Хочешь быть мудрым? Не желай всего, что видишь; не верь всему, что слышишь; не говори всего, что знаешь; не делай всего, что умеешь, а только то, что полезно.
Если мне не изменяет память, резервные биты уже не являются однозначным признаком атаки. Если случаи (они описаны в RFC), когда использование резервных битов является нормальным.
Luka, ничего не могу найти в гугле про резервные биты. В Token Ring туда пихается приоритет.. а в TCP не знаю чего там может быть..
Кстати, не по теме есть вопрос: RealSecure лучше Cisco IDS? Если лучше то чем? Мне например Cisco NetRanger не понравился - надо ставить Sun+HP OpenView+Director, да еще и алерты нельзя было отредактировать - ужас. Сейчас может что изменилось. Можно в привате denisNOSPAMixi.ru
я вот о чем подумал эм ... а вот просчитывал ли кто - нибудь стоимость такого оборудования и работ с таким оборудованием: анализ сети, документация, работы, сопровождение итд... я не спорю - описанное все верно и привильно, но хотелось бы отметить, что есть такая тема как "потребность бизнеса" и "стоимость защиты и ее эксплуатации". я сам столкнулся с этими темами и ... в итоге несколько документов с визами "дорого" и "не целессобразно" валяются в столе (
hlam.on, если вы намекаете, что дорого купить Cisco, то согласен. Но ведь то, что я описал можно реализовать и не только на Cisco. Например фильтровать адреса источников позволяет любой межсетевой экран. Просто я работаю на оборудовании Cisco, поэтому на этом оборудовании я и тестировал все примеры для демонстрации. А если, вы уж занялись безопасностью, то вам деться некуда от анализа сети и информационных потоков в ней. И потом, может лучше нанять людей на стороне, и вам все сделают?
Денис Батранков пишет: Luka, ничего не могу найти в гугле про резервные биты. В Token Ring туда пихается приоритет.. а в TCP не знаю чего там может быть..
Кстати, не по теме есть вопрос: RealSecure лучше Cisco IDS? Если лучше то чем? Мне например Cisco NetRanger не понравился - надо ставить Sun+HP OpenView+Director, да еще и алерты нельзя было отредактировать - ужас. Сейчас может что изменилось. Можно в привате denisNOSPAMixi.ru
Денис Батранков пишет: Luka, ничего не могу найти в гугле про резервные биты. В Token Ring туда пихается приоритет.. а в TCP не знаю чего там может быть..
Последняя ссылка рассказывает, как это все влияет на IDS.
Цитата
Денис Батранков пишет:
Кстати, не по теме есть вопрос: RealSecure лучше Cisco IDS? Если лучше то чем? Мне например Cisco NetRanger не понравился - надо ставить Sun+HP OpenView+Director, да еще и алерты нельзя было отредактировать - ужас. Сейчас может что изменилось. Можно в привате denisNOSPAMixi.ru
NetRanger'а уже не существует энное количество лет. Вместе с Director'ом. Сейчас (и достаточно давно) все решения Cisco по безопасности управляются с единой консоли VMS (помимо встроенного в каждый сенсор Device Manager). А выход новой версии IPS 5.0 (в январе) еще больше отдалит Cisco от ближайших конкурентов. В детали вдаваться не буду - не место тут для этого.
ksiva пишет: hlam.on, если вы намекаете, что дорого купить Cisco, то согласен.
Что значит дорого? Речь идет о встроенных в маршрутизатор или коммутатор механизмах. Не надо ничего покупать - у вас уже это есть. Если вы пользуетесь решениями от другого вендора, то ничего не меняется (почти ничего). Для использования описанных мер не надо приобретать IDS и МСЭ? не надо менять топологию, врезать в кабель систему защиты и т.п. ВСЕ УЖЕ ПРИОБРЕТЕНО - надо просто уметь этим воспользоваться.
ksiva пишет: А c NetRanger и RealSecure я начинал знакомство с IDS.
Видно давно это было
Меня МИФИ радует в этом плане. Они учат специалистов Сбербанка информационной безопасности, рассказывая им либо об уже несуществующих продуктах, либо рассказывая о продуктах по материалам семи-пятилетней давности.
Дело не в Cisco, а в подходе. Не надо ничего покупать дополнительно, т.к. все механизмы уже есть в сетевом оборудовании. Если конечно речь не идет о всяких пародиях на него.
Статья на троечку. Ничего нового по фильтрации трафика, вопросы фильтрации транспортных протоколов не рассмотрены, по IP фильтрации рассмотрено процентов 10 от возможного, протоколы прикладного уровня не рассмотрены... Если бы эта статья появилась лет 6-7 назад, она была бы актуальна.
Принимаются вопросы и отзывы по статье. Особенно приветствуются критические высказывания
Что-ж, сами напросились.
1. (Не очень существенное) Все рекомендации статьи расчитаны на IP. Автор забыл, что существуют и применяются другие протоколы 3-го уровня. Нужно было об этом упомянуть, хотя бы, в предисловии.
2. (Очень существенное)
Цитата
Если копнуть более глубоко, то получается, что если хост 1 посылает ARP запрос, в поиске MAC адреса хоста 2 с нужным ему IP, то хост 2 не может ответить, поскольку сидит на изолированном порту и просто не получает ARP запрос. Таким образом на ARP запрос не приходит ответа. И таким образом хост 1 думает, что хост находится в другом сегменте и посылает IP пакет через маршрутизатор по умолчанию.
Принцииальная ошибка (Непонимание автором алгоритмов сетевой работы?!!!) В случае, если хост 2 не отвечает на ARP запрос и в таблице маршрутизации хоста 1 он (хост 2) находится в одной подсети (вычисляется самим хостом 1 на основании собственного IP и маски), ни каких пакетов на шлюз по умолчанию не пойдет. Хост 1 просто решит, что хост 2 недоступен. Рекомендую проверить. Пропинговать несуществующий хост в локальной сети с включенным сниффером. После трех ARP пакетов ни каких пакетов в адрес default gateway не зафиксировано.
Цитата
Таким образом, решается задача контроля трафика внутри сети и самое главное уже не нужно разбивать сеть на подсети, чтобы работала маршрутизация.
К сожалению, таким способом задача не решается. Разбивать сеть на подсети придется, по-любому.
PS Я, не знаю что и думать? С одной стороны, статья выглядит как будто написана квалифицированным специалистом. А с другой стороны, ТАКАЯ ошибка. Да, еще плюс к этому, очевидно, что автор не реализовывал своих рекомендаций на практике (иначе, он бы увидел собственную ошибку - так оно не работает!)