Je me demandais le risque réel d'avoir des données non crypté sur le
réseau internet.
Je voudrais prendre un exemple précis:
Une personne chez un fournisseur internet classique veut se connecter
de chez lui à un service ftp hebergé sur un serveur dédier (serveur
dédier, ligne dédier).
Selon vous, à quel endroit se placerait une personne qui souhaiterait
intercepter le login password de la connexion FTP?
Selon moi :
-Chez le fournisseur internet les connexions sont commutées. --> donc non.
-Chez l'herbergeur les connexions sont commutées. --> donc non.
Il reste le transport des données sur internet et la pour les
intercepter les données, il faudrait être sur un des routeurs des
-Réseaux opérateurs. --> donc techniquement difficile.
J'estime donc que la probalité de se faire intercepter un login,
password sur internet est présque null. Et que les vrais risques ne sont
valables que sur les LAN.
-Chez le fournisseur internet les connexions sont commutées. --> donc non.
pas toujours
-Chez l'herbergeur les connexions sont commutées. --> donc non.
pas toujours
Il reste le transport des données sur internet et la pour les intercepter les données, il faudrait être sur un des routeurs des -Réseaux opérateurs. --> donc techniquement difficile.
pas seulement
J'estime donc que la probalité de se faire intercepter un login, password sur internet est présque null. Et que les vrais risques ne sont valables que sur les LAN.
Votre avis?
vous sous estimez les risques ;-)
Le 13/10/2005, tune a supposé :
-Chez le fournisseur internet les connexions sont commutées. --> donc non.
pas toujours
-Chez l'herbergeur les connexions sont commutées. --> donc non.
pas toujours
Il reste le transport des données sur internet et la pour les intercepter les
données, il faudrait être sur un des routeurs des
-Réseaux opérateurs. --> donc techniquement difficile.
pas seulement
J'estime donc que la probalité de se faire intercepter un login, password sur
internet est présque null. Et que les vrais risques ne sont valables que sur
les LAN.
-Chez le fournisseur internet les connexions sont commutées. --> donc non.
pas toujours
-Chez l'herbergeur les connexions sont commutées. --> donc non.
pas toujours
Il reste le transport des données sur internet et la pour les intercepter les données, il faudrait être sur un des routeurs des -Réseaux opérateurs. --> donc techniquement difficile.
pas seulement
J'estime donc que la probalité de se faire intercepter un login, password sur internet est présque null. Et que les vrais risques ne sont valables que sur les LAN.
Votre avis?
vous sous estimez les risques ;-)
Aris
tune wrote:
Bonjour,
Je me demandais le risque réel d'avoir des données non crypté sur le réseau internet.
Je voudrais prendre un exemple précis:
Une personne chez un fournisseur internet classique veut se connecter de chez lui à un service ftp hebergé sur un serveur dédier (serveur dédier, ligne dédier).
Selon vous, à quel endroit se placerait une personne qui souhaiterait intercepter le login password de la connexion FTP?
Selon moi :
-Chez le fournisseur internet les connexions sont commutées. --> donc non. -Chez l'herbergeur les connexions sont commutées. --> donc non. Il reste le transport des données sur internet et la pour les intercepter les données, il faudrait être sur un des routeurs des -Réseaux opérateurs. --> donc techniquement difficile.
J'estime donc que la probalité de se faire intercepter un login, password sur internet est présque null. Et que les vrais risques ne sont valables que sur les LAN.
Votre avis? le serveur dédié il se trouve où à ton avis ? dans une salle remplie
d'autres serveurs dédiés. Comment est-il connecté au routeur ? par un reseau ethernet classique partagé avec une 20aine d'autres serveurs dédiés qui sont potentiellement compromises. Comme expliqué par sylvain, les attaques par dhcp ou arp spoofing machent à quasiment tous les coups. Les attaques d'écoute active sont donc généralement faites par les voisins reseau des serveurs dédiés.
Maintenant, si tu te connectes via le cable télé, c'est pareil : toutes les communications de ta rue passent sur le même cable et il suffit d'un appareil qui permet de les lire pour être indiscret sur l'utilisation que font tes voisins d'internet ...
tune wrote:
Bonjour,
Je me demandais le risque réel d'avoir des données non crypté sur le
réseau internet.
Je voudrais prendre un exemple précis:
Une personne chez un fournisseur internet classique veut se connecter
de chez lui à un service ftp hebergé sur un serveur dédier (serveur
dédier, ligne dédier).
Selon vous, à quel endroit se placerait une personne qui souhaiterait
intercepter le login password de la connexion FTP?
Selon moi :
-Chez le fournisseur internet les connexions sont commutées. --> donc non.
-Chez l'herbergeur les connexions sont commutées. --> donc non.
Il reste le transport des données sur internet et la pour les
intercepter les données, il faudrait être sur un des routeurs des
-Réseaux opérateurs. --> donc techniquement difficile.
J'estime donc que la probalité de se faire intercepter un login,
password sur internet est présque null. Et que les vrais risques ne sont
valables que sur les LAN.
Votre avis?
le serveur dédié il se trouve où à ton avis ? dans une salle remplie
d'autres serveurs dédiés. Comment est-il connecté au routeur ? par un
reseau ethernet classique partagé avec une 20aine d'autres serveurs dédiés
qui sont potentiellement compromises.
Comme expliqué par sylvain, les attaques par dhcp ou arp spoofing machent à
quasiment tous les coups. Les attaques d'écoute active sont donc
généralement faites par les voisins reseau des serveurs dédiés.
Maintenant, si tu te connectes via le cable télé, c'est pareil : toutes les
communications de ta rue passent sur le même cable et il suffit d'un
appareil qui permet de les lire pour être indiscret sur l'utilisation que
font tes voisins d'internet ...
Je me demandais le risque réel d'avoir des données non crypté sur le réseau internet.
Je voudrais prendre un exemple précis:
Une personne chez un fournisseur internet classique veut se connecter de chez lui à un service ftp hebergé sur un serveur dédier (serveur dédier, ligne dédier).
Selon vous, à quel endroit se placerait une personne qui souhaiterait intercepter le login password de la connexion FTP?
Selon moi :
-Chez le fournisseur internet les connexions sont commutées. --> donc non. -Chez l'herbergeur les connexions sont commutées. --> donc non. Il reste le transport des données sur internet et la pour les intercepter les données, il faudrait être sur un des routeurs des -Réseaux opérateurs. --> donc techniquement difficile.
J'estime donc que la probalité de se faire intercepter un login, password sur internet est présque null. Et que les vrais risques ne sont valables que sur les LAN.
Votre avis? le serveur dédié il se trouve où à ton avis ? dans une salle remplie
d'autres serveurs dédiés. Comment est-il connecté au routeur ? par un reseau ethernet classique partagé avec une 20aine d'autres serveurs dédiés qui sont potentiellement compromises. Comme expliqué par sylvain, les attaques par dhcp ou arp spoofing machent à quasiment tous les coups. Les attaques d'écoute active sont donc généralement faites par les voisins reseau des serveurs dédiés.
Maintenant, si tu te connectes via le cable télé, c'est pareil : toutes les communications de ta rue passent sur le même cable et il suffit d'un appareil qui permet de les lire pour être indiscret sur l'utilisation que font tes voisins d'internet ...
Thierry Boudet
On 2005-10-13, tune wrote:
Selon vous, à quel endroit se placerait une personne qui souhaiterait intercepter le login password de la connexion FTP?
En fait, amha, ftp est un protocole obsolète: difficile à
fireoualer, difficile à natet, difficile à shapper, bref, il n'a que des défauts, et aucun aventage. L'argument "WinNeu² veut uploder son siteouaibe" ne tient plus. Il suffit de lui proposer WinSCP.
Bon, c'est vrai que ça ne règle pas le problème du MitM, mais éradiquer ftp permettrait de simplifier pas mal de choses.
J'estime donc que la probalité de se faire intercepter un login, password sur internet est présque null.
Non.
Et que les vrais risques ne sont valables que sur les LAN.
Quand tu arrives chez ton FAI, tu rentres bien sur un LAN,
et là, tu ne sais jamais exactement ce qui se passe.
-- C'est quand même dommage de se priver d'un fichier de fortunes "helios" quand on lit ce genre de choses, malheureusement le mainteneur aura du boulot parce que monsieur le docteur est fort prolixe. -{ kwyxz, fcol.debats }-
On 2005-10-13, tune <nomail@null.com> wrote:
Selon vous, à quel endroit se placerait une personne qui souhaiterait
intercepter le login password de la connexion FTP?
En fait, amha, ftp est un protocole obsolète: difficile à
fireoualer, difficile à natet, difficile à shapper, bref,
il n'a que des défauts, et aucun aventage. L'argument
"WinNeu² veut uploder son siteouaibe" ne tient plus. Il
suffit de lui proposer WinSCP.
Bon, c'est vrai que ça ne règle pas le problème du MitM,
mais éradiquer ftp permettrait de simplifier pas mal de
choses.
J'estime donc que la probalité de se faire intercepter un login,
password sur internet est présque null.
Non.
Et que les vrais risques ne sont valables que sur les LAN.
Quand tu arrives chez ton FAI, tu rentres bien sur un LAN,
et là, tu ne sais jamais exactement ce qui se passe.
--
C'est quand même dommage de se priver d'un fichier de fortunes "helios"
quand on lit ce genre de choses, malheureusement le mainteneur aura du
boulot parce que monsieur le docteur est fort prolixe.
-{ kwyxz, fcol.debats }-
Selon vous, à quel endroit se placerait une personne qui souhaiterait intercepter le login password de la connexion FTP?
En fait, amha, ftp est un protocole obsolète: difficile à
fireoualer, difficile à natet, difficile à shapper, bref, il n'a que des défauts, et aucun aventage. L'argument "WinNeu² veut uploder son siteouaibe" ne tient plus. Il suffit de lui proposer WinSCP.
Bon, c'est vrai que ça ne règle pas le problème du MitM, mais éradiquer ftp permettrait de simplifier pas mal de choses.
J'estime donc que la probalité de se faire intercepter un login, password sur internet est présque null.
Non.
Et que les vrais risques ne sont valables que sur les LAN.
Quand tu arrives chez ton FAI, tu rentres bien sur un LAN,
et là, tu ne sais jamais exactement ce qui se passe.
-- C'est quand même dommage de se priver d'un fichier de fortunes "helios" quand on lit ce genre de choses, malheureusement le mainteneur aura du boulot parce que monsieur le docteur est fort prolixe. -{ kwyxz, fcol.debats }-
tune
Aris wrote:
le serveur dédié il se trouve où à ton avis ? dans une salle remplie d'autres serveurs dédiés. Comment est-il connecté au routeur ? par un reseau ethernet classique partagé avec une 20aine d'autres serveurs dédiés qui sont potentiellement compromises. Comme expliqué par sylvain, les attaques par dhcp ou arp spoofing machent à quasiment tous les coups. Les attaques d'écoute active sont donc généralement faites par les voisins reseau des serveurs dédiés.
Maintenant, si tu te connectes via le cable télé, c'est pareil : toutes les communications de ta rue passent sur le même cable et il suffit d'un appareil qui permet de les lire pour être indiscret sur l'utilisation que font tes voisins d'internet ...
Donc peut on dire que s'il y a une interception de données elle sera effectué par l'intermédiare d'une machine corrompue se trouvant dans un des deux lan se trouvant au extrémité de la communication?
Aris wrote:
le serveur dédié il se trouve où à ton avis ? dans une salle remplie
d'autres serveurs dédiés. Comment est-il connecté au routeur ? par un
reseau ethernet classique partagé avec une 20aine d'autres serveurs dédiés
qui sont potentiellement compromises.
Comme expliqué par sylvain, les attaques par dhcp ou arp spoofing machent à
quasiment tous les coups. Les attaques d'écoute active sont donc
généralement faites par les voisins reseau des serveurs dédiés.
Maintenant, si tu te connectes via le cable télé, c'est pareil : toutes les
communications de ta rue passent sur le même cable et il suffit d'un
appareil qui permet de les lire pour être indiscret sur l'utilisation que
font tes voisins d'internet ...
Donc peut on dire que s'il y a une interception de données elle sera
effectué par l'intermédiare d'une machine corrompue se trouvant dans un
des deux lan se trouvant au extrémité de la communication?
le serveur dédié il se trouve où à ton avis ? dans une salle remplie d'autres serveurs dédiés. Comment est-il connecté au routeur ? par un reseau ethernet classique partagé avec une 20aine d'autres serveurs dédiés qui sont potentiellement compromises. Comme expliqué par sylvain, les attaques par dhcp ou arp spoofing machent à quasiment tous les coups. Les attaques d'écoute active sont donc généralement faites par les voisins reseau des serveurs dédiés.
Maintenant, si tu te connectes via le cable télé, c'est pareil : toutes les communications de ta rue passent sur le même cable et il suffit d'un appareil qui permet de les lire pour être indiscret sur l'utilisation que font tes voisins d'internet ...
Donc peut on dire que s'il y a une interception de données elle sera effectué par l'intermédiare d'une machine corrompue se trouvant dans un des deux lan se trouvant au extrémité de la communication?
Fabien LE LEZ
On 14 Oct 2005 01:14:23 GMT, tune :
Donc peut on dire que s'il y a une interception de données elle sera effectué par l'intermédiare d'une machine corrompue se trouvant dans un des deux lan se trouvant au extrémité de la communication?
Non. On peut juste dire que les quelques lecteurs de fcs t'ayant répondu, n'ont pas l'esprit assez tordu pour avoir trouvé une autre solution.
On 14 Oct 2005 01:14:23 GMT, tune <nomail@null.com>:
Donc peut on dire que s'il y a une interception de données elle sera
effectué par l'intermédiare d'une machine corrompue se trouvant dans un
des deux lan se trouvant au extrémité de la communication?
Non. On peut juste dire que les quelques lecteurs de fcs t'ayant
répondu, n'ont pas l'esprit assez tordu pour avoir trouvé une autre
solution.
Donc peut on dire que s'il y a une interception de données elle sera effectué par l'intermédiare d'une machine corrompue se trouvant dans un des deux lan se trouvant au extrémité de la communication?
Non. On peut juste dire que les quelques lecteurs de fcs t'ayant répondu, n'ont pas l'esprit assez tordu pour avoir trouvé une autre solution.
tune
Thierry Boudet wrote:
On 2005-10-13, tune wrote:
Selon vous, à quel endroit se placerait une personne qui souhaiterait intercepter le login password de la connexion FTP?
En fait, amha, ftp est un protocole obsolète
J'ai choisi FTP comme j aurais pu choisir telnet ou une autre connexion faisant passer le mot de passe en clair.
Ma question se tourne vraiment sur la probabilité de se faire intercepter son login password.
Et donc savoir quels sont les chances qu'une personne avec une simple connexion internet et beaucoup de compétences puisse intercepter ma connexion. Connexion de chez moi avec mon fournisseur d'accés à un serveur dédié sur switch herbergé.
J'estime donc que la probalité de se faire intercepter un login, password sur internet est présque null.
Non.
Je voudrais faire un sondage (sans vouloir vexer personnes) au prés des personnes qui pense que les chances de se faire intercepter leur connexion n'est pas négligeable:
Quand je dis "la probalité de se faire intercepter un login, password sur internet est présque null", repondez vous "non" parce que vous pensez que quelqu'un peu toujours trouver une faille ou parce que vous vous sentez capable de le faire par vous même?
Je parts du principe que le personnel travaillant chez les hebergeurs et les fournisseurs d'accés sont professionnel et qu'il ne sont pas les hackers.(même si cela peut être le cas....)
Et que les vrais risques ne sont valables que sur les LAN.
Quand tu arrives chez ton FAI, tu rentres bien sur un LAN, et là, tu ne sais jamais exactement ce qui se passe.
Car je suis d'accord pour dire que ces peronnes peuvents avoir accés à toutes les données transitant sur le réseau.
Thierry Boudet wrote:
On 2005-10-13, tune <nomail@null.com> wrote:
Selon vous, à quel endroit se placerait une personne qui souhaiterait
intercepter le login password de la connexion FTP?
En fait, amha, ftp est un protocole obsolète
J'ai choisi FTP comme j aurais pu choisir telnet ou une autre connexion
faisant passer le mot de passe en clair.
Ma question se tourne vraiment sur la probabilité de se faire
intercepter son login password.
Et donc savoir quels sont les chances qu'une personne avec une simple
connexion internet et beaucoup de compétences puisse intercepter ma
connexion.
Connexion de chez moi avec mon fournisseur d'accés à un serveur dédié
sur switch herbergé.
J'estime donc que la probalité de se faire intercepter un login,
password sur internet est présque null.
Non.
Je voudrais faire un sondage (sans vouloir vexer personnes) au prés des
personnes qui pense que les chances de se faire intercepter leur
connexion n'est pas négligeable:
Quand je dis "la probalité de se faire intercepter un login, password
sur internet est présque null", repondez vous "non" parce que vous
pensez que quelqu'un peu toujours trouver une faille ou parce que vous
vous sentez capable de le faire par vous même?
Je parts du principe que le personnel travaillant chez les hebergeurs et
les fournisseurs d'accés sont professionnel et qu'il ne sont pas les
hackers.(même si cela peut être le cas....)
Et que les vrais risques ne sont valables que sur les LAN.
Quand tu arrives chez ton FAI, tu rentres bien sur un LAN,
et là, tu ne sais jamais exactement ce qui se passe.
Car je suis d'accord pour dire que ces peronnes peuvents avoir accés à
toutes les données transitant sur le réseau.
Selon vous, à quel endroit se placerait une personne qui souhaiterait intercepter le login password de la connexion FTP?
En fait, amha, ftp est un protocole obsolète
J'ai choisi FTP comme j aurais pu choisir telnet ou une autre connexion faisant passer le mot de passe en clair.
Ma question se tourne vraiment sur la probabilité de se faire intercepter son login password.
Et donc savoir quels sont les chances qu'une personne avec une simple connexion internet et beaucoup de compétences puisse intercepter ma connexion. Connexion de chez moi avec mon fournisseur d'accés à un serveur dédié sur switch herbergé.
J'estime donc que la probalité de se faire intercepter un login, password sur internet est présque null.
Non.
Je voudrais faire un sondage (sans vouloir vexer personnes) au prés des personnes qui pense que les chances de se faire intercepter leur connexion n'est pas négligeable:
Quand je dis "la probalité de se faire intercepter un login, password sur internet est présque null", repondez vous "non" parce que vous pensez que quelqu'un peu toujours trouver une faille ou parce que vous vous sentez capable de le faire par vous même?
Je parts du principe que le personnel travaillant chez les hebergeurs et les fournisseurs d'accés sont professionnel et qu'il ne sont pas les hackers.(même si cela peut être le cas....)
Et que les vrais risques ne sont valables que sur les LAN.
Quand tu arrives chez ton FAI, tu rentres bien sur un LAN, et là, tu ne sais jamais exactement ce qui se passe.
Car je suis d'accord pour dire que ces peronnes peuvents avoir accés à toutes les données transitant sur le réseau.
Nicob
On Fri, 14 Oct 2005 06:29:29 +0000, tune wrote:
Je parts du principe que le personnel travaillant chez les hebergeurs et les fournisseurs d'accés sont professionnel et qu'il ne sont pas les hackers.(même si cela peut être le cas....)
Et quand le réseau du FAI est compromis ? Ca arrive malheureusement assez souvent et dans ces cas là, l'attaquant a la main sur la totalité de l'architecture, ceci lui permettant d'agir soit au niveau de la couche ARP (spoofing) soit au niveau des équipements en coupure (routeur, fw).
Nicob
On Fri, 14 Oct 2005 06:29:29 +0000, tune wrote:
Je parts du principe que le personnel travaillant chez les hebergeurs et
les fournisseurs d'accés sont professionnel et qu'il ne sont pas les
hackers.(même si cela peut être le cas....)
Et quand le réseau du FAI est compromis ? Ca arrive malheureusement assez
souvent et dans ces cas là, l'attaquant a la main sur la totalité de
l'architecture, ceci lui permettant d'agir soit au niveau de la couche ARP
(spoofing) soit au niveau des équipements en coupure (routeur, fw).
Je parts du principe que le personnel travaillant chez les hebergeurs et les fournisseurs d'accés sont professionnel et qu'il ne sont pas les hackers.(même si cela peut être le cas....)
Et quand le réseau du FAI est compromis ? Ca arrive malheureusement assez souvent et dans ces cas là, l'attaquant a la main sur la totalité de l'architecture, ceci lui permettant d'agir soit au niveau de la couche ARP (spoofing) soit au niveau des équipements en coupure (routeur, fw).
Nicob
Benjamin Pineau
Le 14 Oct 2005 01:11:31 GMT, Thierry Boudet écrivait:
Bon, c'est vrai que ça ne règle pas le problème du MitM,
Bah, il faut utiliser SSHv2 et ne pas accepter aveuglément la clef du serveur (ou mieux, que le reverse dns du serveur soit bien configuré, et retourne la clef).
Le 14 Oct 2005 01:11:31 GMT,
Thierry Boudet <tth@zouh.org> écrivait:
Bon, c'est vrai que ça ne règle pas le problème du MitM,
Bah, il faut utiliser SSHv2 et ne pas accepter aveuglément la
clef du serveur (ou mieux, que le reverse dns du serveur soit
bien configuré, et retourne la clef).
Le 14 Oct 2005 01:11:31 GMT, Thierry Boudet écrivait:
Bon, c'est vrai que ça ne règle pas le problème du MitM,
Bah, il faut utiliser SSHv2 et ne pas accepter aveuglément la clef du serveur (ou mieux, que le reverse dns du serveur soit bien configuré, et retourne la clef).
Benjamin Pineau
Le 13 Oct 2005 17:52:05 GMT, tune écrivait:
-Chez le fournisseur internet les connexions sont commutées. --> donc non. -Chez l'herbergeur les connexions sont commutées. --> donc non. Il reste le transport des données sur internet et la pour les intercepter les données, il faudrait être sur un des routeurs des -Réseaux opérateurs. --> donc techniquement difficile.
Si la machine de destination est un serveur mutualisé, il est assez exposé. Si c'est un dédié, alors pourquoi vous embetter, pourrir votre firewall et laisser le traffic en clair alors que vous pouvez installer un serveur ssh ?
Le 13 Oct 2005 17:52:05 GMT,
tune <nomail@null.com> écrivait:
-Chez le fournisseur internet les connexions sont commutées. --> donc non.
-Chez l'herbergeur les connexions sont commutées. --> donc non.
Il reste le transport des données sur internet et la pour les
intercepter les données, il faudrait être sur un des routeurs des
-Réseaux opérateurs. --> donc techniquement difficile.
Si la machine de destination est un serveur mutualisé, il est assez exposé.
Si c'est un dédié, alors pourquoi vous embetter, pourrir votre firewall et
laisser le traffic en clair alors que vous pouvez installer un serveur ssh ?
-Chez le fournisseur internet les connexions sont commutées. --> donc non. -Chez l'herbergeur les connexions sont commutées. --> donc non. Il reste le transport des données sur internet et la pour les intercepter les données, il faudrait être sur un des routeurs des -Réseaux opérateurs. --> donc techniquement difficile.
Si la machine de destination est un serveur mutualisé, il est assez exposé. Si c'est un dédié, alors pourquoi vous embetter, pourrir votre firewall et laisser le traffic en clair alors que vous pouvez installer un serveur ssh ?
Erwan David
Benjamin Pineau écrivait :
Le 14 Oct 2005 01:11:31 GMT, Thierry Boudet écrivait:
Bon, c'est vrai que ça ne règle pas le problème du MitM,
Bah, il faut utiliser SSHv2 et ne pas accepter aveuglément la clef du serveur (ou mieux, que le reverse dns du serveur soit bien configuré, et retourne la clef).
Un DNS ça se spoofe...
-- Si vous embauchez, voici mon CV http://www.rail.eu.org/cv/cv.pdf
Benjamin Pineau <ben@zouh.org> écrivait :
Le 14 Oct 2005 01:11:31 GMT,
Thierry Boudet <tth@zouh.org> écrivait:
Bon, c'est vrai que ça ne règle pas le problème du MitM,
Bah, il faut utiliser SSHv2 et ne pas accepter aveuglément la
clef du serveur (ou mieux, que le reverse dns du serveur soit
bien configuré, et retourne la clef).
Un DNS ça se spoofe...
--
Si vous embauchez, voici mon CV
http://www.rail.eu.org/cv/cv.pdf
Le 14 Oct 2005 01:11:31 GMT, Thierry Boudet écrivait:
Bon, c'est vrai que ça ne règle pas le problème du MitM,
Bah, il faut utiliser SSHv2 et ne pas accepter aveuglément la clef du serveur (ou mieux, que le reverse dns du serveur soit bien configuré, et retourne la clef).
Un DNS ça se spoofe...
-- Si vous embauchez, voici mon CV http://www.rail.eu.org/cv/cv.pdf
