Sergey Gilfanov Опубликовано 12 марта, 2017 · Жалоба Нет, stateless фаер не юзабелен, это фактически ACL в свичах. Не юзабелен он на простом примере: ты захотел подключится по ssh. Фаер пропустил все пакеты от тебя (ну или не все а только 22 к указанному хосту, не суть)....хост ответил а пакет дропнулся, потому что правила чтобы пустить пакет с порта 22 на внутренний хост порт 1024-65535 нет. В простейшем случае достаточно глобально пропускать внутрь те пакеты, которые по флажкам являются ответными пакетами соединения. Ну да, так файрволл будет немного дырявый и можно будет через него отправить пакет, который 'является ответом' для соединения, которого на самом деле не было. Но это более-менее все равно - хост-получатель не найдет у себя этого соединения и пакет проигнорирует. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 12 марта, 2017 · Жалоба В простейшем случае достаточно глобально пропускать внутрь те пакеты, которые по флажкам являются ответными пакетами соединения. Ну да, так файрволл будет немного дырявый и можно будет через него отправить пакет, который 'является ответом' для соединения, которого на самом деле не было. Но это более-менее все равно - хост-получатель не найдет у себя этого соединения и пакет проигнорирует. Это тебе для каждого UDP протокола придётся писать правила. Допустим для DNS можно накорябать, а вот для uTP уже нет Труднее понять нафига это всё, если держать таблицу стейтов не сильно напряжно, и железо это давно умеет и софт. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zi_rus Опубликовано 12 марта, 2017 · Жалоба хост-получатель не найдет у себя этого соединения и пакет проигнорирует откуда такая уверенность что на хосте получателе не будет бота, который управляется через такие разрешенные протоколы Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 12 марта, 2017 · Жалоба Если есть бот, то он и сам запрос послать может. Так что в этом случае ничего не меняется. И такой режим ну вот для самых крайних случаев, когда маршрутизатору ну совсем ресурсов не хватает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nuclearcat Опубликовано 12 марта, 2017 · Жалоба Какие блин правила, какой firewall. Ну найдут дырку в pppoe демоне, или хотспоте, или VPN, которые по определению должны быть открыты всем. Есть еще масса протоколов где микротик изобретал велосипед, чтобы не раскрывать исходники по GPL. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 13 марта, 2017 · Жалоба Там хотя бы диск можно снять и сверить содержимое с эталонным диском или тупо списком хэшей или ещё что то, в тике не судьба. У микротика есть торч, можно посмотреть какие соединения и куда установлены. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 13 марта, 2017 · Жалоба У микротика есть торч, можно посмотреть какие соединения и куда установлены. И чо? Если прошивка правленная далеко не факт что он тебе покажет как есть. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 13 марта, 2017 · Жалоба Если прошивка правленная далеко не факт что он тебе покажет как есть. Поэтому нужно поставить 2 микротика, и с одного смотреть какой трафик передает другой. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snvoronkov Опубликовано 13 марта, 2017 · Жалоба Если прошивка правленная далеко не факт что он тебе покажет как есть. Поэтому нужно поставить 2 микротика, и с одного смотреть какой трафик передает другой. :-))) NMIK=1 WHILE сомневаешся в работе последнего поставленного? AND бабки есть? DO Поставь еще один микротик для его контроля! NMIK++ DONE Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
visir Опубликовано 13 марта, 2017 · Жалоба Ой, а если бы там был свободный lighthttpd, то... Да то же самое, http://www.securityfocus.com/bid/59495 (см страницу Solution - ну это же opensource, все уже все исправили сами, да?). А это не тот lighttpd, это однофамилец под винду. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 13 марта, 2017 · Жалоба Поэтому нужно поставить 2 микротика, и с одного смотреть какой трафик передает другой. И что помешает с уже сломанного тика сломать все соседние? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jab Опубликовано 13 марта, 2017 · Жалоба И что помешает с уже сломанного тика сломать все соседние? вера ! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NN----NN Опубликовано 13 марта, 2017 · Жалоба И что помешает с уже сломанного тика сломать все соседние? вера ! :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
MEF Опубликовано 14 марта, 2017 · Жалоба Блин, мужики, вас родное государство насилует в особо извращенной форме а вы переживаете о том, что АНБ залезет в вашу говносеть и украдет все скрепы :) Пипец проблема! Я бы все секреты АНБ сдал, только боюсь они сдохнут со смеху если их узнают, а мне людей жалко :( Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snvoronkov Опубликовано 14 марта, 2017 · Жалоба ...что АНБ залезет в вашу говносеть и украдет все скрепы... Проблема не в том, что АНБ. А в том, что АНБ знает о дырах, но латанию их отнюдь не способствует. А там, где знает один - через некоторое время знают все. Как пример - этот слив. Как-то так. Мойте мозг с мылом. Читайте того-же Сноудена или Ассанджа - ои об этом говорят много и публично. :-) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 14 марта, 2017 · Жалоба И что помешает с уже сломанного тика сломать все соседние? Если правильно настраивать микротик - его не взламывают. Указанная уязвимость работала через web - если он отключен или доступ извне закрыт (например только по IP адресам администратора) защита остается на высоте. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pppoetest Опубликовано 14 марта, 2017 · Жалоба Указанная уязвимость работала через web И? У тебя даже на коммутаторах доступа веб-гуй включен. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 14 марта, 2017 · Жалоба И? У тебя даже на коммутаторах доступа веб-гуй включен. Туда доступ имеют только администраторы, поэтому нет проблем с безопасностью. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nuclearcat Опубликовано 14 марта, 2017 · Жалоба Блин, мужики, вас родное государство насилует в особо извращенной форме а вы переживаете о том, что АНБ залезет в вашу говносеть и украдет все скрепы :) Пипец проблема! Я бы все секреты АНБ сдал, только боюсь они сдохнут со смеху если их узнают, а мне людей жалко :( Как раз АНБ и ЦРУ лично меня беспокоит лишь в том плане, что весь их арсенал утек в свободное пользование. Соответственно воспользоваться им может кто попало, в т.ч. банальные жулики. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 14 марта, 2017 · Жалоба Как раз АНБ и ЦРУ лично меня беспокоит лишь в том плане, что весь их арсенал утек в свободное пользование. Соответственно воспользоваться им может кто попало, в т.ч. банальные жулики. Так я так понял их сейчас и ругают (в официальной части, а не публика) на родине не за то следят, а за то что после обнаружения дыр они должны были сообщить о них но сообщили. Но и за то что упустили это свое знание. И тем создали вот такую ситуацию, что владельцы всех этих устройств (в том числе и собственные граждане/фирмы) под угрозой оказались. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nuclearcat Опубликовано 14 марта, 2017 · Жалоба АНБ ругали, когда их тулзы утекли, но ЦРУ почему-то опыт не переняло, только доработали утилиты до более опасного уровня, но не защитили от утечки. Ибо сама схема работы с цивильными подрядчиками "дырявая", а по другому они не могут. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 15 марта, 2017 · Жалоба Блин, мужики, вас родное государство насилует в особо извращенной форме а вы переживаете о том, что АНБ залезет в вашу говносеть и украдет все скрепы :) Пипец проблема! Я бы все секреты АНБ сдал, только боюсь они сдохнут со смеху если их узнают, а мне людей жалко :( Унылый троленг. Свои инфу не собирают просто так - им лень, а анб собирает всё что видит. Ещё и гадости делает, в виде ослабления крипты. Если правильно настраивать микротик - его не взламывают. Чувствую если его правильно настроить то действительно взлом не страшен - стол который он подпирает шататься не будет :))) Указанная уязвимость работала через web - если он отключен или доступ извне закрыт (например только по IP адресам администратора) защита остается на высоте. А как насчёт не указанных уязвимостей? АНБ ругали, когда их тулзы утекли, но ЦРУ почему-то опыт не переняло, только доработали утилиты до более опасного уровня, но не защитили от утечки. Это не научные фантазии. Всё утечет и всё сольют. Люди они такие. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
straus Опубликовано 15 марта, 2017 · Жалоба Если правильно настраивать микротик - его не взламывают. Микротик - это одна сплошная дыра. Тут народ по ним кое-чего накопал, и ломает двумя десятками способов в особо извращённой форме. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 16 марта, 2017 · Жалоба Если правильно настраивать микротик - его не взламывают. Микротик - это одна сплошная дыра. Тут народ по ним кое-чего накопал, и ломает двумя десятками способов в особо извращённой форме. Что-то нет массовых жалоб на форуме по этой теме. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
straus Опубликовано 16 марта, 2017 · Жалоба Ну как выложат на хабре - сразу и пойдут жалобы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...