проблема безопасности, помогите решить проблему плиз |
Здравствуйте, гость ( Вход | Регистрация )
проблема безопасности, помогите решить проблему плиз |
25.6.2010, 12:37
Сообщение
#1
|
|
Активный участник Группа: Пользователи Сообщений: 51 Регистрация: 2.4.2010 Из: Мытищи Пользователь №: 6 551 Спасибо сказали: 1 раз |
такая вот проблема получилось - один юзер у нас в сети, то ли умный очень или еще что , одним словом выудил из сети пароль админа хаба (то-есть пароль, который отсылается хабу при подключении). и вот мне интересно, это ptoka паролями управляет, или сам клиент (у меня pelink).насколько я знаю пароль нешифрованый посылается. и все бы ничего, вот тока он видео в сеть выложил как это делается (если кому понадобиться - выложу). простите конечно если я не по теме написал, но думаю эта проблема актуальна. а лучше вашего сайта нету... если есть решение - отпишитесь плиз
|
|
|
25.6.2010, 12:51
Сообщение
#2
|
|
RusHub team lead Группа: Модераторы Сообщений: 4 030 Регистрация: 20.6.2008 Из: г. Королёв (Моск. обл.) Пользователь №: 46 Спасибо сказали: 1708 раз |
Да в принципе любой может ловить не шифрованную инфу из сети с помощью сниффера. А пароли действительно не шифруются.
В этом случае в сетях со статическими адресами спасает скрипт контроля операторов, который сравнивает ip адреса операторов. Такой скрипт на форуме есть. |
|
|
25.6.2010, 16:52
Сообщение
#3
|
|
7 квадратиков Группа: Модераторы Сообщений: 793 Регистрация: 21.1.2009 Пользователь №: 1 895 Спасибо сказали: 301 раз |
А видео таки дай посмотреть.
|
|
|
26.6.2010, 1:24
Сообщение
#4
|
|
Наруто на аваторке Группа: Пользователи Сообщений: 2 606 Регистрация: 11.10.2008 Из: Харькова Пользователь №: 771 Спасибо сказали: 774 раза |
Прикольно однако, только видео думаю лучше убрать))
|
|
|
26.6.2010, 4:41
Сообщение
#5
|
|
Начинающий Группа: Пользователи Сообщений: 29 Регистрация: 11.1.2009 Из: Владивосток Пользователь №: 1 774 Спасибо сказали: 5 раз |
поддерживаю,видео надо убрать
|
|
|
26.6.2010, 8:45
Сообщение
#6
|
|
7 квадратиков Группа: Модераторы Сообщений: 793 Регистрация: 21.1.2009 Пользователь №: 1 895 Спасибо сказали: 301 раз |
Посмотреть дайте, а потом убирайте ;((
|
|
|
26.6.2010, 10:41
Сообщение
#7
|
|
RusHub team lead Группа: Модераторы Сообщений: 4 030 Регистрация: 20.6.2008 Из: г. Королёв (Моск. обл.) Пользователь №: 46 Спасибо сказали: 1708 раз |
Данный вид атаки возможен только в пределах широковещательной сети, то есть, другими словами, - до первого маршрутизатора. То есть хаб, жертва и атакующий должны находиться в одной сети.
Для защиты системы от атак нужно установить фаервол. Например, в outpost встроена подобного рода защита - ARP фильтрация. |
|
|
26.6.2010, 11:02
Сообщение
#8
|
|
Активный участник Группа: Пользователи Сообщений: 51 Регистрация: 2.4.2010 Из: Мытищи Пользователь №: 6 551 Спасибо сказали: 1 раз |
тоесть фаервол на машинку с сервером надо поставить? да, а шифрование пароля вообше можно сделать?
|
|
|
26.6.2010, 11:18
Сообщение
#9
|
|
RusHub team lead Группа: Модераторы Сообщений: 4 030 Регистрация: 20.6.2008 Из: г. Королёв (Моск. обл.) Пользователь №: 46 Спасибо сказали: 1708 раз |
Да, на сервер обязательно нужен фаервол, также желательно у себя иметь фаервол. При попытках ARP атак фаервол обнаружит подмены маков и заблокирует атакующего.
Вообще говоря в некоторых локальных сетях админы наблюдают за подобного рода действиями, и успешно обнаруживают использование различного рода снифферов с последующими санкциями физического отключения от сети атакующего. Видимо в вашей сети не практикуются такие действия. Ещё одной мерой борьбы является перевод сети на протокол PPPOE с шифрованием передаваемых данных. Шифрование пароля в DC нельзя сделать, так как по NMDC протоколу не предусмотрено шифрование. |
|
|
26.6.2010, 13:40
Сообщение
#10
|
|
Активный участник Группа: Пользователи Сообщений: 51 Регистрация: 2.4.2010 Из: Мытищи Пользователь №: 6 551 Спасибо сказали: 1 раз |
спасибо,Setuper. разъяснил теперь я даже понял почему тему перенесли в этот раздел. мои знания про фаерволы скудны, так что каюсь.
|
|
|
26.6.2010, 20:32
Сообщение
#11
|
|
Продвинутый участник Группа: Пользователи Сообщений: 129 Регистрация: 21.12.2008 Пользователь №: 1 502 Спасибо сказали: 36 раз |
Шифрование пароля в DC нельзя сделать, так как по NMDC протоколу не предусмотрено шифрование. Года два назад видел обсуждение этой темы на одном из буржуйских серверов. Там предлагали организовывать последовательную отсылку ключа и зашифрованного пароля. Т.е. пароль как бы открытый, но не в исходном виде, а в искажённом. А по прибытии на место через ключ он преобразуется в исходный вид. |
|
|
26.6.2010, 20:49
Сообщение
#12
|
|
RusHub team lead Группа: Модераторы Сообщений: 4 030 Регистрация: 20.6.2008 Из: г. Королёв (Моск. обл.) Пользователь №: 46 Спасибо сказали: 1708 раз |
а какой толк в этом преобразовании? Ведь сниффер точно также выловит этот преобразованный пароль и также вместо клиента отошлёт его на хаб, а что там хаб будет делать с этим паролем уже не важно будет. Тут хоть что отсылай, хоть реальный пароль, хоть изменённый. Ведь сам протокол не шифруется, поэтому в потоке информации сниффера просто ищется NMDC команда MyPass и её аргумент и есть пароль. Тут как ни крути.
Такой трюк с изменённым паролем всё равно что md5 хеш пароля на сайте. И нужно это только для того чтобы пароль нельзя было получить, взломав базу данных с паролями. Вместо паролей в бд хранятся их md5 хеши. А от введённого пользователем пароля, тут же на компе пользователя при помощи javascript берётся md5 хеш, и именно md5 хеш отсылается на сервер. Но как мы тут видим - существует преобразование пароль-хеш именно у клиента, что не реализовывается в dc клиенте. |
|
|
26.6.2010, 20:49
Сообщение
#13
|
|
Местная ТехПоддержка Группа: Администраторы Сообщений: 1 875 Регистрация: 18.7.2008 Из: Моск. Обл, г. королев, район Болшево Пользователь №: 221 Спасибо сказали: 220 раз |
для этого надо писать патчи на хабы и клиенты.
|
|
|
26.6.2010, 20:53
Сообщение
#14
|
|
RusHub team lead Группа: Модераторы Сообщений: 4 030 Регистрация: 20.6.2008 Из: г. Королёв (Моск. обл.) Пользователь №: 46 Спасибо сказали: 1708 раз |
Вот вот. Нужна поддержка шифрования с двух сторон.
К сожалению клиенты не поддерживают шифрование, и если сделать поддержку шифрования на хабе, то это не решит нашей проблемы. Точнее мы будем ровно на пол пути к её решению. Даже если мы напишем свой клиент с поддержкой шифрования, то это тоже ещё не будет решать проблему, так как пользователи входят на хаб разными клиентами, и пересадить пользователя на один клиент достаточно проблематично. |
|
|
26.6.2010, 21:58
Сообщение
#15
|
|
Активный участник Группа: Пользователи Сообщений: 51 Регистрация: 2.4.2010 Из: Мытищи Пользователь №: 6 551 Спасибо сказали: 1 раз |
ребят, значит как я понял, шифрование пароля организовать реально, только надо что бы разработчики клиентов реализовали это со своей стороны? (по этому поводу можно поробовать написать кстати, тока хз будет толк или нет).
хотя меня такая проблема расстроила. пол ночи потом с тем му..аком ругался. больше всего убило его выражение в конце видео - "админ, надо защищать сервисы, которые ты поддерживаешь". такое впечатление, что дс-сервер я для себя поднимал. убивает порой отношение людей к твоей работе(особенно если все на чистом интузиазме строиться,а то бы так и пользовались общим доступом). |
|
|
27.6.2010, 13:57
Сообщение
#16
|
|
Site Reliability Engineer Группа: Модераторы Сообщений: 1 772 Регистрация: 27.6.2009 Из: Чувашия, г. Чебоксары Пользователь №: 3 719 Спасибо сказали: 479 раз |
ммм ну да в протоколе NMDC нет нужнова нам, а как в ADC? Там же есть какое то защищённое соединение?
|
|
|
27.6.2010, 14:40
Сообщение
#17
|
|
Активный участник Группа: Пользователи Сообщений: 51 Регистрация: 2.4.2010 Из: Мытищи Пользователь №: 6 551 Спасибо сказали: 1 раз |
Setuper,ты говорил про отключение от сети сниферов, я с тобой согласен на 100 %, только вот у нас локалку универ к рукам прибрал и всем заведует (и админы ихние тоже) :(. если только по голове ему настучать могу. |
|
|
Похожие темы
|
Сейчас: 23.11.2024, 11:48 |