Parazitu_2009
Grand Master
Inregistrat: acum 17 ani
Postari: 305
|
|
sper sa va traduc eu asta pana maine....banuiesc k sunt unii care nu prea stiu engleza...asa k...:D Edit:oups!aku am gasit traducerea:D sry guys,credeam ca am pus`o...in fine..poftiti:
de ce avem nevoie de criptare de unde sa iei ssh. telnet/rsh/rlogin: cum inlocuieste ssh aceste instrumente. ftp: folosind ftp cu ssh sau scp in loc de ftp. fine tuning: facand rost de cea mai buna performanta in afara de ssh. x11: construind traficul x11 prin link`ul de siguranta. keys: keys si key-servers. drawbacks: cand folosesti ssh nu este in siguranta. intr`o urgenta: daca trebuie sa folosesti un computer fara ssh, si nu ai autoritatea de a instala un software pe el, atunci ai aceste alegeri: foloseste acest java applet in Netscape sau in alt Web Browser cu java enabled ( care nu este folosit in general)si trecut de data. daca applet nu merge asa cum trebuie, si trebuie sa folosesti Internet public pentru a te conecta, atunci foloseste telnet pentru a te conecta la athena.dialup.mit.edu si logheaza`te la contul tau athena, urmat de ssh la computer`ul tau la LNS. reteaua campus la MIT aproape ca are neautorizat "sniffers", si este "dirtier" ca reteaua publica. de ce ssh? de ce avem nevoie de encryption?
Aproape toate computerele LNS sunt conectate la internet, toate in acelasi timp. In afara de a improviza cai pentru ca noi sa comunicam si sa colaboram cu altii din intreaga lume, Internet`ul furnizeaza de asemenea o parte pentru intrusii din intreaga lume care incearca sa castige acces la computerele noastre pentru propriile rezultate.
tipic, un intrus va incerca sa castige acces chiar daca exploreaza un software bug in ordine, sa se logheze cu o parola, sau prin a incerca sa castige acces la alt calculator si sa porneasca un program "sniffer" pentru a spiona parole atata timp cat umbla pe internet. Serviciile computer`ului personal incearca sa bandajeze peste software bugs atata timp cat devin cunoscuti, si sa detecteze si sa opreasca sniffer inainte de a capata vreo parola. Dar este treaba fiecaruia de a-si tine parolele secrete, si sa ocoleasca sa le trimita pe net in vazul sniffer`ilor. mai degraba, ar trebui sa folosesti criptarea pentru a le ascunde.
nu conteaza cum castiga accesul, un intrus de succes poate sa faca multe distrugeri, stergand fisiere importante sau flodand netul cu mesaje in asteptarea de a distruge rivalitati. in ultimul an, alte cautari facute in laboratoare au avut parte de multe distrugeri facute de intrusi. la LNS, vedem probe de la presupusi intrusi zi de zi.trebuie sa avem grija pentru ca ei vor incerca sa ne invadeze.
Chiar daca consideri ca, contul computer`ului tau nu este foarte important pentru tine, poate sa fie o oportunitate pentru intrusi de a intra si sa distruga alti useri. asa ca toti ar trebui sa fim "vecini buni".
multe computer MIT folosesc Kerberos ca encryption. de exemplu, daca iti citesti mail`ul pe athena, sau daca folosesti sistemul administrativ MIT prin net, atunci nu transmiti nici o parola clara prin net. oricum, nici un computer LNS foloseste encryption Kerberos si totusi sa nu folosesti niciodata telnet pentru a te conecta la alt mecanism LNS sau in afara de LNS. mai degraba te rog limiteaza-te la ssh.
unele persoane neprietenoase ar putea fi interesate in reteaua de trafic si sa porneasca logging`ul la toate sesiunile tale.
9600,9600.#.host.mit.edu:0.0.DISPLAY.host.mit.edu:0.0 USER.north.....XTERM.....Secret mail E-mail Draga Fawn,
Am niste documente importante care trebuie sa paraseasca oficiul in secret. poti sa le transferi? Ollie
multe persoane neprietenoase(in afara de investigatori speciali) nu sunt interesati in mod deosebit in conversatiile tale, dar vor gasi id`ul si parola ta mult mai remarcabil. de ce? pentru ca asta inseamna ca primesc acces la alta gazda de la care pot obtine acces la radacina si pot instala un sniffer care poate loga toate sesiunile din reteaua ta locala.
majoritatea cracker`ilor din zilele noastre folosesc aceasta strategie pentru a intra intr`o singura gazda, apoi seteaza un sniffer pentru a obtine useri si parole pentru alte gazde, pentru a putea imprastia peste institutii variate in cateva zile. este responsabilitatea fiecarui user sa ocoleasca traficul necriptat -- cum ar fi de la telnet, rsh, rcp, rlogin, ftp, pop3, imap -- pentru a evita acest gen de instrusi.
aici este un exemplu de sesiune ftp sniffer - user`ul si parola sunt modificate. USER ken PASS Investing CWD logs PORT 154,201,54,21,44,5 NLST telnet.logs PORT 154,201,54,21,44,6 RETR telnet.logs QUIT unde? de unde sa iei ssh. userii unix pot face rost de codul sursei ssh de la pagina SSH.de cele mai multe ori, nu trbuie sa faci codul sursei singur: la LNS, Linux workstation va avea ssh instalat automat. Toate serviciile serverului au ssh instalat.
Recomand ca utilizatorii de Windows sa downloadeze SecureCRT de pe pagina web MIT SecureCRT.SecureCRT au intreceri superioare VT, si este disponibil gratis pentru userii MIT, pentru ca MIT are un site autorizat. informatii despre autorizatie si cum sa o instalezi poate fi gasita in fisierul Readmw pe pe pagina web MIT.Daca nu poti sa downloadezi SecureCRT, de exemplu daca esti acasa si daca folosesti niste ISP altele decat serviciile MIT Tether, ia SecureCRT de la Tehnologiile Van Dyke, inc. sau incearca clientul freeware ssh: SSH Sources+Binaries de Robert O`Callahan E`mail, ca extensie a programului excelent telnet, Teraterm Pro.
Pentru userii Macintosh, recomandam NiftyTelnet (pentru ssh1) sau MacSSH (pentru ssh2). Alta alegere este sa cumperi un client SSH de la F-Secure.Produsul are un pret rezonabil si lucreaza cu incredere.Unele aparente ale vt100 nu sunt corect aplicate.
telnet/rsh/rlogin Cum inlocuieste SSH aceste instrumente.
SSH lucreaza foarte mult ca telnet sau rsh/rlogin. te conectezi la alta gazda scriind: ssh hostname.domain
sau daca folosesti alt nume de user pe o gazda izolata, foloseti optiunea -l pentru a specifica acest user: ssh hostname.domain -l otherusername
Prima oara cand te conectezi la aceasta gazda, ssh recunoaste ca nu a invatat niciodata cheia publica a acestei gazde pana acum, si te avertizeaza ca nu cunoaste inca aceasta gazda: Cheia gazda nu a fost gasita in lista de gazde cunoscute. Esti sigur ca vrei sa continui (da/nu)?
Majoritatea oamanilor raspund de obicei "nu".in toate aceste cazuri, conectarea va fi abordata. SSH se asteapta ca tu sa raspunzi la aceasta intreabre cu "da".
Daca ai grija cu adevarat poti sa rogi administratorul sistemului sa-ti trimita cheia publica a gazdei intr-un mesaj semnat PGP. apoi poti sa adaugi cheia la fisierul tau ~/ssh/known_hosts.Nu trebuie sa fii atat de atent...normal...
Daca esti obisnuit cu password-less rlogin, ssh ofera un mecanism asemanator. ar trebui sa editezi fisierul ~/.shosts si sa adaugi linia remotehost remoteuser la acesta - aproape la fel ca ce ai facut in cazul fisierului ~/.rhosts. (Inainte de a face asa, te rog sa citesti paragraful de mai jos despre key si key-server.S-ar putea sa nu-ti trebuie ~/.shosts).
oricum, ar trebui sa stii ca ssh este mai pretentios la aceste feluri de logare. Cerceteaza cu atentie astea, daca te conectezi de la localhost, daca este cu adevarat localhost si nu happy.crecker.org si nu o conectare inselatoare. Fisierul ~/.ssh/known_hosts de pe remote host trebuie sa contina cheia publica a gazdei a localhost. Cel mai simplu mod de a face asta este sa te conectezi (tot prin tiparirea parolei) de la localhost la remotehost si inapoi din nou - intotdeauna folosind asa numitul hostname calificat din plin, i.e host name sa includa domeniul: E-mail $ ssh paul.mit.edu E-mail password: [scrie parola ta aici] Welcome to paul.mit.edu E-mail $ echo 'peter.mit.edu bill' >> ~/.shosts E-mail $ chmod 600 ~/.shosts E-mail $ ssh peter.mit.edu E-mail password: [scrie parola ta aici] Welcome to peter.mit.edu E-mail $ ssh paul Welcome to paul.mit.edu A doua conectare de la peter la paul a fost intr`adevar posibila fara a scrie parola. noteaza-ti de asemenea ca ~/.shosts nu ar trebui sa fie scris de alti useri (chmod 600...).
In caz ca exista ceva care nu lucreaza, ar trebui sa incerci sa folosesti optiunea -v in timp ce te conectezi. SSH va explica atunci de ce o conectare password-less esueaza.
RSH are de asemenea optiunea de a executa comenzi separate.La fel si SSH. daca ti-ai setat fisierul ~/.shosts cum era scris mai sus, poti sa mai scrii doar atat: ssh remotehost remotecommand.
Acelasi lucru vei face si cu RSH. singura diferenta este, in caz ca nu ti-ai setat fisierul ~/.shosts, SSH te va ajuta cu parola in cazul unei executii a unei comenzi de separare. Asta e mai bine decat ce face RSH.
FTP in general, SSH nu suporta FTP. poti sa folosesti oricum SSH`s port-forwarding pentru a inlatura conectarile ftp pentru a indeparta gazdele. aceasta metoda implica mai mult efort decat conectarea obisnuita ftp si probabil vei vrea sa ocolesti ftp si sa folosesti scp in loc.
mai intai trebuie sa stabilesti un port pentru conectarea ssh la gazda la care vrei sa conectezi cere, bineinteles, ca gazda sa porneasca sshd si sa ai un cont pe el. pentru conectarile anonime ftp, acesta nu este de obicei un caz, dar aceste conectari de indepartare a gazdelor de obicei nu impun un risc de securitate. tu stabilesti port forwarding-ul conectarii folosind: peter $ ssh paul -L 1234:paul:21 Welcome to paul.
paul $ # Astept aici si pastrez conectarea port forwarding cat mai ridicata.
aici 1234 este un port local arbitrar la care te conectezi mai tarziu si 21 este port number pentru ftp al remotehost. apoi poti sa incepi o sesiune ftp intr-o alta fereastra. peter $ ftp localhost 1234 Connected to localhost. 220 paul FTP server (Some UNIX Version x.y) ready. Name (localhost:bill): bill 331 Password required for bill. Password: [type bill's password on paul here] 230 User bill logged in. Remote system type is UNIX. Using binary mode to transfer files. ftp> passive Passive mode on. ftp> nu fii confuz de la toate aceste hostnames. user-ul bill de la peter se conecteaza la serverul ftp pe port local 1234 (acesta este al lui peter). potrivit cu port forwarding (-L 1234:paul:21) deasupra acestui port este inaintat canalul ssh-ul criptat la portul lui paul 21 - portul de control ftp. de aceea clientii ftp raspund Conectat la localhost unde serverul separat spune 220 paul ftp server.atunci vei fi ajutat de username si de parola. acestea ar trebui sa corespunda cu contul tau de la paul, remote host.inainte de a face altceva, va trebui sa ingadui moduri pasive al clientului ftp folosind comanda pasiva. aceasta va fi sigura ca conectarea ftp-data port (20) va ajunge la clientul ftp. folosind scp in loc de ftp.
daca copiezi fisierele cu ssh, nu mai trebuie sa lucrezi cu programul SCP.lucreaza asemanator cu rcp: scp localfile remotehost:/remotedir scp localfile remotehost: scp -r localdir remotehost:/remotedir scp remotehost:remotefile localfile ...
daca ai setarile la fisierul tau ~/.shosts nu ti se va cere o parola pe durata operarii. mai multe detalii poti gasi pe pagina principala pentru scp.
criptarea cere timp CPU pentru criptarea si decriptarea datelor. de aici, conectarile ssh si fisierele de transfer scp sunt de obicei un pic mai incete decat conectarile necriptate. SSH ofera diferite feluri de criptare, numite Ciphers care au nivele diferite de securitate si solicitarile CPU. fisierul ssh.readme.ciphers compara aceste optiuni diferite: BLOWFISH ========
Bruce Schneier a blocat codul secret care a fost facut pentru a fi o alternativa rapida si gratuita a algoritmilor existente in criptare. este o autorizare gratuita. versiunea SSH foloseste 128 byt key pentru blowfish (algoritmul permite orice de la 32 la 448 bits).
performanta unei masini pentium este de aproape 88% a unei "none" criptari.
poti sa-l dezasamblezi fara sa dai optiunea blowfish de configurare. este pornit de nereprezentare.
[...]
3DES ====
cheia 3 triplu-DES(cheia efectiva de aproape 112bits) in modul ascuns CBC. asta este absenta codului secret care este folosita daca clientii cer un cod secret care nu este sustinut de server. cheia fisierului privateste criptata de 3DES din default. performanta unei masini pentium este de aproape 45% din "none" criptare. nu o poti dezasambla,pentru ca este un cod secret obligatoriu. [...]
SSH si SCP accepta optiunile commandline pentru a specifica codul secret preferat in conectare. codul default este IDEA si de acolo ai putea sa consideri sa folosesti "blowfish" ca default pentru ca este mai rapid. SSH are un fisier de configurare a userilor in ~/.ssh/config. formatul acestui fisier este descris in pagina de inceput a ssh.
pentru a ingadui "blowfish" pentru toate conectarile tale, fisierul ~/.ssh/config se va citi asa: Host * Cipher blowfish
SSH iti permite de asemenea sa presezi traficul de internet. aceasta este o optiune foarte interesanta daca folosesti ssh peste o linie de modem sau pe remote host. oricum, presarea ia din nou ceva mai multe CPU cycles, asa ca ar trebui sa balansezi viteza retelei de net impotriva vitezei CPU. poate ai vrea sa schimbi ~/.ssh.config cu Host *.mit.edu Cipher blowfish Host * Compression yes Cipher blowfish
alte optiuni interesante pentru pentru configurarea fisierului ar fi: ForwardAgent da, pentru a pasa informatii autorizate peste link`ul criptat. ForwardX11, pentru a inainta traficul X11 peste link`ul criptat. RhostsRSAAuthentication da, pentru a permite folosirea fisierului ~/.shosts. RSAAuthentication da, pentru a permite folosirea perechilor de chei autorizate RSA. FallBackToRsh nu, pt ca nu permite o folosire accidentala a rsh daca user`ul cere o conectare ssh. SSH trece la rsh prin absenta, daca remote host nu intelege protocolul ssh. X11 Cautand date X11 prin link`ul de siguranta.
pornind o sesiune de grafice pe o remote host de obicei implica setarile variabile ale display`ului de pe remote hostla myhost:0.0 si permite remote host in unele feluri sa acceseze display`ul de pe myhost.
(1) aceasta poate fi facuta folosind comanda: xhost +
pe care, din nefericire, multi o fac.aceasta comanda permite accesul pentru fiecare computer de pe internet. acces inseamna, de exemplu: oricine poate sa downloadeze continutul desktop`ului tau si sa vada ce faci. oricine poate sa-ti ia singura keysroke pe care o faci si sa scoata secvente ca telnet remotehost si urmatoarele doua randuri.
(2) mai bine este, dar nu extraordinar, sa selectezi o gazda specifica care garanteaza acces, folosind: xhost + remotehost
asta inseamna ca unul tre sa crada in fiecare (potential) user de pe remotehost ca nu va porni sniffer`ul tastaturii sau ca va downloada imaginea desktop`ului tau.
MIT magic cookie este o solutie si mai buna - oarecum dificil de folosit pentru majoritatea user`ilor. gasesti informatii despre aceasta metoda in prima pagina despre xauth xauth extract - $DISPLAY | ssh remotehost xauth merge -
garanteaza permisiunea bazata pe un criptografic cookie - traficul X11 este inca necriptat si poate fi spart de o persona neprietenoasa.
(3) solutia finala a acestei probleme este totusi ssh. daca permiti inaintarea X11 si ssh la un remote host, ssh va seta display`ul la ceva de genul: DISPLAY=remotehost:11.0. toate aplicatiile X11 pe care le pornesti de la remotehost se vor conecta la prtul remotehost: 11.0. SSH va porni apoi tot traficul X11 la display`ul local folosind link`ul criptat intre gazde. E-mail $ ssh paul Welcome to paul. E-mail $ echo $DISPLAY paul:12.0 E-mail $ xlsclients peter /usr/bin/X11/xterm E-mail $
singura forma posibila de atatc ar fi ca cineva cu acces la contul tau sa poata castiga acces la display`ul tau folosind link`ul criptat. asta este oricum un mod mult mai mic in cazul xhost/xauth.
keys keys si key-servers cum sa scrii parole bune frecvent. ssh nu permite doar parole bazate pe autentificare, dar permite de asemenea autentificarea perechilor RSA key. avantajul acestor tehnici de autentificare este ca poti proteja logarea ta cu parole mai mari de 8caractere. iti poti seta sistemulintr-un fel in care poti sa autentifici doar o data pe sesiune si apoi vei avea acces password-less la toate sistemele pe care le-ai ingaduit pentru aceste servicii.
pentru a seta SSH in acest fel, trebuie mai intai sa generezi o pereche RSA key. ssh-keygen
face asta pentru tine. ssh-keygen te va ajuta cu o parola care va proteja key-pair impotriva celor care vor sa fure partea privata a key-pair de la sistemul tau. sa il lasi gol este total descurajator.
vei avea apoi doua noi fisiere in ~/.ssh/: identity - cheia ta secreta privata; identity.pub - cheia ta publica.
continutul identity.pub(este o linie lunga) ar trbui atasata (ca o linie lunga) la fisierul ~/.ssh/authorized_keys de pe remote host.
daca acum te conectezi la un remote host, ssh te va ajuta la pass-phrase de la RSA key.daca aceasta este corecta, poti sa te loghezi fara sa-ti scrii parola normala. E-mail $ ssh paul Enter pass-phrase for RSA key E-mail': [ scrie pass-phrase aici ] Welcome to paul
E-mail $
pana acum, asta nu ne ajuta sa scriem pass phrases mai putin frecvent. alt program ssh, numit ssh-agent ne ajuta sa pastram si sa inaintam informatii d autentificare la gazde la care vrem sa ne conectam.
ar trebui sa pornesti ssh-agent cand te loghezi de la reteaua ta de lucru, preferabil in fisierul tau ~/.xsession. pune randurile astea doua: eval `ssh-agent` ssh-add in el, inainte a porni window manager, si randul: eval `ssh-agent-k` la sfarsit. dupa logarea ta obisnuita vei fi apoi intrebat de ssh pass-phrase. unii oameni se planga de aceasta procedura ca trebuie sa scrie parola de doua ori. dar - nu - a doua oara nu este parola ta dar este mai lunga de 8 caractere. si da - pana acum nu a fost xdm-support pentru pass-phrases. deci trebuie sa scrii o parola si o pass-phrase.
lucrul bun in legatura cu asta este ca ssh-agent iti va pastra identitatea si o va da fiecarei gazde la care te conectezi. deci va trbui sa scrii lunga ta pass-phrase o data pe sesiune.
daca setezi mediul ssh asa, folosind RSA key-pairs, asta inseamna de asemenea ca fisierul tau ~/.shosts este acum invechit. de fapt, pass-phrase protejata de RSA keys furnizeaza o securitate ridicata decat forma gazdei bazata pe ~/.shosts, ar trbui totusi sa dezinstalezi fisierul ~/.shosts din nou. altfel, un atacant care intra pe unul din conturile tale are acces automat la toate masinile tale. Drawbacks cand folosesti ssh nu esti in siguranta.
ssh iti furnizeaza cu toate instrumentele care iti face viata de internet mai sigura si care iti ofera extra confort.partea proasta este ca te astepti sa te protejezi si sa intelegi ca ssh nu te ptotejeaza sa nu faci greseli cand iti aperi datele si informatiile contului. Mixed Environment
aici este o sesiune draguta capturata de un crackerpe unul din sistemele MIT care arata problema in detalii: nyc-ny.ix.netcom.com => SOMEHOST.MIT.EDU [23] #'vt100!bill Secret ssh someotherhost -l bill @Secret inc mailfrom cd Mail ls exit exit
gazdele, userii si parolele sunt modificate. userul vine de serviciul de internet la masina unei gazde telnet si incepe o sesiune ssh la alta gazda. intrusul captureaza sesiunea nesigura telnet si face rost de toate parolele ssh in text clar. daca prima conectare ar fo fost una ssh, nu ar fi existat nici o sansa sa captureze parola.
atata timp cat userii folosesc amblele ssh si logari necriptate, nu este nici o securitate de parola. cracker`ul poate sa captureze parola de oe singura ta conectare necriptata(asta ar putea fi o conectare ftp la sistemul tau) si apoi poate sa foloseasca fericit ssh, userul tau si parola.
te rog noteaza-ti ca este oricum ok sa amesteci criptarile: poti sa te loghezi la un server athena.dialup folosind kerberized telnet si apoi sa mergi mai departe in siguranta. add crypto ssh someotherhost insecure remote host
cand te conectezi la o remote host care este nesigur, este placut ca cracker`ii sau alte persoane neprietenoase sa aiba acces la contul tau asa ca ar trbui sa dezasamblezi masina ta. X11 inainteaza la aceasta gazda (vezi descrierea ~/.ssh config mai sus). autorizarea inainteaza la aceasta gazda.
persoanele neprietenoase ar putea altfel sa aiba acces fie la display`ul X11 sau la toate gazdele in care ti-ai incredintat identitatea pastrata in ssh-key-server.
ar trebui un cracker sa castige acces la contul tau, dar nu poate sa sa foloseasca ssh keys pastrate in fisierul ~/.ssh/identity decat daca tu specifici scurte, evidente sau pass-phrases cu aceste identitati.
din moment ce un cracker are acces la identitatea ta nu se poate conecta la toate gazdele care cred in identitatea ta, asa ca alege o buna si lunga parola.
intrebari? comentarii? trimite mail credit: Patrick Decowski
Modificat de Parazitu_2009 (acum 17 ani)
_______________________________________
Omul care nu are nimic de pierdut e cel mai greu de invins.
|
|