Этап первый — настройка на стороне управления сервисом (Control Hub)
Ключевой момент, так как инструкцию самостоятельно по нему найти не смог, но если функционал отключен, то и в интеграциях клиента он не появится 🙂
Настройки управления контентом Control Hub / Services / MessagingНастройки управления контентом Services / Messaging / CMНастройки управления контентом Services / Messaging / CM / Settings
Этап второй — настройка на стороне клиента (WebEx)
Пошаговая инструкция от вендора и ключевые точки (ниже):
Управление интеграциями в приложении WebExВыбор сервиса для интеграции с приложением WebExКак добавить файл из OneDrive / SharePoint Online
Вышел Cisco ISE 3.0, подробности о новинке здесь. Обновление согласно инструкции от производителя прошло гладко и без запинок. Политики (RADIUS, Tacacs+) и сетевые устройства перенеслись, pxGrid подписчики информацию получают (FortiManger и Cisco Stealthwatch). Смотрим, изучаем — подробности позже.
На данный момент Cisco сможет помочь вашей компании работать удаленно и безопасно с помощью различных технологий и сервисов. Главная задача позволить бизнесу работать удаленно и безопасно в карантин, не производя дополнительных затрат. Для этого компания расширила стандартный пробный период до 90 дней.
WebEx — это облачные сервисы для проведения конференций и совещаний онлайн с аудио, видеосвязью и инструментами совместной работы над документами. Запросить расширенный Trial и дополнительную информацию можно здесь.
Cisco Expressway — безопасный межсетевой экран для передачи голоса и видео и поддерживает множество функций, таких как B2B вызовы и мобильный и удаленный доступ (MRA), а также возможности сервера TURN(Traversal Using Relay NAT). Получить расширенный Trial можно на сайте выдачи временных лицензий (здесь).
Unified Communications Products — представляет собой набор продуктов, которые обеспечивают потребителя единым интерфейсом и возможностью доступа к услугам на различным коммуникационных устройствах (стационарный телефон, мобильный телефон, компьютер, ноутбук и др.). Информация о предложение доступна здесь, а расширенный Trial можно найти на сайте выдачи временных лицензий.
AppDynamics — комплексный, Enterprise уровня, продукт по управлению производительностью веб и мобильных приложений, инфраструктуры и сети. Запросить расширенный Trial и дополнительную информацию можно здесь.
AnyConnect — упрощает реализацию безопасного доступа с различных устройств и обеспечивает необходимую защиту организации. UTM/AMP клиент компании Cisco, разработанный для сетевого оборудования корпорации. Информация о предложение доступна здесь, а расширенный Trial можно найти на сайте выдачи временных лицензий.
Cisco Umbrella — это облачный сервис обеспечения безопасности для межсетевых экранов нового поколения Cisco, который защищает сотрудников, когда они подключаются к сети, не используя VPN. Запросить расширенный Trial и дополнительную информацию можно здесь.
ISR 4400 Boost License — у вас вырастала нагрузка на маршрутизаторы и требуется большая производительность? Расширенный Trial можно найти на сайте выдачи временных лицензий.
Вся информация доступна публично на ресурсе производителя.
От себя лично, хотел бы выразить благодарность за поддержку бизнеса и партнеров в столь непростое для всего человечества время.
И главное: обращайтесь к профессионалам за помощью в развертывании решения, если вам она нужна. Мы рядом 🙂 Бизнес должен развиваться.
Столкнулся с проблемой связи Microsoft Skype for Business и Cisco Expressway, которые возникли у одного из наших заказчиков. Решение оказалось простым — добавить SRV запись в домен партнера, который поленился при внедрении прочитать всю документацию по продукту на сайте Cisco (она часто разбита на части, и в пошаговую инструкцию по развертыванию просто не входят дополнительные функции или возможности).
Дело в том, что система OCS / Lync / S4B при вызове ищет узел связи путем запроса записи _sipfederationtls и если в домене она не указана, то соединение не установится. Ниже есть две ссылки на ресурсы производителей, которые объясняют процесс для технических специалистов и инженеров (Microsoft и Cisco).
Как промежуточный вариант, возможно добавить федеративный домен в ручном режиме на стороне Skype for Business / Teams, указав в качестве сервера DNS адрес шлюза Expressway.
После обновления Cisco ISE2.6 до версии 2.7 коммутаторы компании с включенным TrustSec перестали определять «живость» управляющего CTS сервера, и статус сервера постоянно был «DEAD».
Статус окружения можно посмотреть с помощью CLI команд: sh cts environment-data и sh cts server-list.
В логах (ISE -> Operations -> RADIUS -> Live Logs) появились сообщения «5405 RADIUS Request dropped» по причине «The user is not found», и как итог «AuthenticationResult : Error». С учетом периодичности тестов живых серверов RADIUS со стороны коммутаторов, журнал наполняется очень быстро и «радует» глаз пестрящей краснотой.
Так как не смог найти решение на стороне Cisco, реши пойти простым путем и создал пользователя CTS-Test-Server во внутреннем банке ISE ( Administration -> Identity Management -> Identities -> Users) с генерированным, там же, паролем.
Проблема была решена и более не наблюдалась, сервера на коммутаторах перешли в статус «ALIVE».
Log in to the Cisco ISE CLI (you can use VM console or SSH).
Enter the following commands: application stop ise configure terminal interface GigabitEthernet 0 ip address new_ip_address new_subnet_mask The system prompts you for the IP address change. Enter Y…
Enter Y to restart the system.
In version 2.4 and higher way is:
Log in to the Cisco ISE CLI (you can use VM console or SSH).
Enter the following commands: application stop ise reset-config
Похоже, что для атаки используется бот, сканирующий через поисковик интернета вещей Shodan или даже через собственную утилиту Cisco устройства на предмет наличия этой уязвимости и эксплуатирующий ее. Нашел очередной уязвимый коммутатор, переписал конфигурацию – вывел из строя сегмент сети. В результате целые дата-центры оказываются недоступными, что приводит и к недоступности многих популярных сайтов.
По данным Cisco Talos, в мире насчитывается более 168 000 устройств, подверженных этой уязвимости. Масштабы атаки пока не полностью ясны, но они могут быть очень серьезными. Судя по всему, злоумышленники атакуют в основном русскоязычный сегмент Интернета, хотя и другим явно тоже досталось.
Дополнительные источники информации: Cisco, Talos, CVE.
Что можно сделать сейчас для защиты и диагностики возможных проблем связанных с уязвимостью CVE-2018-0171.
Провести анализ подверженности своего оборудования вышеописанным уязвимостям. Сверить версии ПО для платформ с официально рекомендованными производителем как неуязвимые.
Провести анализ наличия взломанных устройств, фактов несанкционированного изменения конфигураций либо состояния устройств. Восстановить продуктивную конфигурацию, сменить пароли и ключи.
Отключить функционал Cisco Smart Install командой «no vstack».
Удалить пользователя по умолчанию «cisco».
Ограничить обработку пакетов с dst port UDP 18999, если dst ip принадлежит устройству.
Настроить мониторинг оборудования на предмет:
— активации Cisco Smart Install (vstack) и порта TCP 4786;
— активации порта UDP 18999 в системе (listening);
— появления пользователя «cisco» в конфигурации.
Хотелось бы обратить внимание на важный момент, команда «no vstack» работает только на ПО вышедшем после обнаружения уязвимости, в случае старого ПО команда будет просить дополнительный аргумент, например «no vstack conf».
Если Smart Install выключен, то вывод «sh vstack conf» будет примерно следующим:
Не работает «no vstack» — обновите ПО.
Не используете Smart Install, закройте TCP 4786.
Пример настройки Site-to-Site туннеля до сервис провайдера Microsoft Azure на брандмауэрах Fortigate.
config firewall address
edit «azure-network»
set subnet 10.0.111.0 255.255.255.0
next
edit «internal»
set subnet 192.168.111.0 255.255.255.0
next
end
config vpn ipsec phase1-interface
edit «Azure»
set interface «port1»
set ike-version 2
set nattraversal disable
set keylife 56600
set proposal aes256-sha256
set dhgrp 2
set remote-gw 52.1.2.3
set psksecret key123key123key123
next
end
config vpn ipsec phase2-interface
edit «Azure»
set phase1name «Azure»
set proposal aes256-sha256
set dhgrp 14
set keepalive enable
set auto-negotiate enable
set src-addr-type name
set dst-addr-type name
set keylifeseconds 7200
set src-name «internal»
set dst-name «azure-network»
next
end
config system interface
edit «Azure»
set tcp-mss 1350
next
end
config router static
edit 2
set dst 10.0.111.0 255.255.255.0
set device «Azure»
next
end
Где:
port1 — интерфейс wan который будет инициализировать туннель
52.1.2.3 — адрес шлюза на стороне сервис провайдера
key123key123key123 — предварительный общий ключ
10.0.111.0 — локальная сеть на стороне сервис провайдера
192.168.111.0 — локальная сеть на вашей стороне
Кроме того, не забудьте настроить правила доступа (firewall rules), иначе туннель не будет работать (не поднимется). Пример можно посмотреть здесь.
