http://blog.konieczny.be/2007/12/17/sekrety-microsoft-com-nie-uzywamy-firewalli/Wpisy z dziennika internetowego Jogger, wspomaganego przez JabberaThu, 09 Feb 2012 18:47:50 +0100JoggerPLhttp://blog.konieczny.be/2007/12/17/sekrety-microsoft-com-nie-uzywamy-firewalli/#c1031913Riddle ostatnio coś pierniczył na Twitterze o zawodności serwerów Linuksowych :D. O ironio! XDMon, 17 Dec 2007 13:35:59 +0100http://blog.konieczny.be/2007/12/17/sekrety-microsoft-com-nie-uzywamy-firewalli/#c1031913http://blog.konieczny.be/2007/12/17/sekrety-microsoft-com-nie-uzywamy-firewalli/#c1031917Zamber: Marka nie ma tu znaczenia. Raczej zdolnosci administratora... W przypadku microsoft.com -- jak czesto slyszysz o padzie serwera, widzisz deface'a, etc? Team maja dobry i doskonale rozumiem ich posuniecie. BTW, zamiast 'firewall', Jeff powinien uzywac slowa IDS/IPS, ale tu logow bylo by pewnie jeszcze wiecej... ;-)Mon, 17 Dec 2007 13:38:24 +0100http://blog.konieczny.be/2007/12/17/sekrety-microsoft-com-nie-uzywamy-firewalli/#c1031917http://blog.konieczny.be/2007/12/17/sekrety-microsoft-com-nie-uzywamy-firewalli/#c1031985Nie rozumiem argumentacji o niemozliwosci przegladania logow firewalla. Logi firewalla przeglada sie pod katem wystepowania konkretnych zdarzen. Mam wrazenie, ze autorowi tamtego wpisu chyba naprawde myla sie systemy IDS/IPS z FW.Mon, 17 Dec 2007 14:18:44 +0100http://blog.konieczny.be/2007/12/17/sekrety-microsoft-com-nie-uzywamy-firewalli/#c1031985http://blog.konieczny.be/2007/12/17/sekrety-microsoft-com-nie-uzywamy-firewalli/#c1031999Z tekstu wynika że 6h na godzinę, a nie dzień (albo po prostu nie uściśliłeś że nie o cały dzień Ci chodzi :)).Riddle pierniczył o zawodności serwerów Linuksowych, ale było to pierniczenie endusera. Po prostu któryś raz z kolei coś na Linuksie leżało i tyle.PS: Nie obchodzi mnie porównanie serwerów i zalety Linuksa, więc jak ktoś chce isć na wojnę może sobie odpuścić. :>Mon, 17 Dec 2007 14:33:50 +0100http://blog.konieczny.be/2007/12/17/sekrety-microsoft-com-nie-uzywamy-firewalli/#c1031999http://blog.konieczny.be/2007/12/17/sekrety-microsoft-com-nie-uzywamy-firewalli/#c1032010a dlaczego niby mieli by używać firewalli?Jest jakiś publiczny serwer, udostępniający jakieś usługi na świat, zapewne opiekuje się nim fachowy admin więc po jakiego grzyba firewall?Mon, 17 Dec 2007 14:46:59 +0100http://blog.konieczny.be/2007/12/17/sekrety-microsoft-com-nie-uzywamy-firewalli/#c1032010http://blog.konieczny.be/2007/12/17/sekrety-microsoft-com-nie-uzywamy-firewalli/#c1032014Mnie bardziej ciekawi inne stwierdzenie:"Microsoft zbiera ok. 650 GB logów dziennie"Ciekawe zatem ile TB logów ma Google...Mon, 17 Dec 2007 14:53:00 +0100http://blog.konieczny.be/2007/12/17/sekrety-microsoft-com-nie-uzywamy-firewalli/#c1032014http://blog.konieczny.be/2007/12/17/sekrety-microsoft-com-nie-uzywamy-firewalli/#c1032017…i czy mają do analizowania tych danych prawdziwe AI…Mon, 17 Dec 2007 14:55:02 +0100http://blog.konieczny.be/2007/12/17/sekrety-microsoft-com-nie-uzywamy-firewalli/#c1032017http://blog.konieczny.be/2007/12/17/sekrety-microsoft-com-nie-uzywamy-firewalli/#c1032032Musk ma rację. Publicznie wystawiony serwer nie musi być chroniony firewallem. Bo co niby miałoby być firewallowane? Usługi wystawione dla całego świata?Mon, 17 Dec 2007 15:06:21 +0100http://blog.konieczny.be/2007/12/17/sekrety-microsoft-com-nie-uzywamy-firewalli/#c1032032http://blog.konieczny.be/2007/12/17/sekrety-microsoft-com-nie-uzywamy-firewalli/#c1032042musk: dlatego wlasnie sobie spekulujemy, ze pan Jeff pomylil IDS/IPS z FW... ale moze uzyl uproszczenia? Sam spotkalem sie wielokrotnie z tym, ze nasli zachodni znajomi, zwlaszcza Ci, ktorzy z security maja malo wspolnego, upraszczaja pojecie bezpieczenstwa serwera do slowa "ma dobry firewall".Hoppke: W gruncie rzeczy masz racje, ale ja widze pewne korzysci zwiazane ze zbieraniem z pozoru nieuzytecznych logow na taka skale... :-)IMO, MS nie moze zaprezentowac sie jako firma nie korzystajaca z firewalla - slowa klucza rozpropagowanego w mediach jako synonim bezpieczenstwa (mimo, ze w ich przypadku, zadna to korzysc). Chodzi tu bardziej o PR niz o security ...i pewnie z tego powodu usuneli posta.Mon, 17 Dec 2007 15:15:07 +0100http://blog.konieczny.be/2007/12/17/sekrety-microsoft-com-nie-uzywamy-firewalli/#c1032042http://blog.konieczny.be/2007/12/17/sekrety-microsoft-com-nie-uzywamy-firewalli/#c1032157Dokładnie z tego samego powodu mało kto filtruje ruch na routerach backbone'owych.Kiedyś miałem na szkoleniu ludzi z TPSA i spytałem ich dlaczego TPNet nie stosuje egress filteringu, co ukróciłoby spoofing i jest zalecane przez RFC 3013 i 2644. Taki egress filtering poza standardowym ingress implementowałem już w połowie lat 90-tych jak pracowałem w CETI.Tyle że to było kilkadziesiąt klas C. Na poziomie backbonu nikt nie filtruje bo byłoby to zbyt zasobożerne. TPNet cały "routing" robił na jakichś urządzeniach frame-relay.Przypuszczam że w Microsofcie problem jest podobny i jest to po prostu problem skali. No i jak widać brak firewalla wcale nie przeszkadza MS podtrzymywać wizerunku firmy, której nikt od dawna nie zrobił defacementu na głównej.Mon, 17 Dec 2007 16:58:48 +0100http://blog.konieczny.be/2007/12/17/sekrety-microsoft-com-nie-uzywamy-firewalli/#c1032157http://blog.konieczny.be/2007/12/17/sekrety-microsoft-com-nie-uzywamy-firewalli/#c1032163No właśnie. Google pewnie teraz zachodzi w głowę jak oni się wytłumaczą z braku fw ;-) ...jeśli i oni nie mają (chociaż ^G wygląda na firmę bardziej doświadczoną, jeśli chodzi o przerabianie ogromnych danych i skalowanie rozwiązań).Mon, 17 Dec 2007 17:02:30 +0100http://blog.konieczny.be/2007/12/17/sekrety-microsoft-com-nie-uzywamy-firewalli/#c1032163http://blog.konieczny.be/2007/12/17/sekrety-microsoft-com-nie-uzywamy-firewalli/#c1032348LOL. Nie ma wystarczająco wydajnych rozwiązań. Ano są, tylko kosztują. Chociaż samego firewallowania nie wynosiłbym do rangi rozwiązania absolutnie koniecznego. Mam tylko maszyn y linuksowe i to co do nich firewalluje to dostęp SSH czy do innych usług, które mają ograniczony krąg odbiorców. A co do filtrowania backbonów to z zasady się tego nie robi, oczywiście standardowy argument to pożeranie zasobów (chociaż to nie do końca prawda, bo wiele sprzętu ciscowego np robi bardzo wydajne acle w sprzęcie), bardziej chodzi o to, że ciężko ustalić co jest dozwolone a co nie ;). Trzebaby to synchronizować z filtrami BGP chociażby. A tak nie muszą nic robić i po kłopocie.Mon, 17 Dec 2007 19:17:21 +0100http://blog.konieczny.be/2007/12/17/sekrety-microsoft-com-nie-uzywamy-firewalli/#c1032348http://blog.konieczny.be/2007/12/17/sekrety-microsoft-com-nie-uzywamy-firewalli/#c1032484Logi w Google monitorują na bieżąco tresowane gołębie :)Mon, 17 Dec 2007 20:28:03 +0100http://blog.konieczny.be/2007/12/17/sekrety-microsoft-com-nie-uzywamy-firewalli/#c1032484http://blog.konieczny.be/2007/12/17/sekrety-microsoft-com-nie-uzywamy-firewalli/#c1032534Chwilkę, przecież serwer nie musi mieć firewalla - wystarczy, że będzie na nim uruchomiony _tylko_ serwer WWW (o ile ma to być serwer WWW) i tyle. Reszta to konfiguracja tego serwera no i ataki TCP/IP. Może poprostu mają firewalla na każdym z serwerów ? :-)Mon, 17 Dec 2007 21:01:58 +0100http://blog.konieczny.be/2007/12/17/sekrety-microsoft-com-nie-uzywamy-firewalli/#c1032534http://blog.konieczny.be/2007/12/17/sekrety-microsoft-com-nie-uzywamy-firewalli/#c1032885A na czym microsoft.com stoi? Na OpenBSD? :>Tue, 18 Dec 2007 08:41:33 +0100http://blog.konieczny.be/2007/12/17/sekrety-microsoft-com-nie-uzywamy-firewalli/#c1032885http://blog.konieczny.be/2007/12/17/sekrety-microsoft-com-nie-uzywamy-firewalli/#c1035393@BeteNoire: Też słyszałem, że stoi to na jakimś *BSD, ale tutaj Piotr pisze o W2K8.Fri, 21 Dec 2007 00:53:17 +0100http://blog.konieczny.be/2007/12/17/sekrety-microsoft-com-nie-uzywamy-firewalli/#c1035393http://blog.konieczny.be/2007/12/17/sekrety-microsoft-com-nie-uzywamy-firewalli/#c1035409Windows Server 2008/IIS7 - www.microsoft.comTo cytat z Jeffa. Na BSD swego czasu staly serwery Akamai, z uslug ktorego MS korzystal. Moze o to chodzi?Fri, 21 Dec 2007 02:10:50 +0100http://blog.konieczny.be/2007/12/17/sekrety-microsoft-com-nie-uzywamy-firewalli/#c1035409http://blog.konieczny.be/2007/12/17/sekrety-microsoft-com-nie-uzywamy-firewalli/#c1037906BSD z Akamai byly swego czasu podobno tylko jakimis proxy z tego co pamietam...Mon, 24 Dec 2007 03:32:47 +0100http://blog.konieczny.be/2007/12/17/sekrety-microsoft-com-nie-uzywamy-firewalli/#c1037906