Предыдущая тема :: Следующая тема |
Автор |
Сообщение |
kleo
Зарегистрирован: 05.11.2002 Сообщения: 57
|
Добавлено: Сб Авг 24 2002 11:02 Заголовок сообщения: DNS |
|
|
В чем различия "заны прямого просмотра" и "заны обратного просмотра"??? Спасибо заранее... |
|
Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001 Сообщения: 14893 Откуда: Н.Новгород
|
Добавлено: Сб Авг 24 2002 12:07 Заголовок сообщения: Re: DNS |
|
|
Через "прямую зону" получаем по имени хоста его IP-адрес.
Через "обратную зону" получаем по IP-адресу имя хоста.
Зачем так сложно? Ну большинство обращений идет к "прямой зоне", но бывает что знаешь только IP, а нужен еще и имя.
Ну и считается, что если по имени получить IP, а потом проверить по IP имя, то этот хост тот самый, за кого себя выдает. Т.е. IP-адрес не подменен. Простенькая такая защита от подмены IP. Или имени. |
|
Вернуться к началу |
|
|
Dmitry.Karpov http://www. Гость
|
Добавлено: Сб Авг 24 2002 19:15 Заголовок сообщения: Дока по DNS есть у меня на сайте - там это написано. |
|
|
Все на http://www.pi2.ru/prof !!!
Что касается подмены IP-адреса, но записи в DNS от этого не спасают - and3008 не прав. DNS только сообщает доменное имя по IP-адресу и наоборот, а кому принадлежит IP-адрес - не его дело. |
|
Вернуться к началу |
|
|
kleo
Зарегистрирован: 05.11.2002 Сообщения: 57
|
Добавлено: Вс Авг 25 2002 05:25 Заголовок сообщения: Re: Дока по DNS есть у меня на сайте - там это написано. |
|
|
А как спасаться в ентих случаях? Как быть? |
|
Вернуться к началу |
|
|
Dmitry.Karpov http://www. Гость
|
Добавлено: Вс Авг 25 2002 12:58 Заголовок сообщения: От чего защититься? |
|
|
От подмены IP-адреса защититься сложно, поэтому контроль IP-адреса используется только как дополнение к другим видам защиты (прежде всего, парольной); а так IP-адрес никто не проверяет. Собственно, на доверии Шисмомуры к некоторым IP-адресам и позволило Митнику поиметь его...
Основной метод контроля за IP-адресом - привязка его к MAC-адресу, сменить который немного сложнее, чем IP-адрес. Это действует только в локальной сетИ, т.е. это работа админа локальной сетИ. Ну и еще надо гарантировать честность (нежелание захватывать IP-адрес) всех админов по дороге между сервером и клиентом.
Собственно, контроль IP-адреса служит для контроля машины; в домене W'NT/2000 машина идентифицируется не по IP-адресу, а по паролю, с которым машина (W'NT/2000, но не W'9x/Me/XP; именно машина, а не юзер) входит в домен.
Начиная с октября я буду читать курс "Сетевая и компьютерная безопасность" в МФТИ (г.ДолгоПрудный, 40 минут от Савеловского вокзла г.Москвы) - там будут освещаться все эти темы. Приглашаются все жлающие, т.к. это за деньги. Подробности http://cs.mipt.ru |
|
Вернуться к началу |
|
|
ALEX_SE Гость
|
Добавлено: Вс Авг 25 2002 15:23 Заголовок сообщения: Добавлю (+) |
|
|
От простой подмены IP действительно защититься трудно. Единственное межсетевой экран настраивается так что с портов глобальной сети просто не пропускаются пакеты с номерами локальной сети. Потому все межсетевые экраны начиная с класса 4 должны обеспечивать фильтрацию ещё и адресов канального уровня как уже было замечено путем привязки MAC к IP. Экраны класса 3 должны обеспечивать к тому же и фильтрацию запросов установления виртуальных соединений и фильтрацию попыток соединений прикладного уровня. Про классы 2 и 1 я вообще не говорю. |
|
Вернуться к началу |
|
|
Dmitry.Karpov http://www. Гость
|
Добавлено: Вс Авг 25 2002 21:26 Заголовок сообщения: Дополнение вдогонку: Еще один способ повышения качества работы сетИ - сегментация роутерами: |
|
|
Очень сложно защитить свою сеть от подменя IP-адресов вне сетИ, но очень просто защитить чужие сети от подмены IP-адресов моими пользователями - достаточно поставить простейшую фильтрацию IP-пакетов по адресу источника. К сожалению, мало кто заботится этой проблемой.
Еще один способ повышения качества работы сетИ - сегментация роутерами: - Подделать IP-адрес из своего сегмента легко, из чужого сегмента - на порядок сложнее. - Сегментация также позволяет бороться с атаками по протоколам ARP и DHCP. - Ну и еще IP-сегментация уменьшает трафик от широковещательных сообщений, которые проходят сквозь свичи и IPX-роутеры. |
|
Вернуться к началу |
|
|
|