forum.opennet.ru - "OpenNews: Безопасность имен snmp community" (9)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"OpenNews: Безопасность имен snmp community"

Форумы Разговоры, обсуждение новостей (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"OpenNews: Безопасность имен snmp community"
Сообщение от opennews on 19-Май-03, 20:43
Nikola Krasnoyarsky предложил простой и эффективный способ (используется md5) создания уникальных и запоминающихся имен для snmp community. URL: http://www.opennet.ru/base/sec/snmp_sec.txt.html Новость: http://www.opennet.ru/opennews/art.shtml?num=2459
Cообщить модератору \| Наверх \| ^

Оглавление

Безопасность имен snmp community, Андрей К, 20:43 , 19-Май-03, (1)

Безопасность имен snmp community, poige, 05:51 , 20-Май-03, (2)
Безопасность имен snmp community, uldus, 10:25 , 20-Май-03, (3)

Безопасность имен snmp community, poige, 10:49 , 20-Май-03, (4)

Безопасность имен snmp community, uldus, 16:37 , 20-Май-03, (5)

Безопасность имен snmp community, poige, 06:45 , 21-Май-03, (7)

Безопасность имен snmp community, Maxim Chirkov, 17:52 , 20-Май-03, (6)

Безопасность имен snmp community, poige, 07:04 , 21-Май-03, (8)

Безопасность имен snmp community, Maxim Chirkov, 10:11 , 21-Май-03, (9)

Сообщения по теме [Сортировка по времени, UBB]

1. "Безопасность имен snmp community"

Сообщение от Андрей К on 19-Май-03, 20:43

А почему не использовать в качестве пароля просто ip+secret ? Зачем md5 ?

Cообщить модератору | Наверх | ^

2. "Безопасность имен snmp community"

Сообщение от poige on 20-Май-03, 05:51

Потому, что это уже "старо", а opennet'у надо же контент пополнять.
/poige
--
http://www.morning.ru/~poige/

Cообщить модератору | Наверх | ^

3. "Безопасность имен snmp community"

Сообщение от uldus on 20-Май-03, 10:25

>А почему не использовать в качестве пароля просто ip+secret ? Зачем md5
>?
Все пароли и шифрование comunity не решает проблем, только жесткое закрытие фаерволом для всех кроме машины занимающейся учетом и находящейся в заведомо trusted сети. Только тогда можно спасть спокойно даже при public community.

Cообщить модератору | Наверх | ^

4. "Безопасность имен snmp community"

Сообщение от poige on 20-Май-03, 10:49

>>А почему не использовать в качестве пароля просто ip+secret ? Зачем md5
>>?
>
>Все пароли и шифрование comunity не решает проблем, только жесткое закрытие фаерволом
>для всех кроме машины занимающейся учетом и находящейся в заведомо trusted
>сети. Только тогда можно спасть спокойно даже при public community.
Ха! *Всех проблем* даже firewall не решит. А то, что механизмов защиты для SNMP разработано уже достаточно, в том числе и более надежных, чем просто выбор "непобедимого" названия community это факт:
If needed, the two parties can communicate secretly using the Privacy Keys. The two parties can also mutually authenticate each other (be certain of the other's identity) using the Authentication Keys. SNMP v2 is designed to use DES encryption for privacy and the MD5 digest algorithm for authentication. We will not discuss in this guide how to use DES and MD5.
Смотрите также RFC 3414 по v3.
Просто opennet следует курсу на пополнение количества, а не улучшение качества content'а всеми силами, т. е., просто "попсеет"... Предусмотренный тэг "для начинающих" практически не используется.
Заголовки новостей выбираются "абы громчей было".
--
http://www.morning.ru/~poige/

Cообщить модератору | Наверх | ^

5. "Безопасность имен snmp community"

Сообщение от uldus on 20-Май-03, 16:37

>для SNMP разработано уже достаточно, в том числе и более надежных,
>чем просто выбор "непобедимого" названия community это факт:
И притом _реализации_ этих механизмов дырявы как решето, для примра SNMP агенты cisco ios и netsnmpd. Светить куда-лиюо во вне SNMP независимо от навороченности внутренних средств защиты агентов - это как сидеть на бочке с порохом.
>Смотрите также RFC 3414 по v3.
Смотрите BUGTRAQ по поводу OpenSSL, OpenSSH и др. проектов авторы которых били себя в грудь о непробиваемости их прогамм. Спецификации и алгоритмы одно дело, а их практические реализации - совершенно другое.
>Просто opennet следует курсу на пополнение количества, а не улучшение качества content'а
>всеми силами, т. е., просто "попсеет"... Предусмотренный тэг "для начинающих" практически
>не используется.
>Заголовки новостей выбираются "абы громчей было".
Меньше желчи.

Cообщить модератору | Наверх | ^

7. "Безопасность имен snmp community"

Сообщение от poige on 21-Май-03, 06:45

>>для SNMP разработано уже достаточно, в том числе и более надежных,
>>чем просто выбор "непобедимого" названия community это факт:
>
>И притом _реализации_ этих механизмов дырявы как решето, для примра SNMP агенты
>cisco ios и netsnmpd. Светить куда-лиюо во вне SNMP независимо от
>навороченности внутренних средств защиты агентов - это как сидеть на бочке
>с порохом.
если говорить про реализации, то никто не гарантирует, что и в v1 все клево, между прочим. Если чел идет на то, что открывает доступ на сетевом уровне, то это его выбор.
>
>>Смотрите также RFC 3414 по v3.
>
>Смотрите BUGTRAQ по поводу OpenSSL, OpenSSH и др. проектов авторы которых били
>себя в грудь о непробиваемости их прогамм. Спецификации и алгоритмы одно
>дело, а их практические реализации - совершенно другое.
uldus, ты злостный offtopi'ст. Если ты не заметил еще, я тебе скажу еще раз: чел открыт на сетевом уровне и пытается защищаться уровнями выше. На что я резонно, на мой взгляд, отметил, что на этих уровнях есть другие средства защиты. Вот их и сравни. А писать про то, как в OpenSSH дырки находят, это примерно тоже самое, как при обсуждении Apache, грить, что bind дырявый. man offtopic?
>>Просто opennet следует курсу на пополнение количества, а не улучшение качества content'а
>>всеми силами, т. е., просто "попсеет"... Предусмотренный тэг "для начинающих" практически
>>не используется.
>>Заголовки новостей выбираются "абы громчей было".
>
>Меньше желчи.
Хочу, чтобы ресурс по кр. мере не стал хуже, поэтому и критикую при "отклонениях", у нас же свобода слова, приятель. Воспринимай легче, и говори по делу. Поверь, так гораздо лучше.
/poige
--
http://www.morning.ru/~poige/

Cообщить модератору | Наверх | ^

6. "Безопасность имен snmp community"

Сообщение от Maxim Chirkov on 20-Май-03, 17:52

>Просто opennet следует курсу на пополнение количества, а не улучшение качества content'а
OpenNet пытается балансировать, а не падать в крйности. Уровень посетителей очень различен, то что одним кажется интересным, другим может показаться примитивным.
Новость "Безопасность имен snmp community" послужила прекрасным поводом для размышения. Думаю найдется много людей для которых изложенный совет по использованию md5 (не только в контексте SNMP) оказался полезным.
Тэг "для начинающих" больная тема, 90% новостей можно так пометить, другой вопрос, где грань, на кого ориентироваться при выборе пометки ?
Не проще смотреть новости помеченные "интересно" или "для профессионалов" ?
>всеми силами, т. е., просто "попсеет"...
Что по твоему мнению попса, чему следет уделять больше внимания ?
>Заголовки новостей выбираются "абы громчей было".
Видимо ты не часто видишь громкие заголовки в новостных системах, если у тебя сложилось такое мнение про заголовки новостей opennet :-)

Cообщить модератору | Наверх | ^

8. "Безопасность имен snmp community"

Сообщение от poige on 21-Май-03, 07:04

>>Просто opennet следует курсу на пополнение количества, а не улучшение качества content'а
>
>OpenNet пытается балансировать, а не падать в крйности. Уровень посетителей очень различен,
>то что одним кажется интересным, другим может показаться примитивным.
тем не менее, все впадает и впадает.
>
>Новость "Безопасность имен snmp community" послужила прекрасным поводом для размышения. Думаю найдется
>много людей для которых изложенный совет по использованию md5 (не только
>в контексте SNMP) оказался полезным.
>
>Тэг "для начинающих" больная тема, 90% новостей можно так пометить, другой вопрос,
>где грань, на кого ориентироваться при выборе пометки ?
90 %? Как раз похоже на правду. Предлагаю так и помечать.
>Не проще смотреть новости помеченные "интересно" или "для профессионалов" ?
Если бы были профили, или хотя бы новость сразу в preview как-то выделялось, то да, их можно было бы различать. Однако, этого же нет.
>
>>всеми силами, т. е., просто "попсеет"...
>
>Что по твоему мнению попса, чему следет уделять больше внимания ?
"Попса" это новости навроде того, что кто-то написал "описалово" разжевав стандартные/существующие доки. Это и есть "для начинающих".
>>Заголовки новостей выбираются "абы громчей было".
>
>Видимо ты не часто видишь громкие заголовки в новостных системах, если у
>тебя сложилось такое мнение про заголовки новостей opennet :-)
Я уже объяснял все ранее, в комментариях к таким новостям. Вижу, кстати, дофига каких заголовков в новостных системах, поэтому предпочитаю http://www.rian.ru, нежели http://www.lenta.ru, к примеру. Я хочу, чтобы по заголовку я мог достоверно понять -- стоит читать, или нет. Экономия времени.
Да, и еще -- вырабатывается "иммунитет" на "громкие" заголовки (сказка, про мальчика, который все время кричал "волки"). И, кстати, само
использование таких заголовков это признак того, что главное отнюдь не качество, а это снова "работа на попс".
--
http://www.morning.ru/~poige

Cообщить модератору | Наверх | ^

9. "Безопасность имен snmp community"

Сообщение от Maxim Chirkov on 21-Май-03, 10:11

>>то что одним кажется интересным, другим может показаться примитивным.
>
>тем не менее, все впадает и впадает.
Мне кажется, что наоборот стало больше серьезной информации. Я переписал систему автоматического сбора новостной информации, общий объем пересматриваемого для новостей материала стало гораздо больше. http://www.opennet.ru/news/grab.shtml - вершина айсберга, у меня есть подобная скрытая система для анализа новых материалов на первоисточниках.
Другое дело, что я стал больше помещать спорных новостей расчитанных на обсуждение и обдумывание.
Вчера расширил типизацию новостей:
- Для начинающих
- Для профессионалов
- яз. русский
- Тема для размышления
- К сведению
- Практикум
- Обобщение
Если есть идеи по доп. пунктам - пиши, добавлю.
>Если бы были профили, или хотя бы новость сразу в preview как-то
>выделялось, то да, их можно было бы различать. Однако, этого же
>нет.
http://www.opennet.ru/opennews/ чем не превью ? Пиши пожелания, будет реализация. Без обратной связи я делаю под свой вкус, но это не значит что нет возможности создать альтернативый вариант.
>"Попса" это новости навроде того, что кто-то написал "описалово" разжевав стандартные/существующие доки.
Обобщение и описание путей обхода проблем не так уж плохо, если бы "cтандартные/существующие доки" отвечали всем вкусам и были предельно прозрачны, то достаточно было бы только раздела http://www.opennet.ru/man.shtml Тот же freebsd handbook постоянно развивается и черпает информацию (идеи, толчки в каком направлении необходимо усиление документирования) из "попсовых" статей.
>который все время кричал "волки"). И, кстати, само
>использование таких заголовков это признак того, что главное отнюдь не качество, а
>это снова "работа на попс".
Я конечно согласен, что, например, заголовок "Безопасность имен snmp community" слишком общий и размытый, но он вполне отражает содержание, хотя правильнее было бы "Идея по выбору безопасносного имени snmp community". Но заголовок труднее придумать, чем текст анотации. Буду серьезней к заголовкам относиться.

Cообщить модератору | Наверх | ^

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Безопасность имен snmp community"
Сообщение от Андрей К on 19-Май-03, 20:43
А почему не использовать в качестве пароля просто ip+secret ? Зачем md5 ?
Cообщить модератору \| Наверх \| ^


	2. "Безопасность имен snmp community"
	Сообщение от poige on 20-Май-03, 05:51
	Потому, что это уже "старо", а opennet'у надо же контент пополнять. /poige -- http://www.morning.ru/~poige/
	Cообщить модератору \| Наверх \| ^


	3. "Безопасность имен snmp community"
	Сообщение от uldus on 20-Май-03, 10:25
	>А почему не использовать в качестве пароля просто ip+secret ? Зачем md5 >? Все пароли и шифрование comunity не решает проблем, только жесткое закрытие фаерволом для всех кроме машины занимающейся учетом и находящейся в заведомо trusted сети. Только тогда можно спасть спокойно даже при public community.
	Cообщить модератору \| Наверх \| ^


	4. "Безопасность имен snmp community"
	Сообщение от poige on 20-Май-03, 10:49
	>>А почему не использовать в качестве пароля просто ip+secret ? Зачем md5 >>? > >Все пароли и шифрование comunity не решает проблем, только жесткое закрытие фаерволом >для всех кроме машины занимающейся учетом и находящейся в заведомо trusted >сети. Только тогда можно спасть спокойно даже при public community. Ха! Всех проблем даже firewall не решит. А то, что механизмов защиты для SNMP разработано уже достаточно, в том числе и более надежных, чем просто выбор "непобедимого" названия community это факт: If needed, the two parties can communicate secretly using the Privacy Keys. The two parties can also mutually authenticate each other (be certain of the other's identity) using the Authentication Keys. SNMP v2 is designed to use DES encryption for privacy and the MD5 digest algorithm for authentication. We will not discuss in this guide how to use DES and MD5. Смотрите также RFC 3414 по v3. Просто opennet следует курсу на пополнение количества, а не улучшение качества content'а всеми силами, т. е., просто "попсеет"... Предусмотренный тэг "для начинающих" практически не используется. Заголовки новостей выбираются "абы громчей было". -- http://www.morning.ru/~poige/
	Cообщить модератору \| Наверх \| ^


	5. "Безопасность имен snmp community"
	Сообщение от uldus on 20-Май-03, 16:37
	>для SNMP разработано уже достаточно, в том числе и более надежных, >чем просто выбор "непобедимого" названия community это факт: И притом _реализации_ этих механизмов дырявы как решето, для примра SNMP агенты cisco ios и netsnmpd. Светить куда-лиюо во вне SNMP независимо от навороченности внутренних средств защиты агентов - это как сидеть на бочке с порохом. >Смотрите также RFC 3414 по v3. Смотрите BUGTRAQ по поводу OpenSSL, OpenSSH и др. проектов авторы которых били себя в грудь о непробиваемости их прогамм. Спецификации и алгоритмы одно дело, а их практические реализации - совершенно другое. >Просто opennet следует курсу на пополнение количества, а не улучшение качества content'а >всеми силами, т. е., просто "попсеет"... Предусмотренный тэг "для начинающих" практически >не используется. >Заголовки новостей выбираются "абы громчей было". Меньше желчи.
	Cообщить модератору \| Наверх \| ^


	7. "Безопасность имен snmp community"
	Сообщение от poige on 21-Май-03, 06:45
	>>для SNMP разработано уже достаточно, в том числе и более надежных, >>чем просто выбор "непобедимого" названия community это факт: > >И притом _реализации_ этих механизмов дырявы как решето, для примра SNMP агенты >cisco ios и netsnmpd. Светить куда-лиюо во вне SNMP независимо от >навороченности внутренних средств защиты агентов - это как сидеть на бочке >с порохом. если говорить про реализации, то никто не гарантирует, что и в v1 все клево, между прочим. Если чел идет на то, что открывает доступ на сетевом уровне, то это его выбор. > >>Смотрите также RFC 3414 по v3. > >Смотрите BUGTRAQ по поводу OpenSSL, OpenSSH и др. проектов авторы которых били >себя в грудь о непробиваемости их прогамм. Спецификации и алгоритмы одно >дело, а их практические реализации - совершенно другое. uldus, ты злостный offtopi'ст. Если ты не заметил еще, я тебе скажу еще раз: чел открыт на сетевом уровне и пытается защищаться уровнями выше. На что я резонно, на мой взгляд, отметил, что на этих уровнях есть другие средства защиты. Вот их и сравни. А писать про то, как в OpenSSH дырки находят, это примерно тоже самое, как при обсуждении Apache, грить, что bind дырявый. man offtopic? >>Просто opennet следует курсу на пополнение количества, а не улучшение качества content'а >>всеми силами, т. е., просто "попсеет"... Предусмотренный тэг "для начинающих" практически >>не используется. >>Заголовки новостей выбираются "абы громчей было". > >Меньше желчи. Хочу, чтобы ресурс по кр. мере не стал хуже, поэтому и критикую при "отклонениях", у нас же свобода слова, приятель. Воспринимай легче, и говори по делу. Поверь, так гораздо лучше. /poige -- http://www.morning.ru/~poige/
	Cообщить модератору \| Наверх \| ^


	6. "Безопасность имен snmp community"
	Сообщение от Maxim Chirkov on 20-Май-03, 17:52
	>Просто opennet следует курсу на пополнение количества, а не улучшение качества content'а OpenNet пытается балансировать, а не падать в крйности. Уровень посетителей очень различен, то что одним кажется интересным, другим может показаться примитивным. Новость "Безопасность имен snmp community" послужила прекрасным поводом для размышения. Думаю найдется много людей для которых изложенный совет по использованию md5 (не только в контексте SNMP) оказался полезным. Тэг "для начинающих" больная тема, 90% новостей можно так пометить, другой вопрос, где грань, на кого ориентироваться при выборе пометки ? Не проще смотреть новости помеченные "интересно" или "для профессионалов" ? >всеми силами, т. е., просто "попсеет"... Что по твоему мнению попса, чему следет уделять больше внимания ? >Заголовки новостей выбираются "абы громчей было". Видимо ты не часто видишь громкие заголовки в новостных системах, если у тебя сложилось такое мнение про заголовки новостей opennet :-)
	Cообщить модератору \| Наверх \| ^


	8. "Безопасность имен snmp community"
	Сообщение от poige on 21-Май-03, 07:04
	>>Просто opennet следует курсу на пополнение количества, а не улучшение качества content'а > >OpenNet пытается балансировать, а не падать в крйности. Уровень посетителей очень различен, >то что одним кажется интересным, другим может показаться примитивным. тем не менее, все впадает и впадает. > >Новость "Безопасность имен snmp community" послужила прекрасным поводом для размышения. Думаю найдется >много людей для которых изложенный совет по использованию md5 (не только >в контексте SNMP) оказался полезным. > >Тэг "для начинающих" больная тема, 90% новостей можно так пометить, другой вопрос, >где грань, на кого ориентироваться при выборе пометки ? 90 %? Как раз похоже на правду. Предлагаю так и помечать. >Не проще смотреть новости помеченные "интересно" или "для профессионалов" ? Если бы были профили, или хотя бы новость сразу в preview как-то выделялось, то да, их можно было бы различать. Однако, этого же нет. > >>всеми силами, т. е., просто "попсеет"... > >Что по твоему мнению попса, чему следет уделять больше внимания ? "Попса" это новости навроде того, что кто-то написал "описалово" разжевав стандартные/существующие доки. Это и есть "для начинающих". >>Заголовки новостей выбираются "абы громчей было". > >Видимо ты не часто видишь громкие заголовки в новостных системах, если у >тебя сложилось такое мнение про заголовки новостей opennet :-) Я уже объяснял все ранее, в комментариях к таким новостям. Вижу, кстати, дофига каких заголовков в новостных системах, поэтому предпочитаю http://www.rian.ru, нежели http://www.lenta.ru, к примеру. Я хочу, чтобы по заголовку я мог достоверно понять -- стоит читать, или нет. Экономия времени. Да, и еще -- вырабатывается "иммунитет" на "громкие" заголовки (сказка, про мальчика, который все время кричал "волки"). И, кстати, само использование таких заголовков это признак того, что главное отнюдь не качество, а это снова "работа на попс". -- http://www.morning.ru/~poige
	Cообщить модератору \| Наверх \| ^


	9. "Безопасность имен snmp community"
	Сообщение от Maxim Chirkov on 21-Май-03, 10:11
	>>то что одним кажется интересным, другим может показаться примитивным. > >тем не менее, все впадает и впадает. Мне кажется, что наоборот стало больше серьезной информации. Я переписал систему автоматического сбора новостной информации, общий объем пересматриваемого для новостей материала стало гораздо больше. http://www.opennet.ru/news/grab.shtml - вершина айсберга, у меня есть подобная скрытая система для анализа новых материалов на первоисточниках. Другое дело, что я стал больше помещать спорных новостей расчитанных на обсуждение и обдумывание. Вчера расширил типизацию новостей: - Для начинающих - Для профессионалов - яз. русский - Тема для размышления - К сведению - Практикум - Обобщение Если есть идеи по доп. пунктам - пиши, добавлю. >Если бы были профили, или хотя бы новость сразу в preview как-то >выделялось, то да, их можно было бы различать. Однако, этого же >нет. http://www.opennet.ru/opennews/ чем не превью ? Пиши пожелания, будет реализация. Без обратной связи я делаю под свой вкус, но это не значит что нет возможности создать альтернативый вариант. >"Попса" это новости навроде того, что кто-то написал "описалово" разжевав стандартные/существующие доки. Обобщение и описание путей обхода проблем не так уж плохо, если бы "cтандартные/существующие доки" отвечали всем вкусам и были предельно прозрачны, то достаточно было бы только раздела http://www.opennet.ru/man.shtml Тот же freebsd handbook постоянно развивается и черпает информацию (идеи, толчки в каком направлении необходимо усиление документирования) из "попсовых" статей. >который все время кричал "волки"). И, кстати, само >использование таких заголовков это признак того, что главное отнюдь не качество, а >это снова "работа на попс". Я конечно согласен, что, например, заголовок "Безопасность имен snmp community" слишком общий и размытый, но он вполне отражает содержание, хотя правильнее было бы "Идея по выбору безопасносного имени snmp community". Но заголовок труднее придумать, чем текст анотации. Буду серьезней к заголовкам относиться.
	Cообщить модератору \| Наверх \| ^