|
Я не понимаю, зачем тогда в этой конторе интернет? Оставить его гендиру и все. |
41-LeXX > а ты вообще плохо что понимаешь) только товдира разве что))) |
42-gloomymen >Ну, тебя-то точно не всегда понять можно. Особенно по пятницам :D А товдира трудно понять из за большого объема, который он обычно вываливает. Хотя нет, иногда сразу понятно, что бред, не смотря на объем :) |
43-LeXX > [em]Ну, тебя-то точно не всегда понять можно[/em] это потому что ты махровый компаратор, т.е. менталитет подкачал изрядно) вот droidman меня "с полпинка" понимает) |
вопрос не втему) у кого, если возникают, то какие зрительные образы в начале Please Don't Judas Me? это назаре 1975 |
to (0) Вы хотите заблокировать вынос нежелательной инфы из конторы? Господи! Яка фигня! Хотите сохранить секретные данные по расходу гендиром туалетной бумаги в персональном очке? Ну так хертотам! Я с ходу могу придумать 5 способов выноса столь секретных данных... Три самых простых - на сотке, на флешке на MP3-плейере. Меня тоже как-то начальство решило загрузить подобным проблематозом... Я за две минуты объяснил необходимость закупки наличия проходной с вооружённым КПВТ и эрликонами ВОХРом, с раздеванием сотрудников догола, наличием гинеколога и обязательным рентгеновским аппаратом... Гендир на меня так странно смотрел... Даже не знаю почему! |
gloomymen - в этом альбоме (лучшем имхо) вообще сплошные образы. Nazareth наравне с DeepPurple и Led создали прототипы основных направлений тяжелой музыки, а теперь об их существовании знает только один из 10 поцыков с плеером, слушающим "тяжеляк"... Отсюда плодится модная безвкусица и нигилизм - от незнания истории музыки и тех эволюционных вех, которые прошла культура. ... ACID RABBIT - также стоит взять на работу проктолога, ибо за верхним сфинктером у male - для остального набора врачей начинается сумеречная область догадок, а вдруг именно там рентген покажет гроздь смотанных скотчем и еще не остывших от записи флешек? |
у меня почему-то всегда возникает такой образ: пустыня, вечер, низкое красное солнце, и вдалеке летит "уставший" тяжелый бомбардировщик |
флешки, мобилки....[filolog]епта[/filolog] вот мне интересно много ли где встречается 802.1x с ограничением 1-го мака на порту доступа и даже если встречается, думается не панацея и не надо ничего фотографировать, можно лить из любого места удалено :) |
49-701054 > хомячина, а кто мне обещался озвучить что да как нуна для этого? я даже [filolog]пля[/filolog] уже не помню как давно это было... |
49-701054 > кстати да, что за загадочное колдунство с 801.1x не уловил можно внятно? |
+51 801.1x=802.1x |
да никакого колдунства, просто авторизация каждого клиента на порту, чтоб не тыкали железяки какие не попадя в сеть ну и каждому по порту без хабиков надо поэтому port-security, я до практики так и не дошел правда, но планы были грандиозные с гостевым вланом и прочей фигнёй, просто минусы всегда находятся...при детальном рассмотрении например сетевые принтаки которые не умеют таких фич прийдется выносить за фаер в свою сеть и т.д. в инжгео насколько знаю пользовали такие фени |
смысл в том, что если L2 без авторизации, то можно всунуть любой минироутер\бридж с 3g,lte,wifi и проч и не париться каждый раз с проносом фотико-мобил :) правда в теории имея железяк между свитчем и легальным клиентом вообще мало что спасет...поэтому дальше теории мне стало как-то не интересно :) |
L2 на роутере легко коррелируется с L3 в чем фишка-то не пойму? ну воткнул [em]любой минироутер\бридж с 3g,lte,wifi[/em] а дальше-то что? |
а дальше в случае 3g,lte поднял с него vpn по воздуху, и наться в локалку хоть до посинения :) с wifi надо сидеть в машине просто рядом |
если их поставить 2 один за одним то можно пользовать даже на ближнем к свитчу тотже мак и ип что и у легального клиента в общем при небольшой фантазии варианты есть :) |
учитывая, что сейчас есть железяки с нужным функционалом размером с пачку сигарет вместе с батарейкой....тема угнетающая для праноиков :) |
да бред собачий, прости господи если в бордере контролируется связка L2L3, кто-то из "мудрых товрищей" пойдет курить бамбук, arpwatch завалит админа сотнями писем/персеконд, по факту - работать будет, но через тОООлстую жопу, если поспуфеный хост в онлайне, и тут я согласен - авторизация по порту какое-то (худо-бедное) решение |
а если втыкатель [em]любой минироутер\бридж с 3g,lte,wifi[/em] воспользуется нужным портом, то нахрена козе баян? |
простой пример с маршрутами: клиент 10.10.10.10 мак aa:aa:aa:aa:aa:aa --- фейковый шлюз1 10.10.10.254 ---нат 192.168.1.1---фейковый шлюз2 192.168.1.254----нат 10.10.10.10 мак aa:aa:aa:aa:aa:aa бордеру будет пофиг, вот директную сетку клиенту чтоб попользовать в таком варианте надо извратиться не слабо, на нормальной железке думаю реально если подумать, на обрезке конечно сложно , ну и у любого из фейковых 3 интерфейс в воздух |
[quote=gloomymen;25312534]а если втыкатель любой минироутер\бридж с 3g,lte,wifi воспользуется нужным портом, то нахрена козе баян? [/quote] ну я исхожу из худшего, беспаливно это ж в рабочее время с полной мимикрией под легального клиента :) |
ага, сори понял об чем скандал левый шлюз за легальным ip, так? |
ага, именно так |
я сегодня полдня общался устно с клиентом, моск мне вынесли напрочь, + компенсировал потери алкоголем сегодня, с вашей помощью, еще в состоянии разобрать ситуёвину завтра осмыслю уже сам) и тогда берегитесь))) |
хыы :) да я сам осмыслить до конца не могу, ну конкретную реализацию, чтоб можно было сделать полную прозрачность для клиента в принципе понимаю, что для этого достаточно scapy и iptables чтоб даже шифрованный трафф в случае 802.1x между клиентом и свитчем гонять прозрачно + отрисовать все arp у клиента и сделать директный трафф, при этом подмешивать трафф леывй трафф с воздуха, но scapy не серьезно в плане производительности, хотя точно понмаю, что это возможно :) |
зуб даю (вот на столе лежит) этот паровоз я ухандокаю) |
:) тогда останется все собрать как одну железку, написать на C и можно открывать контору по аудиту безопасности разойдутся как горячие пирожки :) ушёл спать, а то gochy с утра мне батарйку на телефоне просадит звонками :)))) |
типа "мокротик секондедишн";) лады, пока я буду откисать, пригласим прокомментировать droidman) |
пока остатки разума еще шевелятся [em]а дальше в случае 3g,lte поднял с него vpn по воздуху, и наться в локалку хоть до посинения :)[/em] это точно не полетит |
поползет :) со стороны фейкшлюза клиент опенвпн который лезет на динднс сервер и в случае с маршрутизируемым впном iroute и маршрут на сервере делают доступным сеть за клиентом опенвпн - это как один из вариантов |
ну а дальше как в 61 нат и ответы обратно полетят по идее |
"который лезет на динднс сервер " = лезет через инет по воздуху на опенвпн сервер |
вот накидал примерно как я видел эту бредовую идею :) [url]http://www.gliffy.com/go/publish/3633262/[/url] |
честно, на картинку глазеть терпения не хватило) короче, если речь идет о интеграции левого шлюза, с клонированием мака в нужный порт, и натом внешнего источника на местный адрес (openvpn тут вообще как телеге 5-е колесо), то да, дакой паровоз полетит но это уже реальная диверсия воплощать ее будут, только там где оооочень нужно, а в таких местах просто обязаны сидеть параноики сб, которые ицмп закрывают) ищут на входе и выходе флэшки во вагалищах, желудках и анусах, ставят глушилки и пр. и пр. т.е. теоретически да, практически маловероятно |
осталоь запустить виртуалочгу, бриджиг на сетевушку и всё заверте.. |
ты как всегда со своими пирогами;) |
я вот что подумал, а что будет если в хаб(именно в хаб , не свитч) воткнуть 2 железки с одним маком и ip один фиг кидает же на все порты ) |
мож кто пробовал ? :) |
единственный способ который я вижу - разрешать пользоваться инетом только из "песочницы" которая не сожет хавать файлики с машины.. Тоесть либо делать что-то вроде ситрикса, либо виртуальную машинку на самом компе.. либо доступ к инету только в терминальных сессиях.. но бред конечно еще тот.. |
| Текущее время: 22:59. Часовой пояс GMT +3. |