|
Правильно ли я понял для защиты от сниферов применяется шифрование трафика? Если да, то плиз обьясните кто может, по любой системе windows, linux как это сделать.
|
Lindah
возможно вам поможет знакомство с топиком "Борьба со снифферами в локалке" дополнительное шифрование уже применяется непосредственно к используемому программному обеспечению. поэтому ключевые слова для поисков "шифрование название_ПО" |
Lindah
Внутри локалки помогает настройка IPSec (в ХР и 2000 есть встроенная поддержка, тока в 2К настроек меньше). Конкретных ссылок дать на статьи дать не могу, но по этому вопросу по поиску окромное количество информации найти можно. |
[rus]Pravil'no li ya ponyal, snifferit' mogut tol'ko v lokalke?[/rus]
[s]Исправлено: ArtemD, 14:42 7-01-2004[/s] |
Lindah
Практически - да, теоретически - нет. Если какой-нить интернет провайдер задастся целью просниферрить имеющиюся в его распоряжении сетку, включая все имеющиеся интернет-маршрутизаторы, то добром это не кончится - все капитально присядет, хоитя если под это дело выделить специальное оборудование, то можно добится, чтоб на производительность транзитного трафика это сильно не влияло. А твой вопрос что подразумевал? Можно ли из локалки сниферить интернет, это имелось в виду? |
Greyman
Я имел ввиду, что если у меня нет локалки то боятся сниферов мне нечего. Так или нет? P.S. Спасибо всем |
Lindah
Цитата:
|
2 Greyman
ИМХО, интернет-пров, если возникнет такая необходимость (или будет поставлена задача :) ), конечно, сможет снифить весь трафик, исходящий от клиента, равно как и входящий. НО! Например, на моем хосте выполняется веб-сервак, через к-рый клиент из инета обмениваеся со мной (и с другими) инфой (форум там, чат, гостевуха, голосование, заказ товаров в веб-шопе с указанием реквизитов своей кредитки, и т.п.). Если при этом используется шифрование трафика (например Апач с поддержкой SSL), пров может снифить сколько угодно, само по себе это ему ничего не даст :) . Сорри, кто знает, для тех, кто не знает, попытаюсь объяснить. В данном случае используется ассиметричное шифрование. Это значит, что передаваемое сообщение зашифровывается так: *С=М(Кз), где С - зашифрованное сообщение, М - открытое сообщение, Кз - ключ шифрования. Т.е. С является функцией от М по аргументу Кз; Кз-случайное число. *Далее, криптотекст С расшифровывается так: М=С(Кр), где Кр - ключ расшифрования, который в нашем случае (ассиметричное шифрование) не равен Кз (при симметричном шифровании Кз=Кр). Все это упрощенно, конечно.:biglaugh: *Кз является открытым ( или публичным) ключом public key в то время как Кр - закрытый, private key. Таким образом, пров при желании может отловить сообщение, зашифрованное с помощью открытого ключа, но расшифровать это сообщение (в идеале) возможно только на сервере, где хранится Кр. Для всего этого используется различный матаппарат в зависимости от требуемой стойкости к криптоанализу(проще говоря - взлому) - RSA (криптопреобразования в кольцах целых чисел - в OpenSSL, если не ошибаюсь, используется именно такой алгоритм с ключом в 128 бит), криптопреобразования в полях Галуа, криптопреобразования в эллиптических кривых над полями Галуа (на этом матаппарате построена реализация цифровой подписи в соответствии *с ДСТУ 4145-2002 - Держстандарт Украины, имеется соответствуюющий ГОСТ РФ, не помню какой :) ). Но это я немножко отвлекся, короче, при желании можно сделать так, что пров сможет снифить трафик (если захочет или заставят), но смысл передаваемой инфы останется для него недоступен :biglaugh: Извините, что так длинно. |
Есть очень хорошая программа: Waste. Написана она автором небезизвестного Winamp'а. С ее помощью можно общаться, обмениваться файлами и т.д., но только с определенными пользователями. Шифруется все RSA, так что никто не влезет.
Скачать: http://grazzy.mjoelkbar.net/waste/ Настройка: http://www1.xakep.ru/magazine/xa/055/026/1.asp |
| Время: 11:26. |
Время: 11:26.
© OSzone.net 2001-