Hlavní navigace

Vlákno názorů k článku Bráníme se odposlechu: ARP Cache Poisoning a připojení počítače k síti od PaJaSoft - Bez zamku asi ne ale jeho kvalita, pripadne...

  • Článek je starý, nové názory již nelze přidávat.
  • 10. 8. 2006 13:17

    PaJaSoft
    Bez zamku asi ne ale jeho kvalita, pripadne naposledy zmenena konfigurace/stav (toho dozickeho zamku) je uz k diskusi...:-)
  • 9. 8. 2006 15:43

    David Rohleder (neregistrovaný)
    správce se o změně dozví při první změně konfigurace. Přijdete o notebook nebo AP.
  • 9. 8. 2006 20:17

    l. (neregistrovaný)
    ok, ale jak a kdy se to dozvi?
    imho pouze v pripade,ze bude muset na zarizeni udelat zasadni zmenu. Coz se uprimne nestava casto.

    Jestli mate nastarosti 4 sitove prvky tak zasadni konfigurace prakticky jiz nedelate, pokud 40 tak nemate na blbosti cas a pokud 400 tak je vas vic a nez zjistite, ze to neudelal nikdo z vasich kolegu, uz je pozde.

    Druha moznost je, ze si na svem monitovacim toolu vsimne ze jeste vcera bylo vsude 100 procent, ale dnes je tam na jednom prvku 99 a on nema nic lepsiho na praci nez to zacit zkoumat.

    Ztrata notebooku zamrzi, "AP" jsem myslel tak, ze do stavajici bezdratove infrastruktury (pokud jiz existuje) protrunkujete RSPAN, vytvorite novy subnet(jine SSID) a notebook pripojite prez tuto bezdratovou sit. Priznam se o wifi toho moc nevim, ale pri prvni mozne prilezitosti se to pokusim nekde vyzkouset. (snad v patek pokud bude cas)
  • 9. 8. 2006 20:39

    David Rohleder (neregistrovaný)
    máme na starosti několik desítek switchů a každý den si necháváme posílat změny konfigurace. Konfigurace se zazálohuje a diff se pošle správcům.
    A to nemluvím o tom, že lepší monitorovací nástroje sledují změny konfigurace při každé změně, takže rychlost odhalení by byla ještě vyšší.
    Co se týká RSPANu přes WiFi, tak je to sice zajímavý nápad, ale patrně nerealizovatelný, protože v tom RSPANu by patrně tekly takové objemy, že by to tu WiFi položilo a rychlost reakce správce by byla ještě větší.
    A představa: příjdu do serverovny a vypnu switch je taky poměrně zajímavá :-)
  • 9. 8. 2006 20:58

    l. (neregistrovaný)
    Dobra tedy.
    Zmeny konfigurace: Kazdy den zalohujete? To je ok, ale diff se rozesle spravcum? Co to znamena? Ze si toho jeden ze 3 spravcu vsimne? Tohle by jste davide, pokud mate na prvky pristup, mohl provest maly test: treba zmenit Description na portu, nebo vytvorit na prvni pohled odpudivy access-list (nikam ho neumistit, jenom aby tam byl). A jestli nekdo z vasich kolegu zareaguje, tak vsechno odvolam.

    Lepsi monitorovaci nastroje: Pochlubte se, ktery to aktivne zjisti tak, ze si toho vsimnete. (z nasaditelnych samozrejme)

    RSPAN, WIFI, malo mista: V souvislosti se nejakym cisco pravidlem 30:70 (nebo tak nejak) by to nemusel byt zas tak velky problem, nebo mate office connectivitu 10Mb? Hlavne neberete vse, ale pouze "vybranou" vlanu

    Prichod do serverovny: Divil by jste se :) (samozrejme ze pokud tam neni redundance a vy to udelate za bileho dne, tak asi mate problem :)
  • 9. 8. 2006 21:11

    David Rohleder (neregistrovaný)
    Změny čtu pravidelně, každý den, stejně jako kolegové. Navíc je ve změně konfigurace napsáno, kdo tu konfiguraci měnil naposledy.

    Co se týká monitorovacích nástrojů, tak HP OpenView nebo Ciscoworks by ty změny měly umět. Nicméně, pokud si posíláte logy někam na vzdálený syslog server, tak by neměl být problém udělat velmi jednoduchý skriptík, který vám to bude hlásit třeba přes ICQ :-)

    RSPAN jsem pochopil tak, že vybranou VLAN chcete posílat vzduchem. To znamená, že máte ve velmi dobrém případě k dispozici max. 54Mbit/s. V dnešních sítích žádná výhra.

    Co se týká serveroven, pár znám a myslím, že pokud se nejmenujete Bond, James Bond, tak by to mohl být problém. Ve dne je tam obsluha nebo je tam zamčeno a v noci je to zastřeženo bezpečnostním systémem.
  • 10. 8. 2006 1:08

    l. (neregistrovaný)
    Změny čtu pravidelně, každý den, stejně jako kolegové. Navíc je ve změně konfigurace napsáno, kdo tu konfiguraci měnil naposledy.

    Potom chapu, ale tohle je jiz rekneme "sofistikovanejsi" metoda AAA. Ok zjistim snmp RW a provedu: http://www.cisco.com/en/US/tech/tk648/tk362/technologies_tech_note09186a0080094aa6.shtml (veta: Note: This MIB is not supported on Catalysts. neni pravdiva) Tohle by jste mohl zkusit, aby jste vedel, zda vam dojde notifikace o zmene.
    --

    Co se týká monitorovacích nástrojů, tak HP OpenView nebo Ciscoworks by ty změny měly umět. Nicméně, pokud si posíláte logy někam na vzdálený syslog server, tak by neměl být problém udělat velmi jednoduchý skriptík, který vám to bude hlásit třeba přes ICQ :-)

    To je presne to, o cem jsem mluvil, MELY BY umet. Pouzivate to? A na syslogu uvidite prosim pekne co? A trosku si rypnu, pouzivate acl na snmp?
    --

    RSPAN jsem pochopil tak, že vybranou VLAN chcete posílat vzduchem. To znamená, že máte ve velmi dobrém případě k dispozici max. 54Mbit/s. V dnešních sítích žádná výhra.

    Samozrejme mate pravdu. Odposlouchavat DC, kde vse bezi na 1000Mb prez wifi je samozrejme nesmyls. Chtel jsem jenom poznamenat, ze pokud mate WAN konektivitu 1Mbps a 70 procent provozu je limitovano prave touto konektivitou(30% je lokalnich 100Mbps), potom 1*.7+100*.3 se do Vasich 54Mbps v pohode vejde.(Tahle matematika je spatna, chce to zkusit)
    --

    Co se týká serveroven, pár znám a myslím, že pokud se nejmenujete Bond, James Bond, tak by to mohl být problém. Ve dne je tam obsluha nebo je tam zamčeno a v noci je to zastřeženo bezpečnostním systémem.

    Ale ovsem, taky znam par takovych, kde se musite ohlasit min. 12 hodin do predu, musite byt nahlasen jako visitor pouze tou jedinnou osobou, ktera muze visitory nahlasovat.
    A neni to serverovna, ve smyslu server room, ale neco, co by se dalo nazvat serverhausem.
    --
  • 10. 8. 2006 10:41

    David Rohleder (neregistrovaný)
    Potom chapu, ale tohle je jiz rekneme "sofistikovanejsi" metoda AAA.

    Kdepak, na začátku každé konfigurace je napsáno, kdo ji měnil naposledy (pokud se tedy přihlašujete jménem a heslem).

    Zálohování konfigurací provádíme přes vámi popsané SNMP.

    To je presne to, o cem jsem mluvil, MELY BY umet. Pouzivate to?

    Ne, ale vím o lidech, kteří to používají. My to nepoužíváme, protože nám současný stav celkem vyhovuje

    A na syslogu uvidite prosim pekne co? A trosku si rypnu, pouzivate acl na snmp?

    V syslogu se objeví:

    %SYS-5-CONFIG_I: Configured from console by uživatel on vty0 (10.20.30.40)
    
    No a podle toho se snad můžu zařídit, ne?

    Ono jde používat SNMP bez ACL? :-) Většinou používáme i view, takže patřičná komunita může sahat jenom tam, kde se jí řekne.

    A neni to serverovna, ve smyslu server room, ale neco, co by se dalo nazvat serverhausem.

    Ale i taková serverovna bývá většinou zamčená. Opravdu neznám firmu, kde by měli serverovou místnost bez zámku.

  • 10. 8. 2006 21:20

    l. (neregistrovaný)
    Dobra uz toho nechame... :)

    Jen me tak ted napadlo, a nemam to prave ted moznost nikde vyzkouset a opravdu nevim. Situace:
    Mate nejaky monitorovaci tool, ktery nejenom, ze chyta snmp trapy, ale zaroven zarizeni i pooluje (treba pocita packety). Treba netmon.
    V pripade ze se mi tedy podari odchytit snmp RO:
    Dokazi obecne na ciscu zjistit pomoci snmpwalku (ci nejakeho snmpgetu) aktualni acl-ka? neco jako "show access-list" pomoci snmpget.

    Ale tu RSPANu prez wireless zitra zkusim:)
  • 14. 8. 2006 21:25

    l. (neregistrovaný)
    Takze jsem se dnes pokusil vyzkouset RSPAN a uprime: pohorel jsem.
    Kdyz jsem to zkousel na 4500 tak nebyla moznost:
    monitor session 1 destination "vlan" (pouze interface) A pritom na 2950 np :(
    Bohuzel ta 4500 je vtp server a nejde nastavit "remote-span" a je to system v produkci, takze stim nechci moc laborovat... Problem bude asi v nestandartnim IOSe(ale je tam nejaka 12.1), ale bohuzel nemam cas to zkoumat.
    Smula.Nekdy priste.
  • 8. 8. 2006 19:23

    l. (neregistrovaný)
    1) Prunik do serverovny
    2) Cisco Password Recovery -> zisk hesla
    3) Konfigurace SPAN nebo dokonce RSPAN
    4) Dasli nezbytna konfigurace: (zasuvka)
    5) Odchod ze serverovny (mezi 1-5 odhadem 15 minut)

    6) pripojeni notebooku do pripravene zasuvky
    7) 2 dny pockat
    8) vratit se pro ulovek

    Pro RSPAN a pritomnost AP lze body 6-8 snad vyresit bezdratove (snad)
Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).