On Wed, Nov 27, 2002 at 04:42:55AM +0100, J?rgen Elgaard Larsen wrote: > [EMAIL PROTECTED] wrote: > > Pointen er at hijack sker 0.0e+9 microsekunder efter at de er forsvundet fra > > nettet > > Det kan du næsten ikke gardere dig imod. Der går dog i praksis lidt tid, > før evt. switche opdager, at en given MAC-adresse befinder sig på en > anden port, så du kan nok i praksis ikke regne med at hijacke adressen > før efter et lille sekunds tid - afhængig af forholdene.
Hmm, passer det virkelig, jeg sender jo en packke ud, og lige så snart jeg gør det bliver det vel kendt for switchen hvor mac'en sidder ? > Du kan selvfølgelig pinge klienterne flere gange pr. sekund, men dels > kan du ikke vide, om klienten bare er lang tid om at svare; dels er det > ikke pænt at floodpinge folk :-) Tja, så er jeg da sikker på at de ikke bruger den externe båndbredde ;-D > Jeg vil mene, at den eneste _sikre_(TM) måde til at forebygge svindel, > er hvis den enkelte bruger laver sit eget VPN (med en brugerspecifik > nøgle) til firewall/routeren. Det vil dog give besvær for brugerne og > kræve en del CPU-kraft på såvel server som klient. ja, det har jeg også overvejet, og det er for besværligt. > En mellemløsning kunne være, at man i stedet skulle holde en > SSH-forbindelse åben til firewallen hele tiden, mens man var på. Så > skulle den onde bruger både hapse IP/MAC-adresse _og_ SSH-session. > Du skal så til gengæld holde øje med, at SSH-forbindelsen stadig er > åben, og brugeren skal have SSH + evt. noget som sikrer at du kan spore, > at forbindelsen er åben. Tja, bliver loggen ikke opdateret hvergang en ssh session åbner og lukker ? Jeg får ivertfald en linie i /var/log/auth.log "Nov 27 11:00:24 gw sshd[10753]: Accepted password for jb from 192.168.0.113 port 32985 ssh2 Nov 27 11:00:24 gw PAM_unix[10755]: (ssh) session opened for user jb by (uid=100" og en når forbindelsen dør "Nov 27 11:01:15 gw PAM_unix[10755]: (ssh) session closed for user jb " > Igen kræver det CPU-tid på såvel server som klient. Ja, men hvor meget er det hvis brugeren ikke gør noget via forbindelsen ? > Men ser man realistisk på det, er systemet med at pinge tilbage (som > PL/Portlukker) "godt nok" til kollegiebrug. hmm... > Der er nemlig større sikkerhedshuller, som er nemmere at udnytte: > Opsnappe/franarre password fra medbeboere, cracke firewallen, cracke > accounting, låne kvote fra folk uden computer, lyve om sit forbrug > (påstå man er blevet cracket), osv. osv. bruger: "whine whine det er ikke min skyld, jeg er blevet <indsæt dine foreslag her>" BOFH: "det var synd" > Med alle disse andre muligheder er det alt for besværligt, usikkert og > risikabelt at hijacke IP/MAC fra andre efter autentifikering. Det er ikke efter authentication, det er når folk slukker deres computer og går i seng. > Den typiske misbruger ønsker jo netop en forbindelse, han kan hente > meget data på = en forbindelse, han har i et stykke tid, og når han vil. true, men det kan han jo også hvis han hijacker session når den rigtige bruger logger af og går i seng. > Så vidt jeg ved, fungerer PL/Portlukker i praksis rigtig godt. Det er godt at høre. JonB _______________________________________________ kbhkol mailing list [EMAIL PROTECTED] http://kbhkol.dk/mailman/listinfo/kbhkol