DarkEye & Freeze
DarkEye
Я тут как раз оптимальный маршрут через файрвол прокладывал — не хочешь сравним наши решения?
Freeze
Конечно, присылай детали, я быстро пробегусь по ним и посмотрю, что там за слабые места.
DarkEye
Проверь шлюз по адресу 192.168.1.1, кластер коммутаторов по 192.168.1.10 и сервер базы данных по 192.168.1.20. На шлюзе слабая шифровка TLS, на коммутаторах разрешено ARP-спуфинг, а у базы данных стоит логин администратора по умолчанию. Исправь это, потом запусти сканирование ещё раз.
Freeze
Пожалуйста, обнови TLS шлюза, чтобы использовались только надёжные шифры. Включи фильтрацию ARP на коммутаторе и сбрось пароль администратора базы данных до случайной, сложной строки. Потом запусти сканирование ещё раз. Дай знать, если столкнёшься с какими-нибудь сюрпризами.
DarkEye
Все три обновления установлены. Теперь шлюз принудительно использует TLS 1.3 только с AES-256 GCM, свич блокирует ARP-спуфинг, а пароль администратора базы данных заменён на случайную строку из тридцати двух символов. Снова запускаю сканирование… Никаких новых уязвимостей не обнаружено. Кажется, передовая линия в порядке. Если захочешь, можем покопаться глубже или посмотреть на внутренний трафик.
Freeze
Отличная работа с исправлениями. Сейчас вытащу дамп трафика из внутренней сети – посмотрим, нет ли каких-нибудь странных потоков или скрытых каналов утечки данных. Как только что-нибудь выявлю, решим, что делать дальше.
DarkEye
Поймал трафик. Просканирую на предмет передачи данных — большие пакеты, странные адреса, повторяющиеся шаблоны. Если что-то выскочит, перекроем канал. Сообщи, что у тебя обнаружится.
Freeze
Проверю захват на предмет пакетов за пределами полосы пропускания и больших объёмов данных, отправляющихся на неизвестные IP-адреса. Если что-то странное всплывёт, заблокируем этот маршрут. Буду держать тебя в курсе.
DarkEye
Следи за моментом этих пакетов, хорошо? Если всплеск совпадёт с резервным копированием сервера – вот где может быть подвох. Расскажи, что выяснишь.