Безопасность коммутируемого соединения

616
dtmland

Если у вас есть две машины с Windows XP, вы можете установить коммутируемое соединение между ними, используя стандартную телефонную линию . Я полагаю, что то же самое можно сделать в Windows 7 и в большинстве других операционных систем. (Linux и т. д.)

В случае Windows XP вы можете настроить соединение так, чтобы клиент использовал «пароль» для подключения к серверу. Я подозреваю, что условно говоря, это не безопасно. Кто-то, у кого достаточно «ноу-хау», то есть «прослушивания» по телефонному соединению «между двумя компьютерами», может отслеживать пароль и легко просматривать трафик. Это подозрение верно? Если так, то почему и как?

Что делать, если я должен был настроить ssh-сервер и предварительно настроить все известные хосты и соответствующие ключи и тому подобное. Я мог тогда достигнуть безопасного соединения по стандартному небезопасному модемному соединению? Это правильно?

Наконец, у меня есть дополнительный вопрос, игнорируйте, если вы выберете (он несколько открытый, но может быть интересно ответить):

В наши дни большинство потребителей не используют коммутируемые соединения, но многие коммерческие приложения по-прежнему используют. Каковы шансы, что "плохие парни" "слушают" по вашей обычной телефонной линии? Как вы думаете, это на самом деле происходит?

1

3 ответа на вопрос

3
Alois Mahdal

Это подозрение верно? Если так, то почему и как?

Да, это называется атака «человек посередине» (MITM), и она может происходить практически по любому каналу связи.

Уверены, что слышали о "злых" политиках, которые подделывают чью-то почту? Почему они использовали печати для сообщений в древние времена?

Проблема заключается в том, что с появлением эпохи Интернета, существует гораздо больше возможностей для взлома, а также значительно снижается безопасность даже в тех вещах, которые мы знаем и используем.

Небольшой пример.

Подумайте об этом: вы идете в банк, чтобы отправить деньги, используя классические заявления.

  • в известном городе

  • на известной улице

  • с большим количеством людей вокруг

  • вы можете даже знать охранника

  • Вы знаете, как должно выглядеть утверждение

  • Вы можете даже знать клерка по лицу и по голосу. Даже если они новые, вы можете прокомментировать это и получить их реакцию.

Еще до того, как вы дотронетесь до бумаги, есть буквально тысячи терабайт (ну, AFAIK никто никогда не измерял, но это было бы огромное количество), которые ваш мозг сможет проверить, чтобы убедиться, что вы в нужном месте, и ничего странного не произошло в то утро.

Теперь этот огромный объем данных фактически является открытым ключом банка: все могут получить все данные, но для вас это работает, только если у вас есть воспоминания о месте (это ваш личный ключ). Ваш мозг (да, единственная машина, которой вы можете доверять, только потому, что вы должны), выполняет всю расшифровку и проверку за вас. Здорово.

Теперь рассмотрим HTML-страницу с простой формой имя / пароль. И ... как большой ... 4096 байт большой сертификат безопасности. Где закрытые ключи? Чтобы максимально упростить, мы могли бы сказать, что они есть в вашей ОС. И что это за ящик, который делает чеки для вас? Ты можешь заглянуть внутрь?

Добро пожаловать в мир интернет-безопасности.

Что ж, я не пытаюсь сравнивать миры со вселенными или говорить, что как-то легко подделать банковский сертификат (хотя это смехотворно легко сделать с помощью HTML-формы), или что легко попасть в середину ( ну, это удивительно легко в большинстве сетей Wi-Fi). То, что я пытаюсь сказать, это то, что никогда не было так мало данных для подделки, и никогда не было более "невидимых" способов сделать это.

Что делать, если я должен был настроить ssh-сервер и предварительно настроить все известные хосты и соответствующие ключи и тому подобное. Я мог тогда достигнуть безопасного соединения по стандартному небезопасному модемному соединению? Это правильно?

Это именно то, для чего был создан ssh: создание относительно безопасных соединений по ненадежным сетям.

Однако есть и другие факторы, которые следует учитывать.

Хорошо, при условии, что ваш закрытый ключ или ваш сервер не были скомпрометированы, и при условии, что вы использовали сильный (= длинный, 4096 байт) ключ, и при условии, что ваш «враг» не обладает огромной вычислительной мощностью, при условии, что ваш враг не слушая достаточно долго, при условии, что у них будет как можно меньше знаний о вашем аппаратном и программном обеспечении ... да, это может сделать его очень трудно взломать.

Помните: безопасность это не технология. Безопасность - это мышление.

Каковы шансы, что "плохие парни" "слушают" по вашей обычной телефонной линии? Как вы думаете, это на самом деле происходит?

Вероятно, очень трудно догадаться, не зная технических деталей соединения. Сколько вокруг акул с лазерами? Это в середине Солнца?

А если серьезно, я думаю, что, хотя вы, вероятно, не можете угадать доказательства, есть и другая точка зрения:

Могут ли влиятельные парни оценить ценность такого варианта? (Я имею в виду, сколько им лет? Они уже "интернет-поколение"?)

Можно ли (или будет ли это в ближайшее время) проанализировать такие данные и извлечь из этого пользу?

Являются ли люди, которые в некотором смысле неизбежно должны собирать такие данные только для того, чтобы их сервисы могли работать (например: «Не представляю себе социальную сеть без хранения социальных данных)», достаточно ли этически сбалансированы, чтобы они еще не продавали их? ? Знаем ли мы это?

Добро пожаловать в мир интернет-этики.

1
cb4

Это подозрение верно? Если так, то почему и как?

Ваше подозрение не совсем верно. Windows XP поддерживает ряд параметров безопасности для аутентификации и шифрования для удаленных сетевых подключений, включая удаленный доступ. Это задокументировано на веб-сайте Microsoft .

Хотя WinXP можно настроить так, чтобы пароль передавался в виде открытого текста, другие параметры требуют безопасной отправки пароля и шифрования последующего трафика. Такое соединение не может быть легко отслежено. Однако методы взлома безопасного соединения существуют. Некоторые труднее взломать, чем другие, в зависимости от выбранных опций (например, 40-битный ключ [легкий] или 128-битный ключ].

Да, ваше ssh-соединение будет защищено, и вы можете выбрать более надежный алгоритм шифрования (256-битный ключ), чем WinXP.

Что касается вашего дополнительного вопроса, я думаю, что вероятность того, что «плохие парни» (то есть тот, кто хочет причинить вам вред), слушает по прерывистой линии дозвона, низкая, потому что хакеры обычно ищут «большой счет». Тем не менее, вы всегда должны защищать удаленные сетевые подключения любого типа и никогда не отправлять пароли по проводам в виде открытого текста.

0
agz 
Is this suspicion correct? If so, why and how?

Да, это правильно. Это также проблема современных соединений, но шифрование позаботилось об этом. (Исследование закрытых и открытых ключей)

What if I were to setup an ssh server and pre-configure all the known hosts and appropriate keys and such. I could then achieve a secure connection over the standard un-secure modem connection? Is this correct?

да

What are the chances that "bad guys" are "listening" on your average land line telephone connection? Do you think this actually happens?

Это зависит от того, кого вы считаете «плохими парнями». В свете недавних новостей от АНБ, совершенно очевидно, что правительство «слушает», и хорошо известно, что интернет-провайдеры и провайдеры телефонной связи регистрируют и контролируют ваш интернет / телефон. Если вы считаете их "плохими парнями", тогда да. Тем не менее, маловероятно, что случайный незнакомец подключается к вашему телефону / интернету.

«Шифрование позаботилось об этом», ... чтобы сделать его несколько сложнее. Никто никогда не будет "заботиться об этом". Alois Mahdal 11 лет назад 0

Похожие вопросы