Вышел Cisco ISE 3.0, подробности о новинке здесь. Обновление согласно инструкции от производителя прошло гладко и без запинок. Политики (RADIUS, Tacacs+) и сетевые устройства перенеслись, pxGrid подписчики информацию получают (FortiManger и Cisco Stealthwatch). Смотрим, изучаем — подробности позже.
На данный момент Cisco сможет помочь вашей компании работать удаленно и безопасно с помощью различных технологий и сервисов. Главная задача позволить бизнесу работать удаленно и безопасно в карантин, не производя дополнительных затрат. Для этого компания расширила стандартный пробный период до 90 дней.
WebEx — это облачные сервисы для проведения конференций и совещаний онлайн с аудио, видеосвязью и инструментами совместной работы над документами. Запросить расширенный Trial и дополнительную информацию можно здесь.
Cisco Expressway — безопасный межсетевой экран для передачи голоса и видео и поддерживает множество функций, таких как B2B вызовы и мобильный и удаленный доступ (MRA), а также возможности сервера TURN(Traversal Using Relay NAT). Получить расширенный Trial можно на сайте выдачи временных лицензий (здесь).
Unified Communications Products — представляет собой набор продуктов, которые обеспечивают потребителя единым интерфейсом и возможностью доступа к услугам на различным коммуникационных устройствах (стационарный телефон, мобильный телефон, компьютер, ноутбук и др.). Информация о предложение доступна здесь, а расширенный Trial можно найти на сайте выдачи временных лицензий.
AppDynamics — комплексный, Enterprise уровня, продукт по управлению производительностью веб и мобильных приложений, инфраструктуры и сети. Запросить расширенный Trial и дополнительную информацию можно здесь.
AnyConnect — упрощает реализацию безопасного доступа с различных устройств и обеспечивает необходимую защиту организации. UTM/AMP клиент компании Cisco, разработанный для сетевого оборудования корпорации. Информация о предложение доступна здесь, а расширенный Trial можно найти на сайте выдачи временных лицензий.
Cisco Umbrella — это облачный сервис обеспечения безопасности для межсетевых экранов нового поколения Cisco, который защищает сотрудников, когда они подключаются к сети, не используя VPN. Запросить расширенный Trial и дополнительную информацию можно здесь.
ISR 4400 Boost License — у вас вырастала нагрузка на маршрутизаторы и требуется большая производительность? Расширенный Trial можно найти на сайте выдачи временных лицензий.
Вся информация доступна публично на ресурсе производителя.
От себя лично, хотел бы выразить благодарность за поддержку бизнеса и партнеров в столь непростое для всего человечества время.
И главное: обращайтесь к профессионалам за помощью в развертывании решения, если вам она нужна. Мы рядом 🙂 Бизнес должен развиваться.
Столкнулся с проблемой связи Microsoft Skype for Business и Cisco Expressway, которые возникли у одного из наших заказчиков. Решение оказалось простым — добавить SRV запись в домен партнера, который поленился при внедрении прочитать всю документацию по продукту на сайте Cisco (она часто разбита на части, и в пошаговую инструкцию по развертыванию просто не входят дополнительные функции или возможности).
Дело в том, что система OCS / Lync / S4B при вызове ищет узел связи путем запроса записи _sipfederationtls и если в домене она не указана, то соединение не установится. Ниже есть две ссылки на ресурсы производителей, которые объясняют процесс для технических специалистов и инженеров (Microsoft и Cisco).
Как промежуточный вариант, возможно добавить федеративный домен в ручном режиме на стороне Skype for Business / Teams, указав в качестве сервера DNS адрес шлюза Expressway.
После обновления Cisco ISE2.6 до версии 2.7 коммутаторы компании с включенным TrustSec перестали определять «живость» управляющего CTS сервера, и статус сервера постоянно был «DEAD».
Статус окружения можно посмотреть с помощью CLI команд: sh cts environment-data и sh cts server-list.
В логах (ISE -> Operations -> RADIUS -> Live Logs) появились сообщения «5405 RADIUS Request dropped» по причине «The user is not found», и как итог «AuthenticationResult : Error». С учетом периодичности тестов живых серверов RADIUS со стороны коммутаторов, журнал наполняется очень быстро и «радует» глаз пестрящей краснотой.
Так как не смог найти решение на стороне Cisco, реши пойти простым путем и создал пользователя CTS-Test-Server во внутреннем банке ISE ( Administration -> Identity Management -> Identities -> Users) с генерированным, там же, паролем.
Проблема была решена и более не наблюдалась, сервера на коммутаторах перешли в статус «ALIVE».
Log in to the Cisco ISE CLI (you can use VM console or SSH).
Enter the following commands: application stop ise configure terminal interface GigabitEthernet 0 ip address new_ip_address new_subnet_mask The system prompts you for the IP address change. Enter Y…
Enter Y to restart the system.
In version 2.4 and higher way is:
Log in to the Cisco ISE CLI (you can use VM console or SSH).
Enter the following commands: application stop ise reset-config
Похоже, что для атаки используется бот, сканирующий через поисковик интернета вещей Shodan или даже через собственную утилиту Cisco устройства на предмет наличия этой уязвимости и эксплуатирующий ее. Нашел очередной уязвимый коммутатор, переписал конфигурацию – вывел из строя сегмент сети. В результате целые дата-центры оказываются недоступными, что приводит и к недоступности многих популярных сайтов.
По данным Cisco Talos, в мире насчитывается более 168 000 устройств, подверженных этой уязвимости. Масштабы атаки пока не полностью ясны, но они могут быть очень серьезными. Судя по всему, злоумышленники атакуют в основном русскоязычный сегмент Интернета, хотя и другим явно тоже досталось.
Дополнительные источники информации: Cisco, Talos, CVE.
Что можно сделать сейчас для защиты и диагностики возможных проблем связанных с уязвимостью CVE-2018-0171.
Провести анализ подверженности своего оборудования вышеописанным уязвимостям. Сверить версии ПО для платформ с официально рекомендованными производителем как неуязвимые.
Провести анализ наличия взломанных устройств, фактов несанкционированного изменения конфигураций либо состояния устройств. Восстановить продуктивную конфигурацию, сменить пароли и ключи.
Отключить функционал Cisco Smart Install командой «no vstack».
Удалить пользователя по умолчанию «cisco».
Ограничить обработку пакетов с dst port UDP 18999, если dst ip принадлежит устройству.
Настроить мониторинг оборудования на предмет: — активации Cisco Smart Install (vstack) и порта TCP 4786; — активации порта UDP 18999 в системе (listening); — появления пользователя «cisco» в конфигурации.
Хотелось бы обратить внимание на важный момент, команда «no vstack» работает только на ПО вышедшем после обнаружения уязвимости, в случае старого ПО команда будет просить дополнительный аргумент, например «no vstack conf».
Если Smart Install выключен, то вывод «sh vstack conf» будет примерно следующим:
Не работает «no vstack» — обновите ПО. Не используете Smart Install, закройте TCP 4786.
Пример настройки Site-to-Site туннеля до сервис провайдера Microsoft Azure на брандмауэрах Fortigate.
config firewall address edit «azure-network» set subnet 10.0.111.0 255.255.255.0 next edit «internal» set subnet 192.168.111.0 255.255.255.0 next end config vpn ipsec phase1-interface edit «Azure» set interface «port1» set ike-version 2 set nattraversal disable set keylife 56600 set proposal aes256-sha256 set dhgrp 2 set remote-gw 52.1.2.3 set psksecret key123key123key123 next end config vpn ipsec phase2-interface edit «Azure» set phase1name «Azure» set proposal aes256-sha256 set dhgrp 14 set keepalive enable set auto-negotiate enable set src-addr-type name set dst-addr-type name set keylifeseconds 7200 set src-name «internal» set dst-name «azure-network» next end config system interface edit «Azure» set tcp-mss 1350 next end config router static edit 2 set dst 10.0.111.0 255.255.255.0 set device «Azure» next end
Где:
port1 — интерфейс wan который будет инициализировать туннель 52.1.2.3 — адрес шлюза на стороне сервис провайдера key123key123key123 — предварительный общий ключ 10.0.111.0 — локальная сеть на стороне сервис провайдера 192.168.111.0 — локальная сеть на вашей стороне
Кроме того, не забудьте настроить правила доступа (firewall rules), иначе туннель не будет работать (не поднимется). Пример можно посмотреть здесь.
Пример настройки Site-to-Site туннеля до сервис провайдера Облакотека на маршрутизаторах Cisco 4000 (4221, 4321, 4331, 4351, 4431, 4451) серии.
! crypto ikev2 proposal CLOUD encryption aes-cbc-128 integrity sha256 group 2 ! crypto ikev2 policy CLOUD proposal CLOUD ! crypto ikev2 keyring CLOUD peer CLOUD address 37.1.2.3 pre-shared-key key123key123key123 ! crypto ikev2 profile CLOUD match address local 195.1.2.3 match identity remote address 37.1.2.3 255.255.255.255 authentication local pre-share authentication remote pre-share keyring local CLOUD ! crypto ipsec transform-set CLOUD esp-aes esp-sha256-hmac mode tunnel ! crypto ipsec profile CLOUD set transform-set CLOUD set pfs group14 set ikev2-profile CLOUD ! interface Tunnel1015 description — To CLOUD — ip vrf forwarding Intranet ip address 10.10.230.1 255.255.255.252 ip tcp adjust-mss 1350 tunnel source 195.1.2.3 tunnel mode ipsec ipv4 tunnel destination 37.1.2.3 tunnel protection ipsec profile CLOUD ! ip route vrf Intranet 192.168.150.0 255.255.255.0 Tunnel1015 !
Где:
37.1.2.3 — адрес шлюза на стороне сервис провайдера 195.1.2.3- адрес локального маршрутизатора key123key123key123 — предварительный общий ключ 192.168.150.0 — локальная сеть на стороне сервис провайдера
В данном пример используется vrf интерфейс, вы же можете использоваться любой другой, например GigabitEthernet0/0/0
Выше приведены настройки IPSEC со стороны сервис провайдера.
Пример настройки Site-to-Site туннеля до сервис провайдера Microsoft Azure на маршрутизаторах Cisco 4000 (4221, 4321, 4331, 4351, 4431, 4451) серии.
! crypto ikev2 proposal AZURE encryption aes-cbc-256 integrity sha256 group 2 ! crypto ikev2 policy AZURE proposal AZURE ! crypto ikev2 keyring AZURE peer AZURE address 52.1.2.3 pre-shared-key key123key123key123 ! crypto ikev2 profile AZURE match address local 195.1.2.3 match identity remote address 52.1.2.3 255.255.255.255 authentication local pre-share authentication remote pre-share keyring local AZURE ! crypto ipsec transform-set AZURE esp-aes 256 esp-sha256-hmac mode tunnel ! crypto ipsec profile AZURE set transform-set AZURE set ikev2-profile AZURE ! interface Tunnel1016 description — To AZURE — ip vrf forwarding Intranet ip address 10.10.230.4 255.255.255.252 ip tcp adjust-mss 1350 tunnel source 195.1.2.3 tunnel mode ipsec ipv4 tunnel destination 52.1.2.3 tunnel protection ipsec profile AZURE ! ip route vrf Intranet 192.168.160.0 255.255.255.0 Tunnel1016 !
Где:
52.1.2.3 — адрес шлюза на стороне сервис провайдера 195.1.2.3 — адрес локального маршрутизатора key123key123key123 — предварительный общий ключ 192.168.160.0 — локальная сеть на стороне сервис провайдера
В данном пример используется vrf интерфейс, вы же можете использоваться любой другой, например GigabitEthernet0/0/0