Обсуждение статьи
NTLM и корпоративные сети
|
18.11.2004 16:42:45
|
|
|
|
|
|
18.11.2004 16:42:45
автору - респект. тема файрвола на линуксе, правда, не раскрыта, но глубина знаний впечатляет. хотя можно сюда и добавить кое-что...
|
|
|
|
|
|
18.11.2004 18:50:14
Как справедливо заметил offtopic
Password EAP -> Protected EAP. |
|
|
|
|
|
18.11.2004 20:19:17
Автор не имеет склонности изучать формат каждый раз, когда надо сгенерировать картинку. Хотя как раз гиф приходилось и генерировать. А порно получилось из-за некорректно отмасштабированной картинки при публикации, в оригинале все смотрелось прилично.
|
|||||||
|
|
|
|
18.11.2004 20:45:20
ЗЫ. Только, чур, не добавлять в конец нового code строчки вида Proxy-Authorization: NTLMv2, а то я сопьюсь с горя. |
|||||
|
|
|
|
18.11.2004 20:46:56
опять нас заразой закидывают..
|
|
|
|
|
|
19.11.2004 11:55:22
Хорошая статья, грамотная и познавательная. Автору респект.
|
|
|
|
|
|
19.11.2004 12:06:48
Весьма хорошая и познавательная статья. Видно, что автор хорошо разбирается в данной теме, и, что самое главное, пишет простым и доступным для понимания языком =).
|
|
|
|
|
|
19.11.2004 12:51:42
Статья - фректегут!
 По поводу "открытых паролей" - давайте не будем смешивать мух и котлеты.. HTTP/1.1 и NTML это всетаки "немного" разные вещи.. Про NTML прокси-аутентификацию в rfc2616 нету ни слова (что естессно), так что если такой запрос и был, то это уже выдумано из головы IE (или чем там такие запросы делались?)... Там вообще в хидере можно писать хоть матные слова - лишь бы прокся это варила.. %) |
|
|
|
|
|
19.11.2004 13:00:43
Кроме того man ( in-the-middle ) в этом случае получает все данные проходящие между клиентом и сервером независимо от того, есть авторизация или нет и каким образом она осуществляется. Т.е. NTLM тут никаким боком. Соответственно весь остаток статьи отношения собственно к NTLM не имеет, а описывает возможные методы борьбы с атаками типа man-in-the-middle Алгоритмы и уязвимости LN и NT, а также методы получения хешей и восстановления хорошо известны и описаны. Кроме того как указывает автор статьи существует большое количество практических реализаций. Отсюда 1) В статье мало новизны и анализа 2) Тема "NTLM и корпоративные сети" не раскрыта т.к. первая часть статьи - описание NTLM и узявимостей алгоритмов вторая - настройка файровола для противодействия man-in-the-middle Т.е. "корпоративной сети" в статье не видно. |
|||||
|
|
|
|
19.11.2004 13:34:38
А теперь вперед - реализовывать такую атаку с керберос аутентификацией. Внимательно перечитав сценарий (для проведения плохо звучащего NTLM релеинга не надо быть man-in-the-middle). |
|||
|
|
|
|
19.11.2004 13:45:18
Вторая часть - рассказывает как настроить _клиентские_ компьютеры для получения звездообразной структуры корпоративной сети. Это для тех, кто читал по диагонали. Т.к. атаки NTLM-релеинга это атаки против клиента (а не M-i-t-M) в корпоративной сети. |
|||
|
|
|
|
19.11.2004 16:56:09
В связи со странными репликами насчёт примера HTTP-сессии, отвечу.
Да, сессия пределана: убраны лишние строчки (Accept-encoding etc). То, что "не является корректной строкой base64" -- это просто пример; настоящий пароль там был (вместе с логином и доменом), но публиковать его не вижу смысла. Тот факт, что "IE по-умолчанию не использует HTTP 1.1 через прокси", не означает, что эту функцию нельзя включить. Если остались вопросы -- , где это обсуждалось. |
|
|
|
|
|
19.11.2004 17:22:08
Гыыы. Долго искал, где же в IE <q> в advanced settings proxy стоит галка "отправить прокси-серверу логин и пароль" и набраны логин и пароль </q> Не нашел  Пойду съем свой тренерский сертификат. |
|||
|
|
|
|
19.11.2004 18:39:56
offtopic
Wow, я знаю, где он это прописал! И правда, это не браузер выдаёт, а чел в дополнительной программе ещё раз всё указал, а она отправляла на сервер. IE непричём. Вот уж не думал, что трёп в анонимном форуме может помочь в чём-то разобраться. Спасибо! |
|
|
|
|
|
19.11.2004 18:47:12
offtopic
А кстати, раз ты эксперт, можешь подсказать, в чём бывает проблема с NTLM (кроме неверного пароля)? Здесь или прямо там.. [IMG][/IMG] |
|
|
|
|
|
19.11.2004 19:13:17
Во-первых там не Internet Explorer, а Avent Browser. И проксимитрон. И в опциях проксимитрона в advanced settings proxy стоит галка "отправить прокси-серверу логин и пароль". Т.е. NTLM авторизация делает IE а плейнтекстовую - проксимитроном. Что, в общем-то, и предпологалось в случае соксификатора... И как MS имеет к этому отношение? |
|||
|
|
|
|
19.11.2004 19:24:01
Поставь Ethereal - он прекрасно парсит NTLMовские блобы, увидишь кто что шлет и кто чего отвечает. |
|||
|
|
|
|
19.11.2004 19:37:17
Кстати, собираюсь написать статейку как fingerprint'ить клиентскиую программу, включая различные прокси-сервера, в т.ч и "прозрачные", типа проксимитрона по поведению. Кому-нибудь будет интересно?
|
||||
|
|
|
|||
Читают тему