Карточка риска

Куда я попал?

Вы попали в сервис, который помогает корпоративным службам безопасности строить свои рабочие процессы: управление рисками, контроль соответствия требованиям, учет активов, планирование и сопровождение защитных мер на всем их жизненном цикле, распределение задач и т.д.
Еще SECURITM является платформой для обмена опытом и наработками между участниками сообщества служб безопасности.

Подробнее

Угроза

Прекращение работы средства защиты информации

из-за уязвимости

Прекращение действия лицензий

в Активе

Средство защиты информации

Описание угрозы

Полный выход из строя и невозможность дальнейшего использования средства защиты.

Описание уязвимости

Окончание или разрыв лицензионных договоров и отношений с поставщиками.

Объекты атаки Средство защиты информации

Классификация

КЦД: Доступность

STRIDE: Отказ в обслуживании

Источники угрозы

Внешний нарушитель - Низкий потенциал

Каталоги угроз

Связанные защитные меры

Название Дата Влияние

	Название	Дата	Влияние
Community 1 3 / 12	Отключение Cisco Smart Install Разово Вручную Техническая Превентивная Компенсирующая 09.03.2022	09.03.2022	1 3 / 12
Цель: снижение последствий от санкционных действий производителя (Cisco). Проверка наличия smartinstall 1. Заходим на оборудование, вводим команду - "show vstack config" #show vstack config Role: Client (SmartInstall disabled) <- компонент выключен никаких действия не требуется Role: Not Director (SmartInstall enabled) <- компонент включен `Vstack Director IP address: 0.0.0.0 * Following configurations will be effective only on director * Vstack default management vlan: 1 Vstack start-up management vlan: 1 Vstack management Vlans: none Join Window Details: Window: Open (default) Operation Mode: auto (default) Vstack Backup Details: Mode: On (default) Repository:` 2. Если компонент включен, для его отключения: Заходим в конфигурацию "conf t" Вводим команду "no vstack" Проверяем "show vstack config" 3. Если коммутатор не применяет команду "no vstack" требуется на vlan управления применить ACL 3.1. создаем ACL Заходим в конфигурацию "conf t" `ip access-list extended SMI_HARDENING_LIST deny tcp any any eq 4786 permit ip any any exit` 3.2 применяем на vlan управления int vlan 11 – номер vlan управления `ip access-group SMI_HARDENING_LIST in exit` Проверка лицензий 4. Выполнить команду (если такой команды нет, то переходим к п.5) `#show license status` Smart Licensing is ENABLED <- если DISABLED то никаких действия не требуется Registration: Status: REGISTERED Smart Account: XXXXX Virtual Account: DEFAULT Export-Controlled Functionality: NOT ALLOWED Initial Registration: SUCCEEDED on Nov 13 09:12:34 NNNN MSK Last Renewal Attempt: SUCCEEDED on Nov 02 09:15:07 NNNN MSK Next Renewal Attempt: May 01 09:15:05 NNNN MSK Registration Expires: Nov 02 09:10:04 NNNN MSK License Authorization: Status: OUT OF COMPLIANCE on Nov 13 09:12:45 NNNN MSK Last Communication Attempt: PENDING on Mar 04 15:58:19 2022 MSK Failure reason: Waiting for reply Next Communication Attempt: Mar 04 16:14:04 2022 MSK Communication Deadline: May 06 01:36:48 2022 MSK 5. Выполнить команду (если такой команды нет, никаких действия не требуется) #show call-home Current call home settings: call home feature : enable <- включен call-home call home message's from address: Not yet set up call home message's reply-to address: Not yet set up vrf for call-home messages: Not yet set up contact person's email address: NNNN contact person's phone number: Not yet set up street address: Not yet set up customer ID: Not yet set up contract ID: Not yet set up site ID: Not yet set up source ip address: Not yet set up source interface: Not yet set up Mail-server: XXXXXXXXXXXXXXXXXXX http proxy: XXXXXXXXXXXXXXXXXX http secure: server identity check: enabled http resolve-hostname: default Smart licensing messages: enabled Profile: CiscoTAC-1 (status: ACTIVE) 6. Проверить конфигурацию call-home (имя профиля, email даны для примера) `#show run \| beg ^call-home call-home contact-email-addr cisco_support@rt.ru profile "CiscoTAC-1" active destination transport-method http no destination transport-method email` 7. При необходимости - заблокировать, например так `conf t call-home http-proxy "127.0.0.10" port 8128 profile "CiscoTAC-1" destination transport-method http no destination transport-method email end wr mem`

Community

1 3 / 12

Отключение Cisco Smart Install

Разово Вручную Техническая Превентивная Компенсирующая

09.03.2022

1 3 / 12

Цель: снижение последствий от санкционных действий производителя (Cisco).

Проверка наличия smartinstall
1. Заходим на оборудование, вводим команду - "show vstack config"

#show vstack config

Role: Client (SmartInstall disabled) <- компонент выключен никаких действия не требуется

Role: Not Director (SmartInstall enabled) <- компонент включен

 Vstack Director IP address: 0.0.0.0
 *** Following configurations will be effective only on director ***
Vstack default management vlan: 1
Vstack start-up management vlan: 1
Vstack management Vlans: none
Join Window Details:
Window: Open (default)
Operation Mode: auto (default)
Vstack Backup Details:
Mode: On (default)
Repository:

2. Если компонент включен, для его отключения:

Заходим в конфигурацию "conf t"
Вводим команду "no vstack"
Проверяем "show vstack config"

3. Если коммутатор не применяет команду "no vstack" требуется на vlan управления применить ACL
3.1. создаем ACL
Заходим в конфигурацию "conf t"

ip access-list extended SMI_HARDENING_LIST
deny tcp any any eq 4786
permit ip any any
exit

3.2 применяем на vlan управления
int vlan 11 – номер vlan управления

ip access-group SMI_HARDENING_LIST in
exit

Проверка лицензий
4. Выполнить команду (если такой команды нет, то переходим к п.5)

#show license status

Smart Licensing is ENABLED <- если DISABLED то никаких действия не требуется

Registration:
Status: REGISTERED
Smart Account: XXXXX
Virtual Account: DEFAULT
Export-Controlled Functionality: NOT ALLOWED
Initial Registration: SUCCEEDED on Nov 13 09:12:34 NNNN MSK
Last Renewal Attempt: SUCCEEDED on Nov 02 09:15:07 NNNN MSK
Next Renewal Attempt: May 01 09:15:05 NNNN MSK
Registration Expires: Nov 02 09:10:04 NNNN MSK
License Authorization:
Status: OUT OF COMPLIANCE on Nov 13 09:12:45 NNNN MSK
Last Communication Attempt: PENDING on Mar 04 15:58:19 2022 MSK
Failure reason: Waiting for reply
Next Communication Attempt: Mar 04 16:14:04 2022 MSK
Communication Deadline: May 06 01:36:48 2022 MSK

5. Выполнить команду (если такой команды нет, никаких действия не требуется)

#show call-home
Current call home settings:
call home feature : enable              <- включен call-home
call home message's from address: Not yet set up
call home message's reply-to address: Not yet set up
 
vrf for call-home messages: Not yet set up
contact person's email address: NNNN
contact person's phone number: Not yet set up
street address: Not yet set up
customer ID: Not yet set up
contract ID: Not yet set up
site ID: Not yet set up
 
source ip address: Not yet set up
source interface: Not yet set up
Mail-server: XXXXXXXXXXXXXXXXXXX
http proxy: XXXXXXXXXXXXXXXXXX
http secure:
server identity check: enabled
http resolve-hostname: default

Smart licensing messages: enabled
Profile: CiscoTAC-1 (status: ACTIVE)

6. Проверить конфигурацию call-home (имя профиля, email даны для примера)

#show run | beg ^call-home
call-home
contact-email-addr cisco_support@rt.ru
profile "CiscoTAC-1"
active
destination transport-method http
no destination transport-method email

7. При необходимости - заблокировать, например так

conf t
call-home
http-proxy "127.0.0.10" port 8128
profile "CiscoTAC-1"
destination transport-method http
no destination transport-method email
end
wr mem