книги хакеры / Trabelsi_Setevye-ataki-i-zashchita_RuLit_Me_676546

Предприятие с интрасетью, которая позволяет его работникам получать доступ к более широкому Интернету, устанавливает брандмауэр, чтобы предотвратить доступ посторонних лиц к своим собственным частным данным и для управления внешними ресурсами, к которым имеют доступ его собственные пользователи. По сути, межсетевой экран проверяет каждый сетевой пакет, чтобы определить, следует ли пересылать его к месту назначения. Поэтому брандмауэры играют важную роль в обеспечении соблюдения политик контроля доступа в современных сетях.

В этой главе обсуждался ряд практических упражнений о реализации правил фильтрации для базовых политик безопасности, фильтрации служб, работающих на нестандартных портах TCP и UDP, проверке согласованности и эффективности правил фильтрации брандмауэров, фильтрации содержимого пакетов, отсутствия состояний. фильтрация пакетов с отслеживанием состояния, а также активный и пассивный режимы FTP.

Глава 8

Безопасность маршрутизатора

8.1 Введение

Важной мерой защиты любой сети является обеспечение безопасного трафика через ее границы. Маршрутизатор - это устройство, которое соединяет одну или несколько сетей вместе и, следовательно, является точкой входа в сеть. Следовательно, маршрутизатор обеспечивает безопасность решений, которые жизненно важны для безопасности любой сети.

В этой главе обсуждается реализация следующих функций безопасности на маршрутизаторе:

* Модель аутентификации, авторизации и учета (Authentication,

Authorization, and Accounting (AAA)): Модель AAA (тройной A)

использует модульный подход и является масштабируемым решением для обеспечения безопасности. Он гибко выполняет политики аутентификации, авторизации и учета. Модель сначала определяет метод службы безопасности, а затем применяет его к различным линиям или консолям. Тем самым он способствует удобству использования, возможности повторного использования и масштабируемости.

* Безопасность сетевых сервисов (Network services security): Одной из наиболее важных задач по усилению безопасности маршрутизатора является отключение ненужных сетевых служб и

273

защита необходимых служб, особенно тех, которые используются для управления устройствами (например, Telnet и HTTP). Атака с использованием анализатора используется для использования уязвимостей сетевых служб открытого текста, а именно Telnet и HTTP. Позже эти уязвимые службы заменяются зашифрованными текстовыми службами SSH (Secure Shell) и HTTPS.

*Фильтрация пакетов с использованием списков контроля доступа

(Packet filtering, using Access Control Lists (ACLs)): Стандарт Internet Engineering Task Force (IETF), установленный в Запросах на комментарии (RFC) 1918 и RFC 2827, используется для описания политик фильтрации. RFC 1918 определяет частные адреса, которые не разрешены в Интернете. В RFC 2827 обсуждается фильтрация входа в сеть для предотвращения атак с использованием IPспуфинга. Кроме того, различные правила фильтрации пакетов настроены так, чтобы разрешать и запрещать различные типы трафика на основе определенной политики.

*Проверка: Общие маршрутизаторы поддерживают проверку фильтрации пакетов с отслеживанием состояния. Эта функция позволяет возвращать трафик в защищенную сеть для прохождения через маршрутизатор на основе информации о состоянии, полученной из прошлых сообщений. Это достигается путем открытия динамической дыры в политике безопасности, которая выполняется с использованием механизма, известного как контекстно-зависимый контроль доступа (CBAC) на маршрутизаторах Cisco.

Эта глава включает практические упражнения по реализации модели AAA, безопасным сетевым сервисам и фильтрации пакетов с отслеживанием состояния на пограничном маршрутизаторе. Маршрутизаторы Cisco широко используются в практических реализациях. Следовательно, практические упражнения используют устройства Cisco для реализации обсуждаемых концепций безопасности. Тем не менее, такие концепции безопасности могут быть применены к продуктам других поставщиков, предлагающих те же функциональные возможности. Для выполнения упражнений используются следующие аппаратные устройства и программные средства:

8.2.1 Результат

Цель данного упражнения - научить студентов изучать функции безопасности маршрутизатора Cisco путем настройки базовой модели AAA.

8.2.2 Описание

Управление доступом к ресурсам сетевого устройства имеет первостепенное значение при рассмотрении сетевой безопасности. Более ранние меры для обеспечения доступа включают пароль линии, пароль ENABLE и локальное имя пользователя. Однако они обеспечивают только базовый уровень аутентификации, который идентифицирует пользователей, вошедших в систему на маршрутизаторе или другом сетевом устройстве. С другой стороны, модель AAA - это обобщенная основанная на политике структура, которая удовлетворяет большинству распространенных проблем в управлении доступом к сети. Он обращается к трем основным службам безопасности любой системы контроля доступа, а именно к аутентификации, авторизации и учету, как независимые функции безопасности.

Authentication (Аутентификация) должна предшествовать авторизации и учету и состоит из двух этапов: идентификация и проверка. Во-первых, пользователь идентифицируется путем отправки учетных данных, таких как имя пользователя и пароль, с помощью ряда вызовов и ответов. Затем эти учетные данные проверяются для подтверждения личности пользователя из авторизованной базы данных. База данных может быть локальной базой данных, которая хранится на сетевом устройстве, или

* HTTP://www.cisco.com

† HTTP://www.tamos.com

это может быть сам маршрутизатор. База данных может быть удаленной базой данных, размещенной на выделенном удаленном сервере AAA. Двумя известными протоколами безопасности, используемыми для связи с удаленным сервером AAA, являются Cisco TACAS + (система контроля доступа контроллера терминального доступа Plus) и RADIUS (удаленный пользовательский сервис удаленной аутентификации), указанные в RFC

2865.

Authorization (Авторизация) следует процессу аутентификации, чтобы обеспечить соблюдение определенных политик для сетевых ресурсов. Это обеспечивает более детальный контроль над привилегиями пользователя для доступа к сетевым ресурсам. Основными ресурсами, доступными для управления доступом на маршрутизаторах Cisco, являются команды IOS. В соответствии с политикой авторизации пользователям назначается определенный уровень привилегий от 0 до 15. При уровне привилегий 0 пользователь не может выполнять никакие команды IOS на маршрутизаторе. Уровень привилегий 1 представляет режим «Пользователь EXEC», который по умолчанию назначается пользователю, который подключается к маршрутизатору. Уровень привилегий 15, который является уровнем привилегий по умолчанию для режима «Privileged EXEC» (режим включения) маршрутизатора, дает пользователю возможность выполнять все команды IOS. Следуя принципу наименьших привилегий, который требует, чтобы пользователи имели доступ только к необходимым ресурсам для своих целей и не более, оставшиеся уровни привилегий назначаются разным пользователям в зависимости от спецификаций их работы. Политики авторизации могут быть определены локально на самом маршрутизаторе или удаленно с использованием серверов AAA.

Accounting (Учет) - это процесс сбора и записи информации о действиях пользователя и сетевых событиях, который может использоваться для целей аудита. Учет происходит после завершения аутентификации и авторизации. Бухгалтерская информация может храниться на самом маршрутизаторе или удаленно на серверах AAA. Примерами учетной информации являются события сеанса входа в систему, выданные команды IOS и количество пакетов.

Это практическое упражнение посвящено объяснению методов аутентификации и авторизации модели AAA с использованием маршрутизатора Cisco IOS. В упражнении представлен пошаговый подход к реализации методов аутентификации и авторизации, которые защищают доступ управления к маршрутизатору Cisco. Локальная база

данных политик аутентификации и авторизации была настроена на маршрутизаторе для назначения пользователям необходимого уровня привилегий. Методы, используемые для управления маршрутизатором, - это консольная линия и Telnet, которые были защищены моделью AAA. Кроме того, были реализованы методы учета не AAA, чтобы показать различные уровни ведения журнала, доступные на маршрутизаторе Cisco

IOS.

8.2.3 Эксперимент

Шаги в следующем эксперименте выполняются с использованием маршрутизатора Cisco 2800 с ОС 12.4 для настройки методов аутентификации и авторизации.

8.2.4 Архитектура сети

Следующий рисунок иллюстрирует сетевую архитектуру эксперимента. Станция управления подключается к маршрутизатору через консольный кабель для выполнения необходимой конфигурации.

8.2.5 Шаги эксперимента

Эксперимент состоит из следующих этапов:

Шаг 1: Основные команды настройки маршрутизатора. Шаг 2: Настройте интерфейс обратной связи.

Шаг 3: Консоль по умолчанию для аутентификации и авторизации. Шаг 4: Telnet аутентификация и авторизация по умолчанию.

Шаг 5: Настройте модель AAA: Аутентификация. Шаг 6: применить аутентификацию к VTY.

8.2.5.1 Шаг 1: Основные команды настройки маршрутизатора

Сначала подключите ноутбук к последовательной консоли маршрутизатора. Введите «enable», чтобы маршрутизатор перешел в режим привилегированного пользователя EXEC. Затем, чтобы отключить поиск DNS, введите «no ip domain lookup» в режиме глобальной конфигурации. Наконец, чтобы синхронизировать сообщения журнала и установить время ожидания консоли в бесконечность, выполните следующие команды:

Используйте команду «alias», чтобы упростить настройку, как показано ниже:

Например, введите команду псевдонима «do b» для отображения краткого представления интерфейсов.

Чтобы исключить неназначенные интерфейсы, введите следующую команду:

8.2.5.2 Шаг 2: Настройте интерфейс обратной связи

Интерфейс обратной связи используется для тестирования Telnet. Чтобы создать петлевой интерфейс, введите следующие команды:

Затем, чтобы отобразить созданный петлевой интерфейс, введите следующие команды:

8.2.5.3 Шаг 3: Консольная аутентификация и авторизация по умолчанию

Чтобы отобразить уровни привилегий различных пользователей, вошедших в систему, введите команду «show privilege». Обратите внимание, что уровень привилегий по умолчанию для режима ENABLE равен 15.

8.2.5.4 Шаг 4: VTY (Telnet) аутентификация и авторизация по умолчанию

Чтобы проверить аутентификацию и авторизацию линии VTY по умолчанию, используйте следующую команду, которая показывает, что для работы соединения Telnet требуется пароль: