פורסם 2010 באוגוסט 715 שנים יש לי LAN שבנוי מ - מודם ראוטר אם פורט ethernet 1. ה IP של הראוטר הוא 254 - hub - מחשבים שמחוברים אליו ב dhcp ו ip קבועהראוטר מוגדר להעביר כל תקשורת נכנסת ל IP 1באותו מחשב IP 1 או במחשב אחר IP 2 (אני רוצה תשובה לכל אחד מהמקרים) מוגדרים שיתופים שונים כמו שיתוף כונן רשת / מדפסת וכואני רוצה שהשיתופים יהיו מאובטחים מגישה מבחוץ (מהאינטרנט) בכל אחת מהדרכים הבאות - לא ניתן להתחבר לשיתוף מהאינטרנט - לא ניתן להתחזות למחשב אחר שנמצא ב lan וכך להתחבר לשיתוף - לא ניתן להסניף את התקשורת שעוברת ב hub ומגיעה גם למודם ראוטר - לא ניתן להפנות תקשורת מהאינטרנט למחשב שונה מ IP 1במודם ראוטר אין פיירוול. במחשבים ישאם מספיק לחסום את IP 254 (הראוטר) בפיירוול של המחשב אם השיתוף לקבלת כל ההגנות האמורות ?אם מחשב מהאינטרנט יכול להתחזות למחשב lan אם IP שונה מ 254 ?אם הראוטר יכול להעביר לאינטרנט מידע שעובר ב hub גם אם הוא מיועד ל IP שנמצא ב lan ?אם ניתן לגרום למידע להגיע ל IP שונה מ 1 אחריי הראוטר גם אם בראוטר מוגדר redirect all incoming packets ל IP 1 ?
פורסם 2010 באוגוסט 915 שנים כשלב ראשון, אתה יכול להגדיר ברמת הרשאות השיתוף מי יכול להתחבר ו/או לעשות שינויים. בנוסף, אתה יכול להגדיר בחומת האש של המחשב רלוונטי (שעליו יושב השיתוף) שהתקשורת הנכנסת לפורטים הרלוונטים תהיה רק מהIP של המחשב השני/מחיבורים מקומיים.לחילופין, אתה יכול להשתמש בשיתוף מעל SSH או משהו דומה.מידע בLAN לא יכול לזלוג לאינטרנט כי הכתובות הLAN הן לא ראוטביליות באינטרנט. כמו כן, מחשב חיצוני לא יוכל להתחזות למחשב בתוך הLAN.לגבי אבטחה בתוך הרשת, ברמת העיקרון ממה שידוע לי, אם יש לך מחשב זדוני בLAN, הוא יהיה מסוגל להתחזות למכשיר אחר ברשת וגם לעשות sniffing לכל המידע שעובר בה. אמנם מידע מוצפן לא יהיה קריא בשבילו, אך כל תעבורה בclear תהיה גלויה בפניו. כדי לעקוף את הבעיה הזאת באמצעים פשוטים, אשר להשתמש בשירות VPN אינטרנטי מוצפן, כך שתעבור לאינטרנט דרך תעלה מוצפנת החוצה, אבל זה יעלה לך באיטיות בגישה למשאבים באינטרנט.
פורסם 2010 באוגוסט 915 שנים מחבר נניח ה IP החיצוני של הרשת שלי באינטרנט הוא X וה IP של מחשב ב LAN הוא Yמחשב מבחוץ לא יכול לפנות ל X ואז בפנים להציג את עצמו כ Y ?במידה ואיני סומך אל מחשב מסוים ב LAN ומשתמש אם ssh - מה מונע ממנו 'ללמוד' את הסיסמא ואז לשלוח אותה לשרת מתיי שבא לו ? האם קיימת הגנה כבר בשלב שבו נשלחת הסיסמא לשרת ?
פורסם 2010 באוגוסט 915 שנים נגיד ויש מחשב באינטרנט והכתובת שלו היא 92.123.76.110, וניגיד לך יש מחשב בתוך הרשת בכתובת 192.168.0.15.יש ההבדל קריטי בין שתי הכתובות האלו, הראשונה היא כתובת אינטרנטית, כלומר בעלת ניתוב. אם תשים פאקט שהיעד שלו הוא 92.123.76.110 בכל מקום באינטרנט, הוא ידע להגיע למחשב המסויים שמחזיק בכתובת הזאת.לעומת זאת, הכתבות השניה, 192.168.0.15, היא כתובת שמורה. כתובת שמורה זאת כתובת IP שייחדו לרשתות LAN ואין לה ניתוב באינטרנט. תשים פאקט עם יעד כזה והנתב הראשון בדרך פשוט יזרוק אותו.הבדל נוסף קיים בין הרשתות עצמן, הפרוטוקול הבסיסי שקובע באיזה צורה המידע נארז ונשלח ליעדו. זהו תפקידו של הנתב לארוז מחדש את המידע שאתה שולח ומקבל ע"מ שיתאים לכיוון שבו הוא נשלח.בנוסף על כל זה, הנתב שלך לא ממלא את תפקידו של המחשב החיצוני, הוא רק מעביר את המידע. מידע שהגיע מ 92.123.76.110 יראה ככזה שהגיע מהכתובת הזאת. זה חייב להיות ככה כיוון שחיבור TCP (פרוטוקול העברת המידע באינטרנט) מחייב לדעת מה הIP של שני המחשבים בחיבור.אם המחשב בכתובת 92.123.76.110 ישלח פקאט שבו רשום שמקור הפאקט היא הכתובת 192.168.0.20, כאשר המחשב המקבל ברשת שלך ינסה לענות לו, הוא ישלח את הפאקט חזרה ל192.168.0.20 - המחשב הזה לא קיים ברשת שלך והפאקט יזרק.לגבי SSH, בכל צורה סטנדרטית, הסיסמאות שלך לא עוברות ב-clear, אלא רק בחיבור המוצפן. לתוקף אין יכולת "לתפוס" את נתוני החיבור שלך ע"י sniffing. מה שכן, תוקף יוכל לראות לאיפה החיבור הולך והוא יכול לנסות להתחבר בSSH בעצמו, לשם כך כדאי להשתמש בסיסמאות חזקות.
פורסם 2010 באוגוסט 915 שנים מחבר כדיי שהחיבור יהיה מוצפן כבל מהתחלה יש צורך שהלקוח יצפין את המידע והשרת יפתח אותו או ישווה אותו בצורה המוצפנת למה שהוא מכיראם השרת פותח את ההצפנה יש צורך במפתח. אם המפתח עובר ברשת אז לא השגנו כלום. אם לא אז יש צורך שהלקוח והשרת יכירו אחד את השני מראש (לבצע החלפת מפתחות) - לא מוכר לי שלב כזה כשלב סטנדרטי בהגדרת SSHאם השרת לא פותח את ההצפנה ניתן להסניף את המפתח (המוצפן) ולשלוח אותו מחדש כשרוציםאיך מתקבלת ההגנה ?
פורסם 2010 באוגוסט 915 שנים זה נקרא public-key authentication וזה הולך בערך ככה:במחשב השרת אתה יוצר זוג מפתחות -מפתח ציבורי ומפתח פרטי. כדי לפענח מידע שהוצפן במפתח הציבורי יש צורך במפתח הפרטי. המפתח הפרט נשמר תמיד סודי בעוד שהמפתח הציבורי גלוי לכולם (או כל מי שמבקש).כשמחשב מתחבר לשרת הוא יקבל ממנו security certificate ע"מ לאמת את זהות המחשב ואת המפתח הציבורי.המחשב המתחבר יבחר מפתח חדש (סימטרי, כזה שעובד אותו דבר בשני הכיוונים, בניגוד לזוג מפתחות ציבורי-פרטי) בצורה אקראית, יצפין אותו בעזרת המפתח הציבורי של השרת וישלח אותו חזרה.מחשב השרת יפענח בעזרת המפתח הפרטי את המפתח החדש ויצור בעזרתו קשר מוצפן למחשב המתחבר.מכאן והלאה החיבור מוצפן ע"י המפתח שנבחר בעת ההתחברות.המפתח היחיד שיהיה גלוי ל"מתבונן מהצד" יהיה הפתח הציבורי של השרת, שאיתו אין לו מה לעשות.
פורסם 2010 באוגוסט 1015 שנים מחבר כלומר כן קיים תהליך של 'היכרות מראש' בין השרת והתחנת עבודה - למשל אל ידיי העברת המפתח בדיסק USB או כתיבה ידנית אל ידיי המשתמש ?
פורסם 2010 באוגוסט 1115 שנים המפתח הציבורי מיועד להצפנה בלבד ולא לפענוח. בלי המפתח הפרטי (או מחשב רב עוצמה) אי אפשר לפענח את המידע המוצפן.זה עובד באותה שיטה שעובד PGP, אני יכול לחלק את המפתח הציבורי שלי לכל אחד (והוא אפילו נמצא על שרת מפתחות באינטרנט).ועדיין רק אני אוכל לפענח את מה שהוצפן דרכו.
פורסם 2010 באוגוסט 1115 שנים מחבר כך אם המפתח הציבורי גם מחשב לא רצוי יוכל להצפין את המידע ולשלוח לשרתמה שנשאר עכשו בהגנה זה הסיסמא ?
פורסם 2010 באוגוסט 1115 שנים אתה צריך להבדיל בין הצפנה לאוטנטיקציה, הצפנה רק מאפשרת את המעבר הבטוח של מידע מצד אחד לצד השני. אוטנטיקציה נתנת לך לוודא שהצד השני הוא מישהו שאתה בוטח בו.אתה חלק הזה, כמו שרשמתי בתחילת הדיון, אתה מקבל ע"י עריכת הרשאות וסינון IP. נדבך נוסף הוא השימוש בשם משתמש וסיסמא.
ארכיון
דיון זה הועבר לארכיון ולא ניתן להוסיף בו תגובות חדשות.