Egress filtering в локальных подсетях

Тема в разделе "WASM.NETWORKS", создана пользователем Son of God, 30 апр 2006.

  1. Son of God

    Son of God New Member

    Публикаций:
    0
    Регистрация:
    11 сен 2005
    Сообщения:
    125
    Какова вероятность того, что интернет-провайдеры применяют фильтрование исходящих пакетов (egress filtering) с неправильным source address на каждой подсети? Другими словами, стоит ли при ip spoofing менять только биты, отвечающие за адрес хоста в подсети или же можно менять биты, отвечающие за адрес хоста в целой сети?
     
  2. TermoSINteZ

    TermoSINteZ Синоби даоса Команда форума

    Публикаций:
    2
    Регистрация:
    11 июн 2004
    Сообщения:
    3.553
    Адрес:
    Russia
    Думаю это внутри сети не используется, а снаружу обычно VPN, а там не подменишь так просто. (это все справедливо для Ehtrnet сети)
     
  3. Son of God

    Son of God New Member

    Публикаций:
    0
    Регистрация:
    11 сен 2005
    Сообщения:
    125
    А какие могут возникнуть проблемы при отправке пакета с измененным source address через VPN-соединение?
     
  4. r90

    r90 New Member

    Публикаций:
    0
    Регистрация:
    26 ноя 2005
    Сообщения:
    898


    я даже не знаю, как оценить эту величину... Например, у нас в локалке вся идентификация пользователей (надо же знать с кого деньги снимать за интернет, или кому по голове стучать за распространение какого-нибудь червя) основана на привязке на свитчах MAC-IP-порт -- дык ни о каком спуфинге речи не идёт.
     
  5. TermoSINteZ

    TermoSINteZ Синоби даоса Команда форума

    Публикаций:
    2
    Регистрация:
    11 июн 2004
    Сообщения:
    3.553
    Адрес:
    Russia
    Вот именно . Тут надо тунель строит на внешнюю в сети машину\хостинг. Либо обходить VPN безопасность. Хотя сразу скажу, что я не знаю как :)
     
  6. Son of God

    Son of God New Member

    Публикаций:
    0
    Регистрация:
    11 сен 2005
    Сообщения:
    125




    А как у вас осуществляется доступ в Интернет? Через VPN или прямой?
     
  7. TermoSINteZ

    TermoSINteZ Синоби даоса Команда форума

    Публикаций:
    2
    Регистрация:
    11 июн 2004
    Сообщения:
    3.553
    Адрес:
    Russia
    У меня раньше через VPN было. сейчас перевели на PPPoE. Там вообще ниче нормально даже внутри локалки не поспуффишь...
     
  8. Son of God

    Son of God New Member

    Публикаций:
    0
    Регистрация:
    11 сен 2005
    Сообщения:
    125
    Понял, спуфинг отпадает...
     
  9. EvilsInterrupt

    EvilsInterrupt Постигающий азы дзена

    Публикаций:
    0
    Регистрация:
    28 окт 2003
    Сообщения:
    2.428
    Адрес:
    Russia
  10. r90

    r90 New Member

    Публикаций:
    0
    Регистрация:
    26 ноя 2005
    Сообщения:
    898


    В общих чертах, это выглядит так. Стоит шлюз, правила маршрутизации которого напрямую зависят от состояния счёта соответствующего ip адресу отправителя (там видать какие-то скрипты, переписывающие правила, по cron'у запускаются), и отдельных настроек, доступных пользователю, типа наличия реального ip. Шлюз работает с ip адресами вида 192.168.*.*, исходя из предположения, что ежели пришёл пакет с src_addr==192.168.0.1, то этот пакет именно c 192.168.0.1. Ну а соответствие этого предположения действительности, обеспечивается умными свитчами.