Версия для печати темы

Автор: baralgin 25.6.2010, 12:37

такая вот проблема получилось - один юзер у нас в сети, то ли умный очень или еще что , одним словом выудил из сети пароль админа хаба (то-есть пароль, который отсылается хабу при подключении). и вот мне интересно, это ptoka паролями управляет, или сам клиент (у меня pelink).насколько я знаю пароль нешифрованый посылается. и все бы ничего, вот тока он видео в сеть выложил как это делается (если кому понадобиться - выложу). простите конечно если я не по теме написал, но думаю эта проблема актуальна. а лучше вашего сайта нету... если есть решение - отпишитесь плиз

Автор: Setuper 25.6.2010, 12:51

Да в принципе любой может ловить не шифрованную инфу из сети с помощью сниффера. А пароли действительно не шифруются.
В этом случае в сетях со статическими адресами спасает скрипт контроля операторов, который сравнивает ip адреса операторов. Такой скрипт на форуме есть.

Автор: Alexey 25.6.2010, 16:52

А видео таки дай посмотреть.

Автор: Артём 26.6.2010, 1:24

Прикольно однако, только видео думаю лучше убрать))

Автор: rival 26.6.2010, 4:41

поддерживаю,видео надо убрать

Автор: Alexey 26.6.2010, 8:45

Посмотреть дайте, а потом убирайте ;((

Автор: Setuper 26.6.2010, 10:41

Данный вид атаки возможен только в пределах широковещательной сети, то есть, другими словами, - до первого маршрутизатора. То есть хаб, жертва и атакующий должны находиться в одной сети.

Для защиты системы от атак нужно установить фаервол. Например, в outpost встроена подобного рода защита - ARP фильтрация.

Автор: baralgin 26.6.2010, 11:02

тоесть фаервол на машинку с сервером надо поставить? да, а шифрование пароля вообше можно сделать?

Автор: Setuper 26.6.2010, 11:18

Да, на сервер обязательно нужен фаервол, также желательно у себя иметь фаервол. При попытках ARP атак фаервол обнаружит подмены маков и заблокирует атакующего.

Вообще говоря в некоторых локальных сетях админы наблюдают за подобного рода действиями, и успешно обнаруживают использование различного рода снифферов с последующими санкциями физического отключения от сети атакующего. Видимо в вашей сети не практикуются такие действия.

Ещё одной мерой борьбы является перевод сети на протокол PPPOE с шифрованием передаваемых данных.

Шифрование пароля в DC нельзя сделать, так как по NMDC протоколу не предусмотрено шифрование.

Автор: baralgin 26.6.2010, 13:40

спасибо,Setuper. разъяснил теперь я даже понял почему тему перенесли в этот раздел. мои знания про фаерволы скудны, так что каюсь.

Автор: Berkut 26.6.2010, 20:32

Года два назад видел обсуждение этой темы на одном из буржуйских серверов. Там предлагали организовывать последовательную отсылку ключа и зашифрованного пароля. Т.е. пароль как бы открытый, но не в исходном виде, а в искажённом. А по прибытии на место через ключ он преобразуется в исходный вид.

Автор: Setuper 26.6.2010, 20:49

а какой толк в этом преобразовании? Ведь сниффер точно также выловит этот преобразованный пароль и также вместо клиента отошлёт его на хаб, а что там хаб будет делать с этим паролем уже не важно будет. Тут хоть что отсылай, хоть реальный пароль, хоть изменённый. Ведь сам протокол не шифруется, поэтому в потоке информации сниффера просто ищется NMDC команда MyPass и её аргумент и есть пароль. Тут как ни крути.

Такой трюк с изменённым паролем всё равно что md5 хеш пароля на сайте. И нужно это только для того чтобы пароль нельзя было получить, взломав базу данных с паролями. Вместо паролей в бд хранятся их md5 хеши. А от введённого пользователем пароля, тут же на компе пользователя при помощи javascript берётся md5 хеш, и именно md5 хеш отсылается на сервер. Но как мы тут видим - существует преобразование пароль-хеш именно у клиента, что не реализовывается в dc клиенте.

Автор: mariner 26.6.2010, 20:49

для этого надо писать патчи на хабы и клиенты.

Автор: Setuper 26.6.2010, 20:53

Вот вот. Нужна поддержка шифрования с двух сторон.
К сожалению клиенты не поддерживают шифрование, и если сделать поддержку шифрования на хабе, то это не решит нашей проблемы. Точнее мы будем ровно на пол пути к её решению. Даже если мы напишем свой клиент с поддержкой шифрования, то это тоже ещё не будет решать проблему, так как пользователи входят на хаб разными клиентами, и пересадить пользователя на один клиент достаточно проблематично.

Автор: baralgin 26.6.2010, 21:58

ребят, значит как я понял, шифрование пароля организовать реально, только надо что бы разработчики клиентов реализовали это со своей стороны? (по этому поводу можно поробовать написать кстати, тока хз будет толк или нет).

хотя меня такая проблема расстроила. пол ночи потом с тем му..аком ругался. больше всего убило его выражение в конце видео - "админ, надо защищать сервисы, которые ты поддерживаешь". такое впечатление, что дс-сервер я для себя поднимал. убивает порой отношение людей к твоей работе(особенно если все на чистом интузиазме строиться,а то бы так и пользовались общим доступом).

Автор: Saymon 27.6.2010, 13:57

ммм ну да в протоколе NMDC нет нужнова нам, а как в ADC? Там же есть какое то защищённое соединение?

Автор: baralgin 27.6.2010, 14:40

http://mydc.ru/r/?http://ru.wikipedia.org/wiki/Advanced_Direct_Connect - там, как я понял, передача, защищённая паролем (Tiger Hash). сомневаюсь что это и есть шифрование.... хотя могу ошибаться.

Setuper,ты говорил про отключение от сети сниферов, я с тобой согласен на 100 %, только вот у нас локалку универ к рукам прибрал и всем заведует (и админы ихние тоже) :(. если только по голове ему настучать могу.