Компутеры и околокомпутерные разговоры

47,076 129
 

Фильтр
Мимохожий
 
russia
Слушатель
Карма: +81.23
Регистрация: 11.04.2008
Сообщений: 4,960
Читатели: 9
Цитата: WatchCat от 07.12.2008 17:46:22И ещё небось родным Максовым рендером?Шокированный
Не только им...  ;)

Цитата: WatchCat от 07.12.2008 17:46:22Но контора-то может себе позволить и отдельный рендерфарм, или скромненький кластерок...
Байки об уровне доходов трахитекторов сильно преувеличены..,Подмигивающий Вообще-то клстерок себе могут позволить дай Бог с десяток контор этого профиля по всей Москве, причём спецом под рендер он будет заточен дай Бог у трёх, у остальных он будет универсален...Подмигивающий
  • +0.00 / 0
  • АУ
ivan2
 
russia
Санкт-Петербург
63 года
Слушатель
Карма: +135.20
Регистрация: 16.11.2008
Сообщений: 9,947
Читатели: 1
Тред №69113
Дискуссия   141 0
Немного флуда, по по теме безопасности. http://ithappens.ru/story/307
Нам нужен мир!
Желательно весь.

Измаил должен быть взят!
  • +0.00 / 0
  • АУ
Мимохожий
 
russia
Слушатель
Карма: +81.23
Регистрация: 11.04.2008
Сообщений: 4,960
Читатели: 9
Тред №69160
Дискуссия   103 0
Цитата: _YUKLA_Хорошая штучка. Работал я с ней. Почему-то в России она не пошла...Да и в мире - тоже в общем, как-то не очень...
Пошла-пошла...Подмигивающий Просто это - не ширпотреб, и сравнивать её с тонкими клиентами для секретарских рабочих мест - IMHO неправильно...Подмигивающий
  • +0.00 / 0
  • АУ
WatchCat
 
47 лет
Слушатель
Карма: +0.19
Регистрация: 29.06.2007
Сообщений: 630
Читатели: 0
Тред №69176
Дискуссия   117 0
Кстати, вот почему-то как только всплывает вопрос о рабочем месте под линукс, так сразу вспоминают приснопамятный AutoCAD.
А что у нас все под ним работают?
Вообще-то есть куча фирм и фирмочек(Ынтерпрайз мы каГбы в стороне оставимПодмигивающий) в которых из всего богатства софта используют только Ворд,Эксель,1С и солитЁр  ;D Ну и ещё бывает кривосамописный софт...
Так шта однозначно говорить о невозможности линукса на десктопе это каГбы несколько неправильно...
Ну и по поводу рендерфармов... Сервера intel High-End от 50К рублей. Не таки уж и большие деньги. даже для периферии.
Купить 2х4 ядра могут многие, если не пожлобятся.

Ну а блэйды, там да, цена для другого контингента...

ЦитатаНе только им...

Я бы сказал "только не им".  ;)
Хотя после того как Autodesk поскупала конкурентов, может уже и допилили свой рендер... Давно я этими делишками не интересовался...
Ceterum censeo [s]Carthaginem[/s] Washingtonem delendam esse.
  • +0.00 / 0
  • АУ
KekcBanned
 
Слушатель
Карма: 0.00
Регистрация: 12.08.2008
Сообщений: 39
Читатели: 0

Аккаунт заблокирован
Цитата: ivan2 от 05.12.2008 21:48:04
Вот здесь Вы четко "за родину". И я про это. Не могу решить проблему гарантии целостности загружаемого по сети ядра. Идеи есть?



Как вариант. Каждая станция имеет прошитое в "БИОС" свое кодовое слово.
Образ ядра содержит в послених N-байт хешик от имиджа и кодового секретного слова.
TFTP клиент, вшитый в БИОС, умеет проверять и отбрасывать хешик после положительного результата проверки.

Хешики (считайте подписи) готовятся отдельно под каждую станцию. Можно в биосе предусмотреть контроль версии ПО, чтобы не загружали устаревшие(уязвимые образы)...воткнуть номер версии перед хешиком... учесть версию при  расчете хеша и выкинуть.
и тут Остапа понесло: можно два разных алгоритма и два, соответственно, хешика передавать, шоб не дай бог популярные ныне коллизии в хешах чего-то плохого ....

Если чето не так понял, извиняйте
Отредактировано: Kekc - 09 дек 2008 00:44:46
  • +0.00 / 0
  • АУ
ivan2
 
russia
Санкт-Петербург
63 года
Слушатель
Карма: +135.20
Регистрация: 16.11.2008
Сообщений: 9,947
Читатели: 1
Цитата: Kekc от 09.12.2008 00:07:28
Как вариант. Каждая станция имеет прошитое в "БИОС" свое кодовое слово.
Образ ядра содержит в послених N-байт хешик от имиджа и кодового секретного слова.
TFTP клиент, вшитый в БИОС, умеет проверять и отбрасывать хешик после положительного результата проверки.

Хешики (считайте подписи) готовятся отдельно под каждую станцию. Можно в биосе предусмотреть контроль версии ПО, чтобы не загружали устаревшие(уязвимые образы)...воткнуть номер версии перед хешиком... учесть версию при  расчете хеша и выкинуть.
и тут Остапа понесло: можно два разных алгоритма и два, соответственно, хешика передавать, шоб не дай бог популярные ныне коллизии в хешах чего-то плохого ....

Если чето не так понял, извиняйте





Вы все правильно поняли, только грамотный фапсишник Вам под любой хешик сделает левый фай (есть даже web-ресурсы, которые предлагают подобного рода услуги), пользуясь тем, что алгоритм MD5 "дырявый". А дальше он говорит:"Если можно подсунуть случайный файл с нужным хешем, то докажи, что нельзя подсунуть закладку". Вот такой коленкорГрустный

Правка - Файлы (защищаемый и подсовываемый) должны быть достаточно длинными. Про короткие, частным случаем которых являются пароли, засады с MD5 никто пока не обнаружил.
Отредактировано: ivan2 - 09 дек 2008 10:41:06
Нам нужен мир!
Желательно весь.

Измаил должен быть взят!
  • +0.00 / 0
  • АУ
Petrushka
 
russia
58 лет
Слушатель
Карма: +0.78
Регистрация: 16.09.2008
Сообщений: 282
Читатели: 0
Цитата: ivan2 от 09.12.2008 10:36:58
Вы все правильно поняли, только грамотный фапсишник Вам под любой хешик сделает левый фай (есть даже web-ресурсы, которые предлагают подобного рода услуги), пользуясь тем, что алгоритм MD5 "дырявый". А дальше он говорит:"Если можно подсунуть случайный файл с нужным хешем, то докажи, что нельзя подсунуть закладку". Вот такой коленкорГрустный

Правка - Файлы (защищаемый и подсовываемый) должны быть достаточно длинными. Про короткие, частным случаем которых являются пароли, засады с MD5 никто пока не обнаружил.

Возьмите SHA
Делай что должно, случится чему суждено.(c)Марк Аврелий
  • +0.00 / 0
  • АУ
Kekc2
 
Слушатель
Карма: 0.00
Регистрация: 09.12.2008
Сообщений: 3
Читатели: 0

Аккаунт заблокирован
Цитата: ivan2 от 09.12.2008 10:36:58
Вы все правильно поняли, только грамотный фапсишник Вам под любой хешик сделает левый фай (есть даже web-ресурсы, которые предлагают подобного рода услуги), пользуясь тем, что алгоритм MD5 "дырявый". А дальше он говорит:"Если можно подсунуть случайный файл с нужным хешем, то докажи, что нельзя подсунуть закладку". Вот такой коленкорГрустный

Правка - Файлы (защищаемый и подсовываемый) должны быть достаточно длинными. Про короткие, частным случаем которых являются пароли, засады с MD5 никто пока не обнаружил.



Тут не совсем коллизии, это я для красного словца. В отличие от общеизвестной схеме ЭЦП совместно с ассиметричными алгоритмами, тут часть документа просто не известна !!!
В открытом виде эта часть не идет, только после жуткой мясорубки в хеш-функции.
Неизвестно влияние закрытой части на конечный криптографический хеш - нельзя найти коллизии, так как нет закрытой.

Я не вижу в такой схеме проблем даже с учетом появление неких возможностей к преднамеренным коллизиям MD5.
Но если страшно - никто же не мешает иметь два хеша для двух КЛЮЧЕй  одного алгоритма, или  для двух хеш-алгоритмов.

Нечто подобное используется в протоколах OSPF, возможно в NTP ..
  • +0.00 / 0
  • АУ
ivan2
 
russia
Санкт-Петербург
63 года
Слушатель
Карма: +135.20
Регистрация: 16.11.2008
Сообщений: 9,947
Читатели: 1
Цитата: Kekc2 от 09.12.2008 12:12:54
Тут не совсем коллизии, это я для красного словца. В отличие от общеизвестной схеме ЭЦП совместно с ассиметричными алгоритмами, тут часть документа просто не известна !!!
В открытом виде эта часть не идет, только после жуткой мясорубки в хеш-функции.
Неизвестно влияние закрытой части на конечный криптографический хеш - нельзя найти коллизии, так как нет закрытой.

Я не вижу в такой схеме проблем даже с учетом появление неких возможностей к преднамеренным коллизиям MD5.
Но если страшно - никто же не мешает иметь два хеша для двух КЛЮЧЕй  одного алгоритма, или  для двух хеш-алгоритмов.

Нечто подобное используется в протоколах OSPF, возможно в NTP ..





Ну, что, вариант рабочий, только с серийным производством замороки. Это самое секретное кодовое слово придется записать в формуляре на компьютер. Со всеми вытекающими последствиями...
Вобщем сейчас решили так. Компьютер оснащаем флеш-диском, защищенным от записи. На диске МСВС, загрузка которой заканчивается Х-терминалом на сервер. IP-назначается по DHCP. Если машина новая (например из ЗИПа), DHCP-сервер обучаем ее MAC-адресу.
Сеанс открывается на сервере. Сервер защищен достаточно (круглосуточное дежурство доверенных админов, охрана/оборона, ... все дела). Слабое место только одно - разъем сетевого кабеля. Придется пломбировать. В остальном все ОК. На машине секретов нет. Ставить можно хоть в коридоре. Пользоваться может любой, имеющий логин и пароль.

Правка - На клиентской машине нет USB, флопов, и прочих али-бобов (либо физически, либо логически).
Отредактировано: ivan2 - 12 дек 2008 09:52:01
Нам нужен мир!
Желательно весь.

Измаил должен быть взят!
  • +0.00 / 0
  • АУ
agt21
 
59 лет
Слушатель
Карма: 0.00
Регистрация: 28.07.2008
Сообщений: 39
Читатели: 0
Цитата: ivan2 от 12.12.2008 09:48:44
IP-назначается по DHCP. Если машина новая (например из ЗИПа), DHCP-сервер обучаем ее MAC-адресу.



А какая защита от подмены MAC-адреса ? Или это не имеет никакого значения в вашем варианте ?
  • +0.00 / 0
  • АУ
Senya
 
russia
55 лет
Практикант
Карма: +6,990.93
Регистрация: 20.11.2008
Сообщений: 27,650
Читатели: 54

Глобальный Модератор
Цитата: Petrushka от 09.12.2008 12:01:38Возьмите SHA
Если Россия и ФАПСИ - только ГОСТ Р 34.11-94. Там уж точно ни коллизий, ни лишних вопросов.
"Иван Грозный помещает на рабочий стол полученный от хана ярлык."(с) Не моё.
  • +0.00 / 0
  • АУ
ivan2
 
russia
Санкт-Петербург
63 года
Слушатель
Карма: +135.20
Регистрация: 16.11.2008
Сообщений: 9,947
Читатели: 1
Цитата: agt21 от 12.12.2008 12:38:40
А какая защита от подмены MAC-адреса ? Или это не имеет никакого значения в вашем варианте ?



Как подмените? При контролируемой структурной связности (читай, кабели отсоединять/подсоединять незаметно не получится) это работает.
Защита с помощью печати/пломбы слабовата, но формально проходит.
Нам нужен мир!
Желательно весь.

Измаил должен быть взят!
  • +0.00 / 0
  • АУ
ivan2
 
russia
Санкт-Петербург
63 года
Слушатель
Карма: +135.20
Регистрация: 16.11.2008
Сообщений: 9,947
Читатели: 1
Цитата: Senya от 12.12.2008 12:50:14
Если Россия и ФАПСИ - только ГОСТ Р 34.11-94. Там уж точно ни коллизий, ни лишних вопросов.



Они же, редиски, и не позволяют грузить по сети и проверять целостность таким образом. С...ки.
Нам нужен мир!
Желательно весь.

Измаил должен быть взят!
  • +0.00 / 0
  • АУ
agt21
 
59 лет
Слушатель
Карма: 0.00
Регистрация: 28.07.2008
Сообщений: 39
Читатели: 0
Цитата: ivan2 от 12.12.2008 15:35:21
Как подмените? При контролируемой структурной связности (читай, кабели отсоединять/подсоединять незаметно не получится) это работает.
Защита с помощью печати/пломбы слабовата, но формально проходит.



В этом случае не надо морочиться и с безопасностью загрузки ядра по сети. Если же это решение небезопасно, то небезопасно и ваше решение с отсутствующей защитой от изменения MAC-адреса... Вспоминая уже упоминавшийся Мимохожим "arp cache poisoning"...Улыбающийся
Отредактировано: agt21 - 12 дек 2008 16:34:06
  • +0.00 / 0
  • АУ
Kekc2
 
Слушатель
Карма: 0.00
Регистрация: 09.12.2008
Сообщений: 3
Читатели: 0

Аккаунт заблокирован
Цитата: ivan2 от 12.12.2008 09:48:44
Ну, что, вариант рабочий, только с серийным производством замороки. Это самое секретное кодовое слово придется записать в формуляре на компьютер. Со всеми вытекающими последствиями...
Вобщем сейчас решили так. Компьютер оснащаем флеш-диском, защищенным от записи. На диске МСВС, загрузка которой заканчивается Х-терминалом на сервер. IP-назначается по DHCP. Если машина новая (например из ЗИПа), DHCP-сервер обучаем ее MAC-адресу.
... Слабое место только одно - разъем сетевого кабеля.....



Секретное слово + МАК адрес можно загнать на формуляр в виде  некой символьной последовательности и ввести в систему раздачи адресов/образов. Если есть возможность - отделить роль ведения учета АРМ от других.

Если есть криптографическая защита сетевого обмена на публичных ключах , то сетевые угрозы уже минимальны.
Флуд: Можно выключить везде обучение по ARP и фиксировать таблицу MAC-адресов в свичах и контролировать порты. Зашивать в образы АРМ соответсующую ARP таблицу и настройки FireWall-а. Списки MAC адресов держать в тайне. FireWall-ы серверов тоже вести по списку зарегистрированных АРМов. Запретить возможность обмена трафиком между клиентскими АРМ на уровне свичей (что-то типа приватных виланов).  Держать порты свичей выключенными по умолчанию. Может полнять 802.1x на портах.  На default-маршруте за переделы сети анализировать трафик (может его вообще не должно быть). Собирать все события с сетевых устройств. При работе с TFTP удлинить имена файлов случайным мусором и не показывать полное имя при загрузке - усложнить кражу образов. ну итд итп....
  • +0.00 / 0
  • АУ
VladNG
 
61 год
Слушатель
Карма: 0.00
Регистрация: 26.08.2008
Сообщений: 79
Читатели: 0
Цитата: ivan2 от 05.12.2008 21:48:04
Вот здесь Вы четко "за родину". И я про это. Не могу решить проблему гарантии целостности загружаемого по сети ядра. Идеи есть?


Идеи:

Тут вопрос - кто проверяет целостность: БИОС сетевой карты? В качестве линнии развития можно выбрать Линукс БИОС.

Еще, такую задачу пытались решить микрософты с помощью железной подсистемы называемой Palladium. Но это надо с паяльником, мамки собственные разрабатывать заказывать. В общем, если кому поезет, народ порадуется. Можно кстати на FPGA чонить менее замысловатое замутить. А то у них в паладиуме два уровня ключей, один из которых никогда не покидает пределы чипа!

Но вообщето защитку то вы слабоаааааааато сделали. Защита по МАК - это моветооооооон. По правильному надо ставить VPN и раздавать сертификаты. А все кроме него (VPN) рубить на сетевом фильтре. Флешка монтируется как дисОчек и с него грузится система, берется собственно сертификат. А после подключения дисочек отмонтировать, ещебы его из списка партиций исключить какнить.

В этом случае не надо опломбировать сетевой кабель - сертификат не МАК на коленке не сгенериш. Если будут пытатся химичить с проводами сессия разорвется по истечению времени - тоже звоночек: балуются. Ну можно еще смотреть пару сертификат - МАК. Типа сменился мак а сертификат остался - вызываем часового.

Еще, если будете ставить в "коридоре" проверьте, что нельзя перейти из Х в консоль, и чтобы не было Х-овых консольных клиентов.

Надеюсь, что физическую защиту флешки вы обеспечите. Это полезно с любой точки зрения - капсюль на крышечку чик и нету флешки.
Отредактировано: VladNG - 27 дек 2008 08:58:24
  • +0.00 / 0
  • АУ
WatchCat
 
47 лет
Слушатель
Карма: +0.19
Регистрация: 29.06.2007
Сообщений: 630
Читатели: 0
Тред №74261
Дискуссия   145 3
Пну-ка я тему наверх.
Вопрос такой, праздный, появился.
Никто не работал с MEDUSA4 ?
Как оно?
Это я к чему,вот тут раздают FREE PERSONAL, да ещё и под Линух есть.
Ceterum censeo [s]Carthaginem[/s] Washingtonem delendam esse.
  • +0.00 / 0
  • АУ
blackpt
 
russia
Владимир
56 лет
Слушатель
Карма: -0.33
Регистрация: 15.04.2008
Сообщений: 232
Читатели: 0
Цитата: WatchCat от 30.12.2008 15:45:30
Пну-ка я тему наверх.
Вопрос такой, праздный, появился.
Никто не работал с MEDUSA4 ?
Как оно?
Это я к чему,вот тут раздают FREE PERSONAL, да ещё и под Линух есть.



=) пхну-ка и я её наверх.
не, не работал. но за ссылку спасибо. щаз скачаю и посмотрим.
  • +0.00 / 0
  • АУ
Petrushka
 
russia
58 лет
Слушатель
Карма: +0.78
Регистрация: 16.09.2008
Сообщений: 282
Читатели: 0
Цитата: blackp от 30.12.2008 21:05:20
=) пхну-ка и я её наверх.
не, не работал. но за ссылку спасибо. щаз скачаю и посмотрим.

И, кстати, как там насчёт наших ГОСТов на документацию? Линия у меня фиговенькая...
Делай что должно, случится чему суждено.(c)Марк Аврелий
  • +0.00 / 0
  • АУ
ivan2
 
russia
Санкт-Петербург
63 года
Слушатель
Карма: +135.20
Регистрация: 16.11.2008
Сообщений: 9,947
Читатели: 1
Цитата: Petrushka от 30.12.2008 22:51:01
И, кстати, как там насчёт наших ГОСТов на документацию? Линия у меня фиговенькая...



А что по поводу ГОСТов на документацию, в чем вопрос? http://vsegost.com/ рулит. Вот основные http://vsegost.com/N…_2d1.shtml
2.104 и 2.105 со всеми дополнениями и правками.

Правка - Здесь http://vsegost.com/C…_240.shtml чуть другой набор.
Отредактировано: ivan2 - 11 янв 2009 20:28:35
Нам нужен мир!
Желательно весь.

Измаил должен быть взят!
  • +0.00 / 0
  • АУ
Сейчас на ветке: 1, Модераторов: 0, Пользователей: 0, Гостей: 0, Ботов: 1