|
26.09.2005 16:27:45
САБЖ
что за протокол, что за запрос, какой сервис их отправляет и пр? Везде используется этот термин, а что это за термин - не написано нигде из имеющихся у меня инструкицй .... |
|
|
|
|
|
26.09.2005 16:30:42
RFC 1001, 1002. Вкратце - это Виндовая сеть. Он же NetBIOS. SMB - это пошло от реализации оной сети в *nix. Соответствующий пакет называется Samba.
|
|
|
|
|
|
27.09.2005 11:08:59
Ну насчет интернет мелкомягкие загнули. SMB дальше локалки (ди и то небольшой) выпускать нельзя. Посмотрите ethereal-ом, чтобы просто увидеть компьютеры в сетевом окружении, машины обмениваются примерно 400 пакетами. А ты сидишь и ждешь, пока они это сделают - такова плата за удобство. Там и нужные и ненужные при данных настройках пакеты. Самое смешное то, что когда ты заходишь на общие ресурсы, на которые пароля не требуется или просто не набираеешь пароля, то светишь снифферу свой пароль. |
|||
|
|
|
|
27.09.2005 11:14:09
хэш |
|||
|
|
|
|
27.09.2005 11:21:12
и даже не хэш, а хэш от случайного числа (запроса) и хэша пароля.
А вообще - все справдливо. SMB (Server Message Block) - протокол прикладного уровня, который может гулять по верх NetBIOS. Его второй вариант (CIFS), появившийся в NT 4.0 SP4 MS пыталась протолкнуть в качестве RFC, но как обычно IETF не принял в связи с лицинзионными проблемами. Ну а на счет 400 пакетов - дык иконки же надо считывать. Не нравится - отключи  |
|
|
|
|
|
27.09.2005 11:45:13
Вот-вот - весь набор, необходимый для подбора - и ответ клиента тоже. Так я в сетке на свитчах без всякого спуффинга знаю все пароли. Зачем это нужно? |
|||
|
|
|
|
27.09.2005 12:37:16
Для реализации SSO. Смотри статью выше.
Альтернативный вариант - при доступе к каждому ресурсу вводить пароль. Не заустанешь ли :-0? А так, если пароль достаточно сложный и меняется , аутентифкация ntlmv2, то ломать достаточно - малоперспективно. Но это теория. На практике 4х символьный пасс ломается за несколько секунд ) |
|
|
|
|
|
27.09.2005 12:38:40
ЗЫ. Не ни одного механизма сетевой аутентификации основанного на паролях, стойкость которого бы не зависила от стойкости пароля (т.е. он не был уязвим к подбору пароля по перехваченной сессии аутентифкации).
|
|
|
|
|
|
27.09.2005 12:59:43
Как расшифровывается SSO (по русски) - в статье выше нет такой лат. аббревиатуры.
Как я думала, посылка своих паролей машиной нужна в единственном случае - при отсутствии простого к файлам ("свойства папки"), когда каждого входящего пользователя с других машин нужно регистрировать у себя. . Почему этот режим не отключается, когда не нужен - непонятно. Методом тыка: посылка своих паролей отключается (без всякого ущерба для работоспособности в случае простого доступа), когда поставишь в реестре EnableSecuritySignature=1 как для сервера, так и для workstation. Но причем тут это - непонятно. |
|
|
|
|
|
27.09.2005 13:24:03
Single Sign On - однократный ввод пароля. Т.е. когда пароль указывается при входе в систему а не при доступе к отдельной сетевой службе.
Это нужно когда ты в корпоративной сети открываешь сетевую папку. И вместо того, что бы спрашивать у тебя имя, станция автоматически аутентифицируется на сервере с текущими данными. А простой доступ к папкам - это вообще мутанство появившееся в XP на замену "парольной" защиты папок в 9х
Очень даже понятно. Когда ты включаешь требовать цифровую подпись у тебя просто с машинами, которые цифровую подпись не поддерживают твоя машинка не общается. |
|||||
|
|
|
|
27.09.2005 14:04:57
Общается. Для сервера RequireSecuritySignature=0 - как было по умолчанию, так и осталось. Свой пароль не посылает, а всех прекрасно видит. Как-то неразумно в случае простого доступа посылать свой пароль, когда он не нужен. Можно выложить что-нибудь приятственное в своей обещй папке, все будет туда ходить и можно словить пароли всей сети даже пассивным сниффером. Или научиться посылать фальшивый server challenge жертве, за пару секунд получить ответ с ее паролем "по заказу" и выключить/стереть все незаконное. |
|||
|
|
|
|
27.09.2005 14:19:51
Сервер сам не требует, но если клиент предлагает, то подпись использует.
А откуда машина знаешт - нужен - не нужен? Каждый раз у юзера спрашивать ?
Можно и не в папке, а на web, например... Сетевая аутентификация должна быть устойчива к перехвату пароля. Но тут все упирается в пароль. Писал выше.
Уже сделано, сматри линк выше. Но не фальшивый, а серверный запрос. Здесь все упирается в отсутсвие аутентифкации сервера, что лечит Kerberos или (слабо) MS-chapv2. Однако windows без ntlm не живет, так что... |
|||||||
|
|
|
|
27.09.2005 14:35:07
|
|||
|
|
|
|
27.09.2005 14:49:36
А что мешает это сделать злоумышленнику? Выставить этот флаг? Сервер же у нас не аутентифицирован  |
|||
|
|
|
|
27.09.2005 15:12:10
Да-а ... Получается ситуацию никак не исправить. Только вот счет между юзерами и злоумышленниками почему-то до сих пор 0-0. Уязвимость существует много лет, но нет популярной проги, которая бы ее использовала.
|
|
|
|
|
|
27.09.2005 16:03:54
Прочитал статейку по ссылке так могу сказать что от атаки man-in-middle не только ntlm не защитит, хоть ssh хоть sftp...
|
|
|
|
|
|
27.09.2005 17:08:58
Не путай мягкое с длинным. SSH для mitm не уязвим, уязвим пользователь, нажимающий\вводищий yes на сообщении о смене ключа.
|
|
|
|
|
|
27.09.2005 17:28:48
Ettercap умеет перехватывать и подменять ключи независимо от нашего сознания:
SSH1 support : you can sniff User and Pass, and even the data of an SSH1 connection. ettercap is the first software capable to sniff an SSH connection in FULL-DUPLEX SSL support : you can sniff SSL secured data... a fake certificate is presented to the client and the session is decrypted. |
||||
|
|
|
|||