forum.opennet.ru

Составление сообщения

Исходное сообщение

"RE: Организация защиты от подмены IP адреса"
Отправлено qq, 27-Окт-02 22:13

>>В том то и дело, что проблема решается лишь частично, через грамотную
>>организацию системы мониторинга. Но это может оказаться на порядок проще и дешевле, чем организовывать VPN или делать фиксацию MAC адреса на порту.
>>>А вообще, имхо, самый реальный подход - конект через ssh к роутеру,
>>
>>Это наколеночный метод, для обычных виндовых юзеров ssh туннель не поднять, и
>>к тому же слишком ресурсоемко. Выход в IPSEC или PPTP.
>>
>IPSEC или PPTP седает много ресурсов.
>
>Мы делаем делать еще проще(в процессе написания):
>пишим клиент под win32
>сервер под unix.
>при старте клиент конектиться к серверу по защищенному протоколу. гворит свой логин
>пароль. сервер конектиться к БД, проводит авторизацию(+ip откуда посткпил запрос на
>соеденение) и если все ок. открывает файрвол.
>
>если кому интересно можно обсудить по e-mail.
однако при таком раскладе злоумышленник, имея доступ к хосту снаружи вашей сети, и подменив свой mac/ip может создать туннель к примеру через udp, и пустить через этот туннель ppp. И ничто в большинстве случаев не укажет работающему в сети легальному пользователю, что у него воруют траффик.
конечно можно написать драйвер (или патч к ядру, или может прогу на libpcap, хотя это спорно), который будет слушать пакеты в сети, и выявлять пакеты со своим source mac адресом, но которые хост не отправлял в течение последнего времени, предпринимая адекватные действия. Однако надо еще написать такой драйвер под все клиентские системы, да и ресурсов проца это может сожрать неплохо если будет большой траффик в сети

Исходное сообщение
"RE: Организация защиты от подмены IP адреса" Отправлено qq, 27-Окт-02 22:13
>>В том то и дело, что проблема решается лишь частично, через грамотную >>организацию системы мониторинга. Но это может оказаться на порядок проще и дешевле, чем организовывать VPN или делать фиксацию MAC адреса на порту. >>>А вообще, имхо, самый реальный подход - конект через ssh к роутеру, >> >>Это наколеночный метод, для обычных виндовых юзеров ssh туннель не поднять, и >>к тому же слишком ресурсоемко. Выход в IPSEC или PPTP. >> >IPSEC или PPTP седает много ресурсов. > >Мы делаем делать еще проще(в процессе написания): >пишим клиент под win32 >сервер под unix. >при старте клиент конектиться к серверу по защищенному протоколу. гворит свой логин >пароль. сервер конектиться к БД, проводит авторизацию(+ip откуда посткпил запрос на >соеденение) и если все ок. открывает файрвол. > >если кому интересно можно обсудить по e-mail. однако при таком раскладе злоумышленник, имея доступ к хосту снаружи вашей сети, и подменив свой mac/ip может создать туннель к примеру через udp, и пустить через этот туннель ppp. И ничто в большинстве случаев не укажет работающему в сети легальному пользователю, что у него воруют траффик. конечно можно написать драйвер (или патч к ядру, или может прогу на libpcap, хотя это спорно), который будет слушать пакеты в сети, и выявлять пакеты со своим source mac адресом, но которые хост не отправлял в течение последнего времени, предпринимая адекватные действия. Однако надо еще написать такой драйвер под все клиентские системы, да и ресурсов проца это может сожрать неплохо если будет большой траффик в сети

Ваше сообщение
Имя*:
EMail:	Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	>>>В том то и дело, что проблема решается лишь частично, через грамотную >>>организацию системы мониторинга. Но это может оказаться на порядок проще и дешевле, чем организовывать VPN или делать фиксацию MAC адреса на порту. >>>>А вообще, имхо, самый реальный подход - конект через ssh к роутеру, >>> >>>Это наколеночный метод, для обычных виндовых юзеров ssh туннель не поднять, и >>>к тому же слишком ресурсоемко. Выход в IPSEC или PPTP. >>> >>IPSEC или PPTP седает много ресурсов. >> >>Мы делаем делать еще проще(в процессе написания): >>пишим клиент под win32 >>сервер под unix. >>при старте клиент конектиться к серверу по защищенному протоколу. гворит свой логин >>пароль. сервер конектиться к БД, проводит авторизацию(+ip откуда посткпил запрос на >>соеденение) и если все ок. открывает файрвол. >> >>если кому интересно можно обсудить по e-mail. > однако при таком раскладе злоумышленник, имея доступ к хосту снаружи вашей сети, > и подменив свой mac/ip может создать туннель к примеру через udp, > и пустить через этот туннель ppp. И ничто в большинстве случаев > не укажет работающему в сети легальному пользователю, что у него воруют > траффик. > конечно можно написать драйвер (или патч к ядру, или может прогу на > libpcap, хотя это спорно), который будет слушать пакеты в сети, и > выявлять пакеты со своим source mac адресом, но которые хост не > отправлял в течение последнего времени, предпринимая адекватные действия. Однако надо > еще написать такой драйвер под все клиентские системы, да и ресурсов > проца это может сожрать неплохо если будет большой траффик в сети
	Введите код, изображенный на картинке:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру