Архив форумов ЦИТФорума

[kleo]

В чем различия "заны прямого просмотра" и "заны обратного просмотра"???
Спасибо заранее...

[and3008]

Через "прямую зону" получаем по имени хоста его IP-адрес.

Через "обратную зону" получаем по IP-адресу имя хоста.

Зачем так сложно?
Ну большинство обращений идет к "прямой зоне", но бывает что знаешь только IP, а нужен еще и имя.

Ну и считается, что если по имени получить IP, а потом проверить по IP имя, то этот хост тот самый, за кого себя выдает. Т.е. IP-адрес не подменен.
Простенькая такая защита от подмены IP. Или имени.

[Dmitry.Karpov http://www.]

Все на http://www.pi2.ru/prof !!!

Что касается подмены IP-адреса, но записи в DNS от этого не спасают - and3008 не прав. DNS только сообщает доменное имя по IP-адресу и наоборот, а кому принадлежит IP-адрес - не его дело.

[kleo]

А как спасаться в ентих случаях? Как быть?

[Dmitry.Karpov http://www.]

От подмены IP-адреса защититься сложно, поэтому контроль IP-адреса используется только как дополнение к другим видам защиты (прежде всего, парольной); а так IP-адрес никто не проверяет. Собственно, на доверии Шисмомуры к некоторым IP-адресам и позволило Митнику поиметь его...

Основной метод контроля за IP-адресом - привязка его к MAC-адресу, сменить который немного сложнее, чем IP-адрес. Это действует только в локальной сетИ, т.е. это работа админа локальной сетИ. Ну и еще надо гарантировать честность (нежелание захватывать IP-адрес) всех админов по дороге между сервером и клиентом.

Собственно, контроль IP-адреса служит для контроля машины; в домене W'NT/2000 машина идентифицируется не по IP-адресу, а по паролю, с которым машина (W'NT/2000, но не W'9x/Me/XP; именно машина, а не юзер) входит в домен.

Начиная с октября я буду читать курс "Сетевая и компьютерная безопасность" в МФТИ (г.ДолгоПрудный, 40 минут от Савеловского вокзла г.Москвы) - там будут освещаться все эти темы. Приглашаются все жлающие, т.к. это за деньги. Подробности http://cs.mipt.ru

[ALEX_SE]

От простой подмены IP действительно защититься трудно. Единственное межсетевой экран настраивается так что с портов глобальной сети просто не пропускаются пакеты с номерами локальной сети. Потому все межсетевые экраны начиная с класса 4 должны обеспечивать фильтрацию ещё и адресов канального уровня как уже было замечено путем привязки MAC к IP. Экраны класса 3 должны обеспечивать к тому же и фильтрацию запросов установления виртуальных соединений и фильтрацию попыток соединений прикладного уровня. Про классы 2 и 1 я вообще не говорю.

[Dmitry.Karpov http://www.]

Очень сложно защитить свою сеть от подменя IP-адресов вне сетИ, но очень просто защитить чужие сети от подмены IP-адресов моими пользователями - достаточно поставить простейшую фильтрацию IP-пакетов по адресу источника. К сожалению, мало кто заботится этой проблемой.

Еще один способ повышения качества работы сетИ - сегментация роутерами:
- Подделать IP-адрес из своего сегмента легко, из чужого сегмента - на порядок сложнее.
- Сегментация также позволяет бороться с атаками по протоколам ARP и DHCP.
- Ну и еще IP-сегментация уменьшает трафик от широковещательных сообщений, которые проходят сквозь свичи и IPX-роутеры.