CCNA Security a gyakorlatban

CCNA Security a gyakorlatban Segyik István rendszermérnök Cisco Technology Solutions Network (TSN) E-mail: isegyik@cisco.com

Chapter 1., 9. A biztonság több, mint IOS, több mint technológia IOS, ASA, IronPort, IPS, IDS... Technikai kontrollok csupán. Vannak még fizikai- és adminisztratív-, valamint egyéb technikai kontrollok is.. Fentieket és elméleti metódusokat oktatja az ISC 2 a CISSP keretein belül. Gyakorlati metódusokat és más hasznos dolgokat pedig leginkább SANS tréningeken tanulahtunk. 2

Chapter 1. A Hacker nem tisztel sem minket, sem az otthonunkat! 037632: *Feb 9 20:18:08.776 CET: SSH2 0: input: padlen 5 Slammer (2003). A terjedését egy csomó nyitva hagyott SQL port (1434/udp) segítette!!! Tőzfal? 037633: *Feb 9 20:18:08.776 CET: SSH2 0: received packet type 50 037634: *Feb 9 20:18:08.780 CET: SSH0: password authentication failed for fruzsina 037635: *Feb 9 20:18:08.780 CET: SSH0: AAA authentication fail reason: Password: received 037595: *Feb 9 20:18:07.044 CET: SSH2: kex: client->server aes128-cbc hmac-sha1 none 037596: *Feb 9 20:18:07.044 CET: SSH2: kex: server->client aes128-cbc hmac-sha1 none 037597: *Feb 9 20:18:07.064 CET: SSH2 0: expecting SSH2_MSG_KEXDH_INIT 037598: *Feb 9 20:18:07.580 CET: SSH2 0: ssh_receive: 144 bytes recei DDoS támadás 2000-ben >90Mbps Internet (DNS) forgalom az MCI Worldcom hálózatán. 037619: *Feb 9 20:18:08.484 CET: SSH2 0: input: packet len 32 037620: *Feb 9 20:18:08.484 CET: SSH2 0: partial packet 16, need 16, maclen 20 037621: *Feb 9 20:18:08.484 CET: SSH2 0: MAC #3 ok 037622: *Feb 9 20:18:08.484 CET: SSH2 0: input: padlen 10 037623: *Feb 9 20:18:08.484 CET: SSH2 0: received packet type 5 037624: *Feb 9 20:18:08.484 CET: SSH2 0: send: len 32 (includes padlen 10) Reconnaisance támadások. Általánosak, otthon is. Védelem: Defense-in-Depth IDS-sel... 037625: *Feb 9 20:18:08.484 CET: SSH2 0: done calc MAC out #3 037626: *Feb 9 20:18:08.488 CET: SSH2 0: send: len 160 (incl 037636: *Feb 9 20:18:10.780 CET: SSH2 0: send: len 48 (includes padlen 8) 037637: *Feb 9 20:18:10.780 CET: SSH2 0: done calc MAC out #5 037638: *Feb 9 20:18:10.796 CET: %SEC-6-IPACCESSLOGP: list 102 permitted tcp 195.56.111.161(52730) -> 195.56.3.67(22), 1 packet 037639: *Feb 9 20:18:10.800 CET: SSH2 0: send: len 80 (includes padlen 15) 037640: *Feb 9 20:18:10.800 CET: SSH2 0: done calc MAC out #6 Szótár alapú Brute-Force támadás. Akár otthon is, magyar szótárakkal! 037641: *Feb 9 20:18:11.580 CET: SSH1: starting SSH control process 037642: *Feb 9 20:18:11.580 CET: SSH1: sent protocol version id SSH-2.0-Cisco-1.25 037643: *Feb 9 20:18:11.580 CET: SSH0: Session disconnected - error 0x00 037644: *Feb 9 20:18:11.596 CET: SSH1: protocol version id is - SSH-2.0-libssh-0.1 037645: *Feb 9 20:18:11.596 CET: SSH2 1: send: len 280 (includes padlen 4) 037646: *Feb 9 20:18:11.596 CET: SSH2 1: SSH2_MSG_KEXINIT sent 037647: *Feb 9 20:18:11.624 CET: SSH2 1: ssh_receive: 152 bytes r0 037650: *Feb 9 20:18:11.624 CET: SSH2 1: input: padlen 6 037651: *Feb 9 20:18:11.624 CET: SSH2 1: received packet type 20 037652: *Feb 9 20:18:11.624 CET: SSH2 1: SSH2_MSG_KEXINIT received... 3

4

Chapter 2. Egyszerően fontos... Megfelelı(en védett) authentikáció lényeges. Otthon is! Igen, fontos a banner is mivel BTK 300/C szerint az elkövetı csak akkor büntethetı, ha figyelmeztetve lett. Mi mást tehetünk még? AAA errıl késıbb. Control Plane Policing és logging. Secunia, Cisco Alert Center stb. riasztások figyelése. 5

6

Chapter 3. - AAA példa UUNet-nél AAA implementáció a UUNet-nél 2000-ben: Minden ügyfélrouteren CLI Authentikáció és Authorizáció központi RADIUS-ból. Minden gerincrouteren CLI Authentikáció és Authorizáció központi RADIUS-ból. Minden gerincrouteren CLI Accounting központi adatbázisba. Az Accounting információk cégen belül publikálva... Elhibázott konfiguráció nem maradt titokban ;) Dial-in és VPN hozzáférések teljes AAA kontrol alatt. 7

Chapter 3. AAA ma Már nem csak szolgáltatói technológia... Már nem csak Dial-in és VPN rendszerekben... Már nem csak WiFi LAN-on... Vezetékes LAN-on is! Az irány: Felhasználók osztályozása. Magasabb szintő biztonság: EAP-TLS, PEAP... Authorizáció dinamikus kondíciók alapján mint: belépés helye- és ideje, hoszt szoftveres megfelelısége, házirendek stb. 8

Chapter 3. AAA ma, 802.1x / EAP(oL) WiFi kliens WiFi Access Point EAPoL EAP-Radius RADIUS szerver Vezetékes kliens Switch 9

10

Chapter 4. Cisco Tőzfalak A tananyag csak említi az ASA-t, pedig ár/teljesítmény arányban jobb plusz rugalmassága az IOS ZBPF-hez mérhetı. IOS-ben évek óta van, de még mindig kérdés: jobb-e a Zone Based Policy Firewall, a sima CBAC-nál? Egyszerő CBAC Egyszerő... Több, mint 2 zóna esetén nem alkalmazható hatékonyan. A routert önmagát, mint zónát rugalmatlanul kezeli. Van stateful failover. Zone Based Policy Fw. Komplex konfigurálni. Sok zónára is rugalmasan alkalmazható. A router önmaga is egy zóna (Self). Még nincs stateful failover. 11

Chapter 4. Router tőzfal teljesítmények G2-es ISR-ek Zone Based Pol. FW teljesítménye: 3900-as sorozat: Max. 800Mbps, 2900-as sorozat: Max. 400Mbps, 1900-as sorozat: Max. 170Mbps. ASR 1000-es routerek tőzfal teljesítménye: ESP-10: 10Gbps, ESP-20: 20Gbps. A Quantum Flow processzor emellett teljes accounting-ot, és Netflow 9-es adatgyőjtést végez! 12

13

Chapter 5. IDS, IPS? IOS IPS-en túl van még: 4200-as dedikált IPS/IDS appliance. ASA, Catalyst 6500 és ISR IPS/IDS modulok. Policy Template-ek, anomália felismerés és mintázatok együtt hatékonyak. Global Correlation mehanizmus + Threat Operation Center (humán kontroll) az új trend. IPS vagy IDS? A legtöbb esetben hangolás kérdése. AZ IOS implementáció kevésbbé alkalmas IDS-nek. 14

Chapter 5. IDS legjobb helye (Defense in Depth) Internet Dirty DMZ LAN Out of Band Command&Control 15

16

Chapter 6. Enterprise security? GO SAFE! Sokkal több LAN switch biztonsági beállítás is létezik Van még csomó kritikus pont, pl. Wireless biztonság stb. Remek biztonsági architektúra tervezési útmutatók, minta konfigurációkkal: www.cisco.com/go/safe 17

18

Chapter 7. Titkosítás elmélet Jó tisztában lenni a technológiákkal. Azért, mert: Egyre több nem kifejezetten biztonsági termékben is be van ott van, pl. IP Telefónia esetén: Titkosított jelzésrendszer (jellemzıen SSL). Titkosított média: SRTP (AES). Titkosított és integritás ellenırzött konfigurációs és firmware állományok. Végpontok azonosítása (jellemzıen PKI). 19

20

Chapter 8. VPN az életben Az egyszerő IPSec tunnel-ek továbbra is alapjai a telephelyek közötti implementációknak. Mára általános az IPSec dinamikus alkalmazása: GET VPN: IPSec + GDOI kombináció, inkább MPLS felett. DMVPN: IPSec + NHRP kombináció, inkább Internet felett. Mobil felhasználás trendjei: Jelenleg elterjedt az IPSec alapú- kliens szoftveres. Az SSL rohamosan fejlıdik, fıleg a kliens nélküli implementációk. Mobil eszközök támogatása kritikus. Pl. iphone, Windows Mobile, Nokia (Symbian) az ASA-ban. 21

Chapter 8. DMVPN példa A bemutatott példa egy közel 100 telephelyes DMVPN hálózat. Minden telephely közvetlenül is beszélhet egymással (természetesen IPSec-kel). Telephelyenként (beleértve a központot is) csak 1 tunnel-t kell konfigurálni (+ kis routing, + kis NHRP ;). Bolt n. Bolt 1. Bolt 89. Pécs 22

23