Сканирование Cisco IOS в MaxPatrol Сафронов Илья

Whats the deal? Безопасность сетевых устройств (Cisco IOS) Стандарты безопасности Контроль за соответствием стандартам безопасности

Cisco security hardening Комплексный подход к безопасности устройств Cisco. Management Plane (управляющий IOSом трафик (SSH, SNMP)) Control Plane (трафик управления сетью (BGP, STP)) Data Plane ( проходящие сквозь устройство данные)

Security benchmarking -CIS Рекомендации и стандарты по безопасности оборудования и ПО.

CIS – Cisco IOS Бенчмарк по безопасности для Cisco IOS

CIS – Cisco IOS Группы проверок: AAA SNMP Global services (CDP, DHCP, HTTP) Logging Neighbor authentication (EIGRP, OSPF, RIP)

Как проверить? Max Patrol

Чего бояться?

Проверка SNMP

Настройки на устройстве

Угроза – Snmpwalk enumeration

Угроза - Копирование файла конфигурации через SNMP TFTP-сервер snmpset -v 1 -c private integer 1 snmpset -v 1 -c private integer 4 snmpset -v 1 -c private integer 1 snmpset -v 1 -c private address. snmpset -v 1 -c private string victim-config snmpset -v 1 -c private integer 1 ///Возврат модифицированного файла конфигурации (startup-config) //обратно на устройство snmpset -v 1 -c private integer 1 snmpset -v 1 -c private integer 1 snmpset -v 1 -c private integer 3 snmpset -v 1 -c private address. snmpset -v 1 -c private string victim-config snmpset -v 1 -c private integer 1 //Перезагрузка устройства для применения изменений

Решение?

Проверка finger

Настройки на устройстве

Угроза – login enumeration

Решение?

Проверка HTTP

Настройки на устройстве

Угроза – кража учетных данных

Решение ?

Проверка CDP

Настройки на устройстве

Угроза - Enumeration через CDP

Решение ?

Аутентификация OSPF

Настройки на устройстве

Угроза – «Отравление» таблиц маршрутизации

Решение?

Кастомный стандарт Не нравится / не подходит стандарт? Собери свой!

Заключение Защищайте свои сетевые устройства Следите за стандартами безопасности Регулярно проводите аудит сети

Конец рассказа Спасибо за внимание Сафронов Илья