Vlákno názorů k článku Je váš web-hosting bezpečný? od Tomas Vetrovsky - Pane Kosek, muzete mi zodpovedet nasledujici dotaz? Pisete, ze...
-
Článek je starý, nové názory již nelze přidávat.
- Podle hodnocení
- Podle vláken
- Nejnovější
-
Tomas Vetrovsky (neregistrovaný)Pane Kosek, muzete mi zodpovedet nasledujici dotaz?
Pisete, ze k pateri pristup moc lidi nema (souhlas), nainstalovat sniffer na router, navic vzdalene je temer nemozne. Takze od "hackeru" nebezpeci nehrozi. Kolega z kancelare by nemel mit duvod nam hackovat web ci odposlouchavat. Takze, kde hrozi to popisovane nebezpeci? Z tohoto pohledu, se zda FTP vyhovujici. Samozrejme ze SSH nebo jiny protokol co umi sifrovat je lepsi, ale neni to zbytecny strasak pro obycejne uzivatele?
Sniffing je dle meho nebezpecny v prostredi univezit a skol, ale tam zase az o tolik najde. Spis bych rekl, ze je dulezitejsi aby hostingove firmy meli nainstalovane vsechny posledni patche a hot-fixy... ala .printer -
Petr (neregistrovaný)A pane Kosek, doplnim dotaz, vy sam jste opravdu schopen (umite) snifnout heslo? :-))
Nic ve zlem, clanek je docela dobry, ale vzdy pri cteni "hesla jsou prenasena v ciste textove podobe" se velmi bavim! Vetsinou ten autor si to nekde precetl a pak pise a pise a pise (a nevi o cem)...
Myslim by to chtelo osvetu v tom smyslu, ze 100x nebezpecnejsi jsou spatna login/hesla (a jako ze jsou, spustit robota na hledani kont na tom ftp muze opravdu kdokoliv, na rozdil od sniffingu! Stejne tak patche a nastaveni zabezpeceni.
Shrnu to: 1. politika hesel, kont, 2. bezpecnostni konfigurace, 3. patche .... dlouhodlouho nic a az nekde na konci je sniffing.
Vzdyt i admini od ISP se prihlasuji k paternim routerum pres normalni telnet :-))
Ten, kdo dela s kritickymi daty asi vi, co dela a podle toho to dela, ale vazne kdyz ctu tu poucku viz vyse, tak .... Kolega z prace :-))) Ten to heslo ziska i snadneji.
Novy WS FTP klient a i server umi SSL, nemam s tim ale zkusenost - pokud nekdo ano, napiste. -
PaJaSoft (neregistrovaný)Vy jste se na pateri napr. v drevnich dobach v prostorach CVUT v Praze nepohyboval, ze? Je skoro verejnym tajemstvim, ze tam sniffing velice uspesne bezel...:-( A jak v tuto chvili chtete mit jistotu, ze Ti sami administratori, kteri se z CESNETu rekrutovali do vselijakych nadnarodnich ISP nebudou mit nyni stejne praktiky...
-
m (neregistrovaný)tak bych se asi nebal robotu na zkouseni hesel.. nebo nejde nastavit omezeni typu 5x behem 10 minut, nebo po 10 spatnych pokusech zablokovani?:-)
a co se tyce dostani na routery apod.. meli jsme nedavno vyucovani ohledne SNMP a ta bezpecnost tam neni opravdu silna:-) hlavne kdyz nekteri experti poslou mailem jmeno komunity )))) -
Michal Kara (neregistrovaný)Nevim jak pro pana Koska, ale pro me odposlech neni problem. Jedina vaznejsi prekazka je nutnost rozhazet packety podle TCP spojeni, ale i na to existuji tooly. Prakticky zadny problem. A sniffovat treba hesla k webum je uplne bez problemu - ty jdou v jednom packetu najednou, jmeno i heslo jsou u sebe a staci pouze vhodny filtr.
Cimz ale nechci snizovat nebezpecnost spatnych hesel. Souhlasim, ze opravdu vice neopravnenych vniknuti je uskutecneno uhodnutim hesla nez jeho odsnifnutim.
A jeste jedna vec - nemohl byste jmenovat ISP, kde administratori pouzivaji pro loginy na stroje telnet, abych vedel, komu se mam zarucene vyhnout, protoze to jsou totalni amateri? :-)
-
Petr (neregistrovaný)nejsem expert na Cisco (vlastně jsem to ani nikdy neviděl), ale ony ty drahé IOSy (co stojí stejně jako Router - už je jasné, proč Cisco a Microsoft byly TOP na světě v kapitalizaci), co jsou v tom ani neumějí Web (SSL) administraci?
Co je to pak Managed Router apod.? Snad ne všechno na Ciscu řádkovým telnetem na portu 23 :-) -
David Rohleder (neregistrovaný)Na web administraci se vam kazdy muze tak maximalne ****.
Nic lepsiho nez radkovy commandline neni :-) Jinak managed router obvykle znamena, ze je mozne jej spravovat na dalku treba pres telnet, ssh, nebo i ten vas web. A samozrejme SNMP. Kdyz mate pred sebou v konfiguracnim souboru vsechny prikazy, tak v nem vetsinou nic neprehlednete, na rozdil od nejakeho menu v html strance.
Jinak cisco samozrejme umi web management, se ssl patrne ne, ale ma zase jine prostredky jak dosahnout bezpecneho spojeni (IPSec).
Ja osobne web konfiguraci nikdy nezapinam. -
David Rohleder (neregistrovaný)V zivote jsem o tom neslysel, ale ja se zas s ciscem az zas tak duverne nekamaradim. Cisco ma svuj vlastni system pro spravu zarizeni - CiscoWorks, ktery funguje take jako nadstavba nad network management software typu HP openview.
Ciscoworks je samozrejme pouze jedna soucast systemu sledovani. -
Jirka Kosek (neregistrovaný)Politika hesel, konfigurace serveru a bezpečnostní díry v něm jsou samozřejmě větší problém, ale o tom článek nebyl. Článek byl o bezpečnosti přenosu dat. S tím, jak má váš provider nakonfigurovaný server moc neuděláte, chtít po něm něco jiného než FTP přístup však můžete.
Ad hesla přenášená v odkryté podobě. Vzhledem k tomu, že byly časy, kdy jsem občas poštu z POP serveru četl příkazem
telnet example.com 110
si dle mého názoru dovedu celkem přesně představit, jak putuje heslo v odkryté podobě. Zkrátka putuje v čisté textové podobě - žádné kódování, žádný hash, žádné šifrování. -
Petr (neregistrovaný)"telnet example.com 110"
no vidíte a kdyby to tak jednoduché nebylo, poštu byste nepřečet, SSL POP3 je na portu 995, ale zřejmě jen Exchange to pořádně podporuje...
Ví tu nějaký expert, jak stáhnu obdobně jako WGETem (tedy ne InetExplorerem probůh!) soubor, ale ze zdroje SSL (wget https://server/data.dat nejde a ani http://server:443/data.dat)... To je ta hloupá bezpečnost:
Znám firmu, která má ceník za takovýmto https:// - ovšem ten může stáhnout kdokoliv, kdo zná URL! No hlavně, že ho stáhne bezpečně, uff. -
PaJaSoft (neregistrovaný)Co to kecate? POP3 postu pres SSL muze podporovat _UPLNE KAZDY_ postovni software, staci zakladni podpora na serveru a klienta mate snad pro kazde prostredi, staci jen nastavit... nemohu za to, ze skoro vsichni s POP3 komunikuji ala telnet <server> 110, je to ciste jejich problem, ze jim nekdo nevysvetlil (nebo nemaji o tyto informace zajem) jak 'bezpecne' to je... - zajimave, ze hodne takovych firem ma pevne linky (fakt je problem presmerovat MX zaznam, ze?)...
Takze prosim nejprve premyslejte, zjistete si pravy stav veci a pak informujte...
-
Jirka Kosek (neregistrovaný)Kolega s kanceláře by neměl mít důvod, ale často má. Většina průniků do IS firmy je podle statistik právě zevnitř.
Navíc je mnoho situací, kdy jste na jednom segmentu sítě i s lidmi z jiných firem - velké administrativní budovy, kde si pronajímáte kancelář, internetové kavárny, internet přes kabelovou televizi -
Tomas Vetrovsky (neregistrovaný)Ano, vetsina pruniku je zevnitr,dokonce pres 70%. Ale ani jeden z nich neni za ucelem zmeneny (hacknuti) stranek!!!
Pane Kosek, to uz je michani jablek a hrusek. Ty pruniky zevnitr jsou za ucelem ziskani dat (vetsinou), pripadne pripravenim back door, az dotycneho firma vyleje. Ale hacknuti, vzdyt to by bylo pridelavani prace a ubirani penizku zvlastni vyplaty. To by fakt musel byt dotycny "debil".
A velke budovy. Pokud jste na stejnem segmentu site, tak tedy uprimnou soustrast. Ja napriklad pracuji v budove, ktera ma 44 pater. Na nekterem z nich je i 5 a vice firem a ani jedna nema spolecny segment. Navic v dnesni dobe, kdy se pouzivaji switche misto hubu nemate ani tam sanci, pokud nemate pristup primo na dany switch a nastavite tam mirroring portu. Jinak se muzete divat tak akorat na vase packety.
Diky za odpoved, ale stale jste mne nepresvedcil. Spatny management hesel, pocet znaku, doba mezi zmenami, ANO to je problem. Sniffing. NE. -
Jirka Kosek (neregistrovaný)Ani jsem se vás nesnažil přesvědčit. Reálně je určitě větší problém než sniffing špatné heslo, protože na něj může zaútočit v podstatě kdokoliv odkudkoliv. V článku pouze píši, že FTP protokol není zdaleka bezpečný. Nikde neříkám, že je to menší nebo větší bezpečností riziko než špatně zabezpečený server nebo špatně volená hesla. Cílem článku bylo upozornit na to, že bezpečnost (ať už z jakéhokoliv hlediska) je dnes spíše podceňována.
-
Petr (neregistrovaný)1) ano, (lidé jsou podlí a podlejší) ale ten kolega, když bude tak chytrý aby to dokázal, tak to v 80% případů udělá jinak, než takto složitě, ostatně možná si pamatujete na případ tak před 5-6 lety, jedna ostravská firma s počítači, šlo tuším o podvod za x milionů, zneužití konta kolegy - pamatujete )ale ono to myslím nikdy nebylo zveřejněno)?
Nevěřím, že to snifoval. Navíc tam v té době měli IS na FOXce.
2) Něco tak snadného jako ve Windows 2000 a tunelování - už to snad nemůže být snadnější.
Ale opravte mě, jestli se pletu - pokud tam mají SWITCh (a ne HUB) a kroucenou dvoulinku, datagramy i na stejném segmentu sítě přece běží od počítače rovnou na router a ne už do ostatních počítačů (pokud jim nejsou určeny) a žádný jiný uživatel k nim přece nemůže! SWITCH (např. OfficeConnect) je už dnes levnější než HUB. -
J.Kastl (neregistrovaný)Pokud mohu pouzivat SSH - a dost dobre si nedovedu predstavit, ze bych treba kvuli oprave jednoho pismena vzdy musel prenaset celou stranku pomoci FTP (a davat jeste pozor na kod cestiny) - tak vyuzivam FTP jen na opacnou stranu, mgetem z nejakeho bezvyznamneho mista, kde je mi jedno, ze by mi nekdo mohl (spise teoreticky) odposlechnout heslo.
A zaroven mi toto "treti" misto muze slouzit napriklad jako archivni kopie (anebo jako misto k ladeni).
Takto to prece musel J.Kosek uz delat v "metodach" na Alfe, kde je prave pouzivani FTP omezeno!
ČLÁNKY DO MAILU