LINUX.ORG.RU

Статья «IP Accounting»


0

0

Вышла статья, описывающая недостатки учета трафика по IP- и MAC-адресам. Статья рассказывает, как обычными средствами Windows можно без труда обмануть систему учета трафика и программы мониторинга смены IP-адресов. Даются рекомендации, как избавиться от пободных уязвимостей.

>>> Более подробно

anonymous

Проверено: fagot ()
Ответ на: комментарий от Sun-ch

Про MAC ...

The destination address is a valid source address, except for an address which has the lowest bit of the first byte set to '1'. These addresses, including the all 1's broadcast address FF:FF:FF:FF:FF:FF and the set of multicast addresses, are point-to-multipoint addresses and can never appear as the source address in an Ethernet frame. A frame must be sent by a single source. Can you imagine the complications which would arise with learning bridges if this rule was not kept?

robot12 ★★★★★
()
Ответ на: комментарий от robot12

А кртинки в статье .. это провакация .. к повсеместной смене MAC адресов :)

robot12 ★★★★★
()
Ответ на: комментарий от Niki

А кто вообще тебе разрешил по сети брудкасты кидать? Или на хабе сидишь?

anonymous
()
Ответ на: комментарий от anonymous

Господа рассуждающие о проблеме IP-аккаунтинга
забыли о великой и могучей программе ipa
http://ipa-system.sourceforge.net/

Хотя, конечно, линуксоидам не дано понять все прелести
IP-аккаунтинга под FreeBSD



Кстати, не про ipa, а вообще про ip-аккаунтинг, ещё вопрос.
А как сделать источник netflow под Linux'ом?
Под фрёй понятно, а линукс такое умеет?

anonymous
()
Ответ на: комментарий от anonymous

Нафиг IPA если есть NetFlow and AAA на кошке? Или ты думаешь что без БЗДи сеть не разрулить, так я тебе скажу тайну. Сетью рулить можно и на винде, что само-сабой даже удобней будет. ;)

anonymous
()

Афигеть, статья: "Как сменить IP в виндоуз в картинках". На ЛОРе. Я в шоке. Рыдаю.

Barlog_M
()

чуть не аписался со смеху... абалдеть... спасибо за хорошее настроение на весь день....

anonymous
()
Ответ на: комментарий от anonymous

> Кстати, не про ipa, а вообще про ip-аккаунтинг, ещё вопрос. > А как сделать источник netflow под Linux'ом? > Под фрёй понятно, а линукс такое умеет?

как минимум тебе две сцылки на open source проекты:

http://sourceforge.net/projects/ndsad http://sourceforge.net/projects/ipcad

Лучшие коллекторы в своем классе. Оба работают на freebsd, linux. ndsad еще и под венду работает.

anonymous
()
Ответ на: PPPoE от mumpster

>>Реальным вариантом является PPPoE
>Реальным вариантом является 802.1x

Оба, но, пожалуй, PPPoE подешевле.
Но никак не VPN. :)

qwe ★★★
()
Ответ на: комментарий от anonymous

Что значит лучшие коллекторы?
Оба работают в режиме задачи, что есть отстой по определению

Вообще, я так понял, что Linux'у в плане учёта трафика до БСД ещё очень далеко

anonymous
()
Ответ на: комментарий от anonymous

Воопрос вообще не в тему, но хотя смотря как посмотреть.
Раз тут поднималась тема netflow, то в тему.

А в linux есть или может быть планируется какой-то аналог netgraph FreeBSD'шного?

anonymous
()
Ответ на: комментарий от anonymous

Демоны!
Что вы тут трындите нах!!!

Вы сами хоть что-то вообе написали в своей жизни?

Пусть в статье написано то, что вы знали ещё когда в школу не ходили,
но материал написан толково. И с картинками!!!

А по сему, на чувака предлагаю не гнать,
это ещё не самое худшее что можно увидеть на просторах рунета

А вот тех кто пропускает такие новости на ЛОР
мочить в сартире!

anonymous
()
Ответ на: комментарий от anonymous

Ты странный анонимус!

Ты сетью на винде рулить собрался?!!
А чем? Чем я спрошу тебя ты будешь там рулить?
Что вообще умеет твоя винда, скажи мне?

Да они даже winsock сделали после того как долго и мучительно изучали наши БСД'шные сокеты
А про всё остальное я вообще молчу

anonymous
()
Ответ на: комментарий от anonymous

А чем ты собрался на Линуксе рулить? Я продукты могу других производителей поставить который на порядок лучше чем опенсурс? А что ядро Линукса умеет делать?

anonymous
()
Ответ на: комментарий от anonymous

А чем...да хотя бы www.symantec.com Опенсурсовское поделия просто рядом не стоят.

anonymous
()
Ответ на: комментарий от anonymous

>А про всё остальное я вообще молчу

Вот и молчи про все остальное-пол ядра с БЗДи стянуто. ;)

anonymous
()
Ответ на: комментарий от anonymous

Причём тут линукс?????

Тут речь идёт о винде и о БСД
а если ты этого не понял, так сиди и не вмешивайся когда взрослые дяди разговаривают

anonymous
()
Ответ на: комментарий от anonymous

Ну и что тут ты мне свои поделки тычешь?

Скажи что эта поделка могёт чего нельзя замутить во фре?

anonymous
()
Ответ на: комментарий от anonymous

Да хоть что. Хотя бы корпоративный сервер антивирусный. Или хонейпот организовать. Не ту поделку honeyd примитивную до ужаса. Детектор вторжения в сеть. По всей локальной сети. Корпоративный файрвол.

anonymous
()

Администрирование виндоуз в картинках. Твою мать, скоро эти уроды на человеческом языке разучатся разговаривать, будут общаться при помощи жестов и нечленораздельного мычания :-) И эти козлы еще глупо хихикают при упоминании командной строки (не шучу, вокруг меня полно таких кулхацкеров) и сравнивают Linux с DOS...

Ну fagot конечно не прав, шутка слишком неожиданная для непервогоапреля :-)

anonymous
()
Ответ на: комментарий от anonymous

И это все что вы придумалм о Снорте во ФРЕю :) Ребята. Мы сети строим или в игрушки играем? У вас задумки должны от зубов отскакивать! Где корпоратиный файрвол? Где антивирусник? Где хонейпот? ФРЯ рулит сетью? ДА! Вот. Я жду решения! Тот же самый ACS под Лин и Фрю не разрабатывают. Лежит решение от какого то года-лежит. Вы мучаетесь на счет фри радиус, тпкпкс п в Винде нет. И кажется, при чем тут винсокс, когда SMB/NMB спиздили у айбиэм с мелкомягкими, что бы домены организовывать, ео при чем тут Линукс????

anonymous
()
Ответ на: комментарий от anonymous

Да, не спорю. ФРЯ и Лин разрабатывались что бы смотреть жопой в Инет, но это еще не вся ссеть.

anonymous
()
Ответ на: комментарий от anonymous

> в linux есть ... какой-то аналог netgraph?
есть но не аналог. сделано по-другому.
что надо-то?
одно могу сказать - ipfw однозначно сосёт по сравнению с iptables
и вообще net stack у линя с 2.4 получше будет чем во фрюхе (в смысле возможностей)
в других случаях - у кого что лучше.

mumpster ★★★★★
()
Ответ на: комментарий от anonymous

> цисковоркс, опенвью, Авайя нодеменеджер. Что под твою сраную фрю есть
я не апологет фри но должен вам заметить что первые два на жабе писаны так тчо теориетически должны работать и на фре.:-)

mumpster ★★★★★
()
Ответ на: комментарий от mumpster

Не нужно теоретически. Нужно пакет под ФРИ. Я не эксперементатор. И не собираюсь юзать всякую дрянь(смесь с мускулом и тд и тп)

anonymous
()
Ответ на: комментарий от anonymous

Не только на гейте. Кто тебе такое сказал дорогой друг?

Можешь спокойно детектить вторжения во внутренней сети, если тебе хочется.
Почему SNORT не пригоден для использования внутри сети?

anonymous
()
Ответ на: комментарий от mumpster

Ciscoworks похоже что на фре не работает :(
Несмотря на то, что и на жабе написан

anonymous
()
Ответ на: комментарий от mumpster

Можно аргументировать это голослвное утверждение,
что ipfw сосёт по сравнению с iptables?
И pf тоже сосёт?

anonymous
()
Ответ на: комментарий от anonymous

>А то что он написал - бред полный, понормальному траффик считаеться по >netflow (в его биллинге скорее всего также), а не по "IP и MAC адресам".

Откройте для себя кроме Cisco, Juniper и Foundry других производителей.

poison_reverse
()
Ответ на: комментарий от anonymous

>Почему SNORT не пригоден для использования внутри сети?

Потому что не выдает сообщений о локальных машинах.

anonymous
()
Ответ на: комментарий от anonymous

>А во-вторых, ты называй задачи, а не названия софта.

Ну хотя бы сеть стоит. Нужно организовать антивирусную защиту машин.

anonymous
()
Ответ на: комментарий от anonymous

>А PF чем тебе не файрвол?

Тем что он не контролирует то, что происходит в локальной сети. Тока не надо мне говорить что нужно снести все видовые тачки и поставить везде ФРИ.

anonymous
()
Ответ на: комментарий от anonymous

Я тебе ещё раз повторяю, ты можешь поставить сенсор на интерфейс внутри сети и спокойно себе контролировать что происходит внутри.

На интерфейс можно отзеркалить интересующие тебя порты и детекть на них вторжения, сколько тебе захочется.

Короче, это не аргумент. Ещё есть?

anonymous
()
Ответ на: комментарий от anonymous

Что подразумевается под антивирусной защитой машин?

Кроме антивирусной защиты есть задачи?

К слову о honeyd. Чем он не нравится?

anonymous
()
Ответ на: комментарий от anonymous

>Я тебе ещё раз повторяю, ты можешь поставить сенсор на интерфейс внутри сети и спокойно себе контролировать что происходит внутри.

Расскажи как это происходит на свитчах, в других виланах в других городах.

anonymous
()
Ответ на: комментарий от anonymous

>Что подразумевается под антивирусной защитой машин?

Ты что ли издеваешься?

>Кроме антивирусной защиты есть задачи?

Эту реши сперва. Потом перейдем к цисковоркс.

>К слову о honeyd. Чем он не нравится?

Почитай отзывы о нем. Конечно же он дешевый, но....чем он лучше http://www.symantec.com/region/ru/product/DecoyServer.html

anonymous
()
Ответ на: комментарий от anonymous

>На интерфейс можно отзеркалить интересующие тебя порты и детекть на них вторжения, сколько тебе захочется. Короче, это не аргумент. Ещё есть?

Конечно же есть. Сеть из хотя бы 500 машин ты собрался зеркалировать все на порт? :) Или там не один порт? А не проще поставить корпоративный файрвол типа симантек секьюрити и не трахаться с зеркалированием? :) Это не отмазка. Можно другие отмазки-зеркалирование портов не канает. Мне нужно сеть из нескольких филиалов админить. Не один свитч. Кое где стоят хабы. Как я тебе их зазеркалирую? :) Думаем дальше и это не файрвол получился у тебя, а что то типа мониторинга примитивного и через жопу.

anonymous
()
Ответ на: комментарий от anonymous

Тебе всё равно придётся зеркалить порты, какой бы ты софт не использовал.
Иначе, трафик просто не дойдёт до NIDS.
И не важно SNORT это или не SNORT.

Если мы говорим об NIDS.
Если мы говорим о чём-то другом, тогда давай конкретнее.

Что касается случая из огромной распределённой сети,
просто надо ставить не один SNORT, а несколько и потом объединять их
с целью централизованного управления

anonymous
()
Ответ на: комментарий от anonymous

Нет, не издеваюсь.
Можно конкретнее, о каком виде антивирусной защиты идёт речь.
В зависимости от этого и будем предлагать решение

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.