Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти
 
Страницы: 1 2 След.
RSS
TCP/IP и безопасность
 
Обсуждение статьи TCP/IP и безопасность
 
хм...
по идее правильно
Цитата
Несмотря на свою популярность, в нем не хватает некоторых возможностей, особенно в отношении безопасности.

но... выбирать не приходиться =)
 
А и не надо - потому что шифрование не нужно в большенстве случаев . Шифрование нужно наверно только для 5% трафика сети
 
Цитата
А и не надо - потому что шифрование не нужно в большенстве случаев . Шифрование нужно наверно только для 5% трафика сети
Вот, побольше бы таких как ты :) И можно будет простым снифером отлавливать интересующие сведения:)

ИМХО любой трафик может предствлять интересность для заинтересованных лиц :) патаму все шифровать!!!  :D
 
Клевая статья, только на картинке очепятка там сети 171.A.B.C это уже не приватные адреса. Жаль что про OpenSwan толком ничего не написано.
 
Интересно ...
>Уникальный 8-битный идентификатор, называемый Security Parameter Index SPI. >Этот параметр должен быть одинаковым у обеих сторон.
Это где же такое определено, что SPI должен быть одинаковым для обеих сторон?
 
>И можно будет простым снифером отлавливать интересующие сведения:)

Скольким же чайникам мозги запудрили! Ты хоть раз пробовал "снифером отлавливать интересующие сведения"? При повсеместном использавании свичей, для этого нужно запустить снифер на хосте, через который эти пакеты проходят (например, на маршрутизаторе). А если у тебя есть доступ к маршрутизатору и его конфигам, тебе снифер для отлавливания паролей не потребуется.
 
Цитата
Скольким же чайникам мозги запудрили! Ты хоть раз пробовал "снифером отлавливать интересующие сведения"? При повсеместном использавании свичей, для этого нужно запустить снифер на хосте, через который эти пакеты проходят (например, на маршрутизаторе). А если у тебя есть доступ к маршрутизатору и его конфигам, тебе снифер для отлавливания паролей не потребуется.

а про arp-spoofing слышал ?
 
2 Guest, 10.01.2006 12:12:20
В Украине по решению суда провайдер должен отдавать правоохоронительным органам трафик пользователей. В России, если я не ошибаюсь, та же услуга делается без решения суда.
 
>а про arp-spoofing слышал ?

А про 7-ми уровневую модель OSI представление имеешь? Ты случаем Ethernet с IP не путаешь? ARP существует только в локальной ethernet сети. Чего перехватывать при помощи arp-spoofing и снифера собрался? Логин девочек из бухгалтерии в аську? Достойно...
 
>а про arp-spoofing слышал ?

> А про 7-ми уровневую модель OSI представление имеешь? Ты случаем Ethernet с IP не путаешь? ARP существует только в локальной ethernet сети. Чего перехватывать при помощи arp-spoofing и снифера собрался? Логин девочек из бухгалтерии в аську? Достойно...

Упоминание ARP-Spoofing'а ранее было, очевидно, приведено в ответ на упоминание еще ранее о "повсеместном использавании свичей, для этого нужно запустить снифер на хосте, через который эти пакеты проходят".  Арп-спуфинг для свичей-то и нужен.

А что перехватывать сниффером и арп-спуфингом - логин девочек из бухгалтерии в аську, почту директора или пароль к винде - вопрос открытый...
 
Например, arp-спуфером можно добыть пароль админа, залезть на корпоративный сервак и посниффить сетку, к которой он подкллючен. Да и дефочки из бухгалтерии оперируют вполне интересной информацией, например, о зарплате работников и их личных данных.

arp-спуфинг довольно просто лечится установкой толкового железа с защитой от спуффинга (один мак на нетранковый порт, запрет на смену мака, запрет служебного трафика не на аплинки, отдельные вланы для серверов и для юзеров и т.д.) Но это всё не имеет отношения к TCP/IP.
 
Интересно, зачем приводить очередную компиляцию README+HOW-TO ? Неужели нельзя было нормально объяснить основы того же IPSec ? На сайте FreeSWAN есть прекрасная статья на английском по основам IPSec. Понятно, что кому нужно, тот сам прочтет, но ведь все равно время тратится на написание статей типа этой, так лучше перевести действительно полезное, чем распыляться на очередное непонятно что. Кстати, как мне кажется, актуальнее было бы привести пример организации IPSec между WinXP/NT/200 - Linux, чем Солярку.
 
вожможно ли это зделать в win если да то при помощи каких прог
 
"Гость, 10.01.2006 23:30:15
вожможно ли это зделать в win если да то при помощи каких прог"

Не поверите, прога так и называется - windows (2000, XP, 2003), IPSec встроенный.

2 ALL
Порадовала фраза из статьи: "Authentication Header (AH) обеспечивает целостность соединения, аутентификацию исходных данных и дополнительно может обеспечивать anti-replay сервис. Целостность данных гарантирована на 100%, но этот метод не остановит атаки вида MITM, т.е. весь аутентифицированный трафик можно прослушать."
Позвольте, но для прослушивания такого трафика вовсе не обязательна MITM-атака, достаточно просто "параллельного подключения". MITM-атака это существенно более мощное средство, оно позволяет МЕНЯТЬ проходящий трафик вплоть до "прозрачным способом". А вот именно этому AH может противостоять. А шифрования он не делает - слушай на здоровье...

Про эту фразу уже кто-то упоминал -  "Заметьте, что числа 0x10001 и 0x10002 это индексы параметров безопасности (Security Parameter Indexes - SPI). Они используются для определения соглашения безопасности в SADB и должны быть одинаковыми на обеих сторонах соединения." Не одинаковыми, а перекрёстно-одинаковыми, то есть 0x10001 и 0x10002 с одной стороны и 0x10002 и 0x10001 с другой.
 
Цитата
~Kurodo~ пишет:
что SPI должен быть одинаковым для обеих сторон?

Идекс SPI включается в каждый пакет и на приемной стороне по нему определяются правила обработки пакета.
Сообтевественно, если при отправке идекс будет один, а на приемной стороне другой - пакет бкдет отброшен. rtfm rfc.

Цитата
Nemoy пишет:
так лучше перевести действительно полезное, чем распыляться на очередное непонятно чт

Вперед.

Цитата
Гость2 пишет:
А про 7-ми уровневую модель OSI представление имеешь?

arp-spoofing это атака на протокол tcp/ip. Хотя канальный уровень в стек протоколов TCP/IP не входит, но arp, как связка сетевого и канальноно - часть стека. Конечно, 8-ми уровневая модель ОСИ земной это очень романтично, но rftm rfc

Цитата
Гость пишет:
В Украине по решению суда провайдер должен отдавать правоохоронительным органам трафик пользователей

Да пускай отдает, если трафик будет зашифрованный.


ЗЫ. А вообще - тема не раскрыта. из области "Мы зашифровали пинг на прешаред ключах". 2005й год на дворе. Сертификаты, NAT-T, L2TP, XAUTH, Hybrid где?
 
Цитата
offtopic пишет:
2005й год на дворе.
Та откуда пишешь? Из Китая? Или НГ еще где-то позже наступает?
 
Цитата
offtopic пишет:
Nemoy пишет:
так лучше перевести действительно полезное, чем распыляться на очередное непонятно чт

Вперед.
Я и по-английски, слава Богу, прочесть могу. И не поленюсь на сайт FreeSWAN-а зайти. Раз человек угробил столько времени на эту компиляцию, то мог бы тратить его с большей пользой для общества. И вообще, как на мой взгляд, лучше сопроводительной документации и доки на сайтах разработчиков источников для изучения быть не может. Особенно для такой прозрачной темы, как IPSec и его настройка.

По поводу настройки IPSec на винде. Есть сайт vpn.ebootis.de на котором есть достаточно доки для WinXP/2000. А для старой доброй NT - нужно брать PGPNet. К сожалению, сайта, где процесс настройки для NT расписан в картинках уже нет, но у меня где-то сохранилась эта страничка, так что, если кому нужно, то вышлю.
 
Цитата
Nemoy пишет:
Я и по-английски, слава Богу, прочесть мог

Вы батенька, как я посмотрю - концептуальновоздухосотресатель.
Предлагаете весь сайт openswan переводить? или microsoft.com (где тоже прекрасная документация по IPSec)?
Если есть хорошие материалы, которые стоит опубликовать или перевести - так напишите редактору и будет вам большое человеческое спасибо.
 
Вот замечательная страничка, перевод которой может многим помочь в понимании принципов работы IPSec.
http://www.freeswan.org/freeswan_trees/freeswan-1.99/doc/ipsec.html
Также не плохо было бы рассмотреть варианты работы IPSec через NAT (есть в OpenSWAN патчи). Это так, если еще возникнет желание писать об этом.
Страницы: 1 2 След.
Читают тему