| 0
- 25.05.2012 - 20:18
|
Нужно чтобы пользователи сети не могли прикреплять файлы через web. Текст пусть оправляют, а вот файлы чтобы прокси отрезал или чтобы что то блокировало прикрепление. Сейчас установлен UserGate, но у него такой функции нет. Подскажите как сделать плиз? Может прога какая есть, чтобы ограничивала отправку файлов?     | | |
| 41
- 29.05.2012 - 14:27
| Я не понимаю, зачем тогда в этой конторе интернет? Оставить его гендиру и все. | | |
| 42
- 29.05.2012 - 15:10
|
41-LeXX > а ты вообще плохо что понимаешь) только товдира разве что))) | | |
| 43
- 29.05.2012 - 16:37
|
42-gloomymen >Ну, тебя-то точно не всегда понять можно. Особенно по пятницам :D А товдира трудно понять из за большого объема, который он обычно вываливает. Хотя нет, иногда сразу понятно, что бред, не смотря на объем :) | | |
| 44
- 29.05.2012 - 17:25
|
43-LeXX > Ну, тебя-то точно не всегда понять можно это потому что ты махровый компаратор, т.е. менталитет подкачал изрядно) вот droidman меня "с полпинка" понимает) | | |
| 45
- 29.05.2012 - 18:03
|
вопрос не втему) у кого, если возникают, то какие зрительные образы в начале Please Don't Judas Me? это назаре 1975 | | |
| 46
- 29.05.2012 - 22:05
|
to (0) Вы хотите заблокировать вынос нежелательной инфы из конторы? Господи! Яка фигня! Хотите сохранить секретные данные по расходу гендиром туалетной бумаги в персональном очке? Ну так хертотам! Я с ходу могу придумать 5 способов выноса столь секретных данных... Три самых простых - на сотке, на флешке на MP3-плейере. Меня тоже как-то начальство решило загрузить подобным проблематозом... Я за две минуты объяснил необходимость закупки наличия проходной с вооружённым КПВТ и эрликонами ВОХРом, с раздеванием сотрудников догола, наличием гинеколога и обязательным рентгеновским аппаратом... Гендир на меня так странно смотрел... Даже не знаю почему! | | |
| 47
- 30.05.2012 - 07:18
|
gloomymen - в этом альбоме (лучшем имхо) вообще сплошные образы. Nazareth наравне с DeepPurple и Led создали прототипы основных направлений тяжелой музыки, а теперь об их существовании знает только один из 10 поцыков с плеером, слушающим "тяжеляк"... Отсюда плодится модная безвкусица и нигилизм - от незнания истории музыки и тех эволюционных вех, которые прошла культура. ... ACID RABBIT - также стоит взять на работу проктолога, ибо за верхним сфинктером у male - для остального набора врачей начинается сумеречная область догадок, а вдруг именно там рентген покажет гроздь смотанных скотчем и еще не остывших от записи флешек? | | |
| 48
- 30.05.2012 - 08:15
|
у меня почему-то всегда возникает такой образ: пустыня, вечер, низкое красное солнце, и вдалеке летит "уставший" тяжелый бомбардировщик | | |
| 49
- 30.05.2012 - 08:49
| флешки, мобилки....[*****] вот мне интересно много ли где встречается 802.1x с ограничением 1-го мака на порту доступа и даже если встречается, думается не панацея и не надо ничего фотографировать, можно лить из любого места удалено :) | | |
| 50
- 30.05.2012 - 11:57
| 49-701054 > хомячина, а кто мне обещался озвучить что да как нуна для этого? я даже [*****] уже не помню как давно это было... | | |
| 51
- 30.05.2012 - 19:33
|
49-701054 > кстати да, что за загадочное колдунство с 801.1x не уловил можно внятно? | | |
| 52
- 30.05.2012 - 19:35
| +51 801.1x=802.1x | | |
| 53
- 30.05.2012 - 21:43
| да никакого колдунства, просто авторизация каждого клиента на порту, чтоб не тыкали железяки какие не попадя в сеть ну и каждому по порту без хабиков надо поэтому port-security, я до практики так и не дошел правда, но планы были грандиозные с гостевым вланом и прочей фигнёй, просто минусы всегда находятся...при детальном рассмотрении например сетевые принтаки которые не умеют таких фич прийдется выносить за фаер в свою сеть и т.д. в инжгео насколько знаю пользовали такие фени | | |
| 54
- 30.05.2012 - 21:50
| смысл в том, что если L2 без авторизации, то можно всунуть любой минироутер\бридж с 3g,lte,wifi и проч и не париться каждый раз с проносом фотико-мобил :) правда в теории имея железяк между свитчем и легальным клиентом вообще мало что спасет...поэтому дальше теории мне стало как-то не интересно :) | | |
| 55
- 30.05.2012 - 22:14
|
L2 на роутере легко коррелируется с L3 в чем фишка-то не пойму? ну воткнул любой минироутер\бридж с 3g,lte,wifi а дальше-то что? | | |
| 56
- 30.05.2012 - 22:17
| а дальше в случае 3g,lte поднял с него vpn по воздуху, и наться в локалку хоть до посинения :) с wifi надо сидеть в машине просто рядом | | |
| 57
- 30.05.2012 - 22:21
| если их поставить 2 один за одним то можно пользовать даже на ближнем к свитчу тотже мак и ип что и у легального клиента в общем при небольшой фантазии варианты есть :) | | |
| 58
- 30.05.2012 - 22:23
| учитывая, что сейчас есть железяки с нужным функционалом размером с пачку сигарет вместе с батарейкой....тема угнетающая для праноиков :) | | |
| 59
- 30.05.2012 - 22:31
|
да бред собачий, прости господи если в бордере контролируется связка L2L3, кто-то из "мудрых товрищей" пойдет курить бамбук, arpwatch завалит админа сотнями писем/персеконд, по факту - работать будет, но через тОООлстую жопу, если поспуфеный хост в онлайне, и тут я согласен - авторизация по порту какое-то (худо-бедное) решение | | |
| 60
- 30.05.2012 - 22:36
| а если втыкатель любой минироутер\бридж с 3g,lte,wifi воспользуется нужным портом, то нахрена козе баян? | | |
| 61
- 30.05.2012 - 22:40
|
простой пример с маршрутами: клиент 10.10.10.10 мак aa:aa:aa:aa:aa:aa --- фейковый шлюз1 10.10.10.254 ---нат 192.168.1.1---фейковый шлюз2 192.168.1.254----нат 10.10.10.10 мак aa:aa:aa:aa:aa:aa бордеру будет пофиг, вот директную сетку клиенту чтоб попользовать в таком варианте надо извратиться не слабо, на нормальной железке думаю реально если подумать, на обрезке конечно сложно , ну и у любого из фейковых 3 интерфейс в воздух | | |
| 62
- 30.05.2012 - 22:44
| Цитата:
| | |
| 63
- 30.05.2012 - 22:53
|
ага, сори понял об чем скандал левый шлюз за легальным ip, так? | | |
| 64
- 30.05.2012 - 22:56
| ага, именно так | | |
| 65
- 30.05.2012 - 23:08
|
я сегодня полдня общался устно с клиентом, моск мне вынесли напрочь, + компенсировал потери алкоголем сегодня, с вашей помощью, еще в состоянии разобрать ситуёвину завтра осмыслю уже сам) и тогда берегитесь))) | | |
| 66
- 30.05.2012 - 23:15
| хыы :) да я сам осмыслить до конца не могу, ну конкретную реализацию, чтоб можно было сделать полную прозрачность для клиента в принципе понимаю, что для этого достаточно scapy и iptables чтоб даже шифрованный трафф в случае 802.1x между клиентом и свитчем гонять прозрачно + отрисовать все arp у клиента и сделать директный трафф, при этом подмешивать трафф леывй трафф с воздуха, но scapy не серьезно в плане производительности, хотя точно понмаю, что это возможно :) | | |
| 67
- 30.05.2012 - 23:18
|
зуб даю (вот на столе лежит) этот паровоз я ухандокаю) | | |
| 68
- 30.05.2012 - 23:23
|
:) тогда останется все собрать как одну железку, написать на C и можно открывать контору по аудиту безопасности разойдутся как горячие пирожки :) ушёл спать, а то gochy с утра мне батарйку на телефоне просадит звонками :)))) | | |
| 69
- 30.05.2012 - 23:32
|
типа "мокротик секондедишн";) лады, пока я буду откисать, пригласим прокомментировать droidman) | | |
| 70
- 30.05.2012 - 23:41
|
пока остатки разума еще шевелятся а дальше в случае 3g,lte поднял с него vpn по воздуху, и наться в локалку хоть до посинения :) это точно не полетит | | |
| 71
- 31.05.2012 - 07:36
| поползет :) со стороны фейкшлюза клиент опенвпн который лезет на динднс сервер и в случае с маршрутизируемым впном iroute и маршрут на сервере делают доступным сеть за клиентом опенвпн - это как один из вариантов | | |
| 72
- 31.05.2012 - 07:38
| ну а дальше как в 61 нат и ответы обратно полетят по идее | | |
| 73
- 31.05.2012 - 07:45
| "который лезет на динднс сервер " = лезет через инет по воздуху на опенвпн сервер | | |
| 74
- 31.05.2012 - 09:21
|
вот накидал примерно как я видел эту бредовую идею :) http://www.gliffy.com/go/publish/3633262/ | | |
| 75
- 31.05.2012 - 12:43
|
честно, на картинку глазеть терпения не хватило) короче, если речь идет о интеграции левого шлюза, с клонированием мака в нужный порт, и натом внешнего источника на местный адрес (openvpn тут вообще как телеге 5-е колесо), то да, дакой паровоз полетит но это уже реальная диверсия воплощать ее будут, только там где оооочень нужно, а в таких местах просто обязаны сидеть параноики сб, которые ицмп закрывают) ищут на входе и выходе флэшки во вагалищах, желудках и анусах, ставят глушилки и пр. и пр. т.е. теоретически да, практически маловероятно | | |
| 76
- 31.05.2012 - 14:18
| осталоь запустить виртуалочгу, бриджиг на сетевушку и всё заверте.. | | |
| 77
- 31.05.2012 - 14:30
| ты как всегда со своими пирогами;) | | |
| 78
- 31.05.2012 - 15:36
| я вот что подумал, а что будет если в хаб(именно в хаб , не свитч) воткнуть 2 железки с одним маком и ip один фиг кидает же на все порты ) | | |
| 79
- 31.05.2012 - 15:37
| мож кто пробовал ? :) | | |
| 80
- 31.05.2012 - 15:40
|
единственный способ который я вижу - разрешать пользоваться инетом только из "песочницы" которая не сожет хавать файлики с машины.. Тоесть либо делать что-то вроде ситрикса, либо виртуальную машинку на самом компе.. либо доступ к инету только в терминальных сессиях.. но бред конечно еще тот.. | |
Интернет-форум Краснодарского края и Краснодара |
