On Thu, 2001-10-18 at 07:23, lonely wolf wrote: > > problema pusa initial e clara: ai nevoie de acces in o retea la care ai > controlul, dar nu vrei ca dupa tine sa intre si copiii de la i-cafe care > au keylogger si stiu tot ce ai tastat, inclusiv parola/cheia de > autentificare la ssh
In cazul asta ai cam belit-o. :-) Nu exista "conexiune absolut sigura". Dar exista nivele de securitate "considerate acceptabile" in anumite conditii. Spre exemplu, o mare cantitate de belele dispar daca folosesti one-time-passwords. In cazul asta, chiar daca cineva iti inregistreaza tot (sa zicem ca asculta tastatura), tot n-o sa se poata conecta dup-aia pe acelasi cont, pentru ca parola e valabila o singura data. Solutia pe care o folosim noi se bazeaza pe SafeWord: http://www.securecomputing.com/ Chestia asta are doua componente: 1. Pe partea de server, ai pe retea citeva masini care ruleaza baza de date SafeWord - practic tin minte niste username-uri. Orice serviciu important care necesita autentificare se autentifica la serverele SafeWord, fie prin Radius, fie prin TACACS+, fie prin protocolul nativ SafeWord (daca ai suficient testosteron sa modifici sshd-ul, da' e mai simplu cu PAM si Radius :-P). 2. Pe partea de client, fiecare om al muncii are o chestie micuta, care arata ca un calculator de buzunar si e de marimea unui credit card, care genereaza one-time-pass-ul. Cind te legi prin SSH sau VPN, bagi username-ul, apoi scoti cardul si tastezi cheia ta proprie; in doua secunde ti-a generat one-time-pass-ul, pe care il scrii in loc de parola. Serverul SSH|VPN paseaza asta la serverele SafeWord, care valideaza (sau nu) si gata. Parola one-time depinde si de timp, adica expira in citeva minute chiar daca nu o folosesti. Daca o folosesti insa, expira instant. Solutia e relativ scumpa pentru ca trebuie sa platesti licenta pe serverul SafeWord si trebuie sa cumperi cite un card pentru fiecare caciula, da' merge beton. Iar baza de date centrala (+ daemonii radiusd, tacacsd, safewd) ruleaza si pe Linux. ;-) Stie si replicare automata, protocolul stie redundanta... Evident, nu vreau sa spun ca SafeWord iti asigura automat securitate 100%, mai ales pentru faze gen connection hijacking. Ma rog, nu traim intr-o lume perfecta... :-) -- Florin Andrei Bloated software is not about being big. Bloated software is about being slow and stupid and not realizing that it's because of design mistakes. (Linus Torvalds) --- Send e-mail to '[EMAIL PROTECTED]' with 'unsubscribe rlug' to unsubscribe from this list.
