четверг, 13 августа 2020 г.

Сброс пароля на коммутаторах и маршрутизаторах Cisco

Со всеми может произойти ситуация, когда забытый или потерянный пароль не позволяет получить доступ к оборудованию. Сегодня в статье мы расскажем про то, как сбросить пароль на маршрутизаторах и коммутаторах Cisco.

Стоит уточнить, что описанные способы подразумевают подключение к оборудованию только напрямую через консольный кабель. Поэтому стоит уделить внимание безопасности и сделать так, чтобы в серверную или помещение, где находится оборудование доступ имел только авторизованный персонал.

Суть этих методов заключается в том, чтобы загрузиться без конфигурационного файла с забытым паролем, войти в привилегированный режим (Privileged EXEC), заменить новый конфигурационный файл на старый и поменять на нем все пароли.

СБРОС ПАРОЛЯ НА МАРШРУТИЗАТОРАХ CISCO

Прежде всего, нам нужно подключиться к маршрутизатору при помощи консольного кабеля (он еще называется Rollover):

Подключившись к нему, отправляем его в перезагрузку. Во время загрузки IOS нам нужно отправить сигнал прерывания, нажав клавиши [Ctrl]+[Break]:

System Bootstrap, Version 12.1(3r)T2, RELEASE SOFTWARE (fc1)
Copyright (c) 2000 by cisco Systems, Inc.
Initializing memory for ECC
..
c2811 processor with 524288 Kbytes of main memory
Main memory is configured to 64 bit mode with ECC enabled
Readonly ROMMON initialized
Self decompressing the image :
##############
monitor: command "boot" aborted due to user interrupt
rommon 1 >

Таким образом, мы окажемся в режиме rommon (ROM monitor). Тут изменим конфигурацию регистра командной confreg 0x2142, в результате которой маршрутизатор при запуске не будет использовать конфигурационный файл, записанный во flash памяти. После этого перезапускаем маршрутизатор, введя команду reset.

rommon 1 > confreg 0x2142
rommon 2 > reset

Теперь мы загрузимся без конфига, и нам нужно загрузить старый конфигурационный файл. Делаем это командной copy startup-config running-config в привилегированном режиме.

Router>en
Router#copy startup-config running-config
Destination filename [running-config]? 
700 bytes copied in 0.416 secs (1682 bytes/sec)
Router1#
%SYS-5-CONFIG_I: Configured from console by console

После этого применится старый конфиг, который был запаролен, но при этом мы уже находимся в привилегированном режиме, откуда можем выставить новые пароли для привилегированного режима, telnet и консоли.

Router1#conf t
Router1(config)#enable password NewPassword 
Router1(config)#enable secret NewPassword 
Router1(config)#line vty 0 4
Router1(config-line)#passwordNewPassword
Router1(config-line)#login
Router1(config-line)#exit
Router1(config)#line console 0
Router1(config-line)#passwordNewPassword
Router1(config-line)#login

Теперь, когда мы сменили все пароли нам нужно вернуть старое значение конфигурационного регистра, введя из режима конфигурации команду config-register 0x2102

Router1(config)# config-register 0x2102

После этого сохраняем наш новый конфиг и перезагружаемся

Router1#copy running-config startup-config
Router1#reload

Когда роутер загрузится, то он возьмет сохраненный конфигурационный файл, с новыми паролями.

Также, можно отключить возможность сброса пароля, используя команду no service password-recovery. Но как мы упомянули ранее, для этого метода восстановления требуется физический доступ к оборудованию.

СБРОС ПАРОЛЯ НА КОММУТАТОРАХ CISCO CATALYST

Для того чтобы сбросить пароль на коммутаторе Cisco Catalyst нам также нужен физический доступ к оборудованию.

Подключаемся к свитчу консольным кабелем, выключаем его по питанию, а затем включаем, удерживая нажатой кнопку Mode на лицевой панели.

Таким образом мы прервем обычный процесс загрузки.

Loading "flash:/c2960-lanbase-mz.122-25.FX.bin"...
#############################
Boot process terminated.
switch:

После этого мы вводим команды flash_init и load_helper. И теперь мы можем посмотреть содержимое нашей flash памяти, используя команду dir flash: (внимание – в конце команды должно стоять двоеточие)

switch: flash_init
Initializing Flash...
flashfs[0]: 3 files, 0 directories
flashfs[0]: 0 orphaned files, 0 orphaned directories
flashfs[0]: Total bytes: 64016384
flashfs[0]: Bytes used: 3059643
flashfs[0]: Bytes available: 60956741
flashfs[0]: flashfs fsck took 1 seconds.
...done Initializing Flash.

switch: load_helper
switch: dir flash:
Directory of flash:/

1 -rw- 3058048 c2950-i6q4l2-mz.121-22.EA4.bin
3 -rw- 979 config.text
2 -rw- 616 vlan.dat
60956741 bytes available (3059643 bytes used)

Мы видим содержимое нашей flash памяти и нам интересен файл config.text – файл конфигурации коммутатора. Сейчас нам нужно его переименовать, чтобы коммутатор загрузился без него. Делаем это командой rename flash:config.text flash:config.old и затем можно сделать проверку.

switch: rename flash:config.text flash:config.old
switch: dir.flash
Directory of flash:/

1 -rw- 3058048 c2950-i6q4l2-mz.121-22.EA4.bin
3 -rw- 979 config.old
2 -rw- 616 vlan.dat
60956741 bytes available (3059643 bytes used)

После этого возобновляем загрузку командой boot.

switch: boot

Коммутатор не найдет файл конфигурации и загрузится без него. Теперь входим в привилегированный режим, и переименовываем обратно наш конфиг, выполнив команду rename flash:config.old flash:config.text, а затем загружаем его командой copy flash:config.text system:running-config

Switch>en
Switch#rename flash:config.old flash:config.text
Switch#copy flash:config.text system:running-config

Теперь после того как конфиг загружен мы можем задать новый пароль

Switch1#conf t
Switch1(config)#enable secret NewPassword
Switch1(config)#enable password NewPassword
Switch1 (config)#line vty 0 4
Switch1 (config-line)#passwordNewPassword
Switch1 (config-line)#login
Switch1 (config-line)#exit
Switch1 (config)#line console 0
Switch1 (config-line)#passwordNewPassword
Switch1 (config-line)#login

И сохраняем новую конфигурацию.

Switch1#copy running-config startup-config

Готово! Теперь после перезагрузки роутер будет загружать конфигурационный файл с измененными паролями.

четверг, 20 сентября 2018 г.

Как решение Firepower взаимодействует с облачными сервисами Cisco (Облако AMP, Threat Grid, URL)?

Схема взаимодействия достаточна проста: SFR модуль <- FMC <- облачные сервисы Cisco На FMC из облака загружаются автоматически или вручную обновления URL баз, геолокация (GeoDB), база данных уязвимостей VDB (vulnerability database), IPS сигнатуры. И уже оттуда они устанавливаются на SFR модуль.
Следующая таблица описывает требования доступа к облачным сервисам для определенных функций Firepower:
ФункционалПрименениеДля чего нужен доступ к облачным сервисам
AMP for NetworksManagement CenterВыполняет поиск диспозиции файла в облаке на основе хэш суммы.
Динамический анализ: отправкаFMC и SFR модульОтправляет файлы в облако Threat Grid для динамического анализа.
Динамический анализ: запросManagement CenterЗапрашивает оценку файловой угрозы у облака AMP, ранее представленной для динамического анализа облаку Threat Grid.
Обновление IPS сигнатур, VDB и GeoDBManagement CenterЗагружает IPS сигнатуры, GeoDB или VDB на устройство.
Локальный анализ вредоносных программ и обновление сигнатур для предварительной классификации файловManagement CenterЗагружает обновления сигнатур для локальных механизмов анализа вредоносных программ и предварительной классификации.
Security Intelligence фильтрацияManagement CenterЗагружает данные службы Security Intelligence из внешних источников, включая предоставленные Cisco.
Обновление системыFMC и SFR модульЗагрузка обновлений системы непосредственно на устройство.
URL фильтрацияManagement CenterЗагружает данные о URL категориях и репутациях для ACP (Access Control Policy) и запрашивает неизвестные URL-адреса.
Рассмотрим работу некоторых технологий Firepower подробнее:
  • URL фильтрация
    Предположим у нас настроено правило URL фильтрация по категориям и репутациям. В этом случае если пользователь переходит по URL, то SFR модуль смотрит в локальную БД и определяет категорию и репутацию. База с категориями загружается на SFR модуль заранее. А вот репутация сохраняется, в случае аналогичного запроса ранее. Если в локальной БД этого URL нет, то SFR модуль отправляет запрос на FMC, что бы тот запросил информацию у облака URL. В случае поломки FMC или недоступности URL облака, запрос пользователя не совпадает с правилом Access Control Policy и правило пропускается.
  • Проверка AMP
    Предположим на FMC настроена политика, которая производит динамический анализ файлов.
    1. На SFR модуль приходит файл и необходимо определить диспозицию файла (степень его вредоносности). Для этого SFR модуль опрашивает FMC, FMC смотрит локальную базу и, если диспозиция известна, возвращает ответ.
    2. Если диспозиция неизвестна, FMC начинает с некоторой периодичностью опрашивать AMP облако.
    3. Если диспозиция не пришла (или пришла как Unknown) на сенсор в течении 200 мс, файл пропускается, а SFR модуль отправляет файл в облако TG (Threat Grid) для анализа.
    4. TG проверяет его на наличие вредоносного кода.
    5. После проверки TG передаёт диспозицию по данному файлу в AMP облако (хэш файла с пометкой).
    6. FMC периодически опрашивает AMP облако по тем файлам, которые ранее были отправлены для анализа. Получив эту информацию, FMC отмечает у себя в логах.
Источник: http://www.cbs.ru/site/faq/?section=9474#10650

Какие подписки на обновления необходимы, если на ASA 5500-Х реализуется какая-либо антивирусная защита?

Для традиционной системы Cisco IPS необходимо обновление базы сигнатур сетевого взаимодействия известных видов атак и вирусов (червей). Для обновления базы сигнатур необходима подписка, получаемая в рамках сервисного контракта SmartNet IPS Svc. Подписка может быть на год, два или три года. Варианты уровней поддержки SmartNet для ASA IPS аналогичны с любыми другими SmartNet.
Для системы ASA CX, реализованной как виртуальный блейд на ASA 5500-X необходима подписка Cisco ASA 5500-X Series CX Subscriptions.
Для открытия функционала NG IPS в рамках функционала CX необходимо наличие подписки на NG IPS. Данную подписку можно заказать либо как дополнение к подпискам CX, либо как отдельный партномер (например, ASA5512-IP3Y=).
Для перенаправление трафика в облачный сервис ScanSafe необходима также соответствующая подписка.
Подробное описание данных подписок приводится в статье Лицензирование Cisco ASA 5500 в разделе Cisco ASA 5500-X Series CX Subscriptions and ScanSafe.
Открытие сервисов FirePOWER на Cisco ASA рассмотрено в рамках отдельного вопроса «Как запустить сервисы FirePOWER на ASA 5500-X?».

Источник: http://www.cbs.ru/site/faq/?section=9474#10650

Может ли ASA 5500-X использоваться как средство антивирусной защиты на периметре корпоративной сети?

Зависит от того, с каким типом вирусов хотим бороться. Если хотим бороться с вирусами типа «червь», то есть предотвращать распространение вирусного кода от инфицированной машины к незаражённым хостам, можно использовать ASA 5500-X с функционалом IPS. Система IPS также направлена на предотвращение других видов атак на корпоративную сеть, в том числе, на предотвращение DDOS атак.
Ранее МСЭ серии ASA5500-X предлагало два варианта IPS: традиционную систему Cisco IPS и Next Generation IPS (NG IPS), доступную в рамках функционала CX.
Начиная с августа 2014 года на межсетевых экранах ASA 5500-X стали доступны сервисы FirePOWER. Сервисы FirePOWER включают NG IPS от компании SourceFIRE, Application Visibility and Control (AVC), URL-фильтрацию и функционал Advanced Malware Protection (AMP). Функционал NG IPS от SourceFIRE является лучшим решением в области систем обнаружения и предотвращения вторжений на рынке ИБ по результатам рейтингового агентства Gartner, независимой лабораторией тестирования NSS Labs и других. Поэтому, на данный момент времени при необходимости запуска IPS на МСЭ Cisco ASA 5500-X, решение FirePOWER является предпочтительным. Более подробную информацию можно найти в вопросе «Как запустить сервисы FirePOWER на ASA 5500-X?».
IPS предполагает предотвращение вирусных атак типа «червь», то есть защищает от вирусов, проявляющих себя в сетевом взаимодействии, не даёт вирусному коду распространятся от зараженного устройства к другим компьютерам по корпоративной сети. Если же мы хотим бороться с проникновением вирусного кода на хосты за МСЭ из глобальной сети, например, в результате посещения вирусных сайтов, атак типа fishing, есть следующие варианты:
  1. Блокировка «подозрительных» URL посредством функционала FirePOWER. В рамках функциональности URL-фильтрации есть возможность блокировать доступ как по категориям сайтов, так и по значениям репутаций сайтов.
  2. Проверка файлов, пересылаемых через МСЭ ASA 5500-X на наличие вирусного кода, посредством функционала FirePOWER AMP. Более подробную информацию данному функционалу можно найти в вопросе «Что такое Advanced Malware Protection (AMP)?»
Для организации максимальной защиты корпоративной сети от внешних угроз средствами МСЭ Cisco ASA 5500-X рекомендуется использовать сервисы FirePOWER в максимальной возможной комплектации, а именно, NG IPS+URL-filtering+AMP.
В качестве альтернативного и более мощного решения для антивирусной защиты и зашиты от спама на периметре корпоративной сети рекомендуется ознакомиться с Web-шлюзом Cisco WSA (Web Security Appliance) и Email-шлюзом Cisco ESA (Email Security Appliance).

Источник: http://www.cbs.ru/site/faq/?section=9474#10650

Что такое Cisco Smart Software Licensing?

Cisco Smart Software Licensing – схема лицензирования продуктов Cisco, предоставляющая возможности по централизованному управлению лицензиями на ПО (приобретение, развертывание, контроль, отслеживание и т.п.) через портал Smart Software Manager. Основное направление этой схемы – это отказ от установки лицензионных файлов непосредственно на устройства. Вместо этого, на устройстве, достаточно будет активировать новую схему лицензирования и зарегистрировать его в Smart Software Manager, используя уникальный idtoken. Благодаря настроенной регистрации, устройство будет самостоятельно, раз в 30 дней, проверять актуальность активированных на нем лицензий. В случае невыполнения подтверждения актуальности лицензии (например, отсутствует доступ в интернет на устройстве) будет произведен «откат» на лицензии по умолчанию (например, актуально для ASAv), либо будет запущен «льготный» период на 90 дней, по завершению которого лицензии будут отозваны (например, актуально для сервисов Firepower). Доступ в интернет для устройства, с целью проверки лицензий, может быть реализован напрямую или с использованием HTTP прокси.
Для работы данной схемы лицензирования компания заводит Smart Account. Именно в нём происходит управление лицензиями.

Источник: http://www.cbs.ru/site/faq/?section=9474#10650

Можно ли считать ASA5506 прямой заменой ASA5505?

Наиболее существенное функциональное отличие ASA5506 от ASA5505 заключается в отсутствии встроенного коммутатора. ASA5506 оснащена восемью маршрутизируемыми (L3) портами 1Гбит/с. Функция PoE также не доступна на ASA5506. Таким образом, для разворачивания минимальной инфраструктуры в офисе Cisco рекомендует использовать ASA5506 в паре с SMB коммутатором. Например, наиболее доступным вариантом может послужить использование неуправляемых гигабитных коммутаторов SG110D-08 и SG110D-05. Из-за отсутствия встроенного коммутатора ASA5506 не сможет послужить прямой заменой ASA5505 для некоторых инсталляций.
UPD 16-02-2017. При использовании программного обеспечения FTD 6.2, а также версии ASA OS 9.7.1 и выше, есть возможность использовать Integrated Routing and Bridging. Более того, для ASA5506 по умолчанию будет предоставляться конфигурация, в которой порт Ge1/1 – внешний интерфейс, а порты Ge1/2 – Ge1/8 объединены в Bridged-группу, то есть эмулируют аппаратный коммутатор. Таким образом, ASA5506 с указанным ПО сможет заменить ASA5505 без покупки дополнительного коммутатора.
ASA5506 построен на базе более производительной платформы. Оснащена более мощным процессором, 4 ГБ RAM и 8 ГБ flash-памяти. Кроме того, ASA 5506 имеет встроенный SSD диск, что позволяет разворачивать на устройстве сервисы FirePOWER без каких-либо дополнительный аппаратных средств. Наиболее значимые отличия можно свести в таблицу:
 ASA 5505 / Security Plus
ASA 5506 / Security Plus


Максимальная пропускная способность МСЭДо 150 Мбит/сДо 750 Мбит/с
Встроенные интерфейсы8 L2 интерфейсов 100 Мбит/с8 L3 интерфейсов 1 Гбит/с
Поддержка PoEEthernet 0/6 и 0/7 поддерживают PoEНет
Сервисы FirePOWERНетПлатформа полностью готова для запуска сервисов FirePOWER

Управление FirePOWER как с помощью ASDM, так и с помощью выделенной централизованной системы FireSIGHT

При запущенных сервисах AVC+NGIPS+AMP производительность устройства составляет 40 Мбит/с
Максимальное количество одновременных сессий10,000/25,00020,000/50,000
Максимальное количество VPN-туннелей IPsec IKEv110/2510/50
Максимальное количество подключений AnyConnect или безклиентских подключений252/50
Максимальное количество поддерживаемых VLAN3 (802.1q не доступен) / 20 (802.1q доступен)5/30
Высокая доступность*только Stateless Active/Standby FailoverStateless так и Statefull Active/Standby Failover
ПитаниеAC/DCтолько AC
Режим Active/Active Failover не поддерживается обеими моделями
Хотелось бы отметить два наиболее важных отличия в схемах лицензирования. Первое – в отличие от ASA5505, новая модель ASA5506 поставляется без ограничений на подключаемых пользователей. Второе отличие связано c Security Plus лицензией. Для ASA5505 без Sec Plus мы имели только 3 Vlan, и, следовательно, 3 маршрутизируемых интерфейса. При этом, третий Vlan и интерфейс был функционально ограничен – трафик третьего интерфейса мог инициировать сессии в сторону только одного соседнего интерфейса. В сторону второго соседнего интерфейса идти не мог. Таким образом, для реализации полноценного DMZ на ASA5505 требовалась Sec Plus лицензия. Новая модель ASA5506 оснащена восемью полноценными маршрутизируемыми интерфейсами и поддерживает до 5 Vlan в базовой лицензии. Таким образом, базовая лицензия позволяет задействовать все восемь физических L3 интерфейсов и сконфигурировать до пяти логических субинтерфейсов. Всего можно настроить и маршрутизировать 13 подключенных непосредственно IP-подсетей.
ASA5506 имеет две особые модификации: ASA 5506W – со встроенной точкой доступа и ASA 5506H – в защищенном исполнении.
На данный момент времени (декабрь 2015) информация о планах завершения продажи/поддержки (End-of-Sale, End-of-life) для модели ASA 5505 не поступала со стороны производителя.

Источник: http://www.cbs.ru/site/faq/?section=9474#10650

Каковы особенности новых моделей Cisco ASA 5506-X, 5508-X и 5516-Х?

В апреле 2015 года компания Cisco анонсировала пять новых моделей Cisco ASA: 5506-X, 5506W-X, 5506H-X, 5508-X и 5516-X.
Отличительной особенностью всех указанных моделей является наличие встроенного SSD-диска, который позволяет сразу запускать FirePOWER Services, т.е. весь расширенный функционал – NGFW, NGIPS, URL-фильтрация, AMP и т.д. Сервисы FirePOWER могут быть настроены из встроенной консоли управления ASDM. Однако наличие отдельных Defence Center для новых моделей Cisco ASA требуется для выполнения некоторого функционала, в частности, для построении отчётов. Особенности каждой модели представлены в таблице ниже:

Cisco ASA 5506-XCisco ASA 5506W-XCisco ASA 5506H-XCisco ASA 5508-XCisco ASA 5516-X
Более производительная замена ASA 5505. Для новой модели 5506-Х, в отличие от 5505, отсутствуют лицензии на количество пользователей.ASA 5506-X с интегрированной точкой доступа Cisco AP702i.ASA 5506-X в защищенном исполнении для индустриальных и промышленных предприятий. Рабочие температуры -20 – 60 С, IP40.Более производительная замена ASA 5512-X.Более производительная замена 5512-X и 5515-Х.
Источник: http://www.cbs.ru/site/faq/?section=9474#10650