Mdap, îl și văd pe Alex cu un bidon de apă de la Fântâna cu gura taiată, pus pe cap (ca să pară și mai înalt și să nu i se vadă nici fața), cu un nunchuck făcut din 2 urechi de router cisco și un cablu utp, cu alte 2 urechi de rack luate la polizor in formă de cuțite și cu o coadă de mătură furată de la femeia de servici cum te pândește seara când ieși liniștit și te îndrepți spre mașină.

N-o să-l auzi, n-o să-l vezi și n-o să-l simți decât când e prea târziu. Vei simți întâi nunchuck-ul în jurul gâtului apoi 2 înțepături la nivelul gambelor. După care te încinge cu coada de mătură în timp ce murmură nervos “DA, vreau să pun VPN în DMZ, DA am zis “Stenografie”, DA, am programat eu SNMPv2 securizat !!!!!!!!!!!! Mai comentezi ???????????? Următoru’ e Radu……..”

Small but deadly…

În altă ordine de idei – le-ai văzut doar pe cele cu bold, eh? Să nu uităm 1x„secuirty”, 1x„amențâri”, și 1x„imprivizație”. Heil grammatik!

(damn, după chestia asta nu o să mai am curajul să merg noaptea prin Poli… )

Probabil că Alex ar fi scăpat doar c-o urecheală mai finuță dacă n-ar fi avut și atitudinea de “noi suntem buricu’ lumii”. Așa săracu’ Bogdan a văzut negru în fața ochilor și nu s-a mai putut abține.

@Alex, Încă puțin și scapi. Mai ai 2x”Techonogies” și 1x”Algorithems”.

1. Pentru cei din afara „grupului nostru restrâns” care citesc blogul, o precizare: îl cunosc pe Alex de destul de mult timp, și sunt perfect conștient că știe noțiunile de rețelistică menționate mai sus. Mai comentez din când în când pentru că, nu știu cum, dar ideile lui ies cumva… distorsionate din tastatură
Sper că nu s-a supărat foarte rău din cauza asta

2. (În continuarea ideii de mai sus): ca să îi dau totuși dreptate lui Alex, a existat o versiune de SNMP înainte de v3 care implementa și security. Dar nu este suportată pe router-ele Cisco, și eu unul nu am auzit de vreun vendor care să o suporte…

http://www.snmpinfo.com/versions.htm

3. Am învățat demult că „certifications != knowledge”. Nu le știu pe toate, și nu am pretenția asta (nu mai devreme de ieri am fost corectat referitor la o topologie OSPF de un „measly CCNA” – și avea dreptate ) Doar că nu pot niciodată să mă abțin de la o… discuție constructivă, fie ea și în contradictoriu. Sau mai ales dacă este în contradictoriu

4. @Tudor: chiar nu mai țin minte ce am zis pe grup… (se poate argumenta totuși faptul că dacă nu mai țin minte, înseamnă că totuși nu am zis-o cu răutate, și/sau nu a fost un atac la persoană )

Keep digging…:) În SNMPv2 (v2c, dacă preferi), comunitățile se trimit cleartext. Singura versiune de SNMP care permite criptare/autentificare este SNMPv3.

http://en.wikipedia.org/wiki/Simple_Network_Management_Protocol

Şi VPN-ul nu e on by default într-un server room… e un serviciu extra ce trebuie configurat.
Ori n-ai înțeles, ori vrei să dai impresia asta. Eu spuneam că dacă ai servere _publice_ (că de aia ai DMZ, pentru că ai niște servicii deschise în Internet), accesul la el este… well… public. Și nu înțelegeam unde intervine VPN-ul în afacere.

Stenography
Când ziceam să corectezi „steneography”, nu la asta mă refeream. Deși adevărul este că e util ca omul să știe și stenografie – naibii, dacă nu iese afacerea cu IT-ul și securitatea, măcar te apuci de un secretariat
(dacă am fost prea subtil, îți mai dau un hint: google după diferența dintre „stenografie” și „steganografie”. „ga”-ul ăla chiar contează )

E interesant de aflat că la un curs de Securitate îi pregătești pe viitorii specialiști în munca de secretariat (stenografie). E curs de criză ăsta

Ținând cont că nu am întâlnit până acum un router Cisco care să ruleze implicit SNMP (ca sender sau receiver), și că SMTP NU „folosește by default o parolă pentru comunicații între echipamente”, tind să cred că este vorba de SNMP. Care este un pic… altceva

Și dacă este într-adevăr vorba de SNMP:
1. „vulnerabilitatea” respectivă nu e altceva decât un SNMP activat implicit, cu community-strings-urile implicite. Ceea ce nu se mai întâmplă pe echipamente reale de prin 1900 toamna (dacă greșesc, scuzele mele – aștept totuși link către vulnerabilitatea folosită )

2. „brute-force”? Pe un community-string care e transmis clear-text??? (din nou, ținând cont de cum ai descris cursul, mă îndoiesc că se folosea SNMPv3 acolo…)

Mergem mai departe:
1. „laboratorul a cerut design-ul unei rețele securizate, și a noastră a fost cea mai redundantă”? ( security != availability. Both are good, I agree, but… not the same )

2. „un intranet pentru serverele locale” (huh? E intranet -caz în care ar trebui să fie și niște clienți pe acolo -, sau doar o adunătură de servere? )

3. „acces Internet prin VPN la serverele publice din DMZ” (păi sunt publice, că de aia sunt puse în DMZ, sau sunt private, și se accesează doar prin VPN? )

Mai adăugăm la cele de mai sus lucruri de genul „steneography” (??), „techonogies” (2x), sau „crypyographic (probably a typo ), și… ajungem la concluzia că poate ar trebui să fim un pic mai rezervați cu afirmațiile de genul „cât de tari suntem noi, și cât de idioți sunt alții, și ce lecții am putea să le dăm” (afirmații care abundă în textul de mai sus).