Компутеры и околокомпутерные разговоры

Цитата: WatchCat от 07.12.2008 17:46:22И ещё небось родным Максовым рендером?

Не только им...  ;)

Цитата: WatchCat от 07.12.2008 17:46:22Но контора-то может себе позволить и отдельный рендерфарм, или скромненький кластерок...

Байки об уровне доходов трахитекторов сильно преувеличены.., Вообще-то клстерок себе могут позволить дай Бог с десяток контор этого профиля по всей Москве, причём спецом под рендер он будет заточен дай Бог у трёх, у остальных он будет универсален...

Немного флуда, по по теме безопасности. http://ithappens.ru/story/307

Цитата: _YUKLA_Хорошая штучка. Работал я с ней. Почему-то в России она не пошла...Да и в мире - тоже в общем, как-то не очень...

Пошла-пошла... Просто это - не ширпотреб, и сравнивать её с тонкими клиентами для секретарских рабочих мест - IMHO неправильно...

Кстати, вот почему-то как только всплывает вопрос о рабочем месте под линукс, так сразу вспоминают приснопамятный AutoCAD.
А что у нас все под ним работают?
Вообще-то есть куча фирм и фирмочек(Ынтерпрайз мы каГбы в стороне оставим) в которых из всего богатства софта используют только Ворд,Эксель,1С и солитЁр  ;D Ну и ещё бывает кривосамописный софт...
Так шта однозначно говорить о невозможности линукса на десктопе это каГбы несколько неправильно...
Ну и по поводу рендерфармов... Сервера intel High-End от 50К рублей. Не таки уж и большие деньги. даже для периферии.
Купить 2х4 ядра могут многие, если не пожлобятся.

Ну а блэйды, там да, цена для другого контингента...

ЦитатаНе только им...

Я бы сказал "только не им".  ;)
Хотя после того как Autodesk поскупала конкурентов, может уже и допилили свой рендер... Давно я этими делишками не интересовался...

Цитата: ivan2 от 05.12.2008 21:48:04
Вот здесь Вы четко "за родину". И я про это. Не могу решить проблему гарантии целостности загружаемого по сети ядра. Идеи есть?

Как вариант. Каждая станция имеет прошитое в "БИОС" свое кодовое слово.
Образ ядра содержит в послених N-байт хешик от имиджа и кодового секретного слова.
TFTP клиент, вшитый в БИОС, умеет проверять и отбрасывать хешик после положительного результата проверки.

Хешики (считайте подписи) готовятся отдельно под каждую станцию. Можно в биосе предусмотреть контроль версии ПО, чтобы не загружали устаревшие(уязвимые образы)...воткнуть номер версии перед хешиком... учесть версию при  расчете хеша и выкинуть.
и тут Остапа понесло: можно два разных алгоритма и два, соответственно, хешика передавать, шоб не дай бог популярные ныне коллизии в хешах чего-то плохого ....

Если чето не так понял, извиняйте

Цитата: Kekc от 09.12.2008 00:07:28
Как вариант. Каждая станция имеет прошитое в "БИОС" свое кодовое слово.
Образ ядра содержит в послених N-байт хешик от имиджа и кодового секретного слова.
TFTP клиент, вшитый в БИОС, умеет проверять и отбрасывать хешик после положительного результата проверки.

Хешики (считайте подписи) готовятся отдельно под каждую станцию. Можно в биосе предусмотреть контроль версии ПО, чтобы не загружали устаревшие(уязвимые образы)...воткнуть номер версии перед хешиком... учесть версию при  расчете хеша и выкинуть.
и тут Остапа понесло: можно два разных алгоритма и два, соответственно, хешика передавать, шоб не дай бог популярные ныне коллизии в хешах чего-то плохого ....

Если чето не так понял, извиняйте

Вы все правильно поняли, только грамотный фапсишник Вам под любой хешик сделает левый фай (есть даже web-ресурсы, которые предлагают подобного рода услуги), пользуясь тем, что алгоритм MD5 "дырявый". А дальше он говорит:"Если можно подсунуть случайный файл с нужным хешем, то докажи, что нельзя подсунуть закладку". Вот такой коленкор

Правка - Файлы (защищаемый и подсовываемый) должны быть достаточно длинными. Про короткие, частным случаем которых являются пароли, засады с MD5 никто пока не обнаружил.

Цитата: ivan2 от 09.12.2008 10:36:58
Вы все правильно поняли, только грамотный фапсишник Вам под любой хешик сделает левый фай (есть даже web-ресурсы, которые предлагают подобного рода услуги), пользуясь тем, что алгоритм MD5 "дырявый". А дальше он говорит:"Если можно подсунуть случайный файл с нужным хешем, то докажи, что нельзя подсунуть закладку". Вот такой коленкор

Правка - Файлы (защищаемый и подсовываемый) должны быть достаточно длинными. Про короткие, частным случаем которых являются пароли, засады с MD5 никто пока не обнаружил.

Возьмите SHA

Цитата: ivan2 от 09.12.2008 10:36:58
Вы все правильно поняли, только грамотный фапсишник Вам под любой хешик сделает левый фай (есть даже web-ресурсы, которые предлагают подобного рода услуги), пользуясь тем, что алгоритм MD5 "дырявый". А дальше он говорит:"Если можно подсунуть случайный файл с нужным хешем, то докажи, что нельзя подсунуть закладку". Вот такой коленкор

Правка - Файлы (защищаемый и подсовываемый) должны быть достаточно длинными. Про короткие, частным случаем которых являются пароли, засады с MD5 никто пока не обнаружил.

Тут не совсем коллизии, это я для красного словца. В отличие от общеизвестной схеме ЭЦП совместно с ассиметричными алгоритмами, тут часть документа просто не известна !!!
В открытом виде эта часть не идет, только после жуткой мясорубки в хеш-функции.
Неизвестно влияние закрытой части на конечный криптографический хеш - нельзя найти коллизии, так как нет закрытой.

Я не вижу в такой схеме проблем даже с учетом появление неких возможностей к преднамеренным коллизиям MD5.
Но если страшно - никто же не мешает иметь два хеша для двух КЛЮЧЕй  одного алгоритма, или  для двух хеш-алгоритмов.

Нечто подобное используется в протоколах OSPF, возможно в NTP ..

Цитата: Kekc2 от 09.12.2008 12:12:54
Тут не совсем коллизии, это я для красного словца. В отличие от общеизвестной схеме ЭЦП совместно с ассиметричными алгоритмами, тут часть документа просто не известна !!!
В открытом виде эта часть не идет, только после жуткой мясорубки в хеш-функции.
Неизвестно влияние закрытой части на конечный криптографический хеш - нельзя найти коллизии, так как нет закрытой.

Я не вижу в такой схеме проблем даже с учетом появление неких возможностей к преднамеренным коллизиям MD5.
Но если страшно - никто же не мешает иметь два хеша для двух КЛЮЧЕй  одного алгоритма, или  для двух хеш-алгоритмов.

Нечто подобное используется в протоколах OSPF, возможно в NTP ..

Ну, что, вариант рабочий, только с серийным производством замороки. Это самое секретное кодовое слово придется записать в формуляре на компьютер. Со всеми вытекающими последствиями...
Вобщем сейчас решили так. Компьютер оснащаем флеш-диском, защищенным от записи. На диске МСВС, загрузка которой заканчивается Х-терминалом на сервер. IP-назначается по DHCP. Если машина новая (например из ЗИПа), DHCP-сервер обучаем ее MAC-адресу.
Сеанс открывается на сервере. Сервер защищен достаточно (круглосуточное дежурство доверенных админов, охрана/оборона, ... все дела). Слабое место только одно - разъем сетевого кабеля. Придется пломбировать. В остальном все ОК. На машине секретов нет. Ставить можно хоть в коридоре. Пользоваться может любой, имеющий логин и пароль.

Правка - На клиентской машине нет USB, флопов, и прочих али-бобов (либо физически, либо логически).

Цитата: ivan2 от 12.12.2008 09:48:44
IP-назначается по DHCP. Если машина новая (например из ЗИПа), DHCP-сервер обучаем ее MAC-адресу.

А какая защита от подмены MAC-адреса ? Или это не имеет никакого значения в вашем варианте ?

Цитата: Petrushka от 09.12.2008 12:01:38Возьмите SHA

Если Россия и ФАПСИ - только ГОСТ Р 34.11-94. Там уж точно ни коллизий, ни лишних вопросов.

Цитата: agt21 от 12.12.2008 12:38:40
А какая защита от подмены MAC-адреса ? Или это не имеет никакого значения в вашем варианте ?

Как подмените? При контролируемой структурной связности (читай, кабели отсоединять/подсоединять незаметно не получится) это работает.
Защита с помощью печати/пломбы слабовата, но формально проходит.

Цитата: Senya от 12.12.2008 12:50:14
Если Россия и ФАПСИ - только ГОСТ Р 34.11-94. Там уж точно ни коллизий, ни лишних вопросов.

Они же, редиски, и не позволяют грузить по сети и проверять целостность таким образом. С...ки.

Цитата: ivan2 от 12.12.2008 15:35:21
Как подмените? При контролируемой структурной связности (читай, кабели отсоединять/подсоединять незаметно не получится) это работает.
Защита с помощью печати/пломбы слабовата, но формально проходит.

В этом случае не надо морочиться и с безопасностью загрузки ядра по сети. Если же это решение небезопасно, то небезопасно и ваше решение с отсутствующей защитой от изменения MAC-адреса... Вспоминая уже упоминавшийся Мимохожим "arp cache poisoning"...

Цитата: ivan2 от 12.12.2008 09:48:44
Ну, что, вариант рабочий, только с серийным производством замороки. Это самое секретное кодовое слово придется записать в формуляре на компьютер. Со всеми вытекающими последствиями...
Вобщем сейчас решили так. Компьютер оснащаем флеш-диском, защищенным от записи. На диске МСВС, загрузка которой заканчивается Х-терминалом на сервер. IP-назначается по DHCP. Если машина новая (например из ЗИПа), DHCP-сервер обучаем ее MAC-адресу.
... Слабое место только одно - разъем сетевого кабеля.....

Секретное слово + МАК адрес можно загнать на формуляр в виде  некой символьной последовательности и ввести в систему раздачи адресов/образов. Если есть возможность - отделить роль ведения учета АРМ от других.

Если есть криптографическая защита сетевого обмена на публичных ключах , то сетевые угрозы уже минимальны.
Флуд: Можно выключить везде обучение по ARP и фиксировать таблицу MAC-адресов в свичах и контролировать порты. Зашивать в образы АРМ соответсующую ARP таблицу и настройки FireWall-а. Списки MAC адресов держать в тайне. FireWall-ы серверов тоже вести по списку зарегистрированных АРМов. Запретить возможность обмена трафиком между клиентскими АРМ на уровне свичей (что-то типа приватных виланов).  Держать порты свичей выключенными по умолчанию. Может полнять 802.1x на портах.  На default-маршруте за переделы сети анализировать трафик (может его вообще не должно быть). Собирать все события с сетевых устройств. При работе с TFTP удлинить имена файлов случайным мусором и не показывать полное имя при загрузке - усложнить кражу образов. ну итд итп....

Цитата: ivan2 от 05.12.2008 21:48:04
Вот здесь Вы четко "за родину". И я про это. Не могу решить проблему гарантии целостности загружаемого по сети ядра. Идеи есть?

Идеи:

Тут вопрос - кто проверяет целостность: БИОС сетевой карты? В качестве линнии развития можно выбрать Линукс БИОС.

Еще, такую задачу пытались решить микрософты с помощью железной подсистемы называемой Palladium. Но это надо с паяльником, мамки собственные разрабатывать заказывать. В общем, если кому поезет, народ порадуется. Можно кстати на FPGA чонить менее замысловатое замутить. А то у них в паладиуме два уровня ключей, один из которых никогда не покидает пределы чипа!

Но вообщето защитку то вы слабоаааааааато сделали. Защита по МАК - это моветооооооон. По правильному надо ставить VPN и раздавать сертификаты. А все кроме него (VPN) рубить на сетевом фильтре. Флешка монтируется как дисОчек и с него грузится система, берется собственно сертификат. А после подключения дисочек отмонтировать, ещебы его из списка партиций исключить какнить.

В этом случае не надо опломбировать сетевой кабель - сертификат не МАК на коленке не сгенериш. Если будут пытатся химичить с проводами сессия разорвется по истечению времени - тоже звоночек: балуются. Ну можно еще смотреть пару сертификат - МАК. Типа сменился мак а сертификат остался - вызываем часового.

Еще, если будете ставить в "коридоре" проверьте, что нельзя перейти из Х в консоль, и чтобы не было Х-овых консольных клиентов.

Надеюсь, что физическую защиту флешки вы обеспечите. Это полезно с любой точки зрения - капсюль на крышечку чик и нету флешки.

Пну-ка я тему наверх.
Вопрос такой, праздный, появился.
Никто не работал с MEDUSA4 ?
Как оно?
Это я к чему,вот тут раздают FREE PERSONAL, да ещё и под Линух есть.

Цитата: WatchCat от 30.12.2008 15:45:30
Пну-ка я тему наверх.
Вопрос такой, праздный, появился.
Никто не работал с MEDUSA4 ?
Как оно?
Это я к чему,вот тут раздают FREE PERSONAL, да ещё и под Линух есть.

=) пхну-ка и я её наверх.
не, не работал. но за ссылку спасибо. щаз скачаю и посмотрим.

Цитата: blackp от 30.12.2008 21:05:20
=) пхну-ка и я её наверх.
не, не работал. но за ссылку спасибо. щаз скачаю и посмотрим.

И, кстати, как там насчёт наших ГОСТов на документацию? Линия у меня фиговенькая...

Цитата: Petrushka от 30.12.2008 22:51:01
И, кстати, как там насчёт наших ГОСТов на документацию? Линия у меня фиговенькая...

А что по поводу ГОСТов на документацию, в чем вопрос? http://vsegost.com/ рулит. Вот основные http://vsegost.com/N…_2d1.shtml
2.104 и 2.105 со всеми дополнениями и правками.

Правка - Здесь http://vsegost.com/C…_240.shtml чуть другой набор.