CCNA Security a gyakorlatban

Méret: px

Mutatás kezdődik a ... oldaltól:

Download "CCNA Security a gyakorlatban"

Petra Péterné
8 évvel ezelőtt
Látták:

1 CCNA Security a gyakorlatban Segyik István rendszermérnök Cisco Technology Solutions Network (TSN) isegyik@cisco.com

2 Chapter 1., 9. A biztonság több, mint IOS, több mint technológia IOS, ASA, IronPort, IPS, IDS... Technikai kontrollok csupán. Vannak még fizikai- és adminisztratív-, valamint egyéb technikai kontrollok is.. Fentieket és elméleti metódusokat oktatja az ISC 2 a CISSP keretein belül. Gyakorlati metódusokat és más hasznos dolgokat pedig leginkább SANS tréningeken tanulahtunk. 2

Vannak még fizikai- és adminisztratív-, valamint egyéb technikai kontrollok is.

3 Chapter 1. A Hacker nem tisztel sem minket, sem az otthonunkat! : *Feb 9 20:18: CET: SSH2 0: input: padlen 5 Slammer (2003). A terjedését egy csomó nyitva hagyott SQL port (1434/udp) segítette!!! Tőzfal? : *Feb 9 20:18: CET: SSH2 0: received packet type : *Feb 9 20:18: CET: SSH0: password authentication failed for fruzsina : *Feb 9 20:18: CET: SSH0: AAA authentication fail reason: Password: received : *Feb 9 20:18: CET: SSH2: kex: client->server aes128-cbc hmac-sha1 none : *Feb 9 20:18: CET: SSH2: kex: server->client aes128-cbc hmac-sha1 none : *Feb 9 20:18: CET: SSH2 0: expecting SSH2_MSG_KEXDH_INIT : *Feb 9 20:18: CET: SSH2 0: ssh_receive: 144 bytes recei DDoS támadás 2000-ben >90Mbps Internet (DNS) forgalom az MCI Worldcom hálózatán : *Feb 9 20:18: CET: SSH2 0: input: packet len : *Feb 9 20:18: CET: SSH2 0: partial packet 16, need 16, maclen : *Feb 9 20:18: CET: SSH2 0: MAC #3 ok : *Feb 9 20:18: CET: SSH2 0: input: padlen : *Feb 9 20:18: CET: SSH2 0: received packet type : *Feb 9 20:18: CET: SSH2 0: send: len 32 (includes padlen 10) Reconnaisance támadások. Általánosak, otthon is. Védelem: Defense-in-Depth IDS-sel : *Feb 9 20:18: CET: SSH2 0: done calc MAC out # : *Feb 9 20:18: CET: SSH2 0: send: len 160 (incl : *Feb 9 20:18: CET: SSH2 0: send: len 48 (includes padlen 8) : *Feb 9 20:18: CET: SSH2 0: done calc MAC out # : *Feb 9 20:18: CET: %SEC-6-IPACCESSLOGP: list 102 permitted tcp (52730) -> (22), 1 packet : *Feb 9 20:18: CET: SSH2 0: send: len 80 (includes padlen 15) : *Feb 9 20:18: CET: SSH2 0: done calc MAC out #6 Szótár alapú Brute-Force támadás. Akár otthon is, magyar szótárakkal! : *Feb 9 20:18: CET: SSH1: starting SSH control process : *Feb 9 20:18: CET: SSH1: sent protocol version id SSH-2.0-Cisco : *Feb 9 20:18: CET: SSH0: Session disconnected - error 0x : *Feb 9 20:18: CET: SSH1: protocol version id is - SSH-2.0-libssh : *Feb 9 20:18: CET: SSH2 1: send: len 280 (includes padlen 4) : *Feb 9 20:18: CET: SSH2 1: SSH2_MSG_KEXINIT sent : *Feb 9 20:18: CET: SSH2 1: ssh_receive: 152 bytes r : *Feb 9 20:18: CET: SSH2 1: input: padlen : *Feb 9 20:18: CET: SSH2 1: received packet type : *Feb 9 20:18: CET: SSH2 1: SSH2_MSG_KEXINIT received... 3

780 CET: SSH0: password authentication failed for fruzsina 037635: *Feb 9 20:18:08.780 CET: SSH0: AAA authentication fail reason: Password: received 037595: *Feb 9 20:18:07.

4 4

5 Chapter 2. Egyszerően fontos... Megfelelı(en védett) authentikáció lényeges. Otthon is! Igen, fontos a banner is mivel BTK 300/C szerint az elkövetı csak akkor büntethetı, ha figyelmeztetve lett. Mi mást tehetünk még? AAA errıl késıbb. Control Plane Policing és logging. Secunia, Cisco Alert Center stb. riasztások figyelése. 5

Igen, fontos a banner is mivel BTK 300/C szerint az elkövetı csak akkor

6 6

7 Chapter 3. - AAA példa UUNet-nél AAA implementáció a UUNet-nél 2000-ben: Minden ügyfélrouteren CLI Authentikáció és Authorizáció központi RADIUS-ból. Minden gerincrouteren CLI Authentikáció és Authorizáció központi RADIUS-ból. Minden gerincrouteren CLI Accounting központi adatbázisba. Az Accounting információk cégen belül publikálva... Elhibázott konfiguráció nem maradt titokban ;) Dial-in és VPN hozzáférések teljes AAA kontrol alatt. 7

Authorizáció központi RADIUS-ból. Minden gerincrouteren CLI Authentikáció és Authorizáció központi RADIUS-ból.

8 Chapter 3. AAA ma Már nem csak szolgáltatói technológia... Már nem csak Dial-in és VPN rendszerekben... Már nem csak WiFi LAN-on... Vezetékes LAN-on is! Az irány: Felhasználók osztályozása. Magasabb szintő biztonság: EAP-TLS, PEAP... Authorizáció dinamikus kondíciók alapján mint: belépés helye- és ideje, hoszt szoftveres megfelelısége, házirendek stb. 8

.. Vezetékes LAN-on is! Az irány: Felhasználók osztályozása.

9 Chapter 3. AAA ma, 802.1x / EAP(oL) WiFi kliens WiFi Access Point EAPoL EAP-Radius RADIUS szerver Vezetékes kliens Switch 9

10 10

11 Chapter 4. Cisco Tőzfalak A tananyag csak említi az ASA-t, pedig ár/teljesítmény arányban jobb plusz rugalmassága az IOS ZBPF-hez mérhetı. IOS-ben évek óta van, de még mindig kérdés: jobb-e a Zone Based Policy Firewall, a sima CBAC-nál? Egyszerő CBAC Egyszerő... Több, mint 2 zóna esetén nem alkalmazható hatékonyan. A routert önmagát, mint zónát rugalmatlanul kezeli. Van stateful failover. Zone Based Policy Fw. Komplex konfigurálni. Sok zónára is rugalmasan alkalmazható. A router önmaga is egy zóna (Self). Még nincs stateful failover. 11

IOS-ben évek óta van, de még mindig kérdés: jobb-e a Zone Based Policy Firewall, a sima CBAC-nál? Egyszerő CBAC Egyszerő.

Chapter 4. Router tőzfal teljesítmények G2-es ISR-ek Zone Based Pol. FW teljesítménye: 3900-as sorozat: Max. 800Mbps, 2900-as sorozat: Max. 400Mbps, 1900-as sorozat: Max.

12 Chapter 4. Router tőzfal teljesítmények G2-es ISR-ek Zone Based Pol. FW teljesítménye: 3900-as sorozat: Max. 800Mbps, 2900-as sorozat: Max. 400Mbps, 1900-as sorozat: Max. 170Mbps. ASR 1000-es routerek tőzfal teljesítménye: ESP-10: 10Gbps, ESP-20: 20Gbps. A Quantum Flow processzor emellett teljes accounting-ot, és Netflow 9-es adatgyőjtést végez! 12

13 13

14 Chapter 5. IDS, IPS? IOS IPS-en túl van még: 4200-as dedikált IPS/IDS appliance. ASA, Catalyst 6500 és ISR IPS/IDS modulok. Policy Template-ek, anomália felismerés és mintázatok együtt hatékonyak. Global Correlation mehanizmus + Threat Operation Center (humán kontroll) az új trend. IPS vagy IDS? A legtöbb esetben hangolás kérdése. AZ IOS implementáció kevésbbé alkalmas IDS-nek. 14

Policy Template-ek, anomália felismerés és mintázatok együtt hatékonyak.

15 Chapter 5. IDS legjobb helye (Defense in Depth) Internet Dirty DMZ LAN Out of Band Command&Control 15

16 16

17 Chapter 6. Enterprise security? GO SAFE! Sokkal több LAN switch biztonsági beállítás is létezik Van még csomó kritikus pont, pl. Wireless biztonság stb. Remek biztonsági architektúra tervezési útmutatók, minta konfigurációkkal: 17

csomó kritikus pont, pl. Wireless biztonság stb.

18 18

Chapter 7. Titkosítás elmélet Jó tisztában lenni a technológiákkal. Azért, mert: Egyre több nem kifejezetten biztonsági termékben is be van ott van, pl.

19 Chapter 7. Titkosítás elmélet Jó tisztában lenni a technológiákkal. Azért, mert: Egyre több nem kifejezetten biztonsági termékben is be van ott van, pl. IP Telefónia esetén: Titkosított jelzésrendszer (jellemzıen SSL). Titkosított média: SRTP (AES). Titkosított és integritás ellenırzött konfigurációs és firmware állományok. Végpontok azonosítása (jellemzıen PKI). 19

IP Telefónia esetén: Titkosított jelzésrendszer (jellemzıen SSL).

20 20

21 Chapter 8. VPN az életben Az egyszerő IPSec tunnel-ek továbbra is alapjai a telephelyek közötti implementációknak. Mára általános az IPSec dinamikus alkalmazása: GET VPN: IPSec + GDOI kombináció, inkább MPLS felett. DMVPN: IPSec + NHRP kombináció, inkább Internet felett. Mobil felhasználás trendjei: Jelenleg elterjedt az IPSec alapú- kliens szoftveres. Az SSL rohamosan fejlıdik, fıleg a kliens nélküli implementációk. Mobil eszközök támogatása kritikus. Pl. iphone, Windows Mobile, Nokia (Symbian) az ASA-ban. 21

22 Chapter 8. DMVPN példa A bemutatott példa egy közel 100 telephelyes DMVPN hálózat. Minden telephely közvetlenül is beszélhet egymással (természetesen IPSec-kel). Telephelyenként (beleértve a központot is) csak 1 tunnel-t kell konfigurálni (+ kis routing, + kis NHRP ;). Bolt n. Bolt 1. Bolt 89. Pécs 22

23 23

Hasonló dokumentumok

vezeték nélküli Turi János Mérnök tanácsadó Cisco Systems Magyarország Kft. jturi@cisco.com

vezeték nélküli Turi János Mérnök tanácsadó Cisco Systems Magyarország Kft. jturi@cisco.com Biztonság és vezeték nélküli hálózat? Turi János Mérnök tanácsadó Cisco Systems Magyarország Kft. jturi@cisco.com 1 Amiről szó lesz - tervezés Mi az a CVD? Hogyan készül Mire e használjuk áju Vezeték nélküli