| 0
- 07.03.2012 - 09:16
|
на кой фик его блокировать? настолько ли это важно. безопасники уже достали. поначитались умных статей.
    | | |
| 1
- 07.03.2012 - 10:13
| ну есть там вещи не только для сканирования полезные в теории, но на практике этим никто не пользуется, ну можно немного узнать по ответам сети о которых знает железяк при правильном подходе и есть ещё впн через icmp вернее то скорее тунельчик а не впн, а так весь блокировать тоже маразм там и полезное есть... | | |
| 2
- 07.03.2012 - 10:14
| кстати openvpn в 3 ветке собирались транспорт добавить icmp-шный по-моему | | |
| 3
- 07.03.2012 - 10:20
| чего тогда NetBios не блокируют. ну короче непонятные они люди. | | |
| 4
- 07.03.2012 - 10:24
| Цитата:
Надо добиться у них ответа. а потом разобрать (хотя бы, и тут) что именно тебе в тех запретах мешает жить и работать. потом с предложениями вернешься к безопасникам | | |
| 5
- 07.03.2012 - 10:47
| безопасники у нас люди с другой планеты. их решение единственно верное и говорят они только со своим начальником. а начальник нискем не говорит. | | |
| 6
- 07.03.2012 - 11:28
| вероятно безопасники учились хорошо, а тебе повариха со старшиной хотя бы про icmp флудинг ничего не рассказывали. | | |
| 7
- 07.03.2012 - 12:14
| 7-krotov >да ты шо. и как оно там роисходит то? флудинг то этот. в какое место смотреть надо бы? ну так шобы пинга ходила по сети??? | | |
| 8
- 07.03.2012 - 12:17
|
Через icmp идут посылки "frag needed", и тупо заблокировав весь icmp можно в определенных случаях получить частичный или полный затык при работе с вэбом, почтой и т.п., поэтому я бы не стал сразу тупо блокировать icmp, для начала надо разобраться что и как. По поводу icmp флудинг - это страшилки из прошлого века, сейчас практически все сохо-маршрутизаторы распознают и блокируют атаки подобного рода, да и ДДОС атаки в основном направлены на вэб-службы или на почту. | | |
| 9
- 07.03.2012 - 12:23
| Цитата:
2. Rate-limit? Не, не слышали! | | |
| 10
- 07.03.2012 - 12:24
| Цитата:
| | |
| 11
- 07.03.2012 - 12:28
| 10-8 J > никак. они занимаются глобальным блокированием. типа запретить icmp во всей сети или запретить выход в интернет всем-всем. а блокирование конкретных портов и прочие мелочи это уже не их дела. | | |
| 12
- 07.03.2012 - 12:30
| Цитата:
| | |
| 13
- 07.03.2012 - 12:31
| 13-BigHarry >не. они этого не требуют. они берут это и делают на своих устройствах. | | |
| 14
- 07.03.2012 - 12:33
|
14-напаяхЪ > а нак кой? | | |
| 15
- 07.03.2012 - 12:35
| Цитата:
| | |
| 16
- 07.03.2012 - 12:40
| Цитата:
| | |
| 17
- 07.03.2012 - 12:40
|
15-зайка71 >ну я вот и пытаюсь это понять. ибо от них ответ слышать бесполезно. 16-BigHarry >им надо подкинуть высокообразованных товарищей с этого форума. тогда писец будет страшный :) | | |
| 18
- 07.03.2012 - 12:41
| 17-8 J > удивишься, но работает :) | | |
| 19
- 07.03.2012 - 12:52
|
В принципе не понятно - какая твоя головная боль от того, что ваши безопасники что-то там на своих устройствах блокируют? Пусть блокируют, лишь бы это не мешало работе сети, можно в принципе им отдельный влан выделить под ихние игрушки, что там у них - видеонаблюдение или СКУД? даже если нельзя вланом их отделить то договориться что бы IP адреса назначали из выделенного диапазона (если их устройства не понимают DHCP) что бы конфликтов не было. В чем проблема-то? | | |
| 20
- 07.03.2012 - 12:56
|
не проблема. просто не понятно чего пытаются они этим добиться. а к DHCP у них отношение нетривиальное. пытались навязать мысль всем что статика намного полезнее динамики. но их мнение проигнорировали самым жёстким образом :) | | |
| 21
- 07.03.2012 - 13:04
| Цитата:
| | |
| 22
- 07.03.2012 - 14:01
| 22-BigHarry >э не. мой DHCP к их адресному пространству имеет самое последнее отношение, а точнее никакого отношения не имеет. я вообще без понятия какие адреса у них. они ходят через свой собственный фаервол и т.д. так что их проблемы их проблемами и останутся ))) | | |
| 23
- 07.03.2012 - 16:29
| скажите им слово pmtu | | |
| 24
- 07.03.2012 - 17:02
| <tag vbros> нечитая, т.к. вавно , поздравьте своих(ли?) девочек с начтупающи и не морочьте голову :) </vbros> :))) всех с наступающей весной | | |
| 25
- 07.03.2012 - 17:03
| Gochy - сцка , только скажи что записуешь для моей жены, прийдется пить вместе :) | | |
| 26
- 07.03.2012 - 17:12
|
26-701054 > у вас с гошей чат в любой теме? в смысле, он все подряд читает? ;) | | |
| 27
- 07.03.2012 - 17:17
| та он сцк, вообще читатель епанарот :) сорри я немного пиян, но на поржать просто иногда в кайф пописать :) | | |
| 28
- 07.03.2012 - 18:19
|
С безопасниками проще дружить и находить общий язык, чем письками меряться. Это я как безопасник говорю ))) 26-701054 > когда гришь привозишь своих? ))) 27-gloomymen > я вообще любознательный ;) | | |
| 29
- 07.03.2012 - 18:20
| 26-701054 > когда пьемс? :D | | |
| 30
- 07.03.2012 - 18:31
| я сегодня вообще был готов, нет не так - я сегодня готофф , а что делать зашли поздравить девачек :) послезавтра своих привезу, так что видимо след. раз уже как потеплеет на рыбалке :) | | |
| 31
- 07.03.2012 - 19:28
| ну вот. Опять заднюю включил :D | | |
| 32
- 07.03.2012 - 19:51
| 32-Gochy > ахаха, совести у тя нету, я ж предлагал вроде, мучались седня, еле нашел безрульного, еси б не Санек, вообще б растерзали там :) добили с ним Ставрополь КВ, и ещё флакончик конины...подарочной | | |
| 33
- 07.03.2012 - 19:56
| 29-Gochy > а ты как безопасник знаешь про вред блокировки icmp? или тоже параноидальный "грамотный запрещатель") | | |
| 34
- 07.03.2012 - 20:54
|
LAN->INET - почему бы не отрубить ICMP, ибо все идут и так через шлюз GTW. Возмущаться будут разве что на отсутствие возможности ping'овать. INET<->GTW - оставить часть типов (0, echo-reply; 3, destination unreachable - это как раз он юзается в случае DF-флага; 8, echo-request). 0 и 8 можно тоже отрубить, если задачи ping'а GTW из инета не стоИт. INET->LAN - ессно полностью обрубить. Кста, мало кто заморачивается на ICMP proxy, ибо легче это сделать через 80/HTTP, который, как правило, у всех разрешён. | | |
| 35
- 07.03.2012 - 21:03
| а ты как безопасник знаешь про вред блокировки icmp? или тоже параноидальный "грамотный запрещатель") Да, мне тоже интересно. Если не тяжело, можно пояснить сей факт. PS: Пару лет назад, в родном городе gloomyman-а, безопасники одной крупной телекоммуникационной компании мне внятно, убедительно и грамотно объяснили опасность DDOS по icmp. Т.к. последние 4 года я специализируюсь по СХД и кластерам, грамотно сформулировать не смогу, ибо забывается. Хотя в целом понимаю. | | |
| 36
- 07.03.2012 - 21:23
|
[quote]убедительно и грамотно объяснили опасность DDOS по icmp[quote] Нет никакой опасности, есть дырявые сервисы или реализации протокола/драйверов, которые не следят за переполнением буферов и исчерпанием системных ресурсов, и от таких программазмов надо избавляться, а не запрещать служебные протоколы. | | |
| 37
- 07.03.2012 - 21:26
| ddos по icmp, это в первую очередь размер пакетов, во вторую частота | | |
| 38
- 07.03.2012 - 21:32
| это я понимаю. Как этого избежать в организации с 70 000+ серверов с голой жопой наружу? | | |
| 39
- 07.03.2012 - 21:41
|
кгхм.... ) в любой организации можно, учитывая оба фактора гоша меня поправит, если что, как безопасник | |
Интернет-форум Краснодарского края и Краснодара |
