По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
Много раз в день вы посещаете веб-сайты, на которых вас просят войти под своим именем пользователя, адресом электронной почты и паролем. Банковские сайты, сайты социальных сетей, почтовые службы, сайты электронной коммерции и новостные сайты - это всего лишь несколько типов сайтов, использующих этот механизм.
Каждый раз, когда вы входите на один из этих сайтов, вы, по сути, говорите: «Да, я доверяю этому сайту, поэтому я хочу поделиться с ним своей личной информацией». Эти данные могут включать ваше имя, пол, физический адрес, адрес электронной почты, а иногда даже информацию о кредитной карте.
Но откуда вы знаете, что можете доверять определенному веб-сайту? Иными словами, что делает веб-сайт для защиты вашей транзакции, чтобы вы могли доверять ей?
Эта статья направлена на демистификацию механизмов, которые делают сайт безопасным. Мы начнем с обсуждения веб-протоколов HTTP и HTTPS и концепции безопасности транспортного уровня (TLS - Transport Layer Security), которая является одним из криптографических протоколов. Затем мы объясним центры сертификации (CA - Certificate Authorities) и самозаверяющие сертификаты и как они могут помочь защитить веб-сайт. Наконец, я представлю некоторые инструменты с открытым исходным кодом, которые вы можете использовать для создания и управления сертификатами.
Защита маршрутов через HTTPS
Самый простой способ понять защищенный веб-сайт - это увидеть его в действии. К счастью, сегодня найти защищенный веб-сайт гораздо проще, чем незащищенный веб-сайт в Интернете. Но, поскольку вы уже находитесь на сайте wiki.merionet.ru, будем использовать его в качестве примера. Независимо от того, какой браузер вы используете, вы должны увидеть значок, который выглядит как замок рядом с адресной строкой. Нажмите на значок замка, и вы должны увидеть что-то похожее на это.
По умолчанию веб-сайт не является безопасным, если он использует протокол HTTP. Добавление сертификата, настроенного через хост сайта, может преобразовать сайт из незащищенного сайта HTTP в защищенный сайт HTTPS. Значок замка обычно указывает, что сайт защищен через HTTPS.
Нажмите на сертификат, чтобы увидеть CA сайта. В зависимости от вашего браузера вам может понадобиться скачать сертификат, чтобы увидеть его.
Здесь вы можете узнать кое-что о сертификате, кем, кому и когда был выдан. Эта информация о сертификате позволяет конечному пользователю проверить, что сайт безопасен для посещения.
ВНИМАНИЕ: Если вы не видите знак сертификата на веб-сайте или если вы видите знак, указывающий на то, что веб-сайт не защищен, пожалуйста, не входите в систему и не выполняйте действия, требующие ваших личных данных. Это довольно опасно!
Если вы видите предупреждающий знак, который редко встречается на большинстве общедоступных веб-сайтов, это обычно означает, что срок действия сертификата истек или используется самозаверяющий сертификат вместо сертификата, выпущенного через доверенный CA.
Интернет-протоколы с TLS и SSL
TLS - это текущее поколение старого протокола Secure Socket Layer (SSL). Лучший способ понять его место - посмотреть на модель OSI.
Есть шесть уровней, которые составляют Интернет, каким мы его знаем сегодня: физический, данные, сеть, транспорт, безопасность и приложения. Физический уровень является базовой основой, и он наиболее близок к реальному оборудованию. Прикладной уровень является наиболее абстрактным и ближайшим к конечному пользователю. Уровень безопасности можно рассматривать как часть уровня приложений, а TLS и SSL, которые являются криптографическими протоколами, разработанными для обеспечения безопасности связи по компьютерной сети, находятся на уровне безопасности.
Основным вариантом использования TLS является шифрование связи между веб-приложениями и серверами, такими как веб-браузеры, загружающие веб-сайт. Протокол TLS также можно использовать для шифрования других сообщений, таких как электронная почта, обмен сообщениями и передача голоса по IP (VOIP).
Центры сертификации и самозаверяющие сертификаты
Центр Сертификации (CA) - это доверенная организация, которая может выдавать цифровой сертификат.
TLS и SSL могут сделать соединение безопасным, но для механизма шифрования необходим способ его проверки - это сертификат SSL/TLS. TLS использует механизм, называемый асимметричным шифрованием, который представляет собой пару ключей безопасности, называемых закрытым ключом (private key) и открытым ключом (public key). Важно знать, что центры сертификации, такие как GlobalSign, DigiCert и GoDaddy являются внешними доверенными поставщиками, которые выпускают сертификаты, которые используются для проверки сертификата TLS/SSL, используемого веб-сайтом. Этот сертификат импортируется на хост-сервер для защиты сайта.
Прежде чем какой-либо крупный веб-браузер, такой как Chrome, Firefox, Safari или Internet Explorer, подключится к вашему серверу по протоколу HTTPS, он уже имеет в своем распоряжении набор сертификатов, которые можно использовать для проверки цифровой подписи, найденной в сертификате вашего сервера. Эти цифровые сертификаты веб-браузера называются сертификатами CA. Если с сертификатом на сервере все ок, то мы попадаем на сайт, а если нет, то браузер покажет нам предупреждение. Закрытые ключи, используемые для подписи сертификатов сервера, уже имеют соответствующие пары открытых ключей в веб-браузерах пользователей.
Однако CA может быть слишком дорогим или сложным, когда вы просто пытаетесь протестировать веб-сайт или услугу в разработке. У вас должен быть доверенный ЦС для производственных целей, но разработчикам и администраторам веб-сайтов необходим более простой способ тестирования веб-сайтов, прежде чем они будут развернуты в рабочей среде - именно здесь приходят самозаверяющие сертификаты.
Самозаверяющий сертификат - это сертификат TLS/SSL, подписанный лицом, которое его создает, а не доверенным центром сертификации. Создать самозаверяющий сертификат на компьютере очень просто, и он может позволить вам протестировать защищенный веб-сайт, не покупая дорогой сертификат, подписанный СА, сразу. Хотя самозаверяющий сертификат определенно рискованно использовать в производственной среде, он является простым и гибким вариантом для разработки и тестирования на подготовительных этапах.
Инструменты с открытым исходным кодом для генерации сертификатов
Для управления сертификатами TLS/SSL доступно несколько инструментов с открытым исходным кодом. Наиболее известным из них является OpenSSL, который включен во многие дистрибутивы Linux и в macOS. Тем не менее, другие инструменты с открытым исходным кодом также доступны.
OpenSSL - Самый известный инструмент с открытым исходным кодом для реализации библиотек TLS и шифрования Apache
EasyRSA - Утилита командной строки для создания и управления PKI CA
CFSSL - PKI/TLS "Швейцарский нож" от Cloudflare
Lemur - Инструмент создания TLS от Netflix
Для начальной настройки маршрутизатора (здесь и далее в качестве примера взяты устройства компании Cisco) нужно выполнить следующие шаги в режиме конфигурации роутера, перейти к которому можно командой configure terminal:
1. Задаем название устройства
Router(config)# hostname
2. Задаем пароль для входа в привилегированный режим.
Router(config)# enable secret password
3. Задаем пароль на подключение через консоль.
Router(config)# line console 0
Router(config-line)# password password
Router(config-line)# login
4. Задаем пароль для удаленного доступа по Telnet / SSH.
Router(config-line)# line vty 0 4
Router(config-line)# password password
Router(config-line)# login
Router(config-line)# transport input {ssh | telnet}
5. Шифруем все пароли введенные на устройстве.
Router(config-line)# exit
Router(config)# service password-encryption
6. Задаем баннер, который будет выводится при подключении к устройству. В данном баннере обычно указывается правовая информация о последствиях несанкционированного подключения
Router(config)# banner motd delimiter message delimiter
7. Сохраняем конфигурацию.
Router(config)# end
Router# copy running-config startup-config
Пример базовой настройки маршрутизатора
В данном руководстве на маршрутизаторе R1 из топологии ниже будет сделана первичная конфигурация:
Чтобы настроить маршрутизатор вводим следующие команды:
Router> enable
Router# configure terminal
Enter configuration commands, one per line.
End with CNTL/Z.
Router(config)# hostname R1
R1(config)#
Все методы доступа к настройкам маршрутизатора должны быть защищены. Привилегированный режим EXEC дает пользователю полный доступ к устройству и его настройкам. Поэтому нужно надёжно защитить доступ к этому режиму.
Следующие команды позволяют защитить доступ к пользовательскому и привилегированному режимам EXEC, включает Telnet/SSH и шифрует все пароли в конфигурации.
R1(config)# enable secret class
R1(config)#
R1(config)# line console 0
R1(config-line)# password cisco
R1(config-line)# login
R1(config-line)# exit
R1(config)#
R1(config)# line vty 0 4
R1(config-line)# password cisco
R1(config-line)# login
R1(config-line)# transport input ssh telnet
R1(config-line)# exit
R1(config)#
R1(config)# service password-encryption
R1(config)#
Далее сконфигурируем баннер Message of the Day. Обычно такой баннер включает в себя юридическое уведомление предупреждающее пользователей о том, что доступ к устройству разрешен только авторизованным лицам. Данный тип баннера конфигурируется следующим образом:
R1(config)# banner motd #
Enter TEXT message. End with a new line and the #
***********************************************
WARNING: Unauthorized access is prohibited!
***********************************************
#
R1(config)#
Настройка интерфейсов маршрутизатора
На данный момент на нашем роутере выполнена первичная настройка. Так как без настроек интерфейсов роутеры не будут доступны для других устройств, далее сконфигурируем его интерфейсы. На маршрутизаторах компании Cisco бывают разные интерфейсы. Например, маршрутизатор Cisco ISR 4321 оснащен двумя гигабитными интерфейсами.
GigabitEthernet 0/0/0
GigabitEthernet 0/0/1
Для настройки интерфейсов маршрутизатора нужно ввести следующие команды:
Router(config)# interface type-and-number
Router(config-if)# description description-text
Router(config-if)# ip address ipv4-address subnet-mask
Router(config-if)# ipv6 address ipv6-address/prefix-length
Router(config-if)# no shutdown
Как только порт включиться, на консоли выведется соответствующее сообщение.
Несмотря на то, что команда description не требуется для включения интерфейса, все же рекомендуется ее использовать. Это может быть полезно при устранении неполадок в производственных сетях, предоставляя информацию о типе подключенной сети. Например, если интерфейс подключается к поставщику услуг или провайдеру услуг, команда description будет полезна для ввода внешнего соединения и контактной информации. Длина текста description составляет 240 символов.
Команда no shutdown используется для включения интерфейса, это похоже на включение питания на интерфейсе. Также маршрутизатор следует подключить к другому устройству, чтобы установилась связь на физическом уровне.
Пример настройки интерфейсов на маршрутизаторе
В данном примере на маршрутизаторе R1 включим непосредственно подключенные порты.
Для настройки портов на R1 введите следующие команды:
R1> enable
R1# configure terminal
Enter configuration commands, one per line.
End with CNTL/Z.
R1(config)# interface gigabitEthernet 0/0/0
R1(config-if)# description Link to LAN
R1(config-if)# ip address 192.168.10.1 255.255.255.0
R1(config-if)# ipv6 address 2001:db8:acad:10::1/64
R1(config-if)# no shutdown
R1(config-if)# exit
R1(config)#
*Aug 1 01:43:53.435: %LINK-3-UPDOWN: Interface GigabitEthernet0/0/0, changed state to down
*Aug 1 01:43:56.447: %LINK-3-UPDOWN: Interface GigabitEthernet0/0/0, changed state to up
*Aug 1 01:43:57.447: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/0/0, changed state to up
R1(config)#
R1(config)#
R1(config)# interface gigabitEthernet 0/0/1
R1(config-if)# description Link to R2
R1(config-if)# ip address 209.165.200.225 255.255.255.252
R1(config-if)# ipv6 address 2001:db8:feed:224::1/64
R1(config-if)# no shutdown
R1(config-if)# exit
R1(config)#
*Aug 1 01:46:29.170: %LINK-3-UPDOWN: Interface GigabitEthernet0/0/1, changed state to down
*Aug 1 01:46:32.171: %LINK-3-UPDOWN: Interface GigabitEthernet0/0/1, changed state to up
*Aug 1 01:46:33.171: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/0/1, changed state to up
R1(config)#
Информационные сообщения говорят нам, что оба порта включены.
Проверка настроек портов
Для проверки настроек портов используются несколько команд. Самыми полезные из них это команды show ip interface brief и show ipv6 interface brief.
R1# show ip interface brief
Interface IP-Address OK? Method Status Protocol
GigabitEthernet0/0/0 192.168.10.1 YES manual up up
GigabitEthernet0/0/1 209.165.200.225 YES manual up up
Vlan1 unassigned YES unset administratively down down
R1# show ipv6 interface brief
GigabitEthernet0/0/0 [up/up]
FE80::201:C9FF:FE89:4501
2001:DB8:ACAD:10::1
GigabitEthernet0/0/1 [up/up]
FE80::201:C9FF:FE89:4502
2001:DB8:FEED:224::1
Vlan1 [administratively down/down]
unassigned
R1#
От слов к делу! Заходим на Communication Manager через веб-браузер по его IP-адресу. После ввода правильных логина и пароля нас информируют об удачном входе и времени последней попытки неудачного входа с указание IP- адреса, откуда была выполнена данная попытка.
Далее выбрав пункт Administration → Server (Maintenance) мы попадаем в веб-интерфейс управления и настройки Communication Manager.
Как мы видим, тут очень много ссылок, которые позволяют проводить мониторинг работоспособности системы, диагностировать и настраивать ее. Ссылки сгруппированы по функционалу:
Alarm – Current Alarm позволяет просматривать ошибки и предупреждения, выводимые системой с указанием даты возникновения. При необходимости после ознакомления предупреждения можно удалить.
Diagnostics – в данном разделе представлен доступ для диагностики и просмотра результатов работоспособности сервера.
Restarts – выводит список историй перезагрузок сервера с указанием причин перезагрузки, даты и времени перезагрузки и статуса процесса.
System Logs – позволяет получить и просмотреть большое количество сообщений из различных журналов системы, используя настраиваемые фильтры.
Ping, Traceroute – данные утилиты позволяют проверить доступность требуемого хоста (по имени или IP-адресу) с самого сервера.
Netstat – с помощью настраиваемых фильтров позволяет получить различную информацию по подключениям самого сервера (порты, сетевые интерфейсы, статусы и так далее.)
Server – в данной группе собрана информация, касающаяся самого сервера (общий статус сервере, запущенные процессы, актуальные время и дату, версии и даты установки ПО, переключение между активным и резервным сервером в случае наличия резервного сервера)
Отдельным пунктом следует отметить пункт Shutdown Server. Данный пункт позволяет как выключить сервер, так и перегрузить его. Так как в основном подключение к серверу осуществляется удаленно, то с этим пунктом надо быть очень аккуратным, иначе придется искать физический доступ к серверу для его включения. Если перезагрузка сервера происходит НЕ в экстренном случае, то рекомендуется выполнять её с ожиданием завершения всех запущенных процессов.
Server Configuration – в данной группе собраны настройки самого сервера. Настройки в данном пункте зависят от того, как был проинсталлирован сам сервер (основной или локальный (LSP) сервер).
Server Role – если сервер был проинсталлирован как основной сервер, то указывается тип сервера (основной или выживающий (ESS)), идентификаторы системы и модуля и настройки для памяти (Small, Medium, Large)
В случае выбора при инсталляции роли локального выживающего процессора настройки роли будут другие. Тут придется указать адреса основного сервера для регистрации, сервера для синхронизации и серийный номер шлюза, где установлен данный сервер СМ.
Network Configuration – указываем сетевые настройки, такие как адреса сетевых интерфейсов, DNS-серверов, шлюзов, имена серверов и альясы к ним.
Static Routes – указываем необходимые специальные направления для отправки информации для работы сервера по сети.
Display Configuration – показывает информацию по «физическим» характеристикам сервера – память, количество и тип процессоров, размер «жестких» дисков.
Server Upgrade – раздел, посвященный проведению обновлений ПО, установленного на сервер. На «больших» серверах, есть дополнительный пункт по подготовительным шагам, который блокирует сохранение и синхронизацию данный до тех пор, пока процесс обновления не будет завершен.
Ещё одним важным пунктом является Data Backup/Restore:
Backup Now – позволяет выполнить разовое сохранение выбранных данных. Необходимо выбрать сохраняемые данные, выбрать метод сохранения (scp, ftp или sftp) и ввести учетные данные для подключения к серверу, куда будет произведено сохранение.
После заполнения всех необходимых данных нажимаем Start и ждем завершения операции.
После завершения Backup будет выведен результат:
Backup History – показывает выполненные ранее сохранения. Можно посмотреть статус по каждому представленному тут сохранению.
Schedule Backup – предназначен для настройки автоматического выполнения сохранений. Настройки такие же, как и в случае выполнения одноразового сохранения, но к ним добавляется возможность указать день недели и время для запуска сохранения. На системе, которая находится в более-менее статическом состоянии (т.е. нет больших ежедневных изменений, например, абонентской емкости) можно настроить еженедельное сохранение трансляций, а полное сохранение выполнять в ручном режиме, например, раз в месяц.
Backup Logs – показывает информацию по запущенным процессам сохранения с указанием самого процесса, даты и времени запуска, статуса выполнения и полного пути до сохраняемого файла.
View/Restore Data – позволяет восстанавливать ранее сохраненные данные. Указываются данные для подключения, как и для выполнения сохранения. После подключения предлагается выбрать необходимый бекап и выполнить восстановление.
Restore History – журнал восстановления, аналогичный журналу сохранения.
Security – раздел, посвященный безопасности. В нем создаются пользователи для управления, меняются и обнуляются пароли для существующих учетных записей, настраивается доступ к серверу, устанавливаются сертификаты безопасности и так далее.
Administrator Account – позволяет создавать, изменять пользователей с различными приоритетами, блокировать, разблокировать или удалять учетные записи.
Login Account Policy – указываются параметры для безопасного создания и использования парольного доступа такие как минимальная длина пароля, использование в пароле заглавных и строчных букв, цифр и специальных символов, количество использованных предыдущих паролей, количество символов, отличающихся в создаваемом пароле от предыдущего, время бездействия пользователя, по истечение которого будет произведен автовыход, количество неправильных попыток входа, время блокировки после неправильного ввода пароля, срок действия пароля, время напоминания об окончании действия пароля.
Change password – смена пароля для ТЕКУЩЕГО пользователя.
Login Report – позволяет получать при помощи настраиваемых фильтров различные сведения о подключенных пользователях, неудачных или удачных попыток входа, конкретной учетной записи и так далее.
Server Access – позволяет настраивать удаленный доступ к серверу. Рекомендуется выключать доступ по Telnet для обеспечения более безопасного подключения
Syslog Server – позволяет настраивать внешний Syslog сервера и делать выбор данных, отправляемых на него
Firewall – показывает текущее состояние встроенного firewall и сработок по правилам.
Дальше идут пункты, позволяющие работать с сертификатами – установка новых, просмотр уже установленных, настройка порогов для уведомления об окончании сроков действия, формирования запроса на генерацию нового сертификата и SSH ключи для проверки.
Web Access Mask – настройка профиля подключений для доступа через Web. В системе есть профили, которые имеют настройки по умолчанию для доступа и настройку сервера через web-браузер. Если создается новый профиль, то для работы через браузер этому профилю надо определить права доступа.
Miscellaneous – в данном разделе представлены остальные инструменты
File synchronization – просмотр статуса синхронизации файлов между основными и резервными серверами.
Download Files – позволяет закачивать на сервер необходимые файлы, в том числе и сертификаты для установки.
CM Phone Message File – файлы для поддержки Unicode на телефонных аппаратах.