Имеется много ссылок на вн ссылку не удаляется

Не удаляется внешняя ссылка

Здравствуйте!
Вся ситуация на скриншоте. Пытаюсь удалить ссылку, реакция файла видна в командной строке.

Просмотров: 10432

dorogi-dorogi

Посмотреть профиль

Найти ещё сообщения от dorogi-dorogi

Регистрация: 03.11.2008
Сообщений: 5,772
Значит, сидит где-то. Или искать или программно (как-то) удалить.

LISP, C# (ACAD 200[9,12,13,14])

Регистрация: 25.08.2003
С.-Петербург
Сообщений: 39,810
Как удаляешь? Может, сработает Detach (отсоединение)?

__________________
Моя библиотека lisp-функций
—
Обращение ко мне — на «ты».
Все, что сказано — личное мнение.

Кулик Алексей aka kpblc

Посмотреть профиль

Посетить домашнюю страницу Кулик Алексей aka kpblc

Найти ещё сообщения от Кулик Алексей aka kpblc

Регистрация: 01.03.2012
Сообщений: 600

Не помогло.
для простоты выложил файл

dorogi-dorogi

Посмотреть профиль

Найти ещё сообщения от dorogi-dorogi

идущий по граблям

Регистрация: 26.05.2005
Сообщений: 5,092
Сообщение от engngr
Значит, сидит где-то

+1
Когда-то видел такое сообщение в случае, если удаляемая ссылка входит в состав другой ссылки или обычного блока.

Может, сработает Detach (отсоединение)?

В таком случае — не срабатывало
Offtop: Файл в слишком новой версии, в Акад 2010 открыть не смог, конвертировать лень

Регистрация: 22.04.2004
Сообщений: 269

Где-то в блоках сидит. Для эксперимента удалите все блоки (стиранием), выполните очистку и затем сможете удалить ссылку (проверено).

Регистрация: 27.12.2011
Сообщений: 1,458
Удалено, но не в акаде.

DWG 2013

GP_404_410_412_no_ref.dwg (3.47 Мб, 45 просмотров)

LISP, C# (ACAD 200[9,12,13,14])

Регистрация: 25.08.2003
С.-Петербург
Сообщений: 39,810
Сообщение от dorogi-dorogi

Не помогло.
для простоты выложил файл

Выхода на mail.ru на работе нет и не будет. А что, архив больше 10 метров?

__________________
Моя библиотека lisp-функций
—
Обращение ко мне — на «ты».
Все, что сказано — личное мнение.

Кулик Алексей aka kpblc

Посмотреть профиль

Посетить домашнюю страницу Кулик Алексей aka kpblc

Найти ещё сообщения от Кулик Алексей aka kpblc

Имеется много ссылок на вн ссылку не удаляется

Если в командной строке ввести -ссылка, отображаются следующие подсказки для этой команды.

?—Список внешних ссылок

Вывод имен, путей, типов и номеров ссылок на файл чертежа, вставленных в чертеж на данный момент. Отобразится следующий запрос:

Имена каких вн-ссылок вывести : Ввести список имен или нажать ENTER для вывода имен всех внешних ссылок, вставленных в чертеж

Внедрение внешней ссылки на файл чертежа в качестве постоянной части текущего чертежа.

Какие элементы типа вн-ссылка внедрить: Ввести имя или список имен через запятую

В чертеж добавляются такие зависимые от предшествующей внешней ссылки объекты, как имена слоев. В каждом зависимом от внешней ссылки именованном объекте вертикальная черта (|) заменяется тремя новыми символами: число (обычно 0) между двумя знаками доллара ($). Если такое имя уже существует в текущем чертеже, номер увеличивается на единицу.

Удаление одной или нескольких ссылок на файл чертежа из текущего чертежа, а также удаление всех вхождений этой ссылки и пометка ее описания «для удаления» в таблице описаний. Из текущего чертежа можно удалить только те внешние ссылки, которые вставлены/наложены в/на него непосредственно; вложенные ссылки удалять нельзя.

Какие внешние ссылки удалить:

Внешние ссылки, используемые другими внешними ссылками или блоками, не могут быть удалены.

Получение информации о пути доступа к файлу чертежа внешней ссылки с возможностью его изменения. Данная опция может оказаться полезной, если расположение или имя файла внешней ссылки изменилось.

Для какого элемента типа Вн-ссылка редактировать путь:

Отображается внешняя ссылка и ее старый путь, а затем появляется запрос на ввод нового пути:

имя внешней ссылки: “имя“

Старый путь: путь

Новый путь: Ввести новый путь доступа и имя файла чертежа внешней ссылки

Если введен неправильный путь или чертеж не может быть найден по указанному пути, отобразится повторный запрос.

Выгрузка выбранных ссылок на файл чертежа.

Какие внешние ссылки выгрузить:

Вместо выгруженной ссылки остается маркер, используя который в дальнейшем можно повторно загрузить ссылку.

Обновление одной или нескольких ссылок на файл чертежа. Данная опция обеспечивает обновление и отображение самой последней версии чертежа внешней ссылки.

Какие элементы типа вн-ссылка обновить:

Если в процессе обновления внешних ссылок программа обнаружит ошибку, она завершит команду ССЫЛКА и отменит все действия по обновлению.

Открытие диалогового окна «Файл для наложения» (стандартное диалоговое окно выбора файлов). В нем необходимо выбрать файл для наложения в качестве внешней ссылки. При наложении чертежа, который сам содержит наложенную внешнюю ссылку, эта вложенная ссылка не отображается в текущем чертеже.

В отличие от блоков и вставляемых внешних ссылок, наложенные ссылки не могут иметь вложенности. Если в данный момент файл, на который указывает внешняя ссылка, редактируется другим пользователем, выполняется наложение самой последней сохраненной версии этого файла.

Если выбранная ссылка еще не наложена, создается новая ссылка с именем связанного файла. Затем отобразится запрос точки вставки, масштаба и угла поворота, как это описано для команды ВСТАВИТЬ.

Если для системной переменной FILEDIA установлено значение 0, отобразится следующий запрос:

Файл для наложения:

Для выбора файла с помощью диалогового окна следует воспользоваться символом тильды (~).

Вызов диалогового окна «Внешняя ссылка», если выбрана ссылка на файл чертежа, или диалогового окна «Выбор файла внешней ссылки», если ссылка не выбрана. См. команду ССВСТАВИТЬ.

При ссылке на чертеж, который сам содержит внешнюю ссылку, вложенная ссылка также отображается в текущем чертеже. Как и блоки, вставляемые внешние ссылки могут быть вложенными. При редактировании файла ссылки в этот момент другим пользователем, прикрепляется самая последняя сохраненная версия.

Если выбранная ссылка еще не наложена, создается новая ссылка с именем связанного файла. Отобразится запрос точки вставки, масштаба и угла поворота, как это описано для команды ВСТАВИТЬ.

При внедрении объектов из внешней ссылки в новый блок программа копирует только те объекты, которые были созданы в пространстве модели, но не в пространстве листа. Таким образом, видовые экраны и другие объекты пространства листа не становятся частью описания блока.

Слои 0 и DEFPOINTS, а также тип линий CONTINUOUS главного чертежа переопределяют одноименные элементы вставленных или наложенных внешних ссылок. При этом изменения объектов на этих слоях не происходит. Если слой DEFPOINTS существует в чертеже вставляемой внешней ссылки, но отсутствует в главном чертеже, он становится постоянной частью главного чертежа.

Если для системной переменной FILEDIA установлено значение 0, отобразится следующий запрос:

Файл для вставки ссылки:

Для выбора файла с помощью диалогового окна следует воспользоваться символом тильды (~).

Фиброаденома молочной железы

Информация из этого раздела не рекомендована к использованию для самодиагностики и последующего самолечения. При наличии сильной боли или обострении хронического заболевания только лечащий врач может назначать диагностические исследования. Для постановки правильного диагноза и назначения терапии обращайтесь к вашему лечащему врачу.

Фиброаденомы молочных желез (код по МКБ D24) относят к доброкачественным опухолям и разновидность узловой мастопатии. Фиброаденома развивается в железистой ткани молочной железы. Для фиброаденомы характерны четкие контуры и плотная консистенция. Образование легко смещается относительно окружающих тканей. Эта опухоль имеет размер не более трех сантиметров в диаметре. Реже встречаются узлы большего размера.

В зоне, где расположено образование, пациентки не отмечают резкую болезненность. Для структуры фиброаденомы характерно преобладание над тканями железистой паренхимой соединительно-тканной стромы. Это образование выявляют чаще у женщин до сорока лет и девушек. У подростков тоже встречается фиброаденома, такие доброкачественные опухоли называют ювенильными.

Заболевание чаще поражает одну грудь, реже – образования выявляют в обеих молочных железах. Изредка у пациенток обнаруживают множественные узлы. Присутствие фиброаденомы в молочной железе пациентки не угрожает ее жизни. Но у этих женщин риск развития злокачественной опухоли выше в 5 раз, по сравнению со здоровыми. Поэтому важно регулярное обследование молочных желез.

Виды фиброаденомы

Окончательную диагностику вида фиброаденомы можно провести только после хирургического иссечения патологического образования. После вмешательства из удаленных частей опухоли готовят гистологический препарат. Затем его тщательно изучают под микроскопом в лаборатории.

Ткани млечного протока, а также окружающие их стромальные, соединительно-тканные элементы могут разрастаться по-разному. От сочетания их в составе образования выделяют следующие виды опухоли:

• Периканаликулярная. Млечный проток сохраняет свою проходимость. Вокруг него разрастается соединительная ткань.
• Интраканаликулярная. Соединительная ткань прорастает в просвет протока молочной железы, а затем его заполняет.
• Смешанная. Образование сочетает признаки периканаликулярной и интраканаликулярной опухоли.
• Филлоидная. Листовидная фиброаденома имеет послойное строение. Она растет довольно быстро в разные стороны.

По скорости роста и консистенции опухоли выделяют два ее разновидности. Одна — незрелая, мягкая и эластичная фиброаденома, которая продолжает свой рост. Другая – зрелое, заключенное внутрь плотной капсулы образование, которое уже прекратило расти. По степени злокачественности выделяют три вида опухолей: доброкачественную, злокачественную и пограничную.

Причины

Точные причины, из-за которых развиваются фиброаденомы молочных желез, пока еще не выявлены. Но установлены основные факторы, способствующих возникновению новообразования:

• Генетическая предрасположенность. При наличии фиброаденомы у близких родственников повышается риск развития заболевания.
• Нейроэндокринные расстройства. Повышают вероятность образования опухоли следующие заболевания – сахарный диабет, ожирение, узлы в щитовидной железе, гиперпролактинемия, поликистоз и дисфункция яичников.
• Расстройства репродуктивной системы. Нарушения женского цикла, наступление месячных раньше срока, поздняя менопауза, поздние или ранние роды. Отказ женщины от грудного вскармливания или его чрезмерное затягивание.
• Наличие выкидышей и абортов. Резкое прекращение начавшейся пролиферации железистой ткани способствует образованию опухоли.
• Прием лекарственных препаратов. Вызывают пролиферацию клеток молочной железы – оральные контрацептивы и гормональные средства. Эти средства включают половые гормоны разных фаз цикла. Прием их приводит в состояние дисбаланса гормональный статус организма.
• Состояние хронического стресса. Оно возникает из-за недовольства семейными отношениями, проблем на работе, сексуальной неудовлетворенности и других причин. Это обусловлено выделением в большом количестве гормонов стресса.
• Вредные привычки. Хроническое воздействие токсических веществ, попадающих в организм при курении, приеме алкоголя и других зависимостях.

Образуются фиброаденомы в ткани молочной железы из-за воздействия комплекса факторов. Основную причину часто выделить довольно сложно.

Симптомы фиброаденомы молочной железы

Для данного образования в молочной железе характерны небольшие размеры. Длительное время она не проявляется сколько-нибудь заметными симптомами. Если на нее нажать, ощущается безболезненность. На ощупь образование в молочной железе выглядит как подвижное, округлое уплотнение.

При усиленном росте фиброаденомы быстро она увеличиваются в размерах. Женщина ощущает напряжение, тяжесть, дискомфорт в грудной железе. Перед месячными эти проявления усиливаются. Ощущается отек и набухание молочных желез. Надавливание на область новообразования вызывает боль.

Повышается чувствительность соска. Ощущается дискомфорт при его контакте с бельем. Ткани молочной железы над фиброаденомой могут изменяться. Втягивается сосок. Кожа истончается, изменяется ее цвет. Наблюдается посинение или покраснение. Появляется капиллярный рисунок. Иногда отмечают выделения из сосков — белесоватые, мутные. Если появляется примесь крови, это говорит о возможном злокачественном перерождении.

Диагностика

Наиболее достоверным обследование будет через неделю после окончания месячных. Врач сначала производит осмотр и пальпирует молочную железу. Он выявляет округлое, подвижное, плотное образование, которое безболезненно при надавливании. Затем врач назначает дополнительное комплексное обследование:

• УЗИ молочных желез — исследование выявляет наличие и локализацию образования. Оно определяет его структуру, плотность и границы.
• Маммография — обследование дает уточненные данные о границах образования и его структуре.
• Допплерография. Метод выявляет разрастание новых сосудов, которые питают опухоль.
• Цитологический анализ. Для исследования берут выделения из соска. Затем проводят изучение клеточного состава под микроскопом.
• МРТ головного мозга. С ее помощью выявляют аномалии гипофиза.
• Биопсия. Производят забор тканевого образца опухоли тонкой или толстой иглой. Ее вводят в образование под контролем УЗИ. А затем его тщательно изучают под микроскопом его клеточный состав. На основании этих данных пациентке выставляют точный диагноз. Иногда производят трепан-биопсию, когда для изучения забирается кусочек ткани.
• Лабораторные тесты. Для постановки диагноза фиброаденома молочной железы назначают биохимический и общеклинический анализ крови. Проводятся тесты на онкомаркеры и гормоны.

При необходимости назначают консультации узких специалистов.

Лечение фиброаденомы молочной железы

При этом заболевании нельзя заниматься самолечением, нужно обязательно обратиться к врачу.

Женщина с выявленной опухолью в грудной железе должна обратиться к хирургу, маммологу, онкологу. В большинстве случаев все разновидности фиброаденомы удаляют хирургическими методами. Медикаментозное лечение часто не эффективно.

При небольших размерах образования проводят консервативную терапию. Назначаются лекарственные средства, помогающие рассасыванию опухоли. Если лечение в течение 6 месяцев оказывается неэффективным, принимают решение о проведении хирургической операции.

Как определить, нужна ли операция?

Какими методами лечить эту патологию решает врач в каждом конкретном случае. Принимая решение, он оценивает скорость роста опухоли, наличия ощущения дискомфорта в молочной железе.

В подростковом возрасте опухолевое образование часто рассасывается самостоятельно. Это происходит по мере стабилизации цикла и нормализации гормонального фона. При наступлении менопаузы иногда фиброаденома молочной железы самопроизвольно исчезает. Иногда пациенток длительно наблюдают. Фиброаденому обязательно удаляют, если:

• размеры образования превышают 10 мм;
• рост опухоли быстрый или стабильный;
• если женщина планирует беременность, фиброаденомы быстро увеличиваются из-за гормональной перестройки;
• образование болезненное, причиняет пациентке дискомфорт;
• существует высокий риск озлокачествления опухоли.

Сразу назначают проведение операции, когда выявляют листовидную форму фиброаденомы молочной железы.

При принятии решения о выжидательной тактике динамически наблюдают пациенток. При этом размер образования в грудной железе не должен быть более 1см. Это разрешено при отсутствии подозрений на рак. Эти женщины два раза в год проходят УЗИ и маммографию.

Удаление фиброаденомы молочной железы

Операцию выполняют под общим наркозом. Ее производят в условиях стационара. Она занимает не более полутора часов. Перед хирургическим вмешательством назначают ряд обязательных анализов. Хирург иссекает опухоль в пределах неизменных тканей, отступая ее границ на 30 мм. Вмешательство производят с использованием следующих методик:

• энуклеация – вылущивание опухолевого узла с капсулой, окружающие ткани сохраняют полностью;
• секторальная резекция – при ней производится удаление части железы при больших размерах образования и риске злокачественного перерождения;
• радикальная операция — производится полное удаление молочной железы, она показана при листовидной опухоли.

После хирургической операции проводят гормонотерапию, которая восстанавливает до состояния нормы гормональный фон. Это необходимо для предотвращения рецидивов. Существуют щадящие методики удаления фиброаденомы молочной железы:

• ультразвуковая абляция;
• удаление лазером;
• радиочастотное воздействие;
• криодеструкция;
• аваскулярные технологии.

Процедуры выполняются с помощью зонда в протоки молочной железы. Воздействию подвергается непосредственно опухолевый узел. Разрезов кожи не производится.

Последствия операции и прогноз

После удаления фиброаденомы хирургическими методами формируется рубец, а при радикальном удалении — шрам. После резекции молочной железы пациентка нуждается в протезировании при помощи силиконового импланта.

У большинства пациенток после операции не бывает осложнений. Болевой синдром после вмешательства купируют приемом обезболивающих препаратов. Возможно появление гематомы. Снижается чувствительность соска.

Операция по удалению фиброаденомы не устраняет причины болезни, поэтому у некоторых пациенток возможны рецидивы. Женщине рекомендуют после операции регулярно посещать врача маммолога и проходить УЗИ молочных желез.

Политика в отношении обработки персональных данных

Настоящая Политика в отношении обработки персональных данных (далее – Политика) действует в отношении всей информации, которую сайт https://zdorovie-vn.ru/, может получить о Пользователе во время использования сайта https://zdorovie-vn.ru/ (а также его субдоменов), его программ и его продуктов.

1. Определение терминов

1.1/ В настоящей Политике используются следующие термины:

1.1.1. «Администрация сайта» (далее – Администрация) – уполномоченные сотрудники на управление сайтом https://zdorovie-vn.ru, действующие от имени ООО ЛДЦ «Здоровье», которые организуют и (или) осуществляют обработку персональных данных, а также определяет цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

1.1.2. «Персональные данные» — любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных).

1.1.3. «Обработка персональных данных» — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

1.1.4. «Конфиденциальность персональных данных» — обязательное для соблюдения Оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.

1.1.5. «Сайт zdorovie-vn.ru— это совокупность связанных между собой веб-страниц, размещенных в сети Интернет по уникальному адресу (URL): zdorovie-vn.ru, а также его субдоменах.

1.1.6. «Субдомены» — это страницы или совокупность страниц, расположенные на доменах третьего уровня, принадлежащие сайту zdorovie-vn.ru, а также другие временные страницы, внизу который указана контактная информация Администрации

1.1.5. «Пользователь сайта zdorovie-vn.ru» (далее Пользователь) – лицо, имеющее доступ к сайту, посредством сети Интернет и использующее информацию, материалы и продукты сайта .

1.1.7. «Cookies» — небольшой фрагмент данных, отправленный веб-сервером и хранимый на компьютере пользователя, который веб-клиент или веб-браузер каждый раз пересылает веб-серверу в HTTP-запросе при попытке открыть страницу соответствующего сайта.

1.1.8. «IP-адрес» — уникальный сетевой адрес узла в компьютерной сети, через который Пользователь получает доступ на ВИВО КЛИНИК.

2. Общие положения

2.1. Использование сайта zdorovie-vn.ru Пользователем означает согласие с настоящей Политикой и условиями обработки персональных данных Пользователя.

2.2. В случае несогласия с условиями Политики Пользователь должен прекратить использование сайта zdorovie-vn.ru.

2.3. Настоящая Политика применяется к сайту zdorovie-vn.ru.

2.4. Администрация не проверяет достоверность персональных данных, предоставляемых Пользователем.

3. Предмет политики

3.1. Настоящая Политика устанавливает обязательства Администрации по неразглашению и обеспечению режима защиты конфиденциальности персональных данных, которые Пользователь предоставляет по запросу Администрации при записи на прием к врачу на сайте zdorovie-vn.ru, или при оформлении заказа.

3.2. Персональные данные, разрешённые к обработке в рамках настоящей Политики , предоставляются Пользователем путём заполнения форм на сайте zdorovie-vn.ru и включают в себя следующую информацию:

3.2.1. фамилию, имя, отчество Пользователя;

3.2.2. контактный телефон Пользователя;

3.2.3. адрес электронной почты (e-mail)

3.2.4. место жительство Пользователя (при необходимости)

3.2.5. фотографию (при необходимости).

3.3. ООО ЛДЦ «Здоровье» защищает Данные, которые автоматически передаются при посещении страниц:

• — IP адрес;
• — информация из cookies;
• — информация о браузере
• — время доступа;

3.3.1. Отключение cookies может повлечь невозможность доступа к частям сайта, требующим авторизации.

3.3.2. ООО ЛДЦ «Здоровье» осуществляет сбор статистики об IP-адресах своих посетителей. Данная информация используется с целью предотвращения, выявления и решения технических проблем.

3.4. Любая иная персональная информация неоговоренная выше (история посещения, используемые браузеры, операционные системы и т.д.) подлежит надежному хранению и нераспространению, за исключением случаев, предусмотренных в п.п. 5.2. и 5.3. настоящей Политики.

4. Цели сбора персональной информации пользователя

4.1. Персональные данные Пользователя Администрация может использовать в целях:

4.1.1. Идентификации Пользователя, зарегистрированного на сайте zdorovie-vn.ru для его дальнейшей авторизации, оформления заказа и других действий.

4.1.2. Предоставления Пользователю доступа к персонализированным данным сайта zdorovie-vn.ru.

4.1.3. Установления с Пользователем обратной связи, включая направление уведомлений, запросов, касающихся использования сайта zdorovie-vn.ru, оказания услуг и обработки запросов и заявок от Пользователя.

4.1.4. Определения места нахождения Пользователя для обеспечения безопасности, предотвращения мошенничества.

4.1.5. Подтверждения достоверности и полноты персональных данных, предоставленных Пользователем.

4.1.6. Создания учетной записи для использования частей сайта zdorovie-vn.ru, если Пользователь дал согласие на создание учетной записи.

4.1.7. Уведомления Пользователя по электронной почте.

4.1.8. Предоставления Пользователю эффективной технической поддержки при возникновении проблем, связанных с использованием сайта zdorovie-vn.ru.

4.1.9. Предоставления Пользователю с его согласия специальных предложений, информации о ценах, новостной рассылки и иных сведений от имени сайта zdorovie-vn.ru.

4.1.10. Осуществления рекламной деятельности с согласия Пользователя.

5. Способы и сроки обработки персональной информации

5.1. Обработка персональных данных Пользователя осуществляется без ограничения срока, любым законным способом, в том числе в информационных системах персональных данных с использованием средств автоматизации или без использования таких средств.

5.2. Пользователь соглашается с тем, что Администрация вправе передавать персональные данные третьим лицам, в частности, курьерским службам, организациями почтовой связи (в том числе электронной), операторам электросвязи, исключительно в целях выполнения заказа Пользователя, оформленного на сайте zdorovie-vn.ru, включая доставку товаров, документации или e-mail сообщений.

5.3. Персональные данные Пользователя могут быть переданы уполномоченным органам государственной власти Российской Федерации только по основаниям и в порядке, установленным законодательством Российской Федерации.

5.4. При утрате или разглашении персональных данных Администрация вправе не информировать Пользователя об утрате или разглашении персональных данных.

5.5. Администрация принимает необходимые организационные и технические меры для защиты персональной информации Пользователя от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий третьих лиц.

5.6. Администрация совместно с Пользователем принимает все необходимые меры по предотвращению убытков или иных отрицательных последствий, вызванных утратой или разглашением персональных данных Пользователя.

6. Права и обязанности сторон

6.1. Пользователь вправе:

6.1.1. Принимать свободное решение о предоставлении своих персональных данных, необходимых для использования сайта zdorovie-vn.ru, и давать согласие на их обработку.

6.1.2. Обновить, дополнить предоставленную информацию о персональных данных в случае изменения данной информации.

6.1.3. Пользователь имеет право на получение у Администрации информации, касающейся обработки его персональных данных, если такое право не ограничено в соответствии с федеральными законами. Пользователь вправе требовать от Администрации уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

6.2. Администрация обязана:

6.2.1. Использовать полученную информацию исключительно для целей, указанных в п. 4 настоящей Политики конфиденциальности.

6.2.2. Обеспечить хранение конфиденциальной информации в тайне, не разглашать без предварительного письменного разрешения Пользователя, а также не осуществлять продажу, обмен, опубликование, либо разглашение иными возможными способами переданных персональных данных Пользователя, за исключением п.п. 5.2 и 5.3. настоящей Политики Конфиденциальности.

6.2.3. Принимать меры предосторожности для защиты конфиденциальности персональных данных Пользователя согласно порядку, обычно используемого для защиты такого рода информации в существующем деловом обороте.

6.2.4. Осуществить блокирование персональных данных, относящихся к соответствующему Пользователю, с момента обращения или запроса Пользователя, или его законного представителя либо уполномоченного органа по защите прав субъектов персональных данных на период проверки, в случае выявления недостоверных персональных данных или неправомерных действий.

7. Ответственность сторон

7.1. Администрация, не исполнившая свои обязательства, несёт ответственность за убытки, понесённые Пользователем в связи с неправомерным использованием персональных данных, в соответствии с законодательством Российской Федерации, за исключением случаев, предусмотренных п.п. 5.2., 5.3. и 7.2. настоящей Политики.

7.2. В случае утраты или разглашения Конфиденциальной информации Администрация не несёт ответственность, если данная конфиденциальная информация:

7.2.1. Стала публичным достоянием до её утраты или разглашения.

7.2.2. Была получена от третьей стороны до момента её получения Администрацией Ресурса.

7.2.3. Была разглашена с согласия Пользователя.

7.3. Пользователь несет полную ответственность за соблюдение требований законодательства РФ, в том числе законов о рекламе, о защите авторских и смежных прав, об охране товарных знаков и знаков обслуживания, но не ограничиваясь перечисленным, включая полную ответственность за содержание и форму материалов.

7.4. Пользователь признает, что ответственность за любую информацию (в том числе, но не ограничиваясь: файлы с данными, тексты и т.д.), к которой он может иметь доступ как к части сайта zdorovie-vn.ru, несет лицо, предоставившее такую информацию.

7.5. Пользователь соглашается, что информация, предоставленная ему как часть сайта zdorovie-vn.ru, может являться объектом интеллектуальной собственности, права на который защищены и принадлежат другим Пользователям, партнерам или рекламодателям, которые размещают такую информацию на сайте vivoclinic.ru.

Пользователь не вправе вносить изменения, передавать в аренду, передавать на условиях займа, продавать, распространять или создавать производные работы на основе такого Содержания (полностью или в части), за исключением случаев, когда такие действия были письменно прямо разрешены собственниками такого Содержания в соответствии с условиями отдельного соглашения.

7.6. В отношение текстовых материалов (статей, публикаций, находящихся в свободном публичном доступе на сайте zdorovie-vn.ru) допускается их распространение при условии, что будет дана ссылка на ООО ЛДЦ «Здоровье».

7.7. Администрация не несет ответственности перед Пользователем за любой убыток или ущерб, понесенный Пользователем в результате удаления, сбоя или невозможности сохранения какого-либо Содержания и иных коммуникационных данных, содержащихся на сайте zdorovie-vn.ru или передаваемых через него.

7.8. Администрация не несет ответственности за любые прямые или косвенные убытки, произошедшие из-за: использования либо невозможности использования сайта, либо отдельных сервисов; несанкционированного доступа к коммуникациям Пользователя; заявления или поведение любого третьего лица на сайте.

7.9. Администрация не несет ответственность за какую-либо информацию, размещенную пользователем на сайте zdorovie-vn.ru, включая, но не ограничиваясь: информацию, защищенную авторским правом, без прямого согласия владельца авторского права.

8. Разрешение споров

8.1. До обращения в суд с иском по спорам, возникающим из отношений между Пользователем и Администрацией, обязательным является предъявление претензии (письменного предложения или предложения в электронном виде о добровольном урегулировании спора).

8.2. Получатель претензии в течение 30 календарных дней со дня получения претензии, письменно или в электронном виде уведомляет заявителя претензии о результатах рассмотрения претензии.

8.3. При не достижении соглашения спор будет передан на рассмотрение Арбитражного суда Новгородской области.

8.4. К настоящей Политике конфиденциальности и отношениям между Пользователем и Администрацией применяется действующее законодательство Российской Федерации.

9. Дополнительные условия

9.1. Администрация вправе вносить изменения в настоящую Политику без согласия Пользователя.

9.2. Новая Политика конфиденциальности вступает в силу с момента ее размещения на сайте zdorovie-vn.ru, если иное не предусмотрено новой редакцией Политики конфиденциальности.

9.3. Все предложения или вопросы касательно настоящей Политики конфиденциальности следует сообщать по адресу: zdorovje-ofis@yandex.ru

9.4. Действующая Политика конфиденциальности размещена на странице по адресу https://zdorovie-vn.ru/informacziya-dlya-paczientov

Статья от Паршутина Д.Н.

Приглашаем на работу Медицинскую сестру в детское отделение

Медицинский центр приглашает на работу Врача ультразвуковой диагностики, в т.ч. детского

Почему ребёнок часто болеет? (Взгляд детского гематолога)

ООО ЛДЦ «Здоровье» приглашает на постоянную работу врача-терапевта

ООО ЛДЦ «ЗДОРОВЬЕ» приглашает на работу Медицинскую сестру по массажу

Лечение косоглазия у ДЕТЕЙ И ВЗРОСЛЫХ любой степени сложности

Лечебно-диагностический центр «Здоровье»

Еще раз о том, как не сделать из своей сети «решето»

Здравствуйте! Я почти 10 лет работаю в сфере ИТ и ИБ, всегда интересовался практической безопасностью, в настоящее время работаю пентестером. За все время работы я постоянно сталкивался с типовыми ошибками в настройках и дизайне инфраструктуры. Ошибки эти чаще всего досадные, легко устранимые, однако быстро превращают сеть в полигон для взлома. Порой кажется, что где-то специально учат так настраивать, насколько часто они встречались. Это и побудило меня написать данную статью, собрав все самое основное, что может улучшить защищенность.

В этой статье я не буду рассказывать про использование сложных паролей, максимального ограничения прав доступа, смене учетных записей по умолчанию, обновлению ПО, и других «типовых» рекомендациях. Цель статьи – рассказать о самых частых ошибках в настройках, заставить администраторов и специалистов ИБ задуматься над вопросом – «а все ли в моей сети хорошо?», а также показать, как можно оперативно прикрыть те или иные типовые уязвимости, используя встроенные или бесплатные средства, не прибегая к дополнительным закупкам.

Инструкций-рецептов намеренно не прикладываю, так как многое ищется очень легко по ключевым словам.

1. Усильте безопасность инфраструктуры Windows

Не создавайте локальные учетные записи доменными политиками

Это сильный повтор, но тут нужно повторять и повторять, так как эта ошибка очень частая – не создавайте доменной групповой политикой локальные учетные записи на хостах в домене. Опасность этого действия крайне высокая. Про это много где написано, но написано обычно на ресурсах, сугубо связанных с практической безопасностью, а не ИТ.

Причина высокой опасности – сведения об этой учетной записи, в том числе ее пароль, хранятся в открытом виде в файле groups.xml, в ресурсе sysvol контроллера домена, который по умолчанию доступен ВСЕМ участникам домена на чтение. Пароль зашифрован, но шифрование симметричное, а ключ один для всех копий Windows, и написан в открытом виде в MSDN. Отсюда следует: любой пользователь может скачать этот файл, и путем простых манипуляций узнать пароль от распространяемой учетной записи. Обычно так распространяется учетная запись с правами администратора, и часто она создается без разбора везде…

Решение – групповыми политиками добавляйте только доменные учетные записи в локальные группы на хостах. Пример расшифровки такого пароля вручную в ходе пентеста, обратите внимание на количество манипуляций до получения пароля:

Противодействие угону доменных учетных записей через mimikatz/wce

Администраторы, не связанные с пентестами и практической ИБ, редко знают про такие утилиты, как mimikatz и wce. Кратко об их работе – обладая правами локального администратора, можно извлечь из оперативной памяти билет доступа Kerberos, хеш пароля и даже сам пароль в открытом виде от учетных записей, которые недавно производили вход на этот хост. А так как администраторы совершают вход часто и много где, это приводит к высокому риску компрометации их полномочий.

Часто в компаниях есть машины, где по каким-то причинам пользователи работают с правами администратора, и при этом не штате подразделений ИТ и ИБ. Как они получили эти права, это отдельный вопрос, иногда это неизбежное зло. Обычно администраторы в таких случаях видят угрозу установки неавторизованного ПО, заражения вирусами, максимум угрозу запуска кейлоггеров с целью кражи паролей, но не подозревают, что их полномочия доступа уже под угрозой.

Против этих утилит есть меры разной степени эффективности, например, такие, но часто они не применимы по разным причинам: старая схема AD, «зоопарк» в сети, который дошел до стадии метастаз, слишком большая инфраструктура, где есть слабо контролируемые участки.

Дополнительно надо отметить, что для атаки в отдельных случаях даже необязательно устанавливать данные утилиты на хост. Пользователь с администраторскими правами может легко снять дамп нужного участка оперативной памяти, и производить все манипуляции вне рабочей сети. Это многократно увеличивает риски компрометации учетных записей более привилегированного пользователя.

Решение без дополнительных затрат: заводить для управления инфраструктурой даже не 2-3 учетные записи, как принято (надеюсь, у вас так?):

— для локальной работы;
— для администрирования серверов и ПК;
— для контроллеров домена,
а как минимум 4 учетные записи (а то и больше), в соответствии с условными «зонами доверия» в домене, и не применять их вне своей зоны. То есть, держать отдельные учетные записи:
— для работы со своей личной машиной;
— для входа на контроллеры домена и управлением ими.
— для серверов;
— для рабочих станций;
— для удаленных филиалов, если там оказался ваш домен, но при этом вы не уверены, что там происходит в конкретный момент времени;
— для зоны DMZ, если вдруг доменные хосты оказались в DMZ;
— если вы частый посетитель клуба анонимных параноиков – разбить эти зоны еще на меньшие группы, либо менять свои пароли очень часто.

Запрет на ввод «тестовых» хостов в домен

По схожей причине (см. пункт выше) по возможности лучше не заводить общественные «тестовые» хосты в домен. Такие хосты наиболее часто встречаются в компаниях с подразделениями по разработке софта, «для ускорения» и экономии лицензии они часто не снабжаются антивирусами (которые, кстати, «ловят» нешифрованные mimikatz и wce), а все причастные разработчики и тестировщики имеют на них права администратора, с целью осуществления разных сомнительных действий. Используя свои администраторские права, они могут легко похитить доменные учетные записи других администраторов.

Детализация прав сервисных учетных записей

Учетные записи в Windows имеют набор различных прав входа в систему. Это локальный вход, вход в качестве пакетного задания, в качестве службы, и др. В крупном домене всегда есть служебные учетные записи, которые необходимы для массовой работы различного ПО, служб, запуска заданий, и так далее. Обязательно нужно не полениться и минимизировать права данных учетных записей под свою область применения, и явно запретить ненужные полномочия. Это снизит риски быстрого распространения угроз в случае утечки контроля над такой записью.

Обращение к SMB по именам и запрет использования NTLM

К файловым ресурсам (SMB) в домене лучше обращаться только через доменное имя, а не через IP. Помимо удобства администрирования, так вы явным образом заставите хост аутентифицироваться по протоколу Kerberos, который хоть и имеет свои недостатки, но является значительно более защищенным, чем протокол NTLMv2, который задействуется при обращении по IP файлового ресурса. Перехват NTLMv2 хеша опасен тем, что можно словарной атакой неспешно восстанавливать пароль пользователя оффлайн, то есть, никак не беспокоя атакуемую инфраструктуру. Очевидно, что это не заметно для администраторов, в отличие онлайн-атак по перебору паролей.

Касательно протокола NTLM (который без «v2») – он должен быть запрещен. Помимо атак по перебору паролей, можно использовать атаку типа «Pass-the-hash». Эта атака по сути разрешает переотправку хеша NTLM без изменения и попыток подобрать пароль на произвольный хост, где разрешен NTLM. Сам хеш может быть украден из другой сессии в ходе атаки. Если у вас разрешены оба протокола NTLM, возможна ситуация, когда атакующий может понизить предпочтение с NTLMv2 до NTLM, и хост-жертва выберет самую слабую аутентфикацию.

Будьте внимательны, многие инфраструктуры представляют собой медленно модернизируемый «зоопарк», который с непонятными целями сохраняет старые традиции образца начала 2000х годов, поэтому там возможно все.

Блокировка механизма WPAD

Есть два механизма, которые включены по умолчанию, и в совокупности позволяют проводить атаку «человек посередине», причем практически не обнаруживая атакующего. Это механизм автоматического обнаружения прокси через специальное сетевое имя (WPAD), и механизм широковещательного разрешения имен LLMNR.

Через WPAD некоторое ПО (в домене это чаще всего служба обновлений WSUS и некоторые браузеры) выполняет поиск HTTP прокси, и готово при необходимости прозрачно авторизоваться на нем при помощи NTLM(v2). Таким образом, оно добровольно «выдает» хеш учетной записи, которая инициировала подключение. Его можно в последствии перебирать по словарю, и восстановить пароль. Либо применять атаку «Pass-the-hash», описанную выше, если не отключен NTLM (про это см. пункт выше).

Устройства выполняют поиск сервера WPAD через DNS, и, если это не сработает, задействуют широковещательный запрос LLMNR или NetBIOS. И тут атакующему уже значительно проще ответить на вопрос хоста, где же находится «правильный» сервер конфигурации прокси. Дополнительный негативный эффект — такой поиск прямо замедляет скорость подключения, так как тратится время на поиск прокси.

Решение – в групповых политиках запретить и автообнаружение прокси для ПО, и протокол LLMNR. На DNS адрес WPAD (wpad.domain.name) в DNS поставить заглушку. LLMNR это фактически имитация DNS на сегменте сети L2 путем широковещательных запросов. В доменной сети при нормально работающем DNS он не нужен. С NetBIOS все сложнее, он до сих пор используется во многих случаях, и его выключение может обрушить работу, так что здесь все же остается лазейка для навязывания WPAD.

Включение UAC на максимум

Не выключайте User Account Control (UAC), а лучше наоборот, установите его на максимум. UAC, конечно, реализован не очень удобно и не информативно, но вы не представляете, как обидно пентестеру получить формальную возможность удаленного выполнения команд от имени пользователя с администраторскими правами, но без фактической возможности выполнения именно привилегированных действий, которые как раз при «обычной» работе надоедают запросами о подтверждении. Обойти UAC или повысить права конечно, возможно, но это лишние препятствия.

Отключение скрытых файловых ресурсов

Хотя бы для машин администраторов, «важных» пользователей и серверов обязательно отключайте скрытые ресурсы $ADMIN, C$, D$, и т.д. Это первоочередная излюбленная цель любой сетевой malware и злоумышленников при получении более-менее привилегированных прав в домене.

Сетевые диски как ярлыки

Спорное решение, и явно не всем подходит, но был случай, когда это спасло от эпидемии шифровальщиков. По возможности, предоставлять пользователям удаленные общие файловые ресурсы не как сетевые диски, а как ярлыки на рабочем столе. Причина простая – malware иногда перебирает буквы дисков, и при этом не всегда в состоянии найти ресурсы, не подключенные в виде дисков.

2. Почтовая система. SPF

Ревизия содержимого SPF

Проверьте SPF-запись вашего почтового домена. А потом проверьте ее еще раз.

Многие недооценивают значимость этой записи, и при этом не понимают работу протокола SMTP. SPF запись показывает, какие ресурсы могут легитимно отправить почту от имени вашего домена. Для частного случая отправки писем на ваш домен от вашего домена (то есть, для внутренней переписки внутри вашего же домена) эта запись показывает, кто (т.е. конкретные хосты) может отправлять письма без авторизации, от имени любого пользователя. Чаще всего здесь делают две незначительные на вид ошибки, приводящие к огромным проблемам.

1) «~all» в конце SPF записи почтового домена. Не знаю почему, но большинство публичных мануалов рекомендуют оставить такую настройку. Такая настройка дает письму статус «не прошло проверку, но помечено как опасное и все равно доставлено» при отправке почты от ресурсов, прямо не указанных в SPF домена. Это говорит получателю, что решение о легитимности отправляемой почты перекладывается на жесткость настроек его спам-фильтра и других механизмов фильтрации. Далее, есть вероятность, что ваш собственный спам-фильтр настроен мягко (особенно часто это бывает с «публичными» пользователями компании, которые боятся «прозевать» письма), и это приводит к тому, что любой хост Интернета отправит вам же письмо от вашего же домена, и с некоторой вероятностью оно пройдет во входящие, а не в спам. Очень забавно видеть пользователей и даже ИТ-администраторов, беспрекословно выполняющих срочные указания от «важного начальства» из подобных поддельных писем при пентестах с социальной составляющей. Конечно же, не исключена ситуация со слабыми спам-фильтрами и у ваших контрагентов, и тогда уже вы будете делать им заманчивые предложения без своего ведома.

SPF для подавляющего большинства компаний должна содержать только –all в конце, разумеется, после тщательной сверки своего содержимого.

2) Бывает, что по ошибке в SPF корпоративного домена оказываются внешние адреса, через которые пользователи компании выходят в интернет. Последствия понятны – возможность нелегитимной отправки писем от кого угодно из корпоративного домена, куда угодно. Обычно администраторы в таких ситуациях говорят – «но у нас же есть авторизация на почте», напрочь забывая про сам механизм протокола SMTP.

Один раз видел ситуацию, когда в SPF оказался выход гостевого WiFi. Это сразу дает возможность злоумышленнику слать легитимную почту от целевого домена, даже без получения привилегированного доступа во внутреннюю сеть компании-жертвы.

Для борьбы с такими атаками дополнительно поможет система подписей DKIM, показывающая, кто есть на самом деле отправитель, но ее внедрение процесс не моментальный, поэтому начать стоит именно с настроек SPF – ужесточить ее и сделать полную ревизию по разрешенным адресам.

3. Дизайн локальной сети

Организуйте DMZ

Организуйте DMZ, и навсегда перестаньте «пробрасывать» порты из Интернет в основную сеть. Правильная DMZ эта та, ресурсы в которой с двух сторон закрыты файерволами (как от внутренней сети, так и от Интернет), а трафик разрешен крайне выборочно, и только минимально необходимый. На мой взгляд, настоящий специалист по ИБ должен думать, что его хост из DMZ по уже взломан, и оценивать риски исходя из этого. На такие мысли наводит тот факт, что в DMZ очень часто оказываются нестандартные приложения, которые несут специфичную бизнес-логику, ставятся подрядчиками на потоке, как вариант – делаются на заказ и очень плохо проверяются, например, на банальные для WEB уязвимости. Штатный специалист по ИБ чаще всего в состоянии создать DMZ, но не в состоянии проверить приложения на уязвимости. Исходя из этого и нужно действовать.

Типичный вариант правильно организованной DMZ и общий принцип движения трафика. Стрелки – направления инициации трафика из/в DMZ.

Бюджетный дизайн DMZ для параноиков, в которой каждый ресурс находится в отдельной изолированной сети, и ресурсы не «кушают» много трафика:

Что касается «проброса» портов, то помимо риска «взлома» сервиса, существует неявный риск сбора информации о внутренней сети. Например, в ходе пентестов зачастую видно порты RDP, которые были «скрыты» путем смены со стандартного 3389 на какой-нибудь 12345. Разумеется, они легко обнаруживаются сканерами, легко идентифицируются именно как RDP, но помимо простого обнаружения, они могут, например, предоставить информацию об имени компьютера и домена (путем просмотра сертификата службы RDP), или информацию о логинах пользователей.

Полностью изолированный гостевой WiFi

Гостевой WiFi должен быть максимально изолирован от основной сети (отдельный VLAN, отдельный провод от маршрутизатора интернет до точки доступа, и т.д.). Дополнительно, по возможности, выключайте гостевой WiFi в нерабочее время по расписанию на оборудовании.

Здесь есть один нюанс. Многие правильно выделяют гостевой WiFi в отдельный изолированный VLAN, но при этом зачем-то выдают клиентам адреса DNS серверов Active Directory. Наиболее рациональное оправдание – «чтобы работали ресурсы из DMZ по внутренним адресам». Однако, это является уязвимостью, и это хорошо помогает злоумышленнику при несанкционированном анализе внутреннего устройства сети, ведь запросы к DNS (PTR по внутренним диапазонам IP) обычно никак не ограничиваются.

Решение – создать легкий внутренний DNS сервер специально для WiFi, либо использовать публичные DNS в Интернет.

Не создавайте «корпоративный» WiFi на едином Preshared-ключе

Это очень частая проблема. Один ключ от WiFi часто живет годами, ведь «нельзя же беспокоить пользователей лишний раз». Это неизбежно снижает безопасность такой конфигурации до нуля с течением времени. Основные причины – текучка сотрудников в организации, кражи устройств, работа malware, возможность перебора пароля сети.

Решение: авторизация на WiFi только через WPA2-Enterprise, для того, чтобы каждый пользователь имел свои персональные, легко блокируемые учетные данные, которые контролируются централизованно. Если внутренняя сеть на самом деле не нужна для WiFi устройств, а нужен только Интернет, нужно сделать WiFi по типу гостевого. Сам дизайн аутентификации WPA2-Enterprise это предмет отдельной статьи.

Правильная сегментация сети

Максимально сегментируйте сеть на VLAN, максимально ограничьте широковещательный трафик. Об этом пишут все мануалы по дизайну сети, почему-то это редко кем соблюдается, особенно в малом и среднем сегменте компаний, но это крайне полезно как с точки зрения удобства администрирования, так и с точки зрения безопасности.

В любом случае обязательно нужно держать ПК пользователей отдельно от серверов, иметь отдельный VLAN для management-интерфейсов устройств (сетевых устройств, интерфейсов iLO/IMPI/IP KVM, и т.д.). Все это снизит возможности подделки адресов, упростит настройку сетевого доступа, снизит вероятность атак за счет широковещательных запросов, а значит повысит и стабильность работы.

На мой взгляд как безопасника (но уже чувствую летящие помидоры от сетевиков), количество VLAN для пользователей больше зависит от количества коммутаторов доступа и от количества условных групп пользователей по административному признаку, а не от самого количества пользователей. Имеет смысл сделать количество пользовательских VLAN на уровне числа коммутаторов доступа (даже если они собраны в стек). Так очень сильно ограничится широковещательный трафик, не будет «размазывания» одного VLAN по множеству коммутаторов доступа. Это не сделает для сети лишней работы, так как чаще всего трафик пользователей идет либо в серверный сегмент, либо в Интернет (т.е. в любом случае в сторону уровня ядра сети или уровня распределения), а не между самими пользователями. В таком случае легче отлаживать сеть, и предотвращать атаки, связанные с широковещательными пакетами.

Для малых сетей ситуация сильно отличается – зачастую сегментировать нечего, сеть слишком мала. Однако, во всех организациях, где появляется минимальных набор серверов, обычно вместе с серверами закупаются управляемые коммутаторы, иногда с функциями L3. Почему-то они используются как просто коммутаторы, зачастую даже без минимальной настройки, хотя настройка L3 для простой маршрутизации между 2-3 сетями очень проста.

Защита от ARP spoofing и поддельных DHCP серверов

Два механизма, на языке технологий Cisco: DHCP snooping и ARP Inspection, помогут расстроить разных шутников-пользователей и реальных злоумышленников. После их внедрения вы получите предотвращение появлений ложных DHCP серверов в сети (которые могут появиться как по ошибке — кто-то перепутал настольный «домашний» маршрутизатор форм-фактора «мыльница советская» с такого же типа коммутатором, так и в результате атаки), и атак типа «человек посередине» через ARP протокол. В сочетании с малыми размерами VLAN (предыдущий пункт) это отлично снизит возможный ущерб.

Если такие функции невозможно настроить, как минимум стоит указать жесткую привязку MAC адреса шлюза сети с физическим портом коммутатора.

Port security

Если кабельная сеть и оборудование позволяют, настройте на коммутаторах доступа port security. Это хорошо защищает, хоть и не полностью, от подключения «левых» и «лишних» устройств, несанкционированного перемещения компьютеров в пространстве.

Противодействие «левым» устройствам

Даже с описанными выше защитными мерами (port security, dhcp snooping, arp inpection), возможно появление «левых устройств», причем, как показывает практика, наиболее вероятное устройство в этом случае – «домашний» роутер с функцией «клонировать MAC-адрес компьютера на внешний интерфейс». Поэтому, есть следующий шаг развития сетевой тирании – 802.1x. Однако, это уже серьезное решение, требующее хорошего планирования, поэтому возможен более простой способ выявления самовольных роутеров (именно выявления, а не пресечения). Здесь хорошо поможет анализ трафика на промежуточном звене сети на предмет параметра протокола IP — TTL. Можно сделать span порт на коммутаторе, зеркалирующий трафик в сервер со снифером, и анализировать этот трафик на наличие пакетов с аномальным TTL. В этом поможет банальный tcpdump/Wireshark. Трафик с таких роутеров будет иметь TTL меньше на 1, чем легальный трафик.

Либо же, можно настроить правило фильтрации по конкретным TTL, если сетевые устройства это позволяют. Конечно, от серьезных злоумышленников это не спасет, но чем больше препятствий, тем лучше для защищенности.

Удаленный доступ

При организации удаленного подключения к сети забудьте про протокол PPTP. Он, конечно, настраивается быстро и легко, но помимо наличия уязвимостей в самом протоколе и его составляющих, он плох тем, что очень хорошо виден сканерами сети (из-за работы на TCP на одном и том же порте), зачастую плохо проходит через NAT за счет транспорта на GRE, от чего на него жалуются пользователи, и по своему дизайну не содержит второго фактора аутентификации.

Чтобы внешнему злоумышленнику было удобнее работать, аутентификацию на таком VPN обычно привязывают к доменным учетным записям, не вводя второй фактор аутентификации, что часто и эксплуатируется.

Решение-минимум: использовать протоколы на UDP (либо свободно инкапсулирующиеся в UDP), которые не так видны при сканировании, с предварительной аутентификацией по PSK, либо по сертификату (L2TP/IPSec, OpenVPN, разные вендорские реализации IPSec). Обязательно нужно настроить перечень адресов и портов внутри сети, куда можно получить доступ, используя VPN.

Запретите прямой произвольный доступ в интернет для «пользовательской» сети

Прямой выход в интернет для пользователей – это зло, хотя с удешевлением каналов Интернет его становится все больше и больше, особенно в малых и средних компаниях. Многие администраторы ограничивают исходящие порты для пользователей на минимальный набор, вроде 80, 443, пытаясь экономить полосу. С точки зрения Malware и злоумышленников, это ничем не отличается от свободного доступа в Интернет.

На мой взгляд, всегда нужен прокси-сервер, пусть без кеширования и авторизации, даже в самых маленьких сетях, и запрет на прямой выход в интернет для пользователей. Основная причина — множество всяческой malware обращается на свои центры управления именно по HTTP(S), либо по чистому TCP c популярными портами (80/443/25/110…), но при этом она зачастую не в состоянии обнаружить настройки прокси в системе.

Возьмите под контроль IPv6

Если вы не интересовались использованием IPv6, повторите все действия по фильтрации трафика применительно к IPv6, либо запретите его. Ваша инфраструктура может неявно использовать его, но вы можете и не знать об этом. Это опасно проблемами несанкционированного получения доступа в сети.

Трафик в межфилиальных сетях

Если у вас под контролем крупная сеть с удаленными филиалами, и в ней настроен Site-to-Site VPN, не поленитесь максимально ограничить трафик, который идет к вам в центр, причем именно на центральном оборудовании, а не в филиалах. Не воспринимайте каналы с удаленными филиалами как «свою родную» сеть. Обычно в компаниях филиалы защищены меньше центра, и большинство атак начинаются именно с филиалов, как с «доверенных» для центра сетей.

Ограничение icmp ping

Ограничьте список адресов, которые могут «пинговать» важные сервисы. Это снизит обнаружение ваших хостов, хоть и ненамного. При этом не забудьте, что ping – это не весь протокол icmp, а только один вид сообщений в icmp, и не нужно его (icmp) запрещать целиком. По крайней мере, вам точно будут нужны для корректного взаимодействия со всеми сетями некоторые сообщения видов Destination Unreachable. Не создавайте полным запретом ICMP на своих маршрутизаторах так называемую MTU Discovery Black Hole.

4. Шифрование трафика

Сертификаты SSL для всего и везде

Не ленитесь защищать шифрованием все сервисы, куда можно пристроить SSL/TLS. Для хостов из домена Active Directory можно настроить AD Certificate Services, либо распространять сертификаты служб через групповые политики. Если нет денег для защиты публичных ресурсов, воспользуйтесь бесплатными сертификатами, например, от startssl.

Для себя, т.е. администраторов, всегда можно пользоваться легким самодельным удостоверяющим центром, например, easy-rsa, либо самоподписанными сертификатами. Вы же заметите, что на вашем внутреннем администраторском ресурсе внезапно возникла ошибка доверия к ранее одобренному сертификату?

Если вам кажется, что вашему сайту-визитке ничего не угрожает, то надо учесть, что шифрование спасет вас не только от кражи учетных данных, но и от подмены трафика. Все наверно видели на сайтах с доступом по открытому HTTP заботливо встроенную операторами связи рекламу? А если вам встроят не рекламу, а «правильный» скрипт?

Wildcard SSL сертификат

Если вы стали счастливым обладателем wildcard-сертификата (для доменов «*.ваш-домен»), не торопитесь его распространять по всем публичным серверам. Сделайте себе отдельный сервер (или кластер), к примеру, на Nginx, который будет «разгружать» от шифрования входящий трафик. Так вы сильно снизите количество каналов утечки закрытого ключа вашего сертификата, и в случае его компрометации, не будете менять его сразу на множестве сервисов.

5. Пару слов про веб-серверах на основе Linux

Linux-хосты чаще всего видно в роли веб-серверов, классической связки LAMP (Linux + Apache + Mysql + PHP, или любой другой скриптовый язык), которую чаще всего и ломают за счет дыр в веб-приложении, поэтому опишу самый минимум для данной связки, который относительно легко внедряется, и не требует большого опыта настройки и отладки (вроде мер типа SELinux/AppArmor).

Доступ к серверу

Не поленитесь запретить вход по ssh для root, настроить авторизацию только по сертификатам и сместить порт ssh куда-нибудь далеко со стандартного 22.

Если на сервере не один администратор, активируйте для каждого механизм sudo, а для root используйте пароль, который никто не знает, кроме бумаги, которая все время лежит в конверте и в сейфе. В этом случае вход через ssh по паролям категорически нельзя разрешать.
Если же наоборот, администратор один, то деактивируйте sudo (особенно в том случае, если у вас по каким-то причинам сохранился вход через ssh по паролю), и для администраторских задач используйте аккаунт root.

Ну и конечно, классика — не работайте под рутом.

Iptables

Не поленитесь настроить iptables, даже если вам кажется, что iptables ничего не решит, например, если на сервере из сетевых приложений работают только Web и ssh, которые и так должны быть разрешены. В случае получения минимальных полномочий злоумышленником на сервере, iptables поможет предотвратить дальнейшее распространение атаки.

Правильно настроенный iptables, как и любой другой файервол, разрешает только минимально необходимое (включая исходящие соединения через цепочку правил output). На случай минимальной конфигурации Web-сервера в iptables будет не более 10 строк. По сложности, это значительно проще настройки firewall для доменного хоста Windows, где можно нечаянно запретить динамические RPC порты, доменные службы и другие важные для работы коммуникации, так как не всегда очевидна даже последовательность коммуникации. Поэтому, для настройки iptables под web-сервер не нужны особые знания по сетям, и можно настроить файервол значительно легче.

Противодействие повышению прав в случае взлома

Отправьте Apache работать в chroot. Как вариант, сделайте отдельные разделы в файловой системе для /var/ и /tmp, смонтируйте их с флагами noexec,nosuid. Так вы защитите сервер от исполнения локальных эксплоитов в бинарном виде, которые могут повысить права атакующего. Запретите исполнение интерпретаторов скриптовых языков типа Perl, Python для «других пользователей» (chmod o-x), куда относится веб-сервер, если это не требуется веб-серверу и другим службам. Чем меньше в системе «других служб», а соответственно, пользователей под них, тем проще это сделать.

Пара слов о настройке web-сервера на примере Apache

Здесь перечислено то, что может сделать системный администратор для защиты веб-приложения, даже не зная специфики веб-программирования.

— Запретите наличие VirtualHost, который отвечает на запросы вида http(s)://ip-адрес/, даже если приложение на сервере одно. Так вы значительно снизите возможность обнаружения приложения.
— Запретите в конфигурации apache вывод ошибок (опции ServerSignature Off, ServerTokens Prod), это затруднит определение версии ОС и Apache.
— Установите через mod_headers опции для Cookies HTTP_only и Secure для вашего веб-приложения, даже если у вас веб-приложение делает это само. Это защитит вас от перехвата Cookies через прослушку нешифрованного HTTP и части атак XSS.
— Отключите вывод ошибок на страницы сайта в конфиге языка сайта (это в первую очередь касается PHP). Это затруднит атакующему изучение слабых мест вашего веб-приложения.
— Контролируйте, чтобы индексы директорий были выключены (опция «–Indexes» в настройках сайта или файлов .htaccess).
— Дополнительно сделайте basic-авторизацию на директорию с администраторской панелью сайта.
— Установите принудительное перенаправление с 80 порта на 443, если у вас есть настроенный TLS. Запретите устаревшие алгоритмы SSL (SSLProtocol all -SSLv2 -SSLv3), слабые алгоритмы шифрования и вариант его полного отсутствия через директиву SSLCipherSuite. Это защитит от атак на «понижение» уровня шифрования.

Проверить свою настройку SSL можно, например, через https://www.ssllabs.com/ssltest/

Настройте аудит системы

Включите и настройте auditd по показательным событиям (создание пользователя, изменение прав, изменение конфигурации) с отправкой уведомлений на удаленный сервер. Все взломы не производятся одномоментно, поэтому периодически осматривая логи, пусть даже и вручную, можно обнаружить подозрительную активность. Дополнительно это поможет при «разборе полетов» в случае инцидентов.

Ставьте только минимально необходимое в системе

ОС на основе Linux хороши тем, что можно гибко выключать/удалять ненужные компоненты. С точки зрения безопасности, в первую очередь, это относится к сетевым и локальным демонам. Если вы видите, что на вашем только что установленном сервере работают демоны, которые явно или косвенно не относятся к задаче данного сервера, задумайтесь – действительно ли они нужны. Для большинства случаев это всего лишь стандартная установка, и они легко и без последствий выключаются и/или удаляются. Например, не всем нужен RPC, который включен по умолчанию в Debian. Не ждите, пока под такие сервисы найдут уязвимости и сделают эксплойт, а вы забудете обновиться.

6. Самоконтроль

Даже не обладая навыками специалиста по тестированию на проникновение, можно дополнительно включить в самоконтроль минимальные «пентестерские» действия. Вам помогут:

Сканеры безопасности

Проверьте действительную видимость открытых портов при помощи nmap/zenmap. Иногда это дает результаты, которых вы не ожидаете, например, в случае ошибочной настройки правил фильтрации трафика, или в случае, когда сеть большая и сегментация персонала по зонам ответственности также очень значительна.

Проверьте хосты в сети на типовые уязвимости при помощи сканера OpenVAS. Результаты также бывают неожиданными, особенно в крупных сетях, где обычно существует хаос разной степени. Главное при использовании сканеров безопасности – отличать ложные срабатывания от настоящих уязвимостей.

Все перечисленные утилиты бесплатны. Делайте это регулярно, не забывайте обновлять сканеры.

Брутфорс учетных записей

Проверяйте учетные записи сотрудников на предмет слабых паролей. В минимальной комплектации в этом поможет файловый ресурс, доступный любому доменному пользователю после авторизации, и утилита THC Hydra. Сформируйте словари из паролей, которые подходили бы под вашу парольную политику, но при этом были бы простые, вроде «123QAZxsw». Количество слов в каждом – не более числа допустимых попыток авторизации в домене, минус 2-3 для запаса. И пропустите через брутфорс все учетные записи домена, уверен, найдете много интересного.
Разумеется, на эти проверки заранее нужно получить официальное (желательно, «бумажное») разрешение от руководства, иначе это будет походить на попытку неавторизованного доступа к информации.

Минутка юмора

Напоследок, пентестерская байка касательно паролей. Осенью 2015 года мы делали социальный пентест с применением фишинга – выманивали доменные пароли. У двух попавшихся пользователей пароль был «Jctym2015» («Осень2015»). Посмеялись, забыли. В ноябре 2015 года делаем подобный пентест в другой организации, никак не связанной с первой, опять те же пароли, и опять сразу у нескольких пользователей. Начали что-то подозревать, нашли в одной оранжевой социальной сети такое вот руководство к действию:

Надеюсь, кому-нибудь эти простые советы помогут существенно защитить свою инфраструктуру. Конечно, есть еще масса различных технических и организационных тонкостей, касающихся вопросов «как надо делать», и «как делать не надо», но все они могут быть раскрыты только в рамках конкретной инфраструктуры.

• информационная безопасность
• администрирование
• сети