Dwa lata temu odłączyłem się z roboczym komputerem od sieci aby nie ryzykować, że ktoś mi zaszyfruje dane (zakładam, że programy takie mogą być na tyle mądre, że zaszyfrują też wtedy dysk sieciowy z backupem) i będzie chciał okupu.
Ale nie potrafię uniknąć przekładania między komputerem roboczym a sieciowym pen-drive'ów :) P.G.
Nie znam szczegółów, ale wystarczy że coś gdzies poslesz (spróbujesz posłać na zewnątrz) a masz już na zewnątrz otwarty port, którym będzie mozliwa komunikacja w drugą stronę (dostanie odpowiedzi) - host A. Nalezy teraz tylko poinformowac innego uczestnika wymiany (host B) co to za port. Do tego słuzy trzeci uczestnik (C) (bo B tez jest za NATem). A jak go nie ma to jedyny sposób to przeskanowanie lub walenie na oslep po całym zakresie portów A (połaczyć się, zobaczyć czy otwarty, jak otwarty to czy to co na nim słucha jest to czego chcemy), co niektóre programy robią, a co jest niezbyt eleganckie.
W zalezności od tego jakie mogłyby być straty i ilości danych robiłbym tez okresowe backupy (np. raz na tydzień), które są fizycznie odłaczone od stacji roboczej.
Dodatkowym haczykiem jest tu fakt, że każdemu po drodze może zmieniać się także port źródłowy, więc nie tak prosto jest trafić jednocześnie i po omacku na kombinację zgodnych port src1+port dst1+port src2+port dst2.
Cos takiego mi wlasnie chodzi po glowie, ale jak zaczalem myslec ... komputer A wysyla pakiet z adres1:port1 do adres2:port2. Jego DNAT zmienia adres i port zrodlowy na adres3:port3, ale docelowy zostawia. I sobie zapamietuje ze przychodzace z adres2:port2 na adres3:port3 kierowac do komputera A, po zmianie celu na adres1:port1. I odlegly komputer B mogly przeslac dane, gdyby taki pakiet wyslal.
Ale dalej widze schody.
-adres3 powiedzmy ze latwo zgadnac, ale port3 jaki jest ? tego komp A nie wie.
-jesli komp B wlaczony do internetu bezposrednio, to niby moze wyslac pakiet z falszywym adresem zrodlowym, ale czy jego dostawca tego nie obetnie ? Poza tym to by byla lacznosc w jedna strone, i zupelnie niepotrzebna, bo wszak mozna prosto do kompa B wyslac pakiety.
-ale mnie interesuje, gdy komp B stoi za podobnym DNAT. wtedy raczej nie zmusi swojego NAT, zeby zmienil adres na taki jak sobie zyczy.
Skype faktycznie mnostwo pakietow wysylal, i ciekaw jestem - szukal szczescia w ustawieniach NAT, czy po prostu wylapywal "serwery" w sieci. Bo taka bezserwerowa siec ... ciekawa.
Dla Skype byc moze, dla innych watpliwe. No i NAT takiego skanowania nie przepusci.
No z definicji zmienia się przy każdym NAT, ale... nie dam sobie ogolić głowy ale obstawiam, że typowy, domowy ruter nie zmienia portu źródłowego jeśli nie ma kolizji z innym połączeniem, a z racji tego, że porty wybierane są losowo - zdarza się to niezmiernie rzadko (portów dużo, a urządzeń w sieci lokalnej mało).
Są plusy ujemne i dodatnie. IPv6 umożliwia nadanie każdemu urządzeniu sieciowemu na Ziemi unikalny, zewnętrzny adres... tylko że właściwie nie ma takiej potrzeby: jak ktoś potrzebuje to wykupuje stały ip v4 bez problemu. Przy zamawianiu serwera dedykowanego dostałem do niego 5 stałych adresów... korzystam z jednego.
To Ci nic nie da, jeśli ktoś się uprze ukryć taki układ na płytce. Kilka lat temu czytałem o eksperymencie polegającym na tym, by pobawić się napięciem progowym MOSFETów i zbudować układ, który działa inaczej przy napięciu obniżonym, a inaczej przy katalogowym. A wystarczy jedna taka ukryta brameczka "OR" na linii kontroli uprawnień do wykonania instrukcji uprzywilejowanej i kto o tym wie, ten dostęp dostanie.
A co ma do tego Windows? Pendrive może w każdej chwili zażądać re-enumelacji na USB i stać się klawiaturą, która wprowadzi do dowolnego systemu co sobie twórca założył.
formatting link
Dostałeś ostatnio jakiś wiatraczek USB czy inny gadżet reklamowy? :->
Robię prawie codziennie na pendrive. Ale potrafię sobie wyobrazić, program, który szyfruje wszystko, ale cały czas udaje, że nie jest poszyfrowane. A po jakimś czasie (jak mój backup też zostanie zniszczony) usunie swój fragment zawierający deszyfrowanie on-line i wtedy da komunikat o okupie.
U mnie jest tak, że istotne dane (np: księgowe) są na osobnym serwerze, do którego dostęp jest przez firewall udostępniający tylko (o ile pamiętam) 2 porty MySQL-owe. Żadnych szans na zarażenie kompa czy też dostęp do plików na nim. Gorzej natomiast z serwerem projektowym. Co prawda wymaga logowania, ale jak ktoś się zaloguje, to mając uprawnienia może zniszczyć katalogi. Tutaj nie widzę skutecznego zabezpieczenia, jedynie robienie kopii. No i oczywiście nic nie trzymamy na kompach, wszystko na serwerach, więc jak pojedynczy komp padnie, to jedynie strata czasu na reinstalację i utrata maili wychodzących (też nie zawsze).
Swoją drogą, zna ktoś jakiegoś antywira z dobrym firewall-em? Kiedyś używałem Zone Alarm, ale zeszmacili się (próbowali mnie okraść), więc zmieniłem. Nowy to ESET, ale ich firewall to jakaś pomyłka, pomijając fakt, że ich pomoc nie ogarnia programu (jedna licencja mi padła i nie potrafili jej uruchomić poprawnie). Polecano mi F-secure, ale bez przekonania że firewall rozróżnia żądania aplikacji do dostępu w sieci lokalnej lub zewnętrznej. Więc szukam nadal... Szkoda tego ZA, działał jak należało :(
U znajomego w firmie właśnie wirus zaszyfrował pliki na komputerze i na serwerze do których użytkownik miał dostęp, a że miał dostęp prawie do wszystkiego, to okup zapłacić musieli.
Czy Skype jak już zestawi połączenie między dwoma użytkownikami siedzącymi obustronnie za NAT-ami (zakładam, że relizuje to serwer bez którego takie zestawienie by nie zaistniało) to już serwer nie pośredniczy w takim ruchu do czasu jak takie połączenie zostanie zakończone? Czy raczej rozmowa dalej leci przez serwer? (Stąd często kulawa jakość audio, bo serwer zapchany ruchem? Czy raczej już tylko kwestia kulawej, dławiącej się trasy między połączonymi dwoma rozmówcami?) Który pośredniczy cały czas pośredniczy w ruchu? Czy zestawienie się różni jeżeli jedna ze stron ma publiczny IP (przekierowany port na maszynę w LAN) czy dla skype to nie ma żadnego znaczenia? Inne programy gdy jedna ze stron dysponuje publicznym IP pozwalają zestawić eleganckie połączenie p2p bez jakichś tam zewnętrznych serwerów, np. sympatyczny, lekki mumble
formatting link
gdzie autor projektu wymyślił mały serwer, który odpalamy sobie na maszynie, która ma dostęp do publicznego IP i leci bardzo sympatycznie.
ElectronDepot website is not affiliated with any of the manufacturers or service providers discussed here.
All logos and trade names are the property of their respective owners.