_liqud пишет: На cisco посмотри. MPLS это не он, а она. Сетевая технология Multi Plexing Layer Switch. Встретить можешь к примеру если у тебя есть ATM оборудование, например роутер с Wan картой, если ты сделаешь трасерт на ip которого, нет в той подсети получишь ответ от друго маршрутизатора, обычно адресс 5.5.5.4 ))
_liqud, да надо размещать этот access-list на пограничном маршрутизаторе как на входящем так и на исходящем трафике. В каждом случае человек будет делать это там где он это может. Если Cisco принадлежит провайдеру, то он это сделает на своем FW, если он не администрирует свой FW, то он это сделат на сервере который он администрит. Пример для BIND есть в статье.
А по поводу MPLS - можно ссылку про то где и как используется сеть 5/8? Я никогда не слышал про то, что MPLS пользуется этими адресами. Google похоже тоже [IMG]http://www.securitylab.ru/forum/smileys/smiley5.gif[/IMG]
Nomad пишет: В обсуждаемой статье ("Фильтры грубой и тонкой очистки трафика") говорится о том как НЕ ДОПУСТИТЬ ARP обмена между разными sub-VLANs. Так что о влючении Proxy ARP не может быть и речи.
НЕТ. В статье говорится о том как контролировать прохождение трафика между двумя серверами DMZ не устаналивая на каждый из них персональный FW, а все тем же FW который уже был установлен и все тем же свитчом который работал. Именно для этого proxy-arp должно работать, но совместно с правилами на маршрутизаторе или FW. Вряд ли вы будете запрещать вашему MAIL серверу обращаться к вашему же DNS серверу по UDP порту 53.
Да. Неправильно я написал абзац про ARP. Nomad, спасибо. Должно быть так:
Если копнуть более глубоко, то когда хост 1 посылает ARP запрос (в поиске MAC адреса хоста 2 с нужным ему IP из той же подсети) хост 2 не отвечает ему, поскольку сидит на изолированном порту и не получает это запрос. И хост 1 считает, что хост 2 недоступен. И наоборот. Таким образом решается задача контроля трафика внутри сети и, самое главное, уже не нужно разбивать сеть на подсети. Мы можем безболезненно наложить технологию PVLAN на уже имеющиеся сети.
Когда же нам становится нужно, чтобы сервера общались друг с другом, то маршрутизатор (или firewall) может ответить, что этот хост доступен через него. Эта техника называется Proxy Arp. Хост 1 думает, что хост 2 находится в другом сегменте и посылает IP пакет через маршрутизатор (или firewall). То есть получается, что в пакете стоит MAC адрес маршрутизатора, и IP адрес хоста 2. А вот маршрутизатор (или firewall) уже решает передавать пакет хосту 2 или нет.
aha-ha-ha, да, в вашей статье тоже есть разумные идеи. Но мне кажется, что моя статья получилась лучше чем ваша Если Вы опубликуете ту свою статью, то посмотрим кого выберет жюри. А английские статьи я завтра, на свежую голову, почитаю
Nomad, спасибо за комментарий. 1. Я все-таки рассказываю про Интернет. В нем нет ничего кроме IP. Хотя замечание принимаю. Наверно это и надо было сказать
2. Серьезное обвинение. Поэтому приведу целых три факта в противовес: Вот RFC 3069, который описывает эту фичу - она называется VLAN Aggregation. Вот как PVLAN делает человек из Cisco - не вижу попытки с его стороны сделать так, чтобы сервера в DMZ были в разных подсетях и маршрутизировать их. Наверно его вы не будет обвинять в том что он не пробовал ЭТО? Вот комментарий другого человека что делить на сетки не нужно - то есть мы уже вдвоем с ним ошибаемся? Там же, кстати, описана дырка как получить доступ к соседнему серверу - послать IP пакет с MAC адресом маршрутизатора, но с IP адресом сервера. Если маршрутизатор-файрвол или VACL разрешит такой пакет, то он придет на другой сервер.
hlam.on, если вы намекаете, что дорого купить Cisco, то согласен. Но ведь то, что я описал можно реализовать и не только на Cisco. Например фильтровать адреса источников позволяет любой межсетевой экран. Просто я работаю на оборудовании Cisco, поэтому на этом оборудовании я и тестировал все примеры для демонстрации. А если, вы уж занялись безопасностью, то вам деться некуда от анализа сети и информационных потоков в ней. И потом, может лучше нанять людей на стороне, и вам все сделают?
Любая война начинается из-за денег. При этом во время войны люди делятся на две неравные части: есть люди которые зарабатывают на ней, а есть те, кто умирает на ней, ради богатства этих людей. Третьего не дано. Вы на какой стороне хотите быть? Я ни на какой. Первая часть людей мне противна, поскольку у нее нет морали, второй частью людей мы всегда гордимся и читаем про них книги, но должны жалеть, потому что они воюют и умирают ни за что.. потому что они - пушечное мясо... И что будут стоить ваши воинственные высказывания после того как ваш гроб положат в могилу? К чему это я? К тому, что информационная война тоже из-за денег. Просто в 21 веке она является необходимой составляющей начала войны реальной. И, пока не поздно, пока мы еще сидим дома и тыримся в экраны мониторов, а не сидим в окопах и сводим вместе мушку и прицел Калаша, мы должны понять, что нас сталкивают намеренно, нам впаривают дезу, чтобы потом делать из этого деньги. И, надо не учиться сайты дефейсить и досить, а научиться разбираться в той информации, которая попадает к нам из Интернета, телевизора и газет. Кстати, статья именно на это и намекает.
test пишет: - Если бы в Гос структурах сидели люди которые нормально разбираются в сетевой безопасности... - Нужно быть решительнее, а не слюни тут распускать... - Государство должно понять, что стране нужны хорошие специалисты по СБ(хакеры)... - Представьте, если террористы получат доступ на электростанцию или ещё куда нить, <font color=RED>поверьте это не так уж и сложно</font>.
Отлично. Я рад, что тебе все просто, ты решителен, знаешь что в гос. структурах нет людей разбирающихся в сетевой безопасности, ты боишься что террористы получат доступ на электростанцию. Моей стране и мне, как части этой страны, нужны такие люди. Но мне и всей стране непонятно тогда, почему ты еще не работаешь на гос службе?
была отличная статья тут но она почему то недоступна... поэтому я предлагаю сделать хитро: посмотреть кешированную версию этой страницы через google: вот тут клинки на кешированную версию
Ситуация сечас в памяти Windows достаточно сложная. По сути в пямяти происходят бои между прораммами. Сама операционка предоставляет мало хуков для нормальной работы. (например нет хорошего способа перехватить создание процесса.. можно что-то сделать на базе ZwCreateSection но это не лучший выриант. для той же DOS машины работающей через NTVDM это не подходит) И в итоге даже легальные программы вынуждены пользоваться "хаками" чтобы защищать Windows. Только недавно я заметил наличие DEP в Windows, а до это нужно было ставить что-то типа StackGuard.. в общем битва будет долгой и сложной.. так что на сегодняшний день можно констатировать факт, что трояны сделали очередной шаг к своему сокрытию.... пока не оцененный разработчиками защиты... правда, например, программы класса TCPView тоже не стоят на месте. они теперь список портов получают не через GetTCPTable а обращаясь непосредственно к драйверу....