угу.

спасибо. поленился. теперь посмотрел.
1900 - всего 1024 штуки
2900 - от 2048 до 16000
все остальные модели похоже выше 16000 не расширяли предел.
Получается что 17000 пакетов достаточно запустить чтобы сетка стала состоять из хабов
При этом, если есть VLANы то в каждом VLANе достаточно 1001 пакета с разными MAC адресами

1900 или 2900. на 5000ом наверно очень большая таблица

Никто не задавался вопросом сколько записей умещается в таблице MAC адресов Cisco Catalist? То есть мне интересно сколько нужно разных MAC адресов сгенерировать, чтобы Cisco из режима свитча перешла в режим хаба?

спасибо. Я вывел следующее из статьи:

Имеющиеся полезности (они же уязвимости):
- передача файлов (например троянов)
- расшаренные ресурсы (ужас что можно сделать)
- передача сообщений (перехват информации из сообщений)

Хитрости:
- перехват учетной записи вашего друга и использование ее пока ваш друг в offline.
- не перехват сообщений, а чтение всех сообщений из журнала, что может сильнее досадить (пример eFront неповезло)

НО!
"Ни один из видов современных IM-червей пока еще не способен  автоматически выполнятся после получения."

То есть именно вы либо разрешаете либо не разрешаете червю приниматься и запускаться.
Таким образом IM, ICQ не более опасны, чем скачивание троянов из Интернет через эксплорер по HTTP (и опять же добровольный запуск). Так что будем пользоваться IM дальше. А если у человека нет головы и он запускает все подряд что попадает к нему из Интернет, то сам виноват. Мог хотя бы антивирус поиметь на своем компьютере. (Конечно в компании людей он подставляет всех и надеяться на пользователей нельзя и разрешать только то что ему нужно.)


Хотя конечно, если у человека на компьютере есть конфиденциальная информация, то вообще непонятно что он делает в Интернете. А все эти запрещения асек и мессенджеров повысят безопасность, но оооочень слабо.

проблема обычно с человеком.
Ghost конечно проще чем в управлении, чем Amandа на Solaris со стриммером.

Вот тут написано The TOP 10 Internet Security Bloopers что Instant Messenger в Windows создают дырку в безопасности. Никак не пойму какую? То что через него возможно удаленное удаление рабочим столом или передача файлов возможна опасных?

ну может кто добавит чего  

Добавляю сам:

11. Невозможность восстановить систему с Backup. Как правило прилежные администраторы выполняют архивирование своих данных/программ утилитами типа Ghost или Amanda. Но не все администраторы пробовали восстановиться со своего бэкапа. Мало того некоторые даже не умеют это делать. Попробуйте у себя. Получилось?

вам нужен "человек разбирающийся в ИБ" или "специалист по ИБ"?
первый это студент, а второй это тот кто уже работает.
ну и возникает вопрос "сколько", "условия"?
просто так бросать имеющуюся работу "специалист" не захочет.

ИМХО любой специалист по ИБ _должен_ уметь программировать на нескольких языках, понимать ООП, базы данных, операционные системы, поскольку это _входит_ в программу обучения специалиста по ИБ. COM и ATL конечно по желанию

ради бога, лишь бы эти мнения читали

"no ip directed broadcats" на всех кисковых интерфейсах похоже решает все проблемы. Плюс конечно у меня стоит Anti bogus ACL на входе и Anti-spoofing ACL на юзеров...

Только есть опасность порезать действительно нужные пакеты, но я никак не могу себе представить приложения которые используют directed-broadcast. Видеоконференции на multicast вроде работают.

Кто знает зачем нужен directed-broadcast, кроме DOS атак?

10 самых распространенных ошибок защиты в Интернете (мой перевод - извините как смог)

1. Незащищенные домашние компьютеры. Редко у кого стоит одновременно межсетевой экран, VPN и антивирус. С появлением большого числа ноутбуков и удаленных офисов, пользователи получают доступ к корпоративной сети через Интернет. Если эти машины незащищены, то тоже самое будет и с вашей сетью.

2. Непропатченный межсетевой экран. Это все равно, что купить очень дорогой замок в дверь и затем, уходя, оставить ключи в двери со стороны улицы. Также обновление межсетевого экрана предполагает обновление операционной системы на которой он работает.

3. Незащищенные беспроводные сети. Они все больше входят в нашу жизнь и если вы собираетесь передавать ваши корпоративные данные по таким сетям, возможно будет неплохо включить стандартные функциии безопасности, которые обычно уже реализованы в оборудовании беспроводной сети. Это не всегда удобно, но по крайней мере это предотвратит долгие объяснения вашему начальнику, почему он смог легко попасть в сеть компании со свежекупленного в магазине PDA, просто проезжая мимо офиса.

4. Неудаленные аккаунты уволенных сотрудников. Вы не поверите как часто кадровые службы забывают сказать администраторам о том, что человек больше не работает в компании. Они может, если вам повезет, заберут его сотовый телефон, но почему бы не оставить ему удаленный доступ.

5. Остутствие плана действи при ЧП. Все профессионалы знают, что даже имея лучший план в мире, все равно что-нибудь будет не по плану. Это просто невозможно в сегодняшнем сложном мире. Как правило, проблемы появляются когда вы в отпуске покоряете вершины Кавказа или любуюетесь красотами Курил. Сделайте план действий при ЧП, даже самый простой. Это будет началом. Что вы собираетесь делать, когда проблемы возникнут? Кого вы будете звать на помощь? И почему вы это все не распечатали на бумаге, а сохранили на сервере, на который сейчас никто не может попасть?

6. Надежда, что пользователь сам пропатчит свой компьютер. Пользователи боятся применять эту инструкцию. Есть утилиты которые делают облегчают этот процесс и даже позволяют делать это централизованно. Возможно в один прекрасный день Микрософт закроет все свои дыры, но полагаться что пользователи регулярно ставят патчи - значит ждать беды.

7. Незаблокированный Instant Messagging на межсетевом экране. Пользователи широко стали использовать этот продукт Микрософт. Но без надлежащего контроля и проверки IM открывает брешь в защите, которая может быть использована для распространения вирусов и компьютерных червей. Если вы еще не думали об этом, то посмотрите нужно ли вам разрешить использовать такой опасный продукт в сети или стоит его заблокировать на межсетевом экране.

8. Остутствие антивирусной проверки почты. Без сомнения почтовые вирусы сегодня - самая большая угроза в нтернет. К счастью большинство компаний проверяют почту на вирусы, но остались еще те, кто считает, что достаточно становить антивирус на рабочую станцию. Зачем вообще пропускать вирусы внутрь вашей сети?

9. Незнание где хранятся пароли. Ничего не делает поддержку пользователей более опасным чем незнание пользователей где они записали свои пароли. Естественно если они вообще где-то записаны. Обычно администраторы держат это в голове и передают на словах. Но иногда они могут быть напимсаны на стене офиса.

10. Переполнение дискового пространства. Межсетевые экраны часто настраивают логировать все события. Это правильно, но при этом генерируются объемные файлы с данными, к которым обращаются только в случае проблем. Оставлять их без присмотра нельзя, поскольку переполенние диска и последующий крах системы может вызвать непредсказуемые проблемы, вплоть до восстановления всей конфигурации системы заново, причем наспех.

Не знаю в каком форуме это обсудить, но Безопасность Сетей наверно лучше всего подходит.
Источником для темы послужила эта статья The TOP 10 Internet Security Bloopers
Я предлагаю дополнить эти 10 глупостей администрирования. Попробую перевести сейчас те, что уже есть.

да. интересная атака. Я так понял из документа, что надо на всех интерфейсах всех Cisco прописать
"no ip directed-broadcast", чтобы себя защитить.
Да еще надо чтобы свои пользователи эту атаку не использовали...
Единственное не пойму как эти строчки эту атаку запрещают:
   access-list 101 permit ip 172.16.0.0 0.0.255.255 0.0.0.0 255.255.255.255
   access-list 101 deny ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255
Они запрещают только пакеты с подмененным адресом, а если использовать свой адрес, то атака возможна... только DOS еще и в моей сети будет
Тоже буду думать

А вы сами то пробовали поставить и "пощупать" эту программку? Как впечатления? Я вот первый раз вижу прогу - пойду ее попробую...

USEVER я пожалуй заступлюсь за XSpider.
Существует класс бесплатных и в то же время хороших программ. Я считаю что это программы написанные школьниками и студентами. Но когда люди вырастают из студентов они становятся высококлассными специалистами и понимают свою цену. И тогда начинают просить деньги. Что справедливо. Бесплатно я писал программы в школе и ВУЗе. Потому что я учился. На самом деле этот период - период когда времени дофига и ты живешь на шее у родителей. А когда ты заканчиваешь ВУЗ и жена уже задает вопрос "где деньги?" Что делать? Что бросать программирование? Нет конечно. Просто нужно перейти на другой уровень и зарабатывать деньги. А школьники ничем не хуже могут написать такой же софт как и я - бесплатно. Но на этом другом уровне другие подходы. Появляются такие понятия как ответственность, профессионализм, опыт. Есть это все у школьника?

2. как ты будешь вести табличку, если он МАС адрес новый придумал и висит неизвестно где в броадкаст домене?
3. термин зеркальный порт не знаю. SPAN порт знаю.

да точно.
1. Мой метод сработает только если чувак попытается подменить свой МАС адрес, и тогда у него не получится. а если он именно к своему МАС адресу привяжет IP сервера или маршрутизатора по умолчанию то мой метод не пройдет, но зато он раскроет себя (!) и можно будет подходить и давать по башке.
2. Если ты будешь мониторить все смены соответсвиий и увидишь левый MAC адрес, то кому ты пойдешь порт шатдаунить интересно? По всем каталистам в здании будешь лазить?  
3. Мало того ты можешь и не увидеть атаку своим мощным ARP Watcherом, атака то направленная на определенный хост! Неужели все пакеты к тебе будут идти?

программа криво выводится в конференции:(
в программе квадратные скобки все пропали после sockfd, да и записи типа "for(i=0; i{" тоже кривые. Жалко что нельзя HTML тег <pre> вставлять в сообщение.

не пойму. Сейчас время 13:48 а на серваке уже вижу сообщения отправленные в 15 часов. Что за фигня???