Перейти к содержимому
Калькуляторы

Нет, stateless фаер не юзабелен, это фактически ACL в свичах.

Не юзабелен он на простом примере: ты захотел подключится по ssh. Фаер пропустил все пакеты от тебя (ну или не все а только 22 к указанному хосту, не суть)....хост ответил а пакет дропнулся, потому что правила чтобы пустить пакет с порта 22 на внутренний хост порт 1024-65535 нет.

В простейшем случае достаточно глобально пропускать внутрь те пакеты, которые по флажкам являются ответными пакетами соединения. Ну да, так файрволл будет немного дырявый и можно будет через него отправить пакет, который 'является ответом' для соединения, которого на самом деле не было. Но это более-менее все равно - хост-получатель не найдет у себя этого соединения и пакет проигнорирует.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В простейшем случае достаточно глобально пропускать внутрь те пакеты, которые по флажкам являются ответными пакетами соединения. Ну да, так файрволл будет немного дырявый и можно будет через него отправить пакет, который 'является ответом' для соединения, которого на самом деле не было. Но это более-менее все равно - хост-получатель не найдет у себя этого соединения и пакет проигнорирует.

Это тебе для каждого UDP протокола придётся писать правила.

Допустим для DNS можно накорябать, а вот для uTP уже нет

 

Труднее понять нафига это всё, если держать таблицу стейтов не сильно напряжно, и железо это давно умеет и софт.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

хост-получатель не найдет у себя этого соединения и пакет проигнорирует

откуда такая уверенность что на хосте получателе не будет бота, который управляется через такие разрешенные протоколы

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если есть бот, то он и сам запрос послать может. Так что в этом случае ничего не меняется.

И такой режим ну вот для самых крайних случаев, когда маршрутизатору ну совсем ресурсов не хватает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Какие блин правила, какой firewall. Ну найдут дырку в pppoe демоне, или хотспоте, или VPN, которые по определению должны быть открыты всем.

Есть еще масса протоколов где микротик изобретал велосипед, чтобы не раскрывать исходники по GPL.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Там хотя бы диск можно снять и сверить содержимое с эталонным диском или тупо списком хэшей или ещё что то, в тике не судьба.

 

У микротика есть торч, можно посмотреть какие соединения и куда установлены.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

У микротика есть торч, можно посмотреть какие соединения и куда установлены.

И чо?

Если прошивка правленная далеко не факт что он тебе покажет как есть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если прошивка правленная далеко не факт что он тебе покажет как есть.

 

Поэтому нужно поставить 2 микротика, и с одного смотреть какой трафик передает другой.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если прошивка правленная далеко не факт что он тебе покажет как есть.

 

Поэтому нужно поставить 2 микротика, и с одного смотреть какой трафик передает другой.

 

:-)))

 

NMIK=1
WHILE сомневаешся в работе последнего поставленного? AND бабки есть? DO
   Поставь еще один микротик для его контроля!
   NMIK++
DONE

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ой, а если бы там был свободный lighthttpd, то... Да то же самое, http://www.securityfocus.com/bid/59495 (см страницу Solution - ну это же opensource, все уже все исправили сами, да?).

А это не тот lighttpd, это однофамилец под винду.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Поэтому нужно поставить 2 микротика, и с одного смотреть какой трафик передает другой.

И что помешает с уже сломанного тика сломать все соседние?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

И что помешает с уже сломанного тика сломать все соседние?

 

вера !

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

И что помешает с уже сломанного тика сломать все соседние?

 

вера !

:)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Блин, мужики, вас родное государство насилует в особо извращенной форме а вы переживаете о том, что АНБ залезет в вашу говносеть и украдет все скрепы :) Пипец проблема! Я бы все секреты АНБ сдал, только боюсь они сдохнут со смеху если их узнают, а мне людей жалко :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

...что АНБ залезет в вашу говносеть и украдет все скрепы...

Проблема не в том, что АНБ. А в том, что АНБ знает о дырах, но латанию их отнюдь не способствует.

 

А там, где знает один - через некоторое время знают все. Как пример - этот слив.

 

Как-то так. Мойте мозг с мылом. Читайте того-же Сноудена или Ассанджа - ои об этом говорят много и публично. :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

И что помешает с уже сломанного тика сломать все соседние?

 

Если правильно настраивать микротик - его не взламывают.

Указанная уязвимость работала через web - если он отключен или доступ извне закрыт (например только по IP адресам администратора) защита остается на высоте.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Указанная уязвимость работала через web

И? У тебя даже на коммутаторах доступа веб-гуй включен.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

И? У тебя даже на коммутаторах доступа веб-гуй включен.

 

Туда доступ имеют только администраторы, поэтому нет проблем с безопасностью.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Блин, мужики, вас родное государство насилует в особо извращенной форме а вы переживаете о том, что АНБ залезет в вашу говносеть и украдет все скрепы :) Пипец проблема! Я бы все секреты АНБ сдал, только боюсь они сдохнут со смеху если их узнают, а мне людей жалко :(

Как раз АНБ и ЦРУ лично меня беспокоит лишь в том плане, что весь их арсенал утек в свободное пользование. Соответственно воспользоваться им может кто попало, в т.ч. банальные жулики.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Как раз АНБ и ЦРУ лично меня беспокоит лишь в том плане, что весь их арсенал утек в свободное пользование. Соответственно воспользоваться им может кто попало, в т.ч. банальные жулики.

Так я так понял их сейчас и ругают (в официальной части, а не публика) на родине не за то следят, а за то что после обнаружения дыр они должны были сообщить о них но сообщили. Но и за то что упустили это свое знание. И тем создали вот такую ситуацию, что владельцы всех этих устройств (в том числе и собственные граждане/фирмы) под угрозой оказались.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

АНБ ругали, когда их тулзы утекли, но ЦРУ почему-то опыт не переняло, только доработали утилиты до более опасного уровня, но не защитили от утечки.

Ибо сама схема работы с цивильными подрядчиками "дырявая", а по другому они не могут.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Блин, мужики, вас родное государство насилует в особо извращенной форме а вы переживаете о том, что АНБ залезет в вашу говносеть и украдет все скрепы :) Пипец проблема! Я бы все секреты АНБ сдал, только боюсь они сдохнут со смеху если их узнают, а мне людей жалко :(

Унылый троленг.

Свои инфу не собирают просто так - им лень, а анб собирает всё что видит. Ещё и гадости делает, в виде ослабления крипты.

 

 

Если правильно настраивать микротик - его не взламывают.

Чувствую если его правильно настроить то действительно взлом не страшен - стол который он подпирает шататься не будет :)))

 

Указанная уязвимость работала через web - если он отключен или доступ извне закрыт (например только по IP адресам администратора) защита остается на высоте.

А как насчёт не указанных уязвимостей?

 

 

АНБ ругали, когда их тулзы утекли, но ЦРУ почему-то опыт не переняло, только доработали утилиты до более опасного уровня, но не защитили от утечки.

Это не научные фантазии. Всё утечет и всё сольют. Люди они такие.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если правильно настраивать микротик - его не взламывают.

Микротик - это одна сплошная дыра. Тут народ по ним кое-чего накопал, и ломает двумя десятками способов в особо извращённой форме.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если правильно настраивать микротик - его не взламывают.

Микротик - это одна сплошная дыра. Тут народ по ним кое-чего накопал, и ломает двумя десятками способов в особо извращённой форме.

 

Что-то нет массовых жалоб на форуме по этой теме.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.