Спасибо! Коротко, информативно, последовательно - так и должно быть.
@AndreySozykin8 жыл бұрын
+Jon Belov, пожалуйста.
@АлмасУразов-л2т5 жыл бұрын
Андрей, огромное вам спасибо. Это большой труд - создавать такие уроки.
@AndreySozykin5 жыл бұрын
Пожалуйста!
@snsaraev Жыл бұрын
Андрей, дай бог тебе здоровья) за курс лекций по сетям объяснил мне единственный понятным языком то, что я не мог понять всю жизнь и просто воспринимал как магию
@SergiiKartashov3 жыл бұрын
Время идет, но я периодически возвращаюсь к Вашим курсам. Спасибо!
@eugeniatikhomirova75425 жыл бұрын
Большое спасибо! Теория, как всегда, на высоте. На мой взгляд, не хватает практического примера программно-аппаратной реализации. Понятно было только с брандмауэром на хосте.
@ТасяТася-с7э4 жыл бұрын
Благодарю Вас за Ваши замечательные доступные объяснения!!!
@vuzhe3 жыл бұрын
Очень интересно, помню, когда была совсем мелкая, от скуки лазила по компьютеру и изучала начинку, но значение слов брандмауэр и файрволл узнала только сейчас ахаха
@AndreySozykin3 жыл бұрын
Это и есть life long learning, сейчас очень востребовано 😉
@ЕкатеринаКараханова-щ2л2 жыл бұрын
Андрей, спасибо большое за информативность! Мы всем потоком сдали экзамен по сетям связи благодаря вашим видео! :)
@AndreySozykin2 жыл бұрын
Спасибо за приятный отзыв! Какой университет?
@manOfPlanetEarth8 ай бұрын
тебя спросили какой университет!
@properdosik16 күн бұрын
@@AndreySozykin МФТИ
@Phi-Gnya5 жыл бұрын
нет слов! ) великолепная подача материала. лаконично, понятно, информативно!
@AndreySozykin5 жыл бұрын
Спасибо!
@3scctvRu_camera7 жыл бұрын
Спасибо за приятный стиль подачи информации...
@AndreySozykin7 жыл бұрын
+3S-cctv.ru, пожалуйста! Рад, что нравится!
@Q_School3 жыл бұрын
Спасибо. Qilgan bu yaxshi amallariyezni ajrini bersin.
@AndreySozykin3 жыл бұрын
Пожалуйста!
@andreipomorev62924 жыл бұрын
Спасибо! Очень понятное изложение материала.
@kseniyasakki43823 жыл бұрын
Спасибо вам, Андрей!
@AndreySozykin3 жыл бұрын
Пожалуйста!
@worseize4 жыл бұрын
Спасибо первое видео по безопасности которое я понял .
@AndreySozykin4 жыл бұрын
Отлично! Успехов в дальнейшем изучении!
@andrewgering90054 жыл бұрын
Не первое ваше видео, очень здорово спасибо большое!
@AndreySozykin4 жыл бұрын
Пожалуйста!
@sergeykatovich4949 Жыл бұрын
Андрей спасибо, отличные лекции. Очень грамотная структурированность и подача информации. Почему не подключен сервис донатов? Я, как думаю и многие люди из комментариев отблагодарили бы.
@AndreySozykin Жыл бұрын
Спасибо за приятный отзыв! Сервис донатов есть, вот ссылка - pay.cloudtips.ru/p/45a4055b Не во все ранние видео успел прописать.
@dinara91297 жыл бұрын
Супер, все понятно теперь! Спасибо :-)
@AndreySozykin7 жыл бұрын
+Dinara Shadyarova, пожалуйста.
@АлексейРоманчук-у4п2 жыл бұрын
Спасибо, полезно и понятно. Отличное видео.
@AndreySozykin2 жыл бұрын
Пожалуйста!
@sergeyshestakov6075 жыл бұрын
Спасибо ! Очень полезный урок!
@AndreySozykin5 жыл бұрын
Пожалуйста!
@АндрейБессмертный-у6я4 жыл бұрын
Вау, вот это очень интересный видос!
@AndreySozykin4 жыл бұрын
Спасибо!
@lester24966 жыл бұрын
Спасибо Андрей!
@AndreySozykin6 жыл бұрын
Пожалуйста!
@farhad189school84 жыл бұрын
Спасибо большое.
@AndreySozykin4 жыл бұрын
Пожалуйста!
@СергейПарамзин-у8й4 жыл бұрын
Спасибо за лекцию ( на дистанционке это самое то) ps какие негодяя минусят- кому Вы зачёт не поставили)))
@AndreySozykin4 жыл бұрын
Минусы обязательно нужны, всем нравится невозможно.
@mindfulnessbeauty91754 жыл бұрын
Спасибо! Было интересно!
@AndreySozykin4 жыл бұрын
Пожалуйста!
@deniskoeppen5 жыл бұрын
Было бы интересно увидеть типологию с внешними и внутренними МСЭ, DMZ. Что можно что нельзя при протоколах прикладного уровня. А так же отличие и/или размещение коммутатора и МСЭ.
@AndreySozykin5 жыл бұрын
В этом я не специалист, к сожалению.
@deniskoeppen5 жыл бұрын
@@AndreySozykin а чем отличается МСЭ от коммутатора?
@pavellevap41786 жыл бұрын
Анрдей, можно вас попросить рассказать про WAF IPS IDS поподробнее, если у вас есть таковые знания, буду очень признателен
@AndreySozykin6 жыл бұрын
К сожалению, в этих темах я не очень разбираюсь. Поэтому вряд ли смогу сделать хорошие лекции.
@ВитюганЗлюка4 жыл бұрын
Очень доступно.. Даже я тугодум всё понял с первого раза
@TOXIC-ROSE-144 жыл бұрын
Спасибо что объясняете.
@AndreySozykin4 жыл бұрын
Пожалуйста!
@ДмитрийКомаров-щ6с3 жыл бұрын
Андрей, возникло затруднение в понимании на моменте 6:44 "межсетевой экран их пропустит, наш сервис их будет отбрасывать" - всё-таки пропустит или будет отбрасывать? Просто прозвучали две противоречивые фразы друг за другом. Вроде эти пакеты удовлетворяют правилу 2 в таблице.
@ФуадГусейнов-й9ы6 жыл бұрын
спасибо за труды
@AndreySozykin6 жыл бұрын
Пожалуйста!
@AvariaMax6 жыл бұрын
Объясните, в какой точке правильно устанавливать маршрутизатор? В большинстве случае в интернете представлены следующие схемы: 1) внутренняя защищаемая сеть->межсетевой экран->маршрутизатор->внешняя сеть но ведь в таком случае маршрутизатор оказывается за пределами защиты МСЭ. Конечно маршрутизатор можно защитить его собственными средствами безопасности, но этих средств всё равно меньше чем у МСЭ. И таким образом злоумышленники могут просто положить маршрутизатор, и пользователь останется без доступа во внешнюю сеть. Логичнее выглядит следующая схема 2) внутренняя защищаемая сеть->маршрутизатор->межсетевой экран->внешняя сеть почему же по второму варианту схемы встречаются крайне редко? какая из них является правильной или какая является предпочтительной по каким-либо причинам? Я проектирую сети энергетики, во внутренних руководящих документах ПАО "Россети" строго сказано, что сегменты сети должны быть разделены МСЭ и это видится логичным, но почему же в интернете во всяческих учебных лекциях всегда указывается схема по первому варианту или изредка встречается схема по второму?
@AndreySozykin6 жыл бұрын
Алексей, однозначного ответа нет, все зависит от условий. 1. Сейчас многие маршрутизаторв содержат в себе встроенные межсетевые экраны и могут обеспечить достаточно серьезную защиту. 2. Нужно смотреть, как осуществляется подключение к интернет. Возможно, по требованиям должен сначала идти маршрутизатор, а к межсетевому экрану подключиться не получится. 3. В зависимости от архитектуры сети возможна более сложная схема: в дополнение к внутреннему и внешнему сегменту может использоваться демилитаризованная зона, в которой находятся серверы компании, к которым разрешен доступ из интернет. Я не являюсь специалистом по информационной безопасности и не могу сказать точно, как будет правильно и в каком случае.
@w1tcherj5 жыл бұрын
замечу, что некоторые провайдеры разрешают свой канал(пачкорд) воткнуть только в роутер(шлюз который), а дальше как клиент хочет, может в этом дело?
@AndreySozykin5 жыл бұрын
Да, провайдеры обычно только канал в Интернет предоставляют. Но у некоторых есть дополнительные сервисы - защита от DDos атак и т.п. Однако в большинстве случаев свою сеть придется защищать самостоятельно.
@FF-ne2qz4 жыл бұрын
5:53 но ack же будет только от клиента к серверу (о подтверждении получения данных), то есть правило 2 не будет работать, как рассказывается?
@Monkeylust3 жыл бұрын
допустим в первом правиле клиент отправил запрос на установку соединения syn (флаг любой), а во втором правиле пришло подтверждение соединения syn-ack (так как в нем есть флаг ack его пропустили), далее по первому правилу клиент устанавливает соединение с сервером и начинается передача от сервера к клиенту. А так как злоумышленникам необходимо установить соединение с клиентом им не остается выхода как кинуть пакет только с syn и как раз таки он и не пройдет по второму правилу так как в первом пакете отсутствует флаг ack, фух. Я как то так понял.
@manOfPlanetEarth8 ай бұрын
@@Monkeylust всё правильно понял.
@aleksanterikaansalo Жыл бұрын
Неплохо, чёрт возьми.
@rosen_matev2 жыл бұрын
Большое спасибо ... 🙂
@WhiteBear1419816 жыл бұрын
Добрый день, Андрей! Спасибо! Вопрос: не является ли третье правило в таблице правил доступа излишним?
@AndreySozykin6 жыл бұрын
Которое про запретить все? Для обработки пакетов используется первое найденное подходящее правило. Если никакое правило найдено не будет, то пакет передается дальше.
@WhiteBear1419816 жыл бұрын
@@AndreySozykin спасибо! То есть работает правило: всё, что не запрещено, разрешено.
@AndreySozykin6 жыл бұрын
Да.
@АнатолийАнатолий-п1д5 жыл бұрын
Я думал, это зависит от конкретной реализации фаервола, нет?
@СергейТерехов-п8с3 жыл бұрын
Класс! Спасибо!!!
@AndreySozykin3 жыл бұрын
Пожалуйста!
@artur_kia3 жыл бұрын
Спасибо
@AndreySozykin3 жыл бұрын
Пожалуйста!
@abit2ip2 жыл бұрын
супер, что посоветуете из оьорудования железки - для малого бизнеса с поддержкой контроля на прикладной уровне?
@sergeyufimtsev7118 жыл бұрын
А разве firewall не может пасть от атаки "Отказ в обслуживании"?
@AndreySozykin8 жыл бұрын
+Sergey Ufimtsev, да может. Но обычно для этого гораздо больше ресурсов нужно.
@Учусь-л7ц Жыл бұрын
Здравствуйте, Андрей, спасибо за очередную отличную лекцию. у меня возникли вопросы, которые хотелось бы прояснить прежде чем переходить к следующему уровню. 1) хосты находящиеся в одной подсети, то есть равную маску IP. Как они связаны на канальном уровне? Они должны находиться близко? Или могут быть в разных городах к примеру 2)как связаны хосты подсети с маршрутизатором на канальном уровне?
@Alex-x4b8y Жыл бұрын
1) на канальном уровне все устройства в широковещательные домене взаимодействуют на уровне Mac-адресов, коммутация пакетов. Обычно используются коммутаторы L2, L3. Расстояние зависит от возможностей канального уровня и технологии ethernet. Максимальная длина кабеля между 2-мя сегментами utp (витая пара) с ethernet 10,100, 1000, 1GBase-T = 100 метров, для ethernet 1000Base-LX (оптоволокно) = 5 км. Чтобы построить свою подсеть в разных городах без маршрутизаторов, чисто на канальном уровне, тебе нужно протянуть между ними несколько физических кабельных линий с коммутаторами, хабами и репитерами. Эл. сигнал затухает при прохождении по кабелю. Потому на технологии наложены ограничения на максимальную длину кабеля. В современном мире, благодаря VLAN, можно свои линии не тянуть, но здесь без сетевого уровня и маршрутизатора никак. 2) Они взаимодействуют на сетевом уровне с помощью инкапсуляции и протокола ARP.
@Учусь-л7ц Жыл бұрын
@@Alex-x4b8y спасибо большое!
@АлександрЧерданцев-у7н Жыл бұрын
@@Alex-x4b8y Благодарю за развернутый ответ. Но на 2-ой вопрос я не совсем понял ответ. Либо вопрос был задан не корректно. Я так понимаю, использование маршрутизатора в подсети для связи хостов не целесообразно, только как коммутатор LAN - портов в подсети и выхода их во внешнюю сеть провайдера и интернет. Это имеет место только для домашнего роутера. Понятно, что роутер по определению предназначен для работы на сетевом уровне для связи сетей между собой. Вопрос: под инкапсуляцией вы имеете ввиду соотнесение MAC - адрес порта роутера с IP-пакета по ARP?
@Alex-x4b8y Жыл бұрын
@@АлександрЧерданцев-у7н @Александр Черданцев Это разные вещи. Инкапсуляции это основа сетей, технологии ethernet и модели OSI. Всё завязано на инкапсуляции ip-пакета во фрейм при отправке и декапсуляции из фрейма в пакет при получении. Это базовая логика работы передачи данных, которой безукоризненно следуют и хосты (ПО на ПК) и сетевые устройства. Нельзя отправить ip-пакет, не упакован его во фрейм. И нельзя отправить фрейм без ip-пакета. Особенность коммутации: Фрейм может пересылаться только ближайшем физическому устройству. ARP-таблица нужна маршрутизатору для понимания кому из напрямую подключённых соседей предназначен фрейм.
@manOfPlanetEarth8 ай бұрын
@@Alex-x4b8y четкий комментарий. первый раз вижу тебя здесь в комах. мало комментируешь, мог бы больше:)
@coconut_punker4 жыл бұрын
Правильно ли я понял что межсетевые экраны могут быть встроены в маршрутизатор ли конфигурируются администратором сети?
@AndreySozykin4 жыл бұрын
Да, так часто бывает.
@coconut_punker4 жыл бұрын
@@AndreySozykin спасибо за урок!
@АнатолийАнатолий-п1д5 жыл бұрын
Правильно ли я понимаю, что если я - провайдер, я могу использовать межсетевой экран для того, чтобы ограничивать доступ моим клиентам к некому списку IP адресов (например, вебсерверов, запрещенных РКН), а обойти это можно будет с помощью прокси на прикладном уровне, ведь запрос будет осуществляться к разрешенному IP-адресу прокси-сервера, а он уже будет отправлять запрос на запрещенный сайт? P. S. Наконец-то я начал понимать все эти фаерволы, брандмауэры и iptables. Оказалось проще и приятнее, чем казалось со стороны, когда еще не знал ничего.
@Азамат-ш4з4 жыл бұрын
Андрей я так и не понял, как злоумвшленник сможет узнать внутренний айпи адрес хоста и его внутренний порт, чтобы сконструировать тот самый поддельный пакет? Ведь как мы знаем из лекции о НАТ - те, кто за прелелами сети видят айпи адрес и порты устройства НАТ а не хоста из лок сети, то есть по сути такая атака получается невозможна в принципе. Так или нет? 🤷♂️
@Азамат-ш4з4 жыл бұрын
Или злой парень в своем сконструированном пакете укажет порт и айпи устройства НАТ, а оно уже транслирует эти данные во внутренний айппи и порт хоста и далее пакет плохого парня идет в мсэ? Так получается? Тогда НАТ должен стоять перед мсэ.
@AndreySozykin4 жыл бұрын
Межсетевой экран не обязательно использовать вместе с NAT. Экран может отделять два сегмента сети друг от друга. Или во внутренней сети компании могут быть несколько устройств с внешними адресами. Наример, веб-серверы.
@Азамат-ш4з4 жыл бұрын
@@AndreySozykin а если во внутренней сети имеются хосты с внешним айпи то они выходят в инет через нат или минуя нат? Или через нат, но нат им айпи не меняет?
@AndreySozykin4 жыл бұрын
Обычно, NAT реализован на маршрутизаторе. Поэтому маршрутизатор для таких адресов NAT не применяет. Но могут быть более сложные подключения. Тогда трафик от таких адресов идет миную NAT.
@Andrzej39352 жыл бұрын
Спасибо!
@ИванИванов-ю2е5ц3 жыл бұрын
спасибо!!!
@AndreySozykin3 жыл бұрын
Пожалуйста!
@danilghost68178 жыл бұрын
Алексей, подскажите когда следует использовать цепочки forward, output и input при построении ip tables на линукс
@AndreySozykin8 жыл бұрын
+Danil Ghost, надеюсь вопрос ко мне, хотя меня зовут Андрей :) В iptables цепочка output - для исходящих пакетов, input - для входящих пакетов. Цепочка forward используется на программных маршрутизаторах, в ней обрабатываются пакеты, не предназначенные для локального компьютера. Наша Linux-машина маршрутизатор принимает такие пакеты и передает дальше.
@danilghost68178 жыл бұрын
Сорри за ошибку с именем)) Спасибо за ответ
@BalynOmavel6 жыл бұрын
Слайд 12. Для проверки наличия соединения, fw использует таблицу соединений. Но как мы сможем установить ПЕРВОЕ соединение, если все пакеты с ACK флагом без соединения отбрасываются согласно 2-му правилу fw? Ведь для установки соединения, необходимо пропустить как минимум один SYN-ACK от удаленного сервера
@w1tcherj5 жыл бұрын
хороший вопрос, в инете нашёл о SPI, который может запомнить и атрибуты каждого соединения. Конечно же ответ на твой вопрос хотелось бы получить, но, как мне кажется, fw просто "запомнит" что был SYN и будет "ждать" ACK.
@АнатолийАнатолий-п1д5 жыл бұрын
Правило, которое пропускает только пакеты с проставленным ACK, действует только для входящих пакетов. То есть если кто-то извне попытается инициировать соединение без нашего желания, у него не получится. А вот мы инициировать соединение можем, ведь такого же требования для флага ACK для исходящих пакетов не стоит. В итоге извне будут приходить только те пакеты, которые являются ответами в рамках TCP-соединения, которое мы инициировали сами.
@manOfPlanetEarth8 ай бұрын
@@АнатолийАнатолий-п1д в этом ответе халтуришь.
@gheocom7 жыл бұрын
A ato ne acces list?
@AndreySozykin7 жыл бұрын
+gheocom, на маршрутизаторе это может быть access list.
@Das.Kleine.Krokodil5 жыл бұрын
4:44 в брэнмауэре win8 не нашел порядка у правил
@SuperPurpleguitar5 жыл бұрын
Спасибо за лекции! Очень доступно и интересно ! Мне немного не хватало информации о том как применять брандмауэр и нат вместе . Если у меня уже есть нат , нужен ли мне брэндмауэр?
@AndreySozykin5 жыл бұрын
Да, нужен. NAT и межсетевой экран - дополняющие друг друга технологии. Чаще всего они реализованы в одном устройстве.
@bodik11116 жыл бұрын
а можно ли как то просмотреть таблицу правил доступа?
@MegaCorbon6 жыл бұрын
Ну если ты ее составляешь, наверное и посмотреть можешь!)) А извне только понять разрешен конкретно тебе доступ в эту сеть или нет
@w1tcherj5 жыл бұрын
да и изнутри, если ты не администратор старший какой-нибудь, хрен посмотришь)
@pie49282 жыл бұрын
Как сконструировать пакет ?!
@AndreySozykin2 жыл бұрын
Пакеты вручную конструировать не нужно. Вместо прямого создания пакетов для передачи данных используется интерфейс сокетов.
@pie49282 жыл бұрын
@@AndreySozykin спасибо
@pie49282 жыл бұрын
@@AndreySozykin а если я хочу сконструировать пакет RST и отправить?
@KosmoKiit4 жыл бұрын
Норм преподаватель))))
@AndreySozykin4 жыл бұрын
Спасибо!
@yz17254 жыл бұрын
"МЭ отделяет сети друг от друга." Возможно, что он объединяет сети по определенным правилам?
@AndreySozykin4 жыл бұрын
Можно сказать и так. Но основное устройство объединения сетей - это маршрутизатор.
@KomarovPavel-if8ud4 жыл бұрын
у кого-то стакан наполовину полон, а у кого-то наполовину пуст)
@w1tcherj5 жыл бұрын
09:40 а как он определит, что я скачиваю видео, вот пришло ему 1500байт, хер же поймёшь, что там внутри, а все пакеты собирать-места не хватит.
@AndreySozykin5 жыл бұрын
Обычно межсетевые экраны отслеживают установку соединения. Продвинутые могут определить, какая именно операция используется в этом соединении. После этого достаточно определить, к какому соединению относится пакет, не обязательно хранить все предыдущие пакеты. Часто для этого этой цели используется технология DPI - ru.wikipedia.org/wiki/Deep_packet_inspection
@andreypolevoy53114 жыл бұрын
СПС!
@OleksandrVoitiuk6 жыл бұрын
Нарешті почав розуміти як функціонують SPI. Дякую.
@СабинаСабирова-з7в2 жыл бұрын
спасибо|
@gheocom7 жыл бұрын
privet!
@ЕвгенийШаров-ч4ш7 жыл бұрын
iptables это всего лишь утилита заполнения таблиц, а фильтрацией занимается уже часть ядра netfilter
@AndreySozykin7 жыл бұрын
+Евгений Шаров, спасибо за уточнение. Именно так.
@Саша-л5б5г4 жыл бұрын
По 7 уровень забыли(
@olimpus64826 жыл бұрын
злоумышленник может подключиться модему использовать трафик клиента.
@w1tcherj5 жыл бұрын
что
@manOfPlanetEarth8 ай бұрын
@@w1tcherj да он лимонада перепил
@frolovskii_v3 жыл бұрын
На сколько глубока кроличья нора...) Но зачем безопасность рядовому пользователю, которого никто не знает и денег не много?
@AndreySozykin3 жыл бұрын
Основы все равно нужно представлять.
@frolovskii_v3 жыл бұрын
@@AndreySozykin то есть обычный человек может получить публичный ip и не заморачиваться?
@AndreySozykin3 жыл бұрын
Скорее, понимать, что есть такие задачи, как безопасность. И не выключать межсетевой экран (брандмауэр) на своём компьютере.