|
|
От
|
dap
|
|
|
К
|
Secator
|
|
|
Дата
|
24.12.2009 15:42:33
|
|
|
Рубрики
|
Современность; Армия;
|
|
Re: [2Дмитрий Козырев]...
>1. А так эти протоколы, а так же ip адреса и способы борьбы с ними известны вообще всем! А противник имеет возможность пакостить не вставая с дивана.
Вероятный противник и так все знает. Это широкораспостраненная информация ее не скрыть. Пакостить с дивана он не будет т.к. обладает соответствующими средствами. А на кулхацкеров наплевать.
>2. Из этого принципа не следует, что противнику надо облегчать задачу.
Нужно облегчать задачу себе, пользуясь отработанными технологиями.
>Существует три типовые задачи
>защиты объекта:
>отсюда: http://referat.niv.ru/referat/016/01600089-p1.htm
Давайте не будем теоретизировать, а рассмотрим конкретную задачу - защита каналов всязи в территориально распределенной сети. И посмотрим как меняется модель угроз в случае использования открытых сетей в дополнение к существующим линиям связи.
>В данном случае гарантий нет вообще никаких. И промежуточные узлы связи не известно кто контролирует.
Как раз известно - это крупные телекоммуникационные компании. Имеющие вагон и маленькую тележку лицензий и сертификатов. И тесно сотрудничающие с соответствующими органами.
>Вот именно, если нет доступа. Пришел новоиспеченный сержант поиграться на компьютере. Поставил игрушку и троянчик заработал по всей сети МО.
А почему у вас сержанты имеют возможность утанавливать на компьютеры дополнительный софт? На компьютерах с чуствительной информацией должна быть создана замкнутая програмная среда. Соответствующие решения уже есть и используются в госконторах.
И причем здесь внешние сети? Он может точно также унести данные на флешке. Вы знаете сколько данных помещается на MicroSD карте, которую можно пронести хоть во рту хоть в ж...е.
>1. Эти линии контролируются. и стоят на сигнализации. Так что вы не копнете.
И что толку? Что мешает не вызывая срабатывания сигнализации заложить фугас который подорвет линию в нужный момент?
>2. Вы путаете каналы связи и каналы передачи данных.
Канал связи это частный случай.
>3. Даже если вы прослушаете, то прослушаете голый шифр, не зная ни какк он защищен ни какую имеет структуру пакетов, ни куда отправляется, ни от кого. И подмену пакетов тоже сделать не сможете.
Как он защищен и структуру пакетов противник уже знает, не обольщайтеся.
Куда отправляется и от кого известно - куда ведет линия связи для вероятного противника не секрет.
А прослушивание и подмену вы не сможете сделать и при использовании открытых сетей - весь трафик зашифрован.
>Я не знаю как в пентагоне организована сеть, но через открытый сервер, можно получить точки входа к другим адресам сети (если они в одной сети).
А с чего вы взяли что они в одной сети? Если они в DMZ то с web-сервера вы никуда не попадете.
>У нас должна быть физическая развязка между компами (сетями) открытыми и закрытыми.
Развязка не обязательно должна быть на физическом уровне. Если на выходе из внутренней сети стоит криптошлюз - вы во внутреннюю сеть не попадете. А портов наружу на КШ скорее всего нет, так как управление производится изнутри - следовательно ломать нечего. Конечно можно предположить, что посылая какие-нибудь особо хитрые пакеты можно вызвать переполнение буфера и выполнение своего кода на КШ, но это крайне маловероятно. Разработчики должны быть совсем без головы, а сертифицирующие службы слепыми.