Страница 1 из 1

BM или что-то другое?

СообщениеДобавлено: 07 июн 2004, 13:04
Мещеряков Андрей
Доброе время суток!
Существует сайт http://crl.verisign.com/ Вроде как общепризнанный центр сертификации. И в начале года был издан ряд ПО С дефектами запросов этих самых сертификатов. http://portal.sysadmins.ru/board/viewtopic.php?t=31182
Симптом: скородействие системы заметно идет вниз, машина все время лезет на сайт http://crl.verisign.com/Class3SoftwarePublishers.crl за своими малопонятными нуждами. Но проблема не в этом.
1. Как пользователь, подключенный к сети и имеющий сконфигурированный стек tcp/ip, но не имеющий прав доступа на прокси, попадает на сайт http://crl.verisign.com/Class3SoftwarePublishers.crl и не только попадающий, но и стаскивающий с него за неделю 1-3 М данных? Выходит, что авторизация ВМ - только для честных людей? В свое время ВМ латали от "неавторизированного пропуска"... Залатали ли? По крайней мере 3.5?
2. Что есть User unknown ???????????? Этот проблем мучает не одного меня. Трафик он создает небольшой, но число посещенных им страниц заметно. И это нервирует. То ли это валидный пользователь, которого не фиксирует прокси, то ли бродяга со стороны, а в свете последних событий - еще и барабашка из недр Офиса или троянец, раз для них существуют свои пути.
Ваше мнения, кабальерос!

P.S.
Положение отягощается таинственным поведением самой Novell в отношении продукта ВМ3.5. Полазив по странице с обновлениями для него, я обнаружил, что из списка загрузки исчез ряд установленных мною заплаток, например pxy027.exe и соотв. ему TID 2960637. Вопрос официальным представителям: продукт, конечно, снят с поддержки, но зачем стирать обновления - то? Стыдно стало?

А пакетными фильтрами у вас доступ запрещен без прокси?

СообщениеДобавлено: 07 июн 2004, 21:45
Boris Morozov
Если не запрещен, то это действительно для честных людей. Причем пользователи очень быстро эту фишку просекают. А патчики старые убрали небось за ненадобностью, сервис-пак наверняка более новый есть. Чего мусор держать.

СообщениеДобавлено: 07 июн 2004, 22:37
Мещеряков Андрей
Фильтров нет, но пинговать модем не могу - маршрутов нет, а RIP выключен. А насчет сервис-паков - ответ неверный 8) .Все эти "патчишки" были как раз постфиксами последнего СП№3! Один, впрочем, я все-таки выловил из архивов. Кому надо - поделюсь :?

Re: BM или что-то другое?

СообщениеДобавлено: 12 авг 2004, 14:46
Владимир Горяев
Мещеряков Андрей писал(а):Ваше мнения, кабальерос!
Мое мнение - BM выплевывает странички с кодом 403, много-много аж на "1-3 М данных" :D
User unknown... посмотретьего IP можно?

Если BM правильно настроить....

СообщениеДобавлено: 13 авг 2004, 12:08
Павел Гарбар
то через него хрен пройдешь.
А как показывает практика - век живи, век учись. Я предпочитаю сразу все запрещать, а потом понемного открывать. И каждый раз узнаю для себя что-то новое :-) Каких только хитровые...ных сайтов сейчас понапридумывали :-(
Особое внимаю рекомендую обратить на обязательность авторизации, жесткость фильтров, четкость правил, наличие прокси и прозрачного прокси, а также NAT.
Минусом NAT'а является то, что правилам он не подчиняется :-( Вот вам и возможная дыра для прохода без авторизации. Но его надо (и можно) хорошо затыкать фильтрами.

Re: Если BM правильно настроить....

СообщениеДобавлено: 13 авг 2004, 14:02
biruk
Павел Гарбар писал(а):Минусом NAT'а является то, что правилам он не подчиняется :-( Вот вам и возможная дыра для прохода без авторизации. Но его надо (и можно) хорошо затыкать фильтрами.


а зачем его разрешать и закрывать фильтрами, если можно его не разрешать?
или прокси без ната не будет работать?

Re: Если BM правильно настроить....

СообщениеДобавлено: 13 авг 2004, 14:37
Владимир Горяев
biruk писал(а):а зачем его разрешать и закрывать фильтрами, если можно его не разрешать?
или прокси без ната не будет работать?
Будет. Но бывают особые случаи, когда необходим NAT.

NAT для ftp upload

СообщениеДобавлено: 13 авг 2004, 15:37
Kostya
без него я не смог настроить upload по ftp

СообщениеДобавлено: 21 авг 2004, 12:02
Мещеряков Андрей
Еще раз про пакетные фильтры и NAT: Фильтров нет, маршрутизатор с NAT вынесен в другую физическую сеть, доступ к которой возможен только через прокси (маршрутизация выключена) Что и зачем здесь фильтровать? Может, я чего-то не понимаю?

А от внутренних троянов тоже не повредит защитится.

СообщениеДобавлено: 21 авг 2004, 19:52
Boris Morozov
Вот тут NAT не поможет. А прикрыв лишние порты убираем всяких троянов,коз, ослов и тому подобную пакость, которая любит шарится по портам. Не обольщайтесь, NAT прикрывает от внешних воздействий, а самые гадостные - внутренние. Не надо ленится. Тем более не сильно тут много придется затратить времени.

Re: NAT для ftp upload

СообщениеДобавлено: 22 авг 2004, 08:59
Dimerson
Kostya(sss) писал(а):без него я не смог настроить upload по ftp


Если не хватает HTTP-прокси , в BM есть Socks5.

Есть много замечательных FTP клиентов которые работают через Socks5.