Теперь это называется Proventia Desktop.

Расскажи мне пожалуйста, как это сделать?

ISA + FirewallClient все это умеет (включая органичение приложений) по имени исполняемого файла.

Конечно! Поймать UDP пакет размером больше 512 байт - это единственная цель современных IDS.

А как у ISA с отловом MS04-011 (SSL) поверх SMTP? Или того же MS-04-011 поверх 445-UDP с использованием фрагментации RCP?
А никак, ну не знает она про современных угрозы. Она ping of death ловит.


Ну это да. Это я согласен. Полтора килобакса это как-раз та сумма которую стоит платить за обнаружение сканрования портов. И вообще - давайте поставим на каждый сервак по ISA Server, че паритца.

Может мы разные вещи понимаем под полнофункциональной IDS
У ISA есть API для подключения модулей IDS. Но сама она кроме скана портов и ping of death особо мышей не ловит.

У IKE есть два основных метода аутентификации: общий ключ (PSK) и сертификаты (Certs)
При аутентификации PSK используется запрос-отклик, т.е. две стороны обменимваются случаными числами, и аутентифицируемая отсылает в ответ хэш от случайного числа (открытого ключа Диффи-Хэлмана в основном режиме). Вторая сторона и PSK. Таким образом ключ аутентификации в открытом виде не передается и обмен по ДХ аутентифицирован (иначе был бы "человек-по-середине").

Это тебя кто-то обманул. ISA это межсетевой экран у которого есть несколько модулей (в том числе и скан портом) по обнаружению атак. Их штук десять, все написаны ISS в 2000м году (сейчас 2006, это так - навсякий случай).


Политику примени Attacks & Audits и будешь приятно удивлен. По умолчанию сенсор не обнаруживает никаких событий.

Гы. Сначала ответил, потом прочитал.
На роутере ЗАКРОЙ доступ к интернет всем, кроме proxy. Как использовать RRAS в качестве пакетного фильтра, читай rtfm

Прокся в поставку Windows не входит. Но если не слушаешь умных людей и хочешь по№"?:?"№ться, вот тебе два варианта:

Аутентификация компьютеров:

На роутере поднимаешь туннельный правила IPSec требующие аутентификации по Kerberos. По два правила на каждого клиента (одно для исходящего трафа - на клиента, второе - для входящего трафа - с клиента).
Средствами RRAS запрещаешь прохождение пакетов из локалки в Internet и настраиваешь трансляцию адресов.
Через групповую политику спускаешь на клиентов туннельные правила IPSec (весь траф в Internet пускать в туннель на роутер, аутентификация Kerberos).

Вуаля - прямой трафик не пройдет,  заблокировано RRAS. Если кому надо - пожалуйста, проходи аутентификацию на контроллере домена, строй IPSec до сервера. Сервер вытащит трафик из туннеля и передаст в Inet.
Таким образом выход в сеть будет возможен только с компьютеров того же леса, что и роутер.

Аутентификация пользователей:

Заводишь на роутере ещё один интерфейс (можно Microsoft Loopback Adapter) и присваеваешь ему адрес RFC 1918, но другой чем в локалке (например 10.1.1.0/24 если в локалке 192.168.1.0/24).
Поднимаешь RRAS в режиме VPN, блокируешь прямой траф из локальки в интернет , настраиваешь трасляцию из 10.1.1.0/24 в Internet.
Настраиваешь на клиентах VPN-соединение.

Вуаля - когда клиенту надо в Inet, он коннектится к серверу VPN используя доменное имя пользователя\пароль, получает адрес из 10.1.1.0/24, которой можно в Internet и браузит в своё удовольствие.

Очень похожее публиковал cesar cerrudo.
ку

Нужно ставить прокси.
Либо уровня приложения (squid или ISA), либо сеансового уровня (а-ля socks, например та же ISA, она умеет прозрачно народ аутентифицировать через firewall client)
может быть другие фаеры это реализуют, например kereo - хз.

Если я правильно понимаю, вопрос состоит в том, что на многих DNS не закрыта рекурсия, что позволяет использовать их как источник атаки.
Тема старая, известная но вечная как IP spoofing.

Гы, как я угадал :-))
http://www.rfidvirus.org/payloads.html
http://www.rfidvirus.org/worm.html

Это значит, что кто-то рядом ( 10.0.0.1) запускал tracert тли traceroute

А что, только тебе можно?

Сейчас существуют огромное количество програмных и програмно-аппаратных решений, которые помогают отделить пользователя от пароля. Например хранить пароли на смарт-карте, зашифрованный на пин-коде и автоматически вставлять в окошки запроса пароля.

2 Edmon - отключить стек tcp/ip в настройках сетевой карточки (либо в свойствах снять галку, либо uninstall).

Проверь что на 98х стоит high encryption pack



А не все ли равно?

LM Hashes - DES (пароль делится на две половинке по 7 сиволов, uppercase, и используется в качестве ключа шифрования  константы)
NTLM Hashes = NTLMv2 - MD4

Если ещё различия в challenge - rersponse.
У LM - DES
У NTLM - DES
У NTLMv2 - MD5

А вообще - Клик

НЕЛЬЗЯ!
Максимум, что можно - перевести на Kerberos+NTLMv2.

Можно конечно отключить NTLM LSA провайдра на серверах и DC, но за результаты не ручаюсь. По крайней меру - будет куча сбоев церьбера, а подминить будет нечем.