[ani.kiborgi]

А жена точно есть? :-) Я бы лет 12 дал бы этому ребенку :-))) Мой ребенок посмеялся, ибо Это АНЕКДОТ. Смысл его в том, что обезопасить себя на 100 можно только отказавшись от секса (разговоров по телефону, доступа в сеть)

 

Перечитай свои посты внимательно и с учетом отсутствующих телепатов. Задачу поставь. У тебя есть сеть, и ты хочешь абонентам такое щасте?.. Оборудование на доступе какое? Или себя обезопасить?

 

Привяжи порт к ip по opt82, мак тоже прописать на коммутаторе. +Доступ по шифрованному VPN (или найди позащищенней туннель) с 20тизначным л/п, и привязкой л/п на VPN-севере к ip и мак-адресу. По туннелям банки спокойно гоняют инфу через интернет.

 

самый надежный компьютер - из бетона. Без примесей кремния....

Ждем поста где топикстартер скажет что такого компа сделать нельзя...

Понимаешь курилка, вот у тебя есть ребенок - ты ему объясни по каким тунелям банки инфу по тунелям гоняют.

Объясни ему (своему ребенку) как порты к ip по opt82 привязывать, про маки, vpn, что не надо свои фотографии в инет выкладывать, и еще много чего - проще надо быть.

Кстати поделись как свое чадо от грязи в инете защищаешь ? - всем полезно будет.

 

В твоем анекдоте из приличных слов только про эпоксидку.

Я даже взрослому человеку постеснялся-бы такой анекдот рассказывать, а не то-что ребенку, да еще и своему.

 

От спида защититься легко - будь честным и не будь лопушком (про одноразовые иглы само-собой).

 

-

Обезопасить себя хочу =)

 

[SmokerMan]

vIv, держи пять! :-))))

 

Мне кажется что его ниче не удовлетворит...

 

Я ж сказал...

 

А анекдот вполне приличный... Хотя мы "дети проходных дворов" в институтах благородных девиц не воспитывались, может и пошлый для кого-то... На всякий случай приношу свои извинения кому "глаз зарезал"...

[vIv]

Критерии мне представляется должны быть такие:

Авторизация на основе сертификатов и шифрование канала от клиента до провайдера.

1) Редкий абонент согласится, чтобы его аппаратуру нагружали глупостями. Если оператор обеспечивает шифрование, то пусть делает это сам. Хотите выдать каждому абоненту по шифроватору, способному прожевать хотя бы 100М локалки? Плюс аналогичное со своей стороны? А как же всеобщее потепление на планете?

2) А вот сертификат в CPE-шку - это очень хорошо. Только дорого. Без шифрования-то CPE-шку для эзернета ниже 300 долларов днём с огнём поискать. А с шифрованием - она ещё настолько же дороже станет. ЧТО должен покупать абонент, ПОЧЁМ, чтобы всё это лепоту окупить в разумные сроки?

[vIv]

Обезопасить себя хочу =)

С двух сторон по кошке 2800 + NME-RVPN

http://www.cisco.com/web/RU/products/hw/vp...pn/rvpn_qa.html

 

Q. Какова производительность модуля?

 

A. Наиболее часто используемый алгоритм для IPsec-туннелей включающий шифрование с проверкой целостности (ESP+HMAC), показывает производительность равную 40 Мбит/с (измерения производились на больших пакетах – 1400 байт). Если же проверка целостности не важна, то в режиме ESP без проверки целостности модуль может обеспечить скорость шифрования до 95 Мбит/с.

[Berns]

1. От провайдера идет провод, который у клиента соединяется с оконечным оборудованием.

2. Этим оборудованием, как правило, бывает роутер или сетевая карта.

 

Получается: любой прохожий может воткнуть к примеру wi-fi роутер c настройками провайдера где-нибудь на лестнице (в щитке) и недалеко находясь с ноутбуком натворить дел.

Клиент такого провайдера потом не отмоется вовек.

 

В домашних сетях, где витая пара идет до сетевой карты как правило настраивается VPN, но и это тоже проблему особо не решает (пароли воруют в домашних сетях - ну это так, к примеру).

a. Если у клиента установлен wi-fi - роутер?

Опять же, это проблема оконечного пользователя, пусть примет меры, запаролит сеть, ограничит доступ.

b. В остальном, проблема решается путем организации vpn-тунеля, для доступа в сеть.

Пользователь просрал пароль? Что поделать... элементарные средства "контрацепции" не помогли? 0_о

 

имхо, в п.a и п.b - повышать техническую грамотность пользователей.

Задача не благодарная и в большинстве бесполезная.

Ибо, к сожалению, в нашей стране, так повелось, пока гром не грянет...

 

А вообще, имеют место быть подозрения, что, есть куча других способов и прикладного ПО, для несанкционированного выхода в сеть, под чужими параметрами и с чужих ПК.

Так, что, особенно мучиться в данном направлении, не вижу смысла.

Изменено 24 января, 2009 пользователем Berns

[ani.kiborgi]

Критерии мне представляется должны быть такие:

Авторизация на основе сертификатов и шифрование канала от клиента до провайдера.

1) Редкий абонент согласится, чтобы его аппаратуру нагружали глупостями. Если оператор обеспечивает шифрование, то пусть делает это сам. Хотите выдать каждому абоненту по шифроватору, способному прожевать хотя бы 100М локалки? Плюс аналогичное со своей стороны? А как же всеобщее потепление на планете?

2) А вот сертификат в CPE-шку - это очень хорошо. Только дорого. Без шифрования-то CPE-шку для эзернета ниже 300 долларов днём с огнём поискать. А с шифрованием - она ещё настолько же дороже станет. ЧТО должен покупать абонент, ПОЧЁМ, чтобы всё это лепоту окупить в разумные сроки?

А не проще-ли на роутер клиента (типа zyxel или d-link) залить защищенный от экспорта сертификат, авторизация на самом роутере прописана, т.е. для клиента все прозрачно будет.

Подключился кто на лестнице физически в провод - а сертификат на каждом устройстве свой и провайдер инета не даст (т.е. нет смысла врезаться в провод) на другом проводе тоже не прокатит.

 

Ну мне это видится примерно так....

Изменено 24 января, 2009 пользователем ani.kiborgi

[woddy]

А не проще-ли на роутер клиента (типа zyxel или d-link) залить защищенный от экспорта сертификат, авторизация на самом роутере прописана, т.е. для клиента все прозрачно будет.

Подключился кто на лестнице физически в провод - а сертификат на каждом устройстве свой и на другом проводе тоже не прокатит.

Ну мне это видится примерно так....

ключевой вопрос простой - а за чей счет будет банкет?

 

ЗЫ 95% пользователей насрать на безопасность.

[vIv]

И какая скорость будет, если эту мыльницу заставить шифровать? 8-) Это раз

И два: защищать от экспорта - это надо заказную партию железок. С заказной фирмварью как минимум. А то и изменённых аппаратно.

А если делать только авторизацию по сертификату - то будет piggy backing в полный рост, что возвращает к началу задачи. Так-что придётся таки шифровать, а это требует специальных ресурсов.

 

А насчёт "на другом проводе" - обучим коммутаторы кроме авторизации 802.1x ещё и привязку делать, кому можно атворизовываться, а кому нет? Это бывает, да, но это большая редкость. Или надо, чтобы авторизующий коммутатор в радиус точно говорил, с какого порта авторизует, а радиус это отслеживал. Причём не по логину, а по сертификату.

[ani.kiborgi]

А не проще-ли на роутер клиента (типа zyxel или d-link) залить защищенный от экспорта сертификат, авторизация на самом роутере прописана, т.е. для клиента все прозрачно будет.

Подключился кто на лестнице физически в провод - а сертификат на каждом устройстве свой и на другом проводе тоже не прокатит.

Ну мне это видится примерно так....

ключевой вопрос простой - а за чей счет будет банкет?

 

ЗЫ 95% пользователей насрать на безопасность.

Под банкетом что имееется ввиду?

Если роутеры - так многие провайдеры вбивают в договор, что роутер - собственность провайдера и дают в пользование клиенту.

Поддержка ЦС ? - мне не кажется это большой проблемой.

[firefly]

Авторизация на основе сертификатов и шифрование канала от клиента до провайдера.

Хоть что-то конкретное. До этого я думал, что смысл топика в том, чтобы решить проблему безопасности заменой технологии последней мили. Оптика до квартиры обсуждается в соседнем топике. Незаметно врезаться в витуху тоже невозможно. Вобщем не забивайте себе голову. Вы придумали проблему на пустом месте.

[ani.kiborgi]

И какая скорость будет, если эту мыльницу заставить шифровать? 8-) Это раз

И два: защищать от экспорта - это надо заказную партию железок. С заказной фирмварью как минимум. А то и изменённых аппаратно.

А если делать только авторизацию по сертификату - то будет piggy backing в полный рост, что возвращает к началу задачи. Так-что придётся таки шифровать, а это требует специальных ресурсов.

 

А насчёт "на другом проводе" - обучим коммутаторы кроме авторизации 802.1x ещё и привязку делать, кому можно атворизовываться, а кому нет? Это бывает, да, но это большая редкость. Или надо, чтобы авторизующий коммутатор в радиус точно говорил, с какого порта авторизует, а радиус это отслеживал. Причём не по логину, а по сертификату.

Дык я вроде и говорил про авторизацию по сертификату.

Может я чего не понимаю про партию железок ... а зачем? какие железки?

Прям у провайдера сидит обученый человек и заливает уже защищенные сертификаты (выпущенные самим провайдером и защищенные от экспорта самим провайдером) в зухели и длинки.

Я всегда считал что защитить сертификат от экспорта достаточно без железок...

[vIv]

Я всегда считал что защитить сертификат от экспорта достаточно без железок...

Это неправильное мнение. Сертификат - это обычный файл в обыном софте. Его достаточно посто скопировать из одной железки в другую такую же. Если это обычная юзерская железка, т.е. произведённая для обычного рынка, а не по заказу.

[ani.kiborgi]

Авторизация на основе сертификатов и шифрование канала от клиента до провайдера.

Хоть что-то конкретное. До этого я думал, что смысл топика в том, чтобы решить проблему безопасности заменой технологии последней мили. Оптика до квартиры обсуждается в соседнем топике. Незаметно врезаться в витуху тоже невозможно. Вобщем не забивайте себе голову. Вы придумали проблему на пустом месте.

А не напустом.

Хочу быть уверенным что до провайдера мне никто не "сядет на хвост".

 

[ani.kiborgi]

Я всегда считал что защитить сертификат от экспорта достаточно без железок...

Это неправильное мнение. Сертификат - это обычный файл в обыном софте. Его достаточно посто скопировать из одной железки в другую такую же. Если это обычная юзерская железка, т.е. произведённая для обычного рынка, а не по заказу.

Дайте ссылку или несколько (желательно на русском).

 

Чего-то Вы не то говорите...

Запароленный ключем, защищенный от экспорта сертификат для того и предназначен чтоб его нельзя было экспортировать.

 

Дайте ссылку по теме если я неправ.

[vIv]

http://www.google.com/search?q="слил+прошивку"

http://www.google.com/search?q="роутер+телнетом"

 

Это из доступных любому интересующемуся подростку. Подросток с паяльником и книжками тупо выковыряет флешку и сольёт оттуда всё, что захочет, если содержимое не привязано к конкретной железке чем-то хитрым. "Что-то хитрое" делает производитель, когда кто-то у него заказывает _заказную_ партию.

[vIv]

Хочу быть уверенным что до провайдера мне никто не "сядет на хвост".

Я выше написал. Ну или можно купить пару CISCO ASA. Одну себе, одну провайдеру, - и между ними туннель. Но всё - за свой счёт.

[ani.kiborgi]

http://www.google.com/search?q="слил+прошивку"

http://www.google.com/search?q="роутер+телнетом"

 

Это из доступных любому интересующемуся подростку. Подросток с паяльником и книжками тупо выковыряет флешку и сольёт оттуда всё, что захочет, если содержимое не привязано к конкретной железке чем-то хитрым. "Что-то хитрое" делает производитель, когда кто-то у него заказывает _заказную_ партию.

Хех...

Если роутер будет в квартире у клиента стоять ?

Даже если сольет прошивку и зальет на другой роутер - 2 одинаковых сертификата в сети это уже дело админа.

 

У меня на компьютере стоит закрытый паролем, запрещенный к экспорту сертификат Webmoney на счету WMZ.

Как я могу перенести этот закрытый паролем, запрещенный к экспорту сертификат Webmoney на рядом стоящий комьютер моей жены ?

[vIv]

У меня на компьютере стоит закрытый паролем, запрещенный к экспорту сертификат Webmoney на счету WMZ.

Как я могу перенести этот закрытый паролем, запрещенный к экспорту сертификат Webmoney на рядом стоящий комьютер моей жены ?

de.exe , nu.exe, cp, dd, bc.exe - из того, что в голову пришло сразу же. Да хоть троянца подсадить! Триллионы миллиардов вариантов 8-) Если только у тебя не компьютер с чипом Trusted Computing (или как там его)

 

Как копировать файлы - это не тут и не ко мне. Сам ищи.

[ani.kiborgi]

Да пустой треп :-)

 

Прокладывай до абонента газонаполненный кабель. Как давление зашаталось - бойцов в ружье, порты в даун. И никакого VPN.

Точно !

У меня на кухне газовая плита !

Как только давление зашаталось - бойцов в диспечерскую газовой службы, пускай им объясняют почему у меня газ до квартиры не доходит.

А если в трубу еще канал от провайдера проложить - тогда я точно буду уверен, что физически никто не имеет доступ к моим проводам.

 

Тока незадача - у меня газ до квартиры не всегда доходит.

Следовательно в газораспределительной сети давление не постоянно ! - бойцы замотаются !

 

[woddy]

У меня на компьютере стоит закрытый паролем, запрещенный к экспорту сертификат Webmoney на счету WMZ.

Как я могу перенести этот закрытый паролем, запрещенный к экспорту сертификат Webmoney на рядом стоящий комьютер моей жены ?

de.exe , nu.exe, cp, dd, bc.exe - из того, что в голову пришло сразу же. Да хоть троянца подсадить! Триллионы миллиардов вариантов 8-) Если только у тебя не компьютер с чипом Trusted Computing (или как там его)

 

Как копировать файлы - это не тут и не ко мне. Сам ищи.

там привязка к железу идет. будет немного сложнее. но решаемо.

[ani.kiborgi]

У меня на компьютере стоит закрытый паролем, запрещенный к экспорту сертификат Webmoney на счету WMZ.

Как я могу перенести этот закрытый паролем, запрещенный к экспорту сертификат Webmoney на рядом стоящий комьютер моей жены ?

de.exe , nu.exe, cp, dd, bc.exe - из того, что в голову пришло сразу же. Да хоть троянца подсадить! Триллионы миллиардов вариантов 8-) Если только у тебя не компьютер с чипом Trusted Computing (или как там его)

 

Как копировать файлы - это не тут и не ко мне. Сам ищи.

"Не ... не... не...! Девид Блэйн"

 

Копировать я умею.

Путь к файлу не подскажите ? а заодно и расширение файла закрытого паролем, запрещенного к экспорту сертификата Webmoney?

Чет мне говорили что такой сертификат хранится не в файле...

 

[woddy]

"Не ... не... не...! Девид Блэйн"

 

Копировать я умею.

Путь к файлу не подскажите ? а заодно и расширение файла закрытого паролем, запрещенного к экспорту сертификата Webmoney?

Чет мне говорили что такой сертификат хранится не в файле...

молодой человек, изучите матчасть чтоб не выглядеть смешным. начните с man dd например.

[ani.kiborgi]

"Не ... не... не...! Девид Блэйн"

 

Копировать я умею.

Путь к файлу не подскажите ? а заодно и расширение файла закрытого паролем, запрещенного к экспорту сертификата Webmoney?

Чет мне говорили что такой сертификат хранится не в файле...

молодой человек, изучите матчасть чтоб не выглядеть смешным. начните с man dd например.

Не надо уходить от ответа.

Еще раз повторю: я умею пользоваться копированием и не только в linux-like.

http://www.opennet.ru/man.shtml?topic=dd&a...8&russian=0

Вы говорите про копирование...

 

А вопрос был: Путь к файлу ? и расширение файла закрытого паролем, запрещенного к экспорту сертификата Webmoney?

Мне говорили что такой сертификат хранится не в файле.

 

Или дайте ссылку, пожалуйста о том, что защищенный паролем, запрещенный к экспорту сертификат хранится в файле.

Вы перевернете мое мировозрение =)

Изменено 24 января, 2009 пользователем ani.kiborgi

[woddy]

ты не поверишь но вся информация на твоем компьютере хранится в файлах расположенных на жестком диске

[martin74]

нет, не в файле. В конденсаторах блока питания....