Barsick Опубликовано 15 апреля, 2004 · Жалоба Домовая локалка, инет раздается по PPPoE, PPPoE-сервер стоит у провайдера. Кто-то в локалке научился перехватывать пароли, причем для отмазки подставляет чужой, но реально существующий в локалке MAC. Т.е. в логах сервера лежит логин жертвы и MAC "подставленного" компа, причем оба компа в тот момент были выключены. Сисадмин прова подтвердил, что пароли соснифить можно :( Что делать??? Оперативного доступа к логам нет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Roman Ivanov Опубликовано 16 апреля, 2004 · Жалоба Домовая локалка, инет раздается по PPPoE, PPPoE-сервер стоит у провайдера.Кто-то в локалке научился перехватывать пароли, причем для отмазки подставляет чужой, но реально существующий в локалке MAC. Т.е. в логах сервера лежит логин жертвы и MAC "подставленного" компа, причем оба компа в тот момент были выключены. Сисадмин прова подтвердил, что пароли соснифить можно :( Что делать??? Оперативного доступа к логам нет. >>что пароли соснифить можно Эээээ. У Вас PAP что ли? Управляемы свитчи помогли бы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Barsick Опубликовано 16 апреля, 2004 · Жалоба Сисадмин прова подтвердил, что пароли соснифить можно :( Что делать??? Оперативного доступа к логам нет. >>что пароли соснифить можно Эээээ. У Вас PAP что ли? Управляемы свитчи помогли бы. PAP, блин... открытым текстом идут... Не менять же почти 20 свичей. Хорошо хоть не хабы, а то вообще бы задница была :( Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Roman Ivanov Опубликовано 16 апреля, 2004 · Жалоба Сисадмин прова подтвердил, что пароли соснифить можно :( Что делать??? Оперативного доступа к логам нет. >>что пароли соснифить можно Эээээ. У Вас PAP что ли? Управляемы свитчи помогли бы. PAP, блин... открытым текстом идут... Не менять же почти 20 свичей. Хорошо хоть не хабы, а то вообще бы задница была :( Переходить с PAP на CHAP. По моему - самое простое. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Бригинец Александр Опубликовано 16 апреля, 2004 · Жалоба одить с PAP на CHAP. Побапюсь показаться а ламера но извините можно попобробней узнать что такое PAP или CHAP. А тоя думал что от таких проблем только VLANпомогает? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Barsick Опубликовано 17 апреля, 2004 · Жалоба Переходить с PAP на CHAP. По моему - самое простое. Эти не я занимаюсь, это к вышестоящему прову. Авторизация там. А вообще я в ужасе - один 14-байтовый бродкаст-пакетик с маком жертвы, посылаемый _1_раз_в_2_секунды_, способен задушить 100мбит линк... И хрен вычислишь кто гадит... Короче - имхо сеть на неуправляемых свичах хороша "только вокруг тумбочки"(с) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Roman Ivanov Опубликовано 17 апреля, 2004 · Жалоба одить с PAP на CHAP. Побапюсь показаться а ламера но извините можно попобробней узнать что такое PAP или CHAP. А тоя думал что от таких проблем только VLANпомогает? PAP - пароль в открытую идет, при том первым пакетом CHAP - пароль шифруется ключом VLAN в паре с PPPoE вообще круто работает. VLAN делит "хацкеров" на блоки, а PPPoE делает остальное. Из самых больших плюсов PPPoE 1) Инет только по логину и паролю - что случае шифрования пароля - здорово. 2) Не зависит от настроек IP адреса LAN карты. Т.е. уже защита. 3) На локалке нет gateway. Зараженную флуд-вирусом машину легко "унять". Убиваешь сессию, комментируешь строку авторизации. И нагрузка на сеть 0. 4) 100% утилизация IP. Я даю внешние, мне это актуально. Т.е. из пула x.x.x.0-x.x.x.31 я могу давать адреса x.x.x.0 и x.x.x.31, gateway не нужен. Для меня - 10% экономия. 5) При желании можно данные шифровать, туннель и так уже есть ;) И так далее и тому подобное. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Гость Опубликовано 10 июня, 2004 · Жалоба что такое PAP?как объяснить по русски Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Barsick Опубликовано 10 июня, 2004 · Жалоба что такое PAP?как объяснить по русски Грубо гря так: PAP - клиентская машина шлет бродкаст, сервер отвечает, типа "вот я" Следущий пакет от клиента - запрос на соединение, с нешифрованным логином и паролем СHAP - сервер в ответ шлет клиенту ключ, которым клиентский комп шифрует свой пароль, и уже в шифрованном виде шлет серверу. Т.е. пароль поймать можно, но бестолку (ключи на шифровку и дешифровку разные, так что перехват пакета от сервера к клиенту смысла не имеет, на дешифровку уйдет слишком много времени) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kuzkir93 Опубликовано 11 мая, 2009 · Жалоба Ага, конечно, зачем сниферить, лудче подстроить pppoe сервак + arp подмену зделать. Если кто будет логаниться, и к тебе быстрее будут доходить пакеты - халява обеспечена... "ТВТ итернет форева (tbt.ru)" Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nafanya Опубликовано 11 мая, 2009 · Жалоба Переходить с PAP на CHAP. По моему - самое простое. Эти не я занимаюсь, это к вышестоящему прову. Авторизация там. А вообще я в ужасе - один 14-байтовый бродкаст-пакетик с маком жертвы, посылаемый _1_раз_в_2_секунды_, способен задушить 100мбит линк... И хрен вычислишь кто гадит... Короче - имхо сеть на неуправляемых свичах хороша "только вокруг тумбочки"(с) со стороны прова поддержка CHAP + у клиентов в свойствах соединения установить принудительно только CHAP. Других вариантов нет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Stak Опубликовано 11 мая, 2009 · Жалоба VLAN в паре с PPPoE вообще круто работает.VLAN на пользователя и без PPPoE вообщето круто работает) А по сабжу - да, CHAP поможет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
OLEG Doneck Опубликовано 11 мая, 2009 · Жалоба Переходить с PAP на CHAP. По моему - самое простое. Эти не я занимаюсь, это к вышестоящему прову. Авторизация там. А вообще я в ужасе - один 14-байтовый бродкаст-пакетик с маком жертвы, посылаемый _1_раз_в_2_секунды_, способен задушить 100мбит линк... И хрен вычислишь кто гадит... Короче - имхо сеть на неуправляемых свичах хороша "только вокруг тумбочки"(с) со стороны прова поддержка CHAP + у клиентов в свойствах соединения установить принудительно только CHAP. Других вариантов нет. 100% вариант + в договоре прописать как это делается и какая ответственность в случае если не делать... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrеw Опубликовано 12 мая, 2009 · Жалоба А вообще я в ужасе - один 14-байтовый бродкаст-пакетик с маком жертвы, посылаемый _1_раз_в_2_секунды_, способен задушить 100мбит линк...И хрен вычислишь кто гадит... Короче - имхо сеть на неуправляемых свичах хороша "только вокруг тумбочки"(с) Достаточно будет начать юзать неуправляемые длинки или компексы с изолированными портами, чтобы избежать таких проблем. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...