Re: Networking ideology questions.
On Wed, Nov 21, 2001 at 02:22:30PM -0500, Dmitriy Kropivnitskiy wrote:
> On Wednesday 21 November 2001 01:03 pm, Konstantin Starodubtsev wrote:
> > Я бы так не переживал, поскольку нечистоплотных админов у себя в конторе
> > надо сажать (криворуких расстреливать? :), а траффик все равно обычно через
> > кошки идет, а на них надо очень серьезно поглумиться, чтобы MITM attack
> > устроить.
В критичных случаях разрешать SSL соединение только для хостов с
> > известными сертификатами, тогда MITM'у совсем ничего не обломится.
>
> Я в принципе согласен что MITM представляет опастность только для
> действительно важной информации. Уж больно его сложно сделать.
Да все уже сделано - даже думать не придется
dsniff и иже с ними например
> С технической же стороны, есть пара замечаний. Не смотря на то что данные
> идут через CISCO коробки, не надо забывать что по дороге может встретится
> хаб, свитч или вообще кто-то может присосаться прямо к проводу. По этому
> совершенно не обязательно проводить MITM прямо на роутере если можно
> подсоединиться с нормальным лаптопом. Так же не стоит забывать, что после
> вашего роутера, есть железо на ISP, про которые обычно толком ничего не
> известно. Если кому-то из админов на ISP от скуки захочется пошалить у него
> все шансы. А насчет сертифицатов, то как ты понимаешь с e-mail такие фокусы
> плохо получаются.
В чем проблема?
Сервер (твой) можно настроить на проверку валидности предъявляемых
сертификатов, те что он подписан твоим CA и не находится в CRL и никаких
проблем - MITM провалился :)
With MBR
Max
Reply to: