61
Server / Re:Prorovnávání seznamů ip adres
« kdy: 14. 11. 2013, 15:03:27 »
A cenu za zbytečné použití příkazu cat získávají oba pacienti zdejšího ústavu.
Zobrazit příspěvky
Tato sekce Vám umožňuje zobrazit všechny příspěvky tohoto uživatele. Prosím uvědomte si, že můžete vidět příspěvky pouze z oblastí Vám přístupných.
62
Sítě / Re:Firewall do malé firmy
« kdy: 05. 11. 2013, 21:17:17 »
jenom aby ho ten router za rok provozu nestál jako pět malých jednoúčelových zařízení.
63
Sítě / Re:Wifi router a eduroam
« kdy: 29. 10. 2013, 09:48:29 »
Hlavně si dávej pozor, aby tě nezařízli. Eduroam slouží k autentizaci uživatelů a takové zneužití vlastního účtu bude patrně proti pravidlům. A každý bezpečnostní incident půjde na tvé triko.
64
Sítě / Re:Kabelový ISP v Brně
« kdy: 30. 08. 2013, 21:15:38 »tj. nejjednodušší co můžeš udělat je oběhnout sousedy.
A odejít s kudlou v zádech
Nebuď politicky nekorektní, říká se odejít multikulturně obohacen!
(ale prý to tam už není tak hrozné jako dřív, spousta baráků se opravuje a původní obyvatelstvo mizí)
65
Sítě / Re:VLAN vysvetlenie
« kdy: 15. 08. 2013, 17:35:47 »Jeste mne mate to, ze pisete, ze VLAN 10 je nativni - nativni VLAN byva vetsinou VLAN 1, i kdyz to lze samozrejmne snadno zmenit.Minimalne na cisco HW je to defaultne destitka
Negative.
Kód: [Vybrat]
interface GigabitEthernet0/1
switchport mode trunk
ip arp inspection trust
load-interval 30
spanning-tree link-type point-to-point
ip dhcp snooping trust
sw1>sh int g0/1 trunk
Port Mode Encapsulation Status Native vlan
Gi0/1 on 802.1q trunking 1
WS-C2960-48TC-L
66
Sítě / Re:Blokování IP adres a bezpečnost
« kdy: 21. 05. 2013, 10:53:28 »Ja chci videt, jak ten mamlas (neb jinak se to napsat neda) na bgp routeru pozna, co mu od toho peera prave ma/nema chodit ... fakt to chci videt ...Neni nic jednodussiho, nez se ho zeptat na tamejsim foru. Kdyz si tady dal povedes svuj monolog, tak tim nikomu nepomuzes.
problém je trochu v tom, že j tomu, narozdíl od tebe, rozumí a zřejmě fakticky provozuje.
67
Sítě / Re:Blokování IP adres a bezpečnost
« kdy: 14. 05. 2013, 22:13:25 »Matkopřírodo, když o sobě AS do nějaké tabulky napíše "my tranzit neprovádíme a naše rozsahy jsou A, B a C", čili od nás čekejte jenom pakety A,B a C, tak to snad není žádná nukleární věda, ne?
(mám pocit, že už jsme se fakt dostali do fáze plácání, už toho asi radějí nechám)
Jenomže AS může být tranzitní pro jeden AS a netranzitní pro jiné AS. Ale opravdu toho necháme, bez znalosti routování mezi AS se totiž nikam nedostaneme.
68
Sítě / Re:Blokování IP adres a bezpečnost
« kdy: 14. 05. 2013, 20:58:40 »A jak se pozná takový netranzitní provider?Tím, že to o sobě deklaruje?
Fakt? A jak to pozná ten potenciální protokol?
69
Sítě / Re:Blokování IP adres a bezpečnost
« kdy: 14. 05. 2013, 20:19:58 »Na to není dokonce potřeba žádný protokol. Říká se tomu RPF - reverse path filtering, akorát se současnými potřebami interAS routingu není úplně kompatibilní (a jak jsem už říkal, tranzitivní uzávěr tu RPF poněkud degraduje)Jo. Akorát ten je spíš určený dovnitř AS, kde jsou cesty jasné a hierarchické, ne?
Proč? Přesně splňuje tvoje požadavky.
Pořád ses u tranzitních providerů ovšem nezbavil toho principiálního problému tranzitivního uzávěru, takže je libovolný protokol se stejnou funkcionalitou nepoužitelný.
Citace
Ale něco podobného jsem právě myslel - prostě by se začalo omezením provozu od netransitních AS na jenom jejich adresy, u transitních potom jenom z adres netransitních AS, které jsou přes ně _aktuálně_ routované atd. Jasně že u některých hodně propojených sítí už to bude problém, ale lepší něco než nic...
A jak se pozná takový netranzitní provider?
70
Sítě / Re:Blokování IP adres a bezpečnost
« kdy: 14. 05. 2013, 10:09:29 »Jenze BGP mi rika, KAM mam pakety posilat. Absolutne vubec nic nerika o tom, odkud mi budou pakety chodit.Jo. A tim vsim ses snazil dokazat, ze nemuze (z principu) existovat protokol, ktery by delal v principu totez, ale v opacnem smeru?
Tak v tom pripade jsem to nepochopil. Asi v tom teda mam "zcela zasadni hokej"
Na to není dokonce potřeba žádný protokol. Říká se tomu RPF - reverse path filtering, akorát se současnými potřebami interAS routingu není úplně kompatibilní (a jak jsem už říkal, tranzitivní uzávěr tu RPF poněkud degraduje)
71
Sítě / Re:Blokování IP adres a bezpečnost
« kdy: 13. 05. 2013, 23:38:39 »Omlouvám se DbBg, moje poznámka o hlavičkach ukazuje pouze to že o tom nic nevím, navíc pouzivam slova jen jsou možná z doby analogové.
To je v pohodě, tou otázkou jsem chtěl akorát naznačit, že ze samotného obsahu těch hlaviček to poznat nejde.
Citace
Diskuze se dostala do stadia, zda je mozny hodne bezpečný internet ( možná az ideálne, či idealisticky ). Jenomže obávám se a diskuze to take naznačuje, že již jsme přímými účastníky. Na globální urovni totalitní staty žádají kontrolu internetu v podstatě jeho vlastnictví státem. Na urovni našeho statu stat za peníze daňových poplatníků stát buduje bezpečný ( jak jsem se nyni dozvěděl udajne bezpečný ) IT goverment. Uživatele by mohla zajímat bezpečnost jeho routeru, připojení do banky, ........ Ještě jednu věc z hlediska demokracie svobody internetu ( jsou to navíc dva možná zasadne uplne odlisne vefibjqk s technickeho tak i lidsky společenskeho hlediska ) , nejde pouze o velkeho bratra jde totiž i o to jak se snaží Mirek Prýmek naznačit o základní demokratickou slušnost. Tedy moje svoboda končí tam kde začíná svoboda druheho a necin jinému to co nechceš aby cinili tobě. Ovšem je otázka zda to je technicky proveditelne a zda příliš mnoha lidem včetně části správy státu a dokonce celé západní civilizace současný stqv spíše nevyhovuje. Zrovna dnes jwem resil podvrzenou falešnou práci na internetu, navic směrem k me velmi těžce postizene kamaradce graficce. Mám problem i s inzertnim portalem na kterém byl zveřejněn. Pokud budou internety dva budu na obou přes dva proviidery. - Nakonec v Německu si pry už taky jen tak nakoupíte anonymní ( nebo anonymne ) SIM kartu. Tedy nic nepredstavitelneho.
Osobně si nemyslím, že by problém důvěryhodnosti bylo nutné řešit na síťové vrstvě. Na vyšších vrstvách je spousta možností, jak systémy zabezpečit, třeba pomocí certifikátů a podobných věcí. Samozřejmě slušný provider dělá pokud možno to, co je v jeho silách, aby podvodným činnostem zabránil, nespoofovatelnost adres je jednou z nich.
72
Sítě / Re:Blokování IP adres a bezpečnost
« kdy: 13. 05. 2013, 23:31:47 »Jistě je možné takový protokol zkonstruovat. Problém je v tom, že v praxi ti vždycky vyjde, že na tom peerujícím drátu můžeš přijmout všechny zdrojové adresy, tj. takový protokol na nic není.Jakto? Všechny koncové uzly a sítě mají jasně dané rozsahy. Jediné, co pak můžu dělat, je slučovat je dohromady. Vždycky a všude pak budu mít seznam rozsahů, které z konkrétního drátu můžou legitimně vypadnout. Stejně jako mám seznam, které cílové sítě jsou na kterém drátu.
Jo, o tom slučování to je. Tím slučováním se v praxi vytvoří něco jako tranzitivní uzávěr relace, tj. v podstatě všechny sítě, které se v internetu vyskytují.
Ta situace má samozřejmě několik rovin:
1. obecná: tranzitní provider by měl propouštět všechny routy přes tranzitivní uzávěr svých sousedů.
2. BGP umožňuje vytvářet směrovací politiky mezi peery, které nejsou šířeny dále, tj. neexistuje globální znalost, která by umožňovala spočítat odkud ty pakety vlastně mohou přicházet. Tranzitní provider může zvolit cestu, která se jinému může jevit jako suboptimální a tudíž nesprávná (neví totiž, jakými pravidly se soused řídí). (a to se ještě nezmiňuju o věcech jako je agregace, filtrování a pod.)
3. aby celé nespoofování fungovalo, tak je nutné, aby nespoofovací pravidla dodržovali všichni (díky tomu tranzitivnímu uzávěru z bodu 1.) Stačí jediný, kdo to nedodržuje a je to zbytečné.
4. existuje dokonce RFC, které říká, že AS by neměl generovat source IP, které mu nepatří, číslo jsem zapomněl, ale stejně se tím málokdo řídí.
Problém je imho příliš složitý na to, aby jej bylo nutné řešit - přináší totiž příliš mnoho práce a rizik na příliš málo přínosů.
73
Sítě / Re:Blokování IP adres a bezpečnost
« kdy: 13. 05. 2013, 20:44:59 »jistě :-)A ostatní teda udělají co? Řeknou si "ok, má na to právo" a nebudou na to nijak reagovat?
To záleží na rozhodnutí dotyčného peerovače.
Citace
Chtít to můžeme, ovšem na úrovni směrování mezi AS to nejde nastavit.Počkej, co nejde nastavit?
Existuje protokol, pomoci kterého když pošlu paket na adresu A.B.C.D, tak je správně na danou adresu doručen.
Já říkám, že si dovedu představit, že by existoval protokol/proces (teď nemyslím nutně počítačový), který by říkal, že z daného drátu můžou vylézt jenom pakety z rozsahu X,Y a Z a všechny ostatní jsou neregulerní. A odhaduju, že nebyl zaveden jenom proto, že spoofování není až tak závažný problém, aby to stálo za to.
Jistě je možné takový protokol zkonstruovat. Problém je v tom, že v praxi ti vždycky vyjde, že na tom peerujícím drátu můžeš přijmout všechny zdrojové adresy, tj. takový protokol na nic není.
74
Sítě / Re:Blokování IP adres a bezpečnost
« kdy: 13. 05. 2013, 20:21:40 »Kdo ze to sou "prislusne organy" pro ty miliony soukromych siti po svete? A jejich majitele kupodivu takovy traffic za neregulerni nepovazuji. Ano, prislusny majitel si jiste muze se svou siti delat co chce, muze ji klidne celou zrusit ... nebo trebas jako telecum vracet povrzene DNS odpovedi, nebo jako telco operatori blokovat VoIP provoz ...Zkusím ještě jednou, naposledy: může si špatně nakonfigurovat border routery tak, že nebudou správně kooperovat s ostatními ASs?
jistě :-)
Citace
Z praktickeho hlediska ma kazda trochu vetsi sit konektivitu s vice nez jednou dalsi siti ... a to plati zcela rekurzivne, s tim, ze prevazna cast ISP jednoduse nezna (a ani nepotrebuje znat) topologii svych sousedu, natoz jejich sousedu. Tudiz nevi a ani vedet nemuze, jaka komunikace potece prave pres jeho sit.Mně na tom jenom zaráží, že v druhém směru to funguje. Divné. Když pošlu packet na adresu A.B.C.D, tak dojde na jedno konkrétní místo. Ovšem kdybysme chtěli to samé v opačném směru, tak by to byl útok na samu podstatu internetu, peeringová centra by shořela, anděl by zatroubil na trubku a hnusná fialová monstra by sežrala všechny krásné bílé králíčky tím nejodpornějším představitelným způsobem.
Chtít to můžeme, ovšem na úrovni směrování mezi AS to nejde nastavit.
Citace
Nespoofovatelnost IP nezajistí ani jedno.Sak at takovou sit nekdo zavede ... uz vidim ty nadsene miliony lidi, kteri se do ni chteji pridat.Jistě, proč by se někdo zajímal o síť, kde nejsou spamy, ddosy... Síť, o které mi banka řekne, že to je jediná síť, ve které hodlá provozovat svoje bankovnictví a internetové platby. Proč bych se o ni zajímal, raději si vyberu tu druhou, kde už zůstal jenom mallware, warez a porno.
75
Sítě / Re:Blokování IP adres a bezpečnost
« kdy: 13. 05. 2013, 16:53:19 »Takže nikoliv blokovat ale zahazovat požadavky s neúplnými nebo evidentně podvrženými hlavičkami. A to pokud možno s co nejnižší ztrátou výkonu.
Co je to neúplná nebo evidentně podvržená hlavička?
