forum.opennet.ru

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Оглавление

Исследование показало плачевное состояние защищённости SOHO-..., opennews (??), 20-Апр-13, (0) [смотреть все]

Тем временем, идейные противники IPv6 продолжают утверждать, что любой роутер с , Аноним (-), 00:59 , 20-Апр-13, (1) +9 //

непробиваем, увы, только идиотизм фанбоев IPv6 , arisu (ok), 05:33 , 20-Апр-13, (15) –5 //

Фанбоев у IPv6 я как-то не видел Однако, протокол хорош хотя бы тем, что нескол, anonymous (??), 12:20 , 20-Апр-13, (40) +4 //

Нет Нет 3 раза нет , Аноним. (?), 12:41 , 20-Апр-13, (43) –11

А аргументация будет , anonymous (??), 12:56 , 20-Апр-13, (49)

Любая книжка по маршрутизации У меня нет времени на обучение всех заблудуших , Аноним. (?), 13:14 , 20-Апр-13, (54) –12

Спасибо, слив засчитан Держу в руках сейчас http www infoweapons com content , anonymous (??), 13:32 , 20-Апр-13, (59) –1

Надеюсь вы его себе защитали После фразы Можно дальше не говорить http ru wi, Аноним. (?), 13:39 , 20-Апр-13, (62) –3
спасибо, поблевал не успел открыть - вижу 4G requires a 8220 flat 8221 IP i, Михрютка (ok), 15:48 , 20-Апр-13, (97) +4

Еще скажите что нат не корежит исходную протокольную логику На что только не по, Аноним (-), 16:06 , 20-Апр-13, (100)

то-то tcp-сокет может быть или клиентским, или серверным, но не тем и другим одн, arisu (ok), 17:30 , 20-Апр-13, (121) –2

Расслабьтесь Не TCP единым Как минимум UDP сокет может и не только Но вы ви, ram_scan (?), 18:05 , 20-Апр-13, (138)

я специально для даунов три буквы вписал но дауны читать не умеют, дауны сразу , arisu (ok), 18:08 , 20-Апр-13, (140) –1
А на TCP мир не заканчивается Сам по себе IP, кстати, вообще p2p-style протокол, Аноним (-), 18:17 , 20-Апр-13, (145) +1
ну это же не я написал 171 протокол TCP IP 187 было бы написано 171 прото, arisu (ok), 18:23 , 20-Апр-13, (148) –1

Ну в TCP кто-то должен открывать соединение а кто-то принимать его Вот работает, Аноним (-), 18:13 , 20-Апр-13, (142)

так я всё-таки не понял есть слово или нет если есть клиентский и серверный ре, arisu (ok), 18:21 , 20-Апр-13, (147)
Сервер и сокет 8212 разные слова и понятия , ананим (?), 21:20 , 20-Апр-13, (171)
Есть, однако оно никак не обязывает разделять роли именно на уровне узлов То-ес, Аноним (-), 14:51 , 21-Апр-13, (231)
интересная логика если некто умеет ходить на руках, то получается, что ходить н, arisu (ok), 16:03 , 21-Апр-13, (241)
Ха-ха, какое хорошее описание картины , Аноним (-), 19:43 , 22-Апр-13, (331)

спасибо за прекрасный пример крававого вебдванольчика если в 21 веке авторы прот, Михрютка (ok), 21:08 , 20-Апр-13, (169) –2

Не, это те кто корежит протокольную логику должны даже не умереть А просто пост, Аноним (-), 14:54 , 21-Апр-13, (232)

не останавливайтесь, это прекрасно значит, говорите, в приватных сетках IP прот, Михрютка (ok), 15:32 , 21-Апр-13, (240) –1
Ну, если вы хотите 143 защиты - используйте в локалке свой стек протоколов Кто, demon (??), 23:44 , 21-Апр-13, (257)
Скажем так - не обязан , Аноним (-), 01:50 , 22-Апр-13, (274)
Совершенно не обязан В общем случае в приватной сети может работать любой прото, Аноним (-), 19:45 , 22-Апр-13, (332)
0, Михрютка (ok), 22:31 , 22-Апр-13, (339)

Если у вас есть коннективити с интернетом, то чем вам помешает роутинг вашей сет, demon (??), 23:41 , 21-Апр-13, (256)

Тыдыщь в тредик врывается еще один мальчик вебдванольчик, который считает, что , Михрютка (ok), 00:22 , 22-Апр-13, (260) –1
Тю, сколько снобизма и кача ЧСВ Вам что, не дали и вы тут отыгрываетесь , Аноним (-), 19:46 , 22-Апр-13, (333)
Михаил Борисович, залогиньтесь, Аноним (-), 08:17 , 30-Апр-13, (349)

10 раз нет , Аноним (-), 01:26 , 22-Апр-13, (264) +1

IPv6 дизайнили идиоты nuff said, собственно я при этом ни разу не против расшир, arisu (ok), 12:45 , 20-Апр-13, (44) –1
IPV4 - Вася, какой там адрес у сетевого принтера у тёти Мани - 10 100 1 128IPV6 , Аноним (-), 17:41 , 20-Апр-13, (125) +9

а вот это уже неизбежное зло как ты представляешь себе расширение диапазона адр, arisu (ok), 17:57 , 20-Апр-13, (135) +1

Еще больший даунизм - то что возможно несколько форм записи И не совсем тривиал, Аноним (-), 18:04 , 20-Апр-13, (137) +3

ну, это там всё вместе куча даунов порезвилась , arisu (ok), 18:09 , 20-Апр-13, (141) –3
В IPv4, внезапно, тоже есть несколько форм записи Примеры ping 127 1PING 127 1, anonymous (??), 10:36 , 21-Апр-13, (200) –1

Я суммировал и не понимаю, в каком месте ipv6 логичнее IPv6 -- это набор костыл, Аноним (-), 11:20 , 22-Апр-13, (300)

Добавить пару-тройку чисел XXX XXX XXX XXX XXX XXX - и всё При большом желании, Аноним (-), 19:04 , 20-Апр-13, (157) –1

ага для 128 бит однозначно, пары-тройки хватит и нет, 171 да ладно, 48 бит , arisu (ok), 19:12 , 20-Апр-13, (158)

Будем решать проблемы по мере поступления - , Аноним (-), 19:28 , 20-Апр-13, (161) –1

ну вот 128-битное адресное пространство одну проблему решает очень надолго и , arisu (ok), 19:41 , 20-Апр-13, (163) +1

напомните, коллега, какую проблему решает 128-разрядное адресное пространство П, Михрютка (ok), 21:13 , 20-Апр-13, (170)

да, это программное решение биологической проблемы к сожалению, уничтожить всех, arisu (ok), 21:37 , 20-Апр-13, (173) –3

я фигею с таких людей как ты, считающими себя небыдлом и недауном , Аноним (-), 22:19 , 20-Апр-13, (175)

То есть, пусть живут без этого самого роутинга, это не проблема Проблема 8212, askh (ok), 11:53 , 21-Апр-13, (208) –1

да меньше какое отношение имеет количество адресов в IPv4 к населению Земли , Михрютка (ok), 14:22 , 21-Апр-13, (226)
сомалийцам адресов не хватает они от этого и пиратством промышлять стали , arisu (ok), 14:32 , 21-Апр-13, (227) –2
127 0 0 0 8 хватит на всех , Михрютка (ok), 21:08 , 21-Апр-13, (252)
А теперь сделай так чтобы оно на всех роутилось , Аноним (-), 19:47 , 22-Апр-13, (334)
А что, ими пользуется население какой-то другой планеты , Аноним (-), 01:53 , 22-Апр-13, (276)
да судя по некоторым каментам - таки да, другой и IP у них там какой-то неземно, Михрютка (ok), 02:07 , 22-Апр-13, (280)
А тепрь давай умножим это число 2 32 на 2 24 миллионов 10 8 , как в случае с NA, Аноним (-), 15:26 , 22-Апр-13, (317) –1
Хватает, но создаёт проблемы Ну вот например человек хочет поиграть в CS с друг, askh (ok), 10:52 , 24-Апр-13, (343)
я тебя сейчас сильно удивлю решений больше, чем те два, о которых ты знаешь , arisu (ok), 10:57 , 24-Апр-13, (344)

- это самый лучший способ обеспечить экспоненциальный рост числа проблем , Аноним (-), 01:52 , 22-Апр-13, (275)

Чтобы народ окончательно обуел от длины адреса Вот ведь блин, как же это шахмати, Аноним (-), 14:56 , 21-Апр-13, (234)

не использовать днс когда это возможно может только даун по поводу двоеточий --, Аноним (-), 21:08 , 20-Апр-13, (168) +3

Левая часть всех внутренних адресов будет очевидно одинаковой, это несколько обл, askh (ok), 11:47 , 21-Апр-13, (207)

более того для внутренних адресов, их какбе можно забить внутри нулями, так что , Аноним (-), 13:41 , 21-Апр-13, (218)

tetyoa-manya local, анон (?), 18:50 , 21-Апр-13, (245)

Может, еще и использовать avahi предложите , Аноним (-), 01:39 , 22-Апр-13, (270)

предложу тебе пойти сожрать дерьма, Аноним (-), 17:33 , 22-Апр-13, (329)

Люди, не использующие DNS для тех целей, для которых он предназначен - явно хотя, Аноним (-), 01:57 , 22-Апр-13, (278) –1

В домашней сети обязательно иметь DNS Запись 64 сетки в DNS сколько дней займе, Аноним (-), 15:56 , 22-Апр-13, (319)

Желательно , Аноним (-), 17:33 , 22-Апр-13, (328)

Посмотри в зеркало Однако, протокол хорош хотя бы - Заголовок во сколько раз ста, Аноним (-), 15:52 , 22-Апр-13, (318)

Почему же, кретины путающие NAT со stateful firewall ом успешно борятся за перво, Аноним (-), 18:20 , 20-Апр-13, (146) //

Некоторые даже пытаются доказывать, что в линуксе stateful firewall является над, Аноним (-), 01:56 , 22-Апр-13, (277)

В линуксе есть ip rule, ip route, netfilter iptables и tc Первые два грубо гов, Mick (??), 11:32 , 22-Апр-13, (302)

Тем временем, идейные противники противников IPv6 по прежнему считают, что смена, Тузя (ok), 09:14 , 20-Апр-13, (18) +5 //

Никто, кроме вас, этого не утверждал , Аноним (-), 01:44 , 22-Апр-13, (272) //

Тогда как тут появилась эта тема про IPv6 , Аноним (-), 15:20 , 22-Апр-13, (316)

NAT не firewall чего тут обсуждать если администратор вместо firewall используе, Аноним (-), 10:25 , 20-Апр-13, (25) //

Файрволл не защита А всего лишь средство фильтрации И X-mas scan никто тащемта, Аноним (-), 10:37 , 20-Апр-13, (26) +3 //

Политики в DROP не пробовали назначать Нормально настроенный файрволл не станет, anonymous (??), 12:23 , 20-Апр-13, (41)

и это, конечно, очень поможет по самую маковку забитому каналу, например , arisu (ok), 12:48 , 20-Апр-13, (45)

Речь про x-mas скан, а не ddos , anonymous (??), 12:55 , 20-Апр-13, (48)

Причем DROP тут То есть не нормально настроенный, забивший на RFC , Аноним. (?), 12:52 , 20-Апр-13, (46)

Файрволл на то и файрволл, чтобы менять дефолтное поведение системы По RFC реал, anonymous (??), 13:00 , 20-Апр-13, (50)

RFC792, если коротко, тормозит нормальную работу, повешивает сессии и генерит с, Аноним. (?), 13:07 , 20-Апр-13, (53)

В случае корректного обращения с разрешенного узла такого не произойдет В случа, anonymous (??), 13:34 , 20-Апр-13, (60)

Вы уверены В том то и дело, что от скана не поможет, только несколько замедлит , Аноним. (?), 13:48 , 20-Апр-13, (64)

И то хорошо Плюс не забивается исходящий канал А если использовать TARPIT, то , Аноним (-), 01:48 , 22-Апр-13, (273)

Про обычных реальных пользователей, у которых могут быть проблемы вы как-то забы, Аноним (-), 15:10 , 22-Апр-13, (315)
А это весьма зависит от Если атакующий например шлет пакеты с RAW сокета - ему , Аноним (-), 19:49 , 22-Апр-13, (335)

А я всегда думал что RST это и есть сброс То что можно и просто убить пакет , Аноним (-), 16:07 , 20-Апр-13, (101)

RST-пакетом я сокращенно назвал установленный в заголовке TCP пакета флаг RST В , anonymous (??), 10:41 , 21-Апр-13, (202) +1

Уважаемый Обьясните мне тогда, что есть средство защиты Разве фильтрация не защ, KT315 (ok), 14:16 , 20-Апр-13, (75)

Относится, но не является серебрянной пулей, решающей все проблемы безопасности , Аноним. (?), 14:27 , 20-Апр-13, (81)

gt оверквотинг удален Сначала, хочу сказать спасибо, за грамотную аргументацию, Аноним (-), 15:52 , 20-Апр-13, (98)

Согласен Тоже благодарю за аргументацию - Проблемы с DROP и REJECT обычно возни, KT315 (ok), 16:47 , 20-Апр-13, (108)

Ну представьте что у вас публичный ftp в сети или еще какие-нибудь сервисы с дин, Аноним (-), 10:54 , 21-Апр-13, (204)

Под разные задачи, свои решения - FTP - для пассивки нормальный сервер может на, KT315 (ok), 22:29 , 21-Апр-13, (253)

Можно, но зачем Все хорошо будет пока несколько пакетов не потеряются и клиент н, Аноним (-), 11:13 , 22-Апр-13, (297) +1

Таки да, то что пакеты теряются я что-то упустил этот момент, особенно по бес, KT315 (ok), 11:21 , 22-Апр-13, (301)

Если вас это лично смущает, то подскажу что у REJECT есть возоможность подставит, Аноним (-), 10:50 , 21-Апр-13, (203)

Что даже ACK,SYN можно, как в DELUDE , Аноним (-), 02:00 , 22-Апр-13, (279)

Может вам проще мануал открыть , Аноним (-), 11:15 , 22-Апр-13, (299)
Просто наводка ACK,SYN это флаги протокола TCP, REJECT отвечает по протоколу ICM, Аноним (-), 14:59 , 22-Апр-13, (314)

Да ладно вам, у обычного nmap задержка будет исчисляться милисекундами, максимум, Аноним (-), 10:57 , 21-Апр-13, (205)

А средство фильтрации - это, по-вашему, не защита , Аноним (-), 01:33 , 22-Апр-13, (268)

Нет Это составная часть защиты , Аноним (-), 11:14 , 22-Апр-13, (298)

Вы полную бессмыслицу написали Во-первых, в IPv6 NAT тоже есть Во-вторых, в да, anonymous (??), 13:25 , 20-Апр-13, (57) +1 //

Почему бессмыслицу Имелось в виду следующее NAT с практической точки зрения не, askh (ok), 13:39 , 21-Апр-13, (217) //

NAT позволяет маскировать внутренние сети, и уже этим фактом является средством , Аноним (-), 14:56 , 22-Апр-13, (313)

IPv6 NAT уже существует, это свершившийся факт Поэтому и с IPv6 его использоват, Аноним (-), 13:57 , 20-Апр-13, (68) //

Я и в не-корпоративных буду юзать ЗЫж Странно какие-то дауны выше спорят что Ъ-, Аноним (-), 17:25 , 20-Апр-13, (120) //

Тоже такого мнения, NAT вполне достаточен в роли обратного клапана для простейши, Аноним (-), 00:39 , 21-Апр-13, (187)

взаимоисключающие пункты, Аноним (-), 00:59 , 20-Апр-13, (2) +5 //

Имелось в виду, что качать родную прошивку стоит только с сайта производителя , Аноним (-), 01:05 , 20-Апр-13, (3) +5 //

Да понятно Тем не менее, новость нужно перечитывать перед отправкой Это же две, Vkni (ok), 02:23 , 20-Апр-13, (6) +3 //

К слову, в оригинале нет ни слова насчет сторонних прошивок Там прошивкам посвя, allez (ok), 07:37 , 20-Апр-13, (16) +3

А еще в оригинальной статье четко разделены рекомендации для производителей обор, tonys (ok), 11:59 , 20-Апр-13, (33)
я поправил не благодари, бро , Михрютка (ok), 15:01 , 20-Апр-13, (89) –4
В тексте на сайте исследователей нет, но в интервью и в анонсе есть The best th, Аноним (-), 15:08 , 20-Апр-13, (90) +1

модеры, не зевайте, тут у вас в каментах еще один идио Wпотенциальный автор для , Михрютка (ok), 15:21 , 20-Апр-13, (92) –4

Подумал Альтернативных прошивок нет для большинства устройств , Anonim (??), 11:41 , 20-Апр-13, (31) //

чем были обусловлены покупки устройств, не поддерживающихся в открытых прошивках, arisu (ok), 12:08 , 20-Апр-13, (37)

Пытался купить с поддержкой, но попалась несовместимая аппаратная реализация В п, Anonim (??), 16:29 , 20-Апр-13, (106)

Не стоит покупать всякие длинки, как раз за то что там часто барыжат кучей совсе, Аноним (-), 18:00 , 20-Апр-13, (136)

На длинке я и залетел Специально указывал нужные ревизии, но привезли не ту, да, Anonim (??), 23:55 , 20-Апр-13, (185)

wtf go fuck yourself with your shiny box , arisu (ok), 04:39 , 21-Апр-13, (196) –2
В следующий раз вы или будете покупать у тех кто не страдает манией выпуска 10 т, Аноним (-), 19:55 , 22-Апр-13, (336)

Мой поддерживается, но гуглежка выявила, что народ жалуется на глюки, перегрев и, Аноним (-), 17:30 , 20-Апр-13, (122)

Вы знаете, адаптеры у таких устройств дохнут и с родным софтом Вот например у а, Аноним (-), 17:54 , 20-Апр-13, (133)

Согласен, но если несколько человек жалуются на одно и то же - есть повод задума, Аноним (-), 20:06 , 20-Апр-13, (165)

Ну вот у асусов, допустим, несколько человек жалуется на одно и то же через нес, Аноним (-), 15:00 , 21-Апр-13, (236) +1

А после заливки другой прошивки мрет в течении месяца-двух На форуме dd-wrt был, Аноним (-), 12:37 , 22-Апр-13, (307)

Без оглашения предыстории это все лирика Может оно до этого 2 года отпахало, и , Аноним (-), 19:58 , 22-Апр-13, (337)

А вот это еще большой вопрос, кстати Вот например тут http wiki openwrt org t, Аноним (-), 17:51 , 20-Апр-13, (132)

очевидно что имелось в виду, но написано хм поверхностно, Аноним (-), 13:02 , 20-Апр-13, (51)

OpenWRT открытый Полностью Ну может за исключением фирмвари адаптера вайфай, е, Аноним (-), 03:02 , 20-Апр-13, (9) //

Т е уважаемые криптографы в лицах Нильса Фергюсона и Брюса Шнайера со своей кни, KT315 (ok), 13:59 , 20-Апр-13, (70) +2

Понимаете, мир не безупречен, все хотят денег На то время, возможно не было аль, KT315 (ok), 17:18 , 20-Апр-13, (116) +1
Уточним хомячки думали что он довольно надежен А прослуживающее оборудование, Аноним (-), 17:18 , 20-Апр-13, (117) +1

Вот оно даже как Выходит закрыта лишь сама реализация , KT315 (ok), 17:24 , 20-Апр-13, (118)

Ну вот так - MS овские дроны слишком тупые чтобы проверить свои жаренные факты , Аноним (-), 17:43 , 20-Апр-13, (127)
по сути да конкретные программно-аппаратные комплексы, реализующие стандарты а, arisu (ok), 17:44 , 20-Апр-13, (128)

Уже хм это 10 лет назад уже не секрет был Забавное такое уже , Аноним (-), 18:28 , 20-Апр-13, (150)

если нечто когда-то было секретом, а потом им быть перестало, то слово 171 уже, arisu (ok), 18:34 , 20-Апр-13, (152) +1
Места знать надо было, а так да , Michael Shigorin (ok), 00:03 , 22-Апр-13, (259) –2

я от тебя просто в восторге GSM был дырявый, но пока энтузиасты не попинали его, arisu (ok), 17:42 , 20-Апр-13, (126)

Предупреждение для юзера energia буду запрашивать бан по причине эквивалентност, Michael Shigorin (ok), 23:49 , 21-Апр-13, (258) –1
Да, найти дыры проще в СПО Именно поэтому их там чаще исправляют Но и в закрыт, Аноним (-), 01:13 , 21-Апр-13, (192)

У тебя есть какие нибудь доказательства, что проблем было меньше чем сейчас Мож, Аноним (-), 01:03 , 21-Апр-13, (191)

По вам заметно что вы даже лекции вашего ПТУ прогуливали Иначе вы бы знали что , Аноним (-), 17:24 , 20-Апр-13, (119)

А, security by obscurity, хитггый товаггищ , Аноним (-), 14:27 , 20-Апр-13, (80)

Obscurity - это один из инструментов security Проблемы начинаются, когда он ста, Аноним (-), 01:42 , 22-Апр-13, (271)

в общем 8212 это плохой, негодный инструмент если опубликование алгоритмов п, arisu (ok), 10:28 , 22-Апр-13, (291)

Они не открытые http gargoyle-router com wiki doku php id faq what_about_tomat, dimqua (ok), 01:25 , 20-Апр-13, (4) +1 //

Под неугодной вам лицензией только Web UI Многие используют OpenWRT из trunk, к, lucentcode (ok), 02:11 , 20-Апр-13, (5) //

Всего-то блин В ничего что SOHO роутер без морды - не самая удобная штука на св, Аноним (-), 03:00 , 20-Апр-13, (8) //

приятный интерфейс, anonymous (??), 19:36 , 20-Апр-13, (162)

А на этот случай в Firefox есть NoScript Кроме всего прочего он умеет зарубать , Аноним (-), 02:51 , 20-Апр-13, (7) +1
Кстати, мужики, мне буквально пару часов назад притащили D-Link 2100AP,кто в кур, pavlinux (ok), 03:43 , 20-Апр-13, (10) //

http wiki openwrt org toh d-link dwl-2100apВ dd-wrt статус wip, т е учитывая , etw (ok), 04:33 , 20-Апр-13, (12) //

Ёптя, ещё порт припаять надо Ну нафиг , pavlinux (ok), 14:24 , 20-Апр-13, (78) //

Слушай, дядя, там вообще изначально vxworks убогий С самопальным загрузчиком, к, Аноним (-), 17:04 , 20-Апр-13, (115)

Bluebox встает , commiethebeastie (ok), 10:02 , 20-Апр-13, (22)

- Ты Linux, ты оплот защитыКакой печалью ты гоним - Но я SOHO-маршрутизатор И я , б.б. (?), 04:05 , 20-Апр-13, (11) +3 //

Как известно, техника в руках дикаря - груда металлолома , Аноним (-), 05:06 , 20-Апр-13, (13) +1

Ну как бы неудивительно, в этих кривопрошивках иногда такие вещи встречаются, чт, Аноним (-), 10:06 , 20-Апр-13, (23) //

вот смотри ты 8212 манагер ты занимаешься совершенно бесполезным делом, и е, arisu (ok), 12:01 , 20-Апр-13, (34) +2 //

Не скажи, судя по местным - даже манагеры иногда нужны В роли вачдогов, срубать, Аноним (-), 16:54 , 20-Апр-13, (111) //

я не говорил, что манагеры не нужны я всего лишь сказал, что бесполезные мана, arisu (ok), 17:32 , 20-Апр-13, (123) +2

Не, таких помощников которые не могут размер таблицы контрека выставить и таймау, Аноним (-), 18:29 , 20-Апр-13, (151)

Некоторые кстати переходят - несколко производителей юзают прошивки на его основ, Аноним (-), 16:55 , 20-Апр-13, (113) //

о боже кто они , анон (?), 19:01 , 21-Апр-13, (246)

Используйте Mikrotik И ваши волосы будут мягкими и шелковистыми , kerneliq (ok), 10:25 , 20-Апр-13, (24) –4 //

А он OpenSource , ssh (ok), 11:19 , 20-Апр-13, (27) +1 //

Он не дырявый , kerneliq (ok), 12:37 , 20-Апр-13, (42) –2 //

Этом вам маркетологи Mikrotik сказали , Аноним (-), 14:05 , 20-Апр-13, (73) +2

Опыт , kerneliq (ok), 14:40 , 20-Апр-13, (84) –2

мыши, кактус с , Аноним (-), 15:38 , 20-Апр-13, (95) +1
Опыт Неуловимого Джо в избегании поимки Достаточно сравнить сколько всяких длин, Аноним (-), 16:29 , 20-Апр-13, (107) –3

И это доказывает что По возможностям софта длинку до самого дешманского микрот, VolanD (ok), 18:14 , 20-Апр-13, (143) +2

Длинк с openwrt запхнет любой микротик по возможностям, если уж на то пошло Не в, Аноним (-), 18:34 , 20-Апр-13, (153)

Кинь ссылку на интернет магазин, Anonim (??), 23:39 , 20-Апр-13, (184)
И что там такого есть, чего нет в микротике Эмм что Причем тут это Консоль н, VolanD (ok), 06:53 , 21-Апр-13, (198)

Ну например реалтаймные грфики в вебмордочке И софта дополнительного - не то чт, Аноним (-), 20:20 , 22-Апр-13, (338)

Формально он на основе дебиан линукса Реально - микротик является уродской и жл, Аноним (-), 16:49 , 20-Апр-13, (109) //

Глянул мельком Для управления там есть минимум 3 способа Софтина под вин, вебмо, Anonim (??), 23:38 , 20-Апр-13, (183) +1

Бугага Вот это реально круто А ещё хорошо бы интернет отключить И электричест, Skif (ok), 11:27 , 20-Апр-13, (28) //

Ты зря так Доступ через wan в большинстве случаев реально не нужен, устройство , Аноним (-), 11:59 , 20-Апр-13, (32) //

ssh на домашний сервер 8212 и всё, ты уже в LAN и пробрасывай себе , arisu (ok), 12:02 , 20-Апр-13, (35) +1 //

Это же SOHO 1 Настройка удалёнки по SSH для простых юзверей - АДъ Как и пер, лол (?), 13:23 , 20-Апр-13, (56)

Не надо пытаться юзать приемы из юникса в винде Это как запускать софт в вайне , Anonim (??), 13:43 , 21-Апр-13, (220)

По логике вещей, роутер уже является собственно, маленьким сетевым компьютером , Аноним (-), 16:26 , 20-Апр-13, (105)

это ещё не причина открывать прямой ssh-доступ к нему ssh через роутер на домаш, arisu (ok), 17:38 , 20-Апр-13, (124)

И что это чисто технически дает кроме лишних полетов пакетов, добавочного узла в, Аноним (-), 20:00 , 20-Апр-13, (164)

нормальную полноценную систему с аудитом, кучей умных скриптов и прочих плюшек , arisu (ok), 20:13 , 20-Апр-13, (167)

Аудитить полтора процесса на роутере проще чем навороченный сервант, если уж на , Аноним (-), 14:10 , 21-Апр-13, (225)

я заколебусь пересобирать и втискивать туда свои инструменты да, у меня не толь, arisu (ok), 14:48 , 21-Апр-13, (230)

Ну ой, это какие-то твои местечковые закидоны Право на жизнь имеют, но если рас, Аноним (-), 05:49 , 25-Апр-13, (348)

Это если вы себе домой покупаете такое решение Аббревиатуру дословно расшифрова, Skif (ok), 19:56 , 21-Апр-13, (248)

Приоритеты снижения риска атак пользователям SOHO маршрутизаторов следует измени, Аноним (-), 14:03 , 20-Апр-13, (72) //

Ты точно очком ручаешься, что там-то человеческий фактор не погулял и обычному с, Аноним (-), 14:55 , 20-Апр-13, (87) –4 //

Это намного меньшее гогно чем то что зашивают по дефолту всякие индусотайванокит, Аноним (-), 16:22 , 20-Апр-13, (104)

да-да давайте все перешивать на DD-WRT, Tomato или OpenWRT Только сначала уз, гость (?), 22:19 , 20-Апр-13, (176) –1 //

Это вы просто не смотрели внутрь прошивок всяких длинков и тому подобных Там ве, Аноним (-), 00:48 , 21-Апр-13, (189)
багет криворукого детектед, анон (?), 19:10 , 21-Апр-13, (247)

регулярно наблюдаю, кстати, таких пионэров, которые уверены, что их девайс с бро, Михрютка (ok), 02:06 , 21-Апр-13, (193) –1

Один из нас говорит, что вы ничерта не понимаете как оно там внутри разведено и , Аноним (-), 10:01 , 21-Апр-13, (199)

мне тащемта и не обязательно это понимать - не мой роутер, не мне его настраиват, Михрютка (ok), 15:21 , 21-Апр-13, (238)

Умеет, умеет Чисто технически, во многих железяках даже сам свич побит на групп, Аноним (-), 14:39 , 21-Апр-13, (228) +1

согласен, я, пожалуй, неправильно выразился насчет не умеет , Михрютка (ok), 15:25 , 21-Апр-13, (239)

Когда переходили на linux у bsd было плохо с поддержкой архитектур отличных от x, Аноним (-), 20:48 , 21-Апр-13, (250)

Продвинуые гики справятся, но что делать обычным юзерам Для них сам термин прош, umbr (ok), 16:53 , 20-Апр-13, (110) //

позвать гика или сходить в СЦ, где сидят три гика при появлении спроса такие СЦ, arisu (ok), 17:55 , 20-Апр-13, (134) //

они даже этого не знают, umbr (ok), 18:16 , 20-Апр-13, (144) //

проблема не в этом проблема в том, что не хотят знать почему-то при получении п, arisu (ok), 18:28 , 20-Апр-13, (149) +1

Кровно заработанное бабло на банковской карте - очень осязаемый ресурс , Аноним (-), 22:27 , 20-Апр-13, (179)
Не надо Можно изучить, и это один из путей получения прав А можно и не учи, Ordu (ok), 02:45 , 21-Апр-13, (195)

вообще-то надо ходя виндузятникам удивительно как это, 171 варез 187 и , arisu (ok), 04:41 , 21-Апр-13, (197) –1

Зря вы примешиваете сюда вендусятников Это не вендоболезнь, это современное сос, Ordu (ok), 13:41 , 21-Апр-13, (219) +3

И что делать Как спасти подрастающие поколения , бедный буратино (ok), 13:47 , 21-Апр-13, (221) –2

Откуда я знаю Может надо организовать обязательные курсы для родителей Курсы д, Ordu (ok), 04:57 , 22-Апр-13, (281)

Не знаю Нет Нужен такой план, который может воплощаться ступенчато и начинаться, бедный буратино (ok), 05:09 , 22-Апр-13, (282)

Стабильности хочется Причём без затрат на поддержание этой стабильности Стабил, Ordu (ok), 08:09 , 22-Апр-13, (286)

Нужна саморегуляция Чтобы каждое следующее поколение понимало некоторые вещи лу, бедный буратино (ok), 08:55 , 22-Апр-13, (289)
Звучит отлично, но пока никто не придумал как так можно сделать Эта схема показа, Ordu (ok), 12:15 , 22-Апр-13, (305)
Почему Linux, Python, Ubuntu - яркие примеры У python, правда, партийных ячеек, бедный буратино (ok), 13:29 , 22-Апр-13, (309)
Давай, буратина, сделаем логический вывод из твоей писанины Ты хочешь убрать ин, Аноним (-), 01:04 , 23-Апр-13, (340)

нет, это неестественно это только у тех, у кого он вообще противится работе, а г, arisu (ok), 14:02 , 21-Апр-13, (223) +2

Я не совсем понимаю, зачем вы пишете буквы мне в ответ Например Нет, это не в, Ordu (ok), 22:45 , 21-Апр-13, (254)

а у меня их много, надо куда-то девать 171 бесполезная информация 187 называ, arisu (ok), 10:44 , 22-Апр-13, (292)

Это, скорее всего, от непонимания - разные культуры, разный юмор, разные особенн, бедный буратино (ok), 10:53 , 22-Апр-13, (295)

это от того, что общая атмосфера другая да, 171 у них 187 не принято сразу , arisu (ok), 11:01 , 22-Апр-13, (296)
Да И этот момент я в своих диванных теоретизированиях упустил Проклятые пендос, Ordu (ok), 12:20 , 22-Апр-13, (306)

1 Я про риторический вопрос написал намеренно, чтобы вы не подумали что размер , Ordu (ok), 12:06 , 22-Апр-13, (304)

я делаю выводы на основе наблюдения за окружающим миром не умеют это не снобиз, arisu (ok), 12:52 , 22-Апр-13, (308)

ничем он не перегружен, просто уже вовлечён в ту или иную игру с предопределенно, Аноним (-), 14:56 , 21-Апр-13, (235)

Вы как-то странно формулируете свои мысли Говоря вздор вы, вроде как, посту, Ordu (ok), 22:49 , 21-Апр-13, (255)

Смерть терминирует существование предмета обсуждения информацию, кроме усвоения , Аноним (-), 13:31 , 22-Апр-13, (310)

Сколько часов вы сможете выдержать лекцию о покрове у бабочек Сколько часов вы , бедный буратино (ok), 13:33 , 22-Апр-13, (311)

если лектор знает предмет 8212 долго на всякий случай разница между 171 зн, arisu (ok), 14:36 , 22-Апр-13, (312)
Три месяца назад я считал, что моя любимая опера - Иоланта Я её прослушал раз 6, бедный буратино (ok), 15:59 , 22-Апр-13, (320)
лично я вёл речь о другом человек, который знает 8212 может и умеет расс, arisu (ok), 16:08 , 22-Апр-13, (321)
Если нельзя морально подпевать - то надоедает Если лекция о том, какой приятный, бедный буратино (ok), 16:11 , 22-Апр-13, (322)
я что-то потерял нить мы о лекциях с пропагандой, или о лекциях с научными факт, arisu (ok), 16:17 , 22-Апр-13, (323)
Мы о мозге, и о том, что одним интересно одно, другим - другое, у одних восприят, бедный буратино (ok), 16:19 , 22-Апр-13, (324)
всё это не отменяет того, что увлечённый человек может увлечь и других хоть баб, arisu (ok), 16:30 , 22-Апр-13, (325)
Когда информации было гораздо меньше, а мне было лет восемь, я постоянно всех во, бедный буратино (ok), 16:36 , 22-Апр-13, (326)
И всё же SOHO-маршрутизаторы немного в стороне, согласитесь , Michael Shigorin (ok), 13:47 , 24-Апр-13, (345)

Обилие - да, а вот доступность я поставлю под сомнение Мозг перегружен фильтраци, anonymous (??), 18:43 , 21-Апр-13, (244)

Детки, я начальник сетевого отдела одной из крупнейших контор в РФ в своем роде,, mistiq (?), 07:06 , 22-Апр-13, (283)

Детки хоть русским языком владеют , бедный буратино (ok), 07:38 , 22-Апр-13, (285)

По существу вопроса возражения есть , mistiq (?), 08:12 , 22-Апр-13, (287)

Только вопрос вам не стыдно , бедный буратино (ok), 08:42 , 22-Апр-13, (288)
Нет, а надо , mistiq (?), 10:26 , 22-Апр-13, (290)
Почему, когда начальник чего-то там гордится своей безграмотностью - это сегодня, бедный буратино (ok), 10:48 , 22-Апр-13, (294)
Интересно какие умозаключения привели вас к слову гордитесь , mistiq (?), 02:00 , 25-Апр-13, (347)

8230 автор статей, текстов и постов 8230 , arisu (ok), 10:46 , 22-Апр-13, (293) +1
сейчас мы наверно все должны обосраться от страха , Аноним (-), 20:16 , 03-Май-13, (353)
Детки, я начальник сетевого отдела одной из крупнейших контор в РФ в своем род, тень_pavel_simple (?), 21:46 , 03-Май-13, (354)

Ради любопытства решил проверить обновление dd-wrt Глухо с 2010 года , FSA (??), 07:11 , 22-Апр-13, (284) //

Их и так ftp ftp dd-wrt com others eko BrainSlayer-V24-preSP2 2013 04-15-2013-, Andrey Mitrofanov (?), 12:01 , 22-Апр-13, (303)

В Linux вё очень сложно и не очевидно с сетевой подсисистемой Производители выб, iZEN (ok), 16:45 , 22-Апр-13, (327) –2 //

Эксперт по линаксу и бизнес-аналитике советует FreeBSD рекомендации лучших , Andrey Mitrofanov (?), 18:26 , 22-Апр-13, (330) +2
Некоторым хоть кол на голове теши Изя, поясните привселюдно в чём именно преи, Michael Shigorin (ok), 13:49 , 24-Апр-13, (346) +2
Гы, изя-жавист внезапно стал ыкспертом по сетевой подсистеме Линукса Окей, и в , Аноним (-), 22:17 , 30-Апр-13, (350) +1

Сообщения [Сортировка по времени | RSS]

25. "Исследование показало плачевное состояние защищённости SOHO-..." +/–

Сообщение от Аноним (-), 20-Апр-13, 10:25

NAT не firewall чего тут обсуждать? если администратор вместо firewall использует nat надо подумать о квалификации такого сотрудника и сделать оргвыводы

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

26. "Исследование показало плачевное состояние защищённости SOHO-..." +3 +/–

Сообщение от Аноним (-), 20-Апр-13, 10:37

> NAT не firewall чего тут обсуждать? если администратор вместо firewall использует nat
> надо подумать о квалификации такого сотрудника и сделать оргвыводы
Файрволл не защита. А всего лишь средство фильтрации. И X-mas scan никто тащемта не отменял.

Ответить | Правка | Наверх | Cообщить модератору

41. "Исследование показало плачевное состояние защищённости SOHO-..." +/–

Сообщение от anonymous (??), 20-Апр-13, 12:23

>> NAT не firewall чего тут обсуждать? если администратор вместо firewall использует nat
>> надо подумать о квалификации такого сотрудника и сделать оргвыводы
> Файрволл не защита. А всего лишь средство фильтрации. И X-mas scan никто
> тащемта не отменял.
Политики в DROP не пробовали назначать? Нормально настроенный файрволл не станет отвечать RST-пакетом на некорректное соединение, а просто сбросит его.

Ответить | Правка | Наверх | Cообщить модератору

45. "Исследование показало плачевное состояние защищённости..." +/–

Сообщение от arisu (ok), 20-Апр-13, 12:48

и это, конечно, очень поможет по самую маковку забитому каналу, например.

Ответить | Правка | Наверх | Cообщить модератору

48. "Исследование показало плачевное состояние защищённости..." +/–

Сообщение от anonymous (??), 20-Апр-13, 12:55

Речь про x-mas скан, а не ddos.

Ответить | Правка | Наверх | Cообщить модератору

46. "Исследование показало плачевное состояние защищённости SOHO-..." +/–

Сообщение от Аноним. (?), 20-Апр-13, 12:52

> Политики в DROP не пробовали назначать?
Причем DROP тут?
>Нормально настроенный файрволл не станет отвечать
> RST-пакетом на некорректное соединение, а просто сбросит его.
То есть не нормально настроенный, забивший на RFC.

Ответить | Правка | К родителю #41 | Наверх | Cообщить модератору

50. "Исследование показало плачевное состояние защищённости SOHO-..." +/–

Сообщение от anonymous (??), 20-Апр-13, 13:00

>> Политики в DROP не пробовали назначать?
> Причем DROP тут?
>>Нормально настроенный файрволл не станет отвечать
>> RST-пакетом на некорректное соединение, а просто сбросит его.
> То есть не нормально настроенный, забивший на RFC.
Файрволл на то и файрволл, чтобы менять дефолтное поведение системы. По RFC реализовано оно в самом стэке протоколов tcp/ip (в ряде OS, не во всех); файрволл позволяет изменить это поведение в целях безопасности узла сети. Т.е. забивать или не не забивать на RFC решает уже конкретный администратор, и на самом деле, назовите какую-нибудь отрицательную "отдачу" от подобной настройки.

Ответить | Правка | Наверх | Cообщить модератору

53. "Исследование показало плачевное состояние защищённости SOHO-..." +/–

Сообщение от Аноним. (?), 20-Апр-13, 13:07

> Файрволл на то и файрволл, чтобы менять дефолтное поведение системы. По RFC
> реализовано оно в самом стэке протоколов tcp/ip (в ряде OS, не
> во всех); файрволл позволяет изменить это поведение в целях безопасности узла
> сети. Т.е. забивать или не не забивать на RFC решает уже
> конкретный администратор, и на самом деле, назовите какую-нибудь отрицательную "отдачу"
> от подобной настройки.
RFC792, если коротко,  тормозит нормальную работу, повешивает сессии и генерит сообщения о недоступности узла.

Ответить | Правка | Наверх | Cообщить модератору

60. "Исследование показало плачевное состояние защищённости SOHO-..." +/–

Сообщение от anonymous (??), 20-Апр-13, 13:34

>> Файрволл на то и файрволл, чтобы менять дефолтное поведение системы. По RFC
>> реализовано оно в самом стэке протоколов tcp/ip (в ряде OS, не
>> во всех); файрволл позволяет изменить это поведение в целях безопасности узла
>> сети. Т.е. забивать или не не забивать на RFC решает уже
>> конкретный администратор, и на самом деле, назовите какую-нибудь отрицательную "отдачу"
>> от подобной настройки.
> RFC792, если коротко,  тормозит нормальную работу, повешивает сессии и генерит сообщения
> о недоступности узла.
В случае корректного обращения с разрешенного узла такого не произойдет. В случае скана - да. Но это уже проблемы сканирующего.

Ответить | Правка | Наверх | Cообщить модератору

64. "Исследование показало плачевное состояние защищённости SOHO-..." +/–

Сообщение от Аноним. (?), 20-Апр-13, 13:48

> В случае корректного обращения с разрешенного узла такого не произойдет.
Вы уверены?
> В случае
> скана - да. Но это уже проблемы сканирующего.
В том то и дело, что от скана не поможет, только несколько замедлит его: всесто отлупа по ICMP будет соединение отваливаться по таймауту.

Ответить | Правка | Наверх | Cообщить модератору

273. "Исследование показало плачевное состояние защищённости SOHO-..." +/–

Сообщение от Аноним (-), 22-Апр-13, 01:48

> В том то и дело, что от скана не поможет, только несколько
> замедлит его: всесто отлупа по ICMP будет соединение отваливаться по таймауту.
И то хорошо. Плюс не забивается исходящий канал. А если использовать TARPIT, то еще и атакующему проблемы создаются :)

Ответить | Правка | Наверх | Cообщить модератору

315. "Исследование показало плачевное состояние защищённости SOHO-..." +/–

Сообщение от Аноним (-), 22-Апр-13, 15:10

>> В том то и дело, что от скана не поможет, только несколько
>> замедлит его: всесто отлупа по ICMP будет соединение отваливаться по таймауту.
> И то хорошо. Плюс не забивается исходящий канал. А если использовать TARPIT,
> то еще и атакующему проблемы создаются :)
Про обычных реальных пользователей, у которых могут быть проблемы вы как-то забыли. Ну и атаки в результате которых забивается канал, т.е. DOS и DDOS блокируются по другому.

Ответить | Правка | Наверх | Cообщить модератору

335. "Исследование показало плачевное состояние защищённости SOHO-..." +/–

Сообщение от Аноним (-), 22-Апр-13, 19:49

> то еще и атакующему проблемы создаются :)
А это весьма зависит от. Если атакующий например шлет пакеты с RAW сокета - ему вообще все до балды.

Ответить | Правка | К родителю #273 | Наверх | Cообщить модератору

101. "Исследование показало плачевное состояние защищённости SOHO-..." +/–

Сообщение от Аноним (-), 20-Апр-13, 16:07

> RST-пакетом на некорректное соединение, а просто сбросит его.
А я всегда думал что RST это и есть сброс :). То что можно и просто убить пакет - можно. И именно это выдает файрвол :)

Ответить | Правка | К родителю #41 | Наверх | Cообщить модератору

202. "Исследование показало плачевное состояние защищённости SOHO-..." +1 +/–

Сообщение от anonymous (??), 21-Апр-13, 10:41

>> RST-пакетом на некорректное соединение, а просто сбросит его.
> А я всегда думал что RST это и есть сброс :). То
> что можно и просто убить пакет - можно. И именно это
> выдает файрвол :)
RST-пакетом я сокращенно назвал установленный в заголовке TCP пакета флаг RST.
В общем и целом, файрволл может либо "тихо" сбросить пакет (т.е. сброс без ответной реакции), либо сгенерировать что-то вроде "icmp (admin prohibited|port unreachable)" и отослать инициатору.
В случае, когда вас ддосят, генерировать ответные пакеты может быть очень плохой затеей, т.к. вы сами себе забьете исходящий канал - особенно в случае ассиметричного канала (что часто встречается в радиосвязи).

Ответить | Правка | Наверх | Cообщить модератору

75. "Исследование показало плачевное состояние защищённости SOHO-..." +/–

Сообщение от KT315 (ok), 20-Апр-13, 14:16

Уважаемый! Обьясните мне тогда, что есть средство защиты?
Разве фильтрация не защищает меня от того что я отфильтровал, не? Т.е. фильтрация не относится к средствам защиты?
Поясню школоте, у которых проблемы с понятиями....
Защита - общее понятие средств повышающих уровень безопасности, в ее группу, так сказать входят средства защиты. Так вот фильтрация - одна из средств защиты.
Конечно, если ПО имеет бэкдор или попросту дырявое, то фильтрация его не спасет, т.к. врядли кто-то будет проводить анализ всех пакетов, в том числе и опасных, что бы на основе этого содержимого писать фильтр.
RFC - не панацея. Мир не идеален, и RFC описывают стандарты работы и поведений и т.д. Но у нас есть злоумышленики, и раз в RFC про это не учтено, или есть проблема в архитектуре, которой пользуются злоумышленики, то изменение поведение компонента - очень часто меняет его поведение с тем, что описано в RFC. И при таком подходе, к примеру, злоумышленику который полагается на RFC, ВНЕЗАПНО, делается ДРОП.

Ответить | Правка | К родителю #26 | Наверх | Cообщить модератору

81. "Исследование показало плачевное состояние защищённости SOHO-..." +/–

Сообщение от Аноним. (?), 20-Апр-13, 14:27

> Уважаемый! Обьясните мне тогда, что есть средство защиты?
> Разве фильтрация не защищает меня от того что я отфильтровал, не? Т.е.
> фильтрация не относится к средствам защиты?
Относится, но не является серебрянной пулей, решающей все проблемы безопасности.
> RFC - не панацея. Мир не идеален, и RFC описывают стандарты работы
> и поведений и т.д. Но у нас есть злоумышленики, и раз
> в RFC про это не учтено, или есть проблема в архитектуре,
> которой пользуются злоумышленики, то изменение поведение компонента - очень часто меняет
> его поведение с тем, что описано в RFC. И при таком
> подходе, к примеру, злоумышленику который полагается на RFC, ВНЕЗАПНО, делается ДРОП.
И еще раз, DROP никак вам не поможет. Одной из сторон безопасности является доступность, DROP с этой точки зрения хуже.  http://ru.wikipedia.org/wiki/%D0%98%D0%B...
Если хотите более глубокого анализа, вот хорошая статья, с шикарным анекдотом в конце:
http://www.zencoder.pro/%D0%BD%D0%B0...

Ответить | Правка | Наверх | Cообщить модератору

98. "Исследование показало плачевное состояние защищённости SOHO-..." +/–

Сообщение от Аноним (-), 20-Апр-13, 15:52

>[оверквотинг удален]
>> и поведений и т.д. Но у нас есть злоумышленики, и раз
>> в RFC про это не учтено, или есть проблема в архитектуре,
>> которой пользуются злоумышленики, то изменение поведение компонента - очень часто меняет
>> его поведение с тем, что описано в RFC. И при таком
>> подходе, к примеру, злоумышленику который полагается на RFC, ВНЕЗАПНО, делается ДРОП.
> И еще раз, DROP никак вам не поможет. Одной из сторон безопасности
> является доступность, DROP с этой точки зрения хуже.  http://ru.wikipedia.org/wiki/%D0%98%D0%B...
> Если хотите более глубокого анализа, вот хорошая статья, с шикарным анекдотом в
> конце:
> http://www.zencoder.pro/%D0%BD%D0%B0...
Сначала, хочу сказать спасибо, за грамотную аргументацию, что все реже встречается в интернете вообще и на опеннете в частности.
Статью прочел. Есть возражения. К примеру, вы запретили ssh-сервис для всего интернета, оставив только доверенные подсети (оставим за рамками дискуссии разумность этого подхода, т.к. это просто пример). Точнее, вы установили дефолтную политику в DROP для всей таблицы INPUT (говоря о линуксах). На этом хосте работает 2 службы: sshd и httpd, соответственно, порты 22 и 80. Далее, вы разрешаете для всех службу на 80 порту, а службу на 22 порту - только для доверенных сетей. Соответственно, при политике DROP для атакующего 22 порт будет выглядеть так же, как и все остальные (за исключением 80-го) - закрытым. Но если его настроить в REJECT, в отличие от остальных (как рекомендует в частности статья), то становится понятно, что он filtered. Т.е. такой настройкой мы даем злоумышленнику некоторые сведения о нашем узле сети.
Большая часть имеющихся сканеров не самостоятельно формирует пакеты, а использует стэк OS для этого. Такие сканеры политика DROP существенно замедлит, в отличие от REJECT. А корректных пользователей (доверенные сети) - пропустит без замедления.

Ответить | Правка | Наверх | Cообщить модератору

108. "Исследование показало плачевное состояние защищённости SOHO-..." +/–

Сообщение от KT315 (ok), 20-Апр-13, 16:47

Согласен.
Тоже благодарю за аргументацию :-)
Проблемы с DROP и REJECT обычно возникают при неправильной настройке фильтров. Да и в статье, рассматривается сторона сканеров, а не сторона сервера.
По простому REJECT, это DROP + ответ (мы тебя дропнули, иди лесом). Если юзается сканер, то нагрузка при REJECT на ЦПУ возрастает (генерация ответа). Конечно, было бы хорошо юзать интелектуальную систему фаервола, например, если кто-то стучится на порт, мы отвечаем ему раза 3 с помощью REJECT, а дальше просто - DROP, раз ему не доходит... Но чем проще система, там она надежнее.

> Относится, но не является серебрянной пулей, решающей все проблемы безопасности.
Да я и не спорю) совершенно верно) Как писали Брюс Шнайер и Нильс Фергюсон: "Система безопасна на столько, на сколько безопасно ее самое слабое звено"
> Если хотите более глубокого анализа, вот хорошая статья, с шикарным анекдотом в
> конце:
Ну так хоть усложним задачу :-)
по поводу ссылки на вики...
> В качестве стандартной модели безопасности часто приводят модель из трёх категорий:
> конфиденциальность — состояние информации, при котором доступ к ней осуществляют только субъекты, имеющие на неё право;
> целостность — избежание несанкционированной модификации информации;
> доступность — избежание временного или постоянного сокрытия информации от пользователей, получивших права доступа.
Тем, кому у кого нет и не будет прав - DROP :-) и это не идет в разрез со статьей на вики. Т.к. я не палю порты которые доступны пользователям, у которых есть на это право - повышение конфиденциальности их полномочий.
Считаю, что REJECT хорошо применять для случаев, когда ты из доверенной сети (политика drop не актуальна), но не прошел аутентификацию, при прохождении которой порт толжен открыться - accept :-) Логично? Логично.

Ответить | Правка | Наверх | Cообщить модератору

204. "Исследование показало плачевное состояние защищённости SOHO-..." +/–

Сообщение от Аноним (-), 21-Апр-13, 10:54

>Тем, кому у кого нет и не будет прав - DROP :-) и это не идет в разрез со статьей на вики.
Ну представьте что у вас публичный ftp в сети или еще какие-нибудь сервисы с динамическими портами, вы знаете что дропать?
Представьте что вы администруете не один сервер, а десяток другой, а то и сотню, вы готовы тратить на возможные проблемы, которые обязтельно возникнут, свое время ?

Ответить | Правка | Наверх | Cообщить модератору

253. "Исследование показало плачевное состояние защищённости SOHO-..." +/–

Сообщение от KT315 (ok), 21-Апр-13, 22:29

Под разные задачи, свои решения ;-)
FTP - для пассивки нормальный сервер может настраивать диапазон портов. Все, что ниже 1024 - можно применять ДРОП по условию, которое привел выше.
PMP-NAT/uPNP - и что? все равно взаимодействует с фаером, т.к. ставит fwd по определенному порту.
Ну а если что-то еще есть специфическое и экзотическое - то нужно думать с чем его едят и как кормить. Следует понимать, что нет и не будет одного инструмента под все предметы.
В общем любой нормальный специалист и инженер понимает, где какой инструмент лучше всего применить.

Ответить | Правка | Наверх | Cообщить модератору

297. "Исследование показало плачевное состояние защищённости SOHO-..." +1 +/–

Сообщение от Аноним (-), 22-Апр-13, 11:13

> Все, что ниже 1024 - можно применять ДРОП по условию, которое привел выше.
Можно, но зачем?
>PMP-NAT/uPNP - и что? все равно взаимодействует с фаером, т.к. ставит fwd по определенному порту.
Все хорошо будет пока несколько пакетов не потеряются и клиент не запросит у сервера по закрытому порту, в результате отлуп на пару минут, а когда связь неустойчивая это происходит постоянно. А в это время ваш клиент будет напрягать вашу техподдержку, а техподдержка вас.
>    В общем любой нормальный специалист и инженер понимает, где какой инструмент лучше всего применить.
Беда в том что тут на форуме нет нормальных специалистов.

Ответить | Правка | Наверх | Cообщить модератору

301. "Исследование показало плачевное состояние защищённости SOHO-..." +/–

Сообщение от KT315 (ok), 22-Апр-13, 11:21

> Все хорошо будет пока несколько пакетов не потеряются и клиент не запросит
> у сервера по закрытому порту, в результате отлуп на пару минут,
> а когда связь неустойчивая это происходит постоянно. А в это время
> ваш клиент будет напрягать вашу техподдержку, а техподдержка вас.
Таки да, то что пакеты теряются... я что-то упустил этот момент, особенно по беспроводным сетям.
В общем, пошел пересматривать политику правил :-)

Ответить | Правка | Наверх | Cообщить модератору

203. "Исследование показало плачевное состояние защищённости SOHO-..." +/–

Сообщение от Аноним (-), 21-Апр-13, 10:50

> то становится понятно, что он filtered.
Если вас это лично смущает, то подскажу что у REJECT есть возоможность подставить тип ответа.

Ответить | Правка | К родителю #98 | Наверх | Cообщить модератору

279. "Исследование показало плачевное состояние защищённости SOHO-..." +/–

Сообщение от Аноним (-), 22-Апр-13, 02:00

>> то становится понятно, что он filtered.
> Если вас это лично смущает, то подскажу что у REJECT есть возоможность
> подставить тип ответа.
Что даже ACK,SYN можно, как в DELUDE?

Ответить | Правка | Наверх | Cообщить модератору

299. "Исследование показало плачевное состояние защищённости SOHO-..." +/–

Сообщение от Аноним (-), 22-Апр-13, 11:15

>>> то становится понятно, что он filtered.
>> Если вас это лично смущает, то подскажу что у REJECT есть возоможность
>> подставить тип ответа.
> Что даже ACK,SYN можно, как в DELUDE?
Может вам проще мануал открыть?

Ответить | Правка | Наверх | Cообщить модератору

314. "Исследование показало плачевное состояние защищённости SOHO-..." +/–

Сообщение от Аноним (-), 22-Апр-13, 14:59

>>> то становится понятно, что он filtered.
>> Если вас это лично смущает, то подскажу что у REJECT есть возоможность
>> подставить тип ответа.
> Что даже ACK,SYN можно, как в DELUDE?
Просто наводка ACK,SYN это флаги протокола TCP, REJECT отвечает по протоколу ICMP.

Ответить | Правка | К родителю #279 | Наверх | Cообщить модератору

205. "Исследование показало плачевное состояние защищённости SOHO-..." +/–

Сообщение от Аноним (-), 21-Апр-13, 10:57

> Большая часть имеющихся сканеров не самостоятельно формирует пакеты, а использует стэк
> OS для этого.
Да ладно вам, у обычного nmap задержка будет исчисляться милисекундами, максимум секундами.

Ответить | Правка | К родителю #98 | Наверх | Cообщить модератору

268. "Исследование показало плачевное состояние защищённости SOHO-..." +/–

Сообщение от Аноним (-), 22-Апр-13, 01:33

> Файрволл не защита. А всего лишь средство фильтрации.
А средство фильтрации - это, по-вашему, не защита?

Ответить | Правка | К родителю #26 | Наверх | Cообщить модератору

298. "Исследование показало плачевное состояние защищённости SOHO-..." +/–

Сообщение от Аноним (-), 22-Апр-13, 11:14

>> Файрволл не защита. А всего лишь средство фильтрации.
> А средство фильтрации - это, по-вашему, не защита?
Нет. Это составная часть защиты.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру


	25. "Исследование показало плачевное состояние защищённости SOHO-..."	+/–
	Сообщение от Аноним (-), 20-Апр-13, 10:25
	NAT не firewall чего тут обсуждать? если администратор вместо firewall использует nat надо подумать о квалификации такого сотрудника и сделать оргвыводы
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору


	26. "Исследование показало плачевное состояние защищённости SOHO-..."	+3 +/–
	Сообщение от Аноним (-), 20-Апр-13, 10:37
	> NAT не firewall чего тут обсуждать? если администратор вместо firewall использует nat > надо подумать о квалификации такого сотрудника и сделать оргвыводы Файрволл не защита. А всего лишь средство фильтрации. И X-mas scan никто тащемта не отменял.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	41. "Исследование показало плачевное состояние защищённости SOHO-..."	+/–
	Сообщение от anonymous (??), 20-Апр-13, 12:23
	>> NAT не firewall чего тут обсуждать? если администратор вместо firewall использует nat >> надо подумать о квалификации такого сотрудника и сделать оргвыводы > Файрволл не защита. А всего лишь средство фильтрации. И X-mas scan никто > тащемта не отменял. Политики в DROP не пробовали назначать? Нормально настроенный файрволл не станет отвечать RST-пакетом на некорректное соединение, а просто сбросит его.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	45. "Исследование показало плачевное состояние защищённости..."	+/–
	Сообщение от arisu (ok), 20-Апр-13, 12:48
	и это, конечно, очень поможет по самую маковку забитому каналу, например.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	48. "Исследование показало плачевное состояние защищённости..."	+/–
	Сообщение от anonymous (??), 20-Апр-13, 12:55
	Речь про x-mas скан, а не ddos.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	46. "Исследование показало плачевное состояние защищённости SOHO-..."	+/–
	Сообщение от Аноним. (?), 20-Апр-13, 12:52
	> Политики в DROP не пробовали назначать? Причем DROP тут? >Нормально настроенный файрволл не станет отвечать > RST-пакетом на некорректное соединение, а просто сбросит его. То есть не нормально настроенный, забивший на RFC.
	Ответить \| Правка \| К родителю #41 \| Наверх \| Cообщить модератору


	50. "Исследование показало плачевное состояние защищённости SOHO-..."	+/–
	Сообщение от anonymous (??), 20-Апр-13, 13:00
	>> Политики в DROP не пробовали назначать? > Причем DROP тут? >>Нормально настроенный файрволл не станет отвечать >> RST-пакетом на некорректное соединение, а просто сбросит его. > То есть не нормально настроенный, забивший на RFC. Файрволл на то и файрволл, чтобы менять дефолтное поведение системы. По RFC реализовано оно в самом стэке протоколов tcp/ip (в ряде OS, не во всех); файрволл позволяет изменить это поведение в целях безопасности узла сети. Т.е. забивать или не не забивать на RFC решает уже конкретный администратор, и на самом деле, назовите какую-нибудь отрицательную "отдачу" от подобной настройки.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	53. "Исследование показало плачевное состояние защищённости SOHO-..."	+/–
	Сообщение от Аноним. (?), 20-Апр-13, 13:07
	> Файрволл на то и файрволл, чтобы менять дефолтное поведение системы. По RFC > реализовано оно в самом стэке протоколов tcp/ip (в ряде OS, не > во всех); файрволл позволяет изменить это поведение в целях безопасности узла > сети. Т.е. забивать или не не забивать на RFC решает уже > конкретный администратор, и на самом деле, назовите какую-нибудь отрицательную "отдачу" > от подобной настройки. RFC792, если коротко, тормозит нормальную работу, повешивает сессии и генерит сообщения о недоступности узла.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	60. "Исследование показало плачевное состояние защищённости SOHO-..."	+/–
	Сообщение от anonymous (??), 20-Апр-13, 13:34
	>> Файрволл на то и файрволл, чтобы менять дефолтное поведение системы. По RFC >> реализовано оно в самом стэке протоколов tcp/ip (в ряде OS, не >> во всех); файрволл позволяет изменить это поведение в целях безопасности узла >> сети. Т.е. забивать или не не забивать на RFC решает уже >> конкретный администратор, и на самом деле, назовите какую-нибудь отрицательную "отдачу" >> от подобной настройки. > RFC792, если коротко, тормозит нормальную работу, повешивает сессии и генерит сообщения > о недоступности узла. В случае корректного обращения с разрешенного узла такого не произойдет. В случае скана - да. Но это уже проблемы сканирующего.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	64. "Исследование показало плачевное состояние защищённости SOHO-..."	+/–
	Сообщение от Аноним. (?), 20-Апр-13, 13:48
	> В случае корректного обращения с разрешенного узла такого не произойдет. Вы уверены? > В случае > скана - да. Но это уже проблемы сканирующего. В том то и дело, что от скана не поможет, только несколько замедлит его: всесто отлупа по ICMP будет соединение отваливаться по таймауту.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	273. "Исследование показало плачевное состояние защищённости SOHO-..."	+/–
	Сообщение от Аноним (-), 22-Апр-13, 01:48
	> В том то и дело, что от скана не поможет, только несколько > замедлит его: всесто отлупа по ICMP будет соединение отваливаться по таймауту. И то хорошо. Плюс не забивается исходящий канал. А если использовать TARPIT, то еще и атакующему проблемы создаются :)
	Ответить \| Правка \| Наверх \| Cообщить модератору


	315. "Исследование показало плачевное состояние защищённости SOHO-..."	+/–
	Сообщение от Аноним (-), 22-Апр-13, 15:10
	>> В том то и дело, что от скана не поможет, только несколько >> замедлит его: всесто отлупа по ICMP будет соединение отваливаться по таймауту. > И то хорошо. Плюс не забивается исходящий канал. А если использовать TARPIT, > то еще и атакующему проблемы создаются :) Про обычных реальных пользователей, у которых могут быть проблемы вы как-то забыли. Ну и атаки в результате которых забивается канал, т.е. DOS и DDOS блокируются по другому.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	335. "Исследование показало плачевное состояние защищённости SOHO-..."	+/–
	Сообщение от Аноним (-), 22-Апр-13, 19:49
	> то еще и атакующему проблемы создаются :) А это весьма зависит от. Если атакующий например шлет пакеты с RAW сокета - ему вообще все до балды.
	Ответить \| Правка \| К родителю #273 \| Наверх \| Cообщить модератору


	101. "Исследование показало плачевное состояние защищённости SOHO-..."	+/–
	Сообщение от Аноним (-), 20-Апр-13, 16:07
	> RST-пакетом на некорректное соединение, а просто сбросит его. А я всегда думал что RST это и есть сброс :). То что можно и просто убить пакет - можно. И именно это выдает файрвол :)
	Ответить \| Правка \| К родителю #41 \| Наверх \| Cообщить модератору


	202. "Исследование показало плачевное состояние защищённости SOHO-..."	+1 +/–
	Сообщение от anonymous (??), 21-Апр-13, 10:41
	>> RST-пакетом на некорректное соединение, а просто сбросит его. > А я всегда думал что RST это и есть сброс :). То > что можно и просто убить пакет - можно. И именно это > выдает файрвол :) RST-пакетом я сокращенно назвал установленный в заголовке TCP пакета флаг RST. В общем и целом, файрволл может либо "тихо" сбросить пакет (т.е. сброс без ответной реакции), либо сгенерировать что-то вроде "icmp (admin prohibited\|port unreachable)" и отослать инициатору. В случае, когда вас ддосят, генерировать ответные пакеты может быть очень плохой затеей, т.к. вы сами себе забьете исходящий канал - особенно в случае ассиметричного канала (что часто встречается в радиосвязи).
	Ответить \| Правка \| Наверх \| Cообщить модератору


	75. "Исследование показало плачевное состояние защищённости SOHO-..."	+/–
	Сообщение от KT315 (ok), 20-Апр-13, 14:16
	Уважаемый! Обьясните мне тогда, что есть средство защиты? Разве фильтрация не защищает меня от того что я отфильтровал, не? Т.е. фильтрация не относится к средствам защиты? Поясню школоте, у которых проблемы с понятиями.... Защита - общее понятие средств повышающих уровень безопасности, в ее группу, так сказать входят средства защиты. Так вот фильтрация - одна из средств защиты. Конечно, если ПО имеет бэкдор или попросту дырявое, то фильтрация его не спасет, т.к. врядли кто-то будет проводить анализ всех пакетов, в том числе и опасных, что бы на основе этого содержимого писать фильтр. RFC - не панацея. Мир не идеален, и RFC описывают стандарты работы и поведений и т.д. Но у нас есть злоумышленики, и раз в RFC про это не учтено, или есть проблема в архитектуре, которой пользуются злоумышленики, то изменение поведение компонента - очень часто меняет его поведение с тем, что описано в RFC. И при таком подходе, к примеру, злоумышленику который полагается на RFC, ВНЕЗАПНО, делается ДРОП.
	Ответить \| Правка \| К родителю #26 \| Наверх \| Cообщить модератору


	81. "Исследование показало плачевное состояние защищённости SOHO-..."	+/–
	Сообщение от Аноним. (?), 20-Апр-13, 14:27
	> Уважаемый! Обьясните мне тогда, что есть средство защиты? > Разве фильтрация не защищает меня от того что я отфильтровал, не? Т.е. > фильтрация не относится к средствам защиты? Относится, но не является серебрянной пулей, решающей все проблемы безопасности. > RFC - не панацея. Мир не идеален, и RFC описывают стандарты работы > и поведений и т.д. Но у нас есть злоумышленики, и раз > в RFC про это не учтено, или есть проблема в архитектуре, > которой пользуются злоумышленики, то изменение поведение компонента - очень часто меняет > его поведение с тем, что описано в RFC. И при таком > подходе, к примеру, злоумышленику который полагается на RFC, ВНЕЗАПНО, делается ДРОП. И еще раз, DROP никак вам не поможет. Одной из сторон безопасности является доступность, DROP с этой точки зрения хуже. http://ru.wikipedia.org/wiki/%D0%98%D0%B... Если хотите более глубокого анализа, вот хорошая статья, с шикарным анекдотом в конце: http://www.zencoder.pro/%D0%BD%D0%B0...
	Ответить \| Правка \| Наверх \| Cообщить модератору


	98. "Исследование показало плачевное состояние защищённости SOHO-..."	+/–
	Сообщение от Аноним (-), 20-Апр-13, 15:52
	>[оверквотинг удален] >> и поведений и т.д. Но у нас есть злоумышленики, и раз >> в RFC про это не учтено, или есть проблема в архитектуре, >> которой пользуются злоумышленики, то изменение поведение компонента - очень часто меняет >> его поведение с тем, что описано в RFC. И при таком >> подходе, к примеру, злоумышленику который полагается на RFC, ВНЕЗАПНО, делается ДРОП. > И еще раз, DROP никак вам не поможет. Одной из сторон безопасности > является доступность, DROP с этой точки зрения хуже. http://ru.wikipedia.org/wiki/%D0%98%D0%B... > Если хотите более глубокого анализа, вот хорошая статья, с шикарным анекдотом в > конце: > http://www.zencoder.pro/%D0%BD%D0%B0... Сначала, хочу сказать спасибо, за грамотную аргументацию, что все реже встречается в интернете вообще и на опеннете в частности. Статью прочел. Есть возражения. К примеру, вы запретили ssh-сервис для всего интернета, оставив только доверенные подсети (оставим за рамками дискуссии разумность этого подхода, т.к. это просто пример). Точнее, вы установили дефолтную политику в DROP для всей таблицы INPUT (говоря о линуксах). На этом хосте работает 2 службы: sshd и httpd, соответственно, порты 22 и 80. Далее, вы разрешаете для всех службу на 80 порту, а службу на 22 порту - только для доверенных сетей. Соответственно, при политике DROP для атакующего 22 порт будет выглядеть так же, как и все остальные (за исключением 80-го) - закрытым. Но если его настроить в REJECT, в отличие от остальных (как рекомендует в частности статья), то становится понятно, что он filtered. Т.е. такой настройкой мы даем злоумышленнику некоторые сведения о нашем узле сети. Большая часть имеющихся сканеров не самостоятельно формирует пакеты, а использует стэк OS для этого. Такие сканеры политика DROP существенно замедлит, в отличие от REJECT. А корректных пользователей (доверенные сети) - пропустит без замедления.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	108. "Исследование показало плачевное состояние защищённости SOHO-..."	+/–
	Сообщение от KT315 (ok), 20-Апр-13, 16:47
	Согласен. Тоже благодарю за аргументацию :-) Проблемы с DROP и REJECT обычно возникают при неправильной настройке фильтров. Да и в статье, рассматривается сторона сканеров, а не сторона сервера. По простому REJECT, это DROP + ответ (мы тебя дропнули, иди лесом). Если юзается сканер, то нагрузка при REJECT на ЦПУ возрастает (генерация ответа). Конечно, было бы хорошо юзать интелектуальную систему фаервола, например, если кто-то стучится на порт, мы отвечаем ему раза 3 с помощью REJECT, а дальше просто - DROP, раз ему не доходит... Но чем проще система, там она надежнее. > Относится, но не является серебрянной пулей, решающей все проблемы безопасности. Да я и не спорю) совершенно верно) Как писали Брюс Шнайер и Нильс Фергюсон: "Система безопасна на столько, на сколько безопасно ее самое слабое звено" > Если хотите более глубокого анализа, вот хорошая статья, с шикарным анекдотом в > конце: Ну так хоть усложним задачу :-) по поводу ссылки на вики... > В качестве стандартной модели безопасности часто приводят модель из трёх категорий: > конфиденциальность — состояние информации, при котором доступ к ней осуществляют только субъекты, имеющие на неё право; > целостность — избежание несанкционированной модификации информации; > доступность — избежание временного или постоянного сокрытия информации от пользователей, получивших права доступа. Тем, кому у кого нет и не будет прав - DROP :-) и это не идет в разрез со статьей на вики. Т.к. я не палю порты которые доступны пользователям, у которых есть на это право - повышение конфиденциальности их полномочий. Считаю, что REJECT хорошо применять для случаев, когда ты из доверенной сети (политика drop не актуальна), но не прошел аутентификацию, при прохождении которой порт толжен открыться - accept :-) Логично? Логично.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	204. "Исследование показало плачевное состояние защищённости SOHO-..."	+/–
	Сообщение от Аноним (-), 21-Апр-13, 10:54
	>Тем, кому у кого нет и не будет прав - DROP :-) и это не идет в разрез со статьей на вики. Ну представьте что у вас публичный ftp в сети или еще какие-нибудь сервисы с динамическими портами, вы знаете что дропать? Представьте что вы администруете не один сервер, а десяток другой, а то и сотню, вы готовы тратить на возможные проблемы, которые обязтельно возникнут, свое время ?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	253. "Исследование показало плачевное состояние защищённости SOHO-..."	+/–
	Сообщение от KT315 (ok), 21-Апр-13, 22:29
	Под разные задачи, свои решения ;-) FTP - для пассивки нормальный сервер может настраивать диапазон портов. Все, что ниже 1024 - можно применять ДРОП по условию, которое привел выше. PMP-NAT/uPNP - и что? все равно взаимодействует с фаером, т.к. ставит fwd по определенному порту. Ну а если что-то еще есть специфическое и экзотическое - то нужно думать с чем его едят и как кормить. Следует понимать, что нет и не будет одного инструмента под все предметы. В общем любой нормальный специалист и инженер понимает, где какой инструмент лучше всего применить.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	297. "Исследование показало плачевное состояние защищённости SOHO-..."	+1 +/–
	Сообщение от Аноним (-), 22-Апр-13, 11:13
	> Все, что ниже 1024 - можно применять ДРОП по условию, которое привел выше. Можно, но зачем? >PMP-NAT/uPNP - и что? все равно взаимодействует с фаером, т.к. ставит fwd по определенному порту. Все хорошо будет пока несколько пакетов не потеряются и клиент не запросит у сервера по закрытому порту, в результате отлуп на пару минут, а когда связь неустойчивая это происходит постоянно. А в это время ваш клиент будет напрягать вашу техподдержку, а техподдержка вас. > В общем любой нормальный специалист и инженер понимает, где какой инструмент лучше всего применить. Беда в том что тут на форуме нет нормальных специалистов.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	301. "Исследование показало плачевное состояние защищённости SOHO-..."	+/–
	Сообщение от KT315 (ok), 22-Апр-13, 11:21
	> Все хорошо будет пока несколько пакетов не потеряются и клиент не запросит > у сервера по закрытому порту, в результате отлуп на пару минут, > а когда связь неустойчивая это происходит постоянно. А в это время > ваш клиент будет напрягать вашу техподдержку, а техподдержка вас. Таки да, то что пакеты теряются... я что-то упустил этот момент, особенно по беспроводным сетям. В общем, пошел пересматривать политику правил :-)
	Ответить \| Правка \| Наверх \| Cообщить модератору


	203. "Исследование показало плачевное состояние защищённости SOHO-..."	+/–
	Сообщение от Аноним (-), 21-Апр-13, 10:50
	> то становится понятно, что он filtered. Если вас это лично смущает, то подскажу что у REJECT есть возоможность подставить тип ответа.
	Ответить \| Правка \| К родителю #98 \| Наверх \| Cообщить модератору


	279. "Исследование показало плачевное состояние защищённости SOHO-..."	+/–
	Сообщение от Аноним (-), 22-Апр-13, 02:00
	>> то становится понятно, что он filtered. > Если вас это лично смущает, то подскажу что у REJECT есть возоможность > подставить тип ответа. Что даже ACK,SYN можно, как в DELUDE?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	299. "Исследование показало плачевное состояние защищённости SOHO-..."	+/–
	Сообщение от Аноним (-), 22-Апр-13, 11:15
	>>> то становится понятно, что он filtered. >> Если вас это лично смущает, то подскажу что у REJECT есть возоможность >> подставить тип ответа. > Что даже ACK,SYN можно, как в DELUDE? Может вам проще мануал открыть?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	314. "Исследование показало плачевное состояние защищённости SOHO-..."	+/–
	Сообщение от Аноним (-), 22-Апр-13, 14:59
	>>> то становится понятно, что он filtered. >> Если вас это лично смущает, то подскажу что у REJECT есть возоможность >> подставить тип ответа. > Что даже ACK,SYN можно, как в DELUDE? Просто наводка ACK,SYN это флаги протокола TCP, REJECT отвечает по протоколу ICMP.
	Ответить \| Правка \| К родителю #279 \| Наверх \| Cообщить модератору


	205. "Исследование показало плачевное состояние защищённости SOHO-..."	+/–
	Сообщение от Аноним (-), 21-Апр-13, 10:57
	> Большая часть имеющихся сканеров не самостоятельно формирует пакеты, а использует стэк > OS для этого. Да ладно вам, у обычного nmap задержка будет исчисляться милисекундами, максимум секундами.
	Ответить \| Правка \| К родителю #98 \| Наверх \| Cообщить модератору


	268. "Исследование показало плачевное состояние защищённости SOHO-..."	+/–
	Сообщение от Аноним (-), 22-Апр-13, 01:33
	> Файрволл не защита. А всего лишь средство фильтрации. А средство фильтрации - это, по-вашему, не защита?
	Ответить \| Правка \| К родителю #26 \| Наверх \| Cообщить модератору


	298. "Исследование показало плачевное состояние защищённости SOHO-..."	+/–
	Сообщение от Аноним (-), 22-Апр-13, 11:14
	>> Файрволл не защита. А всего лишь средство фильтрации. > А средство фильтрации - это, по-вашему, не защита? Нет. Это составная часть защиты.
	Ответить \| Правка \| Наверх \| Cообщить модератору