[Barsick]

Домовая локалка, инет раздается по PPPoE, PPPoE-сервер стоит у провайдера.

Кто-то в локалке научился перехватывать пароли, причем для отмазки подставляет чужой, но реально существующий в локалке MAC.

 

Т.е. в логах сервера лежит логин жертвы и MAC "подставленного" компа, причем оба компа в тот момент были выключены.

 

Сисадмин прова подтвердил, что пароли соснифить можно :(

Что делать???

Оперативного доступа к логам нет.

[Roman Ivanov]

Домовая локалка, инет раздается по PPPoE, PPPoE-сервер стоит у провайдера.

Кто-то в локалке научился перехватывать пароли, причем для отмазки подставляет чужой, но реально существующий в локалке MAC.

 

Т.е. в логах сервера лежит логин жертвы и MAC "подставленного" компа, причем оба компа в тот момент были выключены.

 

Сисадмин прова подтвердил, что пароли соснифить можно :(

Что делать???

Оперативного доступа к логам нет.

 

>>что пароли соснифить можно

Эээээ. У Вас PAP что ли?

 

Управляемы свитчи помогли бы.

[Barsick]

Сисадмин прова подтвердил, что пароли соснифить можно :(  

Что делать???  

Оперативного доступа к логам нет.

 

 

>>что пароли соснифить можно  

Эээээ. У Вас PAP что ли?  

 

Управляемы свитчи помогли бы.

 

PAP, блин... открытым текстом идут...

Не менять же почти 20 свичей. Хорошо хоть не хабы, а то вообще бы задница была :(

[Roman Ivanov]

Сисадмин прова подтвердил, что пароли соснифить можно :(  

Что делать???  

Оперативного доступа к логам нет.

 

 

>>что пароли соснифить можно  

Эээээ. У Вас PAP что ли?  

 

Управляемы свитчи помогли бы.

 

PAP, блин... открытым текстом идут...

Не менять же почти 20 свичей. Хорошо хоть не хабы, а то вообще бы задница была :(

 

Переходить с PAP на CHAP.

 

По моему - самое простое.

[Бригинец Александр]

одить с PAP на CHAP.  

 

 

Побапюсь показаться а ламера но извините можно попобробней узнать что такое PAP или CHAP. А тоя думал что от таких проблем только VLANпомогает?

[Barsick]

Переходить с PAP на CHAP.  

 

По моему - самое простое.

Эти не я занимаюсь, это к вышестоящему прову. Авторизация там.

 

А вообще я в ужасе - один 14-байтовый бродкаст-пакетик с маком жертвы, посылаемый _1_раз_в_2_секунды_, способен задушить 100мбит линк...

И хрен вычислишь кто гадит...

Короче - имхо сеть на неуправляемых свичах хороша "только вокруг тумбочки"(с)

[Roman Ivanov]

одить с PAP на CHAP.  

 

 

Побапюсь показаться а ламера но извините можно попобробней узнать что такое PAP или CHAP. А тоя думал что от таких проблем только VLANпомогает?

 

PAP - пароль в открытую идет, при том первым пакетом

CHAP - пароль шифруется ключом

 

VLAN в паре с PPPoE вообще круто работает. VLAN делит "хацкеров" на блоки, а PPPoE делает остальное.

 

Из самых больших плюсов PPPoE

1) Инет только по логину и паролю - что случае шифрования пароля - здорово.

2) Не зависит от настроек IP адреса LAN карты. Т.е. уже защита.

3) На локалке нет gateway. Зараженную флуд-вирусом машину легко "унять". Убиваешь сессию, комментируешь строку авторизации. И нагрузка на сеть 0.

4) 100% утилизация IP. Я даю внешние, мне это актуально. Т.е. из пула x.x.x.0-x.x.x.31 я могу давать адреса x.x.x.0 и x.x.x.31, gateway не нужен. Для меня - 10% экономия.

5) При желании можно данные шифровать, туннель и так уже есть ;)

 

И так далее и тому подобное.

[Гость]

что такое PAP?как объяснить по русски

[Barsick]

что такое PAP?как объяснить по русски

Грубо гря так:

PAP - клиентская машина шлет бродкаст, сервер отвечает, типа "вот я"

Следущий пакет от клиента - запрос на соединение, с нешифрованным логином и паролем

СHAP - сервер в ответ шлет клиенту ключ, которым клиентский комп шифрует свой пароль, и уже в шифрованном виде шлет серверу. Т.е. пароль поймать можно, но бестолку (ключи на шифровку и дешифровку разные, так что перехват пакета от сервера к клиенту смысла не имеет, на дешифровку уйдет слишком много времени)

[kuzkir93]

Ага, конечно, зачем сниферить, лудче подстроить pppoe сервак + arp подмену зделать. Если кто будет логаниться, и к тебе быстрее будут доходить пакеты - халява обеспечена...

"ТВТ итернет форева (tbt.ru)"

 

[Nafanya]

Переходить с PAP на CHAP.  

 

По моему - самое простое.

Эти не я занимаюсь, это к вышестоящему прову. Авторизация там.

 

А вообще я в ужасе - один 14-байтовый бродкаст-пакетик с маком жертвы, посылаемый _1_раз_в_2_секунды_, способен задушить 100мбит линк...

И хрен вычислишь кто гадит...

Короче - имхо сеть на неуправляемых свичах хороша "только вокруг тумбочки"(с)

со стороны прова поддержка CHAP + у клиентов в свойствах соединения установить принудительно только CHAP. Других вариантов нет.

[Stak]

VLAN в паре с PPPoE вообще круто работает.

VLAN на пользователя и без PPPoE вообщето круто работает)

 

А по сабжу - да, CHAP поможет.

[OLEG Doneck]

Переходить с PAP на CHAP.  

 

По моему - самое простое.

Эти не я занимаюсь, это к вышестоящему прову. Авторизация там.

 

А вообще я в ужасе - один 14-байтовый бродкаст-пакетик с маком жертвы, посылаемый _1_раз_в_2_секунды_, способен задушить 100мбит линк...

И хрен вычислишь кто гадит...

Короче - имхо сеть на неуправляемых свичах хороша "только вокруг тумбочки"(с)

со стороны прова поддержка CHAP + у клиентов в свойствах соединения установить принудительно только CHAP. Других вариантов нет.

100% вариант + в договоре прописать как это делается и какая ответственность в случае если не делать...

[Andrеw]

А вообще я в ужасе - один 14-байтовый бродкаст-пакетик с маком жертвы, посылаемый _1_раз_в_2_секунды_, способен задушить 100мбит линк...

И хрен вычислишь кто гадит...

Короче - имхо сеть на неуправляемых свичах хороша "только вокруг тумбочки"(с)

Достаточно будет начать юзать неуправляемые длинки или компексы с изолированными портами, чтобы избежать таких проблем.