Goto page Previous 1, 2, 3, 4, 5, 6 Next
Mateusz Viste
Guest
Wed Dec 19, 2018 9:29 am
On Tue, 18 Dec 2018 23:06:53 +0100, Mirek wrote:
Quote:
On 18.12.2018 21:06, J.F. wrote:
Ale jak?
Taki typowy DNAT nie wpusci przeciez pakietow, jesli wczesniej nie
wyszlo żądanie nawiazania polaczenia.
No więc wysyła się to żądanie z obydwu stron. Trzeba tylko znać IP i
porty (do tego służy protokół stun).
Dodatkowym haczykiem jest tu fakt, że każdemu po drodze może zmieniać się
także port źródłowy, więc nie tak prosto jest trafić jednocześnie i po
omacku na kombinację zgodnych port src1+port dst1+port src2+port dst2.
Mateusz
J.F.
Guest
Wed Dec 19, 2018 9:53 am
Dnia Wed, 19 Dec 2018 00:30:03 GMT, Marcin Debowski napisał(a):
Quote:
On 2018-12-18, J.F. <jfox_xnospamx@poczta.onet.pl> wrote:
Nawiązać się nie da. Jak już nawiążesz, to "trzeci" jest już
niepotrzebny... chyba, że komuś zmieni się IP albo coś się zrestartuje.
Na upartego możesz uzgodnić IP i porty telefonicznie...
Ale jak?
Taki typowy DNAT nie wpusci przeciez pakietow, jesli wczesniej nie
wyszlo żądanie nawiazania polaczenia.
Nie znam szczegółów, ale wystarczy że coś gdzies poslesz (spróbujesz
posłać na zewnątrz) a masz już na zewnątrz otwarty port, którym będzie
mozliwa komunikacja w drugą stronę (dostanie odpowiedzi) - host A.
Nalezy teraz tylko poinformowac innego uczestnika wymiany (host B) co to
za port. Do tego słuzy trzeci uczestnik (C) (bo B tez jest za NATem).
Cos takiego mi wlasnie chodzi po glowie, ale jak zaczalem myslec
.... komputer A wysyla pakiet z adres1:port1 do adres2:port2.
Jego DNAT zmienia adres i port zrodlowy na adres3:port3, ale docelowy
zostawia.
I sobie zapamietuje ze przychodzace z adres2:port2 na adres3:port3
kierowac do komputera A, po zmianie celu na adres1:port1.
I odlegly komputer B mogly przeslac dane, gdyby taki pakiet wyslal.
Ale dalej widze schody.
-adres3 powiedzmy ze latwo zgadnac, ale port3 jaki jest ?
tego komp A nie wie.
-jesli komp B wlaczony do internetu bezposrednio, to niby moze
wyslac pakiet z falszywym adresem zrodlowym, ale czy jego dostawca
tego nie obetnie ?
Poza tym to by byla lacznosc w jedna strone, i zupelnie
niepotrzebna, bo wszak mozna prosto do kompa B wyslac pakiety.
-ale mnie interesuje, gdy komp B stoi za podobnym DNAT.
wtedy raczej nie zmusi swojego NAT, zeby zmienil adres na taki jak
sobie zyczy.
Skype faktycznie mnostwo pakietow wysylal, i ciekaw jestem - szukal
szczescia w ustawieniach NAT, czy po prostu wylapywal "serwery" w
sieci.
Bo taka bezserwerowa siec ... ciekawa.
Quote:
A jak go nie ma to jedyny sposób to przeskanowanie lub walenie na oslep
po całym zakresie portów A (połaczyć się, zobaczyć czy otwarty, jak
otwarty to czy to co na nim słucha jest to czego chcemy), co niektóre
programy robią, a co jest niezbyt eleganckie.
Dla Skype byc moze, dla innych watpliwe.
No i NAT takiego skanowania nie przepusci.
J.
J.F.
Guest
Wed Dec 19, 2018 11:10 am
Dnia Sat, 15 Dec 2018 13:29:19 +0100, Piotr Gałka napisał(a):
Quote:
http://wyborcza.pl/7,156282,24291336,pierwszy-europejski-kraj-rezygnuje-z-huawei-na-razie-w-urzedach.html
Czesi wycofuja ... ale ciekawe czy im sie uda - bo to trzeba jakos
uzasadnic w przetargu ...
J.
Mirek
Guest
Wed Dec 19, 2018 8:53 pm
On 19.12.2018 09:29, Mateusz Viste wrote:
Quote:
Dodatkowym haczykiem jest tu fakt, że każdemu po drodze może zmieniać się
także port źródłowy,
No z definicji zmienia się przy każdym NAT, ale... nie dam sobie ogolić
głowy ale obstawiam, że typowy, domowy ruter nie zmienia portu
źródłowego jeśli nie ma kolizji z innym połączeniem, a z racji tego, że
porty wybierane są losowo - zdarza się to niezmiernie rzadko (portów
dużo, a urządzeń w sieci lokalnej mało).
--
Mirek.
Mirek
Guest
Wed Dec 19, 2018 9:09 pm
On 19.12.2018 09:53, J.F. wrote:
Quote:
Bo taka bezserwerowa siec ... ciekawa.
Są plusy ujemne i dodatnie. IPv6 umożliwia nadanie każdemu urządzeniu
sieciowemu na Ziemi unikalny, zewnętrzny adres... tylko że właściwie nie
ma takiej potrzeby: jak ktoś potrzebuje to wykupuje stały ip v4 bez
problemu. Przy zamawianiu serwera dedykowanego dostałem do niego 5
stałych adresów... korzystam z jednego.
--
Mirek.
J.F.
Guest
Wed Dec 19, 2018 10:15 pm
Dnia Wed, 19 Dec 2018 21:09:16 +0100, Mirek napisał(a):
Quote:
On 19.12.2018 09:53, J.F. wrote:
Bo taka bezserwerowa siec ... ciekawa.
Są plusy ujemne i dodatnie. IPv6 umożliwia nadanie każdemu urządzeniu
sieciowemu na Ziemi unikalny, zewnętrzny adres...
A routing zadziala ?
Tylko w Skype jest inny problem - jak odnalezc adres potrzebnego
komputera, jesli nie ma zadnego serwera, ktory przypisania pamieta ...
J.
Piotr Wyderski
Guest
Sun Dec 23, 2018 11:05 am
Piotr Gałka wrote:
Quote:
Załóżmy, że chciałbym sam stwierdzić, czy w takim czymś siedzi jakaś
pluskwa. Miałbym jakieś szanse?
W każdym procesorze Intela masz taką "pluskwę":
https://www.zdnet.com/article/minix-intels-hidden-in-chip-operating-system/
Quote:
W sensie hardwareowym to wyobrażam sobie jedynie pełne rozrysowanie
schematu i ustalenie faktycznej funkcji każdego elementu a i to człowiek
nie byłby pewien, czy przypadkiem rzecz nie jest ukryta jako drugi chip
w jakimś scalaku.
To Ci nic nie da, jeśli ktoś się uprze ukryć taki układ na płytce.
Kilka lat temu czytałem o eksperymencie polegającym na tym, by pobawić
się napięciem progowym MOSFETów i zbudować układ, który działa inaczej
przy napięciu obniżonym, a inaczej przy katalogowym. A wystarczy jedna
taka ukryta brameczka "OR" na linii kontroli uprawnień do wykonania
instrukcji uprzywilejowanej i kto o tym wie, ten dostęp dostanie.
Pozdrawiam, Piotr
Piotr Wyderski
Guest
Sun Dec 23, 2018 11:23 am
Marcin Debowski wrote:
Quote:
Ale nie potrafię uniknąć przekładania między komputerem roboczym a
sieciowym pen-drive'ów :)
Wszystko pod Windows?
A co ma do tego Windows? Pendrive może w każdej chwili zażądać
re-enumelacji na USB i stać się klawiaturą, która wprowadzi do
dowolnego systemu co sobie twórca założył.
https://hackmag.com/security/rubber-ducky/
Dostałeś ostatnio jakiś wiatraczek USB czy inny gadżet reklamowy? :->
Pozdrawiam, Piotr
J.F.
Guest
Sun Dec 23, 2018 11:47 am
Użytkownik "Piotr Wyderski" napisał w wiadomości grup
dyskusyjnych:pvnnnu$8gp$1@node2.news.atman.pl...
Marcin Debowski wrote:
Quote:
Ale nie potrafię uniknąć przekładania między komputerem roboczym a
sieciowym pen-drive'ów :)
Wszystko pod Windows?
A co ma do tego Windows? Pendrive może w każdej chwili zażądać
re-enumelacji na USB i stać się klawiaturą, która wprowadzi do
dowolnego systemu co sobie twórca założył.
https://hackmag.com/security/rubber-ducky/
Dostałeś ostatnio jakiś wiatraczek USB czy inny gadżet reklamowy? :-
I wiatraczek zabootuje w nocy wlasny system ... no moze :-)
Czyli co - specjalny kabelek na wiatraczki sobie zrobic, bez linii
danych,
czy raczej jakis interfejsik blokujacy nieznane urzadzenia ?
J.
Piotr GaĹka
Guest
Thu Dec 27, 2018 3:58 pm
W dniu 2018-12-19 o 02:15, Marcin Debowski pisze:
Quote:
W zalezności od tego jakie mogłyby być straty i ilości danych robiłbym
tez okresowe backupy (np. raz na tydzień), które są fizycznie odłaczone
od stacji roboczej.
Robię prawie codziennie na pendrive. Ale potrafię sobie wyobrazić,
program, który szyfruje wszystko, ale cały czas udaje, że nie jest
poszyfrowane. A po jakimś czasie (jak mój backup też zostanie
zniszczony) usunie swój fragment zawierający deszyfrowanie on-line i
wtedy da komunikat o okupie.
Quote:
Ale nie potrafię uniknąć przekładania między komputerem roboczym a
sieciowym pen-drive'ów :)
Wszystko pod Windows?
Windows.
P.G.
Irek.N.
Guest
Thu Dec 27, 2018 9:13 pm
U mnie jest tak, że istotne dane (np: księgowe) są na osobnym serwerze,
do którego dostęp jest przez firewall udostępniający tylko (o ile
pamiętam) 2 porty MySQL-owe. Żadnych szans na zarażenie kompa czy też
dostęp do plików na nim. Gorzej natomiast z serwerem projektowym. Co
prawda wymaga logowania, ale jak ktoś się zaloguje, to mając uprawnienia
może zniszczyć katalogi. Tutaj nie widzę skutecznego zabezpieczenia,
jedynie robienie kopii.
No i oczywiście nic nie trzymamy na kompach, wszystko na serwerach, więc
jak pojedynczy komp padnie, to jedynie strata czasu na reinstalację i
utrata maili wychodzących (też nie zawsze).
Swoją drogą, zna ktoś jakiegoś antywira z dobrym firewall-em? Kiedyś
używałem Zone Alarm, ale zeszmacili się (próbowali mnie okraść), więc
zmieniłem. Nowy to ESET, ale ich firewall to jakaś pomyłka, pomijając
fakt, że ich pomoc nie ogarnia programu (jedna licencja mi padła i nie
potrafili jej uruchomić poprawnie). Polecano mi F-secure, ale bez
przekonania że firewall rozróżnia żądania aplikacji do dostępu w sieci
lokalnej lub zewnętrznej. Więc szukam nadal...
Szkoda tego ZA, działał jak należało :(
Miłego.
Irek.N.
BQB
Guest
Fri Dec 28, 2018 8:45 am
W dniu 27.12.2018 o 21:13, Irek.N. pisze:
Quote:
U mnie jest tak, że istotne dane (np: księgowe) są na osobnym serwerze,
do którego dostęp jest przez firewall udostępniający tylko (o ile
pamiętam) 2 porty MySQL-owe. Żadnych szans na zarażenie kompa czy też
dostęp do plików na nim. Gorzej natomiast z serwerem projektowym. Co
prawda wymaga logowania, ale jak ktoś się zaloguje, to mając uprawnienia
może zniszczyć katalogi. Tutaj nie widzę skutecznego zabezpieczenia,
jedynie robienie kopii.
No i oczywiście nic nie trzymamy na kompach, wszystko na serwerach, więc
jak pojedynczy komp padnie, to jedynie strata czasu na reinstalację i
utrata maili wychodzących (też nie zawsze).
U znajomego w firmie właśnie wirus zaszyfrował pliki na komputerze i na
serwerze do których użytkownik miał dostęp, a że miał dostęp prawie do
wszystkiego, to okup zapłacić musieli.
Irek.N.
Guest
Fri Dec 28, 2018 11:00 pm
Quote:
U znajomego w firmie właśnie wirus zaszyfrował pliki na komputerze i na
serwerze do których użytkownik miał dostęp, a że miał dostęp prawie do
wszystkiego, to okup zapłacić musieli.
Odszyfrowali im? Ile?
Miłego.
Irek.N.
jedrek
Guest
Tue Jan 01, 2019 5:58 pm
"Mateusz Viste" news:5c18ad94$0$19236$426a74cc@news.free.fr
Quote:
Jakimś tam wyjątkiem jest/było
skype, które staje na głowie by łączyć się z wszystkim co się rusza,
rozsyłając przy tym miliony pakietów, w świat.
Czy Skype jak już zestawi połączenie między dwoma użytkownikami siedzącymi
obustronnie za NAT-ami (zakładam, że relizuje to serwer bez którego takie
zestawienie by nie zaistniało) to już serwer nie pośredniczy w takim ruchu
do czasu jak takie połączenie zostanie zakończone? Czy raczej rozmowa dalej
leci przez serwer? (Stąd często kulawa jakość audio, bo serwer zapchany
ruchem? Czy raczej już tylko kwestia kulawej, dławiącej się trasy między
połączonymi dwoma rozmówcami?) Który pośredniczy cały czas pośredniczy w
ruchu?
Czy zestawienie się różni jeżeli jedna ze stron ma publiczny IP
(przekierowany port na maszynę w LAN) czy dla skype to nie ma żadnego
znaczenia? Inne programy gdy jedna ze stron dysponuje publicznym IP
pozwalają zestawić eleganckie połączenie p2p bez jakichś tam zewnętrznych
serwerów, np. sympatyczny, lekki mumble
https://wiki.mumble.info/wiki/Main_Page gdzie autor projektu wymyślił mały
serwer, który odpalamy sobie na maszynie, która ma dostęp do publicznego IP
i leci bardzo sympatycznie.
J.F.
Guest
Tue Jan 01, 2019 8:15 pm
Dnia Tue, 1 Jan 2019 17:58:08 +0100, jedrek napisał(a):
Quote:
"Mateusz Viste" news:5c18ad94$0$19236$426a74cc@news.free.fr
Jakimś tam wyjątkiem jest/było
skype, które staje na głowie by łączyć się z wszystkim co się rusza,
rozsyłając przy tym miliony pakietów, w świat.
Czy Skype jak już zestawi połączenie między dwoma użytkownikami siedzącymi
obustronnie za NAT-ami (zakładam, że relizuje to serwer bez którego takie
zestawienie by nie zaistniało) to już serwer nie pośredniczy w takim ruchu
do czasu jak takie połączenie zostanie zakończone? Czy raczej rozmowa dalej
leci przez serwer?
IMO - przez serwer, bo to omijanie NAT nie takie proste.
Tylko ze dawniej Skype nie mial serwerow.
I zdaje sie, ze wykorzystywal do tego kompy wlaczone do internetu bez
NAT, robiac z nich tymczasowe serwery, bez wiedzy uzytkownikow.
J.
Goto page Previous 1, 2, 3, 4, 5, 6 Next