- •Глава 16 – Основы сетевой безопасности.
- •16.0 Введение.
- •16.0.1 Почему я должен выполнить этот модуль?
- •16.0.2 Что я буду изучать в этом модуле?
- •16.1 Угрозы безопасности и уязвимости
- •16.1.1 Типы угроз
- •16.1.2 Типы уязвимостей
- •16.1.3 Физическая защита
- •16.1.4 Проверьте свое понимание темы Угрозы и уязвимости ip.
- •16.2 Сетевые атаки
- •16.2.1 Типы вредоносного по
- •16.2.2 Разведывательные атаки
- •16.2.3 Атаки доступа
- •16.2.4 Атаки типа «отказ в обслуживании» (DoS-атаки)
- •16.2.5 Убедитесь, что вы правильно поняли тему - Сетевые атакиНачало формы
- •16.2.6 Лабораторная работа. Изучение угроз безопасности сети
- •Часть 1: Изучение веб-сайта sans
- •Часть 2: Определение новых угроз безопасности сети
- •Часть 3: Подробное описание отдельной угрозы безопасности сети
- •16.3 Защита от сетевых атак
- •16.3.1 Углубленный подход к защите
- •16.3.2 Сохранить резервные копии
- •16.3.3 Резервное копирование, обновление и установка исправлений
- •16.3.4 Аутентификация, авторизация и учет
- •16.3.5 Межсетевые экраны
- •16.3.6 Типы брандмауэров
- •16.3.7 Безопасность оконечных устройств
- •16.3.8 Убедитесь, что вы правильно поняли тему - Нейтрализация сетевых атак
- •16.4 Обеспечение безопасности устройств
- •16.4.2 Пароли
- •16.4.3 Расширенная защита пароля
- •16.4.4 Активация подключения по ssh
- •16.4.5 Отключите неиспользуемые службы
- •16.5.4 Контрольная по модулю - Принципы обеспечения безопасности сети
16.4.2 Пароли
Для защиты сетевых устройств необходимо использовать надежные пароли. Ниже приведены стандартные рекомендации по выбору пароля.
Используйте пароль длиной не менее 8 символов (предпочтительно 10 и более символов). Чем длиннее пароль, тем он надежнее.
Выбирайте сложные пароли. Включайте в пароль комбинацию букв в верхнем и нижнем регистре, цифр, специальных символов и пробелов (если допускается их использование).
Избегайте использования паролей, созданных на основе повторений, обычных слов из словаря, последовательностей букв или цифр, имени пользователя, имен родственников и домашних животных, биографических данных (дата рождения, номер паспорта, имена родителей и другие данные, которые легко выяснить).
Допустите в пароле намеренную ошибку. Например, Ivanov = Ivonov = 1vOnov или Security = 5ecur1ty.
Периодически меняйте пароли. Если пароль был случайно скомпрометирован, возможности использования его злоумышленниками будут ограничены.
Не записывайте пароли на бумаге и не оставляйте их в легко доступных местах (например, на столе или на мониторе).
На рисунке показаны примеры надежных и ненадежных паролей.
Ненадежные пароли
Ненадежный пароль |
Почему пароль ненадежный |
secret |
Простое словарное слово |
smith |
Девичья фамилия матери |
toyota |
Марка автомобиля |
bob1967 |
Имя и год рождения пользователя |
Blueleaf23 |
Простые слова и цифры |
Надежные пароли
Надежный пароль |
Почему пароль надежный |
b67n42d39c |
Сочетание букв и цифр |
12^h u4@1p7 |
Сочетание букв и цифр, специальных символов, а также пробела |
Маршрутизаторы Cisco игнорируют начальные пробелы в паролях, но пробелы после первого символа учитываются. Таким образом, один из способов создать надежный пароль — использовать пробел в пароле и задать фразу, состоящую из нескольких слов. Это называется парольной фразой. Парольную фразу зачастую проще запомнить, чем обычный пароль. Парольная фраза также имеет большую длину, чем простой пароль, и ее сложнее подобрать.
16.4.3 Расширенная защита пароля
Самые надежные пароли полезны ровно до тех пор, пока они никому не известны. Существует ряд действий, которые можно выполнить, чтобы обеспечить сохранность пароля в тайне на маршрутизаторах и коммутаторах включающих следующее:
Зашифруйте все открытые пароли.
Установка минимальной допустимой длины пароля
Предотвращение атак с использованием пароля грубой силы
Отключение доступа к неактивному привилегированному режиму EXEC через определенное время.
Использование команды глобальной конфигурации service password-encryption предотвращает несанкционированный доступ для просмотра паролей в виде обычного текста в файле конфигурации, как показано на рисунке. Команда шифрует все открытые пароли. Обратите внимание на пример, что пароль «cisco» был зашифрован как «03095A0F034F».
Кроме того, чтобы все настроенные пароли имели длину не менее заданного значения, следует использовать команду security passwords min-length в режиме глобальной конфигурации. На рисунке любой новый настроенный пароль должен иметь минимальную длину восьми символов.
Злоумышленники могут использовать программное обеспечение для взлома паролей для атаки грубой силы на сетевое устройство. Эта атака постоянно пытается угадать действительные пароли до тех пор, пока они не сработают. Используйте команду login block-for # attempts # within # глобальной конфигурации для предотвращения такого типа атак. Команда login block-for 120 attempts 3 within 60 будет блокировать попытки входа в систему в течение 120 секунд, если в течение 60 секунд произойдет три неудачных попытки входа.
Сетевые администраторы могут отвлекаться и случайно оставить привилегированный сеанс EXEC открытым на терминале. Это может позволить внутреннему злоумышленнику изменить или стереть конфигурацию устройства.
По умолчанию маршрутизаторы Cisco выйдут из сеанса EXEC после 10 минут бездействия. Однако, этот параметр можно уменьшить с помощью команды конфигурации exec-timeout minutes seconds line. Эту команду можно применить консольные, вспомогательные и vty линии. На рисунке мы говорим устройству Cisco автоматически отключать неактивного пользователя на линии vty после того, как пользователь простаивал в течение 5 минут 30 секунд.
Router(config)# service password-encryption
Router(config)# security password min-length 8
Router(config)# login block-for 120 attempts 3 within 60
Router(config)# line vty 0 4
Router(config-line)# password cisco
Router(config-line)# exec-timeout 5 30
Router(config-line)# transport input ssh
Router(config-line)# end
Router#
Router# show running-config | section line vty
line vty 0 4
password 7 03095A0F034F
exec-timeout 5 30
вход
Router#