Pull to refresh
  • by relevance
  • by date
  • by rating

Обширная уязвимость (DoS) на PIX/ASA

Cisco *
Хотелось бы предупредить владельцев PIX/ASA (пока не грянул гром) о достаточно обширной уязвимости (DoS):
www.cisco.com/warp/public/707/cisco-sa-20090408-asa.shtml
(в той части, которая называется «Crafted TCP Packet DoS Vulnerability»).

Уязвимость вполне реальна и воспроизводима любым script-kiddie, что не может не печалить. Cкрипт, приведенный на milw0rm-е, валит (в невменяемое состояние) почти любую PIX/ASA буквально через 5-7 минут.
Подвержены влиянию открытые в интернет TCP-порты следующих служб:
SSL VPNs
— ASDM Administrative Access
— Telnet Access
SSH Access
— cTCP for Remote Access VPNs
— Virtual Telnet
— Virtual HTTP
— TLS Proxy for Encrypted Voice Inspection
— Cut-Through Proxy for Network Access
— TCP Intercept

Вчера fixed-версии софта стали доступны через официальный CCO, до этого с момента опубликования Security Advisory они были доступны только через PSIRT.
Total votes 6: ↑6 and ↓0 +6
Views 1.7K
Comments 0

Почему Cisco?

Cisco *
Автор этой статьи — Сергей Фёдоров, инструктор cisco, CCIE Security #22974. Если статья вызовет интерес, автор получит инвайт на Хабр. Далее — от его лица (с моими врезками).
UPD. Задача поста — донести до интересующихся факт наличия компании Cisco, и, возможно, лицезреть автора статьи как эксперта в майском фуршете.
UPD2. Сергей Федоров — хабраюзер, если кто не заметил :) Вот: fedia. Поприветствуем :)


Почему Cisco? Такой главой начинается курс по продажам Cisco. Назову так своё коротенькое эссе и я.

Итак, почему же Cisco? Что такого в этом магическом слове из 5 маленьких букв? Неужели нет ничего лучше?
Спросите любого администратора, продавца, интегратора – каждый блеснет тем, что знает случай, когда существует то или иное решение, которое проще, дешевле, лучше, производительнее, чем решение от Cisco…
Вот только шаг влево, шаг вправо от этого замечательного решения, и становится гораздо труднее подыскать замену…
Постараюсь коротенько описать, в чем же сильные стороны решений «от Cisco».

Охват. У решений Cisco нет конкурентов по этому параметру. Наиболее широкая линейка по всем сетевым решениям, от рынка SOHO до провайдерских решений, от небольших, но функциональных маршрутизаторов, до систем управления сетями крупных предприятий.

Основные направления:
  1. Многофункциональные маршрутизаторы
  2. Мощные, умные коммутаторы
  3. Устройства активной защиты – ASA, ACE
  4. Системы предотвращения вторжений – IPS
  5. Системы централизованного беспроводного доступа
  6. Унифицированные коммуникации (VoIP, видеоконференции, telepresence, системы управления звонками)
  7. Системы централизованной защиты хостов (CSA)
  8. Система контроля доступа (NAC)
  9. И … все, что вы можете придумать ещё :)

А дальше аргументировать?
Total votes 164: ↑98 and ↓66 +32
Views 25K
Comments 153

Маленькая задачка про ASA с глубоким смыслом :)

Cisco *
Мне часто задают очень похожие вопросы и я решил оформить их в виде задачки. Она не сложная, но надо знать, как это делается. После взлома головы, если вдруг не решите — расскажу непременно!

Итак, задачка:

Смотрим картинку:
image

Пусть есть ASA с версией ОС 8.0(4) как IPSec VPN концентратор. К ней подключаются клиенты. (Как вариант, это могут быть и компьютеры и маленькие железки, работающие как клиенты).

Задача: разрешить подключаться к ASA только из доверительных сетей (вариант: запретить подключаться из недоверительных сетей). Для клиентов из недоверительных сетей не должно происходить подключения вообще.

Пример применения: ваш VPN концентратор валят DoSом из Китая из сети 218.192.0.0/16. Надо запретить попытки подключения компам из этой сети.

Дерзайте!
Total votes 21: ↑16 and ↓5 +11
Views 3.3K
Comments 17

Просили-рассказываем: ASA 8.2 SSLVPN Shared Licenses

Cisco *
Начинаю надеюсь серию публикаций по Вашим просьбам :)
Начну вкратце с новой фичи ASA 8.2 (пусть опять обвинят в рекламе :))

В крупных компаниях часто возникает ситуация, когда точек подключения шифрованных туннелей — несколько. Пользователь подключается к той железке, которая ему ближе (настроена по умолчанию, динамически выбирается). Раньше приходилось на каждую железяку покупать довольно много лицензий. Это была бы небольшая проблема, если бы лицензии стоили недорого. Но удобная технология SSLVPN у циски стоит дорого.
К тому же циска официально объявила тендецию к переводу всех на SSLVPN, вместо IPSec VPN.

В версии ОС 8.2 эта проблема была решена.

Появилась такая фича, как разделяемые лицензии (shared licenses). Их суть в том, что покупается одна пачка лицензий, о ней знает сервер лицензий (АСАшка). Остальные точки подключения (пока только АСАшки, но впоследствии и рутеры) по необходимости лезут на сервер лицензий и просят себе расширить квоту.

Подробнее читаем под катом

Читать дальше →
Total votes 2: ↑0 and ↓2 -2
Views 4.3K
Comments 5

ASA как она есть. Введение. Чего она не умеет

Cisco *
Предисловие: читая курсы о безопасности cisco (вот уже 7 лет, много как то :)) сталкиваюсь с одними и теми же вопросами. Давно уже хочу излить ответы на бумаге ибо повторять одно и то же уже нет сил :) Поэтому попробую тезисно, емко рассказать об основных особенностях работы cisco ASA, настройке основных технологий с использованием CLI (настройка через web интерфейс при понимании технологии не сложна) а также некоторых дизайнерских моментах. Если не указано явно, то речь идёт об версии ОС 8 и лучше.

Читать дальше →
Total votes 8: ↑7 and ↓1 +6
Views 39K
Comments 21

Руки дошли: продолжаем про ASA

Cisco *
Начнем, пожалуй, с базовых настроек интерфейсов и маршрутизации, а также настройки подключений для удаленного администрирования

Настройка интерфейсов

Cisco ASA является аппаратным межсетевым экраном с инспектированием сессий с сохранением состояния (stateful inspection). ASA умеет работать в двух режимах: routed (режим маршрутизатора, по умолчанию) и transparent (прозрачный межсетевой экран, когда ASAработает как бридж с фильтрацией). Мы познакомимся с работой в первом режиме и далее везде будем его подразумевать, если явно не указан иной режим.
Читать дальше →
Total votes 20: ↑17 and ↓3 +14
Views 184K
Comments 32

ASA: списки доступа (продолжение цикла статей про ASA)

Cisco *
Довольно простая глава. Списки доступа (ACL, Access Control List) – это правила проверки заголовка ip пакета до уровня 4 модели OSI. Списки доступа – это просто конструкции, состоящие из строчек. В каждой строчке – правило разрешить (permit) или запретить (deny). Строчки просматриваются сверху вниз на предмет точного совпадения заголовка пакета со строкой списка доступа. Списки доступа на ASA могут выполнять несколько ролей:

1. Фильтрация на интерфейсе входящего или исходящего трафика
2. Описание правил NAT (Policy NAT)
3. Описание правил редистрибуции маршрутов (в route-map)
4. Критерий попадания в класс трафика для дальнейшей обработки (Modular Policy Framework, MPF)
5. Описание «интересного трафика» для шифрования. Применяется список доступа в crypto map
6. Описание прав удаленного пользователя при подключении через IPSec или SSL VPN
Важно: в конце любого списка доступа стоит невидимое «запретить все» (implicit deny any), поэтому «мимо» списка доступа ни один пакет не пройдет.
Читать дальше →
Total votes 5: ↑5 and ↓0 +5
Views 49K
Comments 7

ASA: заморочки трансляции сетевых адресов. Часть 1. Динамические трансляции

Cisco *
Трансляция сетевых адресов (Network Address Translation, NAT) — это подмена какого-либо адреса или порта в пакете. Она, как правило, требуется на границе между сетью компании и провайдером Интернет. Однако, это далеко не единственная задача. Рассмотрим несколько типичных задач и способы решения при помощи межсетевого экрана ASA.

Для начала определимся с терминами. Как вы уже знаете, на ASA при помощи сравнения уровней безопасности интерфейса-источника и интерфейса-назначения легко определяется направление «наружу» и «внутрь» межсетевого экрана (ситуацию с одинаковыми уровнями безопасности рассмотрим отдельно).
Обычно разделяют внутреннюю (inside) и внешнюю (outside) трансляции. Внутренняя трансляция подменяет адрес источника при выходе «наружу» межсетевого экрана, а внешняя трансляция подменяет адрес источника при проходе «внутрь» МЭ.
Читать дальше →
Total votes 21: ↑19 and ↓2 +17
Views 20K
Comments 12

ASA: заморочки трансляции сетевых адресов. Часть 2. Статические трансляции

Cisco *
Статические трансляции

Статические трансляции, в отличие от динамических, жестко связывают адреса (или адреса с портами). Именно эта их особенность позволяет инициировать сессии как изнутри, так и снаружи МСЭ. Но для того, чтобы раз и навсегда не путаться в написании статических трансляций, я научу вас их «читать» правильно. Итак, формат команды довольно прост:

static ({source_int},{dest_int}) {translated_address} {real_addess}

где
source_int – интерфейс на который приходит пакет
dest_int – интерфейс, с которого пакет пойдёт дальше
real_address – реальный адрес хоста
translated_address – странслированный адрес хоста

И читается трансляция так:
Когда пакет бежит с интерфейса source_int на интерфейс dest_int его адрес ИСТОЧНИКА подменяется с real_address на translated_address.
Когда же пакет бежит в обратном направлении, т.е. приходит на интерфейс dest_int и идет далее через интерфейс source_int его адрес НАЗНАЧЕНИЯ меняется с translated_address на real_address

Читать дальше →
Total votes 6: ↑5 and ↓1 +4
Views 8.4K
Comments 1

ASA. Настройка перехватывающей аутентификации через AD и LDAP

Cisco *
По советам уважаемых хабрачитателей я несколько изменю формат своих публикаций по ASA. Сюда буду писать самое интересное, не утомляя подробным описанием. Полную статью «ASA. Перехватывающая аутентификация» читайте в нашем свежеиспеченном блоге

А здесь я расскажу, как используя ASA, напрямую аутентифицироваться в AD

На МСЭ часто возникает задача проверить пользователя до предоставления ему доступа к определенным ресурсам. На ASA такая проверка называется «перехватывающая аутентификация» (cut-through proxy).

Этот сервис использует инфраструктуру ААА (Authentication, Authorization, Accounting).

Примечание: в английском слове authentication нет слога «фи», который появился в русском «аутентификация» скорее всего из-за созвучия слову «идентификация». Причем, в нашем могучем языке есть и «аутентичность». Без всякого «фи» :) Не попадитесь!

Аутентификация.
Отвечает на вопрос «есть ли такой пользователь». Поиск этого пользователя может производиться как в локальной (LOCAL) базе данных, так и во внешних (TACACS+, RADIUS, AD по протоколу LDAP).
Читать дальше →
Total votes 8: ↑7 and ↓1 +6
Views 17K
Comments 3

Новая версия эмулятора GNS3

Cisco *
imageimage

Приходилось ли Вам когда-либо настраивать маршрутизаторы Cisco? А может Вы сталкиваетесь с подобными задачами ежедневно потому что являетесь тем самым человеком, который отвечает за стабильную и надёжную работу сети передачи данных в Вашей организации? В таком случае, вероятно, у Вас появлялась мысль, как максимально упростить себе жизнь и повысить эффективность своей работы. Подробности ниже.
Читать дальше →
Total votes 34: ↑32 and ↓2 +30
Views 49K
Comments 28

Cisco ASA в GNS3: возможные сценарии и сопутствующие баги

Cisco *
Sandbox
Эмулятору GNS3 на хабре была посвящена не одна статья, и думаю, что многие, кто работает с оборудованием Cisco, сталкивались с необходимостью запуска сетевого оборудования в виртуальной среде для проверки интересующих топологий и решений, при отладке неработающих конфигураций, либо просто при подготовке к сертификации или изучении той или иной технологии.

В последних версиях GNS3 появилась возможность эмуляции такого устройства, как Cisco ASA. Это устройство является многофункциональным межсетевым экраном, может работать в различных режимах (routed/transparent; single/multiple context), применяться в отказоустойчивых конфигурациях (active/standby; active/active) и т.д. В статье приводятся результаты тестирования и выводы, насколько полно поддерживается данный функционал при виртуализации этого устройства в GNS3.
Читать дальше →
Total votes 17: ↑17 and ↓0 +17
Views 26K
Comments 11

Прозрачное проксирование или как подружить Cisco и Squid

Configuring Linux *System administration *Cisco *
Sandbox
По роду своей деятельности, достаточно часто приходилось слышать от счастливых обладателей Cisco ASA в базовом комплекте поставки (без дополнительных дорогостоящих модулей типа CSC-SSM), в принципе как и других SOHO\SMB маршрутизаторов данного производителя, нарекания на достаточно слабые возможности фильтрации URL, проксирования и других вкусностей, которые умеет делать даже самый простенький проски-сервер.

Однако из этого положения есть выход и достаточно простой. В этой статье я вам покажу пример работы связки Cisco ASA5510 + Squid, которая отлично справляется с поставленными задачами.
Читать дальше →
Total votes 11: ↑10 and ↓1 +9
Views 42K
Comments 14

Неожиданный финт Cisco ASA

Information Security *
Сегодня с утра неожиданно открыл для себя что-то новое, но не сильно приятное.
Для кого-то это может быть очевидно, но я, почему-то, раньше не сталкивался. Так что, возможно, кого-то этот короткий пост предостережет от подобных проблем в будущем.

Есть такая топология (ну, конечно, она совсем не такая, но суть отражает):

image

Читать дальше →
Total votes 31: ↑27 and ↓4 +23
Views 32K
Comments 7

Еще одна статья о кэшировании веб-трафика

System administration *Cisco *Network technologies *
Sandbox

Введение, или зачем нужна еще одна статья о WCCP?


Про организацию прозрачного кэширования веб-трафика с использованием протокола WCCP написано много, в том числе есть хорошая статья на хабре. Обычно в этих статьях рассматривается схема, подобная изображенной на рисунке слева.



На первый взгляд, решение обладает сплошными достоинствами: реализация несложна, кэширование выполняется абсолютно прозрачно для пользователей, при отказе прокси-сервера запросы автоматически будут перенаправлены напрямую.

Но всегда ли внедрение WCCP проходит гладко? И если нет, как бороться с возникающими проблемами?

Например, практически во всех статьях упоминается, что сервер кэширования должен находиться в том же сегменте, что и пользователи, но причины этого не уточняются. А как быть, если политика безопасности требует, чтобы все серверы находились в демилитаризованной зоне и были защищены межсетевым экраном (МЭ)?

Недавно пришлось столкнуться с подобным требованием при установке сервера кэширования в сети оператора связи, упрощенная схема которой изображена на заглавном рисунке справа.

Если читателям интересно, какие проблемы встречаются при реализации подобных схем, и как можно обойти ограничения — добро пожаловать.
Читать дальше →
Total votes 22: ↑22 and ↓0 +22
Views 27K
Comments 15

Новое решение Cisco по безопасности следующего поколения (NGFW + NGIPS + AMP)

Cisco corporate blog Information Security *
Итак, свершилось. Компания Cisco анонсировала свое новое решение — FirePOWER for ASA (презентация на русском языке); результат интеграции технологий компании Sourcefire с “родными” решениями Cisco, а точнее с многофункциональной защитной платформой Cisco ASA 5500-X.



Читать дальше →
Total votes 14: ↑10 and ↓4 +6
Views 61K
Comments 19

Двухфакторная аутентификация клиентов Cisco AnyConnect. FreeRadius и Google Authenticator

Information Security *


В предыдущей статье я рассматривал настройку двухфакторной аутентификации пользователей для подключения к корпоративным ресурсам через Cisco AnyConnect на базе Active Directory и Microsoft Azure Multi-Factor Authentication Server (MFAS). Сегодня предлагаю Вам рассмотреть вариант с использованием FreeRadius и Google Authenticator.
Читать дальше →
Total votes 8: ↑8 and ↓0 +8
Views 17K
Comments 8

ARP: Нюансы работы оборудования Cisco и интересные случаи. Часть 1

CBS corporate blog System administration *IT Infrastructure *Cisco *Network technologies *


Привет habr! Каждый будущий инженер в процессе изучения сетевых технологий знакомится с протоколом ARP (Address Resolution Protocol, далее ARP). Основная задача протокола – получить L2 адрес устройства при известном L3 адресе устройства. На заре профессиональной карьеры начинающий специалист, как мне кажется, редко сталкивается с ситуациями, когда нужно вспомнить про существование ARP. Создаётся впечатление, что ARP – это некоторый автономный сервис, не требующий никакого вмешательства в свою работу, и при появлении каких-либо проблем со связью многие по неопытности могут забыть проверить работу ARP.
Читать дальше →
Total votes 9: ↑8 and ↓1 +7
Views 103K
Comments 1

Критическая уязвимость Cisco ASA: В чем проблема, и как защититься

Positive Technologies corporate blog Information Security *


Исследователи компании Exodus Intelligence Дэвид Барксдейл, Джордан Грусковняк и Алекc Уилер обнаружили критическую уязвимость в межсетевых экранах Cisco ASA. Ошибка безопасности позволяет удаленному неавторизованному пользователю осуществлять выполнение произвольного кода или перезагружать устройство.
Читать дальше →
Total votes 12: ↑8 and ↓4 +4
Views 11K
Comments 1
1