Вот я и жду его комментариев, хотя, зная безопасников, подозреваю, что их не будет.

Так понимваю, что тут принцип -- если не разрешено, значит запрещено. Если надо разрешить, то надо разрешение аргументировать зачем.
Да?

[quote]с 70 000+ серверов с голой жопой наружу?[/quote]
Ну если у вас на этих серверах с жопой наружу виндовс-95 - то количество синих экранов будет равняться количеству ваших серверов :D

блть, ну есть же критерии, размер есть? есть, ограничиваем по критерию
частота есть? есть, ограничиваем по частоте
в любой организации)

не у нас, у клиентов. Жопой наружу: разнообразные Win, разнообразные линуксы, разнообразные юниксы, разнообразные випиэны, цитриксы и т.д... Все это в разнообразных отделах, разнообразных департаметах в разнообразных регионах по всей стране и странах СНГ (телеком).
Тут подругому никак, некоторы

не у нас, у клиентов. Жопой наружу: разнообразные Win, разнообразные линуксы, разнообразные юниксы, разнообразные випиэны, цитриксы и т.д... Все это в разнообразных отделах, разнообразных департаметах в разнообразных регионах по всей стране и странах СНГ (телеком).
Тут подругому никак, некоторый маразм окупается.

Gochy, мы дождемся Ваших коментариев?
Не думаю, что в данном случае это будет какая-то закрытая или инсайдерская информация... Хотя, отсутствие комментариев, так же будет являться полезной (уж опять простите за тавтологию) информацией.

Маловато вводный данных для комментариев. Если без лекций и в общих чертах, то ицмп можно использовать как и для атак, так и для разведки. Поентому запрещаем усе и открываем по необходимости.
С одной стороны безопасникам проще закрыть все, но для айти это бывает выходит огромным гимором. Именно поэтому и написал, нужно уметь находить компромисс.
[quote=krotov;23800279] Gochy, мы дождемся Ваших коментариев? [/quote] я ж не живу на форуме :) после праздников буду почаще, а сейчас уматываю на Домбай. Ихха, где мои лыжи

боюсь я этих лыж, мне моторизированные средсва передвижения нравятся.
Вводных данных не то, что маловато, а вооще нет можно сказать. А лекцию, в полном объеме, я бы послушал, правда.

29-Gochy > я как безопасник по образованию тебя поддерживаю. а поскольку знаю чему учат безопасников, то смело могу послать :)
35-droidman > о! исчерпывающе.

multicast балин. понимаешь.

35-droidman > примерно так, только обычно разрешаю только type 3 code 4 , т.к. там ещё всякая ерунда есть в 3 типе хост\сеть недоступна и т.д.(если не надо - проще запретить :)), пинговать обычно не надо(ну с самой железяки разве-что), насчет ддос-а особо не заморачивался, у фри после 200 пакетов\сек ицмп по умолчанию курить начинает насколько помню, вот с размером не заморачивался, раньше просто на внешке адрес сети(внешка) + броадкаст блокировал просто, чтоб самому не ддосить ответами на поддельные например пакеты...а ицмп это так...фигня, хотя если говорить о ddose, то не имея толстого канала, и закрытые порты\протоколы могут закидать так что, канал просядет ... все написанное имхо, и не претендует на что-нить :)

[quote=напаяхЪ;23844045] 29-Gochy > я как безопасник по образованию тебя поддерживаю. а поскольку знаю чему учат безопасников, то смело могу послать :) [/quote]
Учат везде по разному, плюс опыт, плюс желание узнать что-то новое и тд... Короче люди разные бывают.
PS: насчет послать, енто кому адресовано? :)
52-701054 > хомяк, ты накурилси?

53-Gochy > чего ? кто тут ?

долго думал, не накуривался, просто покурил вроде, а что не так-то ? :)

48-Gochy > [em]Поентому запрещаем усе и открываем по необходимости[/em]
умники-безопасники, слов просто нет)
а админ у вас кто тогда? тупая затычка как у тов. директора?

хых, админ-программист-безопасник-1сник-бдадмин-эникей-телефонист-секретарь-шофер это конечно прикольно, но вобщем нет ничего плохого когда каждый занимается своим делом имхо

забыл ещё монтажника-проектанта как минимум

ничего плохого, безусловно
тогда мне непонятно, что такое "безопасник"?
наверное я что-то в этой жизне упустил

не ну есть экономическая безопасность, физическая безопасность, ИТ безопасность и т.д. их много ну это лучше спросить Gochy

или направлений у них много я хз как там устроенно

гм, так вроде, в этом топике, у вас я подробностей и не спрашивал)

а что такое безопасник в вашем понимании ? :) а то вдруг я чего упустил...

так вот я сам для себя пытаюсь расставит точки между откровенными вредителями, и тупицами по определению
что у нас третье?)

бггггг :) видимо не везло с безопасниками ... когда нет норм безопасников, то от пользователей и их самодеятельности и вонючими носками не отмахаться бывает :)

[quote=gloomymen;24326834] умники-безопасники, слов просто нет) а админ у вас кто тогда? тупая затычка как у тов. директора? [/quote]
к нашем случае, на ит безопасности лежит периметр. Все остальное - карающе-контролируемые действия. Как то так.
PS: ты меня в какие записал, в диверсанты или тупицы? :)
PPS: хомяк, зачет! но, цуко, ты мне за субботу еще ответишь!

кстати, Глуми. А что плохого в политике "запрещено все"?

66-Gochy > ты однозначно диверсант!
твой манагерский планктон еще не пишет служебки? а-ля
гендиру Прохорову В.В. от младшего помошника старшего манагера Суркова В.Ю.
Служебный записка
Прашу разрешить мне завтра 12 пакетов icmp типа восемь, т.к. хачу пингануть яндекс после обеда
дата/подпись
67-Gochy > [em]А что плохого в политике "запрещено все"?[/em]
из плохого - отсутствие хвоста фразы "что не разрешено"

Если что то не пашет, то наш планктон начинает плакаться в жилетку эникейщикам, те переводят стрелки на админов, а они дружно тычут пальцами на меня. Как вариант - эникейщики сразу на меня переводят стрелы :D
В конечном итоге планктон уже не рад и меня пытаются напрячь уже самые "стойкие и смелые", после чего я ору на эникейщиков и админов благим матом и грожу всеми мыслимыми и немыслимыми карами небесными... Как то так :) Причем почти всегда я оказываюсь непричем :D
Насчет служебок - год-два назад, примерно такого содержания и категорично требовательного тона была от одного умника. Парень был новый, "продвинутый", захотел "все везде и всегда". После доверительной получасовой беседы, тыканья в нормативные документы да и просто взывая к здравому смыслу, попытки объяснить ему что он не прав мне надоели. В общем после отправки в пешее эротическое он решил не дергать судьбу за яйца.
[quote=gloomymen;24335950] из плохого - отсутствие хвоста фразы "что не разрешено" [/quote]
это подразумевалось ;)

69-Gochy > [em]Причем почти всегда я оказываюсь непричем :D[/em]
у меня на прошлой работе был такой же цискарь, вечно "непричем", в конце концов попался)
жаль что живем далече, я бы поработал немного в твоей конторе, чисто из спортивного интереса, еще вопрос кто бы в путешествие пешим ходил)

[em]у меня на прошлой работе был такой же цискарь, вечно "непричем",..[/em]
А цискари они все такие, чуть что сразу норовят соскочить.

69-Gochy > вот и у нас так. только вместо "орать благим матом" вступает в дело бюрократическая бумага, которая может ходить от месяца до полугода для разрешения ресурса. + потом ещё делаться будет хз сколько.

+ никто в пешее не ходит. ну разве что по своей тупости или лени.

70-gloomymen > это вызов? ))))
72-напаяхЪ > ну тут вопрос отношения. Бюрократию тоже никто не отменял :)

у нас безопасников задалбывают в последнюю очередь. потому как никто не знает какие у них девайсы. поэтому трасировка никому не помогает )))

74-Gochy > да, приезжай, коньячку попьем, потрындим)
падавана можешь прихватить, правильный человек

74-Gochy > даже не отношений а подчинённости. начальник отдела безопасности мне не может отдать приказ мне, а мой начальник не может отдать приказ соруднику ОИБ. поэтому есть регламент, который позволяет начальникам общаться. ну и человеческие отношения "вася надо открыть порты на пиксе потому как никто работать не может. а если не откроешь, то я им дам твой телефон" :)

76-gloomymen > падаван в залете, динамщик хренов :D
77-напаяхЪ > речи о приказах как бы и не было :)

78-Gochy >а если без приказа, то сразу лесом :) послушать и попить чайку можно конечно

может мы о разных вещах говорим?
какой приказ, если мне, например, приносят заявку на ... ну пусть будет на открытие портов файрвола.