Barsick Posted April 15, 2004 Posted April 15, 2004 Домовая локалка, инет раздается по PPPoE, PPPoE-сервер стоит у провайдера. Кто-то в локалке научился перехватывать пароли, причем для отмазки подставляет чужой, но реально существующий в локалке MAC. Т.е. в логах сервера лежит логин жертвы и MAC "подставленного" компа, причем оба компа в тот момент были выключены. Сисадмин прова подтвердил, что пароли соснифить можно :( Что делать??? Оперативного доступа к логам нет. Вставить ник Quote
Roman Ivanov Posted April 16, 2004 Posted April 16, 2004 Домовая локалка, инет раздается по PPPoE, PPPoE-сервер стоит у провайдера.Кто-то в локалке научился перехватывать пароли, причем для отмазки подставляет чужой, но реально существующий в локалке MAC. Т.е. в логах сервера лежит логин жертвы и MAC "подставленного" компа, причем оба компа в тот момент были выключены. Сисадмин прова подтвердил, что пароли соснифить можно :( Что делать??? Оперативного доступа к логам нет. >>что пароли соснифить можно Эээээ. У Вас PAP что ли? Управляемы свитчи помогли бы. Вставить ник Quote
Barsick Posted April 16, 2004 Author Posted April 16, 2004 Сисадмин прова подтвердил, что пароли соснифить можно :( Что делать??? Оперативного доступа к логам нет. >>что пароли соснифить можно Эээээ. У Вас PAP что ли? Управляемы свитчи помогли бы. PAP, блин... открытым текстом идут... Не менять же почти 20 свичей. Хорошо хоть не хабы, а то вообще бы задница была :( Вставить ник Quote
Roman Ivanov Posted April 16, 2004 Posted April 16, 2004 Сисадмин прова подтвердил, что пароли соснифить можно :( Что делать??? Оперативного доступа к логам нет. >>что пароли соснифить можно Эээээ. У Вас PAP что ли? Управляемы свитчи помогли бы. PAP, блин... открытым текстом идут... Не менять же почти 20 свичей. Хорошо хоть не хабы, а то вообще бы задница была :( Переходить с PAP на CHAP. По моему - самое простое. Вставить ник Quote
Бригинец Александр Posted April 16, 2004 Posted April 16, 2004 одить с PAP на CHAP. Побапюсь показаться а ламера но извините можно попобробней узнать что такое PAP или CHAP. А тоя думал что от таких проблем только VLANпомогает? Вставить ник Quote
Barsick Posted April 17, 2004 Author Posted April 17, 2004 Переходить с PAP на CHAP. По моему - самое простое. Эти не я занимаюсь, это к вышестоящему прову. Авторизация там. А вообще я в ужасе - один 14-байтовый бродкаст-пакетик с маком жертвы, посылаемый _1_раз_в_2_секунды_, способен задушить 100мбит линк... И хрен вычислишь кто гадит... Короче - имхо сеть на неуправляемых свичах хороша "только вокруг тумбочки"(с) Вставить ник Quote
Roman Ivanov Posted April 17, 2004 Posted April 17, 2004 одить с PAP на CHAP. Побапюсь показаться а ламера но извините можно попобробней узнать что такое PAP или CHAP. А тоя думал что от таких проблем только VLANпомогает? PAP - пароль в открытую идет, при том первым пакетом CHAP - пароль шифруется ключом VLAN в паре с PPPoE вообще круто работает. VLAN делит "хацкеров" на блоки, а PPPoE делает остальное. Из самых больших плюсов PPPoE 1) Инет только по логину и паролю - что случае шифрования пароля - здорово. 2) Не зависит от настроек IP адреса LAN карты. Т.е. уже защита. 3) На локалке нет gateway. Зараженную флуд-вирусом машину легко "унять". Убиваешь сессию, комментируешь строку авторизации. И нагрузка на сеть 0. 4) 100% утилизация IP. Я даю внешние, мне это актуально. Т.е. из пула x.x.x.0-x.x.x.31 я могу давать адреса x.x.x.0 и x.x.x.31, gateway не нужен. Для меня - 10% экономия. 5) При желании можно данные шифровать, туннель и так уже есть ;) И так далее и тому подобное. Вставить ник Quote
Guest Posted June 10, 2004 Posted June 10, 2004 что такое PAP?как объяснить по русски Вставить ник Quote
Barsick Posted June 10, 2004 Author Posted June 10, 2004 что такое PAP?как объяснить по русски Грубо гря так: PAP - клиентская машина шлет бродкаст, сервер отвечает, типа "вот я" Следущий пакет от клиента - запрос на соединение, с нешифрованным логином и паролем СHAP - сервер в ответ шлет клиенту ключ, которым клиентский комп шифрует свой пароль, и уже в шифрованном виде шлет серверу. Т.е. пароль поймать можно, но бестолку (ключи на шифровку и дешифровку разные, так что перехват пакета от сервера к клиенту смысла не имеет, на дешифровку уйдет слишком много времени) Вставить ник Quote
kuzkir93 Posted May 11, 2009 Posted May 11, 2009 Ага, конечно, зачем сниферить, лудче подстроить pppoe сервак + arp подмену зделать. Если кто будет логаниться, и к тебе быстрее будут доходить пакеты - халява обеспечена... "ТВТ итернет форева (tbt.ru)" Вставить ник Quote
Nafanya Posted May 11, 2009 Posted May 11, 2009 Переходить с PAP на CHAP. По моему - самое простое. Эти не я занимаюсь, это к вышестоящему прову. Авторизация там. А вообще я в ужасе - один 14-байтовый бродкаст-пакетик с маком жертвы, посылаемый _1_раз_в_2_секунды_, способен задушить 100мбит линк... И хрен вычислишь кто гадит... Короче - имхо сеть на неуправляемых свичах хороша "только вокруг тумбочки"(с) со стороны прова поддержка CHAP + у клиентов в свойствах соединения установить принудительно только CHAP. Других вариантов нет. Вставить ник Quote
Stak Posted May 11, 2009 Posted May 11, 2009 VLAN в паре с PPPoE вообще круто работает.VLAN на пользователя и без PPPoE вообщето круто работает) А по сабжу - да, CHAP поможет. Вставить ник Quote
OLEG Doneck Posted May 11, 2009 Posted May 11, 2009 Переходить с PAP на CHAP. По моему - самое простое. Эти не я занимаюсь, это к вышестоящему прову. Авторизация там. А вообще я в ужасе - один 14-байтовый бродкаст-пакетик с маком жертвы, посылаемый _1_раз_в_2_секунды_, способен задушить 100мбит линк... И хрен вычислишь кто гадит... Короче - имхо сеть на неуправляемых свичах хороша "только вокруг тумбочки"(с) со стороны прова поддержка CHAP + у клиентов в свойствах соединения установить принудительно только CHAP. Других вариантов нет. 100% вариант + в договоре прописать как это делается и какая ответственность в случае если не делать... Вставить ник Quote
Andrеw Posted May 12, 2009 Posted May 12, 2009 А вообще я в ужасе - один 14-байтовый бродкаст-пакетик с маком жертвы, посылаемый _1_раз_в_2_секунды_, способен задушить 100мбит линк...И хрен вычислишь кто гадит... Короче - имхо сеть на неуправляемых свичах хороша "только вокруг тумбочки"(с) Достаточно будет начать юзать неуправляемые длинки или компексы с изолированными портами, чтобы избежать таких проблем. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.