Меню

Безопасность сетевого оборудования cisco

Повышаем безопасность коммутаторов и маршрутизаторов Cisco

Сетевая инфраструктура (роутеры, коммутаторы, МСЭ, АТС и так далее) являются очень важными ресурсами организации, и поэтому очень важно корректно настроить доступ к данным устройствам – для достижения нужного уровня защиты.

Множество корпораций фокусируются на защите своих серверов, приложений, баз данных и прочих компонентов сети, но они могут совершенно забыть о том, что часть установленных у них устройств содержат, к примеру, дефолтные логин и пароль.

К примеру, скомпрометированный маршрутизатор может доставить гигантское количество проблем – злоумышленники могут получить доступ к информации, трафик может улетать на другое направление и так далее. Так что корректная настройка устройств с точки зрения сетевой безопасности является крайне важным моментом при обеспечении защиты информации вашей организации.

К примеру Cisco разделяет любое сетевое устройство на 3 функциональных плоскости, а именно:

  • Плоскость менеджмента – это все о том, как непосредственно управлять железкой. То есть данная плоскость используется для доступа, настройки и мониторинга устройства. В нашей статье мы непосредственно расскажем, как защитить данную плоскость;
  • Плоскость управления – данная плоскость содержит в себе сигнальные протоколы и процессы, которые отвечают за связность между устройствами – например такие известные вам протоколы как OSPF, EIGRP и так далее;
  • Плоскость данных – плоскость, ответственная за перемещение информации по сети от источника до ее назначения. В данной плоскости и происходит, как правило, обмен пакетами между устройствами;

Из этих трех плоскостей наиболее защитить первую и вторую плоскости, однако в нашей статье мы сконцентрируемся на плоскости менеджмента и обсудим 10 важных шагов по улучшению защищенности сетевого устройства Cisco с IOS.

Десять пунктов ниже не являются избыточными, но они включают в себя наиболее важные команды и настройки, которые позволят «закрыть» устройство от нежелательного доступа и повысить степень защищенности. Данные пункты применимы как к маршрутизаторам, так и к коммутаторам.

Создание секретного пароля

В целях предоставления доступа к IOS устройству только людям, имеющим право (например, сисадмину/эникею/инженеру) всегда нужно создавать сложный «секретный» пароль (enable secret). Мы советуем придумать/сгенерировать пароль минимум 12 знаков, содержащий цифры, буквы и специальные символы. Проверьте, что вы вводите именно enable secret — тогда в конфиге пароль будет отображаться в зашифрованном виде.

Router# config terminal Router(config)# enable secret сложныйпароль

Зашифруйте пароли на устройстве

Все пароли, настроенные на устройстве (за исключением «секретного»), не шифруются от слова совсем и легко видны в конфиге. Чтобы зашифровать все пароли в конфиге, необходимо использовать глобальную команду service password encryption

Router# config terminal Router(config)# service password-encryption

Используйте внешний сервер авторизации для аутентификации пользователей

Вместо использования локальных учетных записей на каждом устройстве для доступа администратора, мы рекомендуем использование внешнего AAA сервера (TACACS+ или RADIUS) для обеспечения Аутентификации, Авторизации и Учета (вольный перевод Authentication, Authorization, Accounting).

С централизованным ААА сервером гораздо проще управлять учетными записями, реализовывать политики безопасности, мониторить использование аккаунтов и многое другое.

Ниже на схеме вы можете видеть как настроить TACACS+ и RADIUS серверы с использованием enable secret пароля в случае отказа этих серверов.

TACACS+ Router# config terminal Router(config)# enable secret K6dn!#scfw35 //создаем “секретный ” пароль Router(config)# aaa new-model //включаем ААА службу Router(config)# aaa authentication login default group tacacs+ enable //Используем TACACS сервер и обычный пароль на случай отказа Router(config)# tacacs-server host 192.168.1.10 //указываем внутренний ААА сервер Router(config)# tacacs-server key ‘secret-key’ //указываем секретный ключ для ААА сервера Router(config)# line vty 0 4 Router(config-line)# login authentication default //применяем ААА аутентификацию для линий удаленного доступа (telnet, ssh) Router(config-line)# exit Router(config)# line con 0 //применяем ААА аутентификацию для консольного порта Router(config-line)# login authentication default RADIUS Router# config terminal Router(config)# enable secret K6dn!#scfw35 //создаем “секретный ” пароль Router(config)# aaa new-model //включаем ААА службу Router(config)# aaa authentication login default group radius enable //Используем RADIUS сервер и обычный пароль на случай отказа Router(config)# radius-server host 192.168.1.10 //указываем внутренний ААА сервер Router(config)# radius-server key ‘secret-key’ //указываем секретный ключ для ААА сервера Router(config)# line vty 0 4 Router(config-line)# login authentication default //применяем ААА аутентификацию для линий удаленного доступа (telnet, ssh) Router(config-line)# exit Router(config)# line con 0 //применяем ААА аутентификацию для консольного порта Router(config-line)# login authentication default

Создайте отдельные аккаунты для пользователей

Если у вас отсутствует возможность использовать внешний ААА сервер, по инструкции, описанной в предыдущем шаге, то как минимум, вам необходимо создать несколько отдельных локальных аккаунтов для всех, у кого должен быть доступ к устройству. Приведем пример создания трех локальных аккаунтов для троих системных администраторов.

Ниже пример настройки трех учетных записей:

Router# config terminal Router(config)# username efstafiy-admin secret Lms!a2eZf*%_rete Router(config)# username evlampiy-admin secret d4N3%sffeger Router(config)# username vova-admin secret 54sxSFT*&_(!zsd

Настройте лимит возможных попыток подключения

Для того, чтобы избежать взламывания вашей учетной записи на маршрутизаторе с помощью брутфорса, вы можете настроить ограничение количества попыток подключения, когда после определенного предела система заблокирует пользователя. Это работает для локальных учетных записей.

Router# config terminal Router(config)# username john-admin secret Lms!a2eZSf*% Router(config)# aaa new-model Router(config)# aaa local authentication attempts max-fail 5 //max 5 failed login attempts Router(config)# aaa authentication login default local

Открытие доступа на управление устройством только для определенных IP – адресов

Данный пункт является одним из наиболее важных для сетевых устройств Cisco – необходимо оставить доступ к Telnel или SSH только для определенных сетевых адресов (например, рабочей станции системного администратора). В нашем примере сисадмин находится в пуле 192.168.1.0/28

Router# config terminal Router(config)# access-list 10 permit 192.168.1.0 0.0.0.15 Router(config)# line vty 0 4 Router(config)# access-class 10 in //применить ограничения на все VTY линии (SSH/Telnet)

Включить логирование

Логирование является очень полезной функцией для отслеживания, аудита и контроля инцидентов. Вы можете включить логирование во внутренний буфер устройства или на внешний лог-сервер. Вторая опция является более предпочтительной, так как вы можете хранить там больше информации и проще производить различного рода аналитику.

Всего существует 8 уровней логирования (от 0 до 7), каждый из которых делает лог более насыщенным деталями. Лучше всего избегать 7 уровень логирования (дебаг), т.к это может легко потратить все ресурсы вашего устройства.

Ниже пример, как включить логирование и на внешний сервер, и на сам девайс (можно использовать два варианта одновременно).

Router# config terminal Router(config)# logging trap 6 //Включить 6 уровень логирования для логов, отправляемых на внешний сервер Router(config)# logging buffered 5 //Включить 5 уровень логирования для логов, хранимых на самом девайсе Router(config)# service timestamps log datetime msec show-timezone //Включить таймстампы с милисекундной точностью Router(config)# logging host 192.168.1.2 //Отправлять логи на внешний сервер Router(config)# logging source-interface ethernet 1/0 //Использовать интерфейс Eth1/0 для отправки логов

Включение NTP (Network Time Protocol)

Данный шаг необходим для корректной работы логирования – т.к вам необходимо синхронизированное и точное системное время на всех сетевых устройствах, для правильного понимания ситуации при траблшутинге. Вы можете использовать как публичный, так и свой собственный NTP cервер.

Router# config terminal Router(config)# ntp server 3.3.3.3 Router(config)# ntp server 4.4.4.4

Использование безопасных протоколов управления

По умолчанию, протоколом, с помощью которого можно управлять устройством является Telnet. Однако весь трафик передается в незашифрованном виде – поэтому предпочтительно использовать SSH.

Защитить SNMP доступ

Про SNMP мы писали в одной из наших статей – это протокол для управления сетью, который, однако, также может служить «дырой» для доступа в вашу сеть. Для защиты данного направления, вам необходимо установить сложную Community String (что-то вроде пароля для SNMP) и разрешить доступ только с определенных рабочих станций.

Давайте настроим две Community String – одну с правами на чтение, и другую с правами на чтение и изменение. Также добавим ACL с нужными сетевыми адресами.

Router# config terminal Router(config)# access-list 11 permit 192.168.1.0 0.0.0.15 Router(config)# access-list 12 permit 192.168.1.12 Router(config)# snmp-server community Mer!0nET RO 11 //создание community string с правами на чтение и использование ACL 11 для SNMP доступа Router(config)# snmp-server community Mer!0NeTRules RW 12 //создание community string с правами на чтение/запись и использование ACL 12 для SNMP доступа

Команды выше позволят сети сисадмина 192.168.1.0/28 иметь доступ на чтение и хосту 192.168.1.12 иметь полный доступ на SNMP чтение / запись к устройствам.

Источник



Что такое система сетевой безопасности?

Система сетевой безопасности — это комплекс мер, направленных на поддержание удобства использования и защиту целостности сети и данных.

  • Она использует аппаратные и программные технологии
  • Она борется с различными угрозами
  • Она блокирует их проникновение и распространение в сети
  • Эффективная система сетевой безопасности управляет доступом к сети.

Связаться с Cisco

Как работает система сетевой безопасности?

Система сетевой безопасности состоит из нескольких уровней защиты как внутри сети, так и на ее периметре. На каждом уровне сетевой безопасности реализуются определенные политики и средства контроля. Авторизованные пользователи получают доступ к сетевым ресурсам, а использование эксплойтов и реализация угроз злоумышленниками блокируется.

Какие преимущества дает система сетевой безопасности?

Цифровизация изменила мир. Изменения коснулись нашего стиля жизни, досуга, подхода к работе и обучению. Каждая организация, которая хочет предоставлять услуги заказчикам и сотрудникам, должна защищать свою сеть. Система сетевой безопасности также помогает защитить конфиденциальную информацию от атак. В конечном счете речь идет и о защите репутации.

Средства обеспечения сетевой безопасности

Межсетевые экраны

Межсетевые экраны создают барьер между надежной внутренней сетью и ненадежными внешними сетями, такими как Интернет. Они используют набор определенных правил, которые разрешают или блокируют трафик. Межсетевой экран может быть аппаратным, программным или смешанного типа. Cisco предлагает устройства для унифицированного управления угрозами (UTM) и межсетевые экраны нового поколения, ориентированные на предотвращение угроз.

Читайте также:  Оборудование нефтеперерабатывающего производства сугак леонтьев

Защита электронной почты

Шлюзы электронной почты являются первоочередной целью для злоумышленников, которые хотят проникнуть в сеть. Хакеры анализируют личную информацию и прибегают к методам социальной инженерии для организации изощренных фишинговых кампаний, чтобы обмануть получателей и направить их на сайты с вредоносным ПО. Приложение для защиты электронной почты блокирует входящие атаки и контролирует исходящие сообщения для предотвращения потери конфиденциальных данных.

Антивирусы и программы для защиты от вредоносного ПО

Термин «вредоносное ПО» (сокращение от «вредоносное программное обеспечение») относится к вирусам, интернет-червям, троянам, вирусам-вымогателям и шпионскому ПО. Иногда вредоносное ПО может заражать сеть, не проявляя себя несколько дней или даже недель. Лучшие программы для защиты от вредоносного ПО не только сканируют на наличие вредоносного ПО входящий трафик, но и впоследствии непрерывно отслеживают файлы с целью поиска аномалий, удаления вредоносного ПО и устранения ущерба.

Сегментация сети

Программно-определяемая сегментация классифицирует сетевой трафик и упрощает применение политик безопасности. В идеале классификация должна быть основана на идентификации конечных устройств, а не просто на IP-адресах. Можно назначать права доступа на основе ролей, расположения и других факторов, чтобы предоставлять необходимый уровень доступа нужным пользователям, изолировать подозрительные устройства и устранять угрозы.

Управление доступом

Не у каждого пользователя должен быть доступ к сети. Для защиты от потенциальных хакеров необходимо распознавать каждого пользователя и каждое устройство. Только в этом случае можно обеспечить соблюдение политик безопасности. Можно блокировать конечные устройства, не соответствующие установленным требованиям, или предоставлять им только ограниченный доступ. Этот процесс называется контролем доступа к сети (NAC).

Безопасность приложений

Любое программное обеспечение, используемое в организации, необходимо защищать, независимо от того, создается оно ИТ-специалистами организации или приобретается на стороне. К сожалению, любое приложение может содержать лазейки (или уязвимости), которые хакеры могут использовать для проникновения в сеть. Система обеспечения безопасности приложений содержит аппаратное и программное обеспечение и процессы, которые вы используете для устранения этих уязвимостей.

Поведенческая аналитика

Для обнаружения аномального поведения сети необходимо знать, как выглядит нормальное. Средства поведенческой аналитики автоматически выявляют действия, отличающиеся от нормы. Это помогает отделу информационной безопасности эффективнее выявлять признаки компрометации, которые могут создавать проблемы, и быстро блокировать угрозы.

Предотвращение утечки данных

Организации должны быть уверены, что их сотрудники не передают конфиденциальную информацию за пределы сети. Технологии предотвращения утечки данных (DLP) могут препятствовать небезопасной загрузке, переадресации или даже печати важной информации пользователями.

Системы предотвращения вторжений

Система предотвращения вторжений (IPS) сканирует сетевой трафик и активно блокирует атаки. С этой целью устройства Cisco IPS нового поколения (NGIPS) сопоставляют огромные объемы информации, полученной с помощью глобальной аналитики угроз, что позволяет не только блокировать вредоносную активность, но и отслеживать путь подозрительных файлов и вредоносного ПО во всей сети для предотвращения распространения эпидемий и повторного заражения.

Безопасность мобильных устройств

Целью атак киберпреступников все чаще становятся мобильные устройства и приложения. В течение ближайших 3 лет 90 % ИТ-организаций могут организовать поддержку корпоративных приложений на личных мобильных устройствах. При этом, разумеется, необходимо контролировать доступ различных устройств к сети. Также требуется настраивать их подключения, чтобы сохранить конфиденциальность сетевого трафика.

Управление событиями и данными об информационной безопасности (SIEM)

Продукты SIEM группируют сведения, необходимые сотрудникам, занимающимся ИТ-безопасностью, чтобы выявлять угрозы и реагировать на них. Они могут иметь форму физических и виртуальных устройств и серверного ПО.

Сеть VPN

Виртуальная частная сеть шифрует подключение конечных устройств к сети, часто выполняемое через Интернет. Как правило, сети VPN для удаленного доступа используют протокол IPsec или SSL для аутентификации взаимодействия между устройством и сетью.

Безопасность веб-трафика

Решение для обеспечения безопасности веб-трафика контролирует использование Интернета сотрудниками, блокирует веб-угрозы и запрещает доступ к вредоносным веб-сайтам. Оно защищает веб-шлюз в локальной сети или в облаке. «Безопасность веб-трафика» также подразумевает меры по защите своего веб-сайта.

Безопасность беспроводного доступа

Беспроводные сети менее безопасны, чем проводные. Если не соблюдать строгие меры безопасности, развертывание беспроводной локальной сети не отличается от бесконтрольного размещения Ethernet-портов в свободном доступе. Чтобы предотвратить появление эксплойтов, необходимы продукты, специально предназначенные для защиты беспроводных сетей.

Источник

Стальная Киса. Защищаем сетевой периметр на оборудовании Cisco

Содержание статьи

  • О, моя оборона!
  • Типовые сетевые атаки
  • Rogue DHCP Server
  • DHCP starvation
  • Атака на переполнение таблицы, или СAM table overflow
  • Атака на виртуальные сети, или VLAN hopping
  • Готовимся к обороне
  • Защита от Rogue DHCP Server
  • Методы защиты от DHCP starvation
  • Методы защиты от VLAN hopping
  • Дополнительные опции безопасности
  • Бонус: обзор тулзы Cisco Config Analysis Tool
  • Заключение

О, моя оборона!

В теории обеспечения информационной безопасности есть такое понятие, как глубоко эшелонированная оборона (Defense in depth). Этим мудреным термином называют концепцию, в которой весь корпоративный ИТ-ландшафт делится на несколько уровней контроля безопасности и защиты. Причем один уровень, или, как его еще называют, рубеж защиты, не зависит от остальных и является самостоятельной единицей.

К примеру, на границе внутренней локальной сети и интернета стоят периметровые средства защиты, такие как Firewall, IDS/IPS, NGFW (Next-Generation_Firewall) или UTM-шлюзы. Далее вся сеть мониторится на предмет выявления аномальной активности и инцидентов ИБ, к примеру с помощью SIEM-системы. Состояние ПО контролируется с помощью сканеров безопасности.

На следующем уровне задействованы средства защиты прикладного ПО, к примеру WAF для веб-сервера или DAM для СУБД. Ну а на конечных узлах применяются уже endpoint средства защиты — AV, SSO, DLP и другие страшные аббревиатуры, которыми обозначают штатные механизмы безопасности ОС, системы разделения прав доступа и полномочий пользователей, шифрование на лету и прочее.

Концепция глубоко эшелонированной обороны

Концепция глубоко эшелонированной обороны

В сегодняшней статье мы разберем только одну часть этой схемы, а именно защиту сетевого периметра корпоративного ИТ-ландшафта на примере коммутаторов и маршрутизаторов компании Cisco.

Чтобы провернуть все описанные в этой статье атаки на практике, не нужно много. Вполне хватит, к примеру, такой утилиты, как Yersinia. Она доступна для установки на любую Linux-систему и входит в сборку дистрибутива Kali Linux.

Типовые сетевые атаки

Перед тем как мы приступим к практической части, посвященной безопасной настройке сетевого оборудования, рассмотрим типовые атаки, которые с высокой вероятностью будут использоваться против твоей сети злоумышленниками. Ну или экспертами ИБ при проведении пентестов.

Rogue DHCP Server

Цель этой атаки — подмена легитимного сервера DHCP сервером злоумышленника. Суть угрозы заключается в том, что, когда в сети одновременно находятся два сервера DHCP, один из которых «вражеский» (Rogue DHCP Server), часть клиентов автоматически сконфигурирует у себя неправильные адреса и прочие сетевые настройки. Далее в результате подмены умолчательного шлюза неавторизованный сервер DHCP сможет прослушивать весь трафик клиентов, при этом еще имея возможность форвардить все пакеты по своему усмотрению.

Однако чаще всего атака с подменой сервера DHCP не является атакой как таковой, а скорее служит неким плацдармом для дальнейшего углубления злодеев в атакуемую сеть.

Иллюстрация атаки Rogue DHCP Server

Иллюстрация атаки Rogue DHCP Server

DHCP starvation

Еще одна простая и популярная атака, выполняемая при помощи протокола DHCP. Суть ее заключается в том, что пул DHCP, из которого все корпоративные клиенты получают IP-адреса, изначально ограничен доступным диапазоном. Например, это может быть 253 адреса при использовании маски 255.255.255.0. Для нормальной работы сети этого должно хватить всем клиентам за глаза, однако «атака резервации» (DHCP starvation) стремится исчерпать этот пул и таким образом вывести легитимный сервер DHCP из игры.

Если воспроизвести действия злодеев по шагам, то вот как происходит такая атака:

  1. Атакующее устройство запрашивает себе IP-адрес, маску и шлюз по умолчанию у сервера DHCP и получает их.
  2. MAC-адрес атакующего устройства изменяется, и оно запрашивает следующий, уже другой IP-адрес, маскируясь под некоего нового клиента, который появился в корпоративной сети.
  3. Предыдущие два пункта циклически повторяются до тех пор, пока весь пул IP-адресов на сервере не будет исчерпан.

Возможны два следствия, в зависимости от того, чего добиваются атакующие:

Иллюстрация атаки DHCP starvation

  • Отказ в обслуживании. Имеющиеся у сервера IP-адреса исчерпаны, и новые хосты не могут получить их. Таким образом, их взаимодействие с сетью на этом закончится.
  • Подмена сервера DHCP. DHCP starvation отлично комбинируется с предыдущей атакой Rogue DHCP Server. Так как на основном сервере DHCP свободных адресов уже не осталось, он выключается, и все 100% корпоративных клиентов сети достаются вражескому атакующему DHCP-серверу.

Иллюстрация атаки DHCP starvation

У операционной системы IOS есть несколько режимов работы (конфигурирования):

  • пользовательский режим (приглашение терминала в этом режиме имеет вид > ) позволяет только просмотреть базовые настройки сетевого устройства;
  • привилегированный режим ( # ) — для полноценной настройки всех функций;
  • режим конфигурирования ( (config)# ), в котором выполняются глобальные настройки.

Помимо этого, для настройки каждого отдельного интерфейса есть режим специфической конфигурации ( Router(config-subif)# ).

Атака на переполнение таблицы, или СAM table overflow

Атака CAM table overflow, или переполнение локальной таблицы MAC-адресов, реализуется, когда таблица коммутации заполняется и после этого коммутатор работает в режиме хаба. Иными словами, подключившись к любому порту коммутатора после успешной атаки, можно перехватывать весь трафик в пределах широковещательного домена, которому принадлежит этот порт. Атаку можно выполнить, например, с помощью утилиты macof, которая входит в dsniff.

Читайте также:  Стоимость одной тонны оборудования

Чтобы понять, как работает эта атака, необходимо знать принципы работы современного коммутатора. Давай представим себе коммутатор с именем SW, к которому подключены два равнозначных хоста PC1 (MAC 0000.1111.1111) и PC2 (MAC 0000.2222.2222). На них уже настроены IP-адреса (10.0.0.1 и 10.0.0.2), и эти хосты хотят общаться друг с другом, как разнополые подростки в пубертатный период.

Так как хосты располагаются в одной подсети, маршрутизатор для этого не требуется и весь обмен пакетами будет происходить с помощью коммутатора в несколько этапов.

Иллюстрация атаки СAM table overflow

  1. PC1 хочет обратиться к PC2 по IP-адресу. Тем не менее MAC-адрес PC2 ему неизвестен, поэтому PC1 использует протокол ARP. Для этого отправляется широковещательный запрос всей сети.
  2. Получив широковещательный запрос, коммутатор пересылает его на все свои порты, но записывает соответствие MAC-адреса отправителя ( 0000.1111.1111 ) и порта. Теперь все пакеты, адресованные данному получателю, он будет пересылать адресату, а не во все доступные интерфейсы подряд.
  3. PC2 получает адресованный ему пакет, понимает, что должен ответить, и сообщает свой MAC-адрес PC1. Коммутатор при этом заносит в CAM-таблицу (таблицу MAC-адресов) запись вида интерфейс gig1/2 — MAC 0000.2222.2222) . Теперь, когда компьютеры начнут обмениваться информацией, будут использоваться только два порта, за которыми они расположены. На другие порты информация пересылаться не будет.

Иллюстрация атаки СAM table overflow

Основной смысл рассказанной выше романтической истории общения двух устройств заключается в том, что, если коммутатор видит адрес получателя в своей CAM-таблице, он пересылает этот пакет на конкретный порт. Если не видит — устраивает широковещательную рассылку в надежде, что пакет все-таки найдет своего адресата в подконтрольной сети. Дело в том, что размер таблицы MAC-адресов у любого коммутатора ограничен. И при переполнении этой таблицы новые адреса реальных клиентов уже не смогут быть записаны в нее.

Таким образом, хакеру необходимо всего лишь сгенерировать большое количество ложных адресов и заставить коммутатор записать их в свою таблицу, чтобы реальные адреса реальных устройств постепенно были оттуда вытеснены.

Коммутатор начнет рассылать кадры, адресованные конкретному получателю, на все порты, находящиеся в том же VLAN. Следовательно, у атакующего устройства появится возможность перехватить и прочитать их.

А еще все коммутаторы, подключенные к атакованному, тоже подхватят фейковые MAC-адреса и начнут вести широковещательную рассылку по всей корпоративной сети, умножая угрозу.

Атака на виртуальные сети, или VLAN hopping

Следующая атака базируется на возможности коммутаторов автоматически согласовывать тип своего порта — access или trunk . В двух словах расскажу о том, чем порт access отличается от trunk . Наберись терпения!

Как известно, протокол 802.1Q используется во всех современных сетях. Хитрая особенность этого протокола состоит в том, что он слегка расширяет ethernet-кадр, добавляя туда несколько полей (в частности, поле VLAN Identifier, VID). На основании этого поля коммутатор способен определить, какой группе портов адресован тот или иной кадр.

Благодаря полю VID к одному коммутатору можно подключить клиенты из нескольких подсетей, тем самым ограничив широковещательный домен. Также появляется возможность объединить подключенные к разным коммутаторам клиенты в одну логическую сеть.

Иллюстрация атаки VLAN hopping

Иллюстрация атаки VLAN hopping

Рассмотрим передачу кадра в сети с протоколом 802.1Q.

  1. PC1 подключен к access-порту fa0/1 коммутатора SW1 в VLAN c порядковым номером 10. Это означает, что при попадании кадра на порт коммутатора в него будет добавлен 802.1Q-header с информацией о принадлежности к VLAN10.
  2. SW1 пересылает тегированный кадр на SW2 через trunk-порт.
  3. SW2 получает кадр, смотрит в свою CAM-таблицу и отправляет кадр на соответствующий access-порт, заголовок 802.1Q снимается.

При этом можно выделить следующие особенности:

  • клиенты ничего не знают о своей принадлежности к определенному VLAN и работают с нетегированными кадрами, заголовок 802.1Q появляется только при прохождении кадра через access-порт;
  • порт может быть не тегирован (access) только в одном VLAN;
  • через тегированный (trunk) порт можно передавать кадры, принадлежащие к разным VLAN;
  • существует так называемый native VLAN — при попадании на trunk-порт кадра без тега он автоматически будет причислен к native VLAN. Как правило, native VLAN по умолчанию — это VLAN1 (но это можно изменить);
  • при этом кадры, принадлежащие native VLAN и попавшие в access-порт, передаваться через trunk-порт будут без тега.

А теперь перейдем к самой атаке. Как уже было сказано, VLAN hopping основан на том, что коммутаторы имеют возможность автоматически согласовывать тип порта. Используется для этого проприетарный протокол компании Cisco под названием DTP. При его использовании (а он включен по умолчанию) возможны следующие состояния порта: dynamic auto , dynamic desirable , static access , static trunk .

Как мы видим, при определенных условиях, а именно в режимах dynamic auto и dynamic desirable , порт коммутатора может согласовать свою работу в режиме trunk . Это значит, что, если атакующее устройство будет вести себя как порт в режиме desirable , оно согласует на себя trunk-порт и получит доступ к трафику всех виртуальных сетей, которыми оперирует коммутатор.

Основная проблема заключается в том, что на коммутаторах Cisco все порты по умолчанию находятся в режиме auto . Поэтому, даже если порт настроен в режиме access/auto , при получении запроса на согласование его состояние может измениться на trunk/auto .

Готовимся к обороне

Что ж, а вот теперь пришло время засучить рукава и приступить к укреплению нашего корпоративного бастиона. Ниже мы рассмотрим настройку функций и режимов работы IOS для нейтрализации всех описанных выше атак, а также ряд дополнительных фич, которые помогут тебе сделать сеть еще чуть-чуть более безопасной.

WARNING

Перед любыми операциями конфигурирования сетевых устройств не забывай сделать бэкап конфига! Документируй все изменения, чтобы потом не потерять лог изменений и не вырвать себе с досады волосы на затылке.

Продолжение доступно только участникам

Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее

Источник

Защита сетевого оборудования Cisco

Цифровизация изменила мир. Изменения коснулись нашего стиля жизни, досуга, подхода к работе и обучению. Каждая организация, которая хочет предоставлять услуги заказчикам и сотрудникам, должна защищать свою сеть. Система сетевой безопасности также помогает защитить конфиденциальную информацию от атак. В конечном счете речь идет и о защите репутации.

1.Атака Rogue DHCP Server

Цель этой атаки — подмена DHCP-сервера. Если в сети одновременно находятся два DHCP-сервера, один из которых является «врагом», некоторые клиенты будут настраивать для себя неверные адреса и другие сетевые параметры.

Переопределив шлюз по умолчанию, неавторизованный DHCP-сервер сможет прослушивать весь клиентский трафик и пересылать пакеты по назначению. Таким образом, у нас есть простейшая реализация атаки MitM (Man in the Middle), которая может быть проведена в большинстве современных сетей.

Вообще то атака с подменой DHCP-сервера чаще всего не является атакой, как таковой. Распространены случаи, когда по незнанию в сеть подключается SOHO роутер с настроенным DHCP-сервером, причем подключается он LAN-портом. После этого у клиентов, успевших получить у него IP-адреса, наблюдаются как минимум существенные потери скорости, а чаще всего полная невозможность использования локальных и глобальных ресурсов.

Защита сетевого оборудования Cisco

Способы защиты

Простейший способ защиты от атак подобного рода – включение на всех коммутаторах функции DHCP snooping. Далее необходимо определить два типа портов:

• Доверенные – порты коммутатора, к которым подключается DHCP-сервер, либо другой коммутатор.

• Недоверенные – порты для клиентских подключений, за которыми DHCP-сервер находиться не может, зато вполне может находиться атакующее устройство.

В этом случае отслеживание DHCP требуется, чтобы сообщить коммутатору, что он должен обращать внимание на предложения DHCP и пакеты подтверждения, проходящие через него, и не позволять этим пакетам проходить через ненадежные порты. Кроме того, широковещательные запросы от клиента (обнаружение и запрос) теперь будут перенаправляться только на доверенные порты. Топология должна выглядеть так:

Защита сетевого оборудования Cisco

Для конфигурирования функции DHCP snooping необходимо:

1) Включить ее на коммутаторе:

SW(config)#ip dhcp snooping

2) Указать для каких VLAN требуется отслеживать пакеты:

SW(config)#ip dhcp snooping vlan

3) Указать доверенные порты на коммутаторе (все остальные по умолчанию становятся недоверенными):

SW(config-if)#ip dhcp snooping trust

Спасти трафик от прослушки также может шифрование на стороне клиента, например туннелирование в транспортном режиме.

2.Атака DHCP starvation

Атака, исполняемая при помощи протокола DHCP. DHCP-пул, из которого клиенты получают IP-адреса, ограничен. Например, это может быть 253 адреса (при маске 255.255.255.0). Для нормальной работы сети этого должно хватить всем клиентам, но атака DHCP starvation стремится изменить данную ситуацию.

Как это происходит:

1) Атакующее устройство запрашивает себе IP-адрес у DHCP-сервера и получает его;

2) MAC-адрес атакующего устройства изменяется и оно запрашивает следующий, уже другой IP-адрес, маскируясь под нового клиента;

3) Такие действия повторяются до тех пор, пока весь пул IP-адресов на сервере не будет исчерпан.

Далее возможны два последствия, в зависимости от того, что является целью атаки:

• Отказ в обслуживании. IP-адреса исчерпаны, и новые хосты не могут получить их. Таким образом, их взаимодействие с сетью на этом закончится.

Подмена DHCP-сервера. DHCP starvation отлично комбинируется с предыдущей атакой. Так как на основном DHCP-сервере свободных адресов не осталось, он выбывает из игры, и 100% клиентов достается вражескому атакующему DHCP-серверу.

Читайте также:  Миасский завод бытового оборудования интернет магазин

Способы защиты

Самый простой способ защиты – ограничение числа MAC-адресов на порту коммутатора. Реализуется это с помощью функции port-security:

1) Переводим порт в access режим:

SW(config-if)#switchport mode access

2) Включаем port-security на интерфейсе:

3) Ограничиваем число MAC-адресов на интерфейсе:

SW(config-if)switchport port-security maximum

4) Выберите способ запоминания коммутатором MAC-адресов (статический, постоянный): разница между статическим адресом и постоянным адресом заключается в том, что статические адреса должны быть написаны от руки, а постоянные адреса автоматически запоминаются и сохраняются в файле конфигурации.

SW(config-if)#switchport port-security mac-address

5) Задаем тип реагирования на превышение числа разрешенных MAC-адресов:

protect – после переполнения все пакеты, отправленные с других MAC-адресов отбрасываются.

restrict – то же самое, но с уведомлением в syslog или по SNMP.

shutdown – порт выключается до автоматического или ручного его поднятия, также отправляются уведомления.

SW(config-if)#switchport port-security violation

Таким образом атакующее устройство просто не сможет исчерпать лимит IP-адресов DHCP-пула, так как коммутатор не позволит ему безнаказанно изменять свой MAC-адрес.

Также здесь может помочь все тот же DHCP snooping, а именно команда

SW(config-if)ip dhcp snooping limit rate

Эта команда ограничивает количество пакетов DHCP в секунду на порт (рекомендуется не более 100 пакетов в секунду), и если этот предел превышен, она переводит порт в состояние отключения из-за ошибки, то есть временно выключено. Обычный клиент не превысит этот лимит, но атакующее устройство, генерирующее сотни MAC-адресов в секунду, будет обнаружено.

3.Атака СAM-table overflow

Для того, чтобы понять, как работает данная атака, необходимо понимать принцип работы коммутатора.

Атака СAM-table overflow

Вообразим себе новое программное обеспечение коммутатора, к которому подключены два хоста PC1 (MAC 0000.1111.1111) и PC2 (MAC 0000.2222.2222). Вы уже настроили IP-адреса (10.0.0.1 и 10.0.0.2) и хотите общаться друг с другом. Поскольку они находятся в одной подсети, маршрутизатор не требуется, и весь обмен пакетами происходит через коммутатор. Итак, в каком порядке происходит их общение:

1) PC1 хочет связаться с PC2 по IP-адресу. Однако он не знает MAC-адрес ПК2, поэтому ПК1 использует ARP. Отправляется широковещательный запрос: «Компьютер с IP-адресом 10.0.0.2, сообщите свой MAC-адрес компьютеру с 10.0.0.1, чтобы я мог с вами общаться».

2) Коммутатор шлет запросы на все свои порты, но записывает соответствие между MAC-адресом отправителя (0000.1111.1111) и портом, теперь он будет напрямую пересылать все кадры, адресованные этому получателю, а не случайно, всем доступные интерфейсы.

3) PC2 получает направленный ему пакет, понимает, что он должен ответить, и сообщает свой MAC-адрес PC1. В этом случае коммутатор вносит в таблицу CAM (таблицу MAC-адресов) запись вида: (интерфейс gig1 / 2 — MAC 0000.2222.2222). Теперь, когда компьютеры будут обмениваться информацией, будут задействованы только два порта, за которыми они расположены. Информация не будет отправлена ​​другим лицам.

Суть в том, что если коммутатор видит адрес назначения в своей таблице CAM, он пересылает кадр на определенный порт. Если он этого не видит, он организует трансляцию, надеясь, что кадр все же найдет получателя.

По этому принципу работает рассматриваемая атака. Дело в том, что размер таблицы MAC-адресов для любого данного коммутатора ограничен. В случае переполнения новые реальные адреса клиентов больше не смогут попасть в таблицу.

Ясно, что, просто нужно сгенерировать большое количество адресов и заставить коммутатор записать их в свою таблицу, чтобы реальные адреса реальных устройств постепенно покинули ее. В этом случае коммутатор начнет отправлять фреймы, адресованные определенному получателю, на все порты, расположенные в одной VLAN, поэтому атакующее устройство сможет их перехватить и прочитать.

Обратите внимание, что все коммутаторы, подключенные к атакуемой стороне, также получат поддельные MAC-адреса и начнут транслировать все кадры.

Способы защиты

1) Port-security на всех access-портах с лимитированием максимального количество MAC-адресов.

2) Шифрование трафика – в таком случае хоть все кадры и будут рассылаться широковещательно, а производительность сети сильно ухудшится, информация, попавшая в чужие руки, не будет прочитана.

Атака VLAN hopping

Следующая атака базируется на возможности коммутаторов автоматически согласовывать тип своего порта — access или trunk.

Немного теории о том, чем access порт отличается от trunk порта:

Известно, что протокол 802.1Q повсеместно распространен во всех современных сетях. Суть его в том, что он немного расширяет кадр Ethernet, добавляя несколько полей (в частности, VLAN Identifier, поле VID). На основе этого поля коммутатор может определить, какой группе портов адресован конкретный фрейм.

Благодаря полю VID клиенты из нескольких разных подсетей могут быть подключены к одному коммутатору, тем самым ограничивая широковещательный домен. Также появляется возможность объединять клиентов, подключенных к разным коммутаторам, в одну логическую сеть.

По сути 802.1Q — очень гибкий механизм для создания необходимой логической топологии поверх уже существующей физической.

Рассмотрим процесс передачи кадра в сети с протоколом 802.1Q.

процесс передачи кадра в сети с протоколом 802.1Q.

1) PC1 подключен к access-порту fa2/1 коммутатора SW1 в 10 VLAN’е. Это означает, что при попадании кадра на порт коммутатора, в него будет добавлен 802.1Q header с информацией о принадлежности к VLAN10.

2) SW1 пересылает тегированный кадр на SW2 через trunk-порт.

3) SW2 получает кадр, смотрит в свою CAM-таблицу и отправляет кадр в соответствующий access-порт, заголовок 802.1Q снимается.

В данном случае можно выделить следующие особенности:

  • Клиенты ничего не знают о своей принадлежности к определенному VLAN и работают с нетегированными кадрами, заголовок 802.1Q появляется только при прохождении кадра через access-порт;
  • Порт может быть нетегирован (access) только в одном VLAN (верно для коммутаторов Cisco);
  • Через тегированный (trunk) порт можно передавать кадры, принадлежащие к разным VLAN.
  • Существует так называемый native VLAN – при попадании на trunk-порт кадра без тега, он автоматически будет причислен к native VLAN. Как правило native VLAN’ом по умолчанию считается VLAN1 (изменяемо).

При этом кадры, принадлежащие native VLAN и попавшие в access-порт, передаваться через trunk-порт будут без тега.

Сама атака:

Как уже упоминалось, переключение VLAN основано на том факте, что коммутаторы могут автоматически согласовывать тип порта. Для этого используется собственный протокол Cisco DTP (Dynamic Trunking Protocol). При его использовании (а он включен по умолчанию) возможны следующие состояния порта: dynamic auto, dynamic desirable, static access, static trunk.

Предоставим сводную таблицу, как согласуются состояния двух портов, подключенных друг к другу:

сводную таблицу, как согласуются состояния двух портов, подключенных друг к другу:

При определенных условиях, особенно в dynamic auto и dynamic desirable режимах, порт коммутатора может согласовывать свою работу в транковом режиме. Это означает, что если атакующее устройство ведет себя как порт в желаемом режиме, оно согласовывает магистральный порт и получает доступ к трафику из всех VLAN, на которых работает коммутатор.

Основная проблема коммутаторов Cisco в том, что по умолчанию все порты находятся в режиме auto. Следовательно, даже если порт настроен в режиме access/auto, состояние может измениться на trunk/auto при получении запроса на согласование.

Способы защиты

Решение данной проблемы очень простое, но многие при конфигурировании коммутаторов забывают его использовать. Командой

мы просто отключаем возможность автоматического согласования и делаем атаку нереализуемой.

Другой возможный вектор атаки VLAN hopping – использование native VLAN и добавление второго тега. Работает он только в том случае, если атакующее устройство находится в том VLAN, который является native VLAN для trunk-порта.

атаки VLAN hopping

Отталкиваясь от определения native VLAN, кадр, пришедший на порт fa2/1, находящийся в VLAN1, будет передаваться через trunk-порт нетегированным, но, так как злоумышленник PC1 присвоил ему два заголовка, на выходе он окажется с тегом VLAN2 и дойдет до атакуемого клиента, чего при нормальной ситуации быть не должно.

Следует заметить, что такая атака является однонаправленной, так как невозможно по такой же схеме передать кадр обратно.

Способы защиты

Защититься можно следующим образом:

Назначаем на всех trunk-портах неиспользуемый VLAN в качестве native.

SW(config-if)# switchport trunk native vlan 999

Теперь атака неосуществима, так как VLAN 999 не относится ни к одному из access-портов.

Заключение

Решение для обеспечения безопасности веб-трафика контролирует использование Интернета сотрудниками, блокирует веб-угрозы и запрещает доступ к вредоносным веб-сайтам. Оно защищает веб-шлюз в локальной сети или в облаке. «Безопасность веб-трафика» также подразумевает меры по защите своего веб-сайта.

Источник

Базовые настройки безопасности в Cisco

При настройке сетевого оборудования важно помнить о настройке базовых параметров безопасности оборудования, так как именно они предотвращают большую часть угроз безопасности. Встроенный функционал защиты обеспечивает базовый и необходимый уровень безопасности, который предотвращает распространённые виды атак злоумышленников. Сетевые администраторы не забывают это делать, но простые системные администраторы часто пренебрегают данными настройками и оставляют настройки без изменений.
В данной статье приведена таблица базовых настроек c пояснением и примером для настройки базовых параметров безопасности Cisco.

R0(config)#ip domain-name cisco-dmn

R0(config)#crypto key generate rsa

R0(config)#line vty 0 4

R0(config-line)#transport input ssh

R0 (config)# banner exec # text #

R0 (config)# banner incoming # text #

R0 (config-archive)# log config

R0 (config-archive-log-cfg)# logging on

R0 (config-archive-log-cfg)# hidekeys

R0 (config)#ip ssh time-out 60

R0 (config)#ip ssh logging events

R0 (config)#ip ssh authentication-retries 3

Логирование удачных и неудачных попыток авторизации:

R0 (config)#login on-failure log every

R0 (config-line)# exec-timeout [seconds]

DHCP snooping — функция коммутатора, предназначенная для защиты от атак с использованием протокола DHCP.

Sw (config)# ip arp inspection vlan 1

Настройка доверенного порта:

Sw(config)# interface gigabitethernet1/0/1

Sw(config-if)# ip arp inspection trust

Включить DHCP snooping:

sw(config)# ip dhcp snooping

Включить DHCP snooping в VLAN, которые должны быть защищены с его помощью:

Источник