да... точно.... switching это наверно скорее герундий, чем отглагольное существительное  [IMG]http://www.securitylab.ru/forum/smileys/smiley17.gif[/IMG]

Cтоп. Во первых Multiprotocol Label Switching - я посещал курс MLSTE на досуге [IMG]http://www.securitylab.ru/forum/smileys/smiley2.gif[/IMG] Во вторых ты все-таки напутал про сеть 5/8. (Если хочешь исправить свой текст - то у нас в конфе есть кнопка ПРАВИТЬ. [IMG]http://www.securitylab.ru/forum/smileys/smiley2.gif[/IMG])
Вообще, ты загрузил по поводу он и она Switching это наверно все таки ОН

_liqud, да надо размещать этот access-list на пограничном маршрутизаторе как на входящем так и на исходящем трафике. В каждом случае человек будет делать это там где он это может. Если Cisco принадлежит провайдеру, то он это сделает на своем FW, если он не администрирует свой FW, то он это сделат на сервере который он администрит. Пример для BIND есть в статье.

А по поводу MPLS -  можно ссылку про то где и как используется сеть 5/8? Я никогда не слышал про то, что MPLS пользуется этими адресами. Google похоже тоже [IMG]http://www.securitylab.ru/forum/smileys/smiley5.gif[/IMG]

НЕТ. В статье говорится о том как контролировать прохождение трафика между двумя серверами DMZ не устаналивая на каждый из них персональный FW, а все тем же FW который уже был установлен и все тем же свитчом который работал. Именно для этого proxy-arp должно работать, но совместно с правилами на маршрутизаторе или FW.
Вряд ли вы будете запрещать вашему MAIL серверу обращаться к вашему же DNS серверу по UDP порту 53.

Да. Неправильно я написал абзац про ARP. Nomad, спасибо. Должно быть так:

Если копнуть более глубоко, то когда хост 1 посылает ARP запрос (в поиске MAC адреса хоста 2 с нужным ему IP из той же подсети) хост 2 не отвечает ему, поскольку сидит на изолированном порту и не получает это запрос. И хост 1 считает, что хост 2 недоступен. И наоборот. Таким образом решается задача контроля трафика внутри сети и, самое главное, уже не нужно разбивать сеть на подсети. Мы можем безболезненно наложить технологию PVLAN на уже имеющиеся сети.

Когда же нам становится нужно, чтобы сервера общались друг с другом, то маршрутизатор (или firewall) может ответить, что этот хост доступен через него. Эта техника называется Proxy Arp. Хост 1 думает, что хост 2 находится в другом сегменте и посылает IP пакет через маршрутизатор (или firewall). То есть получается, что в пакете стоит MAC адрес маршрутизатора, и IP адрес хоста 2. А вот маршрутизатор (или firewall) уже решает передавать пакет хосту 2 или нет.

aha-ha-ha, да, в вашей статье тоже есть разумные идеи.
Но мне кажется, что моя статья получилась лучше чем ваша Если Вы опубликуете ту свою статью, то посмотрим кого выберет жюри.
А английские статьи я завтра, на свежую голову, почитаю

Nomad, спасибо за комментарий.
1. Я все-таки рассказываю про Интернет. В нем нет ничего кроме IP. Хотя замечание принимаю. Наверно это и надо было сказать

2. Серьезное обвинение. Поэтому приведу целых три факта в противовес:
Вот RFC 3069, который описывает эту фичу - она называется VLAN Aggregation.
Вот как PVLAN делает человек из Cisco - не вижу попытки с его стороны сделать так, чтобы сервера в DMZ были в разных подсетях и маршрутизировать их. Наверно его вы не будет обвинять в том что он не пробовал ЭТО?
Вот комментарий другого человека что делить на сетки не нужно - то есть мы уже вдвоем с ним ошибаемся? Там же, кстати, описана дырка как получить доступ к соседнему серверу - послать IP пакет с MAC адресом маршрутизатора, но с IP адресом сервера. Если маршрутизатор-файрвол или VACL разрешит такой пакет, то он придет на другой сервер.

Luka, спасибо.. ссылки интересные.
А c NetRanger и RealSecure я начинал знакомство с IDS. Ну и конечно с вашей книжки.
Сейчас пользуюсь Snort.

а человек считает дорогим, наверно потому, что еще не приобрел Cisco. [IMG]http://www.securitylab.ru/forum/smileys/smiley1.gif[/IMG] и не знает как это классно [IMG]http://www.securitylab.ru/forum/smileys/smiley2.gif[/IMG]

hlam.on, если вы намекаете, что дорого купить Cisco, то согласен. Но ведь то, что я описал можно реализовать и не только на Cisco. Например фильтровать адреса источников позволяет любой межсетевой экран. Просто я работаю на оборудовании Cisco, поэтому на этом оборудовании я и тестировал все примеры для демонстрации.
А если, вы уж занялись безопасностью, то вам деться некуда от анализа сети и информационных потоков в ней.
И потом, может лучше нанять людей на стороне, и вам все сделают?

Принимаются вопросы и отзывы по статье. Особенно приветствуются критические высказывания [IMG]http://www.securitylab.ru/forum/smileys/smiley2.gif[/IMG]

Денис Батранков
http://bdv.narod.ru/

Любая война начинается из-за денег. При этом во время войны люди делятся на две неравные части: есть люди которые зарабатывают на ней, а есть те, кто умирает на ней, ради богатства этих людей. Третьего не дано. Вы на какой стороне хотите быть? Я ни на какой. Первая часть людей мне противна, поскольку у нее нет морали, второй частью людей мы всегда гордимся и читаем про них книги, но должны жалеть, потому что они воюют и умирают ни за что.. потому что они - пушечное мясо... И что будут стоить ваши воинственные высказывания после того как ваш гроб положат в могилу?
К чему это я? К тому, что информационная война тоже из-за денег. Просто в 21 веке она является необходимой составляющей начала войны реальной. И, пока не поздно, пока мы еще сидим дома и тыримся в экраны мониторов, а не сидим в окопах и сводим вместе мушку и прицел Калаша, мы должны понять, что нас сталкивают намеренно, нам впаривают дезу, чтобы потом делать из этого деньги.
И, надо не учиться сайты дефейсить и досить, а научиться разбираться в той информации, которая попадает к нам из Интернета, телевизора и газет. Кстати, статья именно на это и намекает.

Отлично. Я рад, что тебе все просто, ты решителен, знаешь что в гос. структурах нет людей разбирающихся в сетевой безопасности, ты боишься что террористы получат доступ на электростанцию. Моей стране и мне, как части этой страны, нужны такие люди. Но мне и всей стране непонятно тогда, почему ты еще не работаешь на гос службе?

простой FW. ИСХОДНИК

была отличная статья тут но она почему то недоступна... поэтому я предлагаю сделать хитро: посмотреть кешированную версию этой страницы через google: вот тут клинки на кешированную версию

нужный тебе кусок кода в MSDN

Если коротко без проверки возвращаемых значений, то так:
INetFwMgr* fwMgr = NULL;
INetFwPolicy* fwPolicy = NULL;
comInit = CoInitializeEx(0,COINIT_APARTMENTTHREADED | COINIT_DISABLE_OLE1DDE);
hr = CoCreateInstance(
               __uuidof(NetFwMgr),
                NULL,
               CLSCTX_INPROC_SERVER,
                __uuidof(INetFwMgr),
                (void**)&fwMgr
               );
hr = fwMgr->get_LocalPolicy(&fwPolicy);
hr = fwPolicy->get_CurrentProfile(fwProfile);
hr = fwProfile->put_FirewallEnabled(VARIANT_FALSE);

в конце не забудь позвать Release


Трояна пишешь?

Наймите студента базу пополнять.

Ситуация сечас в памяти Windows достаточно сложная. По сути в пямяти происходят бои между прораммами. Сама операционка   предоставляет мало хуков для нормальной работы. (например нет хорошего способа перехватить создание процесса.. можно что-то сделать на базе ZwCreateSection но это не лучший выриант. для той же DOS машины работающей через NTVDM это не подходит) И в итоге даже легальные программы вынуждены пользоваться "хаками" чтобы защищать Windows. Только недавно я заметил наличие DEP в Windows, а до это нужно было ставить что-то типа StackGuard.. в общем битва будет долгой и сложной.. так что на сегодняшний день можно констатировать факт, что трояны сделали очередной шаг к своему сокрытию.... пока не оцененный разработчиками защиты... правда, например, программы класса TCPView тоже не стоят на месте. они теперь список портов получают не через GetTCPTable а обращаясь непосредственно к драйверу....

Обсуждение статьи Выполнение произвольного кода в VERITAS Backup

веритасу теперь все равно он теперь Symantec

мне на viruslist всегда не везло - там никогда нет описания того вируса про который я хочу почитать.

молодец!