Lassan itt a jó idő, én meg itthon nyomogatom a billentyűket...
Arra gondoltam, hogy jó lenne néha pár órára egy szabadtéri kávézóban melózni, csak hát felmerül a biztonság kérdése.
Egy linux alapú rendszer, ami sftp-vel kapcsolódik a szerverhez, nyitott wifi hálózaton milyen biztonsági kockázatnak van kitéve? Meg úgy általában mire kell figyelni?
- 1395 megtekintés
Hozzászólások
1. használj vmilyen vpn megoldás (gondolom nem csak sftp-re használod a netet)
2. ne süssön a szemedbe a nap, az se jó ha a kijelzőn tükröződik
3. ne öntsd a kávét a gépedre
4. válassz csendes helyet
5. öltözz melegen, vigyél takarót, ugyanis még 6 fok van odakint...
- A hozzászóláshoz be kell jelentkezni
mekkora meló egy vpn-t beállítani? Ez annyi, hogy felvarázsolom a linux szerverre, beállítom valahogy, majd csatlakozom egy klienssel, és minden ezen keresztül folyik?
- A hozzászóláshoz be kell jelentkezni
legegyszerűbb talán a pptp (szerver install, egy-két infó konfigba, felh./jelszavak felvétele, 1723 port kinyit, gre protokoll engedélyez). hátránya hogy nem a legbiztonságosabb, és ha hotspot nem engedélyezi pptp keresztülhaladást, akkor szívás.
én openvpn-t használok, elsőre nem a legkönnyebb belőni, de szerintem megéri vele pepecselni. kell kulcsokat generálni/felmásolni kliensekre, beállítani a szerver és kliens konfigokat, ha nem tunnel alapú akkor még a bridge-t is be kell állítani.
- A hozzászóláshoz be kell jelentkezni
+1 openvpn, nagyon jo doksija van, az alapjan viszonylag jol osszehozhato szerintem
- A hozzászóláshoz be kell jelentkezni
ha https a levelezés(gmail), sftp a fájlok távoli hozzáférése, akkor az engem már nem érdekel, hogy mondjuk lehallgatják, hogy a hup.hu-n mit olvasgatok.
A nem biztonságos, tehát sima http kapcsolatot hogy tudják figyelni? Ez mennyire lehet általános?
- A hozzászóláshoz be kell jelentkezni
Ellopják a kukidat, aztán majd a nevedben válaszolgatnak. :)
- A hozzászóláshoz be kell jelentkezni
A http pontosan azért nem biztonságos, mert alapjáratban nem tartalmaz titkosítási és autentikációs protokollokat. Azaz _elvileg_ bárki aki közted és a szerver között van a olvashatja, megváltoztathatja és visszajátszhatja a forgalmat.
--
The Net is indeed vast and infinite...
http://gablog.eu
- A hozzászóláshoz be kell jelentkezni
"ha https a levelezés(gmail)"
Ha aktiv tamadonk van (a wifi ilyen), akkor a https-el erdemes vigyazni, mert raveheti a bongeszodet egy cleartext-es keresre, es igy megszerezheti a cookie-jaidat, ha nincs bekapcsolva a secure flag (sot, neha meg azzal egyutt is; egyebkent ezt hivjak surfjacking-nek).
Konkretan a gmailben ezt mar elvileg javitottak, de egyebkent eleg elterjedt hiba, erdemes vele vigyazni.
"az engem már nem érdekel, hogy mondjuk lehallgatják, hogy a hup.hu-n mit olvasgatok"
Nem csak lehallgathatjak, modosithatjak is, pl. lehet bele varazsolni egy kedves kis browser-exploitot.
"A nem biztonságos, tehát sima http kapcsolatot hogy tudják figyelni?"
Pl. kedvenc drotcapank beizzitasaval.
--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!
- A hozzászóláshoz be kell jelentkezni
Nem csak lehallgathatjak, modosithatjak is, pl. lehet bele varazsolni egy kedves kis browser-exploitot.
Erre mekkora az esely?
- A hozzászóláshoz be kell jelentkezni
Ez a joakaroid szamatol, elszantsagatol, es a wifi hotspot torzskozonsegenek osszeteteletol fugg.
Egyebkent eleg valoszinutlen, pl. sokkal valoszinubb, hogy befake-elnek takemeaw neve ala par "igazi linuxfanboi" tipusu post-ot, ezzel megzavarva minden, az adott ap-rol hupot olvaso user nyugalmat. :)
--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!
- A hozzászóláshoz be kell jelentkezni
Ha csak ssh-t/sftp-t/scp-t hasznalsz, akkor nem ad plusz kockazatot a nyilt wifi, a titkositott protokoll miatt.
A web mar huzosabb, mert ott csak a https a titkositott.
PPTP-t szemely szerint nem ajanlanek, azt 10 evvel ezelott kb. 10 percig tartott feltorni (kulcsszivargas), azota gyorsabbak lettek a gepek, gyorsult az adatatvitel, szoval ha van mas lehetoseg, nem hasznalnam. OpenVPN-nek nincs ilyen sebezhetosege.
Felmerul meg a tiltott port kerdese: egyik ismerosom panaszkodott annakidejen, hogy az egyetemi rendszergazdi egy csomo dolgot letiltott (weboldalt, portot). Akkor allitottam at a 443-as (https) portra az ssh serveremet. Ezt a portot nem szoktak tiltani, szoval mindenhonnan elerem, es - mivel a https is hasonlo modon titkositott - elso ranezesre nem tunik fel, hogy csel van a dologban. Attol kezdve, hogy hazajutok ssh-val, mar megy a port tunnel, elerem az otthoni webproxyt (szoval a web sem ad plusz kockazatot a nyilt wifi miatt), szoval teljesen otthoni kornyezetet hasznalhatok.
Ehhez egy szamot kellett modositani a /etc/ssh/sshd_config-ban: Port 443
(futhat a 22-es porton is pluszban, de azt a lehetoseget teljesen megszuntettem)
--
I don't always dress in a T-shirt and jeans. Sometimes people give me awards, and I dress like a penguin instead. - Linus Torvalds
- A hozzászóláshoz be kell jelentkezni