То есть, теперь бритиш подростки будут осваивать искусство грима под взрослых ради доступа к вожделенному пореву. Мы когда-то по очереди в магазин заходили для биометрической идентификации нас как взрослых продавцами алкогольного отдела, а они будут так же по очереди фотографироваться. Вот вам и пример цифровизации бизнес-процесса идентификации.
Посмотрим, чье кунг-фу круче: богатейших компаний мира, или тети Клавы из единственного магазина в микрорайоне.
Посмотрим, чье кунг-фу круче: богатейших компаний мира, или тети Клавы из единственного магазина в микрорайоне.
😁5
В кои-то веки у меня появилась вакансия, которую не закрыли быстро. Не могу не поделиться.
Архитектор сервисов сетевой безопасности.
Достаточно знать в этой области чуть больше меня - и есть все шансы пройти.
Но спрос будет, как со знающего.
Испугался? Значит, нам не по пути.
Не испугался? Ссылка ниже, дальше природа подскажет, что делать.
Вакансия:
https://hh.ru/vacancy/128826808
Архитектор сервисов сетевой безопасности.
Достаточно знать в этой области чуть больше меня - и есть все шансы пройти.
Но спрос будет, как со знающего.
Испугался? Значит, нам не по пути.
Не испугался? Ссылка ниже, дальше природа подскажет, что делать.
Вакансия:
https://hh.ru/vacancy/128826808
hh.ru
Вакансия Архитектор сервисов информационной безопасности [МТС Веб Сервисы] в Москве, работа в компании "МТС", Работа в IT
Зарплата: не указана. Москва. Требуемый опыт: более 6 лет. Полная. Дата публикации: 16.01.2026.
😁3
Вышла недавно на Anti-Malware обзорная статья "Стратегия информационной безопасности" по результатам эфира AM Live.
Я обратил внимание на всего один опрос. Как мы видим, на вопрос "что больше всего мешает создать/обновить стратегию ИБ" наиболее популярный ответ - кадровый дефицит.
Спорить не буду, есть такая проблема. Но в части результатов опроса предположу, что, кроме актуальности, это просто самый легкий вариант ответа.
Руководители, особенно начинающие, разве никто из вас хотя бы раз в жизни не использовал этот аргумент, когда и без него можно было обойтись?
Вот так и здесь: рука сама потянется нажать.
Было?
👍 - было, и чо?
😐 - было, теперь стыдно
😎 - было, и еще не раз будет
🤓 - не было ни разу зря, это все выдумки злого топ-менеджмента
🔥 - не было ни разу, но спасибо за идею
Я обратил внимание на всего один опрос. Как мы видим, на вопрос "что больше всего мешает создать/обновить стратегию ИБ" наиболее популярный ответ - кадровый дефицит.
Спорить не буду, есть такая проблема. Но в части результатов опроса предположу, что, кроме актуальности, это просто самый легкий вариант ответа.
Руководители, особенно начинающие, разве никто из вас хотя бы раз в жизни не использовал этот аргумент, когда и без него можно было обойтись?
Вот так и здесь: рука сама потянется нажать.
Было?
👍 - было, и чо?
😐 - было, теперь стыдно
😎 - было, и еще не раз будет
🤓 - не было ни разу зря, это все выдумки злого топ-менеджмента
🔥 - не было ни разу, но спасибо за идею
😐2
Поучаствовал недавно в подкасте RTM Group по приглашению Евгения Царева. Формат для меня новый, но оказалось интересно. Получилось 35 минут относительно нескучного видео, можете занять себя по пути на работу / с работы.
Rutube
VK Video
Youtube
ЗЫ. Была мысль перемешать ссылки местами, а одну даже сделать левой и посчитать статистику переходов, чтобы было интереснее, но поленился.
Rutube
VK Video
Youtube
ЗЫ. Была мысль перемешать ссылки местами, а одну даже сделать левой и посчитать статистику переходов, чтобы было интереснее, но поленился.
RUTUBE
Почему кибератаки на компании стали нормой? Андрей Дугин и Евгений Царев
В новом выпуске Евгений Царев, управляющий RTM Group, и Андрей Дугин, технический директор центра сервисов кибербезопасности Red Security, обсуждают, как за последние годы изменилась кибербезопасность в России и почему рост кибератак стал системной проблемой…
🔥7👍1
Как CISO может показать гендиру результат, который дает Security Awareness, и как CEO может проверить его.
Предположим, защитил CISO бюджет на Security Awareness, и обещал повысить уровень осознанности пользователей, чтобы они меньше переходили по непонятным ссылкам. Но как это показать?
Современные платформы повышения осведомлённости имеют у себя на борту функционал, позволяющий составить фишинговое письмо, отправить его, посмотреть на фишинговом сайте, кто перешел по ссылке и ввел логин-пароль. Дальше назначить обучение и экзамены.
Воспользоваться платформой Security Awareness можно стандартными методами:
- внедрить у себя on-prem
- покупать единоразовые мероприятия как сервис
- приобрести сервис на определенное время
Плюсы и минусы перечислять не буду, они такие же, как и любой баттл облака с on-prem. Есть вообще вариант работы без специализированных платформ, но затраты времени и ограничение функционала могут вас не порадовать. Поэтому их не рассматриваем.
Интереснее другое: как измерить результат?
Составляем фишинговое письмо, в котором побуждаем пользователя перейти по ссылке и ввести логин-пароль. С теми, кто перешел по ссылке, ведется работа.
Это могут быть:
- индивидуальные либо групповые занятия
- назначение курсов по ИБ
- экзамены по пройденным курсам
- другие мероприятия по повышению осведомлённости (ролики, вебинары, плакаты и т.п.)
Предположим, за год вы провели некоторое количество фишинговых рассылок всем пользователям со всеми сопутствующими мероприятиями.
Что будет показателем хорошей работы в динамике:
- снижается процент тех, кто перешел по ссылке и ввел логин-пароль
- повышается процент тех, кто сообщил о фишинговой рассылке в соответствующие службы, особенно в первый час
- повышается процент тех, кто сдает экзамены с первого раза
- снижается процент инцидентов ИБ, связанных с человеческим фактором пользователей/администраторов
Если же вышеописанные показатели топчутся на месте либо движутся в противоположном направлении - стоит разобраться, почему CISO не удается повысить осведомленность пользователей в ИБ.
#securityawareness #SA
Предположим, защитил CISO бюджет на Security Awareness, и обещал повысить уровень осознанности пользователей, чтобы они меньше переходили по непонятным ссылкам. Но как это показать?
Современные платформы повышения осведомлённости имеют у себя на борту функционал, позволяющий составить фишинговое письмо, отправить его, посмотреть на фишинговом сайте, кто перешел по ссылке и ввел логин-пароль. Дальше назначить обучение и экзамены.
Воспользоваться платформой Security Awareness можно стандартными методами:
- внедрить у себя on-prem
- покупать единоразовые мероприятия как сервис
- приобрести сервис на определенное время
Плюсы и минусы перечислять не буду, они такие же, как и любой баттл облака с on-prem. Есть вообще вариант работы без специализированных платформ, но затраты времени и ограничение функционала могут вас не порадовать. Поэтому их не рассматриваем.
Интереснее другое: как измерить результат?
Составляем фишинговое письмо, в котором побуждаем пользователя перейти по ссылке и ввести логин-пароль. С теми, кто перешел по ссылке, ведется работа.
Это могут быть:
- индивидуальные либо групповые занятия
- назначение курсов по ИБ
- экзамены по пройденным курсам
- другие мероприятия по повышению осведомлённости (ролики, вебинары, плакаты и т.п.)
Предположим, за год вы провели некоторое количество фишинговых рассылок всем пользователям со всеми сопутствующими мероприятиями.
Что будет показателем хорошей работы в динамике:
- снижается процент тех, кто перешел по ссылке и ввел логин-пароль
- повышается процент тех, кто сообщил о фишинговой рассылке в соответствующие службы, особенно в первый час
- повышается процент тех, кто сдает экзамены с первого раза
- снижается процент инцидентов ИБ, связанных с человеческим фактором пользователей/администраторов
Если же вышеописанные показатели топчутся на месте либо движутся в противоположном направлении - стоит разобраться, почему CISO не удается повысить осведомленность пользователей в ИБ.
#securityawareness #SA
👍1🔥1
Вижу, как админы разных телеграм-каналов пишут открытые письма деду морозу.
Но пока ни к одному письму не прикрепили согласие на обработку персональных данных.
А потом удивляются, что сбывается не все или не так.
Но пока ни к одному письму не прикрепили согласие на обработку персональных данных.
А потом удивляются, что сбывается не все или не так.
😁13🔥2❤1
Невосприимчивость к фишингу
Думаю, каждый, как минимум, второй, ИБшник считает себя намного менее восприимчивым к фишингу, чем другие пользователи. Как правило, это правда. Но и на старуху бывает проруха.
Среди наших сервисов есть Security Awareness, который мы предоставляем как для клиентов, так и для своих сотрудников. Нечего ИБшникам расслабляться. Отправляем рассылки, смотрим, кто перешел, ввел логопасс, назначаем зазевавшимся курсы киберграмотности и укоризненно качаем головой.
Выполняет внутренние рассылки одна из моих команд по заказу внутренней ИБ (они обеспечивают всю организационную составляющую), и я прошу не предупреждать меня в таких случаях, чтобы примерить шкуру пользователя. Только информация о проведенной рассылке постфактум. Естественно, я считал, что фишинг распознаю еще до открытия письма...
И тут, конец 2023 года, тимлид сообщает о результатах проведенной фишинговой рассылки в честь 30-летия МТС. Я смутно припоминаю, что видел такое письмо, нахожу его. Все классические признаки фишинга налицо, письмо в корпоративном стиле, но адрес левый, и сияет шляпка-предупреждение о том, что письмо прилетело снаружи. Я не перешел по ссылке исключительно потому, что в письме предлагалось получить сколько-то баллов в подарок, на которые потом можно что-то купить.
Получается, я не повелся просто потому, что условия получения потенциальной выгоды для меня оказались неинтересными, а не потому что такой профессионал.
Факап-фестиваль объявляется открытым.
#SA #awareness #phishing
Думаю, каждый, как минимум, второй, ИБшник считает себя намного менее восприимчивым к фишингу, чем другие пользователи. Как правило, это правда. Но и на старуху бывает проруха.
Среди наших сервисов есть Security Awareness, который мы предоставляем как для клиентов, так и для своих сотрудников. Нечего ИБшникам расслабляться. Отправляем рассылки, смотрим, кто перешел, ввел логопасс, назначаем зазевавшимся курсы киберграмотности и укоризненно качаем головой.
Выполняет внутренние рассылки одна из моих команд по заказу внутренней ИБ (они обеспечивают всю организационную составляющую), и я прошу не предупреждать меня в таких случаях, чтобы примерить шкуру пользователя. Только информация о проведенной рассылке постфактум. Естественно, я считал, что фишинг распознаю еще до открытия письма...
И тут, конец 2023 года, тимлид сообщает о результатах проведенной фишинговой рассылки в честь 30-летия МТС. Я смутно припоминаю, что видел такое письмо, нахожу его. Все классические признаки фишинга налицо, письмо в корпоративном стиле, но адрес левый, и сияет шляпка-предупреждение о том, что письмо прилетело снаружи. Я не перешел по ссылке исключительно потому, что в письме предлагалось получить сколько-то баллов в подарок, на которые потом можно что-то купить.
Получается, я не повелся просто потому, что условия получения потенциальной выгоды для меня оказались неинтересными, а не потому что такой профессионал.
Факап-фестиваль объявляется открытым.
#SA #awareness #phishing
😁7❤1👍1
Технологии и их влияние на образование. Еще одна грань.
Помните этот эпизод из 90х, когда ребенка спросили, кто такой Бетховен, а он ответил, что это собака?
Ребенка винить не в чем, фильм был популярен среди детей, я тоже его смотрел. Причем сюжет не помню, но то, что сенбернара называли Бетховен - не забуду.
А теперь представим, что современный старшеклассник загуглит абсолютно идентичные с точки зрения химии названия:
трехатомный кислород
и
озон
Что интересно, противоестественный интеллект поисковиков обучается на том, что актуально сейчас, даже если терминология идентична классике. В поисках Бетховена в основном находишь композитора, где-то примешиваются зоомагазины и фильм. Но если по химии задали изучить озон, не подсказав, что это газ...
На данном примере можно наглядно продемонстрировать такие уязвимости из OWASP Top 10 for LLM Applications 2025:
LLM04: Data and Model Poisoning
LLM09:2025 Misinformation
Возможность быстро загуглить не отменяет необходимости в фундаментальных знаниях.
#LLM #AI #ИИ
Помните этот эпизод из 90х, когда ребенка спросили, кто такой Бетховен, а он ответил, что это собака?
Ребенка винить не в чем, фильм был популярен среди детей, я тоже его смотрел. Причем сюжет не помню, но то, что сенбернара называли Бетховен - не забуду.
А теперь представим, что современный старшеклассник загуглит абсолютно идентичные с точки зрения химии названия:
трехатомный кислород
и
озон
Что интересно, противоестественный интеллект поисковиков обучается на том, что актуально сейчас, даже если терминология идентична классике. В поисках Бетховена в основном находишь композитора, где-то примешиваются зоомагазины и фильм. Но если по химии задали изучить озон, не подсказав, что это газ...
На данном примере можно наглядно продемонстрировать такие уязвимости из OWASP Top 10 for LLM Applications 2025:
LLM04: Data and Model Poisoning
LLM09:2025 Misinformation
Возможность быстро загуглить не отменяет необходимости в фундаментальных знаниях.
#LLM #AI #ИИ
🤓2👏1
Прочитал сегодня сказку о том, как Александр Леонов решил перепрофилировать Кая и Герду на управление уязвимостями.
Больше всего понравился эпизод из скрина, где Кай переобувается, потому что теперь он не с той стороны процесса.
Хочется спросить подписчиков:
Было?
👍 - было!
😎 - не было, но я точно так же переобуюсь в этой ситуации
🔥 - не было, я за все хорошее против всего плохого, независимо от того, с какой стороны процесса
🤓 - чего доколупались до пацана, сами как себя поведете, когда при переходе в новый отдел поставят в KPI сложить слово "счастье" из четырех совсем других букв?
🤔 - кто слил Александру мою историю карьерного роста?
Больше всего понравился эпизод из скрина, где Кай переобувается, потому что теперь он не с той стороны процесса.
Хочется спросить подписчиков:
Было?
👍 - было!
😎 - не было, но я точно так же переобуюсь в этой ситуации
🔥 - не было, я за все хорошее против всего плохого, независимо от того, с какой стороны процесса
🤓 - чего доколупались до пацана, сами как себя поведете, когда при переходе в новый отдел поставят в KPI сложить слово "счастье" из четырех совсем других букв?
🤔 - кто слил Александру мою историю карьерного роста?
🤓4🔥1
Расчехлили на днях настольную игру по кибербезопасности от Security Vision.
Вкратце правила: каждый игрок набирает по 4 красных (атакующих) и 4 синих (защищающихся) карточки.
Первый игрок атакует второго, выкладывая одну из красных карточек с описанием атаки. Второй смотрит, есть ли у него в наличии средства защиты (синие карточки), перечисленные в красной карточке. Если есть - бросает кубик. Защита засчитывается при совпадении двух условий: есть карточка и выпало нужное число на кубике. Если все ОК, отбился, то остальные игроки могут накинуться на второго, реализуя связанные атаки, если есть соответствующие карточки. Второй отбивается аналогично. Дальше по очереди. Выложенные карточки по результатам хода складываются в отстойник. Успешно атаковал - берешь +1 красную карточку. Отбился - синюю. Неуспешно - ничего не берешь. Игра категории 6+, обучающая. У кого заканчиваются красные либо синие карточки - выбывает.
Больше всего запомнилась карточка на фото.
Хотелось бы предупредить, что WAF и NGFW от взрослой DDoS-атаки не спасут, только от категории 6+.
Мониторинг ИТ-инфраструктуры разве что сможет быстро определить root cause.
Резервная инфраструктура без элегантного архитектурного решения тоже не факт, что поможет.
Так что, играть играйте, а детям объясняйте. Особенно если дети уже по собеседованиям ходят.
#DDoS #WAF #NGFW
Вкратце правила: каждый игрок набирает по 4 красных (атакующих) и 4 синих (защищающихся) карточки.
Первый игрок атакует второго, выкладывая одну из красных карточек с описанием атаки. Второй смотрит, есть ли у него в наличии средства защиты (синие карточки), перечисленные в красной карточке. Если есть - бросает кубик. Защита засчитывается при совпадении двух условий: есть карточка и выпало нужное число на кубике. Если все ОК, отбился, то остальные игроки могут накинуться на второго, реализуя связанные атаки, если есть соответствующие карточки. Второй отбивается аналогично. Дальше по очереди. Выложенные карточки по результатам хода складываются в отстойник. Успешно атаковал - берешь +1 красную карточку. Отбился - синюю. Неуспешно - ничего не берешь. Игра категории 6+, обучающая. У кого заканчиваются красные либо синие карточки - выбывает.
Больше всего запомнилась карточка на фото.
Хотелось бы предупредить, что WAF и NGFW от взрослой DDoS-атаки не спасут, только от категории 6+.
Мониторинг ИТ-инфраструктуры разве что сможет быстро определить root cause.
Резервная инфраструктура без элегантного архитектурного решения тоже не факт, что поможет.
Так что, играть играйте, а детям объясняйте. Особенно если дети уже по собеседованиям ходят.
#DDoS #WAF #NGFW
👍5😁1
Интересно получается: под соусом защиты от мошенничества банки пытаются создать неудобства при крупных покупках на маркетплейсах. Но не припоминаю известных случаев мошенничества, в которых жертву заставляли бы купить что-то на известной онлайн-площадке.
Насколько я помню, у банков ключевой претензией было наличие скидок на маркетплейсах при оплате с карточек аффилированных банков. Типа нарушают принцип единства цены в зависимости от способа оплаты.
Как бы я повел себя, если бы мне банк не дал купить на маркетплейсе понравившийся товар по хорошей цене, даже якобы заботясь о моей безопасности?
Правильно: в следующий раз покупал бы либо с карточки другого банка, либо вообще с карточки банка, кормящегося с той же руки, что и площадка. Уж последние точно не станут себе в ногу стрелять.
Мне одному кажется, что банки "просчитались, но где"?
Насколько я помню, у банков ключевой претензией было наличие скидок на маркетплейсах при оплате с карточек аффилированных банков. Типа нарушают принцип единства цены в зависимости от способа оплаты.
Как бы я повел себя, если бы мне банк не дал купить на маркетплейсе понравившийся товар по хорошей цене, даже якобы заботясь о моей безопасности?
Правильно: в следующий раз покупал бы либо с карточки другого банка, либо вообще с карточки банка, кормящегося с той же руки, что и площадка. Уж последние точно не станут себе в ногу стрелять.
Мне одному кажется, что банки "просчитались, но где"?
🤔8👍4❤1
Интересно, кто-нибудь откроет ей секрет, что разговор:
- Давай ко мне, у меня вакансия есть как раз.
- Спасибо, мне и на текущем месте хорошо.
не равно оффер?
Побольше уважения к работе HR'ов и руководителей, офферы не так просто рождаются.
#HR
- Давай ко мне, у меня вакансия есть как раз.
- Спасибо, мне и на текущем месте хорошо.
не равно оффер?
Побольше уважения к работе HR'ов и руководителей, офферы не так просто рождаются.
#HR
😁12👍2
Командообразующие мероприятия
Посмотрел на праздниках отечественный мини-сериал "Крепость Бадабер" (4 серии). Основан на реальных событиях, но, конечно, определенным образом изменен+приукрашен, чтобы было интереснее смотреть.
На что больше всего обратил внимание: как организатор восстания грамотно поднимал боевой дух группы демотивированных и истощенных пленных, сталкиваясь с разнообразными трудностями и сопротивлением внутри команды, параллельно вербуя человека из вражеского лагеря. Одна только игра в футбол пленных против надсмотрщиков чего стоит: как ее организовать и как достичь ряда поставленных целей в изначально проигрышном положении. Рафинированные тимбилдинги смузи-зумеров рядом не стояли. И на протяжении всего фильма вызывает восхищение, как у главного героя работает голова в постоянно меняющихся условиях.
Всем руководителям и желающим ими стать рекомендую к просмотру. Кто предпочитает смотреть отрывки без подводки - основные тимбилдинги были в 3 серии.
#тимбилдинг
Посмотрел на праздниках отечественный мини-сериал "Крепость Бадабер" (4 серии). Основан на реальных событиях, но, конечно, определенным образом изменен+приукрашен, чтобы было интереснее смотреть.
На что больше всего обратил внимание: как организатор восстания грамотно поднимал боевой дух группы демотивированных и истощенных пленных, сталкиваясь с разнообразными трудностями и сопротивлением внутри команды, параллельно вербуя человека из вражеского лагеря. Одна только игра в футбол пленных против надсмотрщиков чего стоит: как ее организовать и как достичь ряда поставленных целей в изначально проигрышном положении. Рафинированные тимбилдинги смузи-зумеров рядом не стояли. И на протяжении всего фильма вызывает восхищение, как у главного героя работает голова в постоянно меняющихся условиях.
Всем руководителям и желающим ими стать рекомендую к просмотру. Кто предпочитает смотреть отрывки без подводки - основные тимбилдинги были в 3 серии.
#тимбилдинг
🔥2
Коллега продемонстрировал, какую можно поймать пробочку, если восстанавливать наши старые фото с помощью американской нейросети.
Противоестественный интеллект тоже имеет менталитет.
ЗЫ. Коллеги нет на этих фото. По крайней мере, я не узнал.
#ИИ
Противоестественный интеллект тоже имеет менталитет.
ЗЫ. Коллеги нет на этих фото. По крайней мере, я не узнал.
#ИИ
😁6🔥1
Экосистема сетевых устройств
Продолжая тему экосистемы сетевых устройств, вспомнил опыт Cisco с коммутаторами (свичами), который обязательно стоит изучить, чтобы не наступить на их грабли.
Задача: снизить количество ручной работы и ошибок человеческого фактора при управлении VLAN'ами в сетях с большим количеством свичей.
Решение: создать протокол VTP (VLAN Trunking Protocol) и включить его на всех коммутаторах Cisco по умолчанию. С другими производителями не работает.
Режимы коммутаторов в протоколе VTP (vtp mode):
Server - управление VLAN'ами участников выполняется на нем
Client - получает информацию о VLAN'ах от сервера, локальное управление VLAN отсутствует
Transparent - управление VLAN'ами производится локально, без VTP, но свич умеет передавать сообщения VTP между другими участниками.
Опционально можно настроить:
VTP domain (текстовое поле) - для участия в централизованном управлении VLAN у всех участников должно совпадать значение домена.
VTP password - пароль, который тоже должен совпадать у участников.
Вроде, получилось изначально неплохо, проблему с управлением VLAN решили. Упрощенная картинка прилагается. В ней вполне могут быть десятки свичей в режиме Client, но Server один.
Но есть нюансы 🤷 (рассматриваем версию VTPv2, как наиболее часто встречающуюся):
1. VTP domain и VTP password - параметры опциональные. Если их нет - коммутатор, подключенный через транковый порт, сразу пытается определить свое место в иерархии VTP.
2. Обмен значениями VTP domain и VTP password производится открытым текстом.
3. По умолчанию на всех коммутаторах
🔥 Учитывая вышеописанные три пункта, можно обнулить базу VLAN во всем домене VTP, оставив без сети целый офис или ЦОД, в зависимости от того, куда подключишься. Время восстановления конфигурации зависит от организации процесса управления сетью.
Я не буду описывать порядок действий для проведения такой атаки, чтобы какой-нибудь мамкин хакер не решил попробовать на проде.
Конечно, некоторые ошибки были исправлены в VTPv3, а многие механизмы защиты от такой атаки реализуются конфигурированием не связанных с VTP функций, но уверены ли вы, что такие настройки у вас выполнены, да еще и на всех портах?
#экосистема #cisco
Продолжая тему экосистемы сетевых устройств, вспомнил опыт Cisco с коммутаторами (свичами), который обязательно стоит изучить, чтобы не наступить на их грабли.
Задача: снизить количество ручной работы и ошибок человеческого фактора при управлении VLAN'ами в сетях с большим количеством свичей.
Решение: создать протокол VTP (VLAN Trunking Protocol) и включить его на всех коммутаторах Cisco по умолчанию. С другими производителями не работает.
Режимы коммутаторов в протоколе VTP (vtp mode):
Server - управление VLAN'ами участников выполняется на нем
Client - получает информацию о VLAN'ах от сервера, локальное управление VLAN отсутствует
Transparent - управление VLAN'ами производится локально, без VTP, но свич умеет передавать сообщения VTP между другими участниками.
Опционально можно настроить:
VTP domain (текстовое поле) - для участия в централизованном управлении VLAN у всех участников должно совпадать значение домена.
VTP password - пароль, который тоже должен совпадать у участников.
Вроде, получилось изначально неплохо, проблему с управлением VLAN решили. Упрощенная картинка прилагается. В ней вполне могут быть десятки свичей в режиме Client, но Server один.
Но есть нюансы 🤷 (рассматриваем версию VTPv2, как наиболее часто встречающуюся):
1. VTP domain и VTP password - параметры опциональные. Если их нет - коммутатор, подключенный через транковый порт, сразу пытается определить свое место в иерархии VTP.
2. Обмен значениями VTP domain и VTP password производится открытым текстом.
3. По умолчанию на всех коммутаторах
vtp mode server. При подключении двух свичей в режиме vtp server итоговым сервером становится коробка с более высоким значением параметра configuration revision (количество изменений VLAN).🔥 Учитывая вышеописанные три пункта, можно обнулить базу VLAN во всем домене VTP, оставив без сети целый офис или ЦОД, в зависимости от того, куда подключишься. Время восстановления конфигурации зависит от организации процесса управления сетью.
Я не буду описывать порядок действий для проведения такой атаки, чтобы какой-нибудь мамкин хакер не решил попробовать на проде.
Конечно, некоторые ошибки были исправлены в VTPv3, а многие механизмы защиты от такой атаки реализуются конфигурированием не связанных с VTP функций, но уверены ли вы, что такие настройки у вас выполнены, да еще и на всех портах?
#экосистема #cisco
👍1
Экосистема сетевых устройств
Масла в огонь возможностей реализации атаки на VTP подливает еще один проприетарный протокол Cisco, разработанный для упрощения конфигурирования портов - DTP (Dynamic Trunking Protocol).
У порта коммутатора могут быть такие режимы работы:
Access - подключаемое устройство попадет в определенный VLAN. Используется для подключения конечного оборудования (ПК, ноутбуки, сервера). По умолчанию подключаемые устройства попадают в VLAN 1.
Trunk - для взаимодействия свич-свич, чтобы иметь возможность "растянуть" VLAN на несколько свичей и передавать изменения VLAN клиентам VTP-домена. Потенциально в транк можно добавить все VLAN, по умолчанию ограничений нет. Чтобы трафик в нескольких VLAN на одном порту не смешивался, они разделяются тегами с указанием VLAN id. Для служебных целей и передачи управляющей информации протокола VTP используется native VLAN (по умолчанию тоже VLAN 1, не тегируется).
Есть еще Voice VLAN для подключения IP-телефонов, но сегодня не о нем.
Если подключить trunk порт одного коммутатора к access порту другого - ничего не будет работать. Таким образом реализуется и защита от дурака, и принуждение к тщательному планированию. Но Cisco решила упростить жизнь сетевиков, и создала протокол DTP для динамического определения режима порта (access/trunk), если не указано явно.
DTP добавляет такие варианты режимов для порта:
Dynamic desirable - порт активно сообщает подключенному с той стороны о желании перевода в режим транка.
Dynamic auto - порт готов стать транком при подключении к нему порта в режиме trunk либо desirable.
Nonegotiate - протокол DTP отключен, режим порта меняется исключительно вручную.
По умолчанию на разных моделях коммутаторов интерфейсы находятся в режиме auto либо desirable. Что сильно облегчает реализацию атаки на VTP.
Конечно, много зла в цифровом пространстве расплодилось благодаря настройкам по умолчанию, поэтому протокол DTP не является исключением.
А у вас DTP отключен во избежание использования транков для атак?
#экосистема #cisco
Масла в огонь возможностей реализации атаки на VTP подливает еще один проприетарный протокол Cisco, разработанный для упрощения конфигурирования портов - DTP (Dynamic Trunking Protocol).
У порта коммутатора могут быть такие режимы работы:
Access - подключаемое устройство попадет в определенный VLAN. Используется для подключения конечного оборудования (ПК, ноутбуки, сервера). По умолчанию подключаемые устройства попадают в VLAN 1.
Trunk - для взаимодействия свич-свич, чтобы иметь возможность "растянуть" VLAN на несколько свичей и передавать изменения VLAN клиентам VTP-домена. Потенциально в транк можно добавить все VLAN, по умолчанию ограничений нет. Чтобы трафик в нескольких VLAN на одном порту не смешивался, они разделяются тегами с указанием VLAN id. Для служебных целей и передачи управляющей информации протокола VTP используется native VLAN (по умолчанию тоже VLAN 1, не тегируется).
Есть еще Voice VLAN для подключения IP-телефонов, но сегодня не о нем.
Если подключить trunk порт одного коммутатора к access порту другого - ничего не будет работать. Таким образом реализуется и защита от дурака, и принуждение к тщательному планированию. Но Cisco решила упростить жизнь сетевиков, и создала протокол DTP для динамического определения режима порта (access/trunk), если не указано явно.
DTP добавляет такие варианты режимов для порта:
Dynamic desirable - порт активно сообщает подключенному с той стороны о желании перевода в режим транка.
Dynamic auto - порт готов стать транком при подключении к нему порта в режиме trunk либо desirable.
Nonegotiate - протокол DTP отключен, режим порта меняется исключительно вручную.
По умолчанию на разных моделях коммутаторов интерфейсы находятся в режиме auto либо desirable. Что сильно облегчает реализацию атаки на VTP.
Конечно, много зла в цифровом пространстве расплодилось благодаря настройкам по умолчанию, поэтому протокол DTP не является исключением.
А у вас DTP отключен во избежание использования транков для атак?
#экосистема #cisco