ani.kiborgi Опубликовано 24 января, 2009 · Жалоба А жена точно есть? :-) Я бы лет 12 дал бы этому ребенку :-))) Мой ребенок посмеялся, ибо Это АНЕКДОТ. Смысл его в том, что обезопасить себя на 100 можно только отказавшись от секса (разговоров по телефону, доступа в сеть) Перечитай свои посты внимательно и с учетом отсутствующих телепатов. Задачу поставь. У тебя есть сеть, и ты хочешь абонентам такое щасте?.. Оборудование на доступе какое? Или себя обезопасить? Привяжи порт к ip по opt82, мак тоже прописать на коммутаторе. +Доступ по шифрованному VPN (или найди позащищенней туннель) с 20тизначным л/п, и привязкой л/п на VPN-севере к ip и мак-адресу. По туннелям банки спокойно гоняют инфу через интернет. самый надежный компьютер - из бетона. Без примесей кремния....Ждем поста где топикстартер скажет что такого компа сделать нельзя... Понимаешь курилка, вот у тебя есть ребенок - ты ему объясни по каким тунелям банки инфу по тунелям гоняют. Объясни ему (своему ребенку) как порты к ip по opt82 привязывать, про маки, vpn, что не надо свои фотографии в инет выкладывать, и еще много чего - проще надо быть. Кстати поделись как свое чадо от грязи в инете защищаешь ? - всем полезно будет. В твоем анекдоте из приличных слов только про эпоксидку. Я даже взрослому человеку постеснялся-бы такой анекдот рассказывать, а не то-что ребенку, да еще и своему. От спида защититься легко - будь честным и не будь лопушком (про одноразовые иглы само-собой). - Обезопасить себя хочу =) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SmokerMan Опубликовано 24 января, 2009 · Жалоба vIv, держи пять! :-)))) Мне кажется что его ниче не удовлетворит... Я ж сказал... А анекдот вполне приличный... Хотя мы "дети проходных дворов" в институтах благородных девиц не воспитывались, может и пошлый для кого-то... На всякий случай приношу свои извинения кому "глаз зарезал"... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vIv Опубликовано 24 января, 2009 · Жалоба Критерии мне представляется должны быть такие:Авторизация на основе сертификатов и шифрование канала от клиента до провайдера. 1) Редкий абонент согласится, чтобы его аппаратуру нагружали глупостями. Если оператор обеспечивает шифрование, то пусть делает это сам. Хотите выдать каждому абоненту по шифроватору, способному прожевать хотя бы 100М локалки? Плюс аналогичное со своей стороны? А как же всеобщее потепление на планете? 2) А вот сертификат в CPE-шку - это очень хорошо. Только дорого. Без шифрования-то CPE-шку для эзернета ниже 300 долларов днём с огнём поискать. А с шифрованием - она ещё настолько же дороже станет. ЧТО должен покупать абонент, ПОЧЁМ, чтобы всё это лепоту окупить в разумные сроки? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vIv Опубликовано 24 января, 2009 · Жалоба Обезопасить себя хочу =) С двух сторон по кошке 2800 + NME-RVPN http://www.cisco.com/web/RU/products/hw/vp...pn/rvpn_qa.html Q. Какова производительность модуля? A. Наиболее часто используемый алгоритм для IPsec-туннелей включающий шифрование с проверкой целостности (ESP+HMAC), показывает производительность равную 40 Мбит/с (измерения производились на больших пакетах – 1400 байт). Если же проверка целостности не важна, то в режиме ESP без проверки целостности модуль может обеспечить скорость шифрования до 95 Мбит/с. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Berns Опубликовано 24 января, 2009 (изменено) · Жалоба 1. От провайдера идет провод, который у клиента соединяется с оконечным оборудованием.2. Этим оборудованием, как правило, бывает роутер или сетевая карта. Получается: любой прохожий может воткнуть к примеру wi-fi роутер c настройками провайдера где-нибудь на лестнице (в щитке) и недалеко находясь с ноутбуком натворить дел. Клиент такого провайдера потом не отмоется вовек. В домашних сетях, где витая пара идет до сетевой карты как правило настраивается VPN, но и это тоже проблему особо не решает (пароли воруют в домашних сетях - ну это так, к примеру). a. Если у клиента установлен wi-fi - роутер? Опять же, это проблема оконечного пользователя, пусть примет меры, запаролит сеть, ограничит доступ. b. В остальном, проблема решается путем организации vpn-тунеля, для доступа в сеть. Пользователь просрал пароль? Что поделать... элементарные средства "контрацепции" не помогли? 0_о имхо, в п.a и п.b - повышать техническую грамотность пользователей. Задача не благодарная и в большинстве бесполезная. Ибо, к сожалению, в нашей стране, так повелось, пока гром не грянет... А вообще, имеют место быть подозрения, что, есть куча других способов и прикладного ПО, для несанкционированного выхода в сеть, под чужими параметрами и с чужих ПК. Так, что, особенно мучиться в данном направлении, не вижу смысла. Изменено 24 января, 2009 пользователем Berns Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ani.kiborgi Опубликовано 24 января, 2009 (изменено) · Жалоба Критерии мне представляется должны быть такие:Авторизация на основе сертификатов и шифрование канала от клиента до провайдера. 1) Редкий абонент согласится, чтобы его аппаратуру нагружали глупостями. Если оператор обеспечивает шифрование, то пусть делает это сам. Хотите выдать каждому абоненту по шифроватору, способному прожевать хотя бы 100М локалки? Плюс аналогичное со своей стороны? А как же всеобщее потепление на планете? 2) А вот сертификат в CPE-шку - это очень хорошо. Только дорого. Без шифрования-то CPE-шку для эзернета ниже 300 долларов днём с огнём поискать. А с шифрованием - она ещё настолько же дороже станет. ЧТО должен покупать абонент, ПОЧЁМ, чтобы всё это лепоту окупить в разумные сроки? А не проще-ли на роутер клиента (типа zyxel или d-link) залить защищенный от экспорта сертификат, авторизация на самом роутере прописана, т.е. для клиента все прозрачно будет. Подключился кто на лестнице физически в провод - а сертификат на каждом устройстве свой и провайдер инета не даст (т.е. нет смысла врезаться в провод) на другом проводе тоже не прокатит. Ну мне это видится примерно так.... Изменено 24 января, 2009 пользователем ani.kiborgi Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
woddy Опубликовано 24 января, 2009 · Жалоба А не проще-ли на роутер клиента (типа zyxel или d-link) залить защищенный от экспорта сертификат, авторизация на самом роутере прописана, т.е. для клиента все прозрачно будет.Подключился кто на лестнице физически в провод - а сертификат на каждом устройстве свой и на другом проводе тоже не прокатит. Ну мне это видится примерно так.... ключевой вопрос простой - а за чей счет будет банкет? ЗЫ 95% пользователей насрать на безопасность. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vIv Опубликовано 24 января, 2009 · Жалоба И какая скорость будет, если эту мыльницу заставить шифровать? 8-) Это раз И два: защищать от экспорта - это надо заказную партию железок. С заказной фирмварью как минимум. А то и изменённых аппаратно. А если делать только авторизацию по сертификату - то будет piggy backing в полный рост, что возвращает к началу задачи. Так-что придётся таки шифровать, а это требует специальных ресурсов. А насчёт "на другом проводе" - обучим коммутаторы кроме авторизации 802.1x ещё и привязку делать, кому можно атворизовываться, а кому нет? Это бывает, да, но это большая редкость. Или надо, чтобы авторизующий коммутатор в радиус точно говорил, с какого порта авторизует, а радиус это отслеживал. Причём не по логину, а по сертификату. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ani.kiborgi Опубликовано 24 января, 2009 · Жалоба А не проще-ли на роутер клиента (типа zyxel или d-link) залить защищенный от экспорта сертификат, авторизация на самом роутере прописана, т.е. для клиента все прозрачно будет.Подключился кто на лестнице физически в провод - а сертификат на каждом устройстве свой и на другом проводе тоже не прокатит. Ну мне это видится примерно так.... ключевой вопрос простой - а за чей счет будет банкет? ЗЫ 95% пользователей насрать на безопасность. Под банкетом что имееется ввиду? Если роутеры - так многие провайдеры вбивают в договор, что роутер - собственность провайдера и дают в пользование клиенту. Поддержка ЦС ? - мне не кажется это большой проблемой. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
firefly Опубликовано 24 января, 2009 · Жалоба Авторизация на основе сертификатов и шифрование канала от клиента до провайдера. Хоть что-то конкретное. До этого я думал, что смысл топика в том, чтобы решить проблему безопасности заменой технологии последней мили. Оптика до квартиры обсуждается в соседнем топике. Незаметно врезаться в витуху тоже невозможно. Вобщем не забивайте себе голову. Вы придумали проблему на пустом месте. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ani.kiborgi Опубликовано 24 января, 2009 · Жалоба И какая скорость будет, если эту мыльницу заставить шифровать? 8-) Это разИ два: защищать от экспорта - это надо заказную партию железок. С заказной фирмварью как минимум. А то и изменённых аппаратно. А если делать только авторизацию по сертификату - то будет piggy backing в полный рост, что возвращает к началу задачи. Так-что придётся таки шифровать, а это требует специальных ресурсов. А насчёт "на другом проводе" - обучим коммутаторы кроме авторизации 802.1x ещё и привязку делать, кому можно атворизовываться, а кому нет? Это бывает, да, но это большая редкость. Или надо, чтобы авторизующий коммутатор в радиус точно говорил, с какого порта авторизует, а радиус это отслеживал. Причём не по логину, а по сертификату. Дык я вроде и говорил про авторизацию по сертификату.Может я чего не понимаю про партию железок ... а зачем? какие железки? Прям у провайдера сидит обученый человек и заливает уже защищенные сертификаты (выпущенные самим провайдером и защищенные от экспорта самим провайдером) в зухели и длинки. Я всегда считал что защитить сертификат от экспорта достаточно без железок... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vIv Опубликовано 24 января, 2009 · Жалоба Я всегда считал что защитить сертификат от экспорта достаточно без железок... Это неправильное мнение. Сертификат - это обычный файл в обыном софте. Его достаточно посто скопировать из одной железки в другую такую же. Если это обычная юзерская железка, т.е. произведённая для обычного рынка, а не по заказу. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ani.kiborgi Опубликовано 24 января, 2009 · Жалоба Авторизация на основе сертификатов и шифрование канала от клиента до провайдера.Хоть что-то конкретное. До этого я думал, что смысл топика в том, чтобы решить проблему безопасности заменой технологии последней мили. Оптика до квартиры обсуждается в соседнем топике. Незаметно врезаться в витуху тоже невозможно. Вобщем не забивайте себе голову. Вы придумали проблему на пустом месте. А не напустом.Хочу быть уверенным что до провайдера мне никто не "сядет на хвост". Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ani.kiborgi Опубликовано 24 января, 2009 · Жалоба Я всегда считал что защитить сертификат от экспорта достаточно без железок... Это неправильное мнение. Сертификат - это обычный файл в обыном софте. Его достаточно посто скопировать из одной железки в другую такую же. Если это обычная юзерская железка, т.е. произведённая для обычного рынка, а не по заказу. Дайте ссылку или несколько (желательно на русском). Чего-то Вы не то говорите... Запароленный ключем, защищенный от экспорта сертификат для того и предназначен чтоб его нельзя было экспортировать. Дайте ссылку по теме если я неправ. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vIv Опубликовано 24 января, 2009 · Жалоба http://www.google.com/search?q="слил+прошивку" http://www.google.com/search?q="роутер+телнетом" Это из доступных любому интересующемуся подростку. Подросток с паяльником и книжками тупо выковыряет флешку и сольёт оттуда всё, что захочет, если содержимое не привязано к конкретной железке чем-то хитрым. "Что-то хитрое" делает производитель, когда кто-то у него заказывает _заказную_ партию. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vIv Опубликовано 24 января, 2009 · Жалоба Хочу быть уверенным что до провайдера мне никто не "сядет на хвост". Я выше написал. Ну или можно купить пару CISCO ASA. Одну себе, одну провайдеру, - и между ними туннель. Но всё - за свой счёт. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ani.kiborgi Опубликовано 24 января, 2009 · Жалоба http://www.google.com/search?q="слил+прошивку"http://www.google.com/search?q="роутер+телнетом" Это из доступных любому интересующемуся подростку. Подросток с паяльником и книжками тупо выковыряет флешку и сольёт оттуда всё, что захочет, если содержимое не привязано к конкретной железке чем-то хитрым. "Что-то хитрое" делает производитель, когда кто-то у него заказывает _заказную_ партию. Хех... Если роутер будет в квартире у клиента стоять ? Даже если сольет прошивку и зальет на другой роутер - 2 одинаковых сертификата в сети это уже дело админа. У меня на компьютере стоит закрытый паролем, запрещенный к экспорту сертификат Webmoney на счету WMZ. Как я могу перенести этот закрытый паролем, запрещенный к экспорту сертификат Webmoney на рядом стоящий комьютер моей жены ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vIv Опубликовано 24 января, 2009 · Жалоба У меня на компьютере стоит закрытый паролем, запрещенный к экспорту сертификат Webmoney на счету WMZ.Как я могу перенести этот закрытый паролем, запрещенный к экспорту сертификат Webmoney на рядом стоящий комьютер моей жены ? de.exe , nu.exe, cp, dd, bc.exe - из того, что в голову пришло сразу же. Да хоть троянца подсадить! Триллионы миллиардов вариантов 8-) Если только у тебя не компьютер с чипом Trusted Computing (или как там его) Как копировать файлы - это не тут и не ко мне. Сам ищи. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ani.kiborgi Опубликовано 24 января, 2009 · Жалоба Да пустой треп :-) Прокладывай до абонента газонаполненный кабель. Как давление зашаталось - бойцов в ружье, порты в даун. И никакого VPN. Точно ! У меня на кухне газовая плита ! Как только давление зашаталось - бойцов в диспечерскую газовой службы, пускай им объясняют почему у меня газ до квартиры не доходит. А если в трубу еще канал от провайдера проложить - тогда я точно буду уверен, что физически никто не имеет доступ к моим проводам. Тока незадача - у меня газ до квартиры не всегда доходит. Следовательно в газораспределительной сети давление не постоянно ! - бойцы замотаются ! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
woddy Опубликовано 24 января, 2009 · Жалоба У меня на компьютере стоит закрытый паролем, запрещенный к экспорту сертификат Webmoney на счету WMZ.Как я могу перенести этот закрытый паролем, запрещенный к экспорту сертификат Webmoney на рядом стоящий комьютер моей жены ? de.exe , nu.exe, cp, dd, bc.exe - из того, что в голову пришло сразу же. Да хоть троянца подсадить! Триллионы миллиардов вариантов 8-) Если только у тебя не компьютер с чипом Trusted Computing (или как там его) Как копировать файлы - это не тут и не ко мне. Сам ищи. там привязка к железу идет. будет немного сложнее. но решаемо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ani.kiborgi Опубликовано 24 января, 2009 · Жалоба У меня на компьютере стоит закрытый паролем, запрещенный к экспорту сертификат Webmoney на счету WMZ.Как я могу перенести этот закрытый паролем, запрещенный к экспорту сертификат Webmoney на рядом стоящий комьютер моей жены ? de.exe , nu.exe, cp, dd, bc.exe - из того, что в голову пришло сразу же. Да хоть троянца подсадить! Триллионы миллиардов вариантов 8-) Если только у тебя не компьютер с чипом Trusted Computing (или как там его) Как копировать файлы - это не тут и не ко мне. Сам ищи. "Не ... не... не...! Девид Блэйн" Копировать я умею. Путь к файлу не подскажите ? а заодно и расширение файла закрытого паролем, запрещенного к экспорту сертификата Webmoney? Чет мне говорили что такой сертификат хранится не в файле... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
woddy Опубликовано 24 января, 2009 · Жалоба "Не ... не... не...! Девид Блэйн" Копировать я умею. Путь к файлу не подскажите ? а заодно и расширение файла закрытого паролем, запрещенного к экспорту сертификата Webmoney? Чет мне говорили что такой сертификат хранится не в файле... молодой человек, изучите матчасть чтоб не выглядеть смешным. начните с man dd например. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ani.kiborgi Опубликовано 24 января, 2009 (изменено) · Жалоба "Не ... не... не...! Девид Блэйн" Копировать я умею. Путь к файлу не подскажите ? а заодно и расширение файла закрытого паролем, запрещенного к экспорту сертификата Webmoney? Чет мне говорили что такой сертификат хранится не в файле... молодой человек, изучите матчасть чтоб не выглядеть смешным. начните с man dd например. Не надо уходить от ответа. Еще раз повторю: я умею пользоваться копированием и не только в linux-like. http://www.opennet.ru/man.shtml?topic=dd&a...8&russian=0 Вы говорите про копирование... А вопрос был: Путь к файлу ? и расширение файла закрытого паролем, запрещенного к экспорту сертификата Webmoney? Мне говорили что такой сертификат хранится не в файле. Или дайте ссылку, пожалуйста о том, что защищенный паролем, запрещенный к экспорту сертификат хранится в файле. Вы перевернете мое мировозрение =) Изменено 24 января, 2009 пользователем ani.kiborgi Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
woddy Опубликовано 24 января, 2009 · Жалоба ты не поверишь но вся информация на твоем компьютере хранится в файлах расположенных на жестком диске Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
martin74 Опубликовано 24 января, 2009 · Жалоба нет, не в файле. В конденсаторах блока питания.... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...