—просите про Asterisk в Telegram - чате

ћерион Ќетворкс

8 минут чтени€

—етева€ инфраструктура (роутеры, коммутаторы, ћ—Ё, ј“— и так далее) €вл€ютс€ очень важными ресурсами организации, и поэтому очень важно корректно настроить доступ к данным устройствам Ц дл€ достижени€ нужного уровн€ защиты.

ћножество корпораций фокусируютс€ на защите своих серверов, приложений, баз данных и прочих компонентов сети, но они могут совершенно забыть о том, что часть установленных у них устройств содержат, к примеру, дефолтные логин и пароль.

  примеру, скомпрометированный маршрутизатор может доставить гигантское количество проблем Ц злоумышленники могут получить доступ к информации, трафик может улетать на другое направление и так далее. “ак что корректна€ настройка устройств с точки зрени€ сетевой безопасности €вл€етс€ крайне важным моментом при обеспечении защиты информации вашей организации.

  примеру Cisco раздел€ет любое сетевое устройство на 3 функциональных плоскости, а именно:

  • ѕлоскость менеджмента Ц это все о том, как непосредственно управл€ть железкой. “о есть данна€ плоскость используетс€ дл€ доступа, настройки и мониторинга устройства. ¬ нашей статье мы непосредственно расскажем, как защитить данную плоскость;
  • ѕлоскость управлени€ Ц данна€ плоскость содержит в себе сигнальные протоколы и процессы, которые отвечают за св€зность между устройствами Ц например такие известные вам протоколы как OSPF, EIGRP и так далее;
  • ѕлоскость данных Ц плоскость, ответственна€ за перемещение информации по сети от источника до ее назначени€. ¬ данной плоскости и происходит, как правило, обмен пакетами между устройствами;

»з этих трех плоскостей наиболее защитить первую и вторую плоскости, однако в нашей статье мы сконцентрируемс€ на плоскости менеджмента и обсудим 10 важных шагов по улучшению защищенности сетевого устройства Cisco с IOS.

ƒес€ть пунктов ниже не €вл€ютс€ избыточными, но они включают в себ€ наиболее важные команды и настройки, которые позвол€т Ђзакрытьї устройство от нежелательного доступа и повысить степень защищенности. ƒанные пункты применимы как к маршрутизаторам, так и к коммутаторам.


—оздание секретного парол€

¬ цел€х предоставлени€ доступа к IOS устройству только люд€м, имеющим право (например, сисадмину/эникею/инженеру) всегда нужно создавать сложный Ђсекретныйї пароль (enable secret). ћы советуем придумать/сгенерировать пароль минимум 12 знаков, содержащий цифры, буквы и специальные символы. ѕроверьте, что вы вводите именно

enable secret
- тогда в конфиге пароль будет отображатьс€ в зашифрованном виде.

Router# config terminal
Router(config)# enable secret сложныйпароль

«ашифруйте пароли на устройстве

¬се пароли, настроенные на устройстве (за исключением Ђсекретногої), не шифруютс€ от слова совсем и легко видны в конфиге. „тобы зашифровать все пароли в конфиге, необходимо использовать глобальную команду

service password encryption

Router# config terminal
Router(config)# service password-encryption

»спользуйте внешний сервер авторизации дл€ аутентификации пользователей

¬место использовани€ локальных учетных записей на каждом устройстве дл€ доступа администратора, мы рекомендуем использование внешнего AAA сервера (TACACS+ или RADIUS) дл€ обеспечени€ јутентификации, јвторизации и ”чета (вольный перевод Authentication, Authorization, Accounting).

— централизованным јјј сервером гораздо проще управл€ть учетными запис€ми, реализовывать политики безопасности, мониторить использование аккаунтов и многое другое.

Ќиже на схеме вы можете видеть как настроить TACACS+ и RADIUS серверы с использованием enable secret парол€ в случае отказа этих серверов.

ƒиаграмма сети и сценарий при доступа к настройке устройства с использованием AAA сервера
TACACS+
Router# config terminal
Router(config)# enable secret K6dn!#scfw35    //создаем Усекретный Ф пароль
Router(config)# aaa new-model   //включаем јјј службу
Router(config)# aaa authentication login default group tacacs+ enable  //»спользуем TACACS сервер и обычный пароль на случай отказа
Router(config)# tacacs-server host 192.168.1.10 //указываем внутренний јјј сервер
Router(config)# tacacs-server key Сsecret-keyТ //указываем секретный ключ дл€ јјј сервера
Router(config)# line vty 0 4  
Router(config-line)# login authentication default //примен€ем јјј аутентификацию дл€ линий удаленного доступа (telnet, ssh)
Router(config-line)# exit
Router(config)# line con 0 //примен€ем јјј аутентификацию дл€ консольного порта
Router(config-line)# login authentication default
RADIUS
Router# config terminal
Router(config)# enable secret K6dn!#scfw35    //создаем Усекретный Ф пароль 
Router(config)# aaa new-model   //включаем јјј службу
Router(config)# aaa authentication login default group radius enable  //»спользуем RADIUS сервер и обычный пароль на случай отказа
Router(config)# radius-server host 192.168.1.10 //указываем внутренний јјј сервер
Router(config)# radius-server key Сsecret-keyТ //указываем секретный ключ дл€ јјј сервера
Router(config)# line vty 0 4  
Router(config-line)# login authentication default //примен€ем јјј аутентификацию дл€ линий удаленного доступа (telnet, ssh)
Router(config-line)# exit
Router(config)# line con 0 //примен€ем јјј аутентификацию дл€ консольного порта
Router(config-line)# login authentication default

—оздайте отдельные аккаунты дл€ пользователей

≈сли у вас отсутствует возможность использовать внешний јјј сервер, по инструкции, описанной в предыдущем шаге, то как минимум, вам необходимо создать несколько отдельных локальных аккаунтов дл€ всех, у кого должен быть доступ к устройству. ѕриведем пример создани€ трех локальных аккаунтов дл€ троих системных администраторов.

 роме того, в версии IOS начина€ с 12.2(8)T и позднее, есть возможность настроить повышенную надежность паролей (Enhanced Password Security) дл€ локальных учетных записей Ц это зашифрует пароли с помощью MD5 хэша.

Ќиже пример настройки трех учетных записей:

Router# config terminal
Router(config)# username efstafiy-admin secret Lms!a2eZf*%_rete
Router(config)# username evlampiy-admin secret d4N3%sffeger
Router(config)# username vova-admin secret 54sxSFT*&_(!zsd

Ќастройте лимит возможных попыток подключени€

ƒл€ того, чтобы избежать взламывани€ вашей учетной записи на маршрутизаторе с помощью брутфорса, вы можете настроить ограничение количества попыток подключени€, когда после определенного предела система заблокирует пользовател€. Ёто работает дл€ локальных учетных записей.

Router# config terminal
Router(config)# username john-admin secret Lms!a2eZSf*% 
Router(config)# aaa new-model
Router(config)# aaa local authentication attempts max-fail 5  //max 5 failed login attempts
Router(config)# aaa authentication login default local

ќткрытие доступа на управление устройством только дл€ определенных IP Ц адресов

ƒанный пункт €вл€етс€ одним из наиболее важных дл€ сетевых устройств Cisco Ц необходимо оставить доступ к Telnel или SSH только дл€ определенных сетевых адресов (например, рабочей станции системного администратора). ¬ нашем примере сисадмин находитс€ в пуле 192.168.1.0/28

Router# config terminal
Router(config)# access-list 10 permit 192.168.1.0 0.0.0.15
Router(config)# line vty 0 4
Router(config)# access-class 10 in  //применить ограничени€ на все VTY линии (SSH/Telnet)

¬ключить логирование

Ћогирование €вл€етс€ очень полезной функцией дл€ отслеживани€, аудита и контрол€ инцидентов. ¬ы можете включить логирование во внутренний буфер устройства или на внешний лог-сервер. ¬тора€ опци€ €вл€етс€ более предпочтительной, так как вы можете хранить там больше информации и проще производить различного рода аналитику.

¬сего существует 8 уровней логировани€ (от 0 до 7), каждый из которых делает лог более насыщенным детал€ми. Ћучше всего избегать 7 уровень логировани€ (дебаг), т.к это может легко потратить все ресурсы вашего устройства.

Ќиже пример, как включить логирование и на внешний сервер, и на сам девайс (можно использовать два варианта одновременно).

Router# config terminal
Router(config)# logging trap 6  //¬ключить 6 уровень логировани€ дл€ логов, отправл€емых на внешний сервер
Router(config)# logging buffered 5  //¬ключить 5 уровень логировани€ дл€ логов, хранимых на самом девайсе
Router(config)# service timestamps log datetime msec show-timezone  //¬ключить таймстампы с милисекундной точностью
Router(config)# logging host 192.168.1.2 //ќтправл€ть логи на внешний сервер
Router(config)# logging source-interface ethernet 1/0  //»спользовать интерфейс Eth1/0 дл€ отправки логов

¬ключение NTP (Network Time Protocol)

ƒанный шаг необходим дл€ корректной работы логировани€ Ц т.к вам необходимо синхронизированное и точное системное врем€ на всех сетевых устройствах, дл€ правильного понимани€ ситуации при траблшутинге. ¬ы можете использовать как публичный, так и свой собственный NTP cервер.

Router# config terminal
Router(config)# ntp server 3.3.3.3
Router(config)# ntp server 4.4.4.4

»спользование безопасных протоколов управлени€

ѕо умолчанию, протоколом, с помощью которого можно управл€ть устройством €вл€етс€ Telnet. ќднако весь трафик передаетс€ в незашифрованном виде Ц поэтому предпочтительно использовать SSH.

¬ажно Ц дл€ использовани€ SSH необходимо настроить хостнейм и доменное им€, а также сгенерировать SSH ключи. “акже следует разрешить только протокол SSH на VTY лини€х

«ащитить SNMP доступ

ѕро SNMP мы писали в одной из наших статей Ц это протокол дл€ управлени€ сетью, который, однако, также может служить Ђдыройї дл€ доступа в вашу сеть. ƒл€ защиты данного направлени€, вам необходимо установить сложную Community String (что-то вроде парол€ дл€ SNMP) и разрешить доступ только с определенных рабочих станций.

ƒавайте настроим две Community String Ц одну с правами на чтение, и другую с правами на чтение и изменение. “акже добавим ACL с нужными сетевыми адресами.

Router# config terminal
Router(config)# access-list 11 permit 192.168.1.0 0.0.0.15
Router(config)# access-list 12 permit 192.168.1.12
Router(config)# snmp-server community Mer!0nET RO 11 //создание community string с правами на чтение и использование ACL 11 дл€ SNMP доступа
Router(config)# snmp-server community Mer!0NeTRules RW 12 //создание community string с правами на чтение/запись и использование ACL 12 дл€ SNMP доступа

 оманды выше позвол€т сети сисадмина 192.168.1.0/28 иметь доступ на чтение и хосту 192.168.1.12 иметь полный доступ на SNMP чтение / запись к устройствам.


ѕолезна ли ¬ам эта стать€?