forum.opennet.ru

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Оглавление

Представлен способ взлома MS-CHAPv2, по трудоёмкости идентич..., opennews (??), 31-Июл-12, (0) [смотреть все]

Блин, придется пока закрыть , Аноним (5), 18:26 , 31-Июл-12, (5) //

Придется совсем закрыть Или получить интрудеров халявщиков выстроившихся в очер, Аноним (-), 14:10 , 01-Авг-12, (42)

Первые две буквы в названии протокола как бы намекают, что надёжность его весьма, Дмитрий Ю. Карпов (?), 18:43 , 31-Июл-12, (9) +23 //

MS-законодатель стандартов для не исправляемых уязвимостей, Антон (??), 19:30 , 31-Июл-12, (10) +17 //

Протокол PPTP разработан Cisco, помимо PAP,CHAP,MSCHAP,MSCHAPv2 поддерживается E, Инфа (?), 09:07 , 01-Авг-12, (34) +1 //

Дешевые отмазки Беспардонная ложь те кто в здравом уме - сразу берут такой зап, Аноним (-), 14:11 , 01-Авг-12, (43) –4

Факты Только факты И ничего кроме фактов Ты просто не в курсе, вся энергия все, Инфа (?), 14:51 , 01-Авг-12, (51) +1

Что не мешает его применять чуть менее чем всем российским провайдерам , Аноним (-), 23:18 , 31-Июл-12, (30) +1 //

это потому, что он по умолчанию в винде, а не потому, что это что-то хорошее , анонимвввв (?), 00:46 , 01-Авг-12, (31) +1
и израильским - , Аноним (-), 02:25 , 01-Авг-12, (32)
Теперь халявщиков станет больше , Аноним (-), 14:12 , 01-Авг-12, (44)

продержался долгонько, Клыкастый2 (?), 10:24 , 01-Авг-12, (36)

Кроме chap есть и md5, livelace (?), 20:25 , 31-Июл-12, (13)
Называть PPTP VPN ом это все мягко говоря перебор , Анонище (?), 20:52 , 31-Июл-12, (14) //

Ну почему же К примеру VPN-ы в MPLS вообще не шифруются От этого виртуальная ч, saNdro (?), 21:07 , 31-Июл-12, (16) +1 //

Ну это если в частная не вкладывать те проблемы, которые решает ipsec Прото V, Анонище (?), 22:00 , 31-Июл-12, (24) //

И какие же проблемы решает ipsec, которые не решают другие VPN , Инфа (?), 09:20 , 01-Авг-12, (35)

google ipsec vs pptp , Анонище (?), 10:42 , 01-Авг-12, (38)

Там нет ничего однозначно отвечающего на поставленный вопрос , Инфа (?), 13:25 , 01-Авг-12, (40)

остынь , Анонище (?), 16:44 , 01-Авг-12, (56)

Трупом стану, обязательно последую твоему совету , Инфа (?), 09:28 , 02-Авг-12, (60)

PPTP это VPN, инфа 100 , Инфа (?), 13:28 , 01-Авг-12, (41)

Для аналитиков - напомним что DES был вообщем-то стандартом в США И если MS уд, Аноним (-), 22:40 , 31-Июл-12, (26) –3 //

напомнить до какого года был стандартом , Аноним (-), 22:50 , 31-Июл-12, (28) +4 //

напомнить в каком году был разработан MS CHAP v2 как бы уже больше 20 лет назад, Аноним (-), 14:41 , 01-Авг-12, (49)

При том все криптоаналитики уже на момент его приема дружно орали что ключ в 56 , Аноним (-), 14:14 , 01-Авг-12, (46) //

анонимы такие анонимы напомнить что там 2 ключевых элемента и блок подстанов, Аноним (-), 14:58 , 01-Авг-12, (52) //

Это Вы с ГОСТом перепутали, в DES блоки подстановок S-блоки фиксированные , Инфа (?), 15:31 , 01-Авг-12, (54)

нефига не фиксированные иначе бы в стандарте не описывалось как их надо выбират, Аноним (-), 16:07 , 01-Авг-12, (55) –1

S-блоки в DES фиксированные, зайди хотя бы в вики, они там выложены, более чем п, Инфа (?), 09:35 , 02-Авг-12, (61)

зато в 90е была стопка публикаций как эти s-box создавать Тогда же указывались , Аноним (-), 00:55 , 03-Авг-12, (63)

DES реализовывался в аппаратном исполнении, а у железяки так просто ключ не смен, Аноним (-), 17:50 , 01-Авг-12, (57) +1

Адрес сервера в бан, да и всякие recent никто не отменял Хрен он подберет при п, Anonim (??), 22:42 , 31-Июл-12, (27) –4 //

Какой адрес сервера в бан Подбор идет по один раз перехваченому сниффу А пото, Аноним (-), 22:56 , 31-Июл-12, (29) +4
Озвучьте пожалуйста название компании где такие крутые криптоаналитики работают , Аноним (-), 14:15 , 01-Авг-12, (47)

Имхо, новость - не повод для паники Про дырявость и кривость MS-CHAP известно да, SHRDLU (??), 08:40 , 01-Авг-12, (33) //

openvpn mpd могут работать с сертификатами , Клыкастый2 (?), 10:37 , 01-Авг-12, (37) //

За openvpn ничего не скажу, а mpd с каких пор научился аутентификации по сертифи, SHRDLU (??), 11:43 , 01-Авг-12, (39) //

В radius EAP-TLS, гражданин Etaoin , Forth (??), 20:36 , 01-Авг-12, (58)

Надо же Надо будет поэкспериментировать в этом направлении, для общего развития, SHRDLU (??), 23:33 , 01-Авг-12, (59)

Да, конечно Сшиб юзера с линии, он чертыхнется если не настроил автореконект , Аноним (-), 14:16 , 01-Авг-12, (48) –1 //

А теперь более подробно Сначала нужно определить, откуда и как юзер входит в сет, SHRDLU (??), 15:20 , 01-Авг-12, (53) +1
Вариант Домашнее подключение к провайдеру Разрезать витую пару, обжать оба конц, Инфа (?), 09:51 , 02-Авг-12, (62) –1

Сообщения [Сортировка по времени | RSS]

33. "Представлен способ взлома MS-CHAPv2, по трудоёмкости идентич..." +/–

Сообщение от SHRDLU (??), 01-Авг-12, 08:40

Имхо, новость - не повод для паники.
Про дырявость и кривость MS-CHAP известно давно. И прежде чем за сутки подобрать пароль, необходимо сначала ещё как-то перехватить необходимую информацию, что куда более нетривиальная задача.
В общем, использующие VPN c аутентификацией через MS-Chap могут спать (относительно) спокойно, а в перспективе можно задуматься, скажем, про l2tp+IPSec.

Ответить | Правка | Наверх | Cообщить модератору

37. "Представлен способ взлома MS-CHAPv2, по трудоёмкости идентич..." +/–

Сообщение от Клыкастый2 (?), 01-Авг-12, 10:37

> В общем, использующие VPN c аутентификацией через MS-Chap могут спать (относительно) спокойно, а в перспективе можно задуматься, скажем, про l2tp+IPSec.
openvpn/mpd  могут работать с сертификатами.

Ответить | Правка | Наверх | Cообщить модератору

39. "Представлен способ взлома MS-CHAPv2, по трудоёмкости идентич..." +/–

Сообщение от SHRDLU (??), 01-Авг-12, 11:43

> openvpn/mpd  могут работать с сертификатами.
За openvpn ничего не скажу, а mpd с каких пор научился аутентификации по сертификатам? Нет там такого...
http://mpd.sourceforge.net/doc5/mpd29.html#29
Mpd currently supports authentication against (tried in this order) extauth, radius, PAM, systems password database (master.passwd), OPIE and internal mpd.secret file.
С сертификатами, применительно к vpn построенном на mpd, насколько я знаю, работает софт, ответственный за IPSec - racoon/ipsectools. И даже при таком раскладе парольную аутентификацию никто не отменяет, сертификат используется только для поднятия шифрованного туннеля IPSec.
Ну либо самодельный скрипт сочинить, который будет как-то требовать и проверять клиентские сертификаты, но это совсем другая история, подобных примеров я лично не встречал...

Ответить | Правка | Наверх | Cообщить модератору

58. "Представлен способ взлома MS-CHAPv2, по трудоёмкости идентич..." +/–

Сообщение от Forth (??), 01-Авг-12, 20:36

>> openvpn/mpd  могут работать с сертификатами.
> За openvpn ничего не скажу, а mpd с каких пор научился аутентификации
> по сертификатам? Нет там такого...
В radius EAP-TLS, гражданин Etaoin.

Ответить | Правка | Наверх | Cообщить модератору

59. "Представлен способ взлома MS-CHAPv2, по трудоёмкости идентич..." +/–

Сообщение от SHRDLU (??), 01-Авг-12, 23:33

>>> openvpn/mpd  могут работать с сертификатами.
>> За openvpn ничего не скажу, а mpd с каких пор научился аутентификации
>> по сертификатам? Нет там такого...
> В radius EAP-TLS, гражданин Etaoin.
Надо же. Надо будет поэкспериментировать в этом направлении, для общего развития.
Спасибо, не знал.

Ответить | Правка | Наверх | Cообщить модератору

48. "Представлен способ взлома MS-CHAPv2, по трудоёмкости идентич..." –1 +/–

Сообщение от Аноним (-), 01-Авг-12, 14:16

> подобрать пароль, необходимо сначала ещё как-то перехватить необходимую информацию, что
> куда более нетривиальная задача.
Да, конечно. Сшиб юзера с линии, он чертыхнется (если не настроил автореконект) или вообще ничего не заметит (если настроил) да переконектится.

Ответить | Правка | К родителю #33 | Наверх | Cообщить модератору

53. "Представлен способ взлома MS-CHAPv2, по трудоёмкости идентич..." +1 +/–

Сообщение от SHRDLU (??), 01-Авг-12, 15:20

>> подобрать пароль, необходимо сначала ещё как-то перехватить необходимую информацию, что
>> куда более нетривиальная задача.
> Да, конечно. Сшиб юзера с линии, он чертыхнется (если не настроил автореконект)
> или вообще ничего не заметит (если настроил) да переконектится.
А теперь более подробно.
Сначала нужно определить, откуда и как юзер входит в сеть.
Потом получить доступ к месту, откуда юзера можно "сшибить с линии".
Потом посадить туда человека, способного не только "сшибить", но еще и перехватить нужную информацию (либо договориться с кем-то из имеющих туда доступ и обладающих нужной квалификацией)
В общем, дорогой Аноним, компьютерному гению Васе из параллельного класса это не по зубам по причинам, не имеющим к IT-сфере никакого отношения, а специалист обойдется недешево, и никто не станет связываться с этим ради доступа к черной бухгалтерии какого-нибудь "ООО Рога и копыта" - проще подойти с паяльником к бухгалтеру, а более серьёзные организации имеют и более серьёзную защиту, нежели поднятый на коленке pptp.
Повторюсь - проблема есть, и должна подвигать к уходу на более безопасные коммуникации, но появилась проблема не сегодня и нет повода экстренно заниматься эпиляцией седалищной части.

Ответить | Правка | Наверх | Cообщить модератору

62. "Представлен способ взлома MS-CHAPv2, по трудоёмкости идентич..." –1 +/–

Сообщение от Инфа (?), 02-Авг-12, 09:51

> Да, конечно. Сшиб юзера с линии, он чертыхнется (если не настроил автореконект)
> или вообще ничего не заметит (если настроил) да переконектится.
Вариант: Домашнее подключение к провайдеру:
Разрезать витую пару, обжать оба конца, воткнуть их в хаб, дополнительно туда же патч-корд, на ноутбуке запустить wireshark собрать дамп. После через переходник восстановить соединение.
Отправить дамп в контору и заплатить 200$.
Через сутки получить пароль. Ну или ломать самому несколько месяцев.
Потом его нужно как-нибудь использовать, но вот не задача 100% провайдеров использующих pptp используют привязку к mac.
Можете подменить его, но работа 2-ух устройств с одним mac-ом в сети это не работа.
В результате затратно, эффективность в районе нуля, есть шанс спалиться и пойти по 138, 138.1, 167 УК РФ.
Вопрос: зачем?

Ответить | Правка | К родителю #48 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

33. "Представлен способ взлома MS-CHAPv2, по трудоёмкости идентич..."	+/–
Сообщение от SHRDLU (??), 01-Авг-12, 08:40
Имхо, новость - не повод для паники. Про дырявость и кривость MS-CHAP известно давно. И прежде чем за сутки подобрать пароль, необходимо сначала ещё как-то перехватить необходимую информацию, что куда более нетривиальная задача. В общем, использующие VPN c аутентификацией через MS-Chap могут спать (относительно) спокойно, а в перспективе можно задуматься, скажем, про l2tp+IPSec.
Ответить \| Правка \| Наверх \| Cообщить модератору


	37. "Представлен способ взлома MS-CHAPv2, по трудоёмкости идентич..."	+/–
	Сообщение от Клыкастый2 (?), 01-Авг-12, 10:37
	> В общем, использующие VPN c аутентификацией через MS-Chap могут спать (относительно) спокойно, а в перспективе можно задуматься, скажем, про l2tp+IPSec. openvpn/mpd могут работать с сертификатами.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	39. "Представлен способ взлома MS-CHAPv2, по трудоёмкости идентич..."	+/–
	Сообщение от SHRDLU (??), 01-Авг-12, 11:43
	> openvpn/mpd могут работать с сертификатами. За openvpn ничего не скажу, а mpd с каких пор научился аутентификации по сертификатам? Нет там такого... http://mpd.sourceforge.net/doc5/mpd29.html#29 Mpd currently supports authentication against (tried in this order) extauth, radius, PAM, systems password database (master.passwd), OPIE and internal mpd.secret file. С сертификатами, применительно к vpn построенном на mpd, насколько я знаю, работает софт, ответственный за IPSec - racoon/ipsectools. И даже при таком раскладе парольную аутентификацию никто не отменяет, сертификат используется только для поднятия шифрованного туннеля IPSec. Ну либо самодельный скрипт сочинить, который будет как-то требовать и проверять клиентские сертификаты, но это совсем другая история, подобных примеров я лично не встречал...
	Ответить \| Правка \| Наверх \| Cообщить модератору


	58. "Представлен способ взлома MS-CHAPv2, по трудоёмкости идентич..."	+/–
	Сообщение от Forth (??), 01-Авг-12, 20:36
	>> openvpn/mpd могут работать с сертификатами. > За openvpn ничего не скажу, а mpd с каких пор научился аутентификации > по сертификатам? Нет там такого... В radius EAP-TLS, гражданин Etaoin.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	59. "Представлен способ взлома MS-CHAPv2, по трудоёмкости идентич..."	+/–
	Сообщение от SHRDLU (??), 01-Авг-12, 23:33
	>>> openvpn/mpd могут работать с сертификатами. >> За openvpn ничего не скажу, а mpd с каких пор научился аутентификации >> по сертификатам? Нет там такого... > В radius EAP-TLS, гражданин Etaoin. Надо же. Надо будет поэкспериментировать в этом направлении, для общего развития. Спасибо, не знал.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	48. "Представлен способ взлома MS-CHAPv2, по трудоёмкости идентич..."	–1 +/–
	Сообщение от Аноним (-), 01-Авг-12, 14:16
	> подобрать пароль, необходимо сначала ещё как-то перехватить необходимую информацию, что > куда более нетривиальная задача. Да, конечно. Сшиб юзера с линии, он чертыхнется (если не настроил автореконект) или вообще ничего не заметит (если настроил) да переконектится.
	Ответить \| Правка \| К родителю #33 \| Наверх \| Cообщить модератору


	53. "Представлен способ взлома MS-CHAPv2, по трудоёмкости идентич..."	+1 +/–
	Сообщение от SHRDLU (??), 01-Авг-12, 15:20
	>> подобрать пароль, необходимо сначала ещё как-то перехватить необходимую информацию, что >> куда более нетривиальная задача. > Да, конечно. Сшиб юзера с линии, он чертыхнется (если не настроил автореконект) > или вообще ничего не заметит (если настроил) да переконектится. А теперь более подробно. Сначала нужно определить, откуда и как юзер входит в сеть. Потом получить доступ к месту, откуда юзера можно "сшибить с линии". Потом посадить туда человека, способного не только "сшибить", но еще и перехватить нужную информацию (либо договориться с кем-то из имеющих туда доступ и обладающих нужной квалификацией) В общем, дорогой Аноним, компьютерному гению Васе из параллельного класса это не по зубам по причинам, не имеющим к IT-сфере никакого отношения, а специалист обойдется недешево, и никто не станет связываться с этим ради доступа к черной бухгалтерии какого-нибудь "ООО Рога и копыта" - проще подойти с паяльником к бухгалтеру, а более серьёзные организации имеют и более серьёзную защиту, нежели поднятый на коленке pptp. Повторюсь - проблема есть, и должна подвигать к уходу на более безопасные коммуникации, но появилась проблема не сегодня и нет повода экстренно заниматься эпиляцией седалищной части.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	62. "Представлен способ взлома MS-CHAPv2, по трудоёмкости идентич..."	–1 +/–
	Сообщение от Инфа (?), 02-Авг-12, 09:51
	> Да, конечно. Сшиб юзера с линии, он чертыхнется (если не настроил автореконект) > или вообще ничего не заметит (если настроил) да переконектится. Вариант: Домашнее подключение к провайдеру: Разрезать витую пару, обжать оба конца, воткнуть их в хаб, дополнительно туда же патч-корд, на ноутбуке запустить wireshark собрать дамп. После через переходник восстановить соединение. Отправить дамп в контору и заплатить 200$. Через сутки получить пароль. Ну или ломать самому несколько месяцев. Потом его нужно как-нибудь использовать, но вот не задача 100% провайдеров использующих pptp используют привязку к mac. Можете подменить его, но работа 2-ух устройств с одним mac-ом в сети это не работа. В результате затратно, эффективность в районе нуля, есть шанс спалиться и пойти по 138, 138.1, 167 УК РФ. Вопрос: зачем?
	Ответить \| Правка \| К родителю #48 \| Наверх \| Cообщить модератору