» Вопросы от contrafack

andrejvb
Ну в целом вариантов реализации много так что везде по разному.

andrejvb

Цитата:

Вообще не защищает - ломай-не хочу Именно, удобство + снятие технических ограничений железяки

почему то всегда DMZ у меня ассоциировался, как один из элемента информационной безопасности.. а тут вот оно че !

получается DMZ зона, это нечто "открытого площадки" за NAT/firewall_ом ?
Аналогично можно считать сервер на прямую подключенный к интернету ? (с белым IP адресом)

Цитата:

можно считать сервер на прямую подключенный к интернету ?

Если грубо, то да.

Цитата:

почему то всегда DMZ у меня ассоциировался, как один из элемента информационной безопасности.. а тут вот оно че !  

DMZ кстати бывает разный но самая простая реализация полностью публикует сервер.

contrafack

Цитата:

всегда DMZ у меня ассоциировался, как один из элемента информационной безопасности

И правильно считал. Тока выводы были не верные
military zone - внутренняя зона (безопасная) интрасети, с повышенными требованиями к ИБ
de-miltary zone - зона ограниченной безопасности, входящая в интрасеть. Своеобразная "ничья земля", предполье. Взлом и проникновение на узлы DMZ не способно нанести ущерб внутренней зоне (military zone). Отмечу, что любой форвардинг портов в military zone - грубейшее нарушение основ ИБ
public zone - публичная сеть, внешняя по отношению к интрасети, не контролируемая и опасная по-умолчанию.

p.s. Если чо, то это моё понимание темы, не уверен, что оно соответствует "официальным" докУментам Чиста по-жизни

andrejvb


Блин, парадокс какой-то получается, типа "яйцы от курицы - курица от яйцы"

military zone - это вся зона ЗА файрволом? локальная сеть да?
а de-miltary zone это и есть DMZ зона. не чя зона. но блин опять таки, как нечья ? у него же "белый IP" и значит состоит в интернет зоне (public zone)?


Цитата:

Отмечу, что любой форвардинг портов в military zone - грубейшее нарушение основ ИБ

А это с какого перепуга? а как иначе решать такие задачи, как переброс портов ? Ведь NAT защищает..

contrafack

Цитата:

а как иначе решать такие задачи, как переброс портов

По требованиям ИБ проброс портов в зону локальной сети, содержащую толко доверенные узлы запрещен! Ну сам подумай, мы пробрасываем RDP порт на DC, ради оперативного управления доменом админом. Админ теряет пароль или действует под принуждением, входит в сеть и ... фсё, тушите воду, сливайте свет Другой пример: FTP сервер в локальной сети с проброшенными портами для доступа извне. Есть не маленькая вероятность, что его сломают и получат доступ к конфиденциальной инфе, которая должна быть доступна только локально и ограниченному кругу людей. А открытые (для пасивного режима) порты вполне могут стать управляющими портами для трояна.

Цитата:

Ведь NAT защищает

Он защищает, если в нем нет "дырок" - проброшенных портов. Ну совсем как презерватив
А задачи публикации в Инет сервисов, находящихся в локалке, как раз и решает DMZ. Рамещаем в ней нужные сервисы (web,ftp,mail,vpn, etc), на хосте dmz , ставим 2-ю сетевую и настраиваем файер с РАЗНЫМИ политиками для доступа извне и изнутри сети. В отличии от фаейра на железяке, мы не ограничены ее ресурсами и правила можем писать сколь угодно сложные, не теряя при этом в производительности. Естественно, вся инфа, размещаемая в DMZ, должна быть только публичной! Доступ изнутри - только к ограниченному кол-ву сервисов( н-р, почтовику, ВЕБ-сайту), никаких шар. А доступ внутрь сети из DMZ вообще должен быть или закрыт, или предельно ограничен.
Аналог из жизни : граница и пограничный переход.
Ну и, "на закуску":

Цитата:

DMZ (демилитаризованная зона) — технология обеспечения защиты информационного периметра, при которой серверы, отвечающие на запросы из внешней сети, находятся в особом сегменте сети (который и называется DMZ) и ограничены в доступе к основным сегментам сети с помощью межсетевого экрана (файрвола), с целью минимизировать ущерб, при взломе одного из общедоступных сервисов находящихся в DMZ.

Честно говоря, я туго понимаю, что здесь может вызывать вопросы и непонимание

andrejvb

Цитата:

Честно говоря, я туго понимаю, что здесь может вызывать вопросы и непонимание

уже по тихонько все становится ясным ))) просто долгое время терзало мысли: "а нахрена он нужен, если есть фаер и NAT".. )))
но .можно сказать понятно этот момент.

И если совсем скучно - можем начать тему про VLAN

Вот имеем 2 VLAN, по 10 пользователей. из первого VLAN_а Вася хочет зайти шару на компе Ивана, который находится на втором VLAN_е.
Теперь можно без крови (т.е. не организовав еще один VLAN или DVLAN) разрешить такое? или VLAN_ы они жестко прописываются и никак не перейти?
Ну или как поступают в ситуациях, когда в одного подсети VLAN хотят вдруг печатать на принтер, который находится на другом VLAN_е ?

contrafack

Цитата:

если совсем скучно - можем начать тему про VLAN

Не, нафиг-нафиг
У мну по ним знания больше теоретические. Слишком много компов, сетевухи которых эту фичу не держат, поэтому, по-старинке, использую обычную маршрутизацию.
Мне проще масками зажать подсети, чем при замене компа (или сетевухи) чухать репу, как восстановить прежний функционал.

andrejvb

ок. тогда подождем, может кто то хрошо знаком с VLAN_ами

contrafack
WINS сервер + роутинг между VLAN'ами

goletsa

ну.. это как бы я вам скажу: "вон та с тем"

contrafack
http://ru.wikipedia.org/wiki/Windows_Internet_Name_Service
http://ru.wikipedia.org/wiki/%D0%9C%D0%B0%D1%80%D1%88%D1%80%D1%83%D1%82%D0%B8%D0%B7%D0%B0%D1%86%D0%B8%D1%8F
Так лучше?


Добавлено:
Причем не факт что можно будет заходить на шары по имени типа \\server\share
Поидее WINS решает эту проблему но ниразу не настраивал его.

Цитата:

Вот имеем 2 VLAN, по 10 пользователей. из первого VLAN_а Вася хочет зайти шару на компе Ивана, который находится на втором VLAN_е.
Теперь можно без крови (т.е. не организовав еще один VLAN или DVLAN) разрешить такое? или они жестко прописываются и никак не перейти?
Ну или как поступают в ситуациях, когда в одного подсети VLAN хотят вдруг печатать на принтер, который находится на другом VLAN_е ?

Могу сказать как это выглядит в классике
Создать VLAN_ы на коммутаторе это примерно тоже самое что распилить его на несколько отдельных коммутаторов, трафик между которыми полностью изолирован, смешивается он только на транковых магистралях, но там в каждый фрейм на выходе добавляется тег вилана, а на входе в другой коммутатор этот тег снимается и фрейм рассылается в порты с нашим виланом, получается что каждый VLAN это виртуальный коммутатор состоящий из "выпиленных" кусков разных физических коммутаторов. С точки зрения сетевых взаимодействий - один VLAN - один широковещательный домен, а значит в нем должен быть один сетевой сегмент и связь между VLAN только через устройство 3 уровня (маршрутизатор или L3 коммутатор). Так по крайней мере у cisco, а для задач разделения хостов в пределах одного VLAN у них есть технология private vlan, где можно порты одного VLAN (а значит одного сетевого сегмента) разделить на группы трех типов, любой тип имеет связь через маршрутизатор с другими подсетями, но в первом типе порт изолирован от всех остальных, во втором - связь со всеми кроме первого типа и в третьем связь только с портами своего типа.

Заканчивая теорию и переходя к вопросу пользователи из разных VLAN должны иметь разные подсети и как они будут связываться друг с другом зависит от списков доступа на маршрутизаторе.

contrafack
http://www.cisco.com/en/US/tech/tk389/tk621/technologies_tech_note09186a00800a7af6.shtml

goletsa

Цитата:

Поидее WINS решает эту проблему но ниразу не настраивал его.

почему то уверен, что дохлый номер это. причем тут WINS если сеть изолирован (VLAN) ?

Valery12

теория да, есть над чем думать. а вот на самом деле (практика) не очень и ясно - все же можно или нет?

Farch
спасибо за ссылку, но с английским не очень хорошо, но как понял там делается транк между VLAN_ами.. но а смысл VLAN_а тогда, если 2 VLAN взаимо-связаны ?
У меня пример такой, допустим Вася в VLAN1 работает, в этом группе сети работают еще и 100 пользователей. И только Васи надо иметь доступ к шарам Ивана, который работает в сети VLAN2.

contrafack

Цитата:

почему то уверен, что дохлый номер это. причем тут WINS если сеть изолирован (VLAN) ?  
 

2VLAN'а связываются между собой посредством роутера, который смотри в обе сети.


Добавлено:

Цитата:

У меня пример такой, допустим Вася в VLAN1 работает, в этом группе сети работают еще и 100 пользователей. И только Васи надо иметь доступ к шарам Ивана, который работает в сети VLAN2.

Firewall всему голова

Есть некоторые сайты, куда не могу зайти. думал сайты недоступны, но оказывается всем доступны, кроме меня )))

Вот пример одного сайта:
http://www.trackchecker.info/
на этот сайт почему то не могу зайти, обратился к администратору, он дал мне ссылку через гугл: https://sites.google.com/site/trackcheckersite/main
так нормально открывается.
если использовать анонимайзер или прокси поставить, то нормально заходит на сайт, а с моими IP адресами нет
Мне посоветовали поставить DNS от гугла (8.8.8.8). я поставил у себя на сетевом интерфейсе, в качестве вторичнего IP, но не фурычит.


пинги тоже не идут.
сделал nslookup

Код: C:\>nslookup www.trackchecker.info
*** Can't find server name for address 192.168.1.1: Non-existent domain
Server: google-public-dns-a.google.com
Address: 8.8.8.8

Non-authoritative answer:
Name: ghs.l.google.com
Address: 74.125.143.121
Aliases: www.trackchecker.info, ghs.google.com


C:\>

contrafack
Пять баллов! Я вас прямо не узнаю.

1. Взять livecd и с него глянуть что будет.
2. Перевести модем в режим "моста".

P.S. Была похожая проблема. У меня www.yandex.ru у клиента не работал. Пакеты внутри провайдера куда-то уходили налево. Доказать что-либо не удавалось. Пришлось перейти на др прова. Но вам, насколько я знаю, этот совет не поможет.

contrafack Это бывает. Тут на дружественном форуме один чел жаловался, что никак не может зайти на lostfilm.tv.
Причем очень интересно. Не работает с компа на Windows 7 64-bit. Через прокси работает. С iOS, Android, WinMobile и Windows 8 работает.
Тут нужно долго плясать с бубном. Для начала попробовать открыть сайт по айпи.
У меня он при этом дает ошибку "The requested URL / was not found on this server".
По алиасу http://ghs.google.com/ ошибка аналогичная.
Потом сделать то, что советует urodliv

contrafack
Я тут подумал. Раз у вас adsl, то не поиграться ли вам с mtu.

urodliv


Цитата:

1. Взять livecd и с него глянуть что будет.

смысла нету.
причина - я пробовал зайти с Iphone и с android смартфона (по wi-fi), везде тоже самое.


Цитата:

2. Перевести модем в режим "моста".

нууу попробую, хотя не думаю, что в этом будет причина.


Цитата:

Я тут подумал. Раз у вас adsl, то не поиграться ли вам с mtu.

если бы знал )) что надо делать? я просто никогда не менял системные настройки DSL, ибо "работает - не трогай". DSL последний год, что у нас более менее стабильно работает. До этого небыло недели, чтоб не звонил техподдержку .



Цитата:

Пять баллов! Я вас прямо не узнаю.

Это сарказмом сказано? к чему такое удивление?


vlary

Цитата:

Причем очень интересно. Не работает с компа на Windows 7 64-bit. Через прокси работает. С iOS, Android, WinMobile и Windows 8 работает.

тоже самое у меня.
Мне кажется проблема у провайдера... они блокировали несколько сайтов экстремистского характера (по приказу ФСБ) и горе-специалисты наверно что то переборщили...

contrafack
Цитата:

я просто никогда не менял системные настройки DSL

Это настройки не DSL, а TCP. Рекомендуемое значение MTU для PPPoE поверх DSL - 1454, хотя у меня тоже DSL, и сайт этот открывается даже при значении 1492.
Еще бывает, что слишком рьяные любители безопасности напрочь рубят все входящие ICMP фаерволом, и когда приходит пакет "требуется фрагментация", он не доходит до клиента.

Цитата:

горе-специалисты наверно что то переборщили.

Маловероятно. Ведь пинги туда идут, по айпи он открывается. В имени нет ничего экстремистского. Криво что-то настроить - да, это могли. Если вы не единственный клиент у этого провайдера, неплохо бы поинтересоваться у других насчет проблем с этим сайтом.

vlary


Все же набрался терпением и звонил провайдеру.
из 2_х сайтов, что у меня не открывается - у провайдера один не открылся тоже, а вот Trackchecker.info открывается.
посоветовал мне добрый тех.специалист написать техподдержку росстелекома, т.к. (по его словам) проблема не в нашем сегменте.
Ну чтож, пишу письмо, будем ждать ответа.

contrafack
Трассировать сеть намного информативнее утилитой mtr.
При проблемах с DNS очень желательно ставить внешний сервер на первое место, а не второе. К тому же достаточно проверить разрешается ли имя через утилиту nslookup, хотя тут есть одно НО, nslookup и ping (а точнее вся система, кроме nslookup) используют разные механизмы разрешения имени.
Фраза не идут пинги в какой момент косячит? При разрешении имени или при посылки icmp пакетов?

Alukardd

Странно.. но вот начал сайт работать уже.. звонок помог, но не знаю в чем была проблема.

Но вот остался этот сайт: http://www.superflashcard.com

Точно проблема провайдера, тухнет на краснодарским сервере.

Код: C:\>tracert www.superflashcard.com

Tracing route to ghs.l.google.com [173.194.71.121]
over a maximum of 30 hops:

1 <1 ms <1 ms <1 ms 192.168.1.1
мой подсеть
5 37 ms 32 ms 16 ms 94.255.29.66
6 18 ms 16 ms 48 ms 85.173.2.44
7 27 ms 35 ms 17 ms 85.173.1.55
8 * * * Request timed out.
9 * * * Request timed out.
10 * * * Request timed out.
11 * * * Request timed out.
12 * * * Request timed out.
13 * * * Request timed out.
14 * * * Request timed out.
15 * * * Request timed out.
16 * * * Request timed out.
17 * * * Request timed out.
18 * * * Request timed out.
19 * * * Request timed out.
20 * * * Request timed out.
21 * * * Request timed out.
22 * * * Request timed out.
23 * * * Request timed out.
24 * * * Request timed out.
25 * * * Request timed out.
26 * * * Request timed out.
27 * * 85.173.1.55 reports: Destination host unreachable.

Trace complete.

C:\>

contrafack Да, похоже у вашего провайдера большие глюки при работе с пирами.
Постоянно возникают "черные дыры".

ребята, как подключится по RDP, если на "сервере" серое IP?
думал пробовать через сервис NO-IP, но только передумал... он же решает динамическую адресацию а не белый/серый преобразованием.
Может есть такое ПО или сервис, который может осуществлять удаленное подключение к рабочему столу? главное, чтоб софт был легальный.
Провайдер не хочет делать переброс порта на роутере, по этому надо самому решать эту задачу.
ОС - windows XP pro

VPN не пойдет, надо именно рабочий стол.

Цитата:

VPN не пойдет, надо именно рабочий стол

Эт пАчиму не пойдеть?! По ВПН-каналу усё пойдеть - и файлеГи, и RDP и протчая. Токо ВПН нада пробивать от сервера на промежуточный узел с белым ИП (неважно, что он динамика), который и будет сервером. Т.е., ты конектишся к промежуточному ВПН-серверу и твой сервер конектится к нему, опосля этого вы в одной сети. На OpenVPN это просто прекрасно получается. Промежуточным сервом могёт быть http://lan2lan.ru или ему подобные. А из прог, да исчо и шаровых, которые позволят цепляться за серый ИП - нинаю-нинаю, TeamViewer такое могет, но оно как-бЭ не совсем бесплатное.

andrejvb

Мне это надо настроить человеку, далеко от всех этих технологий, по этому хочу его действия к минимуму снизить. а то можно и на самом деле обойтись даже без промежуточного сервера - сделаешь VPN методами скажем HAMACHI, потом уже "по локалке" коннектится по RDP. но опять таки - много "телодвижений".
Я вот думал может есть какие то сервисы типа NO-IP, которые дают условные хосты, которые сами и рулят порты .