Re: [Kbhkol] hvordan laver i andre authentication og _SIKRER_ jerat en anden ikke kan skifte mac og ip for at overtage

Wed, 27 Nov 2002 01:49:08 -0800 

[EMAIL PROTECTED] wrote:

Pointen er at hijack sker 0.0e+9 microsekunder efter at de er forsvundet fra
nettet
Det kan du næsten ikke gardere dig imod. Der går dog i praksis lidt tid, før evt. switche opdager, at en given MAC-adresse befinder sig på en anden port, så du kan nok i praksis ikke regne med at hijacke adressen før efter et lille sekunds tid - afhængig af forholdene.

Du kan selvfølgelig pinge klienterne flere gange pr. sekund, men dels kan du ikke vide, om klienten bare er lang tid om at svare; dels er det ikke pænt at floodpinge folk :-)

Jeg vil mene, at den eneste _sikre_(TM) måde til at forebygge svindel, er hvis den enkelte bruger laver sit eget VPN (med en brugerspecifik nøgle) til firewall/routeren. Det vil dog give besvær for brugerne og kræve en del CPU-kraft på såvel server som klient.

En mellemløsning kunne være, at man i stedet skulle holde en SSH-forbindelse åben til firewallen hele tiden, mens man var på. Så skulle den onde bruger både hapse IP/MAC-adresse _og_ SSH-session.
Du skal så til gengæld holde øje med, at SSH-forbindelsen stadig er åben, og brugeren skal have SSH + evt. noget som sikrer at du kan spore, at forbindelsen er åben.

Igen kræver det CPU-tid på såvel server som klient.

-----

Men ser man realistisk på det, er systemet med at pinge tilbage (som PL/Portlukker) "godt nok" til kollegiebrug.

Der er nemlig større sikkerhedshuller, som er nemmere at udnytte: Opsnappe/franarre password fra medbeboere, cracke firewallen, cracke accounting, låne kvote fra folk uden computer, lyve om sit forbrug (påstå man er blevet cracket), osv. osv.

Med alle disse andre muligheder er det alt for besværligt, usikkert og risikabelt at hijacke IP/MAC fra andre efter autentifikering.

Den typiske misbruger ønsker jo netop en forbindelse, han kan hente meget data på = en forbindelse, han har i et stykke tid, og når han vil.


Så vidt jeg ved, fungerer PL/Portlukker i praksis rigtig godt.


Mvh

Jørgen Elgaard Larsen


_______________________________________________
kbhkol mailing list
[EMAIL PROTECTED]
http://kbhkol.dk/mailman/listinfo/kbhkol

Besvar via email