GrrrnDog 23 сен 2015 в 15:16

3 Атаки на TACACS+ от Cisco

6 мин

17K

Блог компании Digital SecurityИнформационная безопасность*

+15

Комментарии 10

Karroplan 23 сен 2015 в 16:20

эх, если б у radius-а был аккаунтинг…

-1

ValdikSS 23 сен 2015 в 22:06

Э? А куда он делся?

Karroplan 24 сен 2015 в 10:45

я что-то пропустил и на радиусе можно теперь смотреть какие команды кто вводил?

ValdikSS 24 сен 2015 в 10:49

Команды чего? Radius используют для аутентификации, авторизации и аккаунтинга всяких интернетов и VPN. Но, в принципе, никто вам не мешает PAM к нему прикрутить.

Karroplan 24 сен 2015 в 17:17

ну… в статье речь идет про AAA на устройствах cisco в связке с tacacs+. Accounting в этом контексте означает, что t+ сервер пишет в лог кто из пользователей логинился и что делал (конкретно в логе можно посмотреть кто и какие комнды выполнял в cli), что сильно помогает решать конфликтные ситуации и инциденты.
насколько я знаю, реализация accouting у cisco использует только tac+, поэтому в случае с радиусом — аккаунтинг не получится.
вот я и спрашиваю — что-то изменилось и цыски могут писать лог cli в radius?

mird 23 сен 2015 в 17:26

Классические ошибки конструирования шифров… Отсутствие защиты от MitM — без комментариев. Ну и использовать в качестве псевдо случайного генератора MD5 — тоже заводно.

GrrrnDog 23 сен 2015 в 18:44

Мне кажется данный протокол является хорошим примером для понимания некоторых типовых атак.

mird 24 сен 2015 в 10:20

А sessionId на основании чего генерится? И какая у него размерность? Мне кажется, тут еще возможна атака Many Time pad.

GrrrnDog 24 сен 2015 в 12:32

Случайное значение (4 байта) посылаемое клиентом (и возвращаемое сервером) на каждую операцию (AAA)

mird 25 сен 2015 в 13:11

Это означает, что если не очень долго сидеть и смотреть на траффик, можно получить пару сообщений заксоренных с одним и тем же pseudo_pad. SessionId начнет дублироваться через 2^16 пакетов.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий