הפרדת תיקיות קבצים בצד שרת ברמה של וירטואליזצייה

dovid

@avramk גם יש דיסק אחסון נפרד לכל חברה אתה לא מוגן בתרחיש שאמרת.
אם הם יגרמו לשרת להריץ קובץ שנמצא בדיסק הנפרד והאישי שלהם, הם יכולו לדעת הכל ולעשות הכל בשרת עם כל הדיסקים שלו הפיזיים או הוירטואליים.
בדיוק מהסיבה שלא תהיה להם הרשאה לגשת לדיסק שונה אפשר להגביל הרשאה לתיקיה וכמובן לא להרשות הרצה משום סוג.

avramk

@dovid לכן חשבתי שהפרדה וירטואלית היא הכי חזקה, תתקן אותי אם אני לא צודק

שמואל4

@avramk כתב בהפרדת תיקיות קבצים בצד שרת ברמה של וירטואליזצייה:

קובץ לשרת שאומר לשרת להריץ קובץ כלשהוא לדוגמא...

אין דבר כזה, אם אתה לא מריץ את הקבצים של הלקוחות שלך (ולא מדובר בחולשה מסויימת שידועה ביישום שלך שמריץ קבצים שמעלים לו) גם אם הלקוחות יעלו וירוס עוצמתי ביותר, אם אתה לא עושה טעויות, זה לא יגרום לכלום.

avramk

@שמואל4 הוי אומר? אם לקוח קיבל גישת FTP לשרת ווינדוס , ומעלה קובץ autorun שמפעיל קובץ BAT אחר שהוא העלה. לא יעבוד לו ?
מנסה להבין את התרחישד

שמואל4

@avramk כתב בהפרדת תיקיות קבצים בצד שרת ברמה של וירטואליזצייה:

@שמואל4 הוי אומר? אם לקוח קיבל גישת FTP לשרת ווינדוס , ומעלה קובץ autorun שמפעיל קובץ BAT אחר שהוא העלה. לא יעבוד לו ?

אם אין מי שמפעיל אותו הוא לא יופעל.

avramk

@שמואל4 explorer...

שמואל4

@avramk כתב בהפרדת תיקיות קבצים בצד שרת ברמה של וירטואליזצייה:

@שמואל4 explorer...

לא הבנתי מה ענית.
אתה מנסה לנחש סיבות שהקבצים שמעלים יופעלו?
אתה מספר לי שexplorer יכול להריץ קבצים?
למה לא אמרת ״word״?

כלומר, אני מנסה להבין האם אתה חושש ממשהוא קיים ואתה רוצה לפתור בעיה מסויימת, או שהכל כל בגדר ״ואולי זה כן״?

dovid

@avramk כתב בהפרדת תיקיות קבצים בצד שרת ברמה של וירטואליזצייה:

@dovid לכן חשבתי שהפרדה וירטואלית היא הכי חזקה, תתקן אותי אם אני לא צודק

אתה דיברת על הפרדת אמצעי אחסון, ולא על הפרדת מערכות מלאה.
לגבי הפרדת אמצעי אחסון מתחילת הנושא אני כותב לך שזה לא, ואתה (מתעקש?) לא מבין.
הפרדת מערכות מלאה ודאי יוצרת בידוד שמגן עוד יותר ל מערכת מפני המשתמשים של השניה, אבל אתה חייב לעשות הערכת סיכונים לפני שאתה הולך בצעד קיצוני שיביא חולשות אחרות.

באופן כללי הבעיה בנושא הזה היא שהגעת עם סט ידיעות כלליות על עולם האבטחה,
ואתה מבקש עזרה נקודתית לסייע להטמיע את הפתרון שלדעתך טוב.
אנחנו נזעקים שאין היגיון בפתרון אותו אתה רוצה כי הוא לא מספק הגנה לשום תרחיש,
ואז אתה אומר, אני לא יודע מה התרחיש, אבל עדיין די בטוח שישנו אחד כזה:

@avramk כתב בהפרדת תיקיות קבצים בצד שרת ברמה של וירטואליזצייה:

מנסה להבין את התרחיש

אז בא נעצור רגע,
אתה לא מספיק יודע באבטחה, אבל אתה בהחלט מבין שעליך למנוע מצב שמשתמש יצליח להריץ קובץ בשרת.
איך זה יכול לקרוא? לא מעניין אותך יותר מידי, כי אתה לא הולך לפרוץ אלא להגן.
אבל אתה חייב לדעת קצת יותר איך פורצים כדי שההגנות שלך יהיו שוות משהו.
אז בא תפתח נושא ותשאל ככה: אם יש גישה להעלאת/הורדת/עריכת קבצים בשרת. מהם חולשות האבטחה האפשריות, ואיך כדאי להתגונן מפניהם.

avramk

@שמואל4 חד משמעי שאולי זה כן, אם אני לא יעבוד ככה אז אני אמצא את עצמי מהר מאד עם וירוסים מפה ועד להודעה חדשה..

בנוגע למה שכתבת אני מבין למה שאתה מתכוון

@dovid כתב בהפרדת תיקיות קבצים בצד שרת ברמה של וירטואליזצייה:

אם יש גישה להעלאת/הורדת/עריכת קבצים בשרת. מהם חולשות האבטחה האפשריות, ואיך כדאי להתגונן מפניהם.

בדיוק פה אני אוחז לאחר מה ש @שמואל4 כתב.

dovid

@avramk כפי חוקי הפורום פתח נושא חדש, ממוקד בעניין,
מקוה שתקבל תשובות טובות בע"ה.
כדאי שתפרט עם איזה יישום אתה משתמש (ווב, FTP, SMB וכדומה).