Лучший firewall - отключенный firewall

> Я жду от тебя решения "Красная лампочка-нас атакуют" крон не канает.

я просто оборжался!
что этот ненормальный будет делать, когда у него эта лампочка загорится?
побежит в аптеку за валерьянкой для юзверей и вазелином для себя?
будет вручную пакеты сортировать?
героически перегрызет сетевой кабель?
черт возьми, давно я не был в цирке... надо будет сходить - где ты работаешь?

> Пока крон отработает у тебя пол сети захакают. ;)

Чудик, прочти man iptables на предмет -j ULOG, -j LOG и man syslog

Не, они звонят в саппорт МС.
Реальная запись переговоров.
"МС, МС - я Хабибулин, кто я?
МС, МС - не понял ни х$я.
МС, МС - я рапортую стоя.
МС, МС - скажите, кто же я?"

> черт возьми, давно я не был в цирке...

Кто виндузятников на LOR слышал - в цирке не смеется

> не обидно что у виндузятников все так легко и просто в управление сетью?

Легко??? Ой мамочки, что же тогда ТЯЖЕЛО?!

> А зачем шифровать удаленное исполнение команд к примеру?

Мало ли кто в сети сниффит :) А вообще, очень даже неплохо бы, чтобы аргументы удалённым процедурам шифровались, да и результат выполнения, если таковой есть, некошерно plain текстом передавать.

>А что у умных людей разрешено? ;) Ну давай в xinit переименуем. От этого что то изменилось? :))

А давай лучше создадим группу, правильно выставим sgid'ы и воспользуемся man iptables на предмет --gid-owner. Достал уже со своим вендовозным подходом.

>Это же не только фтп и хттп

что за виндовозники тупые нынче пошли. даже не знают что такое nfs

>А давай лучше создадим группу, правильно выставим sgid'ы и воспользуемся man iptables на предмет --gid-owner. Достал уже со своим вендовозным подходом.

Ну давай группу создадим...только централизовано все. Меня ломает по своей сети из 100...000 машин бегать ссшы настраивать. ;)

P.S. Дааа, глюпые люликсоиды хотят своими гидами уидами меня!!! Меня! Этопиждца забанить!!! Ломает меня сегодня регится, товарищи чайники. Буду под нанимусом читать и писять. ;)

>что за виндовозники тупые нынче пошли. даже не знают что такое nfs

Точно ! Есть НФС! :)) Только это все равно фигня все по сравнению что может винда. ;)

>Мало ли кто в сети сниффит :) А вообще, очень даже неплохо бы, чтобы аргументы удалённым процедурам шифровались, да и результат выполнения, если таковой есть, некошерно plain текстом передавать.

Это кто на свитчах снифит? Научи плиз. Люликсоиды что ли до сих пор на хабах сидят? ;)) Дааа, серьезные сети. ;)

>Чудик, прочти man iptables на предмет -j ULOG, -j LOG и man syslog

Да ты уже с одним мэном облажался. :)) Я попросил тебя wget закрыть а ты и не смог. Откуда тебе то тогда разобраться с мониторингом сети. :) Это тебе не snort на гейте пионерском запускать. ;)

>Ну давай группу создадим...только централизовано все. Меня ломает по своей сети из 100...000 машин бегать ссшы настраивать. ;)

Что за пурга? Ты хоть мысль свою нормально сформулируй для начала.

Мысль уже давно была сформулирована. Стоит wget Нужно разрешить ему открывать порты, а вот lftp не давать открывать порты 2100. Все это должно быть централизовано. Так же нужен продукт мониторинга сети типа manhunt хотя бы. Ну и соответственно что бы я мог управлять нормально рабочимо станциями в любой момент изменить что либо без нудного написания каких то левых скриптов в то время как мою сеть начинают взламывать. :)

Но начнем как всегда запретом вгету пользоваться 2100 портом....для разминки. ;)

>Точно ! Есть НФС! :)) Только это все равно фигня все по сравнению что может винда.

ну да. похабно разваливаться на ровном месте только виндовая сеть умеет. до этой "архиважной фичи" всем остальным как до киева

>Это кто на свитчах снифит? Научи плиз.

что за зверь arp знаешь? кстати почему у тебя столько смайлов в постингах? у тебя психическое заболевание?

> Ну и соответственно что бы я мог управлять нормально рабочимо станциями в любой момент изменить что либо без нудного написания каких то левых скриптов в то время как мою сеть начинают взламывать. :)

На первый взгляд он просто придурок, но на второй впечатление усиливается: он круглый дурак!
Что именно ты собираешься резко сделать при обнаружении взлома и почему это нельзя сделать заранее?

Но самое главное Я НЕ ХОЧУ трахаться! Точнее хочу, но дома!

>что за зверь arp знаешь? кстати почему у тебя столько смайлов в постингах? у тебя психическое заболевание?

Догадываюсь. :) Развивай мысль дальше. ;)

Почему столько смайлов? Глупости прикольно читать. ;) А ты что такой напыженный? улыбнись! ;)

> Ну давай группу создадим...только централизовано все

man pam_ldap

Даша. Ей богу ты достал своими man man Ты лапух, Даша. Ты не можешь запретить wget юзать 2100 порт! О чем с тобой вообще разговаривать, теоретик?

Ну ладно, Даша. Создали мы лдап. :) Потом что? Пишем скрипты? ;) Даша. Ты видел когда нибудь администрирование сети без этого напряга? ;) Ты видел средства специализированные? Или ты мне предлагаешь писать скрипты которые будут проверять что то, другие скрипты проверять работоспособность этих, третьи скрипты еще что то делать, тут же мне нужно писать какую то прогу обрабатывающую все это. Даша. Ты скажи правду. Ты наверное бабу не видешь из-за своего люлиха?

> Стоит wget Нужно разрешить ему открывать порты, а вот lftp не давать открывать порты 2100

Тебе русским по синему объяснили - man iptables, там все написано. Есть "простые" варианты для случаев, когда нет возможности подменить путь. Есть более сложные через ID группы.

Так что бегом в газенваген, чудик.

> что бы я мог управлять нормально рабочимо станциями в любой момент изменить что либо без нудного написания каких то левых скриптов

Если у тебя начали ломать рабочие станции, то тебе уже нет необходимости ничем управлять - приказ о твое увольнении уже подписан. А вообще-то, сохранить тот же for в скрипте тебе никто не мешает. И в отличие от винды я могу хранить десяток конфигураций iptables на все случаи жизни, и активировать их одной командой. И это будет всяко быстрее, чем твое судорожное кликанье мышкой и звонки прльзователям с воплями "перезагрузитесь мне надо щто бы мой новый групполиси приминилтця на вашем кампутире!". А еще я с интересом представляю, как злобные кулхацкеры-вендузятники будут "ломать" X-терминалы :-)

>Тебе русским по синему объяснили - man iptables, там все написано. Есть "простые" варианты для случаев, когда нет возможности подменить путь. Есть более сложные через ID группы.

Ты видимо не догоняешь. :) Нужно запретить выполнение именно вгету. :) Почему ты такой трудный, Даша...Баш что ли сказывается? ;)

>Если у тебя начали ломать рабочие станции, то тебе уже нет необходимости ничем управлять - приказ о твое увольнении уже подписан.

:))) Лапухи уже увольнять начали. Иди свои скрипты пиши, чайник. Не лезь в большие сети. Не позорься. :)) wget перекрыть не может, а уже увольнение пишет. ;)

>А вообще-то, сохранить тот же for в скрипте тебе никто не мешает.

Знаешь чем меня скрипты не устраивают. В то время когда нужно оперативно что то сделать они как всегда почему то не подходят. ;) Это закон есть такой. Подлости называется. :) Мне нужна же оперативность. Я не собираюсь своему шефу говорить подождите минут двадцать, я перепишу свой скрипт чуть чуть, что бы он не на все 1000000 машин заливал фигню всякую, а всего лишь на 10000 :) Только вот я уже почти его сделал. Сейчас айпи адреса вобью в течение дня и будет все нештяк. ;)

> Это кто на свитчах снифит?

Мало ли кто :D

> Научи плиз. Люликсоиды что ли до сих пор на хабах сидят? ;)) Дааа, серьезные сети. ;)

Да фиг его знает, кто на чём сидит. :) Тем более что перехват информации одним сниффингом не ограничен. Пост-то не о сниффинге, а о шифровании. :))

Над твоими идами уидами и тд будут сидеть юзеры и переписку вести. :))
Примерно такую.
Привет, Вася.
Привет.
У нас тут один ламо в админах ходит, закрыл вгет мне. :))
Да ну? И что?
Да ничто. Лапух он и лаух. Я из дома принес свой агет, бросил в папку свою, переименовал его в "а"
Гыыы, и как? Сработало?
Дааа, конечно же сработало, потому что админ лапух. ;) Даже не знает что я запускаю на машине. :)
Гыыыы, понятно, так же сделаю.
Ой мля, прикинь, видать этот чайник читает нащу почту и прочитал что вгет буквой "а" еазывается, я его переименовал в "б" :))) Опять тяну.
Гыыы, внатуре у вас лапух админ. :))

Это про тебя, Даша, письма такие ходят. ;)

Мы же о крупных сетях говорим, а не сетях уровня Люлиха. Так там обычно закладываются свитчи который не дает снифится. ;) А шифрование...так вот и вопрос. Зачем тебе шифрование, если ты не видешь ничего? ;)

Ладно, чайник, решай проблему с вегетом. А то тебя шеф уволит. :)) Возможно тебе лдап поможет. Почитай действительно мэн. :)))

> Но начнем как всегда запретом вгету пользоваться 2100 портом....для разминки. ;)

groupadd wgetusers ; chown :wegtusers `which wget` ; chmo g+s `which wget`; iptables -A OUTPUT -j DROP --destination-ports 2100 -p tcp -m owner gid-owner wgetusers

Ну, теперь моя очередь? Покажи-как такую настройку винды, чтобы:

Пакеты от рабочих станций уходили через интефейс 1

пакеты от серверов A и B через интерфейс 2

Пакеты, приходящие на ip-адрес интерфейса 2 на порт 22 должны пробрасываться на сервер D на порт 24

Пакеты от сервера E должны через один отправляться с интерфейсов 1 и 2

Весь траффик DNS должен исходить через интерфейс 2

Исходящих TCP-запросов на установку соединения должно быть не более 30 в минуту, и не более 5 в минуту от каждой из рабочих станций.

> Мы же о крупных сетях говорим, а не сетях уровня Люлиха. Так там обычно закладываются свитчи который не дает снифится. ;) А шифрование...так вот и вопрос. Зачем тебе шифрование, если ты не видешь ничего? ;)

Ну а если злоумышленник под покровом ночи подберётся к свичу с ноутбуком, кусачками и двумя джэками и устроит man-in-the-middle, тот тут как раз шифрование и пригодится! :D

> Ладно, чайник, решай проблему с вегетом

Мне пох на твою проблему с "вегетом" - у меня ни один юзер кроме рута и сквида кроме как по ssh наружу не ходит. А ты продолжай закрывать wget, curl, ftp... Я же и с помощью nc и телнета все что надо вытащу без усилий...

Прикольная у тебя десктопная машина, аж 3 сетевые. :)) Показать сможешь реальную надобность таковой? ;)) Лапух, ты ЛАПУХ. И правильно над тобой юзверя в переписке смеются. ;)

:)) Да Вася. :)) Не знаешь ты что такое корпоративная политика безопасности. Не умеешь ты софт контролировать юзверя. :)) При чем тут сквид, Вася? :)) Тут говорят что бы в рабочее время Звери в пасьянс не играли, а ты закрыть не можешь. Тебя как лапуха с твоим скидом в письмах засмеивают. Не можешь атаки отслеживать в реалтайме. :)) Чисто все по крону. :)) Раз в 10 минут. В эти 10 минут-ломай не хачу. Потому что админ Ламо. ;))) Ладно, ушел.

>Я же и с помощью nc и телнета все что надо вытащу без усилий...

Уважаю. :))) Пока.

Решать проблему надо на приципиальном уровне, чему во всех ВУЗ'ах учат с первого курса. И только недоучкам, окончившим ПТУ по специальности "администратор корпоративных сервероы на windows 98" может прийти в голову блокировать конкретную программу и принимать решение об уходе в "глухую защиту" вручную - у нормальных людей это решение принимают автоматы, чье поведение определено в политике информационной безопасности организации.

> Мне нужна же оперативность.

а мне нет: потому, что я не боюсь взлома.
возня с хакерами - это дело системы защиты, реакция которой, как правило, сводится к игнорированию болезного - ибо все настроено и пропатчено.
профессионал не станет дергаться по пустякам.

:)) Ты просто не бачил шр цэ такэ корпоративная политика. Это и рабочий стол один у всех с логотипом фирмы. :) Это и софт только для работы. :) Это и контроль даже менюшек. ;) А ты мне тут скриптованием на каждый чих предлагаешь заниматься, а если учесть, что пользователь это обходит в течение пару минут, то смысл действительно теряется и приходится сидеть со своим сквидом на простеньком гейте. Получать зп 100 баксов в месяц, но гнуть пальцы о 100 баксах в пять минут. ;) И после всего этого называть себя профи. :)) Так, Вася, ламеры только поступают. ;) Но я не буду тебя больше унижать. :) Живи с миром. Грустно правда, что у тебя все через жопу, но это и бог с ним. :)

Конечно же фигня какая, все "затарино" и тарится каждый день, после взлома все востанавливается, потом опять взлом, опять востанавливается. :))

>Прикольная у тебя десктопная машина, аж 3 сетевые

про виланы слышал?

Ага. :)) А для чего 3 платы то? :))) Слушайте, я так описаюсь здесь. :)) Ладно бы сказали там в группу объединили, скорость подняли. :)) А они то всего лишь три вилана юзают. ;)

Ну а теперь слушаем внимательно для чего десктопу юзать три вилана. :) Оооочень интересно. ;)

Сударь, мне кажется, что вы не совсем здоровы...

для того, чтоб была одна физическая сетевуха - не больше, не меньше

> Это и рабочий стол один у всех с логотипом фирмы

Ну так это... Установи логотип фирмы всем в знаменитую "кнопку Пуск". Потом протачи винду - и еще раз его установи :-)

> а если учесть, что пользователь это обходит в течение пару минут

Когда ты сможешь обойти -j DROP -m owner gid-owner <groupname> - вот тогда и будешь решать кому какую зарплату платить.

А теперь иди, и закрывай своим юзерам IEXPLROE.EXE, EXLORER.EXE с http://xxxx/ в поле локатора, поверпоинты с внедренными TWebBrouser'ами, визуалвасиковские приложения с ними же, вордовские файлы с этими же активиксами, запрещай им через API менять настройки браузеров и так далее.

> для того, чтоб была одна физическая сетевуха - не больше, не меньше

Да нет, просто несколько вмварей с разными системами для изучения поведения всякой крайне агрессивной программной шушеры и безопасного запуска особо интересных ее экземпляров :-)

:)

PS. В Казахстане жарко: народ от туда агресивный идёт :(

>Это кто на свитчах снифит? Научи плиз.

man ARP-spoofing. Или у Вас все свичи от него проверенные?

> После правильной настройки - замечательно. Правда, добиться правильной настройки способны только те, кто умеют читать и понимать написанное...

Мой опыт, к сожалению, показывает, что для нормальной настройки Windows нужно знать и понимать куда больше, чем для настройки Unix... :(