Открыть список
Как стать автором
Обновить

Комментарии 10

эх, если б у radius-а был аккаунтинг…
Э? А куда он делся?
я что-то пропустил и на радиусе можно теперь смотреть какие команды кто вводил?
Команды чего? Radius используют для аутентификации, авторизации и аккаунтинга всяких интернетов и VPN. Но, в принципе, никто вам не мешает PAM к нему прикрутить.
ну… в статье речь идет про AAA на устройствах cisco в связке с tacacs+. Accounting в этом контексте означает, что t+ сервер пишет в лог кто из пользователей логинился и что делал (конкретно в логе можно посмотреть кто и какие комнды выполнял в cli), что сильно помогает решать конфликтные ситуации и инциденты.
насколько я знаю, реализация accouting у cisco использует только tac+, поэтому в случае с радиусом — аккаунтинг не получится.
вот я и спрашиваю — что-то изменилось и цыски могут писать лог cli в radius?
Классические ошибки конструирования шифров… Отсутствие защиты от MitM — без комментариев. Ну и использовать в качестве псевдо случайного генератора MD5 — тоже заводно.
Мне кажется данный протокол является хорошим примером для понимания некоторых типовых атак.
А sessionId на основании чего генерится? И какая у него размерность? Мне кажется, тут еще возможна атака Many Time pad.
Случайное значение (4 байта) посылаемое клиентом (и возвращаемое сервером) на каждую операцию (AAA)
Это означает, что если не очень долго сидеть и смотреть на траффик, можно получить пару сообщений заксоренных с одним и тем же pseudo_pad. SessionId начнет дублироваться через 2^16 пакетов.
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

Информация

Дата основания
Местоположение
Россия
Сайт
dsec.ru
Численность
51–100 человек
Дата регистрации

Блог на Хабре