[EMAIL PROTECTED] wrote:
>
> hi liste,
> ich habe gehoert, dass es eine sicherheitsluecke in nt gibt, die es einem
> linux-client mit samba moeglich macht nt password hashes abzufangen....
>
> wie genau funktioniert dass?
hi juergen!
NT versendet keine Klarschrift-Passworte �ber das Netz, sondern deren
Hashwert. Dieser kann problemlos mit jedem Sniffer gelesen und damit
auch gespeichert werden. Vermutlich hat SAMBA sein 2.0 eine Option/Tool,
um eben diese Hashwerte zu extraieren (mu� es ja, da es ja seit 2.0 als
halber oder 2/3-PDC/BDC agieren kann. Hab�s aber noch nicht bis zum Ende
ausprobiert, dochwirf mal einen Blick in die Doku zu SAMBA, da steht
bestimmt noch mehr zu Deiner Frage).
>
> ich administriere eine nt dom�ne und hatte unerwarteten besuch von einem samba
> server (wozu manche leute w�hrend ihrer arbeit zeit haben :-) ) jetzt vermute
> ich , dass das ein kleiner versuch war an fremde pws zu kommen ????
Wenn ja, dann hat der Angreifer aber das falsche Tool benutzt. Von l0pht
(www.l0pht.com) gibt es ein Programm, da� nicht nur die Hashwerte aus
dem Netz mitliest, sondern gleichzeitig f�r ein �u�erst effizientes
Brute-Force-Crackertool aufbereitet. Damit sind i.d.R. 70% der Passworte
innerhalb weniger Tage kompromittiert.
L�sungen w�ren:
-Einsatz von Port-Switches, so da� man immer nur den eigenen Datenstrom
und die Broadcast (bei NT ja eine Unmenge) sieht
-starke Passworte, die auch einer Brute-Force-Attacke lange standhalten
(unpraktikabel, da schwer zu merken und vor allen Dingen nur dann
sicher, wenn sie auch regelm��ig gegen (ebenso kryptische) neu Pa�w�rter
gewechselt werden.
-dem Spieltrieb durch soziale Ma�nahmen begegnen (nicht die Knute, aber
auch nicht einfach durchgehen lassen. Der weitaus schwierigste Weg...)
>
> danke f�r eure hilfe
>
> juergen
>
> --
> Um aus der Liste ausgetragen zu werden, eine Mail an [EMAIL PROTECTED]
> schicken, mit dem Text: unsubscribe suse-linux
Gru�
hebi
--
Dirk Hebenstreit B�ro-Informationstechnik Tel.: 0177 243 14 70
Eschenweg 3 033200 85 997
14558 Bergholz-Rehbr�cke FAX : 033200 85 999
[EMAIL PROTECTED]
--
Um aus der Liste ausgetragen zu werden, eine Mail an [EMAIL PROTECTED]
schicken, mit dem Text: unsubscribe suse-linux
