Полезность WEP закрытые ESSIDs ВКП фильтрации и порт пересылки


  Share  
|


Это подводит нас к теме, чтобы WEP, закрытые ESSIDs и ВКП фильтрации, как защитные меры. Такие возражения являются "bypassable", вы знаете, как это сделать. Однако есть еще причины для того, чтобы эти гарантии. Одной из таких причин является законным. Злоумышленник, который в обход любой из этих контрмер не может ссылаться на незнание и утверждают, что его или ее объединения с сетью является чисто случайным. Таким образом, WEP или закрытые ESSID может служить в качестве одной из форм предупреждения сказал: "Мы ожидаем определенного уровня конфиденциальности в этой сети; Держать руки удалиться. " Организация потерять ценные данные или активов после беспроводных атак на основе иск может быть недостаточно для должной осмотрительности, если нет гарантий безопасности были развернуты. Однако, если исходные контрмеры были выполнены, вина может быть перенесен куда-то еще (производителей, разработчиков стандартов, литературы источники утверждают, что "статический WEP достаточно" и т.д.).

Другая причина заключается в повышении бар. Проникая любые возражения требует времени и усилий. Время заряда батареи составляет и выше возможность для пятнами. Значительная доля беспроводных крекеры являются "пропускная leech" типа. Они используют ноутбуки с preinstalled Windows и Netstumbler для поиска беспроводных сетей открыты для свободного подключения к Интернету, которые они могут использовать для загрузки порнографии и варезом или отправки спама. Что система и средства в их распоряжении, они, как правило, не может крэк WEP, создавать пользовательские фреймы раскрыть скрытые ESSIDs или запуска слой 2 человека - в самых средним или DoS атаки. С их знаниями они могут даже не знать, как изменить МАС-адресу их беспроводной интерфейс. Таким образом, базовые гарантии будут защищать вас от такого рода злоумышленник, но не предполагаем, что все крекеры в этом безоговорочно. В какой-то критический момент может не быть.

Наоборот, надлежащего осуществления порт пересылки может поднять бар на значительную прибыль. Хорошая идея - собрать ваши sshd с TCP Wrappers поддержки и отрицать все не SSH движения по беспроводной сети при фильтрации трафика SSH от неизвестных адресов (не забудьте отключить DHCP). Это может успешно сочетаться с МАС-адресу фильтрации и статической ARP тайников, где это возможно. Типичным примером порт пересылки использования экспортирует X Window приложений через SSH: 


  arhontus # ssh - X - ж Xserverhost xapplication_to_use

Помимо обеспечения шифрования данных и аутентификации пользователя, это сохранить загрузку ЦП и батареи на мобильный пребывания. Другой часто встречающийся пример просмотра Web или покупок в Интернете через прокси-сервер по беспроводной шлюз защиты поиска сессии SSH: 

  arhontus # ssh - L 5777: локальному: 3128 proxyhost

Затем настроить браузер использовать локальному: 5777, как HTTP прокси и Вы сделали (предусматривающее, что прокси вовсе слушать порт 3128 на другой стороне). Выбор порт 5777 на локальном хосте абсолютно произвольно, то Squid прокси слушает порт 3128 на одном из наших беспроводных шлюзов. Если ваш мобильный пребывания является окно Windows, вы можете использовать сторонние приложения для SSH туннель. Например, в PuTTY, выполните следующие действия:

  1. Из меню в левой части окна Настройка выберите Connection -> SSH -> туннелях.

  2. Согласно Добавить направлен порт введите номер порта, что Ваш компьютер будет слушать, как Источник порт.

  3. Для назначения введите локальному: 5777.

  4. Убедитесь в том, что местные кнопка выбирается и нажмите кнопку "Добавить".

  5. В новый порт пересылки правило должно отображаться в окне Отправка порты. Если вам необходимо удалить направлен порта, выберите его и нажмите кнопку Удалить.

  6. Сохраните изменения возвращаясь к сессии страницы и нажмите Сохранить.

  7. Теперь мы определили портов туннеля. Чтобы сделать его активным, просто войти на SSH сервер.

Число возможных примеров порт пересылки использования бесконечен, и мы не будем останавливаться на этом вопросе дальше. Просто убедитесь, что вы используете SSHv2 протокола, если вы и ваш SSH сервер и клиентов современными и не известные дыры безопасности (или лицом возможности быть r00ted на Троицы в ближайшие годы). Будьте как параноик, как мы. Мы уже упоминали, что по умолчанию шифр отбора в Linux / и т.д. / ssh-keygen / ssh_config является 


  # Киферс aes128 - cbc, 3des - cbc, blowfish - cbc, cast128 - cbc, arcfour, aes192 - cbc, aes256 - cbc

Мы рекомендуем заменить его с unhashed 

  Шифры aes256 - cbc, aes192 - cbc, aes128 - cbc, blowfish - cbc, cast128 - cbc, 3des - cbc, arcfour

и добавить следующие строки в файл: 

  МДК hmac - ripemd160, hmac - sha1, hmac - md5, hmac - sha1 - 96, hmac - md5 - 96 HostKeyAlgorithms ssh - dss, ssh - rsa

Подводя итог, порт пересылки обеспечивает быстрый и простой дополнение к традиционным слабым беспроводной гарантий таких как WEP и ВКП фильтрации. Хотя для некоторых конкретных условиях это может быть достаточным, если вы ищете более полного решения беспроводной безопасности данных выше уровня, мы настоятельно рекомендуем рассматривает IPSec.

это статья добавлена Hazrul Аарон

Share  
© 2005-2010 E-articles.info All Rights Reserved - Terms and conditions