Пытаясь разобраться почему у меня не работает Autoenrollment, я заметил, что мой верный wireshark ничего не видит. Бред какой-то. 10 лет ловил трафик libpcap-ом. А тут какая-то мистика - одни SYN-ы и SYN-ACK-и. Оказывается MS снова всех обманул - изобрел Scalable Networking Pack. Идея, как бы позитивная, - разгрузить процессор, но лично меня слова типа "DMA" крайне беспокоят, думаю скоро это будут весьма успешно эксплуатировать горячие головы.
Коротенький раздел "Windows Server 2003 Scalable Networking Pack open issues", вызвал у меня улыбку умиления - при всем этом бардаке, у меня в сети на продуктивном сервере это чудо "SNP" стоит, установленное вместе с сервиспаком!
Monday, September 13, 2010
Microsoft Windows Server 2003 Scalable Networking Pack
Posted by Sergey Soldatov 0 comments
Labels: Microsoft
Friday, September 10, 2010
Бог решает...
К моему величайшему сожалению, я не знал этого Человека. И не имею права считать себя байкером. Но я всю жазнь в дороге и живу в этой стране. Душой я с ними.
Posted by Sergey Soldatov 0 comments
Labels: Russia
Wednesday, September 8, 2010
Еще 5 лет жизни
Почему-то все эту новость крайне негативно. Но почему? Лично я после того как ПФРФ много раз воровали, наблюдая за тем как живут мои родители на пенсии, изучая текущие "реформы" пенсионного фонда, вспоминая о том, как в "кризис" латали дыры в бюджете в т.ч. и пенсионным фондом и это не помешало в 2010-м посткризисном году России удвоить количество своих миллиардеров, а также прочих любопытных знаний, которые даже никто не пытается скрывать, от чего становится особенно обидно, для себя решил, что в РФ до пенсии доживать не надо и это:
- Позволит мне остаться патриотом, так как государству не нужны пенсионеры, что ж, поможем Родине.
- Позволит мне не быть обузой своим многочисленным детям.
Posted by Sergey Soldatov 2 comments
Labels: Russia
Wednesday, September 1, 2010
Классификация информации и DLP
Я решил повнедрять DLP. На данном этапе (весьма и весьма начальном) выяснил, что несмотря на то, что тема "модная" и внедрятели рассказывают о том, что это успешно делается, все далеко не так просто. Не буду тратить время на рассказ как работают системы DLP, перейду сразу к проблемам "стандартного" подхода к внедрению.
- У меня есть классификация информации, допустим: Коммерческая тайна (КТ), Для служебного использования (ДСП) и Открытая (О). Крайне сложно понять какие типы информации попадают в какие классы, так как: а) это невозможно сделать без заинтересованности бизнес-подразделений, чего добиться крайне сложно, б) сами бизнес-подрездения не имеют представления какие типы информации у них в обращении.
- Даже если я, с горем пополам, определил какие типы информации попали в какие категории, крайне сложно научить DLP распознавать эти типы информации с нужной степенью достоверности, а низкая достоверность крайне неблагоприятно влияет на стоимость владения.
- Такой подход к категоризации опять же решит задачу, так как один и тот же тип информации (например, договор) в разных случаях может иметь различную категорию. Как эти исключения "запрограммировать", я не знаю.
Сразу оговорюсь, что подобый "стандартный" подход с большой степенью вероятности применим в сильно заформализованных предприятиях, например государственных, где четко определены категории документов и даны требования к их оформлению (например, на них обязательно проставление грифов). Тут все будет просто и красиво.
Подискутировав данную тематику с коллегами родился следующий подход, который я и предлагаю на ваш суд, уважаемые читатели, любые мысли относительно изъянов данного подхода крайне интересны. Для предметности и понятности я буду давать пояснения на примере файлов в сетевых папках.
Задача DLP - предотвратить компрометацию данных, т.е. чтобы неавторизованные пользоватли не получили доступ к информации. Пока, на данном, начальном, этапе предлагаю единицей информации банально считать файл (в дальнейшем можно поиграться с цифровыми отпечатками, ключевыми словами с весами и прочими инструментами, которые предоставляет DLP для классификации данных "на лету", но давайте есть слона по частям) Аналогична и задача контроля доступа.
Процедура получения доступа к информационному ресурсу формализована, не важно используется MAC, DAC или RBAC. В любом случае есть роль, которая выполняет согласование уровня доступа к реусурсу желающим. Идея заключается в распростаранении такого же подхода на отдельные файлы. Идентифицировать конкретные файлы можно, например по хешу или как-то по принадлежности к сетевому ресурсу (по тому, в какой сетевой папке лежит), если такая возможность у DLP имеется. Соответственно, будет две политики использования: только чтение или чтение и изменение, аналогично тому, как это настраивается для сетевого ресурса: доступ в папку только по чтению или по чтению и записи. Можно подумать о введение дополнительных прав, например, запрет удаления. При этом, основная цель недопущения компрометации документа будет достигнута - пользователь не получит доступ к файлу, если у него нет членства в группах доступа к сетевому ресурсу, где этот файл хранится, независимо от того, как пользователь этот файл получил: по почте от коллеги, через съемный носитель или еще как. Доступ к файлу он получает на основании членства в группе доступа к сетевому ресурсу, которое появляется после отработки процедуры предоставления доступа в сетевой ресурс, через согласующего.
Отвязывание политики доступа к файлу "как к его сетевому ресурсу" должно согласовываться аналогичным предосталвленю доступа образом через назначенного согласующего.
Проблемы, что я тут вижу:
- Политик использования файлов у меня будет столько сколько сетевых ресурсов и типов доступа к ним у меня есть, т.е. тьма.
- Вместо "похожих" по цифровым отпечаткам у меня одинаковой политикой использования будут обладать непохожие документы, имеющие фиксированый хеш и принадлежность к одной папке (вот единственный критерий "похожести").
Posted by Sergey Soldatov 11 comments
Labels: DLP and DRM/IRM, Enterprise Security