Donde encontrar documentación para autenticación en una intranet

Bueno documentacion documentacion no se si pillaras pero puedes hacer
exactamente lo contrario, mete un sniffer y demuestra "de facto" el tema

para un sniffer necesitaras un win nt (o derivados, 2000, 2003, etc) o
idealmente un linux , q permita poner la tarjeta en modo promiscuo, luego
para facilitarte la tarea consigue las ip's del servidor y de tu ordenador
(otro q no sea el sniffer) , filtra en el sniffer los mensajes solo desde tu
ip al server, y empieza a monitorizar y validate en la intranet , a ver q
pillas de camino

por supuesto si la seguridad es tan critica, las personas de seguridad
deberian asegurarse de q no hay sniffers en la red ( creo recordar q una
forma facil era enviando periodicamente peticiones a ip's no existentes, el
sniffer en promiscuo pillara el paquete, y el enviante sabiendo q la ip no
existe y q nadie deberia "leer" el paquete puede saber si hay o no alguien
snifeando)

-o|o|--
-o|o| dani castillo
-o|o| http://www15.brinkster.com/danic/
-o|o| tutorial y trucos asp, vb, diseño
-o|o|--
"Gustavo A. Cadavid G." escribió en el
mensaje news:004c01c3d146$b73f4a00$
Cordial saludo,

He estado buscando documentación para justificar la forma
como se programo la autenticación de ingreso a la intranet
de la compañía para la que trabajo.

Lo que sucede es que las personas encargadas de seguridad
argumentan que no se está haciendo ninguna encriptación de
la contraseña mientras esta viaja por la red desde el
cliente hasta el servidor para iniciar la validación, y
por lo tanto con cualquier snipher podría detectar las
claves.

Tengo entendido que todo lo que se envie desde el cliente
al servidor o visceversa sin usar el HTTPS viaja "plano",
por lo que todo puede ser interceptado. Pero necesito
información de fuentes fiables para poder sustenarle a las
personas de seguridad que es necesario instalar
certificados digitales para evitar esta situación.

Agradezco su colaboración ayudandome a encontrar
información al respecto.

Como dices, la seguridad aqui es impresionante y sopena de
sanción no se puede instalar herramientas no autorizadas
por seguridad y aseguramiento de calidad.

Es por eso que necesito documentación.

Mostrar la cita

Bueno documentacion documentacion no se si pillaras pero

puedes hacer
Mostrar la cita

exactamente lo contrario, mete un sniffer y demuestra "de

facto" el tema
Mostrar la cita

para un sniffer necesitaras un win nt (o derivados, 2000,

2003, etc) o
Mostrar la cita

idealmente un linux , q permita poner la tarjeta en modo

promiscuo, luego
Mostrar la cita

para facilitarte la tarea consigue las ip's del servidor

y de tu ordenador
Mostrar la cita

(otro q no sea el sniffer) , filtra en el sniffer los

mensajes solo desde tu
Mostrar la cita

ip al server, y empieza a monitorizar y validate en la

intranet , a ver q
Mostrar la cita

pillas de camino

por supuesto si la seguridad es tan critica, las personas

de seguridad
Mostrar la cita

deberian asegurarse de q no hay sniffers en la red ( creo

recordar q una
Mostrar la cita

forma facil era enviando periodicamente peticiones a ip's

no existentes, el
Mostrar la cita

sniffer en promiscuo pillara el paquete, y el enviante

sabiendo q la ip no
Mostrar la cita

existe y q nadie deberia "leer" el paquete puede saber si

hay o no alguien
Mostrar la cita

snifeando)

-o|o|--
-o|o| dani castillo
-o|o| http://www15.brinkster.com/danic/
-o|o| tutorial y trucos asp, vb, diseño
-o|o|--
"Gustavo A. Cadavid G."

escribió en el
Mostrar la cita

mensaje news:004c01c3d146$b73f4a00$
Cordial saludo,

He estado buscando documentación para justificar la forma
como se programo la autenticación de ingreso a la intranet
de la compañía para la que trabajo.

Lo que sucede es que las personas encargadas de seguridad
argumentan que no se está haciendo ninguna encriptación de
la contraseña mientras esta viaja por la red desde el
cliente hasta el servidor para iniciar la validación, y
por lo tanto con cualquier snipher podría detectar las
claves.

Tengo entendido que todo lo que se envie desde el cliente
al servidor o visceversa sin usar el HTTPS viaja "plano",
por lo que todo puede ser interceptado. Pero necesito
información de fuentes fiables para poder sustenarle a las
personas de seguridad que es necesario instalar
certificados digitales para evitar esta situación.

Agradezco su colaboración ayudandome a encontrar
información al respecto.


.

bueno sobre deteccion de sniffers y similares en red ethernet:
http://www.hispasec.com/directorio/...esEthernet

sobre lo otro, uhms en hispasec no veo na, quiza en securityfocus puedas
encontrar algo... mira a ver si te sirve
http://www.securityfocus.com/search...amp;offset

o en general entrando por www.securityfocus.com hay mucho sobre bugs/xploits
y similares, igual encuentras algo o algun analisis


-o|o|--
-o|o| dani castillo
-o|o| http://www15.brinkster.com/danic/
-o|o| tutorial y trucos asp, vb, diseño
-o|o|--
escribió en el mensaje
news:07da01c3d14f$17e9b680$
Como dices, la seguridad aqui es impresionante y sopena de
sanción no se puede instalar herramientas no autorizadas
por seguridad y aseguramiento de calidad.

Es por eso que necesito documentación.

Mostrar la cita

Bueno documentacion documentacion no se si pillaras pero

puedes hacer
Mostrar la cita

exactamente lo contrario, mete un sniffer y demuestra "de

facto" el tema
Mostrar la cita

para un sniffer necesitaras un win nt (o derivados, 2000,

2003, etc) o
Mostrar la cita

idealmente un linux , q permita poner la tarjeta en modo

promiscuo, luego
Mostrar la cita

para facilitarte la tarea consigue las ip's del servidor

y de tu ordenador
Mostrar la cita

(otro q no sea el sniffer) , filtra en el sniffer los

mensajes solo desde tu
Mostrar la cita

ip al server, y empieza a monitorizar y validate en la

intranet , a ver q
Mostrar la cita

pillas de camino

por supuesto si la seguridad es tan critica, las personas

de seguridad
Mostrar la cita

deberian asegurarse de q no hay sniffers en la red ( creo

recordar q una
Mostrar la cita

forma facil era enviando periodicamente peticiones a ip's

no existentes, el
Mostrar la cita

sniffer en promiscuo pillara el paquete, y el enviante

sabiendo q la ip no
Mostrar la cita

existe y q nadie deberia "leer" el paquete puede saber si

hay o no alguien
Mostrar la cita

snifeando)

-o|o|--
-o|o| dani castillo
-o|o| http://www15.brinkster.com/danic/
-o|o| tutorial y trucos asp, vb, diseño
-o|o|--
"Gustavo A. Cadavid G."

escribió en el
Mostrar la cita

mensaje news:004c01c3d146$b73f4a00$
Cordial saludo,

He estado buscando documentación para justificar la forma
como se programo la autenticación de ingreso a la intranet
de la compañía para la que trabajo.

Lo que sucede es que las personas encargadas de seguridad
argumentan que no se está haciendo ninguna encriptación de
la contraseña mientras esta viaja por la red desde el
cliente hasta el servidor para iniciar la validación, y
por lo tanto con cualquier snipher podría detectar las
claves.

Tengo entendido que todo lo que se envie desde el cliente
al servidor o visceversa sin usar el HTTPS viaja "plano",
por lo que todo puede ser interceptado. Pero necesito
información de fuentes fiables para poder sustenarle a las
personas de seguridad que es necesario instalar
certificados digitales para evitar esta situación.

Agradezco su colaboración ayudandome a encontrar
información al respecto.


.