שירשור שאלות לאריה

[jumpgate]

נמקד את הסיפור

1. מחשב אישי מחובר ישירות למודם כבלים ללא תחנות ביניים. 2. למחשב כתובת IP חוקית או כתובת בתחום 172 שהושגה דרך DHCP. 3. למחשב כתובת DEFAULT GW שונה מכתובת ה IP שלו, אך באותו SUBNET. 4. לצורך העניין, חייגן VPN מנותק או לא קיים כלל. 5. אין PING למודם. 6. ממשק הניהול של המודם נגיש דרך כתובת 192.168.100.1. 7. ARP CACHE במחשב האישי מכיל אך ורק את ה MAC של ה DEFAULT GW סעיף 5 תואם את הנחת היסוד שלנו לגבי התנהגות תחנת IP ב SUBNET שונה מתחנת היעד, אבל סעיף 6 מתקיים על אפה ועל חמתה. הכיצד?

 

[ariev]

נשמע מאוד מוזר...

האם ה-MAC של ה-Default gateway הוא זה של המודם?

 

[jumpgate]

שלילי

ה MAC של המודם שונה מזה של ה GW.

 

[ariev]

הדבר היחיד שעולה לי בראש

זה שהמודם רואה packet שה-dest ip שלו מתאים לעצמו, והוא "תופס" את ה-packet ומתייחס אליו... זאת לא התנהגות צפויה ממודם שאמור להיות bridge, אבל הכל יכול להיות

 

[מיצו]

הגנה על שרת באמצעות IPSEC

נתקלתי בשיטה שבה משתמשים בפילטרים של IPSEC על מנת להגן על שרתי WEB או דואר במידה והם עצמם לא נמצאים מאחורי FW או שאי אפשר לסמוך על ה- FW שמגן עליהם. מדובר בשרתי Windows 2000/2003. מה דעתך על השיטה, האם לדעתך זה מעכב ו/או גורע באופן משמעותי מהביצועים של השרת?

 

[ariev]

אני לא ממש בטוח למה אתה מתכוון

רוצה להסביר קצת יותר?

 

[מיצו]

הסבר

אני מניח שאתה בקיא ב- IPSEC. ב- 2000/XP/2003 ניתן ליצור IPSEC POLICY שמגדיר הצפנה עבור כל התעבורה הנכנסת או יוצאת, או ספציפית, הצפנה על פורטים מסויימים או תעבורה מ- IP אחד ל- IP אחר. ניתן באמצעות ה- POLICY הזה ליצור גם פילטרים שלא יצפינו אלא פשוט יחסמו (BLOCK) את אותו סוג תעבורה שהוגדר בפילטר. לדוגמה, שרת של לקוח שמאוחסן אצל בזק בינלאומי, במקום לסמוך על ההגנה שלהם על השרת (אני לא מחווה דעה, אני רק מציין עובדה) הפעלתי FILTER שחוסם את כל התעבורה הנכנסת לשרת, ועכשיו התחלתי לפתוח את הפורטים הרלוונטיים לשרת אינטרנט. התוצאה - שרת שמגיב אך ורק לפורטים הרלוונטיים, לא לשום סוג אחר של תעבורה. משאלתך אני מבין שלא נתקלת בזה בעבר. רציתי לדעת אם סוג כזה של הגדרה עושה רע לשרת מבחינת ביצועים, אבל אני מניח שקיבלתי את התשובה. אתה רוצה מאמר על הנושא?

 

[ariev]

אני לא ממש נוגע בשרתי WINDOWS

כבר כמה שנים... השרתים היחידים שיצא לי ממש להתעסק איתם היו סוגים שונים של UNIX, ושם מה שאתה מתאר הוא טבעי, ולא פוגע בשום ביצועים...

 

[ariev]

שזה אגב רמז לאיך אני חושב שצריך

להתקין שרת (כלומר על UNIX/LINUX)

 

[antidot]

לא נגזים...

אני דווקא מכיר כמה דרכים לבנות שרתי מייקרוסופט מאובטחים. זה שהרב עובד עם ברירות מחדל, זאת הבעיה שלהם

 

[LiCooper]

קצת הגזמת. כמי שמכיר Windows טוב

ואבטחת מידע בכלל. מן הראוי לציין שיש בחלונות מנגנוני אבטחה רבים ויכולת להגן בצורה טובה מאוד עליהם. אבל כמו כל דבר צריך ללמוד! שלך בהוקרה

 

[antidot]

יש עתיד לנחושת ?

הייתה תקופה שבה הסיבים נראו כמשהו שיחליף לגמרי את נחושת. נכון להיום נחושת מגיעה כבר למהירויות של 10Gb. יצא לי להתקל באנשים שפורסים נכון להיום תשתית על בסיס סיבים. האם לדעתך זה מוצדק ?

 

[ariev]

אני אישית פועל בשיטה של

נחושת איפה שאפשר, וסיבים איפה שצריך... המקום היחיד שבו לא חוסכים זה על קווים חשובים מאוד (כמו קו GIGA לספק אינטרנט גדול...)

 

[ariev]

אגב תשתית,

אם כבר פורסים תשתית נחושת, אז הרבה קבלנים אוהבים את הכבלים השמנים והאדומים (והיקרים). אני לא מאמין בכבלים הללו... כבל PDS הכי פשוט מספיק להכל!

 

[antidot]

כבר דשנו פעם בסוגיה, אבל...

EasyVPN של סיסקו... יש 2 אפשרויות: - נתבים במשרדים מרוחקים מבצעים NAT - נתבים במשרדים מרוחקים מנתבים רגיל (למעשה נוצרת רשת גדולה גדולה מנותבת) הטענה של בזק היא שכל נתב קצה במקרה השני חייבים להגדיר בsubnet נפרד. דוגמאות של הקונפיגורציה של סיסקו אומרות אחרת (כל נתבי הקצה באותו subnet). מי צודק ?

 

[ariev]

לא עשיתי את זה אף פעם בפועל בעצמי

אבל הייתי מאמין לדוגמאות של סיסקו משמעותית יותר מלאלו של בזק

אם אני זוכר נכון, הנתב במרכז גם מחזיק אישהו POOL של כתובות ויכול לבצע NAT.... לפי מיטב הבנתי אין ממש חשיבות לכתובות של ה-remote site, כל עוד יש routing מהמרכז ל-spoke...

 

[antidot]

---->

אני מדבר על network extension מכאן: http://www.cisco.com/en/US/products/sw/iosswrel/ps5012/products_feature_guide09186a00800a8565.html אכן הHUB מחזיק את כpool עבור הspokes. מה שכן, ראיתי דוגמא בה כל הspokes באותו subnet. על פניו בעייתי, אבל עבד תקופה והפסיק. פיצול לsubnet-ים שונים עבור כל מקטע hub-spoke פתר את הבעיה.

 

[ariev]

כפי שאמרתי, אני לא מומחה גדול לזה..

אני מתייחס ל-IPSEC כעוד סוג של תעבורה ברשת

 

[antidot]

ככה זה כשמחוברים לGSR ../images/Emo3.gif

עבורינו, בני התמותה, IPSEC הוא פרוטוקול די מעיק לקינפוג.

 

[ariev]

אשתי פקדה עלי לעזוב את המחשב

אז לילה טוב... אני אעבור על השרשור מחר, כך שאם למישהו יש עוד משהו... אני תמיד פה