[轉貼] SoftEther

alberthk

Originally posted by erictsai at 2004-4-16 07:50 AM:
看來好像反應都是又愛又怕。

要怎麼防範？不要想得太複雜的話，用那種需要登入認證的Proxy server，尤其是M$的challenge and response，大概市面上的proxy tunnel軟體就都不支援了吧。

賤招，大概有點用？有軟體支援ISA的登入嗎？

用 NTLM Proxy 吧，MS 的NTLM 認證在去年就被 NTLM Proxy 解決掉
目前我是用這個在穿過公司的 ISA Server

[ Last edited by alberthk on 2004-4-16 at 08:54 ]

alberthk

Originally posted by pigbaby at 2004-4-16 09:07 AM:

不過這個好像只要遇到是
SNAT+Firewall模式的
就沒有用了說

[ Last edited by pigbaby on 2004-4-16 at 09:20 ]

你是指 softether 還是 NTLM Proxy?

alberthk

Originally posted by Kevin ^_^y at 2004-4-16 03:29 PM:
幹IT的人真辛苦,每天都要想辦法堵東堵西的.......
不過其實老實說,內賊比外賊可怕!!

在一般公司的網路上,隨時可能都有人會在公司裡裝封包監聽程式,不管是Hub或是Switch,都可以監聽所有的封包.

[ Last edited by Kevin ^_^y on 2004-4-16 at 15:38 ]

原則上SWITCH上應該無法監聽所有封包吧

alberthk

Originally posted by Kevin ^_^y at 2004-4-19 12:27 AM:


可以的,而且不需要設Mirror Port就可以......常見的方法是利用arp的弱點. (細節不在這多談)

一般switch不一定有mirror port的設定，使用ARP的特性去報假MAC給SWITCH及Source，但這也只能抓取部份的的封包吧

alberthk

Originally posted by lifaung at 2004-4-19 03:20 PM:
看你在多上游....在最上方建立據點的話,大概誰的都可以抓下來

以前幹網管的時候就是讓自己在最上方的SWITCH上面,就有辦法去弄到所有人的封包

如果要抓所有進出公司的封包，最上游就是ROUTER接的那個SWITCH，但除非SWITCH有支援設定類似mirror port的功能，否則依switch的工作原理來說，你還是抓不到封包，否則這個switch的作用就和hub無異了，常見的較平宜的方式是把router接到hub去再接到switch

alberthk

Originally posted by Kevin ^_^y at 2004-4-21 09:40 AM:


一般而言,將Sniffer接在Hub上可以監聽所有封包,將Sniffer接在Switch上可以監聽到想聽的封包. (只需指定要監聽的對象,但不需在Switch上設Mirror Port即可以進行監聽)

大概的原理是利用ARP Spoolfing技術來進行封包監聽. (不想說太多,以免教壞小孩 )
一些Switch硬體廠商也慢慢發現有這個網路安全漏洞,所以也發展出一套反制的技術稱之為Port Security.

[ Last edited by Kevin ^_^y on 2004-4-21 at 09:52 ]

ARP Spoofing 已經不算什麼秘密了，會用sniffier去監聽的人大概都知道了
基本就是去騙對方我就是你要找的人(不想說太多,以免教壞小孩 )，收到封包後再轉給真正的人。

Port Security的廠商目前還不多吧