BSDPORTAL.RU

На этом сайте обсуждаются вопросы использования ОС FreeBSD
 Портал  •  Статьи  •  Форум  •  Wiki  •  Поиск  •  FAQ  •  Обои  •   Официальная документация  •  Новые темы 

Часовой пояс: UTC + 4 часа




Начать новую тему Ответить на тему  [ Сообщений: 16 ] 
Автор Сообщение
СообщениеДобавлено: Вт 03 апр, 2007 12:10 am 
Не в сети
Аватара пользователя

Зарегистрирован: Вс 05 фев, 2006 11:33 pm
Сообщения: 516
Откуда: Санкт-Петербург
Значит по простому.
192.168.10.0/24 моя домашняя проводная
tun0 ext_if inet
ng0 - VPN для меня. По логину и пассу выдают IP адрес 192.168.10.4
Между сетяти ng0 и 192.168.10.24 разрешены стандартные сервисы + SMB.
интерфейс ath0 Это вай фай.. смотрит в воздух...
Шифруется WEP) Естесно лажа... А вот интерфейс ng0 это впн поверх ath0 ... по ath0 ничего кроме GRE и 1723 с ОПРЕДЕЛЕННОГО ip не разрешено))
Вот вопрос - насколько криптосоек алгоритм MPPE 128 ? от майкрософта..
Могут ли такую схемку запросто сломать... Ведь умно придумано - с ip sec не вышло у меня - я сделал простой vpn ))) И очень удобно и в инет и в локалку пускаю)) причем девайсы не бридживал - как идея ?[/i]


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: Пн 09 апр, 2007 11:24 pm 
Не в сети

Зарегистрирован: Вт 02 янв, 2007 8:20 pm
Сообщения: 137
Откуда: SPb
mono_s писал(а):
Значит по простому.
192.168.10.0/24 моя домашняя проводная
tun0 ext_if inet
ng0 - VPN для меня. По логину и пассу выдают IP адрес 192.168.10.4
Между сетяти ng0 и 192.168.10.24 разрешены стандартные сервисы + SMB.
интерфейс ath0 Это вай фай.. смотрит в воздух...
Шифруется WEP) Естесно лажа... А вот интерфейс ng0 это впн поверх ath0 ... по ath0 ничего кроме GRE и 1723 с ОПРЕДЕЛЕННОГО ip не разрешено))
Вот вопрос - насколько криптосоек алгоритм MPPE 128 ? от майкрософта..
Могут ли такую схемку запросто сломать... Ведь умно придумано - с ip sec не вышло у меня - я сделал простой vpn ))) И очень удобно и в инет и в локалку пускаю)) причем девайсы не бридживал - как идея ?[/i]

хрень полная. ваш веп вскроют за 1-2часа. потом очень быстро вычисляется кто куда трафик шлёт(в данном случае pptp).

А теперь самое интересное. Можно топить клиента фреймами деассоциации(и писать трафик авторизации на pptp-сервере), либо поднять evil twin'а и со своим pptp-сервером(который отказывается принимать всякие чапы и требует пароль клиртекстом в пап).


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт 10 апр, 2007 12:51 am 
Не в сети
Аватара пользователя

Зарегистрирован: Вс 05 фев, 2006 11:33 pm
Сообщения: 516
Откуда: Санкт-Петербург
Блин но ведь ВЕСЬ трафик гонится через mpd ! Т.е. по wifi идет pptpt канал... а вот пусть сначала пароль и логин угадают а потом мутят - ну и вначале wep тоже надо вскрыть ... или я чего-то путаю ... не думаю что mpd так ломают за два часа пароль то идет криптотекстом ))


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт 10 апр, 2007 9:16 am 
Не в сети

Зарегистрирован: Вт 02 янв, 2007 8:20 pm
Сообщения: 137
Откуда: SPb
mono_s писал(а):
Блин но ведь ВЕСЬ трафик гонится через mpd ! Т.е. по wifi идет pptpt канал...

и что?

mono_s писал(а):
а вот пусть сначала пароль и логин угадают а потом мутят

вскроют wep(и достаточно быстро при интенсивном трафике).

mono_s писал(а):
... не думаю что mpd так ломают за два часа пароль то идет криптотекстом ))

pptp - вещь весьма уязвимая, даже с ms-chap v2


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср 11 апр, 2007 12:05 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Вс 05 фев, 2006 11:33 pm
Сообщения: 516
Откуда: Санкт-Петербург
Блин а как тогда то делать ??? IPSEC слыхал я глючит с сертификатами с WinXP ... и как настроить не получилось - что такое WPA ? Нету ли какой-нить доки по этим вопросам ?


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: Чт 12 апр, 2007 8:57 am 
Не в сети

Зарегистрирован: Ср 07 мар, 2007 7:29 am
Сообщения: 89
homoadminus писал(а):
хрень полная. ваш веп вскроют за 1-2часа.

http://www.securitylab.ru/news/293708.php


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт 12 апр, 2007 9:02 am 
Не в сети

Зарегистрирован: Ср 07 мар, 2007 7:29 am
Сообщения: 89
mono_s писал(а):
что такое WPA ?

http://www.google.com/search?hl=ru&clie ... lr=lang_ru


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт 12 апр, 2007 12:22 pm 
Не в сети

Зарегистрирован: Вт 02 янв, 2007 8:20 pm
Сообщения: 137
Откуда: SPb
mono_s писал(а):
Блин а как тогда то делать ??? IPSEC слыхал я глючит с сертификатами с WinXP ... и как настроить не получилось - что такое WPA ? Нету ли какой-нить доки по этим вопросам ?

вообще, юзайте 802.11i


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пт 13 апр, 2007 1:02 am 
Не в сети
Аватара пользователя

Зарегистрирован: Вс 05 фев, 2006 11:33 pm
Сообщения: 516
Откуда: Санкт-Петербург
http://www.opennet.ru/openforum/vsluhfo ... 62620.html
Так типо сделать WPA и будет счатье взломать посложнее будет ?
Это многим лучше ?


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пт 13 апр, 2007 2:00 am 
Не в сети
Аватара пользователя

Зарегистрирован: Вс 05 фев, 2006 11:33 pm
Сообщения: 516
Откуда: Санкт-Петербург
Хмм.. ну вот хз хз...
Предположем взломают WEB...
Чего он получит...
Доступ с 10.0.0.2 на 10.0.0.1 по протоколу GRE и на порт 1723 ...
Для этого ему прийдется перебирать bruteforce или еще как
логин и пароль для MPD... Или чего его так просто вскрыть что ли ?
Зря что ли корбина по VPN инет продает ???
До кучи там в PF стоит опция ограничения кол-ва соедининий...
ну и как он будет перебирать ...
Далее ну даже угадай он логин и пароль от VPN ну даже скажи ему...
я же это тут же увижу - там один интерфейс ng0 и как только он активируется и все попытки так же на коннект 1723 c WIFI логируются...
Ну не смогу я подключиться по wifi сразу ifconfig ath0 down ifconfig ath0 wepkey ...... и т.д ... ну и меня пароли почаще ... чего тут опасного то - неужели так все просто вскрывается /???
Не выходит ничего толкового между XP и FreeBSD на WPA ... сделал как описано выще - хрен не коннектит


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пт 13 апр, 2007 6:32 am 
Не в сети

Зарегистрирован: Ср 07 мар, 2007 7:29 am
Сообщения: 89
если настроил WPA2, то спешу обрадовать winXP SP2 не понимает этот протокол шифрования, надо скачать патчик от микрософта.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вс 15 апр, 2007 12:25 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Вс 05 фев, 2006 11:33 pm
Сообщения: 516
Откуда: Санкт-Петербург
Krueger писал(а):
если настроил WPA2, то спешу обрадовать winXP SP2 не понимает этот протокол шифрования, надо скачать патчик от микрософта.

а можно носом тыкнуть ... ))-


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вс 13 янв, 2008 12:18 am 
Не в сети

Зарегистрирован: Вс 13 янв, 2008 12:10 am
Сообщения: 2
Цитата:
вообще, юзайте 802.11i


Не все железки поддерживают RSN/RSNA-архитектуру. Соответственно в зависимости от модели и годности прошивки. Требуемый патч на клиента - http://support.microsoft.com/kb/893357

Отмечу, что WPA-PSK ломается, но дольше, чем тривиальный WEP.
Смотрите в сторону TKIP.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пн 14 янв, 2008 10:08 am 
Не в сети

Зарегистрирован: Вт 02 янв, 2007 8:20 pm
Сообщения: 137
Откуда: SPb
Андрей Комаров писал(а):
Отмечу, что WPA-PSK ломается, но дольше, чем тривиальный WEP.
Смотрите в сторону TKIP.

а лучше сразу 802.11i ;)


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пт 18 янв, 2008 1:15 am 
Не в сети

Зарегистрирован: Вс 13 янв, 2008 12:10 am
Сообщения: 2
Это правильный совет, но с ним тянется ряд таких вещей:

- не все устройства его поддерживают
- со стороны энергосберегающих функций, он активнее разряжает батарейки клиентов, в особенности мобильных устройств, если они его поддерживают.

Про TKIP я сказал осознанно, намекая на то, что WPA-PSK может быть подобран. Отмечу, что его длина может достигать 63 символов, что естественно уменьшает вероятность перебора.

Само собой AES-CCMP против RC4/TKIP выйгрывает, хотя ни один из стандартов не защищает от целой триады атак, в том числе на клиентов.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт 26 фев, 2008 11:36 am 
Не в сети

Зарегистрирован: Пн 12 мар, 2007 7:11 pm
Сообщения: 23
homoadminus писал(а):
pptp - вещь весьма уязвимая, даже с ms-chap v2


Нельзя ли привести, кроме слов, факты? Например, ссылки с описанием уязвимостей pptp
homoadminus писал(а):
даже с ms-chap v2
?


Вернуться к началу
 Профиль  
 
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ Сообщений: 16 ] 

Часовой пояс: UTC + 4 часа


Кто сейчас на конференции

Зарегистрированные пользователи: нет зарегистрированных пользователей


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB
Яндекс.Метрика