LINUX.ORG.RU

Статья «IP Accounting»


0

0

Вышла статья, описывающая недостатки учета трафика по IP- и MAC-адресам. Статья рассказывает, как обычными средствами Windows можно без труда обмануть систему учета трафика и программы мониторинга смены IP-адресов. Даются рекомендации, как избавиться от пободных уязвимостей.

>>> Более подробно

anonymous

Проверено: fagot ()
Ответ на: комментарий от slack_or_feel

Прям щас в Security висит тема почти об этом :) И в Admin регулярно всплывает.

fagot ★★★★★
()

ыыыы... это чтото :))) я просто валялся

anonymous
()

Я туда попал? или ошибся ресурсом? Это раньше случайно был сайт не о линукс? Или теперь сюда можно постить всякое дерьмо - как ламерам настроить свои перделки в виндовс? И еще автор пишет слово - "Экспиремент" дожились, мать-перемать!

anonymous
()

Ааааа!!!! Афффтар аццкий сотона.....
"Экспиремент"... Ещё бы "экскремент" написал....

vahvarh ★★★
()

Автор просто продвигает свою систему учёта траффика. А то что он написал - бред полный, понормальному траффик считаеться по netflow (в его биллинге скорее всего также), а не по "IP и MAC адресам". А безопасность и защита от подмены сетевых реквезитов - не имеет никакого отношения к непосредственно к подсчёту траффика... одно дело Autentification и Autorization, а другое дело - Accounting. Впрочем автор скорее всего компетентен в этой области, а статья - именно для продвижения своей системы.

anonymous
()

Пошел по ссылке, думал чтонть серьезное 8) В итоге - хелп для школьников. Вощем -1

Deleted
()

Заказная статья! Многие коммутаторы, а просто хабов уже и не осталось, позволяют привязывать пользователя по MAC-адресу на порту. Что есть хорошо. По поводу VPN... А сколько пользователей РЕАЛЬНО тянет сервер?! Если у меня их за 500? И есть БОЛЬШОй внутрисегментный траффик, что делать то тогда? или железку купить штук за $5k?

anonymous
()

VPN тоже уже давно не является решением промышленного масштаба...
Ибо 4000 клиентов на VPN не посодишь... чтоб на линухе поднять
более 100, надо пересобрать poptop c поменяным руками
#define MAX_CONNECTIONS 1000

Кроме того vpn порождает два процесса на каждого клиента - быстро
становится столько процессов что ядро уже таращить может начать...

Лучше б кто осветил проблему взлома https-соединений, это было бы
значительно важнее... Потому что народ реально верит что это
помогает... А network-sniffers уже давно https ломать научились...

Единственный вариант который я придумал - это поместить http-машину
с статистикой ДАЛЕКО ЗА vpn-сервер чтобы всегда все юзеры ходили
туда шифрованные MPPE-128 (правда он тоже ломается но готовых
сканнеров нету)....
Есть даже security-notice что MS-CHAPV2 с паролем менее или равным
8 символов _тривиально_ ломается ибо из трёх пачек у него две
идут нешифрованные и соответственно третья вычисляется достаточно
простой формулой...

И с VPN тоже интересно... Вот например есть сетка, пусть даже
многоранговая... например я 192.168.16.31, шлюз 192.168.16.1,
VPN-сервер 192.168.0.1. Что мешает злоумышленнику поставить у себя
два IP (192.168.16.1 и 192.168.0.1), запустить у себя VPN-сервер
и включить broadcast чтоб забить реальный 16.1? Он за 10 минут
соберёт себе на VPN-сервер логины и пароли всего сегмента...

Реальным вариантом является PPPoE (но оно дороговато, ибо надо
ставить сиську или allied telesyn rapier 24i или что-нибудь такое
на каждые 512 пользователей). Хотя тоже, опять-таки, существует
куча проблем - например поднятие PPPoE аггрегатора кем-нибудь
у себя дома...

vahvarh ★★★
()

В этой статье слшиком много "если бы" да "кабы". На этот счет в народе есть хорошая поговорка: если бы у бабки был ху@, она была бы дедкой.

kum
()
Ответ на: комментарий от anonymous

Привязка к MAC-адресу - это юмор....
Когда я пол-года назад проводил анализ этой области выяснилось
что большинство _дешёвых_ коммутатором этого по-нормальному
делать не умеют (либо требуется перезагруз коммутатора который
длится чуть ли не минуту либо ещё какой маразм)...
Опять таки, часто встречается случай когда за управляемым
коммутатором стоит ещё один, неуправляемый - и тогда
влетаем в ограничение (интересно кто его придумал) не более
N mac-адресов на один порт (N достаточно маленькое число).

А ставить ДАЖЕ dlink 2226 на каждый дом (как я понял это домашняя
сеть) - это разороиться можно...

vahvarh ★★★
()

И всетаки - причем-же здесь линукс?

anonymous
()

хочется предложить автору убить себя об стену, но не буду. Что б это назвать статьёй - простите. Если в этой "статье" есть "скриншоты" - ничего не значит. Какие там рекомендации, для какой аудитории она написана. Я думаю, что даже для лора такие статьи вывешивать (точнее анонсировать) не стоит. В статье просто вода. Хотя бы про port security что-нибудь написано было, дык нет. А вот школьник поменяет адрес, заблокируется порт и что? Пама или мама будут выяснять отношения с провайдером. Кароче, читать надо статью, перед тем как "проверено" ставить.

anonymous
()
Ответ на: комментарий от X-treme

Сразу бы уж в начале новости (хе хе - тоже мне "НОВОСТЬ").. казалибы что шутка юмора ...

anonymous
()

Адрес клиента-- 37.49.144.82, адрес шлюза для него-- 37.49.144.81, маска-- 255.255.255.252. Пусть без труда обманывает.

berrywizard ★★★★★
()
Ответ на: комментарий от vahvarh

И с VPN тоже интересно... Вот например есть сетка, пусть даже
многоранговая... например я 192.168.16.31, шлюз 192.168.16.1,
VPN-сервер 192.168.0.1. Что мешает злоумышленнику поставить у себя
два IP (192.168.16.1 и 192.168.0.1), запустить у себя VPN-сервер
и включить broadcast чтоб забить реальный 16.1? Он за 10 минут
соберёт себе на VPN-сервер логины и пароли всего сегмента...
-------------
дятел пользуйся сертификатам, это раз
а два ты вообще в курсе как работает ipsec?

Niki
()

залко "статья" целиком в фортунки не влезет :) мне вот интересно для кого это интересно ? для Home Network разве что ... так как в корпоративных сетях судествую политики ... и определённый мониториг устройств ... при смене MAC адреса на порту ... коммутатор не запрещает ... а просто посылает snmp trap по случаю которого СБ вваливается в кабинет (где машинка стоит) и ластает злоумышленника. Аффтору выпеть иаду ... явно. В домашних сетях воровство отследить то же просто ... но там я думаю обойдтся просто тумаками.

robot12 ★★★★★
()
Ответ на: комментарий от berrywizard

>Адрес клиента-- 37.49.144.82, адрес шлюза для него-- 37.49.144.81, маска-- 255.255.255.252. Пусть без труда обманывает.

И типа поменять пользователь эти настройки никак не может, да? :)

fagot ★★★★★
()

Я вообще офигеваю, мою новость про Solaris LiveCD завернули а такую хрень с виндузовыми окнами пропустили :(

Kalashmat
()

Негодующим по поводу подтверждения этой новости: граждане, чуть ниже по тексту новость о биллинге от того же автора.

Страна должна знать своих "героев", а лучшей "рекламы" _платного_ продукта, чем эта мега-статья (которая изначально еще и была помещена в раздел security :) придумать трудно :)

Вопросы есть? ;)

fagot ★★★★★
()

Судью(подтвердившего ньюс) на мыло.

linux_newbe
()

>Даются рекомендации, как избавиться от пободных уязвимостей.

охренеть, уже уязвимости в каждом боде!!

laad
()
Ответ на: комментарий от anonymous

> И еще автор пишет слово - "Экспиремент" дожились, мать-перемать!

Точно. Проверочное слово -- экспириенс. Значицца нужно писать экспиримент.

dilmah ★★★★★
()

мать моя
ну и лажу запостили
Давайте уже "Windows 98 network hacks", "Solitare in a nutshell" и "Как заработать миллион на новую Windows"

Negative
()

Если мне не изменяет склероз, то МАС-адрес можно поменять при помощи утилиты производителя в ДОС-режиме. А не просто так как написал автор статьи. Ведь МАС-адрес это не просто набор символо - там зашита инфа о сетевой карте (производитель/ТТХ/прочее). Кто нибудь опровергните меня

l-xoid ★★★★★
()

Сегодня 1 апреля?? Да вроде нет... ЛОР - мурзилка ;) Отличное поднятие настроения на весь рабочий день!

anonymous
()

Интересно, а запостивший анонимус не автор статьи случаем ? И вообще, как раньше высказался один из учасников - про шутки юмора надо предупреждать - а то меня инфаркт чуть не хватил - думал "Блин, ждал жень варенья, а на дворе уже 1 апреля - когда успели ?......"

vvvictor
()
Ответ на: комментарий от Kalashmat

> Я вообще офигеваю, мою новость про Solaris LiveCD завернули

Уже была пару недель назад.

atrus ★★★★★
()
Ответ на: комментарий от l-xoid

> Ведь МАС-адрес это не просто набор символо - там зашита инфа о сетевой карте (производитель/ТТХ/прочее). Кто нибудь опровергните меня

Не совсем так. Просто, для избегания коллизий производителям выделяется диапазон адресов. Никакой другой философской нагрузки MAC не несёт.

atrus ★★★★★
()
Ответ на: комментарий от nx12

М-дааа... Это он (они) оказывается таким вот образом свой Flow Tuner пропихивают. Читаем дальше: --------- FlowTuner уже используется в ряде организаций. Среди наших клиентов есть такие организации как БайкалРосБанк, Прибайкальское лесоустроительное Предприятие, ведущий туристический комплекс прибайкалья и другие организации. -------------- Абалдеть! В банке нет денег на более серьёзный и отработанный биллинг, ака UTM? Тоже не без глюков, но он хоть ГосКомсвязью сертифицирован.

anonymous
()
Ответ на: комментарий от vahvarh

> Лучше б кто осветил проблему взлома https-соединений, это было бы
> значительно важнее... Потому что народ реально верит что это
> помогает... А network-sniffers уже давно https ломать научились...

Согласен купить такой снифер за 1000 долларов. Кроме шуток.

anonymous
()
Ответ на: комментарий от anonymous

>серьёзный и отработанный биллинг, ака UTM?

:)))

fagot ★★★★★
()

Курс информатики для начальных классов -(

anonymous
()
Ответ на: комментарий от slack_or_feel

А что, кидаеш ссцылку новость на какой-нить винфак.ру с названием "Как мегахакиры мега рулять сваими мега кампами" и посещаемость лора в 2-3 раза выше на ближайшие пару месяцев))

anonymous
()
Ответ на: комментарий от anonymous

>> Лучше б кто осветил проблему взлома https-соединений, это было бы
>> значительно важнее... Потому что народ реально верит что это
>> помогает... А network-sniffers уже давно https ломать научились...
>
>Согласен купить такой снифер за 1000 долларов. Кроме шуток.

Он бесплатный, есть в инете - главное правильно искать =))
Основан на том что сниффер в ethernet-сети (ppp не пройдёт)
перетягивает одеяло на себя и становится man-in-the-middle.
после чего слушает все https запросы, выдаёт _собственный_
ключ, а на сервер назначения лезет сам, берёт ключ у него
и честно перешифровывает данные.

vahvarh ★★★
()
Ответ на: комментарий от vahvarh

И как же он "сломает" https-запрос, если у клиента уже есть сертификат?

Sorcerer ★★★★★
()
Ответ на: комментарий от vahvarh

network-sniffers - программа для перехвата трафика. Это далеко не то же самое, что программа для реализации MitM атаки.
Еще версии? Нет?
В таком случае вы облажались и ваше очко уходит в зрительный зал а баксы остаются у меня.
Учите матчасть.

anonymous
()
Ответ на: комментарий от anonymous

ага - точно
мне особенно понравилось про микрухи rtl8139 на которых оказывается у 3com всё построено...:)

mumpster ★★★★★
()
Ответ на: комментарий от l-xoid

> Если мне не изменяет склероз, то МАС-адрес можно поменять при помощи утилиты производителя в ДОС-режиме. А не просто так как написал автор статьи.

Чтобы он у ней поменялся навсегда или до следущей смены адреса -- да, надо спецутилитами это дело.

Но можно и просто в драйвере на текущий сеанс работы поменять тот MAC, что включается в передаваемые данные, например:

#ifconfig eth0 hw ether 00:E0:4C:71:11:3A

anonymous_incognito ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.