parphy
发表于 2006-11-22 09:38:44
说一下我的观点:
1、如果只为了解决问题,想办法绕过一套相对成熟的防护体系,其难度一般要大于找到符合防护体系要求,从因此,从应用层上动脑筋的想法应该暂时放弃,有时间再研究
2、前边几位提到过的隧道方式倒是可以提供试验的,前提是,你要有权限改动对端的路由器配置
你有一个些概念模糊的地方,虽然公有IP只有一个,但做成隧道后,就跟它无关了,全部都是内网的IP,隧道有多种方式,各种VPN及IP tunnel都可以
3、seignior 提的东西不是很重要的,而是相当重要的,有一张完整的拓扑图,比费半天口舌强的多
4、你把你的应用有没有做静态映射试验过(应用如果太多,可能就映射不过来了)?
5、(这一条我是猜的,说的可能不太对)冷静一下,你应该发现,你有些太理想主义化了——其直接反映就是,有过多的非份之想——a、总部既然部署了,就应该考虑到这个问题,你们有单独的网管人员,正所谓不在其位,不谋其政。b、ROS功能丰富,但绝不是万能的,网络依靠的是整体规划,而不是某台强劲设备。换句话说,如果总部知道了通过ROS可以绕过防护,相信部署的领导会毫不犹豫地撤换掉现有产品,而选择一个可以对付得了的产品——还是我先前那个基本思路,想办法符合,而不是想办法绕过
parphy
发表于 2006-11-22 09:55:37
刚刚粗看了一下白皮书(时间有限哈哈),应该是支持VPN模式的,即便有限的支持,也完全可以在防护体系之前插如一个VPN,即先变成局域网...
jack_i5
发表于 2006-11-22 10:50:50
原帖由 parphy 于 2006-11-22 09:38 发表
说一下我的观点:
1、如果只为了解决问题,想办法绕过一套相对成熟的防护体系,其难度一般要大于找到符合防护体系要求,从因此,从应用层上动脑筋的想法应该暂时放弃,有时间再研究
2、前边几位提到过的隧道 ...
RE: parphy
1、如果只为了解决问题,想办法绕过一套相对成熟的防护体系,其难度一般要大于找到符合防护体系要求,从因此,从应用层上动脑筋的想法应该暂时放弃,有时间再研究
起初我的想法也不是去绕过这套防护体系。理由很简单,由于定制完整性检查的人不是我,所以这里就带有一定的时限性。管理员如果发现我可以通过一些手段绕过SPA检查的话,他一定会重新部署新的策略以应对我的行为。这样我是被动的。没有实际意义。
2、前边几位提到过的隧道方式倒是可以提供试验的,前提是,你要有权限改动对端的路由器配置
你有一个些概念模糊的地方,虽然公有IP只有一个,但做成隧道后,就跟它无关了,全部都是内网的IP,隧道有多种方式,各种VPN及IP tunnel都可以
你提到的对端路由器配置。这种权限恰恰是我不具备的!也就是说,所有的配置都将依赖于目前的这唯一一个真实IP展开。
还有一个环节我前面可能没有描述清楚。SPA完整性检查中有一条策略,我通过试验获得:那就是无论客户机处于网络的什么位置,SPA在启动后都是靠判断客户机的网关地址来对客户机做分组定义的,为了达到欺骗SPA的目的,我构造了一个“模仿”地址,来用作局域网内部地址。
3、seignior 提的东西不是很重要的,而是相当重要的,有一张完整的拓扑图,比费半天口舌强的多
拓扑图我会很快贴上来。
4、你把你的应用有没有做静态映射试验过(应用如果太多,可能就映射不过来了)?
你所说的这一条我并不是很明白你的用意。不过可以肯定的说,应用很单一!所有的事情都是在围绕一个基于C/S结构的数据库客户端展开的。数据库服务器的服务端口是TCP 1888 ,1999,客户机数据查询的发起端口是随机的。在TCP2000-3000之内。
5、(这一条我是猜的,说的可能不太对)冷静一下,你应该发现,你有些太理想主义化了——其直接反映就是,有过多的非份之想——a、总部既然部署了,就应该考虑到这个问题,你们有单独的网管人员,正所谓不在其位,不谋其政。b、ROS功能丰富,但绝不是万能的,网络依靠的是整体规划,而不是某台强劲设备。换句话说,如果总部知道了通过ROS可以绕过防护,相信部署的领导会毫不犹豫地撤换掉现有产品,而选择一个可以对付得了的产品——还是我先前那个基本思路,想办法符合,而不是想办法绕过
绕过防护的思路我已经放弃了。
6、
刚刚粗看了一下白皮书(时间有限哈哈),应该是支持VPN模式的,即便有限的支持,也完全可以在防护体系之前插如一个VPN,即先变成局域网...
这个应该等同于前面的第二条。前提就是,我必须要有对端路由器的配置权限。否则就不从谈起VPN了。
naboo
发表于 2006-11-22 10:58:15
你文中说的s.nat伪装,是指ROS的masquerade?还是S.NAT?
[ 本帖最后由 naboo 于 2006-11-22 11:06 编辑 ]
naboo
发表于 2006-11-22 11:13:10
我认为还是打过SPA客户端后,再经过ROS,源端口的范围在总公司的SPM上违法,被drop掉了
还有,别的公司现在都通过什么设备接进总公司的?
[ 本帖最后由 naboo 于 2006-11-22 11:19 编辑 ]
parphy
发表于 2006-11-22 11:31:29
re:jack_i5
1、分支机构出现这样的问题,总部相关主管领导是什么意见?——争取政策上的支持是完全必要的条件
2、没有上层的权限,是因为上边的网管不给,还是象其他一些企业那样,集成商验收交付后一走了之,而单位现有人员也没有这个能力搞?
seignior
发表于 2006-11-22 13:56:39
和webjump、parphy、naboo的看法一样,所以就不重复了。等到图才动手仔细研究,和parphy一样一直没搞明白楼主为什么一直强调公网IP(不是说有光纤直通了吗?)。至于那个偶发的两个用户成功登陆.....可能spa那会儿睡着了吧。
naboo
发表于 2006-11-22 13:59:48
希望楼主去画图了。。这个问题很有意思哟
zooyo
发表于 2006-11-22 14:06:50
发拓扑图,然后咨询一下有没有信风,网络尖兵等设备!高度关注此帖,解决问题的评选为今日之星!
naboo
发表于 2006-11-22 14:09:36
我认为最大的问题还在上层总公司那里~没设置明白~肯定的
总公司得让分公司的员工进去啊,不能只让一个IP进啊,装上SPA后,大家都进不去了,肯定是他们的问题
jack_i5
发表于 2006-11-22 18:35:38
RE: 所有关注此贴的兄弟!
其实,不瞒大家,我们这个分公司并不是真正意义上的。只是文中提到的总公司的一个合作经销商『独立核算』。我这样一说大家应该明白了吧。这不是技术范畴的事情,纯商业上的。和我们要探讨的问题没有关系。至于总公司的管理员为什么这样去部署,或者说定制这样一种访问策略,我本人也不是很清楚...
----------------------
才发现要说明白一件事情真不容易。我一条条说吧,大伙将就着看。
1、下午接到紧急通知,要求所有分公司把已经安装了SPA客户端的机器重新做系统,只留一台机器配置真实IP+SPA客户端之后访问总公司的数据资源。
2、分公司和总公司的数据链路由原来的光纤换成微波。微波是租用移动公司的。这部分通信子网应该是网云部分,不过后面的一些数据可能可以说明一些问题。同样这也是今天才知道的事情。
3、SPA客户端被强制定义为:按客户端本地连接的网关地址来自动分组客户群。也就是说,在预先定义的策略里面,所有和我们一样的分公司已经被分组了,是按照本地连接的网关地址来判断的。这是我试验得知的。100%准确!假如我把客户机的网关地址更换为192.168.0.1,那么SPA客户端会马上将客户机划归到未知组中,这种情况下,数据业务系统软件将不能启动!
--------------
图在后面
[ 本帖最后由 jack_i5 于 2006-11-22 19:00 编辑 ]
jack_i5
发表于 2006-11-22 18:36:19
原帖由 jack_i5 于 2006-11-22 18:35 发表
RE: 所有关注此贴的兄弟!
其实,不瞒大家,我们这个分公司并不是真正意义上的。只是文中提到的总公司的一个合作经销商。我这样一说大家应该明白了吧。这不是技术范畴的事情,纯商业上的。和我们要探讨的问题 ...
下图是以前的应用模式,其实就是一个简单的ROS地址伪装。
[ 本帖最后由 jack_i5 于 2006-11-22 18:39 编辑 ]
jack_i5
发表于 2006-11-22 18:36:46
原帖由 jack_i5 于 2006-11-22 18:35 发表
RE: 所有关注颂?男值埽?
其实,不瞒大家,我们这个分公司并不是真正意义上的。只是文中提到的总公司的一个合作经销商。我这样一说大家应该明白了吧。这不是技术范畴的事情,纯商业上的。和我们要探讨的问题 ...
下图是现在的情况。可以看见,局域网内只能有一台机器可以访问远程资源。局域网其他机器与远程系统没有连接。『注:图右上角的标注错了,是两张图复制编辑的,忘了擦除!』
[ 本帖最后由 jack_i5 于 2006-11-22 18:41 编辑 ]
jack_i5
发表于 2006-11-22 18:38:26
下午我用 ping -r 9 135.22.22.188 命令获得了如下数据,希望对解决问题有所帮助
Reply from 135.22.22.188: bytes=32 time=39ms TTL=126
Route: 10.128.22.198 ->
192.168.80.10->
135.22.22.23->
135.22.22.188-> (这是数据资源服务器地址)
192.168.80.11->
10.128.22.197->
135.40.26.1 (这是总公司给我分配的网关)
红色部分我想应该是网云部分。
--------------------------
注:28楼贴 第三点中提到的,为了达到不让SPA客户端根据网关地址将我划入一个未知组,我伪造了一个和真实IP类似的地址。如下:
单机直连情况下,我的XP上的IP信息(真实的)
135.40.26.121
255.255.255.0
135.40.26.1
加了ROS之后,局域网内部的XP主机我是这样给地址的
135.40.23.5~11
255.255.255.0
135.40.23.1 (ROS内网卡地址)
同时,ROS外网卡地址为 135.40.26.121 网关:135.40.26.1
也就是在此种情形下,我两机成功登陆了15分钟。之后被断开了。被断开之后,马上改用单击直联方式,正常使用!
下午,我咨询了我的一个朋友,被告知,像我这样来伪造地址,会造成整个网络的瘫痪。这类似于GRE攻击。不知道真的假的?
[ 本帖最后由 jack_i5 于 2006-11-22 19:08 编辑 ]
seignior
发表于 2006-11-22 20:24:26
比预期的要复杂......
135.40.26.1归不归你管?看样子你应该不只一个公网ip的说,根据掩码,你应该有整整254个ip可用。
无论是微波还是光纤,这部分你都无需理会,你只要把他理解成一个通路即可。