Cisco случайно оставила эксплоит для Dirty COW в составе обновлений

Компания объяснила, что на заключительном этапе проверки качества автоматизированной системы сборки ПО для Cisco Expressway Series и Cisco TelePresence Video Communication Server (VCS) непреднамеренно оставила внутренний эксплоит для уязвимости Dirty COW ( CVE-2016-5195 ). Цель этой проверки качества заключается в том, чтобы убедиться, что продукт Cisco содержит необходимые исправления для этой уязвимости. Эта проблема затрагивает версии с X8.9 по X8.11.3. Все уязвимые образы уже удалены с сайта Cisco Software Center.

Cisco выпустила новые исправления для критической уязвимости в ASA

Уязвимость в XML-парсере Cisco ASA может позволить, не прошедшему проверку подлинности, удаленному злоумышленнику выполнить произвольный код и получить полный контроль над системой, вызвать перезагрузку поврежденного устройства или прекратить обработку входящих запросов проверки подлинности VPN. Cisco рекомендует клиентам применять обновленные исправления.

CISCO планирует интеграцию ACI с публичным облаком

CISCO объявила о том, что собирается интегрировать свой продукт ACI (Application Centric Infrastructure) с облачными платформами Amazon Web Services, Microsoft Azure и Google Cloud Platform. Расширив ACI от дата центра до публичного облака, CISCO упростит клиентам управление гибридной сетью, которая охватывает обе среды.

Cisco AnyConnect

Подключения к корпоративным ресурсам через Cisco AnyConnect на базе FreeRadius и Google Authenticator

Подключения к корпоративным ресурсам через Cisco AnyConnect посредстовм FreeRadius и Google Authenticator имеет свои плюсы и минусы.

Из плюсов данного варианта можно отметить то, что это решение бесплатное.

Минусы:

  • Интеграция с AD. Конечно можно интегрировать FreeRadius с AD через LDAP, но особенности архитектуры данного решения предусматривают хранение профилей пользователей локально на FreeRadius сервере.
  • Только один тип аутентификации – Time-Based One Time Password (TOTP).
  • Неочевидность необходимости использования второго фактора (пояснения в статье).

Установка компонентов

Для установки FreeRaduis в данном случае используется Debian Jessie 8.0 на виртуальной машине.

Ввиду того, что для авторизации будет использоваться TOTP, время на сервере должно быть правильным. Лучший способ синхронизировать время – установка NTP.

sudo apt-get update
sudo apt-get install ntp

Далее устанавливаем FreeRadius и необходимые модули:

sudo apt-get install build-essential libpam0g-dev freeradius libqrencode3 git

Загружаем и устанавливаем Google Authenticator:

cd ~
git clone https://code.google.com/p/google-authenticator/
cd google-authenticator/libpam/
make
make install

Также потребуется группа для пользователей, которых не нужно аутентифицировать:

addgroup radius-off

Настройка FreeRadius

Так как FreeRadius должен иметь доступ к .google_authenticator токенам во всех пользовательских директориях, он должен иметь права root-а. Для предоставления прав редактируем файл /etc/freeradius/radusd.conf.

Находим строки:

user = freerad
group = freerad

И меняем на:

user = root
group = root

Здесь, и в дальнейшем, сохраняем изменения.

Далее редактируем /etc/freeradius/users. Мы должны добавить ранее созданную группу «radius-off» в секцию «Deny access for a group of users.»

После строк:

# Deny access for a group of users.
#
# Note that there is NO 'Fall-Through' attribute, so the user will not
# be given any additional resources.

Добавляем:

DEFAULT         Group == "radius-disabled", Auth-Type := Reject
Reply-Message = "Your account has been disabled."
DEFAULT        Auth-Type := PAM

Теперь редактируем /etc/freeradius/sites-enabled/default.

Находим:

#  Pluggable Authentication Modules.
#  pam

И раскомментируем строку с pam

Редактируем /etc/pam.d/radiusd. Говорим FreeRadius аутентифицировать пользователей по принципу локальный unix пароль + Google Authenticator код.

Здесь мы должны закомметнировать все строки которые начинаются с @:

#@include common-auth
#@include common-account
#@include common-password
#@include common-session

И добавляем:

auth requisite pam_google_authenticator.so forward_pass
auth required pam_unix.so use_first_pass

Теперь нам нужно добавить Radius клиента, что бы FreeRadius обрабатывал запросы от CISCO ASA. В файл/etc/freeradius/clients.conf добавляем:

Client 192.168.110.6 {
secret = Password
shortname = ASA
}

Настройка пользователя

Создаем пользователя:

adduser mfatest

Создаем для него google-authenticator:

cd /home/mfatest/
su mfatest
google-authenticator

В ответ получаем QR code:

QR code

После этого необходимо перезапустить сервис FreeRadius:

sudo service freeradius restart

На мобильном устройстве должно быть установлено приложение Google Authenticator (ссылки для iOS и Android).

Сканируем QR code с помощью приложения Google Authenticator. В итоге учетная запись «mfatest» подвязывается к Вашему мобильному устройству.

Google Authenticator app

Протестируем аутентификацию:

radtest   localhost 18120 testing123

Где:

  • <unix_password><google_auth> — это unix пароль + код из приложения в одну строку. В данном случае пароль Pass_123, код – 731923.
  • localhost 18120 testing123– это параметры стандартного локального radius клиента.

В итоге получается:

radtest mfatest Pass_123731923 localhost 18120 testing123

33

Настройка CISCO ASA

На ASA лучше настроить AnyConnect VPN gateway с локальной аутентификацией. Убедиться, что подключение работает, после чего приступить к настройке аутентификации через Radius.

Настраиваем RADIUS:

  1. Переходим на Configuration / Remote Access VPN / AAA/Local Users / AAA Server Groups и создаем группу:

edit AAA Server Group

  1. Добавляем в группу сервер:

edit AAA Server Group

Где Server Name or IP Address – это адрес нашего FreeRadius, Server Secret Key – ключ который мы настроили для клиента.

  1. Тестируем связку с RADIUS сервером:

test AAA Server

Где Password – это пароль пользователя + код из Google Authenticator

При успешном тесте, на ранее настроенном «AnyConnect Connection Profiles» меняем аутентификацию с локальной на группу FreeRad:

AnyConnect Connection Profiles

На этом настройки закончены. Чтобы убедится что все работает инициируем тестовое подключение.

AnyConnect Connection test connection

Вот здесь и появляется та неочевидность, о которой упоминалось ранее. FreeRadius не использует поэтапную аутентификацию, он не может запрашивать код для Google Authentication отдельно. Поэтому для успешной аутентификации, как и в тестах, в строке Password мы вводим пароль+код. Для неискушенного пользователя это может стать преградой для комфортного использования сервиса.

Данная схема универсальна и может быть реализована для любых сервисов, поддерживающих аутентификацию посредством протокола Radius.

Обсуждение статьи доступно здесь.

Unified Communication UC IP

Unified communication UC и IP телефония, сравнение четырех решений Avaya, CISCO, MS Lync, Asterisk

Asterisk

Включая сборки на основе типа: Switchvox, Elastix, AstersikNow.

Плюсы:

  • Дешево;
  • Очень гибко;
  • Работает на любом гипервизоре;
  • Подходит для облачных решений;
  • Подключение большого количества IP телефонов разных ценовых категорий.

Минусы:

  • Не очень функционально;
  • Не очень надежно;
  • Отсутствие пригодной реализации Unified Communication.

Avaya

Avaya Communication Manager ACM, Aura, Definity, IP office IPO, Communication Server CS.

Плюсы:

  • Самый старый и надежный производитель телефонных станций, перенесший на IP платформу проверенные несколькими десятилетиями телефонные алгоритмы;
  • Большой телефонный функционал;
  • Лучший Call Centre;
  • Поддержка гибридных решений: IP, цифровые и аналоговые абоненты;
  • Работа по старым телефонным сетям;
  • Высокая надежность стандартного телефонного функционала — включил и забыл;
  • Наличие VPN phone;
  • Хорошие решения микросотовой связи.

Минусы:

  • Отсутствие try-and-buy;
  • Высокая цена;
  • Весьма посредственный софт для UC, скорее даже его отсутствие;
  • Отсутствие полной интеграции со skype, не удобный шлюз в GTalk;
  • Не полная интеграция с сетями передачи данных, построенными на CISCO;
  • Очень дорогие отказоустойчивые решения;
  • Невозможность построения сетей без явной иерархии;
  • Виртуализация работает только на VmWare.

CISCO

Cisco Unified Communications Manager(CUCM),  Cisco Unified Communications Manager Express, Cisco Call Manager, Cisco Integrated Services Router (ISP) G2, Cisco Unity Express, Cisco Unified Border Element, Cisco Gateways, Cisco Jabber, Cisco Unity Connection, Cisco WebEx Meetings, Cisco IP Phone, Cisco ISR Unified Communications.

Плюсы:

  • Моновендорное решение для большинства сетей передачи данных;
  • Удобный и знакомый интерфейс управления для сетевых специалистов;
  • Отличная поддержка и документация;
  • Отличные IP телефоны с поддержкой видеосвязи;
  • Есть рабочее UC приложение;
  • Есть DECT решения;
  • Поддержка виртуализации.

Минусы:

  • Нет легального try-and-buy;
  • Только IP абоненты; есть аналоговые адаптеры, но они не пригодны для старых телефонных сетей;
  • Высокая цена;
  • UC в зачаточном состоянии;
  • Нет интеграции со Skype Gtalk;
  • Виртуализация работает только на VmWare.

MS Lync (c 2015г. Skype for business)

Плюсы:

  • Полностью работающее интегрированное в остальную офисную инфраструктуру UC решение;
  • Наличие try-and-buy, бесплатный период тестирования 120 дней;
  • Гибкая ценовая политика, разные схемы лицензирования;
  • Работает на любом гипервизоре;
  • Отличная поддержка отказоустойчивых конфигураций, распределенных систем и вне офисных пользователей;
  • Отличные клиенты для всех настольных и мобильных платформ;
  • Шлюзы IM c GTalk, XMPP (Jabber) и полная интеграция со Skype, Office 365, и другими Lync федерациями;
  • Большой выбор стационарных телефонов разных производителей;
  • Открытый, хорошо знакомый большинству программистов программный интерфейс и, соответственно, большое количество приложений партнеров, расширяющих функционал.

Минусы:

  • Нет дешевых настольных телефонов;
  • Только IP абоненты; есть сторонние аналоговые адаптеры, но они не пригодные для старых телефонных сетей;
  • Не большой выбор классических телефонных функций;
  • Функционал call center реализуется с помощью приложений сторонних производителей;
  • Для функционирования с полной отдачей требует остальных компонентов UC от Майкрософта;
  • Необходимость настройки других серверов Майкрософт для получения полного функционала;
  • Не все провайдеры поддерживают SIP транк по TCP, что может создать необходимость установки шлюза.