Интересно ... >Уникальный 8-битный идентификатор, называемый Security Parameter Index SPI. >Этот параметр должен быть одинаковым у обеих сторон. Это где же такое определено, что SPI должен быть одинаковым для обеих сторон?
>И можно будет простым снифером отлавливать интересующие сведения:)
Скольким же чайникам мозги запудрили! Ты хоть раз пробовал "снифером отлавливать интересующие сведения"? При повсеместном использавании свичей, для этого нужно запустить снифер на хосте, через который эти пакеты проходят (например, на маршрутизаторе). А если у тебя есть доступ к маршрутизатору и его конфигам, тебе снифер для отлавливания паролей не потребуется.
Скольким же чайникам мозги запудрили! Ты хоть раз пробовал "снифером отлавливать интересующие сведения"? При повсеместном использавании свичей, для этого нужно запустить снифер на хосте, через который эти пакеты проходят (например, на маршрутизаторе). А если у тебя есть доступ к маршрутизатору и его конфигам, тебе снифер для отлавливания паролей не потребуется.
2 Guest, 10.01.2006 12:12:20 В Украине по решению суда провайдер должен отдавать правоохоронительным органам трафик пользователей. В России, если я не ошибаюсь, та же услуга делается без решения суда.
А про 7-ми уровневую модель OSI представление имеешь? Ты случаем Ethernet с IP не путаешь? ARP существует только в локальной ethernet сети. Чего перехватывать при помощи arp-spoofing и снифера собрался? Логин девочек из бухгалтерии в аську? Достойно...
> А про 7-ми уровневую модель OSI представление имеешь? Ты случаем Ethernet с IP не путаешь? ARP существует только в локальной ethernet сети. Чего перехватывать при помощи arp-spoofing и снифера собрался? Логин девочек из бухгалтерии в аську? Достойно...
Упоминание ARP-Spoofing'а ранее было, очевидно, приведено в ответ на упоминание еще ранее о "повсеместном использавании свичей, для этого нужно запустить снифер на хосте, через который эти пакеты проходят". Арп-спуфинг для свичей-то и нужен.
А что перехватывать сниффером и арп-спуфингом - логин девочек из бухгалтерии в аську, почту директора или пароль к винде - вопрос открытый...
Например, arp-спуфером можно добыть пароль админа, залезть на корпоративный сервак и посниффить сетку, к которой он подкллючен. Да и дефочки из бухгалтерии оперируют вполне интересной информацией, например, о зарплате работников и их личных данных.
arp-спуфинг довольно просто лечится установкой толкового железа с защитой от спуффинга (один мак на нетранковый порт, запрет на смену мака, запрет служебного трафика не на аплинки, отдельные вланы для серверов и для юзеров и т.д.) Но это всё не имеет отношения к TCP/IP.
Интересно, зачем приводить очередную компиляцию README+HOW-TO ? Неужели нельзя было нормально объяснить основы того же IPSec ? На сайте FreeSWAN есть прекрасная статья на английском по основам IPSec. Понятно, что кому нужно, тот сам прочтет, но ведь все равно время тратится на написание статей типа этой, так лучше перевести действительно полезное, чем распыляться на очередное непонятно что. Кстати, как мне кажется, актуальнее было бы привести пример организации IPSec между WinXP/NT/200 - Linux, чем Солярку.
"Гость, 10.01.2006 23:30:15 вожможно ли это зделать в win если да то при помощи каких прог"
Не поверите, прога так и называется - windows (2000, XP, 2003), IPSec встроенный.
2 ALL Порадовала фраза из статьи: "Authentication Header (AH) обеспечивает целостность соединения, аутентификацию исходных данных и дополнительно может обеспечивать anti-replay сервис. Целостность данных гарантирована на 100%, но этот метод не остановит атаки вида MITM, т.е. весь аутентифицированный трафик можно прослушать." Позвольте, но для прослушивания такого трафика вовсе не обязательна MITM-атака, достаточно просто "параллельного подключения". MITM-атака это существенно более мощное средство, оно позволяет МЕНЯТЬ проходящий трафик вплоть до "прозрачным способом". А вот именно этому AH может противостоять. А шифрования он не делает - слушай на здоровье...
Про эту фразу уже кто-то упоминал - "Заметьте, что числа 0x10001 и 0x10002 это индексы параметров безопасности (Security Parameter Indexes - SPI). Они используются для определения соглашения безопасности в SADB и должны быть одинаковыми на обеих сторонах соединения." Не одинаковыми, а перекрёстно-одинаковыми, то есть 0x10001 и 0x10002 с одной стороны и 0x10002 и 0x10001 с другой.
~Kurodo~ пишет: что SPI должен быть одинаковым для обеих сторон?
Идекс SPI включается в каждый пакет и на приемной стороне по нему определяются правила обработки пакета. Сообтевественно, если при отправке идекс будет один, а на приемной стороне другой - пакет бкдет отброшен. rtfm rfc.
Цитата
Nemoy пишет: так лучше перевести действительно полезное, чем распыляться на очередное непонятно чт
Вперед.
Цитата
Гость2 пишет: А про 7-ми уровневую модель OSI представление имеешь?
arp-spoofing это атака на протокол tcp/ip. Хотя канальный уровень в стек протоколов TCP/IP не входит, но arp, как связка сетевого и канальноно - часть стека. Конечно, 8-ми уровневая модель ОСИ земной это очень романтично, но rftm rfc
Цитата
Гость пишет: В Украине по решению суда провайдер должен отдавать правоохоронительным органам трафик пользователей
Да пускай отдает, если трафик будет зашифрованный.
ЗЫ. А вообще - тема не раскрыта. из области "Мы зашифровали пинг на прешаред ключах". 2005й год на дворе. Сертификаты, NAT-T, L2TP, XAUTH, Hybrid где?
offtopic пишет: Nemoy пишет: так лучше перевести действительно полезное, чем распыляться на очередное непонятно чт
Вперед.
Я и по-английски, слава Богу, прочесть могу. И не поленюсь на сайт FreeSWAN-а зайти. Раз человек угробил столько времени на эту компиляцию, то мог бы тратить его с большей пользой для общества. И вообще, как на мой взгляд, лучше сопроводительной документации и доки на сайтах разработчиков источников для изучения быть не может. Особенно для такой прозрачной темы, как IPSec и его настройка.
По поводу настройки IPSec на винде. Есть сайт vpn.ebootis.de на котором есть достаточно доки для WinXP/2000. А для старой доброй NT - нужно брать PGPNet. К сожалению, сайта, где процесс настройки для NT расписан в картинках уже нет, но у меня где-то сохранилась эта страничка, так что, если кому нужно, то вышлю.
Nemoy пишет: Я и по-английски, слава Богу, прочесть мог
Вы батенька, как я посмотрю - концептуальновоздухосотресатель. Предлагаете весь сайт openswan переводить? или microsoft.com (где тоже прекрасная документация по IPSec)? Если есть хорошие материалы, которые стоит опубликовать или перевести - так напишите редактору и будет вам большое человеческое спасибо.
Вот замечательная страничка, перевод которой может многим помочь в понимании принципов работы IPSec. http://www.freeswan.org/freeswan_trees/freeswan-1.99/doc/ipsec.html Также не плохо было бы рассмотреть варианты работы IPSec через NAT (есть в OpenSWAN патчи). Это так, если еще возникнет желание писать об этом.