Архив форумов ЦИТФорума

[July]

Есть сеть компов 200 выход интернет через proxy под unix. (Unix работает и славу всем кто его настраивал)

Хотелось бы что бы траффик в сети не ловели всякие там снифферы и тому подобные гады?
Например зайду я на какой-нить ftp В LANе и пока пароль, но так же не хотелось бы ставить там серверные проги типа vpnserver или еще что-то типа (не волновать сеть всякой там ерундой что типа их почту крякуют, на ftp сидят...)

[MiK]

Конкретнее какая задача, где именно у тебя трафик снифать не должны, и вобще мне кажется тебе оно не надо, сорьки конечно

[and3008]

Если вы относите свою сеть под категорию "небезопасная", то внедряйте внутри сети протокол IPSec. Он позволяет прозрачно шифровать трафик, но учтите, что это вызовет дополнительную нагрузку на сервера и рабочие станции.

Если проблемма касается только администрирования, то пользуйтесь пакетом SSH или прогуливайтесь пешечком до консоли.

SSH годится для многих вещей, но далеко не все устройства/программы его поддерживают.

[MiK]

_

[July]

Эта строчка переместит меня на балансы челов провайдера http://forum.citforum.ru/mes.php?id=71318&fs=0&ord=0&lst=0&b oard=9&arhv=#Reply Строчка формируется из формы и всегда статична, т.е. если ввести все не через форму то все равно попадаешь на статистику. Как избежать того что бы эту строчку не нашел еще кто-то?

PS по поводу IPSec просьба линк на мануалы.

[and3008]

Есть довольно много прог, которые посылают много ложных IP-пакетов с разными MAC-адресами. Это вызывает переполнение таблица адресов в свиче и он начинает работать как хаб.
В принципе такие штуки довольно просто отловить, а запускающего такие штуки элементарно подвести к двери офиса и дать волшебного пендаля. Мотивировка? Статья КЗоТа: Использование оборудования работодателя не по назначению.

Для возмущающихся:
Хотите быть кулхацкерами? Покупайте доступ в Инет за свои бабки и учитесь. В офисе надо работать, а не хакерством заниматься.

[and3008]

Нужно уйти от статики.
По уму делать так:
1.На сервере обязательно настроить SSL на такие критические ресурсы (это убережет от перехвата).
2. Ввести обязательную авторизацию и сессии (это обеспечит уникальность ссылок).
3. Статистику всегда выдавать динамически.

Как это примерно должно работать:
После авторизации пользователю присваивается уникальный идентификатор и открывается сессия, а запросы должны приобретать вид примерно такой http://сервер/статистика/идентификатор
Сервер должен быть сконфигурирован так, чтобы при обращении к ресурсу /статистика/ запускался скрипт. В нем выполнять проверку идентификатора и наличие открытой сессии.
Поскольку идентификаторы и сессии всегда будут разными, то по прямым ссылкам обратится будет невозможно.

Идентификаторы должны быть например текстовыми и длиной символов этак 20-30. Зачем? Ну дак защита от перебора.

Сессию прибивать после 10-15 минут неактивности.

В общем идею дал. Реализацию сами делайте.

[July]

-

[Dmitry.Karpov http://prof]

Если заменить хаб на свич, то это сильно затруднит перехват трафика, но эта система не стопроцентно устойчива к взлому. Свич с VLAN и прочими умениями стОит дорого, и я не уверен, что он позволяет так гибго администрять сеть.

Хороший способ - сегментация сервером (несколько сетевых карт в сервер): подслушать можно будет только свой сегмент.

Лично мне нравится PPPoE - его использует Tochka.ru для подключения через ADSL-модем (это примерно то же самое, что VPN). Можно настроить на FreeBSD (наверно, на Linux тоже можно).