CCNA Security a gyakorlatban

CCNA Security a gyakorlatban Segyik István – rendszermérnök Cisco Technology Solutions Network (TSN) E-mail: [email protected]

CCNA Sec. Gyak.

© 2009 Cisco Systems, Inc. All rights reserved.

Cisco Public

Chapter 1., 9. – A biztonság több, mint IOS, több mint technológia IOS, ASA, IronPort, IPS, IDS... Technikai kontrollok csupán. Vannak még fizikai- és adminisztratív-, valamint egyéb technikai kontrollok is..

Fentieket és elméleti metódusokat oktatja az ISC2 a CISSP keretein belül. Gyakorlati metódusokat és más hasznos dolgokat pedig leginkább SANS tréningeken tanulahtunk. CCNA Sec. Gyak.


Cisco Public

2

Chapter 1. – A Hacker nem tisztel sem minket, sem az otthonunkat! 037632: *Feb 9 20:18:08.776 CET: SSH2 0: input: padlen 5 037633: *Feb 9 20:18:08.776 CET: SSH2 0: received packet type 50

Slammer (2003). A terjedését egy csomó nyitva hagyott SQL port (1434/udp) segítette!!! Tőzfal?

037634: *Feb 9 20:18:08.780 CET: SSH0: password authentication failed for fruzsina

037635: *Feb 9 20:18:08.780 CET: SSH0: AAA authentication fail reason: Password: received 037595: *Feb 9 20:18:07.044 CET: SSH2: kex: client->server aes128-cbc hmac-sha1 none 037596: *Feb 9 20:18:07.044 CET: SSH2: kex: server->client aes128-cbc hmac-sha1 none 037597: *Feb 9 20:18:07.064 CET: SSH2 0: expecting SSH2_MSG_KEXDH_INIT 037598: *Feb 9 20:18:07.580 CET: SSH2 0: ssh_receive: 144 bytes recei 037619: *Feb 9 20:18:08.484 CET: SSH2 0: input: packet len 32

DDoS támadás 2000-ben >90Mbps Internet (DNS) forgalom az MCI Worldcom hálózatán.

037620: *Feb 9 20:18:08.484 CET: SSH2 0: partial packet 16, need 16, maclen 20 037621: *Feb 9 20:18:08.484 CET: SSH2 0: MAC #3 ok

037622: *Feb 9 20:18:08.484 CET: SSH2 0: input: padlen 10

037623: *Feb 9 20:18:08.484 CET: SSH2 0: received packet type 5

037624: *Feb 9 20:18:08.484 CET: SSH2 0: send: len 32 (includes padlen 10) 037625: *Feb 9 20:18:08.484 CET: SSH2 0: done calc MAC out #3

Reconnaisance támadások. Általánosak, otthon is. Védelem: Defense-in-Depth IDS-sel...

037626: *Feb 9 20:18:08.488 CET: SSH2 0: send: len 160 (incl

037636: *Feb 9 20:18:10.780 CET: SSH2 0: send: len 48 (includes padlen 8) 037637: *Feb 9 20:18:10.780 CET: SSH2 0: done calc MAC out #5

037638: *Feb 9 20:18:10.796 CET: %SEC-6-IPACCESSLOGP: list 102 permitted tcp 195.56.111.161(52730) -> 195.56.3.67(22), 1 packet 037639: *Feb 9 20:18:10.800 CET: SSH2 0: send: len 80 (includes padlen 15) 037640: *Feb 9 20:18:10.800 CET: SSH2 0: done calc MAC out #6

Szótár alapú Brute-Force támadás. Akár otthon is, magyar szótárakkal!

037641: *Feb 9 20:18:11.580 CET: SSH1: starting SSH control process

037642: *Feb 9 20:18:11.580 CET: SSH1: sent protocol version id SSH-2.0-Cisco-1.25 037643: *Feb 9 20:18:11.580 CET: SSH0: Session disconnected - error 0x00

037644: *Feb 9 20:18:11.596 CET: SSH1: protocol version id is - SSH-2.0-libssh-0.1 037645: *Feb 9 20:18:11.596 CET: SSH2 1: send: len 280 (includes padlen 4) 037646: *Feb 9 20:18:11.596 CET: SSH2 1: SSH2_MSG_KEXINIT sent 037647: *Feb 9 20:18:11.624 CET: SSH2 1: ssh_receive: 152 bytes r0 037650: *Feb 9 20:18:11.624 CET: SSH2 1: input: padlen 6 037651: *Feb 9 20:18:11.624 CET: SSH2 1: received packet type 20 037652: *Feb 9 20:18:11.624 CET: SSH2 1: SSH2_MSG_KEXINIT received ....

CCNA Sec. Gyak.


Cisco Public

3

CCNA Sec. Gyak.


Cisco Public

4

Chapter 2. Egyszerően fontos... Megfelelı(en védett) authentikáció lényeges. Otthon is! Igen, fontos a banner is mivel BTK 300/C § szerint az elkövetı csak akkor büntethetı, ha figyelmeztetve lett. Mi mást tehetünk még? AAA – errıl késıbb. Control Plane Policing és logging. Secunia, Cisco Alert Center stb. riasztások figyelése.

CCNA Sec. Gyak.


Cisco Public

5

CCNA Sec. Gyak.


Cisco Public

6

Chapter 3. - AAA példa UUNet-nél AAA implementáció a UUNet-nél 2000-ben: Minden ügyfélrouteren CLI Authentikáció és Authorizáció központi RADIUS-ból. Minden gerincrouteren CLI Authentikáció és Authorizáció központi RADIUS-ból. Minden gerincrouteren CLI Accounting központi adatbázisba.

Az Accounting információk cégen belül publikálva... Elhibázott konfiguráció nem maradt titokban ;) Dial-in és VPN hozzáférések teljes AAA kontrol alatt.

CCNA Sec. Gyak.


Cisco Public

7

Chapter 3. – AAA ma Már nem csak szolgáltatói technológia... Már nem csak Dial-in és VPN rendszerekben... Már nem csak WiFi LAN-on... Vezetékes LAN-on is! Az irány: Felhasználók osztályozása. Magasabb szintő biztonság: EAP-TLS, PEAP... Authorizáció dinamikus kondíciók alapján mint: belépés helye- és ideje, hoszt szoftveres megfelelısége, házirendek stb.

CCNA Sec. Gyak.


Cisco Public

8

Chapter 3. – AAA ma, 802.1x / EAP(oL)

WiFi Access Point WiFi kliens EAP-Radius EAPoL

RADIUS szerver

Vezetékes kliens Switch

CCNA Sec. Gyak.


Cisco Public

9

CCNA Sec. Gyak.


Cisco Public

10

Chapter 4. – Cisco Tőzfalak A tananyag csak említi az ASA-t, pedig ár/teljesítmény arányban jobb plusz rugalmassága az IOS ZBPF-hez mérhetı. IOS-ben évek óta van, de még mindig kérdés: jobb-e a Zone Based Policy Firewall, a sima CBAC-nál?

CCNA Sec. Gyak.

Egyszerő CBAC

Zone Based Policy Fw.

Egyszerő...

Komplex konfigurálni.

Több, mint 2 zóna esetén nem alkalmazható hatékonyan. A routert önmagát, mint zónát rugalmatlanul kezeli. Van stateful failover.

Sok zónára is rugalmasan alkalmazható. A router önmaga is egy zóna (Self). Még nincs stateful failover.


Cisco Public

11

Chapter 4. – Router tőzfal teljesítmények G2-es ISR-ek Zone Based Pol. FW teljesítménye: 3900-as sorozat: Max. 800Mbps, 2900-as sorozat: Max. 400Mbps, 1900-as sorozat: Max. 170Mbps.

ASR 1000-es routerek tőzfal teljesítménye: ESP-10: 10Gbps, ESP-20: 20Gbps. A Quantum Flow processzor emellett teljes accounting-ot, és Netflow 9-es adatgyőjtést végez!

CCNA Sec. Gyak.


Cisco Public

12

CCNA Sec. Gyak.


Cisco Public

13

Chapter 5. – IDS, IPS? IOS IPS-en túl van még: 4200-as dedikált IPS/IDS appliance. ASA, Catalyst 6500 és ISR IPS/IDS modulok.

Policy Template-ek, anomália felismerés és mintázatok együtt hatékonyak. Global Correlation mehanizmus + Threat Operation Center (humán kontroll) az új trend. IPS vagy IDS? A legtöbb esetben hangolás kérdése. AZ IOS implementáció kevésbbé alkalmas IDS-nek.

CCNA Sec. Gyak.


Cisco Public

14

Chapter 5. – IDS legjobb helye (Defense in Depth)

Internet

„Dirty DMZ”

LAN

Out of Band Command&Control

CCNA Sec. Gyak.


Cisco Public

15

CCNA Sec. Gyak.


Cisco Public

16

Chapter 6. – Enterprise security? GO SAFE! Sokkal több LAN switch biztonsági beállítás is létezik Van még csomó kritikus pont, pl. Wireless biztonság stb. Remek biztonsági architektúra tervezési útmutatók, minta konfigurációkkal:

www.cisco.com/go/safe

CCNA Sec. Gyak.


Cisco Public

17

CCNA Sec. Gyak.


Cisco Public

18

Chapter 7. – Titkosítás elmélet Jó tisztában lenni a technológiákkal. Azért, mert: Egyre több nem kifejezetten biztonsági termékben is be van ott van, pl. IP Telefónia esetén: Titkosított jelzésrendszer (jellemzıen SSL). Titkosított média: SRTP (AES). Titkosított és integritás ellenırzött konfigurációs és firmware állományok. Végpontok azonosítása (jellemzıen PKI).

CCNA Sec. Gyak.


Cisco Public

19

CCNA Sec. Gyak.


Cisco Public

20

Chapter 8. – VPN az életben Az egyszerő IPSec tunnel-ek továbbra is alapjai a telephelyek közötti implementációknak. Mára általános az IPSec dinamikus alkalmazása: GET VPN: IPSec + GDOI kombináció, inkább MPLS felett. DMVPN: IPSec + NHRP kombináció, inkább Internet felett.

Mobil felhasználás trendjei: Jelenleg elterjedt az IPSec alapú- kliens szoftveres. Az SSL rohamosan fejlıdik, fıleg a kliens nélküli implementációk. Mobil eszközök támogatása kritikus. Pl. iPhone, Windows Mobile, Nokia (Symbian) az ASA-ban.

CCNA Sec. Gyak.


Cisco Public

21

Chapter 8. – DMVPN példa A bemutatott példa egy közel 100 telephelyes DMVPN hálózat. Minden telephely közvetlenül is beszélhet egymással (természetesen IPSec-kel). Telephelyenként (beleértve a központot is) csak 1 tunnel-t kell konfigurálni (+ kis routing, + kis NHRP ;). Bolt n.

Bolt 89.

Bolt 1.

Pécs

CCNA Sec. Gyak.


Cisco Public

22

CCNA Sec. Gyak.


Cisco Public

23

CCNA Security a gyakorlatban

Recommend Documents