Hallo !
Ich habe mittels pppconfig unter Debian Sarge meinen Internetzugang eingerichtet.
Was mich ein wenig fraglich stimmt, ist das eingeben von Benutzernamen und vorallem das Passwort.
Alle Daten sind sichtbar !
Ist das ein Problem oder kann es zu einem werden ?
Was sollte ich beachten ?
pppconfig und Sicherheit !
pppconfig und Sicherheit !
Danke !
Ciao
Celica
Ciao
Celica
Code: Alles auswählen
chmod 600 /etc/ppp/chap-secrets /etc/ppp/pap-secrets
... und beten, dass kein hacker über nen root process am netz reinkommt.
sicher eine dicke sicherheitslücke, aber wenn die passwörter verschlüsselt gespeichert werden sollen musst du bei jeder anmeldung das passwort eingeben und das ginge gegen die automatik des pppd.
auf jeden fall firewall mit iptables einrichten (z.b. lokkit ) .
kucken ob sie wirklich zu ist mit iptables -v -L
mfg
sicher eine dicke sicherheitslücke, aber wenn die passwörter verschlüsselt gespeichert werden sollen musst du bei jeder anmeldung das passwort eingeben und das ginge gegen die automatik des pppd.
auf jeden fall firewall mit iptables einrichten (z.b. lokkit ) .
kucken ob sie wirklich zu ist mit iptables -v -L
mfg
Warum? Wenn jemand mit root-Rechten auf dem Rechner ist, protokolliert er den PPPoE Traffic und liest daraus das Klartext-Passwort. Somit wäre auch bei einer verschlüsselten Speicherung nichts gewonnen.
Die Passwörter kann im Regelfall nur root lesen, sinofern ist das kein Sicherheitsloch. Und eine Firewall ist nur dann nötig, wenn man sein System nicht sauber konfiguriert - gerade unter Linux sollte es kein Problem sein, die Server so einzustellen, dass sie nur auf bestimmten Interfaces laufen.
Die Passwörter kann im Regelfall nur root lesen, sinofern ist das kein Sicherheitsloch. Und eine Firewall ist nur dann nötig, wenn man sein System nicht sauber konfiguriert - gerade unter Linux sollte es kein Problem sein, die Server so einzustellen, dass sie nur auf bestimmten Interfaces laufen.
oha, ich dachte bei challenge -ap oder pap wird verschlüsselt?
CHAP is used to periodically verify the identity of the peer using a 3-way handshake. This is done upon initial link establishment, and MAY be repeated anytime after the link has been established.
1. After the Link Establishment phase is complete, the authenticator sends a "challenge" message to the peer.
2. The peer responds with a value calculated using a "one-way hash" function.
3. The authenticator checks the response against its own calculation of the expected hash value. If the values match, the authentication is acknowledged; otherwise the connection SHOULD be terminated.
4. At random intervals, the authenticator sends a new challenge to the peer, and repeats steps 1 to 3.
freenet hat chap , tiscali leider nur pap.
und du würdest also rpc usw. nicht mit iptables schützen?
entschuldige, aber das hab ich noch nicht gesehen...
zudem ich lieber einmal iptables konfiguriere als 5 server .conf files
CHAP is used to periodically verify the identity of the peer using a 3-way handshake. This is done upon initial link establishment, and MAY be repeated anytime after the link has been established.
1. After the Link Establishment phase is complete, the authenticator sends a "challenge" message to the peer.
2. The peer responds with a value calculated using a "one-way hash" function.
3. The authenticator checks the response against its own calculation of the expected hash value. If the values match, the authentication is acknowledged; otherwise the connection SHOULD be terminated.
4. At random intervals, the authenticator sends a new challenge to the peer, and repeats steps 1 to 3.
freenet hat chap , tiscali leider nur pap.
und du würdest also rpc usw. nicht mit iptables schützen?
entschuldige, aber das hab ich noch nicht gesehen...
zudem ich lieber einmal iptables konfiguriere als 5 server .conf files
Zuletzt geändert von fzr am 14.12.2004 23:21:51, insgesamt 1-mal geändert.
EDIT: nach dem Posten meines eigenen Beitrags kann ich auch den vorigen vollständig lesen. Ich bin beunruhigt...
Viele Grüße,
Torsten
CHAP ist verschlüsselt, komischerweise kann ich deinen Beitrag nicht vollständig lesen??? Hallo Admins?fzr hat geschrieben:oha, ich dachte bei challenge -ap oder pap wird verschlüsselt?
CHAP is used to periodically verify the identity of the peer using a 3-way handshake. This is done upon initial link establishment, and MAY be repeated anytime after the link has been established.
1. After the Link Establishment phase is complete, the authenticator sends a "challenge" message to the peer.
2. The peer responds with a value calculated using a "one-way hash" function.
3. The authenticator checks the response against its own calculation of the expected hash value. If the values match, the authentication is acknowledged; otherwise the connection SHOULD be terminated.
4. At random intervals, the authenticator sends a new challenge to the peer, and repeats steps 1 to 3.
freenet hat chap , tiscali leider nur pap.
und du würdest also rpc usw. nicht mit iptables schützen?
entschuldige, aber das hab ich noch nicht gesehen...
Viele Grüße,
Torsten
sorry, hab gerade bearbeitet, wohl ein datenbank sync-problem.
wenn wir schon dabei sind, welche gefahren gibts noch , dass mir einer den dsl zugang vom router klauen kann?
spammer sind da z.b. ganz heiss drauf, unter fremden accounts die reklamemails zu verschicken.
ich darf an die doch sehr erfolgreichen brute-force angriffe gegen smtp-auth erinnern.
ich finde, das sollte schon wasserdicht sein ...
wenn wir schon dabei sind, welche gefahren gibts noch , dass mir einer den dsl zugang vom router klauen kann?
spammer sind da z.b. ganz heiss drauf, unter fremden accounts die reklamemails zu verschicken.
ich darf an die doch sehr erfolgreichen brute-force angriffe gegen smtp-auth erinnern.
ich finde, das sollte schon wasserdicht sein ...
PAP ist unverschlüsselt - und imho wird das noch am häufigsten eingesetzt...
RPC läuft über den portmapper - und der nutzt hosts.allow und hosts.deny - wozu also iptables? Aber ja, es ist Geschmackssache - und wer auf iptables-Skripte steht ...
Generell gibts immer zwei Möglichkeiten: Entweder ich konfiguriere alle meine Serverdienste sauber (und ich gehe mal davon aus, dass man jeden Serverdienst gut überlegt und eh per Hand nachkonfiguriert und dann bindet man die Viecher eh nur an die nötigen Interfaces) oder man blockt alles über einen Paketfilter.
Wobei ich langsam davon ausgehe, dass der Fragensteller eher darüber beunruhigt ist, dass das Passwort bei pppconf wirklich auf dem Bildschim beim Eintippen angezeigt wird - das könnte man sogar wirklich mal als Wishlist-Bug posten - schliesslich werden sonst alle Passwörter immer schön mit STernchen verdeckt...
RPC läuft über den portmapper - und der nutzt hosts.allow und hosts.deny - wozu also iptables? Aber ja, es ist Geschmackssache - und wer auf iptables-Skripte steht ...
Generell gibts immer zwei Möglichkeiten: Entweder ich konfiguriere alle meine Serverdienste sauber (und ich gehe mal davon aus, dass man jeden Serverdienst gut überlegt und eh per Hand nachkonfiguriert und dann bindet man die Viecher eh nur an die nötigen Interfaces) oder man blockt alles über einen Paketfilter.
Wobei ich langsam davon ausgehe, dass der Fragensteller eher darüber beunruhigt ist, dass das Passwort bei pppconf wirklich auf dem Bildschim beim Eintippen angezeigt wird - das könnte man sogar wirklich mal als Wishlist-Bug posten - schliesslich werden sonst alle Passwörter immer schön mit STernchen verdeckt...