2РТО

Да философия очень проста.

Люди начали писать ИНСТРУМЕНТАЛЬНУЮ систему, то есть целью проекта

было создание удобной, быстрой и надежной системы.

Коммерческие цели при этом не преследовались.

Ленты с релизами Unix раздавались всем желающим.

Потом был Столлман и GNU/FSF.

А БГ - первый кто начал продавать свой Васик, за что был подвергнут

бойкоту в кругу своих же товарищей.

И целью всех его проектов было НАМЫТЬ БАБЛА ЛЮБОЙ ЦЕНОЙ,

впрочем он это никогда и не скрывал.

А Столлман не коммунист, он просто дал людям "свободу выбора".

Свободу от монополий, правительста, идеологии и религии.

Саныч

2 РТО

Посмотрите сколько усилий было потрачено МС + Intel по аппаратной защите

Xbox (Palladium).

А кто дал право МС ограничивать мою свободу выбора софта ?

А хакеры сделами mod-chip дали людям свободу выбора.

Саныч

2 Ikonta: по акцессу - нету у меня такой версии, проверить не могу... проверка на Акцессе 2002 вас ведь не устроит?

увеличить число процессоров нельзя под интеловской платформой - сие ограничение чипсетов... вот сейчас появилась спецификация на добавление доп. памяти - ее винды поддерживают в старших версиях, т.е. можно на горячуюю воткнуть доп. память... про процы - тут с этим пока никак - нет спецификации, которую можно поддержать в софте и нет аппаратной поддержки... се ля ви... может в ХПшном СуперДоме на Итаниуме чего и изменится, но пока инфы нету...

2 Саныч: ленты раздавались всем желающим? круто... а как же преследование автора книги "комментарии к исходникам юникс" и как же с кучей проблем по лицензированию, денег АТиТ брал и т.п.

т.е. по-вашему одним словом юникс-вей философия это - ХАЛЯВА?

Б.Г. был первый, кто сделал отчуждаемый продукт - "коробку" если хотите... то, что народ мечтал и тогда и сегодня о халяве этот народ не извиняет... целью БГ было создание бизнес-модели, с помощью которой возможно само существование компании-разработчика исключительно ПО, а не связки с железкой... доказательством является куча контор, которые живут по этим принципам... сейчас народ пытается доказать, что возможно создание бизнес-модели продажи "свободного" софта, т.е. переключения денежных потоков от программистов на суппортчиков... ну и понятно, что железячники очень и очень обрадовались - можно на халяву получить нечто, о чем много пишут в прессе и без особых затрат втюхать сие в комплекте со своей железкой и/или поддержкой

Вот ведь как странно - БГ в книге Гиннеса ведь не только как самый богатый человек, но еще и как самый крупный меценат и деятель благотворительности - основатель и главный спонсор фонда Билла и Мелинды Гейтс, в который он переводит МИЛЛИАРДЫ долларов в год.

Столлман не дал людям свободу выбора - ее у людей никто не отбирал для начала... она от рождения - таким Бог человека создал. То, что проповедует Столлман классический вариант неокоммунистической пропаганды... просто она кладется на весьма удобренную почву - куча студентов, которые еще не нашли свой путь в жизни + куча амбиций + немного ненависти...

2 Саныч: в ХБоксе нету палладиума, есть достаточно простая система защиты... точно так же как в ПлейСтейшн 2...

Свобода не бывает абсолютной... каждый человек свободен ровно на столько, на сколько он не ограничивает свободу других людей...

- выпусти свою железку, продавай ее дешевле себестоимости, договорись с разработчиками игр и найди бизнес-схему при которой сможешь хотя бы окупить данную работу. потом рассказывай про свободу...

перефразирую В.В. Жириновского - "Россиянин?! - Свободен!"

   я понял - про методологию внедрения безопасных систем вам рассказывать
   бесполезно.  У  вас  в  файрволлах  не  бывает ошибки, в программах не
В таких простых как iptables и крайне популярных опенсорс файрволах -
через год после выпуска первой стабильной версии не бывает.
Нормальному программисту это очевидно.
В МСовских поделках - все бывает.
   бывает закладок и вообще тишь да благодать
Таких закладок чтобы нажал комбинацию клавиш и пустился шелл в серьезном
(например банковском) софте не бывает. Если бэкдоры и добавляют - то
ремутли-эксполитабл.
 Ну а под юниксом можно пустить софтину в chroot если очень хочется (из
которого выкинуты все утилиты и библиотеки).
   Откомпилированный эксплоит - типа бинарник? а если у меня другой проц?
Занавес.. А бинарный машинный код для (который залили и заставили исполнить)
чудесным образом оказался  подо все процы одинаковый. Чудеса!
 Ну а если способ проникновения не буффер-оверран - то тоже просто - заливается
бинарники подо все интересные камни (в одном архиве) и шелл-скрипт выбирает
какой код исполнить.
   Вон  там выше del писал, что эксплоиты на WSH не пишут, WSH скриптовая
Эксплойты может и не пишут (наверно на WSH это крайне коряво выглядит),
а засланные мылом вирусы - все как-то на ВБ и наверно просто WSH..
   примерчик  какого-нить  эксплоита  на  питоне?)
Времени нет. Но скажу что rpc-exploit от del'а но переписанный на перле
выглядеть будет поменьше и покрасивше.
   -  7  авг  2002,  фикс  -  11  дек 2002)"... т.е. между 11 декабря и 7
   августа проходит ровно 6 месяцев!
Ну там в статье сказано что и много раньше об этом писалось, но только
7 авг все по косточкам разложили. Хорошо, не 6 месяцев, а 4 (забыл номер
августа) - типа срок несущественный что-ли?
   до  выхода фикса большинство народа, что занималось обсуждением данной
   проблемы  сошлись  во мнении, что типа сие не есть проблема с АПИ, сие
   проблема кривых рук.
Да, проблема кривых рук сделавших АПИ.
Ну зомби от МС и сотрудники МС может делали вид что обсуждали.
А какие-то жалкие несколько тысяч профессиональных экспертов по секьюрити
до сих пор, глупенькие, твердят что это кривизна АПИ.
   Тем  не  менее,  не  смотря  на заявления автора данной статьи МС таки
   выпустил  фикс,
Герои!! Гениально!! Браво!!  Всего лишь через 4 месяца!!
   при  этом  (если  вы  читали  статью  что я приводил)
   проделав  большую  работу  и  походу дела изменили свое первоначальное
   мнение.
Ну конечно - как его не изменить! 2-3 окна от локалсистем в дефолтовой
установке вин2к - против сего факта не попрешь!
  А что за работа была проделана и зачем (если впрямь по их словам они
заткнули дыру то доп. работа вообще не нужна!)?
   Повторю - что будет, если криворукий программер напишет кривой драйвер
   или там кривой демон, который будет принимать команды от кого попало?
В юниксе демоны можно прибивать (рутом). А драйвера можно выгрузить.
А исправить систему сообщений в винде  невозможно. Даже приложив фикс от МС,
WM_TIMER можно будет посылать, правда уже с огр. выбором колбэков, -
создавая возможность для DoS атаки.
 Ну и скажи что-нибудь про SetWindowTitle - еще хочется посмеяться.
Секьюрити у виндов даже для игровой приставки неприемлимо низкое.
   Типовой пример - программа sendmail - на заре своей памяти... работает
   из-под  рута,  слушает  25  порт...  если  на вход дать хитрую команду
   отдает  консоль по 25 порту (или скажете такого не было? я точно укажу
   ведь  какое  слово для какой версии было... или скажете, что нынче сие
   невозможно?)
Такое было. Но как только админ об эксплойте услышит, он может перестать
пользовать сендмейл, а не ждать 4 месяца с виндой, молясь каждый день в церки.
   я  (ну  и  не  только я) вот предлаю другую систему: уровень хранилища
   (БД) - уровень бизнес-логики - уровень пользователя.
Ну только даун (или менеджер - что чаще всего одно и тоже) может предлагать
такую систему взглядов когда анализируется возможности API.
   которая  приведет  к  схлопыванию программы и передачи управления хрен
   знает  куда, хоть в шел, хоть в дебагер, хоть к чертовой бабушке может
   быть  в программе?
Ну под произвольной версии винды может привести хрен знает куда, согласен..
Но если мы выбираем конфигурацию ОС (пусть даже кривые винды) - то мы должны
выяснить ее поведение в таких случаях, и настроить нужным нам образом.
Иначе как админы мы никто, верно?
 А под юниксом - куда попросим - туда и приведет под любой версией - все
полностью  и точно настраивается. Ты наверно под юниксом вообще ни разу не
сидел (либо не видел чтобы хоть одна программа падала) - вот такую пургу
и несешь.
   Вам  рассказать про один известный файрволл в котором нашли закладку -
   бекдор?  вы действительно про этот скандал не читали?
Ну расскажи.
   вывести  эхо  без  перевода каретки... _часто_ используемая операция -
   настолько, что я впервые о ней задумался после знакомства с вами... вы
   помнится  все  хотели добиться печати "в данном каталоге NNN файлов" в
   одной  строке  и  говорили, что без этого жисть не мила? дык я вам дал
   решение на WSH
Ну так ты про нормальность cmd.exe говорил - причум тут WSH?
И опять бред от МС дальше пошел - зачем тебе печатать в одной строке?
Типа юзеры - и в 3 строки проглотят, не подавятся.. Вот в том то и разница
между юниксом и виндой - юниксы проектировали ученые и под себя, а винду (АПИ,
инструменты) - менеджеры/идиоты без тех. образования, желающие просто
отчитаться как можно раньше о том, что работа сделана.
   угодно  в  железе  есть  требование  на  сертификацию  DataCenter.  на
   установку  патчей  отводится 5 минут в год... практика показывает, что
   укладываются...
В общем давай ссылку на то, что на UNISYS можно менять память, камни на лету.
Слов "UNISYS - супер!" оставь для девушек.
   Про  дебиан  -  там  разговор  за  последнюю  часть шел - passed в том
   предложении  означает  ли это, что "мы УЖЕ прошли тесты, но не получим
   сертификат  так  как  денег нет" или "мы не получим сертификат так как
   денег нет, даже если бы мы прошли тесты"...
   Мой английский друг сие мне по-утру растолковал...
Что за бред ты несешь? Я привел твои цитаты - перечитай их.
"passed" встречалось во 2ой части сложноподчиненного предложения, и не может
влиять на перевод 1ой части (которую ты и перевел неправильно).
   Кстати,  когда  гостехкоммисия  сертифицировала НТ4, то они протестили
   код,  потом  для  них ее при них откомпиляли, записали на болванку и с
   ней они поехали домой...
И что, они ждали 10 часов или сутки пока все при них скомпилиться?
А побайтно скомпиленую версию с продаваемой сравнивали?
А как они убедились что машины, на которых винду собирали, не подсунули
мод. исходники для сборки?
   Так, а откуда мы знаем, что почтовый сервер не дырявый? Вера? Религия?
Анализ кода и знание SMTP протокола.
   а если не почтовый сервер, а веб-сервер со своим приложением на ПХП...
   ошибки  в  приложении  быть могут? а в ПХП?
А типа файрвол каким-то чудесным образом вдруг выяснит что меня ломают, а
не просто какой-то странный запрос прислали?
   iptables чего будет делать если  придет  легитимный  пользователь  по
    80му  порту,  но  проведет  успешную атаку?
В случае если даже сломают защиту - обычно делают так, чтобы сайт можно
было максимум что дефейснуть.
   А как iptable узнает, что с этого ИП идет атака на 25й порт?
SMTP сервер будет ругаться в логи о том, что типа с такого-то IP посылали
некорректный SMTP запрос или слишком длинное имя юзера которому хотят
послать письмо. На а соотв. скрипт из лога вытащит об этом запись, и добавит
фильтр на этот IP адрес для 25 порта.

В общем, iptables достаточен для фильтрации на уровне пакетов. На уровне
приложений - просто не его задача фильтровать. Если нужно на уровне приложений
- есть соотв. продукты и файрволы.
-Vlad

2 PTO

>2 Саныч: ленты раздавались всем желающим? круто...

Bell Labs

1976 год - версия 6 бесплатно раздавалась учебным заведениям

1979 год - версия 7, $100 для универов, $21000 - для остальных

Потом манагеры из AT&T прочухали, что можно срубить бабла и цены

задрали.

Универ Беркли

Лента 4.3 BSD Lite (Net/2) - была доступна за символическую плату

SCO

1996 - Santa Cruz Operation открыло исходники SCO Unix, можно

приобрести по цене носителя.

>но еще и как самый крупный меценат и деятель благотворительности - >основатель и главный спонсор фонда Билла и Мелинды Гейтс, в который >он переводит МИЛЛИАРДЫ долларов в год.

Ветераны люфтваффе тоже имеют свой благотворительный фонд.

Замаливают старые грешки ?

Саныч

2 All

Про файервол. Видел я такой в Win2k Server.

Называется "Фильтрация TCP/IP" - убожество просто редкое.

Как фильтровать пакеты по маске флагов ?

2 РТО Вы бы уж скромно помолчали про пакетные фильтры.

Саныч

Саныч, вам же русским языком объяснили, что Routing and Remote Access Service в Вин2000 и iptables - это не firewall, а всего-навсего stateless packet filter. Почитайте про Internet Security and Acceleration Server чтоли

to anonymous (*) (2003-01-16 16:43:15.043) :

>Саныч, вам же русским языком объяснили, что Routing and Remote Access
>Service в Вин2000 и iptables - это не firewall, а всего-навсего
>stateless packet filter. Почитайте про Internet Security and
>Acceleration Server чтоли

Дорогуша, прежде чем нести чушь что "iptables - это не firewall, а всего-навсего stateless packet filter" прочитайте доку в конце-концов.

2 PTO

>по акцессу - нету у меня такой версии, проверить не могу... проверка на Акцессе 2002 вас ведь не устроит?

Проверка по Акцессу 2002 (и прочим версиям) для меня не имеет практической ценности. Но все равно интересно.

>увеличить число процессоров нельзя под интеловской платформой - сие ограничение чипсетов...

Так почему же старшую версию 2000 виндов обозвали datacenter server, коли она не может поддерживать всех функций?

>вот сейчас появилась спецификация на добавление доп. памяти - ее винды поддерживают в старших версиях, т.е. можно на горячуюю воткнуть доп. память...

Т.е. ты хочешь сказать, что если я захочу в горячем режиме воткнуть еще где-нибудь 256 гигов оперативки - вынь 2000 это сможет понять? Я тебя правильно понял?

2 MsBool Почитал, ладно он таки уже стал stateful и NAT там есть. И это уже firewall ?

А я и не писал, что это файервол

В винде написано "Фильтрация TCP/IP" - это пакетный фильтр.

Я писал, что он убог как поделка папы Карло.

А запоминать состояния соединения ipf умеет уже давно (года 3 это

точно).

Лучше расскажите как в Win 2k настроить такую же возможность.

А может быть еще прозрачный бридж с возможностью фильтрации уже можно

сделать ?

Саныч

2 Саныч "А может быть еще прозрачный бридж с возможностью фильтрации уже можно сделать ? "

Даже смотреть не буду, можно или нет :) Скажите честно, оно вам надо ? :)

2 MrBool Упс, только сщас заметил. Прошу прощения за то, что так жестоко исказил ваш nick :)

>Скажите честно, оно вам надо ? :)

Очень надо, прямо позарез.

Заказчик хочет Win2k в инет выставить и сервисы не нем поднять.

Саныч

2 Cаныч Гм...а зачем в Интернете бридж-то прозрачный ?

На месте заказчикa я бы вам на Вин2000 ничего не заказывал :)

to anonymous (*) (2003-01-16 17:11:05.781) :

>Почитал, ладно он таки уже стал stateful и NAT там есть.
>И это уже firewall ?

Хорошо, давай определимся что в твоем понятии есть firewall ? :)

Во чего обнаружил!

>2 del:
>WSH влияет на уровень безопасности точно так же как компилятор ГЦЦ
>установленный на сервере, где ему не место. Т.е. это еще одна
>_потенциальная_ дыра в эшелонированной обороне. Чем меньше
>_потенциальных_ дыр и возможностей для атакующего, тем выше общая
>защищенность системы.
>Если не отбрасывать кучу _слабо_ влияющих факторов, то они в сумме
>дают _сильно_ влияющий фактор.
Ну-ну, конечная сумма бесконечно малых - бесконечно малое. ;)


>Ну про тьюринга почитайте... так вы Del или Vlad? или раздвоение
>личности
Я - del. Vlad это подтвердит.
Что с тюрингом не так? Я сформилировал практически близко к формальному определению.

>Винда ВинХР Про... я ее не компилил :) ее в Редмонде компилят
Какие заплатки, сервиспаки установлены и как эксплоит компилили.

>Эксплоиты пишутся по-разному. откуда вы знаете, что новый эксплоит не
>будет юзать WSH как доп. механизм для гадостей? Забота о безопасности
>во многом проактивная задача, т.е. думать надо до, а не только после.
Потому-что ВСХ по умолчанию не установлен, сами же сказали . ;))

>Читаю страничку от Дебиана... (вы ее сами-то доконца прочитали, или
>сразу кинулись упражнение в английском делать?)
...
>т.е. сертификация стоит денег и мы врядли ее пройдет, даже если
>успшно прогнали через тесты. (тесты теперь бесплатный, и мы ждем что
Не "мы ее вряд ли пройдем", а "мы ее вряд ли будем проходить" - разный смысл!

>все больше народа будут работать над проблемами POSIX.1 - про POSIX.2
>ни слова)... далее нам расказывают про крутую систему от немецкой
>компании, которая таки сертифицирована по FIPS 151-2, но вот не
>задача - в своем собственном дистрибутиве.
>Короче записываем - вроде как Unifix Linux 2.0 сертифицирован по
>фипсу...
Вот Вам и ответ. ;)

>неужели было так сложно дать такой ответ в самом начале, чем
>рассказывать мне про времена в английском языке.
Согласен, надо было. Стормозил как-то. :(

>Далее... поскольку я не считаю себя таким уж экспертом в английском,
>я обратился что называется к Native Speaker - знакомому автору - его
>вот что он мне сказал: "'even if' means future, passed is past tence,
>however, 'if' as a pre-text means has not done"... кому верить прям
>не знаю...
А мои коллеги перевели это как я перевел. И сказали, что
We will not do it, even if it is done. есть мы это не будем делать, несмотря на то что это уже сделано. Что эквивалентно дебиановскому заявлению. Но Бог с ним, даже если дебиан и знать о посиксе незнает, есть юнайтед линукс. ;) А они "все одинаковые"! ;)

>ну и еще немного о конформансе посиксу...
>Чтобы система была посикс.1 конформант нужно исполнение 3х условий:
>1. реализация интерфейсов по стандарту
А где-же в винде fork(), черт его дери!
>2. разработчик пишет Посикс конформанц документ
>3. проводятся тесты через NIST

>если дебиан успешно сделал п.п.1 как вы думаете, п.п. 2 не требует
>каких-либо денег окромя работы самого производителя - дайте сноску на
> PCD от дебиана, с его заявлениями, что он сделал и как
Нету денег и времени, чтобы заниматься этим. Заметьте, дебиан - самый некоммерческий дистрибутив среди широкоизвестных.

>чтобы система поддерживала посикс.1 помимо реализации набора
>стандартных АПИ для языка Ц, она должна еще помимо того поддерживать
>поддержку регистра в файловой системе, хард-линки, дополнительные
>поля типа "когда файл последний раз открывали"... ну и еще там ряд
>специфических требований.
А в винде файлы case-сенситив? И хардлинки там есть? А сокеты (не винсок)

>Так: все-таки это "политика МСа" или "общие ощущения"?
Общие ощущения от политики майкрософт. ;)

>Статью Володи Мамыкина все-же перечитайте, вы ее похоже не поняли :)
Это Вы про что?

>По дыркам в файрволлах - они там бывают и регулярно. iptables НЕ
>ФАЙРВОЛЛ... пример - стоит почтовый сервер - я на него реализую атаку
>поверх протокола SMTP - как мне фильтр пакетов тут поможет?
А что тогда фаервол? А иптаблес может работать и на аппликейшн уровне. Есть доп. модули к нему.

>вы предлагаете поставить файрволы на все сервера в офисе? а как
Конечно. Фаерволы должны стоять везде.

>насчет легитимного пользователя, которому не выплатили зарплату и он
>занимается саботажем - от него файрволл тоже спасет?
Нормальное разделение прав. Как в юниксе. В винде доступ гвест=доступ рут. Я это уже писал. ;)

>ой-ли все конфиги в одном месте? ой-ли? :)
Да. Если написано не васьпупкиным. И скомпилировано не им. При запуске ./configure можно почти всегда указать, где конфиги лежать будут.

>как настраивать параметры тцп/ип:
>http://support.microsoft.com/default.aspx?scid=kb;en-us;120642
>http://support.microsoft.com/default.aspx?scid=kb;en-us;224829
А почему этого нет в виндовых манах, черт побери! И почему нет более-менее удобного интерфейса для редактирования этого, а-ля виндовс-вэй?

>По рентабельности - она не так высока, есть куча контор, у которых
>рентабельность ВЫШЕ, хоть они и не монополисты... зайдите в любую
>парикмахерскую, столовую и т.п.
Ну про парикмахерскую это Вы загнули. Да и про столовую. Когда я учился в универе, в ГЗ столовые были с отрицательной рентабельностью. Поддерживались за счет универа. А рентабельность у мс _слишком_ высокая. И цена охвиса и виндовс _слишком_ завышена. Недором говорят о сверхприбылях мс.

>Поверте мне ни сотрудников САНа (коих увольняют сотнями и тысячами),
>ни руководство САНа, ни держателей Акций это совсем не устраивает...
>так кого вы понимаете под "САНом" тогда?
Не то чтобы "устраивает", но они понимают необходимость перехода на линукс. В отличии от виндовс.

>Когда мне говорят про извращенную форму коммунизма/социализма я
>всегда вижу под этим подтекст "дайте нам еще раз попробовать"... на
>фиг, больше не дадим.
И не надо. Я не за то, чтобы устраивать коммунизм в стране. Но у коммунизма есть достаточно много положительных моментов и здравых идей. И отмахиваться от них только потому что это - коммунизм, - еще тот бред и фанатизм.

>Столлман настоящий красный большевик, достаточно почитать его речи,
>да он и не скрывает своих симпатий... тут вот на ЛинуксКонгресс в
>Москву дедушка МадДог приезжал - так он про-комми пропоганду такую
>прогнал, что народ в зале между собой уже начал старые парт-собрания
>вспоминать (ну те, кто помнят/застали)
И молодец! Не фига быть в зависимости от корпораций. Эту идею выдвигал не только Столлман, но и Ле Гуин и Саймак, АФАИР.

>Сталин не был коммунистом - он был царем/императором...
Что тоже хорошо.

>ИБМ вкладывает деньги в реализацию поддержки линукса
>_на_своем_железе_, продвижение своего железа, и _УСЛУГ_ (вы в курсе,
>что ИБМ это сервисная компания на половину?)
Ну и молодцы. И что в этом плохого?

>САПДБ это для бедных и по-большому счету поддерживает одно приложение
> - MySAP (для малого/среднего бизнеса).
Что тоже хорошо. А что сделала мс для опенсорс?

>МС дает исходники Windows CE, дает исходники .NET Framework,
>потихоньку открывают исходники Вин2К, ВинХР... по крайней мере в
>России уже они есть
Ага, подачки. Они показывают кусочки кода, но не делают их _свободными_.

>Они не пытаются сделать форматы не совместимыми (новый формат XML
>полностью документирован - ссылку я давал уже выше)... наоборот МС в
Ага, после наезда антимонопольного коммитета. Да и то, после принятия его скажут, что мы его изменили и пользуйтесь только мс-вордом.

>полный рост движется в сторону открытых стандартов и активно
Ага, рассказывайте. ;))

>участвует в их разработке. А пытаются они всего-лишь запретить
>делать, к примеру, конкурирующий продукт, который использует вордовый
Они пытаются _задавить_ конкурирующий продукт. Конкуренция должна помогать простым смертным, а от такой политики они только страдают.

Во чего обнаружил!Re: Нашелся спонсор проекта портирования Linux на Xbox

>Вон там выше del писал, что эксплоиты на WSH не пишут, WSH скриптовая
>система - вы говорите, что на скриптовых языках самое раздолье (можно
>примерчик какого-нить эксплоита на питоне?)... короче вы там между
>собой выясните на чем же писать эксплоиты сегодня считается рулезом,
>потом доложите...
Я не считаю себя профи в эксплоитах, и если уже два человека говорят, что на скриптовых языках эксплоиты рулят, то, наверняка, так оно и есть.

2 MrBool Давай. Пакеты фильтрировать любой роутер умеет. Под файрволом обычно понимают более высокий уровень:

* фильтрация на уровне приложений (DNS, HTTP, SMTP)

* политики доступа для юзера

* правила доступа по времени

* перенаправление трафика

* расширенные средства аудита, мониторинга и оповещения

* intrusion detection

* резервация полосы пропускания под определенные приложения

to anonymous (*) (2003-01-17 10:13:27.054) :

>Давай. Пакеты фильтрировать любой роутер умеет.

Некоторые делают только NAT и ничего больше :)

>Под файрволом обычно понимают более высокий уровень:

Это ты понимаешь обычно так. Все остальные другого мнения :)

Сюда для ликбеза http://www.yourwindow.to/information-security/gl_firewalls.htm

а после сюда http://www.netfilter.org читать что такое netfilter :)

2anonymous (*) (2003-01-17 10:13:27.054) Можно вопрос?..

* фильтрация на уровне приложений (DNS, HTTP, SMTP) Каким местом здесь фаерволл привязан?.. в идеале это отдельная железка.. каким образом она о приложениях узнает?...

2 MrBool "Сюда для ликбеза http://www.yourwindow.to/information-security/gl_firewalls.htm";

Я разве сказал что-нибудь, противоречащее этому определению ? :)

"а после сюда http://www.netfilter.org читать что такое netfilter :)"

Я там и читал :) Main Features stateful packet filtering (connection tracking) all kinds of network address translation flexible and extensible infrastructure large number of additional features as patches

Последние два пункта - пустой звук.

Где здесь identification and authorisation, где logs of all activity ?

2 dead_knight Вы считаете данные протоколы слишком сложными, чтобы софт в железяке мог обрабатывать их пакеты ?

2del

>Когда я учился в универе, в ГЗ столовые были с отрицательной >рентабельностью. Поддерживались за счет универа.

Добавлю, что при коммунистах, обед в профессорской столовой

стоил 1 рупь 20 копеек, при средней зарплате снс в 350 рублей :)

А какое было меню ...

Саныч

anonymous (*) (2003-01-17 11:31:37.578)

А.. не понял.. ты о протоколах говоришь.. или о приложениях эти протоколы использующих?....

Прочитай еще раз свое высказывание

* фильтрация на уровне _ПРИЛОЖЕНИЙ_ (DNS, HTTP, SMTP)

это не то же самое что фильтрация на уровне на уровне протоколов

2 dead-night Я имел в виду application layer :)

2 Cаныч Гм...а зачем в Интернете бридж-то прозрачный ?

>На месте заказчикa я бы вам на Вин2000 ничего не заказывал :)

А на вашем месте я почитал бы про ipf или pf (используется в OpenBSD)

Все man`ы доступны online.

Вся прелесть в том, что машина на которой стоит прозрачный бридж

не имеет ip (эдакий черный ящик) и хопа лишнего она не добавляет,

поломать такую штуку весьма проблематично, но тем не менее она

исправно фильтрует все входящие пакеты, а Вы никогда не поймете

что там есть пакетный фильтр.

Саныч

2 Саныч Интересная идея. Счас времени нет ничего читать. Я не совсем понимаю все-таки зачем оно надо. Если у меня клиентская сеть, у каждого gateway на какой-нибудь роутер, от этого роутера есть вырожденная сеть до другого роутера и между ними стоит прозрачный бридж. Или куда вы его предлагаете ставить ? Ну можно между внешним роутером и сервером. Зачем он нужен, когда фильтрацию можно делать на обоих роутерах и/или серверах ?

И потом вы же сами сказали: "Заказчик хочет Win2k в инет выставить и сервисы не нем поднять." Какаие там сервисы без ИП ?

Win2k имеет реальный IP.

Как зафиксировать прохождение пакетов с поднятыми S/SA флагами

и убить остальные из сетей

xxx.xxx.xxx.200-xxx.xxx.xxx.247 xxx.yyy.xxx.80-xxx.yyy.xxx.200

на 80 порт ?

Тред о том, что штатными средствами Win2k это сделать либо не возможно,

либо весьма проблематично.

Саныч

2 Саныч Ну невозможно :) Что от этого Вин2000 плохим сервером стал ? Не позиционируется он для фильтров и бриджей :) Вы нашли какую-то мелочь и кричите Виндовс отстой :)

А как в Линуксе штатными средсвами сделать что-то типа Active Directory, не просто LDAP, а с групповыми политиками, трастами и пр. ? Или Streaming Media Server ? Линух - отстой ? :)

Про бридж прозрачный все-таки раскажите, зачем нужен, как вы его использовать планировали, а то заинтриговали и молчите :)

Про бридж читаем здесь, на русском языке.

http://www.openbsd.ru/docs/howto-bridge.html

>2 Саныч Ну невозможно :) Что от этого Вин2000 плохим сервером стал ? Не >позиционируется он для фильтров и бриджей :)

ИМХО и никогда не будет, в силу низкой производительности TCP/IP стека

Речь о другом.

Есть Win2k c поднятым IIS, смотрит он прямо в inet.

Мне нужно чтобы он не был виден из IP сетей конкурирующих фирм

прочем попытки таких соединений хочется фиксировать.

В unixe такая задача решается за 2 мин. стандартными средствами.

>А как в Линуксе штатными средсвами сделать что-то типа Active >Directory, не просто LDAP, а с групповыми политиками, трастами и пр. ?

Читаем про Samba версии 3.X

Windows 2000 AD client support, Windows NT 4.0 Style Trust Relationship, NTLMv2

Саныч

2 Саныч "Про бридж читаем здесь, на русском языке. http://www.openbsd.ru/docs/howto-bridge.html";

Что это такое я понимаю, как конкретно он настраивается мне не интересно. Я спрашивал зачем он вам нужен и как вы собирались его использовать ? Вам же он был просто жизненно необходим :)

"Есть Win2k c поднятым IIS, смотрит он прямо в inet. Мне нужно чтобы он не был виден из IP сетей конкурирующих фирм прочем попытки таких соединений хочется фиксировать" ИИС умеет блокировать запросы по адресам твоих коннкурентов и заносить в журнал. Если без журналирования, то можно на уровне адаптера Веб-сервера отбрасывать пакеты.

"Читаем про Samba версии 3.X Windows 2000 AD client support, Windows NT 4.0 Style Trust Relationship, NTLMv2"

Всерьез будем сравнивать Sambу с Active Directory ? :) Кстати последняя новость на samba.org (11th Dec, 2002) Samba 2.2.7a released... А что по поводу streaming media скажете :)

to anonymous (*) (2003-01-17 11:28:25.216) :

Читай еще раз :

"Firewalls are security devices used to _restrict access_ in
communication networks. They _prevent_ computer access
between networks (say from the Internet to your corporate
network),and only _allow access_ to services which are
_expressly registered_."

Это значит что netfilter относится к категории firewall
так как делает именно то что описано выше (неважно что это
не железяка :) А насчет "logs of all activity" читать http://www.netfilter.org/documentation/tutorials/blueflux/iptables-tutorial.ht "5.5.5. LOG target"

>Где здесь identification and authorisation

Это отдельная песьня и к firewall стоит боком :)

2 MrBool Ладно, в терминологические дебри не полезу. Пусть он будет файрволом :) Однако его функционал оставляет желать...

2 Саныч "ИМХО и никогда не будет, в силу низкой производительности TCP/IP стека"

Аргументируйте, пожалуйста

to nonymous (*) (2003-01-17 14:58:33.643) :


>Ладно, в терминологические дебри не полезу.
>Пусть он будет файрволом :) Однако его функционал
>оставляет желать...

Ну это как говорится "на вкус и цвет..." :)

>" ИИС умеет блокировать запросы по адресам твоих коннкурентов и >заносить в журнал. Если без журналирования, то можно на уровне адаптера >Веб-сервера отбрасывать пакеты.

Веб сервер занимается фильтрацией пакетов! А по маске флагов

он тоже умеет фильтровать ?

Такого я еще не видал.

И какова производительность такого решения ? В тыс./пакетов в секунду?

Да он просто сдохнет под такой нагрузкой.

>Всерьез будем сравнивать Sambу с Active Directory ? :)

А никто и не будет делать на Sambe AD. Людям нужна интеграция c AD,

а не полный аналог.

Ведь написано "Windows 2000 AD client support", код уже написан и

интенсивно тестируется в ветке 3.Х.

>А что по поводу streaming media скажете :)

А что это такое ? И какое отношение имеет к треду ?

Замечательная логика виндовозов, скажешь что в W2k плохой пакетный

фильтр, а тебе ответят а зато у вас AD нет, streaming media нет,

и Мастер подключения к интернет не работает !!

Саныч

>2 Саныч "ИМХО и никогда не будет, в силу низкой производительности >TCP/IP стека"

>Аргументируйте, пожалуйста

Поставьте на W2k 3-4 сетевые карты, и попробуйте сделать из него

роутер для 3-4 сегментов.

Вы будете приятно удивлены его производительностью.

А подобные решения на unix встречаются достаточно часто, даже спец.

дистрибутивы есть на 1 дискете.

Саныч

2 Саныч "Веб сервер занимается фильтрацией пакетов! А по маске флагов он тоже умеет фильтровать ?"

Веб сервер занимается тем, что отбрасывает нежелательные запросы. Для каждой страницы можно свои правила сделать. Что здесь удивительного ? Какая-такая нагрузка ? :)))

"Людям нужна интеграция c AD, а не полный аналог."

Значит людям все-таки нужна и сама AD :) А почему не что-либо на Линуксе ?

"Ведь написано "Windows 2000 AD client support", код уже написан и интенсивно тестируется в ветке 3.Х."

Не приучен бетами пользоваться :)

">А что по поводу streaming media скажете :) А что это такое ? И какое отношение имеет к треду ? Замечательная логика виндовозов, скажешь что в W2k плохой пакетный фильтр, а тебе ответят а зато у вас AD нет, streaming media нет, и Мастер подключения к интернет не работает !!"

К треду о том, что Нашелся спонсор проекта портирования Linux на Xbox никакого. Также как и то, что Вин2000 не может сделать Ethernet bridge :)))

2 Саныч "Поставьте на W2k 3-4 сетевые карты, и попробуйте сделать из него роутер для 3-4 сегментов. Вы будете приятно удивлены его производительностью"

1. Вы такой эксперимент проводили ? Раскажите.

2. Мне как-то Вин2000 в качестве роутера не приходилось использовать, у него много других хороших применений :) Здезь бесплатный Линукс самое оно. Вы упорно пытаетесь сравнить Виндовс с Линуксом в областях, для которых Виндовс не предназначен. Давайте посравниваем в копоративной среде :)

3. Скорость роутинга != производительность TCP/IP стека. И потом сколько было разговоров о том, что МС спер стек у BSD :)

>Веб сервер занимается тем, что отбрасывает нежелательные запросы. Для >каждой страницы можно свои правила сделать. Что здесь удивительного ? >Какая-такая нагрузка ? :)))

Почитайте что нибудь про DoS атаки. Хинт - MSDOS тут не причем :)

Представьте, что на ваш сервер приходит десятки тысяч/сек, не

нежелательных запросов от www клиента, а хитрым образом сформированных

ip пакетов, чувствете разницу ?

Может быть тогда прийдет понимание того, что фильтрацию лучше

делать на как можно более низком уровне.

>Значит людям все-таки нужна и сама AD :)

Людям нужна интеграция с AD.

Samba сделали для интеграции с продуктами МС, если в сети

нет не одной машины с виндовз (да, да, есть такие сети), то она никому

не нужна. Для интеграции unix хостов есть свои решения.

>3. Скорость роутинга != производительность TCP/IP стека.

Скорость роутинга очень сильно от эффективной реализации TCP/IP стека.

И причем на unix можно собрать ядро, специально заточенное под эту

задачу.

И еще конечно от железа.

>сколько было разговоров о том, что МС спер стек у BSD :)

Если Вы читали книжки, то наверное помните, что первая

реализация TCP/IP стека была сделана именно под архитектуру BSD ядра.

И до сих пор реализация BSD считается самой быстрой.

А в виндозе была сделана нашлепка в виде BSD стека.

Саныч

2 Саныч "Почитайте что нибудь про DoS атаки. Хинт - MSDOS тут не причем :) Представьте, что на ваш сервер приходит десятки тысяч/сек, не нежелательных запросов от www клиента, а хитрым образом сформированных ip пакетов, чувствете разницу ? Может быть тогда прийдет понимание того, что фильтрацию лучше делать на как можно более низком уровне."

На мой Веб-сервер извне ничего кроме Веб запросов приходить не может, поверьте мне :) Если вас DoSят из этих сетей в чем проблема отбрасывать все их пакеты на роутере, даже если он Вин2000 ? Или Unix предлагает некий спасительный рецепт от DoSa? Не надо по ходу менять условия, изначально нужно было, чтобы конкуренты ваш сайт не видели.

"Samba сделали для интеграции с продуктами МС, если в сети нет не одной машины с виндовз (да, да, есть такие сети), то она никому не нужна. Для интеграции unix хостов есть свои решения. "

Вот я и жду достойного решения для Directory Services под Линукс. Желательно при этом учитывать, что десктопы у нас Виндовс как ни крути.

И по поводу стека. Я так и не понял, на чем кроме святой веры основано утверждение о плохой скорости роутинга в Вин2000 ?

2PTO (Если Вы еще здесь)

>То, что проповедует Столлман классический вариант неокоммунистической >пропаганды... просто она кладется на весьма удобренную почву - куча >студентов, которые еще не нашли свой путь в жизни + куча амбиций + >немного ненависти...

Наверное я согласился с этим утверждением если вместо Столлмана был

Че Гевара (надеюсь, что правильно написал).

А в чем харизма Столлмана, чем он привлек эту кучу студентов ?

Портированием gcc ? Написанием гнутого утиля ?

Согласитесь ведь это слишком академично, сложно и скучно.

Кстати: а это тоже студенты которые еще не нашли свой путь в жизни?

The following people at the Hewlett-Packard Company contributed support for the PA-RISC 2.0 architecture, HP-UX 10.20, 10.30, and 11.0 (narrow mode), HP's implementation of kernel threads, HP's aC++ compiler, and the terminal user interface: Ben Krepp, Richard Title, John Bishop, Susan Macchia, Kathy Mann, Satish Pai, India Paul, Steve Rehrauer, and Elena Zannoni. Kim Haase provided HP-specific information in this manual.

Эта бригада участвовала в создании gdb.

Саныч

>Если вас DoSят из этих сетей в чем проблема отбрасывать все их пакеты >на роутере, даже если он Вин2000 ?

Роутер на M9 (звоните туда :-0).

>На мой Веб-сервер извне ничего кроме Веб запросов приходить не может, >поверьте мне :)

Надежды юношей питают...

Саныч

2 Саныч О стеке TCP/IP и Directory Services на Линуксе разговор закончили...

Что такое М9 я не знаю, но если вас DoSят из конкретных сетей, то это уже не только техническая проблема. Надо просить своего провайдера перекрыть им доступ, ругаться с конкурентами, ругаться с их провайдерами.

Так на то и файрвол, чтобы понимать, что есть HTTP запрос, а что хитрый пакет на 80 порт

"Скорость роутинга != производительность TCP/IP стека. И потом сколько было разговоров о том, что МС спер стек у BSD :)"

Кривыми рученками можно все что угодно изуродовать...

"Вот я и жду достойного решения для Directory Services под Линукс. Желательно при этом учитывать, что десктопы у нас Виндовс как ни крути."

eDirectory от Novell и утрись

>Так на то и файрвол, чтобы понимать, что есть HTTP запрос, а что хитрый
> пакет на 80 порт
А Вы можете формально отличить нормальный хттп пакет от деструктивного?
И не надо говорить, что хитрые коммерческие фаерволы настолько умные, что сами это делают. Нифига! Они делают не более чем iptables, но только есть дофига предустановленных рулей и мышетаскательный интерфейс. А если на них наехать, почему мол IIS, стоящий за этим фаерволом, подцепил кодеред, то они скажут, что это ваши проблемы и проблемы глючного ИИС.

anonymous (*) (2003-01-17 19:53:15.303)
>"Вот я и жду достойного решения для Directory Services под Линукс.
>Желательно при этом учитывать, что десктопы у нас Виндовс как ни
>крути."
>eDirectory от Novell и утрись


Извините, я не совсем понял, а чем Вас самба не устраивает. И что Вы конкретно хотите от АктивДайректори. Может быть все решается гораздо проще.