Вы опять упираетесь в некие технические и посему — маловажные детали. Для начала — есть запись ваших переговоров. Вашим голосом. Который не менее уникален чем ваши отпечатки пальцев. Это раз. Напоминаю — важный эфир пишется на постоянной основе. Всегда. Вне зависимости от того что там происходит — на то он и важный.
Два — очень мало кто действует по описанной вами схеме. Обычно рации используют для общения друг с другом, а местное УВД — посылают уже достаточно наобщавшись друг с другом, от недоумия, в ответ на требования прекратить передачи на этой частоте. И продолжают общаться друг с другом. Ибо дебилы — умные люди извиняются и сваливают с этой частоты и посему — им ничего не будет.
А вы знаете сколько информации о себе выдают недоумки при общении? Это просто кладезь информации для ОРМ. И все это — есть на записи, анализируй — не хочу. И это будет проанализировано, область поиска — будет максимально сужена и уж дальше пойдут в дело такие технические методы как анализ голоса, онлайн-покупок, сообщениях в чатах, соцсетях и т.д. «мы вчера ментов наух послали и они козлы нам ничего сделать не смогли», опрос потенциальных свидетелей и т.д.
Тебя — найдут. Не сразу — но найдут. У тебя нулевые шансы избежать этого, если такая задача будет поставлена. А уж будет она поставлена или нет — зависит только от твоей тупости и наглости. Если их достаточно — поставят 101%
Вы путаете две вещи — полноценную реализацию NAT и крайне кастрированную версию стандартной реализации оного в линаксе. Кратко — NAT используется ВСЕГДА — http://www.cisco.com/c/en/us/support/docs/ip/network-address-translation-nat/6209-5.html И это — не ASA, а обычный роутер. ASA все еще жестче — либо через NAT, либо никак, просто нет иных механизмов прохождения пакета.
а я таки смею заявлять, что для обеспечения безопасности камер, о которой ведется речь в статье, в большинстве случаев будут использоваться linux-based решения
Так, вы присядьте пожалуйста… Сели? Крепко сидите? Шок будет сильным, но вы там держитесь...:) Так вот, Cisco ASA это linux-based решение! У нее унутри неонка, линакс! Это же по сути старый добрый PIX, который х86+линакс. :) Именно поэтому истинные кошководы недолюбливают Cisco ASA — там стоит неполноценная ОС. :) Но с другой стороны полноценное RT в этой железке и не нужно. Но неприятно что его нет.
И она «реализует NAT согласно RFC» — просто надо внимательно читать RFC. :) Hint — в RFC нигде не говориться что один из транслируемых адресов обязательно должен быть приватным. :) Как только приходит понимание этого простого факта — взгляды на NAT кардинально меняются :)
Я скачу более — для обеспечения безопасности NAT предпочтительней классической фильтрации. Дело в том что как не крути, но фильтрация по умолчанию подразумевает прохождение пакета. Да разумеется все фаерволы на фильтрации имеют конфигурацию в стили deny any any, но… это именно конфигурация — отключи фильтрацию и сеть станет открытой. NAT же по умолчанию подразумевает непрохождение пакета, нету трансляции — нету пакета. Отключи NAT и сеть окажется полностью блокированной. И кстати сделать глупость в стиле прописывания allov any any в них гораздо сложней. :) Именно поэтому все серьезные фаерволы строятся на основе NAT.
Я тебе раскрою секрет — эфир пишется. Особенно — важный эфир. И твои хулиганства — тоже попадут на запись. Далее — стандартные ОРМ и через несколько месяцев, когда ты уже забыл об этом факте, тебе звонят в дверь… и ты с удивлением обнаруживаешь что твоя рация превратилась в арр-объект с ректальной инсталляцией :)
Это ваша стандартная ошибка ребята — вы смотрите только на технические способы обнаружения нарушителя и забываете что при раскрытии преступлений (а мешать например работе авидиспетчеров — преступление, полноценное, по УК РФ) все эти технические средства играют очень незначительную роль, а основа раскрытый преступлений — комплекс ОРМ. Запомни — при раскрытии преступлений роль технических средств чисто вспомогательная. И танцуй в своих предположениях исходя именно из этого факта.
Для начала пожалуйста запомните — access list это НЕ firewall!!!!!!!!!!!! Уж простите, но за такие фразу возникает желание УБИВАТ!!! :)
Не разумеется топором можно забивать гвозди, но это не повод называть его молотком.
Если вам реально интересно — можем поговорить об access list в Cisco в другом, более удобном месте. Это средство управления потоками данных, а не фаервол. Чтоб понять отличие — посмотрите как описывается тот же NAT в Cisco. А заодно — route map, ipsec и т.д. — везде невозможно обойтись без access list-ов, которыми ты разделяешь трафик, требующих некоторых действий и трафик, который этим действиям подвергаться не должен.
При чем тут вообще ASA\Cisco? Мы разговариваем про NAT вообще
При том что Cisco ASA — очень прикольное и специфическое устройство, его еще называю NAT device ибо там все строится вокруг NAT — куда не ткнешься, упрешься в NAT. Он имеет функции маршрутизатора, но полноценным маршрутизатором не является, к слову так. Вообщем если говоришь о NAT то обойти устройство, где NAT возведен в абсолют, является базовой технологий, где она получила наибольшее развитие — не получится имхо.
Покажите мне в RFC про NAT (3022 или аналогичное) хоть какие-то слова про фильтрацию? Их нет. Ибо NAT — это трансляция адресов, но никак не фильтрация.
А кто сказал что полноценный firewall это обязательно фильтрация? Cisco ASA — классический пример реализации фаервола, основанного на трансляции. :) Нет трансляции — нет коннекта. Есть трансляция — возможно коннект и будет, если остальные условия позволяют. Ну разумеется не коннекта, а прохождение пакета… но это не принципиально.
Именно возня с Cisco ASA дает осознание того факта что этим топором (NAT который) можно не только дрова рубить (раздавать интернеты на приватные адреса), но и целые Кижи построить (ту же сеть для сертификации по PCI DSS). :)
Для полного запутывания ситуации — в Cisco ISR фаервол, тот который ZBFW, основан на фильтрации, ога. Но он считается менее надежным и сеть, защищенную им, на тот же PCI DSS никогда не специфицируют. :)
Cisco ASA — один сплошной NAT. Я не скажу что там больше ничего нет в принципе, ибо это не так, но вся защитам там базируется на NAT, там это — базовая технология, вокруг которой все строится. :)
NAT выполняет некоторые базовые функции защиты, конкретно — не дает возможности устанавливать входящие соединения на компьютеры в сети.
Кстати, немного офтопика — Cisco ASA устройство защиты сети? Однозначно! Вспомните на каких принципах оно функционирует…
Это «небольшой побочный и не слишком надежный эффект» одним махом отсекает кучу векторов атаки. Чтоб далеко не ходить — большинство атак, обсуждаемых в данной статье, работают только если камера имеет внешний IP или сеть уже скомпроментирована — злоумышленник имеет доступ внутрь нее.
Фаерволл отключают на компьютере, при чём тут роутер?
Я хочу вас разочаровать — на роутерах тоже. Простой юзер давно запомнил — фаервол это такая ненужная вещь, которая мешает ему пользовать торренты и сетевые игры и постоянно задает какие-то глупые (то есть — непонятные) вопросы. И это первое что надо отключить. :) И ВСЕ службы техподдержки, любого продукта — настойчиво укрепляют его в этом заблуждении. Если хочешь чтоб ничего не работало — включи фаервол!
И хоть каких-то подвижек, чтоб переломить эту ситуацию — нет и не предвидется. Фаерволы — слишком «тупые», их надо тщательно настраивать чтоб от них была польза. Что простого юзера категорически не устраивает.
Фаервол — слишком низкоуровневая штука для обычного юзверя, требует слишком много знаний для своей грамотной настройки. Которых у рядового юзверя нет и никогда не будет. Тут скорей больше пользы от IDS/IPS — их хотя бы в теории можно преднастроить так чтоб они были не менее гиморойны в использовании для обычного юзверя чем антивирус.
Первый совет ЛЮБОЙ техподдержки, в ЛЮБОЙ ситуации — «отключите антивирус и фаервол». 95% ему следуют и забывают включить обратно как минимум фаервол.
Вся проблема фаервола, в том что его можно отключить и все будет работать. С NAT такое не проходит. :)
Одно расстраивает — сейчас к сожалению большинство таких устройств находятся за NAT и посему — достаточно труднодоступны. Но когда IPv6 наконец-то победит — все эти устройства получат реальные IP и вот тогда-то начнется настоящее веселье…
К сожалению насколько я помню там диапазоны в основном для телеграфной связи, так что на этой рации не мешать — не получится. Единственный диапазон, в котором допустима связь, которую может обеспечить эта рация — я указал. Правду сетку частот для этого диапазона я не помню. :)
Но если я не ошибаюсь — в VHF есть и например менты, вояки и даже вроде как аэродромная связь, диапазон-то огромный. И вот если мешать им — боюсь вежливой просьбой могут не ограничиться.
За работу в диапазоне VHF 136-174 МГц тебя уроют. Вот просто так — сразу и с ноги. :) Там конечно есть и радиолюбительские диапазоны… в которых тебя уроют радиолюбители ибо ИХ правила ты явно соблюдать не сможешь. :) Единственный ты где в теории сможешь работать ничего не нарушая с этой рацией — 144.990—145.806 МГц. Но все равно на это нужна лицензия. А там еще менты, вояки и черт с бантиком, кому интересно — может посмотреть сетку частот самостоятельно. :)
С UHF немного сложней… На самом деле оно не 403-470 МГц, а обычно несколько шире — 400-480 МГц. Там расклад такой:
UHF 403—410 МГц, кроме 406—406,1 МГц. Нельзя использовать ближе 350 км от центра Москвы.
UHF 417—422 МГц. Нельзя использовать ближе 350 км от центра Москвы.
UHF 433—447 МГц — работай! можно! Только надо вспомнить мах. допустимую мощность, кстати у этой рации я ее не нашел. Боюсь она несколько (примерно на порядок) выше мах. допустимой, если судить по заявленной дальности. :)
433.075—434.775 Мгц — каналы LPD. Самое безопасное и грязное. :)
444.600—444.975 МГц — каналы KDR.
446.00000—446.10000 МГц, кроме частоты 8-го канала 446.09375 МГц – каналы PMR. Можно использовать. 8-й канал — аварийный, не забивай.
462.5625—462.7250 — FRS/GMRS, в РФ — не лицензирован для свободного использования. Более того — там где-то менты обитают. Поймают — будет мучительно больно. :)
Судя по всему — мы не скоро увидим эти самые повервалы, судя по фотографиям на том месте где строят завод по их производству, еще конь не валялся…
Хотя Маск впишется в концепцию Трампа по возврату производства в США, с другой стороны-то… Так что — черт его знает, может выцаганит денег и на этот проект. А с другой стороны — Трамп явно не любит зеленых и их проекты. И опять же — Маск большой мастер по пиару, перекрасит этот проект если потребуется в 5 сек. :)
По расходу — опять же я не могу сказать как там с американским частным сектором, но наш — очень энергоемок, если жить круглогодично, то на круг выходит в несколько раз больше чем в городе. Даже при газовом отоплении, без него — вообще смерть к слову так.
У меня на двушку в ДС-1 — расход в два раза больше. Без кондея, отопления и электроплиты и поголовным светодиодным освещением. С учетом что это изделие ориентировано в первую очередь на американский рынок, с его частным сектором и обязательным кондеем… Боюсь цифру придется увеличить в несколько раз.
С ресурсом по емкости там вообще беда — оно собрано из отходов от теслы, то есть — на обычных китайских 18650. Я их использовал очень много и могу сказать — реально уже после первой сотни циклов наблюдается ощутимая деградация по емкости. Нет не смерть, но — заметно. Смерть — примерно после 500 циклов, но это совсем смерть — их после этого даже в фонарике использовать проблематично становится.
Сколько они эксплуатировались в тесле, до того как попасть в повервал — не знает никто. Собственно все создавалось именно чтоб решить проблему «куда девать дохлые батареи от теслы» — там если дохнет одна банка, то они меняют весь блок.…
Powerwall… Не смешите мои тапочки. :) Ну пройстейшие расчеты показывают что этот Powerwall — полное фуфло, пригодное разве что на аварийное освещение. Утюг, кондиционер, холодильник, СВЧ, электрический чайник, стиральную машину, посудомойку, пылесос и т.д. — он запитать уже не может.
Емкие и дешевые аккумуляторы — это сказки для хипстеров и гиков, которые не понимают разницы между аккумулятором в их айфоне и необходимостью уметь выдавать мегаватты мощности. Извините, но единственный аккумулятор, который мы можем применять в промышленности для таких мощностей это ГЭС или как ее модно называть ГАЭС.
Чтоб вы понимали что это за мощности — мы как-то ради смеха считали сверхроводящее кольцо для аккумуляции энергии с целью сглаживания суточных колебаний потребления ДС-1. Это в несколько раз меньше чем необходимо для аккумулирования исходя из тех предположений что используется СЭС. С учетом ограничений по магнитному полю, сооружение получилось циклопическим — размером немного более МКАД и находиться рядом с ним — не рекомендовалось…
А потом мы взяли и посчитали что будет если на одном участке вдруг пропадет сверхпроводимость… Ну короче произойдет примерно такое, только в несколько раз сильней:
Два — очень мало кто действует по описанной вами схеме. Обычно рации используют для общения друг с другом, а местное УВД — посылают уже достаточно наобщавшись друг с другом, от недоумия, в ответ на требования прекратить передачи на этой частоте. И продолжают общаться друг с другом. Ибо дебилы — умные люди извиняются и сваливают с этой частоты и посему — им ничего не будет.
А вы знаете сколько информации о себе выдают недоумки при общении? Это просто кладезь информации для ОРМ. И все это — есть на записи, анализируй — не хочу. И это будет проанализировано, область поиска — будет максимально сужена и уж дальше пойдут в дело такие технические методы как анализ голоса, онлайн-покупок, сообщениях в чатах, соцсетях и т.д. «мы вчера ментов наух послали и они козлы нам ничего сделать не смогли», опрос потенциальных свидетелей и т.д.
Тебя — найдут. Не сразу — но найдут. У тебя нулевые шансы избежать этого, если такая задача будет поставлена. А уж будет она поставлена или нет — зависит только от твоей тупости и наглости. Если их достаточно — поставят 101%
Вы путаете две вещи — полноценную реализацию NAT и крайне кастрированную версию стандартной реализации оного в линаксе. Кратко — NAT используется ВСЕГДА — http://www.cisco.com/c/en/us/support/docs/ip/network-address-translation-nat/6209-5.html И это — не ASA, а обычный роутер. ASA все еще жестче — либо через NAT, либо никак, просто нет иных механизмов прохождения пакета.
Так, вы присядьте пожалуйста… Сели? Крепко сидите? Шок будет сильным, но вы там держитесь...:) Так вот, Cisco ASA это linux-based решение! У нее унутри
неонка, линакс! Это же по сути старый добрый PIX, который х86+линакс. :) Именно поэтому истинные кошководы недолюбливают Cisco ASA — там стоит неполноценная ОС. :) Но с другой стороны полноценное RT в этой железке и не нужно. Но неприятно что его нет.И она «реализует NAT согласно RFC» — просто надо внимательно читать RFC. :) Hint — в RFC нигде не говориться что один из транслируемых адресов обязательно должен быть приватным. :) Как только приходит понимание этого простого факта — взгляды на NAT кардинально меняются :)
Я скачу более — для обеспечения безопасности NAT предпочтительней классической фильтрации. Дело в том что как не крути, но фильтрация по умолчанию подразумевает прохождение пакета. Да разумеется все фаерволы на фильтрации имеют конфигурацию в стили deny any any, но… это именно конфигурация — отключи фильтрацию и сеть станет открытой. NAT же по умолчанию подразумевает непрохождение пакета, нету трансляции — нету пакета. Отключи NAT и сеть окажется полностью блокированной. И кстати сделать глупость в стиле прописывания allov any any в них гораздо сложней. :) Именно поэтому все серьезные фаерволы строятся на основе NAT.
Это ваша стандартная ошибка ребята — вы смотрите только на технические способы обнаружения нарушителя и забываете что при раскрытии преступлений (а мешать например работе авидиспетчеров — преступление, полноценное, по УК РФ) все эти технические средства играют очень незначительную роль, а основа раскрытый преступлений — комплекс ОРМ. Запомни — при раскрытии преступлений роль технических средств чисто вспомогательная. И танцуй в своих предположениях исходя именно из этого факта.
Не разумеется топором можно забивать гвозди, но это не повод называть его молотком.
Если вам реально интересно — можем поговорить об access list в Cisco в другом, более удобном месте. Это средство управления потоками данных, а не фаервол. Чтоб понять отличие — посмотрите как описывается тот же NAT в Cisco. А заодно — route map, ipsec и т.д. — везде невозможно обойтись без access list-ов, которыми ты разделяешь трафик, требующих некоторых действий и трафик, который этим действиям подвергаться не должен.
При том что Cisco ASA — очень прикольное и специфическое устройство, его еще называю NAT device ибо там все строится вокруг NAT — куда не ткнешься, упрешься в NAT. Он имеет функции маршрутизатора, но полноценным маршрутизатором не является, к слову так. Вообщем если говоришь о NAT то обойти устройство, где NAT возведен в абсолют, является базовой технологий, где она получила наибольшее развитие — не получится имхо.
А кто сказал что полноценный firewall это обязательно фильтрация? Cisco ASA — классический пример реализации фаервола, основанного на трансляции. :) Нет трансляции — нет коннекта. Есть трансляция — возможно коннект и будет, если остальные условия позволяют. Ну разумеется не коннекта, а прохождение пакета… но это не принципиально.
Именно возня с Cisco ASA дает осознание того факта что этим топором (NAT который) можно не только дрова рубить (раздавать интернеты на приватные адреса), но и целые Кижи построить (ту же сеть для сертификации по PCI DSS). :)
Для полного запутывания ситуации — в Cisco ISR фаервол, тот который ZBFW, основан на фильтрации, ога. Но он считается менее надежным и сеть, защищенную им, на тот же PCI DSS никогда не специфицируют. :)
Кстати, немного офтопика — Cisco ASA устройство защиты сети? Однозначно! Вспомните на каких принципах оно функционирует…
Это «небольшой побочный и не слишком надежный эффект» одним махом отсекает кучу векторов атаки. Чтоб далеко не ходить — большинство атак, обсуждаемых в данной статье, работают только если камера имеет внешний IP или сеть уже скомпроментирована — злоумышленник имеет доступ внутрь нее.
Я хочу вас разочаровать — на роутерах тоже. Простой юзер давно запомнил — фаервол это такая ненужная вещь, которая мешает ему пользовать торренты и сетевые игры и постоянно задает какие-то глупые (то есть — непонятные) вопросы. И это первое что надо отключить. :) И ВСЕ службы техподдержки, любого продукта — настойчиво укрепляют его в этом заблуждении. Если хочешь чтоб ничего не работало — включи фаервол!
И хоть каких-то подвижек, чтоб переломить эту ситуацию — нет и не предвидется. Фаерволы — слишком «тупые», их надо тщательно настраивать чтоб от них была польза. Что простого юзера категорически не устраивает.
Фаервол — слишком низкоуровневая штука для обычного юзверя, требует слишком много знаний для своей грамотной настройки. Которых у рядового юзверя нет и никогда не будет. Тут скорей больше пользы от IDS/IPS — их хотя бы в теории можно преднастроить так чтоб они были не менее гиморойны в использовании для обычного юзверя чем антивирус.
Вся проблема фаервола, в том что его можно отключить и все будет работать. С NAT такое не проходит. :)
Но если я не ошибаюсь — в VHF есть и например менты, вояки и даже вроде как аэродромная связь, диапазон-то огромный. И вот если мешать им — боюсь вежливой просьбой могут не ограничиться.
С UHF немного сложней… На самом деле оно не 403-470 МГц, а обычно несколько шире — 400-480 МГц. Там расклад такой:
UHF 403—410 МГц, кроме 406—406,1 МГц. Нельзя использовать ближе 350 км от центра Москвы.
UHF 417—422 МГц. Нельзя использовать ближе 350 км от центра Москвы.
UHF 433—447 МГц — работай! можно! Только надо вспомнить мах. допустимую мощность, кстати у этой рации я ее не нашел. Боюсь она несколько (примерно на порядок) выше мах. допустимой, если судить по заявленной дальности. :)
433.075—434.775 Мгц — каналы LPD. Самое безопасное и грязное. :)
444.600—444.975 МГц — каналы KDR.
446.00000—446.10000 МГц, кроме частоты 8-го канала 446.09375 МГц – каналы PMR. Можно использовать. 8-й канал — аварийный, не забивай.
462.5625—462.7250 — FRS/GMRS, в РФ — не лицензирован для свободного использования. Более того — там где-то менты обитают. Поймают — будет мучительно больно. :)
Хотя Маск впишется в концепцию Трампа по возврату производства в США, с другой стороны-то… Так что — черт его знает, может выцаганит денег и на этот проект. А с другой стороны — Трамп явно не любит зеленых и их проекты. И опять же — Маск большой мастер по пиару, перекрасит этот проект если потребуется в 5 сек. :)
По расходу — опять же я не могу сказать как там с американским частным сектором, но наш — очень энергоемок, если жить круглогодично, то на круг выходит в несколько раз больше чем в городе. Даже при газовом отоплении, без него — вообще смерть к слову так.
С ресурсом по емкости там вообще беда — оно собрано из отходов от теслы, то есть — на обычных китайских 18650. Я их использовал очень много и могу сказать — реально уже после первой сотни циклов наблюдается ощутимая деградация по емкости. Нет не смерть, но — заметно. Смерть — примерно после 500 циклов, но это совсем смерть — их после этого даже в фонарике использовать проблематично становится.
Сколько они эксплуатировались в тесле, до того как попасть в повервал — не знает никто. Собственно все создавалось именно чтоб решить проблему «куда девать дохлые батареи от теслы» — там если дохнет одна банка, то они меняют весь блок.…
Чтоб вы понимали что это за мощности — мы как-то ради смеха считали сверхроводящее кольцо для аккумуляции энергии с целью сглаживания суточных колебаний потребления ДС-1. Это в несколько раз меньше чем необходимо для аккумулирования исходя из тех предположений что используется СЭС. С учетом ограничений по магнитному полю, сооружение получилось циклопическим — размером немного более МКАД и находиться рядом с ним — не рекомендовалось…
А потом мы взяли и посчитали что будет если на одном участке вдруг пропадет сверхпроводимость… Ну короче произойдет примерно такое, только в несколько раз сильней:
Не размер, а разрешение. У типового нетбука оно 1024х600, у смартфона обычно не ниже чем 1280х720