Компания Independent Security Evaluators опубликовала (http://securityevaluators.com//content/case-studies/routers/...) результаты исследования безопасности наиболее популярных моделей беспроводных маршрутизаторов для домашних пользователей и небольших офисов. В результате, во всех рассмотренных 13 моделях устройств выявлены уязвимости, позволяющие атакующему получить полный контроль над конфигурацией маршрутизатора или обойти средства аутентификации.
Среди рассмотренных в исследовании устройств отмечаются различные модели беспроводных маршрутизаторов Asus, D-Link, TP-Link, Netgear, Linksys, Belkin, Verizon Actiontec и 5 пока не афишируемых устройств для которых ещё не выпущены обновления прошивки с устранением уязвимостией. Во всех устройствах найдены проблемы, позволяющие получить доступ из внутренней локальной сети, в 4 случаях для получения управления не требовалась аутентификация. Для 11 из 13 устройств удалось выявить способы совершения атак через внешний интерфейс, при этом две атаки могли быть совершены без активной управляющей сессии.
Из возможных векторов атак упоминается перехват и изменение транзитного трафика пользователя (сбор паролей и конфиденциальных данных, MITM-атаки), установка компонентов для совершения вредоносных действий (участие в DDoS-атаках, рассылка спама), использование в качестве форпоста для проведения атак на внутреннюю сеть, находящуюся за границей межсетевого экрана или NAT.
С учетом трудности обнаружения проникновения злоумышленников на SOHO-маршрутизиторы, атаки на подобные устройства рассматриваются как перспективное и ещё недостаточно проработанное направление деятельности злоумышленников. Проблему усугубляет то, что производители достаточно неохотно выпускают обновления прошивок, часто игнорируют сообщения о возможных уязвимостях и не информируют пользователей о важных обновлениях. В свою очередь, пользователи не рассматривают маршрутизатор как возможный источник угрозы и в очень редких случаях устанавливают обновления прошивок.Для снижения риска атак пользователям SOHO-маршрутизаторов даны следующие рекомендации:
- Регулярное обновление прошивки;- Загрузка прошивки только с сайта производителя;
- Замена штатной прошивки на открытые дистрибутивы <a href="http://www.dd-wrt.com/site/index">DD-WRT</a>, <a href="http://www.polarcloud.com/tomato" >Tomato</a> или <a href="https://openwrt.org/">OpenWRT</a>;- Отключение средств удалённого администрирования;
- Отключение встроенных сетевых сервисов, таких как FTP, SMB и UPnP;
- Завершение сеанса и перезагрузка устройства после выполнения действий в административном интерфейсе;
- Чистка Cookie в браузере после работы в управляющем web-интерфейсе;
- Выбор нестандартных диапазонов адресов для внутренней сети;
- При возможности включение и использование HTTPS (для всех рассмотренных устройств HTTPS был отключен по умолчанию);
- Использование WPA2-шифрования в беспроводной сети;
- Выбор нестандартного логина и надёжного пароля;
- При наличии в устройстве межсетевого экрана, блокирование входящих соединений к устройству из вне;
- Для пользователей локальной сети даны рекомендации не игнорировать предупреждения браузера о потенциальных MITM-атаках и не переходить по подозрительным ссылкам (например, в которых фигурирует адрес 192.168.1.1).URL: http://news.cnet.com/8301-1009_3-57579981-83/top-wi-fi-route.../
Новость: http://www.opennet.me/opennews/art.shtml?num=36741
> использование в качестве форпоста для проведения атак на внутреннюю сеть, находящуюся за границей межсетевого экрана или NAT.Тем временем, идейные противники IPv6 продолжают утверждать, что любой роутер с NAT является непробиваемой защитой от атак извне.
непробиваем, увы, только идиотизм фанбоев IPv6.
> непробиваем, увы, только идиотизм фанбоев IPv6.Фанбоев у IPv6 я как-то не видел. Однако, протокол хорош хотя бы тем, что несколько разгрузит роутеры от пересборки фрагментированных пакетов и пересчета чексум после каждого хопа. А так же вернет интернет в то состояние, которое проектировалось изначально - двусторонняя связь. Еще из плюсов можно назвать автоматическую агрегацию маршрутов на бордерах, что уменьшит таблицу маршрутизации, которая в ipv4 уже разрослась до 445721 маршрута. В сравнении, текущий RIB для ipv6 составляет 12117 маршрутов (да, еще будет расти, разумеется). Префиксы меньше /48 вообще никто не анонсирует, в отличие от кучи сетей по /24 в ipv4. А теперь аргументированно назовите кто-нибудь минусы ipv6, перевешивающие описанные плюсы.
> Однако, протокол хорош хотя бы тем, что несколько разгрузит роутеры от пересборки фрагментированных пакетов и пересчета чексум после каждого хопа.Нет.
> А так же вернет интернет в то состояние, которое проектировалось изначально - двусторонняя связь
Нет.
> Еще из плюсов можно назвать автоматическую агрегацию маршрутов на бордерах, что уменьшит таблицу маршрутизации, которая в ipv4 уже разрослась до 445721 маршрута.
3 раза нет.
>> Однако, протокол хорош хотя бы тем, что несколько разгрузит роутеры от пересборки фрагментированных пакетов и пересчета чексум после каждого хопа.
> Нет.
>> А так же вернет интернет в то состояние, которое проектировалось изначально - двусторонняя связь
> Нет.
>> Еще из плюсов можно назвать автоматическую агрегацию маршрутов на бордерах, что уменьшит таблицу маршрутизации, которая в ipv4 уже разрослась до 445721 маршрута.
> 3 раза нет.А аргументация будет?
> А аргументация будет?Любая книжка по маршрутизации. У меня нет времени на обучение всех "заблудуших".
>> А аргументация будет?
> Любая книжка по маршрутизации. У меня нет времени на обучение всех "заблудуших".Спасибо, слив засчитан. Держу в руках сейчас http://www.infoweapons.com/content/free-ipv6-book-second-int... подтверждающую все сказанное мной. Лучше сами ее прочитайте, в конце концов.
>>> А аргументация будет?
>> Любая книжка по маршрутизации. У меня нет времени на обучение всех "заблудуших".
> Спасибо, слив засчитан. Держу в руках сейчас http://www.infoweapons.com/content/free-ipv6-book-second-int...
> подтверждающую все сказанное мной. Лучше сами ее прочитайте, в конце концов.Надеюсь вы его себе защитали? После фразы:
> А так же вернет интернет в то состояние, которое проектировалось изначально - двусторонняя связь
Можно дальше не говорить. http://ru.wikipedia.org/wiki/Unicast
>>> А аргументация будет?
>> Любая книжка по маршрутизации. У меня нет времени на обучение всех "заблудуших".
> Спасибо, слив засчитан. Держу в руках сейчас http://www.infoweapons.com/content/free-ipv6-book-second-int...
> подтверждающую все сказанное мной. Лучше сами ее прочитайте, в конце концов.спасибо, поблевал. не успел открыть - вижу:
4G requires a “flat” IP infrastructure (no NAT), which can only be accomplished with IPv6.люди с такой кашей в голове еще книжки пишут. это просто праздник какой-то.
In the Second Internet, anyone can be a prosumer (producer and consumer). NAT was a necessary evil to keep things going until the Second Internet was ready to be rolled out.вот оно как, Михалыч. и вебдванольчики кровавые в глазах.
> вот оно как, Михалыч. и вебдванольчики кровавые в глазах.Еще скажите что нат не корежит исходную протокольную логику. На что только не пойдет форумная троллота чтобы оправдать свой кретинизм в терминальной стадии.
Да, вы только представьте себе, изначально в семействе протоколов TCP/IP нет никакого деления на клиенты и серверы и в общем то все узлы равноправны. В том плане кто к кому соединяться может. Это изначальная протокольная логика. То что айпишников перестало хватать на всех, а некоторые ушлепаны хронически путают stateful firewall и NAT - еще не показатель того что интернет так и был задуман.
> Да, вы только представьте себе, изначально в семействе протоколов TCP/IP нет никакого
> деления на клиенты и серверыто-то tcp-сокет может быть или клиентским, или серверным, но не тем и другим одновременно. видимо, это оттого, что жопа есть, а слова нет.
Расслабьтесь. Не TCP единым. Как минимум UDP сокет может (и не только). Но вы видимо не в курсе.
> Расслабьтесь. Не TCP единым. Как минимум UDP сокет может (и не только).
> Но вы видимо не в курсе.я специально для даунов три буквы вписал. но дауны читать не умеют, дауны сразу бегут Обличать.
А на TCP мир не заканчивается. Сам по себе IP, кстати, вообще p2p-style протокол. Ах, ну да, у вас же в мире 640 кило и TCP хватит всем. Правда малопонятно почему один конкретный TCP надо выпятить над остальныи payload'ами IP. Это к вопросу о корежинге протокольной логики. Логика IP корежится просто адски. И половина протоколов NAT вообще не пройдет. NAT должен явно знать как трекать протокол, что является тем еще костылем.
ну это же не я написал «протокол TCP/IP». было бы написано «протокол IP» — я бы слова не сказал, молчал себе.
> то-то tcp-сокет может быть или клиентским, или серверным,Ну в TCP кто-то должен открывать соединение а кто-то принимать его. Вот работает допустим torrent. Он и клиент и сервер. Вот как-то так изначально TCP/IP и задумывался, что любой может и слушать и конектиться. Да и после конекта TCP лишь двунаправленная труба и кто там первый начал - в общем то весьма формальное отличие. Возникающее лишь потому что кто-то должен начинать, как ни крути. В UDP различие еще более эфемерное. По факту оно изначально подразумевает равноправные узлы которые могут быть как инициаторами так и слушателями.
> но не тем и другим одновременно. видимо, это оттого, что жопа есть, а слова нет.
Не, просто чисто технически кто-то должен выступить с инициативой первым. По изначальной задумке все узлы могут и так и сяк. А нат уже корежит эту логику. При том сильно - софт будет думать что он может принимать соединения, а по факту - болт. За такое насилие над протокольной логикой - руки обрубать. Авторам софта приходится жутко изгаляться чтобы вообще понять - а работает ли это по факту, какой там именно нат по пути, как это костылировать и прочая. ПесецЪ.
так я всё-таки не понял: есть слово или нет? если есть клиентский и серверный режимы — то есть. иначе — ок, нет. ты признаёшь, что таки есть. ну да, с танцами и оговорками, но таки признаёшь.есть соединение — есть и клиент-серверная система. а то, что аппарат есть — не значит, что насильник.
Сервер и сокет — разные слова и понятия.
> так я всё-таки не понял: есть слово или нет?Есть, однако оно никак не обязывает разделять роли именно на уровне узлов. То-есть, ничему не противоречит если узел и клиент и сервер одновременно. Как торрент, например. В UDP все еще эфемернее, а сам IP - и вовсе довольно симметричный в этом плане.
По поводу чего нат таки выглядит бельмом на глазу исходной логики заложенной в протоколы семейства IP. Будешь с этим спорить? :)
> если есть клиентский и серверный режимы — то есть. иначе — ок, нет. ты
> признаёшь, что таки есть. ну да, с танцами и оговорками, но таки признаёшь.В некоторых протоколах - есть. В некоторых - нет. В некоторых - "хрен поймешь".
> есть соединение — есть и клиент-серверная система. а то, что аппарат есть
> — не значит, что насильник.Иди, расскажи торренту например о клиент-серверной модели. Формально там есть слушающий сокет и инициатор-"клиент". Реально протокол торрента с точки зрения его логики совершенно индиферентен к тому было ли это соединение входящим на его порт или же оно было собственной инициативой. На протокольную логику в этой трубе сие влияет крайне слабо (в плане того кто у кого что попросит и кто чего обслужит). По факту после начального хэндшейка есть вполне симметричная двусторонняя труба. Ничему не противоречит если принимавший соединение первым начнет коммуникации и что-то запросит у инициатора соединения, так что далее сломаешь мозг - кого там за сервер при таком раскладе считать :)
интересная логика. если некто умеет ходить на руках, то получается, что ходить на ногах — это просто такая прихоть. всё, задолбался я, что-то нет сегодня настроения «перепёрдываться» (чудесный термин, которым мы в своё время обозначали тупизм двух роботов в Nether Earth: когда их разделяет стена, они друг друга видят, потому что головы выше стены, но фазерами лупят именно в стену; а обойти ни один не хочет).
> фазерами лупят именно в стену; а обойти ни один не хочет).Ха-ха, какое хорошее описание картины :)
спасибо за прекрасный пример крававого вебдванольчика.> Еще скажите что нат не корежит исходную протокольную логику. На что только
> не пойдет форумная троллота чтобы оправдать свой кретинизм в терминальной стадии.если в 21 веке авторы протокола доси закладываются на то, что у них есть конец-в-конец коннективити, такой протокол должен умереть а)медленно б)в страданиях.
> Да, вы только представьте себе, изначально в семействе протоколов TCP/IP нет никакого
> деления на клиенты и серверы и в общем то все узлы
> равноправны. В том плане кто к кому соединяться может. Это изначальная
> протокольная логика. То что айпишников перестало хватать на всех, а некоторые
> ушлепаны хронически путают stateful firewall и NAT - еще не показатель
> того что интернет так и был задуман.вообще не понял, к чему эта церебральная эякуляция. общеизвестно, что нормальные люди придумывают для гиковских штучек такие применения, что гикам даже и в голову прийти не могло. пример - приватные сети, например. понятно, что гику непонятно, как это - иметь сетку, которая не роутится в ВЕСЬ БОЛЬШОЙ ИНТЕРНЕТ.
> если в 21 веке авторы протокола доси закладываются на то, что у
> них есть конец-в-конец коннективити, такой протокол должен умереть а)медленно б)в страданиях.Не, это те кто корежит протокольную логику должны даже не умереть. А просто постоянно жариться на сковородке в аду. Убить - слишком гуманно. Только вечные мучения за создание проблем другим людям и протоколам. Только хардкор.
> гику непонятно, как это - иметь сетку, которая не роутится в ВЕСЬ БОЛЬШОЙ ИНТЕРНЕТ.
Да пусть себе не роутится. Просто это не считается интернетом и там вообще интернетовский софт работать не должен. Можете хоть голубиной почтой пакеты передавать. Просто нефиг тогда своими костылями и обрубками в интернет отсвечивать.
>> гику непонятно, как это - иметь сетку, которая не роутится в ВЕСЬ БОЛЬШОЙ ИНТЕРНЕТ.
> Да пусть себе не роутится. Просто это не считается интернетом и там
> вообще интернетовский софт работать не должен. Можете хоть голубиной почтой пакеты
> передавать. Просто нефиг тогда своими костылями и обрубками в интернет отсвечивать.не останавливайтесь, это прекрасно. значит, говорите, в приватных сетках IP протокол не должен работать, я правильно понимаю?
> не останавливайтесь, это прекрасно. значит, говорите, в приватных сетках IP протокол не
> должен работать, я правильно понимаю?Ну, если вы хотите 143% защиты - используйте в локалке свой стек протоколов. Кто ж вам мешает?
> не останавливайтесь, это прекрасно. значит, говорите, в приватных сетках IP протокол не
> должен работать, я правильно понимаю?Скажем так - не обязан.
> в приватных сетках IP протокол не должен работать, я правильно понимаю?Совершенно не обязан. В общем случае в приватной сети может работать любой протокол. А что, давайте задвинем про то что IPX или сообщения по шине CAN или модбасу не роутятся напрямую в интернет? :)
>> в приватных сетках IP протокол не должен работать, я правильно понимаю?
> Совершенно не обязан. В общем случае в приватной сети может работать любой
> протокол./0
> гику непонятно, как это - иметь сетку, которая не роутится в ВЕСЬ БОЛЬШОЙ ИНТЕРНЕТ.Если у вас есть коннективити с интернетом, то чем вам помешает роутинг вашей сети в интернет? Еще раз, для упертых: если у вас есть коннективити, то какая же это "приватная сетка"? Отрубайте WAN интерфейс и вы будете защищены от интернета на 100%. Это не "прихоть" гиков, это то, как проектировалось семейство протоколов IP. Прихоть - это использование механизма NAT для защиты, вместо его прямой цели - расширения адресного пространства.
Запомните дети:
1. NAT служит для расширения адресного пространства.
2. Для защиты "условно приватных" сетей есть Stateful Firewall.Если уж так сложилось, что у вас нет достаточно public IP, то не надо говорить, что NAT защищает вас от интернета, и что вам не нужны и никогда не понадобятся public IP. NAT делает свое дело. Дополнительная "защита" это побочный эффект. Отказ от файрвола в этом случае - не самое мудрое решение.
Тыдыщь! в тредик врывается еще один мальчик вебдванольчик, который считает, что приватные адреса - для лузеров, которым не досталось паблик адресов.мальчик-вебдванольчик лучше меня знает, что и как мешает мне в моей сетке:
> Если у вас есть коннективити с интернетом, то чем вам помешает роутинг
> вашей сети в интернет? Еще раз, для упертых: если у вас
> есть коннективити, то какая же это "приватная сетка"? Отрубайте WAN интерфейс
> и вы будете защищены от интернета на 100%. Это не "прихоть"
> гиков, это то, как проектировалось семейство протоколов IP. Прихоть - это
> использование механизма NAT для защиты, вместо его прямой цели - расширения
> адресного пространства.всем тихо! пришел отец, он нас щас осчастливит великим знанием:
> Запомните дети:
> 1. NAT служит для расширения адресного пространства.вот оно как, Михалыч. запомните, дети, и передайте другим - хотите расширить адресное пространство - используйте NAT. Понять это невозможно, но можно запомнить.
Мальчик вебдванольчик даже лучше меня знает, что я говорил:
> Если уж так сложилось, что у вас нет достаточно public IP, то
> не надо говорить, что NAT защищает вас от интернета, и что
> вам не нужны и никогда не понадобятся public IP. NAT делает
> свое дело. Дополнительная "защита" это побочный эффект. Отказ от файрвола в
> этом случае - не самое мудрое решение.на всякий случай перечитал три раза тредик - так и не нашел, где я говорил о "NAT защищает вас от интернета", а также, что мне не нужны или не понадобятся паблик IP. Но с другой стороны, кто я такой, чтобы спорить с голосами в голове мальчика вебдванольчика? "Запомните дети!"
Тю, сколько снобизма и кача ЧСВ. Вам что, не дали и вы тут отыгрываетесь?
Михаил Борисович, залогиньтесь
> А аргументация будет?10 раз нет.
IPv6 дизайнили идиоты. nuff said, собственно.я при этом ни разу не против расширения диапазона адресов, конечно. но совершенно не заинтересован ни в дискусии по поводу того, чем хорош/плох IPv6 (всё, другого не будет, это факт; любые дискуссии по этому поводу — пустая трата времени), ни в применении оного IPv6 на практике (надеюсь, повсеместный переход произойдёт ещё не скоро).
> Однако, протокол хорошIPV4:
- Вася, какой там адрес у сетевого принтера у тёти Мани?
- 10.100.1.128IPV6:
- Вася, какой там адрес у сетевого принтера у тёти Мани?
- 2001:0db8:85a3:0000:0000:8a2e:0370:7334
Enjoy ur IPV6.
а вот это уже неизбежное зло. как ты представляешь себе расширение диапазона адресов с сохранением любимых четырёх чисел?p.s. а вот разделять их двоеточием придумал даун.
> p.s. а вот разделять их двоеточием придумал даун.Еще больший даунизм - то что возможно несколько форм записи. И не совсем тривиальные сокращения.
>> p.s. а вот разделять их двоеточием придумал даун.
> Еще больший даунизм - то что возможно несколько форм записи. И не
> совсем тривиальные сокращения.ну, это там всё вместе. куча даунов порезвилась.
>> p.s. а вот разделять их двоеточием придумал даун.
> Еще больший даунизм - то что возможно несколько форм записи. И не
> совсем тривиальные сокращения.В IPv4, внезапно, тоже есть несколько форм записи.
Примеры:
$ ping 127.1
PING 127.1 (127.0.0.1) 56(84) bytes of data.
64 bytes from 127.0.0.1: icmp_req=1 ttl=64 time=0.027 ms
--- 127.1 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 0.027/0.027/0.027/0.000 ms$ ping 812832123
PING 812832123 (48.114.213.123) 56(84) bytes of data.
^C
--- 812832123 ping statistics ---
2 packets transmitted, 0 received, 100% packet loss, time 1007msТоже ушлепки придумали?
Разделение двоеточием компенсируется заключение ipv6 адреса в [].
Вы хоть почитайте, насколько ipv6 логичнее (без бл*дского CIDR - кто суммировал вручную маршруты на бордерах, поймет), проще в администрировании и использовании для конечных пользователей. А давать пользователям прямой доступ к ip адресам вообще, вместо использования dns - в принципе плохая затея. Поэтому пример с принтером должен выглядеть как "Вась, как звать принтер?" "- hp2.localdomain.local, Мань", а во что оно там отрезолвится, дело десятое.
> Вы хоть почитайте, насколько ipv6 логичнее (без бл*дского CIDR - кто суммировал
> вручную маршруты на бордерах, поймет)Я суммировал и не понимаю, в каком месте ipv6 логичнее? IPv6 -- это набор костылей.
> а вот это уже неизбежное зло. как ты представляешь себе расширение диапазона
> адресов с сохранением любимых четырёх чисел?
> p.s. а вот разделять их двоеточием придумал даун.Добавить пару-тройку чисел? XXX.XXX.XXX.XXX.XXX.XXX - и всё. При большом желании можно даже обратную совместимость сохранить. И обойтись без HEX, делающих адрес нечитаемым и непроизносимым.
> Добавить пару-тройку чисел?ага. для 128 бит. однозначно, пары-тройки хватит. и нет, «да ладно, 48 бит не закончатся!» мы уже проходили.
>> Добавить пару-тройку чисел?
> ага. для 128 бит. однозначно, пары-тройки хватит. и нет, «да ладно, 48
> бит не закончатся!» мы уже проходили.Будем решать проблемы по мере поступления ;-)
> Будем решать проблемы по мере поступления ;-)ну вот 128-битное адресное пространство одну проблему решает *очень* надолго. и это, в общем-то, правильный подход. потому что временные хаки, увы — самые долговечные штуки на свете.
>> Будем решать проблемы по мере поступления ;-)
> ну вот 128-битное адресное пространство одну проблему решает *очень* надолго. и это,
> в общем-то, правильный подход. потому что временные хаки, увы — самые
> долговечные штуки на свете.напомните, коллега, какую проблему решает 128-разрядное адресное пространство? Проблему идиотов в иана, раздававших /8 всяким ушлепкам, или проблему кретинов, купивших домой роутер, и считающих, что за эти деньги им просто обязаны роутингом в мир?
да, это программное решение биологической проблемы. к сожалению, уничтожить всех идиотов нельзя, поэтому приходится дизайнить с рассчётом на них.
я фигею с таких людей как ты, считающими себя "небыдлом" и "недауном".
> напомните, коллега, какую проблему решает 128-разрядное адресное пространство? Проблему
> идиотов в иана, раздававших /8 всяким ушлепкам, или проблему кретинов, купивших
> домой роутер, и считающих, что за эти деньги им просто обязаны
> роутингом в мир?То есть, пусть живут без этого самого роутинга, это не проблема? Проблема — это если им дают то, что им нужно?
Про /8 можно забыть, проблема была бы и если бы адресное пространство распределялось самым оптимальным образом. Количество адресов в IPv4, как их ни распределяй, не может превышать 2^32 = 4294967296, что меньше населения Земли.
> То есть, пусть живут без этого самого роутинга, это не проблема? Проблема
> — это если им дают то, что им нужно?
> Про /8 можно забыть, проблема была бы и если бы адресное пространство
> распределялось самым оптимальным образом. Количество адресов в IPv4, как их ни
> распределяй, не может превышать 2^32 = 4294967296, что меньше населения Земли.да. меньше. какое отношение имеет количество адресов в IPv4 к населению Земли?
> да. меньше. какое отношение имеет количество адресов в IPv4 к населению Земли?сомалийцам адресов не хватает. они от этого и пиратством промышлять стали.
>> да. меньше. какое отношение имеет количество адресов в IPv4 к населению Земли?
> сомалийцам адресов не хватает. они от этого и пиратством промышлять стали.127.0.0.0/8 хватит на всех.
> 127.0.0.0/8 хватит на всех.А теперь сделай так чтобы оно на всех роутилось :)
> да. меньше. какое отношение имеет количество адресов в IPv4 к населению Земли?А что, ими пользуется население какой-то другой планеты?
>> да. меньше. какое отношение имеет количество адресов в IPv4 к населению Земли?
> А что, ими пользуется население какой-то другой планеты?да судя по некоторым каментам - таки да, другой. и IP у них там какой-то неземной, вон мне уже рассказывают, что он в сетях с приватными адресами работать не обязан. я молчу, чтобы не спугнуть, слежу с чисто исследовательским интересом, как оно у них там?
PS я так полагаю, девелоперы третьегнома были только разведотрядом, теперь основные силы подтягиваются.
>> да. меньше. какое отношение имеет количество адресов в IPv4 к населению Земли?
> А что, ими пользуется население какой-то другой планеты?А тепрь давай умножим это число 2^32 на 2^24 миллионов (10/8), как в случае с NAT, хватает?
Хватает, но создаёт проблемы. Ну вот например человек хочет поиграть в CS с другом. Оба за NAT у провайдера. Решения два: абонентская плата за белый IP или внедрение IPv6 и бесплатный белый IP каждому пользователю.
я тебя сейчас сильно удивлю: решений больше, чем те два, о которых ты знаешь.
> Будем решать проблемы по мере поступления ;-)- это самый лучший способ обеспечить экспоненциальный рост числа проблем ;)
> И обойтись без HEX,Чтобы народ окончательно обуел от длины адреса?
> делающих адрес нечитаемым и непроизносимым.Вот ведь блин, как же это шахматисты то адресуют свои E2-E4? Там даже поболее будет :)
не использовать днс когда это возможно может только даун. по поводу двоеточий -- да какая тебе разница чем они отделяются.
Левая часть всех внутренних адресов будет очевидно одинаковой, это несколько облегчит задачу. Ну и, вообще говоря, DNS никто не отменял.
более того для внутренних адресов, их какбе можно забить внутри нулями, так что всё сократится до адресов вида fd00::9. или использовать приколы типа fd00:dead:beef::9 ;)
tetyoa-manya.local
> tetyoa-manya.localМожет, еще и использовать avahi предложите?
>> tetyoa-manya.local
> Может, еще и использовать avahi предложите?предложу тебе пойти сожрать дерьма
> IPV4:
> - Вася, какой там адрес у сетевого принтера у тёти Мани?
> - 10.100.1.128Люди, не использующие DNS для тех целей, для которых он предназначен - явно хотят страдать. Так зачем мешать им в этом?
>> IPV4:
>> - Вася, какой там адрес у сетевого принтера у тёти Мани?
>> - 10.100.1.128
> Люди, не использующие DNS для тех целей, для которых он предназначен -
> явно хотят страдать. Так зачем мешать им в этом?В домашней сети обязательно иметь DNS? Запись /64 сетки в DNS сколько дней займет,прикинь?
> В домашней сети обязательно иметь DNS?Желательно.
>> непробиваем, увы, только идиотизм фанбоев IPv6.
> Фанбоев у IPv6 я как-то не видел.Посмотри в зеркало.
Однако, протокол хорош хотя бы
> тем, что несколько разгрузит роутеры от пересборки фрагментированных пакетов и пересчета
> чексум после каждого хопа.- Заголовок во сколько раз стал длинее?
- С 20 до 36 октетов.
- Фрагментация пакетов на сколько увеличилась?
- 1500/(16*8)=11,7%.
- Может быть в 2L чексуммы считать не нужно?
- Нужно.
- Зачем тогда считать чексуммы в 3L?
- Чтобы не считать их на более высоких уровнях, например в UDP.> А так же вернет интернет в то
> состояние, которое проектировалось изначально - двусторонняя связь.Фантазию принято подкреплять ссылками. Широковещательный трафик никак не двухстороняя связь.
> Еще из плюсов можно
> назвать автоматическую агрегацию маршрутов на бордерах, что уменьшит таблицу маршрутизации,Автоматическая агрегация есть и в IPv4. Вот например сети 192.168.0.0/30 , 192.168.0.4/30
легко агрегируются до 192.168.0.0/24 или даже до 192.168.0.0/16.Другое дело, что в IPv6 сеть без агрегации не влезит ни в какую память.
> которая в ipv4 уже разрослась до 445721 маршрута.
Что это за маршруты? fullview?
>В сравнении, текущий
> RIB для ipv6 составляет 12117 маршрутов (да, еще будет расти, разумеется).Доля IPv6 при этом составляет?
- 0.02%> Префиксы меньше /48 вообще никто не анонсирует, в отличие от кучи
> сетей по /24 в ipv4. А теперь аргументированно назовите кто-нибудь минусы
> ipv6, перевешивающие описанные плюсы.Один жирный минус, несовместимость с IPv4.
> непробиваем, увы, только идиотизм фанбоев IPv6.Почему же, кретины путающие NAT со stateful firewall'ом успешно борятся за первое место Специальной Олимпиады.
> Почему же, кретины путающие NAT со stateful firewall'ом успешно борятся за первое
> место Специальной Олимпиады.Некоторые даже пытаются доказывать, что в линуксе stateful firewall является надстройкой над NAT, а не наоборот.
В линуксе есть ip rule, ip route, netfilter/iptables и tc. Первые два (грубо говоря) отвечают за роутинг, т.е. принятие routing decision.
Последний - за шейпинг. То есть за время отправки пакета. А вот netfilter/iptables, кроме того, что умеет Statefull-Firewallить, умеет еще кучу всего, так что говорить кто там над кем надстройка - не вполне корректно, imho.
Тем временем, идейные противники противников IPv6 по прежнему считают, что смена протокола спасёт от уязвимостей и паролей "12345".
> Тем временем, идейные противники противников IPv6 по прежнему считают, что смена протокола спасёт от уязвимостей и паролей "12345".Никто, кроме вас, этого не утверждал :)
>> Тем временем, идейные противники противников IPv6 по прежнему считают, что смена протокола спасёт от уязвимостей и паролей "12345".
> Никто, кроме вас, этого не утверждал :)Тогда как тут появилась эта тема про IPv6?
NAT не firewall чего тут обсуждать? если администратор вместо firewall использует nat надо подумать о квалификации такого сотрудника и сделать оргвыводы
> NAT не firewall чего тут обсуждать? если администратор вместо firewall использует nat
> надо подумать о квалификации такого сотрудника и сделать оргвыводыФайрволл не защита. А всего лишь средство фильтрации. И X-mas scan никто тащемта не отменял.
>> NAT не firewall чего тут обсуждать? если администратор вместо firewall использует nat
>> надо подумать о квалификации такого сотрудника и сделать оргвыводы
> Файрволл не защита. А всего лишь средство фильтрации. И X-mas scan никто
> тащемта не отменял.Политики в DROP не пробовали назначать? Нормально настроенный файрволл не станет отвечать RST-пакетом на некорректное соединение, а просто сбросит его.
и это, конечно, очень поможет по самую маковку забитому каналу, например.
Речь про x-mas скан, а не ddos.
> Политики в DROP не пробовали назначать?Причем DROP тут?
>Нормально настроенный файрволл не станет отвечать
> RST-пакетом на некорректное соединение, а просто сбросит его.То есть не нормально настроенный, забивший на RFC.
>> Политики в DROP не пробовали назначать?
> Причем DROP тут?
>>Нормально настроенный файрволл не станет отвечать
>> RST-пакетом на некорректное соединение, а просто сбросит его.
> То есть не нормально настроенный, забивший на RFC.Файрволл на то и файрволл, чтобы менять дефолтное поведение системы. По RFC реализовано оно в самом стэке протоколов tcp/ip (в ряде OS, не во всех); файрволл позволяет изменить это поведение в целях безопасности узла сети. Т.е. забивать или не не забивать на RFC решает уже конкретный администратор, и на самом деле, назовите какую-нибудь отрицательную "отдачу" от подобной настройки.
> Файрволл на то и файрволл, чтобы менять дефолтное поведение системы. По RFC
> реализовано оно в самом стэке протоколов tcp/ip (в ряде OS, не
> во всех); файрволл позволяет изменить это поведение в целях безопасности узла
> сети. Т.е. забивать или не не забивать на RFC решает уже
> конкретный администратор, и на самом деле, назовите какую-нибудь отрицательную "отдачу"
> от подобной настройки.RFC792, если коротко, тормозит нормальную работу, повешивает сессии и генерит сообщения о недоступности узла.
>> Файрволл на то и файрволл, чтобы менять дефолтное поведение системы. По RFC
>> реализовано оно в самом стэке протоколов tcp/ip (в ряде OS, не
>> во всех); файрволл позволяет изменить это поведение в целях безопасности узла
>> сети. Т.е. забивать или не не забивать на RFC решает уже
>> конкретный администратор, и на самом деле, назовите какую-нибудь отрицательную "отдачу"
>> от подобной настройки.
> RFC792, если коротко, тормозит нормальную работу, повешивает сессии и генерит сообщения
> о недоступности узла.В случае корректного обращения с разрешенного узла такого не произойдет. В случае скана - да. Но это уже проблемы сканирующего.
> В случае корректного обращения с разрешенного узла такого не произойдет.Вы уверены?
> В случае
> скана - да. Но это уже проблемы сканирующего.В том то и дело, что от скана не поможет, только несколько замедлит его: всесто отлупа по ICMP будет соединение отваливаться по таймауту.
> В том то и дело, что от скана не поможет, только несколько
> замедлит его: всесто отлупа по ICMP будет соединение отваливаться по таймауту.И то хорошо. Плюс не забивается исходящий канал. А если использовать TARPIT, то еще и атакующему проблемы создаются :)
>> В том то и дело, что от скана не поможет, только несколько
>> замедлит его: всесто отлупа по ICMP будет соединение отваливаться по таймауту.
> И то хорошо. Плюс не забивается исходящий канал. А если использовать TARPIT,
> то еще и атакующему проблемы создаются :)Про обычных реальных пользователей, у которых могут быть проблемы вы как-то забыли. Ну и атаки в результате которых забивается канал, т.е. DOS и DDOS блокируются по другому.
> то еще и атакующему проблемы создаются :)А это весьма зависит от. Если атакующий например шлет пакеты с RAW сокета - ему вообще все до балды.
> RST-пакетом на некорректное соединение, а просто сбросит его.А я всегда думал что RST это и есть сброс :). То что можно и просто убить пакет - можно. И именно это выдает файрвол :)
>> RST-пакетом на некорректное соединение, а просто сбросит его.
> А я всегда думал что RST это и есть сброс :). То
> что можно и просто убить пакет - можно. И именно это
> выдает файрвол :)RST-пакетом я сокращенно назвал установленный в заголовке TCP пакета флаг RST.
В общем и целом, файрволл может либо "тихо" сбросить пакет (т.е. сброс без ответной реакции), либо сгенерировать что-то вроде "icmp (admin prohibited|port unreachable)" и отослать инициатору.
В случае, когда вас ддосят, генерировать ответные пакеты может быть очень плохой затеей, т.к. вы сами себе забьете исходящий канал - особенно в случае ассиметричного канала (что часто встречается в радиосвязи).
Уважаемый! Обьясните мне тогда, что есть средство защиты?
Разве фильтрация не защищает меня от того что я отфильтровал, не? Т.е. фильтрация не относится к средствам защиты?
Поясню школоте, у которых проблемы с понятиями....
Защита - общее понятие средств повышающих уровень безопасности, в ее группу, так сказать входят средства защиты. Так вот фильтрация - одна из средств защиты.
Конечно, если ПО имеет бэкдор или попросту дырявое, то фильтрация его не спасет, т.к. врядли кто-то будет проводить анализ всех пакетов, в том числе и опасных, что бы на основе этого содержимого писать фильтр.RFC - не панацея. Мир не идеален, и RFC описывают стандарты работы и поведений и т.д. Но у нас есть злоумышленики, и раз в RFC про это не учтено, или есть проблема в архитектуре, которой пользуются злоумышленики, то изменение поведение компонента - очень часто меняет его поведение с тем, что описано в RFC. И при таком подходе, к примеру, злоумышленику который полагается на RFC, ВНЕЗАПНО, делается ДРОП.
> Уважаемый! Обьясните мне тогда, что есть средство защиты?
> Разве фильтрация не защищает меня от того что я отфильтровал, не? Т.е.
> фильтрация не относится к средствам защиты?Относится, но не является серебрянной пулей, решающей все проблемы безопасности.
> RFC - не панацея. Мир не идеален, и RFC описывают стандарты работы
> и поведений и т.д. Но у нас есть злоумышленики, и раз
> в RFC про это не учтено, или есть проблема в архитектуре,
> которой пользуются злоумышленики, то изменение поведение компонента - очень часто меняет
> его поведение с тем, что описано в RFC. И при таком
> подходе, к примеру, злоумышленику который полагается на RFC, ВНЕЗАПНО, делается ДРОП.И еще раз, DROP никак вам не поможет. Одной из сторон безопасности является доступность, DROP с этой точки зрения хуже. http://ru.wikipedia.org/wiki/%D0%98%D0%B...
Если хотите более глубокого анализа, вот хорошая статья, с шикарным анекдотом в конце:
http://www.zencoder.pro/%D0%BD%D0%B0...
>[оверквотинг удален]
>> и поведений и т.д. Но у нас есть злоумышленики, и раз
>> в RFC про это не учтено, или есть проблема в архитектуре,
>> которой пользуются злоумышленики, то изменение поведение компонента - очень часто меняет
>> его поведение с тем, что описано в RFC. И при таком
>> подходе, к примеру, злоумышленику который полагается на RFC, ВНЕЗАПНО, делается ДРОП.
> И еще раз, DROP никак вам не поможет. Одной из сторон безопасности
> является доступность, DROP с этой точки зрения хуже. http://ru.wikipedia.org/wiki/%D0%98%D0%B...
> Если хотите более глубокого анализа, вот хорошая статья, с шикарным анекдотом в
> конце:
> http://www.zencoder.pro/%D0%BD%D0%B0...Сначала, хочу сказать спасибо, за грамотную аргументацию, что все реже встречается в интернете вообще и на опеннете в частности.
Статью прочел. Есть возражения. К примеру, вы запретили ssh-сервис для всего интернета, оставив только доверенные подсети (оставим за рамками дискуссии разумность этого подхода, т.к. это просто пример). Точнее, вы установили дефолтную политику в DROP для всей таблицы INPUT (говоря о линуксах). На этом хосте работает 2 службы: sshd и httpd, соответственно, порты 22 и 80. Далее, вы разрешаете для всех службу на 80 порту, а службу на 22 порту - только для доверенных сетей. Соответственно, при политике DROP для атакующего 22 порт будет выглядеть так же, как и все остальные (за исключением 80-го) - закрытым. Но если его настроить в REJECT, в отличие от остальных (как рекомендует в частности статья), то становится понятно, что он filtered. Т.е. такой настройкой мы даем злоумышленнику некоторые сведения о нашем узле сети.
Большая часть имеющихся сканеров не самостоятельно формирует пакеты, а использует стэк OS для этого. Такие сканеры политика DROP существенно замедлит, в отличие от REJECT. А корректных пользователей (доверенные сети) - пропустит без замедления.
Согласен.
Тоже благодарю за аргументацию :-)Проблемы с DROP и REJECT обычно возникают при неправильной настройке фильтров. Да и в статье, рассматривается сторона сканеров, а не сторона сервера.
По простому REJECT, это DROP + ответ (мы тебя дропнули, иди лесом). Если юзается сканер, то нагрузка при REJECT на ЦПУ возрастает (генерация ответа). Конечно, было бы хорошо юзать интелектуальную систему фаервола, например, если кто-то стучится на порт, мы отвечаем ему раза 3 с помощью REJECT, а дальше просто - DROP, раз ему не доходит... Но чем проще система, там она надежнее.
> Относится, но не является серебрянной пулей, решающей все проблемы безопасности.Да я и не спорю) совершенно верно) Как писали Брюс Шнайер и Нильс Фергюсон: "Система безопасна на столько, на сколько безопасно ее самое слабое звено"
> Если хотите более глубокого анализа, вот хорошая статья, с шикарным анекдотом в
> конце:Ну так хоть усложним задачу :-)
по поводу ссылки на вики...
> В качестве стандартной модели безопасности часто приводят модель из трёх категорий:
> конфиденциальность — состояние информации, при котором доступ к ней осуществляют только субъекты, имеющие на неё право;
> целостность — избежание несанкционированной модификации информации;
> доступность — избежание временного или постоянного сокрытия информации от пользователей, получивших права доступа.Тем, кому у кого нет и не будет прав - DROP :-) и это не идет в разрез со статьей на вики. Т.к. я не палю порты которые доступны пользователям, у которых есть на это право - повышение конфиденциальности их полномочий.
Считаю, что REJECT хорошо применять для случаев, когда ты из доверенной сети (политика drop не актуальна), но не прошел аутентификацию, при прохождении которой порт толжен открыться - accept :-) Логично? Логично.
>Тем, кому у кого нет и не будет прав - DROP :-) и это не идет в разрез со статьей на вики.Ну представьте что у вас публичный ftp в сети или еще какие-нибудь сервисы с динамическими портами, вы знаете что дропать?
Представьте что вы администруете не один сервер, а десяток другой, а то и сотню, вы готовы тратить на возможные проблемы, которые обязтельно возникнут, свое время ?
Под разные задачи, свои решения ;-)
FTP - для пассивки нормальный сервер может настраивать диапазон портов. Все, что ниже 1024 - можно применять ДРОП по условию, которое привел выше.
PMP-NAT/uPNP - и что? все равно взаимодействует с фаером, т.к. ставит fwd по определенному порту.
Ну а если что-то еще есть специфическое и экзотическое - то нужно думать с чем его едят и как кормить. Следует понимать, что нет и не будет одного инструмента под все предметы.
В общем любой нормальный специалист и инженер понимает, где какой инструмент лучше всего применить.
> Все, что ниже 1024 - можно применять ДРОП по условию, которое привел выше.Можно, но зачем?
>PMP-NAT/uPNP - и что? все равно взаимодействует с фаером, т.к. ставит fwd по определенному порту.
Все хорошо будет пока несколько пакетов не потеряются и клиент не запросит у сервера по закрытому порту, в результате отлуп на пару минут, а когда связь неустойчивая это происходит постоянно. А в это время ваш клиент будет напрягать вашу техподдержку, а техподдержка вас.
> В общем любой нормальный специалист и инженер понимает, где какой инструмент лучше всего применить.
Беда в том что тут на форуме нет нормальных специалистов.
> Все хорошо будет пока несколько пакетов не потеряются и клиент не запросит
> у сервера по закрытому порту, в результате отлуп на пару минут,
> а когда связь неустойчивая это происходит постоянно. А в это время
> ваш клиент будет напрягать вашу техподдержку, а техподдержка вас.Таки да, то что пакеты теряются... я что-то упустил этот момент, особенно по беспроводным сетям.
В общем, пошел пересматривать политику правил :-)
> то становится понятно, что он filtered.Если вас это лично смущает, то подскажу что у REJECT есть возоможность подставить тип ответа.
>> то становится понятно, что он filtered.
> Если вас это лично смущает, то подскажу что у REJECT есть возоможность
> подставить тип ответа.Что даже ACK,SYN можно, как в DELUDE?
>>> то становится понятно, что он filtered.
>> Если вас это лично смущает, то подскажу что у REJECT есть возоможность
>> подставить тип ответа.
> Что даже ACK,SYN можно, как в DELUDE?Может вам проще мануал открыть?
>>> то становится понятно, что он filtered.
>> Если вас это лично смущает, то подскажу что у REJECT есть возоможность
>> подставить тип ответа.
> Что даже ACK,SYN можно, как в DELUDE?Просто наводка ACK,SYN это флаги протокола TCP, REJECT отвечает по протоколу ICMP.
> Большая часть имеющихся сканеров не самостоятельно формирует пакеты, а использует стэк
> OS для этого.Да ладно вам, у обычного nmap задержка будет исчисляться милисекундами, максимум секундами.
> Файрволл не защита. А всего лишь средство фильтрации.А средство фильтрации - это, по-вашему, не защита?
>> Файрволл не защита. А всего лишь средство фильтрации.
> А средство фильтрации - это, по-вашему, не защита?Нет. Это составная часть защиты.
Вы полную бессмыслицу написали. Во-первых, в IPv6 NAT тоже есть. Во-вторых, в данном случае атакуют объект не находящийся за NAT.
Почему бессмыслицу? Имелось в виду следующее: NAT с практической точки зрения не является защитой, поскольку маршрутизаторы уязвимы. Наличие NAT в IPv6 и то, что атака ведётся на объект, не находящийся за NAT, дела совершенно не меняют.
>Почему бессмыслицу? Имелось в виду следующее: NAT с практической точки зрения не является защитой, поскольку маршрутизаторы уязвимы.NAT позволяет маскировать внутренние сети, и уже этим фактом является средством защиты.
Маршрутизаторы сами по себе не уязвимы, уязвимы сервисы, чтобы эксплуатировать уязвимость она должна быть доступна извне, если у вас сервисы управления "торчат" наружу, то это проблема голов их настраивающих.>Наличие NAT в IPv6 и то, что атака ведётся на объект, не находящийся за NAT, дела совершенно не меняют.
Однако сакраментальный вопрос, причем тут IPv6 и NAT вообще.
>Тем временем, идейные противники IPv6 продолжают утверждать, что любой роутер с NAT является непробиваемой защитой от атак извне.IPv6 NAT уже существует, это свершившийся факт. Поэтому и с IPv6 его использовать будут, по крайней мере, в корпоративных сетях.
>Поэтому и с IPv6 его использовать будут, по крайней мере, в корпоративных сетях.Я и в не-корпоративных буду юзать.
ЗЫж. Странно какие-то дауны выше спорят что Ъ-нее - файрволл или НАТ. Я-то всю жизнь думал, что одно другое дополняет...
Тоже такого мнения, NAT вполне достаточен в роли обратного клапана для простейших случаев. Хочется бОльшего - тогда уже классификация (rules) и принятие решений (actions).
> Загрузка прошивки только с сайта производителя;
> Замена штатной прошивки на открытые дистрибутивы DD-WRT, Tomato или OpenWRT;взаимоисключающие пункты
Имелось в виду, что качать "родную" прошивку стоит только с сайта производителя. Но лучше подумать о замене на DD-WRT, Tomato или OpenWRT. Внезапно, да?
> Имелось в виду, ...Да понятно. Тем не менее, новость нужно перечитывать перед отправкой. Это же две соседние строки.
>> Имелось в виду, ...
>Да понятно. Тем не менее, новость нужно перечитывать перед отправкой. Это же две соседние строки.К слову, в оригинале нет ни слова насчет сторонних прошивок. Там прошивкам посвящены лишь
две рекомендации:
> Upgrade your firmware regularly.
> ONLY install firmware from the router manufacturers website.Так что пассаж о сторонних прошивках целиком принадлежит фантазии переводчика.
Вообще в таких случаях полагается явно обозначать текст, не принадлежащий оригиналу,
например, словами "примечание переводчика".
А еще в оригинальной статье четко разделены рекомендации для производителей оборудования, для системных администраторов и для конечных пользователей.
> Вообще в таких случаях полагается явно обозначать текст, не принадлежащий оригиналу,
> например, словами "мокрые сны переводчика".я поправил. не благодари, бро.
В тексте на сайте исследователей нет, но в интервью и в анонсе есть:
"The best thing you can do is install a third-party firmware, such as OpenWRT or Tomato,""If you're sufficiently technically minded, consider replacing your router's doubtless buggy internal software with an open-source alternative such as DD-WRT, Tomato or OpenWRT. While these options aren't particularly consumer friendly, their firmware is less likely to contain obvious vulnerabilities — and will probably offer you some cool new features, too."
модеры, не зевайте, тут у вас в каментах еще один идио^Wпотенциальный автор для опеннета нарисовался.
Подумал. Альтернативных прошивок нет для большинства устройств.
> Подумал. Альтернативных прошивок нет для большинства устройств.чем были обусловлены покупки устройств, не поддерживающихся в открытых прошивках? и отчего не заменить их на устройства, которые поддерживаются?
Пытался купить с поддержкой, но попалась несовместимая аппаратная реализация.
В продаже уже редко встретишь девайсы на устаревших чипах, для которых есть прошивки. А если и отыщещь такие, то они больше греются, медленнее и т д. Алсо приходится переплачивать в несколько раз за более продвинутые функции и возможность перепрошивки.
> Пытался купить с поддержкой, но попалась несовместимая аппаратная реализация.Не стоит покупать всякие длинки, как раз за то что там часто барыжат кучей совсем разных железок под одной маркой. Тоже мне клоуны - выпускают совсем разные железки на разных чипсетах под одной маркой. Вот это бред, да - продавать напрочь разные железяки с одним названием. Так и без сторонних прошивок можно залететь - никто не обещает что совсем разные железки будут работать одинаково. Так что то что некто похвалил прошлую ревизию - совсем не означает что к новой ревизии это как-то относится.
> А если и отыщещь такие, то они больше греются, медленнее и т д.
Кто вам это сказал? Бабушки на лавочке?
> Алсо приходится переплачивать в несколько раз за более продвинутые функции и возможность перепрошивки.
Опять бред. Чисто технически большинство роутеров на современных чипсетах идут с линухом прямо с фабрики. По поводу чего в большинство из них без проблем льются альтернативные прошивки. Исключения в сегменте SOHO на данный момент можно буквально по пальцам пересчитать.
На длинке я и залетел. Специально указывал нужные ревизии, но привезли не ту, да более старых и нет уже в продаже. На практике нарыть что-то в окрестностях с хорошей поддержкой (с отызвами на форумах и т д) проблематично. По новым девайсам статистики мало, инфа появляется с опозданием и ты ее находишь если только ищещь конкретную ревизию конкретного устройства. Пока же ты в выборе ищещь в продаже конкретные устройства с форумов и инетов и не всегда находишь...Более новые чипы реально меньше греются и компоновка на плате проще. Мой длинк чуть теплый, а раньше был асер, так 2 раза взбухали кондеры от перегрева (где-то 80-90 градусов)
Надо отметить, что стоковые прошивки регулярно обновляются. За пол года штук 7 обновлений вышло. Даже какие-то функции новые появились, но интерфейс длинка все равно ужасен (чтоб зайти в настройки надо нажать на advanced и потом еще кучу меню пролистать)
> Специально указывал нужные ревизии, но привезли не туwtf? go fuck yourself with your shiny box.
> На длинке я и залетел. Специально указывал нужные ревизии,В следующий раз вы или будете покупать у тех кто не страдает манией выпуска 10 тотально разных моделей под одним названием или хотя-бы научитесь покупать пилотные партии для проверки (если уж надо много).
> с опозданием и ты ее находишь если только ищещь конкретную ревизию
> конкретного устройства. Пока же ты в выборе ищещь в продаже конкретные
> устройства с форумов и инетов и не всегда находишь...А никто и не говорил что оптимально совершать покупки в современном мире - легко. Придется вертеть шариками.
> Более новые чипы реально меньше греются и компоновка на плате проще.
Логично, блин. Чем тоньше техпроцессы - тем выше можно поднять частоту при равном потреблении или тем ниже потребление при равной частоте. Плюс оптимизация архитектуры чипа возможно.
> Мой длинк чуть теплый, а раньше был асер, так 2 раза взбухали
> кондеры от перегрева (где-то 80-90 градусов)АдЪ. Хотя такой нагрев кондеров - по любому просто грубый продолб инженеров. Тех кто печатку дизайнил и вообще.
> равно ужасен (чтоб зайти в настройки надо нажать на advanced и
> потом еще кучу меню пролистать)Ну вот я для себя девайсы в которые не льется owrt вообще не рассматриваю. Потому что остальным до его интерфейса и фич - как до луны пешком.
Мой поддерживается, но гуглежка выявила, что народ жалуется на глюки, перегрев и выход из строя адаптера питания. Я подумал-подумал, и решил - да ну его нафиг, лучше буду дефолт юзать. ССЗБ, конечно.
> Мой поддерживается, но гуглежка выявила, что народ жалуется на глюки, перегрев и
> выход из строя адаптера питания. Я подумал-подумал, и решил - да
> ну его нафиг, лучше буду дефолт юзать. ССЗБ, конечно.Вы знаете, адаптеры у таких устройств дохнут и с родным софтом. Вот например у асусов кондеры пухнут через 2-4 года эксплуатации. Какой там был софт - мало влияет, как вы понимаете. Причины опухания оных отнюдь не софтварные. В общем, больше похоже на страшные сказки.
Согласен, но если несколько человек жалуются на одно и то же - есть повод задуматься. Я решил, что не стоит рисковать, а на будущее запомнить - перед покупкой смотреть не только в лист совместимости, но и гуглить о реальном опыте юзанья.
> Согласен, но если несколько человек жалуются на одно и то же -Ну вот у асусов, допустим, несколько человек жалуется на одно и то же (через несколько лет мрет адаптер). Многие заливали альтернативные прошивки. Следует ли отсюда что альтернативные прошивки гробят адаптеры питания?
Кажется я только что придумал простейший IQ-тест для технарей. В стиле "некоторые улитки - паровозы" :). Увы, вам засчитан полнейший ГСМ (IQ test failed).
А после заливки другой прошивки мрет в течении месяца-двух. На форуме dd-wrt была темка, если не снесли.
> А после заливки другой прошивки мрет в течении месяца-двух.Без оглашения предыстории это все лирика. Может оно до этого 2 года отпахало, и те 2 месяца как раз окончательно добили и так уже полудохлые кондеры?
Вот если некто провел чистый эксперимент, купил минимум 2 девайса из 1 партии, в один влил такую прошивку, в другой этакую и пустил их пахать месяцами - там еще можно будет о чем-то говорить. И то - может оказаться и просто технологический разброс компонентов, который у китаезных комплектующих достаточно большой (отборные комплектующие с близкими/удачными параметрами стоят отборного бабла).
> Подумал. Альтернативных прошивок нет для большинства устройств.А вот это еще большой вопрос, кстати. Вот например тут http://wiki.openwrt.org/toh/start - приведен весьма обширный список оборудования. Настолько обширный, что без сбора статистики ваша фраза врядли прокатит. Т.к. большинство современных девайсов строится на нескольких семействах чипсетов и там поголовно линух, все оказывается намного более радужно чем можно было предполагать. Как правило чтобы альтернативных прошивок совсем не было - это должен быть малотиражный или древний экзот или неимоверный обрубок по железу или нечто очень специализированное.
очевидно что имелось в виду, но написано хм... поверхностно
>> Замена штатной прошивки на открытые дистрибутивы DD-WRT, Tomato или OpenWRT;
> взаимоисключающие пунктыOpenWRT открытый. Полностью. Ну может за исключением фирмвари адаптера вайфай, если она нужна. А вот другие прошивкоклепатели имеют свойство жлобиться на морду. И пока они жлобились, луся из опенврты их давно уже затыкает от и до.
>>OpenWRT открытый. Полностью.
> Вот именно, что открытый. Полностью. С точки зрения Security - это огромный
> жирный минус однозначный. Видимо, поэтому > в оригинале нет ни слова
> насчет сторонних прошивок. Пиривотчики такие пиривотчикиТ.е. уважаемые криптографы в лицах Нильса Фергюсона и Брюса Шнайера со своей книжечкой "Практическая криптография" пишут ерунду?
Опенсорс - позволяет проводить аудит безопасности, а т.к. код открыт то это может делать даже собака.
Проприетарщина - только избранные, но все ошибаются и могут что-то не знать, упустить из виду, не досмотреть, в общем во всю гуляет человеческий фактор. А с другой стороны, кто или что мешает "корпорации" запилить закрытый шифр состоящий из 100 последовательностей операции XOR и даже без перестановок, адитивностей, и прочих плюшек в виде с-матриц, и забить на обработку ключа/-ей.... назвав его мегасупертурбо защищенным?PS: идите в школу/универ, не прогуливайте и читайте книжки, ваш КЭП.
Понимаете, мир не безупречен, все хотят денег. На то время, возможно не было альтернатив, а денег хотелось здесь и сейчас, а не ждать 50 лет, пока все сделают идеальным. Вот его и запустили в эксплуатацию.
Сейчас же, вопрос безопасности стал острым, все хотят знать кто и чем занимается. Ресурсы вычислительные возросли, и тогда да, это было безопасно. Реверс-инжениринг на месте не стоит.
И сейчас очень остро видны проблемы "security through obscurity". Это не надежная практика, и это уже начинает проявляться.
> времени был довольно надежен,Уточним: хомячки думали что он "довольно надежен". А прослуживающее оборудование было в самых разных руках уже с незапамятных времен. Довольно надежен он только в том плане что его массово не крякали, потому что оборудование несколько k$ стоит.
Но чисто технически он не фонтан. И это был продолб, поскольку он - долгоиграющий стандарт. Сейчас например куча M2M автоматики им пользуется. И просто так его выключить - не вариант. Сразу наступит уйма факапов. И вот за это тем кто допускает слабую секурити в таких вещах - надлежит надирать задницы.
> потому, что был надежно закрыт от "ненавистными" ВАМИ проприетарщиками,
Он никогда не был надежно закрыт. Это была всего лишь очередная профанация. И кстати проприетарность прошивок совсем не мешала всем желающим патчить что попало в прошивках, разгуливать с нетмонитором, изучая интимные особенности сетей, экспериментировать и прочая. Просто тех кто ставил целью именно прослушку и прочее нанесение вреда было не очень много. Но - были. И оборудование для прослушки GSM существует черт знает сколько лет. Сейчас это просто стало заметнее, поскольку с развитием технологий оно стало дешевле и общедоступнее.
> естественно, до того, пока в него его не поперли со своим опенсорсом
> и "аудитами безопасности" такие вот борцы с частной собственностьюДа, конечно, это они виноваты что протокол х-во задизайнен и никак не проверяет что например БСка которую подсунули - вообще та самая, а не подставнвя.
Но я вам скажу намного больше. Я сейчас взорву ваш уютный проприентарный мирок мегатоннами ядерных зарядов. GSM - изначально открытый протокол. Кто угодно может скачать документацию на сайте ETSI. Бесплатно, без смс. Они уже погорели на секретах в алгоритме аутентификации в SIM. Это им настолько не понравилось что было решено открыть спеки для всеобщего анализа. Да, всплыл ряд проблем. Зато 3G/4G стали явно надежнее в результате. Потому что там найденные проблемы устранили.
И, кстати, спеки на стандарты семейств 3G/4G опять же можно скачать на сайте ETSI (WCDMA/LTE/...). Другое дело что заимплементить это в жезеле и софте без наезда на чьи-то патенты - сложно. Но это второй вопрос.
Вот оно даже как)Выходит закрыта лишь сама реализация?
> Вот оно даже как)Ну вот так - MS'овские дроны слишком тупые чтобы проверить свои жаренные факты. Они только проприетарщину пиарить умеют.
> Выходит закрыта лишь сама реализация?
Ну да. Сами протоколы вполне подробно описаны и кто угодно может пойти и реализовать их. Другое дело что при попытке торговать таикми чипами окажется что там патентов - как блох на собаке.
Обычно же желание поэкспериментировать с протоколом упирается в потребность в довольно экзотических железках для излучения такого протокола в эфир + тот факт что кишки фабрично выпускаемых чипов не особо документированы (а точнее, документация не очень то доступна). Хотя опять же - у например Texas Instruments утек даташит на чипсеты серии Calypso массово применяемые в старых дешевых мобилах. Ну и реверсинг никто не отменял, опять же. Те кому было сильно надо - проблемы решали, разумеется. Просто это были редкие и штучные работы, требовавшие неких исследований. Потому оно и стоило по нескольку k$ за девайс и было не особо массовым. Сейчас это просто стало дешевле и массовее, вот хомяки и стали замечать что их немного имеют. Это не значит что раньше этого не было. Просто масштаб явления был чуть поменьше.
> Вот оно даже как)
> Выходит закрыта лишь сама реализация?по сути да. конкретные программно-аппаратные комплексы, реализующие стандарты. а сами стандарты почитать можно, это уже не особо и секрет.
> это уже не особо и секрет.Уже... хм... это 10 лет назад уже не секрет был. Забавное такое "уже" :)
> Забавное такое «уже» :)если нечто когда-то было секретом, а потом им быть перестало, то слово «уже» вполне уместно. даже если нечто было секретом 100500 лет назад, и 100499 лет назад рассекретилось.
> Уже... хм... это 10 лет назад уже не секрет был. Забавное такое "уже" :)Места знать надо было, а так да...
я от тебя просто в восторге. GSM был дырявый, но пока энтузиасты не попинали его по бокам, это особо не афишировалось.ты вообще разницу между «дырки есть, но о них мало кто знает» и «дырок нет» понимаешь? судя по всему, не понимаешь.
давай, я попробую на уровне, который тебе может быть понятней: проститутка без справки об обследовании у венеролога совершенно не обязательно более здорова, чем та, у которой есть справка с диагнозом «ВИЧ». так доходит?
Предупреждение для юзера energia: буду запрашивать бан по причине эквивалентности спам-скрипту. Одумайтесь.
Да, найти дыры проще в СПО. Именно поэтому их там чаще исправляют. Но и в закрытом коде можно искать дыры, дебагер и дезассемблер тебе в помощь. Но в закрытом софте искать их будут в основном с целью их эксплуатации. Разбираться в чужом ассемблерном коде не очень приятная деятельность.
У тебя есть какие нибудь доказательства, что проблем было меньше чем сейчас? Может быть их и не было, а может быть в ответ на все претензии всем просто говорили, "этого не может быть, GSM обеспечивает супер-пупер безопасность, прям как скайп". Закрытость стандарта это мощный фактор препятствующий проверке его безопасности, а также возможности решения этих проблем сторонними методами. Нормальная практика, получая стороннее решение призванное обеспечить твою безопасность, проверь его. Если сам не в состоянии проверить его, то ты хотя-бы должен быть уверен, что протокол открыт и другие (например, конкуренты) могут проверить его на вшивость и огласить результаты.
> Не неси чушь, просто ты знаком с темой только по лекциям «профессоров»
> в «университетах» местного разлива (бывших ПТУ и Техникумов)По вам заметно что вы даже лекции вашего ПТУ прогуливали. Иначе вы бы знали что документация на GSM общедоступна на сайте ETSI. И на ее выкладывание в паблик у них были очень веские причины. Потому что их "секурный", "проприетарный" алгоритм аутентификации для сим-карт криптографы бессовестно вскрыли одной левой. Очень быстро. Это позволило клонирование сим-карт. Оно, кстати, до сих пор частично катит на память о том прецеденте. Кой-какие меры к затыканию багофичи приняли, но "поздно и мало", как обычно.
>Вот именно, что открытый. Полностью. С точки зрения Security - это огромный жирный минус однозначный.А, security by obscurity, хитггый товаггищ.
> А, security by obscurity, хитггый товаггищ.Obscurity - это один из инструментов security. Проблемы начинаются, когда он становится единственным.
А еще не стоит забывать, что он, как и многие другие инструменты, может бить в обе стороны.
> Obscurity — это один из инструментов security.в общем — это плохой, негодный инструмент. если опубликование алгоритмов понижает security — это плохие, негодные алгоритмы. да и вообще: криптографические решения лучше открывать до прописывания в стандарты. тогда энтузиасты сделают львиную долю аудита, иногда даже предложат лучшее решение.
> открытые дистрибутивы DD-WRT, TomatoОни не открытые.
http://gargoyle-router.com/wiki/doku.php?id=faq#what_about_t...
Под неугодной вам лицензией только Web UI. Многие используют OpenWRT из trunk, который идёт без Web UI. А значит, используют полностью свободную систему. И да, UI тоже открыт, другое дело что не свободен. Это не одно и то же.
> Под неугодной вам лицензией только Web UI.Всего-то блин. В ничего что SOHO роутер без морды - не самая удобная штука на свете? По сути один из ключевых компонентов и зажат -> FAIL. По поводу чего томат и dd отправляются курить бамбук.
> Многие используют OpenWRT из trunk, который идёт без Web UI.
Как бы весьма зависит от. В дефолтной поставке LuCI есть. Очень мощная и фичастая морда, которая в курсе концепций работы с сетью в openwrt, т.е. объединения интерфейсов в "сети" + правила прогона траффика между "сетями". А в транке - да как его соберешь так и будет. В снапшотах его может и не быть, но они вообще специфичная штука. Ну и пакет доустановить не проблема.
> А значит, используют полностью свободную систему.
В openwrt их LuCI и так свободнее некуда. Вот где-где а в openwrt никакого на...лова нет нигде. Не стоит путать с другими, более жадными гражданами, мнящими что их вебфэйс - пуп земли. Пока они там мнили - луся у опенврты благодаря свободной лицензии и как результат вкалыванию над оной развилась настолько что это теперь вообще одна из лучших вебморд для роутеров. Без всяких скидок. Это очень мощная, довольно симпатичная и фичастая морда.
++
приятный интерфейс
> не переходить по подозрительным ссылкам (например, в которых фигурирует адрес 192.168.1.1).А на этот случай в Firefox есть NoScript. Кроме всего прочего он умеет зарубать поползновения вебпаг соваться в локалочные адреса (ABE - applications boundary enforcement).
Кстати, мужики, мне буквально пару часов назад притащили D-Link 2100AP,
кто в курсе на неё ченить из DD-WRT, Tomato или OpenWRT встает?
http://wiki.openwrt.org/toh/d-link/dwl-2100apВ dd-wrt статус wip, т.е. учитывая сколько лет назад его прекратили выпускать, никогда.
Ёптя, ещё порт припаять надо? Ну нафиг... :)
> Ёптя, ещё порт припаять надо? Ну нафиг... :)Слушай, дядя, там вообще изначально vxworks убогий. С самопальным загрузчиком, который ничо кроме этого vxworks грузить не умеет. Что ты хотел то? Чтобы у этой буиты можно было по простому отобрать бразды правления? Обломись, не предусмотрен простой вариант. Скажи спасибо что вообще есть варианты без перепайки флешек и перешивки на программаторе.
Впрочем учитывая общую антикварность железа этой фигни кой-в-чем ты прав: оно not worth of it. Древний хилый проц, оперативки с кошкин зад, доисторические стандарты wi-fi. Отдать кому-то забесплатно доживать свой век, раздавая вафлю в деревне/на даче, да и весь разговор.
Bluebox встает.
> Исследование показало плачевное состояние защищённости SOHO-маршрутизаторов- Ты Linux, ты оплот защиты
Какой печалью ты гоним?
- Но я SOHO-маршрутизатор!
И я заплакал вместе с ним.
Как известно, техника в руках дикаря - груда металлолома...
Ну как бы неудивительно, в этих кривопрошивках иногда такие вещи встречаются, что волосы дыбом. Странно почему все еще на OpenWRT тот же не перешли, или аналоги. Готовое же уже, можно для казуалов свою морду с фирменным логотипчиком прикрутить. Нет не хочу юзать готовое, хочу пилить свой велосипед с квадратными колесами.
> Странно почему все еще на OpenWRT тот же не перешли, или аналоги.вот смотри. ты — манагер. ты занимаешься совершенно бесполезным делом, и если тебя нафиг уволить, а твой отдел разогнать — себестоимость устройства станет меньше, а надёжность — выше. ты это понимаешь. скажи, ты допустишь, чтобы начальство это тоже поняло?
> меньше, а надёжность — выше. ты это понимаешь. скажи, ты допустишь,
> чтобы начальство это тоже поняло?Не скажи, судя по местным - даже манагеры иногда нужны. В роли вачдогов, срубать страдание фигней. Иначе технарь может впасть в режим играния в игрушки (e.g. портирование 100500-го по счету суперэкзота на эту платформу фиг знает зачем) и в результате ... вообще не выпустит никакого девайса в обозримом будущем (погрязнув в написании дров суперэкзоту для навороченной периферии, что потребует over 9000 человеко-лет).
я не говорил, что манагеры не нужны. я всего лишь сказал, что *бесполезные* манагеры не нужны. вот манагеры и кодеры многих производителей коробочек — не нужны. причём совсем, даже в виде «мы будем помогать открытому проекту» — ибо качество их личного кода налицо, не надо такой «помощи».p.s. от производителя требуются спеки. возможно, драйвера. всё. и один попугай, который будет лепить на веб-морду какого-нибудь openwrt логотип производителя.
> — не нужны. причём совсем, даже в виде «мы будем помогать открытому проекту»Не, таких помощников которые не могут размер таблицы контрека выставить и таймауты под параметры своего устройства - можно только как горючее для биореактора использовать. Подпускать таких к открытым проектам ... ну разве что вражеским :)
> Странно почему все еще на OpenWRT тот же не перешли, или аналоги.Некоторые кстати переходят - несколко производителей юзают прошивки на его основе. Но понятный фиг, не все.
о боже! кто они?
Используйте Mikrotik!
И ваши волосы будут мягкими и шелковистыми.
А он OpenSource?
Он не дырявый.
Этом вам маркетологи Mikrotik сказали?
Опыт :)
мыши, кактус... (с)
> Опыт :)Опыт Неуловимого Джо в избегании поимки? Достаточно сравнить сколько всяких длинков нашлепано и сколько - микротиков.
Эти микротики - кривое полупроприетарного гогно, используемое лишь отдельными изврашенцами. Вот они пока и не попали под внимание. К тому же они по софту убогие неимоверно. Обкоцаны до уровня циски тyпopылой по сути.
> Достаточно сравнить сколько всяких длинков нашлепано и сколько - микротиков.И это доказывает что...
> К тому же они по софту убогие неимоверно.
По возможностям софта длинку до самого дешманского микротика, как до луны пешком.
> Обкоцаны до уровня циски тyпopылой по сути.
Смешно пошутили...
> По возможностям софта длинку до самого дeшмaнского микротика, как до луны пeшком.Длинк с openwrt запхнет любой микротик по возможностям, если уж на то пошло.
>> Обкоцаны до уровня циски тyпopылой по сути.
> Смешно пошутили...Не вижу ничего смешного - они довольно тyпорылые и косят под цыску с фиксированным набором функций и кретинизмом в лицензировании софта. По маразму они даже Linux XP переплюнули, пожалуй.
И, кстати, показательно побить деревянное фирмваре от длинка - извините, грешно пинать ботинками слабеньких. Нормальных соперников выбирайте, трусы. Идите вон побейте ту же LuCI из опенврт попробуйте. Вот это я понимаю - нормальный веб-интерфейс для роутера, ага.
> Длинк с openwrtКинь ссылку на интернет магазин
>> По возможностям софта длинку до самого дeшмaнского микротика, как до луны пeшком.
> Длинк с openwrt запхнет любой микротик по возможностям, если уж на то
> пошло.И что там такого есть, чего нет в микротике?
>>> Обкоцаны до уровня циски тyпopылой по сути.
>> Смешно пошутили...
> Не вижу ничего смешного - они довольно тyпорылые и косят под цыску
> с фиксированным набором функций и кретинизмом в лицензировании софта. По маразму
> они даже Linux XP переплюнули, пожалуй.Эмм... что? Причем тут это?
> И, кстати, показательно побить деревянное фирмваре от длинка - извините, грешно пинать
> ботинками слабеньких. Нормальных соперников выбирайте, трусы. Идите вон побейте ту же
> LuCI из опенврт попробуйте. Вот это я понимаю - нормальный веб-интерфейс
> для роутера, ага.Консоль ниасилили?
> И что там такого есть, чего нет в микротике?Ну например реалтаймные грфики в вебмордочке. И софта дополнительного - не то чтобы совсем нет, но очень скудный набор. Свой кастомный софт поставить не то чтобы совсем нельзя, но очень геморно, опять же. Понятно что надо не всем, но на то оно и линух чтобы быть гибким. А тут дубовость железного роутера при свойствах роутинга софтварного. Фи.
> Эмм... что? Причем тут это?
При том что тупо платить за искусственные ограничения.
> Консоль ниасилили?
Осиливать местечковый самопал от жлобского вендыря - вот уж нафиг надо.
> А он OpenSource?Формально он на основе дебиан линукса. Реально - микротик является уродской и жлобастой конторой, получить сорцы всего этого не то чтобы нельзя, но - максимально геморройно. И конечно же этого сорца не хватит для пересборки прошивки, т.к. все что касается проприетарных компонентов вам, разумеется, не дадут. А их есть.
Но это еще не все. Эти ушлепаны обкусили линух до уровня цыски, так что вы получаете софтороутер с деревянностью в настройке характерной для аппаратного роутера. Расширяемость? Не, не слышали! Ну то-есть для галочки оно как бы есть, но - именно совсем для галочки, так что какие-то доп. сетевые функции типа впн сервака/прокси/... на это навесить очень геморно. Плюс какие-то левые win-only софтины для управления, лицензии на фичи ОС (гы-гы, это в линуксе то?) и прочий совершенно упоротый крап.
Насколько оно не дырявое - кто ж его знает? Технически там обычный линь. Просто усиленно косящей под цыску. В том числе и махровым жлобством производителя. Они удачно совместили недостатки: негибкость железного роутера совмещается с софтварным процессингом пакетов :)
Глянул мельком.
Для управления там есть минимум 3 способа. Софтина под вин, вебморда и консоль.
Лицензии отличаются количеством некоторых типов подключений (типа pppoe). На самом душманском роутере за 1.5 штуки это ограничение 200, на чуть подороже 500. Даже если это всего 200 коннектов пользователей, то для большинства решаемых с помощью этой бюджетки задач этого за глаза и железо скорее всего и этого не потянет. В готовых роутерах софт уже стоит, а на ПК надо полупать (естественно это никому не надо) Функции же всех роутеров и дешевых и дорогих вроде как одинаковые.
Нигде не наврал?Такие роутеры тоже нужны. По крайней мере, дешево и компактно. Да и может быть более надежно. Есть у них и продвинутые многоядерные коробочки. Вроде даже с виртуалками ))
> Disable (or do not enable) remote administration.Бугага.
Вот это реально круто. А ещё хорошо бы интернет отключить. И электричество. И бетоном всё изнутри и снаружи залить. Да захоронить под водой. Закопав на пару метров в глубь перед этим.
Ты зря так. Доступ через wan в большинстве случаев реально не нужен, устройство же ближе чем в шаговой доступности. С работы семье резко пробросить порт, если только. Да и то, подождут до вечера, чай дело не неотложное.
> С работы семье резко пробросить портssh на домашний сервер — и всё, ты уже в LAN. и пробрасывай себе.
Это же SOHO...
1) Настройка удалёнки по SSH для простых юзверей - АДъ. Как и перепрошивка/настройка роутера, настройка файрволла, собственно.
2) На винду вообще нет ни одного вменяемого SSH-сервера. Нет, не только консольку погонять (и то в какой-то реализации tab не работал и были какие-то приколы в консоли), но и : пробросить порты, поковыряться через scp/sftp с файлами, с нормальными путями внутри этого (например ~ чтобы нормально определялся, чтобы виделся не только системный диск), с нормальной настройкой (в плане раскидать приватные ключи, конфиги). И чтобы ЭТО ещё и не конфликтовало с каким-нибудь DeltaCopy (IMHO, единственная вменяемая реализация rsync для win), чтобы не отваливалось, если вдруг хост затащить в домен.
А оно, как ни печально, всё ещё самая попсовая платформа
Не надо пытаться юзать приемы из юникса в винде. Это как запускать софт в вайне. Ни надежности ни безопасности. Для платной винды есть куча платых решений ее дополняющих =)
> ssh на домашний серверПо логике вещей, роутер уже является собственно, маленьким сетевым компьютером. Который кушает пару ваттов, может подпитываться от упсы черти-сколько времени, всегда включен и не зависит от живости других машин.
На самом деле - очень клевые железки. Если вышибить оттуда убогий крап от производителя и влить хоть тот же опенврт. После чего этим станет можно рулить и как "просто компьютером". Не в ущерб роутингу с симпатичной мордочкой и прочая.
это ещё не причина открывать прямой ssh-доступ к нему. ssh через роутер на домашний сервер, дальше с него — опять на роутер, но уже из довереной сети. ну да, извращённо. но мне, например, так удобней: всё равно именно на роутер мне почти никогда не надо. поэтому некий нестандартный порт роутер тупо перебрасывает на sshd у домашнего сервака.
> это ещё не причина открывать прямой ssh-доступ к нему.
> ssh через роутер на домашний сервер, дальше с него — опять на роутер,И что это чисто технически дает кроме лишних полетов пакетов, добавочного узла в цепочке и прочая? ИМХО если уж извращаться - можно например поднять на роутере VPN по типу openvpn и подвесить ssh только на интерфейс VPN. Так те кто не может проавторизоваться в vpn вообще никогда не узнают о том что ssh вообще был.
Очевидное удобство - можно в не особо доверяемой сети собрать более-менее доверяемую виртуальную сеть, топология которой может быть более-менее отвязана от физического устройства. Ну и внутренние сервисы сторонним кексам не видны. Как бонус - какой-нибудь N900 или ноут может спокойно цепляться к любой вафле в кафешке, поднять оттуда шифрованный туннель до более-менее доверяемого хоста и уже по нему гонять все данные. При этом еще и не важно насколько там прямой/кривой айпи, данные не полетят в эфир открытым текстом, никто не будет видеть к каким именно сервисам обращение, не сможет неавторизованно менять сетевой траффик, etc.
> но уже из довереной сети.
Не вижу чем именно роутинг пакетов роутером более доверен чем обработка оным SSH'а. Мы или доверяем роутеру, или нет. Если целью было не светить внешнему миру ssh, можно его спрятать за порткнокером или подвесить только на VPN-интерфейс. А так ssh там такой же как и везде. На нормальной прошивке с вменяемым админом ssh на роутере - ничем не лучше и не хуже ssh где либо еще.
> ну да, извращённо. но мне, например, так удобней:
Мне такое не нравится тем что потенциально больше точек отказа. Ну и роутер можно упсой подпереть на несколько суток наверное, а сервер - смотря что под ним понимать. К тому же роутер при длительном факапе с питанием может остальных поднять по WOL, например.
> всё равно именно на роутер мне почти никогда не надо.
Ну я предпочитаю спихнуть все нетворкинг задачи связанные со внешкой на того кто этой внешкой рулит чисто технически.
> поэтому некий нестандартный порт роутер тупо перебрасывает на sshd у домашнего сервака.
У меня на самом деле вообще нет доступа по ssh напрямую из внешки. Вообще никуда в интранете. Сначала надо стать частью впн-а, а вот потом станет видно что там есть.
> И что это чисто технически даетнормальную полноценную систему. с аудитом, кучей умных скриптов и прочих плюшек.
> Не вижу чем именно роутинг пакетов роутером более доверен чем обработка оным
> SSH'а.даже если не учитывать других нюансов — бедному атакующему теперь ломать два ssh заместо одного. а на сервере живут агрессивные роботы, которых програли с планеты Шелесяка, и теперь они кусаются.
> ssh на роутере — ничем не лучше и не хуже ssh где либо еще.
кроме того, что роутер — очень ограниченая по ресурсам коробочка.
> роутер можно упсой подпереть на несколько суток наверное
какой смысл в печальном роутете, у которого не осталось больше клиентов?
> К тому же роутер при длительном
> факапе с питанием может остальных поднять по WOL, например.а какая связь? что-то помешает ему это сделать, если я уберу прямой ssh-доступ из любых сетей?
> Ну я предпочитаю спихнуть все нетворкинг задачи связанные со внешкой на того
> кто этой внешкой рулит чисто технически.бедный роутер не выдержит. у меня, знаешь ли, ещё сервисы всякие висят. далеко не один.
>> поэтому некий нестандартный порт роутер тупо перебрасывает на sshd у домашнего сервака.
> Сначала надо стать частью впн-аподнять VPN из рандомного места не всегда просто. а вот ssh — таки проще. для винды — тот же putty/kitty с флэшины, например. нет, я не боюсь, что пароли упрут: если не совершить неких телодвижений, они поменяются на другие. из недовереных мест я телодвижений совершать не буду — пусть логгируют, пока не надоест.
> нормальную полноценную систему. с аудитом, кучей умных скриптов и прочих плюшек.Аудитить полтора процесса на роутере проще чем навороченный сервант, если уж на то пошло. Скрипты и прочая там тоже можно пинать. Обычная линуховая машинка, просто мелкая и на границе сетей.
>> Не вижу чем именно роутинг пакетов роутером более доверен чем обработка оным SSH'а.
> даже если не учитывать других нюансов — бедному атакующему теперь ломать два ssh заместо одного.А что ему помешает сломать один и удовольствоваться этим результатом? У большинства атакующих нынче цель не максимально нагнуть инфраструктуру. А максимально поюзать ресурсы (бандвиз, вычисления, ...).
К тому же я знаю железо роутера как облупленное и технологически имею доступ во ВСЕ закоулки, вплоть до самого раннего бутлоадера (к тому же u-boot с сорцами) и прочая. Я могу перелить known good бут и систему даже если окучурился совсем весь софт, перелив все в совсем пустой девайс. Насчет х86 например я и близко не могу похвастать таким уровнем контроля над платформой. Там всякие проприетарные биосы живут своей жизнью, etc. Если уж паранойю разводить.
> а на сервере живут агрессивные роботы, которых програли
> с планеты Шелесяка, и теперь они кусаются.И как, много кого/чего они покусали? :)
>> ssh на роутере — ничем не лучше и не хуже ssh где либо еще.
> кроме того, что роутер — очень ограниченая по ресурсам коробочка.Любая машина - "ограниченная по ресурсам коробочка" :). Ну да, поднимать там аццкий вебсервант с навороченной энтерпрайзятиной будет перебором. С другой стороны, скромные ресурсы означают скромное потребление, мелкие размеры, более высокую надежность за отсутствием кулеров, возможность подпереть упсой на несколько дней и прочая. Оттуда же можно откомандовать по WoL разбудить других.
>> роутер можно упсой подпереть на несколько суток наверное
> какой смысл в печальном роутете, у которого не осталось больше клиентов?Капитан Очевидность намекает что у телефона и ноутбука есть собственные батарейки, поэтому клиенты таки могут и остаться.
>> факапе с питанием может остальных поднять по WOL, например.
> а какая связь?Как какая, по ssh можно зайти на роутер и оттуда отпинать по WoL остальное. Точка входа то должна быть живой, или где? В твоей схеме как я понимаю надо еще чтобы сервак не сдох. Иначе не попадешь в внутреннюю сеть и с него не сможешь зайти на роутер. А у меня на роутере хоть и не совсем прямой ssh, но все что необходимо для его юзежа живет сугубо в этой коробочке, не завися от остальных.
> что-то помешает ему это сделать, если я уберу прямой ssh-доступ из любых сетей?
Зависимость от живости внешнего серванта, жрущего прорву энергии, который упсом на значительное время подпереть проблематично. Если я правильно понял организацию твоей сети.
>> кто этой внешкой рулит чисто технически.
> бедный роутер не выдержит. у меня, знаешь ли, ещё сервисы всякие висят. далеко не один.Смотря что за сервисы. Энтерпрайзный портал со всеми наворотами - может и не выдержит. А подъем всяких там VPN линков, роутинг, натинг, правила фаера и прочая - выдерживает без проблем.
> поднять VPN из рандомного места не всегда просто.
OpenVPN - просто. Проще чем ssh, т.к. его устраивает и TCP и UDP.
> а вот ssh — таки проще. для винды — тот же putty/kitty с флэшины, например.
Я от "внешних" граждан беру только сеть. Девайс который конектится - всегда мой. Нотик или телефон, в зависимости от лени и ожидаемого масштаба задач. Светить ключи или пароли на хз чьей машине с хзчьим софтом делающим хз что мне как-то не по вкусу.
> нет, я не боюсь, что пароли упрут: если не совершить неких
> телодвижений, они поменяются на другие.Ну мне лениво менять везде ключи и пароли на каждый пук. Поэтому я их просто не предоставляю недоверяемым машинам. Это как-то проще.
> из недовереных мест я телодвижений совершать
> не буду — пусть логгируют, пока не надоест.Собссно vpn - как раз и защищает канал из недоверенного места. Если на обоих концах линка машины которые друг другу доверяют, они могут коммуницировать по несекурному туннелю вполне секурным образом, по очевидным причинам. В этом случае ограничений на операции по сути нет. Я как-то плохо представляю себе как на мой ноут кто-то отодвинув меня будет ставить кейлоггер. А беспроводной канал передачи окажется с шифрованием даже если исходно wi-fi сеть открытая или даже подставная, вот как раз от этого openvpn при правильном подходе защищает.
А всякие putty еще и в реестр срут записями о сессиях. Оставляя их там на память, если специальных мер не прнять. А оно мне надо?
> Аудитить полтора процесса на роутере проще чем навороченный сервант, если уж на
> то пошло. Скрипты и прочая там тоже можно пинать.я заколебусь пересобирать и втискивать туда свои инструменты. да, у меня не только баш.
> А что ему помешает сломать один и удовольствоваться этим результатом?
и что он будет делать в соседней камере? ну, попал он в клетку без полномочий. оттуда теперь выбираться надо. или ты действительно думаешь, что у меня всем юзерам позволено заходить?
> А максимально поюзать ресурсы (бандвиз, вычисления, …).
ну, пусть пробует, чо. правда, ресурсов у него там примерно как на спектруме (ну ладно, на БОЛЬШОМ спектруме). и выходных интернетов нет. бида-бида. крал «ламборджини», а спёр ржавый «запор».
> К тому же я знаю железо роутера как облупленное и технологически имею
> доступ во ВСЕ закоулки, вплоть до самого раннего бутлоадерашо, таки совсем всё? вся-вся схематика есть? и wi-fi чипы? опубликуй, блин!
> Насчет х86 например я и близко не
> могу похвастать таким уровнем контроля над платформой.у роутера тоже. то, что чёрные ящики в виде микросхем *вроде бы* не занимаются неучтённой активностью — не значит, что не могут, если захотят. даже в открытом софте при некоторой хитрости можно спрятать дверцу для кошки. а уж в закрытых проприетарных железяках — тем более.
>> а на сервере живут агрессивные роботы, которых програли
>> с планеты Шелесяка, и теперь они кусаются.
> И как, много кого/чего они покусали? :)порядочно.
> Любая машина — «ограниченная по ресурсам коробочка» :).
только роутер — *очень* ограниченая.
> Оттуда же можно откомандовать по WoL разбудить других.
а вот с этим:
а) справится скрипт;
б) если уж пропала энергия, то по появлению оной все, кто надо, и сами проснутся — чай, не дебилы.> Капитан Очевидность намекает что у телефона и ноутбука есть собственные батарейки, поэтому
> клиенты таки могут и остаться.у меня нет ноутбука, а N900 я не использую для интернетов.
>>> факапе с питанием может остальных поднять по WOL, например.
>> а какая связь?
> Как какая, по ssh можно зайти на роутер и оттуда отпинать по
> WoL остальное.сервер поднимется сам, он неваляшка. а дальше уже при необходимости волшебные пинки раздаются с него. если же сервер не поднялся — то тут уже никакой вол не поможет, тут надо ногами и руками работать.
> В твоей схеме как я понимаю надо еще чтобы сервак не сдох.
если он сдох, мне больше ничего во внутренней сети не надо: всё равно там удалённо делать уже нечего.
>> что-то помешает ему это сделать, если я уберу прямой ssh-доступ из любых сетей?
> Зависимость от живости внешнего серванта, жрущего прорву энергии, который упсом на значительное
> время подпереть проблематично. Если я правильно понял организацию твоей сети.сервер должен работать 24/7. если сервер не работает — всё, приплыли, всё равно надо спешить домой разбираться, что сгорело.
> Смотря что за сервисы.
от почты, жабира, www — и до фермы сборки софта.
> OpenVPN — просто.
это если есть админские права на установку софта.
> Я от «внешних» граждан беру только сеть.
а мне без нормальной клавиатуры неудобно. я люблю свои пальцы, они у меня красивые. и ломать их об мелкоустройства не хочу. это — на самый-самый-самый крайний случай.
>> нет, я не боюсь, что пароли упрут: если не совершить неких
>> телодвижений, они поменяются на другие.
> Ну мне лениво менять везде ключи и пароли на каждый пук.мне тоже. именно поэтому один из роботов с планеты Шелесяка занимается этим сам. если, конечно, ему вовремя не скомандовать «отбой тревоги!»
> А всякие putty еще и в реестр срут записями о сессиях.
да на здоровье. реестр не мой, мне не жалко.
> я заколeбусь пересобирать и втискивать туда свои инструменты. да, у меня не только баш.Ну ой, это какие-то твои местечковые закидоны. Право на жизнь имеют, но если рассматривать в "сферическом вакууме" - это весьма нишевые заморочки конкретного индивида. А по факту девайс с 128Mb RAM например потянет довольно много чего. Вплоть до форума на пыхе какого-нибудь, если там не очень дофига народа. Разумеется, опач с форками под толпу народа или крутую бизнес-аналитику туда ставить глуповато. А все остальное там примерно такое же как и везде.
>> А что ему помешает сломать один и удовольствоваться этим результатом?
> и что он будет делать в соседней камере? ну, попал он в клетку без полномочий.Как что? Запустит там проксь/спамер/майнер биткоинов или чего там еще. Все, халява получена. А что еще взломщикам надо? Лично тебя раздолбать? Не факт что у тебя есть что либо оправдывающее кастомную возню ради тебя в таком масштабе.
> оттуда теперь выбираться надо. или ты действительно думаешь,
> что у меня всем юзерам позволено заходить?Нет. А ты действительно думаешь что целью взломщиков как правило является именно поимение инфраструктуры по самые гланды? Обычно они напротив заинтересованы в ее сохранности - чтобы оно на них работало и им бабло приносило.
> крал «ламборджини», а спёр ржавый «запор».
Это их мало волнует, особенно если это на автоматие. Ну и в этом плане роутер еще более скромная штука.
>> К тому же я знаю железо роутера как облупленное и технологически имею
>> доступ во ВСЕ закоулки, вплоть до самого раннего бутлоадера
> шо, таки совсем всё? вся-вся схематика есть? и wi-fi чипы? опубликуй, блин!Не тупи, я про 100% контроль над софтом в девайсе. От power-up до полного взлета. В порядке приоритетов это наиболее важное для меня свойство готовой железки, гарантирующее что оно будет вести себя так как мне надо а не как-то иначе. Что для сетевой железки IMHO важно. Переделывать железо подобного масштаба (многослойки, BGA) в мои планы (пока?) не входит: это не очень дешевое и не сильно просто, хоть и ничего невозможного. По поводу чего меня намного меньше парит схема. Тем более что 80% оной я и сам нарисую для такой железки. Плюс-минус всякие резисторы и прочая по мелочи интересуют только тех кто намерен перевыпускать это.
Тем не менее, вот примерчик того что ты хотел, если оно тебе зачем-то вдруг надо: http://files.wl500g.info/asus/wl500gx/document/ce%20rep... - правда я не очень понимаю что ты с ним делать будешь. Подобное добрецо можно найти на много какие железки
Даташиты на некоторые чипы тоже в природе встречаются. Не всегда и не на все, но - бывают. К тому же есть драйвера, где все что что касается работы с чипом с точки зрения софта - есть.
> у роутера тоже. то, что чёрные ящики в виде микросхем *вроде бы*
> не занимаются неучтённой активностью — не значит, что не могут, если захотят.А тут ряд простых моментов:
1) Сложно скрывать неучтенную энеоргонезависимую память в большом объеме. Поэтому девайс не сможет долговременный логгинг/трекинг и подобную активность.
2) Опять же, большую программную память сложно сделать незаметно. В конечном итоге софт в привилегированных режимах (e.g. кернел) может шариться по всем закоулкам памяти.
3) Равно как сложно реализовать и продвинутую логику в железе.
4) Ни производитель ни чип не знают заранее как именно их применят. В пару с чем его запаяют и прочая.
5) В конечном итоге запускаемые бутлоадер и OS полностью берут управление на себя и их работа вообше не подразумевает сосуществования с кем либо еще.Поэтому с учетом вышеуказанных факторов, работоспособный бэкдор выглядит довольно фантастично. Теоретически, можно перебить всех комаров на планете. Практически - ну, попробуй. Вот и с работоспособным бэкдором в таком девайсе как-то так же. Если мыслить как автор бэкдора, очень скоро обнаружится что в этом уравнении слишком дофига неизвестных при том что слишком много площади кристалла на такое просто невозможно выделить, т.к. удорожает чип. А внешние чипы - 100% паливо. Внешний микрокод - тем паче. Но об этом ниже.
> даже в открытом софте при некоторой хитрости можно спрятать дверцу
> для кошки. а уж в закрытых проприетарных железяках — тем более.Проблема только в том что к x86 это все тоже относится. Но там все многократно хуже. Например, "BIOS" для x86. Это многометровый блоб без сорцев. Там кроме всего прочего есть не только код BIOS (занимающийся довольно чувствительными вещами), но и например обработчик SMM, который потенциально может работать независимо от ОС. Более того, в современных BIOS, особенно для интеловских платформ - есть еще и кучка фирмварей для сервисных процессоров. А на оные нет ни даташитов, ни сорсов. А вот доступ в систему они зато имеют самый непосредственный. Собственно интел и не скрывает даже - ремотное управление в vpro/amt сделано как раз на одном из сервисных процессоров. А вот в такую штуку бэкдор засунуть - как два пальца об асфальт. Потому что есть место для реализации сложной логики. Есть тот кто работает резидентно и не вырубается при старте ОС. Есть доступ в память/сеть и прочая. А вот это уже проходит по классификации как "потенциальный бэкдор". Тем паче что совсем вырубить фирмваре EC нельзя: оно оборотами кулеров рулит и прочая. Так что остается только на честное слово поверить что оно не хулиганит.
В чем отличие? В том что на роутере всего этого блобья делающего черти-что у меня нету. И это как раз самый сомнительный компонент. Он может реализовывать продвинутую логику и нежелательно себя вести. И через это штатно вывешивается ремотное управление машинами для корпорастов, интел даже и не скрывает это. Мне такое на сетевом девайсе, который является гейтвеем - совсем не надо. Он как раз от всего такого сеть своей тушкой закрывает.
>> Любая машина — «ограниченная по ресурсам коробочка» :).
> только роутер — *очень* ограниченая.По сравнению с моими первыми 3-4 компьютерами, мой роутер - очень мощная коробочка. По сравнению с суперкомпьютером - очень ограниченная. Но на роутинг на скорости провода + файрволинг + всякие сервисные операции типа сетевых сервисов(впн, ...) и прочая вполне хватает. А больше от него ничего и не требуется. Бизнес-аналитику на этом я гонять не собираюсь.
> а вот с этим:
> а) справится скрипт;Спору нет, но он на чем-то должен работать. И намного лучше если это мелкая и маложручая железка, в том плане что упс ее будет тянуть фиг знает сколько. А полновесный сервак надолго упсой не подопрешь. А вот роутер - без проблем. С него и логично разослать вэйкапы.
> б) если уж пропала энергия, то по появлению оной все, кто надо,
> и сами проснутся — чай, не дебилы.Тогда их не получится нормально упсой подпереть и они срубятся некорректно? Ну или как они во время спячки узнают кто их питает - упса или 220 из розетки? От чипсета/bios/... сложно ожидать большого ума в этом плане. Вот зондаж они могут. А вот умно мониторить упс в low-power режиме - а хрен тебе, золотая рыбка. И сорц не даден, так что сам ты тоже такое не сделаешь.
>> клиенты таки могут и остаться.
> у меня нет ноутбука, а N900 я не использую для интернетов.Ну это у тебя. А у меня - есть. И как раз выигрышно то что при отсутствии сети он еще часов 7 проработает. Так что в экстренном случае можно с него что-то требовавшее онлайна доделать. А N900 без интернетов как-то странно, имхо.
>> Как какая, по ssh можно зайти на роутер и оттуда отпинать по WoL остальное.
> сервер поднимется сам, он неваляшка.Я как-то туго представляю себе как это увязать с подпиранием упсом. Оно или должно без упса фигачить и видеть состояние питания 220 вольт, или если упс замаскирует это - по какому критерию оно тогда взлетит? Мне не нравится идея грубого шатдауна без подготовки у мощных серверов, а как такое вэйкапать когда 220 вольт появилось при подпирании упсой - мне как-то не совсем очевидно. Кроме вот таких пинков по WoL с той мелочи которая всегда включена (т.к. упсом подпирается на много-много часов и заряда батарей после шатдауна всего остального роутеру хватит на много часов работы, чего достаточно для появления электричества обратно).
> а дальше уже при необходимости волшебные пинки
> раздаются с него. если же сервер не поднялся — то тут
> уже никакой вол не поможет, тут надо ногами и руками работать.Ну вот а роутер для начала и не валится никогда. У него аптайм в полгода - норма жизни. Потому что упсы ему хватает на черти-сколько. У меня на столько электричество не выключают :). А вот подпереть сервак упсой на 2 часа я уже могу обломаться. Тем более что не совсем понятно как дружить логику включения сервака с упсой.
>> В твоей схеме как я понимаю надо еще чтобы сервак не сдох.
> если он сдох, мне больше ничего во внутренней сети не надо: всё
> равно там удалённо делать уже нечего.У меня многие операции делаются небольшими железками, которые вполне актуаьльны и полезны. Большой сервак тоже есть. Но под специфичные нужды, требующие больших объемов HDD и просто скоростного счета. Он не является критичной частью инфраструктуры. Его можно выключить. Сетевые сервисы и прочая совсем не пострадают.
> сервер должен работать 24/7. если сервер не работает — всё, приплыли, всё
> равно надо спешить домой разбираться, что сгорело.Я осторожно отношусь к идее оставлять мощные писюки с сравнительно ненадежными вентиляторами в долговременном автономном плавании дома, а не в ДЦ (где есть системы пожаротушения и персонал). Потому что по дефолту вентиляторы пхают черти какие, а при их отказе факап будет качественный. Особенно блоков питания касается (есть совершенно западляцкая тенденция экономить несколько десятков центов на вентиляторе, получая в результате клинч оного и все шансы на очень мощный дестрой когда силовуха перегреется далеко за свои absolute maximum ratings). С другой стороны, в железке без вентиляторов вентиль не сломается. А мелкий БП при катастрофическом отказе как правило просто быстренько испаряется н...й и более не создает проблем :).
>> Смотря что за сервисы.
> от почты, жабира, www — и до фермы сборки софта.У меня с сборкой софта и просто мой писюк хорошо справляется. Хотя мало ли, ты упоминал что у тебя своя фирма - может там конторские проекты билдуются и оно актуально. Я хз, мне это пофигу :).
>> OpenVPN — просто.
> это если есть админские права на установку софта.У меня на моем роутере как ты понимаешь они есть. У меня на всех моих устройствах есть административные права. Секрет прост: если я не могу получить административные права, устройство просто не считается моей собственностью.
> меня красивые. и ломать их об мелкоустройства не хочу. это —
> на самый-самый-самый крайний случай.Как ты понимаешь, я их тоже не ломаю без причины. Но мобильность десктопа равна нулю. Ноут таскать зачастую лениво. А вот n900 может позволить юзать ssh даже в чистом поле, где на 10 километров вокруг только туалет типа сортир да вышка опсoса. Это не является штатным или предпочитаемым вариантом, но иногда можно сунуться и посмотреть на ситуацию из интранета. На то и vpn чтобы я был в моей сети из любой точки мира :).
> мне тоже. именно поэтому один из роботов с планеты Шелесяка занимается этим
> сам. если, конечно, ему вовремя не скомандовать «отбой тревоги!»Вариант, кстати. В целом интересный. Я о чем-то таком задумывался но поленился реализовать. А ты как, синхронно генеришь пассворды по одному алгоритму на всех участниках или на одном из них генеришь ключ и распихиваешь на остальных? А может я упустил еще какие-то красивые варианты подобных схем?
В целом же я поленился и выбираю достаточно сильные пароли. Я достаточно подкован в вопросах брута паролей и потому прекрасно представляю себе как сделать так чтобы мои пароли в ближайшие 1000 лет никто не вскрыл, а потом мне все-равно уже будет пофиг :)
>> А всякие putty еще и в реестр срут записями о сессиях.
> да на здоровье. реестр не мой, мне не жалко.Я не хочу оставлять хрен знает кому указатели на мои хосты и прочая.
> Ты зря так. Доступ через wan в большинстве случаев реально не нужен,
> устройство же ближе чем в шаговой доступности. С работы семье резко
> пробросить порт, если только. Да и то, подождут до вечера, чай
> дело не неотложное.Это если вы себе домой покупаете такое решение. Аббревиатуру дословно расшифровать?
А теперь представьте, что вы аутсорсер, который сопровождает несколько десятков мелких офисов и для проброса портов вам теперь ездить в каждый офис... Ну-ну...
Приоритеты снижения риска атак пользователям SOHO маршрутизаторов следует изменить:1) Замена штатной прошивки на открытые дистрибутивы DD-WRT, Tomato или OpenWRT;
2) Регулярное обновление прошивки;
3) Загрузка прошивки только с сайтов соответствующих проектов;
4) ............
...............
> Приоритеты снижения риска атак пользователям SOHO маршрутизаторов следует изменить:
> 1) Замена штатной прошивки на открытые дистрибутивы DD-WRT, Tomato или OpenWRT;Ты точно очком ручаешься, что там-то человеческий фактор не погулял и обычному смертному это гогно будет съедобно?
> 2) Регулярное обновление прошивки;
Ой, что ты! А закирпичивание ты тоже оплатишь в случае фэйдаута энергии, умник?
> 3) Загрузка прошивки только с сайтов соответствующих проектов;
И что, это гарантирует твое очко от перехода в зрительный зал?
> 4) ............
> ...............За чей счет этот банкет? Кто оплачивать будет? (С)
> смертному это гогно будет съедобно?Это намного меньшее гогно чем то что зашивают по дефолту всякие индусотайванокитайцы. У оных получаются куда более упоротые экспонаты. Те кто делает указанные прошивки по крайней мере в состоянии нормально прописать параметры conntrack и прочая, так что девайс не глючит по черному при активном использовании. А вот индусотайванекитайцы могут и влупить таблицу которая в память не лезет, да еще с конскими таймаутами, так что девайс начинает эпически глюкавить если им вдруг более-менее активно пользоваться, например торренты покачать.
>> 2) Регулярное обновление прошивки;
> Ой, что ты! А закирпичивание ты тоже оплатишь в случае фэйдаута энергии, умник?Напишите в спортлото - там разберутся.
> За чей счет этот банкет? Кто оплачивать будет? (С)
А заплатит за все потребитель. Не за обновление - так за участие своих дармовых ресурсов в ботнете.
да-да... давайте все перешивать на DD-WRT, Tomato или OpenWRT. Только сначала узнайте кто его перешьет назад, когда железяку в кирпич превратите. Никто лучше разработчика свое железо не знает по определению. Хотите получить вместо гипотетического взлома вполне реальный головняк с убитой железкой - флаг в руки, начинайте вливать всякое непонятно что в роутер - можете и сами пару байт в прошивке подправить - авось лучше работать будети, да: начинайте кричать, что руки надо иметь прямые, чтобы перешивать. Видели - знаем: многие кричат, а потом приносят свои "кирпичи" на восстановление.
> разработчика свое железо не знает по определению.Это вы просто не смотрели внутрь прошивок всяких длинков и тому подобных. Там везде такой джамшутинг, что ваш тезис разбивается вдребезги. Обычно энтузиасты (которые как правило таки являются профильными специалистами) в состоянии сделать намного более приличные прошивки. Что не отменяет потенциальной возможности факапа.
Кстати, производитель железа как таковой - тот кто чипсет произвел. Они дают какой-то SDK под него, но в общем то для галочки. Т.к. им главное чипы продать. Далее все в меру дурости тех кто чипы на плату паял. Особо китаезные, типа длинка и прочих - просто льют туда нечто референсное, "как дали". Вообще не парясь. И все, скорей-быстрей продавать. Ну, китае-тайваньский бизнес - он такой. Главное что-то выпустить и как-то продать, остальное - вообще не их проблема :)
багет криворукого детектед
> А это вообще не роутер. У меня вот на роутере 5x1G портов
> ("гигабитный свич"). Он еще и управляемый к тому же - вланы
> и все такое, проц роутера может непосредственно им рулить. Ну и
> 300Мбит вайфай и прочая. И все это менее 2000р (~$65). Вот
> это - да, роутером называется. А то что у вас -
> называется "колхозом".регулярно наблюдаю, кстати, таких пионэров, которые уверены, что их девайс с броадкомом и свитчом внутри умеет виланы. из приходящих ни один - ни один - еще не осилил настроить свою мыльницу так, чтобы на ван интерфейс по дефолтному маршруту выдувался тегированый трафик.
>регулярно наблюдаю, кстати, таких пионэров, которые уверены, что их девайс с броадкомом и свитчом внутри умеет виланы. из приходящих ни один - ни один - еще не осилил настроить свою мыльницу так, чтобы на ван интерфейс по дефолтному маршруту выдувался тегированый трафик.Один из нас говорит, что вы ничерта не понимаете как оно там внутри разведено и работает.
Вот смотрите, типовая схемка всех этих мыльниц с N x LAN + 1 x WAN + wifi:
http://wiki.openwrt.org/_media/toh/linksys/openwrt_160nl-l2.pngИ, собственно, в чем проблема сделать do1q для WAN:
ip link add link eth1 name eth1.100 type vlan id 100А если надо, то хоть q-in-q:
ip link add link eth1.100 name eth1.100.200 type vlan id 200Или даже, (о ужас зачем это надо) тройное q-in-q-in-q:
ip link add link eth1.100.200 name eth1.100.200.300 type vlan id 300Нувыпонили.
P.S.
О скорости не будем разводить бодягу, а то можно и циску вспомнить с их process switching всего чего железо не умеет. Хотя, 400 мегагерц вполне переварят 100 мегабит на WAN. А LAN умеет тегировать в железе.P.P.S.
Если не секрет, а зачем "выдувать" наружу тегированный трафик? Вам провайдер dot1q транк отдает?
> Один из нас говорит, что вы ничерта не понимаете как оно там
> внутри разведено и работает.
> Вот смотрите, типовая схемка всех этих мыльниц с N x LAN +
> 1 x WAN + wifi:
> http://wiki.openwrt.org/_media/toh/linksys/openwrt_160nl-l2.pngмне тащемта и не обязательно это понимать - не мой роутер, не мне его настраивать. за картинку спасибо, что и как внутри у этих мыльниц, я приблизительно себе представляю :)
> И, собственно, в чем проблема сделать do1q для WAN:
> ip link add link eth1 name eth1.100 type vlan id 100
> А если надо, то хоть q-in-q:
> ip link add link eth1.100 name eth1.100.200 type vlan id 200
> Или даже, (о ужас зачем это надо) тройное q-in-q-in-q:
> ip link add link eth1.100.200 name eth1.100.200.300 type vlan id 300
> Нувыпонили.коллега, это прекрасно, и я не сомневаюсь, что в ваших руках эта мыльница заработала бы как надо. жаль, что среди админов на стороне клиента таких, как вы, очень мало, по очевидным причинам. один из десяти еще осиливает засунуть в свою мыльницы что-нибудь вроде опенврт, но даже этот десятый понятия не имеет, что с ним делать дальше. а брать такое железо на обслуживание и конфигурить его самому - себе дороже, да и клиенту скорее всего, тоже.
> P.S.
> О скорости не будем разводить бодягу, а то можно и циску вспомнить
> с их process switching всего чего железо не умеет. Хотя, 400
> мегагерц вполне переварят 100 мегабит на WAN. А LAN умеет тегировать
> в железе.
> P.P.S.
> Если не секрет, а зачем "выдувать" наружу тегированный трафик? Вам провайдер dot1q
> транк отдает?вы не хотите знать, зачем это нужно. я сам с удовольствием бы этого не хотел знать :( к сожалению, уже некоторое время приходится обслуживать лютый пионернет, в котором сам черт ногу сломит. время от времени возникает проблема, когда нужно не только сделать транзит между комнатами, но и дать доступ в публичную сеть, при этом в помещении доступен всего 1 (один) сраный порт. ставить клиентскую мыльницу поближе к свитчу не предлагать.
> регулярно наблюдаю, кстати, таких пионэров, которые уверены, что их девайс с броадкомом
> и свитчом внутри умеет виланы.Умеет, умеет. Чисто технически, во многих железяках даже сам свич побит на группы через вланы, по поводу чего на самом деле роутер может входить не в 2 сети "wan" и "lan" а в вообше произвольное количество сетей - любую валидную комбинацию изолированных групп на которую можно распилить этот свич. А дальше уже проц роутера будет гонять трафф между группами по оговоренным правилам. Хотя бывают и варианты. Иногда WAN является выделенным сетевым интерфейсом процессора. Что разумнее с точки зрения производительности. Ясен перец, оно работает по разному.
Насчет "с броадкомом" - тут вообще фиг знает что имелось в виду. Броадком - понятие растяжимое. Потому что есть системный процессор, есть свич, они могут быть как интегрированы так и в отдельных чипах. В гигабитных девайсах например это обычно разные чипы.
> из приходящих ни один - ни один - еще не осилил настроить свою мыльницу так, чтобы на
> ван интерфейс по дефолтному маршруту выдувался тегированый трафик.Ну значит не повезло вам с пионерами. Бывает. Да, возможность проскочить "нахаляву" подразумевает задействование мозгов, извините.
>> регулярно наблюдаю, кстати, таких пионэров, которые уверены, что их девайс с броадкомом
>> и свитчом внутри умеет виланы.
> Умеет, умеет. Чисто технически, во многих железяках даже сам свич побит на
> группы через вланы, по поводу чего на самом деле роутер может
> входить не в 2 сети "wan" и "lan" а в вообше
> произвольное количество сетей - любую валидную комбинацию изолированных групп на которую
> можно распилить этот свич. А дальше уже проц роутера будет гонять
> трафф между группами по оговоренным правилам. Хотя бывают и варианты. Иногда
> WAN является выделенным сетевым интерфейсом процессора. Что разумнее с точки зрения
> производительности. Ясен перец, оно работает по разному.согласен, я, пожалуй, неправильно выразился насчет "не умеет".
Когда переходили на linux у bsd было плохо с поддержкой архитектур отличных от x86, amd64. Хотя, теоретически, могли-бы воспользоваться open/net, у тех с процессорами немного получше, но и ресурсов они потребуют больше. А может кто и делает на них свои роутеры, но никому не говорит (лицензия позволяет, хе-хе). Правда если кто так и делает, то это очередной неуловимый Джо. Не был-бы им - раскопали-бы.
>заменить штатную прошивку на регулярно обновляемые открытые дистрибутивыПродвинуые гики справятся, но что делать обычным юзерам?
Для них сам термин "прошивка" что-то непостижимое и пугающее.
> Продвинуые гики справятся, но что делать обычным юзерам?позвать гика или сходить в СЦ, где сидят три гика. при появлении спроса такие СЦ быстро появятся.
они даже этого не знают
> они даже этого не знаютпроблема не в этом. проблема в том, что не хотят знать.
почему-то при получении прав надо хотя бы как-то ПДД выучить. а при выходе в интернеты — не надо. ах, ну да: там же «человека можно убить», а тут всего лишь какие-то неосязаемые «ресурсы» впустую тратятся.
Кровно заработанное бабло на банковской карте - очень осязаемый ресурс.:)
> почему-то при получении прав надо хотя бы как-то ПДД выучитьНе *надо*. *Можно* изучить, и это один из путей получения прав. А можно и не учить, сэкономить на этом время, купив нужные результате экзаменов.
вообще-то *надо*. ходя виндузятникам удивительно: как это, «варез» и «кряки» — неправильно? для них и «выучил» вместо «купил» — идиотизм.
Зря вы примешиваете сюда вендусятников. Это не вендоболезнь, это современное состояние общества. Естественная отрыжка на обилие и доступность информации. Мозг всячески противится потреблять "лишнюю" информацию. Вы оглядитесь по сторонам, посмотрите на тех кто рядом с вами, посмотрите на себя, в конце концов. Каждый человек выбрал себе какую-то довольно-таки узкую область интересов, и панически боится узнать хоть что-то, что выходит за рамки этой области. Бывают исключения, но они -- редкость.Возможности мозга по усвоению информации не безграничны. И когда информации больше, чем мозг может усвоить включаются защитные механизмы. Фильтры, отфильтровывающие ненужное. Попробуйте проанализировать вашу методику поиска информации в интернете. Вы увидите, что вы поступаете ровно таким же образом: глаза и мозг работают в режиме grep'а по странице, выхватывают лишь определённые ключевые слова и фразы, и моментально следует двигательная реакция: курсор мышки наводится на ссылку и "клик"... и вы уже на другой странице, при этом уже не помните, что же там было на предыдущей. Говорят, так быстрее искать. Но по факту, нельзя сказать, чтобы быстрее. Проще однозначно, меньше усилий требует, но не быстрее.
Мозг перегружен информацией, и мозг защищается. Это особенно ярко видно на примере подрастающих поколений. На примере тех, для кого интернет -- как хлеб и вода, как электричество в розетке, для кого интернет -- явление природы, без которого невозможно представить мир.
И на фоне всего этого, меня давно не удивляет тот факт, что знакомые просят меня поставить им венду или убунту, хотя установка ОС не требует никаких особых знаний. Они подсознательно защищают свой разум от информации, чтобы не дай бог мозги бы не перегрелись от лишней нагрузки.
И что делать? Как спасти подрастающие поколения?
> И что делать? Как спасти подрастающие поколения?Откуда я знаю? Может надо организовать обязательные курсы для родителей? Курсы детской психологии. Рассказать заодно про образовательные/воспитательные методики для разных возрастных групп. Заставить родителей сдать ЕГЭ на эти темы. Несдавших в расход. Как вам такой план? Сработает?
>> И что делать? Как спасти подрастающие поколения?
> Откуда я знаю?Не знаю.
> Может надо организовать обязательные курсы для родителей? Курсы детской
> психологии. Рассказать заодно про образовательные/воспитательные методики для разных
> возрастных групп. Заставить родителей сдать ЕГЭ на эти темы. Несдавших в
> расход. Как вам такой план? Сработает?Нет. Нужен такой план, который может воплощаться ступенчато и начинаться с малого. План "собрать всех и перебить", во-первых, потребует много средств даже на одну такую акцию, а во-вторых, потребует регулярного повторения.
Мож просто интернет отключить? Или разделить на слои?
> План "собрать всех и перебить", во-первых, потребует много средств даже на
> одну такую акцию, а во-вторых, потребует регулярного повторения.Стабильности хочется? Причём без затрат на поддержание этой стабильности? Стабильность такого рода возможна лишь в одном случае, в случае тотального уничтожения человечества. Таким и только таким образом систему можно привести в состояние статического равновесия. Иначе возможно лишь динамическое равновесие, да и то возможно лишь умозрительно.
> Мож просто интернет отключить? Или разделить на слои?
Кому интернет отключить? Всем за исключением тех, кто равнее других? Или детям? Но чтобы отключить детям, надо убедить родителей в том, что надо отключить интернет от детей. То есть можно конечно принять законопроект и успокоиться на этом. На этот закон все положат болт так же, как и на все остальные законы. Но такой закон ещё хуже тотального уничтожения человечества: потрудиться над сочинением закона придётся, придётся ещё потратиться на перепечатывание кучи юридических справочников, а толку ноль -- бездарно потраченные время и деньги.
> Стабильности хочется? Причём без затрат на поддержание этой стабильности? Стабильность
> такого рода возможна лишь в одном случае, в случае тотального уничтожения
> человечества. Таким и только таким образом систему можно привести в состояние
> статического равновесия. Иначе возможно лишь динамическое равновесие, да и то возможно
> лишь умозрительно.Нужна саморегуляция. Чтобы каждое следующее поколение понимало некоторые вещи лучше. Чтобы затраты были только на поддержание центрального аппарата саморегуляции, будь то ЦК КПСС, масоны, вертикаль власти или опричнина.
Ну и чтобы в самом этом культе традиции и желания перевешивали жажду личной развлекушки. Или чтобы в этом смысла не было.
Вообще, схема с ЦК КПСС, Госпланом и партийной ячейкой на каждом заводе - меня устраивает больше всего. Тогда, кстати, в медии популяризировались те, кто достоин, а не те, кто создаёт скандалы и движуху.
>> Мож просто интернет отключить? Или разделить на слои?
> Кому интернет отключить? Всем за исключением тех, кто равнее других?Да всем отключить к едрёной фене. А также убрать www, gopher и анонимность, и превратить в подобие фидо, где аккаунт получается в паспортном столе, чтобы люди знали, что интернет это не только возможность безнаказанно плюнуть, но и ответственность. И чтобы похабщины меньше. Сжечь всю добычу, как повествовал ещё один ролик: http://www.youtube.com/watch?v=lj1HqlvsfIU
Не цепляться за технологии, которые разъединяют людей, а признать их тупиком и отключить. И вернуться к более человечным решениям.
> Или детям?Кто такие дети? Дети - это люди. Все люди - это либо вчерашние дети, либо сегодняшние. А стереотипы человек впитывает не только в детском возрасте, но и в более взрослом. У меня у самого было трое детей, и я, наверное, не меньше учился у них, чем учил их. Родители не воспитывают, вероятно, потому, что их самих не воспитывали. Замкнутый круг. Поэтому воспитывать нужно всех людей, чтобы следующие поколения воспитывались на текущей культуре.
И уж лучше бы они вообще без интернета воспитывались, чем с таким интернетом - потому что интернет уже подчинил себе многих, и не они управляют им, а он - ими, он им командует, что делать и как делать. Без интернета им бы это и в голову не пришло. Слишком уж легко по нему грязь разводится и клонируется, без особых шансов на очищение.
> Нужна саморегуляция. Чтобы каждое следующее поколение понимало некоторые вещи лучше. Чтобы
> затраты были только на поддержание центрального аппарата саморегуляции, будь то ЦК
> КПСС, масоны, вертикаль власти или опричнина.
> Ну и чтобы в самом этом культе традиции и желания перевешивали жажду
> личной развлекушки. Или чтобы в этом смысла не было.Звучит отлично, но пока никто не придумал как так можно сделать.
> Вообще, схема с ЦК КПСС, Госпланом и партийной ячейкой на каждом заводе
> - меня устраивает больше всего. Тогда, кстати, в медии популяризировались те,
> кто достоин, а не те, кто создаёт скандалы и движуху.Эта схема показала свою недееспособность. Правда, ещё не везде, но, запасшись попкорном, наблюдаем и ждём. Может всё-таки можно построить коммунизм в отдельно взятой стране?
>>> Мож просто интернет отключить? Или разделить на слои?
>> Кому интернет отключить? Всем за исключением тех, кто равнее других?
> Да всем отключить к едрёной фене. А также убрать www, gopher и
> анонимность, и превратить в подобие фидо, где аккаунт получается в паспортном
> столе, чтобы люди знали, что интернет это не только возможность безнаказанно
> плюнуть, но и ответственность. И чтобы похабщины меньше. Сжечь всю добычу,
> как повествовал ещё один ролик: http://www.youtube.com/watch?v=lj1HqlvsfIUДа, я тоже с каждым годом всё ближе к этой точке зрения. Думал это признаки приближающейся старости.
>> Или детям?
> Кто такие дети? Дети - это люди. Все люди - это либо
> вчерашние дети, либо сегодняшние. А стереотипы человек впитывает не только в
> детском возрасте, но и в более взрослом. У меня у самого
> было трое детей, и я, наверное, не меньше учился у них,
> чем учил их. Родители не воспитывают, вероятно, потому, что их самих
> не воспитывали. Замкнутый круг. Поэтому воспитывать нужно всех людей, чтобы следующие
> поколения воспитывались на текущей культуре.Ну так и я об этом: принудительные курсы для родителей; заваленные экзамены -- в расход таких родителей. ;)
>> Вообще, схема с ЦК КПСС, Госпланом и партийной ячейкой на каждом заводе
>> - меня устраивает больше всего. Тогда, кстати, в медии популяризировались те,
>> кто достоин, а не те, кто создаёт скандалы и движуху.
> Эта схема показала свою недееспособность. Правда, ещё не везде, но, запасшись попкорном,
> наблюдаем и ждём. Может всё-таки можно построить коммунизм в отдельно взятой
> стране?Почему? Linux, Python, Ubuntu - яркие примеры. У python, правда, партийных ячеек нет.
Это полезный опыт, который можно использовать. Возможно, когда-нибудь, когда какая-нибудь Мандрива или Альт захотят осуществить реальный захват умов и процессоров, они сотворят подобное и в масштабах всей Российской Федерации. Остальной интернет для этого можно даже не ломать, но создать своё медиапространство и кормить его как сверху, наглостью и промушном, так и снизу. Кто устал от большого злого интернета, будет рад. Кто не устал - тех в пионеры не принимать. Думаю, будет весело, если мы когда-нибудь к этому придём.
Давай, буратина, сделаем логический вывод из твоей писанины. Ты хочешь убрать интернет, интернет тебе мешает своей похабщиной, анонимностью и отсутствием ЦК КПСС. Вот ты сам признай тупиком и отключись от удовлетворяющего только жаждущих личной развлекушки интернета. Более того, пусть все запретители соберутся и создадут свою фидо, с ЦК КПСС, партъячейками на производстве, без похабщины и анонимности. И всех своих несовершеннолетних детей в эту фидошку уведите, зачем им похабщина.
> Естественная отрыжка на обилие и доступность информации.нет, это неестественно.
> Мозг всячески противится потреблять «лишнюю» информацию.
это только у тех, у кого он вообще противится работе, а голова для «я туда ем».
> Вы оглядитесь по сторонам, посмотрите на тех кто
> рядом с вами, посмотрите на себя, в конце концов.огляделся. меня окружают люди, которые — как и я — с удовольствием учатся новому. не скажу, что очень целенаправленно, но если рядом будет работать печник, например, то мы его таки достанем вопросами «как-зачем-почему».
> Каждый человек
> выбрал себе какую-то довольно-таки узкую область интересов, и панически боится узнать
> хоть что-то, что выходит за рамки этой области. Бывают исключения, но
> они — редкость.значит, мне повезло с окружением: практически сплошные редкости.
> Возможности мозга по усвоению информации не безграничны.
однако усвоить её можно *очень* много. проще говоря: умрёшь раньше, чем винт переполнится.
> И когда информации больше, чем мозг может усвоить включаются защитные механизмы. Фильтры, отфильтровывающие ненужное.
потому что мозг — это орган. если он нетренирован — то он и усваивает плохо. вполне понятно, что я не пробегу пятьдесят километров так же, как тренированый марафонец. конечно, я попытаюсь как-то отбрыкаться от такой чудесной перспективы. вот и с мозгом то же самое.
> Попробуйте проанализировать вашу методику поиска информации в интернете. Вы увидите, что
> вы поступаете ровно таким же образом: глаза и мозг работают в
> режиме grep'а по странице, выхватывают лишь определённые ключевые слова и фразы,а что, есть другой метод?
> и моментально следует двигательная реакция: курсор мышки наводится на ссылку и
> «клик»… и вы уже на другой странице, при этом уже не
> помните, что же там было на предыдущей.wrong. кликов — далеко не один. в простых случаях может быть два-три, часто — больше двух десятков. потом всё это отсматривается (без закрытия таба поисковика), если оказывается непригодным — критерии поиска уточняются, обращается большее внимание на ссылки, которые по каким-то причинам были пропущены (если это, понятно, не хабр, не русская википедия или не другая подобная помойка). и так — пока или не найду именно то, что искал, или из кусочков не сложится нужная картинка.
> Мозг перегружен информацией, и мозг защищается. Это особенно ярко видно на примере
> подрастающих поколений. На примере тех, для кого интернет — как хлеб
> и вода, как электричество в розетке, для кого интернет — явление
> природы, без которого невозможно представить мир.потому что их не учат «работать мозгами». быть умным — непрестижно. какой авторитет, например, у «ботана»? в лучшем случае — «дай списать». но это уже совсем другая история.
Я не совсем понимаю, зачем вы пишете буквы мне в ответ. :)
Например:
> значит, мне повезло с окружением: практически сплошные редкости.Нет, это не везение. Это естественное развитие событий. Вам более интересны "редкости" нежели "заурядности". И естественно, что среди ваших знакомых "редкостей" больше "заурядностей". Но, вы же должны понимать, что подобная выборка не может считаться репрезентативной. И к чему тогда ваши слова про "редкости" в вашем окружении?
Ещё один пример, где я не могу понять целей, преследуемых вашими буквами:
> кликов — далеко не один. в простых случаях может быть два-три, часто
> [...]Вот к чему вы это всё рассказали? Суть-то от этого не меняется, глаза и мозг работают в режиме grep'а, а ваши многие вкладки лишь подтверждают тенденцию: поскольку вы не пытаетесь запомнить содержимое страницы, но предполагаете что к ней придётся вернуться после первого клика, вы проводите фазу оптимизации -- заранее выбираете всё что потенциально может быть полезным. Если бы страница читалась бы не по диагонали -- одно слово через десять, -- а полноценно, то в этом не было бы никакой необходимости. И многие вкладки были бы не нужны. Хватило бы одной вкладки и кнопки back.
Чуть ниже аноним подметил, что большинство информации в интернете -- спам. Но это тонкости терминологии, в которые я вдаваться не хочу, просто отмечу, что спам, по-моему, тоже информация. Правда менее ценная, или даже совсем бесполезная. Вам сыплют в голову ненужную информацию, даже когда вы в своём личном автомобиле, с выключенным радио и мобильником едете на работу: стоят придорожные рекламные щиты, которые вы не можете не замечать, и не выхватывать с них отдельные рекламные фразы. Если же вы слушаете радио, значит вам обязательно расскажут про какую-нибудь виагру или ещё что-нибудь.
И у вас (впрочем как и у любого другого) есть различные модели поведения в подобной ситуации, либо впитывать эту информацию "as is", без критического анализа полезности, либо
разрабатывать автоматические фильтры контента, которые позволят вам безболезненно отфильтровывать ненужную вам информацию-рекламу, либо сознательно обрабатывать всю информацию и оценивать её полезность. Сознательно обрабатывать -- это можно, но недолго: мозг такая штука, что он приспосабливается к действиям, которые выполняются регулярно и начинает эти действия выполнять в фоновом режиме, переходя к варианту с автоматическим фильтром контента.Такие фильтры у современного человека есть на все случаи потребления информации: для интернетов (глаза моментом вычленяют на странице основной текст пролетая мимо баннеров), для телевизора (мозг определяет рекламный ролик на этапе первичной обработки звука улавливаемого ухом, и человек тут же встаёт налить себе чаю или сходить в туалет).
Но если человек ультрасовременный... Если он родился в эту эпоху, то он с детства тренирован на отфильтровывание всего, что хотя бы немного похоже на ненужную информацию... Если при этом родители ещё постарались в этом направлении и, как это теперь модно, начали учить его читать когда человеку исполнилось два года, и вообще всячески постарались закончить с программой начальной школы к моменту поступления ребёнка в школу, короче постарались перегружать его мозг информацией, которая в общем-то ему ещё не нужна и слишком сложна на данном этапе развития сознания. В 10-12 лет у них (как впрочем и у всех) начинается подростковый возраст и отрицание всего, в 15-16 им начинают компостировать мозги всякими там ЕГЭ, которые надо сдать единожды и забыть про них навечно. И всё это на фоне постоянной тренировки фильтров информации в мозгу при сёрфинге в интернетах. Понятно, что к 18-ти годам такой человек уже воспринимает незнакомое слово (в частности "прошивка") как информацию, от которой надо всеми путями попытаться избавиться.
Ах да, чуть не забыл про ещё один фактор: потреблятство, которое всячески вдалбливают в голову с младенчества. Очень удобная позиция. Вам не приходилось выкладывать в интернетах отчёт о каком-нибудь приспособлении собранном руками? Отчёт о какой-нибудь автоматической поливалке комнатных цветов, или руками собранного из подручных материалов аэратора для аквариума, или самодельного велокомпьютера, или ещё чего-нибудь эдакого? Если приходилось, то вы обязательно видели, что среди первых десяти комментариев как минимум половина будет сводиться к двум словам: "не нужно." Не нужно, потому что можно купить лучше. Вручную может быть и дешевле, но если учесть время затраченное на создание девайса (время -- деньги), то купить выходит дешевле.
Всё это вместе приучает мозг к тому, что ненужные знания не нужны. Вы рассказываете о том, что увлечённо расспрашивали печника... Это пустое любопытство. Вот если бы вы самостоятельно печку сложили бы в результате, тогда это были бы знания. Но самостоятельно печку сложить -- это сложно, это требует не только теоретических знаний, но так же и навыков, которые вероятно придётся вырабатывать в процессе творения. Всё это требует массу времени, а все мы сегодня куда-то ужасно спешим, у нас нет времени на то, чтобы остановиться хоть на секунду.
> это только у тех, у кого он вообще противится работе, а голова для «я туда ем».
Я не согласен с вашим снобизмом: данное явление наблюдается у всех, а не только у тех, у кого голова "а ещё я туда ем". Да, бесспорно, у всех в разной степени. И отсутствие навыка усвоения объёмов информации -- весьма и весьма помогает довести ситуацию до клинической. До вполне реального страха перед новой информацией. Но даже умение усваивать информацию и развитый мозг вполне могут сами себя загнать в ловушку, когда информационные фильтры оказываются более жёсткими чем надо, и полезная информация начинает фильтроваться на подлёте.
Кстати, *риторический* вопрос: какова ваша эмоциональная реакция на данный мой пост. Достаточно объёмный пост, который невозможно схватить одним взглядом? Так-таки вы прочитали его сразу и вдумчиво от начала к концу? Или, как частенько бывает, просканировали по диагонали?
> Я не совсем понимаю, зачем вы пишете буквы мне в ответ. :)а у меня их много, надо куда-то девать.
> что спам, по-моему, тоже информация. Правда менее ценная, или даже совсем
> бесполезная.«бесполезная информация» называется «мусор».
> Вам не приходилось выкладывать в интернетах отчёт о каком-нибудь приспособлении собранном руками?
…
> Если приходилось, то вы обязательно видели, что среди первых десяти
> комментариев как минимум половина будет сводиться к двум словам: «не нужно.»что характерно — в основном на русскоязычных форумах. а вот на англоязычных наблюдал ровно обратное.
> Вы рассказываете о том, что увлечённо расспрашивали печника… Это пустое любопытство.
с такой точки зрения всё, что не нужно в данный момент (и неизвестно когда понадобится) — «пустое любопытство». тут можно было бы написать про специализацию и синтетических специалистов, но мне лень.
>> это только у тех, у кого он вообще противится работе, а голова для «я туда ем».
> Я не согласен с вашим снобизмом: данное явление наблюдается у всехпеть тоже могут все. только некоторым хочется дать денег, чтобы продолжали, а некоторым — чтобы замолчали.
> Кстати, *риторический* вопрос: какова ваша эмоциональная реакция на данный мой пост.
никакая.
Достаточно
> объёмный пост, который невозможно схватить одним взглядом? Так-таки вы прочитали его
> сразу и вдумчиво от начала к концу? Или, как частенько бывает,
> просканировали по диагонали?прочитал целых два раза. один раз — в почтовом клиенте, один раз — когда отвечал. иногда фазу «прочитал в почтовом клиенте» я опускаю, читаю прямо на странице ответа. иногда сначала провожу «быстрый скан», и потом читаю подробно, сразу отвечая.
уж пардон, что решил ответить на риторический вопрос.
а теперь резюме: это ж надо написать столько букв, чтобы сказать простые вещи:
1. большинство людей не умеют работать с информацией;
2. большинство людей не умеют обучать работе с информацией;
3. goto 1.
> что характерно — в основном на русскоязычных форумах. а вот на англоязычных наблюдал ровно обратное.Это, скорее всего, от непонимания - разные культуры, разный юмор, разные особенности, разное знание языка у всего мира. Когда надо мной в заморских форумах и ирцах насмехаются, я, скорее всего, этого не понимаю, потому что знаю только технические фразы.
Если зайти на сайт каких-нибудь канзасцев, где общие страхи и суеверия - там будет не лучше.
Если какие-то словенцы, чехи или поляки заходят на русскоязычные форумы - они тоже не понимают этого, и поэтому в общении с ними люди более тактичны. Или к девочкам, если это не хронически больные люди, обычно тоже относятся уважительно - те в большинстве своём не хамят, да и язык их более приятен (и не только на слух).
> Это, скорее всего, от непониманияэто от того, что общая атмосфера другая. да, «у них» не принято сразу орать «не нужно!!1111» это не значит, что таких мест нет, но в основном — не принято. а вот писать ободряющие комментарии — принято. в самом крайнем случае — не пишут ничего или очень мягко намекают, что «неплохо, конечно, но работать и работать ещё».
>> Это, скорее всего, от непонимания
> это от того, что общая атмосфера другая. да, «у них» не принято
> сразу орать «не нужно!!1111» это не значит, что таких мест нет,
> но в основном — не принято.Да. И этот момент я в своих диванных теоретизированиях упустил. Проклятые пендосы, которые на всю голову потребляти, тем не менее больше нашего уважают чужой труд. Даже бессмысленный и беспощадный труд кухонного изобретателя, который изобрёл ещё один девайс с единственной удивительностью в себе: оно работает несмотря на то, что на первый взгляд ничем не отличается от кучи мусора.
Вероятно, это лишь дело культуры. Общей культуры поведения, которая напрочь отсутствует у русского человека. А может причины глубже. Надо будет поспрошать у них.
> уж пардон, что решил ответить на риторический вопрос.
> а теперь резюме: это ж надо написать столько букв, чтобы сказать простые
> вещи:
> 1. большинство людей не умеют работать с информацией;
> 2. большинство людей не умеют обучать работе с информацией;
> 3. goto 1.1. Я про риторический вопрос написал намеренно, чтобы вы не подумали что размер поста был самоцелью.
2. Тем не менее я зря писал все эти буквы, поскольку возможности вашего мозга к анализу вы используете лишь для одного, для того, чтобы сделать очередной вывод вида "большинство людей не умеют..."
3. Это снобизм, батенька.
я делаю выводы на основе наблюдения за окружающим миром. не умеют. это не снобизм, это состояние вещей.конечно, вслух говорить о том, что большинство людей — тупорылые жвачные животные — не принято. и это одна из причин, по которым они так и остаются жвачными. быть умным — не модно. называть дурака дураком — некультурно. да на здоровье, чо.
а в принципе… мне, в общем-то, пофигу: снобизм — так снобизм. факт того, что я и моё окружение умнее большинства людей и лучше обучены работе с информацией это не изменит. это плохо — хотелось бы наоборот, — но увы.
> Мозг перегружен информацией, и мозг защищается.ничем он не перегружен, просто уже вовлечён в ту или иную игру с предопределенной целью.
> Возможности мозга по усвоению информации не безграничны.вздор, мозг способен работать до "последнего вздоха", просто в потоках информации - все те же самые предложения игры в разных песочницах, вся ценная информация в контекстах, коллизиях, сранениях, в неявной форме, остальное отфильтровано и заклеймено.
> меня давно не удивляет тот факт, что знакомые просят меня поставить им венду или убунту, хотя установка ОС не требует никаких особых знаний.вы - участник игры, поскольку ничего не изменяете, только подыгрываете, у вас есть идентификатор в игре типа "хакер", "программист", "спец", т.д. ну и все при деле, прямо идиллия.
>> Возможности мозга по усвоению информации не безграничны.
> вздор, мозг способен работать до "последнего вздоха"=)
Вы как-то странно формулируете свои мысли. Говоря "вздор" вы, вроде как, постулируете своё несогласие с утверждением. Но следующей фразой упоминаете "последний вздох", признавая таким образом небезграничность возможностей мозга.
Вы пытаетесь подсунуть мне логическую бомбу и довести мой мозг до последнего вздоха? Слишком толстая бомба, как видите я её раскусил без перегрева мозга. ;)
>>> Возможности мозга по усвоению информации не безграничны.
>> вздор, мозг способен работать до "последнего вздоха"
> Вы как-то странно формулируете свои мысли. Говоря "вздор" вы, вроде как, постулируете своё несогласие с утверждением. Но следующей фразой упоминаете "последний вздох", признавая таким образом небезграничность возможностей мозга.Смерть терминирует существование предмета обсуждения информацию, кроме усвоения информацию можно еще и обрабатывать, при этом информационная составляющая общего вала информации снижается, ибо информационные потоки разной природы могут содержать качественно идентичную информацию, различающуюся формой, транспортом, деталями. Возможностей мозга инструментально достаточно для захвата информационного представления внешнего мира в полном объеме. Потому я с вами и несогласен.
> Смерть терминирует существование предмета обсуждения информацию, кроме усвоения информацию
> можно еще и обрабатывать, при этом информационная составляющая общего вала информации
> снижается, ибо информационные потоки разной природы могут содержать качественно идентичную
> информацию, различающуюся формой, транспортом, деталями. Возможностей мозга инструментально
> достаточно для захвата информационного представления внешнего мира в полном объеме. Потому
> я с вами и несогласен.Сколько часов вы сможете выдержать лекцию о покрове у бабочек? Сколько часов вы сможете при этом оставаться в концентрации?
> Сколько часов вы сможете выдержать лекцию о покрове у бабочек?если лектор знает предмет — долго.
на всякий случай: разница между «знать» и «зазубрить» — очень большая. большинство лекторов предмет не знают, а зазубрили.
>> Сколько часов вы сможете выдержать лекцию о покрове у бабочек?
> если лектор знает предмет — долго.
> на всякий случай: разница между «знать» и «зазубрить» — очень
> большая. большинство лекторов предмет не знают, а зазубрили.Три месяца назад я считал, что моя любимая опера - Иоланта. Я её прослушал раз 60. Когда я её слушал последний раз - не помню, наверное, месяц назад. Сейчас в плеере хиты - Опричник и Мазепа. Потому что они мне нравились меньше всего, и испортить от них впечатление было бы не жалко. Кстати, теперь это мои любимые оперы, и их я только за последнюю неделю прослушал раз 20, и пока не надоело. :)
Но речь не об этом, речь о концентрации. У обычного человека мозг не может всё время работать с высокой концентрацией, тем более: в некомфортных ЛИЧНО ЕМУ условиях, в чём-то неинтересном и непонятном (когда придётся разрешить десяток зависимостей, чтобы понять хотя бы первоначальную мысль: это значит, что первоначальную мысль придётся переслушивать 11 раз) или в ущерб чему-то другому.
И восприятие у всех разное - кто-то хорошо помнит, что ему говорят, до знака. А у кого-то - ничего не задерживается. Глупо всех мерить по единому критерию, когда у всех - разные таланты. Я, например, поп..здеть люблю, не умею, но люблю. Меня на пьянках вместо баяна используют - очень полезный навык в народном хозяйстве. Один недостаток - бить хотят часто, нередко и бьют.
*лично я* вёл речь о другом. человек, который *знает* — может и умеет рассказывать увлекательно. его *интересно* слушать. а человек, который зазубрил, способен усыпить, даже рассказывая о теме, которая слушающим важна и интересна.
> *лично я* вёл речь о другом. человек, который *знает* — может и
> умеет рассказывать увлекательно. его *интересно* слушатьЕсли нельзя морально подпевать - то надоедает. Если лекция о том, какой приятный человек Гитлер или какие умные php-шники - я не смогу долго воздавать должное таланту сказителя, потому что мне уж очень тема не нравится.
А если это лекция о том, какой буратино умный и красивый, я могу простить немало пригрешений (хоть и не все). Ведь сразу же видно, что умный человек говорит. :)
я что-то потерял нить: мы о лекциях с пропагандой, или о лекциях с научными фактами? первое мне неинтересно ни в каком виде. а вот про Гитлера и НСДАП, например, можно очень долго и годно рассказывать, там же уйма всего интересного была.
> я что-то потерял нить: мы о лекциях с пропагандой, или о лекциях
> с научными фактами? первое мне неинтересно ни в каком виде. а
> вот про Гитлера и НСДАП, например, можно очень долго и годно
> рассказывать, там же уйма всего интересного была.Мы о мозге, и о том, что одним интересно одно, другим - другое, у одних восприятие одно, у других - другое. то же и с нервной системой, то же и с концентрацией.
всё это не отменяет того, что увлечённый человек может увлечь и других. хоть бабочками, хоть ковровыми бомбардировками. именно потому, что люди сделаны хоть и разными, но по одному шаблону.конечно, есть очень сильные отклонения от шаблона — тогда получается изя, или ваня-однобитный-флоат, или вот «энергия» какая-то. но это крайние случаи, брак на производстве.
> всё это не отменяет того, что увлечённый человек может увлечь и других.
> хоть бабочками, хоть ковровыми бомбардировками. именно потому, что люди сделаны хоть
> и разными, но по одному шаблону.Когда информации было гораздо меньше, а мне было лет восемь, я постоянно всех вокруг таким увлекал, и все слушали, роты разявив. Хотя я в предмете ни малейшего понятия не имел, умел только корчить умную рожу и разбавлять текст внезапными разоблачениями.
А сейчас - умные все стали, точнее стали думать, что они-то самые умные. Подобный стиль от избранных перешёл во власть бедных, и они его крутят, как хотят - по крайней мере, думают, что могут написать не хуже, хотя копируют только форму. А в том, что сейчас популярно, я вообще никакой системы найти не могу. Наверное, всё несколько сложнее. И мне с ними точно не по пути - я банально ничего не понимаю, не чувствую и не воспринимаю. Неужели я такой разный?
И всё же SOHO-маршрутизаторы немного в стороне, согласитесь. :)
Обилие - да, а вот доступность я поставлю под сомнение.
Мозг перегружен фильтрацией потока спама, который со временем не только растёт, но и мимикрирует под полезную информацию.
Детки, я начальник сетевого отдела одной из крупнейших контор в РФ в своем роде, хочу сказать на микротики. Да есть проблемы, да проблемы с роутингом вопиющие, НО в своей ценовой категории просто нет и не предвидется аналогов.
> Детки, я начальник сетевого отдела одной из крупнейших контор в РФ в
> своем роде, хочу сказать на микротики. Да есть проблемы, да проблемы
> с роутингом вопиющие, НО в своей ценовой категории просто нет и
> не предвидется аналогов.Детки хоть русским языком владеют.
>> Детки, я начальник сетевого отдела одной из крупнейших контор в РФ в
>> своем роде, хочу сказать на микротики. Да есть проблемы, да проблемы
>> с роутингом вопиющие, НО в своей ценовой категории просто нет и
>> не предвидется аналогов.
> Детки хоть русским языком владеют.По существу вопроса возражения есть?
>>> Детки, я начальник сетевого отдела одной из крупнейших контор в РФ в
>>> своем роде, хочу сказать на микротики. Да есть проблемы, да проблемы
>>> с роутингом вопиющие, НО в своей ценовой категории просто нет и
>>> не предвидется аналогов.
>> Детки хоть русским языком владеют.
> По существу вопроса возражения есть?Только вопрос: вам не стыдно?
>>>> Детки, я начальник сетевого отдела одной из крупнейших контор в РФ в
>>>> своем роде, хочу сказать на микротики. Да есть проблемы, да проблемы
>>>> с роутингом вопиющие, НО в своей ценовой категории просто нет и
>>>> не предвидется аналогов.
>>> Детки хоть русским языком владеют.
>> По существу вопроса возражения есть?
> Только вопрос: вам не стыдно?Нет, а надо?
>> Только вопрос: вам не стыдно?
> Нет, а надо?Почему, когда начальник чего-то там гордится своей безграмотностью - это сегодня нормально. Раз уж гордиться больше нечем.
Просто есть и другие, которым стыдно. По крайней мере, были.
>>> Только вопрос: вам не стыдно?
>> Нет, а надо?
> Почему, когда начальник чего-то там гордится своей безграмотностью - это сегодня нормально.
> Раз уж гордиться больше нечем.
> Просто есть и другие, которым стыдно. По крайней мере, были.Интересно какие умозаключения привели вас к слову "гордитесь"
> Детки, я…автор статей, текстов и постов…
> Детки, я начальник сетевого отдела одной из крупнейших контор в РФ в своем родесейчас мы наверно все должны обосраться от страха?
Детки, я начальник сетевого отдела одной из крупнейших контор в РФ в
своем роде, где вы ещё найдёте общественный туалет с ИТ отделом.
Ради любопытства решил проверить обновление dd-wrt. Глухо с 2010 года.
> Ради любопытства решил проверить обновление dd-wrt. Глухо с 2010 года.Их и так ftp://ftp.dd-wrt.com/others/eko/BrainSlayer-V24-preSP2/2013/.../ неплохо кормят.
В Linux вё очень сложно и не очевидно с сетевой подсисистемой. Производители выбрали самый неэффективный сетевой стек и средства управления им. Лучше бы взяли BSD pf, и всем было бы хорошо и просто, кроме крякеров.
> В Linux вё очень сложно и не очевидно с сетевой подсисистемой. Производители
> выбрали самый неэффективный сетевой стек и средства управления им. Лучше бы
> взяли BSD pf, и всем было бы хорошо и просто, кроме
> крякеров.Эксперт по линаксу и бизнес-аналитике советует FreeBSD! </рекомендации лучших>
+++Ждём реакции Рынка!
> В Linux вё очень сложно и не очевидно с сетевой подсисистемой. Производители
> выбрали самый неэффективный сетевой стек и средства управления им. Лучше бы
> взяли BSD pf, и всем было бы хорошо и просто, кроме крякеров.Некоторым хоть кол на голове теши...
Изя, поясните привселюдно: в чём именно преимущества BSD pf при условии вывешивания на внешний адрес httpd/sshd/telnetd с "инженерным" доступом?
PS: вывешивании Очень Грамотным Производителем Прошивки, если вдруг не дошло.
Гы, изя-жавист внезапно стал ыкспертом по сетевой подсистеме Линукса. Окей, и в чем преимущество pf`а (кстати, причем здесь ваще он?) перед netfilter/iptables, когда светится telnetd наружу с паролем "123" и никакой баклан его после настройки дома не сменил? PF сам пароль дефолтный сменит что ли? Вообшем ты, как обычно, в своём репертуаре. Я, кстати, если что, постоянно пользуюсь DragonFlyBSD и на работе и дома, она мне нравится, она стройна, красива и понятна, но я такой шизофренией, как ты, не страдаю. Изя, может ты болен?