Статья «IP Accounting»

Про MAC ...

The destination address is a valid source address, except for an address which has the lowest bit of the first byte set to '1'. These addresses, including the all 1's broadcast address FF:FF:FF:FF:FF:FF and the set of multicast addresses, are point-to-multipoint addresses and can never appear as the source address in an Ethernet frame. A frame must be sent by a single source. Can you imagine the complications which would arise with learning bridges if this rule was not kept?

А кртинки в статье .. это провакация .. к повсеместной смене MAC адресов :)

А кто вообще тебе разрешил по сети брудкасты кидать? Или на хабе сидишь?

Здрасти. Я ваша тетя. :)))

Господа рассуждающие о проблеме IP-аккаунтинга
забыли о великой и могучей программе ipa
http://ipa-system.sourceforge.net/

Хотя, конечно, линуксоидам не дано понять все прелести
IP-аккаунтинга под FreeBSD



Кстати, не про ipa, а вообще про ip-аккаунтинг, ещё вопрос.
А как сделать источник netflow под Linux'ом?
Под фрёй понятно, а линукс такое умеет?

Нафиг IPA если есть NetFlow and AAA на кошке? Или ты думаешь что без БЗДи сеть не разрулить, так я тебе скажу тайну. Сетью рулить можно и на винде, что само-сабой даже удобней будет. ;)

Афигеть, статья: "Как сменить IP в виндоуз в картинках". На ЛОРе. Я в шоке. Рыдаю.

чуть не аписался со смеху... абалдеть... спасибо за хорошее настроение на весь день....

> Кстати, не про ipa, а вообще про ip-аккаунтинг, ещё вопрос. > А как сделать источник netflow под Linux'ом? > Под фрёй понятно, а линукс такое умеет?

как минимум тебе две сцылки на open source проекты:

http://sourceforge.net/projects/ndsad http://sourceforge.net/projects/ipcad

Лучшие коллекторы в своем классе. Оба работают на freebsd, linux. ndsad еще и под венду работает.

>>Реальным вариантом является PPPoE
>Реальным вариантом является 802.1x

Оба, но, пожалуй, PPPoE подешевле.
Но никак не VPN. :)

Что значит лучшие коллекторы?
Оба работают в режиме задачи, что есть отстой по определению

Вообще, я так понял, что Linux'у в плане учёта трафика до БСД ещё очень далеко

Воопрос вообще не в тему, но хотя смотря как посмотреть.
Раз тут поднималась тема netflow, то в тему.

А в linux есть или может быть планируется какой-то аналог netgraph FreeBSD'шного?

Демоны!
Что вы тут трындите нах!!!

Вы сами хоть что-то вообе написали в своей жизни?

Пусть в статье написано то, что вы знали ещё когда в школу не ходили,
но материал написан толково. И с картинками!!!

А по сему, на чувака предлагаю не гнать,
это ещё не самое худшее что можно увидеть на просторах рунета

А вот тех кто пропускает такие новости на ЛОР
мочить в сартире!

Ты странный анонимус!

Ты сетью на винде рулить собрался?!!
А чем? Чем я спрошу тебя ты будешь там рулить?
Что вообще умеет твоя винда, скажи мне?

Да они даже winsock сделали после того как долго и мучительно изучали наши БСД'шные сокеты
А про всё остальное я вообще молчу

А чем ты собрался на Линуксе рулить? Я продукты могу других производителей поставить который на порядок лучше чем опенсурс? А что ядро Линукса умеет делать?

А чем...да хотя бы www.symantec.com Опенсурсовское поделия просто рядом не стоят.

>А про всё остальное я вообще молчу

Вот и молчи про все остальное-пол ядра с БЗДи стянуто. ;)

Причём тут линукс?????

Тут речь идёт о винде и о БСД
а если ты этого не понял, так сиди и не вмешивайся когда взрослые дяди разговаривают

Речь идет о том, что под виндой сетью управлять проще и продуктивней. Поделки типа www.symantec.com нашел уже?

Ну и что тут ты мне свои поделки тычешь?

Скажи что эта поделка могёт чего нельзя замутить во фре?

Да хоть что. Хотя бы корпоративный сервер антивирусный. Или хонейпот организовать. Не ту поделку honeyd примитивную до ужаса. Детектор вторжения в сеть. По всей локальной сети. Корпоративный файрвол.

цисковоркс, опенвью, Авайя нодеменеджер. Что под твою сраную фрю есть то?

Администрирование виндоуз в картинках. Твою мать, скоро эти уроды на человеческом языке разучатся разговаривать, будут общаться при помощи жестов и нечленораздельного мычания :-) И эти козлы еще глупо хихикают при упоминании командной строки (не шучу, вокруг меня полно таких кулхацкеров) и сравнивают Linux с DOS...

Ну fagot конечно не прав, шутка слишком неожиданная для непервогоапреля :-)

А Snort чем тебе не система обнаружения вторжений?

Снорт на гейте стоит. Ты что ли меня за лоха тут держишь? Я о корпоративной сети говорю.

И это все что вы придумалм о Снорте во ФРЕю :) Ребята. Мы сети строим или в игрушки играем? У вас задумки должны от зубов отскакивать! Где корпоратиный файрвол? Где антивирусник? Где хонейпот? ФРЯ рулит сетью? ДА! Вот. Я жду решения! Тот же самый ACS под Лин и Фрю не разрабатывают. Лежит решение от какого то года-лежит. Вы мучаетесь на счет фри радиус, тпкпкс п в Винде нет. И кажется, при чем тут винсокс, когда SMB/NMB спиздили у айбиэм с мелкомягкими, что бы домены организовывать, ео при чем тут Линукс????

Да, не спорю. ФРЯ и Лин разрабатывались что бы смотреть жопой в Инет, но это еще не вся ссеть.

> источник netflow под Linux'ом
гуглить умеешь?
http://www.die.net/doc/linux/man/man1/flow-send.1.html
http://www.ntop.org/nProbe.html
http://www.liberouter.org/netflow/index.php

> Linux'у в плане учёта трафика до БСД ещё очень далеко
гы-гы-гы - в каком месте и почему?8)

> в linux есть ... какой-то аналог netgraph?
есть но не аналог. сделано по-другому.
что надо-то?
одно могу сказать - ipfw однозначно сосёт по сравнению с iptables
и вообще net stack у линя с 2.4 получше будет чем во фрюхе (в смысле возможностей)
в других случаях - у кого что лучше.

> цисковоркс, опенвью, Авайя нодеменеджер. Что под твою сраную фрю есть
я не апологет фри но должен вам заметить что первые два на жабе писаны так тчо теориетически должны работать и на фре.:-)

Не нужно теоретически. Нужно пакет под ФРИ. Я не эксперементатор. И не собираюсь юзать всякую дрянь(смесь с мускулом и тд и тп)

Не только на гейте. Кто тебе такое сказал дорогой друг?

Можешь спокойно детектить вторжения во внутренней сети, если тебе хочется.
Почему SNORT не пригоден для использования внутри сети?

Во-первых, почему она сраная?
А во-вторых, ты называй задачи, а не названия софта.

Ciscoworks похоже что на фре не работает :(
Несмотря на то, что и на жабе написан

ПОтомМу что ПОд Linux нет IPA!

А PF чем тебе не файрвол?

Можно аргументировать это голослвное утверждение,
что ipfw сосёт по сравнению с iptables?
И pf тоже сосёт?

>А то что он написал - бред полный, понормальному траффик считаеться по >netflow (в его биллинге скорее всего также), а не по "IP и MAC адресам".

Откройте для себя кроме Cisco, Juniper и Foundry других производителей.

>Почему SNORT не пригоден для использования внутри сети?

Потому что не выдает сообщений о локальных машинах.

>А во-вторых, ты называй задачи, а не названия софта.

Ну хотя бы сеть стоит. Нужно организовать антивирусную защиту машин.

>А PF чем тебе не файрвол?

Тем что он не контролирует то, что происходит в локальной сети. Тока не надо мне говорить что нужно снести все видовые тачки и поставить везде ФРИ.

Я тебе ещё раз повторяю, ты можешь поставить сенсор на интерфейс внутри сети и спокойно себе контролировать что происходит внутри.

На интерфейс можно отзеркалить интересующие тебя порты и детекть на них вторжения, сколько тебе захочется.

Короче, это не аргумент. Ещё есть?

Что подразумевается под антивирусной защитой машин?

Кроме антивирусной защиты есть задачи?

К слову о honeyd. Чем он не нравится?

>Откройте для себя кроме Cisco, Juniper и Foundry других производителей.

Открыл. Самое дешевое оборудование наверное. Стоимость почти как у хаба. ;)

http://h10010.www1.hp.com/wwpc/ru/ru/sm/WF06b/385085-386817-386817-386817-386...

>Я тебе ещё раз повторяю, ты можешь поставить сенсор на интерфейс внутри сети и спокойно себе контролировать что происходит внутри.

Расскажи как это происходит на свитчах, в других виланах в других городах.

>Что подразумевается под антивирусной защитой машин?

Ты что ли издеваешься?

>Кроме антивирусной защиты есть задачи?

Эту реши сперва. Потом перейдем к цисковоркс.

>К слову о honeyd. Чем он не нравится?

Почитай отзывы о нем. Конечно же он дешевый, но....чем он лучше http://www.symantec.com/region/ru/product/DecoyServer.html

>На интерфейс можно отзеркалить интересующие тебя порты и детекть на них вторжения, сколько тебе захочется. Короче, это не аргумент. Ещё есть?

Конечно же есть. Сеть из хотя бы 500 машин ты собрался зеркалировать все на порт? :) Или там не один порт? А не проще поставить корпоративный файрвол типа симантек секьюрити и не трахаться с зеркалированием? :) Это не отмазка. Можно другие отмазки-зеркалирование портов не канает. Мне нужно сеть из нескольких филиалов админить. Не один свитч. Кое где стоят хабы. Как я тебе их зазеркалирую? :) Думаем дальше и это не файрвол получился у тебя, а что то типа мониторинга примитивного и через жопу.

Тебе всё равно придётся зеркалить порты, какой бы ты софт не использовал.
Иначе, трафик просто не дойдёт до NIDS.
И не важно SNORT это или не SNORT.

Если мы говорим об NIDS.
Если мы говорим о чём-то другом, тогда давай конкретнее.

Что касается случая из огромной распределённой сети,
просто надо ставить не один SNORT, а несколько и потом объединять их
с целью централизованного управления

Нет, не издеваюсь.
Можно конкретнее, о каком виде антивирусной защиты идёт речь.
В зависимости от этого и будем предлагать решение