Всем привет! Надеюсь этот пост будет полезным для тех, кто хочет сдавать сертификацию по безопасности на основе IOS.
Так уже повелось, что для прежнего экзамена CCNA или как сейчас он называется CCNA Routing&Switching хватает софта из Cisco Networking Academy (Diccovery and Exploration) Cisco Packet Tracer, однако для отраслевых сертификаций он уже не подойдет. В этом случае, если, конечно, у Вас нет под рукой физического стенда, подойдет GNS3. Взглянем на темы экзамена CCNA Security. Понимаем что вопросами исключительно по IOS дело не обойдется: CCP, ASA, IPS. Что нужно? Правильно сконфигурированный стенд!
Итак, в одну корзинку кладем:
- PC host — CCP, ASDM, Kali — virual_box образы
- IOS Switch — в GNS не реализован, поэтому используем образ cisco 3745 с модулем NM-16ESW. В этом случае он будет функционировать как Switch L3 (Catalyst 3560)
- Router с функционалом Zone-based Firewall — образ IOS c3725-adventerprisek9-mz124-15.bin
- Cisco ASA — asa842 (kernel и initrd)
- Cisco IPS
Вот что-то такое должно быть...
Виртуальные машины на virtual_box уже вшиты в GNS (Preferences-VirtualBox-VirtualBox Guest). Осталось собрать их необходимое количество. Да, уточнение, одна виртуальная «реальная» машина, один хост в GNS.
Далее идем в IOS images & hypervisors и добавляем нужные нам образы IOS и вычисляем Idle PC, чтобы ваш железный друг не загнулся, когда вы включите эмуляцию сети.
И наконец добавляем ASA: Preferences-Qemu-ASA 8.4.2 — Qemu options: -vnc none -vga none -m 1024 -icount auto -hdachs 980,16,32 — Kernel cmd line: -append ide_generic.probe_mask=0x01 ide_core.chs=0.0:980,16,32 auto nousb console=ttyS0,9600 bigphysarea=65536.
Распаковать все образы IOS можно при помощи 7-zip. Иииии…
Ну вы уже догадались, что XP-это локальная сеть, 7-DMZ, backtrack-внешняя сеть.
С чего нам предлагают начать излучении реализации безопасности на основе IOS?
Как ни удиветельно с понятий, используемых в курсе:
- C3PL – Cisco classification common policy language
- Class maps – identify traffic (ftp, http)
- Policy maps – action to take (drop, prioritize)
- Service policies – where PM to do
Когда с понятиями разобрались, рассмотрим классические методы защиты.
Команда Enable имеет наивысший уровень привилегий (default privilege level = 15) 15 – max, 1 – min = disable. Никогда не используйте команду enable password. Для других настраиваемых уровнях привилегий необходимо использовать
enable secret level 4 0 pass4level
privilege exec level 4 ping
Для скрытия plain-text паролей используйте service password-encryption. Командой who или show users – посмотреть кто подключился к устройству.
Для хранения пользователей и паролей в IOS можно использовать local database:
username admin priv 15 sec 0 pass123
username user1 priv 4 sec 0 pass1user
line console 0
login local
line vty 0 4
login local
Для enterprise можно использовать AAA-server. AAA – Authen: кто?, Author: что может делать или не может? Account: отслеживание действий.
conf t
enable secret level 15 0 cisco123
username admin priv 15 sec 0 pass123
username user1 priv 4 sec 0 pass1user
aaa new-model
aaa authen login default local
aaa author exec default local – не применяется к консольному порту по умолчанию
aaa author console – готово и для консоли
И еще пару полезных параметров, которые необходимо учитывать
security passwords min-length 8
aaa local authen attempts max-fail 3
sh aaa local user lockout
clear aaa local user lockout all
login block-for 300 attempts 10 within 60
Если вы хотите подключаться к устройству в защищенном режиме необходимо настроить ssh:
ip domain-name ca.com
crypto key generate rsa modus 1024
ip http secure-server
line vty 0 4
transport input ssh
Теперь по плану AAA TACACS+ RADIUS. Характеристики этих протоколов легко можно найти. Лучше их запомнить, вполне возможно они будут на экзамене. Лучшей практикой является применение tacacs+ для администраторов, а radius для внешних пользователей. через vpn.
Т.к. tacacs+ фирменный протокол cisco, настроим его:
enable secret cisco123
username admin priv 15 sec pass123
username user1 priv 1 sec pass1user
aaa new-model
tacacs-server host 192.168.0.254
tacacs-server key cisco1111
aaa authen login default group tacacs+ local
aaa authen login Free none
line console 0
login authen Free
aaa author commands 1 TAC1 group tacacs+ local
aaa author commands 15 TAC15 group tacacs+ local
aaa author config-commands
aaa account commands 1 TAC1-acc start-stop group tacacs+
Фууух, закончили с паролями. Теперь рассмотрим безопасность канального уровня.
Про CAM или mac-table все слышали. По данной теме рассматриваются такие нарушения как DHCP Snooping, CAM overflow, VLAN hoping.
Как защититься от навязывания ложного DHCP? Вот так:
conf t
ip dhcp shooping vlan3
ip dhcp snooping
int fa 0/1
ip dhcp shooping trust
exit
sh ip dhcp snooping binding
Теперь посмотрим вариант с переполнением — CAM Overflow. Для заметки (shut / no shut производит сброс таблицы по интерфейсу)
conf t
int fa 0/1
switchport mode access
swport port-sec max 5
swport port-sec violation shutdown
swport portsec !!!не забываем включить!!!
errdisable recovery cause psecure-violation
errdisable recovery interval 30
sh int status err-diasbled
sh port-sec
Еще есть такая штука как VLAN Hoping (Jumping). Основные рекомендации по VLAN следующие: никогда не используйте в продакшне vlan1 (присвойте всем портам какой нибудь «редкий» vlan999), отключите все неиспользуемые порты, для доступа применяйте access mode, и отключите динамическое согласование no negotiation trunk (dtp).
sh int fa 0/1 switchport (negot is auto)
sh int trunk
int fa 0/1
swport mode access
swport access vlan3
swport nonegotiate
И еще на сладкое BPDU Guard (anti span) — BridgePDU Guard (STP)
spanning-tree portfast default
spanning-tree portfast bpduguard default
int fa 0/1
spanning-tree portfast
spanning-tree portfast bpduguard enable
errdisable recovery cause bpduguard
Кстати для контроля CAM можно использовать DAI – dynamic arp inspection
Вот в принципе и все, что требуется по IOS. Остальное это использование CCP для маршрутизатора, ASA и ZBF.
Если есть желание, смогу написать заметку и про пользование интерфейсом CCP, т.к. по нему достаточно много вопросов и главное лабораторная на экзамене.
Как вы понимаете данная заметка не для гуру, а для только решивших заняться изучением оборудования Cisco.
P.S.
Справочная информация:
Автор: kimssster