По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
Начало 2019 года продолжило тренд на массовые утечки учетных данных. Если вы еще не знаете, то буквально в январе в сети была обнаружена крупнейшая база, содержащая более 773 миллионов уникальных email адресов и более 21 миллиона уникальных паролей. По оценкам специалистов, эта база была сформирована благодаря порядка 2000 известным взломам различных ресурсов, но источники около 140 миллионов email адресов и примерно 10 миллионов паролей – не удалось отнести ни к одной зафиксированной утечке. До недавнего времени, это была самая большая утечка учетных данных, когда-либо происходившая в Интернете. Данная база получила название Collection #1. По информации от человека ее обнаружевшего, количество строк в ней равняется 2,692,818,238, а весит она 87.18Gb.
Человека, который рассказал широкой общественности о данной проблеме, зовут Трой Хант (Troy Hunt). Он создатель ресурса Have I Been Pwned? (HIBP) и мы хотим, чтобы о нем узнало как можно большее количество людей!
Ресурс, созданный Троем, позволяет узнать – скомпрометирован ли адрес Вашей электронной почты, другими словами – замечен ли он в каких-либо известных утечках или нет. Просто введите адрес своей электронной поты в строку поиска и посмотрите, что ответит сайт!
Если ответ будет такой – поздравляем! Ваш email не замечен ни в одной известной утечке, пока… Почитайте советы о том как усилить безопасность.
А если после ввода своего адреса Вы увидите на экране такое:
То это значит, что пароль от вашего аккаунта, который зарегистрирован на данный почтовый ящик, на одном из взломанных ресурсов, может быть известен кому-то ещё кроме Вас, и что его необходимо срочно сменить. Кстати, в случае компрометации, сервис также покажет, в утечке на каком именно ресурсе был замечен Ваш email, а также время когда это произошло. В нашем примере таких утечек 5:
Кто-то может сказать - "Ну и что, что меня взломали, я например уже не давно пользуюсь этим аккаунтом". Опасность тут в том, что многие люди используют один и тот же пароль на всех ресурсах, а это значит, что если скомпрометирован один, то могут быть скомпрометированы все. Если Вы используете разные пароли на разных ресурсах - Вы восхитительны! Только делайте их сложными и устойчивыми к взлому. В этом Вам может помочь наш генератор устойчивых паролей.
Помимо этого, на ресурсе Троя можно также узнать скомпрометирован ли Ваш пароль, настроить уведомления о новых утечках и автоматической проверке Вашего email на предмет наличия в них, проверить есть ли скомпрометированные почтовые адреса в Вашем домене и даже - автоматизировать процесс проверки скомпрометированных учетных данных с помощью API!
Важно отметить, что HIBP не ставит соответствие email’а и пароля. Поэтому если Вы найдете скомпрометированный почтовый ящик, то не сможете узнать пароль от него и наоборот.
PS: Кстати, как оказалось потом, Collection #1 это лишь верхушка айсберга. В конце января 2019 года были обнаружены базы Collection #2-#5, а также AP MYR&ZABYGOR #2 и ANTIPUBLIC #1 общим весом 964,23 GB. После фильтрации дубликатов, исследователи пришли к выводу, что эти базы содержат объем данных, более чем в 3 раза превосходящий Collection #1. Это порядка 25 миллиардов записей email/пароль. Надеемся, то в скором времени и эта утечка появится на HIBP.
Django – это бесплатный и свободный фреймворк для веб-приложений на языке Python. Фреймворк – это не что иное, как просто набор модулей, облегчающих разработку. Они сгруппированы и позволяют создавать приложения или веб-сайты с чистого листа, а не полностью с нуля.
«Быстрая разработка и понятный и практичный дизайн» - вот ключевые преимущества Django. При установке фреймворка Django на веб-сервере он может помочь разработчикам быстро создавать многофункциональные, безопасные и масштабируемые веб-интерфейсы.
Например, разработчикам не нужно создавать свои окна входа в систему и обработку входных данных. Очень вероятно, что что-то может пойти не так. Фреймворки позаботятся об этом за вас и помогут справиться со всеми сложными ситуациями.
Как связаны Django и Python?
Django – это платформа программирования на языке Python. Это инструмент написания программного кода на Python, который добавляет функциональность и ускоряет процесс. Django включает в себя код на языке Python, который уже написан и готов к использованию в проекте. Django – это «фреймворк», поскольку он содержит полнофункциональный набор классов, библиотек и модулей, которые позволяют разработчикам делать практически все, что им требуется для создания надежных веб-сайтов и приложений.
Python – это основа, а Django построен на этой основе, так как он написан именно на Python. Django – это основа вашего веб-сайта или приложения.
Свойства Django
Быстрая разработка
Целью создания Django было создание такого фреймворка, который бы позволил разработчикам создавать веб-приложения за меньшее количество времени. Этап реализации приложения занимает достаточно много времени, а Django позволяет ускорить его.
Повышенная безопасность
Безопасность Django превышает стандартные свойства безопасности: большой опыт и обширные знания пользователей Django помогают в ее обеспечении. Вы рискуете не заметить уязвимость в своем модуле, если будете создавать все свое веб-приложение с нуля. Вы можете быть уверены в тои, что пакеты Django защитят ваши данные, поскольку они широко используются, имеют открытый исходный код и тщательно проверены веб-разработчиками.
Универсальность
Django – это универсальный фреймворк, который может использоваться для создания самых различных приложений. В настоящее время компании используют Django для создания таких приложений, как системы организации информационного наполнения, социальные сети и платформы для научных вычислений.
Открытый исходный код
Django – это бесплатный фреймворк для веб-приложений с открытым исходным кодом. Он доступен для всех желающих. Исходный код можно загрузить из общедоступного репозитория. За счет использования открытого исходного кода снижается общая стоимость разработки приложения.
Огромная общественная поддержка
Веб-фреймворк Django имеет большую и преданную базу пользователей. Многие высококвалифицированные разработчики Django жертвуют своим временем и опытом для того, чтобы помочь в разработке, улучшении и исправлении программного обеспечения. Вы можете извлечь огромную пользу из применения Django для разработки вашего приложения, используя грамотно разработанные пакеты, доступные для всех, кто работает с Django.
Кто использует Django?
Django широко используется такими веб-сайтами, как:
The Washington Times
The Washington Post использует Django для обработки большого трафика. Django также используется и другими интернет-изданиями.
Mozilla
Это еще одно веб-приложение, перешедшее с PHP на Python, а, следовательно, на Django. Оно является одним из самых популярных веб-браузеров. Теперь он может обрабатывать большие объемы трафика и большое количество запросов API.
Instagram
Django обеспечивает Instagram такими функциональными возможностями, которые позволяют веб-приложению работать бесперебойно, добавлять новые функции и быстро устранять проблемы.
Pinterest
Эта платформа имеет более 250 миллионов активных пользователей ежемесячно, обрабатывает огромные объемы мультимедийных данных и по-прежнему поддерживает «дружественный» интерфейс. Создатели смогли настроить ее по своим требованиям за счет фреймворка с открытым исходным кодом.
Фреймворк Django
Архитектура Django основана на структуре MVT, что означает MODEL, VIEW и TEMPLATE. MVT – это альтернатива MVC, которая в свою очередь состоит из следующих трех компонентов: Model, View и Controller.
Основное различие между MVT и MVC заключается в том, что архитектура Django выполняет задачи, которые выполняет контроллер (Controller) архитектуры MVC. Все задачи, связанные с контроллером, выполняются с помощью шаблонов (Template) Django. Другими словами, содержимое шаблона представляет собой смесь языка шаблонов Django (также известного как DTL - Django Template Language) и HTML (HyperText Markup Language – язык разметки гипертекста).
Model
Model – это компонент веб-приложения, который служит связующим звеном между пользовательским интерфейсом и базой данных. Это объект, который технически реализует логику предметной области приложения.
View
В архитектуре Django этот компонент содержит логику пользовательского интерфейса.
View – это пользовательский интерфейс веб-приложения, включающий такие элементы, как HTML, CSS и другие технологии пользовательского интерфейса. Как правило, этот пользовательский интерфейс создается компонентом Model, который предоставляет наполнение.
Template
Если вам нужно создать динамический веб-сайт для сложных операций или функций, то шаблоны (templates) помогут упростить этот процесс. Проще говоря, динамический веб-сайт отправляет и получает изменяющиеся или динамические данные. Как правило, динамические данные связаны со сценарием, в котором каждому пользователю предоставляются его собственные персонализированные данные. Примером могут послужить различные транзакции в финансового-технологических программах или публикации в социальных сетях, таких как Facebook, Instagram, Twitter и т.д.
Заключение
Django – это отличный выбор в ситуациях, когда речь идет о проектах с большим объемом наполнения (например, медиафайлов), со взаимодействием с пользователем, большим трафиком и сложными функциями или технологиями (например, машинное обучение). В любом случае, его также можно использовать и для небольших проектов, если вы планируете масштабировать свой проект до гораздо больших масштабов. Именно поэтому многие компании используют Django для абсолютно различных целей.
Сетевая инфраструктура (роутеры, коммутаторы, МСЭ, АТС и так далее) являются очень важными ресурсами организации, и поэтому очень важно корректно настроить доступ к данным устройствам – для достижения нужного уровня защиты.
Множество корпораций фокусируются на защите своих серверов, приложений, баз данных и прочих компонентов сети, но они могут совершенно забыть о том, что часть установленных у них устройств содержат, к примеру, дефолтные логин и пароль.
К примеру, скомпрометированный маршрутизатор может доставить гигантское количество проблем – злоумышленники могут получить доступ к информации, трафик может улетать на другое направление и так далее. Так что корректная настройка устройств с точки зрения сетевой безопасности является крайне важным моментом при обеспечении защиты информации вашей организации.
К примеру Cisco разделяет любое сетевое устройство на 3 функциональных плоскости, а именно:
Плоскость менеджмента – это все о том, как непосредственно управлять железкой. То есть данная плоскость используется для доступа, настройки и мониторинга устройства. В нашей статье мы непосредственно расскажем, как защитить данную плоскость;
Плоскость управления – данная плоскость содержит в себе сигнальные протоколы и процессы, которые отвечают за связность между устройствами – например такие известные вам протоколы как OSPF, EIGRP и так далее;
Плоскость данных – плоскость, ответственная за перемещение информации по сети от источника до ее назначения. В данной плоскости и происходит, как правило, обмен пакетами между устройствами;
Из этих трех плоскостей наиболее защитить первую и вторую плоскости, однако в нашей статье мы сконцентрируемся на плоскости менеджмента и обсудим 10 важных шагов по улучшению защищенности сетевого устройства Cisco с IOS.
Десять пунктов ниже не являются избыточными, но они включают в себя наиболее важные команды и настройки, которые позволят «закрыть» устройство от нежелательного доступа и повысить степень защищенности. Данные пункты применимы как к маршрутизаторам, так и к коммутаторам.
Создание секретного пароля
В целях предоставления доступа к IOS устройству только людям, имеющим право (например, сисадмину/эникею/инженеру) всегда нужно создавать сложный «секретный» пароль (enable secret). Мы советуем придумать/сгенерировать пароль минимум 12 знаков, содержащий цифры, буквы и специальные символы. Проверьте, что вы вводите именно enable secret - тогда в конфиге пароль будет отображаться в зашифрованном виде.
Router# config terminal
Router(config)# enable secret сложныйпароль
Зашифруйте пароли на устройстве
Все пароли, настроенные на устройстве (за исключением «секретного»), не шифруются от слова совсем и легко видны в конфиге. Чтобы зашифровать все пароли в конфиге, необходимо использовать глобальную команду service password encryption
Router# config terminal
Router(config)# service password-encryption
Используйте внешний сервер авторизации для аутентификации пользователей
Вместо использования локальных учетных записей на каждом устройстве для доступа администратора, мы рекомендуем использование внешнего AAA сервера (TACACS+ или RADIUS) для обеспечения Аутентификации, Авторизации и Учета (вольный перевод Authentication, Authorization, Accounting).
С централизованным ААА сервером гораздо проще управлять учетными записями, реализовывать политики безопасности, мониторить использование аккаунтов и многое другое.
Ниже на схеме вы можете видеть как настроить TACACS+ и RADIUS серверы с использованием enable secret пароля в случае отказа этих серверов.
TACACS+
Router# config terminal
Router(config)# enable secret K6dn!#scfw35 //создаем “секретный ” пароль
Router(config)# aaa new-model //включаем ААА службу
Router(config)# aaa authentication login default group tacacs+ enable //Используем TACACS сервер и обычный пароль на случай отказа
Router(config)# tacacs-server host 192.168.1.10 //указываем внутренний ААА сервер
Router(config)# tacacs-server key ‘secret-key’ //указываем секретный ключ для ААА сервера
Router(config)# line vty 0 4
Router(config-line)# login authentication default //применяем ААА аутентификацию для линий удаленного доступа (telnet, ssh)
Router(config-line)# exit
Router(config)# line con 0 //применяем ААА аутентификацию для консольного порта
Router(config-line)# login authentication default
RADIUS
Router# config terminal
Router(config)# enable secret K6dn!#scfw35 //создаем “секретный ” пароль
Router(config)# aaa new-model //включаем ААА службу
Router(config)# aaa authentication login default group radius enable //Используем RADIUS сервер и обычный пароль на случай отказа
Router(config)# radius-server host 192.168.1.10 //указываем внутренний ААА сервер
Router(config)# radius-server key ‘secret-key’ //указываем секретный ключ для ААА сервера
Router(config)# line vty 0 4
Router(config-line)# login authentication default //применяем ААА аутентификацию для линий удаленного доступа (telnet, ssh)
Router(config-line)# exit
Router(config)# line con 0 //применяем ААА аутентификацию для консольного порта
Router(config-line)# login authentication default
Создайте отдельные аккаунты для пользователей
Если у вас отсутствует возможность использовать внешний ААА сервер, по инструкции, описанной в предыдущем шаге, то как минимум, вам необходимо создать несколько отдельных локальных аккаунтов для всех, у кого должен быть доступ к устройству. Приведем пример создания трех локальных аккаунтов для троих системных администраторов.
Кроме того, в версии IOS начиная с 12.2(8)T и позднее, есть возможность настроить повышенную надежность паролей (Enhanced Password Security) для локальных учетных записей – это зашифрует пароли с помощью MD5 хэша.
Ниже пример настройки трех учетных записей:
Router# config terminal
Router(config)# username efstafiy-admin secret Lms!a2eZf*%_rete
Router(config)# username evlampiy-admin secret d4N3%sffeger
Router(config)# username vova-admin secret 54sxSFT*&_(!zsd
Настройте лимит возможных попыток подключения
Для того, чтобы избежать взламывания вашей учетной записи на маршрутизаторе с помощью брутфорса, вы можете настроить ограничение количества попыток подключения, когда после определенного предела система заблокирует пользователя. Это работает для локальных учетных записей.
Router# config terminal
Router(config)# username john-admin secret Lms!a2eZSf*%
Router(config)# aaa new-model
Router(config)# aaa local authentication attempts max-fail 5 //max 5 failed login attempts
Router(config)# aaa authentication login default local
Открытие доступа на управление устройством только для определенных IP – адресов
Данный пункт является одним из наиболее важных для сетевых устройств Cisco – необходимо оставить доступ к Telnel или SSH только для определенных сетевых адресов (например, рабочей станции системного администратора). В нашем примере сисадмин находится в пуле 192.168.1.0/28
Router# config terminal
Router(config)# access-list 10 permit 192.168.1.0 0.0.0.15
Router(config)# line vty 0 4
Router(config)# access-class 10 in //применить ограничения на все VTY линии (SSH/Telnet)
Включить логирование
Логирование является очень полезной функцией для отслеживания, аудита и контроля инцидентов. Вы можете включить логирование во внутренний буфер устройства или на внешний лог-сервер. Вторая опция является более предпочтительной, так как вы можете хранить там больше информации и проще производить различного рода аналитику.
Всего существует 8 уровней логирования (от 0 до 7), каждый из которых делает лог более насыщенным деталями. Лучше всего избегать 7 уровень логирования (дебаг), т.к это может легко потратить все ресурсы вашего устройства.
Ниже пример, как включить логирование и на внешний сервер, и на сам девайс (можно использовать два варианта одновременно).
Router# config terminal
Router(config)# logging trap 6 //Включить 6 уровень логирования для логов, отправляемых на внешний сервер
Router(config)# logging buffered 5 //Включить 5 уровень логирования для логов, хранимых на самом девайсе
Router(config)# service timestamps log datetime msec show-timezone //Включить таймстампы с милисекундной точностью
Router(config)# logging host 192.168.1.2 //Отправлять логи на внешний сервер
Router(config)# logging source-interface ethernet 1/0 //Использовать интерфейс Eth1/0 для отправки логов
Включение NTP (Network Time Protocol)
Данный шаг необходим для корректной работы логирования – т.к вам необходимо синхронизированное и точное системное время на всех сетевых устройствах, для правильного понимания ситуации при траблшутинге. Вы можете использовать как публичный, так и свой собственный NTP cервер.
Router# config terminal
Router(config)# ntp server 3.3.3.3
Router(config)# ntp server 4.4.4.4
Использование безопасных протоколов управления
По умолчанию, протоколом, с помощью которого можно управлять устройством является Telnet. Однако весь трафик передается в незашифрованном виде – поэтому предпочтительно использовать SSH.
Важно – для использования SSH необходимо настроить хостнейм и доменное имя, а также сгенерировать SSH ключи. Также следует разрешить только протокол SSH на VTY линиях
Защитить SNMP доступ
Про SNMP мы писали в одной из наших статей – это протокол для управления сетью, который, однако, также может служить «дырой» для доступа в вашу сеть. Для защиты данного направления, вам необходимо установить сложную Community String (что-то вроде пароля для SNMP) и разрешить доступ только с определенных рабочих станций.
Давайте настроим две Community String – одну с правами на чтение, и другую с правами на чтение и изменение. Также добавим ACL с нужными сетевыми адресами.
Router# config terminal
Router(config)# access-list 11 permit 192.168.1.0 0.0.0.15
Router(config)# access-list 12 permit 192.168.1.12
Router(config)# snmp-server community Mer!0nET RO 11 //создание community string с правами на чтение и использование ACL 11 для SNMP доступа
Router(config)# snmp-server community Mer!0NeTRules RW 12 //создание community string с правами на чтение/запись и использование ACL 12 для SNMP доступа
Команды выше позволят сети сисадмина 192.168.1.0/28 иметь доступ на чтение и хосту 192.168.1.12 иметь полный доступ на SNMP чтение / запись к устройствам.