Вероятность деанонимизации в локальной сети

Не знаю тонкостей, где стоит СОРМ, но вроде бы чуть ли ни даже между вами и вашим провом. Даже если после прова, то всё равно: провайдер всегда ведёт логи: кто, когда и на какой IP подключался, и даже м.б. запросы к DNS-серверу. Скорей всего, в нужный момент только вы пользовались тором, все IP тор-нод известны, так что вычисление не составит проблем. Другое дело, если у вас стоят не очень хорошие дорогие свичи, и пока сосед выключил комп, поставить у себя его IP и мак-адрес, попользуетесь тором, а потом вернёте всё обратно. В этом случае вычислить можно будет только социальными методами – кто мог, кто в орагинзации разбирается в компах хорошо, кто вызывает подозрение, проверить свидетелй – кто знает, кто кого последним видел, и т.д. Впрочем, всё это гладко работает "пока горячо", а не при расследовании соединений месячной давности, условно говоря.

То есть, если я вас правильно понимаю, главным фактором риска внутренней идентификации является тип сетевого оборудования в локалке? А нивелировать его я могу только посредством кражи мною чужого внутреннего айпи? А это уже хуже, чем деанонимизация.

Иными словами, если я не буду заниматься подлогом внутренних адресов, то админ в любой момент времени может однозначно сопоставить в соединении месячной давности:

айпи враждебного хоста <-> айпи фирмы 65.213.85.138 <-> и мой внутренний айпи 192.168.4.57?

Да, если ориентироваться на среднестатистического админа и среднестатистические настройки сервера.

То есть, если я вас правильно понимаю, главным фактором риска внутренней идентификации является тип сетевого оборудования в локалке?

Я имел в виду, что некое оборудовние+настройки просто не позволит незаметно подменить у себя мак и IP на чужой.

А нивелировать его я могу только посредством кражи мною чужого внутреннего айпи? А это уже хуже, чем деанонимизация.

Ну да.

Мой вопрос был вызван следующими словами.

В статье http://ru.wikipedia.org/wiki/NAT в разделе "Недостатки" есть такие строки "Из-за трансляции адресов «много в один» появляются дополнительные сложности с идентификацией пользователей и необходимость хранить полные логи трансляций."

"Дополнительные сложности" судя по всему прибавляются к "уже имеющимся сложностям"?, которые я истолковал следующим образом – видимо "полные логи трансляций" (на корпоративном серваке) никто не хранит или хранят их не все админы и поэтому, при необходимости выявить внешние соединения нужного юзера, сталкиваются с проблемой.

А если логи не хранить, то что выход из локалки наружу вообще работать не будет? Или просто админ не узнает кто куда соединялся?

А если логи не хранить, то что выход из локалки наружу вообще работать не будет? Или просто админ не узнает кто куда соединялся?

Второе. Если придут плохие дяди и скажут, что "с IP вашей фирмы был оставлен в форуме очень плохой комментарий про главу нашего региона", админ не сможет указать пальцем, кто из сотрудников повинен в этом страшном преступлении. В принципе, такое, конечно, не карается, заставить фирму вести внутренние логи никто не может.

Спасибо, все ясно. Тогда последний вопрос, может и наивный, но все же задам. Есть ли способ узнать с пользовательского места, ведутся ли в действительности эти пресловутые логи (не задавая прямого вопроса админу)? Цель, естественно, не в том, чтобы обругать кого-то. Просто некоторые популярные ресурсы залочены. Время то рабочее, сами понимаете.

Есть ли способ узнать с пользовательского места, ведутся ли в действительности эти пресловутые логи ...?

Нет.

Просто некоторые популярные ресурсы залочены. Время то рабочее, сами понимаете.

Используйте так называемые веб-прокси, типа http://proxy.org. Может прокатить :)

Второе. Если придут плохие дяди и скажут, что "с IP вашей фирмы был оставлен в форуме очень плохой комментарий про главу нашего региона", админ не сможет указать пальцем, кто из сотрудников повинен в этом страшном преступлении

А если дяденьки очень убедительно попросят?

В принципе, такое, конечно, не карается, заставить фирму вести внутренние логи никто не может.

На первый раз у фирмы конфискуют все компьютеры и будут полгода возить их по экспертизам. В следующий раз админ будет вести все мыслимые и немыслимые логи, просто на всякий случай.

Нет.

Да. Вы оставляете следы в кэше броузера, если у вас стоит антивирус или фаерволл, то могут остаться его логи. В большинстве случаев найти злоденя не проблема.

Гость (20/11/2008 23:45), а давайте мы не будем начинать привычный флейм об изъятии компов. Я могу здесь кучу контраргументов накатать, но, в отличие от Вас, не стану офф-топить тему.

[В статье http://ru.wikipedia.org/wiki/NAT <...> А если логи не хранить, то что выход из локалки наружу вообще работать не будет?] Есть ли способ узнать с пользовательского места, ведутся ли в действительности эти пресловутые логи ...?

Нет.

Да. Вы оставляете следы в кэше броузера, если у вас стоит антивирус или фаерволл, то могут остаться его логи. В большинстве случаев найти злоденя не проблема.

Нет. Потрудитесь следить за контекстом.

Ребята...!

Я уже получил ответ на свой вопрос. Всем спасибо. Давайте закроем эту тему. Или смотрите сюда http://www.pgpru.com/comment26081