8. Особенности работы отдела безопасности корпоративных сетей

# 8. Особенности работы отдела безопасности корпоративных сетей Дана сеть ![](https://i.imgur.com/Q5M7xIX.png) Сделаем wipe всех нод. В сети присутствует DHCP сервер, который раздает адреса клиентам в разных vlan, сами клиенты находятся за разными роутерами, а некоторые в удаленных офисах. Поэтому в сети должны использоваться dhcp relay. Далее видим, что ядро сети состоит роутеров, объединенных в отказоустойчивую конфигурацию. Далее видим что в сети есть домен OSPF, который составляют: - CORE-1 - CORE-2 - WAN-RT Далее видим, судя что удаленные офисы объеденены через DMVPN поверх IPSEC. Также видим наличие BGP - WAN-RT - BR1-RT - BR2-RT Запустим часть сети, посмотрим получают ли адреса машины во вланах - vlan 10 - vlan 20 - vlan 30 Зайдем на DHCP сервер, проверим что он работает Посмотрим интрефейсы ![](https://i.imgur.com/QcEELEp.png) Интерфес пингуется с самого себя ![](https://i.imgur.com/5jyuhea.png) Конфигурация ![](https://i.imgur.com/UQCzfbg.png) ![](https://i.imgur.com/H4Rvedd.png) ![](https://i.imgur.com/BOrM1bD.png) Проверим доступность из ядра ![](https://i.imgur.com/1X3mZvY.png) Доступен Посмотрим получаютли клиенты адреса vlan10 получает ![](https://i.imgur.com/vLPxAxt.png) vlan20 не получает ![](https://i.imgur.com/XQMZfnc.png) Процесс DORA в фазе discover ![](https://i.imgur.com/h57sqqD.png) Vlan30 не получает ![](https://i.imgur.com/u95XI3E.png) Процесс DORA в фазе discover ![](https://i.imgur.com/IX761ah.png) vlan10 подключен к другому коммутатору, поэтому обратим внимание на коммутатор CO-LAN-SW-2 Посмотрим конфигурацию ![](https://i.imgur.com/RXYTIrt.png) Видим что включен dhcp snooping Убедимся ![](https://i.imgur.com/Vq6O3AM.png) Доверенных интерфейсов нет Добавим доверенный интерфейс в сторону CO-LAN-SW1 ![](https://i.imgur.com/5pgg4pt.png) Проверим результат vlan20 ![](https://i.imgur.com/Rmi2hso.png) vlan30 ![](https://i.imgur.com/6djWVQw.png) Двигаемся дальше Проверим доступность WAN-RT ![](https://i.imgur.com/KpakobH.png) Шлюз по умолчанию доступен ![](https://i.imgur.com/DCwItdD.png) Пойдем на шлюз, он же роутер ядра сети Видим сообщение об ошибке аутентификации протокола HSRP Этот протокол отвечает за отказоустойчивое объединение роутеров Посмотрим настройки HSRP ![](https://i.imgur.com/RDmfvC8.png) Посморим информацид о группе 5 ![](https://i.imgur.com/YeD3yoL.png) Видим что есть аутентификация Посмотрим конфиг ![](https://i.imgur.com/1C0X4Xc.png) Сменим пароль на обоих устройствах ![](https://i.imgur.com/omaEuHC.png) ![](https://i.imgur.com/Zw7jhlW.png) Аутентификация не установлена ![](https://i.imgur.com/Yk9muiH.png) Установим ![](https://i.imgur.com/UmzQGMZ.png) Аутентификация поднялась Видим ошибку дубликации адреса ![](https://i.imgur.com/V5sROGl.png) Посмотрим конфигурации ![](https://i.imgur.com/OhUVyaU.png) ![](https://i.imgur.com/xZ7OK7J.png) Видим что адрес 10.0.0.3 ошибочно установлен как standby на core 1, сменим его на 10.0.0.1 ![](https://i.imgur.com/Cvqwxx1.png) Ошибок аутенитификации HSRP больше нет ![](https://i.imgur.com/BmM9bFY.png) Однако видим что интерфейсы на Core-2 находятся не полном дуплексе изменим это административно ![](https://i.imgur.com/eMMAZVv.png) Видим сообщение что на Core-1 интерфейсы тоже находятся в полудуплексе изменим и там ![](https://i.imgur.com/CUgHP7e.png) Двигаемся дальше Проверим табицу маршрутизации на core-1 ![](https://i.imgur.com/UiA61ZS.png) видим что нет роутов OSPF Проверим соседей OSPF ![](https://i.imgur.com/EQG558G.png) Соседей нет Посмотрим интрефейсы ![](https://i.imgur.com/u67Ep13.png) Посмотрим конфигурацию ![](https://i.imgur.com/d93tldG.png) ![](https://i.imgur.com/5czV5HB.png) ![](https://i.imgur.com/6QWG1Lp.png) Нет ни активных интерфейсов (настроено на интерфейсах), ни анонса сетей. Есть две зоны. Установим Выведем из пассивного режима интерфейсы eth0/0.6, eth0/2 ![](https://i.imgur.com/PxhEWwQ.png) ![](https://i.imgur.com/UJlekgW.png) Добавим аннос сетей в зоне 1 (потом внимательнее посмотрел, можно было не добавлять, настроено на интефейсе) 10.100.100.0 24 10.10.10.0 24 10.10.20.0 24 10.10.30.0 24 ![](https://i.imgur.com/QzzUedQ.png) На core 2 ![](https://i.imgur.com/YsLz6Ze.png) ![](https://i.imgur.com/GUmX7eR.png) ![](https://i.imgur.com/AC0XzEY.png) Видим что еть проблемы аутентификации ospf ![](https://i.imgur.com/g0OTgEh.png) Исправим установим новый ключ на интерфейсе eth0/2 обоих роутерах ![](https://i.imgur.com/ZwVJVRi.png) ![](https://i.imgur.com/X5GTThV.png) Настроим ospf на wan-rt ![](https://i.imgur.com/ZLtqZhF.png) Переведем интерфейсы в полный дуплекс ![](https://i.imgur.com/4EKausk.png) ospf ![](https://i.imgur.com/lc9mUEG.png) ![](https://i.imgur.com/0wT7v7A.png) Интерфейсы выключены ![](https://i.imgur.com/UqSkP2d.png) Включим eth0/1.6 ![](https://i.imgur.com/qDKRF99.png) На core роутерах не включена аутентификация, включим ![](https://i.imgur.com/1LEPqjl.png) ![](https://i.imgur.com/nxAS83i.png) ![](https://i.imgur.com/D7I4Svx.png) Видим ошибки аутентификации на интерфейсе eth0/0.6 Установим новый ключ на обоих роутерах ![](https://i.imgur.com/NQ490bA.png) ![](https://i.imgur.com/ZjZ6gh8.png) ospf работает ![](https://i.imgur.com/geztYwV.png) wan-rt ![](https://i.imgur.com/UQy4luK.png) ![](https://i.imgur.com/1coquq4.png) ![](https://i.imgur.com/ePm7jYj.png) ![](https://i.imgur.com/La3kujt.png) Настроим аутентификацию ospf интерфейс между core и wan ![](https://i.imgur.com/YYbUwcx.png) ![](https://i.imgur.com/JJoIGCi.png) ![](https://i.imgur.com/5elYogU.png) Переходим дальше к wan-rt ![](https://i.imgur.com/q9ig2Zx.png) Как мы видели там редистриюция с bgp Включим остальную чать сети ![](https://i.imgur.com/a3aT0dM.png) Bgp построено поверх dmvpn Проверим dmvpn Настройки криптографии на wan-rt ![](https://i.imgur.com/7vJIJUC.png) Настройки криптографии на br2-rt ![](https://i.imgur.com/qfLcBMt.png) настройки туннеля на wan-rt ![](https://i.imgur.com/xfyalRV.png) настройки туннеля на br2-rt ![](https://i.imgur.com/AifSK0q.png) Видим что на wan-rt в протоколе nhrp не установлена аутентификация. Установим ![](https://i.imgur.com/1zzYsZ5.png) Проверим dmvpn wan-rt ![](https://i.imgur.com/DP3xxKl.png) br2-rt ![](https://i.imgur.com/D8ZSeYj.png) br1-rt ![](https://i.imgur.com/gQTdbFT.png) ![](https://i.imgur.com/J3YUz67.png) ![](https://i.imgur.com/ztdE4S9.png) Не установлена аутентификация с удаленными офисами ![](https://i.imgur.com/Pj43vkR.png) Установим сменим pre-shared-key local, remote на ciscobranch ![](https://i.imgur.com/qP4OXFD.png) ![](https://i.imgur.com/mUFUmoS.png) br1-rt ![](https://i.imgur.com/Uuh7sUm.png) Установим полный дуплекс заодно ![](https://i.imgur.com/jmku88C.png) br2-rt ![](https://i.imgur.com/4ziWPXJ.png) ![](https://i.imgur.com/aGtf9fS.png) dmvpn канал поднялся ![](https://i.imgur.com/OP4lbqP.png) ![](https://i.imgur.com/JkwVGWI.png) ![](https://i.imgur.com/PP3Vgng.png) ![](https://i.imgur.com/XvXwhCQ.png) ![](https://i.imgur.com/6Yc7BUl.png) ![](https://i.imgur.com/rQID5Jd.png) идем дальше мы уже видели ошибки аутенитификации Посмотрим внимательнее на домен bgp На br1-rt ![](https://i.imgur.com/8cP72d1.png) Только на нем одном из трех bpg роутеров указана аутентификация, уберем ее ![](https://i.imgur.com/2lLxWXQ.png) bgp поднялся ![](https://i.imgur.com/oVvG2Ud.png) ![](https://i.imgur.com/b8e9YuS.png) ![](https://i.imgur.com/JoXTrHo.png) ![](https://i.imgur.com/0vhAeWZ.png) Итак маршрутизация поднялась ![](https://i.imgur.com/4ZszYY5.png) ![](https://i.imgur.com/083x5Ze.png) ![](https://i.imgur.com/GEULIEX.png) Посмотрим получают ли адреса удаленные машины ![](https://i.imgur.com/NJpBxqJ.png) адреса машины не получают Посмотрим на коммутаторы ![](https://i.imgur.com/cC7NqpV.png) dhcp snooping не объявил доверенного интерфейса объявим ![](https://i.imgur.com/jURFrRJ.png) ![](https://i.imgur.com/5Jj2iw8.png) Bri1-it получил адрес ![](https://i.imgur.com/8pHw9a4.png) br2-it получил адрес ![](https://i.imgur.com/haTlnGd.png) br2-hr-ws получил адрес ![](https://i.imgur.com/Ypw64uV.png) hq-ws адрес не получил ![](https://i.imgur.com/3kQpNlC.png) изменим правило на br1-rt ![](https://i.imgur.com/uGg99Y8.png) Сеть работает. Далее для обеспечения тербуемого доступа необходимо проверить acl на оборудовании. И при необходимости используя на asa packet tracer проверить работу acl и внести необходимые изменнения. На тех протоколах, которые это поддерживают включить механизм аутентификации, по возможности используя метод основанный на ассиметричном криптографических ключах. Для управления vlan стоит рассмотреть возможность использования протокола VTP. Рассмотреть возможность организации dmz с двумя файрволами по границе внутренней и внешней сети. В сети организовать механизм обнаружения или предотвражения вторжения. Сами устройства cisco объединить единой системой аутентификации и авторизации. Также интегрировать устройства в систему мониторинга типа Zabbix. Ну и желательно обеспечить единую точку управления конфигурациями, типа NSO. core 1 acls ![](https://i.imgur.com/iH6kUsW.png) core 2 acls ![](https://i.imgur.com/QpnrfOz.png) wan-rt acls ![](https://i.imgur.com/RYY7yzK.png) asa acls ![](https://i.imgur.com/NF0SetA.png) edge acls ![](https://i.imgur.com/EYPUmm8.png) br1-rt ![](https://i.imgur.com/l0rGZq3.png) br2-rt ![](https://i.imgur.com/jmUu2zn.png) Увы, исправить доступы не успел.