Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти
 
Страницы: 1
RSS
кто чем анализирует Cisco конфиги на предмет безопасности?, например RAT (http://www.cisecurity.org/)
 
Коллеги, кто чем анализирует безопасность конфигурации железок cisco? глазом или программой какой? Если есть опыт в использовании RAT(http://www.cisecurity.org/) - с удовольствием задам вопросы, накопилось... :)
 
Глазом.  ;) Тулзовин не знаю. Сетевые сканеры можно конечно использовать, но они многое не покажут.
Изменено: gogo - 07.08.2008 19:10:55
 
есть у них софтина, называтся cisco cas. но помоему продукт не пошел и они свернули его развитие. какая-то небольшая конторка дорабатывала, но результат не впечатлил
 
Cisco Security Manager на маршрутизаторах есть Security Device Manager (SDM) на ASA Adaptive Security Device Manager (ASDM). А вообще конечно лучше глазом  ;)
 
gogo
Сетевых сканеров с анализом конфигураций к сожалению не знаю

flatch
про CAS ничего не слышал, был Auditor, но не так давно прекратили продажи

p@rti3@n
Думается менеджеры наоборот усложнят анализ

Ну хорошо, всеобщим решением принят глаз, хотя автоматизации минимум и для проведения аудита на много-много железяк это будет увеличивать затраты, но ладно..
Следующий вопрос - критерии оценки? Что критично, что не очень?
Есть документ, опять же от www.cisecurity.org, но судя по тому как медленно у них идет процесс обновления и актуализации закрадывается мысль, что в их "золотом стандарте" что -то уже устарело, а чего-то нехватает
 
nipper (http://sourceforge.net/projects/nipper/)
 
а какие вопросы по RAT?
 
Андрей Комаров
- первое, что бросилось в глаза - нет нормального отчета с четким списком правил, весовыми коэффициентами и конечного отчета в процентах того, насколько защищено железо (для руководства)
- Неправильно определяет отключенный сервис TELNET, что вообще большой косяк... дальше не копал, может и еще что-то есть...

Денис Батранков
- Каким образом включить правила из cis-level-2.conf?
- Правило "IOS - Use local authentication" - не проходит, если стоит строка вида
Код
aaa authentication login xxxAAA group tacacs+ local
наверняка можно поправить правило?или лучше его вообще выключить?
 
Денис Батранков
Правило "IOS - exec-timeout" - проходит, хотя в конфиге таймауты не установлены
 
Цитата
Андрей Комаров пишет:

                                                               nipper (http://sourceforge.net/projects/nipper/)

да, спасибо! Прога действительно рульная.
 
а что правила CIS Level 2 не включаются через nat_config?
Если запустить ncat_config, то один из вопросов будет "Включить правила CIS Level 2?" - нужно ответить Yes. Вопрос выглядит так:
ncat_config:   Apply some or all of CIS Level 2 rules [No] ?
 
Да, спасибо, уже включил. Правда через правку самого конфига...
Страницы: 1
Читают тему