Donde encontrar documentación para autenticación en una intranet

02/01/2004 - 16:40 por Gustavo A. Cadavid G. | Informe spam
Cordial saludo,

He estado buscando documentación para justificar la forma
como se programo la autenticación de ingreso a la intranet
de la compañía para la que trabajo.

Lo que sucede es que las personas encargadas de seguridad
argumentan que no se está haciendo ninguna encriptación de
la contraseña mientras esta viaja por la red desde el
cliente hasta el servidor para iniciar la validación, y
por lo tanto con cualquier snipher podría detectar las
claves.

Tengo entendido que todo lo que se envie desde el cliente
al servidor o visceversa sin usar el HTTPS viaja "plano",
por lo que todo puede ser interceptado. Pero necesito
información de fuentes fiables para poder sustenarle a las
personas de seguridad que es necesario instalar
certificados digitales para evitar esta situación.

Agradezco su colaboración ayudandome a encontrar
información al respecto.

Preguntas similare

Leer las respuestas

#1 danicastillo
02/01/2004 - 16:52 | Informe spam
Bueno documentacion documentacion no se si pillaras pero puedes hacer
exactamente lo contrario, mete un sniffer y demuestra "de facto" el tema

para un sniffer necesitaras un win nt (o derivados, 2000, 2003, etc) o
idealmente un linux , q permita poner la tarjeta en modo promiscuo, luego
para facilitarte la tarea consigue las ip's del servidor y de tu ordenador
(otro q no sea el sniffer) , filtra en el sniffer los mensajes solo desde tu
ip al server, y empieza a monitorizar y validate en la intranet , a ver q
pillas de camino

por supuesto si la seguridad es tan critica, las personas de seguridad
deberian asegurarse de q no hay sniffers en la red ( creo recordar q una
forma facil era enviando periodicamente peticiones a ip's no existentes, el
sniffer en promiscuo pillara el paquete, y el enviante sabiendo q la ip no
existe y q nadie deberia "leer" el paquete puede saber si hay o no alguien
snifeando)

-o|o|--
-o|o| dani castillo
-o|o| http://www15.brinkster.com/danic/
-o|o| tutorial y trucos asp, vb, diseño
-o|o|--
"Gustavo A. Cadavid G." escribió en el
mensaje news:004c01c3d146$b73f4a00$
Cordial saludo,

He estado buscando documentación para justificar la forma
como se programo la autenticación de ingreso a la intranet
de la compañía para la que trabajo.

Lo que sucede es que las personas encargadas de seguridad
argumentan que no se está haciendo ninguna encriptación de
la contraseña mientras esta viaja por la red desde el
cliente hasta el servidor para iniciar la validación, y
por lo tanto con cualquier snipher podría detectar las
claves.

Tengo entendido que todo lo que se envie desde el cliente
al servidor o visceversa sin usar el HTTPS viaja "plano",
por lo que todo puede ser interceptado. Pero necesito
información de fuentes fiables para poder sustenarle a las
personas de seguridad que es necesario instalar
certificados digitales para evitar esta situación.

Agradezco su colaboración ayudandome a encontrar
información al respecto.
Respuesta Responder a este mensaje
#2 Anonimo
02/01/2004 - 17:40 | Informe spam
Como dices, la seguridad aqui es impresionante y sopena de
sanción no se puede instalar herramientas no autorizadas
por seguridad y aseguramiento de calidad.

Es por eso que necesito documentación.

Bueno documentacion documentacion no se si pillaras pero


puedes hacer
exactamente lo contrario, mete un sniffer y demuestra "de


facto" el tema

para un sniffer necesitaras un win nt (o derivados, 2000,


2003, etc) o
idealmente un linux , q permita poner la tarjeta en modo


promiscuo, luego
para facilitarte la tarea consigue las ip's del servidor


y de tu ordenador
(otro q no sea el sniffer) , filtra en el sniffer los


mensajes solo desde tu
ip al server, y empieza a monitorizar y validate en la


intranet , a ver q
pillas de camino

por supuesto si la seguridad es tan critica, las personas


de seguridad
deberian asegurarse de q no hay sniffers en la red ( creo


recordar q una
forma facil era enviando periodicamente peticiones a ip's


no existentes, el
sniffer en promiscuo pillara el paquete, y el enviante


sabiendo q la ip no
existe y q nadie deberia "leer" el paquete puede saber si


hay o no alguien
snifeando)

-o|o|--
-o|o| dani castillo
-o|o| http://www15.brinkster.com/danic/
-o|o| tutorial y trucos asp, vb, diseño
-o|o|--
"Gustavo A. Cadavid G."


escribió en el
mensaje news:004c01c3d146$b73f4a00$
Cordial saludo,

He estado buscando documentación para justificar la forma
como se programo la autenticación de ingreso a la intranet
de la compañía para la que trabajo.

Lo que sucede es que las personas encargadas de seguridad
argumentan que no se está haciendo ninguna encriptación de
la contraseña mientras esta viaja por la red desde el
cliente hasta el servidor para iniciar la validación, y
por lo tanto con cualquier snipher podría detectar las
claves.

Tengo entendido que todo lo que se envie desde el cliente
al servidor o visceversa sin usar el HTTPS viaja "plano",
por lo que todo puede ser interceptado. Pero necesito
información de fuentes fiables para poder sustenarle a las
personas de seguridad que es necesario instalar
certificados digitales para evitar esta situación.

Agradezco su colaboración ayudandome a encontrar
información al respecto.


.

Respuesta Responder a este mensaje
#3 danicastillo
02/01/2004 - 18:09 | Informe spam
bueno sobre deteccion de sniffers y similares en red ethernet:
http://www.hispasec.com/directorio/...esEthernet

sobre lo otro, uhms en hispasec no veo na, quiza en securityfocus puedas
encontrar algo... mira a ver si te sirve
http://www.securityfocus.com/search...amp;offset

o en general entrando por www.securityfocus.com hay mucho sobre bugs/xploits
y similares, igual encuentras algo o algun analisis


-o|o|--
-o|o| dani castillo
-o|o| http://www15.brinkster.com/danic/
-o|o| tutorial y trucos asp, vb, diseño
-o|o|--
escribió en el mensaje
news:07da01c3d14f$17e9b680$
Como dices, la seguridad aqui es impresionante y sopena de
sanción no se puede instalar herramientas no autorizadas
por seguridad y aseguramiento de calidad.

Es por eso que necesito documentación.

Bueno documentacion documentacion no se si pillaras pero


puedes hacer
exactamente lo contrario, mete un sniffer y demuestra "de


facto" el tema

para un sniffer necesitaras un win nt (o derivados, 2000,


2003, etc) o
idealmente un linux , q permita poner la tarjeta en modo


promiscuo, luego
para facilitarte la tarea consigue las ip's del servidor


y de tu ordenador
(otro q no sea el sniffer) , filtra en el sniffer los


mensajes solo desde tu
ip al server, y empieza a monitorizar y validate en la


intranet , a ver q
pillas de camino

por supuesto si la seguridad es tan critica, las personas


de seguridad
deberian asegurarse de q no hay sniffers en la red ( creo


recordar q una
forma facil era enviando periodicamente peticiones a ip's


no existentes, el
sniffer en promiscuo pillara el paquete, y el enviante


sabiendo q la ip no
existe y q nadie deberia "leer" el paquete puede saber si


hay o no alguien
snifeando)

-o|o|--
-o|o| dani castillo
-o|o| http://www15.brinkster.com/danic/
-o|o| tutorial y trucos asp, vb, diseño
-o|o|--
"Gustavo A. Cadavid G."


escribió en el
mensaje news:004c01c3d146$b73f4a00$
Cordial saludo,

He estado buscando documentación para justificar la forma
como se programo la autenticación de ingreso a la intranet
de la compañía para la que trabajo.

Lo que sucede es que las personas encargadas de seguridad
argumentan que no se está haciendo ninguna encriptación de
la contraseña mientras esta viaja por la red desde el
cliente hasta el servidor para iniciar la validación, y
por lo tanto con cualquier snipher podría detectar las
claves.

Tengo entendido que todo lo que se envie desde el cliente
al servidor o visceversa sin usar el HTTPS viaja "plano",
por lo que todo puede ser interceptado. Pero necesito
información de fuentes fiables para poder sustenarle a las
personas de seguridad que es necesario instalar
certificados digitales para evitar esta situación.

Agradezco su colaboración ayudandome a encontrar
información al respecto.


.

email Siga el debate Respuesta Responder a este mensaje
Ads by Google
Help Hacer una preguntaRespuesta Tengo una respuesta
Search Busqueda sugerida