использовать. Таблица коммутации заполняется и после этого коммутатор работает как хаб.
Это значит, что после выполнения атаки, подключившись к любому порту коммутатора, можно перехватывать весь трафик в пределах широковещательного домена, которому принадлежит порт.
Это не касается тех записей в таблице коммутации, которые были до начала выполнения атаки. Трафик к компьютерам, MAC-адреса которых уже были в таблице коммутации, отправляется не широковещательно.
Атаку можно выполнить, например, с помощью утилиты macof, которая входит в dsniff.
Атака сама по себе не влияет на работу VLAN, но может быть основой для выполнения последующих атак на VLAN или других типов атак.
Пример выполнения атаки
Сначала на трех коммутаторах почистить таблицы коммутации:
SW_1# clear mac address-table dynamic
После этого начать атаку. Атака с помощью macof утилиты, которая входит в dsniff:
macof -i eth1
После этого коммутатор работает как хаб.
Если пингануть с машины одного студента машину другого или маршрутизатор, то трафик видят все в одном широковещательном домене.
EAP, LEAP, and PEAP — CompTIA Security+ SY0-401: 1.5
Защита от атаки
Функция port security.
STP Manipulation
Отправка BPDU корневого коммутатора:
sudo yersinia stp -attack 4 -interface eth1
BPDU Guard
Перевод в режим portfast всех access портов:
SW_1(config)#spanning-tree portfast default
Посмотреть суммарную информацию о включенных функциях:
SW_1#sh spanning-tree summ Switch is in rapid-pvst mode Root bridge for: VLAN0010 Extended system ID is enabled Portfast Default is enabled PortFast BPDU Guard Default is disabled Portfast BPDU Filter Default is disabled Loopguard Default is disabled EtherChannel misconfig guard is enabled UplinkFast is disabled BackboneFast is disabled Configured Pathcost method used is short Name Blocking Listening Learning Forwarding STP Active ———————- ——— ——— ——— ———- ———- VLAN0001 0 0 0 4 4 VLAN0010 0 0 0 2 2 ———————- ——— ——— ——— ———- ———- 2 vlans 0 0 0 6 6
Посмотреть включен ли portfast на порту:
SW_1#sh spanning-tree interface fa 0/10 portfast VLAN0001 disabled VLAN0010 disabled SW_1#sh spanning-tree interface fa 0/2 portfast VLAN0001 enabled
Включение bpduguard на всех портах portfast:
SW_3(config)#span portfast bpduguard default
Root Guard
The root guard ensures that the port on which root guard is enabled is the designated port. Normally, root bridge ports are all designated ports, unless two or more ports of the root bridge are connected together. If the bridge receives superior STP Bridge Protocol Data Units (BPDUs) on a root guard-enabled port, root guard moves this port to a root-inconsistent STP state. This root-inconsistent state is effectively equal to a listening state.
No traffic is forwarded across this port. In this way, the root guard enforces the position of the root bridge.
1. Cisco ASA Administrator. Что такое межсетевой экран?
Если на интерфейсе не должны появляться сообщения корневого коммутатора, то на нем можно настроить Root Guard:
SW_1(config-if)#spanning-tree guard root
Отличия между STP BPDU Guard и STP Root Guard
BPDU guard and root guard are similar, but their impact is different. BPDU guard disables the port upon BPDU reception if PortFast is enabled on the port. The disablement effectively denies devices behind such ports from participation in STP.
You must manually reenable the port that is put into errdisable state or configure errdisable-timeout.
Root guard allows the device to participate in STP as long as the device does not try to become the root. If root guard blocks the port, subsequent recovery is automatic. Recovery occurs as soon as the offending device ceases to send superior BPDUs.
DHCP attack
DHCP starvation DHCP spoofing
Источник: xgu.ru
Тестирование покажет: как подготовиться к внедрению Cisco ISE и понять, какие фичи системы вам нужны
Как часто вы покупаете что-то спонтанно, поддавшись крутой рекламе, а потом эта изначально желанная вещь пылится в шкафу, кладовке или гараже до очередной генеральной уборки или переезда? Как результат — разочарование из-за неоправданных ожиданий и впустую потраченных денег. Гораздо хуже, когда подобное случается с бизнесом.
Очень часто маркетинговые трюки бывают настолько хороши, что компании приобретают дорогостоящее решение, не видя полной картины его применения. Между тем, пробное тестирование системы помогает понять, как подготовить инфраструктуру к интеграции, какой функционал и в каком объеме стоит внедрять. Так можно избежать огромного числа проблем из-за выбора продукта «в слепую».
К тому же, внедрение после грамотного «пилота» принесет инженерам гораздо меньше разрушенных нервных клеток и седых волос. Разберемся, почему пилотное тестирование так важно для успешного проекта, на примере популярного инструмента для контроля доступа к корпоративной сети — Cisco ISE. Рассмотрим как типовые, так и совсем нестандартные варианты применения решения, которые встречались в нашей практике.
Cisco ISE — «Radius-сервер на стероидах»
Cisco Identity Services Engine (ISE) — это платформа для создания системы контроля доступа к локально-вычислительной сети организации. В экспертном сообществе продукт за его свойства прозвали «Radius-сервером на стероидах». Почему так? По сути решение является Radius-сервером, к которому прикрутили огромное количество дополнительных сервисов и «фишечек», позволяющих получать большой объем контекстной информации и применять полученную совокупность данных в политиках доступа.
Как и любой другой Radius-сервер, Cisco ISE взаимодействует с сетевым оборудованием уровня доступа, собирает информацию обо всех попытках подключения к корпоративной сети и на основе политик аутентификации и
Реже встречаются также такие сценарии использования Cisco ISE, как контроль доступа со сквозной доменной аутентификацией (Passive ID), SGT-based микросегментация и фильтрация, а также интеграция с системами управления мобильными устройствами (MDM) и сканерами уязвимостей (Vulnerability Scanner).
Нестандартные проекты: зачем еще может понадобиться Cisco ISE, или 3 редких кейса из нашей практики
Контроль доступа к серверам на базе Linux
Однажды мы решали довольно нетривиальный кейс для одного из заказчиков, у которого уже была внедрена система Cisco ISE: нам нужно было найти способ контроля пользовательских действий (в основном это были админы) на серверах с установленной ОС Linux. В поисках ответа нам пришла идея задействовать свободное ПО PAM Radius Module, позволяющее осуществлять вход на серверы под управлением Linux с аутентификацией на внешнем радиус-сервере.
Все в этом плане было бы хорошо, если бы не одно «но»: радиус-сервер, отправляя ответ на запрос аутентификации, отдает только имя учетной записи и результат — assess accepted или assess rejected. Между тем, для
Реже встречаются также такие сценарии использования Cisco ISE, как контроль доступа со сквозной доменной аутентификацией (Passive ID), SGT-based микросегментация и фильтрация, а также интеграция с системами управления мобильными устройствами (MDM) и сканерами уязвимостей (Vulnerability Scanner).
Нестандартные проекты: зачем еще может понадобиться Cisco ISE, или 3 редких кейса из нашей практики
Контроль доступа к серверам на базе Linux
Однажды мы решали довольно нетривиальный кейс для одного из заказчиков, у которого уже была внедрена система Cisco ISE: нам нужно было найти способ контроля пользовательских действий (в основном это были админы) на серверах с установленной ОС Linux. В поисках ответа нам пришла идея задействовать свободное ПО PAM Radius Module, позволяющее осуществлять вход на серверы под управлением Linux с аутентификацией на внешнем радиус-сервере.
Все в этом плане было бы хорошо, если бы не одно «но»: радиус-сервер, отправляя ответ на запрос аутентификации, отдает только имя учетной записи и результат — assess accepted или assess rejected. Между тем, для авторизации в Linux нужно назначить как минимум еще один параметр — home directory, чтобы пользователь хотя бы куда-то попал.
Мы не нашли способ отдавать это как радиус-атрибут, поэтому написали специальный скрипт для удаленного создания учетных записей на хостах в полуавтоматическом режиме. Эта задача была вполне осуществима, так как мы имели дело с учетными записями администраторов, количество которых было не столь велико. Дальше пользователи заходили на необходимое устройство, после чего им назначался необходимый доступ. Возникает резонный вопрос: обязательно ли использовать в подобных кейсах именно Cisco ISE? На самом деле нет — подойдет любой радиус-сервер, но так как у заказчика уже была данная система, то мы просто добавили к ней новую фишечку.
Инвентаризация «железа» и ПО в ЛВС
Как-то раз мы работали над проектом по поставке Cisco ISE одному заказчику без предварительного «пилота». Четких требований к решению не было, плюс ко всему мы имели дело с плоской, несегментированной сетью, что усложняло нам задачу. В ходе проекта мы настроили все возможные методы профилирования, которые поддерживала сеть: NetFlow, DHCP, SNMP, интеграция с AD и т.д.
В итоге был настроен доступ по MAR с возможностью зайти в сеть при неудачной аутентификации. То есть даже если аутентификация не была успешной, система все равно пускала пользователя в сеть, собирала информацию о нем и записывала ее в базу данных ISE.
Такой мониторинг сети в течение нескольких недель помог нам выделить подключаемые системы и неперсональные устройства и выработать подход к их сегментации. После этого мы дополнительно настроили посчеринг для установки агента на рабочие станции с целью сбора информации об установленном на них ПО. Что в итоге?
Нам удалось сегментировать сеть и определить список ПО, которое нужно было удалить с рабочих станций. Не стану скрывать, дальнейшие задачи по распределению пользователей по доменным группам и разграничению прав доступа отняли у нас довольно много времени, но таким образом мы получили полную картину того, какое «железо» было в сети у заказчика. К слову, это было несложно за счет хорошей работы профилирования «из коробки». Ну, а там, где профилирование не помогло, мы смотрели сами, выделив порт коммутатора, к которому было подключено оборудование.
Удаленная установка ПО на рабочие станции
Этот кейс один из самых странных в моей практике. Однажды к нам обратился заказчик с криком о помощи — при внедрении Cisco ISE что-то пошло не так, все сломалось, и никто больше не мог получить доступ в сеть. Мы стали разбираться и выяснили следующее.
В компании было 2000 компьютеров, управление которыми за неимением контроллера домена осуществлялось из-под учетной записи администратора. В целях посчеринга в организации внедрили Cisco ISE. Нужно было хоть как-то понять, установлен ли на имеющихся ПК антивирус, обновлена ли программная среда и т.д.
А так как сетевое оборудование в систему заводили ИТ-администраторы, логично, что у них был к ней доступ. Посмотрев, как она работает, и проведя посчеринг своих ПК, админы придумали устанавливать ПО на рабочие станции сотрудников удаленно без личных визитов. Только представьте, сколько шагов так можно сэкономить за день!
Админы провели несколько проверок АРМ на наличие определенного файла в директории C:Program Files, и при его отсутствии запускалась автоматическая ремедиация с переходом по ссылке, ведущей в файловое хранилище на установочный файл .exe. Это позволило рядовым пользователям зайти в файловую шару и скачать оттуда нужное ПО. К сожалению, админ плохо знал систему ISE и повредил механизмы посчеринга — неправильно написал политику, что и привело к проблеме, к решению которой подключили нас. Лично я искренне удивлен столь креативному подходу, ведь гораздо дешевле и менее трудозатратно было бы создать контроллер домена. Но как Proof of concept это сработало.
Больше о технических нюансах, возникающих при внедрении Cisco ISE, читайте в статье моего коллеги «Практика внедрения Cisco ISE. Взгляд инженера».
Артем Бобриков, инженер-проектировщик Центра информационной безопасности компании «Инфосистемы Джет»
Послесловие:
Несмотря на то, что данный пост рассказывает о системе Сisco ISE, описанная проблематика актуальна для всего класса решений NAC. Не столь важно, решение какого вендора планируется к внедрению, — большая часть вышесказанного останется применимой.
Источник: www.pvsm.ru