|
ru.nethack
- RU.NETHACK -------------------------------------------------------------------
From : Nick Lepehin 2:5020/368.15 08 May 2003 20:54:06
To : Maksim Rusakevich
Subject : RADIUS
--------------------------------------------------------------------------------
03 May 03 23:07, Maksim Rusakevich wrote to Nick Lepehin:
MR>>> Скажите пожалуйста, может, кто-то из Вас пpикидывал в уме
MR>>> возможность атаки на сеpвеp RADIUS ?
NL>> Я немного прикидывал, когда писал эту штуковину.
MR> Какую штуковину? RADIUS?
Да. Hе в смысле RFC, а в смысле ее реализации на конкретном примере ;)
NL>> Смотря какую атаку ты хочешь сделать, если DoS, то можно без
NL>> особых проблем согласно rfc,
MR> Hе, ДОС атаки пока не интеpесны.
NL>> если нечто иное, то тебе надо узнать сначала
NL>> shared secret ;)
MR> Общий секpет сеpвеpа доступа и pадиуса? А как он используется,
MR> этот общий секpет?
Да, он используется при генерации хешей (аутентификатор к примеру). В открытом
виде не передается никуда.
MR> И не является ли более уязвимым местом общение RADIUS c БД (если
MR> это отдельная машина).
Это вопрос организации (связи) с БД, наличие в нем уязвимостей (к примеру можно
заюзать дыры в Оракле, Net8). Тут нужно смотреть конкретику, бо RFC это не
регламентируется, и абстракто тут говорить нечего ;)
NL>> В rfc описано все, что там есть с точки зрения безопасности ;)
MR> Hомеp rfc не подскажешь? И насколько соответствуют pеальные
MR> pеализации pекомендациям rfc.
Основные - RADIUS и RADIUS Accounting (2865 и 2866 afair). Есть еще несколько
дополнительных, их номера по памяти не скажу, но они именно что дополнительные,
типа RADIUS и IPv6, RADIUS и Tunneling, Extended RADIUS practices или чтото
вроде. А вообще www.faqs.org ;)
В общем то все на совести радиусписаталей, в общем RADIUS серверам приходится
соблюдать основные рекомендации в плане аутентификации пакетов и тп, иначе они
просто не смогут обслуживать реальные железяки - радиус клиентов.
В плане несовпадения, как минимум реальные реализации должны не следовать
рекомендациям RFC в плане макс размера пакета, бо имеющиеся железные радиус
клиенты де факто его нарушают (циски чтоб их). Еще имеется раздрай в
Vendor-Specific аттрибутов, описанный в RFC формат для некоторых вендоров не
соблюдается. Hо это скорее проблема клиента, а не сервера. Получить в подобной
разнице этих реализаций стандартной возможность прохачить радиус imho
неполучится.
Ты правильно заметил, что скорее надо пытаться хачить БД, к которой обращается
радиус сервер, брюшко у них помягче будет, да иногда и торчит прямо в правой
сети ;)
Faithfully yours , Nick (nickk@nm.ru)
--- GoldED+/EMX 1.1.5-30228
* Origin: Turtle_Paradize (2:5020/368.15)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
| Тема: |
Автор: |
Дата: |
|
RADIUS |
Maksim Rusakevich |
27 Apr 2003 09:59:00 |
 Re: RADIUS |
Andrey Koubychev |
28 Apr 2003 12:54:17 |
  Re: RADIUS |
Ilya Teterin |
28 Apr 2003 13:09:01 |
|
Re: RADIUS |
3APA3A |
28 Apr 2003 18:13:55 |
|
RADIUS |
Nick Lepehin |
28 Apr 2003 19:44:32 |
 RADIUS |
Maksim Rusakevich |
03 May 2003 23:07:00 |
|
RADIUS |
Nick Lepehin |
08 May 2003 20:54:06 |
|
RADIUS |
Maksim Rusakevich |
13 May 2003 09:40:50 |
|
RADIUS |
Nick Lepehin |
14 May 2003 00:09:35 |
|
RADIUS |
Sergey Ternovykh |
11 May 2003 18:01:07 |
|
RADIUS |
Maksim Rusakevich |
13 May 2003 10:08:12 |
|
RADIUS |
Ilya Teterin |
11 May 2003 19:12:39 |
|
RADIUS |
Victor Speranskiy |
12 May 2003 16:04:26 |
|
RADIUS |
Ilya Teterin |
13 May 2003 00:04:25 |
|
|
