- •Глава 16 – Основы сетевой безопасности.
- •16.0 Введение.
- •16.0.1 Почему я должен выполнить этот модуль?
- •16.0.2 Что я буду изучать в этом модуле?
- •16.1 Угрозы безопасности и уязвимости
- •16.1.1 Типы угроз
- •16.1.2 Типы уязвимостей
- •16.1.3 Физическая защита
- •16.1.4 Проверьте свое понимание темы Угрозы и уязвимости ip.
- •16.2 Сетевые атаки
- •16.2.1 Типы вредоносного по
- •16.2.2 Разведывательные атаки
- •16.2.3 Атаки доступа
- •16.2.4 Атаки типа «отказ в обслуживании» (DoS-атаки)
- •16.2.5 Убедитесь, что вы правильно поняли тему - Сетевые атакиНачало формы
- •16.2.6 Лабораторная работа. Изучение угроз безопасности сети
- •Часть 1: Изучение веб-сайта sans
- •Часть 2: Определение новых угроз безопасности сети
- •Часть 3: Подробное описание отдельной угрозы безопасности сети
- •16.3 Защита от сетевых атак
- •16.3.1 Углубленный подход к защите
- •16.3.2 Сохранить резервные копии
- •16.3.3 Резервное копирование, обновление и установка исправлений
- •16.3.4 Аутентификация, авторизация и учет
- •16.3.5 Межсетевые экраны
- •16.3.6 Типы брандмауэров
- •16.3.7 Безопасность оконечных устройств
- •16.3.8 Убедитесь, что вы правильно поняли тему - Нейтрализация сетевых атак
- •16.4 Обеспечение безопасности устройств
- •16.4.2 Пароли
- •16.4.3 Расширенная защита пароля
- •16.4.4 Активация подключения по ssh
- •16.4.5 Отключите неиспользуемые службы
- •16.5.4 Контрольная по модулю - Принципы обеспечения безопасности сети
16.4.4 Активация подключения по ssh
Telnet упрощает удаленный доступ к устройствам, но не является безопасным. Данные в пакете Telnet передаются в незашифрованном виде. По этой причине в целях обеспечения безопасного удаленного доступа настоятельно рекомендуется использовать на устройствах протокол SSH.
Настройка поддержки протокола SSH для устройства Cisco выполняется в четыре этапа, как показано на рисунке.
Шаг 1. Configure a unique device hostname. Устройство должно иметь уникальное имя хоста, отличное от имени по умолчанию.
Шаг 2. Configure the IP domain name. Настройте имя IP-домена сети с помощью команды режима глобальной конфигурации ip-domain name.
Шаг 3. Generate a key to encrypt SSH traffic. SSH шифрует трафик между источником и получателем. Однако для этого уникальный ключ проверки подлинности должен быть создан с помощью команды глобальной конфигурации crypto key generate rsa general-keys modulus bits. Следует лишь отметить, что модуль определяет размер ключа, который может быть в диапазоне от 360 бит до 2048 бит. Чем больше значение бит, тем безопаснее ключ. Однако большие значения битов также требовать больше времени для шифрования и расшифровки информации. Минимальная рекомендуемая длина модуля — 1024 бит.
Шаг 4. Verify or create a local database entry. Создайте учетную запись пользователя в локальной базе данных с помощью команды username в режиме глобальной конфигурации. В примере параметр secret используется так, чтобы пароль был зашифрован с помощью MD5.
Шаг 5. Authenticate against the local database. Используйте команду конфигурации login local строки для проверки подлинности строки vty в локальной базе данных.
Шаг 6. Enable vty inbound SSH sessions. По умолчанию сеанс не разрешен на линиях vty. С помощью transport input [ssh | telnet] команды можно указать несколько протоколов, включая Telnet и SSH.
Как показано в примере, маршрутизатор R1 настроен в домене span.com. Эта информация используется вместе с битовым значением, указанным в crypto key generate rsa general-keys modulus команде, для создания ключа шифрования.
Затем создается запись локальной базы данных для пользователя с именем Bob. Наконец, vty настроены на аутентификацию в локальной базе данных и могут принимать только входящие SSH сессии.
Router# configure terminal
Router(config)# hostname R1
R1(config)# ip domain-name span.com
R1(config)# crypto key generate rsa general-keys modulus 1024
The name for the keys will be: Rl.span.com % The key modulus size is 1024 bits
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
•Dec 13 16:19:12.079: %SSH-5-ENABLED: SSH 1.99 has been enabled
R1(config)#
R1(config)# username Bob secret cisco
R1(config)# line vty 0 4
R1(config-line)# login local
R1(config-line)# transport input ssh
R1(config-line)# exit
R1(config)#
16.4.5 Отключите неиспользуемые службы
Маршрутизаторы и коммутаторы Cisco запускаются с большим списком активных служб, которые могут потребоваться или не потребоваться при работе в сети. Отключите все неиспользуемые службы, чтобы сохранить системные ресурсы, такие как ЦП и ОЗУ, и предотвратить использование этих служб злоумышленниками. Тип служб, которые по умолчанию включен, зависит от версии IOS. Например, IOS-XE обычно имеет открытые только порты HTTPS и DHCP. Это можно проверить с помощью команды show ip ports all, как показано в примере.
Router# show ip ports all
Proto Local Address Foreign Address State PID/Program Name
TCB Local Address Foreign Address (state)
tcp :::443 :::* LISTEN 309/[IOS]HTTP CORE
tcp *:443 *:* LISTEN 309/[IOS]HTTP CORE
udp *:67 0.0.0.0:0 387/[IOS]DHCPD Receive
Router#
В версиях IOS, предшествующих IOS-XE, используется команда show control-plane host open-ports. Мы упоминаем эту команду, потому что вы можете увидеть ее на старых устройствах. Выходные данные аналогичны. Однако, обратите внимание, что этот старый маршрутизатор имеет небезопасный HTTP-сервер и работает Telnet. Обе эти службы должны быть отключены. Как показано в примере, отключите HTTP командой no ip http server в режиме глобальной конфигурации. Отключите Telnet, указав только SSH в команде конфигурации строки transport input ssh.
Router# show control-plane host open-ports
Active Internet connections (servers and established)
Proto Local Address Foreign Address State PID
tcp *:23 *:0 Telnet LISTEN
tcp *:80 *:0 HTTP CORE LISTEN
udp *:67 *:0 DHCPD Receive LISTEN
Router# configure terminal
Router(config)# no ip http server
Router(config)# line vty 0 15
Router(config-line)# transport input ssh
16.4.6 Packet Tracer. Настройка безопасного пароля и протокола SSH
Администратор сети обратился к вам с просьбой подготовить RTA и SW1 для развертывания. Перед его подключением к сети необходимо активировать функции безопасности.
16.4.7 Лабораторная работа. Доступ к сетевым устройствам по протоколу SSH
В этой лабораторной работе вы выполните следующие задачи:
Часть 1: Настройка основных параметров устройств
Часть 2: Настройка маршрутизатора для доступа по протоколу SSH
Часть 3: Настройка коммутатора для доступа по протоколу SSH
Часть 4: Настройка протокола SSH с использованием интерфейса командной строки (CLI) коммутатора
16.5 Практика и контрольная работа модуля
16.5.1 Packet Tracer - Безопасность сетевых устройств
В этом задании вы будете настраивать маршрутизатор и коммутатор на основе списка требований.
16.5.2 Лабораторная работа. Обеспечение безопасности сетевых устройств
В этой лабораторной работе вы выполните следующие задачи:
Часть 1: Настройка основных параметров устройств
Часть 2: Настройка базовых мер безопасности на маршрутизаторе
Часть 3: Настройка базовых мер безопасности на коммутаторе
16.5.3 Что я изучил в этом модуле?
Угрозы безопасности и уязвимости
Атака на сеть может иметь разрушительные последствия с потерей времени и средств в результате повреждения или хищения важной информации и ресурсов. Злоумышленников, которые получают доступ, внося изменения в ПО или используя его уязвимости, называют хакерами. Хакер, получивший доступ в сеть, становится источником четырех видов угроз: хищения информации, хищения персональных данных, потери данных или манипуляций с ними и прекращения обслуживания. Три основных типа уязвимостей: технологии, конфигурация, и политика безопасности. Четыре класса физических угроз: аппаратное, окружающая среда, электрическое и техническое обслуживание.
Network Attacks
Вредоносное ПО ― это вредоносное программное обеспечение (или вредоносный код). Такой код или ПО разрабатывается с целью повредить, разрушить, украсть данные либо причинить вред или совершить незаконные действия в отношении данных, узлов или сетей. К такому типу программного обеспечения можно отнести вирусы, черви и программы-трояны. Сетевые атаки можно разделить на три основные категории: разведывательная атака, атака доступа и атака типа «отказ в обслуживании» (DoS-атака). Четыре класса физических угроз: аппаратное, окружающая среда, электрическое и техническое обслуживание. Три типа разведывательных атак: интернет-запросы, ping развертки и сканирование портов. Четыре типа атак доступа: пароль (грубая сила, троянский конь, анализатор пакетов), использование доверия, перенаправление портов и «человек-в-середине». Два типа атак нарущающих работу сервисов: DoS и DDoS.
Защита от сетевых атак
Чтобы снизить уровень сетевых атак, сначала необходимо обеспечить безопасность устройств, включая маршрутизаторы, коммутаторы, серверы и хосты. Организации используют углубленный подход к защите сети. Такой подход предполагает совместную работу сетевых устройств и сервисов. Для защиты пользователей и активов организации от угроз TCP/IP реализовано несколько устройств и служб безопасности: VPN-маршрутизатор, межсетевой экран ASA, IPS, ESA/WSA и серверы-ААА. Инфраструктурные устройства должны иметь резервные копии файлов конфигурации и образов IOS на FTP или аналогичном файловом сервере. В случае сбоя оборудования компьютера или маршрутизатора данные или конфигурацию можно восстановить с помощью резервной копии. Наиболее действенный метод минимизации последствий атаки вируса-червя — загрузить обновления для системы безопасности с сайта поставщика операционной системы и установить соответствующие обновления на все уязвимые копии систем. Чтобы управлять критически важными исправлениями безопасности, убедитесь, что все конечные системы автоматически загружают обновления. Сочетание служб аутентификации, авторизации и учета — это метод, позволяющий контролировать вход разрешенных пользователей (аутентификация), какие действия они могут выполнять, находясь в сети (авторизация), а также следить за их действиями во время доступа к сети (учет). Межсетевой экран ставится между двумя (или более) сетями и контролирует трафик между ними, а также позволяет предотвратить несанкционированный доступ. Серверы, доступные для внешних пользователей, обычно расположены в специальной сети, называемой DMZ. Брандмауэры используют различные методы для определения того, что разрешен или запрещен доступ к сети, включая фильтрацию пакетов, фильтрацию приложений, фильтрацию URL-адресов и SPI. Защита конечных устройств имеет решающее значение для сетевой безопасности. Компания должна иметь хорошо документированные политики, которые могут включать использование антивирусного программного обеспечения и предотвращение вторжения в хост. Комплексные решения для защиты оконечных устройств используют функции контроля доступа к сети.
Обеспечение безопасности устройств
При установке на устройство новой операционной системы настройки системы безопасности имеют значения по умолчанию. В большинстве случаев этот уровень безопасности является недостаточным. В маршрутизаторах Cisco для обеспечения безопасности системы можно использовать функцию Cisco AutoSecure. Для большинства ОС имена пользователей и пароли по умолчанию должны быть изменены немедленно, доступ к системным ресурсам должен быть ограничен только лицами, уполномоченными использовать эти ресурсы, а любые ненужные службы и приложения должны быть отключены и удалены, когда это возможно. Для защиты сетевых устройств необходимо использовать надежные пароли. Парольную фразу зачастую проще запомнить, чем обычный пароль. Парольная фраза также имеет большую длину, чем простой пароль, и ее сложнее подобрать. Для маршрутизаторов и коммутаторов шифруйте все пароли открытого текста, устанавливая минимально допустимую длину пароля, сдерживайте атаки на угадывание паролей грубой силы и отключайте неактивный доступ в привилегированный режим EXEC по истечении указанного времени. Настройте соответствующие устройства для поддержки SSH и отключите неиспользуемые службы.