#121. Авторизаторы

[Nag]

Экспериментально подобранные параметры (интервалы авторизации, таймауты при ошибках TCP в процессе авторизации, и др.) позволили достаточно успешно закрывать доступ в случае возникновения нелегала. Время срабатывания 1-5 минут в зависимости от активности.

 

Все это пока еще сыровато, и если есть заинтересованные люди, умеющие программировать под windows и *nix, и готовые доработать софт до "идеального" состояния - пишите.

[PowerPack]

Почитал так и не понял, зачем нужны авторизаторы на вход в сеть? Куда проще делать VPN для инета, а локалку не так уж и важно авторизировать, если есть абонентская плата (а не оплата внутреннего трафика).

[Dandy]

Были же уже системы авторизации, StarGazer был, по моему гораздо проще брать абонентскую плату за внутрисетевой трафик и обычный VPN для интернета.

[TARANTUL]

Меня терзают смутные сомнения, что man-in-middle в такой схеме все же можно осуществить... Кто что про это думает?

[Inco]

Паша тут помоему идеологию надо менять.

Сколько майкрософт не хвалилось своей очередной защитой винды а ее всеравно ломают. И тут тоже самое.

Мое мнение надо делать шифрованные туннели аля vpn. И софтина сама должна менять пароли кажые n дней у себя и юзверей автоматом.

И на серваке делать что то блокировки по секретному слову.А Теперь художественный вариант.

Юзверь коннектится лазиет по инету злобный хакер умудряедся перехватить ключ, на дешивровку которого у ходить m времени. Если хакер не сумел расшивровать пароль до времени смены паролей значит обламывется и все заново. Если он таки сумел взломать данный пароль то юзверь замечает положение аськи Offline и никакого другого. Заходит на сервак и блокирует свою учетную запись тем самым секретным словом.

p.s. мдя еще раз выдумал велосипед класса GSM.

p.s. а за хакерами пускай милиция гоняется ето ее работа

[DiBrain]

А помоему в перспективе от лукаовго все это, так как (я искренне надеюсь) через годик другой менеджмент свитчи будут стоить на уровне того что сейчас стоит обычные и тут просто софтом свитча на порте контроль мака делать и тем самым ты будешь совершенно точно знать что мак адрес не фальшивка и другой авторизации уже и не надо.

[Sirco]

Говорил недавно с "милицией" - довольно сложный вопрос об изьятии оборудования и

прочими доказательствами - и на последок у меня был вопрос "а если я выдаю серийные номера винчестера процессора итд . итп "

- ответ " да это уже доказательство по крайней мере в следственном експеременте если из этого же компа зайти и программа авторизации покажет аналогичные номера ..."

а следственный експеремент это уже доказательство в суде ...

 

Так что предлагаю чтобы программа авторизации выдавала все что можно собрать с серийных номеров устройств , и это записывалось в лог ...

да еще говорили что есть инструкция как надо производить следственные действия в данном случае - может кто имеет знакомых в этом ведомстве .

[Nag]

DiBrain,

 

Давно пора это таки сказать. :-)

Умный свитч намного проще, быстрее, безглючнее шифраций и ВПН.

Плюс дает вагон добавочных возможностей по контролю сети.

Против него только цена. :-)))

Но это временно... Сурекомами по 40 баксов похоже все уже наелись - покупают нормальные по 80-120. Машинки с кривыми китайскими виланоми доползают до 200 баксов... Недолго осталось. ;-)

[Bogdan]

А что стоит врезаться в кабель, и пропускать все через себя?

[Nag]

Bogdan,

Это легко ловить, и за это бить.

Если сеть управляемая (контролируется каждый порт) - место врезки находится ОЧЕНЬ быстро без всякой беготни.

А после этого - "порча имущества"... ЭТО менты понимают - все материально. :-)

[Bogdan]

Как это контролируется?

Я пропускаю через себя весь трафик, и единственное, что можно заметить это разницу в статистике на интерфейсах, если я в магистраль врежусь. А если в клиентский кабель, то вообще ничего, разве что ваш авторизатор сам считает статистику и сверяет с сервером, но речь вроде идет об управляемом свиче вместо авторизатора.

[Inco]

Чего-то вы от темы ломанулись, про то какие умные cisco я и так знаю.

Жить то приходится в реальности Ж)

[Bogdan]

Так фишка в том, что эти умные CISCO не для домашних сетей делаются, как бы ни старались убедить общественность в обратном некоторые, и даже против таких дорогостоящих ломов находятся приемы, особенно в тех, местах, где трафик дорогой, а зарплата админа маленькая.

[Inco]

Bogdan, фишка в другом, прочитай 10 раз первое сообщение.

[Nag]

Bogdan,

А для чего они делаются, позвольте спросить? ;-) Часть железа - именно для ДС - только не наших денег... Ну да китайцы и тут помогут.

Врежешься в магистраль - будешь виден в транке как миленький. ;-)

Врежешься к клиенту - сразу не будет видно, да. Но по подозрению - найдут быстро и будут долго вчинять иск. И вчинят...

Стоимость такого рода "воровства" заметно больше, чем полученная прибыль.

[Bogdan]

Nag,

Проблема в том, что доказать что либо трудно. Так что получается единственный способ наказания - рукоприкладство.

А по поводу того, для чего делаются CISCO на днях прочитал хорошую статью в газете Computer Paper Toronto. Там обсуждаются причины развала телекомов в СевАмерике. Типа все делали как нас учили, все по правильному, оборудование самое модное, сплошное CISCO везде, а все равно труба, Мы типа могем подвести каждому домой по 10Mb's а народ почему-то не хочет за это платить по 500$ в месяц, правдо страно?

Ну это я от темы отклонился, а тем не менее даже на полностью управляемой сети можно врезаться, и вы будете очень долгоразбиаться в чем же проблема, особено если действовать с умом. Убедился к сожалению на собственном опыте.

[Nag]

Bogdan,

Ну - сразу рукоприкладство. Конечно, это эффективно.

Но есть масса более гуманных способов... Которые гораздо эффективнее.

 

Насчет развала телекомов в северной америке - это как про загнивание у Жванецкого, надо полагать? Нам бы, типа, так развалиться... Юзвери платят как миленькие по 50 баксов, и в принципе никто не страдает. А остальное - от лукавого - с дуру можно и больше денег зарыть.

Если сейчас порт управляемого коммутатора стоит от 10 баксов (если подходить с головой), это дорого, да? И почему от этого 10 мегабит должны стоить 500 баксов?

 

А вот насчет "врезания" в управляемую сеть - об это поподробнее. Весьма интересно почему, и как это было. Если вообще было...

[Bogdan]

Разваливаются вполне натурально, статья об этом тоже вполне натуральная, цены тоже посмотреть можно, и инет полег массово на днях тоже очень натурально. На мой взгляд это проблема подхода когда народ считает что умная железка за них все сделает, а прямые руки и не нужны как бы. А если б не загибались так специалисты были б не на улице, а на работе, глядишь и своевременно пофиксили бы что надо, чтоб инет не полег.

Порт управляемого свича теперь стоит 10$, когда телеком в ....., и эти свичи у них "никто не покупает". А на быланс этим телекомам эти порты зашли больше чем по 100, оттуда у них и получается 500$ за 10М.

Про врезку все подробности - имела место утечка трафика, пока определенный сегмент не был с обоих сторон отрезан от свичей, а как это было достигнуто я не докопался.

[Nag]

Bogdan,

Хм. Чем умнее железка, тем умнее к ней нужен админ. :-) Разве с этим кто-то спорил? Только один админ в такой сети может заменить толпу ребят-монтажников... И сэкономить деньги.

Только вот загибающихся на улице от голода спецов что-то не видно. Ни у нас, ни у буржуев. Работают, и что характерно, хорошо получают.

 

Про врезку все подробности - имела место утечка трафика, пока определенный сегмент не был с обоих сторон отрезан от свичей, а как это было достигнуто я не докопался.

 

Это не подробности. :-(

Врезку-то хоть нашли? Какие свитчи, какой трафик... В общем - тут гадание на кофе натуральное.

[Tet]

По поводу управляемых свичей от наших узкоглазых братьев:

 

1. http://www.nexo.com.tw/Products/SNMP_ST8I.htm

 

# Port configuring and monitoring through browsers IE 5.0, Netscape 4.0 and higher.

# Embedded SNMP agent and HTTP web server.

# MIB, MIB II, bridge MIB, RMON MIB, and private MIB.

# RMON group 1,2,3 and 9 (Statistics, History, Alarm and Event).

# Up to 4 port-base trunks, each trunk 2-8 ports.

# Up to 9 port-base VLAN groups.

# QoS priority tag.

# Port security and user authentication.

# Support IGMP.

# DNS (Domain Name System) for domain name resolution.

# Multi web session.

# Spanning Tree Protocol supported.

 

# IEEE 802.3(10Mbps).

# IEEE 802.3u (100Mbps).

# IEEE 802.3ad (Port Trunking).

# IEEE 802.3x (Flow control).

# IEEE 802.1d (Spanning Tree Protocol).

# IEEE 802.1q (QoS priority tag).

# RFC 1157 SNMP.

# RFC 1213 MIB II.

# RFC 1493 bridge MIB.

# RFC 1757 RMON.

# RFC 2263 IGMP.

 

2. http://www.lantech.com.tw/product/8330-XXX.htm

Web-based management

SNMP network management

Console and Telnet management

IEEE 802.1q Port Base VLAN and Tag VLAN up to 4094

groups

IEEE 802.1ad Port Trunking and IEEE 802.3 ad LACP

supported

IEEE 802.1d Spanning Tree

MIB II ( RFC1213 ) supported

IP Multi-cast, IGMP Snooping

Quality of Service (QoS)

Port Mirror, Broadcast Filter, Static MAC Address, Port

Security and GVRP supported

 

3. http://www.planet.net.ua/main/product/370.html

 

Complies with IEEE 802.1p QoS / GARP

VLAN support:

- Port-based VLAN

- 802.1Q tagged VLAN with GVRP

Support IGMP V1.0

Support LACP IEEE 802.3ad Port Trunking

Support MAC address filtering

Complies with IEEE 802.1d Spanning Tree

Support port sniffer function

SNMP agent: - MIB 2 (RFC-1213)

- Bridge MIB (RFC-1493)

- Ethernet MIB (RFC-1643)

- RMON MIB (RFC-1493) - statistics, history, alarms, and events

Support to handle up to 1522 bytes packet

One RS232 port as local control console

Telnet remote control console

Web browser based on HTTP server

TFTP/Xmodem software upgrade capability

Internal power supply

LED indicators for simple diagnostics and management

Auto MDI/ MDI-X on each port

 

На каждое из этих устройст есть несколько клонов/аналогов.

 

По поводу цен - по изделиям 1 и 2 цены я хочу узнать сам, по п.3 - 300у.е.(end user)