|
| 1.2, demimurych (?), 22:38, 26/10/2009 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 >В моей сети есть много устройств и служб, доступ к которым осуществляется
> посредством telnet
например?
| | |
| |
| 2.6, Аноним (-), 08:47, 27/10/2009 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> по моему использование telnet уже сводит на нет все ваши усилия по сохранности паролей
А по-моему, Вы кроме PC ничего не видели. Не все Cisco имеют IOS, поддерживающий шифрование, а замена не всегда возможна - IOS стОит денег (привычка воровать не всегда остается безнаказанной), может не хватать аппаратных ресурсов (RAM, FLASH), могут не устраивать возможности и ошибки в релизе. А кроме Cisco есть еще масса другого оборудования, о котором Вы, вероятно, не слышали - D-Link, 3COM, Allied Telesis, RAD, Nateks, Juniper, MOXA, LinkSys, и масса другого. Не все устройства (скорее, лишь немногая часть) умеют ssh. И что ВЫ будете в таком случае делать?
А еще, уверен, Вы и не знаете, что, как правило, оборудование управляется с "приватных", т.е. недоступных снаружи, адресов в отдельном VPN второго (VLAN) или третьего (MPLS/VRF) уровня, куда нет доступа извне - включая физический. И как Вы в таком случае "скомпрометируете" систему?
Так что учите матчасть, и не делайте безграмотных заявлений.
| | |
| |
| 3.11, QuAzI (ok), 15:52, 27/10/2009 [^] [^^] [^^^] [ответить]
| +/– |
Ну и пофиг. Циска в серверной стойке, рядом пара серверов, на серверах ssh, воткнул шнурочек в COM-порт и оп, продолжаем рулить циской по ssh... в чём проблема?
А при чём тут VPN? Уж давайте или про зашифрованный канал и нормальных подход, с ключами и прочим, что действительно трудно "прочитать из за плеча" или про простенький telnet, пароли в буфере и толпу китайцев которые за спиной хором напевают пароли вместо караоке.
| | |
| |
| 4.14, rusty_angel (ok), 00:14, 28/10/2009 [^] [^^] [^^^] [ответить]
| +1 +/– |
>Ну и пофиг. Циска в серверной стойке, рядом пара серверов, на серверах
>ssh, воткнул шнурочек в COM-порт и оп, продолжаем рулить циской по
>ssh... в чём проблема?
Вообще-то не очень красиво.
| | |
| 4.19, Аноним (-), 10:26, 28/10/2009 [^] [^^] [^^^] [ответить]
| +1 +/– | |
>А при чём тут VPN?
Притом. Если Вы видели только сети, где все в одной среде - значит, ВЫ не видели нормальные сети. К слову, VPN - это и VLAN (2 уровень), и MPLS/VRF (3 уровень) - серьезное промышленное решение. А не только PPtP/IPSec, что обычно обыватели подразумевают под VPN.
| | |
| |
| 5.27, Ы (?), 19:25, 29/10/2009 [^] [^^] [^^^] [ответить]
| +/– |
У какой забавный кошковод :) Напомни что там в талмуде про VLAN & security написано? То-то же. Только если VLAN-ские тэги из ящика не выходят, а это значит ... SSL\TLS\SSH и сейчас - ваши лучшие друзья.
| | |
| |
| 6.28, Аноним (-), 10:06, 30/10/2009 [^] [^^] [^^^] [ответить]
| +/– |
>У какой забавный кошковод :) Напомни что там в талмуде про VLAN
>& security написано? То-то же. Только если VLAN-ские тэги из ящика
>не выходят, а это значит ... SSL\TLS\SSH и сейчас - ваши
>лучшие друзья.
Бред дилетанта.
| | |
| |
| 7.30, Аноним (-), 09:26, 02/11/2009 [^] [^^] [^^^] [ответить]
| +/– | |
>Бред дилетанта.
Вам никогда ящик не ломали с оборудованием и не вставляли туда в "разрыв" оборудование взломщика, а ведь оно может слушать и генерировать любой нужный тег VLAN'а ? У меня лет пять назад был такой случай.
| | |
|
|
|
|
| 3.12, User294 (ok), 22:26, 27/10/2009 [^] [^^] [^^^] [ответить]
| –1 +/– | |
>может не хватать аппаратных ресурсов (RAM, FLASH),
Извините, но ssh (минималистский его вариант ака dropbear) запихивали даже в d-link'овские ADSL модемы лохматого года выпуска, где 4 мега флеша и 16 - оперативы. Даже в те антикварные времена это были всего лишь весьма дешевые представители soho-сегмента.
>как правило, оборудование управляется с "приватных", т.е.
>недоступных снаружи, адресов в отдельном VPN
Ага, конечно, упомянутые вами же линксисы и длинки конечно же вот прямо с такими наворотами конфигуряются, ага :).Вам не кажется что у вас двойные стандарты? SSH вам сложно, а вот этот огород - якобы просто. Как по мне - так ssh смотрится логичнее таких извращений + телнета.
| | |
| |
| 4.15, rusty_angel (ok), 00:15, 28/10/2009 [^] [^^] [^^^] [ответить]
| +2 +/– |
>Ага, конечно, упомянутые вами же линксисы и длинки конечно же вот прямо
>с такими наворотами конфигуряются, ага :).Вам не кажется что у вас
>двойные стандарты? SSH вам сложно, а вот этот огород - якобы
>просто. Как по мне - так ssh смотрится логичнее таких извращений
>+ телнета.
Да не нам сложно, блин, а вендорам. Ну вот нет в некоторых железках ssh, хоть ты тресни
| | |
| 4.20, Аноним (-), 10:34, 28/10/2009 [^] [^^] [^^^] [ответить]
| +/– |
>Извините, но ssh (минималистский его вариант ака dropbear) запихивали даже в d-link'овские
>ADSL модемы лохматого года выпуска, где 4 мега флеша и 16
>- оперативы. Даже в те антикварные времена это были всего лишь
>весьма дешевые представители soho-сегмента.
Не сравнивайте дешевые отвратительные поделки D-Link (да, да, некоторые их используют, но это - начальный уровень. Плачут, и используют) с оборудованием уровня Cisco, Juniper, порою - стоимостью сотни тысяч $USD.
>>как правило, оборудование управляется с "приватных", т.е.
>>недоступных снаружи, адресов в отдельном VPN
>
>Ага, конечно, упомянутые вами же линксисы и длинки конечно же вот прямо
>с такими наворотами конфигуряются, ага :).Вам не кажется что у вас
>двойные стандарты? SSH вам сложно, а вот этот огород - якобы
>просто. Как по мне - так ssh смотрится логичнее таких извращений
>+ телнета.
Вы просто "далеки" от этого. А я имею опыт более десятка лет, профильное образование, и соотв. должность. Причем тут "линксисы и длинки конечно же вот прямо с такими наворотами конфигуряются"? Это не их задача. Вы что, правда думаете, что задачи на оборудовании ядра сети и переферии - одинаковые?! Это задача ядра сети. По сети MPLS создается отдельная VPN (обычно хочется сказать "отдельнЫЙ", но "сеть" - "она"), на втором уровне до перечисленного оборудования она доходит уже отдельным VLANом управления. И эта сеть ни с чем не пересекается (или пересекается, но с ОЧЕНЬ высоким уровнем обеспечения безопасности - для "удаленного" управления). И тогда все равно - что в ней ходит.
| | |
|
|
| 2.10, Бу (?), 15:32, 27/10/2009 [^] [^^] [^^^] [ответить]
| +1 +/– |
Вы правы "...если только не осуществляется в полностью контролируемой сети или с применением защиты на сетевом уровне (различные реализации виртуальных частных сетей)..."
Жаль что в дефолтной сборке ssh (современных версий) не влючен cipher none. Иногда очень нужен. Во время переливания с сервака на сервак N Гб внутри ядра сети очень нужно шифрование, и не говорите. :) Попробуйте чтоли поадминить что-нибудь кроме домашнего сервачка...
| | |
| 2.29, mike_t (?), 15:48, 30/10/2009 [^] [^^] [^^^] [ответить]
| +/– |
не читайте вики, а читайте документацию
есть вполне нормальные реализации телнет с безопасной аутентификацией, также существует телнет овер ссль
| | |
|
| 1.5, Аноним (-), 08:34, 27/10/2009 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
> А пользователям Windows со своей SecureCRT,
вообще, об этом думать не надо.
> Тем не менее использовать SecureCRT можно и в Linux.
Зачем? Есть KepassX. Ctrl-V в окно (или глобальную "горячую клавишу"), и все. И обеспечено как надежное хранение паролей и их подстановка, так и кроссплатформенность (Linux, Windows, Windows CE).
Что только не делают, лишь бы поиском не пользоваться...
| | |
| |
| |
| 3.21, Аноним (-), 10:37, 28/10/2009 [^] [^^] [^^^] [ответить]
| +1 +/– | |
>Огромное спасибо за информацию по KeePassX!
Пожалуйста. :) Все от того же анонимуса, которому просто не хочется искать пароль и логиниться. :)
| | |
|
| 2.22, dq0s4y71 (??), 11:34, 28/10/2009 [^] [^^] [^^^] [ответить]
| +/– |
А еще есть KeePass (от которой KeePassX форкнулся), он изначально был писан под венду. А еще есть AxCrypt, если шифровать надо отдельные файлы.
| | |
| |
| 3.24, Аноним (-), 14:26, 28/10/2009 [^] [^^] [^^^] [ответить]
| +/– | |
> А еще есть KeePass (от которой KeePassX форкнулся),
Когда я говорил о кроссплатформенности, я, разумеется, подразумевал для
Windows - KeePass Password Safe
Linux - KeePassX
Windows CE - KeePass for Smart Devices
А еще есть KeePassJ2ME, KeePass for iPhone, KeePass for PortableApps Suite™, KeePass 1.15 for U3 Devices, KeePass for Android (KeePassDroid). И это еще не все.
Кроссплатформенно? Более чем!
Все тут: http://keepass.info/download.html
| | |
| 3.25, Аноним (-), 14:34, 28/10/2009 [^] [^^] [^^^] [ответить]
| +/– | |
> А еще есть AxCrypt, если шифровать надо отдельные файлы.
Для шифрования отдельных файлов есть кроссплатформенные PGP, GPG, SSL, и т. д.
А еще есть FreeOTFE (http://www.freeotfe.org/) для _надежного_ кроссплатформенного (Windows, Windows CE) шифрования контейнеров/разделов. Причем, совместимо с LUKS, и dmcrypt / cryptsetup в Linux.
Про Truectypt, думаю, знают все.
| | |
|
|
|