[BSD] pf sniff

[igabor]

Igen, pont ezt mondta a srác is az előadáson, hogy úgy csinál a támadó
mintha ő volna a szolgáltató routere és gw ként lopja az adatot. Nem csak
SSL bibi hanem lelogolja - mivel ő a gw - a teljes forgalmat.

A kérdés továbbra is nyitott. Lehet-e tűzfallal (PF) ellene védekezni,
aktuális a kérdés, hiszen jön 3.-án az ipv6 bekapcsolás az adatparkosoknak
és ha nincs rendesen tűzfalazva (ipv4-es fal nem jó) akkor az csöcs.

Sajnos az ember nem választhatja meg kiket kötnek a router mögé, abba a
switchbe ahol mi vagyunk, ezért Mohácsi úr féle megoldások nem játszanak,
bár neki nyilván saját rack szekrényei vannak saját network-el, és szabadon
ő dönti el ki az akit megtűr : )

2011/5/31 Csermák Szabolcs <csszabolcs at srwtrade.hu>

>  Sziasztok!
>
> Le lehet hallgatni jelszavakat is, hiába az SSL... MITM (Man-In-The-Middle
> attack)
> http://en.wikipedia.org/wiki/Man-in-the-middle_attack
>
> A lényeg hogy a támadó gépe úgy csinál, mintha ő lenne a gateway. A https
> kérésekre fake tanúsítványt küld vissza, és közben kiépíti a rendes SSL
> kapcsolatot a kérés címével. Aztán jön a jelszó - titkosítva, de
> visszafejti, hiszen ő adta a tanúsítványt, majd újra kódolva tovább küldi a
> rendes SSL csatornán.
>
> Ahonnan egyszerűen észre lehet venni, hogy például a böngésző szól, hogy
> nem jó a tanúsítvány. Persze ehhez az is kell, hogy a júzer ne gépesen
> nyomogassa a tovább gombot, hanem esetleg elolvassa a figyelmeztetést.
>
> Biztos van valami automatizálható módszer is az ilyenek kiszűrésére...
>
> Üdv,
> Sz
>
>
>
>
> On 2011-05-31 17:08, Mohacsi Janos wrote:
>
>
>
>
> On Tue, 31 May 2011, igabor wrote:
>
> Üdv
>
> Hallottam ma egy előadáson, hogy egy támadó felveheti a szolgáltató
> routerének ip címét és mint átjáró lelogolhatja a hálózati forgalmat még
> akkor
> is ha az https-en keresztül küldött jelszavakat stb....
>
>
> Ki adta elo ezt? https (Ami TLS/SSL csatornat hasznal) legfeljebb azt latod
> titikositas utan, hogy, hogy mely IP cimu gepek kommunikalnak egymassal. A
> tartalmat nem.
>
>
>
> Hogyan lehet ez ellen védekezni?
>
>
> Nem engeded meg, hogy mindenfele jott-ment eszkozoket a halozatra
> csatlakoztassanak.
>
>
> Hogy lehet megtalálni ki sniffel?
>
>
> pl.
>
> http://www.markmmanning.com/blog/2009/03/detecting-computers-in-promiscuous-mode.html
>
> Es referenciak alul.
>
> Egyebkent ez nem BSD specifikus kerdes.....
>
> Udv:
>     Mohacsi Janos
>
>
> _______________________________________________
> BSD levlistaBSD at hu.freebsd.orghttps://lists.hu.freebsd.org/mailman/listinfo/bsd
>
>
>
> _______________________________________________
> BSD levlista
> BSD at hu.freebsd.org
> https://lists.hu.freebsd.org/mailman/listinfo/bsd
>
--------- következő rész ---------
Egy csatolt HTML állomány át lett konvertálva...
URL: <http://datacast.hu/pipermail/bsd/attachments/20110531/3f90eb6a/attachment.html>