# Software > Ασφάλεια >  Τι δεν είναι ασφαλές μέσα στο δίκτυο

## mojiro

Έχουμε ένα δύκτιο μετάδωσης δεδομένων. Όλοι μας με τον ένα την άλλο τρόπο μεταφέρουμε δεδομένα των γειτόνων μας και όχι μόνο. Ως εκ τούτου όσο εύκολα τα μεταφέρουμε άλλο τόσο εύκολα μπορούμε και να τα διαβάσουμε σα να διαβάζαμε μια επιστολή που πρέπει να παραδόσουμε σε κάποιο 3ο άτομο.

Δυστηχώς (ή ευτυχώς σε ειδικές περιπτώσεις) υπάρχουν ειδικά εργαλεία που αναλύουν (ή και καταγράφουν) την κίνηση σε ένα δρομολογητη. Άλλα πάλι εργαλεία μπορούν και ανιχνεύουν μεταφορές κειμένου, ήχου, εικόνας, βίντεο και την αποθηκεύουν σε αντίστοιχα αρχεία στον υπολογιστή μας.

Με άλλα λόγια είναι σχετικά εύκολο να καταγραφθει μία συνομιλία VoIP / Chat με όποιο πρόγραμμα και αν πραγματοποιήται. Σε γενικές γραμμές όποιο πρόγραμμα δεν έχει SSL υποστήριξη είναι υπόθεση δευτερολέπτων να αναγνωστούν τα δεδομένα που στέλνει. Επίσης σε μία συνομιλία εάν ο ένας εκ των δύο ομιλητών δεν έχει SSL τότε είναι σα να μην έχει κανένας, διότι το SSL πέζει μεταξύ Client & Server και δε πάει πιο πέρα.

Για την ώρα σε προσωπικές δοκιμές έχω καταφέρει να καταγράψω (από τον εαυτό μου) με πολύ απλό τρόπο:
δεδομένα που ανταλάσονται μεταξύ Broswer & WebServer (πχ posts, pm's, passwords). Φυσικά τα SSL Sites δεν ειναι αποκρυπτογραφήσιμα
απο IRC (που δεν έχει ενεργό το SSL) είτε συνομιλίες είτε passwords
απο VoIP (για την ωρα δεν εχουμε πουθενα SSL) πλήρη συνομιλία
απο IM, πχ MSN που έχει κρυπτογράφιση η οποια δεν ειναι SSL και σπάει πανεύκολα
μεταφορές αρχείων από FTP/SMB (windows shares)
απο TELNET κονσόλες

όλα αυτά αντιμετοπίζονται με τις αντίστοιχες secure εκδοχές τους, δηλαδή:
στα IRC/IM's (εξερείται το MSN) ενεργοποίηση του SSL
αντικατάσταση του HTTP με HTTPS οπου είναι δυνατον
αντικατάσταση του FTP/SMB με SFTP ή SCP
αντικατάσταση του TELNET με SSH
και τέλος αναμονή για SRTP υποστήριξη από το VoIP Software που έχουμε

Πέρα απο τις καταγραφές που μπορούν να γίνουν μέσα από ένα router (αρα πρέπει να έχεις έστω remote προσβαση), είναι δυνατόν να γίνει και με κάποιο laptop και αντιστοιχη κεραία που συμαδεύει τον ιστο ενός κόμβου. Εδώ ο μόνος τρόπος προστασίας είναι η ενεργοποίηση του WPA. Η χρήση WEP δεν ενδυκνύεται γιατι σπάει σχετικά εύκολα.

Περιττό βεβαια να πω ότι κάθε μορφή SSL επιβαρύνει τόσο την CPU ενός μηχανήματος (μακάρι κάποια στιγμή να βγουν SSL coCPU's) αλλά και το bandwidth μιας και όλα τα κρυπτογραφημένα δεδομένα (εκτός του MSN  :: ) είναι αισθητά μεγαλύτερα σε μέγεθος.

----------


## dalex

.....

----------


## mojiro

Α και για να κάνω ακόμη πιο κατανοητά τα πράματα, από όποιον περνάτε για να κάνετε το παραμικρό αυτός έχει τη δυνατότητα να δει τι κάνετε εάν δεν είναι κρυπτογραφημένο. Δηλαδή εάν για να πάτε στο Forum περνάτε πάνω από 9 hops και οι 9 κόμβοι έχουν την δυνατότητα να δουν τα ίδια πράματα ακριβώς...

Φυσικά το ίδιο ισχύει και για αυτούς που σας δίνουν Internet, δηλαδή εάν έχετε VPN με κάποιον για παροχή Internet τότε αυτός μπορεί να δει πλήρως το τι κάνετε και δεν είναι κρυπτογραφημένο.

Η χρήση l2tp/pptp/ipip/eoip VPN εν μέρη σε προστατεύει από το να δουν τα δεδομένα οι ενδιάμεσοι κόμβοι μεταξύ VPN Server & VPN Client. Ωστόσο και αυτά σπάνε.

Οι αντίστοιχες secure λύσεις είναι το IPSec & το OpenVPN.

----------


## Acinonyx

Στου κουφού την βρόντα, όσο θέλεις πόρτα...

----------


## socrates

Καλό είναι να ακούγονται και ακόμα καλύτερο να φτιαχτεί ένας mini οδηγός how to για υποτυπώδη ασφάλεια των end-users.

Θα μπορούσε να αποτελέσει και μέρος στα εκπαιδευτικά workshops που οργανώνουμε.

----------


## tyson

> Καλό είναι να ακούγονται και ακόμα καλύτερο να φτιαχτεί ένας mini οδηγός how to για υποτυπώδη ασφάλεια των end-users.
> 
> Θα μπορούσε να αποτελέσει και μέρος στα εκπαιδευτικά workshops που οργανώνουμε.


Νομίζω ότι πολύ σημαντική αυτή η ιδέα...
Τι λέτε θα οργανώσουμε κάτι τέτοιο;

Badge και λοιποί γνώστες θα μας δώσετε τα φώτα σας;

----------


## mojiro

δεν ειναι ασχημη ιδεα ωστοσο δεν εχω το πληθως των γνωσεων για να κανω κατι ολοκληρομενο. θα αξιζε τον κοπο εαν το συνδιαζαμε και με αλλο workshop

----------


## commando

> Badge και λοιποί γνώστες θα μας δώσετε τα φώτα σας;


nmap scanning στο συλλογο απο badge για τεστ να βρουμε την ip απο DHCP και κοιτα σε ποια πορτα το επιασε το firewall


```
 remIp="10.2.100.82"/><App chksm="D0AF350BFAF1EC9F64831E083A63874F">C:\Program Files\Microsoft ActiveSync\rapimgr.exe</App><Action fncId="8193" fncMsg="Inbound TCP access">Prevented</Action></Event>
<Event dateTimeLast="09/26/2007 18:10:51" user="commando" domain="LAPTOP" module="Firewall" ruleID="NS15"><Object ot="Network event"/><InetDef prot="tcp" dir="in" locPort="990" remPort="1752" remIp="10.2.100.82"/><App chksm="D0AF350BFAF1EC9F64831E083A63874F">C:\Program Files\Microsoft ActiveSync\rapimgr.exe</App><Action fncId="8193" fncMsg="Inbound TCP access">Prevented</Action></Event>
```

----------


## dalex

.....

----------


## badge

> Badge και λοιποί γνώστες θα μας δώσετε τα φώτα σας;


Κι εγώ στον πειραματισμό είμαι. Συμφωνώ απόλυτα με τους προλαλήσαντες σχετικά με την ενίσχυση του θέματος της ασφάλειας. Μπορούμε να βάλουμε τα όσα έχουμε κατά καιρούς ανακαλύψει, και να ξεθάψουμε περιστατικά και φαινόμενα, ώστε να γραφτούν rules τόσο για iptables όσο και για IDS.

----------


## DSLaManiaC

Προσωπικά περνάω όλη την κίνηση εκτός 10.0.0.0/8 (δηλαδή internet και άλλα συναφή stuff) χρησιμοποιώντας το openvpn μέσω tunnel που παίζει με SSL.

----------

