Страница 1 из 1
Добавлено: 04 ноя 2007, 15:09
ChiP
Допустим ситуацию: имеется диал.ап/адсл(мостиком). Есть обыкновенное Подключение удаленного доступа. В нем введены и сохранены (для данного пользователя) логин и пароль. Внимание вопрос: какие кнопочки нужно понажимать, чтобы никакие программки не смогли открыть данный пароль на инет. Чтобы пользователь молча пользовался инетом и не мог бы докопаться до пароля, чтобы вылезти с другого компа под данной инет-учеткой.
Добавлено: 04 ноя 2007, 15:20
Георгий
поставить галочку "сохранять пароль" и убрать "запрашивать пароль при подключении".
Тогда простым кликом на подключение к интернету будет сразу запускаться коннект без запроса пароля и юзер ничего не сломает даже случайно.
А еще можно поставить модем в режим роутера и вообще будет пофиг логин и пароль, ибо все в модеме будет храниться.
Добавлено: 04 ноя 2007, 16:24
ChiP
Георгий писал(а):Цитата(Георгий @ 4.11.2007, 15:20) поставить галочку "сохранять пароль" и убрать "запрашивать пароль при подключении".
Тогда простым кликом на подключение к интернету будет сразу запускаться коннект без запроса пароля и юзер ничего не сломает даже случайно.
А вскрыть его сможет?
Добавлено: 04 ноя 2007, 16:55
Георгий
случайно - вряд ли.
а специально - не знаю, ибо винда - черный ящик и как и где она хранит эти пароли я не знаю.
Добавлено: 04 ноя 2007, 16:56
Георгий
да и а зачем ему вскрывать пароль, если он может соединиться и пользоваться инетом итак.
ну разве что для того чтобы по этому паролю из дома потом лазить - ну так это же палево и по логам можно будет его обнаружить.
Добавлено: 04 ноя 2007, 17:38
DVD
Цитатавинда - черный ящик и как и где она хранит эти пароли я не знаю.[/quote]
не такой он и черный если захотеть
Добавлено: 04 ноя 2007, 18:59
Георгий
DVD писал(а):Цитата(DVD @ 4.11.2007, 17:38) не такой он и черный если захотеть
ну если захотеть, то конечно можно раскопать что там и где хранится.
а так вот снаскока лично я не знаю.
по крайней мере в линухе понятно что пароли хранятся где-нибудь в /etc/ppp/chap-secrets в открытом нешифрованном виде. Но читать этот файл может только root. Поэтому про линух можно сказать хоть что-то определенное в отличие от винды.
Добавлено: 04 ноя 2007, 19:36
DVD
в линуксе да но читать может не только root...
Добавлено: 04 ноя 2007, 20:38
Ivanhoe
DVD, Вы уверены? В моем Дебиане только рут по дефолту.
Добавлено: 04 ноя 2007, 21:28
Георгий
DVD писал(а):Цитата(DVD @ 4.11.2007, 19:36) в линуксе да но читать может не только root...
[root@mgsrv etc]# ls -la /etc/ppp/chap-secrets
-rw------- 1 root root 221 Mar 16 2006 /etc/ppp/chap-secrets
[root@mgsrv etc]#
даже если у вас не только рут может читать, то chmod и chown помогут это исправить.
Добавлено: 04 ноя 2007, 23:00
ChiP
Эх, открою карты... В сети с корешом договорились: я ставлю домолинк с локальным анлимом и организовываю раздачу средствами мопеда. Следовательно мне нуна для тарелки внешка и локальный, а ему ток локальный. Купил Acorp 420M. Начал это дело раскуривать. В режиме роутера оставить нельзя, так как любой из сети может в мое отсутствие прописать себе мой IP и пощупать шлюз. Адреса у нас статические, никем не раздаваемые. А вот в режиме моста с настройками в модеме закопался... Неуж то IP filter тама работает тока для PPPOE... Мануалов понакачал, да все не то...
Помогите мне... пожалуйста...
Добавлено: 04 ноя 2007, 23:49
sol88
ChiP писал(а):Цитата(ChiP @ 4.11.2007, 23:00) Эх, открою карты... В сети с корешом договорились: я ставлю домолинк с локальным анлимом и организовываю раздачу средствами мопеда.
Помогите мне... пожалуйста...
Чувак, ты ломишься в открытую дверь. Слышал про такое слово - прокси? Ставь локальный прокси, заводи пользователей, и будет тебе щастье.
Добавлено: 05 ноя 2007, 01:05
Георгий
Ну должен еще быть фильтр на уровне MAC-адресов
хотя это тоже не выход, ибо можно подделать и то и другое если оба абонента в одном сегменте сети.
с другой стороны надо смотреть опять же в сами настройки модема - вполне возможно там есть привязка MAC-адреса к конкретному порту RJ45, а следовтаельно можно будет все настроить так что никто не подкопается.
Добавлено: 05 ноя 2007, 01:17
Георгий
sol88 писал(а):Цитата(sol88 @ 4.11.2007, 23:49) Чувак, ты ломишься в открытую дверь. Слышал про такое слово - прокси? Ставь локальный прокси, заводи пользователей, и будет тебе щастье.
ну так тогда надо будет компьютер постоянно включенным держать чтобы через него трафик проходил. И потом прокси, подозреваю - это не совсем то что нужно, ибо локальный трафик видимо нужен для игр и всяких там торентов, а через прокси такие вещи не пускаются.
Добавлено: 05 ноя 2007, 07:58
Tsukasa
я как вариант предлагал KWF (kerio winroute firewall)
но это включенный комп, а так можно все что нужно организовать
а если средствами только модема, то зависит от конкретного модема в этом случае надо было покупать недешевый зухель) там многое возможно намутить, например версии с офигенными аппаратными файрволами
а на этом акорпе.. хз не видел его менюхи, на моем 3коме я прикинул - это можно но нет защиты от подмены мак адреса
вобщем хз че предложить даже)
Добавлено: 05 ноя 2007, 13:47
Георгий
вот что можно сделать:
1)подключить свой комп к модему через USB (т.е. вместо сети по Ethernet будет сеть по USB)
2)подключить компьютеры локалки через Ethernet
3)разнести в настройках модема USB и Ethernet в разные Lan groups
4)разрешить для USB-группы весь интернет
5)разрешить для Ethernet-группы только локальный трафик
Тут уже точно не подкопаешься, ибо физически все ограничено на уровне портов модема.
По-другому (без подключения отдельно одного компьютера через USB, а другого через Ethernet) сделать можно, но в случае подмены MAC+IP злоумышленник может запросто представиться тобой и получить полный доступ в интернет.
Можно конечно тупо включать себе интернет когда включил компьютер и выключать - когда выключаешь компьютер, но если включение еще можно автоматизировать через запуск скрипта в автозагрузке виндовс, то выключение сложнее, ибо при завершении работы виндовс не знаю как заставить виндовс запустить какую-то программу.
Добавлено: 05 ноя 2007, 19:12
DVD
Ivanhoe, Георгий, тут вопрос не в познаниях линукса....
Добавлено: 05 ноя 2007, 20:20
ChiP
Ладно, перефразирую вопрос: Умеет ли ЮзерГейт раздавать инет из 2-х источников??? Слонаксовский и земелльный адсл в локальном диапазоне адресов... Если не умеет, то кто умеет? ТраффикИнспектор, ВинРоут?
Добавлено: 05 ноя 2007, 20:27
Георгий
DVD писал(а):Цитата(DVD @ 5.11.2007, 19:12) Ivanhoe, Георгий, тут вопрос не в познаниях линукса....
если через веб-интерфейс модема сделать нельзя, то вопрос как раз в познаниях линукса, ибо тогда придется телнетиться в модем и делать там iptables с правильными параметрами.
Добавлено: 06 ноя 2007, 11:25
Tsukasa
угу тока он только под серверную винду ставится))
Добавлено: 06 ноя 2007, 11:28
Tsukasa
зы KWF может отдельным пользователям, или отдельным адресам локалки сделать доступ только в нужный диапазон адресов
по отдельным портам или по пачке сервисов сразу
к тому же в нем есть DHCP и естественно НАТ