Arquivo da categoria ‘Secutiry’

E ai pessoal…

Good news!!! Principalmente pq este é um assunto que interessa muito a vocês…

Depois de um tempo estudando e aprimorando, consegui realizar com sucesso um ataque do tipo Man In The Middle (MiTM).

As ferramentas utilizadas foram o SSLStrip e o Ettercap apenas, ambos softwares do Backtrack… Mas o que esse MiTM significa exatamente e o que da pra fazer com isso? Bom, vou responder com uma imagem… observem o usuário, senha e site da figura abaixo.

SSLSTRIP+ETTERCAP

 

Pois é! Você consegue pegar a senha de qualquer site que use https, tipo facebook, gmail, hotmail, etc. Simples assim…

Então em breve teremos mais um vídeo mostrando como fazer esse tipo de ataque!

Até logo,

Bartulihe

Ontém, 26/7, a Cisco finalmente lançou a tão esperada versão 1.2 do Cisco Identity Services Engine (ISE).

O Release Notes pode ser encontrado nesse link.

ISE 1.2 002

Essa versão trás grandes melhorias!!! Talvez a principal seja a alteração da arquitetura de x86 para x64. Com isso haverá melhor performance e escalabilidade, tornando o ISE ainda mais rápido. A versão x86 suportava até 100k endpoints simultâneos, já a x64 suporta até 250k.

A tela inicial mudou um pouco:

ISE_Tela Inicial

E a tela de Authentications também:

AuthenticationsA imagem abaixo resume as principais melhorias.

Huge Release

Os appliances 33×5 (ISE-3315-K9, ISE-3355-K9 e ISE-3395-K9) entraram em end-of-life, conforme anúncio que pode ser visto neste link.

Agora os appliances utilizandos são os Cisco Secure Network Servers, que são baseados no UCS C220, mas designados para o ISE, NAC e ACS. Os novos servidores são SNS-3415-K9 e SNS-3495-K9. O dimensionamento é feito utilizando a tabela abaixo.

ISE Sizing

Outra melhoria interessante é o Logical Profiles. Com ele você pode criar um grupo de determinados dispositivos que compartilham a mesma regra e usar estre grupo em uma Authorization Policy. Um exemplo de aplicação é criar um Logical Profile para dispositivos móveis, incluindo Android, iPhone, iPad, etc.

Antes da release 1.2 a AuthZ Policy precisava ser criada assim:

AuthZ_Policy

Agora é criada assim:

AuthZ_Policy_New

Criar o Logical Profile é bem simples:

Logical Profiles Creation

Outra aguardada melhoria foi o dACL Checker, que verifica se a sintaxe da Access List está correta. Isso certamente irá poupar muitos erros por falta de atenção…

dACL_Checker_001

dACL_Checker_002

dACL_Checker_003

Também houveram melhorias no Guest Portal, tornando-o mais amigável em dispositivos móveis. Em outras palavras, agora não é necessário que o usuário fique dando zoom para entrar com as credenciais. A imagem abaixo exibe a tela de um iPad.

Guest Portal iPad

Os MDM suportados são:

  • AirWatch Version 6.2
  • Mobile Iron Version 5.0
  • ZenPrise Version 7.1
  • Good Version 2.3
  • SAP Sybase

Apenas UM MDM pode estar ativo ao mesmo tempo no Cisco ISE.

Agora que você viu quantas melhoras existem nessa versão, deve estar ansioso para testá-la. Neste link você encontra o upgrade guide para versão 1.2, informando todos os passos para instalar uma fresh version, ou fazer o upgrade.

Vale ressaltar essa excelente apresentação que eu encontrei com muito mais detalhes sobre as novas features da release 1.2 do Cisco ISE… link.

Se você gostou desse post, se increva em meu blog para receber atualizações por e-mail e deixe seu comentário… o incentivo é muito importante. E se não gosto, deixe um comentário também dizendo o motivo!

Se increvam no meu canal do YouTube tambem: www.youtube.com/mbartulihe

Marco Bartulihe

Gerenciar uma grande quantidade de senhas não é tarefa fácil… Senhas de acesso à rede, acesso aos equipamentos, acesso ao e-mail e aos sistemas da empresa , etc. Geralmente cada empresa que faz determinada implantação cria usuários locais para os respectivos equipamentos implantados. No final das contas você tem que criar uma planilha mapeando os endereços IP e sistemas às suas respectivas senhas… a famosa planilha de senhas!

O ideal é unificar todas essas senhas e acessos. Praticamente todas as empresas utilizam o Active Directory como Identity Store. Este é o seu usuário e senha para acessar o e-mail da empresa, entrar nos sistemas, etc. Sendo assim, uma boa prática é criar um grupo especifico no AD como, Technical Team, por exemplo, e os usuários deste grupo possuirem permissões para acessar os equipamentos.

No post Acessando a CLI de Roteadores e Switches utilizando o Cisco ISE (Radius) mostrei como utilizar o Cisco ISE para autenticar os usuários que acessam roteadores e switches, as credenciais podiam ser validadas através do AD.

Hoje mostrarei como configurar a própria gerência do Cisco ISE para utilizar os usuários de determinado grupo do Active Directory.

O primeiro passo é associar o Cisco ISE ao AD. Para isso acesse Administration > Identity Management > External Identity Sources. Selecione Active Directory. Preencha com o nome do domínio, de um nome para este AD. Clique em Save e depois Join.

Quando solicitado, entre com as credeciais de administrador do AD. Estando tudo ok, em status mostrará Connected to: nome do AD, conforme exibe a imagem abaixo.

ISE-AdminUser-AD_001

Agora vamos buscar os grupos do AD. Para isso, clique na guia Groups > Add > Select Groups From Directory. Na tela que aparecer, clique em Retrieve Groups. Selecione o grupo que será utilizado (neste exemplo, Technical Team) e clique em OK.

ISE-AdminUser-AD_002

O próximo passo é configurar a gerência do ISE para utilizar o AD. Selecione Administration > System > Admin Access. Clique em Authentication e selecione, em Identity Source, o AD previamente adicionado. Clique em Save.

ISE-AdminUser-AD_003

No menu esquerdo, expanda Administrators, clique em Admin Groups e depois em Add.

ISE-AdminUser-AD_004

Na tela que aparecer, preencha com o nome e uma descrição para este grupo e em Type, marque External. Em External Groups, selecione o grupo do AD que terá permissão para acessar o Cisco ISE. Clique em Submit.

ISE-AdminUser-AD_005

Agora precisamos definir qual o perfil de autorização que este grupo terá, ou seja, se este grupo será um Super Admin, Helpdesk Admin, Network Device Admin, entre outros. Para isso, no menu esquerdo, expanda Authorization e clique em Policy. Insira uma nova Policy, clicando em Actions e selecionando Insert New Policy.

Dê um nome para esta regra e selecione o grupo criado anteriormente (External System Admin) e o respectivo nível de permissão. Neste exemplo, Super Admin.

ISE-AdminUser-AD_006

Feito!

Agora vamos testar… Clique em logout. Será exibida a tela abaixo.

ISE-AdminUser-AD_007.1Note que agora há uma nova opção: Identity Source. Preencha com as credenciais do AD, não esquecendo de selecionar o AD como Identity Source.

Agora você está logado no ISE utilizando suas credenciais do AD!!!

ISE-AdminUser-AD_008

Outra coisa interessante é que agora cada usuário que acessa o Cisco ISE utiliza a sua própria conta ao invés de uma conta de admin compartilhada entre diversas pessoas. Sendo assim, é possível extrair relatórios dizendo quem e quando acessou o ISE.

Para isso, selecione Operations > Reports > Catalog > Server Instance > Server Administrator Logins. Escolha o período e clique em Run.

ISE-AdminUser-AD_009

A imagem abaixo exibe o relatório gerado, mostrando quem e quando logou, deslogou, falhas de autenticação, etc.

ISE-AdminUser-AD_010

Bom, é isso ai pessoal. Espero quem tenham gostado e que seja útil para bastante gente.

Se inscrevam em meu blog para receberem as novidades por e-mail e no meu canal do youtube também: www.youtube.com/mbartulihe

Até a próxima.

Bartulihe

Quando o Cisco ISE foi lançado, ele foi anunciado como o novo ACS, unindo as funcionalidades do ACS e NAC (além de diversas melhorias). No entanto, rapidamente observou-se que estava “faltando” o suporte a Tacacs+ no Cisco ISE.

Tacacs+ está no Road Map do ISE, mas não apareceu na versão 1.0, 1.1 e nem 1.2… Quem sabe apareça na 2.0.

Portanto, se hoje você for fazer um projeto que inclua o Cisco ISE e o cliente também fizer questão de Tacacs+ é necessário posicionar o ISE e o ACS.

Mas, Radius ou Tacacs+? Qual e por quê?

Ambos protocolos são destinados a validar a identidade de um usuário (Authentication), atribuindo o devido perfil de acesso (Authorization) e fazendo o logging (Accounting) – AAA.  As semelhanças entre os dois protocolos são muitas, mas também existem diferenças. Uma comparação detalhada pode ser encontrada nesse link.

As principais diferenças são que Tacacs+ é proprietário da Cisco, ou seja, só funciona se você estiver utilizando equipamentos Cisco. Outra grande diferença é que no Tacacs+ é possível autorizar ou bloquear comandos específicos (Command Authorization), ou seja, quando o usuário acessa determinado equipamento e aplica um comando, antes do mesmo ser executado, ele é enviado ao servidor de autenticação (ACS) que diz se tal usuário pode ou não executá-lo.

Historicamente, Radius é utilizado para autenticar usuários da rede (end users) e Tacacs+, usuários de gerência de equipamentos (device administrators), mas na minha opinião isso ocorre pois “sempre configuramos dessa forma” e é assim que as Best Practices mandam fazer. Contudo, posso dizer que raramente vi Command Authorization sendo implementado. O que sempre vejo é a existência de dois grupos, um com privilégio de Leitura e Escrita (RW) e outro somente com permissão para Leitura (RO) e isso é mais do que suficiente para as necessidades da maioria das empresas.

Se essas são as necessidades, é perfeitamente possível a utilização de Radius para autenticar tanto end users quanto device administrators.

O que eu vou mostrar neste post é a configuração de um roteador Cisco para realizar a autenticação de usuários de gerência utilizando Radius (no Cisco ISE) e criação de dois grupos de usuários, um com permissão RO e outro com RW. Também será realizado o Accounting, informando quem e quando acessou qual equipamento.

Inicialmente, vamos configurar o Roteador (poderia ser também um Switch).

Configuração do Roteador

Serão exibidas apenas as configurações relevantes para esse Lab.

O Cisco ISE será utilizado para autenticar o usuário de gerência, realizando fallback para base local no caso ISE estiver indisponível (Unreachable).

1 – Criar um usuário na base local do Router para ser utilizado como fallback:

R1#conf t
R1(config)#username marco.bartulihe privilege 15 password 0 b@rtulih3

2 – Habilitar AAA

R1(config)#aaa new-model

3 – Habilitar o acesso a Console, sem autenticação

R1(config)#aaa authentication login default none

4 – Criar uma “authentication list” (neste exemplo chamada de AuthCLI, utilizando primeiramente Radius e Local como fallback

R1(config)#aaa authentication login AuthCLI group radius local

5 – Habilitar o acesso a Console, sem autorização

R1(config)#aaa authorization exec default none

6 – A Authentication List chamada de AuthCLI utilizará Radius e a base Local

R1(config)#aaa authorization exec AuthCLI group radius local

7 – Para cada login realizado ou finalizado é enviado um pacote com o Accouting

R1(config)#aaa accounting exec default start-stop group radius

8 – Definir o Radius Server (IP do Cisco ISE, neste exemplo, 192.168.1.200) e a Key (neste exemplo, Cisco123.)

R1(config)#radius-server host 192.168.1.200 auth-port 1645 acct-port 1646 key Cisco123.

9 – Aplicar a Authentication List AuthCLI ao acesso via telnet ou SSH (VTY Lines)

R1(config)#line vty 0 15
R1(config-line)#authorization exec AuthCLI
R1(config-line)#login authentication AuthCLI

10 – Salvar as configurações

R1(config-line)#end

R1#wr

Em suma, as configuração são:

Configurações Globais:

username [USER] privilege 15 password 0 [PASSWORD]

aaa new-model

aaa authentication login default none

aaa authentication login [AUTHLIST] group radius local

aaa authorization exec default none

aaa authorization exec [AUTHLIST] group radius local

aaa accounting exec default start-stop group radius

radius-server host [IP_ISE] auth-port 1645 acct-port 1646 key [KEY]

Configuração da Line VTY

line vty 0 15

authorization exec VTY

login authentication VTY

Configurações do Cisco ISE

A primeira etapa é adicionar o Roteador como um Network Device, para facilitar a administração, vamos criar um grupo, chamado Routers e adicionar a localização, neste exemplo, Laboratório.

Acessar Administration > Network Resources > Network Device Groups. Expandir Groups, clicar em All Device Types e Add.

Admin_Access_with_ISE_001

Preencher os campos e clicar em Submit.

Admin_Access_with_ISE_002

Clicar em All Locations e depois em Add.

Admin_Access_with_ISE_003

Preencher os campos e clicar em Submit.

Admin_Access_with_ISE_004

Acessar Administration > Network Resources > Network Device e clicar em Add.

Admin_Access_with_ISE_005

Preencher com o Name, Description, IP Address, Location, Device Type. Checar a checkbox Authentication Settings e preencher com a Shared Secret. Neste exemplo, a Key (ou Shared Secret) configurada no roteador foi Cisco123.

Clicar em Submit.

Admin_Access_with_ISE_006

Pronto, o roteador foi acionado como um Network Device.

Admin_Access_with_ISE_007

Agora vamos criar dois grupos, um chamado de Network Admins, no qual serão inseridos usuários com privilégio de leitura e escrita e outro grupo chamado de Network Read Only, que como o nome já diz, terá usuários com acesso de leitura apenas.

Acessar Administration > Identity Management > Groups. Clicar em User Identity Groups e Add.

Admin_Access_with_ISE_008

Preencher com o Name e Description e clicar em Submit.

Admin_Access_with_ISE_009

Repetir o processo para criar o grupo Network Read Only.

Admin_Access_with_ISE_010

Agora vamos criar os usuários. Neste exemplo criarei o usuário administrator, que irá pertencer ao grupo Network Admins e o usuário readonly, que pertencerá ao grupo Network Read Only.

Acessar Administration > Identity Management > Identities. No menu esquerdo, clicar em Users e em Add.

Admin_Access_with_ISE_011

Preencher os campos Name, e-mail, Password, etc, observando que o status deve estar como Enabled e em User Group, adicionar o usuário ao respectivo grupo (Network Admins ou Network Read Only). Clicar em Submit.

Admin_Access_with_ISE_012

Admin_Access_with_ISE_013

A tela a seguir exibe os usuários criados.

Admin_Access_with_ISE_014

Neste exemplo estamos usando a base de usuários interna do Cisco ISE, mas poderíamos integrá-lo com o AD e utilizar os usuários de lá.

O próximo passo é criar uma policy chamada Allowed Protocols e permitir apenas o protocolo PAP que é o utilizado no login via CLI nos equipamentos Cisco. Com isso nós tornamos a nossa regra de autenticação (ainda não criada)  mais específica, eliminando a possibilidade de conflitos com outras regras.

Para isso acesse Policy > Policy Elements > Results. No menu esquerdo, expandir Authentication, clicar em Allowed Protocols e depois em Add.

Admin_Access_with_ISE_015

Preencher com o Name desta Policy, Description e selecionar apenas Allow PAP/ASCII. Clicar em Submit.

Admin_Access_with_ISE_016

A figura abaixo exibe a policy PAP criada.

Admin_Access_with_ISE_017

Agora vamos criar a Authentication Policy neste exemplo chamada de CLI Access. Essa policy diz que se o device pertencer ao grupo Routers E o Radius:NAS-Port-Type for Virtual, então é permitido o protocolo PAP e a autenticação é realizada utilizando a base interna do ISE.

Para tal, acesse Policy > Authentication. No ícone da engrenagem, clicar em Insert new rule above.

Admin_Access_with_ISE_018

Preencher com o nome desta Policy, neste exemplo, chamada de CLI Access. Em conditions, clicar em Create New Condition (Advanced Option).

Admin_Access_with_ISE_019

Selecionar DEVICE > Device Type EqualsRouters. Clicar na engrenagem e em Add Attribute Value.

Admin_Access_with_ISE_020

Selecionar Radius > NAS-Port-Type Equals Virtual.

Admin_Access_with_ISE_021

Em Allowed Protocols, selecionar a regra PAP, criada anteriormente.

Admin_Access_with_ISE_022

Rolar a página até o final e clicar em Save.

A imagem abaixo sumariza a Authentication Policy criada.

Admin_Access_with_ISE_023

Agora vamos criar dois perfis de autorização, chamados de CLI-RW e CLI-RO.

O Authorization Profile CLI-RW envia o Cisco AV-pair “shell:priv-lvl=15Radius:Service Type “Login”.

O Authorization Profile CLI-RO envia o Cisco AV-pair “shell:priv-lvl=7Radius:Service Type “Login”.

Acesse Policy > Policy Elements > Results. No menu lateral, expanda Authorization, clique em Authorization Profiles e depois em Add.

Admin_Access_with_ISE_025

Criar o Authorization Profile CLI_RW, conforme imagem abaixo:

Admin_Access_with_ISE_026

*shell:priv-lvl=15 precisa ser digitado.

Criar o Authorization Profile CLI_RO, conforme imagem abaixo:

Admin_Access_with_ISE_027

*shell:priv-lvl=7 precisa ser digitado.

Agora o último passo: criação das Authorization Policies. Para tanto acesse Policy > Authorization e crie duas regras, neste exemplo, chamadas de Cisco Routers and Switches RWCisco Routers and Switches RO. A primeira diz que se o User Identity Group for Network Admins e o Device Type for Routers, então é aplicado o Authorization Profile CLI_RW. Já a segunda diz que se o User Identity Group for Network Read Only e o Device Type for Routers, então é aplicado o Authorization Profile CLI_RW.

Admin_Access_with_ISE_028

Agora vamos aos testes.

No router, por meio do acesso via console, foram habilitados os debugs:

debug aaa authentication

debug aaa authorization

Realizando um acesso via telnet com as credenciais de administrador:

Admin_Access_with_ISE_029

Realizando um acesso via telnet com as credenciais de read only:

Admin_Access_with_ISE_030

No Cisco ISE, em Operations > Authentications é possível ver ambas autenticações realizadas e os Authorization Profiles atribuidos.

Admin_Access_with_ISE_031

Também é possível, através do Cisco ISE, ver o Accouting realizado. Para tal, acessar Operations > Reports > Catalog > AAA Protocol > RADIUS Accouting.

Admin_Access_with_ISE_032

Admin_Access_with_ISE_032

Start e Stop dos acessos, informando a data, usuário e IP.

Admin_Access_with_ISE_033

Por fim, lembram que bem no começo nós configuramos um usuário local no Router (Usuário: marco.bartulihe Password: b@rtulih3)?

Se tentarmos acessar o roteador com este usuário/senha, não será possível, pois roteador irá direcionar a autenticação para o Cisco ISE, que vai dizer que este usuário e senha não existe em sua base interna.

Admin_Access_with_ISE_034

No entanto, se o ISE ficar indisponível, será possível utilizar este usuário/senha (fallback configurado no router). Como este é um Laboratório, pausando a VM do Cisco ISE para que ele fique unreachable e acessando novamente, com este usuário e senha:

Admin_Access_with_ISE_035

Portanto, utilizando o Cisco ISE e, consequentemente, o protocolo RADIUS, é possível diferenciar usuários com privilégio de RW e RO, suprindo a necessidade da grande maioria das implantações.

E ai pessoal, enfim estou postando a parte 4/4, configurando o Client.

Por favor, ajudem a divulgar o vídeo se incrivendo no meu canal do YouTube (é só clicar neste link) e clicando em like no vídeo…

Comentários, críticas e sugestões são sempre bem-vindas!

Ahh, o áudio está ruim, mas era o que dava pra fazer com o mic do próprio note. Pelo menos o vídeo está em HD. Talvez, mais para frente eu coloque legendas no vídeo.

Abs.,

Bartulihe

Continuando…

Parte 3/4. Agora vamos configurar o Cisco ISE.

Espero que gostem… Se inscrevam no meu canal do YouTube, é só clicar neste link. Se inscrevam no blog também, assim vocês receberão atualizações sempre que um novo post ou vídeo for adicionado! 🙂

Comentários, críticas e sugestões são sempre bem-vindas!

Novamente, o áudio está ruim, mas era o que dava pra fazer com o mic do próprio note. Pelo menos o vídeo está em HD. Talvez, mais para frente eu coloque legendas no vídeo.

Até o próximo vídeo (Configuração do Client)!!!!

Abs.,

Bartulihe

Continuando a sequência…

Parte 2/4. Agora vamos configurar o WLC para suportar o Cisco ISE. A configuração é bem simples, tanto é que o vídeo tem apenas 5 minutos.

Espero que gostem… Se inscrevam no meu canal do YouTube, é só clicar neste link. Se inscrevam no blog também, assim vocês receberão atualizações sempre que um novo post ou vídeo for adicionado! 🙂

Comentários, críticas e sugestões são sempre bem-vindas!

Novamente, o áudio está ruim, mas era o que dava pra fazer com o mic do próprio note. Pelo menos o vídeo está em HD. Talvez, mais para frente eu coloque legendas no vídeo.

Até o próximo vídeo (Configuração do Cisco ISE)!!!!

Abs.,

Bartulihe