Sledoval jsem rozlozeni zateze pote, co mame vlastni testovaci uplink a zaroven jedeme tranzit celeho cloudu 10.24./16 do CZF a jak tok tak celkovy objem prenesenych dat do CZF je typicky 2x - 5x vyssi, nez uplink do Inetu.
2 Ctirad, rsaf, oldfrog, dodo ... nelze než souhlasit
2 misi ... radiusu bude skoda
2 bobbik ... street access nebyl a není primárně určen pro "zdroje czf" ale pro využití 32 kbit free pásmo pro přístup na inet za účelem stáhnutí pošty jak dodo poznamenal.
2 misi podruhe ... DHCP by mělo být zapnuté to ano, ale dhcp server bude přidělovat stálým členům svou ip adresu oproti jejich mac adrese a kolem jdoucim bych daval ip adresy podle jakehosi obecne znameho systemu, ze ktereho bude vsem jasné, když se člověk koukne na ip, tak bude moci řici ano toto je uživatel tohoto apčka a je to kolem jdoucí uživatel nikoliv stály, RFC-CZF-ADDRESSING v podstatě má hodně velké možnosti pro určení zvláštního rozsahu každého APčka v Cloudu, pokud se to zakombinuje to RFC, pak by mohla být možnost (accept/reject) jak se chránit proti vybraným rozsahům sítě, ovšem byl by to asi dost dlouhý seznam nebo něco univerzálního typu, že:
10.C.N+128.0/24 jsou všichni kolem jdoucí na všech apčkách v cloudu ve všech cloudech tedy v CELÉ CZFree.Net síti.
Pak by jak APčka tak koncoví uživatelé mohli nastavit filtr asi takto pokud vyžadují ochranu:
REJECT IP 10.*.129-191.0/24, což někdo může říci, že je mrháním prostoru a že jedno ap nemůže mít na sobě 254 uživatelů (celý Cčko), tak tu /24 rozdělíme na /28 to jest po 16 hosts (resp. 14 uživatelých) (to je tak to reálné funkční maximum najedno AP, když uvážím, že má ještě své stálé uživatele, ty jsou však z jineho rozsahu) a řekněme že to bude ten poslední tedy 16.rozsah z toho celého Cčka a tedy konečně:
10.*.129-191.239/28 jěště jinak pro ty co neví co je /28, byly by to adresy od 10.*.129-191.239-255.
BTW C je číslo cloudu, N je číslo od jedné do 63.
Bylo by to dost místa pro anonymy.
Jednotné určení potažmo dodržování v celé CZFree.Net síti by mělo za následek snadnou aplikaci filtrace anonymů z ulice a jednoduchou identifikaci, zda-li se jedná o stálého či dočasného uživatele.
__________________
Naposledy upravil Stay d 29.08.2003 v 17:05
29.08.2003 v 16:58
Stay d
29.08.2003 17:02
Tento příspěvek byl moderován. K jeho zobrazení klikni
[zde]
()
Nechapu, proc by se mel vyhrazovat separatni adresni prostor pro street access. Myslim, ze by si kazdy mel svuj pocitac zabezpecit tak, jako kdyby predpokladal, ze se kdokoli a kdykoli muze pokusit mu ho hacknout.
Nakonec by to IMHO doslo k tomu, ze by se objevil nejaky utok, scan nebo neco jineho ze strany normalne registrovanych uzivatelu a co pak? A to nemluvim o tom, ze kdyz se takhle rozdeli adresni prostor, tak pripadnemu utocnikovi staci hacknout APcko, na ktere se pripojuje a tu adresu z "duveryhodneho" prostoru stejne dostane...
Osobne bych bezpecnostni strategii vedl spis jinou cestou. Na strane koncoveho klienta zakazat vse co nechce poskytnout vsem a povolovat individualne pro lidi, kterym duveruje.
rozhodne je podle mne rozumne adresove oddelit street access, protoze
to jednoduse poskytuje snadne rozlisovaci kriterium. zda se s nim potom
bude pracovat, je zalezitost jina. nicmene ja jsem pro, je preci bezne, ze
uzivatele sdruzuji do skupin a temto skupinam prideluji ruzne stupne ochrany
a prav. unix toto schema dukladne otestoval, je rozumne se jej drzet :-)
2 jbohac to jedno Cčko a z toho ještě navíc jen poslední 16. segment nikoho nezabije v konfiguraci BGP.
2 Ctirad ten rozsah je rozsah volný, a podle RFC CZF Addressing je určen pro účely, "kdyby náhodou" nestačil jednomu APčku, což je mimochodem absurdní, tento rozsah se pro toto náramně hodí, nebude čistě volný, ale bude obsazen podle nějakého systému, který by byl obecně platný v celé síti
Smysl je právě to oddělit, filtrovat, dropovat, svobodně se rozhodnout zdali accept nebo reject a toto by mohl každý koncový uživatel v celé síti, proč jim tuto možnost upírat, vlastníci APček ? Dále je to jednoduchá identifikace podle ip adresy, daleko lepší než jsou reverzibilní záznamy a doménová jména.
Je to jednoduché a geniální opatření spolu s ostatními návrhy EAP, radius server, WEP, close mac policy atd., pak by tu byla šance se alespoň nějak chránit proti rádoby zvaným hackerům, samozřejmě cíleně vedený útok HACKERA s velkými písmeny, asi nezastaví nic, nikdy žádné opatření nemívá své kontra-opatření, resp. každé opatření má své protiopatření, ale to neznamená že se nedá hnout ani prstem !!!
Argumentovat, že WEP nemá cenu, že stejnak ho lze zlomit, mohu přirovnat tomu, že i 128 nebo proty co si myslí že je to málo tak dám rovnou 4096 (je to dostatečně velký ?) bit např. SSL, PGP šifrování se dá také prolamovat na dobrých strojích, ale vždy je tu jedna otázka, nebo řekněme co dáme na váhu, na jednu stranu vah dám čas, zdroje, prostředky pro narušení ochrany na druhou stranu vah dáme obsah, který získá hacker když se mu podaří uspět a jeho významovou hodnotu pro hackera, neboli zdali mu to vše toto stojí za to, aby se u toho pořádně zapotil.
2 HonzaK nebudeme si nalhávat, že v síti nejsou uživatelé, jestli to chceš vidět napsané takto, pak BFU, kteří pomalu ani nevědí co je to firewall, pokud se to dozvědí, tak když už budou vědět co je to fw, tak mohou filtrovat, a ještě jednu věc k tomu, co si říkal, je sice hezké že mohu zakázat všechno vyjma toho co potřebuje ten koncák, ale co když poskytuje nějaké služby, chce být dostupný, to jako bude do svého ftp serveru povolovat ipčka těch lidí které nějak zná a jinak všechno bude před zakázáno nebo zakazovat ? Takle ani inet nefunguje.
Lidičky vůbec bych se nebál, když si řekneme, že tento rozsah bude pro tento účel, všichni to budou vědět a všichni se budou i ty BFU moci rozhodovat jak se zabezpečí anižby museli studovat tuny textu o linuxu, firewallech atd.
2 oldfrog přesně tak máš pravdu, groupováním userů to začínalo při rozdávaní ip rozsahů.
29.08.2003 v 15:39
