Добавил:
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:
ИКСС / Лекции / Лекция 16 / Глава 16 - Основы сетевой безопасности.docx
Скачиваний:
77
Добавлен:
05.09.2023
Размер:
1.82 Mб
Скачать

16.4.4 Активация подключения по ssh

Telnet упрощает удаленный доступ к устройствам, но не является безопасным. Данные в пакете Telnet передаются в незашифрованном виде. По этой причине в целях обеспечения безопасного удаленного доступа настоятельно рекомендуется использовать на устройствах протокол SSH.

Настройка поддержки протокола SSH для устройства Cisco выполняется в четыре этапа, как показано на рисунке.

Шаг 1. Configure a unique device hostname. Устройство должно иметь уникальное имя хоста, отличное от имени по умолчанию.

Шаг 2. Configure the IP domain name. Настройте имя IP-домена сети с помощью команды режима глобальной конфигурации ip-domain name.

Шаг 3. Generate a key to encrypt SSH traffic. SSH шифрует трафик между источником и получателем. Однако для этого уникальный ключ проверки подлинности должен быть создан с помощью команды глобальной конфигурации crypto key generate rsa general-keys modulus bits. Следует лишь отметить, что модуль определяет размер ключа, который может быть в диапазоне от 360 бит до 2048 бит. Чем больше значение бит, тем безопаснее ключ. Однако большие значения битов также требовать больше времени для шифрования и расшифровки информации. Минимальная рекомендуемая длина модуля — 1024 бит.

Шаг 4. Verify or create a local database entry. Создайте учетную запись пользователя в локальной базе данных с помощью команды username в режиме глобальной конфигурации. В примере параметр secret используется так, чтобы пароль был зашифрован с помощью MD5.

Шаг 5. Authenticate against the local database. Используйте команду конфигурации login local строки для проверки подлинности строки vty в локальной базе данных.

Шаг 6. Enable vty inbound SSH sessions. По умолчанию сеанс не разрешен на линиях vty. С помощью transport input [ssh | telnet] команды можно указать несколько протоколов, включая Telnet и SSH.

Как показано в примере, маршрутизатор R1 настроен в домене span.com. Эта информация используется вместе с битовым значением, указанным в crypto key generate rsa general-keys modulus команде, для создания ключа шифрования.

Затем создается запись локальной базы данных для пользователя с именем Bob. Наконец, vty настроены на аутентификацию в локальной базе данных и могут принимать только входящие SSH сессии.

Router# configure terminal

Router(config)# hostname R1

R1(config)# ip domain-name span.com

R1(config)# crypto key generate rsa general-keys modulus 1024

The name for the keys will be: Rl.span.com % The key modulus size is 1024 bits

% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]

•Dec 13 16:19:12.079: %SSH-5-ENABLED: SSH 1.99 has been enabled

R1(config)#

R1(config)# username Bob secret cisco

R1(config)# line vty 0 4

R1(config-line)# login local

R1(config-line)# transport input ssh

R1(config-line)# exit

R1(config)#

16.4.5 Отключите неиспользуемые службы

Маршрутизаторы и коммутаторы Cisco запускаются с большим списком активных служб, которые могут потребоваться или не потребоваться при работе в сети. Отключите все неиспользуемые службы, чтобы сохранить системные ресурсы, такие как ЦП и ОЗУ, и предотвратить использование этих служб злоумышленниками. Тип служб, которые по умолчанию включен, зависит от версии IOS. Например, IOS-XE обычно имеет открытые только порты HTTPS и DHCP. Это можно проверить с помощью команды show ip ports all, как показано в примере.

Router# show ip ports all

Proto Local Address Foreign Address State PID/Program Name

TCB Local Address Foreign Address (state)

tcp :::443 :::* LISTEN 309/[IOS]HTTP CORE

tcp *:443 *:* LISTEN 309/[IOS]HTTP CORE

udp *:67 0.0.0.0:0 387/[IOS]DHCPD Receive

Router#

В версиях IOS, предшествующих IOS-XE, используется команда show control-plane host open-ports. Мы упоминаем эту команду, потому что вы можете увидеть ее на старых устройствах. Выходные данные аналогичны. Однако, обратите внимание, что этот старый маршрутизатор имеет небезопасный HTTP-сервер и работает Telnet. Обе эти службы должны быть отключены. Как показано в примере, отключите HTTP командой no ip http server в режиме глобальной конфигурации. Отключите Telnet, указав только SSH в команде конфигурации строки transport input ssh.

Router# show control-plane host open-ports

Active Internet connections (servers and established)

Proto Local Address Foreign Address State PID

tcp *:23 *:0 Telnet LISTEN

tcp *:80 *:0 HTTP CORE LISTEN

udp *:67 *:0 DHCPD Receive LISTEN

Router# configure terminal

Router(config)# no ip http server

Router(config)# line vty 0 15

Router(config-line)# transport input ssh

16.4.6 Packet Tracer. Настройка безопасного пароля и протокола SSH

Администратор сети обратился к вам с просьбой подготовить RTA и SW1 для развертывания. Перед его подключением к сети необходимо активировать функции безопасности.

16.4.7 Лабораторная работа. Доступ к сетевым устройствам по протоколу SSH

В этой лабораторной работе вы выполните следующие задачи:

  • Часть 1: Настройка основных параметров устройств

  • Часть 2: Настройка маршрутизатора для доступа по протоколу SSH

  • Часть 3: Настройка коммутатора для доступа по протоколу SSH

  • Часть 4: Настройка протокола SSH с использованием интерфейса командной строки (CLI) коммутатора

16.5 Практика и контрольная работа модуля

16.5.1 Packet Tracer - Безопасность сетевых устройств

В этом задании вы будете настраивать маршрутизатор и коммутатор на основе списка требований.

16.5.2 Лабораторная работа. Обеспечение безопасности сетевых устройств

В этой лабораторной работе вы выполните следующие задачи:

  • Часть 1: Настройка основных параметров устройств

  • Часть 2: Настройка базовых мер безопасности на маршрутизаторе

  • Часть 3: Настройка базовых мер безопасности на коммутаторе

16.5.3 Что я изучил в этом модуле?

Угрозы безопасности и уязвимости

Атака на сеть может иметь разрушительные последствия с потерей времени и средств в результате повреждения или хищения важной информации и ресурсов. Злоумышленников, которые получают доступ, внося изменения в ПО или используя его уязвимости, называют хакерами. Хакер, получивший доступ в сеть, становится источником четырех видов угроз: хищения информации, хищения персональных данных, потери данных или манипуляций с ними и прекращения обслуживания. Три основных типа уязвимостей: технологии, конфигурация, и политика безопасности. Четыре класса физических угроз: аппаратное, окружающая среда, электрическое и техническое обслуживание.

Network Attacks

Вредоносное ПО ― это вредоносное программное обеспечение (или вредоносный код). Такой код или ПО разрабатывается с целью повредить, разрушить, украсть данные либо причинить вред или совершить незаконные действия в отношении данных, узлов или сетей. К такому типу программного обеспечения можно отнести вирусы, черви и программы-трояны. Сетевые атаки можно разделить на три основные категории: разведывательная атака, атака доступа и атака типа «отказ в обслуживании» (DoS-атака). Четыре класса физических угроз: аппаратное, окружающая среда, электрическое и техническое обслуживание. Три типа разведывательных атак: интернет-запросы, ping развертки и сканирование портов. Четыре типа атак доступа: пароль (грубая сила, троянский конь, анализатор пакетов), использование доверия, перенаправление портов и «человек-в-середине». Два типа атак нарущающих работу сервисов: DoS и DDoS.

Защита от сетевых атак

Чтобы снизить уровень сетевых атак, сначала необходимо обеспечить безопасность устройств, включая маршрутизаторы, коммутаторы, серверы и хосты. Организации используют углубленный подход к защите сети. Такой подход предполагает совместную работу сетевых устройств и сервисов. Для защиты пользователей и активов организации от угроз TCP/IP реализовано несколько устройств и служб безопасности: VPN-маршрутизатор, межсетевой экран ASA, IPS, ESA/WSA и серверы-ААА. Инфраструктурные устройства должны иметь резервные копии файлов конфигурации и образов IOS на FTP или аналогичном файловом сервере. В случае сбоя оборудования компьютера или маршрутизатора данные или конфигурацию можно восстановить с помощью резервной копии. Наиболее действенный метод минимизации последствий атаки вируса-червя — загрузить обновления для системы безопасности с сайта поставщика операционной системы и установить соответствующие обновления на все уязвимые копии систем. Чтобы управлять критически важными исправлениями безопасности, убедитесь, что все конечные системы автоматически загружают обновления. Сочетание служб аутентификации, авторизации и учета — это метод, позволяющий контролировать вход разрешенных пользователей (аутентификация), какие действия они могут выполнять, находясь в сети (авторизация), а также следить за их действиями во время доступа к сети (учет). Межсетевой экран ставится между двумя (или более) сетями и контролирует трафик между ними, а также позволяет предотвратить несанкционированный доступ. Серверы, доступные для внешних пользователей, обычно расположены в специальной сети, называемой DMZ. Брандмауэры используют различные методы для определения того, что разрешен или запрещен доступ к сети, включая фильтрацию пакетов, фильтрацию приложений, фильтрацию URL-адресов и SPI. Защита конечных устройств имеет решающее значение для сетевой безопасности. Компания должна иметь хорошо документированные политики, которые могут включать использование антивирусного программного обеспечения и предотвращение вторжения в хост. Комплексные решения для защиты оконечных устройств используют функции контроля доступа к сети.

Обеспечение безопасности устройств

При установке на устройство новой операционной системы настройки системы безопасности имеют значения по умолчанию. В большинстве случаев этот уровень безопасности является недостаточным. В маршрутизаторах Cisco для обеспечения безопасности системы можно использовать функцию Cisco AutoSecure. Для большинства ОС имена пользователей и пароли по умолчанию должны быть изменены немедленно, доступ к системным ресурсам должен быть ограничен только лицами, уполномоченными использовать эти ресурсы, а любые ненужные службы и приложения должны быть отключены и удалены, когда это возможно. Для защиты сетевых устройств необходимо использовать надежные пароли. Парольную фразу зачастую проще запомнить, чем обычный пароль. Парольная фраза также имеет большую длину, чем простой пароль, и ее сложнее подобрать. Для маршрутизаторов и коммутаторов шифруйте все пароли открытого текста, устанавливая минимально допустимую длину пароля, сдерживайте атаки на угадывание паролей грубой силы и отключайте неактивный доступ в привилегированный режим EXEC по истечении указанного времени. Настройте соответствующие устройства для поддержки SSH и отключите неиспользуемые службы.