Symantec Sygate Enterprise Protection网络环境下，ROS不能用了！

parphy

说一下我的观点：
1、如果只为了解决问题，想办法绕过一套相对成熟的防护体系，其难度一般要大于找到符合防护体系要求，从因此，从应用层上动脑筋的想法应该暂时放弃，有时间再研究

2、前边几位提到过的隧道方式倒是可以提供试验的，前提是，你要有权限改动对端的路由器配置
你有一个些概念模糊的地方，虽然公有IP只有一个，但做成隧道后，就跟它无关了，全部都是内网的IP，隧道有多种方式，各种VPN及IP tunnel都可以

3、seignior 提的东西不是很重要的，而是相当重要的，有一张完整的拓扑图，比费半天口舌强的多

4、你把你的应用有没有做静态映射试验过（应用如果太多，可能就映射不过来了）？

5、（这一条我是猜的，说的可能不太对）冷静一下，你应该发现，你有些太理想主义化了——其直接反映就是，有过多的非份之想——a、总部既然部署了，就应该考虑到这个问题，你们有单独的网管人员，正所谓不在其位，不谋其政。b、ROS功能丰富，但绝不是万能的，网络依靠的是整体规划，而不是某台强劲设备。换句话说，如果总部知道了通过ROS可以绕过防护，相信部署的领导会毫不犹豫地撤换掉现有产品，而选择一个可以对付得了的产品——还是我先前那个基本思路，想办法符合，而不是想办法绕过

parphy

刚刚粗看了一下白皮书（时间有限哈哈），应该是支持VPN模式的，即便有限的支持，也完全可以在防护体系之前插如一个VPN，即先变成局域网...

jack_i5

原帖由 parphy 于 2006-11-22 09:38 发表
说一下我的观点：
1、如果只为了解决问题，想办法绕过一套相对成熟的防护体系，其难度一般要大于找到符合防护体系要求，从因此，从应用层上动脑筋的想法应该暂时放弃，有时间再研究

2、前边几位提到过的隧道 ...

RE: parphy
1、如果只为了解决问题，想办法绕过一套相对成熟的防护体系，其难度一般要大于找到符合防护体系要求，从因此，从应用层上动脑筋的想法应该暂时放弃，有时间再研究

起初我的想法也不是去绕过这套防护体系。理由很简单，由于定制完整性检查的人不是我，所以这里就带有一定的时限性。管理员如果发现我可以通过一些手段绕过SPA检查的话，他一定会重新部署新的策略以应对我的行为。这样我是被动的。没有实际意义。

2、前边几位提到过的隧道方式倒是可以提供试验的，前提是，你要有权限改动对端的路由器配置
你有一个些概念模糊的地方，虽然公有IP只有一个，但做成隧道后，就跟它无关了，全部都是内网的IP，隧道有多种方式，各种VPN及IP tunnel都可以

你提到的对端路由器配置。这种权限恰恰是我不具备的！也就是说，所有的配置都将依赖于目前的这唯一一个真实IP展开。
还有一个环节我前面可能没有描述清楚。SPA完整性检查中有一条策略，我通过试验获得：那就是无论客户机处于网络的什么位置，SPA在启动后都是靠判断客户机的网关地址来对客户机做分组定义的，为了达到欺骗SPA的目的，我构造了一个“模仿”地址，来用作局域网内部地址。

3、seignior 提的东西不是很重要的，而是相当重要的，有一张完整的拓扑图，比费半天口舌强的多

拓扑图我会很快贴上来。

4、你把你的应用有没有做静态映射试验过（应用如果太多，可能就映射不过来了）？

你所说的这一条我并不是很明白你的用意。不过可以肯定的说，应用很单一！所有的事情都是在围绕一个基于C/S结构的数据库客户端展开的。数据库服务器的服务端口是TCP 1888 ,1999，客户机数据查询的发起端口是随机的。在TCP  2000-3000之内。

5、（这一条我是猜的，说的可能不太对）冷静一下，你应该发现，你有些太理想主义化了——其直接反映就是，有过多的非份之想——a、总部既然部署了，就应该考虑到这个问题，你们有单独的网管人员，正所谓不在其位，不谋其政。b、ROS功能丰富，但绝不是万能的，网络依靠的是整体规划，而不是某台强劲设备。换句话说，如果总部知道了通过ROS可以绕过防护，相信部署的领导会毫不犹豫地撤换掉现有产品，而选择一个可以对付得了的产品——还是我先前那个基本思路，想办法符合，而不是想办法绕过

绕过防护的思路我已经放弃了。

6、
刚刚粗看了一下白皮书（时间有限哈哈），应该是支持VPN模式的，即便有限的支持，也完全可以在防护体系之前插如一个VPN，即先变成局域网...

这个应该等同于前面的第二条。前提就是，我必须要有对端路由器的配置权限。否则就不从谈起VPN了。

naboo

你文中说的s.nat伪装，是指ROS的masquerade？还是S.NAT？

[ 本帖最后由 naboo 于 2006-11-22 11:06 编辑 ]

naboo

我认为还是打过SPA客户端后，再经过ROS，源端口的范围在总公司的SPM上违法，被drop掉了

还有，别的公司现在都通过什么设备接进总公司的？

[ 本帖最后由 naboo 于 2006-11-22 11:19 编辑 ]

parphy

re：jack_i5
1、分支机构出现这样的问题，总部相关主管领导是什么意见？——争取政策上的支持是完全必要的条件
2、没有上层的权限，是因为上边的网管不给，还是象其他一些企业那样，集成商验收交付后一走了之，而单位现有人员也没有这个能力搞？

seignior

和webjump、parphy、naboo的看法一样，所以就不重复了。等到图才动手仔细研究，和parphy一样一直没搞明白楼主为什么一直强调公网IP(不是说有光纤直通了吗？)。至于那个偶发的两个用户成功登陆.....可能spa那会儿睡着了吧。

naboo

希望楼主去画图了。。这个问题很有意思哟

zooyo

发拓扑图，然后咨询一下有没有信风，网络尖兵等设备！高度关注此帖，解决问题的评选为今日之星！

naboo

我认为最大的问题还在上层总公司那里～没设置明白～肯定的

总公司得让分公司的员工进去啊，不能只让一个IP进啊，装上SPA后，大家都进不去了，肯定是他们的问题

jack_i5

RE: 所有关注此贴的兄弟！

其实，不瞒大家，我们这个分公司并不是真正意义上的。只是文中提到的总公司的一个合作经销商『独立核算』。我这样一说大家应该明白了吧。这不是技术范畴的事情，纯商业上的。和我们要探讨的问题没有关系。至于总公司的管理员为什么这样去部署，或者说定制这样一种访问策略，我本人也不是很清楚...

－－－－－－－－－－－－－－－－－－－－－－
才发现要说明白一件事情真不容易。我一条条说吧，大伙将就着看。

1、下午接到紧急通知，要求所有分公司把已经安装了SPA客户端的机器重新做系统，只留一台机器配置真实IP＋SPA客户端之后访问总公司的数据资源。

2、分公司和总公司的数据链路由原来的光纤换成微波。微波是租用移动公司的。这部分通信子网应该是网云部分，不过后面的一些数据可能可以说明一些问题。同样这也是今天才知道的事情。

3、SPA客户端被强制定义为：按客户端本地连接的网关地址来自动分组客户群。也就是说，在预先定义的策略里面，所有和我们一样的分公司已经被分组了，是按照本地连接的网关地址来判断的。这是我试验得知的。100％准确！假如我把客户机的网关地址更换为192.168.0.1，那么SPA客户端会马上将客户机划归到未知组中，这种情况下，数据业务系统软件将不能启动！

－－－－－－－－－－－－－－
图在后面

[ 本帖最后由 jack_i5 于 2006-11-22 19:00 编辑 ]

jack_i5

原帖由 jack_i5 于 2006-11-22 18:35 发表
RE: 所有关注此贴的兄弟！

其实，不瞒大家，我们这个分公司并不是真正意义上的。只是文中提到的总公司的一个合作经销商。我这样一说大家应该明白了吧。这不是技术范畴的事情，纯商业上的。和我们要探讨的问题 ...

下图是以前的应用模式，其实就是一个简单的ROS地址伪装。

[ 本帖最后由 jack_i5 于 2006-11-22 18:39 编辑 ]

jack_i5

原帖由 jack_i5 于 2006-11-22 18:35 发表
RE: 所有关注颂?男值埽?

其实，不瞒大家，我们这个分公司并不是真正意义上的。只是文中提到的总公司的一个合作经销商。我这样一说大家应该明白了吧。这不是技术范畴的事情，纯商业上的。和我们要探讨的问题 ...

下图是现在的情况。可以看见，局域网内只能有一台机器可以访问远程资源。局域网其他机器与远程系统没有连接。『注：图右上角的标注错了，是两张图复制编辑的，忘了擦除！』

[ 本帖最后由 jack_i5 于 2006-11-22 18:41 编辑 ]

jack_i5

下午我用 ping -r 9 135.22.22.188 命令获得了如下数据，希望对解决问题有所帮助
Reply from 135.22.22.188: bytes=32 time=39ms TTL=126
    Route: 10.128.22.198 ->
             192.168.80.10  ->
             135.22.22.23  ->
             135.22.22.188->    (这是数据资源服务器地址)
             192.168.80.11  ->
             10.128.22.197  ->
             135.40.26.1     (这是总公司给我分配的网关)
红色部分我想应该是网云部分。

－－－－－－－－－－－－－－－－－－－－－－－－－－
注：28楼贴    第三点中提到的，为了达到不让SPA客户端根据网关地址将我划入一个未知组，我伪造了一个和真实IP类似的地址。如下：

单机直连情况下，我的XP上的IP信息  （真实的）
135.40.26.121
255.255.255.0
135.40.26.1

加了ROS之后，局域网内部的XP主机我是这样给地址的

135.40.23.5~11
255.255.255.0
135.40.23.1   （ROS内网卡地址）
同时，ROS外网卡地址为    135.40.26.121      网关：135.40.26.1
也就是在此种情形下，我两机成功登陆了15分钟。之后被断开了。被断开之后，马上改用单击直联方式，正常使用！
下午，我咨询了我的一个朋友，被告知，像我这样来伪造地址，会造成整个网络的瘫痪。这类似于GRE攻击。不知道真的假的？


[ 本帖最后由 jack_i5 于 2006-11-22 19:08 编辑 ]

seignior

比预期的要复杂......
135.40.26.1归不归你管？看样子你应该不只一个公网ip的说，根据掩码，你应该有整整254个ip可用。

无论是微波还是光纤，这部分你都无需理会，你只要把他理解成一个通路即可。