По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие наши статьи:
img
Первая часть статьи доступна по ссылке: Базовая настройка коммутатора Cisco - часть 1 Защита доступа в пользовательском режиме с помощью локальных имен пользователей и паролей Коммутаторы Cisco поддерживают два других метода безопасного входа, которые используют пары имя пользователя / пароль вместо общего пароля без ввода имени пользователя. Первый метод, использует ввод локального имени пользователя и пароля. Происходит настройка пары имя пользователя / пароль локально-то есть в конфигурации коммутатора. Коммутаторы поддерживают режим локального имени пользователя / пароля для входа по консоли, по Telnet и даже по SSH, но не изменяют пароль от привилегированного режима (enable), используемый для входа в режим enable. Настройки для перехода от использования простых общих паролей к использованию локальных имен пользователей/паролей требует лишь небольших изменений конфигурации, как показано на рис.3. На рисунке показаны два ПК, пытающиеся получить доступ к пользовательскому режиму. Один из ПК подключен по консольному кабелю в пользовательский режим через линию console 0, а другой ПК по Telnet, соединяющийся через терминальные линии vty 0 15. Оба ПК не имеют паролей для входа, и задано имя пользователя для обоих ПК - " local." На рисунке в Пользовательском режиме используется две команды: 1- username ulanbaby secret box 2- username landy secret box Глядя на настройки на рисунке, видно, во-первых, коммутатору, необходимо задать пару имя пользователя/пароль. Для их создания, в режиме глобальной конфигурации, введите команду создания имени пользователя и зашифрованного пароля -username <имя пользователя> secret <пароль>. Затем, чтобы включить тип безопасности входа с проверкой логина (имени пользователя ) по консоли или Telnet, просто добавьте команду login local. По сути, эта команда означает " использовать локальный список имен пользователей для входа в систему." Вы также можете использовать команду no password, чтобы очистить все оставшиеся команды паролей из консоли или режима vty, потому что эти команды не нужны при использовании локальных имен пользователей и паролей. Ниже подробно описаны шаги для настройки доступа к к коммутатору с использованием логина и пароля: Шаг 1. В режиме глобальной конфигурации используйте команду username <имя пользователя > secret <пароль>, чтобы создать одну или несколько пар имя пользователя/пароль в локальной базе коммутатора. Шаг 2. Настройте консоль на использование пар имя пользователя / пароль из локальной базы коммутатора: используйте команду line con 0 для входа в режим конфигурации консоли. используйте подкоманду login local, чтобы разрешить коммутатору запрашивать имя пользователя и пароль, совпадающие со списком локальных имен пользователей/паролей. (необязательно) используйте подкоманду no password для удаления всех существующих простых общих паролей, просто для оптимизации конфигурации. Шаг 3. Настройте Telnet (vty) для использования пар имя пользователя / пароль из локальной базы коммутатора: 1. используйте команду line vty 0 15 для входа в режим конфигурации vty для всех 16 терминальных линий vty (пронумерованных от 0 до 15). 2. используйте подкоманду login local, чтобы разрешить коммутатору запрашивать имя пользователя и пароль для всех входящих пользователей Telnet, со списком локальных имен пользователей/паролей. 3. (необязательно) используйте подкоманду no password для удаления всех существующих простых общих паролей, просто для оптимизации конфигурации. При попытке подключиться по Telnet к коммутатору, настроенному как показано на рисунке, пользователю будет предложено сначала ввести имя пользователя, а затем пароль, как показано в Примере 4. Пара имя пользователя / пароль должна быть в локальной базе коммутатора.В противном случае вход в систему будет отклонен. В примере 4 коммутаторы Cisco не отображает символы при вводе пароля по соображениям безопасности. Защита доступа в пользовательском режиме с помощью внешних серверов аутентификации В конце примера 4 показано одно из многочисленных улучшений безопасности, когда требуется, чтобы каждый пользователь входил под своим собственным именем пользователя. Также в конце примера показано, как пользователь входит в режим конфигурации (configure terminal), а затем сразу же покидает его (end). Обратите внимание, что при выходе пользователя из режима конфигурации коммутатор генерирует сообщение журнала (log). Если пользователь вошел в систему с именем пользователя, сообщение журнала (log) идентифицирует это имя пользователя; В примере сгенерировано сообщение журнала по имени "ulanbaby". Однако использование имени пользователя / пароля, настроенного непосредственно на коммутаторе, не всегда удобно при администрировании. Например, каждому коммутатору и маршрутизатору требуется настройка для всех пользователей, которым может потребоваться войти на устройства. Затем, когда возникнет необходимость внесения изменений в настройки, например, изменение паролей для усиления безопасности, настройки всех устройств должны быть изменены. Лучшим вариантом было бы использовать инструменты, подобные тем, которые используются для многих других функций входа в ИТ. Эти инструменты обеспечивают центральное место для безопасного хранения всех пар имя пользователя / пароль, с инструментами, чтобы заставить пользователей регулярно менять свои пароли, инструменты, чтобы отключать пользователей, когда они завершают сеанс работы, и так далее. Коммутаторы Cisco позволяют именно этот вариант, используя внешний сервер, называемый сервером аутентификации, авторизации и учета (authentication, authorization, and accounting)(AAA). Эти серверы содержат имена пользователей / пароли. Сегодня многие существующие сети используют AAA-серверы для входа на коммутаторы и маршрутизаторы. Да для настройки данного входа по паре имя пользователя / пароль необходимо произвести дополнительные настройки коммутатора. При использовании AAA-сервера для аутентификации коммутатор (или маршрутизатор) просто отправляет сообщение на AAA-сервер, спрашивая, разрешены ли имя пользователя и пароль, и AAA-сервер отвечает. На рисунке показано, что пользователь сначала вводит имя пользователя / пароль, коммутатор запрашивает AAA-сервер, а сервер отвечает коммутатору, заявляя, что имя пользователя/пароль действительны. На рисунке процесс начинается с того, что ПК " А " отправляет регистрационную информацию через Telnet или SSH на коммутатор SW1. Коммутатор передает полученную информацию на сервер "AAA" через RADIUS или TACACS+. Сервер отправляет подтверждение коммутатору, который, в свою очередь, отправляет приглашение (разрешение) на ввод команды в пользовательскую систему. Хотя на рисунке показана общая идея, обратите внимание, что информация поступает с помощью нескольких различных протоколов. Слева, соединение между Пользователем и коммутатором или маршрутизатором использует Telnet или SSH. Справа коммутатор и AAA-сервер обычно используют протокол RADIUS или TACACS+, оба из которых шифруют пароли, при передаче данных по сети. Настройка защищенного удаленного доступа по SSHl До сих пор мы рассматривали доступ к коммутатору по консоли и Telnet, в основном игнорируя SSH. У Telnet есть один серьезный недостаток: все данные в сеансе Telnet передаются в открытом виде, включая обмен паролями. Таким образом, любой, кто может перехватывать сообщения между Пользователем и коммутатором (man-in-the-middle attack), может видеть пароли. SSH шифрует все данные, передаваемые между SSH-клиентом и сервером, защищая данные и пароли. SSH может использовать тот же метод аутентификации локального входа, что и Telnet, с настроенными именем пользователя и паролем в локальной базе коммутатора. (SSH не работает с методами аутентификации, которые не используют имя пользователя, например только общие пароли.) Итак, в настройке доступа для локальных пользователей по Telnet, как показано ранее на рисунке, также включена локальная аутентификация по имени пользователя для входящих соединений SSH. На рисунке показан один пример настройки того, что требуется для поддержки SSH. Рисунок повторяет конфигурацию создания локального пользователя, (см. рисунок) для подключения по Telnet. На скриншоте показаны три дополнительные команды, необходимые для завершения настройки SSH на коммутаторе. На рисунке показаны три дополнительные команды, необходимые для завершения настройки SSH на коммутаторе. На рисунке показан листинг настройки SSH. Для настройки SSH на рисунке, отображаются команды: hostname sw-1 (задает имя коммутатору) ip domain-name testing.com (команда использует полное доменное имя sw-1.testing.com) crypto key generate rsa. Для локальной конфигурации имени пользователя (например, Telnet) отображаются следующие команд: username ulanbaby secret box username landy secret man line vty 0 15 login local IOS использует три команды: две для конфигурации SSH, а также одну команду для создания ключей шифрования SSH. Сервер SSH использует полное доменное имя коммутатора в качестве входных данных для создания этого ключа. Коммутатор создает полное доменное имя из имени хоста и доменного имени коммутатора. Рисунок 5 начинается с установки обоих значений (на тот случай, если они еще не настроены). Затем третья команда, команда crypto key generate rsa, генерирует ключи шифрования SSH. IOS по умолчанию использует SSH-сервер. Кроме того, IOS по умолчанию разрешает SSH-соединения по vty. Просмотр настроек в режиме конфигурации, шаг за шагом, может быть особенно полезен при настройке SSH. Обратите внимание, в частности, что в этом примере команда crypto key запрашивает у пользователя модуль ключа; вы также можете добавить параметр modulus modulus-value в конец команды crypto key, чтобы добавить этот параметр в команду. В примере 5 показан порядок настройки ssh ( такие же команды, что и на рис. 5) Ключ шифрования является последним шагом. Ранее упоминалось, что одним полезным значением по умолчанию было то, что коммутатор по умолчанию поддерживает как SSH, так и Telnet на линиях vty. Однако, поскольку Telnet не безопасный протокол передачи данных, то вы можете отключить Telnet, чтобы обеспечить более жесткую политику безопасности. Для управления тем, какие протоколы коммутатор поддерживает на своих линиях vty, используйте подкоманду transport input {all | none / telnet / ssh} vty в режиме vty со следующими опциями: transport input all or transport input telnet ssh поддержка как Telnet, так и SSH transport input none: не поддерживается ни один протокол transport input telnet: поддержка только Telnet transport input ssh: поддержка только SSH В завершении этой части статьи о SSH, расписана пошаговая инструкция настройки коммутатора Cisco для поддержки SSH с использованием локальных имен пользователей. (Поддержка SSH в IOS может быть настроена несколькими способами; эта пошаговая инструкция показывает один простой способ ее настройки.) Процесс, показанный здесь, заканчивается инструкцией настройки локального имени пользователя на линиях vty, как было обсуждено ранее в первой части данной серии статей. Шаг 1. Настройте коммутатор так, чтобы он генерировал совпадающую пару открытых и закрытых ключей для шифрования: если еще не настроено, задайте командой hostnamename имя для этого коммутатора в режиме глобальной конфигурации. Если еще не настроено, задайте командой ip domain-namename доменное имя для коммутатора в режиме глобальной конфигурации. Используйте команду crypto key generate rsa в режиме глобальной конфигурации (или команду crypto key generate RSA modulus modulus-value, чтобы избежать запроса модуля ключа) для генерации ключей. (Используйте по крайней мере 768-битный ключ для поддержки SSH версии 2.) Шаг 2. (Необязательно) используйте команду ip ssh version 2 в режиме глобальной конфигурации, чтобы переопределить значение по умолчанию для поддержки обеих версий протокола удаленного доступа SSH 1 и 2, так что бы разрешены были только соединения SSHv2. Шаг 3. (Необязательно) если вы еще не настроили нужный параметр, задайте на линии vty для работы по SSH и Telnet.: используйте команду transport input ssh в режиме конфигурации линий vty, чтобы разрешить только SSH. используйте команду transport input all (по умолчанию) или команду transport input telnet ssh в режиме конфигурации линий vty, чтобы разрешить как SSH, так и Telnet. Шаг 4. Используйте различные команды в режиме конфигурации линий vty для настройки локальной аутентификации имени пользователя, как описано ранее в этой статье. На маршрутизаторах Cisco часто по умолчанию настроен параметр transport input none. Поэтому необходимо добавить подкоманду transport input line для включения Telnet и / или SSH в маршрутизаторе. Для просмотра информации о состояния SSH на коммутаторе используются две команды. Во-первых, команда show ip ssh выводит информацию о состоянии самого SSH-сервера. Затем команда show ssh выводит информацию о каждом клиенте SSH, подключенном в данный момент к коммутатору. В пример 6 показаны примеры работы каждой из команд, причем пользователь ULANBABY в данный момент подключен к коммутатору.
img
Kali Linux, возможно, является одним из лучших дистрибутивов Linux, доступных для тестирования безопасности. Хотя многие инструменты в Kali можно установить в большинстве дистрибутивов Linux, команда разработчиков Offensive Security, занимающаяся разработкой Kali, потратила бесчисленные часы на совершенствование готового к загрузке дистрибутива безопасности. Kali Linux - это дистрибутив безопасности на основе Debian. Дистрибутив поставляется с предустановленными сотнями известных инструментов безопасности и заслужил себе имя. В этой статье мы рассказываем, как установить Kali Linux и стать крутым хакером (в рамках закона, конечно же). Мы будем использовать последнюю на данный момент версию Kali Linux - 2020.2 Системные Требования Кали имеет некоторые минимальные рекомендуемые спецификации для оборудования. В зависимости от предполагаемого использования может потребоваться больше. В этом руководстве предполагается, что вы захотите установить Kali в качестве единственной операционной системы на компьютере. Не менее 20 ГБ дискового пространства; Настоятельно рекомендуется иметь больше. Не менее 2 ГБ ОЗУ; больше рекомендуется особенно для графических сред. Поддержка загрузки с USB или CD/DVD ISO доступен на странице загрузки Kali Linux. Создание загрузочного USB с помощью команды dd В этом руководстве предполагается, что USB-накопитель доступен для использования в качестве установочного носителя. Обратите внимание, что USB-накопитель должен быть как можно ближе к 4/8 ГБ. Обязательно сделайте резервную копию всех данных, прежде чем продолжить - все данные будут удалены. Этот загрузочный USB-диск Kali Linux будет создан с другого компьютера с Linux. Первым шагом нужно получить Kali Linux ISO образ. В этом руководстве будет использоваться новейшая версия Kali с настольной средой Enlightenment Linux. Чтобы получить эту версию, введите следующую команду wget в терминал. $ cd ~/Downloads $ wget -c https://cdimage.kali.org/kali-2020.2/kali-linux-2020.2-installer-amd64.iso Две приведенные выше команды загрузят ISO-образ Kali Linux в папку Downloads текущего пользователя. Следующим этапом является запись ISO на USB-накопитель для загрузки установщика. Для этого мы можем использовать инструмент dd в Linux. Сначала нам нужно найти имя диска с помощью команды lsblk. $ lsblk Когда имя USB-накопителя станет определено как /dev/sdc, образ Kali можно записать на накопитель с помощью инструмента dd. $ sudo dd if=~/Downloads/kali-linux-2020.2-installer-amd64.iso of=/dev/sdc Важное замечание: Приведенная выше команда требует привилегий root, поэтому для запуска команды используйте sudo или login в качестве пользователя root. Также эта команда УДАЛИТ ВСЕ на USB-накопителе. Обязательно сделайте резервную копию необходимых данных. После того, как ISO скопирован на USB-накопитель, переходим к установке Kali Linux. Установка Kali Linux Distribution 1. Сначала подключите USB-накопитель к соответствующему компьютеру, на котором должен быть установлен Kali, и перейдите к загрузке через USB-накопитель. После успешной загрузки с USB-накопителя пользователю будет показан следующий экран, и он должен перейти к опциям Install (Установка) или Graphical Install (Графическая установка). В этом руководстве будет использоваться метод Graphical Install. 2. На следующей паре экранов пользователю будет предложено выбрать информацию о локали, такую как язык, страна и раскладка клавиатуры. После ознакомления с информацией о локали установщик запросит имя хоста и домен (hostname и domain) для этой установки. Предоставьте соответствующую информацию для среды и продолжите ее установку. 3. После настройки имени хоста и имени домена вам необходимо создать новую учетную запись пользователя, чтобы использовать ее вместо учетной записи root для неадминистративной деятельности. 4. После установки пароля установщик запросит данные о часовом поясе, а затем сделает паузу на разбиении диска. Если Kali будет единственной операционной системой на компьютере, самый простой вариант - Guided – Use Entire Disk использовать (Управляемый - использовать весь диск), а затем выбрать устройство хранения, которое вы хотите установить Kali. 5. Следующий вопрос предложит пользователю определить раздел на устройстве хранения. Большинство установок могут просто поместить все данные в один раздел. 6. На последнем шаге нас просят подтвердить все изменения, которые необходимо внести на компьютере. Имейте в виду, что далее будет удалены данные на диске. 7. После подтверждения изменений раздела программа установки запустит процесс установки файлов. По завершении система предложит вам выбрать программное обеспечение, которое установит стандартную среду рабочего стола с необходимыми инструментами. 8. После завершения установки программного обеспечения система попросит установить grub. Опять же, в этом руководстве предполагается, что Kali будет единственной операционной системой на этом компьютере. Выбор «Да» на этом экране позволит пользователю выбрать устройство для записи необходимой информации о загрузчике на жесткий диск для загрузки Kali. 9. После того, как установщик завершит установку GRUB на диск, он предупредит пользователя о перезагрузке компьютера для загрузки Kali. 10. Так как это руководство установило среду рабочего стола XFCE, оно, скорее всего, загрузится в нее по умолчанию. После загрузки войдите в систему как пользователь с паролем, созданным ранее в процессе установки. На этом этапе Kali Linux успешно установлена и готова к использованию!
img
Фаервол на Микротике основан на базе принципов iptables в Linux позволяет фильтровать входящий и исходящий трафик по определенным правилам. В статье мы хотим рассказать про ключевые компоненты Firewall, дизайне и реализации этого инструмента. Погнали! Общее представление Основная идея любого фаервола это определение того, что разрешено и запрет всего остального. Так работают все современные инструменты фильтрации. При наличии фаервола, сеть можно разделить на ненадежные, полу - надежные и надежные. Firewall Chains Цепочки (последовательности) фаерволов сопоставляют по своим правилам входящий и исходящий с интерфейса трафик. После того, как трафик попал под определенное правило («сматчился»), вы можете совершать определенные манипуляции с ним: разрешить, блокировать, отклонить, внести в лог запись и так далее. В Mikrotik есть следующие флаги: Input, Output и Forward. Input Chain Input матчит входящий на интерфейсы маршрутизатора трафик. Условно говоря – это прилетающие на роутера IP - пакеты. Обычная практика – дропать пакеты, прилетающие на WAN, направленные на сканирование портов, попытки взлома и прочие. Помимо этого, многие блокируют входящий трафик изнутри локальной сети (например, допуск к Winbox или SSH должен быть только с определенного VLAN – остальные дропаются). Всегда используйте VLAN – это базовое разграничение, которое позволит вам обеспечить современные стандарты безопасности. Output Chain Как можно догадаться по названию, данный инструмент направлен на фильтрацию исходящего от роутера трафика. Здесь можно блокировать запросы, исходящие непосредственно с роутера: например, DNS или ICMP запрос с роутера. Forward Chain Самое интересное – данный инструмент «матчит» трафик проходящий через Mikrotik с одного интерфейса на другой. Пример: пакет, отправленный с хоста внутри LAN через маршрутизатор в сторону провайдера. Пакет прилетает на внутренний интерфейс, а выходит через WAN. Firewall Actions Правила на фаерволе могут делать множество вещей, основные из которых: accept (принять), drop (сбросить) и отклонить (reject). Accept Данное правило позволяет просто «пропустить» проходящий через фаервол трафик. Никакой модификации или изменения маршрута – пакету будет позволено продолжить свой изначальный путь. Reject Фаервол может легко отклонить (сделать reject) пакетов, которые попадут под определенное правило. При этом, источнику такого пакета будет отправлено уведомление о соответствующей блокировке. В данном методе есть один весомый минус: в случае, если злоумышленник попробует «сканировать» порты или совершить другой вид атаки – отправленные в его сторону REJECT сообщения лишь помогут ему в злодеяниях. Поэтому, в целях безопасности, мы рекомендуем использовать DROP. Drop Данное правило «дропает» пакет без отправления уведомления об этом источнику. Этот метод наиболее безопасен на этапе защиты своего Mikrotik от сканирования портов и прочих атак. Firewall Rules Правила Firewall определяют пакеты, которые будут обработаны на уровне фаервола, а какие будут отброшены. Каждое правило – это комбинация параметров IP – адресации (источник/получатель пакета), цепочек (chains), действий (actions), интерфейсов и прочих опций. Как мы говорили ранее – хорошо настроенный фаервол пропустит только необходимый для бизнеса трафика, дав запрет на пропуск всего остального потока трафика. Указывая набор разрешающих правил, всегда замыкайте их на конце строчкой «DENY ALL» (запретить все). Chains Каждое создаваемое правило назначается определенной цепочке (chain). После определения принадлежности к цепочке, пакеты проходят проверку через последовательность правил в порядке убывания (сверху вниз). Порядок правил в фаерволе играет важную роль! Поэтому, от последовательности проверки зависит эффективность фильтрации. Actions Правило отрабатывает по одному из основных действий: принять (accept), отклонить (reject) и отбросить (drop). Выше мы подробнее рассказывали про каждое из указанных действий. Адресация Нашему правилу можно сказать, по какому критерию проводить блокировку: это может быть протокол, IP – адрес (это может быть как хост с /32 маской, так и целая подсеть с /24, например). Помимо этого, критерием могут быть физические или логические интерфейсы (eth/GRE). Комментарии Создавая правила комментируйте их. Это важно, как и при программировании – код без комментариев очень сложно анализировать и понимать в будущем. Советы Хотим так же поделиться парой полезных советов по настройке Firewall: Разрешайте только необходимый для работы трафик - да, это сложно. Но методом проб и ошибок мы рекомендуем добиться той настройки фаервола, в рамках которой все ваши подключения будут ясны и понятны. Подключения только с определенного пула адресов - это может быть удаленный офис, IP – адреса ЦОД или VPN адресация. Тут нужно быть особенно бдительным. В конце правил всегда используйте «deny all» - после того, как вы выполнили первую и вторую рекомендации и весь тип трафика по протоколам, адресации, источникам (в том числе L7, например) четко определен – в конце цепочки добавьте правило запрета всего. Это будет означать, дословно: «Все, что не разрешено - запрещено». Атакуйте свою сеть! - да, да, вы не ослышались. Конечно, без фанатизма :) Мы предлагаем периодически сканировать порты на вашем фаерволе. Например, это можно делать с помощью утилиты исследования сети Nmap.
ВЕСЕННИЕ СКИДКИ
40%
50%
60%
До конца акции: 30 дней 24 : 59 : 59