Re: Atak z wykorzystaniem IPv6 w PLIX, AC-X i na dowolnym innym styku L2.

eGospodarka.pl › Grupy › pl.internet.polip › Atak z wykorzystaniem IPv6 w PLIX, AC-X i na dowolnym innym styku L2. › Re: Atak z wykorzystaniem IPv6 w PLIX, AC-X i na dowolnym innym styku L2.

Data: 2010-08-10 20:21:47
Temat: Re: Atak z wykorzystaniem IPv6 w PLIX, AC-X i na dowolnym innym styku L2.
Od: Krzysztof Halasa <k...@p...waw.pl> szukaj wiadomości tego autora
[ pokaż wszystkie nagłówki ]
Sławek Lipowski <s...@l...org> writes:

>> No ale czego chcesz wlasciwie od ssh? To jest _secure_ shell, jak
>
> Kojarzę wypowiedź jakiegoś admina małej osiedlowej, który twierdził
> uparcie, że nie ma nic złego w posiadaniu słabego hasła na roota z
> możliwością zalogowania się na roota przez ssh, bo on przecież i
> wpuszcza na ssh tylko ruch ze swojego ip...

Ale to problem tego "admina" i jego slabego hasla, i pewnie innych
podobnych problemow (bo takie lubia chodzic parami, albo w wiekszych
grupach). Sam ssh ma sie do tego nijak.

> Wystarczy zostawić otwarty port 22 na świat żeby przekonać się, że
> będą trafiać w niego próby logowania ze świata. Z jakiegoś powodu
> ludzie jednak próbują.

Jasne, nawet zupelnie czesto. No i co z tego.

> Pojawiają się tez kolejne pytania. Czy np.
> takie wystawione na świat ssh nie będzie podatne na DDoS.

Wszystko jest podatne na DDoS. Jak szerokie masz uplinki? Znakomita
wiekszosc sieci koncowych mozna polozyc jednym ENTERem, bez zadnego
wysilku, i nic na to nie da sie poradzic.
IPv6 ma sie do tego nijak.

> Czy
> konfiguracja ssh pozwoli na przeprowadzenie ataku słownikowego?

Udanego? :-)
Jesli sie boisz o swoje hasla, to przeciez mozna zablokowac. I tak chyba
wszyscy uzywaja kluczy czy czegos podobnego.

>> wyobrazasz sobie zdalny dostep do maszyny bez otwarcia jakiegos portu?
>
> Posiadanie zdalnego dostępu do maszyny nie musi sprawiać, że trzeba
> ten port otworzyć od razu na cały świat, prawda?

W niektorych okolicznosciach, prawda. Generalnie, trzeba tak wlasnie
otworzyc, jesli nie znamy zestawu IP, ktorych bedziemy uzywac.
Jesli ktos pracuje zdalnie "ze swiata", to nie ma bladego pojecia jakie
bedzie mial IP.
Jesli ktos np. pracuje z neostrady itp, to owszem - moze ograniczyc
zakres IP, ale nie moze wyciac duzego potencjalnego zrodla atakow, jakim
jest zakres adresow (w tym przypadku) neostrady.

Trzeba to po prostu miec zrobione z sensem i tyle.

> W dobie powszechnego
> mobilnego dostępu do Internetu z możliwością przypisania do takiej
> usługi publicznego IP to naprawdę nie wydaje się być problemem.

Przyznaje ze nie do konca rozumiem co tu masz na mysli.
--
Krzysztof Halasa