Cisco IPS y la cuenta de servicio

La cuenta de servicio es una herramienta para dar soporte y solucionar problemas que permite conectarte al sistema operativo nativo de las sondas (un Linux).

Estas cuentas no existen por defecto en los IDS y no tienen acceso directo al CLI sino que se conectan directamente a un bash shell. Unicamente se puede crear una cuenta con este role.

Veamos un ejemplo:

Una vez conectado al IDS. Entrar en el modo configure terminal:

ciscoids# configure terminal

Posteriormente se crea la cuenta de servicio:

ciscoids(config)#username alex privilege service password alex1969

ciscoids# show users all

CLI ID User Privilege

* 488 cisco administrator

alex service

operador viewer

Una vez creada vemos que se ve al conectarnos con la cuenta de servicio:

login as: alex
Password: alex1969
***NOTICE***This product contains cryptographic features and is subject to United Statesand local country laws governing import, export, transfer and use. Deliveryof Cisco cryptographic products does not imply third-party authority to import,export, distribute or use encryption. Importers, exporters, distributors andusers are responsible for compliance with U.S. and local country laws. By usingthis product you agree to comply with applicable laws and regulations. If youare unable to comply with U.S. and local laws, return this product immediately.
A summary of U.S. laws governing Cisco cryptographic products may be found at:http://www.cisco.com/wwl/export/crypto/tool/stqrg.html
If you require further assistance please contact us by sending email toexport@cisco.com.Press Enter to continue
************************ WARNING ************************UNAUTHORIZED ACCESS TO THIS NETWORK DEVICE IS PROHIBITED.This account is intended to be used for support andtroubleshooting purposes only. Unauthorized modificationsare not supported and will require this device to bere-imaged to guarantee proper operation.************************************

Ahora vamos a conectarnos como superusuario tecleando:

-bash-2.05b$ su -

Password: alex1969 (la de cuenta "alex")

Personalmente yo lo he utilizado cuando he tenido problemas actualizando el fichero de firmas. Se ha solucionado reiniciando el proceso del CIDS.

-bash-2.05b# /etc/init.d/cids stop

Shutting down CIDS:

Remove cidmodcap:

Remove cidmodcap node:

-bash-2.05b# cd /usr/cids/idsRoot/var/virtualSensor

-bash-2.05b# /etc/init.d/cids start

startChecking kernel allocated memory: [ OK ]

Load cidmodcap:Create node:

Starting CIDS:

Firewall Service Module (FWSM)

Dentro de los firewalls que Cisco tiene entre sus productos esta el Firewall Service Module (FWSM) que es un modulo que se puede instalar en los Catalyst 6500 series switches o en los Cisco 7600 series routers.
En el caso de los Catalyst 6500 series switches, se requieren los siguientes componentes:
- Supervisor engine con software Cisco IOS .
- Multilayer Switch Feature Card (MSFC) 2 con Cisco IOS software.

Configuración en el switch:

1) Asignar VLANs al Firewall Services Module
firewall vlan-group 1 10,15,20,25
firewall module 1 vlan-group 1

2) Añadir Switched Virtual Interfaces al MSFC
interface vlan 20
ip address 192.168.1.1 255.255.255.0

Configuración en el FWSM:
1) Configurar interfaces en FWSM
interface vlan 20
nameif outside
security-level 0
ip address 192.168.1.2 255.255.255.0
interface vlan 10
nameif inside
security-level 100
ip address 10.1.1.1 255.255.255.0
interface vlan 15
nameif dmz1
security-level 60
ip address 192.168.2.1 255.255.255.224
interface vlan 25
nameif dmz2
security-level 50
ip address 192.168.3.1 255.255.255.224

2) Configurar ruta por defecto (al MSFC):
route outside 0.0.0.0 0.0.0.0 192.168.1.1

SNRS será el siguiente

He estado revisando cual va a ser mi próximo examen y el elegido ha sido "Securing Networks with Cisco Routers and Switches (SNRS) ".
Con la salida de algunos nuevos examenes y la retirada de otros, he tenido que cambiar mi idea inicial.

Los módulos en los que se divide el temario son estos:
Modulo 1 - Layer 2 Security
Modulo 2 - Trust and Identity
Modulo 3 - Cisco Network Foundation Protection
Modulo 4 - Secured Connectivity
Modulo 5 - Adaptive Threat Defense

La información del examen se puede encontrar en:
https://cisco.hosted.jivesoftware.com/community/certifications/ccsp/snrs?view=overview

Cisco Security Manager 3.2

Los productos de seguridad de Cisco son como un puzzle. Existen diferentes equipos para VPNs (concentradores, routers, ASAs...), firewalls (PIX, ASA, FWSM, IOS Firewall), IPS-IDS, HIPS (MC CSA), correlación de eventos (MARS), control de acceso a la red (NAC), autenticacion (ACS),...

Entonces Cisco debió pensar que con tantos productos, si tuviese una herramienta que pudiese gestionar el mayor número de productos e integrarlos con el resto, seria mucho mas fácil para un administrador de seguridad y saco el Cisco Security Manager.

Personalmente la idea me parece muy buena aunque llevarla a buen puerto les esta costando. Las novedades mas importantes de la versión 3.2 es que han conseguido integrar el IPS (que hasta ahora estaba un poco descolgado) e integrarlo con MARS, del mismo modo que estaban los firewalls.

La información del producto se puede encontrar aquí:
http://www.cisco.com/en/US/prod/collateral/vpndevc/ps5739/ps6498/data_sheet_c78-458677-00_ps6498_Products_Data_Sheet.html

Aquí hay unos enlaces con demostraciones del Cisco Security Manager:

http://www.demolabs.co.uk/demos/marscsmips/mars_csm32.html

http://www.demolabs.co.uk/demos/ciscomarscsm/mars_csm.html

Otro escalon más. Pasado el HIPS (642-513)

Bueno pues hoy he realizado el examen "Securing Hosts Using Cisco Security Agent (HIPS)" . El examen no me ha parecido excesivamente complicado para todo lo que puede dar de si el CSA. Cisco podría complicarlo bastante más. Han sido 69 preguntas y se aprobaba con 825. Mi puntuación ha sido de 988.
Este ha sido mi segundo examen y ahora tengo que ver por cual continuo. Con tanto cambio de examenes me están haciendo cambiar continuamente la planificacion. Estos días he visto que han actualizado también los examenes "Securing Networks with Cisco Routers and Switches" e "Implementing Cisco Security Monitoring, Analysis and Response System" .

Proyecto 7 Cumbres

Hoy esperaba haberlo dedicado a repasar pero llevo todo el día llevando y trayendo a los niños al colegio, al txiki-txoko, a los columpios ... vamos que ni sentarme. Cuando he conseguido estar un poco tranquilo me he encontrado con este vídeo que me ha recordado un poco a mi objetivo. Veremos que sale mañana: Cumbre o caída por el barranco.

ACS SE y Cisco Secure Agent

Estos dias que estoy pegandome con un ACS Appliance resulta que me he encontrado con que tambien se le puede habilitar el CSA.

Ultimamente he visto que el CSA se integra con otros productos NAC, Cliente VPN, MARS y otras herramientas de correlacion de eventos,... pero no habia visto ninguna referencia al ACS.

Note: The Cisco Secure Agent section appears only if you are using appliance base image 3.3.1.3 or later or if you have applied the Cisco Secure Agent update to the appliance.

Use the "CSA Enabled" check box to stop and start the CSAgent service on the appliance. When you disable CSAgent, it remains disabled until you return to this page and reenable it or use the start command at the console to start CSAgent. Rebooting the appliance does not restart a disabled CSAgent service.
To start the CSAgent service, select the CSA Enabled check box and click Submit.
To stop the CSAgent service, clear the CSA Enabled check box and click Submit.

Asegúr@IT III en Bilbao

El próximo 25 de septiembre se celebra en Bilbao el evento gratuito Asegúr@IT III, en la sede de la Universidad de Deusto. Cuenta con la partición de ponentes de empresas como Panda Security, Microsoft, S21Sec e Informatica64.
Los ponentes serán Mikel Gastesi, Iñaki Etxeberría, Pablo Garaizar, Juan Luís Rambla y David Carmona. Tendrá lugar en Bilbao, Universidad de Deusto. El 25 de septiembre de 2008.

La agenda:
09:00 - 09:15 Registro

09:15 - 10:00 Cracking & protección de software
La disciplina de cracking software tiene mucho que ver con la protección de software. En esta sesión Mike Gastesi, de S21Sec, contará cuales son algunas de las técnicas utilizadas para la decompilación y crackeo de software y al final dará algunas recomendaciones para proteger el software contra este tipo de técnicas.

10:00 - 10:45 Rootkits in Action
La técnología rootkit llegó ya hace unos años para quedarse con nosotros. En esta sesión Iñaki Etxeberría, de Panda Security, contará cómo funcionan hoy en día los rootkits, cuáles son sus objetivos y cómo podemos protegernos de ellos.

10:45 - 11:15 Café

11:15 - 12:00 Tempest, mitos y realidades
La tecnología Tempest ha dado mucho que hablar. La posibilidad de interceptar la información generada en un equipo mediante la intercepción de las ondas radiadas por los dispositivos electrónicos ha sido utilizada en múltiples novelas y películas de ciencia ficción. No obstante, las técnicas tempest existen y funcionan con unas características. En esta sesión Pablo Garaizar, Txipi, de la Universidad de Deusto mostrará que es mito, que es realidad y hará algún ejemplo de estas técnicas.

12:00 - 12:45 Network Access Protecction
La protección de las redes en entornos en los que los trabajadores utilizan dispositivos móviles para conectarse (portátiles, PDA, teléfonos móviles) necesitan comprobar la salud de los equipos que se conectan a la red. Windows Server 2008 y Windows Vista incorporan NAP, una tecnología que permite controlar la salud de los equipos que se desean conectar a la red. Juan Luís Rambla, MVP de Microsoft en Windows Security de Informática 64 realizará una demostración de cómo implantar esta tecnología.

12:45 - 13:30 Protección contra Botnets desplegadas por Web
Las técnicas de expansión de las redes botnets van cambiando día a día buscando nuevos métodos de infectar máquinas. Actualmente una de las disciplinas utilizadas consiste en atacar máquinas través de sitios web legítimos vulnerados mediante fallos de programación. David Carmona, Evangelista de Microsoft desgranará cómo funcionan estas nuevas formas de despliegue y dará pautas para protegernos contra ellas.

13:30 - 14:00 Preguntas a los ponentes

Apúntate en esta URL: http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032382985&Culture=es-ES

Cisco MARS Version 6.0.1

Cisco ha liberado oficialmente la nueva version de MARS Software Version 6.0.1. Algunos de los cambios incluidos en esta nueva version son:
- Consolidated Software Release
- Upgrade Management
- Device Support Framework
- Cisco IPS TR/RR Support
- Support for Internet Explorer 7.x
- New Cisco Device Support
- New 3rd-Party Device Support
- CSV Export Enhancements
- Rule Enhancements
- Performance Enhancement for Batch Queries and Reports
- Performance Enhancement for Inline Queries, Batch Queries and Reports

Para una completa lista de funciones, instrucciones de actualizacion y caveats ir al siguiente enlace: Cisco MARS 6.0.1 Release Notes.

El viernes a por el segundo examen

Quedan tres días para el examen y ya estoy con ganas de que llegue el día. La verdad es que el MC CSA da para bastante mas de lo que pensaba. He estado probando bastantes cosas nuevas que no sabían que existían y me parece que tiene muchas funcionalidades.
Como comente en un post anterior, mi presupuesto para la certificacion es de 0 euros, así que internet es mi fuente de información. Aquí os dejo una lista del material que estoy utilizando y donde lo podéis encontrar.

Manuales de la versión 5.2 ( descargados de la web de Cisco):
- Installing Management Center for CSA 5.2
- Using Managment Center for Cisco Security Agent 5.2

Curso on-line:
http://www.cisco.com/E-Learning/bulk/public/celc/hipsv3.1/Course_Files/start.htm

CCSP HIPS 3.0 Presentation Files:
http://www.netap.net/2008/05/13/ccsp-hips-30-presentation-files

Securing Hosts Using Cisco Security Agent (HIPS) Student Guide v3.0:
http://www.netap.net/2008/04/19/securing-hosts-using-cisco-security-agent-hips-student-guide-v30-volume-1
http://www.netap.net/2008/04/19/securing-hosts-using-cisco-security-agent-hips-student-guide-v30-volume-2

Libros de ciscopress.com :
- Advanced Host Intrusion Prevention with CSA"

- Curiosamente en este otro libro "Cisco Network Admission Control,Volume II:NAC Network Deployment and Troubleshooting", hay un capitulo completo dedicado al CSA (el numero 9). Esta muy bien, ya que explica la integracion con NAC y en otro capitulo como integrarlo con CS-MARS.

Dos semanas para el examen HIPS

El viernes 19 de septiembre es la fecha que he escogido para realizar el examen 642-513 HIPS. Esta semana que es cuando me he puesto serio a estudiar, ha coincidido con que he tenido que instalar la nueva versión 6.0, ya que se quiere confirmar que no da problemas con Windows Vista.
Aprovechando esto, he estado configurando la autenticación con LDAP y viendo la interacción con terceros (NAC, MARS, IPS, Cliente VPN y Arcsight).
A diferencia de otros examenes de Cisco, de este es complicado lograr material para estudiar. A pesar de esto he encontrado un site donde hay material interesante. Aquí esta el link: http://blog.priveonlabs.com/

MC CSA y el SQL Server "collision" string

En junio estuve actualizando nuestro MC CSA que era una versión 5.1 a la versión 5.2. El asunto es que desde la versión 5.2 la base de datos que utiliza es SQL 2005 (anteriormente la teníamos con SQL Server 2000). Mis compas de BBDD querían aprovechan una máquina, en la que que tenían SQL Server 2005 instalado y crear una base de datos que seria la que conectaría con el MC CSA.

Bueno, pues esto que parece tan sencillo se convirtió en toda una odisea a cuenta de la collation de SQL Server. Mis compañeros tenían en el SQL Server una collation llamada xxxxx que al MC CSA no le gustaba y cuando estabas instalando aparecia un mensaje de error y te sacaba de la instalacion.

Después de muchas pruebas, mirar y remirar la documentación y preguntar en algun foro, Cisco nos envió un e-mail en el cual confirmaban (a pesar de que no aparecía como un requerimiento en la documentación) que si la collation de tu SQL Server y la de la base de datos no es Latin1_General no hay forma de instalar el SQL Server.

El caso es que ahora que han sacado la versión 6.0, en la documentaciónn ya advierten de ello, aunque de una forma muy particular....

"Make sure the default language is set to English. Note that you should not change the language default after CSA MC is installed. The SQL Server collision string must contain Latin1_General. "

642-513 HIPS - Securing Hosts Using Cisco Security Agent

A alguno quizás les sorprenda que me haya decidido por este examen y mas cuando están a punto de retirarlo. El caso es que llevo trabajando varios años con el CSA y he trabajado con las versiones 4.5, 5.1 y 5.2. Ahora acaban de sacar la 6.0. y hoy mismo he estado descargando la versión para evaluar el CSA en máquinas con Windows Vista (que es una de las novedades de esta versión).

La instalación con la que trabajo actualmente es una versión 5.2 que utiliza una base de datos SQL 2005 externa y que tiene unos 2.700 agentes. Los logs además se envian a un CS-MARS y a Arcsight.

Lo que realmente me sorprende es que el examen (por lo que he mirado hasta ahora) se basa en la versión 5.0 que todavía utilizaba VMS. Desde la 5.1 eso ya no es necesario y han pasado mas de dos años de esto. ¿Que hace Cisco todavía con ese examen si además acaba de sacar a mediados de agosto la versión 6.0? ¿Por que lo retira en lugar de actualizarlo, si sigue sacando nuevas versiones del producto?

Nuevas versiones de Cisco MARS 4.3.6 y 5.3.6

Hoy he estado actualizando nuestro CS-MARS con la versoin 5.3.6, ya que teniamos un monton de entradas del estilo "Unknown User (unknown) Database insert".
La informacion del bug que corrigen esta version es la siguiente:

Cisco have released MARS 4.3.6 and 5.3.6.
Theres no new features in this release, but a major fix.

The following changes and enhancements exist in 4.3.6 and 5.3.6:
•Resolution of issue introduced in x.3.4 release. The driver for the x.3.6 release is to correct CSCsr47032, a defect introduced in x.3.4 that results in the database gradually filling up with unneeded audit logs. This defect can lead to a file system overflow when archiving is enabled or exporting is used for migration purposes.
Customers should upgrade to the x.3.6 release soon as possible to avoid consuming all hard drive space on CS-MARS 20/20R, 25/25R, 50, and 55 models. High-end models are not in danger of disk overflow but may experience a malfunction of archiving and export depending on the quantity of accumulated audit logs.
To determine whether an appliance is affected by this defect, click ADMIN > System Maintenance >View the Audit Trail, and look for messages like "8/18/08 3:50:11 PM PDT Unknown User (unknown) Database insert: DbReportResult: DbReportResult:215178". If thousands of such messages appear from the previous hour, an upgrade to x.3.6 is strongly recommende