On Wed, Nov 27, 2002 at 04:42:55AM +0100, J?rgen Elgaard Larsen wrote: > [EMAIL PROTECTED] wrote: > > Pointen er at hijack sker 0.0e+9 microsekunder efter at de er forsvundet fra > > nettet > > Det kan du n�sten ikke gardere dig imod. Der g�r dog i praksis lidt tid, > f�r evt. switche opdager, at en given MAC-adresse befinder sig p� en > anden port, s� du kan nok i praksis ikke regne med at hijacke adressen > f�r efter et lille sekunds tid - afh�ngig af forholdene.
Hmm, passer det virkelig, jeg sender jo en packke ud, og lige s� snart jeg g�r det bliver det vel kendt for switchen hvor mac'en sidder ? > Du kan selvf�lgelig pinge klienterne flere gange pr. sekund, men dels > kan du ikke vide, om klienten bare er lang tid om at svare; dels er det > ikke p�nt at floodpinge folk :-) Tja, s� er jeg da sikker p� at de ikke bruger den externe b�ndbredde ;-D > Jeg vil mene, at den eneste _sikre_(TM) m�de til at forebygge svindel, > er hvis den enkelte bruger laver sit eget VPN (med en brugerspecifik > n�gle) til firewall/routeren. Det vil dog give besv�r for brugerne og > kr�ve en del CPU-kraft p� s�vel server som klient. ja, det har jeg ogs� overvejet, og det er for besv�rligt. > En melleml�sning kunne v�re, at man i stedet skulle holde en > SSH-forbindelse �ben til firewallen hele tiden, mens man var p�. S� > skulle den onde bruger b�de hapse IP/MAC-adresse _og_ SSH-session. > Du skal s� til geng�ld holde �je med, at SSH-forbindelsen stadig er > �ben, og brugeren skal have SSH + evt. noget som sikrer at du kan spore, > at forbindelsen er �ben. Tja, bliver loggen ikke opdateret hvergang en ssh session �bner og lukker ? Jeg f�r ivertfald en linie i /var/log/auth.log "Nov 27 11:00:24 gw sshd[10753]: Accepted password for jb from 192.168.0.113 port 32985 ssh2 Nov 27 11:00:24 gw PAM_unix[10755]: (ssh) session opened for user jb by (uid=100" og en n�r forbindelsen d�r "Nov 27 11:01:15 gw PAM_unix[10755]: (ssh) session closed for user jb " > Igen kr�ver det CPU-tid p� s�vel server som klient. Ja, men hvor meget er det hvis brugeren ikke g�r noget via forbindelsen ? > Men ser man realistisk p� det, er systemet med at pinge tilbage (som > PL/Portlukker) "godt nok" til kollegiebrug. hmm... > Der er nemlig st�rre sikkerhedshuller, som er nemmere at udnytte: > Opsnappe/franarre password fra medbeboere, cracke firewallen, cracke > accounting, l�ne kvote fra folk uden computer, lyve om sit forbrug > (p�st� man er blevet cracket), osv. osv. bruger: "whine whine det er ikke min skyld, jeg er blevet <inds�t dine foreslag her>" BOFH: "det var synd" > Med alle disse andre muligheder er det alt for besv�rligt, usikkert og > risikabelt at hijacke IP/MAC fra andre efter autentifikering. Det er ikke efter authentication, det er n�r folk slukker deres computer og g�r i seng. > Den typiske misbruger �nsker jo netop en forbindelse, han kan hente > meget data p� = en forbindelse, han har i et stykke tid, og n�r han vil. true, men det kan han jo ogs� hvis han hijacker session n�r den rigtige bruger logger af og g�r i seng. > S� vidt jeg ved, fungerer PL/Portlukker i praksis rigtig godt. Det er godt at h�re. JonB _______________________________________________ kbhkol mailing list [EMAIL PROTECTED] http://kbhkol.dk/mailman/listinfo/kbhkol
