информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Портрет посетителяВсе любят медАтака на Internet
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Microsoft сообщила о 44 миллионах... 
 Множественные уязвимости в VNC 
 Шестой Perl превратится в Raku,... 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / software
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Циски могут и все стандартные вещи, они вообще много чего умеет. И в комплекте винды чуть ли не с 2k есть secure-VPN клиент (IPsec). Я так и не понял смысл устраивать авторизацию на базе какого-то веб-интерфейса при наличии стандартных схем PPP\VPN 05.02.09 09:48  Число просмотров: 2197
Автор: Ustin <Ustin> Статус: Elderman
Отредактировано 05.02.09 09:53  Количество правок: 1
<"чистая" ссылка>
<software>
Прога, помогающая отслеживать назначения АйПи адреса. 03.02.09 11:11   [Ustin]
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
Отредактировано 03.02.09 11:15  Количество правок: 2
<"чистая" ссылка>
Тема чуть шире, чем просто найти подходящую прогу. Решение такой задачи - это комплекс мер, проа плюс методология. Одна из области применения - домашний интернет.
Возмем выход в инет через домашнюю эзернетовскю сетку. Мало какие провы практикуют только безлимитные тарифы. У определенных личностей может возникнуть желание попользоваться инетом за чужой счет. Домашние сети и биллинг может быть устроен по разному, но нет абсолютно надежных сетей, просто одни более надежны, другие менее. Имеется еще один постулат: чем более надежная сетка, тем сложнее ей пользоваться. Например, если использовать соксы или ВПН до шлюза прова, то надежность повышается, но и неудобства тоже. Например для установки своего роутера, нужно чтобы он на внешнем интерфейсе поддерживал тот же ВПН, что и пров. Да и периодические настройки выхода в инет, хранение/запоминаине паролей, сертификатов будет напрягать. И все равно, абсолютной защиты не будет, поскольку все равно возможно воровство пароля одним из многих способов.
Рассмотрим использование учета трафика и доступа по АйПи адресу. В принципе этим можно ограничится, поскольку если пров будет привязывать к АйПишнику МАК, это вызовет еще определенные неудобства плана периодического легитимного выхода в инет с разных компов/ноутбуков. К тому же МАК легко определяется подделывается.
Собственно вопрос - как определить, что какой-нибудь комп незаконно взял себе чужой АйПи адрес. Можно рассмотреть самый простой вариант, когда злоумышленник пытается незаконно подключится и у обоих выскакивает сообщение о коллизии адресов. В данном случае хотелось бы еще иметь и МАК адрес злоумышленника хотя бы, а лучше другие параметры, которые ОДНОЗНАЧНО идентифицируют его адаптер/комп. Так же интересует программа-монитор назначения адресов, которая может стоять как на любом отдельном компе, так и на компе-шлюзе или на компе-жертве.
Как я понимаю, в идеале, прога должна сканировать локалку для построения полной таблички адресов АйПи-МАК, далее анализировать валидность каждой записи и если что-то не так, то активизировать какой-нибудь алерт и писать в лог. Еще желательно должна ловить АРПшные пакеты при инициализации АйПи проверяющие коллизию и обнаруживающие ее. Может есть еще какие-нибудь идеи или практика решения подобных задач?
Добавлю, что пров планирует заменить оборудование на управляемые на третьем уровне свитчи и приписать адреса портам, что решит данную проблему, но в связи с экономическим кризисом это решение не только откладывается на неопределенный срок, но и вообще, ставится под вопрос его реализация как таковая.
Не вижу проблем с VPN-ом 03.02.09 20:51  
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
> сложнее ей пользоваться. Например, если использовать соксы
> или ВПН до шлюза прова, то надежность повышается, но и
> неудобства тоже. Например для установки своего роутера,
"Дозвон" до vpn-а с юзерской стороны ничем не отличается от дозвона до диалап-провайдера - пользовались же миллионы пользователей диалапом.

> нужно чтобы он на внешнем интерфейсе поддерживал тот же
> ВПН, что и пров. Да и периодические настройки выхода в
Зачем? VPN огранизовывает туннель поверх существующего транспорта. Роутеру достаточно будет доставлять пакеты самого туннеля, а vpn-ом будет заниматься комп. Если же ты имеешь в виду посадить десяток пользователей на один логин/пароль, то вот как раз провайдера эти проблемы волновать не должны, ибо в большинстве случаев это прямо запрещается договором. Ну и проблема решается покупкой одного морально-устравшего компа по баксу за килограмм.

Более того, vpn В ДОПОЛНЕНИЕ к vpn-у можно использовать привязку по ip/mac, но опционально.

> инет, хранение/запоминаине паролей, сертификатов будет
> напрягать. И все равно, абсолютной защиты не будет,
> поскольку все равно возможно воровство пароля одним из
> многих способов.
Ну да, ну да. Номер кредитки, expiry date и cvv можно украсть, поэтому защищаться мы будет просто по фамилии-имени (и будем пытаться словить тех, кто называется одинаковым именем одновременно).
В принципе проблем нет. В принципе сделать можно. В принципе... 04.02.09 11:30  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
Отредактировано 04.02.09 11:33  Количество правок: 1
<"чистая" ссылка>
> "Дозвон" до vpn-а с юзерской стороны ничем не отличается от
> дозвона до диалап-провайдера - пользовались же миллионы
> пользователей диалапом.

В принципе проблем нет. В принципе сделать можно. В принципе работать будет. Почему то ВПН не сильно распространен. Я знаю много организаций, у которых есть выход в инет, но ни одна из них не пользуется для этого ВПНом. И провы между собой ВПНом не пользуются. Почему? Ведь в принципе то вешь рабочая, да и надежная, да и денег не стоит. Может потому, что неудобная.

> самого туннеля, а vpn-ом будет заниматься комп. Если же ты
> имеешь в виду посадить десяток пользователей на один

Не десяток, а два-три.

> логин/пароль, то вот как раз провайдера эти проблемы
> волновать не должны, ибо в большинстве случаев это прямо
> запрещается договором. Ну и проблема решается покупкой

У меня дома более, чем один телефонный аппарат, однако на АТСке будут только рады, если я подцеплю побольше и будут давать звонить всем подряд - звонки то платные. У меня есть так же договор с электросетью, но они не запрещают мне пользоваться тройниками-разветвителями и подключать к электросети более, чем один электроприбор. Почему? Да потому что я плачу не за подключение, а за киловаттчасы, а им там в электросети побарабану, подключу ли я один прибор на киловатт или десять по сто ватт, главное, что я за час использования этих приборов заплатил за эти киловаттчасы. Так какго хрена я не имею права подключить у себя два и более устройства к инету, если мне это надо. Да хоть соседей еще подключу, какая разница прову, если за каждый мегабайт будет уплочено. Я бы понял данное ограничение, еслиб инет был безлимитный. Тогда, подключив соседа к себе, пров понес бы убытки от недополученого соседского бабла.

> запрещается договором. Ну и проблема решается покупкой
> одного морально-устравшего компа по баксу за килограмм.

И куда этот девайс ставить? Его еще как-то подключать будет надо, провода тянуть. Я не знаю как вайфай точку поставить, а тут комп, да еще из разряда барахла!

> Ну да, ну да. Номер кредитки, expiry date и cvv можно
> украсть, поэтому защищаться мы будет просто по
> фамилии-имени (и будем пытаться словить тех, кто называется
> одинаковым именем одновременно).

Все правильно. А что мешает совершенствоваться. Перейти к биометрике, например. Не надо карточки таскать, не надо ПИНы помнить. Может это тоже не идеал, но пример какой ни какой.
Ошибаешься. 04.02.09 12:10  
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
> В принципе проблем нет. В принципе сделать можно. В
> принципе работать будет. Почему то ВПН не сильно
> распространен.
Ошибаешься.

> Я знаю много организаций, у которых есть
> выход в инет, но ни одна из них не пользуется для этого
А зачем организациям VPN для выхода в инет?

> ВПНом. И провы между собой ВПНом не пользуются. Почему?
С чего ты взял, что не пользуются? Если нужно защитить трафик, то там по любому либо IPsec какой нибудь либо VPN. Кстати на прошлой работе офисы (3 штуки) были связаны в общую локалку VPN-ами. Да и на нынешней не брезгуют пользоваться VPN-ом для доступа в корпнет из инета.

> Ведь в принципе то вешь рабочая, да и надежная, да и денег
> не стоит. Может потому, что неудобная.
Нет, потому что большинство админов - дебилы. Вот тебе пошаговая настройка VPN-а в XP: http://compnetworking.about.com/od/windowsxpnetworking/ss/newvpnconnect.htm
От настройки диалапа отличается только тем, что для диалапа надо указать номер телефона, а для VPN-а - IP/name VPN-сервера. После создания коннекшена процесс коннекта выглядит так: http://www.windowsecurity.com/img/upl/image0331101987058723.jpg
То есть тоже в точности как в диалапе. Со стороны сервера там тоже без особых сложностей.

Наши же кулибины, блджад, вечно ваяют какие то Авторизаторы на быдлоделпхях. В которых не то, что никакой криптографии нет, там даже пароль толком не шифруется. Самый лучший авторизатор, который мне приходилось видеть имел https-сайтец с авторизацией. Авторизация складывалась в куку и на том же сайте можно было себе включить инет. Собственно авторизатор отсылал заполненные формы по https. Это хотя бы более менее безопасно (хотя и через %опу).

> Не десяток, а два-три.
Ну дык и расшарь соединение на одном из компов (винда умеет). Хотя конечно роутер с VPN-ом наверное будет стоить сравимо со страрым компом.
http://www.amazon.com/D-Link-4-port-Broadband-Router-DI-804HV/dp/B00008W9B3
вот 70 баксов. За сотню - уже и вайфаем и с кучей портов и пр..

> У меня дома более, чем один телефонный аппарат, однако на
> так же договор с электросетью, но они не запрещают мне
Доказательства по аналогии есть ложь.

> Так какго хрена я не имею права подключить у себя два и
> более устройства к инету, если мне это надо. Да хоть
Потому что это запрещено договором. Это же очевидно. Если не запрещено - можешь подключать сколько хочешь.

> соседей еще подключу, какая разница прову, если за каждый
> мегабайт будет уплочено. Я бы понял данное ограничение,
> еслиб инет был безлимитный. Тогда, подключив соседа к себе,
> пров понес бы убытки от недополученого соседского бабла.
Вообще то помимо оплаты трафика, еще оплачивается и абонплата. Вон у моего последнего провайдера была как раз таки авторизация по маку (хаха, лохи) и для авторизация дополнительных маков (на тот же аккаунт) была платной (плата ежемесячная).

> И куда этот девайс ставить? Его еще как-то подключать будет
> надо, провода тянуть. Я не знаю как вайфай точку поставить,
> а тут комп, да еще из разряда барахла!
Да хоть в чулан. Нагрузка у него будет невысокая - греться сильно не должен. Хотя да, можно сразу купить железку, в которой это все есть.

> Все правильно. А что мешает совершенствоваться. Перейти к
> биометрике, например. Не надо карточки таскать, не надо
> ПИНы помнить. Может это тоже не идеал, но пример какой ни
> какой.
Биометрия практически всегда - просто безопасное хранилище. И хранятся там пароли (пины, да).
Пардон за оверквотинг, но сначала реч шла про использование... 04.02.09 13:43  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
Отредактировано 04.02.09 13:43  Количество правок: 1
<"чистая" ссылка>
> > В принципе проблем нет. В принципе сделать можно. В
> > принципе работать будет. Почему то ВПН не сильно
> > распространен.
> Ошибаешься.
>
> > Я знаю много организаций, у которых есть
> > выход в инет, но ни одна из них не пользуется для
> этого
> А зачем организациям VPN для выхода в инет?
>
> > ВПНом. И провы между собой ВПНом не пользуются.
> Почему?
> С чего ты взял, что не пользуются? Если нужно защитить
> трафик, то там по любому либо IPsec какой нибудь либо VPN.
> Кстати на прошлой работе офисы (3 штуки) были связаны в
> общую локалку VPN-ами. Да и на нынешней не брезгуют
> пользоваться VPN-ом для доступа в корпнет из инета.

Пардон за оверквотинг, но сначала речь шла про использование ВПН для подключения к прову, для выхода в инет, чтобы обезопасить инфу и биллинг. Не использование инета для построения ВПН, а ВПН между провом и организацией для инета как такового. Да, организации пользуются ВПНом, но не для того, чтобы обезопасить себя от хищения трафика другой организацией. ВПН распространен, но для других целей.

> Нет, потому что большинство админов - дебилы. Вот тебе
> пошаговая настройка VPN-а в XP:
> http://compnetworking.about.com/od/windowsxpnetworking/ss/n
> ewvpnconnect.htm
> От настройки диалапа отличается только тем, что для диалапа
> надо указать номер телефона, а для VPN-а - IP/name
> VPN-сервера. После создания коннекшена процесс коннекта
> выглядит так:
> http://www.windowsecurity.com/img/upl/image0331101987058723
> .jpg
> То есть тоже в точности как в диалапе. Со стороны сервера
> там тоже без особых сложностей.

Я с ВПНом достаточно сталкивался, чтобы он набил мне оскомину. IPSec с одной конторой, Винда с другой, "железяками" с третьей. Надо подключиться к четвертой - "что надо, спрашиваю". Говорят "Софт КериоВПН", мля. "А чем-нибудь другом нельзя? Голыми виндами, например или Длинковской железякой?", - "НЕТ!".

> > Не десяток, а два-три.
> Ну дык и расшарь соединение на одном из компов (винда
> умеет). Хотя конечно роутер с VPN-ом наверное будет стоить

Можно ли расшарить соединение виндой, если в компе одна сетевая плата?

> сравимо со страрым компом.
> http://www.amazon.com/D-Link-4-port-Broadband-Router-DI-804
> HV/dp/B00008W9B3
> вот 70 баксов. За сотню - уже и вайфаем и с кучей портов и
> пр..

Он к Циске подконнектится? К нему виндой можно подконнектится?

> > У меня дома более, чем один телефонный аппарат, однако
> на
> > так же договор с электросетью, но они не запрещают мне
> Доказательства по аналогии есть ложь.

Я ни чего не доказываю.

> > Так какго хрена я не имею права подключить у себя два
> и
> > более устройства к инету, если мне это надо. Да хоть
> Потому что это запрещено договором. Это же очевидно. Если
> не запрещено - можешь подключать сколько хочешь.

Не запрещено. http://www.polsys.ru/html/legal.html там еще ссылка на полный договор есть. Поэтому с этим провом и общаюсь. У другого при смене МАКа каждый раз проблемы утрясать надо было. А если у меня три ноутбука, да еще я могу каждый день разные приносить на "поковыряться".

> Перейти к
> > биометрике, например. Не надо карточки таскать, не
> надо
> > ПИНы помнить. Может это тоже не идеал, но пример какой
> ни
> > какой.
> Биометрия практически всегда - просто безопасное хранилище.
> И хранятся там пароли (пины, да).

Не для хранения, а для авторизации и аутентификации. А на самом устройстве контроля доступа хранить не пароли и ПИНы, а биометрические параметры.
Выдача реального IP с помощью VPN или рУками с помощью... 04.02.09 13:56  
Автор: Ustin <Ustin> Статус: Elderman
Отредактировано 04.02.09 14:01  Количество правок: 1
<"чистая" ссылка>
> для инета как такового. Да, организации пользуются ВПНом,
> но не для того, чтобы обезопасить себя от хищения трафика
> другой организацией. ВПН распространен, но для других
> целей.
Выдача реального IP с помощью VPN или руками с помощью роутинга - одно и то же

> Я с ВПНом достаточно сталкивался, чтобы он набил мне
> оскомину. IPSec с одной конторой, Винда с другой,
> "железяками" с третьей. Надо подключиться к четвертой -
> "что надо, спрашиваю". Говорят "Софт КериоВПН", мля. "А
> чем-нибудь другом нельзя? Голыми виндами, например или
> Длинковской железякой?", - "НЕТ!".
Гыы, наверное бабосы кто-то хочет отмыть... Или чуваки не понимают о чём говорят

> Можно ли расшарить соединение виндой, если в компе одна сетевая плата?
А кто мешает? Заводи всех в общий свитч и разрешай общий доступ к VPN :)

> Он к Циске подконнектится? К нему виндой можно подконнектится?
Железка - vpn клиент, а не сервер, из этого и исходи
Стало быть ВПН полностью стандартизирован и Керио может к... 04.02.09 14:39  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
Отредактировано 04.02.09 14:43  Количество правок: 1
<"чистая" ссылка>
> Гыы, наверное бабосы кто-то хочет отмыть... Или чуваки не
> понимают о чём говорят

Стало быть ВПН полностью стандартизирован и Керио может к Циске подконнектиться?

> > Можно ли расшарить соединение виндой, если в компе
> одна сетевая плата?
> А кто мешает? Заводи всех в общий свитч и разрешай общий
> доступ к VPN :)

Вот и хочу узнать, поскольку пробовал как-то давно и не настойчиво заставить заработать такую систему, но помнится винде не понравилось при указании второго интерфейса, что он совпадает с первым. В смысле интерфейс локальной сети совпал с интерфейсом, подключенным к прову.

> > Он к Циске подконнектится? К нему виндой можно
> подконнектится?
> Железка - vpn клиент, а не сервер, из этого и исходи

VPN - это не всегда сервис, ВПН это может быть объединение двух частных сетей, через общую. Допустим соединяем два офиса (имеющие выход в инет) через инет - кто из них сервер? Можно в обоих офисах по этой железячке поставить, или где-то обязательно виндовый сервак нужен?
Для подключения к особым образом настроенному керио впн серверу нужен керио впн клиент, и я не знаю сколько он стоит, по идее должен быть бесплатный, так как бабки платятся за сервер 04.02.09 15:04  
Автор: Ustin <Ustin> Статус: Elderman
Отредактировано 04.02.09 15:23  Количество правок: 3
<"чистая" ссылка>
> Стало быть ВПН полностью стандартизирован и Керио может к Циске подконнектиться?
Да, в общем случае юзая проприетарный клиент
Subj. У керио свой протокол аутентификации.
> > > Можно ли расшарить соединение виндой, если в компе
> > одна сетевая плата?
> > А кто мешает? Заводи всех в общий свитч и разрешай общий
> > доступ к VPN :)
Если что и закорячится, можно добавить маршрут на шлюзе маршрут вручную
Хотя гейт с 1 сетевой платой - странное извращение, занимаются которым далеко не все

> VPN - это не всегда сервис, ВПН это может быть объединение
> двух частных сетей, через общую. Допустим соединяем два
> офиса (имеющие выход в инет) через инет - кто из них
> сервер? Можно в обоих офисах по этой железячке поставить,
> или где-то обязательно виндовый сервак нужен?
Есть различные протоколы аутентификации клиентов, и если клиент (железка\\программа(штатные средства винды\стороннее ПО типа керио клиента)) поддерживает протокол, использующийся на сервере (железке\программе), то всё будет работать, в противном случае - нет
Правильно, свой, свой клиент, свой протокол. А сколько их... 04.02.09 18:22  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
<"чистая" ссылка>
> Да, в общем случае юзая проприетарный клиент
> Subj. У керио свой протокол аутентификации.

Правильно, свой, свой клиент, свой протокол. А сколько их еще своих существует? Нестандартизация ведет к проблемам, головной боли и т.д. Опустимся на один уровнень OSI пониже и представим, что у каждого производителя железа свой страндарт Ethernet. Кто хочет обрасти головную боль со скрещиванием бегемота и носорога. Можно, конечно, прову установить правила, например "поддерживаем только микрософтовский ВПН" и это будет похоже на "поддерживаем только тошибовские ноутбуки, остальные - хотите меняйте, хотите - не ходите через нас в инет".

> Если что и закорячится, можно добавить маршрут на шлюзе
> маршрут вручную
> Хотя гейт с 1 сетевой платой - странное извращение,
> занимаются которым далеко не все

То есть, чтоб зайти в инет с двух-трех буков с ВПН я должен где-то раздобыть для одного из буков вторую сетевуху, чтоб через него в инет другие вышли.

> Есть различные протоколы аутентификации клиентов, и если
> клиент (железка\\программа(штатные средства винды\стороннее
> ПО типа керио клиента)) поддерживает протокол,
> использующийся на сервере (железке\программе), то всё будет
> работать, в противном случае - нет

Вот. И я сомневаюсь, что такие достаточно закрытые вещи, как ВПН протоколы сплошняком одинаковы у всех производителей. Стало быть у кого-то возникнут дополнительные неудобства.
Клиент может поддерживать много канальных протоколов, протоколов обмена и способов аутентификации (куча аббревиатур, не вижу смысл приводить, да и не знаю половину), и чем больше он умеет, тем он лучше и конкурентноспособнее 05.02.09 09:43  
Автор: Ustin <Ustin> Статус: Elderman
<"чистая" ссылка>
> Правильно, свой, свой клиент, свой протокол. А сколько их
> еще своих существует? Нестандартизация ведет к проблемам,
> головной боли и т.д. Опустимся на один уровнень OSI пониже
> и представим, что у каждого производителя железа свой
> страндарт Ethernet. Кто хочет обрасти головную боль со
> скрещиванием бегемота и носорога. Можно, конечно, прову
> установить правила, например "поддерживаем только
> микрософтовский ВПН" и это будет похоже на "поддерживаем
> только тошибовские ноутбуки, остальные - хотите меняйте,
> хотите - не ходите через нас в инет".
Subj, и какая-то часть этого добра имеет opensource реализацию.
Провайдер, натягивая ВПН-сервер, как правило, обучает его набору наиболее общих протоколов (PPTP + PAP|MD5 + unencrypted data), и у юзеров не возникает никаких проблем.

> > Если что и закорячится, можно добавить маршрут на шлюзе маршрут вручную
> > Хотя гейт с 1 сетевой платой - странное извращение,
> > занимаются которым далеко не все
> То есть, чтоб зайти в инет с двух-трех буков с ВПН я должен
> где-то раздобыть для одного из буков вторую сетевуху, чтоб
> через него в инет другие вышли.
Чтобы иметь инет с одного внешнего IP на три бука я должен где-то раздобыть для одного из буков вторую сетевуху, чтоб через него в инет другие вышли?
Проверил - всё шарится, так что извращенцы are welcome :)

> Вот. И я сомневаюсь, что такие достаточно закрытые вещи,
> как ВПН протоколы сплошняком одинаковы у всех
> производителей. Стало быть у кого-то возникнут
> дополнительные неудобства.
Всё уже реализовано и работает далеко не первый год
Кстати, сейчас практически на всех ноутбуках (кроме всякого пафосного говна типа макбукэйр) и так по две сетевухи 05.02.09 09:52  
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
> Чтобы иметь инет с одного внешнего IP на три бука я должен
> где-то раздобыть для одного из буков вторую сетевуху, чтоб
> через него в инет другие вышли?
C вайфайным адхоком даже гораздо приятнее поднимать локалку, чем иметь паутину патчкордов. 2DPP: у адхока ограничение в 11 хостов на один коннекшн - тебе ж этого хватит?
Скорее всего надо будет ноут и стационарник. К стационарнику... 05.02.09 11:02  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
<"чистая" ссылка>
> C вайфайным адхоком даже гораздо приятнее поднимать
> локалку, чем иметь паутину патчкордов. 2DPP: у адхока
> ограничение в 11 хостов на один коннекшн - тебе ж этого
> хватит?

Скорее всего надо будет ноут и стационарник. К стационарнику надо будет докупать вайфай адаптер. Но это еще не страшно. Захочешь выйти со второго компа - надо будет первый включать. Это тоже маленький минус, ну да ладно.

Хорошо, уговорили, за неимением лучшего согласен на ВПН. При случае поболтаю с этим провом на тему ВПН. Если же он передумает поставить управляемые свитчи, конечно. Хорошее управляемое оборудование тоже очень хорошо решит данную проблему. Этот метод вроде пока никто не обругал.
Дополнительные неудобства возникнут как раз если... 04.02.09 20:53  
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
> Вот. И я сомневаюсь, что такие достаточно закрытые вещи,
> как ВПН протоколы сплошняком одинаковы у всех
> производителей. Стало быть у кого-то возникнут
> дополнительные неудобства.
Дополнительные неудобства возникнут как раз если прикручивать какой то собственный велосипед. А VPN - разрабатывался (и проектировался и реализовывался) профессионалами, причем с опытом внедрения и все такое.

Насчет закрытости

Стандарты: http://www.vpnc.org/vpn-standards.html
Члены консорциума: http://www.vpnc.org/member-list.html (Майкрософт, Длинк и Киска на месте, но циску на "2-3 компьютера" наверное брать не стоит :-) )
Небольшой лист совместимости: http://www.vpnc.org/testing.html

Вот серьезно, не стоит изобретать велосипеды. То, что керио как то по своему понимает термин VPN не значит, что все остальные тоже понимают его каждый по своему.
Событие с кодом 4199 содержит помимо прочего мак врага, соответственно можно спокойно изучать свой eventlog 03.02.09 12:23  
Автор: Ustin <Ustin> Статус: Elderman
Отредактировано 03.02.09 13:25  Количество правок: 4
<"чистая" ссылка>
> Как я понимаю, в идеале, прога должна сканировать локалку
> для построения полной таблички адресов АйПи-МАК, далее
> анализировать валидность каждой записи и если что-то не
> так, то активизировать какой-нибудь алерт и писать в лог.
@echo off
set tmpfile=tmpfl
set /a LST = 1
echo 1 > %tmpfile%
:while
set /a LST = %LST% + 1
echo 192.168.0.%lst% >> %tmpfile%
if /I not [%LST%] == [254] goto while
::Создали файл со списком IP-адресов
for /f %%q in (%tmpfile%) do start ping -n 1 -w 1000 %%q 
arp -a > result.txt
del %tmpfile%

---
В результате выполнения такого батника через некоторое время в файле result.txt будет табличка всех online-хостов подсетки 192.168.0.0/24 вне зависимости от запущеного на них файрвола :) (ессно, при условии что в качестве протокола канального уровня в этой сетке ходит arp). Соответственно, запуская батник периодически, есть шанс застать врага онлайн :)

Именно софтины такой не знаю (поэтому как бы оффтоп получается), но написать её, по-моему совсем просто, так как вся инфа лежит в евентлогах

> Еще желательно должна ловить АРПшные пакеты при
> инициализации АйПи проверяющие коллизию и обнаруживающие
> ее. Может есть еще какие-нибудь идеи или практика решения
> подобных задач?

Так эта... типо методология: в бытность мою у провайдера мы делали так: на шлюзе табличка мак-ип, и pf не пропускает левых пацанов за шлюз (до vpn, который (шифровано) просит логин-пароль), и жалобы на кражи были только внутри подсетки и всего 1 раз (там чуть ли не родственные отношения были). Большие пацаны же, ходящие с пяти ноутбуков попеременно, покупали себе роутер и ставили его у входа в дом.
И только для больших и серьёзных бизнескомплексов делали нормальный vlan

А валидировать юзера только по ip - ИМХО слишком глупый путь, ведущий к большому количеству претензий, и по крайней мере я не знаю прова, который раздаёт лимитный инет по такой аутентификационной схеме.

> Добавлю, что пров планирует заменить оборудование на
> управляемые на третьем уровне свитчи и приписать адреса
> портам, что решит данную проблему, но в связи с
> экономическим кризисом это решение не только откладывается
> на неопределенный срок, но и вообще, ставится под вопрос
> его реализация как таковая.
Угу, это дороже чем мусорный комп с парой сетёвок на техэтаже :)
Батник хорош. Да, сетка обычная,... 04.02.09 12:37  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
Отредактировано 04.02.09 13:04  Количество правок: 5
<"чистая" ссылка>
> В результате выполнения такого батника через некоторое
> время в файле result.txt будет табличка всех online-хостов
> подсетки 192.168.0.0/24 вне зависимости от запущеного на
> них файрвола :) (ессно, при условии что в качестве
> протокола канального уровня в этой сетке ходит arp).
> Соответственно, запуская батник периодически, есть шанс
> застать врага онлайн :)

Батник хорош. Да, сетка обычная, эзернетовско-хабовая/свитчевая. Что-то подобное мне в голову пришло. Развития пока нет. Допустим есть табличка. Что делать, если связка адресов поменялась? Не факт, что кто-то выставил другой АйПи. Может просто сетевуху (или ноутбук) поменял. Бить тревогу или не бить?
Возможна ситуация: ко мне пришел клиент с ноутбуком починить операционку. Чтоб его полечить от вирусни и поставить паки я в его ноутбук вставляю свой шнурок. Потом он пошел к соседу-бухгалтеру (в соседний подъезд, например), чтоп пропатчит 1С'ку. Получаем, что какой-то МАК засветился и на моем АйПи и на соседском, хотя полноценно ни я, ни сосед с этим МАКом не работает.
Допустим малолетки умные пошли и не просто себе адрес меняют. Они отцепят папкин комп, а шнурок в свой ноутбук вставят. В сети засветился новый МАК, который попытался подсесть на мой адрес. Что это? Как реагировать? Может мой бук сломался и я бук жены взял в инет сходить?
Пойдем дальше. Хотя я надеюсь, что эти мальцы здесь не тусуются :-)). Запустят, допустим, эти злонамеренные юноши вышеуказанный батник :-). Сейчас, я так думаю, МАК на любой современной сетевухи можно поменять с заводского "по умолчанию" на любой. Кто ж их отловит :-).

> Так эта... типо методология: в бытность мою у провайдера мы
> делали так: на шлюзе табличка мак-ип, и pf не пропускает
> левых пацанов за шлюз (до vpn, который (шифровано) просит
> логин-пароль), и жалобы на кражи были только внутри
> подсетки и всего 1 раз (там чуть ли не родственные
> отношения были). Большие пацаны же, ходящие с пяти
> ноутбуков попеременно, покупали себе роутер и ставили его у
> входа в дом.

Ну, в общем то, выше я уже много чего написал по этому поводу.

> А валидировать юзера только по ip - ИМХО слишком глупый
> путь, ведущий к большому количеству претензий, и по крайней
> мере я не знаю прова, который раздаёт лимитный инет по
> такой аутентификационной схеме.

Ну естественно. Если б этим все ограничивалось, то бардак был бы еще тот.
Уточнение: У прова есть фича. Можно зайти на шлюз эксплорером и включить/выключить маршрутизацию для своего АйПи указав логин и пароль (АйПи в базе по логину). На главной страничке http://www.polsys.ru эта ссылка называется "Вход в личный кабинет" и ведет она по адресу вероятно на этот шлюз или управляющий сервак, который не только по локалке доступен, но "с наружи".
Лишние хлопоты, но надежность значительно повышена (разве что пароль можно перехватить или трояном украсть). Главное не забыть выключить в конце работы. Пока ты подключен к сети со своим АйПишником, второе подключение не грозит (спасибо эзернету). Для удобства есть даже треевкая прога там по ссылкам меню "Помощь"=>"Wintray", которая ссылается на http://www.polsys.ru/html/faq4.html Полезно то, что при выключении виндов она (якобы :-) должна инет выключить самостоятельно автоматически.
Ну вот. Теперь вроде полностью описал. Однако вероятность есть, что инет останется не выключеным.
К стати. Админы прова говорили, что отслеживать да и логировать трафик на предмет соответствия пары адресов АйПи-МАК слошком сложная, муторная, неразрешимая и ресурсоемкая проблема.

> Угу, это дороже чем мусорный комп с парой сетёвок на
> техэтаже :)

Это если комп будет за каждым шнурком следить? Тогда сотня компов нужна будет 8-0 и где это ставить, где их взять, как их настроить, как их админить и как их питать! Дом всего на 12 этажей, 6 подъездов. 288 квартир. Предположим, что инет нужен только 70%. Получаем 200 портов. Если в комп по пять сетевух ставить, тогда да, всего полсотни компов. Один 48 портовый свитч хоть и будет стоить несколько сотен баксов, а нужно их будет штуки 4, то можно в штуки полторы-две вложиться. Ну и при чем тут деньги, если получается 10 долларов на порт, а при подключении клиент 100 долларов платит.
Никто и никак - это by design 04.02.09 13:40  
Автор: Ustin <Ustin> Статус: Elderman
Отредактировано 04.02.09 13:42  Количество правок: 1
<"чистая" ссылка>
>...
> Кто ж их отловит :-).
Никто и никак - это by design
Выход - перелезать на vlan или физически разделять каналы в среде передачи данных чтобы шпион не прорвался никогда :)
> Уточнение: У прова есть фича. Можно зайти на шлюз
> эксплорером и включить/выключить маршрутизацию для своего
> АйПи указав логин и пароль (АйПи в базе по логину). На
Эта... ну, я первый раз такое вижу, и amirul прав - это быдлопаделка, так как любой CHAP защищает от кражи пароля сниффингом
Я слышал про второе. Не физически, чтоб от каждого абонента... 04.02.09 14:14  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
Отредактировано 04.02.09 14:18  Количество правок: 3
<"чистая" ссылка>
> > Кто ж их отловит :-).
> Никто и никак - это by design
> Выход - перелезать на vlan или физически разделять каналы в
> среде передачи данных чтобы шпион не прорвался никогда :)

Я слышал про второе. Пров хочет хорошие свитчи поставить. Не физически, чтоб от каждого абонента по шнурку к прову было прокинуто, а до свитча на техэтаже, в котором стоит фильтр на адрес, именно на АйПи, по которому трафик учитывается.
С ВПНом все понятно и я не скажу, что там есть проблемы (это то, что неразрешимо), но есть много вопросов, которые хоть как-то и можно разрешить, но геморно. Я не знаю, какие серваки стоят у прова. Может Линуксы или BSD. Поддерживают ли эти серваки ВПН так, чтоб большинство пользовательских компов, на которых Винда, смогли к ним сконнектится? А наоборот, если у прова винда, что делать любителям SCO? Может всем Циски поставить?
Попробую с ARP поиграться. Вообще-то надеюсь, что "кул-хакеры" только и умеют, что АйПи поменять.

> Эта... ну, я первый раз такое вижу, и amirul прав - это
> быдлопаделка, так как любой CHAP защищает от кражи пароля
> сниффингом

Если вместо хабов свитчи стоят (сейчас хабы уже не выпускают, а свитчи как раз стОят как хабы раньше), то сниффер не поможет. Хоть это и быдлопаделка, но работает, иначе при хотя бы нескольких сотнях абонентов такое бы было!
Поиск по ключевому слову gre 1723 рулит 04.02.09 14:44  
Автор: Ustin <Ustin> Статус: Elderman
<"чистая" ссылка>
> Поддерживают
> ли эти серваки ВПН так, чтоб большинство пользовательских
> компов, на которых Винда, смогли к ним сконнектится? А
> наоборот, если у прова винда, что делать любителям SCO?
> Может всем Циски поставить?
О-о, что-то ты путаешь понятья - почитай про аутентификацию в протоколах "точка-точка" и всё встанет на свои места

> Если вместо хабов свитчи стоят (сейчас хабы уже не
> выпускают, а свитчи как раз стОят как хабы раньше), то
> сниффер не поможет. Хоть это и быдлопаделка, но работает,
> иначе при хотя бы нескольких сотнях абонентов такое бы
> было!
Хехе, работает и код Senior PHP developera. И хорошо, заметьте себе, работает
Мы про ВПН начали. ВПН и Точка-Точка хоть и могут чем-то... 04.02.09 14:54  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
<"чистая" ссылка>
> О-о, что-то ты путаешь понятья - почитай про аутентификацию
> в протоколах "точка-точка" и всё встанет на свои места

Мы про ВПН начали. ВПН и Точка-Точка хоть и могут чем-то быть похожи, но все-таки отличаются.

> Хехе, работает и код Senior PHP developera. И хорошо,
> заметьте себе, работает

Я про систему, про сам принцип. Далеко не идеал, конечно, но что-то в нем есть. Если не считать человеческого фактора.
Чем??? 04.02.09 15:21  
Автор: Ustin <Ustin> Статус: Elderman
<"чистая" ссылка>
> Мы про ВПН начали. ВПН и Точка-Точка хоть и могут чем-то быть похожи, но все-таки отличаются.
Чем???
Тем, что по одному каналу можно создать несколько подключений??

> Я про систему, про сам принцип. Далеко не идеал, конечно,
> но что-то в нем есть. Если не считать человеческого
> фактора.
Угу, только вот надо выключать себе при завершении работы не разрывом соединения, а обращаясь непонятно куда (в общем случае), создавая дополнительное звено в пищевой цепочке

Рукипедия
1  |  2 >>  »  






Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2019 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach