BEZ_2012 / Безопасность_маршрутизатора / Безопасность маршрутизатора
Цель работы: исследование базовых требований безопасности, предъявляемых к маршрутизаторам CISCO, научиться выполнять простейшие настройки безопасности доступа к рабочему режиму и виртуальному терминалу.
Перед тем как вводить в действие маршрутизатор необходимо защитить его, то есть предпринять все возможное для того, чтобы предотвратить использование его не по назначению, как сотрудниками организации, так и злоумышленниками извне. В данной лабораторной работе мы рассмотрим простейшие настройки, которые необходимо выполнить на начальном этапе настройки устройства.
Безопасность доступа к рабочему режиму
Один из необходимых базовых элементов безопасности — это защита доступа
к рабочему режиму (enable mode), в котором пользователь может обращаться
к конфигурации маршрутизатора и загрузочной информации. Нужно
максимально защитить этот режим, предоставив доступ только тем специалистам, которым он действительно необходим.
Откройте PT и перенесите в рабочую область любой маршрутизатор. Откройте окно настройки маршрутизатора и перейдите во вкладку CLI.
Router(config)#enable password kti
Этой командой мы задали пароль KTI. Теперь для того, чтобы включить
на маршрутизаторе привилегированный режим потребуется его ввести. Выйдите из привилегированного режима при помощи команды exit и снова войдите в него при помощи enable.
Пароль рабочего режима предоставляет пользователю доступ ко всей конфигурации маршрутизатора. Это понятие эквивалентно паролю суперпользователя в системах Unix или администратора в Windows.
Проблема такого варианта задания пароля состоит в том, что его можно увидеть в конфигурационных файлах, поэтому он недолго будет оставаться в секрете. Пароли никогда нельзя записывать открытым текстом даже в конфигурационном файле, к которому, как вы думаете, ни у кого нет доступа.
Введите команду Router#show running-config и убедитесь, что ваш пароль хранится в открытом виде. В конфигурации вы увидите строку “enable password kti”.
Для того чтобы решить эту проблему, нужно применить какой-либо вариант
шифрования. Самый простой способ включения механизма шифрования —
Router(config)#service password-encryption
Теперь в конфигурации будет отражаться следующая запись “enable password 7 082A5847”. Убедитесь в этом.
Семерка (7) в выводимых данных команды enable password указывает, что пароль закодирован с применением шифрования уровня 7, а это — очень слабый уровень. В шифровании уровня 7 используется простой алгоритм исключающего ИЛИ, который защищает пароль от случайных взглядов, но не может ничего противопоставить целеустремленному злоумышленнику.
Откройте файл CISCO_7_Type_Decryptor.htm, который расположен в каталоге с лабораторной работой. Введите “082A5847” и нажмите “взломать”, чтобы убедиться в том, как легко дешифровать пароль, закодированный таким образом. Поэкспериментируйте с другими паролями.
Разработчики Cisco предлагают использовать более серьезный уровень шифрования
! Удалим сведения о предыдущем пароле и зададим новый
Router(config)#no enable password
Router(config)#enable secret kti
Эта команда применяет к паролю рабочего режима более серьезный уровень шифрования. Обратите внимание, что в конфигурации теперь отражается строка:
enable secret 5 $1$mERr$BVyaOcJbfZT0p1AqA2Glx1
На этот раз пароль зашифрован при помощи алгоритма хэширования MD5 (на что указывает цифра 5 в конфигурационной информации). Этот алгоритм может оказаться не по силам даже самым целеустремленным взломщикам. Применяемое здесь шифрование можно взломать атакой «в лоб» простым подбором, поэтому рекомендуется ограничивать доступ посторонних даже к шифрованному варианту пароля.
Еще одним способом защиты является назначение уровней привилегий. Уровни привилегий позволяют разрешить или запретить определенным пользователям доступ к определенным командам. Зачастую очень полезно предоставлять пользователям доступ только к некоторым, а не ко всем командам конфигурирования. Например, можно разрешить просмотр конфигурации маршрутизатора без возможности ее изменять.
Чтобы лучше понять уровни привилегий, представьте, что команды обычного пользовательского режима исполнения — это уровень 1, а команды привилегированного режима исполнения относятся к уровню 15.
Сначала создайте пароль для рабочего режима, назначив ему уровень привилегий:
Router(config)#enable secret level 10 nkti
Эта команда присваивает паролю nkti уровень привилегий 10. Теперь
назначьте этому уровню команды, применив команду privilege:
Router(config)#privilege exec level 10 mkdir
Теперь при вводе из непривилегированного режима команды enable 10 маршрутизатор потребует ввести пароль nkti. В этом режиме вы во многом ограниченны, но сможете использовать команду mkdir, позволяющую создавать директории.
Общепринятые меры безопасности
В данном разделе приведены несколько примеров функций маршрутизатора, которые нужно отключить или включить по соображениям безопасности. Откройте схему, прилагающуюся к лабораторной.
Router(config-if)#no cdp enable
Протокол CDP позволяет двум подключенным друг к другу устройствам обмениваться информацией о себе. Совершенно не нужно, чтобы внешние устройства узнали что-либо о вашем маршрутизаторе.
Router(config)#ip route 0.0.0.0 0.0.0.0 null 0 255
Статический маршрут, избавляющий маршрутизатор от пакетов с недопустимыми адресами.
Обеспечивает некоторую защиту паролей.
Router(config)#access-list 10 deny 10.0.0.0 0.255.255.255
Router(config)#access-list 10 deny 172.16.0.0 0.15.255.255
Router(config)#access-list 10 deny 192.168.0.0 0.0.255.255
Router(config)#access-list 10 permit any
Router(config-if)#ip access-group 10 in
Если маршрутизатор получает из-за пределов сети пакет, несущий локальный IP-адрес, то можно быть уверенным, что в лучшем случае он неверен, а в худшем — подделан. В любом случае подобные пакеты нужно удалять, для этого создадим соответствующий список доступа и применим его к внешнему интерфейсу.
В IOS 12.3 разработчики Cisco представили команду, позволяющую установить настройки маршрутизатора автоматически. Для этого служит команда auto secure. После ее применения маршрутизатор задает несколько вопросов, после чего модифицирует конфигурацию наиболее подходящим образом, применяя как можно больше функций повышения безопасности. Выполните команду auto secure в привилегированном режиме и ответьте на заданные вопросы самостоятельно.
Ограничение удаленного доступа к маршрутизатору
Очень важная функция — функция удаленного администрирования; однако она заставляет задуматься о том, как максимально ограничить доступ к устройству, чтобы не допустить проникновения злоумышленников извне. Мы рассмотрим аутентификацию пользователей и пароли, позволяющие разрешить или запретить обращение к маршрутизатору удаленным пользователям посредством протоколов telnet и ssh.
- Соберите схему, изображенную выше. Убедитесь, что компьютеры доступны друг для друга.
- Создайте список доступа, запрещающий подключения с любых адресов кроме 192.168.1.2.
- Настройте доступ по протоколу telnet.
- Введите на PC0 команду telnet 192.168.1.1. Введите пароль.
- Введите на PC1 команду telnet 192.168.2.1. Объясните полученный результат.
- Соберите схему, аналогичную представленной в предыдущем задании.
- Войдите в конфигурационный терминал маршрутизатора. При помощи команд “hostname” и “ip domain-name” самостоятельно задайте произвольное символьное имя маршрутизатора и домен.
- Создайте ключи шифрования
- Создайте уже знакомый по предыдущему заданию список доступа.
- Настройте ssh-доступ.
- Введите на PC0 команду ssh –l user 192.168.1.1. Введите пароль.
- Введите на PC0 команду ssh –l user 192.168.2.1. Объясните полученный результат.