09.08.2008 00:32:38
tipok, очень понравилась фраза "Я не собираюсь делать за тебя свою работу)))"
Вообще-то, если поискать в google, то это IP адрес обозначен как iamleet.be Botnet CnC Server и даже для него написано правило Snort. Правила лечения вирусов, троянов и другого злонамеренного софта: |
|
|
06.08.2008 16:30:29
Верно. Это было задумано для того, чтобы не использовать DHCP. Опасения в общем правильные и если не хочется иметь MAC адрес в IPv6 - тогда как раз надо по-старинке использовать DHCP (вместе с его старыми уязвимостями ) или другие подходы которые расписаны в главе "2.4. Possible Approaches"
А к серверу клиенты будут, скорее всего, обращаться по DNS имени. Там наверно будут проблемы при смене карты с очисткой кеша DNS ответов, но временные... Но с другой стороны сейчас не лучше в IPv4: если ты поменяешь карту, но не поставишь на нее сразу старый MAC, то клиенты не смогут законнектиться к default router пока по ARP не спросят его новый MAC адрес - та же проблема но с кешем ARP ответов. |
|
|
05.08.2008 20:47:47
но если на этой схеме левый зеленый кабель включить в нижний левый свитч, то тогда транк будет только один - между зданиями |
|||
|
02.08.2008 14:20:23
есть руководство от вендора Windows Server 2008 Security Guide
я бы поставил систему предотвращения атак на него, например IBM Proventia Server Intrusion Prevention System (IPS) |
|
|
02.08.2008 13:27:46
наверно нужен конкретный пример.
вы можете сделать внутреннюю сетку класса B 10.0.0.0/16 и подцепить в нее 65 тысяч компьютеров через тыщу свитчей. роутер тут ни при чем. это будет ваш дизайн сети. на роутере надо будет просто включить NAT и прописать IP адрес с маской 255.255.0.0. получится, что на маршрутизаторе будет IP адрес 10.0.N.N, а на всех компьютерах адреса вида 10.0.x.x. Везде маска сети 255.255.0.0. NATить маршуризатор будет все 65 тыщ хостов. правда, вы тут правы что маршрутизатор должен быть помощнее и подороже. максимальное количество TCP и UDP соединений которые будет одновременно умещаться в NAT таблице маршрутизатора будет 64 тысячи, как говорил FUF. Другой вопрос, что так никто не делает в жизни. В USB тоже можно воткнуть 256 устройств |
|
|
02.08.2008 12:25:47
Windows 2000 и более раниие версии (95,98,ME,NT) всегда так работают. Статическая запись в них означала(ет), что просто не надо делать двойную проверку этой записи, но при приходе ложного ARP ответа они все равно обновляли эту "статическую" запись, которая на самом деле не статическая.
Мне очень странно, что у вас так работает XP и W2K3 - они всегда обрабатывали статические записи правильно. Проверьте еще раз. (Хотя Microsoft мог и стек TCP/IP подправить в очередном обновлении, что крайне маловероятно) Сделать, к сожалению, ничего нельзя. Можно поставить утилиту для контроля смены пары MAC-IP в сети. Например, это XARP для Windows ( По опыту, использование статических arp записей жутко неудобно - ты забываешь, что сделал статическую запись на каком-то хосте и потом долго ищешь почему сеть не работает при смене внешнего MAC к которому ты привязался (при смене шлюза по умолчанию, например) |
|
|
02.08.2008 11:47:50
а зачем нужен внешний IP на NETGEAR? Я считаю это ненужным. Не есть хорошо, что у тебя в одной broadcast сети и внешние и внутренние адреса путешествуют, вдобавок твои внутренние IP в Интернет улетают. Внешний IP для любого сервера внутри можно было бы и на самом Firewall транслировать (эта функция называется публикация сервера)
я бы заменил на второй схеме NETGEAR на DES 3250 (как раз удалится лишний DES 3250 - который ты зеленым проводом к Интернет подключил в обход Firewall) - сразу бы не было никакого двойного NAT для 192.168.0.0/24, никакого внешнего IP и все бы сразу заработало. Твоя идея с VLAN тоже мне нравится. Ты можешь пробросить свой внешний IP x.x.x.5 через отдельный VLAN прямо в Интернет и тогда схема сети с картинки 2 виртуально будет как на 1 картинке. Выбирай что тебе проще. Ну а про безопасность схемы 2 что говорить, если ты подключил внутреннюю сеть к Интернет в обход Firewall - безопасности нет. А вот с VLAN она там появится. |
|
|
27.06.2008 21:43:30
я советую IBM Proventia Network Mail Security: есть как ящик который фильтрует спам, вирусы, атаки на SMTP:
|
|
|
27.06.2008 21:38:40
Proventia Server IPS for Windows работает на серверах
Proventia Desktop работает на рабочих станциях |
|
|
27.06.2008 21:34:54
я бы выбрал коммерческий антиспам.
1. покупаешь ящик ставишь его шлюзом для почты и в итоге в почтовые ящики на freebsd уже падают только нужные письма. периодически раз в день они присылают отчет по отфильтрованным письмам, отрезанные письма можно в случае чего доставить себе. 2. платишь за антиспам как за сервис. для этого ставишь шлюзом антиспам чужой и они тоже фильтруют почту за тебя и присылают тебе только нужные письма. |
|
|