Внешние DNS записи для Cisco Expressway

Опубликовано 25 марта, 2020 автором Sergey Bezpalov

Столкнулся с проблемой связи Microsoft Skype for Business и Cisco Expressway, которые возникли у одного из наших заказчиков. Решение оказалось простым — добавить SRV запись в домен партнера, который поленился при внедрении прочитать всю документацию по продукту на сайте Cisco (она часто разбита на части, и в пошаговую инструкцию по развертыванию просто не входят дополнительные функции или возможности).

Дело в том, что система OCS / Lync / S4B при вызове ищет узел связи путем запроса записи _sipfederationtls и если в домене она не указана, то соединение не установится. Ниже есть две ссылки на ресурсы производителей, которые объясняют процесс для технических специалистов и инженеров (Microsoft и Cisco).

Как промежуточный вариант, возможно добавить федеративный домен в ручном режиме на стороне Skype for Business / Teams, указав в качестве сервера DNS адрес шлюза Expressway.

Тип ЗаписьОписание
srv_collab-edge._tls.example.comCollaboration Services, TLS
srv_sip._tcp.example.comSession Establishment, TCP
srv_sip._udp.example.comSession Establishment, UDP
srv_sips._tcp.example.comSession Establishment, TLS
srv_sipfederationtls._tcp.example.comSkype for Business Federation, TLS
ajoin.example.com Guest account client URI, SSL

Посмотреть записи удобно здесь: https://www.incosolutions.com/uc-lookup.php

Рубрика: Cisco, Lync, Microsoft, OCS, Office 365, Quick Tip, Skype For Business, UC | Оставить комментарий

CTS-Test-Server

Опубликовано 26 декабря, 2019 автором Sergey Bezpalov

После обновления Cisco ISE 2.6 до версии 2.7 коммутаторы компании с включенным TrustSec перестали определять «живость» управляющего CTS сервера, и статус сервера постоянно был «DEAD».

Статус окружения можно посмотреть с помощью CLI команд:
sh cts environment-data и sh cts server-list.

В логах (ISE -> Operations -> RADIUS -> Live Logs) появились сообщения «5405 RADIUS Request dropped» по причине «The user is not found», и как итог «AuthenticationResult : Error». С учетом периодичности тестов живых серверов RADIUS со стороны коммутаторов, журнал наполняется очень быстро и «радует» глаз пестрящей краснотой.

Так как не смог найти решение на стороне Cisco, реши пойти простым путем и создал пользователя CTS-Test-Server во внутреннем банке ISE ( Administration -> Identity Management -> Identities -> Users) с генерированным, там же, паролем.

Проблема была решена и более не наблюдалась, сервера на коммутаторах перешли в статус «ALIVE».

Рубрика: Cisco, Quick Tip, Security | Метки: , , , , | Оставить комментарий

Change the IP Address of a Cisco ISE Appliance

Опубликовано 2 декабря, 2018 автором Sergey Bezpalov

Before version 2.4 quick way was:

  1. Log in to the Cisco ISE CLI (you can use VM console or SSH).
  2. Enter the following commands:
    application stop ise
    configure terminal
    interface GigabitEthernet 0
    ip address new_ip_address new_subnet_mask
    The system prompts you for the IP address change. Enter Y…
  3. Enter Y to restart the system.

In version 2.4 and higher way is:

  1. Log in to the Cisco ISE CLI (you can use VM console or SSH).
  2. Enter the following commands:
    application stop ise
    reset-config

ISE 2.4: Common System Maintenance Tasks

Рубрика: Cisco, Quick Tip, Security | Метки: , , | Оставить комментарий

Атака Cisco Smart Install порядок действий для защиты

Опубликовано 9 апреля, 2018 автором Sergey Bezpalov

Прямо сейчас все адреса в интернете сканирует бот, который использует свежую уязвимость (https://embedi.com/blog/cisco-smart-install-remote-code-execution/) в Cisco IOS, позволяющую удалённо выполнить команду на устройстве Cisco.

Похоже, что для атаки используется бот, сканирующий через поисковик интернета вещей Shodan или даже через собственную утилиту Cisco устройства на предмет наличия этой уязвимости и эксплуатирующий ее. Нашел очередной уязвимый коммутатор, переписал конфигурацию – вывел из строя сегмент сети. В результате целые дата-центры оказываются недоступными, что приводит и к недоступности многих популярных сайтов.

По данным Cisco Talos, в мире насчитывается более 168 000 устройств, подверженных этой уязвимости. Масштабы атаки пока не полностью ясны, но они могут быть очень серьезными. Судя по всему, злоумышленники атакуют в основном русскоязычный сегмент Интернета, хотя и другим явно тоже досталось.

Дополнительные источники информации: Cisco, Talos, CVE.

Что можно сделать сейчас для защиты и диагностики возможных проблем связанных с уязвимостью CVE-2018-0171.

  • Провести анализ подверженности своего оборудования вышеописанным уязвимостям. Сверить версии ПО для платформ с официально рекомендованными производителем как неуязвимые.
  • Провести анализ наличия взломанных устройств, фактов несанкционированного изменения конфигураций либо состояния устройств. Восстановить продуктивную конфигурацию, сменить пароли и ключи.
  • Отключить функционал Cisco Smart Install командой «no vstack».
  • Удалить пользователя по умолчанию «cisco».
  • Ограничить обработку пакетов с dst port UDP 18999, если dst ip принадлежит устройству.
  • Настроить мониторинг оборудования на предмет:
    — активации Cisco Smart Install (vstack) и порта TCP 4786;
    — активации порта UDP 18999 в системе (listening);
    — появления пользователя «cisco» в конфигурации.

Хотелось бы обратить внимание на важный момент, команда «no vstack» работает только на ПО вышедшем после обнаружения уязвимости, в случае старого ПО команда будет просить дополнительный аргумент, например «no vstack conf».

Если Smart Install выключен, то вывод «sh vstack conf» будет примерно следующим:

Не работает «no vstack» — обновите ПО.
Не используете Smart Install, закройте TCP 4786.

Рубрика: Cisco, Security | Метки: | Оставить комментарий

Безопасные DNS сервера

Опубликовано 23 февраля, 2018 автором Sergey Bezpalov

OpenDNS

IPv4: 208.67.222.222, 208.67.220.220

IPv6: 2620:119:35::35, 2620:119:53::53

Fortiguard DNS

IPv4: 208.91.112.53, 208.91.112.52

Яндекс DNS

IPv4: 77.88.8.88, 77.88.8.2

IPv6: 2a02:6b8::feed:bad, 2a02:6b8:0:1::feed:bad

Google Public DNS

IPv4: 8.8.8.8, 8.8.4.4

IPv6: 2001:4860:4860::8888, 2001:4860:4860::8844

1.1.1.1

IPv4: 1.1.1.1, 1.0.0.1

IPv6: 2606:4700:4700::1111, 2606:4700:4700::1001

Private DNS: 1dot1dot1dot1.cloudflare-dns.com

Рубрика: Cisco, Fortinet, Quick Tip, Security | Метки: , , | Оставить комментарий

Настройка туннеля до Azure на Fortigate

Опубликовано 17 февраля, 2018 автором Sergey Bezpalov

Пример настройки Site-to-Site туннеля до сервис провайдера Microsoft Azure на брандмауэрах Fortigate.

config firewall address
edit «azure-network»
set subnet 10.0.111.0 255.255.255.0
next
edit «internal»
set subnet 192.168.111.0 255.255.255.0
next
end
config vpn ipsec phase1-interface
edit «Azure»
set interface «port1»
set ike-version 2
set nattraversal disable
set keylife 56600
set proposal aes256-sha256
set dhgrp 2
set remote-gw 52.1.2.3
set psksecret key123key123key123
next
end
config vpn ipsec phase2-interface
edit «Azure»
set phase1name «Azure»
set proposal aes256-sha256
set dhgrp 14
set keepalive enable
set auto-negotiate enable
set src-addr-type name
set dst-addr-type name
set keylifeseconds 7200
set src-name «internal»
set dst-name «azure-network»
next
end
config system interface
edit «Azure»
set tcp-mss 1350
next
end
config router static
edit 2
set dst 10.0.111.0 255.255.255.0
set device «Azure»
next
end

Где:

port1 — интерфейс wan который будет инициализировать туннель
52.1.2.3 — адрес шлюза на стороне сервис провайдера
key123key123key123 — предварительный общий ключ
10.0.111.0 — локальная сеть на стороне сервис провайдера
192.168.111.0 — локальная сеть на вашей стороне

Кроме того, не забудьте настроить правила доступа (firewall rules), иначе туннель не будет работать (не поднимется). Пример можно посмотреть здесь.

Рубрика: Azure, Fortinet, Microsoft, Quick Tip | Метки: , | Оставить комментарий

Настройка туннеля до Облакотеки на Cisco 4000 серии

Опубликовано 14 февраля, 2018 автором Sergey Bezpalov

Пример настройки Site-to-Site туннеля до сервис провайдера Облакотека на маршрутизаторах Cisco 4000 (4221, 4321, 4331, 4351, 4431, 4451) серии.

!
crypto ikev2 proposal CLOUD
encryption aes-cbc-128
integrity sha256
group 2
!
crypto ikev2 policy CLOUD
proposal CLOUD
!
crypto ikev2 keyring CLOUD
peer CLOUD
address 37.1.2.3
pre-shared-key key123key123key123
!
crypto ikev2 profile CLOUD
match address local 195.1.2.3
match identity remote address 37.1.2.3 255.255.255.255
authentication local pre-share
authentication remote pre-share
keyring local CLOUD
!
crypto ipsec transform-set CLOUD esp-aes esp-sha256-hmac
mode tunnel
!
crypto ipsec profile CLOUD
set transform-set CLOUD
set pfs group14
set ikev2-profile CLOUD
!
interface Tunnel1015
description — To CLOUD —
ip vrf forwarding Intranet
ip address 10.10.230.1 255.255.255.252
ip tcp adjust-mss 1350
tunnel source 195.1.2.3
tunnel mode ipsec ipv4
tunnel destination 37.1.2.3
tunnel protection ipsec profile CLOUD
!
ip route vrf Intranet 192.168.150.0 255.255.255.0 Tunnel1015
!

Где:

37.1.2.3 — адрес шлюза на стороне сервис провайдера
195.1.2.3- адрес локального маршрутизатора
key123key123key123 — предварительный общий ключ
192.168.150.0 — локальная сеть на стороне сервис провайдера

В данном пример используется vrf интерфейс, вы же можете использоваться любой другой, например GigabitEthernet0/0/0

Выше приведены настройки IPSEC со стороны сервис провайдера.

Рубрика: Cisco, Quick Tip, Облакотека | Метки: , | Оставить комментарий

Настройка туннеля до Azure на Cisco 4000 серии

Опубликовано 14 февраля, 2018 автором Sergey Bezpalov

Пример настройки Site-to-Site туннеля до сервис провайдера Microsoft Azure на маршрутизаторах Cisco 4000 (4221, 4321, 4331, 4351, 4431, 4451) серии.

!
crypto ikev2 proposal AZURE
encryption aes-cbc-256
integrity sha256
group 2
!
crypto ikev2 policy AZURE
proposal AZURE
!
crypto ikev2 keyring AZURE
peer AZURE
address 52.1.2.3
pre-shared-key key123key123key123
!
crypto ikev2 profile AZURE
match address local 195.1.2.3
match identity remote address 52.1.2.3 255.255.255.255
authentication local pre-share
authentication remote pre-share
keyring local AZURE
!
crypto ipsec transform-set AZURE esp-aes 256 esp-sha256-hmac
mode tunnel
!
crypto ipsec profile AZURE
set transform-set AZURE
set ikev2-profile AZURE
!
interface Tunnel1016
description — To AZURE —
ip vrf forwarding Intranet
ip address 10.10.230.4 255.255.255.252
ip tcp adjust-mss 1350
tunnel source 195.1.2.3
tunnel mode ipsec ipv4
tunnel destination 52.1.2.3
tunnel protection ipsec profile AZURE
!
ip route vrf Intranet 192.168.160.0 255.255.255.0 Tunnel1016
!

Где:

52.1.2.3 — адрес шлюза на стороне сервис провайдера
195.1.2.3 — адрес локального маршрутизатора
key123key123key123 — предварительный общий ключ
192.168.160.0 — локальная сеть на стороне сервис провайдера

В данном пример используется vrf интерфейс, вы же можете использоваться любой другой, например GigabitEthernet0/0/0

Рубрика: Azure, Cisco, Microsoft, Quick Tip | Метки: , | Оставить комментарий

PIN-коды токенов Aladdin по умолчанию

Опубликовано 29 января, 2018 автором Sergey Bezpalov

Таблица со значениями PIN-кодов (паролей) по умолчанию:

 
Пользователя Администратора
JaCarta PKI 11111111 00000000
JaCarta ГОСТ не задан 1234567890
JaCarta LT 1234567890 не задан
eToken PRO Java 1234567890 не задан
eToken ГОСТ не задан 1234567890

В случае «комбинированной» модели, например, JaCarta PKI/ГОСТ используются пароли по умолчанию для каждого из апплетов. Исключение составляет JaCarta PKI/ГОСТ SE: PIN-код пользователя ГОСТ-апплета: 0987654321, остальные пароли стандартные.

Рубрика: Hardware, Security, Аладдин Р.Д. | Метки: , | Оставить комментарий

Пароль по умолчанию на 1600 серии телефонов Avaya

Опубликовано 23 июня, 2017 автором Sergey Bezpalov

Согласно гида для администраторов заводской (по умолчанию) пароль 2 7 2 3 8.

Слово Craft (для удобства запоминания).

Работает для всей серии 16й серии IP телефонов Avaya (1603, 1608, 1616 и т.д.)

Рубрика: Avaya, Hardware, UC | Метки: , , , , | Оставить комментарий