LinkMeUp. Выпуск № 8. ИБ - Best Practices и лаборатории пентестинга

В шестом выпуске наш гость Александр Sinister рассказывал о самых громких атаках на IT-инфраструктуру. Он оказался самым популярным за 7 месяцев существования подкаста.
Слушатели резонно спрашивали в комментариях — как этого можно избежать.
Встречайте, как говорится, Best Practice по Информационной Безопасности в сфере сетей. Александр расскажет о наиболее вероятных векторах атак и способах превентивной защиты от них.

Кроме того, только у нас вы услышите о самой новой атаке на OSPF, позволяющей изменить таблицу маршрутизации во всём домене IGP. Уязвимость была обнаружена совсем недавно и только месяц назад была закрыта Cisco и Juniper патчами. Такой информации ещё нет в Рунете и её довольно сложно найти в глобальной сети.!!!

Но вы ничего не знаете о Информационной Безопасности, если никогда не были атакованы или не атаковали сами. Но у всех есть возможность закрепить теорию практикой и для этого не обязательно ходить под статьёй. Для этих целей существуют лаборатории PenTest (Penetration Testing).
Создатель одной из таких лабораторий — pentestit.ruРоманов Роман расскажет о своём опыте, о том, какие проблемы им приходилось решать, какие возможности предоставляет лаба и что вообще значит оказаться по ту сторону файрвола и всегда быть готовым, готовым к тому, что атакующий умнее тебя.

Скачать файл подкаста.




Добавить RSS в подкаст-плеер.

Мы намеренно не рассматривали DoS и другие специфические виды атак, поскольку защита от них уже выходит за рамки конфигурации.
Под катом традиционный слайдкаст.


Фоновая музыка взята здесь.

14 комментариев

avatar
Про Google — пароли приложений accounts.google.com/b/0/IssuedAuthSubTokens?hide_authsub=1
avatar
Да, для почтовых клиентов вроде Outlook, Apple Mail и Thunderbird можно генерировать особые пароли, которые вводятся вместо обычных.
Но тут все равно получается один фактор, хотя и нетривиальный.
avatar
а где взять презентацию к подкасту
avatar
Собственно, под катом.
avatar
Шикарный выпуск, достойное продолжение темы ИБ, спасибо.
был бы благодарен если кто нибудь поделится ссылкой на описание и примеры работы dhcp client id.
Так же есть вопрос про dhcp, может быть и не относящийся напрямую к безопасности.
Как бороться если пользователь принёс «DIR-300» подключил его в нашу сеть и он начал активно всем выдавать адреса?
В голову приходит только port-security. Что возможно ещё?
avatar
Несколько примеров DHCP Client ID:
на клиенте, если это Windows
ipconfig /setclassid
ipconfig /showclassid

на сервере, если это DHCPd (разработанный ISC, Internet Systems Consortium) есть опция «option default-ip-ttl»
Все остальное уже зависит от конкретной реализации.

По поводу «умных» пользователей со своими DHCP серверами, может быть несколько вариантов.
Например подавление чужих DHCP — тут
Кроме того, существует технология DHCP Snooping
Обнаружить можно или слушая сеть, или с помощью утилит вроде такой
avatar
А как посмотреть режимы портов в DSLAM5600?
avatar
Спацибо за подкаст, отличный гость!

Как я понял, гость, тот что не с лаборатории, читал по загатовке уязвимости. Слушал подкаст не в самам подходщем для конспектирования месте (за рулем) и, как следсвие, пришлось пересушивать чтоб составить список для гугления. Было бы круто, если такие списки были в шоунотах.

P.S. больше тем для дамы, а то я вспоминаю о ее присутствии в подкасте на «прощаниях» ;)
avatar
Спасибо.

Того гостя, что не с лаборатории, зовут Александр. У нас всегда есть план подкаста, но рассказывают в основном в режиме реал-тайм, учитывая вопросы.

Про список как-то не подумал, надо было действительно добавить.
avatar
P.S. больше тем для дамы
Учтём. :)
avatar
По поводу участия третьей стороны в тестах MNP. Билайн и МТС проводили вроде как полноценный тест, не такой, какой был у Мегафона с Теле2.
www.vedomosti.ru/tech/news/17100451/mts-i-vympelkom-protestirovali-perenos-nomera
Но это не отменяет того, что с 1го декабря все-равно не запустят :-)
avatar
Хорошо, если у марту успеют.
avatar
Как раз перед новым годом сдал CCNA Security, и могу от себя добавить пару-тройку вещей :-)
1) В IOS 15.3 появились новые методы шифрования секретов пользователей — Password-Based Key Derivation Function с использованием sha256 в качестве функции хеширования (type 8) и scrypt (type 9). Метод scrypt считается более защищённым, так как значения, созданные им сложнее сбрутфорсить. Использовать их можно следующим образом:
(config)#enable algorythm-type scrypt secret наш секрет
(config)#username Bob algorythm-type scrypt secret наш секрет
2) Для того, чтобы защититься от смены регистров через ROMMON и последующего сброса пароля злоумышленниками, и если мы уверены, что сброс пароля на данном устройстве нам не понадобится, можно в режиме глобальной конфигурации набрать команду no service password-recovery. Если в конфигурации устройства присутствует такая команда, то при его перезагрузке мы будем видеть строку «PASSWORD RECOVERY FUNCTIONALITY IS DISABLED». При отправке Break Sequence нам будет предложено лишь сбросить конфигурацию до дефолтной, т.е. попасть в ROMMON и скрытно поменять там конфиг-регистры мы не сможем.
3) Native VLAN лишь по умолчанию VLAN 1, т.е. мы можем настроить передачу кадров без тега в транке любого VLAN-а. И best-practice в данном случае native VLAN делать отличным от 1-го и не использовать его.
Только зарегистрированные и авторизованные пользователи могут оставлять комментарии.