חסימה לפי דומיין ברמת המחשב
-
@master מסכים איתך עקרונית. אבל התוכנה שלי עוברת ב"ה כל יום עשרות ומאות ילדים...
בעיקרון במצב עכשיו אפילו אני לא יכול לפרוץ אותה.
אבל צודק שאם אפשר להוסיף סינון זה טוב. בכל מקרה K9 לדעתי מספיק במצב הנוכחי.
(ברור שהיו פאשלות, אבל הילדים די מהר מצאו אותן...) -
@מנצפך אמר בחסימה לפי דומיין ברמת המחשב:
@master מסכים איתך עקרונית. אבל התוכנה שלי עוברת ב"ה כל יום עשרות ומאות ילדים...
אתה מתכוון לשיטת רב הונא?
מה זה עוזר לי שיש מאות ילדים זה לא הופך את זה לפחות מסוכן,
בא נניח שאת התוכנה שלך לא ניתן לפרוץ,יש הגנה בsafe mode ?
יש הגנה בהעלאת מערכת הפעלה חיצונית? -
@מנצפך אמר בחסימה לפי דומיין ברמת המחשב:
@master
מהי שיטת רב הונא?כתבת שמשתמשים עם זה מאות ילדים, מה זה פותר, זה עושה עושה את הבעיה לפחות מסוכנת?
קידושין מ"אאמר רב הונא כיון שעבר אדם עבירה ושנה בה הותרה לו הותרה לו סלקא דעתך אלא נעשית לו כהיתר.
אי אפשר לכבות את המחשב בתוכנה. ואין גישה פיזית למארז.
יש להם גישה ללוח החשמל,
-
@מנצפך
זה לא מספיק אני לא רוצה לתת מידי הרבה רעיונות בפורום ציבורי,
כמו שעל restart באמצעות לוח החשמל לא חשבת, למרות שהוא כ"כ פשוט, יש עוד רבים כאלו,
אני לא מדבר רק על דברים שרק מתקדמים יוכלו לבצע אלא דברים ששמעתי על בני נוער שבוצעו,
בית כנסת זה מקום מאד בעייתי מהבחינה הזאת, -
לחסימת כתובת שם תחום במערכת קיימות שיטות שונות בעלות חסרונות ויתרונות
הם מסווגות בין צד לקוח לצד שרת.ראשית בבואנו למצוא פתרון חסימה נבחן אם קיים מענה למספר נקודות חשובות:
א. האם המענה הוא עבור כלל התעבורת רשת במערכת או רק דרך יישום ספציפי. למשל בקרה בדפדפן תשפיע רק על המידע העובר דרך הדפדפן אבל לא תמנע גישה דרך מדפדפן אחר.
ב. האם החסימה תחול על כלל חשבונות המשתמשים במערכת או על חלקם
ג. האם החסימה תחול על כל רשת שאליה נתחבר או שההגנה עובדת רק ברשת מסויימת כך שאם נתחבר לרשת אחרת ההגנה לא תשפיע. למשל הגנה המיושמת בהפניה לשרת DNS ספציפי שלא זמין בכל רשת.
ד.על איזו פלטפורמת מערכת הפעלה זה ניתן ליישום ואם קיימים דרישות מיוחדות
ה. אלו אמצעי הגנה ניתן ליישם למניעת גישה של המשתמש לביטול/עקיפת החסימהננסה לסקר מקצתם עם התייחסות רק לחלק מהנקודות ביבור שצויינו לעיל:
- קובץ HOSTS לתרגום כתובות IP היא שיטה ותיקה ויתרונה שקיימת בכל פלטפורמת מערכת הפעלה ומשפיע על כל תעבורת המערכת (למשל, כל הדפדפנים מושפעים מכך). בין שלל חסרונותיה נציין רק שהשיטה מסורבלת עקב דרישת ליצור רשומת RR עבור כל שם תחום בנפרד ולא ניתן לציין רשומה יחידה שתכלול אוטומטית את כל התתי שם תחום שתחתיה.
לדוגמה שם תחום example.com שמכיל תחתיו תתי תחום: www.example.com, ftp.example.com, mail.example.com
נצטרך בקובץ HOSTS לציין רשומה עבור כל שם תחום בנפרד
למקצוענים שבנינו תוכל לקרוא על כך באריכות כאן
- Name Resolution Policy Table (NRPT) השיטה החדשה והמתקדמת של מיקרוסופט ממערכת Vista ניתנת לניהול במדיניות קבוצתית (GPO) או עקב היותה מבוססת ערכי רישום (Registry) ניתן לבצע הגדרות גם במערכת מהדורת לקוח שלא קיים GPO
משפיע על כל התעבורת המערכת (למשל, כל הדפדפנים מושפעים מכך).
חסרונות אין רק יתרונות מותאמת לניהול מתקדם החל מציון טווחים או סוג קידומת שם תחום
ועד הצבת תנאי מדיניות לניתוב בקשות כדוגמת דרישת תמיכה מאובטחת ב- DNSSEC או הפניה למענה מערכת ספציפי ועוד....
למקצוענים שבנינו תוכל לקרוא על כך באריכות כאן
-
כלי בקרה שונים המאפשרים חסימה ניתן לסווגם למספר קטגוריות:
א. בקרה ביישום הדפדפן אז המשמעות שהם רק על תעבורה שעוברת בדפדפן הם משפעים אבל לא על כל תעבורת כרטיס הרשת.
ב. בקרה ביישומים צד שלישי כבקרת הורים של מערכות הפעלה או תוכנות אנטי וירוס שונות משפיעים על תעבורת הרשת של המערכת והחסרון הבולט הוא לעיתים בעלות הכספית -
קיימות חסימות ברמת טבלת Route החסרון הוא שזה רק בטווחי כתובת IP ולא בשמות תחום אבל עדיין מספקים מענה לצרכים רבים
למקצוענים שבנינו תוכל לקרוא על כך באריכות כאן
- ברשת ארגונית יתכן שתבוצע הפניה לשרת DNS ייעודי ברשת כאשר החסרון יתכן במידה והמערכת תתחבר לרשת אחרת ושרת ה- DNS לא זמין
- קובץ HOSTS לתרגום כתובות IP היא שיטה ותיקה ויתרונה שקיימת בכל פלטפורמת מערכת הפעלה ומשפיע על כל תעבורת המערכת (למשל, כל הדפדפנים מושפעים מכך). בין שלל חסרונותיה נציין רק שהשיטה מסורבלת עקב דרישת ליצור רשומת RR עבור כל שם תחום בנפרד ולא ניתן לציין רשומה יחידה שתכלול אוטומטית את כל התתי שם תחום שתחתיה.