я ничего против RFC не имею. если вы хотите чтобы ваш айпи адрес был доступен везде в интернет то строго следуйте RFC. прям буква в букву. это отличный набор правил и отличный набор идей.
а если вы хотите чтобы айпи адрес был доступен только внутри одной страны то придется или новый RFC писать и ждать одобрения там, либо сразу действовать.
есть много видов атак и защит. нет одной серебряной пули против всех. мой метод всего лишь дополнительная линия защиты среди многих других, причем бесплатная
изоляция это же не решение никак. ведь у вас в сети нет изолированых сегментов. и ни в одном банке тоже нет. зачем вообще файрволы? и зачем изолированые сегменты? ведь это чебарашканет.
и всегда есть клиенты за границей. а где я сказал что это нужно применять для сервисов у которых есть клиенты за границей? например провайдерский ДНС сервер. пользуются ли этим сервером клиенты из-за границы? угадайте с двух раз. например провайдерский личный кабинет. ну вы скажете что вы уехали в турцию. и находясь в турции вам нужно оплатить интернет в кварире в москве. ок. согласен. но например айпи адреса банкоматов. должны ли эти адреса быть обязательно доступны из-за рубежа? угадайте с двух раз.
во-первых, это вам кажется что нарушаются принципы работы. вы заучили какие то догмы и уверены что только эти догмы работают. а всё остальное не будет работать.
во-вторых методов противодействия очень много самых разнообразных, как и атак очень много разных. нет одной серебряной пули против всех атак. перечисленые вами методы могут иногда сработать против совсем глупых атакующих. мой метод тоже всего лишь дополнительная линия защиты среди многих других
я работал контрактором. в том числе в финляндию приезжал. мне выдали ноутбук. который в их АД, с их ВПН. их почтой итд. иначе как я буду участвовать в их совещаниях в тимс и получать задачи?
хороший пример, спасибо, но я не вижу идет ли проверка есть ли уже доступ? например поступила заявка открыть доступ от сервера с1 до сервера с2. есть ли проверка что уже такой доступ существует? у вас есть доступ пользователей к Nautobot и они сами должны проверять все существующие доступы до того как создать заявку? а если их тысячи? и объектные группы внутри других объектных групп?
Для меня оказалось проще написать программу на питон, которая орпашивает ряд свичей и роутеров и со всех собирает инфо в один файл, по одной строке на каждый интерфейс, включая description, cdp, lldp а также всю информацию наравне с switchmap. netbox может быть местом хранения инвентори
Для меня оказалось проще написать программу на питон, которая орпашивает ряд свичей и роутеров и со всех собирает инфо в один файл, по одной строке на каждый интерфейс, включая description, cdp, lldp. А вторая программа может добавить description к интерфейсу если поле пустое из поля cdp или lldp. netbox будет только местом хранения инвентори. а запустить мои программы можно и из netbox и из любого другого места. например из jenkins
на периметре сети для ведущей нефтедобывающей компании было успешно протестировано 85 000 правил средней сложности
когда файрвол рабтает несколько лет, там накапливаются тысячи устаревших ненужных правил, и никто обычно не занимается очисткой. я уверен что из 85 000 половина устаревших и дублированых.
у меня есть сервер с белым IP и на него постоянно идут атаки подбора пароля. за много лет там много логов. если брать по организациям то наибольшее число идут из облаков гугл, майкросовт и aws.
я так понял это вообще предпочтительный способ искать новые сервера в ботнеты установив несколько первых в существующие облака. и оттуда уже распространять атаки на все возможные адреса в интернете.
есть возможность создать много подсетей класса А полностью недоступных из-за рубежа и поэтому защищенных от D-DOS атак из-за рубежа. если интересно то я напишу как
вы же не знаете кто эксперт а кто нет. голоса экспертов потеряются в шуме.
мое мнение таково что
длительное время придется поддерживать два протокола, и IPv4 и IPv6. и для клиентов и для серверов. а это серьезное удорожание. кто будет платить. допустим оператор пришлет все клиентам сообщение. платите на 1000 руб. больше и у вас будет два адреса. кто согласится? пока все не согласятся нет смысла вообще двигаться.
безопасность. сейчас миллионы людей пользуются смартфонами, и смартфоны защищены потому что за NAT. раздайте на все смартфоны прямые IPv6 адреса и миллионы людей пострадают. их смартфоны возможно будут взломаны. я не проводил такое исследование.
я ничего против RFC не имею. если вы хотите чтобы ваш айпи адрес был доступен везде в интернет то строго следуйте RFC. прям буква в букву. это отличный набор правил и отличный набор идей.
а если вы хотите чтобы айпи адрес был доступен только внутри одной страны то придется или новый RFC писать и ждать одобрения там, либо сразу действовать.
есть много видов атак и защит. нет одной серебряной пули против всех. мой метод всего лишь дополнительная линия защиты среди многих других, причем бесплатная
изоляция это же не решение никак. ведь у вас в сети нет изолированых сегментов. и ни в одном банке тоже нет. зачем вообще файрволы? и зачем изолированые сегменты? ведь это чебарашканет.
и всегда есть клиенты за границей. а где я сказал что это нужно применять для сервисов у которых есть клиенты за границей? например провайдерский ДНС сервер. пользуются ли этим сервером клиенты из-за границы? угадайте с двух раз. например провайдерский личный кабинет. ну вы скажете что вы уехали в турцию. и находясь в турции вам нужно оплатить интернет в кварире в москве. ок. согласен. но например айпи адреса банкоматов. должны ли эти адреса быть обязательно доступны из-за рубежа? угадайте с двух раз.
во-первых, это вам кажется что нарушаются принципы работы. вы заучили какие то догмы и уверены что только эти догмы работают. а всё остальное не будет работать.
во-вторых методов противодействия очень много самых разнообразных, как и атак очень много разных. нет одной серебряной пули против всех атак. перечисленые вами методы могут иногда сработать против совсем глупых атакующих. мой метод тоже всего лишь дополнительная линия защиты среди многих других
я уже вижу. само собой. бьют ногами. те кто запускает ддос атаки из-за рубежа.
при покупке билета нужно будет скан паспорта виз внж итд. а на границах не проверяют обычно
была заметно больше средней зп
я работал контрактором. в том числе в финляндию приезжал. мне выдали ноутбук. который в их АД, с их ВПН. их почтой итд. иначе как я буду участвовать в их совещаниях в тимс и получать задачи?
хороший пример, спасибо, но я не вижу идет ли проверка есть ли уже доступ? например поступила заявка открыть доступ от сервера с1 до сервера с2. есть ли проверка что уже такой доступ существует? у вас есть доступ пользователей к Nautobot и они сами должны проверять все существующие доступы до того как создать заявку? а если их тысячи? и объектные группы внутри других объектных групп?
на маршрутизаторе R3 можно настроить
ip sla 10
icmp-jitter 10.0.6.2
и считывать его состояние из python программы
outputd5 = connection.send_command('show ip sla summ') #Для меня оказалось проще написать программу на питон, которая орпашивает ряд свичей и роутеров и со всех собирает инфо в один файл, по одной строке на каждый интерфейс, включая description, cdp, lldp а также всю информацию наравне с switchmap. netbox может быть местом хранения инвентори
Для меня оказалось проще написать программу на питон, которая орпашивает ряд свичей и роутеров и со всех собирает инфо в один файл, по одной строке на каждый интерфейс, включая description, cdp, lldp. А вторая программа может добавить description к интерфейсу если поле пустое из поля cdp или lldp. netbox будет только местом хранения инвентори. а запустить мои программы можно и из netbox и из любого другого места. например из jenkins
продавец дает вам гарантию?
для продавцов файрволов это очень хорошо. заказчик купит более мощную и более дорогую модель чем реально нужно.
на периметре сети для ведущей нефтедобывающей компании было успешно протестировано 85 000 правил средней сложностикогда файрвол рабтает несколько лет, там накапливаются тысячи устаревших ненужных правил, и никто обычно не занимается очисткой. я уверен что из 85 000 половина устаревших и дублированых.
я уже писал тут как делать очистку.
не подскажете где можно скачать виртуальные роутер и свич хуавей для тестов
у меня есть сервер с белым IP и на него постоянно идут атаки подбора пароля. за много лет там много логов. если брать по организациям то наибольшее число идут из облаков гугл, майкросовт и aws.
я так понял это вообще предпочтительный способ искать новые сервера в ботнеты установив несколько первых в существующие облака. и оттуда уже распространять атаки на все возможные адреса в интернете.
по странам наибольшее число из сша.
есть возможность создать много подсетей класса А полностью недоступных из-за рубежа и поэтому защищенных от D-DOS атак из-за рубежа. если интересно то я напишу как
а вдруг окончательные переход никогда не произойдет. кто ответит за растрату денег? за деньги выброшеные на ветер
вы же не знаете кто эксперт а кто нет. голоса экспертов потеряются в шуме.
мое мнение таково что
длительное время придется поддерживать два протокола, и IPv4 и IPv6. и для клиентов и для серверов. а это серьезное удорожание. кто будет платить. допустим оператор пришлет все клиентам сообщение. платите на 1000 руб. больше и у вас будет два адреса. кто согласится? пока все не согласятся нет смысла вообще двигаться.
безопасность. сейчас миллионы людей пользуются смартфонами, и смартфоны защищены потому что за NAT. раздайте на все смартфоны прямые IPv6 адреса и миллионы людей пострадают. их смартфоны возможно будут взломаны. я не проводил такое исследование.