שיטת חיבור 2 מחשבים בכבלים ללא חייגן דרך סוויצ' + שיתוף תיקיות בינהם, ועוד...

[Holy]

1. בוא תסביר לי ב-ICS שאתה עושה שיתוף קבצים במחשב השרת מה מונע מאנשים באינטרנט להכנס אליך?

מחשב השרת הוא בדיוק כמו כל אחד מהמחשבים ברשת שלו, מחובר גם לרשת פנימית (192.168.0) וגם לרשת האינטרנט

כל הבעיות אבטחה שאתה מציין קיימות גם במחשב השרת!

2. מה אכפת לי למה האתר הזה חושב שזה נועד? זה עובד מצויין ואין שום סיבה לא להשתמש בזה.

3. דרך FTP תקבל אולי 10% יותר מהעברת קבצים דרך הוינדוס כאשר אתה ברשת מקומית של 100Mbps בדוק

4. שוב למה אתה חושב ששיתוף קבצים במחשב השרת הוא בטוח?

5. כל התגובות שלי רציניות ומבוססות על ידע

[the_cool]

1-כי ב-ics יש nat אשר מפריד את הרשת הפנימית מהחיצונית,לכן מידע שאתה משתף בין מחשבים מוגן.

שיתוף קבצים בין מחשבים שלא נמצאים תחת רשת פנימית מסוכן ולא יעיל.

בתצורה שלו אין ממש הפרדה בין רשת פנימית לחיצונית.

שוב,לא מדובר פה על כניסה למחשב שרת..אלא על העברת מידע בצורה בטוחה בין מחשבים.כאשר יש תנאים אתה יכול לשים הגנות על המשאבים שאתה משתף שמשהו לא מורשה לא ייגש למשאבים שאתה משתף.

לדעתי כל עוד אין לך ממש הפרדה פיסית בין רשת פנימית לחיצונית,לא מומלץ לשתף קבצים(וזאת גם בחיבור ללא חייגן במצב של ריבוי כתובות ip).

2-הדיעה של האתר לא משחק פה--מה שחשוב זה הלינק לשרשור שיש שם.לא יעוזר כלום,דרך אלטרנטיב בtcp/ip לא משתפים קבצים כי זה נותן לך את ההפרדה הדרושה.

3-זה לפחות שיפור מאוד גדול במהירות.

אני את דעתי הבהרתי,

שפותח התארד יבחר לעצמו את השיקולים שלו.

יום נעים.

[Holy]

ההפרדה הזאת שאתה טוען שקיימת פשוט לא קיימת

לא יודע מה גרם לך לחשוב שאם אתה עושה ICS אז הקבצים שאתה משתף אוטוטמית יודעים שיש לך ICS ולכן יש לך רשת פנימית

כשאתה עושה שיתוף קבצים הוא פתוח לכל מי שיכול ליצור TCP Connection על הפורט של השיתוף עם המחשב.

מהנקודה הזאת הדבר היחיד שיכול לחסום אותו עם Access denied הם ההרשאות שנתת לקובץ, במקרה הדיפולטי ההרשאות הן guest ולכן אם משתמש ב-guest אצלך במחשב לא חסום ואין לו סיסמא כל אחד באינטרנט יוכל להכנס לך למחשב לא משנה אם יש לך ICS או ראוטר או כל דבר אחר.

ההפרדה הזאת שאתה טוען שקיימת פשוט לא קיימת.

כש-XP רק יצא בהגדרות הדיפולטיות של הוינדוס ה-guest היה פתוח ללא סיסמא ולכן כל שיתוף קבצים שעשית במחשב היה חשוף לכל מי שבאינטרנט ללא קשר לסוג החיבור, ואת זה אני יודע מניסיון.

היום בדיפולטי ה-guest חסום.

[the_cool]

1-ועוד איך קיימת.

ב-ics נורמלי במחשב הראשי כרטיס רשת אחד מקבל כתובת ip חיצונית וכרטיס רשת שני כתובת פנימית,תוסיף nat ותקבל שממש יש הפרדה!!!

זה מה שאומר שרק על הראשי אתה חייב חומת-אש כי הוא חשוף לאינטנרט,בשאר המחשבים ממש לא!!

הדרבה,שיש נתב ועוד איך אתה מוגן בתוך רשת פנימית ואף אחד מבחוץ לא יכול להכנס אליך מבלי שיהיה מחובר לנתב...שום חומת-אש לא צריך ושום נעליים,אפשר לשתף קבצים בשקט בתוך רשת פנימית מוגנת.

בתצורה המדוברת פה,ממש אין הפרדה בי 2 הרשתות ואתה חייב חומת-אש על כל מחשב!.

2-הרשאות ויוזרים זה סיפור בכלל אחר שלא קשור לדיון הזה.

מה קורה שיש לך מערכת קבצים fat32 שאין בה אפשרות להרשאות?! גם אז תגיד שיש אפשרות של הרשאות.

[Holy]

1. אין שום ספק שחייבים חומת אש על כל מחשב אבל כל הקישקוש הזה שאתה מדבר על הפרדה בין רשתות ושיתוף קבצים פשוט לא נכון

במחשב שרת ICS אם לא יהיה firewall אפשר יהיה להכנס מהאינטרנט לכל הספריות שבשיתוף (אבל הלקוחות ICS מוגנים)

בדיוק כמו שברשת שלו אפשר יהיה להכנס למחשב לכל אחד מהמחשבים לשיתוף קבצים אם לא יהיה firewall.

מה הסיפור הגדול כל כך להתקין firewall על כל מחשב? firewall מגן גם על חיבורים יוצאים מה ש-NAT לא מסוגל לעשות. אם אכישהו יכנס לך תוכנה זדונית למחשב לקוח ב-NAT התוכנה תהיה מסוגלת בלי שום בעיה להתחבר למחשב כלשהו באינטרנט ולשלוח לו כמה מידע שהיא רק רוצה. Firewall טוב (לא זה של SP2) יחסום גם תקשורת יוצאת.

אני פשוט לא מצליח להבין מה גורם לך לחשוב שההפרדה בין הרשתות משפיעה על השיתוף קבצים.

בראוטר אם תפתח את הפורט של השיתוף קבצים למחשב מסויים (לדמגוא אם הגדרת אותו ב-DMZ) אז אם לא יהיה על המחשב זה firewall אפשר יהיה להכנס לכל הספריות שבשיתוף.

2. צריך להבדיל בין 2 סוגי הרשאות, הרשאות לקבצים בתוך המחשב שלך שקיימת רק ב-NTSC והרשאות על ספריות משותפות שלא תליה במערכת קבצים (ועובד מצויין גם כל FAT32)

אין שום בעיה לעשות ספריה משותפת עם הרשאות ספציפיות ב-FAT32

[the_cool]

צר לי לאכז אותך..אתה פשוט לא יודע על מה אתה מדבר ומטעה סתם אנשים ואני מותפע ממשתמש כמוך לרמת בורות כזאת!!!

פשוט תפסיק לדבר שטויות.

מה זה בכלל פורט לשיתוף קבצים?!מה הקשר לחומת-אש פה בכלל?! מדברים פה נטו על אבטחת מידע.

שיתוף הקבצים נעשה בפרוטוקולים של Windows ו-TCPIP בכלל מעורב כאן ולכן על איזה פורטים אתה מדבר --אתה פשוט מערבב שתי דברים שונים ביחד.

ברגע שאין הפרדת NAT בין הרשת הפנימית לרשת החיצונית(וזה מה שקורה בתצורת רשת העוקמה שאנו דנים כאן), כל המידע דולף לרשת הכבלים עם כל המשמעויות הרלוונטיות.

נתב נורמלי או רשת ics נותנים לך את ההגנה הזאת,נקודה!

איך אתה יכול להגיד לי שמתג יודע לנתב מידע(וזה בעצם מה שאתה טוען שהוא עושה הפרדה)-כלומר להפריד בין מידע שמיועד לרשת פנימית ולרשת חיצונית..פשוט מאחר מתג לא מנתב מידע,המידע יצא מהמתג לשתי הרשתות ואז המידע ידלוף לאינטרנט.

מה שחשוב למשתמש הפשוט זה לא שיפור בביצועים אלא באבטחת המידע שלו,ורשת בחיבור ללא חייגן,ריבוי כתובות ip או כל רשת אחרת לא תתן לך את ההגנה הזאת.

ושוב מספיק למצוא חלופות ושיטת עקומות לשתף מידע.

יום נעים ומקווה שהפנמת את המסר שלי.

[Nemesis]

the_tool צודק.

צורת העבודה המתוארת כאן מסוכנת מאוד.

קודם כל הסויטץ' אמור לדעת לאפשר שיתוף משאבים בין המשאבים גם בלי לצאת לספק כיוון שהוא יוצר לעצמו טבלאות ניתוב לכל פורט.

דבר שני, ברגע שלכל מחשב יש כתובת חוקית משלו כל מחשב חשוף למפגעים רבים מאוד.

הגישה המועדפת לאבטחה היא סגור הכל, ופתח רק מה שדרוש לך. אם הוא מבצע את זה בעזרת הפיירוול של חלונות או כל פיירוול אחר, זה אותו מאמץ בדיוק להגדיר את זה גם בנתב.

לאחר מכן, אם למחשבים יש כתובת חוקית ושיתוף הקבצים והמדפסות בחלונות פעילים, כל חפץ יכול לבוא מהאינטרנט ולגשת ישירות לכתובת ה IP ולחטט שם כאוות נפשו אם הגישה לא מוגבלת ברמת מערכת הקבצים והתיקייה המשותפת.

כל זה נפתר בעזרת נתב כלשהו (גם ICS זה נתב) המבצע NAPT.

כאשר אתה יושב מאחורי נתב (או ICS), רק המחשב המחובר לאינטרנט מקבל כתובת חוקית. כל מחשב שנמצא מאחורי הנתב מקבל כתובת ברשת הפנימית ולכן אף אחד לא יכול לגשת בפרוטוקול TCP מהרשת החיצונית לכל משאב משותף אלא אם כן הוא מוגדר בפירוש בטבלאות הניתוב!

אם אתה מתעקש לעבוד בצורה הזאת דאג להתקין פיירוול קצת יותר משוכלל שמאפשר בנוסף לשליטה כללית על פורטים פתוחים וסגורים גם להגדיר מאיזה טווחי כתובות אפשר לגשת לפורטים ומאיזה טווחים אי אפשר.

[the_cool]

סוף סוף משהו פה אומר דברים נכונים...רק שגם חומת-אש לא תעזור כי היא פשוט תפריע לשיתוף קבצים,עדין המידע ידלוף לאינטרנט כי המתג לא עושה לך את ההפרדה הדרושה.

תמיד מומלץ לשים חומת-אש על מחשב כאשר הוא לא נמצא ברשת פנימית והוא מקבל כתובת ip חוקית.

בראוטר אם תפתח את הפורט של השיתוף קבצים למחשב מסויים (לדמגוא אם הגדרת אותו ב-DMZ) אז אם לא יהיה על המחשב זה firewall אפשר יהיה להכנס לכל הספריות שבשיתוף

הצחקת אותי..אם ככה אתה לא יודע מה זה DMZ ולמה הוא משמש--אין קשר בכלל לשיתוף קבצים.

ותבין משהו:

הרי שיש לך בסיס טוב ומוגן לשיתוף קבצים אתה יכול להגביל גישות למשאבים ע"י הרשאות מתאימות(ב-ntfs אתה יכול להתעסק עם זה יותר כי זו מערכת קבצים יותר מוגנת).

[Nemesis]

the_cool:

אם יש לך חומת אש מספיק משוכללת (אני לא יודע איזה חומת אש לצרכן ביתי מספקת את האופציות האלה - אבל לדוגמא הצ'ק פוינט Express בהחלט עושה את העבודה), ניתן להגדיר בחומת האש Rule שחוסם פורטים של שיתוף קבצים ו RPC לכל כתובת מלבד הכתובות של המחשבים האחרים ברשת.

המתג, ברגע שהוא למד את הרגל שאליה מחובר מחשב נוסף ברשת, אוטומטית מידע המיועד אליה יועבר לשם ישירות בלי לצאת החוצה דרך המודם. כמובן שבהתחלה כאשר הוא לא יודע מה הכתובת הוא יבצע Broadcast.

[the_cool]

נממסיס...תאמין לי שאם חומת-אש הייתה עוזרת לי הייתי מדבר בכלל.

תבין..אנו מדברים פה על המידע שנכנס לתוך הפקטים של tcp/ip ולכן אין פה שום פורט רלוונטי,זה ממש לא עוזר שלמתג יש טבלה פנימית..הוא לא מנתב מידע,נקודה!

כל מידע שכרטיס הרשת ישדר למתג יעבור גם לרשת הפנימית וגם למודם ומשם לרשת החיצוניות לאינטרנט.

רק ברגע שיש הפרדה מוחלטת בין 2 הרשתות המידע שעובר בפקטים של tcp/ip הוא יוכל להיות מנותב בצורה בטוחה.

[Holy]

DMZ הוא אזור לא מוגן ברשת

ברגע שאתה מגדיר מחשב כלשהו להיות ב-DMZ כל הפורטים אוטומטית מופנים אליו.

הוכחה - http://www.edimax.com/html/Faq/FAQ_BR6104k.htm#5

If a PC is set to be DMZ host, then this PC has all ports open

בין כל הפורטים האלה נמצא הפורט של השיתוף קבצים בוינדוס.

ברגע שהפורט הזה מופנה למחשב שהגדרת ב-DMZ כל מחשב באינטרנט יכול ליצור TCP Connection אליו על הפורט הנ"ל ולעשות מה שהוא רוצה בקבצים המשותפים.

שיתוף קבצים בוינדוס עובד מעל SMB שעובד מעל פורט 445 של TCP.

הוכחה http://www.petri.co.il/what_is_port_445_in_w2kxp.htm

Among the new ports used by Windows 2000, Windows XP and Windows Server 2003, is TCP port 445 which is used for SMB over TCP.

The SMB (Server Message Block) protocol is used among other things for file sharing in Windows NT/2000/XP

רוב ההגנה על שיתוף הקבצים מתבצע ע"י סגירת הפורט הנ"ל.

הסיבה היחידה שהקבצים על הלקוחות ב-ICS מוגנים היא שהפורט 445 לא מופנה אליהם ולכן אין אפשרות ליצור מולם TCP Connection.

המתג כן עושה בתוכו הפרדה, פה בדיוק הטעות שלך. אם המידע היה זולג למודם הוא היה עובד במהירות של המודם ולא במהירות של הרשת הפנימית.

מתג מחזיק בתוכו טבלה שממפה כתובות MAC לפורטים

כשאתה מנסה ממחשב 192.168.0.1 להתחבר למחשב 192.168.0.2 ע"י פניה ישירה ל-IP 192.168.0.2 בפעם הראשונה מה שמתבצע מאחורי הקלעים בגדול הוא ככה

מחשב 192.168.0.1 מבצע פרוטוקול ARP שזה Address Resolution Protocol בשביל לקבל את כתובת ה-MAC המתאימה למחשב הנ"ל.

מה שקורה הוא שמחשב 192.168.0.1 שולח Brodcast בשכבת ה-Ethernet (כלומר חבילה שלא מכילה IP Header ומעלה) בחיפוש אחר IP מספר 192.168.0.2.

המתג שמקבל את ה-Brodcast הנ"ל שולח אותו לכל הפורטים הפיזיים שלו. בין היתר מחשב 2 יקבל את הבקשה, יגלה שהוא בעל הכתובת הנ"ל ויחזיר תשובה. התשובה תעבור דרך המתג והמתג יגלה פתאום שמהפורט הפיזי אליו מחובר מחשב 2 הוא קיבל חבילה עם ה-MAC Address של מחשב 2 ויוסיף אותו לטבלה שהוא מחזיק עם הפורט הפיזי המתאים.

מעכשיו כל חבילה שתגיע למתג שהיעד שלה הוא ה-MAC Address של מחשב 2 המתג ישלח ישירות לפורט הפיזי של מחשב מספר 2 ולא למודם.

במקביל המתג שלח גם את ההודעה ה-Brodcast למודם, המודם יראה שההודעה הגיע מכתובת IP 192.168.0.1 שהיא כתובת השמורה לרשתות פנימיות ולכן הוא יתעלם ממנה.

זה סוף הסיפור, התקשורת בין במחשבים תתבצע מעכשיו רק מעל המתג ולא תגיע בחיים למודם. המידע לא זולג לשום מקום.

הסבר על איך ARP עובד - http://www.erg.abdn.ac.uk/users/gorry/course/inet-pages/arp.html

הדבר היחיד שאני מסכים איתו הוא שב-ICS יש לך מחשב אתה חשוף לסכנות ופה כל המחשבים חשופים במידה זהה לרמת שהמחשב האחד היה חשוף ב-ICS. ובכל מקרה גם ב-ICS רצוי מאד מאד להתקין Firewall על כל המחשבים.

אני מציע לך ללמוד עוד קצת איך עובדים כל הפרוטוקולים ברשת.

תקרא פה ותראה בדיוק את כל השטויות שאנשים כותבים מסביב לאבטחת שיתוף קבצים

http://cable-dsl.home.att.net/netbios.htm

אם עדיין יש משהו שכתוב פה שמבסס משהו ממה שאמרת פה [glow=red,2,300]עם הוכחות [/glow] אז תודיע לי

אני לא מתכוון להגיב יותר לתגובות שלך שמבוססות על השארות שלך ולא על מידע מוכח מהאינטרנט

[Nemesis]

יופי הולי, חסכת לי תגובה ארוכה בנוגע לצורת העבודה של סוויצ'ים

[the_cool]

אתה היחידי שפה מטעה ואני בטוח שגם בעבר הטעת פה אנשים אם הבורות שלך!! אני נדהם מהתגובות שלך פשוט.

כל מה שאמרת בכלל לא רלוונטי כי המידע בכלל מוכנס לאחר מכן לפקטים של פרוטוקול tcp/ip ומשם הוא צריך להיות מנותב לכן,שום פורטים ושום דבר אחר לא קשורים,תפסיק לדבר שטויות!!!!!

עוד הפעם--מתג לא יוצר הפרדה ולכן המידע שאתה משדר חשוף לאינטרנט,נקודה ואתה יכול להגיד מה שאתה רוצה!!!

מנהל הפורום--איפה התגובה שלך בשרשור הזה?

לא יכול להיות שאתה נותן לבן-אדם לדבר שטויות ולהטעות אנשים וככה לסכן את המידע.

[Boomerang]

נו, תהיתי מתי תגיעו ל- DMZ, רק ממה שאני יודע, זה לא ש- DMZ הוא לא מוגן-

הוא נגיש גם מהאינטרנט וגם מהרשת הפנימית, אבל לא יכול לגשת (או מוגבל מאוד בגישה) לרשת הפנימית, ותעבורה ממנו לרשת הפנימית עוברת inspection רציני.

בדר"כ ב- DMZ נמצאים שרתי האינטרנט של חברה שצריכים להיות מקושרים למאגרי המידע שלה.

כאשר אתה מקבל כתובת IP אינטרנטית (כלומר לא פנימית) לכל מחשב, ה- Firewall הפנימי מאוד לא אפקטיבי, כי הוא לא יכול להבדיל בין תעבורת LAN לאינטרנט. זה אומר שמישהו מהאינטרנט יכול לשלוח לך פקטות מזויפות מהאינטרנט ככה שתחשוב שהן מגיעות מה- LAN, ולגרום לך את כל הנזק בעולם שהוא רוצה.

[the_cool]

Boomerang:

dMZ החלט לא נושא השיחה פה והולי הכניס אותו שם לדיון!

תבינו:

המידע ברשת Windows עובר ב-NETBIOS שעובר אינקפסולציה לתוך פקטים של TCPIP--לכן אין קשר לפורט וכל השטויות שהולי רשם.

מתג בחיים לא יודע לנתב מידע,הוא ללא יודע להבדיל בין רשת פנימית לחיצונית שהמידע משודר לכן הוא מעביר אותם ל2 הרשתות.