Security Professionals - ipfw add deny all from eindgebruikers to any

Is CALEA backdoor te dichten?

19-02-2011, 15:56 door Anoniem, 8 reacties
Ik vraag me af of de CALEA backdoor in mijn cisco router en asa firewall ook door hackers is te misbruiken?
Ik heb de RFC3924 doorgespit maar ik vind daar geen bruikbare aanwijzingen.
Is er nu helemaal niets om die deur dicht te metselen? Is er geen enkele firewall die die intercept, dan wel de uitgaande dead drop file kan tegenhouden? Hoe doen jullie security professionals dat, of maken jullie je daar geen zorgen over?
Reacties (8)
20-02-2011, 07:16 door Anoniem
hm.. andere router nemen?
20-02-2011, 09:23 door Martijn2
Door Anoniem: hm.. andere router nemen?
Dan zou ik voor een niet-Amerikaanse merk gaan (http://www.broadbandreports.com/shownews/76281), als ZyXEL.
20-02-2011, 10:42 door Anoniem
cisco is niet gebackdoored als je de nederlandse overheid mag geloven genoeg ministeries hebben cisco staan ook aan internet
20-02-2011, 11:39 door Syzygy
Er is weinig documentatie over dus als iemand iets zinnigs kan zeggen over hoe het PRECIES werkt
(en niet "ik denk dat het ..... ") dan kunnen we even kijken wat voor mogelijkheden we hebben.

Wat het is weten we wel, maar hoe werkt het dus !

Bitwiper ? SirDice??
20-02-2011, 15:45 door Anoniem
De Cisco lawful intercept (LI) feature is gewoon gedocumenteerd, en als jij dus je router goed genoeg dicht zet, kan niemand het gebruiken.
Als je je router (of firewall) niet goed genoeg dichtzet, is de LI feature niet eens de handigste die een afluisteraar zou kunnen gebruiken.
Gewoon een SPAN poort op een switch werkt ook. LI was juist bedoeld om de afluisteraar slechts toegang te geven tot een enkele sessie (namelijk degene die op een taplast/search warrant genoemd wordt), en niet lekker laten graven in alle verkeer.
De andere design eis was dat 'gewone' beheerders van het apparaat niet zomaar moesten kunnen zien dat verkeer van meneer dinoS op moment getapt wordt.

Vandaar dat SNMPv3 de provisioning interface is geworden voor de LI feature.

Korte samenvatting : beveilig SNMPv3, want LI wordt ge-provisioned via SNMPv3.
Maar het management van je router en firewall moest je natuurlijk toch al beveiligen.

Langer:
http://www.cisco.com/en/US/docs/ios/sec_user_services/configuration/guide/sec_lawful_intercept.html
(en bv)
http://www.cisco.com/en/US/docs/routers/access/as5850/software/feature/guide/lawincep.html

De feature zit overigens niet in alle images, maar vooral in de versies bedoeld voor service providers, want dat zijn degenen die onder CALEA (en equivalente wetgeving in NL/EU) vallen.

@Martijn2 : uh, ik zie even niet waarom je zorgen over (onbekende) backdoors opgelost zijn als je _chinees_ spul neemt...
20-02-2011, 16:41 door Anoniem
hoe kom je er bij dat er in jouw router een backdoor zit? Heb je een IOS image met SII erin? Kun je zelf intercepts zetten op de router? Als je weet hoe het werkt kun je het ook beveiligen..
20-02-2011, 18:07 door Anoniem
Ja, mijn 2811 heeft een image waar SII in zit. En ik begrijp nu, dankzij het antwoord van anoniem 15:45 (bedankt!), dat de deur open gezet moet worden via een specifieke configuratie.
Ik ben pas twee jaar met deze materie bezig en besef als geen ander dat ik eigenlijk nog niet veel weet. Ik weet ook dat de stomste vraag is de vraag die je niet stelt. Dus heren.... bedankt.
21-02-2011, 18:07 door [Account Verwijderd]
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.