такая вот проблема получилось - один юзер у нас в сети, то ли умный очень или еще что , одним словом выудил из сети пароль админа хаба (то-есть пароль, который отсылается хабу при подключении). и вот мне интересно, это ptoka паролями управляет, или сам клиент (у меня pelink).насколько я знаю пароль нешифрованый посылается. и все бы ничего, вот тока он видео в сеть выложил как это делается (если кому понадобиться - выложу). простите конечно если я не по теме написал, но думаю эта проблема актуальна. а лучше вашего сайта нету... если есть решение - отпишитесь плиз
Да в принципе любой может ловить не шифрованную инфу из сети с помощью сниффера. А пароли действительно не шифруются.
В этом случае в сетях со статическими адресами спасает скрипт контроля операторов, который сравнивает ip адреса операторов. Такой скрипт на форуме есть.
А видео таки дай посмотреть.
Прикольно однако, только видео думаю лучше убрать))
поддерживаю,видео надо убрать
Посмотреть дайте, а потом убирайте ;((
Данный вид атаки возможен только в пределах широковещательной сети, то есть, другими словами, - до первого маршрутизатора. То есть хаб, жертва и атакующий должны находиться в одной сети.
Для защиты системы от атак нужно установить фаервол. Например, в outpost встроена подобного рода защита - ARP фильтрация.
тоесть фаервол на машинку с сервером надо поставить? да, а шифрование пароля вообше можно сделать?
Да, на сервер обязательно нужен фаервол, также желательно у себя иметь фаервол. При попытках ARP атак фаервол обнаружит подмены маков и заблокирует атакующего.
Вообще говоря в некоторых локальных сетях админы наблюдают за подобного рода действиями, и успешно обнаруживают использование различного рода снифферов с последующими санкциями физического отключения от сети атакующего. Видимо в вашей сети не практикуются такие действия.
Ещё одной мерой борьбы является перевод сети на протокол PPPOE с шифрованием передаваемых данных.
Шифрование пароля в DC нельзя сделать, так как по NMDC протоколу не предусмотрено шифрование.
спасибо,Setuper. разъяснил теперь я даже понял почему тему перенесли в этот раздел. мои знания про фаерволы скудны, так что каюсь.
а какой толк в этом преобразовании? Ведь сниффер точно также выловит этот преобразованный пароль и также вместо клиента отошлёт его на хаб, а что там хаб будет делать с этим паролем уже не важно будет. Тут хоть что отсылай, хоть реальный пароль, хоть изменённый. Ведь сам протокол не шифруется, поэтому в потоке информации сниффера просто ищется NMDC команда MyPass и её аргумент и есть пароль. Тут как ни крути.
Такой трюк с изменённым паролем всё равно что md5 хеш пароля на сайте. И нужно это только для того чтобы пароль нельзя было получить, взломав базу данных с паролями. Вместо паролей в бд хранятся их md5 хеши. А от введённого пользователем пароля, тут же на компе пользователя при помощи javascript берётся md5 хеш, и именно md5 хеш отсылается на сервер. Но как мы тут видим - существует преобразование пароль-хеш именно у клиента, что не реализовывается в dc клиенте.
для этого надо писать патчи на хабы и клиенты.
Вот вот. Нужна поддержка шифрования с двух сторон.
К сожалению клиенты не поддерживают шифрование, и если сделать поддержку шифрования на хабе, то это не решит нашей проблемы. Точнее мы будем ровно на пол пути к её решению. Даже если мы напишем свой клиент с поддержкой шифрования, то это тоже ещё не будет решать проблему, так как пользователи входят на хаб разными клиентами, и пересадить пользователя на один клиент достаточно проблематично.
ребят, значит как я понял, шифрование пароля организовать реально, только надо что бы разработчики клиентов реализовали это со своей стороны? (по этому поводу можно поробовать написать кстати, тока хз будет толк или нет).
хотя меня такая проблема расстроила. пол ночи потом с тем му..аком ругался. больше всего убило его выражение в конце видео - "админ, надо защищать сервисы, которые ты поддерживаешь". такое впечатление, что дс-сервер я для себя поднимал. убивает порой отношение людей к твоей работе(особенно если все на чистом интузиазме строиться,а то бы так и пользовались общим доступом).
ммм ну да в протоколе NMDC нет нужнова нам, а как в ADC? Там же есть какое то защищённое соединение?
Setuper,ты говорил про отключение от сети сниферов, я с тобой согласен на 100 %, только вот у нас локалку универ к рукам прибрал и всем заведует (и админы ихние тоже) :(. если только по голове ему настучать могу.