MS zal Unix-services in Windows Server 2003 R2 bespreken

..., poorly

dat is nog geen reden om dit systeem te willen lijkt mij. Je kan prima naar een nieuwere machine migreren of dit nu met deze nieuwe Windows+Unix-features is of dat dit nu naar een nieuwe linux box doet... het is maar net welke features jij wilt gebruiken.

Daar hoef je niet het hele cygwin voor de downen:

cd \windows
copy con ls.bat
@dir %1 %2
^Z

Ik gebruik ook cygwin (al werkt het niet voor mij handig...). Maar het zou handig zijn als je de functionaliteit out-of-the-box met MS support zou kunnen krijgen.

In een productie omgeving wil ik niet alles bij elkaar hacken en zeggen dat het nu werkt

@franssie:
op mijn werk is sinds een tijd:
-pop service opgeheven
-imap service vervangen door imaps
-smtp service alleen bereikbaar van binnen het instituut (ssh tunnel naar de smtp server om je mail te versturen).
-1 machine waar naar je nog maar ssh kan inloggen, in plaats van dat iedere pc met linux direct connectable was (verleden tijd dus - al hoewel je nog wel mijn workstation kan pingen: aurora.nikhef.nl - probeer maar ... bandbreedte in overvloed (no, really ... overvloed...)).

En nog een hoop andere dingen... waardoor alle interessante traffic wordt tegengehouden en onderzocht.

Want SSH is nog wel gevoelig voor dictionary attacks als je er verder niets aan doet voor je publieke connecties. Een belangrijke server voor Grid computing die ik beheer is dus van 3 ip-adressen en 4 subnets te bereiken (iptables) om de 'wilde' SSH attacks tegen te houden.

@franssie en algemeen
Kan iemand dit ontkrachten indien niet waar:
Ik dacht dat op een LAN met een goede switch, dat de packets die van mij naar m'n server gaan (tijdens de telnet sessie in dit geval) helemaal niet via een andere utp inpluglocatie te besnuffelen zijn? Dus, zolang niemand tussen die kabel kan gaan hangen (en daar mag je binnen je gebouw toch wel vanuit gaan, dat er niemand in je switch/serverhok komt die daar niks te zoeken heeft) is toch een unencrypted iets ook veilig?
Ik heb eens geprobeerd hier op het LAN andermans POP te besnuffelen om mijn admin te laten zien dat unencrypted pop geen goed idee was, maar ik vond niks.

exact! trusted ... wat is trusted? alsof er niemand even een utp kabeltje kan inpluggen ergens
de overhead van ssh is dermate laag dat je je moet afvragen waarom je nog telnet en ftp moet toestaan (NT5 en OSX netwerk hier werken er goed mee alleen de films gaan wat trager haha)

daarbij zit gz compressie standaard bij ssh
dus overhead is ook maar een optie

Ja ja. Bij elke SSH upgrade heb je weer last van keys en automatische scripts die niet op 'yes' kunnen klikken of anticiperen. Telnet i.c.m. tacacs+ of radius is ook veilig, daarnaast controle op het source-adres, wat wil je nog meer?

Last van keys?

Ik zou al sinds Debian Potato dezelfde ssh keys kunnen hebben (als ik ze niet 1x per jaar zou verwisselen).

En dan nog, je hebt alleen een server key nodig (een key voor authenticatie is optioneel, een password werkt ook gewoon). Servers houd je graag zo veilig mogelijk, toch?

@BoekaBart
Ga je als kraker vanaf een netwerk poortje een stukje verderop op het netwerk zitten prutsen. Een gateway of een router ofzo. Dan zien je alsnog alles langs komen.

Je verhaal klopt wel, je denkt alleen niet ver genoeg

en daar mag je binnen je gebouw toch wel vanuit gaan

Nee. Het is niet nodig daar van uit te gaan, dus mag je het (eigenlijk) ook niet doen.
Verder zijn er aanvallen mogelijk op de switch en het netwerk (ARP en DNS spoofing geloof ik) waardoor je ook niet meer op switching kunt vertrouwen.

@Ejay79

echt waar? Da's raar, dat heb ik met mijn slackware bakkie nu nooit. En dat ding wordt toch van tijd tot tijd geupgrade. installeer nieuwe service, stop-start, klaar.

-R-

Kan iemand dit ontkrachten indien niet waar:
Ik dacht dat op een LAN met een goede switch, dat de packets die van mij naar m'n server gaan (tijdens de telnet sessie in dit geval) helemaal niet via een andere utp inpluglocatie te besnuffelen zijn?

Het kan in veel gevallen wel degelijk. Het is wat ingewikkelder, maar met wat goede wil lukt het vaak toch wel. Hier is een eenvoudig voorbeeld:
http://www.infosecwriters.com/text_resources/pdf/arp_spoofing.pdf

Verder zou ik er niet te zeker van zijn dat niemand bij je kabels kan komen. Met een beetje bluf kom je in veel bedrijven toch wel bij de apparatuur.

Goede beveiliging doe je in lagen. De foute manier is denken dat je buitenkant zo hard is dat je de binnenkant niet hoeft te beveiligingen. Als iemand dan een gat in je buitenkant kan vinden, ligt binnen alles bloot.
SSH is dan toch weer een extra laag. SSH alleen is ook niet genoeg, maar alle beetjes helpen.

Er zijn inderdaad redelijk wat mogelijkheden om op laag 2 verkeer naar je toe te halen als hacker. Maar de moderne switches beginnen zich ook steeds meer te wapenen hiertegen, alleen niet alle switchbeheerders hebben de benodigde kennis om deze features te activeren. In mijn werk zie ik veel dacom omgevingen van verschillende klanten en ik schat in dat je in 8 van de 10 lans op dit moment zonder moeite man in the middle kan spelen en alle clear-text wachtwoorden kan afvangen. Er zijn al aardig wat tools die je hier bij helpen.

wireless is natuurlijk prima te gebruiken mits je WPA gebruikt Dat is ook nog niet gekraakt Een andere optie, die wij hier gebruiken is wireless clients enkel via een VPN op het netwerk te laten inloggen. In beide gevallen is telnet natuurlijk prima te gebruiken. Wired netwerken zijn natuurlijk ook niet echt onveilig. Allereerst moet iemand eventjes een kabel kunnen insteken, ten tweede moeten je firewall en IDS de client en het verkeer ook maar even goedkeuren.

In ons bedrijf mag (en kan) een onbekende client helemaal niets. Probleem is wel dat de herkenning op basis van het mac adres gaat wat te spoofen valt, dus 100% waterdicht is het niet. Je moet echter wel redelijk wat kennis van het netwerk hebben om hier een computer op het fysieke netwerk te krijgen.
Als mensen je WPA key of de toegestane MAC adressen weten zit je al met een ander beveiligingsprobleem. Die mensen kunnen dan vast ook wel aan je SSH keys komen......

De enige manier om een netwerk volledig te beveiligen is het doorknippen van de netwerkkabels. In elk ander geval loop je een risico. De vraag is hoe ernstig het risico is. Telnet naar een onbekende remote server is not done (net zoals FTPen en wie upload hier geen websites via FTP? ). Telnet naar een bekende server binnen het eigen netwerk hoeft geen enkel probleem te zijn.

Alles is zo onveilig als je het zelf maakt. Ook SSH. De stelling: Ik gebruik SSH dus ik ben goed bezig gaat in heel veel gevallen absoluut niet op.

Beveiliging = Limitiatie = Minder Consumentvriendelijk

Nee, al die trojans op Windows XP systemen, dat is pas klantvriendelijkheid.

SSH mogen ze toch niet gebruiken omdat die een te sterk encryptie ding gebruikt.
In de US mag het encrypted zijn, maar dan wel zo dat het slap genoeg is om door het pentagon gedecrypt te worden.

Dan heb je een vrij oude unix doos, sinds red hat 6.2 is ssh standaard geinstalleerd en de daemon simpeltjes aan te rammen. (en rode hoed 6 en een beetje is erg oud!).

afaik is vanaf RH9 telnet niet eens meer via een vinkje in de installatie procedure zomaar te openen in de firewall, maar is dat ssh...

* 786562 VisionMaster

Klopt, het is ouwe shit
Digital Unix doos ook nog ergens, uit 1997
Maar wel ouwe shit waar de hele administratie vanaf 1997 op staat en niemand die dat ding nog wil supporten. (officieel dan).

omg ... "these are the facts on avarage day life..."

Tja ... ik zeg disk-crash? Staan je haren nu al overeind met kippevel?