[ LUGOS ] Malo o PAM securetty - u

[Ales Casar]

On Sat, 17 Jul 1999, Borut Mrak wrote:

> > Marsikdo ti je ze napisal kaj je narobe ;) (vkljucno z lastnim racunalnikom).
> > Jaz bi ti pa dal se en nasvet: Uporabi ssh saj je veliko bolj varen kot rlogin
> > in rsh.
> 
> Ce imas switchan network (kar bi si morala privosciti vsaka malo vecja
> firma), potem ta problem odpade, vsaj lokalno. Ce pa tvoje zadeve sniffa
> clovek z dostopom do switcha, potem pa imas malo vecji problem.

Nikar ne dajaj ljudem taksnih laznih obcutkov varnosti! Switchan network
ti NE zagotavlja varnosti, niti za kaj takega nikoli ni bil misljen.
Switch se da na veliko nacinov pripraviti do tega, da tvoje pakete poslje
se na kaksen segment, kjer nimajo kaj iskati. Obstaja nekaj povsem
obicajnih dogodkov, ki povzrocijo taksno obnasanje, pravtako pa lahko
morebitni zlonamernez switcu "pomaga" do dodatnega posiljanja paketov na
kak njegov segment.

Vsaj pri "navadnih" switchih je tako. Ti so misljeni SAMO POVECANJU
PREPUSTNOSTI omrezja, nikakor pa ne za zagotavljanje varnosti na omrezju.
Resda ima vpeljava switchev tudi dolocene stranske ucinke, ki blagodejno
vplivajo na varnost, ampak NIC vec kot to. Nobenih zagotovil za varnost
ni tukaj. 

Nekoliko drugace je pri switchih, ki podpirajo VLANe. Tam se med porti, ki
jih dodelis razlicnim VLANom, lahko gres tudi kaksno varnost, ce pravilno
uredis preostanek omrezja.

Nenazadnje je uporaba ssh-ja bolj smotrtna tudi na omrezjih, ki so
zanesljivo varna (ce kaj takega v praksi sploh obstaja). Kaj ce ti recimo
kdo vdre na tvojo masino in instalira sniffer, ssh(d)-ja pa ne zamenja? ;)

Ales

-- 
Ales Casar                  | InterNet: Casar na uni-mb.si, A.Casar na ieee.org,
Faculty of EE & CS          |           A.Casar na s-gms.ms.edus.si
University of Maribor       | DECnet:   RCUM::ALES
SLOVENIA                    | WWW:      http://www.el.feri.uni-mb.si/~ales/