koras
А по поводу ну во такой анекдот расскажу - я на самом деле, а не на теории снифаю роутеры(не только циски) и снифал еще до выхода этой статьи :P

Ну это ты кому-нибудь рассказывай, ок!?

прав koras,
Консоли рулят!  [IMG]http://www.securitylab.ru/forum/smileys/smiley2.gif[/IMG] , оссобенно с машины которая в сеть вообще никак не подключена [IMG]http://www.securitylab.ru/forum/smileys/smiley1.gif[/IMG]

koras
К сожалению(для кое-кого) это не выдуманная байка.
[QUOTE]koras пишет:
Моя - возразит, причем сильно и громко, еще и СМС мне отошлет! А вот потом я поведу данного умника в СБ[/quotas] Малаца, что знаешь что такое arpwatch И, конечно же, ломать локалку конторы, где сам работаешь - это имхо идиотизм, а если сломают грамотные люди снаружи, то им на СБ будет абс. пох - максимум что в логах будет обнаружено - ипы скомпрометированных машин в каких-нить странах мира через которые сломали, на практике в таком случае концов не находят.

Статья интересна, пожалуй, только с академической точки зрения. [IMG]http://www.securitylab.ru/forum/smileys/smiley2.gif[/IMG]

Мало ли существует способов компрометации сети, в том случае если мы имеем привилегированный доступ к Интернет маршрутизатору. Во многих сетях маршрутизаторы периметра являются так же межсетевыми экранами (cisco IOS firewall, кто слышал тот поймет). Ну так если мы имеем доступ к этому устройству то, что нам вообще мешает перенастроить МЭ и получить полный доступ к сети?

Но вот тут появляется много но. Не просто много, а очень много.

1.     Сеть должна быть модульной – больше модулей больше точек контроля. Взлом одного модуля не влечет взлом других.
2.     Зачем нам вообще Интернет трафик компании Х? При условии, что руки у администратора безопасности растут из нужного места – пароли, используемые в компании, должны отличаться от используемых во вне. Лучше сертификаты. ICQ? Запрет. И не надо жаловаться на бизнес процессы и другие отмазки пользователей. Быстрая почта, внутренняя система IM – вот ответ. Критичные транзакции шифруются SSL, тоже проку мало. SMTP? Он и так clear text, если передаете критичную информацию, используйте шифрование.
3.     Используйте IDS, что бы мониторить запросы в/из Интернет. Все что не соответствует политике ИБ скидывать в лог, сессию дропать, адреса блокировать. По логам давать юзерам втык. Например, запрещено политикой ИБ пользоваться FTP серверам для хранения информация – ищем в трафике команду FTP PUT, нашли – по рукам. Желательно публично, что бы другим не повадно было.
4.     Кто не знает, как настраивать маршрутизаторы cisco, милости просим: http://cisco.com/go/safe
5.     Что бы совсем избежать вероятность спуффинга IP адресов – используйте выделенные интерфейсы управления, или консоль управления доступную из внутренней сети.
6.     Статистика Netflow сразу позволит увидеть аномалии в трафике, а дополнительное ПО автоматически предупредит об этом администратора.
7.     Технологию AAA не зря придумали. После аутентификации пользователя я должен проверить, а можно ли вообще ему по телнету подключаться (кстати телнет тоже на помойку, с недавних версий на циске есть ssh 2). А после этого каждую его команду проверить на допустимость, и запротоколировать.
8.     Не храните на циске паролей в обратимой форме. Команда такая есть username XXX secret YYY.
9.     ну и так далее, уже лень продолжать… [IMG]http://www.securitylab.ru/forum/smileys/smiley4.gif[/IMG]

andyg
Правильные рекомендации, если бы их все еще соблюдали... Если бы все администраторы были бы очень компетентными, все программисты писали бы ПО без ошибок, а пользователи были бы бдительными, то взлом был бы попросту невозможен.
В реальной жизни может оказаться и так, что, например, гендиректор использует ICQ и отказываться от нее не собирается(хотя если ИБ является критическим элементом и есть необходимые полномочия, то не проблема заставить), что у пользователей узнать пароль доступа в сеть значительно проще чем подобрать, да и, вообще, человеческий фактор - самое слабое звено. Так что обеспечение сеьезной инф. без-ти достаточно сложная задача в реальных условиях.
А компания X это ISP для нескольких компаний? Да и циски не только гейтвеями в инет бывают - они еще могут и соединять интранет филиалов с интранетом основного оффиса. А вообще циски редко становятся целью - проще получить доступ на БД-, файл- и прочие сервера, хотя когда доступ на киски уже есть, а доступ на сервера взять не удалось, то киски могут пригодиться.
Кстати , SSH и SSL трафик нормально перехватывается и мгновенно раскодируется в онлайн путем MITM атаки с подделкой сертификата:
http://monkey.org/~dugsong/dsniff/
Как раз спуффинг адреса именно в обычной езернет локалке наиболее эффективен и прост. Со спуффингом IP адресов можно бороться привязкой портов свитча к макам, прописыванием статического соответсвия ип-мак или мониторить при помощи того же arpwatch и оперативно реагировать на алерты. Вообще же, спуффинг редко используется.
FTP PUT можно не просто детектить, а гасить на гейте, а уже потом держа вруках логи ходитьи раздавать пряники
На роутерах Lucent Portmaster(Livingston) сделано более грамотно - пароли на enable и shared key даже в закриптованном виде увидеть нельзя(конечно если не разбирать рутер и не считывать с флешки) - их можно только переопределять.

а у меня ничего не вышло, кто-нибудь может посоветовать как собрать инфу с потока Е1, за ним стоит циска и весь поток растекается на серийные и изернет интерфейсы, всего интерфейсов около 25-30...

утипути)
вы этими люцентами работали хоть ?)
read admin
set allow-password=yes
write
и читайте,читайте )

Не знаю, кто и что может поменять незаметно.
Есть rancid, который скажет, когда и что изменилось.
Про ssh2, secret, access-lists, IOS update и прочее уже сказали...

Это нереально, если админ нормальный!