От Secator
К Дмитрий Козырев
Дата 23.12.2009 16:36:09
Рубрики Современность; Армия;

Re: [2Дмитрий Козырев]...

>Ваши взгляды (тезисно) изложены тут http://vif2ne.ru/nvk/forum/archive/1818/1818037.htm
>собствено да, обсуждения нет, т.к. Вам не интересно почему Вас считают неправым.
Так скажите мне (тезисно), в чем я не прав?

>Мог бы, когда собеседника это интересует.
И про тактический опыт тоже пожалуйста

>для этого должны быть выдвинуты какие то доказываемые тезисы.
Взгляните на первую строчку

>>Но вы можете доказывать свою "тактическую гениальность"
>В этом нет никакой необходимости.
Отчего же, было бы очень интересно. Страна должна знать своих героев.
От Дмитрий Козырев
К Secator (23.12.2009 16:36:09)
Дата 23.12.2009 16:49:57

Re: [2Дмитрий Козырев]...

>>Ваши взгляды (тезисно) изложены тут http://vif2ne.ru/nvk/forum/archive/1818/1818037.htm
>>собствено да, обсуждения нет, т.к. Вам не интересно почему Вас считают неправым.
>Так скажите мне (тезисно), в чем я не прав?

в том что "вирусны атаки и взломы" никак не связаны со "степенью доверия к интернет-каналам.
Интернет соединение хоть и порождает подобные угрозы, но они парируются правильным построением сетей и использованием соответсвующих средств защиты (а не тех которые "ломают" в журнале "хакер" :)
да, в том числе развязками по питанию, когда это требуется.
А в технические средства надо верить, за ними не только будущее, но и уже и настоящее, они жизнь облегчают, упрощают и ускоряют.
Не надо ретроградствовать.

>>Мог бы, когда собеседника это интересует.
>И про тактический опыт тоже пожалуйста

Я говорил про знания, а не про опыт. Опыта у меня нет (за исключением развертывания узла связи на показательных маневрах по недоразумению называвшихся "учениями") .
А знания таки да, превосходят знания тех кто мне преподавал тактику и некоторых из тех, с кем меня сводила жизнь и кто считается имеющим опыт. Я не вижу в этом ничего геройского.

От Secator
К Дмитрий Козырев (23.12.2009 16:49:57)
Дата 23.12.2009 17:17:44

Re: [2Дмитрий Козырев]...

>в том что "вирусны атаки и взломы" никак не связаны со "степенью доверия к интернет-каналам.
Если вместо протоколов сетевого и транспортного уровня модели OSI, которые реализуют интернет: IP и TCP использовать альтернативные протоколы (желательно отечественной разработки), то такая сеть будет защищена лучше и стойкость ее будет выше при прочих равных.

>Интернет соединение хоть и порождает подобные угрозы, но они парируются правильным построением сетей и использованием соответсвующих средств защиты (а не тех которые "ломают" в журнале "хакер" :)
Ничем не парируется. Эффективных средств против DoS атак нет. Т.е. в любой момент, любой узел сети может быть подвергнут атке и выведен из строя без затраты существенных усилий.

>да, в том числе развязками по питанию, когда это требуется.
Развязки по питанию требуются от прослушивания через электросеть, а вовсе не для защиты от вирусов или Dos атак.

>А в технические средства надо верить, за ними не только будущее, но и уже и настоящее, они жизнь облегчают, упрощают и ускоряют.
А с этим кто то спорит? Спор идет о конкретной реализации. В конкретном случае предлагается использовать общемировую сеть для решения в том числе оперативных вопросов вооруженных сил.

>Не надо ретроградствовать.
где?
От dap
К Secator (23.12.2009 17:17:44)
Дата 23.12.2009 19:58:32

Re: [2Дмитрий Козырев]...

>Если вместо протоколов сетевого и транспортного уровня модели OSI, которые реализуют интернет: IP и TCP использовать альтернативные протоколы (желательно отечественной разработки), то такая сеть будет защищена лучше и стойкость ее будет выше при прочих равных.
Во-первых TCP/IP появилась до появления стандартов OSI и поэтому четко в схему OSI не ложится. Это так мелкий придиразм.
Во-вторых это изначально неверный путь. Про правило Кирхгофа слышали? Оно было сформулировано для криптографии, но в данном случае тоже подходит. Нельзя закладываться на то, что противнику неизвестны протоколы. Нужно чтобы защищенность обеспечивалась за счет секретности ключевой и парольной информации.

>Ничем не парируется. Эффективных средств против DoS атак нет. Т.е. в любой момент, любой узел сети может быть подвергнут атке и выведен из строя без затраты существенных усилий.
Это зависит от того что именно досят. Если публичный web-сервер - вы правы. Если речь идет о криптошлюзах обеспечивающих VPN через открытые сети - вы не правы. Задавить такой канал малореально по крайней мере без сговора с провайдерами.

>Развязки по питанию требуются от прослушивания через электросеть, а вовсе не для защиты от вирусов или Dos атак.
Вооот. Нешифрованный канал из защищенной сети вовне. А если у вас VPN организован и изнутри защищенной сети нет доступа в открытую сеть (и обратно) - вирусы и дос-атаки идут лесом.

>А с этим кто то спорит? Спор идет о конкретной реализации. В конкретном случае предлагается использовать общемировую сеть для решения в том числе оперативных вопросов вооруженных сил.
Есть канал передачи данных. Почему его не использовать если он обеспечивает защиту от утечки данных? Низкая надежность? Ну так и военные сети не 100% надежны. Копнуть экскаватором не там и привет. Дополнительный канал повысит надежность, а не понизит.

А насчет "взлома" пентагона смешно получилось. Человек просканировал публичный сервер, находящийся скорее всего в DMZ и обрадовался. А чему собственно?
От Secator
К dap (23.12.2009 19:58:32)
Дата 23.12.2009 22:38:36

Re: [2Дмитрий Козырев]...

Это так мелкий придиразм.
Вот вот
>Во-вторых это изначально неверный путь. Про правило Кирхгофа слышали? Оно было сформулировано для криптографии, но в данном случае тоже подходит. Нельзя закладываться на то, что противнику неизвестны протоколы. Нужно чтобы защищенность обеспечивалась за счет секретности ключевой и парольной информации.
1. А так эти протоколы, а так же ip адреса и способы борьбы с ними известны вообще всем! А противник имеет возможность пакостить не вставая с дивана.
2. Из этого принципа не следует, что противнику надо облегчать задачу.

Существует три типовые задачи
защиты объекта:

1) скрытие
объектов от обнаружения техническими средствами разведки;

2) исключение
возможности измерения характеристик скрываемого объекта (или снижение точности
измерения характеристик скрываемого объекта);

3) исключение
или существенное затруднение распознавания скрываемого объекта.

отсюда: http://referat.niv.ru/referat/016/01600089-p1.htm


>Это зависит от того что именно досят. Если публичный web-сервер - вы правы. Если речь идет о криптошлюзах обеспечивающих VPN через открытые сети - вы не правы. Задавить такой канал малореально по крайней мере без сговора с провайдерами.
В данном случае гарантий нет вообще никаких. И промежуточные узлы связи не известно кто контролирует.

>Вооот. Нешифрованный канал из защищенной сети вовне. А если у вас VPN организован и изнутри защищенной сети нет доступа в открытую сеть (и обратно) - вирусы и дос-атаки идут лесом.
Вот именно, если нет доступа. Пришел новоиспеченный сержант поиграться на компьютере. Поставил игрушку и троянчик заработал по всей сети МО.

>Есть канал передачи данных. Почему его не использовать если он обеспечивает защиту от утечки данных? Низкая надежность? Ну так и военные сети не 100% надежны. Копнуть экскаватором не там и привет. Дополнительный канал повысит надежность, а не понизит.
1. Эти линии контролируются. и стоят на сигнализации. Так что вы не копнете.
2. Вы путаете каналы связи и каналы передачи данных.
3. Даже если вы прослушаете, то прослушаете голый шифр, не зная ни какк он защищен ни какую имеет структуру пакетов, ни куда отправляется, ни от кого. И подмену пакетов тоже сделать не сможете.

>А насчет "взлома" пентагона смешно получилось. Человек просканировал публичный сервер, находящийся скорее всего в DMZ и обрадовался. А чему собственно?
Я не знаю как в пентагоне организована сеть, но через открытый сервер, можно получить точки входа к другим адресам сети (если они в одной сети). У нас должна быть физическая развязка между компами (сетями) открытыми и закрытыми.
От dap
К Secator (23.12.2009 22:38:36)
Дата 24.12.2009 15:42:33

Re: [2Дмитрий Козырев]...

>1. А так эти протоколы, а так же ip адреса и способы борьбы с ними известны вообще всем! А противник имеет возможность пакостить не вставая с дивана.
Вероятный противник и так все знает. Это широкораспостраненная информация ее не скрыть. Пакостить с дивана он не будет т.к. обладает соответствующими средствами. А на кулхацкеров наплевать.

>2. Из этого принципа не следует, что противнику надо облегчать задачу.
Нужно облегчать задачу себе, пользуясь отработанными технологиями.

>Существует три типовые задачи
>защиты объекта:
>отсюда: http://referat.niv.ru/referat/016/01600089-p1.htm
Давайте не будем теоретизировать, а рассмотрим конкретную задачу - защита каналов всязи в территориально распределенной сети. И посмотрим как меняется модель угроз в случае использования открытых сетей в дополнение к существующим линиям связи.

>В данном случае гарантий нет вообще никаких. И промежуточные узлы связи не известно кто контролирует.
Как раз известно - это крупные телекоммуникационные компании. Имеющие вагон и маленькую тележку лицензий и сертификатов. И тесно сотрудничающие с соответствующими органами.

>Вот именно, если нет доступа. Пришел новоиспеченный сержант поиграться на компьютере. Поставил игрушку и троянчик заработал по всей сети МО.
А почему у вас сержанты имеют возможность утанавливать на компьютеры дополнительный софт? На компьютерах с чуствительной информацией должна быть создана замкнутая програмная среда. Соответствующие решения уже есть и используются в госконторах.
И причем здесь внешние сети? Он может точно также унести данные на флешке. Вы знаете сколько данных помещается на MicroSD карте, которую можно пронести хоть во рту хоть в ж...е.

>1. Эти линии контролируются. и стоят на сигнализации. Так что вы не копнете.
И что толку? Что мешает не вызывая срабатывания сигнализации заложить фугас который подорвет линию в нужный момент?

>2. Вы путаете каналы связи и каналы передачи данных.
Канал связи это частный случай.

>3. Даже если вы прослушаете, то прослушаете голый шифр, не зная ни какк он защищен ни какую имеет структуру пакетов, ни куда отправляется, ни от кого. И подмену пакетов тоже сделать не сможете.
Как он защищен и структуру пакетов противник уже знает, не обольщайтеся.
Куда отправляется и от кого известно - куда ведет линия связи для вероятного противника не секрет.
А прослушивание и подмену вы не сможете сделать и при использовании открытых сетей - весь трафик зашифрован.

>Я не знаю как в пентагоне организована сеть, но через открытый сервер, можно получить точки входа к другим адресам сети (если они в одной сети).
А с чего вы взяли что они в одной сети? Если они в DMZ то с web-сервера вы никуда не попадете.

>У нас должна быть физическая развязка между компами (сетями) открытыми и закрытыми.
Развязка не обязательно должна быть на физическом уровне. Если на выходе из внутренней сети стоит криптошлюз - вы во внутреннюю сеть не попадете. А портов наружу на КШ скорее всего нет, так как управление производится изнутри - следовательно ломать нечего. Конечно можно предположить, что посылая какие-нибудь особо хитрые пакеты можно вызвать переполнение буфера и выполнение своего кода на КШ, но это крайне маловероятно. Разработчики должны быть совсем без головы, а сертифицирующие службы слепыми.
От Дмитрий Козырев
К Secator (23.12.2009 17:17:44)
Дата 23.12.2009 17:35:58

Re: [2Дмитрий Козырев]...

>>в том что "вирусны атаки и взломы" никак не связаны со "степенью доверия к интернет-каналам.
>Если вместо протоколов сетевого и транспортного уровня модели OSI, которые реализуют интернет: IP и TCP использовать альтернативные протоколы (желательно отечественной разработки), то такая сеть будет защищена лучше и стойкость ее будет выше при прочих равных.

Когда мы будем жить на каком нибудь другом глобусе, ну или повезет с победой коммунизма, может быть.
В текущей реальности это предложение нереализуемо по следующим причинам:
1)отсуствие (даже в отдаленой перспективе) надежд и ресурсов на разработку таких протоколов и организацию массового производства аппаратуры для него.
2)не возможность использования вышеуказаной аппаратуры в каких либо иных сетях, кроме отечественых (т.е. невозможность экспорта)
3) не гибкость самого решения (потребуется разрабатывать шлюзы для других сетей)

>>Интернет соединение хоть и порождает подобные угрозы, но они парируются правильным построением сетей и использованием соответсвующих средств защиты (а не тех которые "ломают" в журнале "хакер" :)
>Ничем не парируется. Эффективных средств против DoS атак нет. Т.е. в любой момент, любой узел сети может быть подвергнут атке и выведен из строя без затраты существенных усилий.

Вообще речь шла об использовании интернет каналов. Вы что собрались какие то ресурсы в интернет выставлять? Или валить магистральные маршрутизаторы провайдеров?


>>да, в том числе развязками по питанию, когда это требуется.
>Развязки по питанию требуются от прослушивания через электросеть, а вовсе не для защиты от вирусов или Dos атак.

:)))
Демонстрация знаний зачтена.

>>А в технические средства надо верить, за ними не только будущее, но и уже и настоящее, они жизнь облегчают, упрощают и ускоряют.
>А с этим кто то спорит? Спор идет о конкретной реализации. В конкретном случае предлагается использовать общемировую сеть для решения в том числе оперативных вопросов вооруженных сил.

Вопросы вопросам рознь. Насколько я помню речь шла о делопроизводстве, а не о команде на запуск МБР.
От Secator
К Дмитрий Козырев (23.12.2009 17:35:58)
Дата 23.12.2009 17:56:03

Re: [2Дмитрий Козырев]...

>1)отсуствие (даже в отдаленой перспективе) надежд и ресурсов на разработку таких протоколов и организацию массового производства аппаратуры для него.
Никаких таких неподъемных ресурсов это не потребует. Существуют в РФ сети связи не связанные с интернетом.
>2)не возможность использования вышеуказаной аппаратуры в каких либо иных сетях, кроме отечественых (т.е. невозможность экспорта)
А зачем? С другими сетями можно через шлюзы работать.
>3) не гибкость самого решения (потребуется разрабатывать шлюзы для других сетей)
Это не сложно. Практически все бытовые устройства поддерживают кучу протоколов. А уж сколько шлюзовых устройств окружают нас. Так вообще не счесть.

>Вообще речь шла об использовании интернет каналов. Вы что собрались какие то ресурсы в интернет выставлять? Или валить магистральные маршрутизаторы провайдеров?
Я нет. А вот враги вполне могут прознать IP адреса серверов главного штаба сухопутных войск, находящегося где нить в Урюпинске. и в предверии небольшой заварушки заблокировать их. Помнится, еще в училище решались задача на тему какие узлы связи надо вывести из строя, что бы разрушить систему связи противника.

>Вопросы вопросам рознь. Насколько я помню речь шла о делопроизводстве, а не о команде на запуск МБР.
Вопросы передислокации полка или проведении учений они к чему относятся, по вашему?
От Дмитрий Козырев
К Secator (23.12.2009 17:56:03)
Дата 23.12.2009 18:11:22

Re: [2Дмитрий Козырев]...

>>1)отсуствие (даже в отдаленой перспективе) надежд и ресурсов на разработку таких протоколов и организацию массового производства аппаратуры для него.
>Никаких таких неподъемных ресурсов это не потребует. Существуют в РФ сети связи не связанные с интернетом.

"Связи" может быть.
Нас интересуют сети передачи данных. А они реализуются на стандартных протоколах.

>>2)не возможность использования вышеуказаной аппаратуры в каких либо иных сетях, кроме отечественых (т.е. невозможность экспорта)
>А зачем?

А затем что капитализм. Зависимость от единственого потребителя и его платежеспособности чревата и все это знают.

>>3) не гибкость самого решения (потребуется разрабатывать шлюзы для других сетей)
>Это не сложно.

Я написал "не гибко". Может и "не сложно". В отсустви конкретной реализации сказать нельзя.

>>Вообще речь шла об использовании интернет каналов. Вы что собрались какие то ресурсы в интернет выставлять? Или валить магистральные маршрутизаторы провайдеров?
>Я нет. А вот враги вполне могут прознать IP адреса серверов главного штаба сухопутных войск, находящегося где нить в Урюпинске. и в предверии небольшой заварушки заблокировать их.

А зачем выставлять эти адреса в ИНтернет?

>>Вопросы вопросам рознь. Насколько я помню речь шла о делопроизводстве, а не о команде на запуск МБР.
>Вопросы передислокации полка или проведении учений они к чему относятся, по вашему?

к делопризводству.
От Secator
К Дмитрий Козырев (23.12.2009 18:11:22)
Дата 23.12.2009 18:26:22

Re: [2Дмитрий Козырев]...

>"Связи" может быть.
>Нас интересуют сети передачи данных. А они реализуются на стандартных протоколах.
И передачи данных в том числе.

>А затем что капитализм. Зависимость от единственого потребителя и его платежеспособности чревата и все это знают.
Этот потребитель платит бюджетными деньгами. И все их хотят.

>Я написал "не гибко". Может и "не сложно". В отсустви конкретной реализации сказать нельзя.
Реализация зависит от поставленной задачи.

>А зачем выставлять эти адреса в ИНтернет?
Я вам приводил статейку про взлом Пентагона. Не сложный сканер позволяет определить сетевые адреса. В данном же случае на это будут работать мощные государственные структуры

>к делопризводству.
Ну вот эти вопросы и не будут решаться быстро и оперативно. В результате качество решения повседневных задач резко упадет.