[Comm] Question on FTP

Fr. Br. George =?iso-8859-1?q?george_=CE=C1_altlinux=2Eru?=
Пн Сен 18 14:09:55 MSD 2006 

On Fri, Sep 15, 2006 at 06:56:06PM +0400, Headlong John wrote:
> Да, сейчас вот у меня люди получают доступ внутри локальной сети предприятия. Чтобы перехватить пароль необходимо перехватить пакеты, передаваемые от клиента серверу. Это означает, что либо пакеты должны ретранслироваться коммутатором на все порты, либо сервер или клиенты должны быть поражены злоумышленником. Но сейчас коммутаторы типа switching hub, они вроде не должны на все порты информацию дублировать?
Теоретически switching hub тоже подвержены атакам, например,
переполнения MAC-таблиц, отчего они либо затыкаются, либо превращаются в
ретранслирующие hub-ы. Кроме того, есть проблема hub-ов второго уровняЖ
кто их знет, фильтрующие ли они, т. е. нет ли рядом с сервером и в
особенности -- с клиентом -- компьютера, который спокойно сканирует все
пакеты соседа?

> Если будет доступ через интернет, то, соответственно, пароль может быть перехвачен в случае поражения промежуточных шлюзов/маршрутизаторов, через которые проходят пакеты от клиента к серверу.
Это вдобавок к предыдущему -- ведь теперь уже никто не сможет
гарантировать неутечку учётной записи на _клиентской_ стороне, кроме
самого клиента. А клиенты требуют гарантий от поставщика услуг.

> Что касается поражения сервера или клиента, то здесь, наверное, уже не имеет смысла вопрос о том, защищен протокол или нет. Я все правильно понимаю?
Да, но это как раз наименее вероятное при грамотном администрировании
событие.

> Насколько "правильным" должен быть пароль?
Любой, не подверженный переборным атакам. ALT Linux-овский (OWL-ский) в
стиле pam_qc вполне подойдёт.

> > С ней не шибко ладно дело обстоит, что удивительно.
> > В частности, ни одной нормальной сетевой ФС с user-based авторизацией
> > просто нет.
> А как же Samba?
Главный недостаток Samba -- невозможность испльзования её для
идентификации и авторизации в стиле pam (pam_winbind -- это просто фильм
ужасов какой-то). Это значит, что или _вся_ инфраструктура должна
строиться на Samba, или Samba останется _сторонней_ системой. Тогда для
доступа к ней придётся либо обучать пользователя запуску smbclient, либо
городить какие-то навигаторы в стиле винодвз, либо изобретать громоздкие
велосипеды с автомонтированием в .profile или ещё как. Последнее может
претендовать на включение в инфраструктуру, но случаи полной и удобной
реализации мне неизвестны.

-- 
			Георгий Курячий (aka Fr. Br. George)
			Руководитель образовательных проектов ALT Linux
			mailto : george at altlinux_ru

Подробная информация о списке рассылки community