Użytkownik "Michal Kawecki" <kkwinto@o2.px> napisał w wiadomości
news:b0tdpoa82nnq$.dlg@kwinto.prv...
> Dnia Tue, 12 May 2009 23:29:58 +0200, Konrad Kosmowski napisał(a):
>
>> ** Michal Kawecki <kkwinto@o2.px> wrote:
>>
>>>> Zgadzam się, tylko nie wystawiałbym RDP do Internetu (VNC tym bardziej). O
>>>> to chodzi.
>>
>>> Czy ja wiem... niestandardowy port usługi,
>>
>> No duży LoL...
>>
>>> nietypowe nazwy kont administracyjnych,
>>
>> Dobra praktyka ale obroni Cię jedynie przed atakami zautomatyzowanymi, które
>> i
>> tak walą w client security.
>>
>>> dobre długie hasła, blokada konta po 3 nieudanych próbach na minimum 5
>>> minut...
>>
>> Tak wypada ale nie o to chodzi - tzn. nie to zabezpieczenie będzie atakowane.
>>
>>> trzeba mieć bardzo dużo czasu, żeby to złamać.
>>
>> Tzn. aby "złamać" tajny port wystarczy być gdzieś pomiędzy ew. walić na
>> ślepo.
>> Już sensowniej byłoby chyba dopuszczać z konkretnego IP niż zaciemniać port.
>
> Ale puszczanie z konkretnego IP właściwie eliminuje uniwersalność
> dostępu. A pukanie po portach na ślepo wymaga sporej ilości czasu,
> trzeba by się zasadzić na konkretną maszynę z konkretnym zleceniem. No a
> potem dłuuugo szukać prawidłowych poświadczeń...
>
>> Z tego co wymieniłeś nic nie trzeba łamać - właśnie w tym problem. Przy ataku
>> MITM nie ma znaczenia na jakim porcie sobie odpalisz (jakby to jakaś
>> tajemnica
>> była), nie ma również znaczenia jak się uwierzytelniasz.
>>
>> RPD jest OK, ale wypada go puścić przez tunel jak masz zamiar używać via
>> Internet.
>
> Atak MITM? LOL! :-). Nie rozmawiamy o zabezpieczeniach sieci
> korporacyjnej tylko o zwykłej biednej maszynce domowej ;-).
Pan Konrad nauczył sie używać google i zapewne wpisał sobie w nie
RDP i security. Dlatego pisze o MITM - jednak żeby go uspokoić i za
dużo nie kombinować można mu spokojnie polecić programik
Windows Port Knocking...
Piciu
Received on Wed May 13 14:00:04 2009
To archiwum zostało wygenerowane przez hypermail 2.1.8 : Wed 13 May 2009 - 14:42:01 MET DST