Überhaupt nicht süß, wie ätzend deine Kommentare hier sind. Ganz und garnicht. Aber das weißt du auch.
Mir ist schon klar, dass es bei Kerberos private Schlüssel gibt. Wenn man aber in der Lage ist, jeden (!) Linux-Server am Freitag Abend von außen abzuschießen, dann findet man auch was, was man den einzelnen Rechnern unterschieben kann.
Von Verfluchtnochmal_5987109 am Fr, 21. Juni 2019 um 01:04 #
Ach Gott so einfach schießt du nicht jeden Rechner von außen ab! Kannst gerne hier vorbei kommen, falls du es wieder erwarten bis zum WLAN schaffst möchtest du mir noch zeigen wie du die Firewall zwischen outbound interface umgehst die blöderweise genau die Pakete rausfiltert
Abgesehen davon ist in ernsthaften Netzen dein Zeitfenster verdammt kurz weil crashende VM's oder selbst physische Maschinen die kritische Infrastruktur hosten üblicherweise automatisch wieder hergestellt werden
Sorry, aber dein Geschreibsel ist in der Praxis nicht anwendbar
Ich nehme zuerst den WLAN-Router. Geht davon aus, dass WPA2 ist nicht mehr sicher ist. Wenn du natürlich nicht die WPA2-Verschlüsselung benutzt, sondern darin nochmal ein VPN aufmachst und gleichzeitig auch noch eine Firewall hast (Edit: und die tatsächlich diese Pakete erkennt - ist ja erstmal eine normale TCP-Verbindung), die keine TCP-Verbindungen von außen zu sich akzeptiert, dann kommt man da natürlich so nicht weiter.
Ich gehe natürlich davon aus, dass man sich mit den entsprechenden Maschinen verbinden kann. Sofern man nicht ins Netzwerk kommt, dann kann man auch nichts erweitern. Aber viel Spaß bei IPV6 und all den Computern auf der Welt, die nicht in Hochverfügbarkeitsrechenzentren stehen.
Dieser Beitrag wurde 1 mal editiert. Zuletzt am 21. Jun 2019 um 02:14.
Von Verfluchtnochmal-05995bd7b am Fr, 21. Juni 2019 um 03:59 #
Aus dem WLAN kommst du genau nirgends hin mit Ausnahme von Hosts und Ports die auch so aus dem Internet erreichbar sind, nochmal: du musst durch die Firewall die nur aus dem Management-Netz administriert wird, ins Internet selbst nur auf 153 explizit frei gegebene Ports
Dazu braucht es kein "Hochverfügbarkeitsrechenzentrum" sondern einen Admin mit Hausverstand und warum das Firmen-WLAN ausserhalb der Geschäftszeiten überhaupt Zugriffe erlauben sollte weisst auch nur du
Sorry aber bei LDAP brauchst meisten ein kerberos-ticket, da kommst Du gar nirgends hin. Beim WLAN brauchst meist ein Cert (zumindest im business-umfeld), und dann oft (aber nicht immer) noch ein vpn um ins "gesicherte netzwerk zu kommen" erst dort bekommst Du dann auch das kerberos-ticket für die internen dienste (mail,file,intranet etc).
ABER Du hast nicht ganz unrecht, ein beispiel sind die ganzen Windturbinen die mit "gesichertem passwort wlan" geschützt sind, um dann mit std-passwort auf den internen webserver/steuerung zuzugreifen.
Ganz genau. Klar - ein Kerberos-Ticket habe ich damit noch nicht - LDAP war etwas übertrieben. Und wer es vernünftig macht, hat natürlich bei seinem WLAN noch ein VPN. Die ganzen großen Firmen und Rechenzentren bekommt man damit nicht. Auch nicht über Kabel, weil das normalerweise auch immer nur für eine IP freigeschaltet ist.
Aber die ganzen Kleinfirmen und die ganzen IPv6-Steuerungen wie z.B. die beschriebenen Windkraftanlagen. Dort kann man sicherlich ein paar Dienste übernehmen oder eben zumindest in Höchstgeschwindigkeit abschießen. OK, es gibt Watchdogs uswusf. Aber bei der Vielzahl Hardware mit Embedded Linux - das ist schon heftig. Auch wenn man bedenkt, dass z.B. selbst Gentoo lange Zeit nicht signiert hatte, dann halte ich das Szenario (Server abschießen und an seiner Stelle antworten) für völlig realistisch und entsprechend schwerwiegend.
Dieser Beitrag wurde 1 mal editiert. Zuletzt am 22. Jun 2019 um 21:29.
Überhaupt nicht süß, wie ätzend deine Kommentare hier sind. Ganz und garnicht. Aber das weißt du auch.
Mir ist schon klar, dass es bei Kerberos private Schlüssel gibt. Wenn man aber in der Lage ist, jeden (!) Linux-Server am Freitag Abend von außen abzuschießen, dann findet man auch was, was man den einzelnen Rechnern unterschieben kann.
Ach Gott so einfach schießt du nicht jeden Rechner von außen ab! Kannst gerne hier vorbei kommen, falls du es wieder erwarten bis zum WLAN schaffst möchtest du mir noch zeigen wie du die Firewall zwischen outbound interface umgehst die blöderweise genau die Pakete rausfiltert
Abgesehen davon ist in ernsthaften Netzen dein Zeitfenster verdammt kurz weil crashende VM's oder selbst physische Maschinen die kritische Infrastruktur hosten üblicherweise automatisch wieder hergestellt werden
Sorry, aber dein Geschreibsel ist in der Praxis nicht anwendbar
Ich nehme zuerst den WLAN-Router. Geht davon aus, dass WPA2 ist nicht mehr sicher ist. Wenn du natürlich nicht die WPA2-Verschlüsselung benutzt, sondern darin nochmal ein VPN aufmachst und gleichzeitig auch noch eine Firewall hast (Edit: und die tatsächlich diese Pakete erkennt - ist ja erstmal eine normale TCP-Verbindung), die keine TCP-Verbindungen von außen zu sich akzeptiert, dann kommt man da natürlich so nicht weiter.
Ich gehe natürlich davon aus, dass man sich mit den entsprechenden Maschinen verbinden kann. Sofern man nicht ins Netzwerk kommt, dann kann man auch nichts erweitern. Aber viel Spaß bei IPV6 und all den Computern auf der Welt, die nicht in Hochverfügbarkeitsrechenzentren stehen.
Dieser Beitrag wurde 1 mal editiert. Zuletzt am 21. Jun 2019 um 02:14.Aus dem WLAN kommst du genau nirgends hin mit Ausnahme von Hosts und Ports die auch so aus dem Internet erreichbar sind, nochmal: du musst durch die Firewall die nur aus dem Management-Netz administriert wird, ins Internet selbst nur auf 153 explizit frei gegebene Ports
Dazu braucht es kein "Hochverfügbarkeitsrechenzentrum" sondern einen Admin mit Hausverstand und warum das Firmen-WLAN ausserhalb der Geschäftszeiten überhaupt Zugriffe erlauben sollte weisst auch nur du
Sorry aber bei LDAP brauchst meisten ein kerberos-ticket, da kommst Du gar nirgends hin.
Beim WLAN brauchst meist ein Cert (zumindest im business-umfeld), und dann oft (aber nicht immer) noch ein vpn um ins "gesicherte netzwerk zu kommen" erst dort bekommst Du dann auch das kerberos-ticket für die internen dienste (mail,file,intranet etc).
Die meisten Netzwerke sind sicherer wie das JPL
ABER Du hast nicht ganz unrecht, ein beispiel sind die ganzen Windturbinen die mit "gesichertem passwort wlan" geschützt sind, um dann mit std-passwort auf den internen webserver/steuerung zuzugreifen.
Ganz genau. Klar - ein Kerberos-Ticket habe ich damit noch nicht - LDAP war etwas übertrieben. Und wer es vernünftig macht, hat natürlich bei seinem WLAN noch ein VPN. Die ganzen großen Firmen und Rechenzentren bekommt man damit nicht. Auch nicht über Kabel, weil das normalerweise auch immer nur für eine IP freigeschaltet ist.
Aber die ganzen Kleinfirmen und die ganzen IPv6-Steuerungen wie z.B. die beschriebenen Windkraftanlagen. Dort kann man sicherlich ein paar Dienste übernehmen oder eben zumindest in Höchstgeschwindigkeit abschießen. OK, es gibt Watchdogs uswusf. Aber bei der Vielzahl Hardware mit Embedded Linux - das ist schon heftig. Auch wenn man bedenkt, dass z.B. selbst Gentoo lange Zeit nicht signiert hatte, dann halte ich das Szenario (Server abschießen und an seiner Stelle antworten) für völlig realistisch und entsprechend schwerwiegend.
Dieser Beitrag wurde 1 mal editiert. Zuletzt am 22. Jun 2019 um 21:29.Wir sind eine 5-Mann-Firma und uns bekommst du nicht, such es dir aus: Entweder wir sind gut und alle anderen blöde oder du bist naiv