| 1.2, mitiok (??), 18:20, 02/10/2010 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
наверное подделать популярные зоны в бинде и засунуть розыгрываемого во view было бы более safe
| | |
| |
| |
| 3.11, Andrey Mitrofanov (?), 15:22, 04/10/2010 [^] [^^] [^^^] [ответить]
| +/– | |
> Это требует доступа к bind.
Да-да... Или отдельного "полезного" совета ""Подстановка DNS-трафика определенному компьютеру в локальной сети"".
| | |
| |
| 4.12, Xaionaro (ok), 15:54, 04/10/2010 [^] [^^] [^^^] [ответить]
| +/– |
 >> Это требует доступа к bind.
> Да-да... Или отдельного "полезного" совета ""Подстановка DNS-трафика определенному компьютеру
> в локальной сети"".
:))
Но так или иначе будет применяться скорее всего arp-спуфинг, что приведёт к тем же минусам. ;)
| | |
|
|
|
| 1.4, Jordan (?), 23:54, 02/10/2010 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Ога, главное всё сделать пока админ не пришол :)
P.S.
"через подмену ARP-адреса шлюза в кэше на машине соседа."
как это реализовать если нет доступа к машине соседа?
P.S.S.
Это работоспособно при включеном шлюзе?
| | |
| |
| 2.6, Дядя Федор (?), 22:21, 03/10/2010 [^] [^^] [^^^] [ответить]
| +/– |
 Почитайте как работает ARP-кэш. Может снизойдет озарение. Добавлю только, что "подменой" надо заниматься как минимум раз в 30 секунд (анонсировать изменение МАК-адреса шлюза).
| | |
|
| 1.10, keir (ok), 15:13, 04/10/2010 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 В нормально настроенной сети это не провернуть. И вообще, мануал из серии "как делать не надо, чтобы выжить"
| | |
| |
| 2.13, Xaionaro (ok), 15:58, 04/10/2010 [^] [^^] [^^^] [ответить]
| +/– |
> В нормально настроенной сети это не провернуть. И вообще, мануал из серии
> "как делать не надо, чтобы выжить"
Ну что такое "нормально настроенная сеть"? Есть вот два cisco-выз свитча, в который втыкается соотвественно два клиента, но работают оба через один и тот же vlan. Что помешает данному хаку? Или что в данной сети настроено не "нормально"?
| | |
| |
| 3.16, keir (ok), 20:42, 04/10/2010 [^] [^^] [^^^] [ответить]
| +/– |
Помешает switchport protected. За каким чертом двум клиентским компам в рабочей обстановке общаться между собой? Правильно, незачем. А если файлы друг-другу захотят передать - для этого используется корпоративная почта/ftp.
| | |
| |
| 4.17, Xaionaro (ok), 21:03, 04/10/2010 [^] [^^] [^^^] [ответить]
| +/– |
> Помешает switchport protected. За каким чертом двум клиентским компам в рабочей обстановке
> общаться между собой? Правильно, незачем. А если файлы друг-другу захотят передать
> - для этого используется корпоративная почта/ftp.
Ну в разных подразделениях разных контор - по-разному. Например, в МИФИ нет корпоративного FTP. Почему? Гос. контора, там всё очень сложно.
Вот взять например моё помещение. В моём помещении стоит одна циска, а в помещении напротив - другая. Там и там работают люди из одного отдела и плотно друг с другом взаимодействуют. Дак вот не вижу смысл запрещать заходить по ssh ко мне с соседнего компьютера (только с моего компьютера можно без затрат большого кол-ва времени достучаться до некоторых ресурсов, а бегать между своим компом и соседним помещенгием тоже не хочется). Тем более, т.к. достаточно проблематично выбить сервер, нередко приходится в качестве тестового компьютера использовать свой рабочий, из-за чего он нередко выступает в роли малого тестового _сервера_.
Ну или взять общежитие МИФИ. Там студенты свободно обмениваются трафиков. Или вы считаете, что нормальной настройкой студенческой сети - это запретить им общаться друг с другом? Я считаю что это нельзя делать как и из этических соображений, так и из материальных, ибо, например, тот же "retracker.local" в локальной сети экономит нехилый процент канала в Интернет.
P.S.: В общежитии на один vlan приходится около 50 студентов.
| | |
| |
| 5.18, keir (ok), 21:13, 04/10/2010 [^] [^^] [^^^] [ответить]
| +/– |
>[оверквотинг удален]
> до некоторых ресурсов, а бегать между своим компом и соседним помещенгием
> тоже не хочется). Тем более, т.к. достаточно проблематично выбить сервер, нередко
> приходится в качестве тестового компьютера использовать свой рабочий, из-за чего он
> нередко выступает в роли малого тестового _сервера_.
> Ну или взять общежитие МИФИ. Там студенты свободно обмениваются трафиков. Или вы
> считаете, что нормальной настройкой студенческой сети - это запретить им общаться
> друг с другом? Я считаю что это нельзя делать как и
> из этических соображений, так и из материальных, ибо, например, тот же
> "retracker.local" в локальной сети экономит нехилый процент канала в Интернет.
> P.S.: В общежитии на один vlan приходится около 50 студентов.
Извините, но начиналось все с соседа по офису, т.е. речь об организации, которая деньги зарабатывает. Студенческая сеть, конечно, совсем другое дело.
| | |
| |
| 6.19, Xaionaro (ok), 21:16, 04/10/2010 [^] [^^] [^^^] [ответить]
| +/– |
> Извините, но начиналось все с соседа по офису, т.е. речь об организации,
> которая деньги зарабатывает. Студенческая сеть, конечно, совсем другое дело.
Это я извиняюсь, забыл некоторые элементы основного сообщения. Но пример с моим рабочим помещением остаётся в силе :)
| | |
| |
| 7.22, Дядя Федор (?), 09:18, 05/10/2010 [^] [^^] [^^^] [ответить]
| +/– |
> Это я извиняюсь, забыл некоторые элементы основного сообщения. Но пример с моим
> рабочим помещением остаётся в силе :)
Откройте для себя L3-уровень. И прочитайте - что такое маршрутизация. VLAN, как известно - L2.
| | |
| |
| 8.25, keir (ok), 23:09, 05/10/2010 [^] [^^] [^^^] [ответить] | +/– | Кстати говоря, хорошо настроенный и отфильтрованный L2 иногда поудобнее L3 бывае... текст свёрнут, показать | | |
|
|
|
|
| 4.24, User294 (ok), 15:53, 05/10/2010 [^] [^^] [^^^] [ответить]
| –2 +/– |
 > - для этого используется корпоративная почта/ftp.
Только они имеют такое нехорошее свойство - место там заканчиватся почему-то. И даже довольно быстро. А если сервак нагибается - вся контора дружно курит бамбук, радуясь халяве. Поэтому обычно в реалных Ынтерпрайзах используются и ресурсы клиенских машин по мере необходимости.
| | |
| |
| 5.26, keir (ok), 23:14, 05/10/2010 [^] [^^] [^^^] [ответить]
| +/– |
>> - для этого используется корпоративная почта/ftp.
> Только они имеют такое нехорошее свойство - место там заканчиватся почему-то. И
> даже довольно быстро. А если сервак нагибается - вся контора дружно
> курит бамбук, радуясь халяве. Поэтому обычно в реалных Ынтерпрайзах используются и
> ресурсы клиенских машин по мере необходимости.
Ну, любой сервер может нагнуться, так что в "реальных Ынтерпрайзах" приходится заниматься еще и отказоустойчивостью :) В любом случае сервер лучше - через него можно вести реальный контроль кто-что-куда, а не сидеть в ожидании чуда, пока коллеги друг другу вирусы рассылают :)
| | |
| 5.33, XoRe (ok), 19:16, 06/10/2010 [^] [^^] [^^^] [ответить]
| +/– |
 >> - для этого используется корпоративная почта/ftp.
> Только они имеют такое нехорошее свойство - место там заканчиватся почему-то. И
> даже довольно быстро.
Ну у вас и аргументы, уважаемый =)
Не, ну правда - подсистемы хранения сейчас относительно дешевы.
Если предприятие такое большое, что документы забивают терабайты, то на 4 sas винта в raid10 + контроллер e200 деньги найдутся.
А если хочется дешево и сердито, то дешевый рейд10 контроллер и 4 sata винта выходят вообще недорого)
| | |
| |
| 6.34, User294 (ok), 02:51, 08/10/2010 [^] [^^] [^^^] [ответить]
| +/– |
> А если хочется дешево и сердито, то дешевый рейд10 контроллер и 4
> sata винта выходят вообще недорого)
Ну да. А потом у таких умников нагибается сервант (любая железка может сломаться) и вся контора радостно курит бамбук. Знаем мы эти совковые Ынтерпрайзы, где на эффективность и безгеморность работы сотрудников всем класть с прибором, зато какойнить бзик по части "как бы чего не сперли" или какой там еще фигне. При том кому надо - все-равно успешно все прут, зато когда централизованный сервак дает дуба - толпа народа радостно курит бамбук а админы срут кирпичами :). ИМХО зависимость работы всей конторы от 1 сервера - зло. Так, глядя на то какой пипец начинается когда сервак подыхает :)
Алсо нынче в моде например виртуализация. Представляете себе если програмеры/тестеры/прочий сброд начнут какиенить там временные тестовые виртуалки на много мегазов а то и гигазов каждая на фтпушник лить? И ессно забудут стирать. А на квоты периодически брыкаться когда они работе мешают. И насколько таким макаром места и терпения куль-одминов хватит? :) Вообще, вы имхо по сути извращаетесь, делая из быстрой swiched сети не то что даже более медленную routed, а даже коммутируемую на уровне примерно так L7 сеть. При том "коммутатором" получается фтпушник. Что вообще-то слегка изврат - тормозно и грабельно. Как минимум *удваивается* время на передачу файла по сравнению с шарингом файла напрямую с машины юзера. Для жирных файлов это вообще-то Ж.
| | |
|
|
|
|
|
| 1.14, Дядя Федор (?), 16:14, 04/10/2010 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Ну, как вариант - APR-кэш может быть сформирован статиком. :) Или где-нить в сети будет стоять arpwatch. Который будет дико материться, обнаружив подобную ситуацию.
| | |
| |
| 2.20, Аноним (-), 06:30, 05/10/2010 [^] [^^] [^^^] [ответить]
| +/– | |
Фуууу ... мой arpwatch тихо и интеллигентно залогирует факт, отправит мне письмо да и заблокирует порт на свиче :)
Как делать? - гугл завалит вариантами ...
| | |
| |
| 3.21, Дядя Федор (?), 09:17, 05/10/2010 [^] [^^] [^^^] [ответить]
| +/– |
Под словом "материться" я как раз таки и не имел в виду "расстрел на месте". :) Обычного логгирования вполне себе достаточно.
| | |
| |
| 4.28, Аноним (-), 05:04, 06/10/2010 [^] [^^] [^^^] [ответить]
| +/– |
Не дядя Фёдор - недостаточно!
Оно необходимо, но недостаточно. Тут нужны более активные действия. Просемафорить админу, задрать аларм в NMS ... У менея же порешили что и порт блокировать - вполне резонно. Пока ни одного шутника не уволили ибо шутка получается против себя :)
| | |
| |
| 5.32, Дядя Федор (?), 19:10, 06/10/2010 [^] [^^] [^^^] [ответить]
| +/– |
> Оно необходимо, но недостаточно. Тут нужны более активные действия. Просемафорить админу,
> задрать аларм в NMS ... У менея же порешили что и
> порт блокировать - вполне резонно. Пока ни одного шутника не уволили
> ибо шутка получается против себя :)
Ну это уже зависит от уровня "фашизма" админа. :) Во многих случаях вполне обоснованного.
| | |
|
|
|
|
| |
| 2.23, XoRe (ok), 11:39, 05/10/2010 [^] [^^] [^^^] [ответить]
| +/– | |
>Внимание, описанное действие не следует применять в рабочей сети предприятия, так как подстановка шлюза на время блокирует работу сети из-за конфликта с реальным шлюзом.
Т.е. у всего отдела (или конторы) "внезапно" пропадет интернет.
Такого вообще не нужно делать, ни дома, ни на работе.
> за такие "шутки" шутник обычно увольняется сходу..
Вот-вот.
Ну или наказывается так, чтобы отбило охоту тратить оплачиваемое время на создание препятствий производственному процессу других людей.
| | |
| |
| 3.29, d8r8dr (?), 08:54, 06/10/2010 [^] [^^] [^^^] [ответить]
| +/– |
шутка удается с первыми лицами предприятия (и до них это доходит) - админ идет искать работу
| | |
| |
| 4.30, Аноним (-), 10:12, 06/10/2010 [^] [^^] [^^^] [ответить]
| +/– |
> шутка удается с первыми лицами предприятия (и до них это доходит) -
> админ идет искать работу
Не совсем так, если первые лица предприятия смогут провернуть такую шутку, админ админящий такую сетку пойдет искать работу.
| | |
| |
| 5.38, axe (??), 16:01, 10/12/2010 [^] [^^] [^^^] [ответить]
| +/– |
>> шутка удается с первыми лицами предприятия (и до них это доходит) -
>> админ идет искать работу
> Не совсем так, если первые лица предприятия смогут провернуть такую шутку, админ
> админящий такую сетку пойдет искать работу.
может они просто поменяются местами тогда уж?
| | |
|
|
|
|
|