koras А у твоего ISP циска хорошо защищена и логин тоже с одного хоста только разрешен по ACL?
Цитата
koras пишет: Я тебе со своих кошаков пароли хоть щас отдам, ибо в лайне есть такая весчь как access-class, И кроме как с моей машины ты туда хрена приконнектишься.
А еще есть arp poisoning и ip spooffing+кратковременный dos, чтобы машина у которой ip одолжили не возражала Телнет-клиент, например, к-рый может подменять свой IP адрес даже под винь платформу есть в паблике.
r00t пишет: koras А у твоего ISP циска хорошо защищена и логин тоже с одного хоста только разрешен по ACL?
Публичный трафик мне без разницы, нужная инфа по корпоративным каналам идет...
Цитата
r00t пишет: А еще есть arp poisoning и ip spooffing+кратковременный dos, чтобы машина у которой ip одолжили не возражала
Моя - возразит, причем сильно и громко, еще и СМС мне отошлет! А вот потом я поведу данного умника в СБ и быстренько оттуда сбегу, не люблю издевательств над человеком наблюдать!
>А у твоего ISP циска хорошо защищена и логин тоже с одного хоста только разрешен по ACL?
Если интересно - да. Точнее телнет, ssh и прочие сетевые заморочи вообже зепрещены. Есть сервак во внутренней сети прова, и все его ком-порты подрублены к кошакам. До сервака тоже с инета хрен долезешь особо...
koras пишет: Ну это ты кому-нибудь рассказывай, ок!?
К сожалению(для кое-кого) это не выдуманная байка. [QUOTE]koras пишет: Моя - возразит, причем сильно и громко, еще и СМС мне отошлет! А вот потом я поведу данного умника в СБ[/quotas] Малаца, что знаешь что такое arpwatch И, конечно же, ломать локалку конторы, где сам работаешь - это имхо идиотизм, а если сломают грамотные люди снаружи, то им на СБ будет абс. пох - максимум что в логах будет обнаружено - ипы скомпрометированных машин в каких-нить странах мира через которые сломали, на практике в таком случае концов не находят.
>И, конечно же, ломать локалку конторы, где сам работаешь - это имхо идиотизм, а если сломают грамотные люди снаружи, то им на СБ будет абс. пох - максимум что в логах будет обнаружено - ипы скомпрометированных машин в каких-нить странах мира через которые сломали, на практике в таком случае концов не находят.
Грамотные люди "снаружи" - грамотно пролетят!!! Короче, хочешь пообщаться - регистрись и пиши в приват.
Мало ли существует способов компрометации сети, в том случае если мы имеем привилегированный доступ к Интернет маршрутизатору. Во многих сетях маршрутизаторы периметра являются так же межсетевыми экранами (cisco IOS firewall, кто слышал тот поймет). Ну так если мы имеем доступ к этому устройству то, что нам вообще мешает перенастроить МЭ и получить полный доступ к сети?
Но вот тут появляется много но. Не просто много, а очень много.
1. Сеть должна быть модульной – больше модулей больше точек контроля. Взлом одного модуля не влечет взлом других. 2. Зачем нам вообще Интернет трафик компании Х? При условии, что руки у администратора безопасности растут из нужного места – пароли, используемые в компании, должны отличаться от используемых во вне. Лучше сертификаты. ICQ? Запрет. И не надо жаловаться на бизнес процессы и другие отмазки пользователей. Быстрая почта, внутренняя система IM – вот ответ. Критичные транзакции шифруются SSL, тоже проку мало. SMTP? Он и так clear text, если передаете критичную информацию, используйте шифрование. 3. Используйте IDS, что бы мониторить запросы в/из Интернет. Все что не соответствует политике ИБ скидывать в лог, сессию дропать, адреса блокировать. По логам давать юзерам втык. Например, запрещено политикой ИБ пользоваться FTP серверам для хранения информация – ищем в трафике команду FTP PUT, нашли – по рукам. Желательно публично, что бы другим не повадно было. 4. Кто не знает, как настраивать маршрутизаторы cisco, милости просим: http://cisco.com/go/safe 5. Что бы совсем избежать вероятность спуффинга IP адресов – используйте выделенные интерфейсы управления, или консоль управления доступную из внутренней сети. 6. Статистика Netflow сразу позволит увидеть аномалии в трафике, а дополнительное ПО автоматически предупредит об этом администратора. 7. Технологию AAA не зря придумали. После аутентификации пользователя я должен проверить, а можно ли вообще ему по телнету подключаться (кстати телнет тоже на помойку, с недавних версий на циске есть ssh 2). А после этого каждую его команду проверить на допустимость, и запротоколировать. 8. Не храните на циске паролей в обратимой форме. Команда такая есть username XXX secret YYY. 9. ну и так далее, уже лень продолжать… [IMG]http://www.securitylab.ru/forum/smileys/smiley4.gif[/IMG]
andyg Правильные рекомендации, если бы их все еще соблюдали... Если бы все администраторы были бы очень компетентными, все программисты писали бы ПО без ошибок, а пользователи были бы бдительными, то взлом был бы попросту невозможен.
Цитата
ICQ? Запрет
В реальной жизни может оказаться и так, что, например, гендиректор использует ICQ и отказываться от нее не собирается(хотя если ИБ является критическим элементом и есть необходимые полномочия, то не проблема заставить), что у пользователей узнать пароль доступа в сеть значительно проще чем подобрать, да и, вообще, человеческий фактор - самое слабое звено. Так что обеспечение сеьезной инф. без-ти достаточно сложная задача в реальных условиях.
Цитата
Зачем нам вообще Интернет трафик компании Х?
А компания X это ISP для нескольких компаний? Да и циски не только гейтвеями в инет бывают - они еще могут и соединять интранет филиалов с интранетом основного оффиса. А вообще циски редко становятся целью - проще получить доступ на БД-, файл- и прочие сервера, хотя когда доступ на киски уже есть, а доступ на сервера взять не удалось, то киски могут пригодиться.
Цитата
кстати телнет тоже на помойку, с недавних версий на циске есть ssh 2
Кстати , SSH и SSL трафик нормально перехватывается и мгновенно раскодируется в онлайн путем MITM атаки с подделкой сертификата: http://monkey.org/~dugsong/dsniff/
Цитата
5. Что бы совсем избежать вероятность спуффинга IP адресов – используйте выделенные интерфейсы управления, или консоль управления доступную из внутренней сети.
Как раз спуффинг адреса именно в обычной езернет локалке наиболее эффективен и прост. Со спуффингом IP адресов можно бороться привязкой портов свитча к макам, прописыванием статического соответсвия ип-мак или мониторить при помощи того же arpwatch и оперативно реагировать на алерты. Вообще же, спуффинг редко используется.
Цитата
ищем в трафике команду FTP PUT, нашли – по рукам
FTP PUT можно не просто детектить, а гасить на гейте, а уже потом держа вруках логи ходитьи раздавать пряники
Цитата
Не храните на циске паролей в обратимой форме.
На роутерах Lucent Portmaster(Livingston) сделано более грамотно - пароли на enable и shared key даже в закриптованном виде увидеть нельзя(конечно если не разбирать рутер и не считывать с флешки) - их можно только переопределять.
а у меня ничего не вышло, кто-нибудь может посоветовать как собрать инфу с потока Е1, за ним стоит циска и весь поток растекается на серийные и изернет интерфейсы, всего интерфейсов около 25-30...
Нет, не лучше. Aлгоритм этого "encription" совсем прост и допускает прямое декодирование (побоюсь употребить слово "расшифрование"). Есть готовые средства.
Не знаю, кто и что может поменять незаметно. Есть rancid, который скажет, когда и что изменилось. Про ssh2, secret, access-lists, IOS update и прочее уже сказали...
с mrtg не так уж все плохо: 1. если повезет, mib-ы интерфейсов могут только сместится, а так как mrtg прикреплен только к mib-у а не к названию, то ругаться он не будет, а будут просто неправильные графики (трафик для А на графике для Б). Заметить можно только визуально, или дополнительным скриптом-костылем, который еще проверяет и правильный ifDescr для миба. 2. Есть комманда Router(config)# snmp-server ifindex persist вот %)