Citat:
Djaki: Mislim da malo skreces temu, imas jednostavnu postavku problema (skroluj nagore da ne citiram) ja kazem AKO imas ISA-u (ako koristis windows vrlo je verovatno da za proxy koristis ISA server i nigde ne kazem STAVI ISA server) mozes da stavis GFI sa tri klika misa imas detaljnu analizu ko sta radi ako neces tako i umes malo bolje da baratas sa bazama i/ili cristal reportsom podesi ISA-u da loguje na SQL pa pravi izvestaje po zelji, ja znam da tako sigurno moze.
Drugo dal ce firma koristiti nelegalan software ili imati para za legalan ili kupovati high-end switcheve to ne mogu da kazem ali ce im router i proxy u svim varjantama trebati ako hoce da idu na net (opet ne kazem da ne mogu bez toga verovatno postoji neko interesantno teoretski veoma zanimljivo resenje) a pretpostavljam da vecina proxy servera ima slicne mogucnosti i uopste ne vidim gde ja to favorizujem ISA server.
AKO imas ISA Server=AKO imas bolje switcheve. U cemu je razlika?
Da ce im bas proxy trebati da bi isli na net...pa nemoj da pretjerujes. Moze, ali i ne mora, zar ne?!
Citat:
Djaki:
Ti kazes da bi mogao da nadgledas saobracaj na switch-u ja kazem da bi to bilo extra tesko izvodljivo (negde i nemuguce) u formi da nadgledas sav saobracaj pa onda procenjujes koji je koristan Internet saobracaj a koji intranet
A odakle ti ideja o nadgledanju svega? Ja npr. na cisco switchu mogu da napravim VLAN access mapu pomocu koje kazem da me od onoga sto prelazi preko tog i tog vlana zanima samo capture saobracaj sa subneta x.x.x.x prema inernetu, ostalo uopste necu da vidim. Ovo je jedan primjer. Sta ti tu nije jasno? Ljudi ovo rade svaki dan, pa niko ne smatra da je nemoguce/tesko izvodljivo.
Citat:
Djaki: mogucnost da ti je mreza razdvojena routerima (recimo imas 2-3 lokacije medjusobno povezane wan linkom) itd. znaci krajnje gadan zadatak a nisam video da je neko uspesno implementirao tako nesto, cak ni pokusao, niti vidim sta bi sa tim dobio ako zeli samo da nadgleda internet saobracaj u odnosu na "standardne" metode...
Pa u ovom slucaju ti mjenjas scenario :) Ali, onda lijepo imas netflow, za koji ce ti trebati 3 komande i aplikacija za analizu (hoces besplatnu, custom, skupu...sta ti volja)
Citat:
Djaki
Druga stvar je da nagledas port na switch-u koji je spojen na router, pa to je potpuno isto kao da nadgledas port na routeru koji je spojen na switch odnosno vise lici na ono sto ja predlazem a nema veze sa svi ostalim tezama koje ti iznosis, naravno trebao bi ti neki bolji switch dok gotovo svi routeri imaju mogucnos logovanja saobracaja kroz njih tako da ne vidim poentu.
A da ipak pogledas malo bolje moje prethodne postove?! Na kojem ces portu pratiti saobracaj nije nesto sto sam ja kategoricki postavio u formu teze koju spominjes. Moj primjer je spominjao dva korisnicka porta + 1 port prema ruteru. zakljucak je bio:
Citat:
OK, stavis port mirroring sa portova 1/2 i 1/3 na port 1/4 na kojem recimo imas NAM/bilo kakav sniffer/IDS itd itd...narano, span mozes da stavis i na port 1/1, u rx-u, tx-u, ma kako hoces
Razlika je u tome sto odredjene aplikacije ne mogu da stavim na ruter. Recimo, hocu da pratim rmon statistiku saobracaja na nekom uredjaju koji je za to specijalizovan. Pa sudeci po tebi, trebao bi, npr., NAM da stavim na ruter? !!!
Mislim...postoje primjene i primjene...to sto si ti vidio da jedna vrsta dobro radi, ne znaci da je ovo ostalo nemoguce, nepotrebno i da to niko ne koristi/ne zna/ne moze :)
IDS Senzori, kao i vecina dobrih stvari su izmisljeni da bi ti pomogli i nastali su kao plod kreativnosti admina. Ako je problem napraviti custom signaturu koja ce da prati sav IP saobracaj i ugasiti sve ostalo, onda ne treba ni da koristis IDS.
A ako ti treba info o tome koliko je ko npr, skidao mp3-eva, ne znam zbog cega mislis da to ne moze? I zbog cega je to izmisljanje tople vode? IDS je, ponavljam, tu da sluzi tebi, a ne ti njemu :) Napraviti custom signaturu za to sto ti treba najcesce je najmanji problem - nije to nikakva "veca izmjena". Kakav je to IDS koji nije u stanju da prepoznaje protokole i "cita" dublje po layerima 5/6/7?! Problem nastaje sa identifikacijom korisnika...ali za to i imas AAA accounting. Mnogo jeftinija varijanta od kupovine Win Servera+ISa Servera je kupiti switch koji podrzava 802.1x autentifikaciju i iimati na AAA Serveru kompletan accounting.
Naravno, sad ce neko da predlozi varijantu sa linuksom od 30 eura...ali, sto da ne....sve su to mogucnosti, pa ko voli nek izvoli.
Pozdrav
Sasa