[eugene210682]

Вам еще смешно ?

Вы меня не правильно поняли - в с е (без исключений) ваши посты в этой теме меня от души повеселили.

 

[ani.kiborgi]

Ну при необходимости терморектальный криптоанализ никто не отменял. Случаи применения известны, когда увольнялся админ со всеми паролями и предлагал их конторе за "символическую сумму". И так отдал.

Кстати ссылку на видео не кинете?

 

Да будет Вам известно: ГРАМОТНЫЙ админ, нанимаемый вместо уволенного, всегда восстановит любой забытый пароль, но в 99% случаев это и не нужно, т.к. учетная запись увольняемого сотрудника просто блокируется, а любой физический доступ к сети и компьютерной технике ограничивается ПЕРЕД ТЕМ, как человеку объявят об его увольнении.

Нанимайте профессионалов!

 

Вы живете еще в 90 годах.

 

А что Вам мешает удалить мою учетную запись на форуме, если она так мешает и тролит топик?

 

 

 

 

 

[SmokerMan]

Просто раздела юмор нет на форуме :-)

[firefly]

Кстати ссылку на видео не кинете?

Это реальный случай, а не постановочная съемка

учетная запись увольняемого сотрудника просто блокируется, а любой физический доступ к сети и компьютерной технике ограничивается ПЕРЕД ТЕМ, как человеку объявят об его увольнении.

Инициатором увольнения может быть и сам админ. А политика безопасности не во всех компаниях идеальна. Есть и довольно крупные экземпляры всего с одним "где-то тут что-то бородато-волосатое ходило".

 

Вы живете еще в 90 годах.

У меня на календаре 2009 год. Просто лично я выбираю методы, которые эффективны в "данную секунду", независимо от того, когда они стали популярны. Вот и упомянутая мной компания выбрала метод, который был эффективным.

Изменено 27 января, 2009 пользователем firefly

[agabekov]

Да будет Вам известно: ГРАМОТНЫЙ админ, нанимаемый вместо уволенного, всегда восстановит любой забытый пароль...

Про no service password-recovery не слышали?

[jurs]

Критерии мне представляется должны быть такие:

Авторизация на основе сертификатов и шифрование канала от клиента до провайдера.

1) Редкий абонент согласится, чтобы его аппаратуру нагружали глупостями. Если оператор обеспечивает шифрование, то пусть делает это сам. Хотите выдать каждому абоненту по шифроватору, способному прожевать хотя бы 100М локалки? Плюс аналогичное со своей стороны? А как же всеобщее потепление на планете?

2) А вот сертификат в CPE-шку - это очень хорошо. Только дорого. Без шифрования-то CPE-шку для эзернета ниже 300 долларов днём с огнём поискать. А с шифрованием - она ещё настолько же дороже станет. ЧТО должен покупать абонент, ПОЧЁМ, чтобы всё это лепоту окупить в разумные сроки?

А не проще-ли на роутер клиента (типа zyxel или d-link) залить защищенный от экспорта сертификат, авторизация на самом роутере прописана, т.е. для клиента все прозрачно будет.

Подключился кто на лестнице физически в провод - а сертификат на каждом устройстве свой и провайдер инета не даст (т.е. нет смысла врезаться в провод) на другом проводе тоже не прокатит.

 

Ну мне это видится примерно так....

Берешь вон openvpn и авторизуешь сколько влезет. Там тебе и шифрование, и сертификаты, и черт лысый в ступе - хочешь пароли, хочешь смарткарты. Все желающие могут врезаться в кабель и дампить трафик от openvpn-а, пока не надоест (по дефолту там ключ симметричный меняется раз в час, насколько помню). Вопрос только в том, сколько ты будешь юзерочкам объяснять, как это все настраивать, если многие не осиливают в винде натыкать в настройки рррое (далее-далее-логин-парол).

 

[zloZ]

Не пойму, чего вы от топикстартера хотите? Он же сказал - стекло его устраивает.

Положите ему отдельное стекло от коммутатора и дайте отдельный VLAN.

 

P.S. клиенту хорошо вот и ладно.

[firefly]

В чем проблема "врезаться" в стекло и слушать тот же vlan?

[Wraith]

В чем проблема "врезаться" в стекло и слушать тот же vlan?

проблем нет но это уже другой порядок затрат на врезку и как необходимое условие наличие прямых рук %) хотя если очень надо врежутся...

[Alexandr Ovcharenko]

Мда... Чудненький топик! ТС жжёт, таких тролей поискать надо! Столько народу торкнул на пустой демагогии... Ну придумал ты себе заморочку с сертификатами, молодец, ну так СДЕЛАЙ ЭТО САМ! Чего людям мозги парить? Удовольствий в жизни не хватает?

[ani.kiborgi]

Берешь вон openvpn и авторизуешь сколько влезет. Там тебе и шифрование, и сертификаты, и черт лысый в ступе - хочешь пароли, хочешь смарткарты. Все желающие могут врезаться в кабель и дампить трафик от openvpn-а, пока не надоест (по дефолту там ключ симметричный меняется раз в час, насколько помню). Вопрос только в том, сколько ты будешь юзерочкам объяснять, как это все настраивать, если многие не осиливают в винде натыкать в настройки рррое (далее-далее-логин-парол).

Под виндой и линуксом я уже такое видел (на клиентских компьютерах).

Может возможно такое сделать на железке клиента и провайдера, чтобы для клиента все было прозрачно ?

Железки работают по PPPoE RFC2516 LLCSNAP.

Смысл всех действий: сделать бессмысленной атаку "человек посередине" на отрезке клиент-провайдер т.е. чтобы не только трафик бессмысленно было дампить, но и в случае любой врезки нельзя было воспользоваться услугой интернет кроме как оборудованием клиента стоящего у него внутри квартиры.

 

Хотя в будущем оптика в квартиру будет.

Изменено 27 января, 2009 пользователем ani.kiborgi

[martin74]

а зачем?

[ani.kiborgi]

Да будет Вам известно: ГРАМОТНЫЙ админ, нанимаемый вместо уволенного, всегда восстановит любой забытый пароль...

Про no service password-recovery не слышали?

И что...? теперь все админы должны быть обречены на терморектальный криптоанализ?

 

А когда внедрят биометрию людям начнут выковыривать глазки, отрезать пальчики рук?

 

P.S: А если админа машиной насмерть собьет? Бизнес остановится? Что делать будете?

А если от этого существование всей фирмы зависит, конкуренты могут помочь админу под машину попасть.

Изменено 27 января, 2009 пользователем ani.kiborgi

[agabekov]

Да будет Вам известно: ГРАМОТНЫЙ админ, нанимаемый вместо уволенного, всегда восстановит любой забытый пароль...

Про no service password-recovery не слышали?

И что...? теперь все админы должны быть обречены на терморектальный криптоанализ?

 

А когда внедрят биометрию людям начнут выковыривать глазки, отрезать пальчики рук?

 

P.S: А если админа машиной насмерть собьет? Бизнес остановится? Что делать будете?

А если от этого существование всей фирмы зависит, конкуренты могут помочь админу под машину попасть.

Просто проиллюстрировать хотел, что не любой пароль может взломать даже грамотный админ. Про случай в Сан-Франциско читали - там, судя по описанию, тоже применили эту фичу на роутерах.

А вообще, в чём цимес-то? Есть сети, в которых доступ на Ethernet, но весь трафик идет по VLAN-ам до BRAS-а, на котором терминируется PPPoE. И CPE-шки для таких сетей давно уже дешевле 30-40 баксов найти можно. Чем они вас не устраивают?

Изменено 27 января, 2009 пользователем agabekov

[ani.kiborgi]

Да будет Вам известно: ГРАМОТНЫЙ админ, нанимаемый вместо уволенного, всегда восстановит любой забытый пароль...

Про no service password-recovery не слышали?

И что...? теперь все админы должны быть обречены на терморектальный криптоанализ?

 

А когда внедрят биометрию людям начнут выковыривать глазки, отрезать пальчики рук?

 

P.S: А если админа машиной насмерть собьет? Бизнес остановится? Что делать будете?

А если от этого существование всей фирмы зависит, конкуренты могут помочь админу под машину попасть.

Просто проиллюстрировать хотел, что не любой пароль может взломать даже грамотный админ. Про случай в Сан-Франциско читали - там, судя по описанию, тоже применили эту фичу на роутерах.

А вообще, в чём цимес-то? Есть сети, в которых доступ на Ethernet, но весь трафик идет по VLAN-ам до BRAS-а, на котором терминируется PPPoE. И CPE-шки для таких сетей давно уже дешевле 30-40 баксов найти можно. Чем они вас не устраивают?

А где такие СРЕ-ки? это доступно каждому, всем? и где вообще можно почитать об этом?

 

Изменено 27 января, 2009 пользователем ani.kiborgi

[agabekov]

CPE-шки - да любой китайский SOHO роутер с WAN-интерфейсом Ethernet. У меня самого дома TP-Link какой-то стоит(WR340G, что ли). Этот девайс настраивал я, но вполне мог настроить и оператор - и продать мне его уже готовым к работе. Как строят такие сети - да хотя бы на второй странице этого раздела тема есть, "Выбор между централизованным PPPoE и "VLAN на пользователя". Я так понимаю, что весь трафик такая CPE-шка шифровать не будет - процессора тупо не хватит, да и BRAS-у с той стороны поплохеет, но от врезки в провод уже толку не будет.

Изменено 28 января, 2009 пользователем agabekov

[ani.kiborgi]

CPE-шки - да любой китайский SOHO роутер с WAN-интерфейсом Ethernet. У меня самого дома TP-Link какой-то стоит(WR340G, что ли). Этот девайс настраивал я, но вполне мог настроить и оператор - и продать мне его уже готовым к работе. Как строят такие сети - да хотя бы на второй странице этого раздела тема есть, "Выбор между централизованным PPPoE и "VLAN на пользователя". Я так понимаю, что весь трафик такая CPE-шка шифровать не будет - процессора тупо не хватит, да и BRAS-у с той стороны поплохеет, но от врезки в провод уже толку не будет.

Да, пожалуй то, что надо. Спасибо =))

Изменено 28 января, 2009 пользователем ani.kiborgi

[vIv]

А вообще, в чём цимес-то? Есть сети, в которых доступ на Ethernet, но весь трафик идет по VLAN-ам до BRAS-а, на котором терминируется PPPoE. И CPE-шки для таких сетей давно уже дешевле 30-40 баксов найти можно. Чем они вас не устраивают?

Пруфлинк в студию, пожалуйста! Чтобы именно CPE, управляемое оператором. А то я что-то слышу циферки на порядок выше.

 

CPE-шки - да любой китайский SOHO роутер с WAN-интерфейсом Ethernet. У меня самого дома TP-Link какой-то стоит(WR340G, что ли). Этот девайс настраивал я, но вполне мог настроить и оператор - и продать мне его уже готовым к работе.

И перенастраиваемым абонентом с пол-пинка. Суть CPE в том, что оператор _может_ ей верить (см. начало топика про сертификаты). Итак, где дают именно CPE ? Под какое ПО?

 

но от врезки в провод уже толку не будет.

Почему не будет? Если нет шифрования, достаточно дублировать МАС+IP, будут потери, но TCP справится. А если приложить ручки и задействовать мирроринг-группы, то и потерь не будет, будут только незаказанный пакеты, дропаемые TCP-стэком. Для обычного абонента вообще незаметные

[ani.kiborgi]

А вообще, в чём цимес-то? Есть сети, в которых доступ на Ethernet, но весь трафик идет по VLAN-ам до BRAS-а, на котором терминируется PPPoE. И CPE-шки для таких сетей давно уже дешевле 30-40 баксов найти можно. Чем они вас не устраивают?

Пруфлинк в студию, пожалуйста! Чтобы именно CPE, управляемое оператором. А то я что-то слышу циферки на порядок выше.

 

CPE-шки - да любой китайский SOHO роутер с WAN-интерфейсом Ethernet. У меня самого дома TP-Link какой-то стоит(WR340G, что ли). Этот девайс настраивал я, но вполне мог настроить и оператор - и продать мне его уже готовым к работе.

И перенастраиваемым абонентом с пол-пинка. Суть CPE в том, что оператор _может_ ей верить (см. начало топика про сертификаты). Итак, где дают именно CPE ? Под какое ПО?

 

но от врезки в провод уже толку не будет.

Почему не будет? Если нет шифрования, достаточно дублировать МАС+IP, будут потери, но TCP справится. А если приложить ручки и задействовать мирроринг-группы, то и потерь не будет, будут только незаказанный пакеты, дропаемые TCP-стэком. Для обычного абонента вообще незаметные

А я уже хотел расстроиться... vIv всё правильно понял.

 

[agabekov]

А вообще, в чём цимес-то? Есть сети, в которых доступ на Ethernet, но весь трафик идет по VLAN-ам до BRAS-а, на котором терминируется PPPoE. И CPE-шки для таких сетей давно уже дешевле 30-40 баксов найти можно. Чем они вас не устраивают?

Пруфлинк в студию, пожалуйста! Чтобы именно CPE, управляемое оператором. А то я что-то слышу циферки на порядок выше.

 

CPE-шки - да любой китайский SOHO роутер с WAN-интерфейсом Ethernet. У меня самого дома TP-Link какой-то стоит(WR340G, что ли). Этот девайс настраивал я, но вполне мог настроить и оператор - и продать мне его уже готовым к работе.

И перенастраиваемым абонентом с пол-пинка. Суть CPE в том, что оператор _может_ ей верить (см. начало топика про сертификаты). Итак, где дают именно CPE ? Под какое ПО?

 

но от врезки в провод уже толку не будет.

Почему не будет? Если нет шифрования, достаточно дублировать МАС+IP, будут потери, но TCP справится. А если приложить ручки и задействовать мирроринг-группы, то и потерь не будет, будут только незаказанный пакеты, дропаемые TCP-стэком. Для обычного абонента вообще незаметные

Ну тот же зюксель ES-305. Оно в розницу не 40 баксов - 50-60, но и не 200-300. Может быть, и в DIR-100 рано или поздно соответствующую функциональность добавят.

Кстати, а вы пробовали перехватить сессию PPPoE в реальном времени. или это чистое теоретизирование? Пароль-то перехватить не удастся - толку-то от подслушанных хэшей.

[ani.kiborgi]

Кстати, а вы пробовали перехватить сессию PPPoE в реальном времени. или это чистое теоретизирование? Пароль-то перехватить не удастся - толку-то от подслушанных хэшей.

Нужно чтобы с провайдером работала только клиентская железка (зарегистрированная у провайдера), а любая другая (не прошедшая регистрацию у провайдера) не работала.

Любой трафик можно задампить.

Остальное решается.

P.S.: только что посмотрел .... логин-пароль при авторизации передается вообще открытым текстом.

 

Изменено 29 января, 2009 пользователем ani.kiborgi

[agabekov]

CHAP надо использовать, тогда пароли в открытом виде по сети шастать не будут.

[ani.kiborgi]

CHAP надо использовать, тогда пароли в открытом виде по сети шастать не будут.

Вы чего пишете-то? Бррр.... Где у роутера настраивается CHAP? В CLI или в WEB ? чего-то не нашел.

Речь вообще не об этом.

 

Я уже писал - vlv лучше всего меня понял, перечитайте.

 

[vIv]

Ну тот же зюксель ES-305. Оно в розницу не 40 баксов - 50-60, но и не 200-300. Может быть, и в DIR-100 рано или поздно соответствующую функциональность добавят.

Кстати, а вы пробовали перехватить сессию PPPoE в реальном времени. или это чистое теоретизирование? Пароль-то перехватить не удастся - толку-то от подслушанных хэшей.

DIR-100 перешивается штатной процедурой. Не катит. Про зюксель заведомо не знаю, но, судя по цене, скорее всего, тоже.

PPPoE подламывается на большинстве абонентов на 1-2-3 тупой вставкой fake сервера с запрещённым шифрованием. Дыра ещё из прошлого века. По крайней мере с Win2000 работает.

 

Уточню: Это не означает, что нельзя заказать аппаратно изменённых DIR-100. Но в этом разе эта партия будет стоить специальных денег.

[ani.kiborgi]

Уточню: Это не означает, что нельзя заказать аппаратно изменённых DIR-100. Но в этом разе эта партия будет стоить специальных денег.

Подскажите, как это грамотно сделать и чем этот раз отличается от других, что за специальные деньги такие (валюта, прямой и обратный кросс-курс).

PS: и что такое СРЕ и где об этом почитать.