שירשור שאלות לאריה
- פותח הנושא antidot
- פורסם בתאריך
בעיקר מדובר בהפעלה של access-list
על ממשקי הניהול השונים של הנתבים (telnet,ssh ו-snmp) כמו כן שימוש ב-SSH במקום TELNET (מחייב גרסת IOS מיוחדת עם תמיכה ב-DES) בגרסה 12.3 של IOS יצא feature בשם auto-secure שמטרתו "לסגור" את הנתב לפי המלצות של סיסקו http://www.cisco.com/univercd/cc/td/doc/product/software/ios123/123newft/123_1/ftatosec.htm הפעלת השרות הזה עושה כל מיני דברים שכדאי להבין לפני שעושים, בעיקר מה משמסוכן זה שזה ימנע שחזור ססמת enable של הנתב במקרה ששוכחים אותה (כלומר לא יהיה אפשר אפילו לפרוץ את הנתב אם יש אליו גישה פיזית וכד') אני ממליץ בד"כ להשתמש במסמך של ה-auto-secure כהמלצה לדברים שכדאי לעשות ידנית ולא בעזרת הפקודה עצמה
על ממשקי הניהול השונים של הנתבים (telnet,ssh ו-snmp) כמו כן שימוש ב-SSH במקום TELNET (מחייב גרסת IOS מיוחדת עם תמיכה ב-DES) בגרסה 12.3 של IOS יצא feature בשם auto-secure שמטרתו "לסגור" את הנתב לפי המלצות של סיסקו http://www.cisco.com/univercd/cc/td/doc/product/software/ios123/123newft/123_1/ftatosec.htm הפעלת השרות הזה עושה כל מיני דברים שכדאי להבין לפני שעושים, בעיקר מה משמסוכן זה שזה ימנע שחזור ססמת enable של הנתב במקרה ששוכחים אותה (כלומר לא יהיה אפשר אפילו לפרוץ את הנתב אם יש אליו גישה פיזית וכד') אני ממליץ בד"כ להשתמש במסמך של ה-auto-secure כהמלצה לדברים שכדאי לעשות ידנית ולא בעזרת הפקודה עצמה
רמת האבטחה של 2003 לעומת 2000
אריה שלום, מייקרוסופט טוענים שרמת האבטחה של 2003 SERVER הרבה יותר גבוהה מזו של SERVER 2000, האם בפועל אכן יש הבדלים משמעותיים? אשמח להתייחסות גם ל EXCHANGE 2003. שאלה נוספת: אשמח לקבל הפניות לאתרים מומלצים בהם ניתן ללמוד על אבטחת מידע. נ.ב. היום הייתה לנו בדיקת אבטחת מידע שלפי מה שהסביר לי הנהל שלי לפניה ואחריה, היא בעיקר פוליטית, ופחות עניינית, כמו שלדבריו קורה בדר"כ בעניינים האלה, חבל, קיוויתי ללמוד קצת יותר הרבה תודה מראש סוף שבוע משובח
אריה שלום, מייקרוסופט טוענים שרמת האבטחה של 2003 SERVER הרבה יותר גבוהה מזו של SERVER 2000, האם בפועל אכן יש הבדלים משמעותיים? אשמח להתייחסות גם ל EXCHANGE 2003. שאלה נוספת: אשמח לקבל הפניות לאתרים מומלצים בהם ניתן ללמוד על אבטחת מידע. נ.ב. היום הייתה לנו בדיקת אבטחת מידע שלפי מה שהסביר לי הנהל שלי לפניה ואחריה, היא בעיקר פוליטית, ופחות עניינית, כמו שלדבריו קורה בדר"כ בעניינים האלה, חבל, קיוויתי ללמוד קצת יותר הרבה תודה מראש סוף שבוע משובח
החוק הכי בסיסי ב-FW של ארגון
אומר שום פורט לא נכנס פנימה, ומותר לצאת החוצה אם רוצים לא לאפשר אפליקציות, אז צריך לחסום אותן... חלק ניכר מהאפליקציות שבד"כ רוצים לחסום משתמשות בפורטים דינאמיים או כאלו שלא תרצה לחסום (כמו פורט 80), ולכן דרושה יכולת לזהות אותם ב-layer 7... אפשר לעשות זאת עם FWים שונים (אני יודע של-checkpoint יש את ה-AI בגרסאות האחרונות, אבל אני לא ממש מכיר...) כמו כן יש ציודים שמטרתם ניהול רוחבי פס, וגם הם בד"כ יודעים לחסום ברמת האפליקציה. מוצרים כאלו אפשר למצוא למשל בחברות כגון Allot ו-packeteer הפעלת מסנג'ר באירגון מסוכן באותה מידה כמו הפעלה של כל קוד שאין לך שליטה מלאה עליו. אין שום דרך אמיתית לדעת איזה exploitים יש בו, ואיזה פרצה הוא יוצר (עד שמישהו מפרסם את זה כמובן). מצד שני, אם זה משמש לעבודה, זהו כלי חזק מאוד (ולעתים חוסך המון כסף) - כדאי לחשוב ברצינות על מגבלות, אבל בהיגיון
אומר שום פורט לא נכנס פנימה, ומותר לצאת החוצה אם רוצים לא לאפשר אפליקציות, אז צריך לחסום אותן... חלק ניכר מהאפליקציות שבד"כ רוצים לחסום משתמשות בפורטים דינאמיים או כאלו שלא תרצה לחסום (כמו פורט 80), ולכן דרושה יכולת לזהות אותם ב-layer 7... אפשר לעשות זאת עם FWים שונים (אני יודע של-checkpoint יש את ה-AI בגרסאות האחרונות, אבל אני לא ממש מכיר...) כמו כן יש ציודים שמטרתם ניהול רוחבי פס, וגם הם בד"כ יודעים לחסום ברמת האפליקציה. מוצרים כאלו אפשר למצוא למשל בחברות כגון Allot ו-packeteer הפעלת מסנג'ר באירגון מסוכן באותה מידה כמו הפעלה של כל קוד שאין לך שליטה מלאה עליו. אין שום דרך אמיתית לדעת איזה exploitים יש בו, ואיזה פרצה הוא יוצר (עד שמישהו מפרסם את זה כמובן). מצד שני, אם זה משמש לעבודה, זהו כלי חזק מאוד (ולעתים חוסך המון כסף) - כדאי לחשוב ברצינות על מגבלות, אבל בהיגיון
חס ושלום!
מי שחוסם ICMP לחלוטין, פוגע במספר מנגנונים חשובים, שהחשוב שבהם הוא path MTU discovery, שמפריע בעיקר בסביבות בהן יש VPNים (כמו ב-ADSL ובכבלים בארץ). הבעיה היא בעיקר עם שרתים אשר לא מאפשרים ל-ICMP להיכנס (עבור הודעות fragmentation needed and DF set, שזהו ICMP TYPE 3,CODE 4) זה גורם לאתרים הללו לא לעבוד, ומחייב את הלקוח להוריד MTU בצורה ידנית... זהו מסמך שמסביר על זה קצת: http://www.networksorcery.com/enp/protocol/icmp/msg3.htm
מי שחוסם ICMP לחלוטין, פוגע במספר מנגנונים חשובים, שהחשוב שבהם הוא path MTU discovery, שמפריע בעיקר בסביבות בהן יש VPNים (כמו ב-ADSL ובכבלים בארץ). הבעיה היא בעיקר עם שרתים אשר לא מאפשרים ל-ICMP להיכנס (עבור הודעות fragmentation needed and DF set, שזהו ICMP TYPE 3,CODE 4) זה גורם לאתרים הללו לא לעבוד, ומחייב את הלקוח להוריד MTU בצורה ידנית... זהו מסמך שמסביר על זה קצת: http://www.networksorcery.com/enp/protocol/icmp/msg3.htm
לא, זה לא יעזור
כי את ה-ICMP צריכים לפתוח בצד השרת (נא לקרוא את הלינק ששלחתי) מה שאתה צריך לעשות זה או להקטין לכולם את ה-MTU לסביבות ה-1400 (לא זוכר כרגע בדיוק, וזה גם תלוי בסוג החיבור PPPoE/PPTP וכד') או להשתמש ב-MSS ADJUST שקיים בנתבי CISCO (בעיקר הקטנים) אבל רק בסביבת NAT Troubleshooting MTU Size in PPPoE Dialin Connectivity MSS ADJUST
כי את ה-ICMP צריכים לפתוח בצד השרת (נא לקרוא את הלינק ששלחתי) מה שאתה צריך לעשות זה או להקטין לכולם את ה-MTU לסביבות ה-1400 (לא זוכר כרגע בדיוק, וזה גם תלוי בסוג החיבור PPPoE/PPTP וכד') או להשתמש ב-MSS ADJUST שקיים בנתבי CISCO (בעיקר הקטנים) אבל רק בסביבת NAT Troubleshooting MTU Size in PPPoE Dialin Connectivity MSS ADJUST
jumpgate
New member
סוגייה שעלתה בפורום 20
http://www.tapuz.co.il/tapuzforum/main/Viewmsg.asp?forum=20&msgid=28938528 ההגיון אומר שהמחשב אכן חייב כתובת IP בתחום 192.168.100.0/24, ואף על פי כן יש גישה לממשק הניהול של המודם גם דרך SUBNET שונה (אין PING). האם מדובר בניתוב סטטי כלשהוא במערכת הכבלים או שהנחת היסוד שגוייה? יש פתרון לתעלומה?
http://www.tapuz.co.il/tapuzforum/main/Viewmsg.asp?forum=20&msgid=28938528 ההגיון אומר שהמחשב אכן חייב כתובת IP בתחום 192.168.100.0/24, ואף על פי כן יש גישה לממשק הניהול של המודם גם דרך SUBNET שונה (אין PING). האם מדובר בניתוב סטטי כלשהוא במערכת הכבלים או שהנחת היסוד שגוייה? יש פתרון לתעלומה?
לא ממש ירדתי לשורש הסיפור בשרשור
ששלחת, אבל הרעיון של תחנת IP הוא שאם כתובת היעד איננה מקומית (כלומר לא ב-subnet אליו התחנה שייכת), אזי הולכים לטבלת הניתוב ומחפשים בה את הדרך את היעד. ב-PC זה בד"כ default GW (אבל לא חייב להיות רק) במקרה שהמודם ב-subnet אחר, הרי יכולות להיות 2 אפשרויות - או שיש נתב בדרך שמסדר את העניין (כמו נתב ביתי בין ה-PC למודם), או שזה לא יעבוד... ישנו מקרה אחד שבו זה עובד קצת שונה... מדובר במנגנון שנקרה proxy arp, והוא מבוסס על הרעיון שהנתב יענה לכל בקשת ARP לכל IP שהוא יודע להגיע אליו... תחנות WINDOWS צריכות שה-default GW יהיה מוגדר ל-IP שלהן עצמן כדי לנצל מנגנון זה... http://www.cisco.com/warp/public/105/5.html
ששלחת, אבל הרעיון של תחנת IP הוא שאם כתובת היעד איננה מקומית (כלומר לא ב-subnet אליו התחנה שייכת), אזי הולכים לטבלת הניתוב ומחפשים בה את הדרך את היעד. ב-PC זה בד"כ default GW (אבל לא חייב להיות רק) במקרה שהמודם ב-subnet אחר, הרי יכולות להיות 2 אפשרויות - או שיש נתב בדרך שמסדר את העניין (כמו נתב ביתי בין ה-PC למודם), או שזה לא יעבוד... ישנו מקרה אחד שבו זה עובד קצת שונה... מדובר במנגנון שנקרה proxy arp, והוא מבוסס על הרעיון שהנתב יענה לכל בקשת ARP לכל IP שהוא יודע להגיע אליו... תחנות WINDOWS צריכות שה-default GW יהיה מוגדר ל-IP שלהן עצמן כדי לנצל מנגנון זה... http://www.cisco.com/warp/public/105/5.html
Copyright©1996-2021,Tapuz Media Ltd. Forum software by XenForo® © 2010-2020 XenForo Ltd.