LXFDVD

Wireshark> Subject: Test Email>> Wireshark can sniff your email too> .¬o< 250 2.0.0 Ok: queued as 095CA94024< QUIT< 221 2.0.0 ByeЭто по страшнее, чем в пре ды ду щем при ме ре. Во об ра зи те, чток т о -т о с и д и т о ко л о в а ш е г о д о м а с н о у т бу ко м и п р о с л у ш и в а е т т р а ­фик Wi-Fi [ес ли сеть не за шиф ро ва на или зло умыш ленник уз налключ: для WEP это неслож но, – прим. ред.]. Он мо жет не толь копро честь ва шу поч ту, но, из без обид ной строч ки с на ча лом AUTHPLAIN в ы я с н и т ь и м я п о л ь з о в а т е л я и п а р о л ь в а ш е й у ч е т н о й з а п и ­си (для на ше го при ме ра я за менил их на lxfuser и lxfpassword).М е т о д а в т о р и з а ц и и AUTH PLAIN по про сту объ е ди ня ет ва шии м я п о л ь з о в а т е л я и п а р о л ь и ко д и р у е т и х п о с р е д с т в о м base64(то есть рас шиф ро вать со об щение мо жет лю бой – за гляните хотьна http://linkpot.net/scripture).Зе ле ный цвет ад рес ной стро ки по ка зы ва ет, что со еди не ниес сер ве ром шиф ро ван ное.«Для шиф ро ва ниячаще в с ег о п римен я-ют ся ме то ды SSL и TLS.»ре. При ват ный ключ, в свою оче редь, за шиф ро вы ва ет дан ные так,ч т о р а сш и фр ов а т ь и х м ожн о т о л ько о т к р ы т ы м к л ю ч о м, в с т р о ­е н н ы м в с е рт иф ик а т. Д л я у с ил е н и я б е з о п а с н о с т и в м о м е н т с о ­единения генери ру ет ся слу чай ный ключ, ко то рый, со вме ст нос п р ив а тн ы м к л юч о м и с е рт иф ик ат о м, и с п о л ь з у е т с я д л я ш и ф р о ­вания об ме на дан ны ми ме ж дуКак же пре сечь шпио наж?В ы ш е п р и в е д е н н ы е п р и м е р ы п о к а з ы в а ю т, к а к п р о с т о п о л у ­чить сек рет ные дан ные, про слу ши вая ка нал. Луч ший способпре дот вра тить это – закоди ро вать дан ные, то естьва ми и сер ве ром.от пра вить их в ви де, исключЧто бы иметь воз мож ностьа ющ е м д е ко д и р о в а н и е п о с т о ­у с т ан а вл ив а т ь з ащ и щ е н н о е с о ­ронними. Ина че этот спо соб назые д и н е н и е с ам ом у, н е о б хо д и ­ва ет ся шиф ро ванием. Ес лимо по лу чить SSL-сер ти фи катвы когда-ли бо де ла ли по куп кид л я в аш ег о с е рв ер а . Сн а ч а л ао н л а й н, т о, в е р о я т н о, з а м е т и л и н е п р и в ыч н о з е л е н у ю (р е же – с и ­ с г е н е р ир уе м с о бс т в е нн ы й п р ив а тн ы й к л ю ч. Д л я э т о г о н а б е р и т ен ю ю) о к р а с к у а д р е с н о й с т р о к и б р а у з е р а п р и с о в е р ш е н и и п л а т е ­ ко м а нд у :жа. Это ви зу аль ное под твер ждение то го фак та, что ваш брау зер openssl -genkey -out privey.pem 4096и с п о л ь з у е т б е з о п а с н о е с о е д и н е н и е.При ват ный ключ бу дет сгенери ро ван с по мо щью системнойЧа ще все го ис поль зу ют ся ме то ды шиф ро вания SSL (Secureэн тро пии. Соз дав ключ, вы долж ны сгенери ро вать за просSockets Layer) и TLS (Transport Layer Security). Оба ме то да при менна подпись сер ти фи ка та (Certificate Signing Request, CSR). Как прапя ю т ко м б и н а ц и ю с е р т и ф и к а т о в и к л ю ч е й. К л и е н т (т о е с т ь в ы) ви ло, SSL-сер ти фи ка ты про ве ря ют ся цен тром сер ти фи ка циио л у ч а е т с е р т и ф и к а т о т с е р в е р а и и с п о л ь з у е т е г о д л я ш и ф р о ­ (Certificate Authority, CA), ко то рый удо сто ве ря ет ва шу лич ностьв а н и я д а н н ы х , о т п р а в л я е м ы х н а с е р в е р. Ра с ш и ф р о в а т ь и х м ожни подпи сы ва ет сер ти фи кат. За прос CSR мож но соз дать, на браво т о л ь ко с п о м о щ ью п р и в а т н ы х к л ю ч е й, н а хо д я щ и х с я н а с е р в е ­ сле дую щую коман ду:openssl req -new -key privkey.pem -out cert.csrСл ежен и е з а п ер ег ов ор ам иПо сле это го вам бу дет пред ло же но вве сти не ко то рые де та ли.Ук аж ит е и х и п р ос л ед ит е, ч т об ы п а р а м е т р C o mm o nN a m e (CN )с о о тв е тс тв ов а л д ом е нн ом у и м ен и в аш е г о с е р в е р а :Ино гда Wireshark пря мо-та ки за ва ли ва ет вас н а м е ж д у д в у м я м аш ин ам и . В оо бр аз ит е, н а ­ mez@lazy % openssl req -new -key privkey.pem -out cert.csrдан ны ми, осо бен но при ло вле их в се ти с бой- пример, что вы, про чеса в дан ные пе ре хва та, Country Name (2 letter code) [AU]:UKким тра фи ком (скажем, у вас в офисе). Что бы за ме тили па ке ты чьих-то пе ре го во ров по IRC. State or Province Name (full name) [Some-State]:Westоб лег чить вам жизнь, Wireshark предусмотрел Ч т о б ы з а н и м и п р о с л ед и т ь, д о ст ат о чн о н а ­Midlandsф у н к ц и ю о т с л е ж и в а н и я п от ок а T C P: о н а с в о ­ жать пра вую кноп ку мы ши и вы брать ко ман дуд и т в о е д и н о в с е п а к ет ы , к ас а ющ и ес я о бм е ­ Follow TCP Stream [От сле жи вать по ток TCP]. Locality Name (eg, city) []:BirminghamOrganization Name (eg, company) [Internet Widgits Pty Ltd]:.Organizational Unit Name (eg, section) []:.Common Name (eg, YOUR name) []:lazy.sourceguru.netEmail Address []:martin@sourceguru.netТе п е р ь н у жн о н ап р ав и т ь з ап р о с C SR в ц е н т р с е р т и ф и к а ц и и,ко т ор ы й в з ам е н в ыш л е т п о дп ис а нн ы й с е р т и ф и к а т. М ы с о х р а ­ним его под име нем signed.pem. Д л я у п р о щ е н и я з а д а ч и о б ъ е д и ­ним ключ и сер ти фи кат в од ном фай ле, что бы ука зать на не гопри на строй ке.cat privkey.pem signed.pem > certificate.pemНу вот, у нас есть ключ и сер ти фи кат SSL. По про бу ем применитьих на прак ти ке.ÄÒÙÜÓÖÑغºÄ½¼ºþþþ¸ÑÐÜÔØÓÒÑкÖÙНа строй ка сер ве ровЧ а щ е в с ег о S SL- с е рт иф ик ат ы и сп о л ь з у ю т с я д л я о б е с п е ч е н и яWireshark уме ет сле дить за переговорами по протоколу TCP — здесь по ка за но,б е з оп а сн ос т и с а йт о в, п оэ т ом у н е уд ив и т е л ь н о, ч т о в Apache процессна строй ки за щи щен но го сер ве ра очень прост. Во-пер вых,как #ubuntu-uk болтает через IRC.46 LXF126/127 Январь 2010