חסימה לפי דומיין ברמת המחשב
-
@מנצפך
זה לא מספיק אני לא רוצה לתת מידי הרבה רעיונות בפורום ציבורי,
כמו שעל restart באמצעות לוח החשמל לא חשבת, למרות שהוא כ"כ פשוט, יש עוד רבים כאלו,
אני לא מדבר רק על דברים שרק מתקדמים יוכלו לבצע אלא דברים ששמעתי על בני נוער שבוצעו,
בית כנסת זה מקום מאד בעייתי מהבחינה הזאת, -
לחסימת כתובת שם תחום במערכת קיימות שיטות שונות בעלות חסרונות ויתרונות
הם מסווגות בין צד לקוח לצד שרת.ראשית בבואנו למצוא פתרון חסימה נבחן אם קיים מענה למספר נקודות חשובות:
א. האם המענה הוא עבור כלל התעבורת רשת במערכת או רק דרך יישום ספציפי. למשל בקרה בדפדפן תשפיע רק על המידע העובר דרך הדפדפן אבל לא תמנע גישה דרך מדפדפן אחר.
ב. האם החסימה תחול על כלל חשבונות המשתמשים במערכת או על חלקם
ג. האם החסימה תחול על כל רשת שאליה נתחבר או שההגנה עובדת רק ברשת מסויימת כך שאם נתחבר לרשת אחרת ההגנה לא תשפיע. למשל הגנה המיושמת בהפניה לשרת DNS ספציפי שלא זמין בכל רשת.
ד.על איזו פלטפורמת מערכת הפעלה זה ניתן ליישום ואם קיימים דרישות מיוחדות
ה. אלו אמצעי הגנה ניתן ליישם למניעת גישה של המשתמש לביטול/עקיפת החסימהננסה לסקר מקצתם עם התייחסות רק לחלק מהנקודות ביבור שצויינו לעיל:
- קובץ HOSTS לתרגום כתובות IP היא שיטה ותיקה ויתרונה שקיימת בכל פלטפורמת מערכת הפעלה ומשפיע על כל תעבורת המערכת (למשל, כל הדפדפנים מושפעים מכך). בין שלל חסרונותיה נציין רק שהשיטה מסורבלת עקב דרישת ליצור רשומת RR עבור כל שם תחום בנפרד ולא ניתן לציין רשומה יחידה שתכלול אוטומטית את כל התתי שם תחום שתחתיה.
לדוגמה שם תחום example.com שמכיל תחתיו תתי תחום: www.example.com, ftp.example.com, mail.example.com
נצטרך בקובץ HOSTS לציין רשומה עבור כל שם תחום בנפרד
למקצוענים שבנינו תוכל לקרוא על כך באריכות כאן
- Name Resolution Policy Table (NRPT) השיטה החדשה והמתקדמת של מיקרוסופט ממערכת Vista ניתנת לניהול במדיניות קבוצתית (GPO) או עקב היותה מבוססת ערכי רישום (Registry) ניתן לבצע הגדרות גם במערכת מהדורת לקוח שלא קיים GPO
משפיע על כל התעבורת המערכת (למשל, כל הדפדפנים מושפעים מכך).
חסרונות אין רק יתרונות מותאמת לניהול מתקדם החל מציון טווחים או סוג קידומת שם תחום
ועד הצבת תנאי מדיניות לניתוב בקשות כדוגמת דרישת תמיכה מאובטחת ב- DNSSEC או הפניה למענה מערכת ספציפי ועוד....
למקצוענים שבנינו תוכל לקרוא על כך באריכות כאן
-
כלי בקרה שונים המאפשרים חסימה ניתן לסווגם למספר קטגוריות:
א. בקרה ביישום הדפדפן אז המשמעות שהם רק על תעבורה שעוברת בדפדפן הם משפעים אבל לא על כל תעבורת כרטיס הרשת.
ב. בקרה ביישומים צד שלישי כבקרת הורים של מערכות הפעלה או תוכנות אנטי וירוס שונות משפיעים על תעבורת הרשת של המערכת והחסרון הבולט הוא לעיתים בעלות הכספית -
קיימות חסימות ברמת טבלת Route החסרון הוא שזה רק בטווחי כתובת IP ולא בשמות תחום אבל עדיין מספקים מענה לצרכים רבים
למקצוענים שבנינו תוכל לקרוא על כך באריכות כאן
- ברשת ארגונית יתכן שתבוצע הפניה לשרת DNS ייעודי ברשת כאשר החסרון יתכן במידה והמערכת תתחבר לרשת אחרת ושרת ה- DNS לא זמין
- קובץ HOSTS לתרגום כתובות IP היא שיטה ותיקה ויתרונה שקיימת בכל פלטפורמת מערכת הפעלה ומשפיע על כל תעבורת המערכת (למשל, כל הדפדפנים מושפעים מכך). בין שלל חסרונותיה נציין רק שהשיטה מסורבלת עקב דרישת ליצור רשומת RR עבור כל שם תחום בנפרד ולא ניתן לציין רשומה יחידה שתכלול אוטומטית את כל התתי שם תחום שתחתיה.
-
@master אמר בחסימה לפי דומיין ברמת המחשב:
חלק מהקישורים פתוחים רק לבעלי הכשרה בנושא
מבין השיטין נשמע שיש לך גישה?
אם כן, מאד אשמח אם תוכל לעשות העתק הדבק לפוסט שבלינק השני שהוא צירף,
או לשלוח לי "בפרטי", או בכל דרך שתמצא לנכון.תודה רבה!
-
@master אמר בחסימה לפי דומיין ברמת המחשב:
תפנה אליו
@system , אתה אחראי שם? או שאתה "רק" אדמינסטרייטור, כמו כאן?
בכל אופן, אם אתה רואה את התגובה הזו,
אודה לך מאד אם תסכים להעתיק את תוכן הקישור שצרפת,
או לחילופין לארגן לי פרוטקציה בפורום שם (יוזר "איש אחד").תודה רבה!