Обсуждение статьи
Фильтры грубой и тонкой очистки трафика
|
28.12.2004 15:34:07
|
|
|
|
|
|
28.12.2004 15:34:07
Намана так.
P.S. Информзащита решила все призы собрать ? =) |
|
|
|
|
|
28.12.2004 15:43:41
2киллер: ага, а картинки им обоим третья контора рисует ? =)
PS: не возьмут тебя в шпиёны =) |
|
|
|
|
|
28.12.2004 16:04:19
Прошу заметить что я и Информзащита - это две большие разницы. А Microsoft Visio вообще должен уметь пользоваться каждый школьник [IMG][/IMG]
|
|
|
|
|
|
28.12.2004 16:10:14
TSS, ты чего?
2 Денис - а пользоваться Vizio, "это Исскуство", ведь визио, оно как excel  |
|
|
|
|
|
28.12.2004 16:14:32
Видимо к концу года я тупею. При чем тут сарказм? |
|||
|
|
|
|
28.12.2004 16:15:33
Если мне не изменяет память, резервные биты уже не являются однозначным признаком атаки. Если случаи (они описаны в RFC), когда использование резервных битов является нормальным.
|
|
|
|
|
|
28.12.2004 16:21:45
Казалось бы, а причем здесь microsoft ? =) |
|||||
|
|
|
|
28.12.2004 17:02:39
Luka, ничего не могу найти в гугле про резервные биты. В Token Ring туда пихается приоритет.. а в TCP не знаю чего там может быть..
Кстати, не по теме есть вопрос: RealSecure лучше Cisco IDS? Если лучше то чем? Мне например Cisco NetRanger не понравился - надо ставить Sun+HP OpenView+Director, да еще и алерты нельзя было отредактировать - ужас. Сейчас может что изменилось. Можно в привате  denisNOSPAMixi.ru |
|
|
|
|
|
28.12.2004 17:13:37
я вот о чем подумал
эм ... а вот просчитывал ли кто - нибудь стоимость такого оборудования и работ с таким оборудованием: анализ сети, документация, работы, сопровождение итд... я не спорю - описанное все верно и привильно, но хотелось бы отметить, что есть такая тема как "потребность бизнеса" и "стоимость защиты и ее эксплуатации". я сам столкнулся с этими темами и ... в итоге несколько документов с визами "дорого" и "не целессобразно" валяются в столе ( |
|
|
|
|
|
28.12.2004 17:16:03
Принимаются вопросы и отзывы по статье. Особенно приветствуются критические высказывания [IMG][/IMG]
Денис Батранков |
|
|
|
|
|
28.12.2004 17:27:21
hlam.on, если вы намекаете, что дорого купить Cisco, то согласен. Но ведь то, что я описал можно реализовать и не только на Cisco. Например фильтровать адреса источников позволяет любой межсетевой экран. Просто я работаю на оборудовании Cisco, поэтому на этом оборудовании я и тестировал все примеры для демонстрации.
А если, вы уж занялись безопасностью, то вам деться некуда от анализа сети и информационных потоков в ней. И потом, может лучше нанять людей на стороне, и вам все сделают? |
|
|
|
|
|
28.12.2004 17:35:49
|
|||
|
|
|
|
28.12.2004 17:36:09
Последняя ссылка рассказывает, как это все влияет на IDS.
NetRanger'а уже не существует энное количество лет. Вместе с Director'ом. Сейчас (и достаточно давно) все решения Cisco по безопасности управляются с единой консоли VMS (помимо встроенного в каждый сенсор Device Manager). А выход новой версии IPS 5.0 (в январе) еще больше отдалит Cisco от ближайших конкурентов. В детали вдаваться не буду - не место тут для этого. |
|||||
|
|
|
|
28.12.2004 17:39:53
Что значит дорого? Речь идет о встроенных в маршрутизатор или коммутатор механизмах. Не надо ничего покупать - у вас уже это есть. Если вы пользуетесь решениями от другого вендора, то ничего не меняется (почти ничего). Для использования описанных мер не надо приобретать IDS и МСЭ? не надо менять топологию, врезать в кабель систему защиты и т.п. ВСЕ УЖЕ ПРИОБРЕТЕНО - надо просто уметь этим воспользоваться. |
|||
|
|
|
|
28.12.2004 17:46:10
Luka, спасибо.. ссылки интересные.
А c NetRanger и RealSecure я начинал знакомство с IDS. Ну и конечно с . Сейчас пользуюсь Snort. а человек считает дорогим, наверно потому, что еще не приобрел Cisco. [IMG][/IMG] и не знает как это классно [IMG][/IMG] |
|
|
|
|
|
28.12.2004 18:07:46
Видно давно это было Меня МИФИ радует в этом плане. Они учат специалистов Сбербанка информационной безопасности, рассказывая им либо об уже несуществующих продуктах, либо рассказывая о продуктах по материалам семи-пятилетней давности.
Дело не в Cisco, а в подходе. Не надо ничего покупать дополнительно, т.к. все механизмы уже есть в сетевом оборудовании. Если конечно речь не идет о всяких пародиях на него. |
|||||
|
|
|
|
28.12.2004 21:42:28
Статья на троечку. Ничего нового по фильтрации трафика, вопросы фильтрации транспортных протоколов не рассмотрены, по IP фильтрации рассмотрено процентов 10 от возможного, протоколы прикладного уровня не рассмотрены... Если бы эта статья появилась лет 6-7 назад, она была бы актуальна.
|
|
|
|
|
|
28.12.2004 22:22:06
Что-ж, сами напросились. 1. (Не очень существенное) Все рекомендации статьи расчитаны на IP. Автор забыл, что существуют и применяются другие протоколы 3-го уровня. Нужно было об этом упомянуть, хотя бы, в предисловии. 2. (Очень существенное)
В случае, если хост 2 не отвечает на ARP запрос и в таблице маршрутизации хоста 1 он (хост 2) находится в одной подсети (вычисляется самим хостом 1 на основании собственного IP и маски), ни каких пакетов на шлюз по умолчанию не пойдет. Хост 1 просто решит, что хост 2 недоступен. Рекомендую проверить. Пропинговать несуществующий хост в локальной сети с включенным сниффером. После трех ARP пакетов ни каких пакетов в адрес default gateway не зафиксировано.
PS Я, не знаю что и думать? С одной стороны, статья выглядит как будто написана квалифицированным специалистом. А с другой стороны, ТАКАЯ ошибка. Да, еще плюс к этому, очевидно, что автор не реализовывал своих рекомендаций на практике (иначе, он бы увидел собственную ошибку - так оно не работает!) |
|||||||
|
|
|
||||||
Читают тему