Так уже повелось, что для прежнего экзамена CCNA или как сейчас он называется CCNA Routing&Switching хватает софта из Cisco Networking Academy (Diccovery and Exploration) Cisco Packet Tracer, однако для отраслевых сертификаций он уже не подойдет. В этом случае, если, конечно, у Вас нет под рукой физического стенда, подойдет GNS3. Взглянем на темы экзамена CCNA Security. Понимаем что вопросами исключительно по IOS дело не обойдется: CCP, ASA, IPS. Что нужно? Правильно сконфигурированный стенд!
Итак, в одну корзинку кладем:
- PC host — CCP, ASDM, Kali — virual_box образы
- IOS Switch — в GNS не реализован, поэтому используем образ cisco 3745 с модулем NM-16ESW. В этом случае он будет функционировать как Switch L3 (Catalyst 3560)
- Router с функционалом Zone-based Firewall — образ IOS c3725-adventerprisek9-mz124-15.bin
- Cisco ASA — asa842 (kernel и initrd)
- Cisco IPS
Вот что-то такое должно быть…
Виртуальные машины на virtual_box уже вшиты в GNS (Preferences-VirtualBox-VirtualBox Guest). Осталось собрать их необходимое количество. Да, уточнение, одна виртуальная «реальная» машина, один хост в GNS.
Далее идем в IOS images & hypervisors и добавляем нужные нам образы IOS и вычисляем Idle PC, чтобы ваш железный друг не загнулся, когда вы включите эмуляцию сети.
И наконец добавляем ASA: Preferences-Qemu-ASA 8.4.2 — Qemu options: -vnc none -vga none -m 1024 -icount auto -hdachs 980,16,32 — Kernel cmd line: -append ide_generic.probe_mask=0x01 ide_core.chs=0.0:980,16,32 auto nousb console=ttyS0,9600 bigphysarea=65536.
Распаковать все образы IOS можно при помощи 7-zip. Иииии…
Ну вы уже догадались, что XP-это локальная сеть, 7-DMZ, backtrack-внешняя сеть.
С чего нам предлагают начать излучении реализации безопасности на основе IOS?
Как ни удиветельно с понятий, используемых в курсе:
- C3PL – Cisco classification common policy language
- Class maps – identify traffic (ftp, http)
- Policy maps – action to take (drop, prioritize)
- Service policies – where PM to do
Когда с понятиями разобрались, рассмотрим классические методы защиты.
Команда Enable имеет наивысший уровень привилегий (default privilege level = 15) 15 – max, 1 – min = disable. Никогда не используйте команду enable password. Для других настраиваемых уровнях привилегий необходимо использовать
enable secret level 4 0 pass4level privilege exec level 4 ping Для скрытия plain-text паролей используйте service password-encryption. Командой who или show users – посмотреть кто подключился к устройству.
Для хранения пользователей и паролей в IOS можно использовать local database:
username admin priv 15 sec 0 pass123 username user1 priv 4 sec 0 pass1user line console 0 login local line vty 0 4 login local Для enterprise можно использовать AAA-server. AAA – Authen: кто?, Author: что может делать или не может? Account: отслеживание действий.
conf t enable secret level 15 0 cisco123 username admin priv 15 sec 0 pass123 username user1 priv 4 sec 0 pass1user aaa new-model aaa authen login default local aaa author exec default local – не применяется к консольному порту по умолчанию aaa author console – готово и для консоли И еще пару полезных параметров, которые необходимо учитывать
security passwords min-length 8 aaa local authen attempts max-fail 3 sh aaa local user lockout clear aaa local user lockout all login block-for 300 attempts 10 within 60 Если вы хотите подключаться к устройству в защищенном режиме необходимо настроить ssh:
ip domain-name ca.com crypto key generate rsa modus 1024 ip http secure-server line vty 0 4 transport input ssh Теперь по плану AAA TACACS+ RADIUS. Характеристики этих протоколов легко можно найти. Лучше их запомнить, вполне возможно они будут на экзамене. Лучшей практикой является применение tacacs+ для администраторов, а radius для внешних пользователей. через vpn.
Т.к. tacacs+ фирменный протокол cisco, настроим его:
enable secret cisco123 username admin priv 15 sec pass123 username user1 priv 1 sec pass1user aaa new-model tacacs-server host 192.168.0.254 tacacs-server key cisco1111 aaa authen login default group tacacs+ local aaa authen login Free none line console 0 login authen Free aaa author commands 1 TAC1 group tacacs+ local aaa author commands 15 TAC15 group tacacs+ local aaa author config-commands aaa account commands 1 TAC1-acc start-stop group tacacs+ Фууух, закончили с паролями. Теперь рассмотрим безопасность канального уровня.
Про CAM или mac-table все слышали. По данной теме рассматриваются такие нарушения как DHCP Snooping, CAM overflow, VLAN hoping.
Как защититься от навязывания ложного DHCP? Вот так:
conf t ip dhcp shooping vlan3 ip dhcp snooping int fa 0/1 ip dhcp shooping trust exit sh ip dhcp snooping binding Теперь посмотрим вариант с переполнением — CAM Overflow. Для заметки (shut / no shut производит сброс таблицы по интерфейсу)
conf t int fa 0/1 switchport mode access swport port-sec max 5 swport port-sec violation shutdown swport portsec !!!не забываем включить!!! errdisable recovery cause psecure-violation errdisable recovery interval 30 sh int status err-diasbled sh port-sec Еще есть такая штука как VLAN Hoping (Jumping). Основные рекомендации по VLAN следующие: никогда не используйте в продакшне vlan1 (присвойте всем портам какой нибудь «редкий» vlan999), отключите все неиспользуемые порты, для доступа применяйте access mode, и отключите динамическое согласование no negotiation trunk (dtp).
sh int fa 0/1 switchport (negot is auto) sh int trunk int fa 0/1 swport mode access swport access vlan3 swport nonegotiate И еще на сладкое BPDU Guard (anti span) — BridgePDU Guard (STP)
spanning-tree portfast default spanning-tree portfast bpduguard default int fa 0/1 spanning-tree portfast spanning-tree portfast bpduguard enable errdisable recovery cause bpduguard Кстати для контроля CAM можно использовать DAI – dynamic arp inspection
Вот в принципе и все, что требуется по IOS. Остальное это использование CCP для маршрутизатора, ASA и ZBF.
Если есть желание, смогу написать заметку и про пользование интерфейсом CCP, т.к. по нему достаточно много вопросов и главное лабораторная на экзамене.
Как вы понимаете данная заметка не для гуру, а для только решивших заняться изучением оборудования Cisco.
P.S.
Справочная информация:
ссылка на оригинал статьи http://habrahabr.ru/post/195558/
Добавить комментарий