Rede (Wireless??) em casa com 3 andares?

Originally posted by kazuza

Para começar, nem sequer me apanhas com o Network Stumbler, não sabes o meu SSID, quanto mais apanhar a chave WEP...

Como se isso te valesse de muito...

Originally posted by kazuza

E nem estamos a falar do protocolo que uso ( TKIP - PSK ) , que tal como o Kerberos, modifica a chave em comunicação, em intervalos por mim definidos....


Não percebo qual é a tara das pessoas pelo Kerberos... mas depois dizem que o WEP é que é frágil...
O kerberos é dos poucos protocolos em que se podem fazer ataques por repetição sem ele dar por nada...
 
Então se tu não souberes o meu SSId como entras na rede? Magia?

Ninguém disse (pelo menos eu ) que o WEP é inseguro... (É muito mal configurado pelos users, isso sim )

Se falas assim tão mal do Kerberos, então diz-me porque é o protocolo de autenticação mais usado, conjuntamente com o SSH, em IPSec?
 
Originally posted by kazuza
Então se tu não souberes o meu SSId como entras na rede? Magia?

Pelo Id do AP.
o SSId só serve como marketing, não tem qq participação na comunicação...

Originally posted by kazuza

Se falas assim tão mal do Kerberos, então diz-me porque é o protocolo de autenticação mais usado, conjuntamente com o SSH, em IPSec?

Vamos a ver uma coisa...

Uma coisa é o kerberos, um protocolo para partilha de SERVIÇOS por tickets...
É um protocolo aplicacional, nível 5.

Outra coisa é o SSH que normalmente serve para comunicações (+-) seguras e algumas formas de tunnelling. É um protocolo aplicacional, nível 5.

Ainda outra coisa é o IPSec, que é um protocolo de segurança entre 2 pontos. NÍVEL 3. Está ao mesmo nível do IP.

E não, nem o SSH nem o Kerberos têm a mínima coisa a haver com o IPSec, a não ser talvez, usarem a mesma cifra.
 
Excepto quando acedes remotamente por ssh, quando tens politicas de IPSec estabelecidas, que usam o Kerberos como método de autenticação ...

Isto é segurança!
 
Originally posted by kazuza
Excepto quando acedes remotamente por ssh, quando tens politicas de IPSec estabelecidas, que usam o Kerberos como método de autenticação ...

Quando usas SSH NÃO USAS KERBEROS.
Trocas de chaves e acabou a conversa.
É estúpido! um é seguro e o outro NÃO!

Quando tens políticas de IPSec estableces SA's e quando as estableces, ou distribuis as chaves à mão, ou usas o SKIP, o ISAKMP ou o Photuris, NÃO USAS KERBEROS PARA NADA.

Kazuza, leitura para esta noite : isto

para depois não andares a dizer barbaridades desse tamanho.
 
Originally posted by kazuza
Quando usas SSH por IPSec usas Kerberos, porque IPSec USA Kerberos...

AHAHAHAHAHHAHAHAHAHAHAHAHAH

Enfim...
Nem sei por onde começar porque vai uma confusão do tamanho do mundo por essa cabeça...

Tu não usas SSH por IPSec... SSH corre em cima de TCP, não em cima de IPSEC.

E não, o IPSec não usa KERBEROS, NUNCA NA VIDA.
Usa um dos 3 protocolos que te disse atrás.

Se queres teimar com isso teima, e não te vale de nada dares-me o link de uma das piores editoras de livros "técnicos" que já existiu...
Gostava de te ver a apresentar uma solução de IPSec em cima de Kerberos a um cliente, ia ser um fartote de rir.

Às vezes um pouco de formação académica dava-te geito, para dar umas bases teóricas daquilo que ainda não se tem prática.
 
A vossa ideia de wireless segura é não conseguir apanhar
e desencriptar os pacotes de terceiros que passam nessa
wireless?

Então e evitar que uma pessoa não autorizada consiga
entrar na rede e usá-la???

E soluções para windows?
 
Originally posted by iJFerreira
A vossa ideia de wireless segura é não conseguir apanhar
e desencriptar os pacotes de terceiros que passam nessa
wireless?

Então e evitar que uma pessoa não autorizada consiga
entrar na rede e usá-la???

Certo.
Tens 2 formas de fazer isso.
Ou bloqueias todos os sinais de rádio para fora da tua casa, ou cifras a comunicação.

Cifrando a comunicação, um intruso só pode fazer duas coisas:
- Escutar as mensagens cifradas, o que nao lhe serve de nada.
- Mandar pacotes para o ar, o que tem como consequência no pior dos casos um ataque DoS.

Para tu entrares numa rede Wireless tens de primeiro te "registar" no AP que te vai dar ligação.

Porque sem isso ninguém vai ligar aos teus pacotes, e não consegues decrifar os pacotes que os outros estão a mandar.
 
Então, numa VPN, que protocolos de autenticação e encriptação usarias tu, Tafinho ?

(Não falando especificamente em Wireless...)
 
Originally posted by kazuza
Então, numa VPN, que protocolos de autenticação e encriptação usarias tu, Tafinho ?

IPSec, SSH ou algum dos PPP ou ainda PPTP, dependendo do nível a que quisesses fazer o tunel.

Lembra-te que numa VPN tu nunca autenticas o utilizador, apenas a máquina.

Daí não haver qq necessidade do kerberos.
 
Originally posted by kazuza
Em sistemas M$ autentico o utilizador :confused: ...
Geralmente uso P2TP/IPSec ... (RRAS)

Tu autenticas o utilizador no domain server.
Mas isso não tem nada a haver com a VPN.

Na VPN só podes autenticar máquinas, e mesmo o termos autenticação é incorrecto.

O que tens no windoze é uma autenticação no domain server ( que é uma versão ligeiramente modificada do kerberos ) para poderes ter acesso aos servidos ( daí a terminologia, ticket grantting service ), mas que não tem a haver directamente com a VPN.
 

O problema das chaves fracas do RC4 não é novo...

E quanto a isso pode-se ler isto na FAQ do airsnort:

What kinds of wireless networks are vulnerable to this attack? Are mis-configured networks alone susceptible?
No, all 802.11b networks with 40/128 bit WEP encryption are vulnerable. As this is a passive attack, nothing can be done to detect to detect that this is being done, either. Some nics no longer generate IVs that result in a resolved condition. This renders current versions of airsnort ineffective.



Já há uns bons 15 anos que o problema das chaves fracas é conhecido. O problema não é o protocolo, mas a uma possível má implementação do protocolo. Tudo depende do hardware que for usado.
 
Nunca me tinha acontecido. Li a thread toda e não percebi nadinha. Estão a falar de quê?:D Redes, configuração etc e tal...suponho.
 
Não percebo nada do assunto em discussão, mas fui pesquisar e encontrei isto:

Restricting Server-to-Server Communication
You can also use IPSec to provide server authentication. This is useful when restricting the range of computers that can connect to middle-tier application servers or database servers. IPSec provides three authentication options:

Kerberos
To use Kerberos, the computers must:

Be part of the same domain and forest
Be within a specific source address range
Be within the same subnet
Use static IP addresses
Pre-shared secret key
To use pre-shared secret-key-based authentication, the two computers must share an encryption key.

Certificate-based authentication
To use certificate authentication, the two computers must trust a common certificate authority (CA), and the server that performs the authentication must request and install a certificate from the CA.

In this section, you set up IPSec authentication between two servers by using a pre-shared secret key.

Não diz aqui que IPSEC usa kerberos ? Ou percebi mal ou não se aplica a esta situação ?

http://msdn.microsoft.com/library/default.asp?url=/library/en-us/dnnetsec/html/HTUseIPSec.asp
 
Isso é uma das aplicações do IPSec...

Mas há uma coisa que ainda não perceberam... aliás, o que é importante é o que está no início dessa página da MSDN.

O IPSec establece algum nível de segurança entre 2 máquinas.

Não autentica utilizadores, não segura serviços nem faz mais nada sem ser aquilo.

Tudo aquilo está para lá do que o IPSec foi desenhado para fazer .

É obvio que convém ter algum tipo de segurança entre 2 máquinas que fazem parte de algum tipo de infraestutura de base de dados, e isso pode ser feita de 1000 maneiras, e para se usar kerberos não tem de se usar IPSec, nem nada parecido.

Por outro lado, para se usar IPSec, usa-se IPSec, não há nenhuma forma de que o IPSec possa depender do Kerberos. Estão a níveis diferentes.

Espero ter explicado.
Mais alguma coisa façam um thread nova, com aviso de Highly Technical.
 
Back
Topo