"le malfaisant peut éventuellement ré-initialiser la conf du switch en utilisant la procédure 'passwd-recovery'. Mais il ne peut pas accéder à la conf courante."
En effet, le monitoring couplé à une vérification contre un template (par exemple faire tourner HAWK sur le dernier backup RANCID) me semble une contre mesure réactive valable. Mais qu'est-ce qui lui empêche d’accéder à la startup-config, de la modifier et de la réinjecter pour se donner un accès avant de se faire griller ? 2014-08-20 15:05 GMT+02:00 Remi Paulmier <remi.paulm...@gmail.com>: > Hello la liste, > > Le 20 août 2014 09:37, Philippe Bourcier <phili...@frnog.org> a écrit : > > > >> D'ailleurs, les PoD, si tu les as pas changé, on pouvait y glisser la > main > >> et brancher un câble console. > > > > > > Il y a effectivement eut 2 générations, les 1ers n'étaient pas > sur-mesure, > > donc gros trou sur le dessus, les nouveaux ont juste un trou rond de 3-4 > cm > > de diamètre avec rebords en caoutchouc et une sorte de membrane > élastique, > > c'est bien plus adaptés... en plus si tu passes quand même une main > > d'enfant, tu arrives sur une première plaque, celle prévue pour un 2e > > switch, donc c'est plutôt pas mal fait (et j'y suis pour rien, ce sont > les > > Services G. qui les ont fait faire). > > > > > > Chez BlaBlaCar (qui occupe le même immeuble que Critéo) je me suis > inspiré de ce qu'a fait Critéo sur leurs propres étages. J'ai gardé le > switch c2960cg-8tc-l, avec tout le monde en 1Gbps. > > Pour le caisson, pas de sur-mesure pour nous, mais ce coffret: > > http://nove.fr/dexlan-mini-coffret-mural-3u-19-faible-encombrement-753850_p-753850.html > > >> Maintenant qu'il y'a prescription, je peux le dire : j'ai été tenté plus > >> d'une fois de prendre la main sur le switch et d'y enlever la conf > 802.1x > >> car ça marchait pas super avec un Mac :-/ > > > > > > Tu crois vraiment que des gens laissent encore la console sans password ? > > Et comment tu ferais pour savoir le numéro de ton VLAN ? > > Je sais bien que ça ne fait que 2 inconnues, mais bon, c'est déjà ça. > > Avec du temps, on peut tout faire (mais on aura plus vite fait de péter > un > > serveur Windows) :) > > En tout cas avec les nouveaux racks, de toute façon ce n'est clairement > plus > > possible. > > > > Sur ce point, j'ai cherché a sécuriser car notre modèle de caisson > permet à n'importe qui d'accéder au switch, pour au choix, brancher un > câble console, ou débrancher la fibre pour la rebrancher sur son > propre PC. > > > - concernant la fibre. Tous les équipements branchés sur les ports > d'accès doivent supporter 802.1x. Ceux qui ne le supportent pas font > du MAB (Mac Address Bypass) et atterrissent dans un vlan ayant peu de > privilèges. Les switches des pod doivent eux-même s'authentifier en > 802.1x avec le 3750, sinon le port passe en err-disabled. > > Ca s'appelle NEAT et c'est documenté notamment ici > > http://www.cisco.com/en/US/docs/ios-xml/ios/sec_usr_8021x/configuration/15-2mt/sec-ieee-neat.html > > - concernant la console, le malfaisant peut éventuellement > ré-initialiser la conf du switch en utilisant la procédure > 'passwd-recovery'. Mais il ne peut pas accéder à la conf courante. > > En cas d'incident, tout est surveillé par zabbix, et on va voir sur > place en cas d'incident ;) > > Il reste surement des moyens d'attaque, mais pour l'instant rien à > déplorer. > > Cordialement, > > -- > rémi > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ > -- Matthieu MICHAUD --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
