйте оборудование от самых разных производителей, в первую очередь неизвестных и малоизвестных фирм. Вообще "зоопарк" из самых диковинных образчиков сетевых устройств — это удивляет воображение и дает волю фантазии. Лучше всего сочетаются "ископаемые древности" с новехонькой техникой от NoName производителей.
Рекомендация. Чем диковиннее "железки", тем больше вероятность, что только вы будете знать, как управиться со всем этим разношерстым «хозяйством». А если и не знаете, то не расстраивайтесь, ведь никто другой, скорее всего, это тоже не знает.
При выборе оборудования не обращайте внимание на наличие русскоязычной техподдержки — "сами во всем разберемся".
Не используйте резервирование. Ничего страшного если что-то постоит без работы, кто-нибудь да отремонтирует.
Не заключайте договор о расширенной гарантии и поддержке. Сгорит — значит сгорит. Нужно стоически принимать удары судьбы.
Не имейте "спасательного фонда". Только "с колес". Если что-то выйдет из строя — всегда можно срочно купить устройство на замену, желательно за наличные из такого же хлама, что подвернется под руку.
Wi-Fi
При развертывании Wi-Fi не используйте гостевую сеть. Смело раздавайте всем на право и налево ключ от офисного Wi-Fi. Разумеется, пароль обязательно быть один на всех. Никаких RADIUS, Dynamic Personal Pre-Shared Key (DPPSK) и прочих ненужных вещей!
Покупайте устаревшие модели точек доступа просто потому что они дешевле. Лучше брать с рук или на рынке, без гарантии и документации, от неизвестного производителя.
Разместите единственную точку доступа в самом труднодоступном изолированном месте. Глухой подвал с железной дверь вполне подойдет.
Используйте только одну точку доступа на всех. Если все жалуются, что у них "не ловит" — пусть поищут в офисе место, где сигнал стабильней. Например, пусть все выйдут в коридор.
Поставьте рядом с точкой доступа побольше микроволновок, устройств с BlueTooth и других гаджетов, использующих радиовещание или создающее помехи.
Если начальство требует "что-то сделать с Wi-Fi, который не ловит" — разместите несколько одинаковых точек доступа рядом друг другом. Не настраивайте никаких параметров для снижения взаимного влияния.
Не используйте никакие средства Wi-Fi роуминга. Контроллеры точек Wi-Fi (даже если за эту функцию не надо платить, и она уже есть в сетевом оборудовании) — жутко обременительная вещь.
Никогда не используйте облачные решения для контроля точек доступа. Лучше всё настраивать вручную.
Не используйте удаленное управление точками доступа. Например, чтобы перезагрузить точку по питанию, лучше послать человека с раскладной лестницей.
Не используйте PoE для питания точек доступа. Если розеток недостаточно или точки находятся в трудно доступных местах — используйте обычные удлинители для электропитания. Хорошей идеей также будет втыкать удлинители электропитания один в другой, чтобы получить нужную длину. Если искрит — значит работает!
Не используйте шифрование в Wi-Fi. Если этого требует начальство — используйте самый простой вариант. Если ваша точка доступа всё ещё поддерживает WEP — используйте именно это. А то вдруг кто-то придет с устаревшим ноутбуком, который поддерживает только этот вариант...
СКС и учет оборудования
Никакой маркировки кабелей! Забудьте про кроссовый журнал. Только по памяти или методом "тыка".
Рекомендация. Чтобы узнавать, что куда подключено, лучше всего просто выдернуть патчкорд из порта, и подождать, кто прибежит. Так можно узнать не только какое оборудование "висит на данном проводе", но и насколько оно важно для работы сети.
Не ведите никакого учета оборудования. Только то, что в голове, только по памяти. Если заставляют вести документацию — смело пишите в ней что попало. И, конечно, не вздумайте использовать никакую централизованную облачную систему.
Всегда прокладывайте СКС самым дешевым и устаревшим кабелем. Помните, что категория 5 (не 5E, а именно "чистая пятерка") на высоких скоростях работает ничуть не хуже, чем более современные 5E, 6, 6A, 7...
Покупайте только самые дешевые патчкорды.
Не используйте патчпанели. Лучше всего провод сразу из стены обжать и воткнуть в порт оборудования.
Старый разболтанный обжимной инструмент от неизвестного производителя — это самый лучший вариант для оконцовывания кабелей. Не имейте ничего хорошего и надежного.
Безопасность
Используйте только самые простые пароли. Лучше использовать пароли по умолчанию. Если интерфейс требует сменить пароль — введите очень простой, который можно получить из словаря
Не используйте VPN и любое другое шифрование трафика. Честным людям нечего скрывать.
Не читайте логи безопасности. Всё равно ничего полезного там не прочтете, а если прочтете, то всё равно не поймете.
В настройках безопасности используйте самый простой режим по умолчанию.
Используйте прямое подключение через Интернет. Никаких этих дурацких вещей вроде DMZ и тому подобного. Только сразу напрямую к серверам во внутренней сети. И никаких дополнительных средств защиты!
Используйте неизвестные программы от третьих лиц вместо фирменного ПО. Например, зачем использовать Zyxel One Network, если можно воспользоваться каким-нибудь левым сканером сети с "хакерского" сайта, желательно ещё и "крякнутой" версией.
Рекомендация: Разумеется, это всё гораздо надежнее, чем использовать облачные решения, ведь там за безопасностью следят злые админы, а это добрые люди на форуме посоветовали. Поэтому в облако — ни-ни.
Не используйте антивирус. Ни на шлюзе, нигде. Все знают, что антивирус замедляет компьютеры. Пусть всё "добро" из Интернет незамедлительно проходит сразу на серверы и компьютеры пользователей.
Не используйте антиспам. Любая фильтрация нарушает свободу переписки. Вдруг прямо сейчас кто-то из сотрудников получит письмо о наследстве из Нигерии. Он непременно будет вам признателен за эту возможность.
Не проводите поведенческого анализа действий пользователей в сети. Пусть сотрудники качают всё, что им вздумается. Чем больше они скачают на компьютеры, тем меньше останется в Интернет, и ваша компания станет несомненно богаче.
Модернизация имеющейся сети
Всячески уклоняйтесь от модернизации. По большому счету не важно, какая пропускная способность сети. Ethernet HUB 10Mb/s ни в чем не уступает коммутатору L3 10 Gigabit Ethernet.
Рекомендация 1. Если начальство всё же настаивает на модернизации сети, начните проводить плановые работы в самое неудобное время, например, в активные бизнес-часы. Посидят несколько часов без сети — авось поумнеют и отвяжутся со своей модернизацией.
Рекомендация 2. Составьте список из самого дорого оборудования (пусть даже вам не так нужен весь этот набор функций) и запросите для начальства счет с кругленькой цифрой. Они непременно откажутся от планов модернизации, увидев, как много денег им придется потратить.
При выполнении работ не составляйте никаких планов заранее. Всё должно происходить строго по наитию. Спонтанные решения всегда лучше тщательной предварительной проработки.
Никогда, вы слышите, никогда не читайте документацию! Даже если ничего не знаете, методом "тыка" действовать всегда лучше, чем вооружившись инструкцией. И вообще, это глупо — тратить бесценное время на чтение, если уже сразу можно начать ковыряться в настройках и "железе".
Не обновляйте firmware сетевого оборудования. Не используйте централизованную систему контроля версий прошивок.
Даже если оборудование уже куплено, — просто не устанавливайте его. Ведь для этого нужно научиться с ним работать, потом произвести плановую остановку, выполнить какие-то действия по замене и настройке… Проще потратить деньги и отчитаться.
Рекомендация. Если установки не избежать, то по возможности оттяните её как можно дольше, когда новое оборудование уже изрядно устареет. Так вы всегда можете сказать: "Ну вот видите, поставили новое, а получился всё равно "отстой"".
Мониторинг
Не контролируйте сеть. Не читайте логи. Вообще не используйте систему мониторинга. И уж точно не используйте никакие облачные системы от производителя.
Не настраивайте никакого информирования: ни по почте, ни по СМС, ни-че-го… Пока не знаете о проблеме — и голова не болит.
Не используйте никакую удаленную систему управления. Только личный приход в серверную избавит вас от большинства проблем.
Работа с персоналом
Не определяйте даже примерно зоны ответственности. Пусть все отвечают за всё.
Настоящий профессионал всегда знает всё. Если человек говорит, что с чем-то до этого момента не сталкивался и ему надо почитать литературу — это слабак, его надо немедленно уволить и нанять "всезнайку". Эффект Даннинга-Крюгера выдумали просто так, для утешения неудачников.
Никогда не признавайте свои ошибки. Лучше потихоньку замести следы или доказывать, что «оно само так получилось».
Всегда нанимайте для выполнения работ случайных людей подешевле. Помните, что хороший специалист всегда соглашается поработать бесплатно, а самые крутые — ещё доплатят вам, потому что "работать в этой компании — большая честь для них".
Никогда ничего не проверяйте и не тестируйте. Помните, что настоящие профессионалы никогда не ошибаются.
—
Вот и закончился наш список. Разумеется, это всего лишь… шутка. Но в каждой шутки есть доля правды.
И мы выражаем поддержку тем, кто не допускает подобных вещей или вынужден бороться против подобного.
drWhy
Всё верно, в каждой шутке есть доля шутки. За которые спасибо.
«была создана вся необходимая структура для обеспечения стабильности, безопасности и т. д. В том числе закуплены коммутаторы L3, новенькие точки доступа Wi-Fi и много другого полезного.
Но вся эта техника просто не использовалась. А зачем? Никто этого не оценит. Зато быстро прибежавшего сисадмина сразу после телефонного звонка пользователи обязательно похвалят и даже угостят карамелькой. Пара новейших коммутаторов грустно лежала в коробке, потому что установить их было просто некому.»
Был случай — человек оценил всю широту задумки, схему, содержащую все закупленные полезности изваял в эмуляторе одного гонимого ныне производителя, прогнал неоднократно, выявил и истребил бока возможные и маловероятные. Всё затикало аки часики.
Но за карамельками бегать не спешил, за что видимо зарплату и не поднимали. Но опыт приобрёл, ушёл в итоге в девопс.