Реферат p>
Тема: захист маршрутизатора засобами CISCO IOS p>
Зміст. p>
Вступ 3 p>
Програмне забезпечення маршрутизаторів Cisco 4 p>
Основні інтерфейси 6 p>
Консольні інтерфейси 7 p>
Рішення Cisco Systems для забезпечення мережевої безпеки
8 p>
Користувацький і привілейований рівні доступу
10 p>
Парольний захист 12 p>
Обмеження доступу до маршрутизатора
15 p>
Висновок 16 p>
Список використаних джерел 17 p>
Введення. P>
Компанія Cisco Systems є абсолютним лідером на ринку маршрутизаторів
(займає близько 70% ринку, на другому місці Juniper c 21%). Cisco пропонуємоделі від найпростіших маршрутизаторів для малого офісу (серія 800) домультігігабітних пристроїв, які розміщуються у ядрі Інтернету (серія 12000). p>
Крім маршрутизаторів Cisco відома комутаторами ЛВС марки Catalyst,міжмережевим екранами марки PIX, продуктами для IP-телефонії, продуктамимарки Aironet для організації бездротових мереж і ін З урахуванням всієїноменклатури продукції, що випускається Cisco Systems є лідером світовогоринку обладнання зв'язку (14%, на другому місці Siemens з 11,7 %). p>
Всі моделі, крім серії 800, володіють тим або іншим ступенем модульності, тоє, дозволяють встановлювати змінні інтерфейсні модулі іспеціалізовані обчислювальні модулі (для шифрування або обробкиголоси). Відповідно, ціна пристрою сильно залежить від комплектації.
Широко поширені також пристрої серій 2500 і 4000, але в данийчас вони зняті з виробництва (за винятком моделей 2509 і 2511). Назміну 2500 прийшли маршрутизатори серій 1700 і 2600, а на зміну 4000 - 3600. p>
Програмне забезпечення маршрутизаторів Cisco. p>
Всі маршрутизатори Cisco працюють під управлінням операційної системи
Cisco IOS. Для кожної моделі маршрутизатора пропонуються кількарізновидів IOS. p>
Образи IOS розрізняються за версією. Cisco використовує досить складнусистему ідентифікації версій, ознайомитися з якою можна за цим посиланням. p>
Для студентів достатньо буде наступного розуміння: номер версії Cisco IOSскладається з трьох частин: p>
Номер основного релізу (major release; в даний час зазвичай зустрічаютьсяосновні релізи 11.3, 12.0, 12.1, 12.2). p>
Номер оновлення (maintenance release), починаючи з 1. Оновлення випускаютьсякожні 8 тижнів, в них включаються виправлення помилок. Набір функціональнихможливостей релізу не змінюється. p>
Номер випуску (software rebuild), позначається буквою, починаючи з а. Випускипризначені для екстреного виправлення помилок, що не може чекати донаступного оновлення. p>
Таким чином, IOS 12.2 (6с) - це основний реліз 12.2, оновлення 6, випускc. p>
Кожна версія характеризується ступенем зрілості, як правило це LD
(Limited Deployment) або GD (General Deployment). LD увазі меншийобсяг тестування і досвіду експлуатації в порівнянні з GD. p>
Крім основного ряду IOS існує експериментальний ряд, так званий T -train (чи, офіційно, Technology Releases). Саме в T-train включаютьсянові можливості та проходять "обкатку" до того, як будуть введені восновний ряд. Нумерація версій ряду Т будується аналогічно основному ряду
(тільки випуски нумеруються цифрами): p>
IOS 12.1 (6) T2 - цей T-train базується на основному релізі 12.1. Це другийвипуск шостого поновлення зазначеного T-train. p>
З часом з T-train виходить такий основний реліз (так наприклад,
12.0 (6) Т переходить у 12.1, і в той же момент утворюється ряд 12.1Т длядодавання нових можливостей). Зрілість T-train характеризується як ED
(Early Deployment), що означає, що програмне забезпечення нерекомендується застосовувати на відповідальних ділянках, якщо аналогічнуфункціональність можна знайти у версіях LD або GD. p>
Не всяка версія може бути встановлена на конкретний маршрутизатор вконретного конфігурації; заздалегідь слід проконсультуватися уфахівця компанії-реселлера. p>
Крім версій, образи IOS розрізняються по закладеної в них функціональності.
Функціональні можливості групуються в набори, звані feature sets.
Мінімальна функціональність міститься в IP only feature set (або просто
"IP"); вона включає в себе, зокрема, підтримку IP-інтерфейсів,статичну і динамічну IP-маршрутизацію, підтримку моніторингу тауправління по SNMP. IP Plus feature set включає додаткові можливості
(наприклад, підтримку технології VoIP для передачі голосу). Також єfeature sets з функціями брандмауера (FW, Firewall), системивиявлення атак (IDS), криптозахисту трафіку (IPSEC) та інші, в тому числіє і комбіновані образи, наприклад IP Plus FW IPSEC. Безкоштовно змаршрутизатором поставляється тільки IP only feature set, інші образинеобхідно купувати. Для визначення того, в якому feature set єнеобхідна вам можливість, слід звернутися до фахівця компанії -реселлера. p>
Таким чином, конкретний образ IOS ідентифікується трьома параметрами: p>
апаратна платформа, для якої він призначений, p>
feature set, p>
версія. p>
Приклад імені файлу з образом IOS: c3620-is-mz.122-13a.bin. Це IOS IP Plus
12.2 (13a) для Cisco 3620. Feature set (IP Plus) ідентифікується символами
"is", наступними за позначенням платформи. Інші приклади feature sets:
"i" - IP, "js" - Enterprise Plus, "io" - IP FW. Подібна кодуваннясправедлива для серій 2600, 3600; для інших платформ коди feature setможуть відрізнятися. p>
Букви "mz" означають, що IOS при запуску завантажується в оперативну пам'ять
(m) і що у файлі образ зберігається в стислому вигляді (z). p>
Основні інтерфейси. p>
У кожному маршрутизаторі є деяка кількість фізичних інтерфейсів.
Найбільш поширеними типами інтерфейсів є:
Ethernet/FastEthernet і послідовні інтерфейси (Serial).
Послідовні інтерфейси за своїм апаратного виконання буваютьсинхронні, синхронно-асинхронні (режим вибирається командою конфігурації)і асинхронні (Async). Протоколи фізичного рівня послідовнихінтерфейсів: V.35 (найчастіше використовується на синхронних лініях), RS-232
(найчастіше використовується на асинхронних лініях) та інші. p>
Кожному інтерфейсу відповідає роз'єм на корпусі маршрутизатора.
Інтерфейси Ethernet на кручений парі зазвичай мають роз'єм RJ-45, але надеяких моделях (серія 2500) зустрічаються роз'єми AUI (DB-15), яківимагають підключення зовнішнього трансівера, що реалізує той чи іншийінтерфейс фізичного рівня Ethernet. p>
Послідовні інтерфейси найчастіше забезпечуються фірмовими роз'ємами DB-
60 F або SmartSerial F (останній більш компактний). Для того, щобінтерфейс підключити до зовнішнього обладнання, необхідно використовуватифірмовий кабель - свій для кожного протоколу фізичного рівня. Фірмовийкабель має з одного боку роз'єм DB-60 M, а з іншого боку - роз'ємобраного стандарту фізичного рівня для пристрою DTE або DCE. Такимчином, кабель виконує наступні завдання: p>
шляхом замикання спеціальних контактів в роз'ємі DB-60 сигналізуємаршрутизатора, який обрано протокол фізичного рівня, і яким типомпристрою є маршрутизатор: DTE або DCE; p>
є перехідником з універсального роз'єму DB-60 на стандартний роз'ємобраного протоколу фізичного рівня. p>
Примітка. В термінології Cisco кабель DTE підключається до пристрою DCE,а кабель DCE - до пристрою DTE; тобто тип кабеля вказує, якого виглядупристроєм є сам маршрутизатор, а не той прилад, з яким йогоз'єднує кабель. p>
Зазвичай кабелі DTE використовуються для підключення до маршрутизатора модемів, азв'язка двох кабелів DTE-DCE використовується для з'єднання двохмаршрутизаторів напряму (back-to-back), при цьому, природно, один змаршрутизаторів буде в ролі DCE. На малюнку 2.2 приведений прикладсіпользованія кабедей для з'єднання пристроїв через інтерфейс V.35
(стандартний роз'єм M.34). p>
Крім універсальних послідовних інтерфейсів, які розглядалися вище,існують спеціалізовані послідовні інтерфейси, реалізованіразом з каналоутворювального обладнання: контролери E1, модулі ISDN BRI,модулі DSL, вбудовані аналогові або ISDN-модеми. У цьому випадкупослідовний інтерфейс знаходиться всередині маршрутизатора, "між"каналоутворювального обладнання і ядром маршрутизатора. Для підключенняліній зв'язку до вищезазначеного каналоутворювального обладнання зазвичайвикористовується роз'єм RJ-45 (для підключення ліній до аналогових модемів - RJ-
11). P>
Консольні інтерфейси. P>
Два спеціальних послідовних Інтерефейси - CON і AUX - призначенідля доступу з терміналу адміністратора до маршрутизатора для установки іуправління. Інтерфейс CON напосредственно підключається до COM-портукомп'ютера адміністратора. До інтерфейсу AUX підключається модем, що даєможливість віддаленого управління маршрутизатором шляхом дозвону на модем.
Інтерфейс AUX може бути використаний і як звичайний послідовнийінтерфейс, через який здійснюється маршрутизація дейтаграм, але обрабокапакетів на цьому інтерфейсі вимагає великої частки процесорного часу
(кожен отриманий байт викликає переривання), а швидкість обмежена 115кбіт/с. Інтерфейс CON використовується тільки для термінального доступу домаршрутизатора, параметри COM-порту повинні бути 9600-8-N-1. p>
Зазвичай роз'єми CON і AUX виконані у форматі RJ-45. Підключення до нихпроводиться за допомогою спеціального кабелю RJ45-RJ45, що додається домаршрутизатора. Одним кінцем кабель включається до CON або AUX, а на іншийнадівається перехідник. Для підключення порту CON до комп'ютера на кабельнадівається перехідник, позначений як "TERMINAL", а для підключення порту
AUX до модему з боку модему використовується перехідник "MODEM". P>
Віртуальні інтерфейси. P>
Поряд з фізичними інтерфейсами в маршрутизаторі можуть бути організованівіртуальні інтерфейси: Loopback, Null, Dialer, Virtual-Template,
Multilink, BVI та ін p>
Loopback і Null взагалі ніяк не пов'язані з фізичними інтерфейсами. P>
Loopback - це інтерфейс зворотнього зв'язку, йому можна призначати IP-адресу тавказувати деякі інші параметри, що використовуються при настройкахінтерфейсів. Loopback має наступні властивості: p>
інтерфейс завжди активний (на відміну від фізичних інтерфейсів, де,наприклад, обрив кабелю переводить інтерфейс в відключеному стані); p>
як і у випадку фізичних інтерфейсів, пакети, адресовані на цейінтерфейс, вважаються адресованими маршрутизатора, а уявна IP-мережу,до якої він "приєднаний" (відповідно до своїх адресою і масці), вважаєтьсябезпосередньо приєднаної до маршрутизатора; p>
пакети, маршрутизувати через такий інтерфейс (тобто, спрямовані довузлів уявної мережі, до якої приєднаний Loopback), знищуються. p>
Застосування інтерфейсів Loopback будуть розглянуті по ходу лабораторногопрактикуму. p>
Інтерфейс Null не має IP-адреси та інших параметрів. Пакети,маршрутизувати через інтерфейс типу Null, знищуються. Nullзастосовується при фільтрації дейтаграм, а також для створення захиснихмаршрутів при підсумовуванні маршрутів. p>
Інші віртуальні інтерфейси фактично отримують і відправляють дані черезфізичні інтерфейси, однак в даному випадку IP-інтерфейс більше неасоціюється безпосередньо з фізичним портом маршрутизатора. Порт
(порти), що знаходяться "під" віртуальним інтерфейсом, функціонують тепертільки на рівнях 1 і 2 і їм не присвоюються IP-адреси. p>
Рішення Cisco Systems для забезпечення мережевої безпеки. p>
Компанія Cisco Systems, будучи одним з провідних виробників мережевогообладнання, пропонує повний спектр рішень для забезпечення мережноїбезпеки. Нижче наведено короткий перелік нових продуктів і рішень,які пропонуються в даній області. p>
Для забезпечення захисту мережевих соедненій: Network based IPSec VPN solutionfor Service Providers, VPN AIM Module for Cisco 2600XM, VAM2 Card for
7200s, VPN SM for Cat6500/7600, VPN 3000 Concentrator v4.0, AES Module for
VPN 3000, VPN Client v.4.0. P>
Для управління системою безпеки: Cisco IOS AutoSecure, Cisco Security
Device Manager v1.0, Cisco ISC v3.0, CiscoWorks VMS v2.2, CiscoWorks
Security Information Management Solution (SIMS) v3.1. P>
Для виявлення і запобігання мережних атак і вторгнень: IDS 4215 Sensor,
IDS Network Module for Cisco 2600XM, 3660, 3700 series, Cisco Security
Agents v4.0, Cisco CSS 11501S and WebNS v7.2 SSL s/w, Cisco ACNS Softwareversion 5.0.3 with Websense Content Filtering On-Box. p>
Для достовірної ідентифікації сторін, що беруть участь в захищеному обмініінформацією: Cisco IOS software Identity Enhancements. p>
Network based IPSec VPN solution for Service Providers дозволяєпостачальникам послуг доступу керувати розподіленими мережами на базі MPLS-
VPN, IP-VPN і FR/ATM-VPN за допомогою одного інтегрованого пакетауправління. p>
VPN AIM Module for Cisco 2600XM (AIM-VPN/BPII) надає маршрутизаторафункції апаратної шифрації з підтримкою алгоритмів DES, 3DES і AES ізабезпечує в два рази більш високу продуктивність у порівнянні зпопереднім модулем прискорення шифрації (AIM-VPN/BP) - до 22 Мбіт/сек. p>
VAM2 Card for Cisco 7200 - модуль апаратного прискорення шифрації длямаршрутизаторів серії Cisco 7200. Один модуль забезпечуєпродуктивність шифрації до 260 Мбіт/сек, два модулі - до 460 Мбіт/сек. p>
VPN SM for Cat6500/7600 - сервісний модуль апаратного шифрування длякомутаторів Catalyst 6500/7600. Забезпечуючи продуктивність до 14
Гбіт/сек він також підтримує розширену функціональність - підтримку іприскорення GRE-тунелів, повнофункціональні резервування IPSec-з'єднань
(stateful failover), IPSec Remote Access і можливість підключення WAN -інтерфейсів. p>
VPN 3000 Concentrator v4.0 - нове ПО для концентратора VPN-з'єднань.
З'явилися нові діагностичні функції, підтримка авторизаціїкористувачів через Kerberos/Active Directory, LAN-to-LAN backup длярезервування міжмережевих з'єднань. Також з'явилася підтримка новогомодуля шифрування AES - SEP-E, що підтримує до 10000 одночаснихз'єднань DES/3DES/AES. p>
VPN Client v.4.0 - нова версія ПЗ для клієнтських робочих станцій,працюють через VPN. Інтеграція з Cisco Security Agent надаєкористувачеві функції firewall, зручний і простий графічний інтерфейсполегшує настройку і управління, підтримка додатків, що працюють зпротоколом H.323 дозволяє дистанційно спілкуватися, не турбуючись прозахищеності з'єднання. p>
Cisco IOS AutoSecure - функція інтерфейсу IOS, що дозволяє швидкопровести настройку функцій безпеки, відключити рідко використовуютьсямережеві сервіси і дозволити доступ і керування тільки для авторизованихкористувачів. p>
Cisco Security Device Manager v1.0 - ПЗ керування мережевою безпекою,доступне на всіх моделях маршрутизаторів доступу, від Cisco 830 до Cisco
3700, що дозволяє в реальному часі, віддалено з будь-якою раюбочей станції
(через веб-браузер) змінювати будь-які налаштування безпеки намаршрутизаторі. Вбудований алгоритм аудиту попередить користувача пропотенційно небезпечних налаштуваннях і запропонує варіанти вирішення. p>
Cisco ISC v3.0 - Cisco IP Solution Center дозволяє визначати політикибезпеки для всієї мережі, приховуючи подробиці реалізації політик наконкретних пристроях. Політики дозволяють враховувати схеми реалізаціїмеханізмів LAN-to-LAN VPN, Remote Access VPN, EZ VPN і DMVPN, Firewall, NATі QoS, а ISC реалізує їх на всіх мережевих пристроях, що працюють змеханізмами безпеки (IOS, PIX, VPN3K Concentrator і т.п.). p>
CiscoWorks VPN/Security management Solution 2.2 централізує функціїуправління, моніторингу, обліку, діагностики та оновлення для ПО усіхмережних пристроїв Cisco, що реалізують функції мережевої безпеки.
CiscoWorks Security Information Management Solution (SIMS) v3.1 дозволяєуправляти безпекою в мережах, що використовують обладнання, ПЗ різнихвиробників. p>
IDS 4215 Sensor - окремий пристрій в стояково виконанні, висотою 1 RU,дозволяє організовувати до 5 сенсорів із загальною пропускною спроможністю до
80 Мбіт/сек, які здатні прослуховувати мережевий трафік, відстежуватипотенційно небезпечну активність, вживати дії щодо запобігання тазупинці мережевих атак. p>
IDS Network Module for Cisco 2600XM, 3660, 3700 series - аналогічнепристрій, але призначений для спостереження за трафіком на самому периметрімережі - на маршрутизаторі доступу. Забезпечуючи продуктивність до 45
Мбіт/сек, модуль використовує той же ПО, що і IDS sensor, що дозволяєбудувати гомогенну інфраструктуру безпеки, з єдиним централізованимінтерфейсом управління. p>
Cisco Security Agents v4.0 - "остання лінія" мережевий оборони, ПЗ,встановлюється на робочі станції та сервери. Вони відстежують спробинесанкціонованого доступу до операційної системи, а також стежать заактивністю додатків, у випадку некоректних дій або нестабільноїроботи вони можуть зупинити або запустити додаток або сервіс.
Дані сторінок, повідомлення про підозрілі події пересилаються і накопичуються нацентральній консолі управління. p>
Cisco CSS 11500 Series Content Services Switch - платформа управліннятрафіком на рівнях 4-7, яка дозволяє визначати правила розподілутрафіку, його балансування і резервування. p>
Cisco ACNS Software version 5.0.3 with Websense Content Filtering On-Box --версія 4 цього продукту працювала як дворівнева система, де модульфільтрації розміщувався на пристроях Cisco Content Engine, а набір шаблонів
WebSense для фільтрації - на зовнішньому сервері. Нова версія поєднує обидваелементу на одній платформі (ContentEngine). P>
Cisco IOS software Identity Enhancements - нові функції IOS забезпечуютьнадійну ідентифікацію пристроїв та користувачів, що беруть участь в обмініінформацією по захищених каналах. Підтримка інфраструктури PKI іінтеграція з функціями AAA на серверах, маршрутизаторах і концентраторахдоступу полегшують ідентифікацію в розподіленої мережі з використаннямцифрових сертифікатів і підписів. Secure RSA private key запобігаєвикористання вкрадених маршрутизаторів - в разі спроби розкриття пароляприватні ключі маршрутизатора знищуються. N-tier CA Chaining дозволяєвідстежити ланцюжок довірених сертифікатів, починаючи з найближчого ізакінчуючи центральним (root) certificate authority. Authentication Proxyперевіряє права користувача перед тим як випустити користувача замежі мережі. Secure ARP - зв'язує MAC та IP-адреси пристроїв, не дозволяючипідмінити один з пристроїв в процесі передачі даних. Підтримка 802.1Xвимагає авторизації користувача перед тим як пустити його трафік в мережу. p>
Користувацький і привілейований рівні доступу. P>
Cisco IOS для конфігурації маршрутизатора підтримує інтерфейс командногорядки, працювати з яким можна з термінала, підключеного домаршрутизатора через консольний порт (Console port) або за допомогоювіддаленого доступу по модему і telnet - з'єднання по мережі. Сеанс командноїрядка називається EXEC-сесією. p>
З метою безпеки Cisco IOS забезпечує два рівня доступу до інтерфейсукомандного рядка: призначений для користувача і привілейований. Користувальницькийрівень називається user EXEC режим, а привілейований privileged EXECрежим. p>
Передбачено 16 рівнів привілеїв: від 0 до 15. На нульовому рівні єлише п'ять команд: disable, enable, exit, help, logout. На рівні 15доступні всі можливі команди. p>
Користувацький режим p>
Вид командного рядка має вигляд Router> p>
Цей режим дозволяє тимчасово змінити настройки терміналу, виконатиосновні тести, переглянути системну інформацію і підключитися довіддаленого пристрою. Користувацький режим за замовчуванням має першийрівень привілеї. Набір команд суттєво обмежений. Для переходу наінший рівень привілеїв необхідно ввести команду enable [номер рівня],наприклад p>
Router> enable 7 p>
Команди enable і enable 15 є аналогічними і приводять користувача напривілейований рівень. p>
Привілейований режим p>
Вид командного рядка в має вигляд Router # p>
Набір привілейованих команд встановлює параметри роботи системи.
Користувач має доступ до команд глобальної конфігурації іспеціальним конфігураційних режимам. p>
Можливості для користувача режиму з першим рівнем привілеїв достатньоширокі. З цього режиму можливе виконання "небезпечних" команд, таких якtelnet, connect, tunnel, login і зовсім не потрібних для деякихкористувачів команд traceroute, enable, mstat, mrinfo, а також командгрупи show: show hosts, show versions, show users, show flash: і багатоінші. p>
Права користувачів можна точно керувати: будь-якому користувачеві можнапризначити певний рівень при вході в маршрутизатор, будь-яку командуможна перевести на рівень, відмінний від стандартного. Свого часу у насвиникла задача створення користувача з мінімальними можливостями: заборонакоманди enable, всіх команд групи show і єдиною дозволеною командоюtelnet. Це можливо реалізувати наступним чином: p>
1. Створимо користувача cook з нульовим рівнем привілеїв p>
Router (config) # username cook privilege 0 password 7 044D0908 p>
2. Працювати це буде тільки тоді, коли прописати наступне p>
Router (config) # aaa new-model p>
Router (config) # aaa authorization exec default local none p>
Після реєстрації користувач з ім'ям cook по команді? (список доступнихкоманд) побачить перелік: p>
Router>? P>
Exec commands: p>
Session number to resume p>
disable Turn off privileged commands p>
enable Turn on privileged commands p>
exit Exit from the EXEC p>
help Description of the interactive help system p>
logout Exit from the EXEC p>
Router> p>
Команду enable переведемо на рівень вище (на рівень 1), а виконаннякоманди telnet дозволимо для нульового рівня p>
Router (config) # privilege exec level 1 enable p>
Router (config) # privilege exec level 0 telnet p>
До даних командам діє деякий виняток - їх дія не можнаскасувати за допомогою стандартної команди no. Цей варіант тут не проходить. P>
Router (config) # no privilege exec level 1 enable p>
Router (config) # no privilege exec level 0 telnet p>
Для скасування дії цих команд необхідно ввести наступні команди: p>
Router (config) # privilege exec reset enable p>
Router (config) # privilege exec reset telnet p>
Зараз після реєстрації користувач cook по команді? побачить наступне: p>
Router>? P>
Exec commands: p>
Session number to resume p>
disable Turn off privileged commands p>
exit Exit from the EXEC p>
help Description of the interactive help system p>
logout Exit from the EXEC p>
telnet Open a telnet connection p>
Router> p>
Виконавши всі операції, отримали користувача з наперед заданимиможливостями. p>
Існує такий тип користувачів, для яких необхіднозареєструватися на маршрутизаторі і виконати одну єдину команду
(наприклад, show users). Для цього можна завести на маршрутизаторікористувача з входом без пароля і з виконанням автокомандами. p>
Router (config) # username dream nopassword autocommand show users p>
Після введення імені користувача dream на екран видається інформація проприсутніх в даний момент на маршрутизаторі користувачів. p>
Парольний захист. p>
Згідно з наявними для користувача і привілейованим рівнямидоступу існує два види паролів: username password і enable secret (абоenable password). Обидва типи цих паролів можуть мати довжину до 25 символів,містити в собі різні розділові знаки і пропуски. p>
Пароль типу username password встановлюється з відповідним йому ім'ямкористувача. Здається це в режимі конфігурації наступною командою
(користувач cook з паролем queen): p>
Router (config) # username cook password queen p>
При виведенні конфігурації (за допомогою команди show running-config) на екраніми побачимо наступну інформацію: p>
username cook password 0 queen p>
З цього рядка бачимо, що пароль знаходиться в "відкритому вигляді", тип "0"означає "незашифрований пароль". Якщо уважно подивитися самий початокконфігурації, то можна помітити такий рядок: p>
no service password-encryption p>
Це сервіс шифрування видимої частини пароля. За замовчуванням він відключений.
Правильним вважається (для забезпечення безпеки - від найпростішогопідглядання) включати цей сервіс. p>
Router (config) # service password-encryption p>
Тоді рядок конфігурації про ім'я та пароль користувача буде матидещо інший вигляд, де ми вже не бачимо текст пароля в явному вигляді (тип
"7" - зашифрований пароль): p>
username cook password 7 03154E0E0301 p>
Для входу в privileg EXEC level (привілейований рівень) користувачповинен ввести пароль. При вимкненому сервісі шифрування паролявідповідний рядок у конфігурації буде мати вигляд: p>
enable password queen p>
При включеному ж сервісі шифрування: p>
enable password 7 071E34494B07 p>
Слід зазначити, що даний метод шифрування пароля досить тривіальний,існують скрипти, які за секунду декодує його назад у нормальночитаемое стан. Тому одним з важливих елементів безпеки єріч, з одного боку дуже далека від телекомунікацій і маршрутизаторів --порядок на власному робочому місці. Щоб не були легко доступнимипапірці з записами пароля у відкритому вигляді, а також роздруківок конфігураційроутерів, нехай навіть пароль і буде зашифрований. p>
Найкраща можливість є для шифрування пароля до привілейованогорівню - використання не enable password, а enable secret, в якому длякодування пароля застосовується алгоритм MD5 (тип "5 "): p>
Router (config) # enable secret queen p>
Рядок конфігурації: p>
enable secret 5 $ 1 $ EuWt $ SxHM5UPH3AIL8U9tq9a2E0 p>
Перевага такого шифрування пароля в тому, що його кодуванняпроводиться навіть при відключеному сервісі шифрування (забули включити абоне знали про такий сервіс). Скриптів з розшифровки таких паролів я незустрічав, але їхнє існування цілком імовірно. p>
Обмеження доступу до маршрутизатора. p>
Керувати маршрутизаторами можна віддалено через telnet або локально черезконсольний порт або порт AUX. Звідси випливає два види обмеження доступу домаршрутизатора: локальне і дистанційне. p>
Доступ до маршрутизатора для його конфігурації і моніторингу можепроводитися 6 способами: p>
з терміналу, комп'ютера адміністратора (COM-порт), або терміналусервера через консольний порт маршрутизатора p>
з терміналу, комп'ютера адміністратора (COM-порт), або терміналусервера шляхом дозвону на модем, приєднаний до порту AUX p>
через Telnet p>
за допомогою Unix-команди rsh p>
по протоколу SNMP (community з правом запису - RW) p>
через WWW-інтерфейс (вбудований в маршрутизатор HTTP-сервер) p>
Термінальним сервером називається хост, що має кілька послідовнихасинхронних портів стандарту RS-232 (COM-порти), до яких підключаютьсяконсольні кабелі маршрутизаторів. Оскільки звичайний комп'ютер має 2 COM -порту, то для організації багатопортовий термінального сервера на базі ПКпотрібне встановлення карти розширення з додатковими COM-портами
(наприклад, RocketPort). З устаткування Cisco в якості термінальнихсерверів зазвичай використовуються маршрутизатори Cisco 2509 (8 асинхроннихінтерфейсів) і 2511 (16 асинхронних інтерфейсів); при цьому режиммаршрутизації звичайно відключається (no ip routing). p>
З метою безпеки всі способи доступу, крім консольного, слід поможливості обмежити, а краще - повністю відключити. За замовчуванням rsh і
SNMP відключені, а доступ по Telnet, навпаки, дозволений, причому без пароля.
Статус HTTP-сервера залежить від версії IOS і моделі обладнання. P>
Консольний доступ вже сам по собі фізично обмежений підключеннямконсольного кабелю до термінального сервера. Якщо адміністратор отримуєдоступ до термінального сервера віддалено, то постає завдання захищеногодоступу на термінальний сервер. Найбільш правильний спосіб організаціївіддаленого доступу до термінального сервера - протокол SSH. p>
Локальне обмеження доступу до маршрутизатора p>
По-перше, необхідно спеціальне приміщення з обмеженням доступу дляперсоналу, в якому б знаходилося обладнання. Це рекомендується длятого, щоб стороння людина не мав фізичний доступ до маршрутизатора,тому що при роботі з маршрутизатором через консольний порт або порт AUX мипрацюємо в EXEC сесії без пароля на рівні звичайного користувача. І дляотримання доступу до привілейованого режиму стороння людина можескористатися найпростішим методом відновлення паролів - перезавантаженнямаршрутизатора, вхід в режим ROM-монітора, зміна значення регістраконфігурації, знову перезавантаження маршрутизатора і елементарний вхід упривілейований режим без будь-якого пароля (взагалі-то, це стандартнийметод відновлення забутого пароля для доступу в privileg EXEC mode, алеот може використовуватися і для зовсім протилежної мети). p>
Якщо фізичний доступ до маршрутизатора не може бути досить обмежений,то необхідно встановити пароль на роботу в EXEC режимі по консольномупорту і порту AUX. Взагалі це краще робити завжди, навіть коли маршрутизаторзнаходиться в закритому приміщенні під десятьма замками (а ви впевнені в своїхколег?). Робиться це досить просто й існує мінімум дваоптимальних варіанти: зовсім заборонити вхід в привілейований режим абодозволити вхід з нормальною авторизацією через пароль. p>
Приклад конфігурації, в якій для консольного порту дозволено вхід черезпароль з часом роботи на порту протягом 1,5 хвилин, а для порту AUXзаборонений вхід EXEC режим: p>
aaa new-model p>
aaa authentication login default local p>
line con 0 p>
exec-timeout 1 30 p>
line aux p>
no exec p>
У цій конфігурації при приєднанні до консольного порту ми не відразупотрапимо в user EXEC режим як це відбувається зазвичай, а тільки після введенняпризначеного для користувача ім'я та пароль. Хочу зауважити, що в параметрах командиexec-timeout час задається в хвилинах і секундах (через пробіл), але якщо мизахочемо вказати 0 хвилин і 0 секунд (exec-timeout 0 0), то це не означає,що зовсім не можна буде потрапити на даний порт. А якраз навпаки --користувач буде знаходитися в EXEC режимі нескінченно довго. Це потрібнообов'язково враховувати адміністраторам при конфігурації маршрутизатора.
Самое мінімальний час - 1 секунда (exec-timeout 0 1). P>
Вилучене обмеження доступу до маршрутизатора p>
Зазвичай рекомендується зовсім забороняти віддалений доступ до маршрутизатора поtelnet або ж жорстко обмежувати його. Досягти цього можна завдякизастосування списків доступу. p>
1. Повна заборона доступу по telnet до маршрутизатора p>
access-list 1 deny any p>
line vty 0 4 p>
access-class 1 in p>
2. Доступ до маршрутизатора по telnet дозволений тільки з певного хоста
(створимо розширений список доступу і застосуємо його до інтерфейсу Ethernet
0/0) p>
access-list 101 permit tcp host 140.11.12.73 host 140.11.12.236 eq telnet p>
interface Ethernet0/0 p>
ip address 140.11.12.236 255.255.255.0 p>
ip access-group 101 in p>
Необхідно зауважити, що в списку доступу в структурі "від кого - кому" вяк "кому" прописаний IP адреса інтерфейсу Ethernet 0/0. А також те, щопри даній конфігурації через Ethernet 0/0 більше ніхто нікуди не потрапить,відсікаємо неявним оператором deny any. Тому потрібно буде доповнитисписок доступу необхідними "дозволами". p>
Якщо необхідно конфігурувати маршрутизатор з віддаленого хоста ітермінальний сервер при маршрутизаторі відсутній (наприклад, одиночниймаршрутизатор у віддаленій філії), то замість Telnet слід використовувати
SSH. IPSEC Feature set операційної системи Cisco IOS підтримує роботу
SSH-сервера безпосередньо на маршрутизаторі. IPSEC Feature set маєвисоку вартість, вимагає досить зачітельних ресурсів процесора іпам'яті і реалізує відносно слабкий алгоритм (DES з 40-бітовим ключем).
Підтримка сильного алгоритму (Triple DES з 256-бітовим ключем) пов'язана зподоланням експортних обмежень США. Виходячи з вищесказаного,організовувати адміністративний доступ до маршрутизатора за допомогою IPSEC
Feature set слід тільки при неможливості підключення термінальногосервера (або якщо IPSEC Feature set вже використовується для організації VPN). p>
При доступі до маршрутизатора через WWW-інтерфейс аутентифікаціякористувача HTTP-сервером проводиться за ненадійною технології. Відключення
HTTP-сервера: p>
router (config) # no ip http server p>
Протокол SNMP (принаймні, версій 1 і 2) взагалі не надаєадекватних засобів забезпечення безпеки, тому дозволяти запис через
SNMP категорично не рекомендується. Читання слід вирішити тільки дляадміністративної станції - для цього треба сформувати відповіднийсписок доступу і вказати його в команді активізації SNMP-агента: p>
router (config) # snmp-server community public RO номер_спіска_доступа p>
Висновок. p>
Захист паролем, обмеження локального доступу, зашифровані паролі,розширені списки доступу, облік і запис подій на маршрутизаторахзабезпечують захист від несанкціонованих спроб доступу та протоколюютьінформацію про такі спроби, все це можна реалізувати засобами CISCO
IOS. P>
Список використаних джерел. P>
http://cisco.com/ p>
http://www.mark-itt.ru/CISCO/ITO/ p>
http://telecom.opennet.ru/cisco/security.shtml # part_3 p>
http://athena.vvsu.ru/net/labs/lab02_cisco_2.html # 2.12 p>
p>