** Michal Kawecki <kkwinto@o2.px> wrote:
>> Tzn. aby "złamać" tajny port wystarczy być gdzieś pomiędzy ew. walić na
>> ślepo. Już sensowniej byłoby chyba dopuszczać z konkretnego IP niż
>> zaciemniać port.
> Ale puszczanie z konkretnego IP właściwie eliminuje uniwersalność dostępu. A
> pukanie po portach na ślepo wymaga sporej ilości czasu, trzeba by się
> zasadzić na konkretną maszynę z konkretnym zleceniem.
No. Przecież mówię cały czas o MiTM. Uważasz, że ustawienie innego portu to
jest zabezpieczenie?
> No a potem dłuuugo szukać prawidłowych poświadczeń...
Nie tak długo jak Ci się wydaje.
>> Z tego co wymieniłeś nic nie trzeba łamać - właśnie w tym problem. Przy
>> ataku MITM nie ma znaczenia na jakim porcie sobie odpalisz (jakby to jakaś
>> tajemnica była), nie ma również znaczenia jak się uwierzytelniasz.
>> RPD jest OK, ale wypada go puścić przez tunel jak masz zamiar używać via
>> Internet.
> Atak MITM? LOL! :-). Nie rozmawiamy o zabezpieczeniach sieci korporacyjnej
> tylko o zwykłej biednej maszynce domowej ;-).
Mowa w moim OP też o VNC - zgodzimy się, że VNC jednak należałoby zapuszkować w
coś sensownego. RDP tak samo.
Uzasadnienie o domowej maszynce jest zupełnie od czapy.
> Bez przesady.... Oczywiście, dobrze że to napisałeś, niech właściciel
> komputera podejmuje decyzję po świadomym skalkulowaniu ewentualnego ryzyka.
Tylko po co kalkulować ryzyko skoro zastosowanie tunelu po drodze jest prostsze
niż wykonanie rzetelnej analizy? :)
> Ale trochę mnie rozbawiłeś, zwłaszcza jak sobie pomyślę o naszej sieci
> osiedlowej zawieszonej w eterze bez żadnego szyfrowania :-).
Co ma jedno do drugiego? To, że sieć Wifi jest nieszyfrowana, to nie znaczy, że
ktoś mi się wstrzyknie w sesję SSH.
> Słabości RDP to przy tym mały pikuś.
Zupełnie nie pojmuję Twojego rozumowania. Czy na kontrargument mam podać inną
sieć w której wszystkie hasła są w ogóle zapisane na wielkiej tablicy i nie ma
żadnych tajemnic?
-- + ' .-. . , * ) ) http://kosmosik.net/ . . '-' . kKReceived on Fri May 15 02:05:02 2009
To archiwum zostało wygenerowane przez hypermail 2.1.8 : Fri 15 May 2009 - 02:42:01 MET DST