The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Исследование показало плачевное состояние защищённости SOHO-..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Исследование показало плачевное состояние защищённости SOHO-..."  +/
Сообщение от opennews (??) on 20-Апр-13, 00:59 
Компания Independent Security Evaluators опубликовала (http://securityevaluators.com//content/case-studies/routers/...) результаты исследования безопасности наиболее популярных моделей беспроводных маршрутизаторов для домашних пользователей и небольших офисов. В результате, во всех рассмотренных 13 моделях устройств выявлены  уязвимости, позволяющие атакующему получить полный контроль над конфигурацией маршрутизатора или обойти средства аутентификации.


Среди рассмотренных в исследовании устройств отмечаются различные модели беспроводных маршрутизаторов Asus, D-Link, TP-Link, Netgear,  Linksys, Belkin, Verizon Actiontec и 5 пока не афишируемых устройств для которых ещё не выпущены обновления прошивки с устранением уязвимостией. Во всех устройствах найдены проблемы, позволяющие получить доступ из внутренней локальной сети, в 4 случаях для получения управления не требовалась аутентификация. Для 11 из 13 устройств удалось выявить способы совершения атак через внешний интерфейс, при этом две атаки могли быть совершены без активной управляющей сессии.


Из возможных векторов атак упоминается перехват и изменение транзитного трафика пользователя (сбор паролей и конфиденциальных данных, MITM-атаки), установка компонентов для совершения вредоносных действий (участие в DDoS-атаках, рассылка спама), использование в качестве форпоста для проведения атак на внутреннюю сеть, находящуюся за границей межсетевого экрана или NAT.


С учетом трудности обнаружения проникновения злоумышленников на SOHO-маршрутизиторы, атаки на подобные устройства рассматриваются как перспективное и ещё недостаточно проработанное направление деятельности злоумышленников. Проблему усугубляет то, что производители достаточно неохотно выпускают обновления прошивок, часто игнорируют сообщения о возможных уязвимостях и не информируют пользователей о важных обновлениях. В свою очередь, пользователи не рассматривают маршрутизатор как возможный источник угрозы и в очень редких случаях устанавливают обновления прошивок.

Для снижения риска атак пользователям SOHO-маршрутизаторов даны следующие рекомендации:

-  Регулярное обновление прошивки;-  Загрузка прошивки только с сайта производителя;
-  Замена штатной прошивки на открытые дистрибутивы <a  href="http://www.dd-wrt.com/site/index">DD-WRT</a>, <a  href="http://www.polarcloud.com/tomato" >Tomato</a>  или  <a  href="https://openwrt.org/">OpenWRT</a>;

-  Отключение средств удалённого администрирования;
-  Отключение встроенных сетевых сервисов, таких как FTP, SMB и UPnP;
-  Завершение сеанса и перезагрузка устройства после выполнения действий в административном интерфейсе;
-  Чистка Cookie в браузере после работы в управляющем  web-интерфейсе;
-  Выбор нестандартных диапазонов адресов для внутренней сети;
-  При возможности включение и использование   HTTPS (для всех рассмотренных устройств HTTPS был отключен по умолчанию);
-  Использование WPA2-шифрования в беспроводной сети;
-  Выбор нестандартного логина и надёжного пароля;
-  При наличии в устройстве межсетевого экрана, блокирование входящих соединений к устройству из вне;
-  Для пользователей локальной сети даны рекомендации не игнорировать предупреждения браузера о потенциальных MITM-атаках и не переходить по подозрительным ссылкам (например, в которых фигурирует адрес 192.168.1.1).

URL: http://news.cnet.com/8301-1009_3-57579981-83/top-wi-fi-route.../
Новость: http://www.opennet.dev/opennews/art.shtml?num=36741

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Исследование показало плачевное состояние защищённости SOHO-..."  +9 +/
Сообщение от Аноним (??) on 20-Апр-13, 00:59 
> использование в качестве форпоста для проведения атак на внутреннюю сеть, находящуюся за границей межсетевого экрана или NAT.

Тем временем, идейные противники IPv6 продолжают утверждать, что любой роутер с NAT является непробиваемой защитой от атак извне.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

15. "Исследование показало плачевное состояние защищённости..."  –5 +/
Сообщение от arisu (ok) on 20-Апр-13, 05:33 
непробиваем, увы, только идиотизм фанбоев IPv6.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

40. "Исследование показало плачевное состояние защищённости..."  +4 +/
Сообщение от anonymous (??) on 20-Апр-13, 12:20 
> непробиваем, увы, только идиотизм фанбоев IPv6.

Фанбоев у IPv6 я как-то не видел. Однако, протокол хорош хотя бы тем, что несколько разгрузит роутеры от пересборки фрагментированных пакетов и пересчета чексум после каждого хопа. А так же вернет интернет в то состояние, которое проектировалось изначально - двусторонняя связь. Еще из плюсов можно назвать автоматическую агрегацию маршрутов на бордерах, что уменьшит таблицу маршрутизации, которая в ipv4 уже разрослась до 445721 маршрута. В сравнении, текущий RIB для ipv6 составляет 12117 маршрутов (да, еще будет расти, разумеется). Префиксы меньше /48 вообще никто не анонсирует, в отличие от кучи сетей по /24 в ipv4. А теперь аргументированно назовите кто-нибудь минусы ipv6, перевешивающие описанные плюсы.

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

43. "Исследование показало плачевное состояние защищённости..."  –11 +/
Сообщение от Аноним. on 20-Апр-13, 12:41 
> Однако, протокол хорош хотя бы тем, что несколько разгрузит роутеры от пересборки фрагментированных пакетов и пересчета чексум после каждого хопа.

Нет.

> А так же вернет интернет в то состояние, которое проектировалось изначально - двусторонняя связь

Нет.

> Еще из плюсов можно назвать автоматическую агрегацию маршрутов на бордерах, что уменьшит таблицу маршрутизации, которая в ipv4 уже разрослась до 445721 маршрута.

3 раза нет.

Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

49. "Исследование показало плачевное состояние защищённости..."  +/
Сообщение от anonymous (??) on 20-Апр-13, 12:56 
>> Однако, протокол хорош хотя бы тем, что несколько разгрузит роутеры от пересборки фрагментированных пакетов и пересчета чексум после каждого хопа.
> Нет.
>> А так же вернет интернет в то состояние, которое проектировалось изначально - двусторонняя связь
> Нет.
>> Еще из плюсов можно назвать автоматическую агрегацию маршрутов на бордерах, что уменьшит таблицу маршрутизации, которая в ipv4 уже разрослась до 445721 маршрута.
> 3 раза нет.

А аргументация будет?

Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

54. "Исследование показало плачевное состояние защищённости..."  –12 +/
Сообщение от Аноним. on 20-Апр-13, 13:14 
> А аргументация будет?

Любая книжка по маршрутизации. У меня нет времени на обучение всех "заблудуших".


Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору

59. "Исследование показало плачевное состояние защищённости..."  –1 +/
Сообщение от anonymous (??) on 20-Апр-13, 13:32 
>> А аргументация будет?
> Любая книжка по маршрутизации. У меня нет времени на обучение всех "заблудуших".

Спасибо, слив засчитан. Держу в руках сейчас http://www.infoweapons.com/content/free-ipv6-book-second-int... подтверждающую все сказанное мной. Лучше сами ее прочитайте, в конце концов.

Ответить | Правка | ^ к родителю #54 | Наверх | Cообщить модератору

62. "Исследование показало плачевное состояние защищённости..."  –3 +/
Сообщение от Аноним. on 20-Апр-13, 13:39 
>>> А аргументация будет?
>> Любая книжка по маршрутизации. У меня нет времени на обучение всех "заблудуших".
> Спасибо, слив засчитан. Держу в руках сейчас http://www.infoweapons.com/content/free-ipv6-book-second-int...
> подтверждающую все сказанное мной. Лучше сами ее прочитайте, в конце концов.

Надеюсь вы его себе защитали? После фразы:

> А так же вернет интернет в то состояние, которое проектировалось изначально - двусторонняя связь

Можно дальше не говорить. http://ru.wikipedia.org/wiki/Unicast

Ответить | Правка | ^ к родителю #59 | Наверх | Cообщить модератору

97. "Исследование показало плачевное состояние защищённости..."  +4 +/
Сообщение от Михрютка (ok) on 20-Апр-13, 15:48 
>>> А аргументация будет?
>> Любая книжка по маршрутизации. У меня нет времени на обучение всех "заблудуших".
> Спасибо, слив засчитан. Держу в руках сейчас http://www.infoweapons.com/content/free-ipv6-book-second-int...
> подтверждающую все сказанное мной. Лучше сами ее прочитайте, в конце концов.

спасибо, поблевал. не успел открыть - вижу:

4G requires a “flat” IP infrastructure (no NAT), which can only be accomplished with IPv6.

люди с такой кашей в голове еще книжки пишут. это просто праздник какой-то.


In the Second Internet, anyone can be a prosumer (producer and consumer). NAT was a necessary evil to keep things going until the Second Internet was ready to be rolled out.

вот оно как, Михалыч. и вебдванольчики кровавые в глазах.


Ответить | Правка | ^ к родителю #59 | Наверх | Cообщить модератору

100. "Исследование показало плачевное состояние защищённости..."  +/
Сообщение от Аноним (??) on 20-Апр-13, 16:06 
> вот оно как, Михалыч. и вебдванольчики кровавые в глазах.

Еще скажите что нат не корежит исходную протокольную логику. На что только не пойдет форумная троллота чтобы оправдать свой кретинизм в терминальной стадии.

Да, вы только представьте себе, изначально в семействе протоколов TCP/IP нет никакого деления на клиенты и серверы и в общем то все узлы равноправны. В том плане кто к кому соединяться может. Это изначальная протокольная логика. То что айпишников перестало хватать на всех, а некоторые ушлепаны хронически путают stateful firewall и NAT - еще не показатель того что интернет так и был задуман.

Ответить | Правка | ^ к родителю #97 | Наверх | Cообщить модератору

121. "Исследование показало плачевное состояние защищённости..."  –2 +/
Сообщение от arisu (ok) on 20-Апр-13, 17:30 
> Да, вы только представьте себе, изначально в семействе протоколов TCP/IP нет никакого
> деления на клиенты и серверы

то-то tcp-сокет может быть или клиентским, или серверным, но не тем и другим одновременно. видимо, это оттого, что жопа есть, а слова нет.

Ответить | Правка | ^ к родителю #100 | Наверх | Cообщить модератору

138. "Исследование показало плачевное состояние защищённости..."  +/
Сообщение от ram_scan on 20-Апр-13, 18:05 
Расслабьтесь. Не TCP единым. Как минимум UDP сокет может (и не только). Но вы видимо не в курсе.
Ответить | Правка | ^ к родителю #121 | Наверх | Cообщить модератору

140. "Исследование показало плачевное состояние защищённости..."  –1 +/
Сообщение от arisu (ok) on 20-Апр-13, 18:08 
> Расслабьтесь. Не TCP единым. Как минимум UDP сокет может (и не только).
> Но вы видимо не в курсе.

я специально для даунов три буквы вписал. но дауны читать не умеют, дауны сразу бегут Обличать.

Ответить | Правка | ^ к родителю #138 | Наверх | Cообщить модератору

145. "Исследование показало плачевное состояние защищённости..."  +1 +/
Сообщение от Аноним (??) on 20-Апр-13, 18:17 
А на TCP мир не заканчивается. Сам по себе IP, кстати, вообще p2p-style протокол. Ах, ну да, у вас же в мире 640 кило и TCP хватит всем. Правда малопонятно почему один конкретный TCP надо выпятить над остальныи payload'ами IP. Это к вопросу о корежинге протокольной логики. Логика IP корежится просто адски. И половина протоколов NAT вообще не пройдет. NAT должен явно знать как трекать протокол, что является тем еще костылем.
Ответить | Правка | ^ к родителю #140 | Наверх | Cообщить модератору

148. "Исследование показало плачевное состояние защищённости..."  –1 +/
Сообщение от arisu (ok) on 20-Апр-13, 18:23 
ну это же не я написал «протокол TCP/IP». было бы написано «протокол IP» — я бы слова не сказал, молчал себе.
Ответить | Правка | ^ к родителю #145 | Наверх | Cообщить модератору

142. "Исследование показало плачевное состояние защищённости..."  +/
Сообщение от Аноним (??) on 20-Апр-13, 18:13 
> то-то tcp-сокет может быть или клиентским, или серверным,

Ну в TCP кто-то должен открывать соединение а кто-то принимать его. Вот работает допустим torrent. Он и клиент и сервер. Вот как-то так изначально TCP/IP и задумывался, что любой может и слушать и конектиться. Да и после конекта TCP лишь двунаправленная труба и кто там первый начал - в общем то весьма формальное отличие. Возникающее лишь потому что кто-то должен начинать, как ни крути. В UDP различие еще более эфемерное. По факту оно изначально подразумевает равноправные узлы которые могут быть как инициаторами так и слушателями.

> но не тем и другим одновременно. видимо, это оттого, что жопа есть, а слова нет.

Не, просто чисто технически кто-то должен выступить с инициативой первым. По изначальной задумке все узлы могут и так и сяк. А нат уже корежит эту логику. При том сильно - софт будет думать что он может принимать соединения, а по факту - болт. За такое насилие над протокольной логикой - руки обрубать. Авторам софта приходится жутко изгаляться чтобы вообще понять - а работает ли это по факту, какой там именно нат по пути, как это костылировать и прочая. ПесецЪ.

Ответить | Правка | ^ к родителю #121 | Наверх | Cообщить модератору

147. "Исследование показало плачевное состояние защищённости..."  +/
Сообщение от arisu (ok) on 20-Апр-13, 18:21 
так я всё-таки не понял: есть слово или нет? если есть клиентский и серверный режимы — то есть. иначе — ок, нет. ты признаёшь, что таки есть. ну да, с танцами и оговорками, но таки признаёшь.

есть соединение — есть и клиент-серверная система. а то, что аппарат есть — не значит, что насильник.

Ответить | Правка | ^ к родителю #142 | Наверх | Cообщить модератору

171. "Исследование показало плачевное состояние защищённости..."  +/
Сообщение от ананим on 20-Апр-13, 21:20 
Сервер и сокет — разные слова и понятия.
Ответить | Правка | ^ к родителю #147 | Наверх | Cообщить модератору

231. "Исследование показало плачевное состояние защищённости..."  +/
Сообщение от Аноним (??) on 21-Апр-13, 14:51 
> так я всё-таки не понял: есть слово или нет?

Есть, однако оно никак не обязывает разделять роли именно на уровне узлов. То-есть, ничему не противоречит если узел и клиент и сервер одновременно. Как торрент, например. В UDP все еще эфемернее, а сам IP - и вовсе довольно симметричный в этом плане.

По поводу чего нат таки выглядит бельмом на глазу исходной логики заложенной в протоколы семейства IP. Будешь с этим спорить? :)

> если есть клиентский и серверный режимы — то есть. иначе — ок, нет. ты
> признаёшь, что таки есть. ну да, с танцами и оговорками, но таки признаёшь.

В некоторых протоколах - есть. В некоторых - нет. В некоторых - "хрен поймешь".

> есть соединение — есть и клиент-серверная система. а то, что аппарат есть
> — не значит, что насильник.

Иди, расскажи торренту например о клиент-серверной модели. Формально там есть слушающий сокет и инициатор-"клиент". Реально протокол торрента с точки зрения его логики совершенно индиферентен к тому было ли это соединение входящим на его порт или же оно было собственной инициативой. На протокольную логику в этой трубе сие влияет крайне слабо (в плане того кто у кого что попросит и кто чего обслужит). По факту после начального хэндшейка есть вполне симметричная двусторонняя труба. Ничему не противоречит если принимавший соединение первым начнет коммуникации и что-то запросит у инициатора соединения, так что далее сломаешь мозг - кого там за сервер при таком раскладе считать :)

Ответить | Правка | ^ к родителю #147 | Наверх | Cообщить модератору

241. "Исследование показало плачевное состояние защищённости..."  +/
Сообщение от arisu (ok) on 21-Апр-13, 16:03 
интересная логика. если некто умеет ходить на руках, то получается, что ходить на ногах — это просто такая прихоть. всё, задолбался я, что-то нет сегодня настроения «перепёрдываться» (чудесный термин, которым мы в своё время обозначали тупизм двух роботов в Nether Earth: когда их разделяет стена, они друг друга видят, потому что головы выше стены, но фазерами лупят именно в стену; а обойти ни один не хочет).
Ответить | Правка | ^ к родителю #231 | Наверх | Cообщить модератору

331. "Исследование показало плачевное состояние защищённости..."  +/
Сообщение от Аноним (??) on 22-Апр-13, 19:43 
> фазерами лупят именно в стену; а обойти ни один не хочет).

Ха-ха, какое хорошее описание картины :)


Ответить | Правка | ^ к родителю #241 | Наверх | Cообщить модератору

169. "Исследование показало плачевное состояние защищённости..."  –2 +/
Сообщение от Михрютка (ok) on 20-Апр-13, 21:08 

спасибо за прекрасный пример крававого вебдванольчика.

> Еще скажите что нат не корежит исходную протокольную логику. На что только
> не пойдет форумная троллота чтобы оправдать свой кретинизм в терминальной стадии.

если в 21 веке авторы протокола доси закладываются на то, что у них есть конец-в-конец коннективити, такой протокол должен умереть а)медленно б)в страданиях.

> Да, вы только представьте себе, изначально в семействе протоколов TCP/IP нет никакого
> деления на клиенты и серверы и в общем то все узлы
> равноправны. В том плане кто к кому соединяться может. Это изначальная
> протокольная логика. То что айпишников перестало хватать на всех, а некоторые
> ушлепаны хронически путают stateful firewall и NAT - еще не показатель
> того что интернет так и был задуман.

вообще не понял, к чему эта церебральная эякуляция. общеизвестно, что нормальные люди придумывают для гиковских штучек такие применения, что гикам даже и в голову прийти не могло. пример - приватные сети, например. понятно, что гику непонятно, как это - иметь сетку, которая не роутится в ВЕСЬ БОЛЬШОЙ ИНТЕРНЕТ.

Ответить | Правка | ^ к родителю #100 | Наверх | Cообщить модератору

232. "Исследование показало плачевное состояние защищённости..."  +/
Сообщение от Аноним (??) on 21-Апр-13, 14:54 
> если в 21 веке авторы протокола доси закладываются на то, что у
> них есть конец-в-конец коннективити, такой протокол должен умереть а)медленно б)в страданиях.

Не, это те кто корежит протокольную логику должны даже не умереть. А просто постоянно жариться на сковородке в аду. Убить - слишком гуманно. Только вечные мучения за создание проблем другим людям и протоколам. Только хардкор.

> гику непонятно, как это - иметь сетку, которая не роутится в ВЕСЬ БОЛЬШОЙ ИНТЕРНЕТ.

Да пусть себе не роутится. Просто это не считается интернетом и там вообще интернетовский софт работать не должен. Можете хоть голубиной почтой пакеты передавать. Просто нефиг тогда своими костылями и обрубками в интернет отсвечивать.

Ответить | Правка | ^ к родителю #169 | Наверх | Cообщить модератору

240. "Исследование показало плачевное состояние защищённости..."  –1 +/
Сообщение от Михрютка (ok) on 21-Апр-13, 15:32 

>> гику непонятно, как это - иметь сетку, которая не роутится в ВЕСЬ БОЛЬШОЙ ИНТЕРНЕТ.
> Да пусть себе не роутится. Просто это не считается интернетом и там
> вообще интернетовский софт работать не должен. Можете хоть голубиной почтой пакеты
> передавать. Просто нефиг тогда своими костылями и обрубками в интернет отсвечивать.

не останавливайтесь, это прекрасно. значит, говорите, в приватных сетках IP протокол не должен работать, я правильно понимаю?

Ответить | Правка | ^ к родителю #232 | Наверх | Cообщить модератору

257. "Исследование показало плачевное состояние защищённости..."  +/
Сообщение от demon (??) on 21-Апр-13, 23:44 
> не останавливайтесь, это прекрасно. значит, говорите, в приватных сетках IP протокол не
> должен работать, я правильно понимаю?

Ну, если вы хотите 143% защиты - используйте в локалке свой стек протоколов. Кто ж вам мешает?

Ответить | Правка | ^ к родителю #240 | Наверх | Cообщить модератору

274. "Исследование показало плачевное состояние защищённости..."  +/
Сообщение от Аноним (??) on 22-Апр-13, 01:50 
> не останавливайтесь, это прекрасно. значит, говорите, в приватных сетках IP протокол не
> должен работать, я правильно понимаю?

Скажем так - не обязан.

Ответить | Правка | ^ к родителю #240 | Наверх | Cообщить модератору

332. "Исследование показало плачевное состояние защищённости..."  +/
Сообщение от Аноним (??) on 22-Апр-13, 19:45 
> в приватных сетках IP протокол не должен работать, я правильно понимаю?

Совершенно не обязан. В общем случае в приватной сети может работать любой протокол. А что, давайте задвинем про то что IPX или сообщения по шине CAN или модбасу не роутятся напрямую в интернет? :)

Ответить | Правка | ^ к родителю #240 | Наверх | Cообщить модератору

339. "Исследование показало плачевное состояние защищённости..."  +/
Сообщение от Михрютка (ok) on 22-Апр-13, 22:31 
>> в приватных сетках IP протокол не должен работать, я правильно понимаю?
> Совершенно не обязан. В общем случае в приватной сети может работать любой
> протокол.

/0


Ответить | Правка | ^ к родителю #332 | Наверх | Cообщить модератору

256. "Исследование показало плачевное состояние защищённости..."  +/
Сообщение от demon (??) on 21-Апр-13, 23:41 
> гику непонятно, как это - иметь сетку, которая не роутится в ВЕСЬ БОЛЬШОЙ ИНТЕРНЕТ.

Если у вас есть коннективити с интернетом, то чем вам помешает роутинг вашей сети в интернет? Еще раз, для упертых: если у вас есть коннективити, то какая же это "приватная сетка"? Отрубайте WAN интерфейс и вы будете защищены от интернета на 100%. Это не "прихоть" гиков, это то, как проектировалось семейство протоколов IP. Прихоть - это использование механизма NAT для защиты, вместо его прямой цели - расширения адресного пространства.

Запомните дети:
1. NAT служит для расширения адресного пространства.
2. Для защиты "условно приватных" сетей есть Stateful Firewall.

Если уж так сложилось, что у вас нет достаточно public IP, то не надо говорить, что NAT защищает вас от интернета, и что вам не нужны и никогда не понадобятся public IP. NAT делает свое дело. Дополнительная "защита" это побочный эффект. Отказ от файрвола в этом случае - не самое мудрое решение.

Ответить | Правка | ^ к родителю #169 | Наверх | Cообщить модератору

260. "Исследование показало плачевное состояние защищённости..."  –1 +/
Сообщение от Михрютка (ok) on 22-Апр-13, 00:22 
Тыдыщь! в тредик врывается еще один мальчик вебдванольчик, который считает, что приватные адреса - для лузеров, которым не досталось паблик адресов.

мальчик-вебдванольчик лучше меня знает, что и как мешает мне в моей сетке:

> Если у вас есть коннективити с интернетом, то чем вам помешает роутинг
> вашей сети в интернет? Еще раз, для упертых: если у вас
> есть коннективити, то какая же это "приватная сетка"? Отрубайте WAN интерфейс
> и вы будете защищены от интернета на 100%. Это не "прихоть"
> гиков, это то, как проектировалось семейство протоколов IP. Прихоть - это
> использование механизма NAT для защиты, вместо его прямой цели - расширения
> адресного пространства.

всем тихо! пришел отец, он нас щас осчастливит великим знанием:

> Запомните дети:
> 1. NAT служит для расширения адресного пространства.

вот оно как, Михалыч. запомните, дети, и передайте другим - хотите расширить адресное пространство - используйте NAT. Понять это невозможно, но можно запомнить.

Мальчик вебдванольчик даже лучше меня знает, что я говорил:

> Если уж так сложилось, что у вас нет достаточно public IP, то
> не надо говорить, что NAT защищает вас от интернета, и что
> вам не нужны и никогда не понадобятся public IP. NAT делает
> свое дело. Дополнительная "защита" это побочный эффект. Отказ от файрвола в
> этом случае - не самое мудрое решение.

на всякий случай перечитал три раза тредик - так и не нашел, где я говорил о "NAT защищает вас от интернета", а также, что мне не нужны или не понадобятся паблик IP. Но с другой стороны, кто я такой, чтобы спорить с голосами в голове мальчика вебдванольчика? "Запомните дети!"

Ответить | Правка | ^ к родителю #256 | Наверх | Cообщить модератору

333. "Исследование показало плачевное состояние защищённости..."  +/
Сообщение от Аноним (??) on 22-Апр-13, 19:46 
Тю, сколько снобизма и кача ЧСВ. Вам что, не дали и вы тут отыгрываетесь?
Ответить | Правка | ^ к родителю #260 | Наверх | Cообщить модератору

349. "Исследование показало плачевное состояние защищённости..."  +/
Сообщение от Аноним (??) on 30-Апр-13, 08:17 
Михаил Борисович, залогиньтесь
Ответить | Правка | ^ к родителю #260 | Наверх | Cообщить модератору

264. "Исследование показало плачевное состояние защищённости..."  +1 +/
Сообщение от Аноним (??) on 22-Апр-13, 01:26 
> А аргументация будет?

10 раз нет.

Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору

44. "Исследование показало плачевное состояние защищённости..."  –1 +/
Сообщение от arisu (ok) on 20-Апр-13, 12:45 
IPv6 дизайнили идиоты. nuff said, собственно.

я при этом ни разу не против расширения диапазона адресов, конечно. но совершенно не заинтересован ни в дискусии по поводу того, чем хорош/плох IPv6 (всё, другого не будет, это факт; любые дискуссии по этому поводу — пустая трата времени), ни в применении оного IPv6 на практике (надеюсь, повсеместный переход произойдёт ещё не скоро).

Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

125. "Исследование показало плачевное состояние защищённости..."  +9 +/
Сообщение от Аноним (??) on 20-Апр-13, 17:41 
>  Однако, протокол хорош

IPV4:
- Вася, какой там адрес у сетевого принтера у тёти Мани?
- 10.100.1.128

IPV6:
- Вася, какой там адрес у сетевого принтера у тёти Мани?
- 2001:0db8:85a3:0000:0000:8a2e:0370:7334
Enjoy ur IPV6.

Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

135. "Исследование показало плачевное состояние защищённости..."  +1 +/
Сообщение от arisu (ok) on 20-Апр-13, 17:57 
а вот это уже неизбежное зло. как ты представляешь себе расширение диапазона адресов с сохранением любимых четырёх чисел?

p.s. а вот разделять их двоеточием придумал даун.

Ответить | Правка | ^ к родителю #125 | Наверх | Cообщить модератору

137. "Исследование показало плачевное состояние защищённости..."  +3 +/
Сообщение от Аноним (??) on 20-Апр-13, 18:04 
> p.s. а вот разделять их двоеточием придумал даун.

Еще больший даунизм - то что возможно несколько форм записи. И не совсем тривиальные сокращения.

Ответить | Правка | ^ к родителю #135 | Наверх | Cообщить модератору

141. "Исследование показало плачевное состояние защищённости..."  –3 +/
Сообщение от arisu (ok) on 20-Апр-13, 18:09 
>> p.s. а вот разделять их двоеточием придумал даун.
> Еще больший даунизм - то что возможно несколько форм записи. И не
> совсем тривиальные сокращения.

ну, это там всё вместе. куча даунов порезвилась.

Ответить | Правка | ^ к родителю #137 | Наверх | Cообщить модератору

200. "Исследование показало плачевное состояние защищённости..."  –1 +/
Сообщение от anonymous (??) on 21-Апр-13, 10:36 
>> p.s. а вот разделять их двоеточием придумал даун.
> Еще больший даунизм - то что возможно несколько форм записи. И не
> совсем тривиальные сокращения.

В IPv4, внезапно, тоже есть несколько форм записи.
Примеры:
$ ping 127.1
PING 127.1 (127.0.0.1) 56(84) bytes of data.
64 bytes from 127.0.0.1: icmp_req=1 ttl=64 time=0.027 ms
--- 127.1 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 0.027/0.027/0.027/0.000 ms

$ ping 812832123
PING 812832123 (48.114.213.123) 56(84) bytes of data.
^C
--- 812832123 ping statistics ---
2 packets transmitted, 0 received, 100% packet loss, time 1007ms

Тоже ушлепки придумали?
Разделение двоеточием компенсируется заключение ipv6 адреса в [].
Вы хоть почитайте, насколько ipv6 логичнее (без бл*дского CIDR - кто суммировал вручную маршруты на бордерах, поймет), проще в администрировании и использовании для конечных пользователей. А давать пользователям прямой доступ к ip адресам вообще, вместо использования dns - в принципе плохая затея. Поэтому пример с принтером должен выглядеть как "Вась, как звать принтер?" "- hp2.localdomain.local, Мань", а во что оно там отрезолвится, дело десятое.

Ответить | Правка | ^ к родителю #137 | Наверх | Cообщить модератору

300. "Исследование показало плачевное состояние защищённости..."  +/
Сообщение от Аноним (??) on 22-Апр-13, 11:20 
> Вы хоть почитайте, насколько ipv6 логичнее (без бл*дского CIDR - кто суммировал
> вручную маршруты на бордерах, поймет)

Я суммировал и не понимаю, в каком месте ipv6 логичнее? IPv6 -- это набор костылей.

Ответить | Правка | ^ к родителю #200 | Наверх | Cообщить модератору

157. "Исследование показало плачевное состояние защищённости..."  –1 +/
Сообщение от Аноним (??) on 20-Апр-13, 19:04 
> а вот это уже неизбежное зло. как ты представляешь себе расширение диапазона
> адресов с сохранением любимых четырёх чисел?
> p.s. а вот разделять их двоеточием придумал даун.

Добавить пару-тройку чисел? XXX.XXX.XXX.XXX.XXX.XXX - и всё. При большом желании можно даже обратную совместимость сохранить. И обойтись без HEX, делающих адрес нечитаемым и непроизносимым.

Ответить | Правка | ^ к родителю #135 | Наверх | Cообщить модератору

158. "Исследование показало плачевное состояние защищённости..."  +/
Сообщение от arisu (ok) on 20-Апр-13, 19:12 
> Добавить пару-тройку чисел?

ага. для 128 бит. однозначно, пары-тройки хватит. и нет, «да ладно, 48 бит не закончатся!» мы уже проходили.

Ответить | Правка | ^ к родителю #157 | Наверх | Cообщить модератору

161. "Исследование показало плачевное состояние защищённости..."  –1 +/
Сообщение от Аноним (??) on 20-Апр-13, 19:28 
>> Добавить пару-тройку чисел?
> ага. для 128 бит. однозначно, пары-тройки хватит. и нет, «да ладно, 48
> бит не закончатся!» мы уже проходили.

Будем решать проблемы по мере поступления ;-)

Ответить | Правка | ^ к родителю #158 | Наверх | Cообщить модератору

163. "Исследование показало плачевное состояние защищённости..."  +1 +/
Сообщение от arisu (ok) on 20-Апр-13, 19:41 
> Будем решать проблемы по мере поступления ;-)

ну вот 128-битное адресное пространство одну проблему решает *очень* надолго. и это, в общем-то, правильный подход. потому что временные хаки, увы — самые долговечные штуки на свете.

Ответить | Правка | ^ к родителю #161 | Наверх | Cообщить модератору

170. "Исследование показало плачевное состояние защищённости..."  +/
Сообщение от Михрютка (ok) on 20-Апр-13, 21:13 
>> Будем решать проблемы по мере поступления ;-)
> ну вот 128-битное адресное пространство одну проблему решает *очень* надолго. и это,
> в общем-то, правильный подход. потому что временные хаки, увы — самые
> долговечные штуки на свете.

напомните, коллега, какую проблему решает 128-разрядное адресное пространство? Проблему идиотов в иана, раздававших /8 всяким ушлепкам, или проблему кретинов, купивших домой роутер, и считающих, что за эти деньги им просто обязаны роутингом в мир?

Ответить | Правка | ^ к родителю #163 | Наверх | Cообщить модератору

173. "Исследование показало плачевное состояние защищённости..."  –3 +/
Сообщение от arisu (ok) on 20-Апр-13, 21:37 
да, это программное решение биологической проблемы. к сожалению, уничтожить всех идиотов нельзя, поэтому приходится дизайнить с рассчётом на них.
Ответить | Правка | ^ к родителю #170 | Наверх | Cообщить модератору

175. "Исследование показало плачевное состояние защищённости..."  +/
Сообщение от Аноним (??) on 20-Апр-13, 22:19 
я фигею с таких людей как ты, считающими себя "небыдлом" и "недауном".
Ответить | Правка | ^ к родителю #173 | Наверх | Cообщить модератору

208. "Исследование показало плачевное состояние защищённости..."  –1 +/
Сообщение от askh (ok) on 21-Апр-13, 11:53 
> напомните, коллега, какую проблему решает 128-разрядное адресное пространство? Проблему
> идиотов в иана, раздававших /8 всяким ушлепкам, или проблему кретинов, купивших
> домой роутер, и считающих, что за эти деньги им просто обязаны
> роутингом в мир?

То есть, пусть живут без этого самого роутинга, это не проблема? Проблема — это если им дают то, что им нужно?

Про /8 можно забыть, проблема была бы и если бы адресное пространство распределялось самым оптимальным образом. Количество адресов в IPv4, как их ни распределяй, не может превышать 2^32 = 4294967296, что меньше населения Земли.

Ответить | Правка | ^ к родителю #170 | Наверх | Cообщить модератору

226. "Исследование показало плачевное состояние защищённости..."  +/
Сообщение от Михрютка (ok) on 21-Апр-13, 14:22 
> То есть, пусть живут без этого самого роутинга, это не проблема? Проблема
> — это если им дают то, что им нужно?
> Про /8 можно забыть, проблема была бы и если бы адресное пространство
> распределялось самым оптимальным образом. Количество адресов в IPv4, как их ни
> распределяй, не может превышать 2^32 = 4294967296, что меньше населения Земли.

да. меньше. какое отношение имеет количество адресов в IPv4 к населению Земли?

Ответить | Правка | ^ к родителю #208 | Наверх | Cообщить модератору

227. "Исследование показало плачевное состояние защищённости..."  –2 +/
Сообщение от arisu (ok) on 21-Апр-13, 14:32 
> да. меньше. какое отношение имеет количество адресов в IPv4 к населению Земли?

сомалийцам адресов не хватает. они от этого и пиратством промышлять стали.

Ответить | Правка | ^ к родителю #226 | Наверх | Cообщить модератору

252. "Исследование показало плачевное состояние защищённости..."  +/
Сообщение от Михрютка (ok) on 21-Апр-13, 21:08 
>> да. меньше. какое отношение имеет количество адресов в IPv4 к населению Земли?
> сомалийцам адресов не хватает. они от этого и пиратством промышлять стали.

127.0.0.0/8 хватит на всех.

Ответить | Правка | ^ к родителю #227 | Наверх | Cообщить модератору

334. "Исследование показало плачевное состояние защищённости..."  +/
Сообщение от Аноним (??) on 22-Апр-13, 19:47 
> 127.0.0.0/8 хватит на всех.

А теперь сделай так чтобы оно на всех роутилось :)

Ответить | Правка | ^ к родителю #252 | Наверх | Cообщить модератору

276. "Исследование показало плачевное состояние защищённости..."  +/
Сообщение от Аноним (??) on 22-Апр-13, 01:53 
> да. меньше. какое отношение имеет количество адресов в IPv4 к населению Земли?

А что, ими пользуется население какой-то другой планеты?

Ответить | Правка | ^ к родителю #226 | Наверх | Cообщить модератору

280. "Исследование показало плачевное состояние защищённости..."  +/
Сообщение от Михрютка (ok) on 22-Апр-13, 02:07 
>> да. меньше. какое отношение имеет количество адресов в IPv4 к населению Земли?
> А что, ими пользуется население какой-то другой планеты?

да судя по некоторым каментам - таки да, другой. и IP у них там какой-то неземной, вон мне уже рассказывают, что он в сетях с приватными адресами работать не обязан. я молчу, чтобы не спугнуть, слежу с чисто исследовательским интересом, как оно у них там?

PS я так полагаю, девелоперы третьегнома были только разведотрядом, теперь основные силы подтягиваются.

Ответить | Правка | ^ к родителю #276 | Наверх | Cообщить модератору

317. "Исследование показало плачевное состояние защищённости..."  –1 +/
Сообщение от Аноним (??) on 22-Апр-13, 15:26 
>> да. меньше. какое отношение имеет количество адресов в IPv4 к населению Земли?
> А что, ими пользуется население какой-то другой планеты?

А тепрь давай умножим это число 2^32 на 2^24 миллионов (10/8), как в случае с NAT, хватает?

Ответить | Правка | ^ к родителю #276 | Наверх | Cообщить модератору

343. "Исследование показало плачевное состояние защищённости..."  +/
Сообщение от askh (ok) on 24-Апр-13, 10:52 
Хватает, но создаёт проблемы. Ну вот например человек хочет поиграть в CS с другом. Оба за NAT у провайдера. Решения два: абонентская плата за белый IP или внедрение IPv6 и бесплатный белый IP каждому пользователю.
Ответить | Правка | ^ к родителю #317 | Наверх | Cообщить модератору

344. "Исследование показало плачевное состояние защищённости..."  +/
Сообщение от arisu (ok) on 24-Апр-13, 10:57 
я тебя сейчас сильно удивлю: решений больше, чем те два, о которых ты знаешь.
Ответить | Правка | ^ к родителю #343 | Наверх | Cообщить модератору

275. "Исследование показало плачевное состояние защищённости..."  +/
Сообщение от Аноним (??) on 22-Апр-13, 01:52 
> Будем решать проблемы по мере поступления ;-)

- это самый лучший способ обеспечить экспоненциальный рост числа проблем ;)

Ответить | Правка | ^ к родителю #161 | Наверх | Cообщить модератору

234. "Исследование показало плачевное состояние защищённости..."  +/
Сообщение от Аноним (??) on 21-Апр-13, 14:56 
> И обойтись без HEX,

Чтобы народ окончательно обуел от длины адреса?


> делающих адрес нечитаемым и непроизносимым.

Вот ведь блин, как же это шахматисты то адресуют свои E2-E4? Там даже поболее будет :)

Ответить | Правка | ^ к родителю #157 | Наверх | Cообщить модератору

168. "Исследование показало плачевное состояние защищённости..."  +3 +/
Сообщение от Аноним (??) on 20-Апр-13, 21:08 
не использовать днс когда это возможно может только даун. по поводу двоеточий -- да какая тебе разница чем они отделяются.
Ответить | Правка | ^ к родителю #135 | Наверх | Cообщить модератору

207. "Исследование показало плачевное состояние защищённости..."  +/
Сообщение от askh (ok) on 21-Апр-13, 11:47 
Левая часть всех внутренних адресов будет очевидно одинаковой, это несколько облегчит задачу. Ну и, вообще говоря, DNS никто не отменял.
Ответить | Правка | ^ к родителю #125 | Наверх | Cообщить модератору

218. "Исследование показало плачевное состояние защищённости..."  +/
Сообщение от Аноним (??) on 21-Апр-13, 13:41 
более того для внутренних адресов, их какбе можно забить внутри нулями, так что всё сократится до адресов вида fd00::9. или использовать приколы типа fd00:dead:beef::9 ;)
Ответить | Правка | ^ к родителю #207 | Наверх | Cообщить модератору

245. "Исследование показало плачевное состояние защищённости..."  +/
Сообщение от анон on 21-Апр-13, 18:50 
tetyoa-manya.local
Ответить | Правка | ^ к родителю #125 | Наверх | Cообщить модератору

270. "Исследование показало плачевное состояние защищённости..."  +/
Сообщение от Аноним (??) on 22-Апр-13, 01:39 
> tetyoa-manya.local

Может, еще и использовать avahi предложите?

Ответить | Правка | ^ к родителю #245 | Наверх | Cообщить модератору

329. "Исследование показало плачевное состояние защищённости..."  +/
Сообщение от Аноним (??) on 22-Апр-13, 17:33 
>> tetyoa-manya.local
> Может, еще и использовать avahi предложите?

предложу тебе пойти сожрать дерьма

Ответить | Правка | ^ к родителю #270 | Наверх | Cообщить модератору

278. "Исследование показало плачевное состояние защищённости..."  –1 +/
Сообщение от Аноним (??) on 22-Апр-13, 01:57 
> IPV4:
> - Вася, какой там адрес у сетевого принтера у тёти Мани?
> - 10.100.1.128

Люди, не использующие DNS для тех целей, для которых он предназначен - явно хотят страдать. Так зачем мешать им в этом?

Ответить | Правка | ^ к родителю #125 | Наверх | Cообщить модератору

319. "Исследование показало плачевное состояние защищённости..."  +/
Сообщение от Аноним (??) on 22-Апр-13, 15:56 
>> IPV4:
>> - Вася, какой там адрес у сетевого принтера у тёти Мани?
>> - 10.100.1.128
> Люди, не использующие DNS для тех целей, для которых он предназначен -
> явно хотят страдать. Так зачем мешать им в этом?

В домашней сети обязательно иметь DNS? Запись /64 сетки в DNS сколько дней займет,прикинь?

Ответить | Правка | ^ к родителю #278 | Наверх | Cообщить модератору

328. "Исследование показало плачевное состояние защищённости..."  +/
Сообщение от Аноним (??) on 22-Апр-13, 17:33 
> В домашней сети обязательно иметь DNS?

Желательно.

Ответить | Правка | ^ к родителю #319 | Наверх | Cообщить модератору

318. "Исследование показало плачевное состояние защищённости..."  +/
Сообщение от Аноним (??) on 22-Апр-13, 15:52 
>> непробиваем, увы, только идиотизм фанбоев IPv6.
> Фанбоев у IPv6 я как-то не видел.

Посмотри в зеркало.

Однако, протокол хорош хотя бы
> тем, что несколько разгрузит роутеры от пересборки фрагментированных пакетов и пересчета
> чексум после каждого хопа.

- Заголовок во сколько раз стал длинее?
- С 20 до 36 октетов.
- Фрагментация пакетов на сколько увеличилась?
- 1500/(16*8)=11,7%.
- Может быть в 2L чексуммы считать не нужно?
- Нужно.
- Зачем тогда считать чексуммы в 3L?
- Чтобы не считать их на более высоких уровнях, например в UDP.

> А так же вернет интернет в то
> состояние, которое проектировалось изначально - двусторонняя связь.

Фантазию принято подкреплять ссылками. Широковещательный трафик никак не двухстороняя связь.

> Еще из плюсов можно
> назвать автоматическую агрегацию маршрутов на бордерах, что уменьшит таблицу маршрутизации,

Автоматическая агрегация есть и в IPv4. Вот например сети 192.168.0.0/30 , 192.168.0.4/30
легко агрегируются до 192.168.0.0/24 или даже до 192.168.0.0/16.

Другое дело, что в IPv6 сеть без агрегации не влезит ни в какую память.

> которая в ipv4 уже разрослась до 445721 маршрута.

Что это за маршруты? fullview?

>В сравнении, текущий
> RIB для ipv6 составляет 12117 маршрутов (да, еще будет расти, разумеется).

Доля IPv6 при этом составляет?
- 0.02%

> Префиксы меньше /48 вообще никто не анонсирует, в отличие от кучи
> сетей по /24 в ipv4. А теперь аргументированно назовите кто-нибудь минусы
> ipv6, перевешивающие описанные плюсы.

Один жирный минус, несовместимость с IPv4.

Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

146. "Исследование показало плачевное состояние защищённости..."  +/
Сообщение от Аноним (??) on 20-Апр-13, 18:20 
> непробиваем, увы, только идиотизм фанбоев IPv6.

Почему же, кретины путающие NAT со stateful firewall'ом успешно борятся за первое место Специальной Олимпиады.

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

277. "Исследование показало плачевное состояние защищённости..."  +/
Сообщение от Аноним (??) on 22-Апр-13, 01:56 
> Почему же, кретины путающие NAT со stateful firewall'ом успешно борятся за первое
> место Специальной Олимпиады.

Некоторые даже пытаются доказывать, что в линуксе stateful firewall является надстройкой над NAT, а не наоборот.

Ответить | Правка | ^ к родителю #146 | Наверх | Cообщить модератору

302. "Исследование показало плачевное состояние защищённости..."  +/
Сообщение от Mick (??) on 22-Апр-13, 11:32 
В линуксе есть ip rule, ip route, netfilter/iptables и tc. Первые два (грубо говоря) отвечают за роутинг, т.е. принятие routing decision.
Последний - за шейпинг. То есть за время отправки пакета. А вот netfilter/iptables, кроме того, что умеет Statefull-Firewallить, умеет еще кучу всего, так что говорить кто там над кем надстройка - не вполне корректно, imho.
Ответить | Правка | ^ к родителю #277 | Наверх | Cообщить модератору

18. "Исследование показало плачевное состояние защищённости SOHO-..."  +5 +/
Сообщение от Тузя (ok) on 20-Апр-13, 09:14 
Тем временем, идейные противники противников IPv6 по прежнему считают, что смена протокола спасёт от уязвимостей и паролей "12345".
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

272. "Исследование показало плачевное состояние защищённости SOHO-..."  +/
Сообщение от Аноним (??) on 22-Апр-13, 01:44 
> Тем временем, идейные противники противников IPv6 по прежнему считают, что смена протокола спасёт от уязвимостей и паролей "12345".

Никто, кроме вас, этого не утверждал :)

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

316. "Исследование показало плачевное состояние защищённости SOHO-..."  +/
Сообщение от Аноним (??) on 22-Апр-13, 15:20 
>> Тем временем, идейные противники противников IPv6 по прежнему считают, что смена протокола спасёт от уязвимостей и паролей "12345".
> Никто, кроме вас, этого не утверждал :)

Тогда как тут появилась эта тема про IPv6?

Ответить | Правка | ^ к родителю #272 | Наверх | Cообщить модератору

25. "Исследование показало плачевное состояние защищённости SOHO-..."  +/
Сообщение от Аноним (??) on 20-Апр-13, 10:25 
NAT не firewall чего тут обсуждать? если администратор вместо firewall использует nat надо подумать о квалификации такого сотрудника и сделать оргвыводы


Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

26. "Исследование показало плачевное состояние защищённости SOHO-..."  +3 +/
Сообщение от Аноним (??) on 20-Апр-13, 10:37 
> NAT не firewall чего тут обсуждать? если администратор вместо firewall использует nat
> надо подумать о квалификации такого сотрудника и сделать оргвыводы

Файрволл не защита. А всего лишь средство фильтрации. И X-mas scan никто тащемта не отменял.

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

41. "Исследование показало плачевное состояние защищённости SOHO-..."  +/
Сообщение от anonymous (??) on 20-Апр-13, 12:23 
>> NAT не firewall чего тут обсуждать? если администратор вместо firewall использует nat
>> надо подумать о квалификации такого сотрудника и сделать оргвыводы
> Файрволл не защита. А всего лишь средство фильтрации. И X-mas scan никто
> тащемта не отменял.

Политики в DROP не пробовали назначать? Нормально настроенный файрволл не станет отвечать RST-пакетом на некорректное соединение, а просто сбросит его.

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

45. "Исследование показало плачевное состояние защищённости..."  +/
Сообщение от arisu (ok) on 20-Апр-13, 12:48 
и это, конечно, очень поможет по самую маковку забитому каналу, например.
Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

48. "Исследование показало плачевное состояние защищённости..."  +/
Сообщение от anonymous (??) on 20-Апр-13, 12:55 
Речь про x-mas скан, а не ddos.
Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

46. "Исследование показало плачевное состояние защищённости SOHO-..."  +/
Сообщение от Аноним. on 20-Апр-13, 12:52 
> Политики в DROP не пробовали назначать?

Причем DROP тут?

>Нормально настроенный файрволл не станет отвечать
> RST-пакетом на некорректное соединение, а просто сбросит его.

То есть не нормально настроенный, забивший на RFC.

Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

50. "Исследование показало плачевное состояние защищённости SOHO-..."  +/
Сообщение от anonymous (??) on 20-Апр-13, 13:00 
>> Политики в DROP не пробовали назначать?
> Причем DROP тут?
>>Нормально настроенный файрволл не станет отвечать
>> RST-пакетом на некорректное соединение, а просто сбросит его.
> То есть не нормально настроенный, забивший на RFC.

Файрволл на то и файрволл, чтобы менять дефолтное поведение системы. По RFC реализовано оно в самом стэке протоколов tcp/ip (в ряде OS, не во всех); файрволл позволяет изменить это поведение в целях безопасности узла сети. Т.е. забивать или не не забивать на RFC решает уже конкретный администратор, и на самом деле, назовите какую-нибудь отрицательную "отдачу" от подобной настройки.

Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

53. "Исследование показало плачевное состояние защищённости SOHO-..."  +/
Сообщение от Аноним. on 20-Апр-13, 13:07 
> Файрволл на то и файрволл, чтобы менять дефолтное поведение системы. По RFC
> реализовано оно в самом стэке протоколов tcp/ip (в ряде OS, не
> во всех); файрволл позволяет изменить это поведение в целях безопасности узла
> сети. Т.е. забивать или не не забивать на RFC решает уже
> конкретный администратор, и на самом деле, назовите какую-нибудь отрицательную "отдачу"
> от подобной настройки.

RFC792, если коротко,  тормозит нормальную работу, повешивает сессии и генерит сообщения о недоступности узла.

Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору

60. "Исследование показало плачевное состояние защищённости SOHO-..."  +/
Сообщение от anonymous (??) on 20-Апр-13, 13:34 
>> Файрволл на то и файрволл, чтобы менять дефолтное поведение системы. По RFC
>> реализовано оно в самом стэке протоколов tcp/ip (в ряде OS, не
>> во всех); файрволл позволяет изменить это поведение в целях безопасности узла
>> сети. Т.е. забивать или не не забивать на RFC решает уже
>> конкретный администратор, и на самом деле, назовите какую-нибудь отрицательную "отдачу"
>> от подобной настройки.
> RFC792, если коротко,  тормозит нормальную работу, повешивает сессии и генерит сообщения
> о недоступности узла.

В случае корректного обращения с разрешенного узла такого не произойдет. В случае скана - да. Но это уже проблемы сканирующего.

Ответить | Правка | ^ к родителю #53 | Наверх | Cообщить модератору

64. "Исследование показало плачевное состояние защищённости SOHO-..."  +/
Сообщение от Аноним. on 20-Апр-13, 13:48 
> В случае корректного обращения с разрешенного узла такого не произойдет.

Вы уверены?

> В случае
> скана - да. Но это уже проблемы сканирующего.

В том то и дело, что от скана не поможет, только несколько замедлит его: всесто отлупа по ICMP будет соединение отваливаться по таймауту.


Ответить | Правка | ^ к родителю #60 | Наверх | Cообщить модератору

273. "Исследование показало плачевное состояние защищённости SOHO-..."  +/
Сообщение от Аноним (??) on 22-Апр-13, 01:48 
> В том то и дело, что от скана не поможет, только несколько
> замедлит его: всесто отлупа по ICMP будет соединение отваливаться по таймауту.

И то хорошо. Плюс не забивается исходящий канал. А если использовать TARPIT, то еще и атакующему проблемы создаются :)

Ответить | Правка | ^ к родителю #64 | Наверх | Cообщить модератору

315. "Исследование показало плачевное состояние защищённости SOHO-..."  +/
Сообщение от Аноним (??) on 22-Апр-13, 15:10 
>> В том то и дело, что от скана не поможет, только несколько
>> замедлит его: всесто отлупа по ICMP будет соединение отваливаться по таймауту.
> И то хорошо. Плюс не забивается исходящий канал. А если использовать TARPIT,
> то еще и атакующему проблемы создаются :)

Про обычных реальных пользователей, у которых могут быть проблемы вы как-то забыли. Ну и атаки в результате которых забивается канал, т.е. DOS и DDOS блокируются по другому.

Ответить | Правка | ^ к родителю #273 | Наверх | Cообщить модератору

335. "Исследование показало плачевное состояние защищённости SOHO-..."  +/
Сообщение от Аноним (??) on 22-Апр-13, 19:49 
> то еще и атакующему проблемы создаются :)

А это весьма зависит от. Если атакующий например шлет пакеты с RAW сокета - ему вообще все до балды.

Ответить | Правка | ^ к родителю #273 | Наверх | Cообщить модератору

101. "Исследование показало плачевное состояние защищённости SOHO-..."  +/
Сообщение от Аноним (??) on 20-Апр-13, 16:07 
> RST-пакетом на некорректное соединение, а просто сбросит его.

А я всегда думал что RST это и есть сброс :). То что можно и просто убить пакет - можно. И именно это выдает файрвол :)

Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

202. "Исследование показало плачевное состояние защищённости SOHO-..."  +1 +/
Сообщение от anonymous (??) on 21-Апр-13, 10:41 
>> RST-пакетом на некорректное соединение, а просто сбросит его.
> А я всегда думал что RST это и есть сброс :). То
> что можно и просто убить пакет - можно. И именно это
> выдает файрвол :)

RST-пакетом я сокращенно назвал установленный в заголовке TCP пакета флаг RST.
В общем и целом, файрволл может либо "тихо" сбросить пакет (т.е. сброс без ответной реакции), либо сгенерировать что-то вроде "icmp (admin prohibited|port unreachable)" и отослать инициатору.
В случае, когда вас ддосят, генерировать ответные пакеты может быть очень плохой затеей, т.к. вы сами себе забьете исходящий канал - особенно в случае ассиметричного канала (что часто встречается в радиосвязи).

Ответить | Правка | ^ к родителю #101 | Наверх | Cообщить модератору

75. "Исследование показало плачевное состояние защищённости SOHO-..."  +/
Сообщение от KT315 (ok) on 20-Апр-13, 14:16 
Уважаемый! Обьясните мне тогда, что есть средство защиты?
Разве фильтрация не защищает меня от того что я отфильтровал, не? Т.е. фильтрация не относится к средствам защиты?
Поясню школоте, у которых проблемы с понятиями....
Защита - общее понятие средств повышающих уровень безопасности, в ее группу, так сказать входят средства защиты. Так вот фильтрация - одна из средств защиты.
Конечно, если ПО имеет бэкдор или попросту дырявое, то фильтрация его не спасет, т.к. врядли кто-то будет проводить анализ всех пакетов, в том числе и опасных, что бы на основе этого содержимого писать фильтр.

RFC - не панацея. Мир не идеален, и RFC описывают стандарты работы и поведений и т.д. Но у нас есть злоумышленики, и раз в RFC про это не учтено, или есть проблема в архитектуре, которой пользуются злоумышленики, то изменение поведение компонента - очень часто меняет его поведение с тем, что описано в RFC. И при таком подходе, к примеру, злоумышленику который полагается на RFC, ВНЕЗАПНО, делается ДРОП.

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

81. "Исследование показало плачевное состояние защищённости SOHO-..."  +/
Сообщение от Аноним. on 20-Апр-13, 14:27 
> Уважаемый! Обьясните мне тогда, что есть средство защиты?
> Разве фильтрация не защищает меня от того что я отфильтровал, не? Т.е.
> фильтрация не относится к средствам защиты?

Относится, но не является серебрянной пулей, решающей все проблемы безопасности.

> RFC - не панацея. Мир не идеален, и RFC описывают стандарты работы
> и поведений и т.д. Но у нас есть злоумышленики, и раз
> в RFC про это не учтено, или есть проблема в архитектуре,
> которой пользуются злоумышленики, то изменение поведение компонента - очень часто меняет
> его поведение с тем, что описано в RFC. И при таком
> подходе, к примеру, злоумышленику который полагается на RFC, ВНЕЗАПНО, делается ДРОП.

И еще раз, DROP никак вам не поможет. Одной из сторон безопасности является доступность, DROP с этой точки зрения хуже.  http://ru.wikipedia.org/wiki/%D0%98%D0%B...

Если хотите более глубокого анализа, вот хорошая статья, с шикарным анекдотом в конце:

http://www.zencoder.pro/%D0%BD%D0%B0...

Ответить | Правка | ^ к родителю #75 | Наверх | Cообщить модератору

98. "Исследование показало плачевное состояние защищённости SOHO-..."  +/
Сообщение от Аноним (??) on 20-Апр-13, 15:52 
>[оверквотинг удален]
>> и поведений и т.д. Но у нас есть злоумышленики, и раз
>> в RFC про это не учтено, или есть проблема в архитектуре,
>> которой пользуются злоумышленики, то изменение поведение компонента - очень часто меняет
>> его поведение с тем, что описано в RFC. И при таком
>> подходе, к примеру, злоумышленику который полагается на RFC, ВНЕЗАПНО, делается ДРОП.
> И еще раз, DROP никак вам не поможет. Одной из сторон безопасности
> является доступность, DROP с этой точки зрения хуже.  http://ru.wikipedia.org/wiki/%D0%98%D0%B...
> Если хотите более глубокого анализа, вот хорошая статья, с шикарным анекдотом в
> конце:
> http://www.zencoder.pro/%D0%BD%D0%B0...

Сначала, хочу сказать спасибо, за грамотную аргументацию, что все реже встречается в интернете вообще и на опеннете в частности.
Статью прочел. Есть возражения. К примеру, вы запретили ssh-сервис для всего интернета, оставив только доверенные подсети (оставим за рамками дискуссии разумность этого подхода, т.к. это просто пример). Точнее, вы установили дефолтную политику в DROP для всей таблицы INPUT (говоря о линуксах). На этом хосте работает 2 службы: sshd и httpd, соответственно, порты 22 и 80. Далее, вы разрешаете для всех службу на 80 порту, а службу на 22 порту - только для доверенных сетей. Соответственно, при политике DROP для атакующего 22 порт будет выглядеть так же, как и все остальные (за исключением 80-го) - закрытым. Но если его настроить в REJECT, в отличие от остальных (как рекомендует в частности статья), то становится понятно, что он filtered. Т.е. такой настройкой мы даем злоумышленнику некоторые сведения о нашем узле сети.
Большая часть имеющихся сканеров не самостоятельно формирует пакеты, а использует стэк OS для этого. Такие сканеры политика DROP существенно замедлит, в отличие от REJECT. А корректных пользователей (доверенные сети) - пропустит без замедления.

Ответить | Правка | ^ к родителю #81 | Наверх | Cообщить модератору

108. "Исследование показало плачевное состояние защищённости SOHO-..."  +/
Сообщение от KT315 (ok) on 20-Апр-13, 16:47 
Согласен.
Тоже благодарю за аргументацию :-)

Проблемы с DROP и REJECT обычно возникают при неправильной настройке фильтров. Да и в статье, рассматривается сторона сканеров, а не сторона сервера.
По простому REJECT, это DROP + ответ (мы тебя дропнули, иди лесом). Если юзается сканер, то нагрузка при REJECT на ЦПУ возрастает (генерация ответа). Конечно, было бы хорошо юзать интелектуальную систему фаервола, например, если кто-то стучится на порт, мы отвечаем ему раза 3 с помощью REJECT, а дальше просто - DROP, раз ему не доходит... Но чем проще система, там она надежнее.

> Относится, но не является серебрянной пулей, решающей все проблемы безопасности.

Да я и не спорю) совершенно верно) Как писали Брюс Шнайер и Нильс Фергюсон: "Система безопасна на столько, на сколько безопасно ее самое слабое звено"

> Если хотите более глубокого анализа, вот хорошая статья, с шикарным анекдотом в
> конце:

Ну так хоть усложним задачу :-)
по поводу ссылки на вики...
> В качестве стандартной модели безопасности часто приводят модель из трёх категорий:
> конфиденциальность — состояние информации, при котором доступ к ней осуществляют только субъекты, имеющие на неё право;
> целостность — избежание несанкционированной модификации информации;
> доступность — избежание временного или постоянного сокрытия информации от пользователей, получивших права доступа.

Тем, кому у кого нет и не будет прав - DROP :-) и это не идет в разрез со статьей на вики. Т.к. я не палю порты которые доступны пользователям, у которых есть на это право - повышение конфиденциальности их полномочий.
Считаю, что REJECT хорошо применять для случаев, когда ты из доверенной сети (политика drop не актуальна), но не прошел аутентификацию, при прохождении которой порт толжен открыться - accept :-) Логично? Логично.

Ответить | Правка | ^ к родителю #98 | Наверх | Cообщить модератору

204. "Исследование показало плачевное состояние защищённости SOHO-..."  +/
Сообщение от Аноним (??) on 21-Апр-13, 10:54 
>Тем, кому у кого нет и не будет прав - DROP :-) и это не идет в разрез со статьей на вики.

Ну представьте что у вас публичный ftp в сети или еще какие-нибудь сервисы с динамическими портами, вы знаете что дропать?

Представьте что вы администруете не один сервер, а десяток другой, а то и сотню, вы готовы тратить на возможные проблемы, которые обязтельно возникнут, свое время ?

Ответить | Правка | ^ к родителю #108 | Наверх | Cообщить модератору

253. "Исследование показало плачевное состояние защищённости SOHO-..."  +/
Сообщение от KT315 (ok) on 21-Апр-13, 22:29 
Под разные задачи, свои решения ;-)
FTP - для пассивки нормальный сервер может настраивать диапазон портов. Все, что ниже 1024 - можно применять ДРОП по условию, которое привел выше.
PMP-NAT/uPNP - и что? все равно взаимодействует с фаером, т.к. ставит fwd по определенному порту.
Ну а если что-то еще есть специфическое и экзотическое - то нужно думать с чем его едят и как кормить. Следует понимать, что нет и не будет одного инструмента под все предметы.
В общем любой нормальный специалист и инженер понимает, где какой инструмент лучше всего применить.
Ответить | Правка | ^ к родителю #204 | Наверх | Cообщить модератору

297. "Исследование показало плачевное состояние защищённости SOHO-..."  +1 +/
Сообщение от Аноним (??) on 22-Апр-13, 11:13 
> Все, что ниже 1024 - можно применять ДРОП по условию, которое привел выше.

Можно, но зачем?

>PMP-NAT/uPNP - и что? все равно взаимодействует с фаером, т.к. ставит fwd по определенному порту.

Все хорошо будет пока несколько пакетов не потеряются и клиент не запросит у сервера по закрытому порту, в результате отлуп на пару минут, а когда связь неустойчивая это происходит постоянно. А в это время ваш клиент будет напрягать вашу техподдержку, а техподдержка вас.

>    В общем любой нормальный специалист и инженер понимает, где какой инструмент лучше всего применить.

Беда в том что тут на форуме нет нормальных специалистов.

Ответить | Правка | ^ к родителю #253 | Наверх | Cообщить модератору

301. "Исследование показало плачевное состояние защищённости SOHO-..."  +/
Сообщение от KT315 (ok) on 22-Апр-13, 11:21 
> Все хорошо будет пока несколько пакетов не потеряются и клиент не запросит
> у сервера по закрытому порту, в результате отлуп на пару минут,
> а когда связь неустойчивая это происходит постоянно. А в это время
> ваш клиент будет напрягать вашу техподдержку, а техподдержка вас.

Таки да, то что пакеты теряются... я что-то упустил этот момент, особенно по беспроводным сетям.
В общем, пошел пересматривать политику правил :-)

Ответить | Правка | ^ к родителю #297 | Наверх | Cообщить модератору

203. "Исследование показало плачевное состояние защищённости SOHO-..."  +/
Сообщение от Аноним (??) on 21-Апр-13, 10:50 
> то становится понятно, что он filtered.

Если вас это лично смущает, то подскажу что у REJECT есть возоможность подставить тип ответа.

Ответить | Правка | ^ к родителю #98 | Наверх | Cообщить модератору

279. "Исследование показало плачевное состояние защищённости SOHO-..."  +/
Сообщение от Аноним (??) on 22-Апр-13, 02:00 
>> то становится понятно, что он filtered.
> Если вас это лично смущает, то подскажу что у REJECT есть возоможность
> подставить тип ответа.

Что даже ACK,SYN можно, как в DELUDE?

Ответить | Правка | ^ к родителю #203 | Наверх | Cообщить модератору

299. "Исследование показало плачевное состояние защищённости SOHO-..."  +/
Сообщение от Аноним (??) on 22-Апр-13, 11:15 
>>> то становится понятно, что он filtered.
>> Если вас это лично смущает, то подскажу что у REJECT есть возоможность
>> подставить тип ответа.
> Что даже ACK,SYN можно, как в DELUDE?

Может вам проще мануал открыть?

Ответить | Правка | ^ к родителю #279 | Наверх | Cообщить модератору

314. "Исследование показало плачевное состояние защищённости SOHO-..."  +/
Сообщение от Аноним (??) on 22-Апр-13, 14:59 
>>> то становится понятно, что он filtered.
>> Если вас это лично смущает, то подскажу что у REJECT есть возоможность
>> подставить тип ответа.
> Что даже ACK,SYN можно, как в DELUDE?

Просто наводка ACK,SYN это флаги протокола TCP, REJECT отвечает по протоколу ICMP.

Ответить | Правка | ^ к родителю #279 | Наверх | Cообщить модератору

205. "Исследование показало плачевное состояние защищённости SOHO-..."  +/
Сообщение от Аноним (??) on 21-Апр-13, 10:57 
> Большая часть имеющихся сканеров не самостоятельно формирует пакеты, а использует стэк
> OS для этого.

Да ладно вам, у обычного nmap задержка будет исчисляться милисекундами, максимум секундами.

Ответить | Правка | ^ к родителю #98 | Наверх | Cообщить модератору

268. "Исследование показало плачевное состояние защищённости SOHO-..."  +/
Сообщение от Аноним (??) on 22-Апр-13, 01:33 
> Файрволл не защита. А всего лишь средство фильтрации.

А средство фильтрации - это, по-вашему, не защита?

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

298. "Исследование показало плачевное состояние защищённости SOHO-..."  +/
Сообщение от Аноним (??) on 22-Апр-13, 11:14 
>> Файрволл не защита. А всего лишь средство фильтрации.
> А средство фильтрации - это, по-вашему, не защита?

Нет. Это составная часть защиты.

Ответить | Правка | ^ к родителю #268 | Наверх | Cообщить модератору

57. "Исследование показало плачевное состояние защищённости SOHO-..."  +1 +/
Сообщение от anonymous (??) on 20-Апр-13, 13:25 
Вы полную бессмыслицу написали. Во-первых, в IPv6 NAT тоже есть. Во-вторых, в данном случае атакуют объект не находящийся за NAT.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

217. "Исследование показало плачевное состояние защищённости SOHO-..."  +/
Сообщение от askh (ok) on 21-Апр-13, 13:39 
Почему бессмыслицу? Имелось в виду следующее: NAT с практической точки зрения не является защитой, поскольку маршрутизаторы уязвимы. Наличие NAT в IPv6 и то, что атака ведётся на объект, не находящийся за NAT, дела совершенно не меняют.
Ответить | Правка | ^ к родителю #57 | Наверх | Cообщить модератору

313. "Исследование показало плачевное состояние защищённости SOHO-..."  +/
Сообщение от Аноним (??) on 22-Апр-13, 14:56 
>Почему бессмыслицу? Имелось в виду следующее: NAT с практической точки зрения не является защитой, поскольку маршрутизаторы уязвимы.

NAT позволяет маскировать внутренние сети, и уже этим фактом является средством защиты.
Маршрутизаторы сами по себе не уязвимы, уязвимы сервисы, чтобы эксплуатировать уязвимость она должна быть доступна извне, если у вас сервисы управления "торчат" наружу, то это проблема голов их настраивающих.

>Наличие NAT в IPv6 и то, что атака ведётся на объект, не находящийся за NAT, дела совершенно не меняют.

Однако сакраментальный вопрос, причем тут IPv6 и NAT вообще.

Ответить | Правка | ^ к родителю #217 | Наверх | Cообщить модератору

68. "Исследование показало плачевное состояние защищённости SOHO-..."  +/
Сообщение от Аноним (??) on 20-Апр-13, 13:57 
>Тем временем, идейные противники IPv6 продолжают утверждать, что любой роутер с NAT является непробиваемой защитой от атак извне.

IPv6 NAT уже существует, это свершившийся факт. Поэтому и с IPv6 его использовать будут, по крайней мере, в корпоративных сетях.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

120. "Исследование показало плачевное состояние защищённости SOHO-..."  +/
Сообщение от Аноним (??) on 20-Апр-13, 17:25 
>Поэтому и с IPv6 его использовать будут, по крайней мере, в корпоративных сетях.

Я и в не-корпоративных буду юзать.

ЗЫж. Странно какие-то дауны выше спорят что Ъ-нее - файрволл или НАТ. Я-то всю жизнь думал, что одно другое дополняет...

Ответить | Правка | ^ к родителю #68 | Наверх | Cообщить модератору

187. "Исследование показало плачевное состояние защищённости SOHO-..."  +/
Сообщение от Аноним (??) on 21-Апр-13, 00:39 
Тоже такого мнения, NAT вполне достаточен в роли обратного клапана для простейших случаев. Хочется бОльшего - тогда уже классификация (rules) и принятие решений (actions).
Ответить | Правка | ^ к родителю #120 | Наверх | Cообщить модератору

2. "Исследование показало плачевное состояние защищённости SOHO-..."  +5 +/
Сообщение от Аноним (??) on 20-Апр-13, 00:59 
> Загрузка прошивки только с сайта производителя;
> Замена штатной прошивки на открытые дистрибутивы DD-WRT, Tomato или OpenWRT;

взаимоисключающие пункты

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Исследование показало плачевное состояние защищённости SOHO-..."  +5 +/
Сообщение от Аноним (??) on 20-Апр-13, 01:05 
Имелось в виду, что качать "родную" прошивку стоит только с сайта производителя. Но лучше подумать о замене на DD-WRT, Tomato или OpenWRT. Внезапно, да?
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

6. "Исследование показало плачевное состояние защищённости SOHO-..."  +3 +/
Сообщение от Vkni (ok) on 20-Апр-13, 02:23 
> Имелось в виду, ...

Да понятно. Тем не менее, новость нужно перечитывать перед отправкой. Это же две соседние строки.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

16. "Исследование показало плачевное состояние защищённости SOHO-..."  +3 +/
Сообщение от allez (ok) on 20-Апр-13, 07:37 
>> Имелось в виду, ...
>Да понятно. Тем не менее, новость нужно перечитывать перед отправкой. Это же две соседние строки.

К слову, в оригинале нет ни слова насчет сторонних прошивок. Там прошивкам посвящены лишь
две рекомендации:
> Upgrade your firmware regularly.
> ONLY install firmware from the router manufacturers website.

Так что пассаж о сторонних прошивках целиком принадлежит фантазии переводчика.
Вообще в таких случаях полагается явно обозначать текст, не принадлежащий оригиналу,
например, словами "примечание переводчика".

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

33. "Исследование показало плачевное состояние защищённости SOHO-..."  +/
Сообщение от tonys email(ok) on 20-Апр-13, 11:59 
А еще в оригинальной статье четко разделены рекомендации для производителей оборудования, для системных администраторов и для конечных пользователей.
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

89. "Исследование показало плачевное состояние защищённости SOHO-..."  –4 +/
Сообщение от Михрютка (ok) on 20-Апр-13, 15:01 
> Вообще в таких случаях полагается явно обозначать текст, не принадлежащий оригиналу,
> например, словами "мокрые сны переводчика".

я поправил. не благодари, бро.


Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

90. "Исследование показало плачевное состояние защищённости SOHO-..."  +1 +/
Сообщение от Аноним (??) on 20-Апр-13, 15:08 
В тексте на сайте исследователей нет, но в интервью и в анонсе есть:


"The best thing you can do is install a third-party firmware, such as OpenWRT or Tomato,"

"If you're sufficiently technically minded, consider replacing your router's doubtless buggy internal software with an open-source alternative such as DD-WRT, Tomato or OpenWRT. While these options aren't particularly consumer friendly, their firmware is less likely to contain obvious vulnerabilities — and will probably offer you some cool new features, too."

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

92. "Исследование показало плачевное состояние защищённости SOHO-..."  –4 +/
Сообщение от Михрютка (ok) on 20-Апр-13, 15:21 
модеры, не зевайте, тут у вас в каментах еще один идио^Wпотенциальный автор для опеннета нарисовался.
Ответить | Правка | ^ к родителю #90 | Наверх | Cообщить модератору

31. "Исследование показало плачевное состояние защищённости SOHO-..."  +/
Сообщение от Anonim (??) on 20-Апр-13, 11:41 
Подумал. Альтернативных прошивок нет для большинства устройств.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

37. "Исследование показало плачевное состояние защищённости..."  +/
Сообщение от arisu (ok) on 20-Апр-13, 12:08 
> Подумал. Альтернативных прошивок нет для большинства устройств.

чем были обусловлены покупки устройств, не поддерживающихся в открытых прошивках? и отчего не заменить их на устройства, которые поддерживаются?

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

106. "Исследование показало плачевное состояние защищённости..."  +/
Сообщение от Anonim (??) on 20-Апр-13, 16:29 
Пытался купить с поддержкой, но попалась несовместимая аппаратная реализация.
В продаже уже редко встретишь девайсы на устаревших чипах, для которых есть прошивки. А если и отыщещь такие, то они больше греются, медленнее и т д. Алсо приходится переплачивать в несколько раз за более продвинутые функции и возможность перепрошивки.
Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

136. "Исследование показало плачевное состояние защищённости..."  +/
Сообщение от Аноним (??) on 20-Апр-13, 18:00 
> Пытался купить с поддержкой, но попалась несовместимая аппаратная реализация.

Не стоит покупать всякие длинки, как раз за то что там часто барыжат кучей совсем разных железок под одной маркой. Тоже мне клоуны - выпускают совсем разные железки на разных чипсетах под одной маркой. Вот это бред, да - продавать напрочь разные железяки с одним названием. Так и без сторонних прошивок можно залететь - никто не обещает что совсем разные железки будут работать одинаково. Так что то что некто похвалил прошлую ревизию - совсем не означает что к новой ревизии это как-то относится.

> А если и отыщещь такие, то они больше греются, медленнее и т д.

Кто вам это сказал? Бабушки на лавочке?

> Алсо приходится переплачивать в несколько раз за более продвинутые функции и возможность перепрошивки.

Опять бред. Чисто технически большинство роутеров на современных чипсетах идут с линухом прямо с фабрики. По поводу чего в большинство из них без проблем льются альтернативные прошивки. Исключения в сегменте SOHO на данный момент можно буквально по пальцам пересчитать.

Ответить | Правка | ^ к родителю #106 | Наверх | Cообщить модератору

185. "Исследование показало плачевное состояние защищённости..."  +/
Сообщение от Anonim (??) on 20-Апр-13, 23:55 
На длинке я и залетел. Специально указывал нужные ревизии, но привезли не ту, да более старых и нет уже в продаже. На практике нарыть что-то в окрестностях с хорошей поддержкой (с отызвами на форумах и т д) проблематично. По новым девайсам статистики мало, инфа появляется с опозданием и ты ее находишь если только ищещь конкретную ревизию конкретного устройства. Пока же ты в выборе ищещь в продаже конкретные устройства с форумов и инетов и не всегда находишь...

Более новые чипы реально меньше греются и компоновка на плате проще. Мой длинк чуть теплый, а раньше был асер, так 2 раза взбухали кондеры от перегрева (где-то 80-90 градусов)

Надо отметить, что стоковые прошивки регулярно обновляются. За пол года штук 7 обновлений вышло. Даже какие-то функции новые появились, но интерфейс длинка все равно ужасен (чтоб зайти в настройки надо нажать на advanced и потом еще кучу меню пролистать)

Ответить | Правка | ^ к родителю #136 | Наверх | Cообщить модератору

196. "Исследование показало плачевное состояние защищённости..."  –2 +/
Сообщение от arisu (ok) on 21-Апр-13, 04:39 
> Специально указывал нужные ревизии, но привезли не ту

wtf? go fuck yourself with your shiny box.

Ответить | Правка | ^ к родителю #185 | Наверх | Cообщить модератору

336. "Исследование показало плачевное состояние защищённости..."  +/
Сообщение от Аноним (??) on 22-Апр-13, 19:55 
> На длинке я и залетел. Специально указывал нужные ревизии,

В следующий раз вы или будете покупать у тех кто не страдает манией выпуска 10 тотально разных моделей под одним названием или хотя-бы научитесь покупать пилотные партии для проверки (если уж надо много).

> с опозданием и ты ее находишь если только ищещь конкретную ревизию
> конкретного устройства. Пока же ты в выборе ищещь в продаже конкретные
> устройства с форумов и инетов и не всегда находишь...

А никто и не говорил что оптимально совершать покупки в современном мире - легко. Придется вертеть шариками.

> Более новые чипы реально меньше греются и компоновка на плате проще.

Логично, блин. Чем тоньше техпроцессы - тем выше можно поднять частоту при равном потреблении или тем ниже потребление при равной частоте. Плюс оптимизация архитектуры чипа возможно.

> Мой длинк чуть теплый, а раньше был асер, так 2 раза взбухали
> кондеры от перегрева (где-то 80-90 градусов)

АдЪ. Хотя такой нагрев кондеров - по любому просто грубый продолб инженеров. Тех кто печатку дизайнил и вообще.

> равно ужасен (чтоб зайти в настройки надо нажать на advanced и
> потом еще кучу меню пролистать)

Ну вот я для себя девайсы в которые не льется owrt вообще не рассматриваю. Потому что остальным до его интерфейса и фич - как до луны пешком.

Ответить | Правка | ^ к родителю #185 | Наверх | Cообщить модератору

122. "Исследование показало плачевное состояние защищённости..."  +/
Сообщение от Аноним (??) on 20-Апр-13, 17:30 
Мой поддерживается, но гуглежка выявила, что народ жалуется на глюки, перегрев и выход из строя адаптера питания. Я подумал-подумал, и решил - да ну его нафиг, лучше буду дефолт юзать. ССЗБ, конечно.
Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

133. "Исследование показало плачевное состояние защищённости..."  +/
Сообщение от Аноним (??) on 20-Апр-13, 17:54 
> Мой поддерживается, но гуглежка выявила, что народ жалуется на глюки, перегрев и
> выход из строя адаптера питания. Я подумал-подумал, и решил - да
> ну его нафиг, лучше буду дефолт юзать. ССЗБ, конечно.

Вы знаете, адаптеры у таких устройств дохнут и с родным софтом. Вот например у асусов кондеры пухнут через 2-4 года эксплуатации. Какой там был софт - мало влияет, как вы понимаете. Причины опухания оных отнюдь не софтварные. В общем, больше похоже на страшные сказки.

Ответить | Правка | ^ к родителю #122 | Наверх | Cообщить модератору

165. "Исследование показало плачевное состояние защищённости..."  +/
Сообщение от Аноним (??) on 20-Апр-13, 20:06 
Согласен, но если несколько человек жалуются на одно и то же - есть повод задуматься. Я решил, что не стоит рисковать, а на будущее запомнить - перед покупкой смотреть не только в лист совместимости, но и гуглить о реальном опыте юзанья.
Ответить | Правка | ^ к родителю #133 | Наверх | Cообщить модератору

236. "Исследование показало плачевное состояние защищённости..."  +1 +/
Сообщение от Аноним (??) on 21-Апр-13, 15:00 
> Согласен, но если несколько человек жалуются на одно и то же -

Ну вот у асусов, допустим, несколько человек жалуется на одно и то же (через несколько лет мрет адаптер). Многие заливали альтернативные прошивки. Следует ли отсюда что альтернативные прошивки гробят адаптеры питания?

Кажется я только что придумал простейший IQ-тест для технарей. В стиле "некоторые улитки - паровозы" :). Увы, вам засчитан полнейший ГСМ (IQ test failed).

Ответить | Правка | ^ к родителю #165 | Наверх | Cообщить модератору

307. "Исследование показало плачевное состояние защищённости..."  +/
Сообщение от Аноним (??) on 22-Апр-13, 12:37 
А после заливки другой прошивки мрет в течении месяца-двух. На форуме dd-wrt была темка, если не снесли.
Ответить | Правка | ^ к родителю #236 | Наверх | Cообщить модератору

337. "Исследование показало плачевное состояние защищённости..."  +/
Сообщение от Аноним (??) on 22-Апр-13, 19:58 
> А после заливки другой прошивки мрет в течении месяца-двух.

Без оглашения предыстории это все лирика. Может оно до этого 2 года отпахало, и те 2 месяца как раз окончательно добили и так уже полудохлые кондеры?

Вот если некто провел чистый эксперимент, купил минимум 2 девайса из 1 партии, в один влил такую прошивку, в другой этакую и пустил их пахать месяцами - там еще можно будет о чем-то говорить. И то - может оказаться и просто технологический разброс компонентов, который у китаезных комплектующих достаточно большой (отборные комплектующие с близкими/удачными параметрами стоят отборного бабла).

Ответить | Правка | ^ к родителю #307 | Наверх | Cообщить модератору

132. "Исследование показало плачевное состояние защищённости SOHO-..."  +/
Сообщение от Аноним (??) on 20-Апр-13, 17:51 
> Подумал. Альтернативных прошивок нет для большинства устройств.

А вот это еще большой вопрос, кстати. Вот например тут http://wiki.openwrt.org/toh/start - приведен весьма обширный список оборудования. Настолько обширный, что без сбора статистики ваша фраза врядли прокатит. Т.к. большинство современных девайсов строится на нескольких семействах чипсетов и там поголовно линух, все оказывается намного более радужно чем можно было предполагать. Как правило чтобы альтернативных прошивок совсем не было - это должен быть малотиражный или древний экзот или неимоверный обрубок по железу или нечто очень специализированное.

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

51. "Исследование показало плачевное состояние защищённости SOHO-..."  +/
Сообщение от Аноним (??) on 20-Апр-13, 13:02 
очевидно что имелось в виду, но написано хм... поверхностно
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

9. "Исследование показало плачевное состояние защищённости SOHO-..."  +/
Сообщение от Аноним (??) on 20-Апр-13, 03:02 
>> Замена штатной прошивки на открытые дистрибутивы DD-WRT, Tomato или OpenWRT;
> взаимоисключающие пункты

OpenWRT открытый. Полностью. Ну может за исключением фирмвари адаптера вайфай, если она нужна. А вот другие прошивкоклепатели имеют свойство жлобиться на морду. И пока они жлобились, луся из опенврты их давно уже затыкает от и до.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору
Часть нити удалена модератором

70. "Исследование показало плачевное состояние защищённости SOHO-..."  +2 +/
Сообщение от KT315 (ok) on 20-Апр-13, 13:59 
>>OpenWRT открытый. Полностью.
> Вот именно, что открытый. Полностью. С точки зрения Security - это огромный
> жирный минус однозначный. Видимо, поэтому > в оригинале нет ни слова
> насчет сторонних прошивок. Пиривотчики такие пиривотчики

Т.е. уважаемые криптографы в лицах Нильса Фергюсона и Брюса Шнайера со своей книжечкой "Практическая криптография" пишут ерунду?
Опенсорс - позволяет проводить аудит безопасности, а т.к. код открыт то это может делать даже собака.
Проприетарщина - только избранные, но все ошибаются и могут что-то не знать, упустить из виду, не досмотреть, в общем во всю гуляет человеческий фактор. А с другой стороны, кто или что мешает "корпорации" запилить закрытый шифр состоящий из 100 последовательностей операции XOR и даже без перестановок, адитивностей, и прочих плюшек в виде с-матриц, и забить на обработку ключа/-ей.... назвав его мегасупертурбо защищенным?

PS: идите в школу/универ, не прогуливайте и читайте книжки, ваш КЭП.

Ответить | Правка | ^ к родителю #51 | Наверх | Cообщить модератору
Часть нити удалена модератором

116. "Исследование показало плачевное состояние защищённости..."  +1 +/
Сообщение от KT315 (ok) on 20-Апр-13, 17:18 
Понимаете, мир не безупречен, все хотят денег. На то время, возможно не было альтернатив, а денег хотелось здесь и сейчас, а не ждать 50 лет, пока все сделают идеальным. Вот его и запустили в эксплуатацию.
Сейчас же, вопрос безопасности стал острым, все хотят знать кто и чем занимается. Ресурсы вычислительные возросли, и тогда да, это было безопасно. Реверс-инжениринг на месте не стоит.
И сейчас очень остро видны проблемы "security through obscurity". Это не надежная практика, и это уже начинает проявляться.
Ответить | Правка | ^ к родителю #165 | Наверх | Cообщить модератору

117. "Исследование показало плачевное состояние защищённости..."  +1 +/
Сообщение от Аноним (??) on 20-Апр-13, 17:18 
> времени был довольно надежен,

Уточним: хомячки думали что он "довольно надежен". А прослуживающее оборудование было в самых разных руках уже с незапамятных времен. Довольно надежен он только в том плане что его массово не крякали, потому что оборудование несколько k$ стоит.

Но чисто технически он не фонтан. И это был продолб, поскольку он - долгоиграющий стандарт. Сейчас например куча M2M автоматики им пользуется. И просто так его выключить - не вариант. Сразу наступит уйма факапов. И вот за это тем кто допускает слабую секурити в таких вещах - надлежит надирать задницы.

> потому, что был надежно закрыт от "ненавистными" ВАМИ проприетарщиками,

Он никогда не был надежно закрыт. Это была всего лишь очередная профанация. И кстати проприетарность прошивок совсем не мешала всем желающим патчить что попало в прошивках, разгуливать с нетмонитором, изучая интимные особенности сетей, экспериментировать и прочая. Просто тех кто ставил целью именно прослушку и прочее нанесение вреда было не очень много. Но - были. И оборудование для прослушки GSM существует черт знает сколько лет. Сейчас это просто стало заметнее, поскольку с развитием технологий оно стало дешевле и общедоступнее.

> естественно, до того, пока в него его не поперли со своим опенсорсом
> и "аудитами безопасности" такие вот борцы с частной собственностью

Да, конечно, это они виноваты что протокол х-во задизайнен и никак не проверяет что например БСка которую подсунули - вообще та самая, а не подставнвя.

Но я вам скажу намного больше. Я сейчас взорву ваш уютный проприентарный мирок мегатоннами ядерных зарядов. GSM - изначально открытый протокол. Кто угодно может скачать документацию на сайте ETSI. Бесплатно, без смс. Они уже погорели на секретах в алгоритме аутентификации в SIM. Это им настолько не понравилось что было решено открыть спеки для всеобщего анализа. Да, всплыл ряд проблем. Зато 3G/4G стали явно надежнее в результате. Потому что там найденные проблемы устранили.

И, кстати, спеки на стандарты семейств 3G/4G опять же можно скачать на сайте ETSI (WCDMA/LTE/...). Другое дело что заимплементить это в жезеле и софте без наезда на чьи-то патенты - сложно. Но это второй вопрос.

Ответить | Правка | ^ к родителю #165 | Наверх | Cообщить модератору

118. "Исследование показало плачевное состояние защищённости..."  +/
Сообщение от KT315 (ok) on 20-Апр-13, 17:24 
Вот оно даже как)

Выходит закрыта лишь сама реализация?

Ответить | Правка | ^ к родителю #117 | Наверх | Cообщить модератору

127. "Исследование показало плачевное состояние защищённости..."  +/
Сообщение от Аноним (??) on 20-Апр-13, 17:43 
> Вот оно даже как)

Ну вот так - MS'овские дроны слишком тупые чтобы проверить свои жаренные факты. Они только проприетарщину пиарить умеют.

> Выходит закрыта лишь сама реализация?

Ну да. Сами протоколы вполне подробно описаны и кто угодно может пойти и реализовать их. Другое дело что при попытке торговать таикми чипами окажется что там патентов - как блох на собаке.

Обычно же желание поэкспериментировать с протоколом упирается в потребность в довольно экзотических железках для излучения такого протокола в эфир + тот факт что кишки фабрично выпускаемых чипов не особо документированы (а точнее, документация не очень то доступна). Хотя опять же - у например Texas Instruments утек даташит на чипсеты серии Calypso массово применяемые в старых дешевых мобилах. Ну и реверсинг никто не отменял, опять же. Те кому было сильно надо - проблемы решали, разумеется. Просто это были редкие и штучные работы, требовавшие неких исследований. Потому оно и стоило по нескольку k$ за девайс и было не особо массовым. Сейчас это просто стало дешевле и массовее, вот хомяки и стали замечать что их немного имеют. Это не значит что раньше этого не было. Просто масштаб явления был чуть поменьше.

Ответить | Правка | ^ к родителю #118 | Наверх | Cообщить модератору

128. "Исследование показало плачевное состояние защищённости..."  +/
Сообщение от arisu (ok) on 20-Апр-13, 17:44 
> Вот оно даже как)
> Выходит закрыта лишь сама реализация?

по сути да. конкретные программно-аппаратные комплексы, реализующие стандарты. а сами стандарты почитать можно, это уже не особо и секрет.

Ответить | Правка | ^ к родителю #118 | Наверх | Cообщить модератору

150. "Исследование показало плачевное состояние защищённости..."  +/
Сообщение от Аноним (??) on 20-Апр-13, 18:28 
> это уже не особо и секрет.

Уже... хм... это 10 лет назад уже не секрет был. Забавное такое "уже" :)

Ответить | Правка | ^ к родителю #128 | Наверх | Cообщить модератору

152. "Исследование показало плачевное состояние защищённости..."  +1 +/
Сообщение от arisu (ok) on 20-Апр-13, 18:34 
> Забавное такое «уже» :)

если нечто когда-то было секретом, а потом им быть перестало, то слово «уже» вполне уместно. даже если нечто было секретом 100500 лет назад, и 100499 лет назад рассекретилось.

Ответить | Правка | ^ к родителю #150 | Наверх | Cообщить модератору

259. "Исследование показало плачевное состояние защищённости..."  –2 +/
Сообщение от Michael Shigorin email(ok) on 22-Апр-13, 00:03 
> Уже... хм... это 10 лет назад уже не секрет был. Забавное такое "уже" :)

Места знать надо было, а так да...

Ответить | Правка | ^ к родителю #150 | Наверх | Cообщить модератору

126. "Исследование показало плачевное состояние защищённости..."  +/
Сообщение от arisu (ok) on 20-Апр-13, 17:42 
я от тебя просто в восторге. GSM был дырявый, но пока энтузиасты не попинали его по бокам, это особо не афишировалось.

ты вообще разницу между «дырки есть, но о них мало кто знает» и «дырок нет» понимаешь? судя по всему, не понимаешь.

давай, я попробую на уровне, который тебе может быть понятней: проститутка без справки об обследовании у венеролога совершенно не обязательно более здорова, чем та, у которой есть справка с диагнозом «ВИЧ». так доходит?

Ответить | Правка | ^ к родителю #165 | Наверх | Cообщить модератору
Часть нити удалена модератором

258. "Исследование показало плачевное состояние защищённости..."  –1 +/
Сообщение от Michael Shigorin email(ok) on 21-Апр-13, 23:49 
Предупреждение для юзера energia: буду запрашивать бан по причине эквивалентности спам-скрипту.  Одумайтесь.
Ответить | Правка | ^ к родителю #276 | Наверх | Cообщить модератору

192. "Исследование показало плачевное состояние защищённости..."  +/
Сообщение от Аноним (??) on 21-Апр-13, 01:13 
Да, найти дыры проще в СПО. Именно поэтому их там чаще исправляют. Но и в закрытом коде можно искать дыры, дебагер и дезассемблер тебе в помощь. Но в закрытом софте искать их будут в основном с целью их эксплуатации. Разбираться в чужом ассемблерном коде не очень приятная деятельность.
Ответить | Правка | ^ к родителю #150 | Наверх | Cообщить модератору

191. "Исследование показало плачевное состояние защищённости..."  +/
Сообщение от Аноним (??) on 21-Апр-13, 01:03 
У тебя есть какие нибудь доказательства, что проблем было меньше чем сейчас? Может быть их и не было, а может быть в ответ на все претензии всем просто говорили, "этого не может быть, GSM обеспечивает супер-пупер безопасность, прям как скайп". Закрытость стандарта это мощный фактор препятствующий проверке его безопасности, а также возможности решения этих проблем сторонними методами. Нормальная практика, получая стороннее решение призванное обеспечить твою безопасность, проверь его. Если сам не в состоянии проверить его, то ты хотя-бы должен быть уверен, что протокол открыт и другие (например, конкуренты) могут проверить его на вшивость и огласить результаты.
Ответить | Правка | ^ к родителю #118 | Наверх | Cообщить модератору

119. "Исследование показало плачевное состояние защищённости SOHO-..."  +/
Сообщение от Аноним (??) on 20-Апр-13, 17:24 
> Не неси чушь, просто ты знаком с темой только по лекциям «профессоров»
> в «университетах» местного разлива (бывших ПТУ и Техникумов)

По вам заметно что вы даже лекции вашего ПТУ прогуливали. Иначе вы бы знали что документация на GSM общедоступна на сайте ETSI. И на ее выкладывание в паблик у них были очень веские причины. Потому что их "секурный", "проприетарный" алгоритм аутентификации для сим-карт криптографы бессовестно вскрыли одной левой. Очень быстро. Это позволило клонирование сим-карт. Оно, кстати, до сих пор частично катит на память о том прецеденте. Кой-какие меры к затыканию багофичи приняли, но "поздно и мало", как обычно.

Ответить | Правка | ^ к родителю #122 | Наверх | Cообщить модератору

80. "Исследование показало плачевное состояние защищённости SOHO-..."  +/
Сообщение от Аноним (??) on 20-Апр-13, 14:27 
>Вот именно, что открытый. Полностью. С точки зрения Security - это огромный жирный минус однозначный.

А, security by obscurity, хитггый товаггищ.

Ответить | Правка | ^ к родителю #51 | Наверх | Cообщить модератору

271. "Исследование показало плачевное состояние защищённости SOHO-..."  +/
Сообщение от Аноним (??) on 22-Апр-13, 01:42 
> А, security by obscurity, хитггый товаггищ.

Obscurity - это один из инструментов security. Проблемы начинаются, когда он становится единственным.

А еще не стоит забывать, что он, как и многие другие инструменты, может бить в обе стороны.

Ответить | Правка | ^ к родителю #80 | Наверх | Cообщить модератору

291. "Исследование показало плачевное состояние защищённости..."  +/
Сообщение от arisu (ok) on 22-Апр-13, 10:28 
> Obscurity — это один из инструментов security.

в общем — это плохой, негодный инструмент. если опубликование алгоритмов понижает security — это плохие, негодные алгоритмы. да и вообще: криптографические решения лучше открывать до прописывания в стандарты. тогда энтузиасты сделают львиную долю аудита, иногда даже предложат лучшее решение.

Ответить | Правка | ^ к родителю #271 | Наверх | Cообщить модератору

4. "Исследование показало плачевное состояние защищённости SOHO-..."  +1 +/
Сообщение от dimqua (ok) on 20-Апр-13, 01:25 
> открытые дистрибутивы DD-WRT, Tomato

Они не открытые.

http://gargoyle-router.com/wiki/doku.php?id=faq#what_about_t...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Исследование показало плачевное состояние защищённости SOHO-..."  +/
Сообщение от lucentcode (ok) on 20-Апр-13, 02:11 
Под неугодной вам лицензией только Web UI. Многие используют OpenWRT из trunk, который идёт без Web UI. А значит, используют полностью свободную систему. И да, UI тоже открыт, другое дело что не свободен. Это не одно и то же.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

8. "Исследование показало плачевное состояние защищённости SOHO-..."  +/
Сообщение от Аноним (??) on 20-Апр-13, 03:00 
> Под неугодной вам лицензией только Web UI.

Всего-то блин. В ничего что SOHO роутер без морды - не самая удобная штука на свете? По сути один из ключевых компонентов и зажат -> FAIL. По поводу чего томат и dd отправляются курить бамбук.

> Многие используют OpenWRT из trunk, который идёт без Web UI.

Как бы весьма зависит от. В дефолтной поставке LuCI есть. Очень мощная и фичастая морда, которая в курсе концепций работы с сетью в openwrt, т.е. объединения интерфейсов в "сети" + правила прогона траффика между "сетями". А в транке - да как его соберешь так и будет. В снапшотах его может и не быть, но они вообще специфичная штука. Ну и пакет доустановить не проблема.

> А значит, используют полностью свободную систему.

В openwrt их LuCI и так свободнее некуда. Вот где-где а в openwrt никакого на...лова нет нигде. Не стоит путать с другими, более жадными гражданами, мнящими что их вебфэйс - пуп земли. Пока они там мнили - луся у опенврты благодаря свободной лицензии и как результат вкалыванию над оной развилась настолько что это теперь вообще одна из лучших вебморд для роутеров. Без всяких скидок. Это очень мощная, довольно симпатичная и фичастая морда.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

162. "Исследование показало плачевное состояние защищённости SOHO-..."  +/
Сообщение от anonymous (??) on 20-Апр-13, 19:36 
++
приятный интерфейс
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

7. "Исследование показало плачевное состояние защищённости SOHO-..."  +1 +/
Сообщение от Аноним (??) on 20-Апр-13, 02:51 
> не переходить по подозрительным ссылкам (например, в которых фигурирует адрес 192.168.1.1).

А на этот случай в Firefox есть NoScript. Кроме всего прочего он умеет зарубать поползновения вебпаг соваться в локалочные адреса (ABE - applications boundary enforcement).

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

10. "Исследование показало плачевное состояние защищённости SOHO-..."  +/
Сообщение от pavlinux (ok) on 20-Апр-13, 03:43 
Кстати, мужики, мне буквально пару часов назад притащили D-Link 2100AP,
кто в курсе на неё ченить из  DD-WRT, Tomato или OpenWRT встает?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

12. "Исследование показало плачевное состояние защищённости SOHO-..."  +/
Сообщение от etw (ok) on 20-Апр-13, 04:33 
http://wiki.openwrt.org/toh/d-link/dwl-2100ap

В dd-wrt статус wip, т.е. учитывая сколько лет назад его прекратили выпускать, никогда.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

78. "Исследование показало плачевное состояние защищённости SOHO-..."  +/
Сообщение от pavlinux (ok) on 20-Апр-13, 14:24 
Ёптя, ещё порт припаять надо? Ну нафиг... :)
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

115. "Исследование показало плачевное состояние защищённости SOHO-..."  +/
Сообщение от Аноним (??) on 20-Апр-13, 17:04 
> Ёптя, ещё порт припаять надо? Ну нафиг... :)

Слушай, дядя, там вообще изначально vxworks убогий. С самопальным загрузчиком, который ничо кроме этого vxworks грузить не умеет. Что ты хотел то? Чтобы у этой буиты можно было по простому отобрать бразды правления? Обломись, не предусмотрен простой вариант. Скажи спасибо что вообще есть варианты без перепайки флешек и перешивки на программаторе.

Впрочем учитывая общую антикварность железа этой фигни кой-в-чем ты прав: оно not worth of it. Древний хилый проц, оперативки с кошкин зад, доисторические стандарты wi-fi. Отдать кому-то забесплатно доживать свой век, раздавая вафлю в деревне/на даче, да и весь разговор.

Ответить | Правка | ^ к родителю #78 | Наверх | Cообщить модератору

22. "Исследование показало плачевное состояние защищённости SOHO-..."  +/
Сообщение от commiethebeastie (ok) on 20-Апр-13, 10:02 
Bluebox встает.
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

11. "Исследование показало плачевное состояние защищённости SOHO-..."  +3 +/
Сообщение от б.б. on 20-Апр-13, 04:05 
> Исследование показало плачевное состояние защищённости SOHO-маршрутизаторов

- Ты Linux, ты оплот защиты
Какой печалью ты гоним?
- Но я SOHO-маршрутизатор!
И я заплакал вместе с ним.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

13. "Исследование показало плачевное состояние защищённости SOHO-..."  +1 +/
Сообщение от Аноним (??) on 20-Апр-13, 05:06 
Как известно, техника в руках дикаря - груда металлолома...
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

23. "Исследование показало плачевное состояние защищённости SOHO-..."  +/
Сообщение от Аноним (??) on 20-Апр-13, 10:06 
Ну как бы неудивительно, в этих кривопрошивках иногда такие вещи встречаются, что волосы дыбом. Странно почему все еще на OpenWRT тот же не перешли, или аналоги. Готовое же уже, можно для казуалов свою морду с фирменным логотипчиком прикрутить. Нет не хочу юзать готовое, хочу пилить свой велосипед с квадратными колесами.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

34. "Исследование показало плачевное состояние защищённости..."  +2 +/
Сообщение от arisu (ok) on 20-Апр-13, 12:01 
> Странно почему все еще на OpenWRT тот же не перешли, или аналоги.

вот смотри. ты — манагер. ты занимаешься совершенно бесполезным делом, и если тебя нафиг уволить, а твой отдел разогнать — себестоимость устройства станет меньше, а надёжность — выше. ты это понимаешь. скажи, ты допустишь, чтобы начальство это тоже поняло?

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

111. "Исследование показало плачевное состояние защищённости..."  +/
Сообщение от Аноним (??) on 20-Апр-13, 16:54 
> меньше, а надёжность — выше. ты это понимаешь. скажи, ты допустишь,
> чтобы начальство это тоже поняло?

Не скажи, судя по местным - даже манагеры иногда нужны. В роли вачдогов, срубать страдание фигней. Иначе технарь может впасть в режим играния в игрушки (e.g. портирование 100500-го по счету суперэкзота на эту платформу фиг знает зачем) и в результате ... вообще не выпустит никакого девайса в обозримом будущем (погрязнув в написании дров суперэкзоту для навороченной периферии, что потребует over 9000 человеко-лет).

Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

123. "Исследование показало плачевное состояние защищённости..."  +2 +/
Сообщение от arisu (ok) on 20-Апр-13, 17:32 
я не говорил, что манагеры не нужны. я всего лишь сказал, что *бесполезные* манагеры не нужны. вот манагеры и кодеры многих производителей коробочек — не нужны. причём совсем, даже в виде «мы будем помогать открытому проекту» — ибо качество их личного кода налицо, не надо такой «помощи».

p.s. от производителя требуются спеки. возможно, драйвера. всё. и один попугай, который будет лепить на веб-морду какого-нибудь openwrt логотип производителя.

Ответить | Правка | ^ к родителю #111 | Наверх | Cообщить модератору

151. "Исследование показало плачевное состояние защищённости..."  +/
Сообщение от Аноним (??) on 20-Апр-13, 18:29 
> — не нужны. причём совсем, даже в виде «мы будем помогать открытому проекту»

Не, таких помощников которые не могут размер таблицы контрека выставить и таймауты под параметры своего устройства - можно только как горючее для биореактора использовать. Подпускать таких к открытым проектам ... ну разве что вражеским :)

Ответить | Правка | ^ к родителю #123 | Наверх | Cообщить модератору

113. "Исследование показало плачевное состояние защищённости SOHO-..."  +/
Сообщение от Аноним (??) on 20-Апр-13, 16:55 
> Странно почему все еще на OpenWRT тот же не перешли, или аналоги.

Некоторые кстати переходят - несколко производителей юзают прошивки на его основе. Но понятный фиг, не все.

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

246. "Исследование показало плачевное состояние защищённости SOHO-..."  +/
Сообщение от анон on 21-Апр-13, 19:01 
о боже! кто они?
Ответить | Правка | ^ к родителю #113 | Наверх | Cообщить модератору

24. "Исследование показало плачевное состояние защищённости SOHO-..."  –4 +/
Сообщение от kerneliq (ok) on 20-Апр-13, 10:25 
Используйте Mikrotik!
И ваши волосы будут мягкими и шелковистыми.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

27. "Исследование показало плачевное состояние защищённости SOHO-..."  +1 +/
Сообщение от ssh (ok) on 20-Апр-13, 11:19 
А он OpenSource?
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

42. "Исследование показало плачевное состояние защищённости SOHO-..."  –2 +/
Сообщение от kerneliq (ok) on 20-Апр-13, 12:37 
Он не дырявый.
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

73. "Исследование показало плачевное состояние защищённости SOHO-..."  +2 +/
Сообщение от Аноним (??) on 20-Апр-13, 14:05 
Этом вам маркетологи Mikrotik сказали?

Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

84. "Исследование показало плачевное состояние защищённости SOHO-..."  –2 +/
Сообщение от kerneliq (ok) on 20-Апр-13, 14:40 
Опыт :)
Ответить | Правка | ^ к родителю #73 | Наверх | Cообщить модератору

95. "Исследование показало плачевное состояние защищённости SOHO-..."  +1 +/
Сообщение от Аноним (??) on 20-Апр-13, 15:38 
мыши, кактус... (с)
Ответить | Правка | ^ к родителю #84 | Наверх | Cообщить модератору

107. "Исследование показало плачевное состояние защищённости SOHO-..."  –3 +/
Сообщение от Аноним (??) on 20-Апр-13, 16:29 
> Опыт :)

Опыт Неуловимого Джо в избегании поимки? Достаточно сравнить сколько всяких длинков нашлепано и сколько - микротиков.

Эти микротики - кривое полупроприетарного гогно, используемое лишь отдельными изврашенцами. Вот они пока и не попали под внимание. К тому же они по софту убогие неимоверно. Обкоцаны до уровня циски тyпopылой по сути.

Ответить | Правка | ^ к родителю #84 | Наверх | Cообщить модератору

143. "Исследование показало плачевное состояние защищённости SOHO-..."  +2 +/
Сообщение от VolanD (ok) on 20-Апр-13, 18:14 
> Достаточно сравнить сколько всяких длинков нашлепано и сколько - микротиков.

И это доказывает что...

> К тому же они по софту убогие неимоверно.

По возможностям софта длинку до самого дешманского микротика, как до луны пешком.

> Обкоцаны до уровня циски тyпopылой по сути.

Смешно пошутили...


Ответить | Правка | ^ к родителю #107 | Наверх | Cообщить модератору

153. "Исследование показало плачевное состояние защищённости SOHO-..."  +/
Сообщение от Аноним (??) on 20-Апр-13, 18:34 
> По возможностям софта длинку до самого дeшмaнского микротика, как до луны пeшком.

Длинк с openwrt запхнет любой микротик по возможностям, если уж на то пошло.

>> Обкоцаны до уровня циски тyпopылой по сути.
> Смешно пошутили...

Не вижу ничего смешного - они довольно тyпорылые и косят под цыску с фиксированным набором функций и кретинизмом в лицензировании софта. По маразму они даже Linux XP переплюнули, пожалуй.

И, кстати, показательно побить деревянное фирмваре от длинка - извините, грешно пинать ботинками слабеньких. Нормальных соперников выбирайте, трусы. Идите вон побейте ту же LuCI из опенврт попробуйте. Вот это я понимаю - нормальный веб-интерфейс для роутера, ага.

Ответить | Правка | ^ к родителю #143 | Наверх | Cообщить модератору

184. "Исследование показало плачевное состояние защищённости SOHO-..."  +/
Сообщение от Anonim (??) on 20-Апр-13, 23:39 
> Длинк с openwrt

Кинь ссылку на интернет магазин

Ответить | Правка | ^ к родителю #153 | Наверх | Cообщить модератору

198. "Исследование показало плачевное состояние защищённости SOHO-..."  +/
Сообщение от VolanD (ok) on 21-Апр-13, 06:53 
>> По возможностям софта длинку до самого дeшмaнского микротика, как до луны пeшком.
> Длинк с openwrt запхнет любой микротик по возможностям, если уж на то
> пошло.

И что там такого есть, чего нет в микротике?

>>> Обкоцаны до уровня циски тyпopылой по сути.
>> Смешно пошутили...
> Не вижу ничего смешного - они довольно тyпорылые и косят под цыску
> с фиксированным набором функций и кретинизмом в лицензировании софта. По маразму
> они даже Linux XP переплюнули, пожалуй.

Эмм... что? Причем тут это?

> И, кстати, показательно побить деревянное фирмваре от длинка - извините, грешно пинать
> ботинками слабеньких. Нормальных соперников выбирайте, трусы. Идите вон побейте ту же
> LuCI из опенврт попробуйте. Вот это я понимаю - нормальный веб-интерфейс
> для роутера, ага.

Консоль ниасилили?

Ответить | Правка | ^ к родителю #153 | Наверх | Cообщить модератору

338. "Исследование показало плачевное состояние защищённости SOHO-..."  +/
Сообщение от Аноним (??) on 22-Апр-13, 20:20 
> И что там такого есть, чего нет в микротике?

Ну например реалтаймные грфики в вебмордочке. И софта дополнительного - не то чтобы совсем нет, но очень скудный набор. Свой кастомный софт поставить не то чтобы совсем нельзя, но очень геморно, опять же. Понятно что надо не всем, но на то оно и линух чтобы быть гибким. А тут дубовость железного роутера при свойствах роутинга софтварного. Фи.

> Эмм... что? Причем тут это?

При том что тупо платить за искусственные ограничения.

> Консоль ниасилили?

Осиливать местечковый самопал от жлобского вендыря - вот уж нафиг надо.

Ответить | Правка | ^ к родителю #198 | Наверх | Cообщить модератору

109. "Исследование показало плачевное состояние защищённости SOHO-..."  +/
Сообщение от Аноним (??) on 20-Апр-13, 16:49 
> А он OpenSource?

Формально он на основе дебиан линукса. Реально - микротик является уродской и жлобастой конторой, получить сорцы всего этого не то чтобы нельзя, но - максимально геморройно. И конечно же этого сорца не хватит для пересборки прошивки, т.к. все что касается проприетарных компонентов вам, разумеется, не дадут. А их есть.

Но это еще не все. Эти ушлепаны обкусили линух до уровня цыски, так что вы получаете софтороутер с деревянностью в настройке характерной для аппаратного роутера. Расширяемость? Не, не слышали! Ну то-есть для галочки оно как бы есть, но - именно совсем для галочки, так что какие-то доп. сетевые функции типа впн сервака/прокси/...  на это навесить очень геморно. Плюс какие-то левые win-only софтины для управления, лицензии на фичи ОС (гы-гы, это в линуксе то?) и прочий совершенно упоротый крап.

Насколько оно не дырявое - кто ж его знает? Технически там обычный линь. Просто усиленно косящей под цыску. В том числе и махровым жлобством производителя. Они удачно совместили недостатки: негибкость железного роутера совмещается с софтварным процессингом пакетов :)

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

183. "Исследование показало плачевное состояние защищённости SOHO-..."  +1 +/
Сообщение от Anonim (??) on 20-Апр-13, 23:38 
Глянул мельком.
Для управления там есть минимум 3 способа. Софтина под вин, вебморда и консоль.
Лицензии отличаются количеством некоторых типов подключений (типа pppoe). На самом душманском роутере за 1.5 штуки это ограничение 200, на чуть подороже 500. Даже если это всего 200 коннектов пользователей, то для большинства решаемых с помощью этой бюджетки задач этого за глаза и железо скорее всего и этого не потянет. В готовых роутерах софт уже стоит, а на ПК надо полупать (естественно это никому не надо) Функции же всех роутеров и дешевых и дорогих вроде как одинаковые.
Нигде не наврал?

Такие роутеры тоже нужны. По крайней мере, дешево и компактно. Да и может быть более надежно. Есть у них и продвинутые многоядерные коробочки. Вроде даже с виртуалками ))

Ответить | Правка | ^ к родителю #109 | Наверх | Cообщить модератору

28. "Исследование показало плачевное состояние защищённости SOHO-..."  +/
Сообщение от Skif (ok) on 20-Апр-13, 11:27 
> Disable (or do not enable) remote administration.

Бугага.
Вот это реально круто. А ещё хорошо бы интернет отключить. И электричество. И бетоном всё изнутри и снаружи залить. Да захоронить под водой. Закопав на пару метров в глубь перед этим.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

32. "Исследование показало плачевное состояние защищённости SOHO-..."  +/
Сообщение от Аноним (??) on 20-Апр-13, 11:59 
Ты зря так. Доступ через wan в большинстве случаев реально не нужен, устройство же ближе чем в шаговой доступности. С работы семье резко пробросить порт, если только. Да и то, подождут до вечера, чай дело не неотложное.
Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

35. "Исследование показало плачевное состояние защищённости..."  +1 +/
Сообщение от arisu (ok) on 20-Апр-13, 12:02 
> С работы семье резко пробросить порт

ssh на домашний сервер — и всё, ты уже в LAN. и пробрасывай себе.

Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

56. "Исследование показало плачевное состояние защищённости..."  +/
Сообщение от лол on 20-Апр-13, 13:23 
Это же SOHO...
1) Настройка удалёнки по SSH для простых юзверей - АДъ. Как и перепрошивка/настройка роутера, настройка файрволла, собственно.
2) На винду вообще нет ни одного вменяемого SSH-сервера. Нет, не только консольку погонять (и то в какой-то реализации tab не работал и были какие-то приколы в консоли), но и : пробросить порты, поковыряться через scp/sftp с файлами, с нормальными путями внутри этого (например ~ чтобы нормально определялся, чтобы виделся не только системный диск), с нормальной настройкой (в плане раскидать приватные ключи, конфиги). И чтобы ЭТО ещё и не конфликтовало с каким-нибудь DeltaCopy (IMHO, единственная вменяемая реализация rsync для win), чтобы не отваливалось,  если вдруг хост затащить в домен.
А оно, как ни печально, всё ещё самая попсовая платформа
Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

220. "Исследование показало плачевное состояние защищённости..."  +/
Сообщение от Anonim (??) on 21-Апр-13, 13:43 
Не надо пытаться юзать приемы из юникса в винде. Это как запускать софт в вайне. Ни надежности ни безопасности. Для платной винды есть куча платых решений ее дополняющих =)
Ответить | Правка | ^ к родителю #56 | Наверх | Cообщить модератору

105. "Исследование показало плачевное состояние защищённости..."  +/
Сообщение от Аноним (??) on 20-Апр-13, 16:26 
> ssh на домашний сервер

По логике вещей, роутер уже является собственно, маленьким сетевым компьютером. Который кушает пару ваттов, может подпитываться от упсы черти-сколько времени, всегда включен и не зависит от живости других машин.

На самом деле - очень клевые железки. Если вышибить оттуда убогий крап от производителя и влить хоть тот же опенврт. После чего этим станет можно рулить и как "просто компьютером". Не в ущерб роутингу с симпатичной мордочкой и прочая.

Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

124. "Исследование показало плачевное состояние защищённости..."  +/
Сообщение от arisu (ok) on 20-Апр-13, 17:38 
это ещё не причина открывать прямой ssh-доступ к нему. ssh через роутер на домашний сервер, дальше с него — опять на роутер, но уже из довереной сети. ну да, извращённо. но мне, например, так удобней: всё равно именно на роутер мне почти никогда не надо. поэтому некий нестандартный порт роутер тупо перебрасывает на sshd у домашнего сервака.
Ответить | Правка | ^ к родителю #105 | Наверх | Cообщить модератору

164. "Исследование показало плачевное состояние защищённости..."  +/
Сообщение от Аноним (??) on 20-Апр-13, 20:00 
> это ещё не причина открывать прямой ssh-доступ к нему.
> ssh через роутер на домашний сервер, дальше с него — опять на роутер,

И что это чисто технически дает кроме лишних полетов пакетов, добавочного узла в цепочке и прочая? ИМХО если уж извращаться - можно например поднять на роутере VPN по типу openvpn и подвесить ssh только на интерфейс VPN. Так те кто не может проавторизоваться в vpn вообще никогда не узнают о том что ssh вообще был.

Очевидное удобство - можно в не особо доверяемой сети собрать более-менее доверяемую виртуальную сеть, топология которой может быть более-менее отвязана от физического устройства. Ну и внутренние сервисы сторонним кексам не видны. Как бонус - какой-нибудь N900 или ноут может спокойно цепляться к любой вафле в кафешке, поднять оттуда шифрованный туннель до более-менее доверяемого хоста и уже по нему гонять все данные. При этом еще и не важно насколько там прямой/кривой айпи, данные не полетят в эфир открытым текстом, никто не будет видеть к каким именно сервисам обращение, не сможет неавторизованно менять сетевой траффик, etc.

> но уже из довереной сети.

Не вижу чем именно роутинг пакетов роутером более доверен чем обработка оным SSH'а. Мы или доверяем роутеру, или нет. Если целью было не светить внешнему миру ssh, можно его спрятать за порткнокером или подвесить только на VPN-интерфейс. А так ssh там такой же как и везде. На нормальной прошивке с вменяемым админом ssh на роутере - ничем не лучше и не хуже ssh где либо еще.

> ну да, извращённо. но мне, например, так удобней:

Мне такое не нравится тем что потенциально больше точек отказа. Ну и роутер можно упсой подпереть на несколько суток наверное, а сервер - смотря что под ним понимать. К тому же роутер при длительном факапе с питанием может остальных поднять по WOL, например.

> всё равно именно на роутер мне почти никогда не надо.

Ну я предпочитаю спихнуть все нетворкинг задачи связанные со внешкой на того кто этой внешкой рулит чисто технически.

> поэтому некий нестандартный порт роутер тупо перебрасывает на sshd у домашнего сервака.

У меня на самом деле вообще нет доступа по ssh напрямую из внешки. Вообще никуда в интранете. Сначала надо стать частью впн-а, а вот потом станет видно что там есть.

Ответить | Правка | ^ к родителю #124 | Наверх | Cообщить модератору

167. "Исследование показало плачевное состояние защищённости..."  +/
Сообщение от arisu (ok) on 20-Апр-13, 20:13 
> И что это чисто технически дает

нормальную полноценную систему. с аудитом, кучей умных скриптов и прочих плюшек.

> Не вижу чем именно роутинг пакетов роутером более доверен чем обработка оным
> SSH'а.

даже если не учитывать других нюансов — бедному атакующему теперь ломать два ssh заместо одного. а на сервере живут агрессивные роботы, которых програли с планеты Шелесяка, и теперь они кусаются.

> ssh на роутере — ничем не лучше и не хуже ssh где либо еще.

кроме того, что роутер — очень ограниченая по ресурсам коробочка.

> роутер можно упсой подпереть на несколько суток наверное

какой смысл в печальном роутете, у которого не осталось больше клиентов?

> К тому же роутер при длительном
> факапе с питанием может остальных поднять по WOL, например.

а какая связь? что-то помешает ему это сделать, если я уберу прямой ssh-доступ из любых сетей?

> Ну я предпочитаю спихнуть все нетворкинг задачи связанные со внешкой на того
> кто этой внешкой рулит чисто технически.

бедный роутер не выдержит. у меня, знаешь ли, ещё сервисы всякие висят. далеко не один.

>> поэтому некий нестандартный порт роутер тупо перебрасывает на sshd у домашнего сервака.
> Сначала надо стать частью впн-а

поднять VPN из рандомного места не всегда просто. а вот ssh — таки проще. для винды — тот же putty/kitty с флэшины, например. нет, я не боюсь, что пароли упрут: если не совершить неких телодвижений, они поменяются на другие. из недовереных мест я телодвижений совершать не буду — пусть логгируют, пока не надоест.

Ответить | Правка | ^ к родителю #164 | Наверх | Cообщить модератору

225. "Исследование показало плачевное состояние защищённости..."  +/
Сообщение от Аноним (??) on 21-Апр-13, 14:10 
> нормальную полноценную систему. с аудитом, кучей умных скриптов и прочих плюшек.

Аудитить полтора процесса на роутере проще чем навороченный сервант, если уж на то пошло. Скрипты и прочая там тоже можно пинать. Обычная линуховая машинка, просто мелкая и на границе сетей.

>> Не вижу чем именно роутинг пакетов роутером более доверен чем обработка оным SSH'а.
> даже если не учитывать других нюансов — бедному атакующему теперь ломать два ssh заместо одного.

А что ему помешает сломать один и удовольствоваться этим результатом? У большинства атакующих нынче цель не максимально нагнуть инфраструктуру. А максимально поюзать ресурсы (бандвиз, вычисления, ...).

К тому же я знаю железо роутера как облупленное и технологически имею доступ во ВСЕ закоулки, вплоть до самого раннего бутлоадера (к тому же u-boot с сорцами) и прочая. Я могу перелить known good бут и систему даже если окучурился совсем весь софт, перелив все в совсем пустой девайс. Насчет х86 например я и близко не могу похвастать таким уровнем контроля над платформой. Там всякие проприетарные биосы живут своей жизнью, etc. Если уж паранойю разводить.

> а на сервере живут агрессивные роботы, которых програли
> с планеты Шелесяка, и теперь они кусаются.

И как, много кого/чего они покусали? :)

>> ssh на роутере — ничем не лучше и не хуже ssh где либо еще.
> кроме того, что роутер — очень ограниченая по ресурсам коробочка.

Любая машина - "ограниченная по ресурсам коробочка" :). Ну да, поднимать там аццкий вебсервант с навороченной энтерпрайзятиной будет перебором. С другой стороны, скромные ресурсы означают скромное потребление, мелкие размеры, более высокую надежность за отсутствием кулеров, возможность подпереть упсой на несколько дней и прочая. Оттуда же можно откомандовать по WoL разбудить других.

>> роутер можно упсой подпереть на несколько суток наверное
> какой смысл в печальном роутете, у которого не осталось больше клиентов?

Капитан Очевидность намекает что у телефона и ноутбука есть собственные батарейки, поэтому клиенты таки могут и остаться.

>> факапе с питанием может остальных поднять по WOL, например.
> а какая связь?

Как какая, по ssh можно зайти на роутер и оттуда отпинать по WoL остальное. Точка входа то должна быть живой, или где? В твоей схеме как я понимаю надо еще чтобы сервак не сдох. Иначе не попадешь в внутреннюю сеть и с него не сможешь зайти на роутер. А у меня на роутере хоть и не совсем прямой ssh, но все что необходимо для его юзежа живет сугубо в этой коробочке, не завися от остальных.

> что-то помешает ему это сделать, если я уберу прямой ssh-доступ из любых сетей?

Зависимость от живости внешнего серванта, жрущего прорву энергии, который упсом на значительное время подпереть проблематично. Если я правильно понял организацию твоей сети.

>> кто этой внешкой рулит чисто технически.
> бедный роутер не выдержит. у меня, знаешь ли, ещё сервисы всякие висят. далеко не один.

Смотря что за сервисы. Энтерпрайзный портал со всеми наворотами - может и не выдержит. А подъем всяких там VPN линков, роутинг, натинг, правила фаера и прочая - выдерживает без проблем.

> поднять VPN из рандомного места не всегда просто.

OpenVPN - просто. Проще чем ssh, т.к. его устраивает и TCP и UDP.

> а вот ssh — таки проще. для винды — тот же putty/kitty с флэшины, например.

Я от "внешних" граждан беру только сеть. Девайс который конектится - всегда мой. Нотик или телефон, в зависимости от лени и ожидаемого масштаба задач. Светить ключи или пароли на хз чьей машине с хзчьим софтом делающим хз что мне как-то не по вкусу.

> нет, я не боюсь, что пароли упрут: если не совершить неких
> телодвижений, они поменяются на другие.

Ну мне лениво менять везде ключи и пароли на каждый пук. Поэтому я их просто не предоставляю недоверяемым машинам. Это как-то проще.

> из недовереных мест я телодвижений совершать
> не буду — пусть логгируют, пока не надоест.

Собссно vpn - как раз и защищает канал из недоверенного места. Если на обоих концах линка машины которые друг другу доверяют, они могут коммуницировать по несекурному туннелю вполне секурным образом, по очевидным причинам. В этом случае ограничений на операции по сути нет. Я как-то плохо представляю себе как на мой ноут кто-то отодвинув меня будет ставить кейлоггер. А беспроводной канал передачи окажется с шифрованием даже если исходно wi-fi сеть открытая или даже подставная, вот как раз от этого openvpn при правильном подходе защищает.

А всякие putty еще и в реестр срут записями о сессиях. Оставляя их там на память, если специальных мер не прнять. А оно мне надо?

Ответить | Правка | ^ к родителю #167 | Наверх | Cообщить модератору

230. "Исследование показало плачевное состояние защищённости..."  +/
Сообщение от arisu (ok) on 21-Апр-13, 14:48 
> Аудитить полтора процесса на роутере проще чем навороченный сервант, если уж на
> то пошло. Скрипты и прочая там тоже можно пинать.

я заколебусь пересобирать и втискивать туда свои инструменты. да, у меня не только баш.

> А что ему помешает сломать один и удовольствоваться этим результатом?

и что он будет делать в соседней камере? ну, попал он в клетку без полномочий. оттуда теперь выбираться надо. или ты действительно думаешь, что у меня всем юзерам позволено заходить?

> А максимально поюзать ресурсы (бандвиз, вычисления, …).

ну, пусть пробует, чо. правда, ресурсов у него там примерно как на спектруме (ну ладно, на БОЛЬШОМ спектруме). и выходных интернетов нет. бида-бида. крал «ламборджини», а спёр ржавый «запор».

> К тому же я знаю железо роутера как облупленное и технологически имею
> доступ во ВСЕ закоулки, вплоть до самого раннего бутлоадера

шо, таки совсем всё? вся-вся схематика есть? и wi-fi чипы? опубликуй, блин!

> Насчет х86 например я и близко не
> могу похвастать таким уровнем контроля над платформой.

у роутера тоже. то, что чёрные ящики в виде микросхем *вроде бы* не занимаются неучтённой активностью — не значит, что не могут, если захотят. даже в открытом софте при некоторой хитрости можно спрятать дверцу для кошки. а уж в закрытых проприетарных железяках — тем более.

>> а на сервере живут агрессивные роботы, которых програли
>> с планеты Шелесяка, и теперь они кусаются.
> И как, много кого/чего они покусали? :)

порядочно.

> Любая машина — «ограниченная по ресурсам коробочка» :).

только роутер — *очень* ограниченая.

> Оттуда же можно откомандовать по WoL разбудить других.

а вот с этим:
а) справится скрипт;
б) если уж пропала энергия, то по появлению оной все, кто надо, и сами проснутся — чай, не дебилы.

> Капитан Очевидность намекает что у телефона и ноутбука есть собственные батарейки, поэтому
> клиенты таки могут и остаться.

у меня нет ноутбука, а N900 я не использую для интернетов.

>>> факапе с питанием может остальных поднять по WOL, например.
>> а какая связь?
> Как какая, по ssh можно зайти на роутер и оттуда отпинать по
> WoL остальное.

сервер поднимется сам, он неваляшка. а дальше уже при необходимости волшебные пинки раздаются с него. если же сервер не поднялся — то тут уже никакой вол не поможет, тут надо ногами и руками работать.

> В твоей схеме как я понимаю надо еще чтобы сервак не сдох.

если он сдох, мне больше ничего во внутренней сети не надо: всё равно там удалённо делать уже нечего.

>> что-то помешает ему это сделать, если я уберу прямой ssh-доступ из любых сетей?
> Зависимость от живости внешнего серванта, жрущего прорву энергии, который упсом на значительное
> время подпереть проблематично. Если я правильно понял организацию твоей сети.

сервер должен работать 24/7. если сервер не работает — всё, приплыли, всё равно надо спешить домой разбираться, что сгорело.

> Смотря что за сервисы.

от почты, жабира, www — и до фермы сборки софта.

> OpenVPN — просто.

это если есть админские права на установку софта.

> Я от «внешних» граждан беру только сеть.

а мне без нормальной клавиатуры неудобно. я люблю свои пальцы, они у меня красивые. и ломать их об мелкоустройства не хочу. это — на самый-самый-самый крайний случай.

>> нет, я не боюсь, что пароли упрут: если не совершить неких
>> телодвижений, они поменяются на другие.
> Ну мне лениво менять везде ключи и пароли на каждый пук.

мне тоже. именно поэтому один из роботов с планеты Шелесяка занимается этим сам. если, конечно, ему вовремя не скомандовать «отбой тревоги!»

> А всякие putty еще и в реестр срут записями о сессиях.

да на здоровье. реестр не мой, мне не жалко.

Ответить | Правка | ^ к родителю #225 | Наверх | Cообщить модератору

348. "Исследование показало плачевное состояние защищённости..."  +/
Сообщение от Аноним (??) on 25-Апр-13, 05:49 
> я заколeбусь пересобирать и втискивать туда свои инструменты. да, у меня не только баш.

Ну ой, это какие-то твои местечковые закидоны. Право на жизнь имеют, но если рассматривать в "сферическом вакууме" - это весьма нишевые заморочки конкретного индивида. А по факту девайс с 128Mb RAM например потянет довольно много чего. Вплоть до форума на пыхе какого-нибудь, если там не очень дофига народа. Разумеется, опач с форками под толпу народа или крутую бизнес-аналитику туда ставить глуповато. А все остальное там примерно такое же как и везде.

>> А что ему помешает сломать один и удовольствоваться этим результатом?
> и что он будет делать в соседней камере? ну, попал он в клетку без полномочий.

Как что? Запустит там проксь/спамер/майнер биткоинов или чего там еще. Все, халява получена. А что еще взломщикам надо? Лично тебя раздолбать? Не факт что у тебя есть что либо оправдывающее кастомную возню ради тебя в таком масштабе.

> оттуда теперь выбираться надо. или ты действительно думаешь,
> что у меня всем юзерам позволено заходить?

Нет. А ты действительно думаешь что целью взломщиков как правило является именно поимение инфраструктуры по самые гланды? Обычно они напротив заинтересованы в ее сохранности - чтобы оно на них работало и им бабло приносило.

> крал «ламборджини», а спёр ржавый «запор».

Это их мало волнует, особенно если это на автоматие. Ну и в этом плане роутер еще более скромная штука.

>> К тому же я знаю железо роутера как облупленное и технологически имею
>> доступ во ВСЕ закоулки, вплоть до самого раннего бутлоадера
> шо, таки совсем всё? вся-вся схематика есть? и wi-fi чипы? опубликуй, блин!

Не тупи, я про 100% контроль над софтом в девайсе. От power-up до полного взлета. В порядке приоритетов это наиболее важное для меня свойство готовой железки, гарантирующее что оно будет вести себя так как мне надо а не как-то иначе. Что для сетевой железки IMHO важно. Переделывать железо подобного масштаба (многослойки, BGA) в мои планы (пока?) не входит: это не очень дешевое и не сильно просто, хоть и ничего невозможного. По поводу чего меня намного меньше парит схема. Тем более что 80% оной я и сам нарисую для такой железки. Плюс-минус всякие резисторы и прочая по мелочи интересуют только тех кто намерен перевыпускать это.

Тем не менее, вот примерчик того что ты хотел, если оно тебе зачем-то вдруг надо: http://files.wl500g.info/asus/wl500gx/document/ce%20rep... - правда я не очень понимаю что ты с ним делать будешь. Подобное добрецо можно найти на много какие железки

Даташиты на некоторые чипы тоже в природе встречаются. Не всегда и не на все, но - бывают. К тому же есть драйвера, где все что что касается работы с чипом с точки зрения софта - есть.

> у роутера тоже. то, что чёрные ящики в виде микросхем *вроде бы*
> не занимаются неучтённой активностью — не значит, что не могут, если захотят.

А тут ряд простых моментов:
1) Сложно скрывать неучтенную энеоргонезависимую память в большом объеме. Поэтому девайс не сможет долговременный логгинг/трекинг и подобную активность.
2) Опять же, большую программную память сложно сделать незаметно. В конечном итоге софт в привилегированных режимах (e.g. кернел) может шариться по всем закоулкам памяти.
3) Равно как сложно реализовать и продвинутую логику в железе.
4) Ни производитель ни чип не знают заранее как именно их применят. В пару с чем его запаяют и прочая.
5) В конечном итоге запускаемые бутлоадер и OS полностью берут управление на себя и их работа вообше не подразумевает сосуществования с кем либо еще.

Поэтому с учетом вышеуказанных факторов, работоспособный бэкдор выглядит довольно фантастично. Теоретически, можно перебить всех комаров на планете. Практически - ну, попробуй. Вот и с работоспособным бэкдором в таком девайсе как-то так же. Если мыслить как автор бэкдора, очень скоро обнаружится что в этом уравнении слишком дофига неизвестных при том что слишком много площади кристалла на такое просто невозможно выделить, т.к. удорожает чип. А внешние чипы - 100% паливо. Внешний микрокод - тем паче. Но об этом ниже.

> даже в открытом софте при некоторой хитрости можно спрятать дверцу
> для кошки. а уж в закрытых проприетарных железяках — тем более.

Проблема только в том что к x86 это все тоже относится. Но там все многократно хуже. Например, "BIOS" для x86. Это многометровый блоб без сорцев. Там кроме всего прочего есть не только код BIOS (занимающийся довольно чувствительными вещами), но и например обработчик SMM, который потенциально может работать независимо от ОС. Более того, в современных BIOS, особенно для интеловских платформ - есть еще и кучка фирмварей для сервисных процессоров. А на оные нет ни даташитов, ни сорсов. А вот доступ в систему они зато имеют самый непосредственный. Собственно интел и не скрывает даже - ремотное управление в vpro/amt сделано как раз на одном из сервисных процессоров. А вот в такую штуку бэкдор засунуть - как два пальца об асфальт. Потому что есть место для реализации сложной логики. Есть тот кто работает резидентно и не вырубается при старте ОС. Есть доступ в память/сеть и прочая. А вот это уже проходит по классификации как "потенциальный бэкдор". Тем паче что совсем вырубить фирмваре EC нельзя: оно оборотами кулеров рулит и прочая. Так что остается только на честное слово поверить что оно не хулиганит.

В чем отличие? В том что на роутере всего этого блобья делающего черти-что у меня нету. И это как раз самый сомнительный компонент. Он может реализовывать продвинутую логику и нежелательно себя вести. И через это штатно вывешивается ремотное управление машинами для корпорастов, интел даже и не скрывает это. Мне такое на сетевом девайсе, который является гейтвеем - совсем не надо. Он как раз от всего такого сеть своей тушкой закрывает.

>> Любая машина — «ограниченная по ресурсам коробочка» :).
> только роутер — *очень* ограниченая.

По сравнению с моими первыми 3-4 компьютерами, мой роутер - очень мощная коробочка. По сравнению с суперкомпьютером - очень ограниченная. Но на роутинг на скорости провода + файрволинг + всякие сервисные операции типа сетевых сервисов(впн, ...) и прочая вполне хватает. А больше от него ничего и не требуется. Бизнес-аналитику на этом я гонять не собираюсь.

> а вот с этим:
> а) справится скрипт;

Спору нет, но он на чем-то должен работать. И намного лучше если это мелкая и маложручая железка, в том плане что упс ее будет тянуть фиг знает сколько. А полновесный сервак надолго упсой не подопрешь. А вот роутер - без проблем. С него и логично разослать вэйкапы.

> б) если уж пропала энергия, то по появлению оной все, кто надо,
> и сами проснутся — чай, не дебилы.

Тогда их не получится нормально упсой подпереть и они срубятся некорректно? Ну или как они во время спячки узнают кто их питает - упса или 220 из розетки? От чипсета/bios/... сложно ожидать большого ума в этом плане. Вот зондаж они могут. А вот умно мониторить упс в low-power режиме - а хрен тебе, золотая рыбка. И сорц не даден, так что сам ты тоже такое не сделаешь.

>> клиенты таки могут и остаться.
> у меня нет ноутбука, а N900 я не использую для интернетов.

Ну это у тебя. А у меня - есть. И как раз выигрышно то что при отсутствии сети он еще часов 7 проработает. Так что в экстренном случае можно с него что-то требовавшее онлайна доделать. А N900 без интернетов как-то странно, имхо.

>> Как какая, по ssh можно зайти на роутер и оттуда отпинать по WoL остальное.
> сервер поднимется сам, он неваляшка.

Я как-то туго представляю себе как это увязать с подпиранием упсом. Оно или должно без упса фигачить и видеть состояние питания 220 вольт, или если упс замаскирует это - по какому критерию оно тогда взлетит? Мне не нравится идея грубого шатдауна без подготовки у мощных серверов, а как такое вэйкапать когда 220 вольт появилось при подпирании упсой - мне как-то не совсем очевидно. Кроме вот таких пинков по WoL с той мелочи которая всегда включена (т.к. упсом подпирается на много-много часов и заряда батарей после шатдауна всего остального роутеру хватит на много часов работы, чего достаточно для появления электричества обратно).

> а дальше уже при необходимости волшебные пинки
> раздаются с него. если же сервер не поднялся — то тут
> уже никакой вол не поможет, тут надо ногами и руками работать.

Ну вот а роутер для начала и не валится никогда. У него аптайм в полгода - норма жизни. Потому что упсы ему хватает на черти-сколько. У меня на столько электричество не выключают :). А вот подпереть сервак упсой на 2 часа я уже могу обломаться. Тем более что не совсем понятно как дружить логику включения сервака с упсой.

>> В твоей схеме как я понимаю надо еще чтобы сервак не сдох.
> если он сдох, мне больше ничего во внутренней сети не надо: всё
> равно там удалённо делать уже нечего.

У меня многие операции делаются небольшими железками, которые вполне актуаьльны и полезны. Большой сервак тоже есть. Но под специфичные нужды, требующие больших объемов HDD и просто скоростного счета. Он не является критичной частью инфраструктуры. Его можно выключить. Сетевые сервисы и прочая совсем не пострадают.

> сервер должен работать 24/7. если сервер не работает — всё, приплыли, всё
> равно надо спешить домой разбираться, что сгорело.

Я осторожно отношусь к идее оставлять мощные писюки с сравнительно ненадежными вентиляторами в долговременном автономном плавании дома, а не в ДЦ (где есть системы пожаротушения и персонал). Потому что по дефолту вентиляторы пхают черти какие, а при их отказе факап будет качественный. Особенно блоков питания касается (есть совершенно западляцкая тенденция экономить несколько десятков центов на вентиляторе, получая в результате клинч оного и все шансы на очень мощный дестрой когда силовуха перегреется далеко за свои absolute maximum ratings). С другой стороны, в железке без вентиляторов вентиль не сломается. А мелкий БП при катастрофическом отказе как правило просто быстренько испаряется н...й и более не создает проблем :).

>> Смотря что за сервисы.
> от почты, жабира, www — и до фермы сборки софта.

У меня с сборкой софта и просто мой писюк хорошо справляется. Хотя мало ли, ты упоминал что у тебя своя фирма - может там конторские проекты билдуются и оно актуально. Я хз, мне это пофигу :).

>> OpenVPN — просто.
> это если есть админские права на установку софта.

У меня на моем роутере как ты понимаешь они есть. У меня на всех моих устройствах есть административные права. Секрет прост: если я не могу получить административные права, устройство просто не считается моей собственностью.

> меня красивые. и ломать их об мелкоустройства не хочу. это —
> на самый-самый-самый крайний случай.

Как ты понимаешь, я их тоже не ломаю без причины. Но мобильность десктопа равна нулю. Ноут таскать зачастую лениво. А вот n900 может позволить юзать ssh даже в чистом поле, где на 10 километров вокруг только туалет типа сортир да вышка опсoса. Это не является штатным или предпочитаемым вариантом, но иногда можно сунуться и посмотреть на ситуацию из интранета. На то и vpn чтобы я был в моей сети из любой точки мира :).

> мне тоже. именно поэтому один из роботов с планеты Шелесяка занимается этим
> сам. если, конечно, ему вовремя не скомандовать «отбой тревоги!»

Вариант, кстати. В целом интересный. Я о чем-то таком задумывался но поленился реализовать. А ты как, синхронно генеришь пассворды по одному алгоритму на всех участниках или на одном из них генеришь ключ и распихиваешь на остальных? А может я упустил еще какие-то красивые варианты подобных схем?

В целом же я поленился и выбираю достаточно сильные пароли. Я достаточно подкован в вопросах брута паролей и потому прекрасно представляю себе как сделать так чтобы мои пароли в ближайшие 1000 лет никто не вскрыл, а потом мне все-равно уже будет пофиг :)

>> А всякие putty еще и в реестр срут записями о сессиях.
> да на здоровье. реестр не мой, мне не жалко.

Я не хочу оставлять хрен знает кому указатели на мои хосты и прочая.

Ответить | Правка | ^ к родителю #230 | Наверх | Cообщить модератору

248. "Исследование показало плачевное состояние защищённости SOHO-..."  +/
Сообщение от Skif (ok) on 21-Апр-13, 19:56 
> Ты зря так. Доступ через wan в большинстве случаев реально не нужен,
> устройство же ближе чем в шаговой доступности. С работы семье резко
> пробросить порт, если только. Да и то, подождут до вечера, чай
> дело не неотложное.

Это если вы себе домой покупаете такое решение. Аббревиатуру дословно расшифровать?
А теперь представьте, что вы аутсорсер, который сопровождает несколько десятков мелких офисов и для проброса портов вам теперь ездить в каждый офис... Ну-ну...

Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

72. "Исследование показало плачевное состояние защищённости SOHO-..."  +/
Сообщение от Аноним (??) on 20-Апр-13, 14:03 
Приоритеты снижения риска атак пользователям SOHO маршрутизаторов следует изменить:

1) Замена штатной прошивки на открытые дистрибутивы DD-WRT, Tomato или OpenWRT;
2) Регулярное обновление прошивки;
3) Загрузка прошивки только с сайтов соответствующих проектов;
4) ............
...............

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

87. "Исследование показало плачевное состояние защищённости SOHO-..."  –4 +/
Сообщение от Аноним (??) on 20-Апр-13, 14:55 
> Приоритеты снижения риска атак пользователям SOHO маршрутизаторов следует изменить:
> 1) Замена штатной прошивки на открытые дистрибутивы DD-WRT, Tomato или OpenWRT;

Ты точно очком ручаешься, что там-то человеческий фактор не погулял и обычному смертному это гогно будет съедобно?

> 2) Регулярное обновление прошивки;

Ой, что ты! А закирпичивание ты тоже оплатишь в случае фэйдаута энергии, умник?

> 3) Загрузка прошивки только с сайтов соответствующих проектов;

И что, это гарантирует твое очко от перехода в зрительный зал?

> 4) ............
> ...............

За чей счет этот банкет? Кто оплачивать будет? (С)

Ответить | Правка | ^ к родителю #72 | Наверх | Cообщить модератору

104. "Исследование показало плачевное состояние защищённости SOHO-..."  +/
Сообщение от Аноним (??) on 20-Апр-13, 16:22 
> смертному это гогно будет съедобно?

Это намного меньшее гогно чем то что зашивают по дефолту всякие индусотайванокитайцы. У оных получаются куда более упоротые экспонаты. Те кто делает указанные прошивки по крайней мере в состоянии нормально прописать параметры conntrack и прочая, так что девайс не глючит по черному при активном использовании. А вот индусотайванекитайцы могут и влупить таблицу которая в память не лезет, да еще с конскими таймаутами, так что девайс начинает эпически глюкавить если им вдруг более-менее активно пользоваться, например торренты покачать.

>> 2) Регулярное обновление прошивки;
> Ой, что ты! А закирпичивание ты тоже оплатишь в случае фэйдаута энергии, умник?

Напишите в спортлото - там разберутся.

> За чей счет этот банкет? Кто оплачивать будет? (С)

А заплатит за все потребитель. Не за обновление - так за участие своих дармовых ресурсов в ботнете.

Ответить | Правка | ^ к родителю #87 | Наверх | Cообщить модератору

176. "Исследование показало плачевное состояние защищённости SOHO-..."  –1 +/
Сообщение от гость on 20-Апр-13, 22:19 
да-да... давайте все перешивать на DD-WRT, Tomato или OpenWRT. Только сначала узнайте кто его перешьет назад, когда железяку в кирпич превратите. Никто лучше разработчика свое железо не знает по определению. Хотите получить вместо гипотетического взлома вполне реальный головняк с убитой железкой - флаг в руки, начинайте вливать всякое непонятно что в роутер - можете и сами пару байт в прошивке подправить - авось лучше работать будет

и, да: начинайте кричать, что руки надо иметь прямые, чтобы перешивать. Видели - знаем: многие кричат, а потом приносят свои "кирпичи" на восстановление.

Ответить | Правка | ^ к родителю #72 | Наверх | Cообщить модератору

189. "Исследование показало плачевное состояние защищённости SOHO-..."  +/
Сообщение от Аноним (??) on 21-Апр-13, 00:48 
> разработчика свое железо не знает по определению.

Это вы просто не смотрели внутрь прошивок всяких длинков и тому подобных. Там везде такой джамшутинг, что ваш тезис разбивается вдребезги. Обычно энтузиасты (которые как правило таки являются профильными специалистами) в состоянии сделать намного более приличные прошивки. Что не отменяет потенциальной возможности факапа.

Кстати, производитель железа как таковой - тот кто чипсет произвел. Они дают какой-то SDK под него, но в общем то для галочки. Т.к. им главное чипы продать. Далее все в меру дурости тех кто чипы на плату паял. Особо китаезные, типа длинка и прочих - просто льют туда нечто референсное, "как дали". Вообще не парясь. И все, скорей-быстрей продавать. Ну, китае-тайваньский бизнес - он такой. Главное что-то выпустить и как-то продать, остальное - вообще не их проблема :)

Ответить | Правка | ^ к родителю #176 | Наверх | Cообщить модератору

247. "Исследование показало плачевное состояние защищённости SOHO-..."  +/
Сообщение от анон on 21-Апр-13, 19:10 
багет криворукого детектед
Ответить | Правка | ^ к родителю #176 | Наверх | Cообщить модератору
Часть нити удалена модератором

193. "Исследование показало плачевное состояние защищённости SOHO-..."  –1 +/
Сообщение от Михрютка (ok) on 21-Апр-13, 02:06 
> А это вообще не роутер. У меня вот на роутере 5x1G портов
> ("гигабитный свич"). Он еще и управляемый к тому же - вланы
> и все такое, проц роутера может непосредственно им рулить. Ну и
> 300Мбит вайфай и прочая. И все это менее 2000р (~$65). Вот
> это - да, роутером называется. А то что у вас -
> называется "колхозом".

регулярно наблюдаю, кстати, таких пионэров, которые уверены, что их девайс с броадкомом и свитчом внутри умеет виланы. из приходящих ни один - ни один - еще не осилил настроить свою мыльницу так, чтобы на ван интерфейс по дефолтному маршруту выдувался тегированый трафик.

Ответить | Правка | ^ к родителю #164 | Наверх | Cообщить модератору

199. "Исследование показало плачевное состояние защищённости SOHO-..."  +/
Сообщение от Аноним (??) on 21-Апр-13, 10:01 
>регулярно наблюдаю, кстати, таких пионэров, которые уверены, что их девайс с броадкомом и свитчом внутри умеет виланы. из приходящих ни один - ни один - еще не осилил настроить свою мыльницу так, чтобы на ван интерфейс по дефолтному маршруту выдувался тегированый трафик.

Один из нас говорит, что вы ничерта не понимаете как оно там внутри разведено и работает.
Вот смотрите, типовая схемка всех этих мыльниц с N x LAN + 1 x WAN + wifi:
http://wiki.openwrt.org/_media/toh/linksys/openwrt_160nl-l2.png

И, собственно, в чем проблема сделать do1q для WAN:
ip link add link eth1 name eth1.100 type vlan id 100

А если надо, то хоть q-in-q:
ip link add link eth1.100 name eth1.100.200 type vlan id 200

Или даже, (о ужас зачем это надо) тройное q-in-q-in-q:
ip link add link eth1.100.200 name eth1.100.200.300 type vlan id 300

Нувыпонили.

P.S.
О скорости не будем разводить бодягу, а то можно и циску вспомнить с их process switching всего чего железо не умеет. Хотя, 400 мегагерц вполне переварят 100 мегабит на WAN. А LAN умеет тегировать в железе.

P.P.S.
Если не секрет, а зачем "выдувать" наружу тегированный трафик? Вам провайдер dot1q транк отдает?

Ответить | Правка | ^ к родителю #193 | Наверх | Cообщить модератору

238. "Исследование показало плачевное состояние защищённости SOHO-..."  +/
Сообщение от Михрютка (ok) on 21-Апр-13, 15:21 
> Один из нас говорит, что вы ничерта не понимаете как оно там
> внутри разведено и работает.
> Вот смотрите, типовая схемка всех этих мыльниц с N x LAN +
> 1 x WAN + wifi:
> http://wiki.openwrt.org/_media/toh/linksys/openwrt_160nl-l2.png

мне тащемта и не обязательно это понимать - не мой роутер, не мне его настраивать. за картинку спасибо, что и как внутри у этих мыльниц, я приблизительно себе представляю :)

> И, собственно, в чем проблема сделать do1q для WAN:
> ip link add link eth1 name eth1.100 type vlan id 100
> А если надо, то хоть q-in-q:
> ip link add link eth1.100 name eth1.100.200 type vlan id 200
> Или даже, (о ужас зачем это надо) тройное q-in-q-in-q:
> ip link add link eth1.100.200 name eth1.100.200.300 type vlan id 300
> Нувыпонили.

коллега, это прекрасно, и я не сомневаюсь, что в ваших руках эта мыльница заработала бы как надо. жаль, что среди админов на стороне клиента таких, как вы, очень мало, по очевидным причинам. один из десяти еще осиливает засунуть в свою мыльницы что-нибудь вроде опенврт, но даже этот десятый понятия не имеет, что с ним делать дальше. а брать такое железо на обслуживание и конфигурить его самому - себе дороже, да и клиенту скорее всего, тоже.

> P.S.
> О скорости не будем разводить бодягу, а то можно и циску вспомнить
> с их process switching всего чего железо не умеет. Хотя, 400
> мегагерц вполне переварят 100 мегабит на WAN. А LAN умеет тегировать
> в железе.
> P.P.S.
> Если не секрет, а зачем "выдувать" наружу тегированный трафик? Вам провайдер dot1q
> транк отдает?

вы не хотите знать, зачем это нужно. я сам с удовольствием бы этого не хотел знать :( к сожалению, уже некоторое время приходится обслуживать лютый пионернет, в котором сам черт ногу сломит. время от времени возникает проблема, когда нужно не только сделать транзит между комнатами, но и дать доступ в публичную сеть, при этом в помещении доступен всего 1 (один) сраный порт. ставить клиентскую мыльницу поближе к свитчу не предлагать.

Ответить | Правка | ^ к родителю #199 | Наверх | Cообщить модератору

228. "Исследование показало плачевное состояние защищённости SOHO-..."  +1 +/
Сообщение от Аноним (??) on 21-Апр-13, 14:39 
> регулярно наблюдаю, кстати, таких пионэров, которые уверены, что их девайс с броадкомом
> и свитчом внутри умеет виланы.

Умеет, умеет. Чисто технически, во многих железяках даже сам свич побит на группы через вланы, по поводу чего на самом деле роутер может входить не в 2 сети "wan" и "lan" а в вообше произвольное количество сетей - любую валидную комбинацию изолированных групп на которую можно распилить этот свич. А дальше уже проц роутера будет гонять трафф между группами по оговоренным правилам. Хотя бывают и варианты. Иногда WAN является выделенным сетевым интерфейсом процессора. Что разумнее с точки зрения производительности. Ясен перец, оно работает по разному.

Насчет "с броадкомом" - тут вообще фиг знает что имелось в виду. Броадком - понятие растяжимое. Потому что есть системный процессор, есть свич, они могут быть как интегрированы так и в отдельных чипах. В гигабитных девайсах например это обычно разные чипы.

> из приходящих ни один - ни один - еще не осилил настроить свою мыльницу так, чтобы на
> ван интерфейс по дефолтному маршруту выдувался тегированый трафик.

Ну значит не повезло вам с пионерами. Бывает. Да, возможность проскочить "нахаляву" подразумевает задействование мозгов, извините.

Ответить | Правка | ^ к родителю #193 | Наверх | Cообщить модератору

239. "Исследование показало плачевное состояние защищённости SOHO-..."  +/
Сообщение от Михрютка (ok) on 21-Апр-13, 15:25 
>> регулярно наблюдаю, кстати, таких пионэров, которые уверены, что их девайс с броадкомом
>> и свитчом внутри умеет виланы.
> Умеет, умеет. Чисто технически, во многих железяках даже сам свич побит на
> группы через вланы, по поводу чего на самом деле роутер может
> входить не в 2 сети "wan" и "lan" а в вообше
> произвольное количество сетей - любую валидную комбинацию изолированных групп на которую
> можно распилить этот свич. А дальше уже проц роутера будет гонять
> трафф между группами по оговоренным правилам. Хотя бывают и варианты. Иногда
> WAN является выделенным сетевым интерфейсом процессора. Что разумнее с точки зрения
> производительности. Ясен перец, оно работает по разному.

согласен, я, пожалуй, неправильно выразился насчет "не умеет".

Ответить | Правка | ^ к родителю #228 | Наверх | Cообщить модератору

250. "Исследование показало плачевное состояние защищённости SOHO-..."  +/
Сообщение от Аноним (??) on 21-Апр-13, 20:48 
Когда переходили на linux у bsd было плохо с поддержкой архитектур отличных от x86, amd64. Хотя, теоретически, могли-бы воспользоваться open/net, у тех с процессорами немного получше, но и ресурсов они потребуют больше. А может кто и делает на них свои роутеры, но никому не говорит (лицензия позволяет, хе-хе). Правда если кто так и делает, то это очередной неуловимый Джо. Не был-бы им - раскопали-бы.
Ответить | Правка | ^ к родителю #72 | Наверх | Cообщить модератору

110. "Исследование показало плачевное состояние защищённости SOHO-..."  +/
Сообщение от umbr (ok) on 20-Апр-13, 16:53 
>заменить штатную прошивку на регулярно обновляемые открытые дистрибутивы

Продвинуые гики справятся, но что делать обычным юзерам?
Для них сам термин "прошивка" что-то непостижимое и пугающее.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

134. "Исследование показало плачевное состояние защищённости..."  +/
Сообщение от arisu (ok) on 20-Апр-13, 17:55 
> Продвинуые гики справятся, но что делать обычным юзерам?

позвать гика или сходить в СЦ, где сидят три гика. при появлении спроса такие СЦ быстро появятся.

Ответить | Правка | ^ к родителю #110 | Наверх | Cообщить модератору

144. "Исследование показало плачевное состояние защищённости..."  +/
Сообщение от umbr (ok) on 20-Апр-13, 18:16 
они даже этого не знают
Ответить | Правка | ^ к родителю #134 | Наверх | Cообщить модератору

149. "Исследование показало плачевное состояние защищённости..."  +1 +/
Сообщение от arisu (ok) on 20-Апр-13, 18:28 
> они даже этого не знают

проблема не в этом. проблема в том, что не хотят знать.

почему-то при получении прав надо хотя бы как-то ПДД выучить. а при выходе в интернеты — не надо. ах, ну да: там же «человека можно убить», а тут всего лишь какие-то неосязаемые «ресурсы» впустую тратятся.

Ответить | Правка | ^ к родителю #144 | Наверх | Cообщить модератору

179. "Исследование показало плачевное состояние защищённости..."  +/
Сообщение от Аноним (??) on 20-Апр-13, 22:27 
Кровно заработанное бабло на банковской карте - очень осязаемый ресурс.:)
Ответить | Правка | ^ к родителю #149 | Наверх | Cообщить модератору

195. "Исследование показало плачевное состояние защищённости..."  +/
Сообщение от Ordu email(ok) on 21-Апр-13, 02:45 
> почему-то при получении прав надо хотя бы как-то ПДД выучить

Не *надо*. *Можно* изучить, и это один из путей получения прав. А можно и не учить, сэкономить на этом время, купив нужные результате экзаменов.

Ответить | Правка | ^ к родителю #149 | Наверх | Cообщить модератору

197. "Исследование показало плачевное состояние защищённости..."  –1 +/
Сообщение от arisu (ok) on 21-Апр-13, 04:41 
вообще-то *надо*. ходя виндузятникам удивительно: как это, «варез» и «кряки» — неправильно? для них и «выучил» вместо «купил» — идиотизм.
Ответить | Правка | ^ к родителю #195 | Наверх | Cообщить модератору

219. "Исследование показало плачевное состояние защищённости..."  +3 +/
Сообщение от Ordu email(ok) on 21-Апр-13, 13:41 
Зря вы примешиваете сюда вендусятников. Это не вендоболезнь, это современное состояние общества. Естественная отрыжка на обилие и доступность информации. Мозг всячески противится потреблять "лишнюю" информацию. Вы оглядитесь по сторонам, посмотрите на тех кто рядом с вами, посмотрите на себя, в конце концов. Каждый человек выбрал себе какую-то довольно-таки узкую область интересов, и панически боится узнать хоть что-то, что выходит за рамки этой области. Бывают исключения, но они -- редкость.

Возможности мозга по усвоению информации не безграничны. И когда информации больше, чем мозг может усвоить включаются защитные механизмы. Фильтры, отфильтровывающие ненужное. Попробуйте проанализировать вашу методику поиска информации в интернете. Вы увидите, что вы поступаете ровно таким же образом: глаза и мозг работают в режиме grep'а по странице, выхватывают лишь определённые ключевые слова и фразы, и моментально следует двигательная реакция: курсор мышки наводится на ссылку и "клик"... и вы уже на другой странице, при этом уже не помните, что же там было на предыдущей. Говорят, так быстрее искать. Но по факту, нельзя сказать, чтобы быстрее. Проще однозначно, меньше усилий требует, но не быстрее.

Мозг перегружен информацией, и мозг защищается. Это особенно ярко видно на примере подрастающих поколений. На примере тех, для кого интернет -- как хлеб и вода, как электричество в розетке, для кого интернет -- явление природы, без которого невозможно представить мир.

И на фоне всего этого, меня давно не удивляет тот факт, что знакомые просят меня поставить им венду или убунту, хотя установка ОС не требует никаких особых знаний. Они подсознательно защищают свой разум от информации, чтобы не дай бог мозги бы не перегрелись от лишней нагрузки.

Ответить | Правка | ^ к родителю #197 | Наверх | Cообщить модератору

221. "Исследование показало плачевное состояние защищённости..."  –2 +/
Сообщение от бедный буратино (ok) on 21-Апр-13, 13:47 
И что делать? Как спасти подрастающие поколения?
Ответить | Правка | ^ к родителю #219 | Наверх | Cообщить модератору

281. "Исследование показало плачевное состояние защищённости..."  +/
Сообщение от Ordu email(ok) on 22-Апр-13, 04:57 
> И что делать? Как спасти подрастающие поколения?

Откуда я знаю? Может надо организовать обязательные курсы для родителей? Курсы детской психологии. Рассказать заодно про образовательные/воспитательные методики для разных возрастных групп. Заставить родителей сдать ЕГЭ на эти темы. Несдавших в расход. Как вам такой план? Сработает?

Ответить | Правка | ^ к родителю #221 | Наверх | Cообщить модератору

282. "Исследование показало плачевное состояние защищённости..."  +/
Сообщение от бедный буратино (ok) on 22-Апр-13, 05:09 
>> И что делать? Как спасти подрастающие поколения?
> Откуда я знаю?

Не знаю.


> Может надо организовать обязательные курсы для родителей? Курсы детской
> психологии. Рассказать заодно про образовательные/воспитательные методики для разных
> возрастных групп. Заставить родителей сдать ЕГЭ на эти темы. Несдавших в
> расход. Как вам такой план? Сработает?

Нет. Нужен такой план, который может воплощаться ступенчато и начинаться с малого. План "собрать всех и перебить", во-первых, потребует много средств даже на одну такую акцию, а во-вторых, потребует регулярного повторения.

Мож просто интернет отключить? Или разделить на слои?

Ответить | Правка | ^ к родителю #281 | Наверх | Cообщить модератору

286. "Исследование показало плачевное состояние защищённости..."  +/
Сообщение от Ordu email(ok) on 22-Апр-13, 08:09 
> План "собрать всех и перебить", во-первых, потребует много средств даже на
> одну такую акцию, а во-вторых, потребует регулярного повторения.

Стабильности хочется? Причём без затрат на поддержание этой стабильности? Стабильность такого рода возможна лишь в одном случае, в случае тотального уничтожения человечества. Таким и только таким образом систему можно привести в состояние статического равновесия. Иначе возможно лишь динамическое равновесие, да и то возможно лишь умозрительно.

> Мож просто интернет отключить? Или разделить на слои?

Кому интернет отключить? Всем за исключением тех, кто равнее других? Или детям? Но чтобы отключить детям, надо убедить родителей в том, что надо отключить интернет от детей. То есть можно конечно принять законопроект и успокоиться на этом. На этот закон все положат болт так же, как и на все остальные законы. Но такой закон ещё хуже тотального уничтожения человечества: потрудиться над сочинением закона придётся, придётся ещё потратиться на перепечатывание кучи юридических справочников, а толку ноль -- бездарно потраченные время и деньги.

Ответить | Правка | ^ к родителю #282 | Наверх | Cообщить модератору

289. "Исследование показало плачевное состояние защищённости..."  +/
Сообщение от бедный буратино (ok) on 22-Апр-13, 08:55 
> Стабильности хочется? Причём без затрат на поддержание этой стабильности? Стабильность
> такого рода возможна лишь в одном случае, в случае тотального уничтожения
> человечества. Таким и только таким образом систему можно привести в состояние
> статического равновесия. Иначе возможно лишь динамическое равновесие, да и то возможно
> лишь умозрительно.

Нужна саморегуляция. Чтобы каждое следующее поколение понимало некоторые вещи лучше. Чтобы затраты были только на поддержание центрального аппарата саморегуляции, будь то ЦК КПСС, масоны, вертикаль власти или опричнина.

Ну и чтобы в самом этом культе традиции и желания перевешивали жажду личной развлекушки. Или чтобы в этом смысла не было.

Вообще, схема с ЦК КПСС, Госпланом и партийной ячейкой на каждом заводе - меня устраивает больше всего. Тогда, кстати, в медии популяризировались те, кто достоин, а не те, кто создаёт скандалы и движуху.


>> Мож просто интернет отключить? Или разделить на слои?
> Кому интернет отключить? Всем за исключением тех, кто равнее других?

Да всем отключить к едрёной фене. А также убрать www, gopher и анонимность, и превратить в подобие фидо, где аккаунт получается в паспортном столе, чтобы люди знали, что интернет это не только возможность безнаказанно плюнуть, но и ответственность. И чтобы похабщины меньше. Сжечь всю добычу, как повествовал ещё один ролик: http://www.youtube.com/watch?v=lj1HqlvsfIU

Не цепляться за технологии, которые разъединяют людей, а признать их тупиком и отключить. И вернуться к более человечным решениям.


> Или детям?

Кто такие дети? Дети - это люди. Все люди - это либо вчерашние дети, либо сегодняшние. А стереотипы человек впитывает не только в детском возрасте, но и в более взрослом. У меня у самого было трое детей, и я, наверное, не меньше учился у них, чем учил их. Родители не воспитывают, вероятно, потому, что их самих не воспитывали. Замкнутый круг. Поэтому воспитывать нужно всех людей, чтобы следующие поколения воспитывались на текущей культуре.

И уж лучше бы они вообще без интернета воспитывались, чем с таким интернетом - потому что интернет уже подчинил себе многих, и не они управляют им, а он - ими, он им командует, что делать и как делать. Без интернета им бы это и в голову не пришло. Слишком уж легко по нему грязь разводится и клонируется, без особых шансов на очищение.

Ответить | Правка | ^ к родителю #286 | Наверх | Cообщить модератору

305. "Исследование показало плачевное состояние защищённости..."  +/
Сообщение от Ordu email(ok) on 22-Апр-13, 12:15 
> Нужна саморегуляция. Чтобы каждое следующее поколение понимало некоторые вещи лучше. Чтобы
> затраты были только на поддержание центрального аппарата саморегуляции, будь то ЦК
> КПСС, масоны, вертикаль власти или опричнина.
> Ну и чтобы в самом этом культе традиции и желания перевешивали жажду
> личной развлекушки. Или чтобы в этом смысла не было.

Звучит отлично, но пока никто не придумал как так можно сделать.

> Вообще, схема с ЦК КПСС, Госпланом и партийной ячейкой на каждом заводе
> - меня устраивает больше всего. Тогда, кстати, в медии популяризировались те,
> кто достоин, а не те, кто создаёт скандалы и движуху.

Эта схема показала свою недееспособность. Правда, ещё не везде, но, запасшись попкорном, наблюдаем и ждём. Может всё-таки можно построить коммунизм в отдельно взятой стране?

>>> Мож просто интернет отключить? Или разделить на слои?
>> Кому интернет отключить? Всем за исключением тех, кто равнее других?
> Да всем отключить к едрёной фене. А также убрать www, gopher и
> анонимность, и превратить в подобие фидо, где аккаунт получается в паспортном
> столе, чтобы люди знали, что интернет это не только возможность безнаказанно
> плюнуть, но и ответственность. И чтобы похабщины меньше. Сжечь всю добычу,
> как повествовал ещё один ролик: http://www.youtube.com/watch?v=lj1HqlvsfIU

Да, я тоже с каждым годом всё ближе к этой точке зрения. Думал это признаки приближающейся старости.

>> Или детям?
> Кто такие дети? Дети - это люди. Все люди - это либо
> вчерашние дети, либо сегодняшние. А стереотипы человек впитывает не только в
> детском возрасте, но и в более взрослом. У меня у самого
> было трое детей, и я, наверное, не меньше учился у них,
> чем учил их. Родители не воспитывают, вероятно, потому, что их самих
> не воспитывали. Замкнутый круг. Поэтому воспитывать нужно всех людей, чтобы следующие
> поколения воспитывались на текущей культуре.

Ну так и я об этом: принудительные курсы для родителей; заваленные экзамены -- в расход таких родителей. ;)

Ответить | Правка | ^ к родителю #289 | Наверх | Cообщить модератору

309. "Исследование показало плачевное состояние защищённости..."  +/
Сообщение от бедный буратино (ok) on 22-Апр-13, 13:29 
>> Вообще, схема с ЦК КПСС, Госпланом и партийной ячейкой на каждом заводе
>> - меня устраивает больше всего. Тогда, кстати, в медии популяризировались те,
>> кто достоин, а не те, кто создаёт скандалы и движуху.
> Эта схема показала свою недееспособность. Правда, ещё не везде, но, запасшись попкорном,
> наблюдаем и ждём. Может всё-таки можно построить коммунизм в отдельно взятой
> стране?

Почему? Linux, Python, Ubuntu - яркие примеры. У python, правда, партийных ячеек нет.

Это полезный опыт, который можно использовать. Возможно, когда-нибудь, когда какая-нибудь Мандрива или Альт захотят осуществить реальный захват умов и процессоров, они сотворят подобное и в масштабах всей Российской Федерации. Остальной интернет для этого можно даже не ломать, но создать своё медиапространство и кормить его как сверху, наглостью и промушном, так и снизу. Кто устал от большого злого интернета, будет рад. Кто не устал - тех в пионеры не принимать. Думаю, будет весело, если мы когда-нибудь к этому придём.

Ответить | Правка | ^ к родителю #305 | Наверх | Cообщить модератору

340. "Исследование показало плачевное состояние защищённости..."  +/
Сообщение от Аноним (??) on 23-Апр-13, 01:04 
Давай, буратина, сделаем логический вывод из твоей писанины. Ты хочешь убрать интернет, интернет тебе мешает своей похабщиной, анонимностью и отсутствием ЦК КПСС. Вот ты сам признай тупиком и отключись от удовлетворяющего только жаждущих личной развлекушки интернета. Более того, пусть все запретители соберутся и создадут свою фидо, с ЦК КПСС, партъячейками на производстве, без похабщины и анонимности. И всех своих несовершеннолетних детей в эту фидошку уведите, зачем им похабщина.
Ответить | Правка | ^ к родителю #289 | Наверх | Cообщить модератору

223. "Исследование показало плачевное состояние защищённости..."  +2 +/
Сообщение от arisu (ok) on 21-Апр-13, 14:02 
> Естественная отрыжка на обилие и доступность информации.

нет, это неестественно.

> Мозг всячески противится потреблять «лишнюю» информацию.

это только у тех, у кого он вообще противится работе, а голова для «я туда ем».

> Вы оглядитесь по сторонам, посмотрите на тех кто
> рядом с вами, посмотрите на себя, в конце концов.

огляделся. меня окружают люди, которые — как и я — с удовольствием учатся новому. не скажу, что очень целенаправленно, но если рядом будет работать печник, например, то мы его таки достанем вопросами «как-зачем-почему».

> Каждый человек
> выбрал себе какую-то довольно-таки узкую область интересов, и панически боится узнать
> хоть что-то, что выходит за рамки этой области. Бывают исключения, но
> они — редкость.

значит, мне повезло с окружением: практически сплошные редкости.

> Возможности мозга по усвоению информации не безграничны.

однако усвоить её можно *очень* много. проще говоря: умрёшь раньше, чем винт переполнится.

> И когда информации больше, чем мозг может усвоить включаются защитные механизмы. Фильтры, отфильтровывающие ненужное.

потому что мозг — это орган. если он нетренирован — то он и усваивает плохо. вполне понятно, что я не пробегу пятьдесят километров так же, как тренированый марафонец. конечно, я попытаюсь как-то отбрыкаться от такой чудесной перспективы. вот и с мозгом то же самое.

> Попробуйте проанализировать вашу методику поиска информации в интернете. Вы увидите, что
> вы поступаете ровно таким же образом: глаза и мозг работают в
> режиме grep'а по странице, выхватывают лишь определённые ключевые слова и фразы,

а что, есть другой метод?

> и моментально следует двигательная реакция: курсор мышки наводится на ссылку и
> «клик»… и вы уже на другой странице, при этом уже не
> помните, что же там было на предыдущей.

wrong. кликов — далеко не один. в простых случаях может быть два-три, часто — больше двух десятков. потом всё это отсматривается (без закрытия таба поисковика), если оказывается непригодным — критерии поиска уточняются, обращается большее внимание на ссылки, которые по каким-то причинам были пропущены (если это, понятно, не хабр, не русская википедия или не другая подобная помойка). и так — пока или не найду именно то, что искал, или из кусочков не сложится нужная картинка.

> Мозг перегружен информацией, и мозг защищается. Это особенно ярко видно на примере
> подрастающих поколений. На примере тех, для кого интернет — как хлеб
> и вода, как электричество в розетке, для кого интернет — явление
> природы, без которого невозможно представить мир.

потому что их не учат «работать мозгами». быть умным — непрестижно. какой авторитет, например, у «ботана»? в лучшем случае — «дай списать». но это уже совсем другая история.

Ответить | Правка | ^ к родителю #219 | Наверх | Cообщить модератору

254. "Исследование показало плачевное состояние защищённости..."  +/
Сообщение от Ordu email(ok) on 21-Апр-13, 22:45 
Я не совсем понимаю, зачем вы пишете буквы мне в ответ. :)
Например:
> значит, мне повезло с окружением: практически сплошные редкости.

Нет, это не везение. Это естественное развитие событий. Вам более интересны "редкости" нежели "заурядности". И естественно, что среди ваших знакомых "редкостей" больше "заурядностей". Но, вы же должны понимать, что подобная выборка не может считаться репрезентативной. И к чему тогда ваши слова про "редкости" в вашем окружении?

Ещё один пример, где я не могу понять целей, преследуемых вашими буквами:
> кликов — далеко не один. в простых случаях может быть два-три, часто
> [...]

Вот к чему вы это всё рассказали? Суть-то от этого не меняется, глаза и мозг работают в режиме grep'а, а ваши многие вкладки лишь подтверждают тенденцию: поскольку вы не пытаетесь запомнить содержимое страницы, но предполагаете что к ней придётся вернуться после первого клика, вы проводите фазу оптимизации -- заранее выбираете всё что потенциально может быть полезным. Если бы страница читалась бы не по диагонали -- одно слово через десять, -- а полноценно, то в этом не было бы никакой необходимости. И многие вкладки были бы не нужны. Хватило бы одной вкладки и кнопки back.

Чуть ниже аноним подметил, что большинство информации в интернете -- спам. Но это тонкости терминологии, в которые я вдаваться не хочу, просто отмечу, что спам, по-моему, тоже информация. Правда менее ценная, или даже совсем бесполезная. Вам сыплют в голову ненужную информацию, даже когда вы в своём личном автомобиле, с выключенным радио и мобильником едете на работу: стоят придорожные рекламные щиты, которые вы не можете не замечать, и не выхватывать с них отдельные рекламные фразы. Если же вы слушаете радио, значит вам обязательно расскажут про какую-нибудь виагру или ещё что-нибудь.

И у вас (впрочем как и у любого другого) есть различные модели поведения в подобной ситуации, либо впитывать эту информацию "as is", без критического анализа полезности, либо
разрабатывать автоматические фильтры контента, которые позволят вам безболезненно отфильтровывать ненужную вам информацию-рекламу, либо сознательно обрабатывать всю информацию и оценивать её полезность. Сознательно обрабатывать -- это можно, но недолго: мозг такая штука, что он приспосабливается к действиям, которые выполняются регулярно и начинает эти действия выполнять в фоновом режиме, переходя к варианту с автоматическим фильтром контента.

Такие фильтры у современного человека есть на все случаи потребления информации: для интернетов (глаза моментом вычленяют на странице основной текст пролетая мимо баннеров), для телевизора (мозг определяет рекламный ролик на этапе первичной обработки звука улавливаемого ухом, и человек тут же встаёт налить себе чаю или сходить в туалет).

Но если человек ультрасовременный... Если он родился в эту эпоху, то он с детства тренирован на отфильтровывание всего, что хотя бы немного похоже на ненужную информацию... Если при этом родители ещё постарались в этом направлении и, как это теперь модно, начали учить его читать когда человеку исполнилось два года, и вообще всячески постарались закончить с программой начальной школы к моменту поступления ребёнка в школу, короче постарались перегружать его мозг информацией, которая в общем-то ему ещё не нужна и слишком сложна на данном этапе развития сознания. В 10-12 лет у них (как впрочем и у всех) начинается подростковый возраст и отрицание всего, в 15-16 им начинают компостировать мозги всякими там ЕГЭ, которые надо сдать единожды и забыть про них навечно. И всё это на фоне постоянной тренировки фильтров информации в мозгу при сёрфинге в интернетах. Понятно, что к 18-ти годам такой человек уже воспринимает незнакомое слово (в частности "прошивка") как информацию, от которой надо всеми путями попытаться избавиться.

Ах да, чуть не забыл про ещё один фактор: потреблятство, которое всячески вдалбливают в голову с младенчества. Очень удобная позиция. Вам не приходилось выкладывать в интернетах отчёт о каком-нибудь приспособлении собранном руками? Отчёт о какой-нибудь автоматической поливалке комнатных цветов, или руками собранного из подручных материалов аэратора для аквариума, или самодельного велокомпьютера, или ещё чего-нибудь эдакого? Если приходилось, то вы обязательно видели, что среди первых десяти комментариев как минимум половина будет сводиться к двум словам: "не нужно." Не нужно, потому что можно купить лучше. Вручную может быть и дешевле, но если учесть время затраченное на создание девайса (время -- деньги), то купить выходит дешевле.

Всё это вместе приучает мозг к тому, что ненужные знания не нужны. Вы рассказываете о том, что увлечённо расспрашивали печника... Это пустое любопытство. Вот если бы вы самостоятельно печку сложили бы в результате, тогда это были бы знания. Но самостоятельно печку сложить -- это сложно, это требует не только теоретических знаний, но так же и навыков, которые вероятно придётся вырабатывать в процессе творения. Всё это требует массу времени, а все мы сегодня куда-то ужасно спешим, у нас нет времени на то, чтобы остановиться хоть на секунду.

> это только у тех, у кого он вообще противится работе, а голова для «я туда ем».

Я не согласен с вашим снобизмом: данное явление наблюдается у всех, а не только у тех, у кого голова "а ещё я туда ем". Да, бесспорно, у всех в разной степени. И отсутствие навыка усвоения объёмов информации -- весьма и весьма помогает довести ситуацию до клинической. До вполне реального страха перед новой информацией. Но даже умение усваивать информацию и развитый мозг вполне могут сами себя загнать в ловушку, когда информационные фильтры оказываются более жёсткими чем надо, и полезная информация начинает фильтроваться на подлёте.

Кстати, *риторический* вопрос: какова ваша эмоциональная реакция на данный мой пост. Достаточно объёмный пост, который невозможно схватить одним взглядом? Так-таки вы прочитали его сразу и вдумчиво от начала к концу? Или, как частенько бывает, просканировали по диагонали?

Ответить | Правка | ^ к родителю #223 | Наверх | Cообщить модератору

292. "Исследование показало плачевное состояние защищённости..."  +/
Сообщение от arisu (ok) on 22-Апр-13, 10:44 
> Я не совсем понимаю, зачем вы пишете буквы мне в ответ. :)

а у меня их много, надо куда-то девать.

> что спам, по-моему, тоже информация. Правда менее ценная, или даже совсем
> бесполезная.

«бесполезная информация» называется «мусор».

> Вам не приходилось выкладывать в интернетах отчёт о каком-нибудь приспособлении собранном руками?


> Если приходилось, то вы обязательно видели, что среди первых десяти
> комментариев как минимум половина будет сводиться к двум словам: «не нужно.»

что характерно — в основном на русскоязычных форумах. а вот на англоязычных наблюдал ровно обратное.

> Вы рассказываете о том, что увлечённо расспрашивали печника… Это пустое любопытство.

с такой точки зрения всё, что не нужно в данный момент (и неизвестно когда понадобится) — «пустое любопытство». тут можно было бы написать про специализацию и синтетических специалистов, но мне лень.

>> это только у тех, у кого он вообще противится работе, а голова для «я туда ем».
> Я не согласен с вашим снобизмом: данное явление наблюдается у всех

петь тоже могут все. только некоторым хочется дать денег, чтобы продолжали, а некоторым — чтобы замолчали.

> Кстати, *риторический* вопрос: какова ваша эмоциональная реакция на данный мой пост.

никакая.

Достаточно
> объёмный пост, который невозможно схватить одним взглядом? Так-таки вы прочитали его
> сразу и вдумчиво от начала к концу? Или, как частенько бывает,
> просканировали по диагонали?

прочитал целых два раза. один раз — в почтовом клиенте, один раз — когда отвечал. иногда фазу «прочитал в почтовом клиенте» я опускаю, читаю прямо на странице ответа. иногда сначала провожу «быстрый скан», и потом читаю подробно, сразу отвечая.

уж пардон, что решил ответить на риторический вопрос.

а теперь резюме: это ж надо написать столько букв, чтобы сказать простые вещи:
1. большинство людей не умеют работать с информацией;
2. большинство людей не умеют обучать работе с информацией;
3. goto 1.

Ответить | Правка | ^ к родителю #254 | Наверх | Cообщить модератору

295. "Исследование показало плачевное состояние защищённости..."  +/
Сообщение от бедный буратино (ok) on 22-Апр-13, 10:53 
> что характерно — в основном на русскоязычных форумах. а вот на англоязычных наблюдал ровно обратное.

Это, скорее всего, от непонимания - разные культуры, разный юмор, разные особенности, разное знание языка у всего мира. Когда надо мной в заморских форумах и ирцах насмехаются, я, скорее всего, этого не понимаю, потому что знаю только технические фразы.

Если зайти на сайт каких-нибудь канзасцев, где общие страхи и суеверия - там будет не лучше.

Если какие-то словенцы, чехи или поляки заходят на русскоязычные форумы - они тоже не понимают этого, и поэтому в общении с ними люди более тактичны. Или к девочкам, если это не хронически больные люди, обычно тоже относятся уважительно - те в большинстве своём не хамят, да и язык их более приятен (и не только на слух).

Ответить | Правка | ^ к родителю #292 | Наверх | Cообщить модератору

296. "Исследование показало плачевное состояние защищённости..."  +/
Сообщение от arisu (ok) on 22-Апр-13, 11:01 
> Это, скорее всего, от непонимания

это от того, что общая атмосфера другая. да, «у них» не принято сразу орать «не нужно!!1111» это не значит, что таких мест нет, но в основном — не принято. а вот писать ободряющие комментарии — принято. в самом крайнем случае — не пишут ничего или очень мягко намекают, что «неплохо, конечно, но работать и работать ещё».

Ответить | Правка | ^ к родителю #295 | Наверх | Cообщить модератору

306. "Исследование показало плачевное состояние защищённости..."  +/
Сообщение от Ordu email(ok) on 22-Апр-13, 12:20 
>> Это, скорее всего, от непонимания
> это от того, что общая атмосфера другая. да, «у них» не принято
> сразу орать «не нужно!!1111» это не значит, что таких мест нет,
> но в основном — не принято.

Да. И этот момент я в своих диванных теоретизированиях упустил. Проклятые пендосы, которые на всю голову потребляти, тем не менее больше нашего уважают чужой труд. Даже бессмысленный и беспощадный труд кухонного изобретателя, который изобрёл ещё один девайс с единственной удивительностью в себе: оно работает несмотря на то, что на первый взгляд ничем не отличается от кучи мусора.

Вероятно, это лишь дело культуры. Общей культуры поведения, которая напрочь отсутствует у русского человека. А может причины глубже. Надо будет поспрошать у них.

Ответить | Правка | ^ к родителю #296 | Наверх | Cообщить модератору

304. "Исследование показало плачевное состояние защищённости..."  +/
Сообщение от Ordu email(ok) on 22-Апр-13, 12:06 
> уж пардон, что решил ответить на риторический вопрос.
> а теперь резюме: это ж надо написать столько букв, чтобы сказать простые
> вещи:
> 1. большинство людей не умеют работать с информацией;
> 2. большинство людей не умеют обучать работе с информацией;
> 3. goto 1.

1. Я про риторический вопрос написал намеренно, чтобы вы не подумали что размер поста был самоцелью.
2. Тем не менее я зря писал все эти буквы, поскольку возможности вашего мозга к анализу вы используете лишь для одного, для того, чтобы сделать очередной вывод вида "большинство людей не умеют..."
3. Это снобизм, батенька.

Ответить | Правка | ^ к родителю #292 | Наверх | Cообщить модератору

308. "Исследование показало плачевное состояние защищённости..."  +/
Сообщение от arisu (ok) on 22-Апр-13, 12:52 
я делаю выводы на основе наблюдения за окружающим миром. не умеют. это не снобизм, это состояние вещей.

конечно, вслух говорить о том, что большинство людей — тупорылые жвачные животные — не принято. и это одна из причин, по которым они так и остаются жвачными. быть умным — не модно. называть дурака дураком — некультурно. да на здоровье, чо.

а в принципе… мне, в общем-то, пофигу: снобизм — так снобизм. факт того, что я и моё окружение умнее большинства людей и лучше обучены работе с информацией это не изменит. это плохо — хотелось бы наоборот, — но увы.

Ответить | Правка | ^ к родителю #304 | Наверх | Cообщить модератору

235. "Исследование показало плачевное состояние защищённости..."  +/
Сообщение от Аноним (??) on 21-Апр-13, 14:56 
> Мозг перегружен информацией, и мозг защищается.

ничем он не перегружен, просто уже вовлечён в ту или иную игру с предопределенной целью.
> Возможности мозга по усвоению информации не безграничны.

вздор, мозг способен работать до "последнего вздоха", просто в потоках информации - все те же самые предложения игры в разных песочницах, вся ценная информация в контекстах, коллизиях, сранениях, в неявной форме, остальное отфильтровано и заклеймено.
> меня давно не удивляет тот факт, что знакомые просят меня поставить им венду или убунту, хотя установка ОС не требует никаких особых знаний.

вы - участник игры, поскольку ничего не изменяете, только подыгрываете, у вас есть идентификатор в игре типа "хакер", "программист", "спец", т.д. ну и все при деле, прямо идиллия.


Ответить | Правка | ^ к родителю #219 | Наверх | Cообщить модератору

255. "Исследование показало плачевное состояние защищённости..."  +/
Сообщение от Ordu email(ok) on 21-Апр-13, 22:49 
>> Возможности мозга по усвоению информации не безграничны.
> вздор, мозг способен работать до "последнего вздоха"

=)
Вы как-то странно формулируете свои мысли. Говоря "вздор" вы, вроде как, постулируете своё несогласие с утверждением. Но следующей фразой упоминаете "последний вздох", признавая таким образом небезграничность возможностей мозга.
Вы пытаетесь подсунуть мне логическую бомбу и довести мой мозг до последнего вздоха? Слишком толстая бомба, как видите я её раскусил без перегрева мозга. ;)

Ответить | Правка | ^ к родителю #235 | Наверх | Cообщить модератору

310. "Исследование показало плачевное состояние защищённости..."  +/
Сообщение от Аноним (??) on 22-Апр-13, 13:31 
>>> Возможности мозга по усвоению информации не безграничны.
>> вздор, мозг способен работать до "последнего вздоха"
> Вы как-то странно формулируете свои мысли. Говоря "вздор" вы, вроде как, постулируете своё несогласие с утверждением. Но следующей фразой упоминаете "последний вздох", признавая таким образом небезграничность возможностей мозга.

Смерть терминирует существование предмета обсуждения информацию, кроме усвоения информацию можно еще и обрабатывать, при этом информационная составляющая общего вала информации снижается, ибо информационные потоки разной природы могут содержать качественно идентичную информацию, различающуюся формой, транспортом, деталями. Возможностей мозга инструментально достаточно для захвата информационного представления внешнего мира в полном объеме. Потому я с вами и несогласен.

Ответить | Правка | ^ к родителю #255 | Наверх | Cообщить модератору

311. "Исследование показало плачевное состояние защищённости..."  +/
Сообщение от бедный буратино (ok) on 22-Апр-13, 13:33 
> Смерть терминирует существование предмета обсуждения информацию, кроме усвоения информацию
> можно еще и обрабатывать, при этом информационная составляющая общего вала информации
> снижается, ибо информационные потоки разной природы могут содержать качественно идентичную
> информацию, различающуюся формой, транспортом, деталями. Возможностей мозга инструментально
> достаточно для захвата информационного представления внешнего мира в полном объеме. Потому
> я с вами и несогласен.

Сколько часов вы сможете выдержать лекцию о покрове у бабочек? Сколько часов вы сможете при этом оставаться в концентрации?

Ответить | Правка | ^ к родителю #310 | Наверх | Cообщить модератору

312. "Исследование показало плачевное состояние защищённости..."  +/
Сообщение от arisu (ok) on 22-Апр-13, 14:36 
> Сколько часов вы сможете выдержать лекцию о покрове у бабочек?

если лектор знает предмет — долго.

на всякий случай: разница между «знать» и «зазубрить» — очень большая. большинство лекторов предмет не знают, а зазубрили.

Ответить | Правка | ^ к родителю #311 | Наверх | Cообщить модератору

320. "Исследование показало плачевное состояние защищённости..."  +/
Сообщение от бедный буратино (ok) on 22-Апр-13, 15:59 
>> Сколько часов вы сможете выдержать лекцию о покрове у бабочек?
> если лектор знает предмет — долго.
> на всякий случай: разница между «знать» и «зазубрить» — очень
> большая. большинство лекторов предмет не знают, а зазубрили.

Три месяца назад я считал, что моя любимая опера - Иоланта. Я её прослушал раз 60. Когда я её слушал последний раз - не помню, наверное, месяц назад. Сейчас в плеере хиты - Опричник и Мазепа. Потому что они мне нравились меньше всего, и испортить от них впечатление было бы не жалко. Кстати, теперь это мои любимые оперы, и их я только за последнюю неделю прослушал раз 20, и пока не надоело. :)

Но речь не об этом, речь о концентрации. У обычного человека мозг не может всё время работать с высокой концентрацией, тем более: в некомфортных ЛИЧНО ЕМУ условиях, в чём-то неинтересном и непонятном (когда придётся разрешить десяток зависимостей, чтобы понять хотя бы первоначальную мысль: это значит, что первоначальную мысль придётся переслушивать 11 раз) или в ущерб чему-то другому.

И восприятие у всех разное - кто-то хорошо помнит, что ему говорят, до знака. А у кого-то - ничего не задерживается. Глупо всех мерить по единому критерию, когда у всех - разные таланты. Я, например, поп..здеть люблю, не умею, но люблю. Меня на пьянках вместо баяна используют - очень полезный навык в народном хозяйстве. Один недостаток - бить хотят часто, нередко и бьют.

Ответить | Правка | ^ к родителю #312 | Наверх | Cообщить модератору

321. "Исследование показало плачевное состояние защищённости..."  +/
Сообщение от arisu (ok) on 22-Апр-13, 16:08 
*лично я* вёл речь о другом. человек, который *знает* — может и умеет рассказывать увлекательно. его *интересно* слушать. а человек, который зазубрил, способен усыпить, даже рассказывая о теме, которая слушающим важна и интересна.
Ответить | Правка | ^ к родителю #320 | Наверх | Cообщить модератору

322. "Исследование показало плачевное состояние защищённости..."  +/
Сообщение от бедный буратино (ok) on 22-Апр-13, 16:11 
> *лично я* вёл речь о другом. человек, который *знает* — может и
> умеет рассказывать увлекательно. его *интересно* слушать

Если нельзя морально подпевать - то надоедает. Если лекция о том, какой приятный человек Гитлер или какие умные php-шники - я не смогу долго воздавать должное таланту сказителя, потому что мне уж очень тема не нравится.

А если это лекция о том, какой буратино умный и красивый, я могу простить немало пригрешений (хоть и не все). Ведь сразу же видно, что умный человек говорит. :)

Ответить | Правка | ^ к родителю #321 | Наверх | Cообщить модератору

323. "Исследование показало плачевное состояние защищённости..."  +/
Сообщение от arisu (ok) on 22-Апр-13, 16:17 
я что-то потерял нить: мы о лекциях с пропагандой, или о лекциях с научными фактами? первое мне неинтересно ни в каком виде. а вот про Гитлера и НСДАП, например, можно очень долго и годно рассказывать, там же уйма всего интересного была.
Ответить | Правка | ^ к родителю #322 | Наверх | Cообщить модератору

324. "Исследование показало плачевное состояние защищённости..."  +/
Сообщение от бедный буратино (ok) on 22-Апр-13, 16:19 
> я что-то потерял нить: мы о лекциях с пропагандой, или о лекциях
> с научными фактами? первое мне неинтересно ни в каком виде. а
> вот про Гитлера и НСДАП, например, можно очень долго и годно
> рассказывать, там же уйма всего интересного была.

Мы о мозге, и о том, что одним интересно одно, другим - другое, у одних восприятие одно, у других - другое. то же и с нервной системой, то же и с концентрацией.

Ответить | Правка | ^ к родителю #323 | Наверх | Cообщить модератору

325. "Исследование показало плачевное состояние защищённости..."  +/
Сообщение от arisu (ok) on 22-Апр-13, 16:30 
всё это не отменяет того, что увлечённый человек может увлечь и других. хоть бабочками, хоть ковровыми бомбардировками. именно потому, что люди сделаны хоть и разными, но по одному шаблону.

конечно, есть очень сильные отклонения от шаблона — тогда получается изя, или ваня-однобитный-флоат, или вот «энергия» какая-то. но это крайние случаи, брак на производстве.

Ответить | Правка | ^ к родителю #324 | Наверх | Cообщить модератору

326. "Исследование показало плачевное состояние защищённости..."  +/
Сообщение от бедный буратино (ok) on 22-Апр-13, 16:36 
> всё это не отменяет того, что увлечённый человек может увлечь и других.
> хоть бабочками, хоть ковровыми бомбардировками. именно потому, что люди сделаны хоть
> и разными, но по одному шаблону.

Когда информации было гораздо меньше, а мне было лет восемь, я постоянно всех вокруг таким увлекал, и все  слушали, роты разявив. Хотя я в предмете ни малейшего понятия не имел, умел только корчить умную рожу и разбавлять текст внезапными разоблачениями.

А сейчас - умные все стали, точнее стали думать, что они-то самые умные. Подобный стиль от избранных перешёл во власть бедных, и они его крутят, как хотят - по крайней мере, думают, что могут написать не хуже, хотя копируют только форму. А в том, что сейчас популярно, я вообще никакой системы найти не могу. Наверное, всё несколько сложнее. И мне с ними точно не по пути - я банально ничего не понимаю, не чувствую и не воспринимаю. Неужели я такой разный?

Ответить | Правка | ^ к родителю #325 | Наверх | Cообщить модератору

345. "Исследование показало плачевное состояние защищённости..."  +/
Сообщение от Michael Shigorin email(ok) on 24-Апр-13, 13:47 
И всё же SOHO-маршрутизаторы немного в стороне, согласитесь. :)
Ответить | Правка | ^ к родителю #326 | Наверх | Cообщить модератору

244. "Исследование показало плачевное состояние защищённости..."  +/
Сообщение от anonymous (??) on 21-Апр-13, 18:43 
Обилие - да, а вот доступность я поставлю под сомнение.
Мозг перегружен фильтрацией потока спама, который со временем не только растёт, но и мимикрирует под полезную информацию.
Ответить | Правка | ^ к родителю #219 | Наверх | Cообщить модератору

283. "Исследование показало плачевное состояние защищённости..."  +/
Сообщение от mistiq on 22-Апр-13, 07:06 
Детки, я начальник сетевого отдела одной из крупнейших контор в РФ в своем роде, хочу сказать на микротики. Да есть проблемы, да проблемы с роутингом вопиющие, НО в своей ценовой категории просто нет и не предвидется аналогов.
Ответить | Правка | ^ к родителю #244 | Наверх | Cообщить модератору

285. "Исследование показало плачевное состояние защищённости..."  +/
Сообщение от бедный буратино (ok) on 22-Апр-13, 07:38 
> Детки, я начальник сетевого отдела одной из крупнейших контор в РФ в
> своем роде, хочу сказать на микротики. Да есть проблемы, да проблемы
> с роутингом вопиющие, НО в своей ценовой категории просто нет и
> не предвидется аналогов.

Детки хоть русским языком владеют.

Ответить | Правка | ^ к родителю #283 | Наверх | Cообщить модератору

287. "Исследование показало плачевное состояние защищённости..."  +/
Сообщение от mistiq on 22-Апр-13, 08:12 
>> Детки, я начальник сетевого отдела одной из крупнейших контор в РФ в
>> своем роде, хочу сказать на микротики. Да есть проблемы, да проблемы
>> с роутингом вопиющие, НО в своей ценовой категории просто нет и
>> не предвидется аналогов.
> Детки хоть русским языком владеют.

По существу вопроса возражения есть?

Ответить | Правка | ^ к родителю #285 | Наверх | Cообщить модератору

288. "Исследование показало плачевное состояние защищённости..."  +/
Сообщение от бедный буратино (ok) on 22-Апр-13, 08:42 
>>> Детки, я начальник сетевого отдела одной из крупнейших контор в РФ в
>>> своем роде, хочу сказать на микротики. Да есть проблемы, да проблемы
>>> с роутингом вопиющие, НО в своей ценовой категории просто нет и
>>> не предвидется аналогов.
>> Детки хоть русским языком владеют.
> По существу вопроса возражения есть?

Только вопрос: вам не стыдно?

Ответить | Правка | ^ к родителю #287 | Наверх | Cообщить модератору

290. "Исследование показало плачевное состояние защищённости..."  +/
Сообщение от mistiq on 22-Апр-13, 10:26 
>>>> Детки, я начальник сетевого отдела одной из крупнейших контор в РФ в
>>>> своем роде, хочу сказать на микротики. Да есть проблемы, да проблемы
>>>> с роутингом вопиющие, НО в своей ценовой категории просто нет и
>>>> не предвидется аналогов.
>>> Детки хоть русским языком владеют.
>> По существу вопроса возражения есть?
> Только вопрос: вам не стыдно?

Нет, а надо?

Ответить | Правка | ^ к родителю #288 | Наверх | Cообщить модератору

294. "Исследование показало плачевное состояние защищённости..."  +/
Сообщение от бедный буратино (ok) on 22-Апр-13, 10:48 
>> Только вопрос: вам не стыдно?
> Нет, а надо?

Почему, когда начальник чего-то там гордится своей безграмотностью - это сегодня нормально. Раз уж гордиться больше нечем.

Просто есть и другие, которым стыдно. По крайней мере, были.

Ответить | Правка | ^ к родителю #290 | Наверх | Cообщить модератору

347. "Исследование показало плачевное состояние защищённости..."  +/
Сообщение от mistiq on 25-Апр-13, 02:00 
>>> Только вопрос: вам не стыдно?
>> Нет, а надо?
> Почему, когда начальник чего-то там гордится своей безграмотностью - это сегодня нормально.
> Раз уж гордиться больше нечем.
> Просто есть и другие, которым стыдно. По крайней мере, были.

Интересно какие умозаключения привели вас к слову "гордитесь"

Ответить | Правка | ^ к родителю #294 | Наверх | Cообщить модератору

293. "Исследование показало плачевное состояние защищённости..."  +1 +/
Сообщение от arisu (ok) on 22-Апр-13, 10:46 
> Детки, я

…автор статей, текстов и постов…

Ответить | Правка | ^ к родителю #283 | Наверх | Cообщить модератору

353. "Исследование показало плачевное состояние защищённости..."  +/
Сообщение от Аноним (??) on 03-Май-13, 20:16 
> Детки, я начальник сетевого отдела одной из крупнейших контор в РФ в своем роде

сейчас мы наверно все должны обосраться от страха?

Ответить | Правка | ^ к родителю #283 | Наверх | Cообщить модератору

354. "Исследование показало плачевное состояние защищённости..."  +/
Сообщение от тень_pavel_simple on 03-Май-13, 21:46 
Детки, я начальник сетевого отдела одной из крупнейших контор в РФ в
своем роде, где вы ещё найдёте общественный туалет с ИТ отделом.
Ответить | Правка | ^ к родителю #283 | Наверх | Cообщить модератору

284. "Исследование показало плачевное состояние защищённости SOHO-..."  +/
Сообщение от FSA (??) on 22-Апр-13, 07:11 
Ради любопытства решил проверить обновление dd-wrt. Глухо с 2010 года.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

303. "Исследование показало плачевное состояние защищённости SOHO-..."  +/
Сообщение от Andrey Mitrofanov on 22-Апр-13, 12:01 
> Ради любопытства решил проверить обновление dd-wrt. Глухо с 2010 года.

Их и так ftp://ftp.dd-wrt.com/others/eko/BrainSlayer-V24-preSP2/2013/.../ неплохо кормят.

Ответить | Правка | ^ к родителю #284 | Наверх | Cообщить модератору

327. "Исследование показало плачевное состояние защищённости SOHO-..."  –2 +/
Сообщение от iZEN (ok) on 22-Апр-13, 16:45 
В Linux вё очень сложно и не очевидно с сетевой подсисистемой. Производители выбрали самый неэффективный сетевой стек и средства управления им. Лучше бы взяли BSD pf, и всем было бы хорошо и просто, кроме крякеров.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

330. "Исследование показало плачевное состояние защищённости SOHO-..."  +2 +/
Сообщение от Andrey Mitrofanov on 22-Апр-13, 18:26 
> В Linux вё очень сложно и не очевидно с сетевой подсисистемой. Производители
> выбрали самый неэффективный сетевой стек и средства управления им. Лучше бы
> взяли BSD pf, и всем было бы хорошо и просто, кроме
> крякеров.

Эксперт по линаксу и бизнес-аналитике советует FreeBSD! </рекомендации лучших>

+++Ждём реакции Рынка!

Ответить | Правка | ^ к родителю #327 | Наверх | Cообщить модератору

346. "Исследование показало плачевное состояние защищённости SOHO-..."  +2 +/
Сообщение от Michael Shigorin email(ok) on 24-Апр-13, 13:49 
> В Linux вё очень сложно и не очевидно с сетевой подсисистемой. Производители
> выбрали самый неэффективный сетевой стек и средства управления им. Лучше бы
> взяли BSD pf, и всем было бы хорошо и просто, кроме крякеров.

Некоторым хоть кол на голове теши...

Изя, поясните привселюдно: в чём именно преимущества BSD pf при условии вывешивания на внешний адрес httpd/sshd/telnetd с "инженерным" доступом?

PS: вывешивании Очень Грамотным Производителем Прошивки, если вдруг не дошло.

Ответить | Правка | ^ к родителю #327 | Наверх | Cообщить модератору

350. "Исследование показало плачевное состояние защищённости SOHO-..."  +1 +/
Сообщение от Аноним (??) on 30-Апр-13, 22:17 
Гы, изя-жавист внезапно стал ыкспертом по сетевой подсистеме Линукса. Окей, и в чем преимущество pf`а (кстати, причем здесь ваще он?) перед netfilter/iptables, когда светится telnetd наружу с паролем "123" и никакой баклан его после настройки дома не сменил? PF сам пароль дефолтный сменит что ли? Вообшем ты, как обычно, в своём репертуаре. Я, кстати, если что, постоянно пользуюсь DragonFlyBSD и на работе и дома, она мне нравится, она стройна, красива и понятна, но я такой шизофренией, как ты, не страдаю. Изя, может ты болен?
Ответить | Правка | ^ к родителю #327 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру