Защита от сниффера - Безопасность

kakaya raznica · 22.02.2007, 20:40

недавно возникла проблема следующего характера - на работе есть сетка кольцеобразного харатера. вхыод всех компов в интернет осуществляется через один сервер центрального характера. суть в том что недавно сменился у нас прогер. с прошлым прогером я был на короткой ноге и он мне ненароком бросил, чтобы я был осторожен, так как на центральном серваке новый прогер установил сниффер. я бы хотел знать чем это может мне угрожать при том что я использую оперу (настройки безопасности ssl2 поставлены на максимум), и thunderbird (тут я порылся и увидел только одну настройку безопасности при том что там отписано что отправляемые регистрационные данные защищены). меня в основном волнует можно ли выловить из сетки мои пароли при такой защите и что вы советуете мне сделать чтобы защититься более эффективно ?

kakaya raznica · 23.02.2007, 07:55

никто не осведомлен и не может помочь ?

vwtrotsky · 23.02.2007, 15:26

Сниффером отлавливается HTTP, FTP, SMTP траффик. Для защиты нужно пользовать ssl и ssl2. Есть еще режимы сбора пакетов проходящих по сетке. Если когото сильно припрет, то могут собрать весь траффик и начать его дешифровывать, но это надо быть полным параноиком. Т.е. на практике хватит включения секюри протоколов, чтоб твои данные остались нетронутыми, но .....

kakaya raznica · 23.02.2007, 15:40

vwtrotsky,

Цитата:

Сообщение от kakaya raznica

(настройки безопасности ssl2 поставлены на максимум)

Цитата:

Сообщение от kakaya raznica

thunderbird (тут я порылся и увидел только одну настройку безопасности при том что там отписано что отправляемые регистрационные данные защищены)

меня волнуют две эти программы. я порылся в них и самое интересное то что опера не шиффруется все пароли ssl даже еси в настройках поставлено, например отправка пароля и логина на имхо, или же nnm. а почтовик ваще не врубил, потому как не уверен в настройках его безопасности. и интересно что за

Цитата:

Сообщение от vwtrotsky

но .....

?

Nexus · 24.02.2007, 23:36

Ежели я правильно понял , то сетка состоит из более чем 2-х компов .
В таком случае можно не особо чесаться . Ну наловит "прогер" пакетов , составит список посещаемых сайтов (максимум) и все, в общем-то .
Ему легче анкеты раздать с вопросами чем заниматься расшифровкой пакетов .

StRaNNiK · 25.02.2007, 13:10

Возможно я и ошибаюсь, но от включения в браузере поддержки ssl и т.д. ничего не изменится. Потому что между сайтом и вами не идет шифрованный трафик. Вы ведь на имхо заходите не через https.
Nexus, имхо, слишком мягко выразился. Потому что отловят ваши пароли на ftp, mailб icq (если в ней не выставлена шифровка пароля. в таком случае отловят шифрованный пароль. но и это не проблема) и т.д.

имхо, без доступа к серверу вы никак (кроме установки шифрованных соединений) не обезопасите себя.
Кста, есть пара вариантов:
1. vpn в инете иметь свой
2. stunnel опять же в инете. суть: клиентская часть запущена у вас на компе, серверная в инете. Между 2-мя этими частями устанавливается шифрованный канал. Запрос от браузера летит клиентской части, та шлет его по каналу серверной, та на сайт. И все летит так же обратно

Я, например, пользуюсь такой схемой.
3. может и ошибаюсь, но возможно есть прокси с поддержкой шифровки.

kakaya raznica · 25.02.2007, 15:36

Nexus, 215 компов в сетке, из них потсоянно в сети около 70. суть в том что я боюсь что он наловит именно пакетов в которых содержатся пароли и прочая дребедень.

Цитата:

Сообщение от StRaNNiK

2. stunnel опять же в инете. суть: клиентская часть запущена у вас на компе, серверная в инете. Между 2-мя этими частями устанавливается шифрованный канал. Запрос от браузера летит клиентской части, та шлет его по каналу серверной, та на сайт. И все летит так же обратно
Я, например, пользуюсь такой схемой.

поподробнее я немного не понял.
прокся не подойдет...сервак имеет список проксей и прогер постоянно обновляет их

StRaNNiK · 25.02.2007, 16:55

о Stunnel

Цитата:

Он запускает на вашем компьютере небольшой прокси сервер. Ваша программа обращается к адресу 127.0.0.1, а Stunnel пересылает запрос удаленному хосту, и устанавливает защищенное SSL-соединение с нужным хостом. Таким образом, внутри вашего компьютера информация передается в открытом виде, а между компьютером и сервером - в защищенном.
Примерно такой же механизм может использоваться и на сервере. Т.е. сама программа не позволяет вам передавать какие либо данные или использовать её в качестве системы удаленного управления, но она создаёт защищенный канал который могут использовать программы посредники.
Защита канала обеспечивается сертификатами и шифрацией передаваемых данных. Для создания сертификатов придется воспользоваться сторонними программами, какими именно не имеет значение, например OpenSSL.

Это было о самой программе. А теперь то, как использую ее я.
Задача: получить доступ в инет по локалке через посредника, при этом если провайдер увидит, что я так делаю, то настучит обоим по голове. Определит он это с помощью сниффера. Чтобы этого не произошло, сделал такую систему:

На компьютере посредника установлен stunnel в режиме работы "сервер"
На моем ПК установлен stunnel в режиме работы "клиент"
Сгенерированы с помощью OpenSSL сертификаты
На компьютере посредника так же установлена прокся, т.к. я ведь хочу иметь доступ ко всему web, а не только к определенному серверу. А stunnel может соединяться только с опред-м хостом

Настройки программы опускаю. Дальше в браузер вписываю проксю 127.0.0.1:порт
Лезу на сайт. Происходит следущее:

Запрос летит локальному stunnel
локальный stunnel устанавливает соединение с удаленным, сверяет сертификаты. Если все совпало, то устанавливается шифрованный туннель. Данные буду зашифрованы вашими ключами.
Дальше по нему (тунелю шифрованому) летит запрос удаленному stunnel "открыть сайт"
Удаленный stunnel перекидывает запрос локальной проксе (а можно и удаленной. тут не имеет значения), а та лезет в инет
И все это летит тебе обратно

Вот

Генерирование сертификатов вроде не обязательно. Будет и так работать (надо доки почитать насчет этого), но с ними надежнее.
Звучит все очень хитро, но на практике зарекомендовало себя хорошо =)

В твоем случае выходит нужно иметь в инете сервер/знакомого с сервером, который все это (stunnel и проксю, но можно без нее) готов будет себе установить.

Nexus · 25.02.2007, 23:19

Цитата:

Сообщение от kakaya raznica

215 компов в сетке, из них потсоянно в сети около 70

70 компов одновременно ходят в интернет через один шлюз ?
Спы спакойна дарагой таварыш .
С таким количеством наловленных даже за 1 час пакетов, *прогер* будет год работать . Паранойя в чистом виде . Можно зверски улыбаясь пожелать админу удачи .

StRaNNiK · 26.02.2007, 07:42

:-)
а кто мешает админу поставить в сниффере фильтр на ftp, pop, icq и т.д.?

vwtrotsky · 26.02.2007, 09:22

Strannik
Совершенно верно. Полно снифферов с фильтрами по IP и по MAC.
Так что если админ параноик, то все равно докапается. Самое меньшее, что админ получит, это список посещенных сайтов (это скорее всего основная причина установки сниффера).
Мне кажется легче с админом подружиться.

StRaNNiK · 26.02.2007, 11:45

я бы на месте того злобного админа включил фильтр на нужные мне протоколы

свежие пароли к фтп! ням-ням

SinClaus · 27.02.2007, 15:57

Ага, админу только этого не хватает... Пароли можно упереть и без снифера на гейте. Man in the middle еще никто не отменял, ARP табличку потравил и живи спокойно, все в руках админа. Только нахрена оно ему (нам). И так работы хватает.

28.06.2007, 01:14

Цитата:

Сообщение от StRaNNiK

имхо, без доступа к серверу вы никак (кроме установки шифрованных соединений) не обезопасите себя.
Кста, есть пара вариантов:
1. vpn в инете иметь свой
2. stunnel опять же в инете. суть: клиентская часть запущена у вас на компе, серверная в инете. Между 2-мя этими частями устанавливается шифрованный канал. Запрос от браузера летит клиентской части, та шлет его по каналу серверной, та на сайт. И все летит так же обратно
Я, например, пользуюсь такой схемой.
3. может и ошибаюсь, но возможно есть прокси с поддержкой шифровки.

Вот наиподробнейшим образом написано про настройку stunnel. Может кому пригодится?

http://onix.opennet.ru/content/view/34/26/
http://onix.opennet.ru/content/view/38/26/
http://onix.opennet.ru/content/view/39/26/

DrMbit · 23.08.2007, 13:29

Смотря на каком серваке стоит снифер, например, если он на проксе то шифруй нешифруй он все равно все запишет. Пароли тоже может выцепить, но это через определенное время. Так что меняй почаще пароли и все будет номано. А еще лучше проучи программера

Elph · 21.09.2007, 15:31

Цитата:

Сообщение от Nexus

70 компов одновременно ходят в интернет через один шлюз ?
Спы спакойна дарагой таварыш .

Ну-ну. А может быть там не снифер стоит? Очень хорошо встает Каин&Абель на проходе, тут и форумы и почта и фтп Винипух.

Цитата:

Сообщение от kakaya raznica

и он мне ненароком бросил, чтобы я был осторожен,

Скорее всего имелось ввиду, что дали ему задание оценить доложить чтобы потом наказать.
На самом деле бесполездно. Начнешь шифроваться - вычислит, если умный - тогда хеже будет.

22.02.2007, 20:40	# 1
kakaya raznica Member Регистрация: 12.11.2006 Пол: Male Сообщения: 325	Защита от сниффера недавно возникла проблема следующего характера - на работе есть сетка кольцеобразного харатера. вхыод всех компов в интернет осуществляется через один сервер центрального характера. суть в том что недавно сменился у нас прогер. с прошлым прогером я был на короткой ноге и он мне ненароком бросил, чтобы я был осторожен, так как на центральном серваке новый прогер установил сниффер. я бы хотел знать чем это может мне угрожать при том что я использую оперу (настройки безопасности ssl2 поставлены на максимум), и thunderbird (тут я порылся и увидел только одну настройку безопасности при том что там отписано что отправляемые регистрационные данные защищены). меня в основном волнует можно ли выловить из сетки мои пароли при такой защите и что вы советуете мне сделать чтобы защититься более эффективно ?

25.02.2007, 13:10	# 6
StRaNNiK Member Регистрация: 08.06.2003 Адрес: Екатеринбург Пол: Male Сообщения: 254	Возможно я и ошибаюсь, но от включения в браузере поддержки ssl и т.д. ничего не изменится. Потому что между сайтом и вами не идет шифрованный трафик. Вы ведь на имхо заходите не через https. Nexus, имхо, слишком мягко выразился. Потому что отловят ваши пароли на ftp, mailб icq (если в ней не выставлена шифровка пароля. в таком случае отловят шифрованный пароль. но и это не проблема) и т.д. имхо, без доступа к серверу вы никак (кроме установки шифрованных соединений) не обезопасите себя. Кста, есть пара вариантов: 1. vpn в инете иметь свой 2. stunnel опять же в инете. суть: клиентская часть запущена у вас на компе, серверная в инете. Между 2-мя этими частями устанавливается шифрованный канал. Запрос от браузера летит клиентской части, та шлет его по каналу серверной, та на сайт. И все летит так же обратно Я, например, пользуюсь такой схемой. 3. может и ошибаюсь, но возможно есть прокси с поддержкой шифровки. __________________ Строгость законов в России компенсируется необязательностью их исполнения

26.02.2007, 07:42	# 10
StRaNNiK Member Регистрация: 08.06.2003 Адрес: Екатеринбург Пол: Male Сообщения: 254	:-) а кто мешает админу поставить в сниффере фильтр на ftp, pop, icq и т.д.? __________________ Строгость законов в России компенсируется необязательностью их исполнения

26.02.2007, 09:22	# 11
vwtrotsky Member Регистрация: 27.04.2005 Пол: Male Сообщения: 227	Strannik Совершенно верно. Полно снифферов с фильтрами по IP и по MAC. Так что если админ параноик, то все равно докапается. Самое меньшее, что админ получит, это список посещенных сайтов (это скорее всего основная причина установки сниффера). Мне кажется легче с админом подружиться. Последний раз редактировалось vwtrotsky; 26.02.2007 в 09:24.

26.02.2007, 11:45	# 12
StRaNNiK Member Регистрация: 08.06.2003 Адрес: Екатеринбург Пол: Male Сообщения: 254	я бы на месте того злобного админа включил фильтр на нужные мне протоколы свежие пароли к фтп! ням-ням __________________ Строгость законов в России компенсируется необязательностью их исполнения

23.02.2007, 07:55	# 2
kakaya raznica Member Регистрация: 12.11.2006 Пол: Male Сообщения: 325	никто не осведомлен и не может помочь ?

23.02.2007, 15:26	# 3
vwtrotsky Member Регистрация: 27.04.2005 Пол: Male Сообщения: 227	Сниффером отлавливается HTTP, FTP, SMTP траффик. Для защиты нужно пользовать ssl и ssl2. Есть еще режимы сбора пакетов проходящих по сетке. Если когото сильно припрет, то могут собрать весь траффик и начать его дешифровывать, но это надо быть полным параноиком. Т.е. на практике хватит включения секюри протоколов, чтоб твои данные остались нетронутыми, но .....

24.02.2007, 23:36	# 5
Nexus Junior Member Регистрация: 21.11.2004 Адрес: там,где нас нет... Пол: Male Сообщения: 57	Ежели я правильно понял , то сетка состоит из более чем 2-х компов . В таком случае можно не особо чесаться . Ну наловит "прогер" пакетов , составит список посещаемых сайтов (максимум) и все, в общем-то . Ему легче анкеты раздать с вопросами чем заниматься расшифровкой пакетов .

27.02.2007, 15:57	# 13
SinClaus Котозавр Регистрация: 15.04.2003 Адрес: Russia, Tomsk Пол: Male Сообщения: 1 332	Ага, админу только этого не хватает... Пароли можно упереть и без снифера на гейте. Man in the middle еще никто не отменял, ARP табличку потравил и живи спокойно, все в руках админа. Только нахрена оно ему (нам). И так работы хватает. __________________ Паранойю у админов лечить нельзя, надо лишь следить, чтобы развивалась в нужном направлении

23.08.2007, 13:29	# 15
DrMbit Newbie Регистрация: 27.10.2005 Сообщения: 12	Смотря на каком серваке стоит снифер, например, если он на проксе то шифруй нешифруй он все равно все запишет. Пароли тоже может выцепить, но это через определенное время. Так что меняй почаще пароли и все будет номано. А еще лучше проучи программера