return

telecom №8. ИБ - Best Practices и лаборатории пентестинга

25 октября 2013, 09:32
like 0 views 14229 message 14

14 коментариев

  • Виктор Лёвочкин

    Как раз перед новым годом сдал CCNA Security, и могу от себя добавить пару-тройку вещей 🙂
    1) В IOS 15.3 появились новые методы шифрования секретов пользователей — Password-Based Key Derivation Function с использованием sha256 в качестве функции хеширования (type 8) и scrypt (type 9). Метод scrypt считается более защищённым, так как значения, созданные им сложнее сбрутфорсить. Использовать их можно следующим образом:
    (config)#enable algorythm-type scrypt secret наш секрет
    (config)#username Bob algorythm-type scrypt secret наш секрет
    2) Для того, чтобы защититься от смены регистров через ROMMON и последующего сброса пароля злоумышленниками, и если мы уверены, что сброс пароля на данном устройстве нам не понадобится, можно в режиме глобальной конфигурации набрать команду no service password-recovery. Если в конфигурации устройства присутствует такая команда, то при его перезагрузке мы будем видеть строку «PASSWORD RECOVERY FUNCTIONALITY IS DISABLED». При отправке Break Sequence нам будет предложено лишь сбросить конфигурацию до дефолтной, т.е. попасть в ROMMON и скрытно поменять там конфиг-регистры мы не сможем.
    3) Native VLAN лишь по умолчанию VLAN 1, т.е. мы можем настроить передачу кадров без тега в транке любого VLAN-а. И best-practice в данном случае native VLAN делать отличным от 1-го и не использовать его.

    5 января 2018, 09:24
  • По поводу участия третьей стороны в тестах MNP. Билайн и МТС проводили вроде как полноценный тест, не такой, какой был у Мегафона с Теле2.
    http://www.vedomosti.ru/tech/news/17100451/mts-i-vympelkom-protestirovali-perenos-nomera
    Но это не отменяет того, что с 1го декабря все-равно не запустят 🙂

    1 ноября 2013, 14:41
  • Спацибо за подкаст, отличный гость!

    Как я понял, гость, тот что не с лаборатории, читал по загатовке уязвимости. Слушал подкаст не в самам подходщем для конспектирования месте (за рулем) и, как следсвие, пришлось пересушивать чтоб составить список для гугления. Было бы круто, если такие списки были в шоунотах.

    P.S. больше тем для дамы, а то я вспоминаю о ее присутствии в подкасте на «прощаниях» 😉

    28 октября 2013, 08:42
  • А как посмотреть режимы портов в DSLAM5600?

    26 октября 2013, 23:28
  • Шикарный выпуск, достойное продолжение темы ИБ, спасибо.
    был бы благодарен если кто нибудь поделится ссылкой на описание и примеры работы dhcp client id.
    Так же есть вопрос про dhcp, может быть и не относящийся напрямую к безопасности.
    Как бороться если пользователь принёс «DIR-300» подключил его в нашу сеть и он начал активно всем выдавать адреса?
    В голову приходит только port-security. Что возможно ещё?

    26 октября 2013, 14:03
  • а где взять презентацию к подкасту

    26 октября 2013, 13:28
  • Про Google — пароли приложений accounts.google.com/b/0/IssuedAuthSubTokens?hide_authsub=1

    26 октября 2013, 00:51
  • Хорошо, если у марту успеют.

    1 ноября 2013, 19:00
  • P.S. больше тем для дамы

    Учтём. 🙂

    28 октября 2013, 11:39
  • Спасибо.

    Того гостя, что не с лаборатории, зовут Александр. У нас всегда есть план подкаста, но рассказывают в основном в режиме реал-тайм, учитывая вопросы.

    Про список как-то не подумал, надо было действительно добавить.

    28 октября 2013, 11:38
  • Несколько примеров DHCP Client ID:
    на клиенте, если это Windows

    ipconfig /setclassid
    ipconfig /showclassid

    на сервере, если это DHCPd (разработанный ISC, Internet Systems Consortium) есть опция «option default-ip-ttl»
    Все остальное уже зависит от конкретной реализации.

    По поводу «умных» пользователей со своими DHCP серверами, может быть несколько вариантов.
    Например подавление чужих DHCP — тут
    Кроме того, существует технология DHCP Snooping
    Обнаружить можно или слушая сеть, или с помощью утилит вроде такой

    26 октября 2013, 17:47
  • Собственно, под катом.

    26 октября 2013, 13:29
  • Да, для почтовых клиентов вроде Outlook, Apple Mail и Thunderbird можно генерировать особые пароли, которые вводятся вместо обычных.
    Но тут все равно получается один фактор, хотя и нетривиальный.

    26 октября 2013, 11:18
Ещё выпуски
telecom №64. vCPE
В 64-м выпуске подкаста затронем впервые тему vCPE — virtual Customer Premises Equipment. И не абы кто будет рассказывать про сферический vCPE в ...
like 0 6978 0
Поccieлки №1. Александр Клиппер (#39976)
Друзья, мы начинаем новую серию подкастов «Поccieлки». Всё, что вы хотели знать об экзамене и подготовке к нему, вы найдете в этом подкасте. ...
like 0 9102 7
sysadmins №28. OpenStack
Вот он, вот он выпуск про OpenStack ;) Выпуск получился насыщенным и не только лишь по заявленному сабжу, была ещё раскрыта тайна опенсорса ...
like 1 1736 0
telecom №55. Квантовые коммуникации
В этот раз Александру пришлось поднапрячься и за сутки собрать приятную на слух дорогу. Алексей Фёдоров — старший научный сотрудник Российского Квантового Центра ...
like 0 7841 1
00:00 00:00