myDC.ru

Здравствуйте, гость ( Вход | Регистрация )

 
 
Ответить в данную темуНачать новую тему

> проблема безопасности, помогите решить проблему плиз

Теги
Нет тегов для показа
baralgin
сообщение 25.6.2010, 12:37
Сообщение #1


Активный участник
***

Группа: Пользователи
Сообщений: 51
Регистрация: 2.4.2010
Из: Мытищи
Пользователь №: 6 551
Спасибо сказали: 1 раз




такая вот проблема получилось - один юзер у нас в сети, то ли умный очень или еще что , одним словом выудил из сети пароль админа хаба (то-есть пароль, который отсылается хабу при подключении). и вот мне интересно, это ptoka паролями управляет, или сам клиент (у меня pelink).насколько я знаю пароль нешифрованый посылается. и все бы ничего, вот тока он видео в сеть выложил как это делается (если кому понадобиться - выложу). простите конечно если я не по теме написал, но думаю эта проблема актуальна. а лучше вашего сайта нету... если есть решение - отпишитесь плиз
Go to the top of the page
+Quote Post
Setuper
сообщение 25.6.2010, 12:51
Сообщение #2


RusHub team lead
**************

Группа: Модераторы
Сообщений: 4 030
Регистрация: 20.6.2008
Из: г. Королёв (Моск. обл.)
Пользователь №: 46
Спасибо сказали: 1708 раз




Да в принципе любой может ловить не шифрованную инфу из сети с помощью сниффера. А пароли действительно не шифруются.
В этом случае в сетях со статическими адресами спасает скрипт контроля операторов, который сравнивает ip адреса операторов. Такой скрипт на форуме есть.
Go to the top of the page
+Quote Post
Alexey
сообщение 25.6.2010, 16:52
Сообщение #3


7 квадратиков
*******

Группа: Модераторы
Сообщений: 793
Регистрация: 21.1.2009
Пользователь №: 1 895
Спасибо сказали: 301 раз




А видео таки дай посмотреть.
Go to the top of the page
+Quote Post
Артём
сообщение 26.6.2010, 1:24
Сообщение #4


Наруто на аваторке
***********

Группа: Пользователи
Сообщений: 2 606
Регистрация: 11.10.2008
Из: Харькова
Пользователь №: 771
Спасибо сказали: 774 раза




Прикольно однако, только видео думаю лучше убрать)) bad_smile.gif
Go to the top of the page
+Quote Post
rival
сообщение 26.6.2010, 4:41
Сообщение #5


Начинающий
*

Группа: Пользователи
Сообщений: 29
Регистрация: 11.1.2009
Из: Владивосток
Пользователь №: 1 774
Спасибо сказали: 5 раз




поддерживаю,видео надо убрать
Go to the top of the page
+Quote Post
Alexey
сообщение 26.6.2010, 8:45
Сообщение #6


7 квадратиков
*******

Группа: Модераторы
Сообщений: 793
Регистрация: 21.1.2009
Пользователь №: 1 895
Спасибо сказали: 301 раз




Посмотреть дайте, а потом убирайте ;((
Go to the top of the page
+Quote Post
Setuper
сообщение 26.6.2010, 10:41
Сообщение #7


RusHub team lead
**************

Группа: Модераторы
Сообщений: 4 030
Регистрация: 20.6.2008
Из: г. Королёв (Моск. обл.)
Пользователь №: 46
Спасибо сказали: 1708 раз




Данный вид атаки возможен только в пределах широковещательной сети, то есть, другими словами, - до первого маршрутизатора. То есть хаб, жертва и атакующий должны находиться в одной сети.

Для защиты системы от атак нужно установить фаервол. Например, в outpost встроена подобного рода защита - ARP фильтрация.
Go to the top of the page
+Quote Post
baralgin
сообщение 26.6.2010, 11:02
Сообщение #8


Активный участник
***

Группа: Пользователи
Сообщений: 51
Регистрация: 2.4.2010
Из: Мытищи
Пользователь №: 6 551
Спасибо сказали: 1 раз




тоесть фаервол на машинку с сервером надо поставить? да, а шифрование пароля вообше можно сделать?
Go to the top of the page
+Quote Post
Setuper
сообщение 26.6.2010, 11:18
Сообщение #9


RusHub team lead
**************

Группа: Модераторы
Сообщений: 4 030
Регистрация: 20.6.2008
Из: г. Королёв (Моск. обл.)
Пользователь №: 46
Спасибо сказали: 1708 раз




Да, на сервер обязательно нужен фаервол, также желательно у себя иметь фаервол. При попытках ARP атак фаервол обнаружит подмены маков и заблокирует атакующего.

Вообще говоря в некоторых локальных сетях админы наблюдают за подобного рода действиями, и успешно обнаруживают использование различного рода снифферов с последующими санкциями физического отключения от сети атакующего. Видимо в вашей сети не практикуются такие действия.

Ещё одной мерой борьбы является перевод сети на протокол PPPOE с шифрованием передаваемых данных.

Шифрование пароля в DC нельзя сделать, так как по NMDC протоколу не предусмотрено шифрование.


Спасибо сказали:
Go to the top of the page
+Quote Post
baralgin
сообщение 26.6.2010, 13:40
Сообщение #10


Активный участник
***

Группа: Пользователи
Сообщений: 51
Регистрация: 2.4.2010
Из: Мытищи
Пользователь №: 6 551
Спасибо сказали: 1 раз




спасибо,Setuper. разъяснил big_smile.gif теперь я даже понял почему тему перенесли в этот раздел. мои знания про фаерволы скудны, так что каюсь.
Go to the top of the page
+Quote Post
Berkut
сообщение 26.6.2010, 20:32
Сообщение #11


Продвинутый участник
****

Группа: Пользователи
Сообщений: 129
Регистрация: 21.12.2008
Пользователь №: 1 502
Спасибо сказали: 36 раз




Цитата(Setuper @ 26.6.2010, 12:18) *
Шифрование пароля в DC нельзя сделать, так как по NMDC протоколу не предусмотрено шифрование.

Года два назад видел обсуждение этой темы на одном из буржуйских серверов. Там предлагали организовывать последовательную отсылку ключа и зашифрованного пароля. Т.е. пароль как бы открытый, но не в исходном виде, а в искажённом. А по прибытии на место через ключ он преобразуется в исходный вид.
Go to the top of the page
+Quote Post
Setuper
сообщение 26.6.2010, 20:49
Сообщение #12


RusHub team lead
**************

Группа: Модераторы
Сообщений: 4 030
Регистрация: 20.6.2008
Из: г. Королёв (Моск. обл.)
Пользователь №: 46
Спасибо сказали: 1708 раз




а какой толк в этом преобразовании? Ведь сниффер точно также выловит этот преобразованный пароль и также вместо клиента отошлёт его на хаб, а что там хаб будет делать с этим паролем уже не важно будет. Тут хоть что отсылай, хоть реальный пароль, хоть изменённый. Ведь сам протокол не шифруется, поэтому в потоке информации сниффера просто ищется NMDC команда MyPass и её аргумент и есть пароль. Тут как ни крути.

Такой трюк с изменённым паролем всё равно что md5 хеш пароля на сайте. И нужно это только для того чтобы пароль нельзя было получить, взломав базу данных с паролями. Вместо паролей в бд хранятся их md5 хеши. А от введённого пользователем пароля, тут же на компе пользователя при помощи javascript берётся md5 хеш, и именно md5 хеш отсылается на сервер. Но как мы тут видим - существует преобразование пароль-хеш именно у клиента, что не реализовывается в dc клиенте.
Go to the top of the page
+Quote Post
mariner
сообщение 26.6.2010, 20:49
Сообщение #13


Местная ТехПоддержка
**********

Группа: Администраторы
Сообщений: 1 875
Регистрация: 18.7.2008
Из: Моск. Обл, г. королев, район Болшево
Пользователь №: 221
Спасибо сказали: 220 раз




для этого надо писать патчи на хабы и клиенты.
Go to the top of the page
+Quote Post
Setuper
сообщение 26.6.2010, 20:53
Сообщение #14


RusHub team lead
**************

Группа: Модераторы
Сообщений: 4 030
Регистрация: 20.6.2008
Из: г. Королёв (Моск. обл.)
Пользователь №: 46
Спасибо сказали: 1708 раз




Вот вот. Нужна поддержка шифрования с двух сторон.
К сожалению клиенты не поддерживают шифрование, и если сделать поддержку шифрования на хабе, то это не решит нашей проблемы. Точнее мы будем ровно на пол пути к её решению. Даже если мы напишем свой клиент с поддержкой шифрования, то это тоже ещё не будет решать проблему, так как пользователи входят на хаб разными клиентами, и пересадить пользователя на один клиент достаточно проблематично.
Go to the top of the page
+Quote Post
baralgin
сообщение 26.6.2010, 21:58
Сообщение #15


Активный участник
***

Группа: Пользователи
Сообщений: 51
Регистрация: 2.4.2010
Из: Мытищи
Пользователь №: 6 551
Спасибо сказали: 1 раз




ребят, значит как я понял, шифрование пароля организовать реально, только надо что бы разработчики клиентов реализовали это со своей стороны? (по этому поводу можно поробовать написать кстати, тока хз будет толк или нет).

хотя меня такая проблема расстроила. пол ночи потом с тем му..аком ругался. больше всего убило его выражение в конце видео - "админ, надо защищать сервисы, которые ты поддерживаешь". такое впечатление, что дс-сервер я для себя поднимал. убивает порой отношение людей к твоей работе(особенно если все на чистом интузиазме строиться,а то бы так и пользовались общим доступом).


Go to the top of the page
+Quote Post
Saymon21
сообщение 27.6.2010, 13:57
Сообщение #16


Site Reliability Engineer
*********

Группа: Модераторы
Сообщений: 1 772
Регистрация: 27.6.2009
Из: Чувашия, г. Чебоксары
Пользователь №: 3 719
Спасибо сказали: 479 раз




ммм ну да в протоколе NMDC нет нужнова нам, а как в ADC? Там же есть какое то защищённое соединение?
Go to the top of the page
+Quote Post
baralgin
сообщение 27.6.2010, 14:40
Сообщение #17


Активный участник
***

Группа: Пользователи
Сообщений: 51
Регистрация: 2.4.2010
Из: Мытищи
Пользователь №: 6 551
Спасибо сказали: 1 раз




http://ru.wikipedia.org/wiki/Advanced_Direct_Connect - там, как я понял, передача, защищённая паролем (Tiger Hash). сомневаюсь что это и есть шифрование.... хотя могу ошибаться.

Setuper,ты говорил про отключение от сети сниферов, я с тобой согласен на 100 %, только вот у нас локалку универ к рукам прибрал и всем заведует (и админы ихние тоже) :(. если только по голове ему настучать могу. big_smile1.gif
Go to the top of the page
+Quote Post

Ответить в данную темуНачать новую тему
3 чел. читают эту тему (гостей: 3, скрытых пользователей: 0)
Пользователей: 0

Collapse

> Похожие темы

  Тема Ответов Автор Просмотров Последнее сообщение
No New Posts Topic has attachmentsПроблема со скриптом Истории чата
5 SonicX 9 287 27.6.2014, 19:04 Посл. сообщение: sergius_s
No new внезапная непонятная проблема с хабом
17 aleksei1122 18 941 3.3.2013, 16:41 Посл. сообщение: Delia
No New Posts Проблема со скриптами на версии 0.4.2.0
5 Fe(one)X 8 730 16.2.2012, 21:28 Посл. сообщение: Fe(one)X
No new Topic has attachmentsПроблема с хабом после установки роутера
22 Jet1k 32 512 3.1.2012, 11:05 Посл. сообщение: Strannik
No New Posts Topic has attachmentsПроблема при установке плагина lua для верлихаба
12 sabriel 15 810 21.9.2011, 10:17 Посл. сообщение: sabriel
No New Posts Здравствуйте всем . У меня проблема со скриптам StatPX
Здравствуйте всем . У меня проблема со скриптам StatPX
4 warhammer 10 207 14.4.2011, 14:48 Посл. сообщение: warhammer
No New Posts Проблема с Remote_Admin
Не работает:(
1 el_toro 6 043 13.3.2011, 3:26 Посл. сообщение: Alexey
No New Posts XML. Проблема с плеером
размер шрифта
1 Rannau 6 701 28.2.2011, 9:53 Посл. сообщение: Setuper
No new Topic has attachmentsПроблема на PtоkaX 0.4.1.2 в скрипте
Проблема на PtоkaX 0.4.1.2 в скрипте
23 sania 25 726 23.2.2011, 15:37 Посл. сообщение: Saymon21
No New Posts Небольшая проблема Нужна ваша помощь !
Буду очень благодарен !!!
11 @_JuNiOr_@ 15 178 5.2.2011, 12:38 Посл. сообщение: Maximum
No New Posts От: Небольшая проблема Нужна ваша помощь !
От темы с ID: 4634
1 ScOol 5 581 3.2.2011, 17:48 Посл. сообщение: Maximum
No New Posts PtokaX 0.4.1.2 Win32 service/console Проблема с МОТД
Проблема с МОТД
3 @_JuNiOr_@ 9 724 13.12.2010, 23:42 Посл. сообщение: Ameet
No New Posts Проблема с подключением
на мой хаб не могут зайти
7 @denis@ 10 312 9.12.2010, 10:34 Посл. сообщение: Strannik
No New Posts Проблема ...
5 skonda 7 703 3.12.2010, 22:33 Посл. сообщение: skonda
No New Posts Проблема с МОТД
Кто поможет с меня +
11 Streter 15 621 6.11.2010, 20:56 Посл. сообщение: Wanderer

 



RSS Сейчас: 23.11.2024, 11:48