telecom №8. ИБ - Best Practices и лаборатории пентестинга
0
16997
14
В шестом выпуске наш гость Александр Sinister рассказывал о самых громких атаках на IT-инфраструктуру. Он оказался самым популярным за 7 месяцев существования подкаста.
Слушатели резонно спрашивали в комментариях — как этого можно избежать.
Встречайте, как говорится, Best Practice по Информационной Безопасности в сфере сетей. Александр расскажет о наиболее вероятных векторах атак и способах превентивной защиты от них.
Кроме того, только у нас вы услышите о самой новой атаке на OSPF, позволяющей изменить таблицу маршрутизации во всём домене IGP. Уязвимость была обнаружена совсем недавно и только месяц назад была закрыта Cisco и Juniper патчами. Такой информации ещё нет в Рунете и её довольно сложно найти в глобальной сети.!!!
Но вы ничего не знаете о Информационной Безопасности, если никогда не были атакованы или не атаковали сами. Но у всех есть возможность закрепить теорию практикой и для этого не обязательно ходить под статьёй. Для этих целей существуют лаборатории PenTest (Penetration Testing).
Создатель одной из таких лабораторий — pentestit.ru — Романов Роман расскажет о своём опыте, о том, какие проблемы им приходилось решать, какие возможности предоставляет лаба и что вообще значит оказаться по ту сторону файрвола и всегда быть готовым, готовым к тому, что атакующий умнее тебя.
Скачать файл подкаста.
Добавить RSS в подкаст-плеер.
Мы намеренно не рассматривали DoS и другие специфические виды атак, поскольку защита от них уже выходит за рамки конфигурации.
Под катом традиционный слайдкаст.
Фоновая музыка взята здесь.
0
16997
14
14 коментариев
Как раз перед новым годом сдал CCNA Security, и могу от себя добавить пару-тройку вещей 🙂
1) В IOS 15.3 появились новые методы шифрования секретов пользователей — Password-Based Key Derivation Function с использованием sha256 в качестве функции хеширования (type 8) и scrypt (type 9). Метод scrypt считается более защищённым, так как значения, созданные им сложнее сбрутфорсить. Использовать их можно следующим образом:
(config)#enable algorythm-type scrypt secret наш секрет
(config)#username Bob algorythm-type scrypt secret наш секрет
2) Для того, чтобы защититься от смены регистров через ROMMON и последующего сброса пароля злоумышленниками, и если мы уверены, что сброс пароля на данном устройстве нам не понадобится, можно в режиме глобальной конфигурации набрать команду no service password-recovery. Если в конфигурации устройства присутствует такая команда, то при его перезагрузке мы будем видеть строку «PASSWORD RECOVERY FUNCTIONALITY IS DISABLED». При отправке Break Sequence нам будет предложено лишь сбросить конфигурацию до дефолтной, т.е. попасть в ROMMON и скрытно поменять там конфиг-регистры мы не сможем.
3) Native VLAN лишь по умолчанию VLAN 1, т.е. мы можем настроить передачу кадров без тега в транке любого VLAN-а. И best-practice в данном случае native VLAN делать отличным от 1-го и не использовать его.
По поводу участия третьей стороны в тестах MNP. Билайн и МТС проводили вроде как полноценный тест, не такой, какой был у Мегафона с Теле2.
http://www.vedomosti.ru/tech/news/17100451/mts-i-vympelkom-protestirovali-perenos-nomera
Но это не отменяет того, что с 1го декабря все-равно не запустят 🙂
Спацибо за подкаст, отличный гость!
Как я понял, гость, тот что не с лаборатории, читал по загатовке уязвимости. Слушал подкаст не в самам подходщем для конспектирования месте (за рулем) и, как следсвие, пришлось пересушивать чтоб составить список для гугления. Было бы круто, если такие списки были в шоунотах.
P.S. больше тем для дамы, а то я вспоминаю о ее присутствии в подкасте на «прощаниях» 😉
А как посмотреть режимы портов в DSLAM5600?
Шикарный выпуск, достойное продолжение темы ИБ, спасибо.
был бы благодарен если кто нибудь поделится ссылкой на описание и примеры работы dhcp client id.
Так же есть вопрос про dhcp, может быть и не относящийся напрямую к безопасности.
Как бороться если пользователь принёс «DIR-300» подключил его в нашу сеть и он начал активно всем выдавать адреса?
В голову приходит только port-security. Что возможно ещё?
а где взять презентацию к подкасту
Про Google — пароли приложений accounts.google.com/b/0/IssuedAuthSubTokens?hide_authsub=1
Хорошо, если у марту успеют.
Учтём. 🙂
Спасибо.
Того гостя, что не с лаборатории, зовут Александр. У нас всегда есть план подкаста, но рассказывают в основном в режиме реал-тайм, учитывая вопросы.
Про список как-то не подумал, надо было действительно добавить.
Несколько примеров DHCP Client ID:
на клиенте, если это Windows
на сервере, если это DHCPd (разработанный ISC, Internet Systems Consortium) есть опция «option default-ip-ttl»
Все остальное уже зависит от конкретной реализации.
По поводу «умных» пользователей со своими DHCP серверами, может быть несколько вариантов.
Например подавление чужих DHCP — тут
Кроме того, существует технология DHCP Snooping
Обнаружить можно или слушая сеть, или с помощью утилит вроде такой
Собственно, под катом.
Да, для почтовых клиентов вроде Outlook, Apple Mail и Thunderbird можно генерировать особые пароли, которые вводятся вместо обычных.
Но тут все равно получается один фактор, хотя и нетривиальный.
support.google.com/accounts/answer/185833