Безопасность пароля на подключении удаленного доступа
-
ChiP
- Сообщения: 698
- Зарегистрирован: 12 май 2005, 21:02
- Откуда: Крупской стрит
- Благодарил (а): 0
- Поблагодарили: 0
- Контактная информация:
Допустим ситуацию: имеется диал.ап/адсл(мостиком). Есть обыкновенное Подключение удаленного доступа. В нем введены и сохранены (для данного пользователя) логин и пароль. Внимание вопрос: какие кнопочки нужно понажимать, чтобы никакие программки не смогли открыть данный пароль на инет. Чтобы пользователь молча пользовался инетом и не мог бы докопаться до пароля, чтобы вылезти с другого компа под данной инет-учеткой.
-
Георгий
- Сообщения: 5327
- Зарегистрирован: 22 ноя 2003, 05:33
- Откуда: Смоленск, Кловка
- Благодарил (а): 0
- Поблагодарили: 0
- Контактная информация:
поставить галочку "сохранять пароль" и убрать "запрашивать пароль при подключении".
Тогда простым кликом на подключение к интернету будет сразу запускаться коннект без запроса пароля и юзер ничего не сломает даже случайно.
А еще можно поставить модем в режим роутера и вообще будет пофиг логин и пароль, ибо все в модеме будет храниться.
Тогда простым кликом на подключение к интернету будет сразу запускаться коннект без запроса пароля и юзер ничего не сломает даже случайно.
А еще можно поставить модем в режим роутера и вообще будет пофиг логин и пароль, ибо все в модеме будет храниться.
Продаю WebMoney без комиссии: http://pay2sat.com/How2BuyWebMoney (ICQ 833520, тел. 68-17-32). Дилер SatGate, globax.biz - http://pay2sat.com
-
Георгий
- Сообщения: 5327
- Зарегистрирован: 22 ноя 2003, 05:33
- Откуда: Смоленск, Кловка
- Благодарил (а): 0
- Поблагодарили: 0
- Контактная информация:
да и а зачем ему вскрывать пароль, если он может соединиться и пользоваться инетом итак.
ну разве что для того чтобы по этому паролю из дома потом лазить - ну так это же палево и по логам можно будет его обнаружить.
ну разве что для того чтобы по этому паролю из дома потом лазить - ну так это же палево и по логам можно будет его обнаружить.
Продаю WebMoney без комиссии: http://pay2sat.com/How2BuyWebMoney (ICQ 833520, тел. 68-17-32). Дилер SatGate, globax.biz - http://pay2sat.com
-
Георгий
- Сообщения: 5327
- Зарегистрирован: 22 ноя 2003, 05:33
- Откуда: Смоленск, Кловка
- Благодарил (а): 0
- Поблагодарили: 0
- Контактная информация:
ну если захотеть, то конечно можно раскопать что там и где хранится.DVD писал(а):Цитата(DVD @ 4.11.2007, 17:38) не такой он и черный если захотеть
а так вот снаскока лично я не знаю.
по крайней мере в линухе понятно что пароли хранятся где-нибудь в /etc/ppp/chap-secrets в открытом нешифрованном виде. Но читать этот файл может только root. Поэтому про линух можно сказать хоть что-то определенное в отличие от винды.
Продаю WebMoney без комиссии: http://pay2sat.com/How2BuyWebMoney (ICQ 833520, тел. 68-17-32). Дилер SatGate, globax.biz - http://pay2sat.com
-
Георгий
- Сообщения: 5327
- Зарегистрирован: 22 ноя 2003, 05:33
- Откуда: Смоленск, Кловка
- Благодарил (а): 0
- Поблагодарили: 0
- Контактная информация:
[root@mgsrv etc]# ls -la /etc/ppp/chap-secretsDVD писал(а):Цитата(DVD @ 4.11.2007, 19:36) в линуксе да но читать может не только root...
-rw------- 1 root root 221 Mar 16 2006 /etc/ppp/chap-secrets
[root@mgsrv etc]#
даже если у вас не только рут может читать, то chmod и chown помогут это исправить.
Продаю WebMoney без комиссии: http://pay2sat.com/How2BuyWebMoney (ICQ 833520, тел. 68-17-32). Дилер SatGate, globax.biz - http://pay2sat.com
-
ChiP
- Сообщения: 698
- Зарегистрирован: 12 май 2005, 21:02
- Откуда: Крупской стрит
- Благодарил (а): 0
- Поблагодарили: 0
- Контактная информация:
Эх, открою карты... В сети с корешом договорились: я ставлю домолинк с локальным анлимом и организовываю раздачу средствами мопеда. Следовательно мне нуна для тарелки внешка и локальный, а ему ток локальный. Купил Acorp 420M. Начал это дело раскуривать. В режиме роутера оставить нельзя, так как любой из сети может в мое отсутствие прописать себе мой IP и пощупать шлюз. Адреса у нас статические, никем не раздаваемые. А вот в режиме моста с настройками в модеме закопался... Неуж то IP filter тама работает тока для PPPOE... Мануалов понакачал, да все не то...
Помогите мне... пожалуйста...
Помогите мне... пожалуйста...
Чувак, ты ломишься в открытую дверь. Слышал про такое слово - прокси? Ставь локальный прокси, заводи пользователей, и будет тебе щастье.ChiP писал(а):Цитата(ChiP @ 4.11.2007, 23:00) Эх, открою карты... В сети с корешом договорились: я ставлю домолинк с локальным анлимом и организовываю раздачу средствами мопеда.
Помогите мне... пожалуйста...
-
Георгий
- Сообщения: 5327
- Зарегистрирован: 22 ноя 2003, 05:33
- Откуда: Смоленск, Кловка
- Благодарил (а): 0
- Поблагодарили: 0
- Контактная информация:
Ну должен еще быть фильтр на уровне MAC-адресов
хотя это тоже не выход, ибо можно подделать и то и другое если оба абонента в одном сегменте сети.
с другой стороны надо смотреть опять же в сами настройки модема - вполне возможно там есть привязка MAC-адреса к конкретному порту RJ45, а следовтаельно можно будет все настроить так что никто не подкопается.
хотя это тоже не выход, ибо можно подделать и то и другое если оба абонента в одном сегменте сети.
с другой стороны надо смотреть опять же в сами настройки модема - вполне возможно там есть привязка MAC-адреса к конкретному порту RJ45, а следовтаельно можно будет все настроить так что никто не подкопается.
Продаю WebMoney без комиссии: http://pay2sat.com/How2BuyWebMoney (ICQ 833520, тел. 68-17-32). Дилер SatGate, globax.biz - http://pay2sat.com
-
Георгий
- Сообщения: 5327
- Зарегистрирован: 22 ноя 2003, 05:33
- Откуда: Смоленск, Кловка
- Благодарил (а): 0
- Поблагодарили: 0
- Контактная информация:
ну так тогда надо будет компьютер постоянно включенным держать чтобы через него трафик проходил. И потом прокси, подозреваю - это не совсем то что нужно, ибо локальный трафик видимо нужен для игр и всяких там торентов, а через прокси такие вещи не пускаются.sol88 писал(а):Цитата(sol88 @ 4.11.2007, 23:49) Чувак, ты ломишься в открытую дверь. Слышал про такое слово - прокси? Ставь локальный прокси, заводи пользователей, и будет тебе щастье.
Продаю WebMoney без комиссии: http://pay2sat.com/How2BuyWebMoney (ICQ 833520, тел. 68-17-32). Дилер SatGate, globax.biz - http://pay2sat.com
-
Tsukasa
- Сообщения: 228
- Зарегистрирован: 15 апр 2005, 22:25
- Настоящее имя: Денис
- Откуда: извне
- Благодарил (а): 0
- Поблагодарили: 0
- Контактная информация:
я как вариант предлагал KWF (kerio winroute firewall)
но это включенный комп, а так можно все что нужно организовать
а если средствами только модема, то зависит от конкретного модема в этом случае надо было покупать недешевый зухель) там многое возможно намутить, например версии с офигенными аппаратными файрволами
а на этом акорпе.. хз не видел его менюхи, на моем 3коме я прикинул - это можно но нет защиты от подмены мак адреса
вобщем хз че предложить даже)
но это включенный комп, а так можно все что нужно организовать
а если средствами только модема, то зависит от конкретного модема в этом случае надо было покупать недешевый зухель) там многое возможно намутить, например версии с офигенными аппаратными файрволами
а на этом акорпе.. хз не видел его менюхи, на моем 3коме я прикинул - это можно но нет защиты от подмены мак адреса
вобщем хз че предложить даже)
-
Георгий
- Сообщения: 5327
- Зарегистрирован: 22 ноя 2003, 05:33
- Откуда: Смоленск, Кловка
- Благодарил (а): 0
- Поблагодарили: 0
- Контактная информация:
вот что можно сделать:
1)подключить свой комп к модему через USB (т.е. вместо сети по Ethernet будет сеть по USB)
2)подключить компьютеры локалки через Ethernet
3)разнести в настройках модема USB и Ethernet в разные Lan groups
4)разрешить для USB-группы весь интернет
5)разрешить для Ethernet-группы только локальный трафик
Тут уже точно не подкопаешься, ибо физически все ограничено на уровне портов модема.
По-другому (без подключения отдельно одного компьютера через USB, а другого через Ethernet) сделать можно, но в случае подмены MAC+IP злоумышленник может запросто представиться тобой и получить полный доступ в интернет.
Можно конечно тупо включать себе интернет когда включил компьютер и выключать - когда выключаешь компьютер, но если включение еще можно автоматизировать через запуск скрипта в автозагрузке виндовс, то выключение сложнее, ибо при завершении работы виндовс не знаю как заставить виндовс запустить какую-то программу.
1)подключить свой комп к модему через USB (т.е. вместо сети по Ethernet будет сеть по USB)
2)подключить компьютеры локалки через Ethernet
3)разнести в настройках модема USB и Ethernet в разные Lan groups
4)разрешить для USB-группы весь интернет
5)разрешить для Ethernet-группы только локальный трафик
Тут уже точно не подкопаешься, ибо физически все ограничено на уровне портов модема.
По-другому (без подключения отдельно одного компьютера через USB, а другого через Ethernet) сделать можно, но в случае подмены MAC+IP злоумышленник может запросто представиться тобой и получить полный доступ в интернет.
Можно конечно тупо включать себе интернет когда включил компьютер и выключать - когда выключаешь компьютер, но если включение еще можно автоматизировать через запуск скрипта в автозагрузке виндовс, то выключение сложнее, ибо при завершении работы виндовс не знаю как заставить виндовс запустить какую-то программу.
Продаю WebMoney без комиссии: http://pay2sat.com/How2BuyWebMoney (ICQ 833520, тел. 68-17-32). Дилер SatGate, globax.biz - http://pay2sat.com
-
Георгий
- Сообщения: 5327
- Зарегистрирован: 22 ноя 2003, 05:33
- Откуда: Смоленск, Кловка
- Благодарил (а): 0
- Поблагодарили: 0
- Контактная информация:
если через веб-интерфейс модема сделать нельзя, то вопрос как раз в познаниях линукса, ибо тогда придется телнетиться в модем и делать там iptables с правильными параметрами.DVD писал(а):Цитата(DVD @ 5.11.2007, 19:12) Ivanhoe, Георгий, тут вопрос не в познаниях линукса....
Продаю WebMoney без комиссии: http://pay2sat.com/How2BuyWebMoney (ICQ 833520, тел. 68-17-32). Дилер SatGate, globax.biz - http://pay2sat.com