ابزار تجزیه و تحلیل پیکربندی سیسکو

ابزار تجزیه و تحلیل پیکربندی سیسکو

این ابزار برای تجزیه و تحلیل فایل های پیکربندی دستگاه های سیسکو طراحی شده است. لیست چک براساس راهنمای سیسکو برای دستگاه های IOS سیسکو Harden است.

فهرست چک لیست این ابزار:

  • Firmware version (نسخه های قدیمی تر ممکن است شامل آسیب پذیری باشند.)
  • Unused services (برخی از این خدمات می توانند توسط مهاجمان مورد استفاده قرار گیرند.)

فهرست سرویس های خطرناک:

  • Http service
  • Smart install
  • Finger service
  • Bootstrap protocol
  • Maintenance Operation Protocol (MOP) (L3 switches)

جداسازی مجوزها:

دستگاه های سیسکو دارای ۱۶ سطح امتیاز از ۰ تا ۱۵ هستند. سطح «۱» امتیاز کاربر است و سطح «۱۵» بالاترین سطح میباشد که حقوق مدیر است. تعداد کاربران با سطح امتیاز ۱۵ باید حداقل نگه داشته شوند.

  1. User2 have 2 level’s privilege
    user2 privilege 2 secret cisco
  2. Assign a match between commands and the privilege level
    privilege exec level 2 configure
    privilege exec level 2 configure t
    privilege configure level 2 interface
    privilege interface level 2 shutdown
    privilege interface level 2 ip address
  3. Setting the password for entering in the privileged mode of the 2 level
    enable secret level 2 ciscocisco

نصب این ابزار در لینوکس:

git clone https://github.com/cisco-config-analysis-tool/ccat.git
pip3 install -r requirements.txt

ساده ترین راه استفاده از این ابزار دستور زیر میباشد.

python3 ccat.py configuration_file

همچین در ویندوز:

ccat.exe configuration_file

دستورات دیگر:

python3 ccat.py config_directory -vl vlmap.txt -o result_html_files_directory –storm_level 40.0 –max_number_mac 100 –disabled-interfaces –no-console-display
  • configs: (مسیر به فایل پیکربندی یا پوشه با فایل های پیکربندی)
  • vlanmap – path to vlanmap file
  • output: (مسیر دایرکتوری خروجی فایل های متنی)
  • storm_level: (سطح مناسب برای کنترل طوفان به صورت پیشفرض روی ۸۰)
  • max_number_mac: (حداکثر تعداد مک آدرس برای پورت های امنیتی به صورت پیشفرض روی ۱۰)
  • disabled-interfaces: (بررسی رابط ها حتی اگر خاموش باشند)
  • no-console-display:(  نتایج تجزیه و تحلیل خروجی در دایرکتوری فایل های و یا گراف شبکه html )
  • dump-creds: (نام کاربری کاربران، گذرواژه ها و هش ها را از کانفیگ خالی میکند)
  • graph: (ایجاد شمای شبکه vlan ها)

نوشتن دیدگاه

آدرس ایمیل شما منتشر نخواهد شد.