classic.ISPforum.cz

Přesně tak, nějakou dobu to tak testuji a už žádné uskutečněné spojení v logu nejsou. Ještě by to chtělo k téměř dokonalosti nějaký automatický idetifikátor skenování portů. Další užitečná věc by byla, pokud by log vypisoval heslo, které útočník použil. Už jsem zažil, že útočník zastavil až na blokaci IP, pak ovšem z logu člověk nepozná, jestli to heslo (třeba z minulosti) nezná. mpcz, 8.oct.2018

Co tě vede k domněnce, že ten "scanner" posílá heslo v plaintextu?

Vůbec nic. Je to jen zbožné přání, bez nějakých hlubších úvah. Jestli jsem to dobře pochopil, tak ani Sergej není schopen zjistit, jaké jméno / heslo útočník použil? Ví pouze to, že je / není OK? mpcz, 8.oct.2018

Základní princip všeho alespoň trochu rozumně navrženého (a u tunelů musí respektovat cizí návrh, na rozdíl od zbytku ala winbox) je, že nikdy heslo v plaintextu nejde. A ani v případě, kdy to je podloženo jinou vrstvou, třeba SSL. Prostě a jednoduše se použije princip challenge-response. Při připojení dostane klient náhodně vygenerovaný klíč. Ten použije společně s heslem jako hash a dohromady se jménem pošle zpět. Server udělá to samé - a buď to souhlasí, nebo nesouhlasí. Ale maximálně zná heslo na serveru, ale už ne to od klienta - je to jen hash.

Ok, dík, toho jsem se obával. Škoda, nezbývá, než doufat, že to Sergej udělal jinak, čemuž asi ani já v tomto případě nevěřím. mpcz, 8.oct.2018

TOMIK píše:

the.max píše:zakázat na firewallu? Problém bude ale jinde. Ono je mraky a mraky různých VPN, které běhají na různých portech, některé dokonce běhají na 80 nebo 443 takže je pak problém je odlišit od HTTP/HTTPS provozu. Zakázat synovi torrenty je IMHO boj s větrnými mlýny. Pokud nestačí zákaz, pak ještě můžeš zkonfiskovat počítač.

proto sem myslel resit to burstem nastavit na chvili maximum a po schvili jen nevim treba 2 mb tim padem by se mu yooo stahnu na menci kvalitu a tim padem by zralo mit pousti vse v hd nebo v nejvetsi kvalite

Tak co tomiku, dostal syn rozum? Nebo jak jsi ho omezil?

mpcz píše:Ok, dík, toho jsem se obával. Škoda, nezbývá, než doufat, že to Sergej udělal jinak, čemuž asi ani já v tomto případě nevěřím. mpcz, 8.oct.2018

Sergej je dost hovado, ale naštěstí ho nenapadlo cpát plaintextová hesla do logu. Vždyť tohle nechceš ani ty sám - sekneš se ve svém vlastním hesle (capslock, anglická klávesnice, vypnutý numlock...) a to se objeví ve "veřejně přístupném" LOGu (do logu vidí všichni uživatelé, chodí na syslog server...).