Вы здесь

Безопасность. Начало 05. Cisco Configuration Professional

Cisco Configuration Professional - это приложение, которое запускается на вашем компьютере.
CCP предоставляет графический интерфейс GUI и выступает в роли device management tool, предназначенное для конфигурирования и мониторинга Cisco Routers.

CCP в определённом смысле упрощает администрирование. В большинстве случаев это действительно помогает новичкам, хотя и для профессионалов здесь есть кое чего интересное.
Например в отличие от CLI, GUI предоставляет в основном только самые нужные и часто используемые настройки, которые легко "подглядеть" взглянув на страницу настроек какой-либо функции. В CLI это сделать невозможно, точнее команда CLI "?" вывалит всевозможные команды, половина из которых не нужна и может быть даже вредна.
С другой стороны CCP не позволяет делать иногда необходимые тонкие настройки и не затрагивает целые функции.

В CCP в изобилии присутствуют различные wizards, позволяющие упростить выполнение таких задач, как настройка кouting, firewalls, intrusion prevention
systems (IPS) , virtual private networks (VPN) , unified communications и т.д.

CCP существует в двух вариациях:

  • Cisco Configuration Professional Express - обрезанная версия полного CCP, живёт на Flash роутера и запускается в виде Java applet, и часто поставляется с новым девайсом
  • Cisco Configuration Professional - полная версия CCP, обладающая максимальным функционалом

Отметим также, что CCP не требует каких либо лицензий и может быть загружен с сайта циски под валидным CCO account.

Установка CCP Express

Cisco CP Express или Cisco CP Express Admin View является облегченной версией CCP с очень ограниченными функциями и устанавливаемый непосредственно на Flash-карту роутера.

  1. С сайта cisco.com скачиваем дистрибутив в виде файла cisco-config-pro-exp-admin-k9-3_1-en.zip.
  2. Распаковываем архив и извлекаем из него два файла:
    - ccpExpress_ap_express-security_en.shtml.gz - файл нужен если роутер поддерживает WiFi AP
    - ccpexpressAdmin_3_1_en.tar
  3. Копируем эти два файла в корень Flash роутера.
  4. archive tar /xtract flash:ccpexpressAdmin_3_1_en.tar flash:/
  5. delete flash:ccpexpressAdmin_3_1_en.tar

Подготовка маршрутизатора к работе с Cisco Configuration Professional (Express)

Для работы CCP (и CCP Express) необходимо выполнить определенные подготовительные действия на маршрутизаторе:
Маршрутизатор должен быть включен и доступен по сети.
Вообще по умолчанию маршрутизатор будет доступен по адресу 10.10.10.1.
Компьютер можно подключить к маршрутизатору используя Cross-кабель и дать адрес например 10.10.10.100 255.255.255.0
10.10.10.1 должен пинговаться. Затем мы заходим через telnet на 10.10.10.1 и выполняем следующие команды:
(1) Включаем на маршрутизаторе сервер HTTP и HTTPS:

Router> enable
Router# conf t
Router(config)# ip http server
Router(config)# ip http secure−server
Router(config)# ip http authentication local

(2) Создаем пользователя с privilege level 15:
Router(config)# username username privilege 15 password 0 password

(3) Настраиваем SSH и Telnet:
Router(config)# line vty 0 4
Router(config−line)# privilege level 15
Router(config−line)# login local
Router(config−line)# transport input telnet
Router(config−line)# transport input telnet ssh
Router(config−line)# exit

(4) Включаем local logging для поддержки log monitoring
Router(config)# logging buffered 51200 warning

После выполнения этих действий мы сможем подключаться к маршрутизатору через Cisco Configuration Professional.

Cisco Configuration Professional Express

Зайти на роутер можно по следующему адресу:
https://router_address
nachalo_05._cisco_configuration_professional_01_ciscomaster.ru.jpg

Cisco Configuration Professional Express позволяет управлять лишь ограниченными функциями например:

  • Повесить IP адрес на интерфейс
  • Прописать hostaname, сервера DNS, создать зону DHCP
  • Управление статической маршрутизацией
  • Посмотреть загрузку CPU и интерфейсов

Cisco Configuration Professional

Полноценный Cisco Configuration Professional позволяет выполнять практически все основные функции.
CCP можно скачать с сайта Cisco при наличии активной подписки.
nachalo_05._cisco_configuration_professional_02_ciscomaster.ru.jpg

Здесь для начала в Community мы введем IP нашего роутера, а также имя и пароль учетки для администрирования.
Далее жмем кнопку Discovery.
После выполнения Discovery нам станут доступны опции Configure и Monitor. Позволяющие соответственно настраивать и мониторить наш роутер.

Templates

Templates или шаблоны нам помогут если есть необходимость конфигурировать устройства с аналогичными функциями.

CCP -> Application -> Template -> Create
Шаблон можно создать например на основе конфигурации текущего устройства:
nachalo_05._cisco_configuration_professional_03_ciscomaster.ru.jpg
При этом к переменным параметрам (например hostname) можно применить parameterize, а по сути это выделяет их изменение при разворачивании данного шаблона.
Далее шаблон можно сохранить на локальную машину.

После этого данный шаблон можно заливать в конфигурацию текущего устройства:
CCP -> Application -> Template -> Apply

User Profiles

User Profile - херь, позволяющая ограничить доступные фичи для администрирования. Например для кого-нибудь можно полностью скрыть ветку Unified Communications.
Причем работает это только в пределах инсталляции самого CCP. Т.е. если юзер пойдёт на роутер через тот же SSH, то все эти ограничения работать не будут.

Создание профиля:
Application > Create User Profile
nachalo_05._cisco_configuration_professional_04_ciscomaster.ru.jpg

Импорт профиля:
Application > Import User Profile

CCP Security Audit

Фича позволяет автоматически проанализировать конфигурацию маршрутизатора, и затем выдать свои рекомендации.
При этом CCP использует IOS auto secure feature, т.е. примерно тоже самое что и команда auto secure full

Security Audit может работать в двух вариантах:
- В виде интерактивного визарда, который задаст несколько вопросов. (аналог auto secure full)
- One Step-Lockdown - изменяет только те моменты, которые не требуют вмешательства администратора. (аналог auto secure no-interact)

Запустить Security Audit:
Configure > Security > Security Audit

Security Audit покрывает целый набор вопросов по безопасности, рассмотрим их вкартце:

  • Disable Finger Service - Finger позволяет удаленно узнать какой пользователь в данный момент залогинен на роутере. Хотя данная инфа не очень то критична, но иногда может быть полезна для злоумышленника.
    no service finger
  • Disable TCP and UDP Small Servers Service - старые версии IOS разрешали работу таких сервисов как “small services”: echo, chargen, and discard, которы могут быть использованы для организации атак denial-of-service [DoS].
    Сейчас такие сервисы используются очень редко и отключены по умолчанию на свежих версиях IOS.
    no service udp-small-servers no service tcp-small-servers
  • Disable IP BOOTP Server Service - сервис BOOTP позволяет роутерам или компьютерам автоматом загружать конфигурацию из центрального сервера. Как результат то же самое может сделать и злоумышленник загрузив себе копию конфига роутера. Сервис также подвержен атаке DoS.
    no ip bootp server
  • Disable IP Identification Service - Identification support позволяет извне сделать TCP port query и определить номер модели роутера и версию IOS
    no ip identd
  • Disable CDP - CDP является протоколом 2-го уровня и позволяет устройствам в непосредственно подключённом сегменте определить модель роутера и версию IOS.
    Безусловно его следует отключить на внешних интерфейсах:
    no cdp enable
  • Disable IP Source Route - протокол IP поддерживает source routing options, что позволяет отправителю IP datagram контролировать маршрут пакета. Это редко используется и рекомендуется отключить.
    no ip source-route
  • Enable Password Encryption Service - на самом деле Password Encryption может быть легко расшифрован, но данный сервис был создан для того чтобы паролик не засветился "из-за плеча". Безусловно полезная вещь.
    service password-encryption
  • Enable TCP Keepalives for Inbound and Outbound Telnet Sessions - если выйти из телнет без команды exit, то по умолчанию broken сессия telnet некоторое время тупо открыта, позволяя злоумышленнику подключиться вместо админа. TCP Keepalives позволяет обнаружить это и закрыть такую сессию
    service tcp-keepalives-in
  • Enable IP CEF - Cisco Express Forwarding (CEF) - это технология обработки пакетов, позволяющая более эффективно реагировать при SYN attacks.
    ip cef
  • Disable IP Gratuitous ARPs - традиционно ARP работает как запрос-ответ, т.е. клиент которому нужно узнать MAC адрес для IP - делает широковещательный запрос. A gratuitous Address Resolution Protocol (ARP) - используется когда хост "кричит" о своём MAC-IP без запроса от другой станции, что может привести к разным видам атак.
    no ip gratuitous-arps
  • Set Minimum Password Length to More Than 6 Characters - один из способов атаки на пароли - bruteforce, т.е. пароль тупо подбирается по всем возможным комбинациям. Длина пароля более 6 символов делает bruteforce практически невозможным.
    security passwords min-length
  • Set Authentication Failure Rate to Less Than 3 Retries - данная защита эффективна против атак типа dictionary attack. При кторой осуществляется подбор пароля по словарю. При такой настройке, после 3-х неудачных попыток система будет генерировать syslog messages..
    security authentication failure rate
  • Set Banner - Баннер вываливается сразу перед вводом имени и пароля. Несмотря на то что это просто предупреждение, в некоторых странах наличие баннера позволяет доказать вину злоумышленника гораздо проще, т.к. мол его предупреждали в том числе о том что за ним здесь "следят".
    banner ^ Authorized access only This system is the property of Enterprise. Disconnect IMMEDIATELY as you are not an authorized user! Contact . ^
  • Set TCP SYN-Wait Time to 10 Seconds - атака типа SYN-flood заключается в том, что злоумышленник непрерывно шлёт на хост connection requests, но в ответ никогда не отвечает acceptance of acknowledgments. В результате у жертвы скапливается огромное количество таких половинчатых соединений, что может перегрузить хост. Таймаут в 10 секунд может существенно облегчить ситуацию.
  • Enable Logging - лог должен быть включён. Некоторые хосты имеет смысл повесить на syslog.
    Подробнее см. http://ciscomaster.ru/content/nastroyka-syslog-server
  • Set Enable Secret Password - команда enable secret позволяет наложить пароль на вход в режим privileged administrative access.
    enable secret my_password
  • Disable SNMP - SNMP всегда представляет потенциальную угрозу, поскольку его пароль, называемый community strings хранится и отсылается в сети в текстовом виде. Если у вас не используется SNMP просто выключите его.
    no snmp-server
  • Set Scheduler Interval - когда роутер производит обработку пакетов он на это тратит ресурсы процессора. В условиях атаки типа Flood, процессор может оказаться неспособным обработать такое огромное количество прерываний, поступающих от сетевых интерфейсов. Это даже может сделать невозможным administrative access к роутеру. Scheduler Interval позволяет избежать такой ситуации даже при загрузке cpu 100%
    scheduler interval 500
  • Set Scheduler Allocate - тоже самое что и предыдущее; применяется в случае когда роутер не поддерживает команду scheduler interval.
    scheduler allocate 20000 1000
  • Enable Telnet Settings - рекомендуется выставить транспорт, таймаут, а также привязку к access-list, где прописаны разрешённые хосты.
    line vty 0 4 access-class 23 in exec-timeout 480 0 login authentication local transport input ssh line vty 5 15 access-class 23 in exec-timeout 480 0 login authentication local transport input ssh
  • Disable IP Redirects - ICMP redirect messages могут инструктировать хост использовать определенный next-hop для определенного destination.
    Может быть использовано злоумышленником, и ИМХО ненужная и даже вредная вещь, добавляющая ещё больше чудес в нашу жизнь.
    no ip redirects
  • Disable IP Proxy ARP - ARP используется хостами для конвертиции IP адреса в MAC-адрес. ARP есть протокол 2-го уровня и работает в пределах одной IP подсети. Функция Proxy ARP позволяет роутеру проксировать ARP запросы между разными подсетями, в результате хосты из разных подсетей будут доступны друг для друга даже не имея настроек шлюза. Proxy ARP снижает безопасность и должна использоваться только когда это действительно нужно. Выключайте её на всех интерфейсах.
    no ip proxy-arp
  • Disable IP Directed Broadcast - IP directed broadcast - это датаграмма которая отсылается на броадкастный адрес, причем машина источник находится в другой IP подсети. Пакет directed broadcast маршрутизируется как юникастный пакет, а когда он прибывает к target subnet, он конвертируется в link-layer broadcast. Единственный запрос может инициировать лавину ответов, поэтому это может быть использовано как инструмент для атак.
    no ip directed-broadcast
  • Disable MOP Service - Maintenance Operations Protocol (MOP) is used to provide configuration information to the router when communicating with DECnet networks.
    Подвержен атакам и должен быть выключен к хуям.
    no mop enabled
  • Disable IP Unreachables - сообщения ICMP host unreachable отсылаются роутером если он не знает что делать с пакетом. Например неизвестный протокол или отсутствие маршрута. IP Unreachables может использоваться злоумышленником для сканирования сети.
    no ip unreachables
  • Disable IP Mask Reply - тоже приблуда ICMP, которая может использоваться злоумышленником для сканирования сети.
    no ip mask-reply
  • Enable Unicast RPF on Outside Interfaces - Reverse Path Forwarding (RPF) это функция когда роутер выполняет следующие действия:
    1. У каждого входящего пакета считывает source address.
    2. Проверяет маршрут до этого source address, а точнее исходящий интерфейс
    3. Если интерфейс, через который пакет прибежал не совпадает с вычисленным исходящим интерфейсом, пакет дропается.

    Unicast RPF on Outside Interfaces позволяет предотвращать IP spoofing.

    ip verify unicast reverse-path
  • Enable Firewall on All of the Outside Interfaces - IOS firewall способен осуществлять фильтрацию пакетов, а также session tracking.
    ИМХО IOS firewall достаточно муторная вещь, по сути попытка повторить то что было сделано в ASA, но сильно обрезано по функционалу и не без глюков касающихся session tracking. Вероятно когда-нибудь это будет доработано до совершенства.
  • Set Access Class on HTTP Server Service and vty Lines - обязательная вещь! Access Class позволяет ограничить IP адреса хостов, с которых можно подключиться к роутеру для HTTP service и vty lines.
    access-list 23 remark Manage Access access-list 23 remark CCP_ACL Category=1 access-list 23 permit 192.168.0.0 0.0.255.255
    line vty 0 4 access-class 23 in exec-timeout 480 0 login authentication local transport input ssh line vty 5 15 access-class 23 in exec-timeout 480 0 login authentication local transport input ssh
    ip http access-class 23 ip http authentication local ip http secure-server
  • Enable SSH for Access to the Router - SSH - предпочтительный метод для доступа к роутеру, поскольку сессия защищена шифрованием.
    ip ssh version 2 ip domain name my_domain_name crypto key generate rsa
  • Enable AAA - Cisco IOS Authentication, Authorization, and Accounting (AAA) обеспечивает все названные функции, которые безусловно важны для безопасности.
    Также рекомендуется использование Cisco ACS Server, см. Установка и настройка ACS 5

доп инфа http://www.cisco.com/c/en/us/td/docs/routers/access/cisco_router_and_sec...

Добавить комментарий

Filtered HTML

  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Допустимые HTML-теги: <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd>
  • Строки и абзацы переносятся автоматически.

Plain text

  • HTML-теги не обрабатываются и показываются как обычный текст
  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Строки и абзацы переносятся автоматически.
CAPTCHA
Этот вопрос задается для того, чтобы выяснить, являетесь ли Вы человеком или представляете из себя автоматическую спам-рассылку.
Target Image