Подготовка сетевой инфраструктуры для PHD

    Текст Сергея Павлова и Дмитрия Курбатова

    11 мая 2011 года, до форума Positive Hack Days остаётся одна неделя. Всё идёт почти по плану: помещение арендовано, гости приглашены, задания придуманы. Один из спонсоров привёз огромную корзину с блейдами HP, несколько коммутаторов Cisco Catalyst 2960, точки доступа и беспроводной контроллер WLC. Оборудование сложили в виде Пизанской башни, но даже включать не стали. Решили, что пока нет ни одного L3 коммутатора – настраивать считай нечего.

    На следующий день прибыла партия 2960, один Catalyst 3750, коробка патч-кордов и удлинителей. Пришло время начать работу и сделать сеть. На сайте PHD были найдены схемы залов, в которых планировалось проведение форума. Само собой без информации о длине стен в метрах, а лишь с указанием игровых зон и мест проведения семинаров. Через час мозгового штурма был готов первый вариант схемы сети:




    То, что представляла сеть в итоге, имело мало общего с показанным выше наброском. Коллеги, работающие в крупных системных интеграторах, утверждают, что этот парадокс – абсолютная норма и на деле проектирование и внедрение – это два совершенно не связанных друг с другом процесса. Все рисуют схемы для души, а собирают и настраивают уже как получится. Самые опытные говорят, что это не по ГОСТу и так работать нельзя.

    В нашем случае на первоначальном месте остался только коммутатор Catalyst 3750 и логика работы. Так как L3 коммутатор был один, сеть не была отказоустойчивой: 3750 был «ядром» сети, агрегировал LACP-аплинки от коммутаторов доступа и маршрутизировал трафик между VLAN-ами. В качестве коммутаторов доступа использовались шесть или семь штук 2960. Архитектура простая и понятная, больше про неё рассказать нечего.

    К концу дня сложенные в стопку коммутаторы были запутаны в зарослях патч-кордов, однако до шедевров ужастиков СКС эта картина ещё не дотягивала. Параллельно настраивались компоненты беспроводной сети, но закончить и соединить всё воедино решили в пятницу 13-го.



    «Positive Hack Days CTF — это соревнования по защите информации и учувствуют в нём не безобидные студенты!» Примерно так сказал Дима Евтеев, давая нам понять, что было бы неплохо сделать сеть максимально защищённой от возможных действий пользователей.

    Так в настройках коммутаторов появились строки, горячо рекомендуемые производителем сетевого оборудования, но незнакомые большинству сетевых администраторов:

    vtp mode off
    ip dhcp snooping vlan 116-117,150-151,200
    ip arp proxy disable
    ip arp gratuitous none
    service password-encryption
    ip ssh time-out 60
    ip ssh authentication-retries 4
    ip ssh version 2
    interface Vlan100
    ip address 192.168.0.100 255.255.255.0
    no ip redirects
    no ip unreachables
    no ip proxy-arp
    interface FastEthernet0/3
    switchport access vlan 100
    switchport mode access
    switchport port-security maximum 2
    switchport port-security
    switchport port-security aging time 10
    switchport port-security violation restrict
    switchport port-security aging type inactivity
    spanning-tree portfast
    spanning-tree bpduguard enable
    no ip http server
    ip access-list standard Mngt_Access
    permit 172.16.0.0 0.0.0.255 log
    deny any
    line vty 0 4
    access-class Mngt_Access in
    login local
    transport input ssh


    и так далее и тому подобное. Подробнее, как говорится, на cisco.com.

    Пятница 13-е не была бы собой, если бы не преподнесла неприятный сюрприз. Стокилограммовая корзина HP всем сразу не понравилась, нести её из грузовика до офиса было тем ещё развлечением. Второй «положительной» характеристикой устройства после веса оказалось наличие в нём коммутатора HP c-Class GbE2c Switch, которого никто из наших «сетевых» специалистов раньше не видел. И вот пятница, восемь вечера, хочется уйти с работы и забыть дорогу к офису до понедельника, а перед глазами:



    После поиска по сайту производителя появилась возможность ознакомиться с объёмной документацией по продукту, но пересилить себя и разобраться с незнакомой железкой в тот вечер не удалось. Пришлось отложить до понедельника.

    Но было не совсем так. Вечер пятницы. Вернувшись с работы домой мысли были лишь о том, как клево провести выходные. Но неожиданно, чуть ли не в слезах звонит Дима Евтеев, и говорит, вот меня бросили одного, да вы, да я вас… Как оказалась ему нужна была коммутация в каком либо виде. Но из-за того, что trunk между коммутаторами HP и Cisco ну никак подружиться не хотели, пришлось принять очень непростое решение. А именно: совместными усилиями настроили коммутаторы на работу в access режиме, тем самым до понедельника забыв о trunking.

    Понедельник, 16 мая, до PHD три дня, из них один на настройку коммутатора HP, так как 17-го всё оборудование вроде как уезжает на место проведения форума.

    Как внутри корзины связаны блейд-сервера, сам коммутатор и его внешние порты? В корзине четыре сервера, значит надо от коммутатора до сети предоставить хотя бы двух гигабитный аплинк, как? Глаза боятся, а руки делают. Два часа побились головой об стену и в результате заработал EtherChannel с LACP между коммутаторами HP и Catalyst.

    17-го мая железки никуда не уехали, а были оставлены в душной комнате пентестеров проходить тестирование ультрафиолетом от весеннего солнца :)

    Раз временя еще оставалось, решили просканировать все оборудование системой MaxPatrol в режимах Pentest и Audit. О! Как замечательно! На одном из коммутаторов осталась стандартная учетная запись cisco/cisco. Это был бы скандал!

    Моментально удалили эту учетку, и забыли все как страшный сон. На контролере Cisco WLC также «висела» не менее опасная учетка default/default для SNMPv3 с правами read-write.

    Немного о самой беспроводной сети.
    Сама инфраструктура состояла из 2-х компонентов:
    — контроллер управления Cisco Wireless LAN Controller 2106
    — точки доступа: Cisco LAP 1131



    Основной целью беспроводной сети было предоставление доступа к публичной сети Интернет с коммуникаторов, ноутбуков и прочих устройств. Поэтому для беспроводной сети на Cisco WLC был включен DHCP сервер, чтобы для пользователей было все прозрачно: пришел подключился, залез в интернет, увидел свой пароль на «доске позора» ;) Для реализаци и последнего включен port mirroring на коммутаторе 3750.

    18-го мая в 12 дня у стойки ресепшен клуба "Молодая гвардия" собрались, наверно, два самых ответственных сотрудника в PT. Собрались и стали ждать остальных, не подозревая, что почти до самого вчера им придётся работать грузчиками и чернорабочими. К часу дня подтянулись остальные коллеги, приехали грузовые машины со всякой всячиной. Без перерыва на обед, но с постоянными перекурами, специалисты по ИБ, аудиторы, консультанты, аналитики и технический директор разворачивали инфраструктуру PHD на двух этажах клуба. Потребовалось на это часов десять, против запланированных четырёх – пяти, так что расходились по домам уже ближе часу ночи.

    Реальная работа по разворачиванию сети для PHD началась только примерно с 6 часов, поскольку до этого времени интеграторы занимались только подготовкой инфраструктуры для телевидения. Поэтому после разгрузки оборудования, аксессуаров и подарков для посетителей, можно было неспешными темпами раскладывать оборудование по столам подключать физику в соответствии с таблицей соединения. В офисе это выглядело намного проще, поскольку проводная и беспроводная сети настраивались отдельно друг от друга. Основное ядро сети представлено ниже.



    Как уже говорилось ранее проектируемая и реальная сеть всегда отличаются. Так произошло и с беспроводной сетью. По схеме получилось, что некоторые точки доступа должны были находиться внутри короба, который уже был намертво зашит фанерными листами.



    В некоторых местах размещения точек доступа не было возможности обеспечить их питанием 220V. Для них использовались порты WLC, которые поддерживают PoE. К счастью, таких мест было 2 и портов также было 2. Остальные точки доступа как и предполагалось, подключались к портам коммутаторов.

    Но самое интересно было еще впереди. К 8 часам вечера выяснилось, что провайдер предоставил 2 линка с «белыми» IP-адресами (для видео и для выхода сети PHD в Интернет). Но ведь 3750 не поддерживает NAT! В срочном порядке заслали 2 гонцов на Савеловский за роутером класса SOHO. Вернулись они не быстро, часам к 11 ночи. Быстро разобравшись с настройками этого устройства, включили NAT, подключили девайс к нашему коммутатору 3750, проверили выход в Интернет через беспроводную сеть и на этом решили, что стоит остановиться.

    Дома ближе к трём часам ночи меня посетила пугающая мысль: «Какого чёрта я не повесил списки управления доступом между VLAN-ами?» Завтра, 19-го числа в девять утра начнётся соревнование и доступ к сети получат умники из разных стран, а в нашей сети даже трафик между сегментами не ограничен. Вот «забавно» будет, если кто-нибудь выйдет за пределы сети CTF и хакнет хосты организаторов.

    Утром я спешил на PHD и планировал за час до начала соревнования повесить ACL и всё проверить, но попал в пробку и приехал к восьми тридцати. В итоге сеть была относительно защищена и готова к использованию только за 15 минут до начала CTF, но свои функции выполнила и частично упала только один раз, когда злоумышленник отлучил питание одного из коммутаторов.

    Думаю, мечтой всех хакеров в этом день был невзрачный ноутбук на котором аккуратненько расписана вся схема подключений, а также все пароли к сетевому оборудованию.



    Примерно в таком ключе проходила подготовка.

    Ах, да! Совсем забыл, что за день до PHD у Андрея было день рождение, что еще более позитивно отразилось на подготовке к выставке ;)
    Positive Technologies
    Компания

    Комментарии 6

      0
      если кому интересно, схемы сетей в лучшем разрешении — phdays.ru/files/PHDays2011-Network.pdf
        0
        Вы там между собой не договорились что ли? Зачем дублировать?

        P.S. «День рождения» — он мужского рода.
          0
          есть немного)) но, тексты отличаются!
          +1
          Интерестно :-). Организация сети для таких мероприятий это и правда головная боль, мало у кого есть достаточный для этого опыт, и практически всегда что-то делается в последний момент. Респект.
            0
            А в чем кардинальное различие с habrahabr.ru/blogs/infosecurity/137008/?
              0
              кардинального различия нет, но текст разный)

              Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

              Самое читаемое