Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Компьютеры + Интернет » Сетевые технологии » Route/Bridge - Контент-фильтр на свитче или рутере - вообще возможно ли?

Ответить
Настройки темы
Route/Bridge - Контент-фильтр на свитче или рутере - вообще возможно ли?

Ветеран


Сообщения: 2584
Благодарности: 245

Профиль | Отправить PM | Цитировать


На управляемых свитчах можно делать пакетную фильтрацию. Где-то точнее, где-то нет, но в принципе возможно. А, интересно, контент фильтрация возможна?
Сделать некое подобие не только пакетного, но и контент файервола на свитче/рутере, чтоб процесс происходил до компа с его возможными уязвимостями.
Возможно? Имеется в виду, локально, а не посылая весь траф как через прокси на облако кого-то там еще.
И если да, то требуется некая готовая железяка, или это можно настроить на обычном управляемом?
порылся в хламе - есть какие-то старые сиськи, убигути.. Навскидку порылся по сети, 2 - ничего не вижу похожего.

Отправлено: 17:51, 26-11-2022

 

Аватара для dmitryst

Ветеран


Сообщения: 7109
Благодарности: 885

Профиль | Отправить PM | Цитировать


Цитата kim-aa:
"Open" и "Free" не значит, что никто не платит. »
я знаю. Но нам, как конечному потребителю, неважно, кто платит вместо нас

-------
Осваиваю FreeBSD


Отправлено: 11:47, 28-11-2022 | #11



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Забанен


Сообщения: 6345
Благодарности: 1436

Профиль | Цитировать


Цитата dmitryst:
кто платит вместо нас »
У снорта есть платная подписка на сигнатуры. Бесплатная тоже есть, но она отстаёт на 30 дней.
Цитата kim-aa:
Сигнатурный анализ хреновенько реализуется на процессорах общего назначения. Нужны либо ASIC как у Fortinet, либо специализированные потоковые процессоры как у PaloAlto. »
В принципе для сохо есть недорогие решения с DPI, например UIPS EdgeRouter. Есть даже полностью софтверные, вроде ntop nEdge. Не знаю, насколько оно производительно, не пробовал. В любом случае, поскольку нынче львиная доля трафика шифруется TLS, для полноценного DPI нужно делать митм подмену сертификата, следовательно установку в траст клиентов своей CA, что не везде возможно. На оборудовании предприятия например да, а в личные телефоны сотрудников уже не залезешь. Без этого можно разве что по SNI фильтровать, да и то в TLS 1.3 это может быть прикрыто, а также есть такая штука как DNS over HTTPS, что тоже делает фильтрацию по SNI невозможной.

Отправлено: 12:46, 28-11-2022 | #12


Ветеран


Сообщения: 2584
Благодарности: 245

Профиль | Отправить PM | Цитировать


Цитата kim-aa:
это по прежнему пакетный »
я знаю. спросил по принципу "если нет на пОльта белок - ну хотя бы дайте кошку". Если нельзя контент, то хоть фичу дропать пакеты по сессиям, открытым не мною.
Цитата kim-aa:
Даже в тяжелых коммутаторах Cisco типа 6500X продвинутый фаервол реализовывался отдельной платой, а не средствами основной платы. »
огорчён.
Как понимаю, если валяются какие-то древние сиськи, вероятность найти там что-то подобное приближается к нулю? А вероятность заставить работать по хоть сколько-то актуальным сигнатурам - и того меньше?

Цитата kim-aa:
Сигнатурный анализ хреновенько реализуется на процессорах общего назначения. »
рутеры - имеются в виду общее назначение?

Цитата kim-aa:
Основная ценность таких устройств это обновляемая база Сигнатур, »
то есть, никаких анализов поведения в принципе не бывает?
А кстати, пусть и чисто теоретически, базы сигнатур от стороннего источника, к примеру, бесплатного антивирь-сканера, использовать таким макаром невозможно?
Подозреваю, что против таких хитрых заранее предусмотрены грабли, но интересно, а вдруг нет?

Цитата kim-aa:
"Open" и "Free" не значит, что никто не платит. »
ну, в принципе, понятно, что премиум-поддержка по сигнатурам от сиськи идёт по подписке, а бесплатно только сигнатуры от комьюнити.
https://snort.org/
Но это вот добро пашет только с машины под линем, или с свитч/рутера тоже?

Цитата Jula0071:
для полноценного DPI нужно делать митм подмену сертификата, следовательно установку в траст клиентов своей CA, что не везде возможно. »
да я рассматривал для начала для личного пользования. Но, как понимаю, тут всё равно надо покупать специализированное железо, софтом здесь не обойтись?

Отправлено: 23:40, 28-11-2022 | #13


Аватара для dmitryst

Ветеран


Сообщения: 7109
Благодарности: 885

Профиль | Отправить PM | Цитировать


Цитата bredych:
Но это вот добро пашет только с машины под линем, или с свитч/рутера тоже? »
если туда сможете снорт вкарячить, то да. Те же программные рутеры на *NIX позволяют это сделать. С OpenWrt придется повозиться, но, как пишут, решаемо

-------
Осваиваю FreeBSD


Отправлено: 08:58, 29-11-2022 | #14


Забанен


Сообщения: 6345
Благодарности: 1436

Профиль | Цитировать


Цитата bredych:
Цитата kim-aa:
Сигнатурный анализ хреновенько реализуется на процессорах общего назначения. »
рутеры - имеются в виду общее назначение? »
Имеются в виду процессоры общего назначения, универсальные - архитектур x86, arm, mips - которые используются в маршрутизаторах начального уровня, в противовес специализированным (ASIC), которые способны выполнять специализированный ограниченный набор инструкций, зато делают это значительно быстрее, чем универсальные.
Цитата bredych:
тут всё равно надо покупать специализированное железо, софтом здесь не обойтись? »
Как правило да, и ещё подписку. Есть софтверные решения вроде уже упомянутого nEdge, можно поставить и в виртуалку с passthrough интерфейсами, но чёт не нашёл в документации функционала подмены сертификата. Ну может плохо смотрел, а так DPI там выходит не совсем полноценный.

Отправлено: 13:14, 29-11-2022 | #15


Ветеран


Сообщения: 2584
Благодарности: 245

Профиль | Отправить PM | Цитировать


не, хотел именно развязаться с компом, чтоб отдельная ступень была, не висящий на компе сервис.

Отправлено: 13:24, 29-11-2022 | #16


Аватара для dmitryst

Ветеран


Сообщения: 7109
Благодарности: 885

Профиль | Отправить PM | Цитировать


bredych, ставьте второй комп в роли рутера

-------
Осваиваю FreeBSD

Это сообщение посчитали полезным следующие участники:

Отправлено: 13:42, 29-11-2022 | #17


Забанен


Сообщения: 6345
Благодарности: 1436

Профиль | Цитировать


Цитата dmitryst:
в роли рутера »
Или в роли фильтрующего бриджа.

Отправлено: 14:08, 29-11-2022 | #18


Ветеран


Сообщения: 2584
Благодарности: 245

Профиль | Отправить PM | Цитировать


Цитата dmitryst:
bredych, ставьте второй комп в роли рутера
не, это уже иллюстрация анекдота про едущие сзади скорую и пожарную в роли огнетушителя и аптечки..

Отправлено: 22:32, 29-11-2022 | #19


Аватара для dmitryst

Ветеран


Сообщения: 7109
Благодарности: 885

Профиль | Отправить PM | Цитировать


bredych, у вас что, комп в семье один? Если да, то, пожалуй, смысла мало, разве что есть какая-нибудь древность, которая все равно без дела лежит. Если нет - он же может раздавать интернет всем, с фильтрацией, и без преферансов и куртизанок

-------
Осваиваю FreeBSD


Отправлено: 10:00, 30-11-2022 | #20



Компьютерный форум OSzone.net » Компьютеры + Интернет » Сетевые технологии » Route/Bridge - Контент-фильтр на свитче или рутере - вообще возможно ли?

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
Proxy/NAT - Контент-фильтр для https запросов Tonny_Bennet Сетевые технологии 23 11-09-2016 19:54
2008 - фильтр URL стандартными средствами возможно ли? denj Windows Server 2008/2008 R2 2 14-03-2013 17:22
Возможно ли,вообще, скачать вот этот материал? makar_ Хочу все знать 4 08-11-2009 11:16
Sony Vaio TZ и разрешение 1920х1200 - возможно ли вообще??? Fireflow Ноутбуки 4 21-02-2009 18:16
Вопрос - Порекомендуйте контент фильтр. Дети работают за ПК. Kirill_S Защита компьютерных систем 2 30-09-2008 07:50




 
Переход