return

telecom №8. ИБ - Best Practices и лаборатории пентестинга

25 октября 2013, 09:32
like 0 views 14336 message 14

14 коментариев

  • Виктор Лёвочкин

    Как раз перед новым годом сдал CCNA Security, и могу от себя добавить пару-тройку вещей 🙂
    1) В IOS 15.3 появились новые методы шифрования секретов пользователей — Password-Based Key Derivation Function с использованием sha256 в качестве функции хеширования (type 8) и scrypt (type 9). Метод scrypt считается более защищённым, так как значения, созданные им сложнее сбрутфорсить. Использовать их можно следующим образом:
    (config)#enable algorythm-type scrypt secret наш секрет
    (config)#username Bob algorythm-type scrypt secret наш секрет
    2) Для того, чтобы защититься от смены регистров через ROMMON и последующего сброса пароля злоумышленниками, и если мы уверены, что сброс пароля на данном устройстве нам не понадобится, можно в режиме глобальной конфигурации набрать команду no service password-recovery. Если в конфигурации устройства присутствует такая команда, то при его перезагрузке мы будем видеть строку «PASSWORD RECOVERY FUNCTIONALITY IS DISABLED». При отправке Break Sequence нам будет предложено лишь сбросить конфигурацию до дефолтной, т.е. попасть в ROMMON и скрытно поменять там конфиг-регистры мы не сможем.
    3) Native VLAN лишь по умолчанию VLAN 1, т.е. мы можем настроить передачу кадров без тега в транке любого VLAN-а. И best-practice в данном случае native VLAN делать отличным от 1-го и не использовать его.

    5 января 2018, 09:24
  • По поводу участия третьей стороны в тестах MNP. Билайн и МТС проводили вроде как полноценный тест, не такой, какой был у Мегафона с Теле2.
    http://www.vedomosti.ru/tech/news/17100451/mts-i-vympelkom-protestirovali-perenos-nomera
    Но это не отменяет того, что с 1го декабря все-равно не запустят 🙂

    1 ноября 2013, 14:41
  • Спацибо за подкаст, отличный гость!

    Как я понял, гость, тот что не с лаборатории, читал по загатовке уязвимости. Слушал подкаст не в самам подходщем для конспектирования месте (за рулем) и, как следсвие, пришлось пересушивать чтоб составить список для гугления. Было бы круто, если такие списки были в шоунотах.

    P.S. больше тем для дамы, а то я вспоминаю о ее присутствии в подкасте на «прощаниях» 😉

    28 октября 2013, 08:42
  • А как посмотреть режимы портов в DSLAM5600?

    26 октября 2013, 23:28
  • Шикарный выпуск, достойное продолжение темы ИБ, спасибо.
    был бы благодарен если кто нибудь поделится ссылкой на описание и примеры работы dhcp client id.
    Так же есть вопрос про dhcp, может быть и не относящийся напрямую к безопасности.
    Как бороться если пользователь принёс «DIR-300» подключил его в нашу сеть и он начал активно всем выдавать адреса?
    В голову приходит только port-security. Что возможно ещё?

    26 октября 2013, 14:03
  • а где взять презентацию к подкасту

    26 октября 2013, 13:28
  • Про Google — пароли приложений accounts.google.com/b/0/IssuedAuthSubTokens?hide_authsub=1

    26 октября 2013, 00:51
  • Хорошо, если у марту успеют.

    1 ноября 2013, 19:00
  • P.S. больше тем для дамы

    Учтём. 🙂

    28 октября 2013, 11:39
  • Спасибо.

    Того гостя, что не с лаборатории, зовут Александр. У нас всегда есть план подкаста, но рассказывают в основном в режиме реал-тайм, учитывая вопросы.

    Про список как-то не подумал, надо было действительно добавить.

    28 октября 2013, 11:38
  • Несколько примеров DHCP Client ID:
    на клиенте, если это Windows

    ipconfig /setclassid
    ipconfig /showclassid

    на сервере, если это DHCPd (разработанный ISC, Internet Systems Consortium) есть опция «option default-ip-ttl»
    Все остальное уже зависит от конкретной реализации.

    По поводу «умных» пользователей со своими DHCP серверами, может быть несколько вариантов.
    Например подавление чужих DHCP — тут
    Кроме того, существует технология DHCP Snooping
    Обнаружить можно или слушая сеть, или с помощью утилит вроде такой

    26 октября 2013, 17:47
  • Собственно, под катом.

    26 октября 2013, 13:29
  • Да, для почтовых клиентов вроде Outlook, Apple Mail и Thunderbird можно генерировать особые пароли, которые вводятся вместо обычных.
    Но тут все равно получается один фактор, хотя и нетривиальный.

    26 октября 2013, 11:18
Ещё выпуски
Шоты №19. Тарас Котов. DevOpsConf
Тарас Котов. Ведущий системный инженер в EPAM. Роль сетей в облачных проектах. Кем быть в IT мире и почему знания сетей ещё кому-то ...
like 0 3989 0
sysadmins №16. DevOps tools. Часть нулевая
В этом выпуске, начинающем серию об инструментах DevOps мы поговорили о: Инструментарии автоматизации процессов как под Linux, так и под Windows.Подходе IaC.Различиях в ...
like 0 4633 0
sysadmins №19. DevOps tools. Часть первая
Вот и прошёл очередной выпуск про DevOps. Поговорили о инструментах, методах. В итоге выяснили: — Как перестать ненавидеть всех и начать использовать ansible/salt ...
like 0 4128 3
По'уехавшие №18. Сингапур. Александр Хаёров
Александр Хаёров, заслуженный спикер бесчисленного количества митапов и конференций рассказывает о своём опыте проживания в Сингапуре и хочет разыграть книгу. Заветную бумажную книгу ...
like 0 1833 0
00:00 00:00