[Garra-67]

Временами возникает задача перехватывать авторизацию на длинках через телнет.

Году так в 10м использовали метод зеркалирования трафика с порта через длинк 3627 и dsniff. Всё нормально было, все бралость, отчеты уходили.

Сейчас проверили, нихрена нет, кроме snmp ничего не видно. Мож что в самой утилите поменялось, кто в курсе. система debian\ubuntu

Или какую посоветуете альтернативу?

[rz3dwy]

Сниферов много. Например tcpdump.

Задача понятна. Непонятны условия ее возникновения.

1. telnet'а быть не должно нигде. Разве что на 3526 и 3100. Ибо CPU там не справляется с SSH никак.

2. Управление устройствами ДОЛЖНО быть вынесено в отдельную сеть. Всегда.

3. На коммутаторах ДОЛЖНЫ быть trusted_hosts

4. Там, где терминируется vlan уапрвления группы коммутаторов(судя по вопросу это 3627), должны быть и trusted hosts и ACL.

5. Локальная учетка должна быть доступна ТОЛЬКО с консоли. SSH - Radius|Tacacs+

 

Если у вас не так, то можно поинтересоваться почему?

[Antares]

+100500 юзеры вообще не должны видеть сеть управления

[Garra-67]

Тут задача своих натянуть за распи...

Все сделано с вланами, трастедами, радиусом. 3526 к сожалению дофига ибо на 2х этажный барак жалко что либо годное ставить.

tcpdump сильно тяжел, dsniff в свои времена хорошо справлялся.

При зеркалировании dsniff видит только udp snmp.

Я вот не помню, давно было, может сетевку надо руками переводить в Promiscuous mode

[xcme]

Тут задача своих натянуть за распи...

Все введенные команды попадают в лог и потом легко понять кто что делал. У меня в real-time в jabber вываливаются уведомления о том, кто что конфигурирует в данный момент. Но это для слежения не за людьми, а скорее за общей активностью работ.

 

Принцип работы прост. Syslog-уведомления перехватываются ловушкой, которая пишет логи в базу, а ключевые события по настраиваемым фильтрам вываливает в джаббер.

Обойти это все логирование, конечно, можно без проблем. Но если нет оснований доверять своим коллегам, может "ну их" тогда? :)

Edited February 2, 2016 by xcme

[s.lobanov]

Принцип работы прост. Syslog-уведомления перехватываются ловушкой, которая пишет логи в базу, а ключевые события по настраиваемым фильтрам вываливает в джаббер.

 

зачем эти велосипеды когда есть syslog-ng, умеющий это делать из коробки

[rz3dwy]

Тут задача своих натянуть за распи...

Ок. Вам нужно контролировать кто что конфигурит и натягивать если что. Настройте command logging enable, этого хватит. Параллельно с этим сделайте какую-либо систему, позволяющую конфигурить мышкой то, что раньше эти самые нерадивые распи... делали в консоли. Консоль должна быть у крайне ограниченного количества человек. Лучше вообще у одного. И, разумеется, никаких WEB-интерфейсов на коммутаторах.

Для администратора - полный доступ к SSH(telnet) и SNMP. Для прочих - нечто, позволяющее нажатием кнопки отправить заранее заданную последовательность snmpset.

[Garra-67]

Про command logging знаю. Тут задача именно в перехвате.

В инетах пишут про арпспуфинг для перехвата, но но в данном случае это не нужно ибо можно зеркалить траф.