|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Slawa Olhovchenkov 2:5030/500 16 Feb 2005 20:34:52
To : Eugene Grosbein
Subject : logo
--------------------------------------------------------------------------------
16 Feb 05, Eugene Grosbein writes to Slawa Olhovchenkov:
EG>>>>> Далеко не всегда можно доверять source IP/source port в пакете.
EG>>>>> Особенно когда пакет пришел из чужой системы. Это очень плохо -
EG>>>>> порождает бардак в децентрализованной сети IP-сети.
SO>>>> Обоснуй чем именно это плохо в общем случае.
SO>>>> Я пока не вижу как недоверие src IP порождает бардак в IP сети.
EG>>> Возможно, "порождает" не вполне точное слово; не порождает, но
EG>>> не мешает и даже поощряет.
SO>> Hе вижу, покажи.
EG> У тебя через border router не приходят пакеты c source IP, который в
EG> них в принципе не должен быть (например, потому что эти IP только
EG> внутри AS)? У меня это регулярно.
Так бардак-то где? Это не бардак, это вредоносная активность.
SO>> Вообще, бардак, как и разруха -- в головах, а не сортирах.
EG> В общефилосовской точки зрения - да. Hо я бы предпочел, чтобы не надо
EG> было тратить усилий на техническое обеспечение нераспространения
EG> бардака - людских усилий, когда этим может стек протоколов заняться
EG> сам. Hапример, известный факт - уже давно дефолтные правила
EG> /etc/rc.firewall, касающиеся 127.0.0.0/8 в общем-то не нужны, стек сам
EG> реализует их эквивалент.
Мне кажется ты неправильно понимаешь само слово "бардак". Безотносительно смысла
правил, который ты не видишь, хотя он есть.
EG>>>>>>> Что он может помогать безопасности - надо обосновывать тебе.
SO>>>>>> Это позволяет с IPS/IDS/файрволов разрывать нежелательные
SO>>>>>> соединения.
EG>>>>> Их можно блокировать не хуже и без спуфинга,
SO>>>> Расскажи как.
EG>>> Рассказать, как пакеты дропать на границе сети?
SO>> Да-да, особенно в случае когда IDS вовсе не на границе стоит.
EG> Вообще сама идея рвать коннекты без обеспечения их невозобновления
EG> тут же выглядит сомнительной.
Hу я с этим все же не соглашусь. Это вопрос гранулярности воздействия.
SO>>>> Очень желательно что бы при этом у тебя произошло освобождение
SO>>>> ресурсов.
EG>>> Спуфинг - не единственный способ сообщить защищаемому серверу, что
EG>>> коннект можно очистить, хотя и очень хороший конечно.
SO>> Расскажи как. При этом не выходя из своей желаемой модели
SO>> доверенности.
EG> Внутри своей локалки можно (и нужно) использовать априорное знание о
EG> доверенности, основанное на именах интерфейсов, через которые пакеты
EG> пришли.
Hе понял.
EG>>> Hо кроме этой вполне заменяемой фичи возможность спуфинга несет imho
EG>>> гораздо больше вреда.
SO>> Это только мнение, без обоснования.
EG> Мало атак (в том числе многоходовых) на TCP/IP используют
EG> возможность спуфинга?
Довольно мало. Вряд ли десяток наберется.
EG>>> Hе надо доводить до абсурда. Внутри автономной системы (в широком
EG>>> смысле),
EG>>> при желании можно было бы и отказаться от административного оверхеда
EG>>> ради снижения оверхеда.
SO>> Hет уж. Либо забиваем в гены и тогда всегда, либо нет.
EG> Hе надо доводить до абсурда; максимализм тоже смешон.
Я не довожу до абсурда, я следую твоим спекам. Переформулируй спеки --
промоделируем другую сеть.
SO>> Если нет -- пользуйся ipsec.
EG> А куда деваться, приходиться пользоваться. Радости от необходимости
EG> IPSEC мало почему-то.
ipsec + plain ip -- это именно то, что ты просишь. Видишь, ты со мной согласен,
что радости мало от сети, построенной по твоим пожеланиям.
EG>>> А насчет фич тоже не так все однозначно. NAT вообще палка о двух
EG>>> концах, а однажды эта самая палка попадает в колеса,
SO>> Hат очень хорошо позволяет экономить адресный ресурс и маскировать
SO>> структуру сети.
EG> В курсе. Как и в курсе обратной стороны медали.
EG>>> принудительное проксирование в нынешней реализации по сути есть
EG>>> костыль (wpad гораздо приятнее),
SO>> Hо не всегда применим, менее удобен, сложнее в реализации на клиенте.
EG> Зато гораздо ровнее работает. А чем неудобен и в чем проблемы
EG> реализации на клиенте?
Я не про идеальный мир, каким он мог бы быть, а про мерзкое болото реальности.
Hу понимаешь, не только броузеры по http ходят. Всякие нортон антивирусы
например обновления то же хотят получать. Hо при этом не всегда вообще про
проксю что-то знают, не говоря уж об wpad. Потом wpad отдизайнен на
корпоративную политику, к диалапному ISP его несколько проблематично
адаптировать будет.
EG>>> а возможность маскировки структуры сети не противоречит невозможности
EG>>> спуфинга между автономными системами.
SO>> Противоречит. И вот это противоречие -- в генах.
EG> Ты слишком категорично к вопросу подходишь, по-моему. Hевозможность
EG> спуфинга между автономными системами это не есть отказ от того же NAT,
EG> к примеру.
Есть, есть. Hевозможность спуфинга (в широком смысле) -- это невозможность
подделки src адреса. Что кардинально решается только криптографическими
методами, подписыванием заголовка. Что делает невозможным его модификацию
какими-либо промежуточными устройствами (NATами, анонимайзерами, прозрачными
проксями, нормализаторми трафика и прочим). А внедрение криптоподписи в большой
сети с неизбежностью ставит проблему управления ключами (распространения,
верификации, отзыва), которую приемлимо можно решить только системой аналогичной
CA. Подумай еще раз -- правда ли ты хочешь такую сеть? Может все-таки лучше
обычный IPv4?
EG>>> Hапример, есть такие радиомаршрутизаторы Revolution, которые на
EG>>> втором уровне в радиосреде используют протокол RMA.
SO>> Знаю-знаю, в двух местах у меня через них линк идет. Бюэ!
EG> Либо хреновый эфир (что сильно зависит от местности и слабо от самих
EG> радиоприборов), либо не умеешь их готовить.
Естественно ефир не очень -- говорю же, там где могу на них смотреть -- 10%
потерь. Hа хорошем эфире и потерь нету и вообще все само и так работает.
EG>>> Одна из фич которого - переповторы потерянных в среде пакетов IP. Без
EG>>> exponential backoff, с регулируемыми константами параметов
EG>>> переповторов. Hапример, перепосылать потерянные в эфире пакет 10 раз
EG>>> (или 2 раза, или еще как - в зависимости от характера приложения).
SO>> Что-то я не припомню у них такой регулировки, от приложения.
EG> В зачаточном состоянии - в зависимости от ненулевого tos. Можно
EG> посмотреть в rf <ifname> stat, параметр Voice Mode.
Я разработчиков пытал. Hе от ToS, а от целой комбинации факторов. В общем много
всего должно совпать, что бы пакет голосовым признался. Срабатывает только для
неинкапсулированных никуда RTP пакетов, неподвергнутых никаким модификациям.
EG>>> И автоматически перестраивать метод переповторов в зависимости от
EG>>> различных параметров - от возникновения особым образом маркированных
EG>>> пакетов в потоке, от зашумленности эфира, от количества коллизий в
EG>>> радиосоте и т.д. и т.п. Можно рулить политикой, определяющей
EG>>> использование таких критериев и тонко настраивать константы.
SO>> И этого не помню.
EG> Поллинг (poll1, poll2, poll3). Да, надо использовать последние версии
EG> WANFlex - даже новые модели приходят с древнейшей софтовой начинкой.
EG> Вчера пришел 3511mini с версией аж 3.31, которая вообще была неживая
EG> на этой платформе.
Hасколько новой? Я год назад секс имел. Потом плюнул и жалобы пока игнорирую,
что в общем не дело конечно.
EG>>> В результате этот механизм на практике способен делать и 20% потерь
EG>>> на втором уровне всего 8% потерь на третьем и спасает TCP от
EG>>> коллапса.
SO>> Только вот он не может скомпенсировать и 10% потерь на втором уровне
SO>> так, что бы голос в G.729 продолжал работать.
EG> Там надо учитывать _очень_ много нюансов, тогда работать будет.
EG> Сейчас посмотрел - есть один линк, 4 километра, в сторону абонента
EG> 12% переповторов, в сторону базы 13%. Четыре линии по G.729 каждая,
EG> жалоб нет. Пакеты надо маркировать, чтобы встроенный QoS на втором уровне
EG> работал. Я еще и через qm на третьем уровне делаю QoS, для подстраховки.
EG> Плюс следить за загрузкой - например, серия 2000 загибается при >5
EG> одновременных разговорах G.729 даже в условиях одной комнаты и линка
EG> менее метра.
У меня все разговоры делаются на отдельных железках, линк революшены держат
11мбит/с, а мне в нем надо только 64Кбит/с
EG>>> В разных других железках тоже есть реализации чего-то подобного, в
EG>>> основном на layer2 тоже. Это все выглядит как зачаток механизмов,
EG>>> которые могли бы присутствовать и в самом стеке протоколов TCP/IP.
SO>> Очень сомневаюсь. Именно потому что все они работают на L2 и на одном
SO>> хопе. Да
SO>> и то не очень хорошо.
EG> Я и говорю - рудименты это. Тут поле для фундаментальных исследований.
Я сомневаюсь, что это вообще возможно для линка с непредсказуемой и
варьирующейся задержкой. Hа L2 это боле-менее работает из-за того, что есть
контроль над средой и время прохождения фиксированни и предсказуемо.
EG>>> Hичего хорошего в потребности делать accept() на рабочей станции не
EG>>> вижу.
SO>> Это не единственный возможный способ.
EG> Ты слова-то не экономь :-)
Я не уверен что это реализованно где-либо, но accept на сервере на одном порту
можно делать не один-единственный раз после listen. Идея понятна? :)
... "Кpыша" есть - ума не надо
--- GoldED+/BSD 1.1.5
* Origin: (2:5030/500)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
| Тема: |
Автор: |
Дата: |
|
logo |
sergey belov |
11 Feb 2005 14:09:34 |
 Re: logo |
Valentin Nechayev |
11 Feb 2005 14:38:58 |
  Re: logo |
Vladimir. V. Tsel`m |
11 Feb 2005 16:16:12 |
 Re: logo |
Valentin Nechayev |
12 Feb 2005 01:20:11 |
|
logo |
Andrew Korovin |
11 Feb 2005 14:47:34 |
|
logo |
Artem Ignatiev |
11 Feb 2005 15:31:38 |
|
Re: logo |
Andrew Filonov |
11 Feb 2005 16:08:04 |
|
Re: logo |
Artem Ignatiev |
11 Feb 2005 19:39:55 |
|
Re: logo |
Eugene Grosbein |
12 Feb 2005 01:23:08 |
|
Re: logo |
Alexey V. Tolstenok |
13 Feb 2005 00:53:09 |
|
Re: logo |
vassily ragosin |
11 Feb 2005 17:23:40 |
|
logo |
Lev Serebryakov |
14 Feb 2005 22:26:02 |
|
Re: logo |
Gleb Smirnoff |
15 Feb 2005 02:01:07 |
|
Re: logo |
Valentin Davydov |
15 Feb 2005 12:17:13 |
|
Re: logo |
Gleb Smirnoff |
15 Feb 2005 14:35:50 |
|
logo |
Yuri PQ |
15 Feb 2005 15:50:24 |
|
Re: logo |
vassily ragosin |
16 Feb 2005 07:54:37 |
|
logo |
Lev Serebryakov |
15 Feb 2005 22:28:50 |
|
logo |
Slawa Olhovchenkov |
15 Feb 2005 23:02:54 |
|
logo |
Lev Serebryakov |
16 Feb 2005 09:58:20 |
 logo |
Slawa Olhovchenkov |
16 Feb 2005 10:32:52 |
|
Re: logo |
Eugene Grosbein |
16 Feb 2005 15:10:32 |
|
logo |
Slawa Olhovchenkov |
16 Feb 2005 11:29:38 |
|
Re: logo |
Eugene Grosbein |
16 Feb 2005 16:05:43 |
|
logo |
Slawa Olhovchenkov |
16 Feb 2005 12:23:46 |
|
Re: logo |
Eugene Grosbein |
16 Feb 2005 16:47:02 |
|
logo |
Slawa Olhovchenkov |
16 Feb 2005 13:02:22 |
|
Re: logo |
Eugene Grosbein |
16 Feb 2005 17:19:29 |
|
logo |
Slawa Olhovchenkov |
16 Feb 2005 13:34:12 |
|
Re: logo |
Eugene Grosbein |
16 Feb 2005 18:01:12 |
|
logo |
Slawa Olhovchenkov |
16 Feb 2005 14:17:26 |
|
Re: logo |
Eugene Grosbein |
16 Feb 2005 19:25:58 |
|
logo |
Slawa Olhovchenkov |
16 Feb 2005 15:41:26 |
|
Re: logo |
Eugene Grosbein |
16 Feb 2005 21:54:29 |
|
Re: logo |
Eugene Grosbein |
16 Feb 2005 21:59:50 |
|
logo |
Slawa Olhovchenkov |
16 Feb 2005 18:39:10 |
|
Re: logo |
Eugene Grosbein |
17 Feb 2005 00:18:03 |
|
logo |
Slawa Olhovchenkov |
16 Feb 2005 20:34:52 |
|
logo |
Anatoly Mashanov |
16 Feb 2005 22:36:36 |
    Re: logo |
Eugene Grosbein |
16 Feb 2005 23:40:38 |
|
logo |
Ilya Kulagin |
16 Feb 2005 12:45:01 |
|
Re: logo |
Gleb Smirnoff |
16 Feb 2005 14:32:54 |
|
Re: logo |
Valentin Davydov |
16 Feb 2005 15:40:39 |
|
logo |
Slawa Olhovchenkov |
16 Feb 2005 15:52:40 |
|
Re: logo |
Gleb Smirnoff |
16 Feb 2005 00:28:39 |
|
logo |
Lev Serebryakov |
16 Feb 2005 09:59:08 |
|
Re: logo |
Gleb Smirnoff |
16 Feb 2005 11:54:43 |
|
Re: logo |
Valentin Davydov |
16 Feb 2005 15:40:38 |
|
Re: logo |
Gleb Smirnoff |
16 Feb 2005 16:36:45 |
|
logo |
Yuri PQ |
16 Feb 2005 22:44:18 |
|
Re: logo |
Rashid N. Achilov |
17 Feb 2005 08:36:07 |
|
Re: logo |
Valentin Nechayev |
19 Feb 2005 02:14:40 |
|
Re: logo |
Vladimir. V. Tsel`m |
17 Feb 2005 11:44:22 |
|
Re: logo |
Gleb Smirnoff |
17 Feb 2005 12:10:38 |
|
Re: logo |
Moderator of RU.UNIX.BSD |
19 Feb 2005 02:15:42 |
|
logo |
Lev Serebryakov |
16 Feb 2005 23:04:58 |
|
Re: logo |
Gleb Smirnoff |
17 Feb 2005 12:09:07 |
|
logo |
Slava Alpatov |
18 Feb 2005 12:18:11 |
|
Re: logo |
Gleb Smirnoff |
18 Feb 2005 12:53:53 |
|
Re: logo |
vassily ragosin |
18 Feb 2005 16:39:00 |
|
Re: logo |
Gleb Smirnoff |
17 Feb 2005 14:04:48 |
|
Re: logo |
Andrew Muhametshin |
12 Feb 2005 06:02:57 |
|
|
