Добрый вечер. Ребята, у кого нить есть лицензия ФСТЭК?

Мне сегодня очень бы хотелось излить душу, и рассказать много хорошего что случилось со мной сегодня благодаря спецтехнологиям...

Но увы... :(

Дядя Майор )

Жаль)) Наша компания хочет в это все окунуться))

получить лицензию

а крипту тоже планируете?

Добрый вечер. Ребята, у кого нить есть лицензия ФСТЭК?

Какая именно?

У нас было два шассика семьдесят-второй цыски, 75 корпусов каталистов, 5 стоек с джуниперами, пол-стойки просто серваков и целое множество маршрутизаторов всех сортов и расцветок, а также экстрим, хуавей, ящик коммутаторов, ворох виртуалок в чужом дата-центре и квагга. Не то что бы это был необходимый запас для провайдера. Но если начал собирать дурь - трудно остановиться. Единственное что вызывало у меня опасение - это микротики. Нет ничего более беспомощного, безответственного и испорченного, чем сети, построенные на микротиках. Я знал, что рано или поздно мы перейдем и на эту дрянь.

просто поинтересуюсь - а Сааб тут тусутеся?

Какая именно?

лицензия фстэк на техническую защиту информации

там же несколько их видов

на попытки попытки повозмущаться делают вид что ты дурак, ничего не понимаешь

ну, надо просто пофлудить днс-запросами в сторону произвольного хоста

флудилка лопнет поди

у них там таких флудеров сколько у меня абонентов нет вообще

все поди предусмотрено.

кхм... так уж и всё?

а кто его знает. предполагаю что людей они нанять могут

нормальных

Мы должны дать ей название?

Гуглы ноды по трехбуквенной аббревиатуре ближайшего аэропорта называют (+ название оператора)

флудилка лопнет поди

На самом деле нет. Если запрос в кеше - все будет ок. Если нет - это будет ой. Как минимум, можно попросить ptr для всего интернета

Гуглы ноды по трехбуквенной аббревиатуре ближайшего аэропорта называют (+ название оператора)

Спасибо!

Запамятовал, а если dhcp_snooping включен, то статикой уже ip не назначить?

Запамятовал, а если dhcp_snooping включен, то статикой уже ip не назначить?

в паре с ISG если только

ну хотя от реализации все зависит

в паре с ISG если только

Не, думаю над тем как защититься от подмен ip, impb не нравится

DHCP Opt82 + IGS + PortSecurity?

Запамятовал, а если dhcp_snooping включен, то статикой уже ip не назначить?

Будет.

Ещё можно qinq +macip

Не, думаю над тем как защититься от подмен ip, impb не нравится

ISG как раз такие записи по логике и должен автоматически добавлять

ISG как раз такие записи по логике и должен автоматически добавлять

А без igs никак? У нас ее нет) да и трфика много

Допустим на smartedge dhcp relay, авторизация по opt.82 +логин/пароль. Но в данном случае можно работать со статикой в локалке просто так, занимая чужие IP

Допустим на smartedge dhcp relay, авторизация по opt.82 +логин/пароль. Но в данном случае можно работать со статикой в локалке просто так, занимая чужие IP

Сделай один мак на один порт а в авторизации привяжи мак к ip

А что такое igs?

Ребята, что посоветуете под нефлоу?

Так же интересна теиа защиты от статики

Сделай один мак на один порт а в авторизации привяжи мак к ip

Хочется уйти от обязательств юзера мучать сменой маков

nfsen задолбал падать

Ребята, что посоветуете под нефлоу?

Всмысле чем статистику данные обработать?

Всмысле чем статистику данные обработать?

да

QinQ до браса и ip-unnumbered роут на интерфейс

И пусть хоть обставится внутри статикой

Хочется уйти от обязательств юзера мучать сменой маков

Так вот так и не будут они менять его. Сломался у него роутер. Купил он новый с новым маком. Зашёл в админку. Привязал новый один мак на свой порт. Все

ERROR: nfsend connect() error: Connection refused! ERROR: nfsend - connection failed!! ERROR: Can not initialize globals!

QinQ до браса и ip-unnumbered роут на интерфейс

Уже предложил. Но видимо не вариант

ERROR: nfsend connect() error: Connection refused! ERROR: nfsend - connection failed!! ERROR: Can not initialize globals!

Последний раз когда я юзал нетфлоу то пользовался просто ланбилингом. А до этого тоже всякие грабли были

Так вот так и не будут они менять его. Сломался у него роутер. Купил он новый с новым маком. Зашёл в админку. Привязал новый один мак на свой порт. Все

Лишние движения, максимум что он должен это еще раз ввести логин/пароль. QinQ да, но рассматривается как крайняя мера

Igs как расшифровывается? Подскажите плиз, чет не гугглится

Покопать в сторону ограничения анонсов арп может

В голове все уложилось, за исключением защиты от статики

Лишние движения, максимум что он должен это еще раз ввести логин/пароль. QinQ да, но рассматривается как крайняя мера

Всмысле лишние? Как ты уникальность клиента проверешь? ни как что ли?!

а у клиентов не горят роутеры?

А что такое igs?

Isg

они маки не меняют что ли?

Ну да, логично что он мак может хоть каждый час менять

ну сделай так что, если новый мак на порту где привязан уже mac+ip. клиента перекидывало на страницу админки. И он там просым вводом логина и пароля меняет сам себе мак. ДАЖЕ НЕ ЗНАЯ ОБ ЭТОМ

Ограничивать не корректно

Isg

Спс

но только смотри, в его влане тебе нужно будет например давать другой айпишник ему, на не авторизированный мак

ну сделай так что, если новый мак на порту где привязан уже mac+ip. клиента перекидывало на страницу админки. И он там просым вводом логина и пароля меняет сам себе мак. ДАЖЕ НЕ ЗНАЯ ОБ ЭТОМ

А вот это идея

ну т.е. если у него левый мак он получает ип 172. А если свой мак, то получает ип, например реальный

так ты сможешь сам видеть кто откуда заходит и с какими маками

короче нормальная статистика по юзерам будет

ну т.е. если у него левый мак он получает ип 172. А если свой мак, то получает ип, например реальный

Это я с помощью pbr сделаю

Последний раз когда я юзал нетфлоу то пользовался просто ланбилингом. А до этого тоже всякие грабли были

я netflow раз в пол года ползаю, когда абузы приходят) и постоянно какой то гемор с ним

прилетел DDOS, а его даже не посмотреть

я netflow раз в пол года ползаю, когда абузы приходят) и постоянно какой то гемор с ним

сам вспоминаю как страшный сон....

Ребята, что посоветуете под нефлоу?

ng_neflow?)

хотя не знаю ваших олбъемов

Все равно эти привязки и ограничения геммор еще тот.

ну без них никуда

ng_neflow?)

пара гигабит в чс

т.е. не много

У меня с полугодовыми аптаймами и записью на zfs нормально тянет

попробуйте

посмотрю вечерком

прилетел DDOS, а его даже не посмотреть

я ловлю nfcapd, пишу около 15Мбайт/минуту, анализирую nfdump

не падает

ntop стоит, но не помню когда его последний раз смотрели. ;)

а ещё обнаружил что trafshow умеет в реальном времени показывать netflow

Во , надо поколупатт

nfsen задолбал падать

В смысле?

Ручками запросы делай

скоро заблочат ютуб? ;)

​Голландские студенты завели youtube-канал, на котором пробуют наркотики ради науки goo.gl/FQBzLS

У нас было два шассика семьдесят-второй цыски, 75 корпусов каталистов, 5 стоек с джуниперами, пол-стойки просто серваков и целое множество маршрутизаторов всех сортов и расцветок, а также экстрим, хуавей, ящик коммутаторов, ворох виртуалок в чужом дата-центре и квагга. Не то что бы это был необходимый запас для провайдера. Но если начал собирать дурь - трудно остановиться. Единственное что вызывало у меня опасение - это микротики. Нет ничего более беспомощного, безответственного и испорченного, чем сети, построенные на микротиках. Я знал, что рано или поздно мы перейдем и на эту дрянь.

Чего-то напоминает по стилю, не могу вспомнить

Чего-то напоминает по стилю, не могу вспомнить

Страх и ненависть в Лас-Вегасе же

)

)

Зря ты прикалывался ))) баги нашли, где то порты поменяют где то еще кое что нашаманят

)

сегодня лучше стало

Не мне бога, люди ржут конями

Не мне бога, люди ржут конями

просто им на все насрать, сидят за зарплату... пока не пнешь и мордой не ткнешь...

Не мне бога, люди ржут конями

В сторону Инаполиса базу не правильно настроили, так что с обычных девайсов ее вообще не видно... С нашего видно но не цепляется, с другого нашего цепляется и всю емкость выжирает

починили сегодня

в другом месте у вас же транспорт вместо гбит-а притащили 100мбит... Обещают на следующей неделе поменять порты

Вот зараза, запустил вещание телевидения. Хочешь или нет - нужно тесты гонять. Теперь семейство запало на сериалы.

с Core PS пока что разбираются, и судя по логам захода в мониторинг наш очень активно разбираются ))