Защита сетевого оборудования Cisco

Cisco взлом защита

Современные компании все больше полагаются на сетевые технологии, а Cisco является одним из ведущих поставщиков сетевого оборудования. Однако в сетевом мире безопасность играет решающую роль, и защита сетевого оборудования Cisco становится крайне важной задачей. В статье рассмотрим ключевые аспекты защиты сетевого оборудования Cisco.

Еще по теме: Защита локальной сети используя Wazuh на Raspberry Pi

Защита сетевого оборудования Cisco

Домены отказоустойчивости HSRP & GLBP

Это проп­риетар­ные про­токо­лы Cisco, пред­назна­чен­ные для резер­вирова­ния шлю­зов. Домены HSRP/GLBP могут под­вер­гнуть­ся ата­кам спу­фин­га, и ты к ним дол­жен быть готов. Есть два метода защиты.

Пер­вый метод — выс­тавить мак­сималь­ный при­ори­тет 255. Если в сети уже сущес­тву­ет ACTIVE/AVG-спи­кер с мак­сималь­ным зна­чени­ем при­ори­тета, то инъ­екции ата­кующе­го будут бес­полез­ны и он не смо­жет перех­ватить эти роли для пос­леду­ющей MITM-ата­ки.

HSRP (Master-спи­кер):

GLBP (для AVG-спи­кера отталки­вай­ся от осо­бен­ностей работы про­токо­ла GLBP, там всё слож­нее по срав­нению с HSRP):

Вто­рой метод — исполь­зовать крип­тогра­фичес­кую аутен­тифика­цию. Выбери стой­кую пароль­ную фра­зу для защиты HSRP/GLBP-доменов, что­бы компь­ютер ата­кующе­го не смог вме­шать­ся в домен отка­зоус­той­чивос­ти. К этой про­цеду­ре нуж­но отнестись серь­езно, так как ата­кующий спо­собен прос­лушать пакеты этих про­токо­лов, выдер­нуть крип­тогра­фичес­кий хеш и сбру­тить пароль. Ты не дол­жен это­го допус­тить. Вот как нас­тра­ивает­ся аутен­тифика­ция для этих про­токо­лов.

HSRP:

GLBP:

Кста­ти говоря, обо­рудо­вание Cisco может пох­вастать­ся наличи­ем Keychain-аутен­тифика­ции. Эта нас­трой­ка поз­воля­ет соз­дать цепоч­ку из нес­коль­ких клю­чей и даже нас­тро­ить спе­циаль­ные вре­мен­ные про­межут­ки, в рам­ках которых клю­чи будут тран­сли­ровать­ся меж­ду спи­кера­ми. Будь то домен отка­зоус­той­чивос­ти или домен динами­чес­кой мар­шру­тиза­ции. Исполь­зование Keychain-аутен­тифика­ции усложня­ет жизнь ата­кующе­му в нес­коль­ко раз, ведь необ­ходимо сбру­тить все клю­чи, уга­дать их порядок и тай­мин­ги.

Вот при­мер нас­трой­ки Keychain:

По­лучи­лась цепоч­ка из двух клю­чей. Ты можешь при­менить ее, нап­ример, для домена отка­зоус­той­чивос­ти GLBP или для домена мар­шру­тиза­ции EIGRP. Про­демонс­три­рую два при­мера. Вмес­те с цепоч­кой клю­чей будем исполь­зовать MD5.

Нас­трой­ка для защиты домена отка­зоус­той­чивос­ти GLBP:

Нас­трой­ка для защиты домена мар­шру­тиза­ции EIGRP:

SaveMe в кон­це коман­ды — это наз­вание соз­данной цепоч­ки, не перепу­тай.

Та­ким обра­зом мы можем защитить домены отка­зоус­той­чивос­ти и домены мар­шру­тиза­ции, реали­зован­ные на про­токо­лах Cisco. Для EIGRP, кста­ти, не будет лиш­ним исполь­зовать пас­сивные интерфей­сы. Они зап­реща­ют рас­сылку пакетов при­ветс­твия Hello на интерфей­сах внут­ри сети, что лиша­ет ата­кующе­го всех шан­сов воз­дей­ство­вать на домен мар­шру­тиза­ции.

Отключение DP

DP (Discovery Protocols) — про­токо­лы, пред­назна­чен­ные для авто­мати­чес­кого обме­на слу­жеб­ной информа­ции меж­ду сетевы­ми устрой­ства­ми. Это облегча­ет сетево­му инже­неру про­цесс траб­лшу­тин­га. Но быва­ют нас­трой­ки, при которых рас­сылка про­токо­лов DP (CDP/LLDP) про­исхо­дит во все сетевые интерфей­сы устрой­ства. Внут­ренний наруши­тель при ана­лизе тра­фика может перех­ватить эти пакеты и узнать дос­таточ­но чувс­тви­тель­ную информа­цию об устрой­стве: вер­сию про­шив­ки, тип модели, адре­сацию и про­чее.

Ре­комен­дует­ся вык­лючать DP-про­токо­лы на пор­тах конеч­ных стан­ций. Одна­ко если в сег­менте есть IP-телефо­ния, необ­ходимо с осто­рож­ность вык­лючать про­токо­лы на этих пор­тах, так как DP так­же исполь­зуют­ся для работы IP-телефо­нии (VoIP):

Выключение DTP и смена NVLAN

DTP — это, на мой взгляд, рак ком­мутато­ров Cisco. Бес­полез­ный про­токол, пред­лага­ющий авто­мати­чес­кую сис­тему тран­кинга, которая ухуд­шает дизайн сети. Сеть в резуль­тате ста­новит­ся менее пред­ска­зуемой. Сетевой инже­нер сам дол­жен решать, где дол­жен быть транк‑порт, и явно его нас­тра­ивать.

Ис­поль­зование это­го про­токо­ла ста­вит под удар безопас­ность сег­мента, потому что если адми­нис­тра­тор про­зева­ет наличие дефол­тных пор­тов ком­мутато­ров Cisco (которые еще и вклю­чены по умол­чанию), то ата­кующий может под­клю­чить­ся к ком­мутато­ру, отпра­вить кадр DTP Desirable и тем самым обой­ти VLAN-сег­мента­цию на ком­мутато­ре.

Так­же сто­ит упо­мянуть о спе­цифи­чес­ком век­торе ата­ки Double Tagging. Для сов­ремен­ных инфраструк­тур эта ата­ка ско­рее теоре­тичес­кая и работа­ет, если при­сутс­тву­ет дефол­тный Native VLAN 1. Поэто­му всег­да сто­ит менять зна­чение Native VLAN (NVLAN) на любое дру­гое. Кста­ти говоря, Native VLAN — это спе­циаль­ный VLAN, куда пада­ет нетеги­рован­ный тра­фик.

Что­бы вык­лючить DTP, нуж­но в пер­вую оче­редь перевес­ти пор­ты ком­мутато­ра в режим дос­тупа, а так­же вык­лючить сам DTP:

Так­же рекомен­дует­ся про­вес­ти эну­мера­цию неис­поль­зуемых пор­тов ком­мутато­ра, соз­дать для них спе­циаль­ный VLAN, а‑ля «VLAN Shutdown 666», и перемес­тить их туда, а затем перевес­ти в вык­лючен­ное сос­тояние. Таким обра­зом умень­шит­ся веро­ятность несан­кци­они­рован­ного под­клю­чения в сеть.

Риски при интеграции использованных ранее коммутаторов Cisco

Ес­ли тебе нуж­но уста­новить ранее исполь­зован­ный ком­мутатор Cisco в дру­гую сеть, обя­затель­но про­верь сос­тояние VTP на этом устрой­стве. VTP поз­воля­ет цен­тра­лизо­ван­но управлять базой дан­ных VLAN, и акту­аль­ность этой базы отсле­жива­ется по номеру ревизии. Если получит­ся так, что на ста­ром ком­мутато­ре Cisco номер ревизии VTP боль­ше, то кадр с номером ревизии может рас­простра­нить­ся по тран­ковым каналам (а на ком­мутато­ре могут быть дру­гие сети VLAN). Из‑за это­го текущие ком­мутато­ры обно­вят свои БД VLAN, и может воз­никнуть сетевой паралич.

Всег­да про­веряй нас­трой­ки VTP на ста­ром обо­рудо­вании, которое хочешь помес­тить в сеть. Ты можешь сбро­сить номер ревизии, если изме­нишь имя VTP-домена на любое дру­гое и пос­тавишь тре­буемое.

Так­же можешь перек­лючить ком­мутато­ры в режим VTP Transparent, они не учас­тву­ют в про­цес­сах VTP.

Безопасность линии VTY

Тер­миналь­ные линии VTY поз­воля­ют под­клю­чать­ся к сетево­му обо­рудо­ванию уда­лен­но (SSH/Winbox/HTTP/API). Одна­ко быва­ет, что VTY не защище­ны с помощью ACL, поз­воля­ющих филь­тро­вать под­клю­чения к VTY толь­ко из опре­делен­ных Management-под­сетей, которые исполь­зуют адми­нис­тра­торы для управле­ния обо­рудо­вани­ем.

Хо­рошая прак­тика — исполь­зовать кон­цепцию fail2ban внут­ри инфраструк­туры. Вдруг один из админ­ских компь­юте­ров будет заражен тро­яном, который най­дет служ­бы SSH/HTTP на обо­рудо­вании и нач­нет брут­форсить их? Так­же на служ­бах SSH желатель­но исполь­зовать аутен­тифика­ции по клю­чу и зап­рет вхо­да по паролю.

Вот при­мер прос­того ACL, который защища­ет линии VTY и раз­реша­ет под­клю­чение толь­ко из ука­зан­ной под­сети:

Стро­ка access-class 10 in при­вязы­вает этот ACL к лини­ям 0–15.

Пароли Cisco IOS

У Cisco IOS есть проб­лемы с безопас­ностью хра­нения паролей внут­ри опе­раци­онной сис­темы. Не рекомен­дует­ся исполь­зовать типы паролей 4, 5 и 7, так как они под­разуме­вают шиф­рование SHA-256, MD5 и Vigenere Cipher соот­ветс­твен­но. Брут­форс таких паролей не сос­тавля­ет тру­да, а для типа 7 нужен прос­то дешиф­ратор ciscot7.

Луч­шая прак­тика — исполь­зовать TYPE 8, TYPE 9 (PBKDF2, SCRYPT), а так­же AAA (Authentication, Authorization, Accounting) для цен­тра­лизо­ван­ного управле­ния учет­ными запися­ми (RADIUS or TACACS+).

На при­мере TYPE 8:

В TYPE 8 исполь­зуют­ся SHA-256, 80-бит­ная соль и 20 000 ите­раций, что дела­ет этот тип хеширо­вания дос­таточ­но безопас­ным для защиты паролей. Сбру­тить их будет очень слож­но.

Безопасность при работе с SNMP

Ес­ли ата­кующий сбру­тит стро­ку SNMP RW, то это поз­волит ему про­читать нас­трой­ки с мар­шру­тиза­тора и узнать край­не чувс­тви­тель­ную информа­цию об инфраструк­туре (IP-адре­сация, кон­фигура­ция интерфей­сов, учет­ные записи и пароли в хеширо­ван­ном виде). С этой информа­цией у ата­кующе­го есть все шан­сы про­ник­нуть внутрь инфраструк­туры и про­дол­жить прод­вижение по сети.

Есть два вари­анта решения этой проб­лемы:

Ус­тановить стой­кую RW-фра­зу, которую будет край­не тяжело сбру­тить.
Ог­раничить сетевой дос­туп к UDP/161 путем нас­трой­ки ACL-лис­тов. Пусть этот порт учас­тву­ет толь­ко во вза­имо­дей­ствии с легитим­ным SNMP-сер­вером.

Нас­трой­ка новой RW-стро­ки:

Пе­ред нас­трой­кой RW-стро­ки обя­затель­но про­веряй связ­ность меж­ду обо­рудо­вани­ем Cisco и SNMP-сер­вером.

И вто­рое решение — исполь­зование ACL. Вот при­мер такого ACL, здесь раз­реша­ется толь­ко один адрес (адрес самого SNMP-сер­вера). Адап­тируй этот метод под свой мар­шру­тиза­тор, где навер­няка есть ACL, так как на интерфейс роуте­ра мож­но уста­новить толь­ко один ACL-лист.

Осторожность при фильтрации ICMP

Бло­киро­вать ICMP в сетевой инфраструк­туре — гру­бая ошиб­ка. Во‑пер­вых, из‑за это­го про­падет воз­можность про­водить диаг­ности­ку: пин­ги и traceroute работать не будут. Во‑вто­рых, сис­тема PMTUD перес­танет работать, так как сущес­тву­ет за счет работы ICMP Type 3. Бла­года­ря PMTUD мож­но избе­жать избы­точ­ной фраг­мента­ции, а это, в свою оче­редь, вли­яет на ско­рость переда­чи дан­ных.

Филь­труй ICMP гра­мот­но, отсе­кай толь­ко ненуж­ные тебе типы.

No Full Cone NAT

NAT в сетях нас­тра­ивают час­то, одна­ко тут есть нес­коль­ко под­видов нас­тро­ек: Full Cone, Symmetric, Restricted и Port Restricted. Мы оста­новим­ся на пер­вом вари­анте, так как он вызыва­ет боль­ше все­го проб­лем с безопас­ностью.

При Full Cone NAT вхо­дящие пакеты от любого внеш­него хос­та будут перенап­равлять­ся соот­ветс­тву­юще­му хос­ту в локаль­ной сети, если в таб­лице NAT при­сутс­тву­ет соот­ветс­тву­ющая запись. Более того, номер пор­та источни­ка в этом слу­чае не име­ет зна­чения — он может быть и 53, и 54, и вооб­ще каким угод­но, в этом виде NAT про­веря­ется толь­ко порт наз­начения, адрес наз­начения и L4-про­токол.

Ес­ли ата­кующий будет находить­ся за NAT, он смо­жет про­ник­нуть внутрь инфраструк­туры бла­года­ря обыч­ным ста­тичес­ким мар­шру­там сквозь пог­ранич­ный роутер, так как из‑за осо­бен­ностей Full Cone NAT его тра­фик будет мар­шру­тизи­рован внутрь.

No Port Forward

Проб­рос пор­тов на пер­вый взгляд кажет­ся очень удоб­ным решени­ем, если нуж­но быс­тро орга­низо­вать устрой­ству дос­туп в интернет. Одна­ко это негатив­но ска­зыва­ется на безопас­ности сети, так как проб­рошен­ный порт лег­ко обна­ружить, учи­тывая ско­рость сов­ремен­ных порт‑ска­неров. Если такое устрой­ство будет взло­мано, то ата­кующий смо­жет про­вес­ти пивотинг внутрь инфраструк­туры и эска­лиро­вать свое при­сутс­твие в ском­про­мети­рован­ной сети.

Ре­комен­дует­ся отка­зать­ся от проб­роса пор­тов и вмес­то это­го исполь­зовать VPN-сер­вер.

Защита от UPnP-инъекций

UPnP (Universal Plug and Play) — груп­па про­токо­лов, которые поз­воля­ют компь­юте­рам с помощью спе­циаль­ных зап­росов получать дос­туп в интернет. Исполь­зование UPnP — небезо­пас­ная прак­тика, пос­коль­ку ата­кующий может най­ти порт UPnP и с помощью спе­циаль­ных зап­росов открыть для себя дос­туп к хос­там за пог­ранич­ным мар­шру­тиза­тором (нап­ример, через Metasploit Framework).

Ре­комен­дую отклю­чить UPnP на сетевом обо­рудо­вании во избе­жание рис­ка взло­ма внеш­него перимет­ра.

Заключение

Нес­мотря на то что я сде­лал акцент на Cisco IOS, все эти механиз­мы защиты реали­зова­ны у боль­шинс­тва вен­доров сетево­го обо­рудо­вания. При­меняй эти тех­ники у себя, но будь осто­рожен: с нас­трой­ками безопас­ности час­то есть шанс «выс­тре­лить себе в ногу» и нарушить нор­маль­ную работу сети.

Эффективная защита сетевого оборудования Cisco требует системного подхода и постоянного внимания. Следуя вышеуказанным рекомендациям, вы сможете обеспечить надежную защиту вашей сети от современных киберугроз. В конечном итоге, инвестиции в безопасность сегодня – это гарантия спокойствия завтра.

ПОЛЕЗНЫЕ ССЫЛКИ:

Дима (Kozhuh)

Эксперт в кибербезопасности. Работал в ведущих компаниях занимающихся аналитикой компьютерных угроз. Анонсы новых статей в Телеграме.

Добавить комментарий