понедельник, декабря 24, 2012

Обеспечению безопасности устройств Cisco Systems


Давненько я не писал статей в блог. Пора наверстывать упущенное и, в качестве компенсации за свою лень, раскрою вам несколько секретов (советов), которые позволят сделать ваше оборудование фирмы Cisco более защищенным.

Совет 1 - Всегда ставьте пароли для подключения к вашему коммутатору через консольный порт.

Когда вы только получаете  новый коммутатор, на нем не установлено абсолютно ни каких паролей, то есть подключиться к нему через консоль сможет каждый желающий. Для того чтобы исправить данную ситуацию в простейшем случае выполним в режиме конфигурации следующее:

Switch(config)#line console 0
Switch(config-line)#login
Switch(config-line)#password 123

С помощью данных команд мы переходим к конфигурированию консольной линии оборудования Cisco. С помощью команды login мы указываем циске запрашивать пароль при подключении через консольный порт, а с помощью команды password задаем данный пароль (Естественно он должен быть намного сложнее чем 123). Теперь при подключении к устройству Cisco через консольный порт оно запросит у вас ввести пароль.

Пароль это конечно хорошо, но еще лучше когда запрашивает не только пароль но еще и логин, поэтому более предпочтительно использовать следующую конфигурацию:

Switch(config)#username ciscouser password 123
Switch(config)#line console 0
Switch(config-line)#login local

В данном случае с помощью первой команды мы создаем пользователя с именем ciscouser и паролем 123, а третьей командой указываем устройству использовать локальную базу пользователей. Теперь при подключении к устройству оно будет запрашивать у нас имя пользователя и пароль.




Совет 2 - Всегда ставьте пароль для доступа в привилегированный режим

Если злоумышленник все же смог подключиться к вашему устройству в непривилегированном режиме, то перед ним будет еще одна линия защиты – это пароль для доступа в привилегированный режим.

Для того чтобы задать пароль для доступа в привилегированный режим можно воспользоваться одной из двух команды enable password или enable secret. Данные команды отличаются тем, что первая из них хранит заданный пароль в файле конфигурации в открытом виде, а вторая хеширует пароль и сохраняет в конфиге уже не сам пароль, а только слепок с него.Для примера выполним сразу две команды:

Switch(config)#enable secret 123
Switch(config)#enable password 123

Если теперь мы посмотри наш конфиг, то увидим следующее:

enable secret 5 $1$mERr$3HhIgMGBA/9qNmgzccuxv0
enable password 123

Как и говорилось ранее, пароль заданной с помощью команды enable password хранится в открытом виде, а вместо пароля заданного с помощью enable secret хранится его хеш. Кстати если задать обе эти команды с разными паролями, то для доступа в привилегированный режим будет использоваться пароль, заданный с помощью команды enable secret.

Совет 3 – Для удаленных подключений используйте SSH

Если вы хотите управлять вашим устройством удаленно, то лучше используйте для этих целей SSH, а не Telnet, так как последний передает все данные в не зашифрованном виде. О том как настроить SSH можно прочитать в статье Управление оборудованием Cisco Systems.

Совет 4 – Используйте шифрование паролей хранящихся в конфигурации

По умолчанию все пароли, кроме тех, что заданы с помощью команды enable secret, хранятся в конфигурации в открытом виде. Устройства фирмы Cisco позволяют выполнять их шифрование. Конечно данное шифрование не является супер надежным, и может быть довольно легко расшифровано, но оно позволяет защитить пароли хранящиеся в конфигурации  от случайных ненужных взглядов.Например, рассмотрим фрагмент конфигурации, в котором пароли хранятся в не зашифрованном виде:

enable secret 5 $1$mERr$3HhIgMGBA/9qNmgzccuxv0
enable password 123
!
!
username ciscouser privilege 1 password 0 123

Теперь выполним в режиме конфигурации команду service password-encryption и посмотрим, что станет с нашими паролями:

enable secret 5 $1$mERr$3HhIgMGBA/9qNmgzccuxv0
enable password 7 08701E1D
!
!
username ciscouser privilege 1 password 7 08701E1D

Как легко заметить все пароли, представленные в открытом виде, стали зашифрованными, md5 хеш пароля заданного командой enable secret не подвергся шифрованию. Если внимательно посмотреть, то можно заметить что перед зашифрованными паролями появилась цифра 7. Данная цифра указывает на то что данный пароль был зашифрован с помощью шифрования типа 7, поддерживаемого данным оборудованием.

Совет 5 – Используйте предостерегающее сообщение при подключении к устройству

С помощью команды banner motd можно задать сообщение, которое циска будет отображать подключающемуся пользователю перед тем как запросит у него его логин и пароль.Например, можно выполнить команду banner motd # Hello man# и каждый пользователь подключающийся к устройству увидит следующее:

Hello man
User Access Verification
Username:

Конечно, в тексте banner motd нужно указывать что то более стоящее чем Hello man, например предостережение о том что за несанкционированный доступ к данному устройству придется нести ответственность. Хотя данная мера чисто социального характера, она все же может сыграть свою роль в некоторых случаях.

Совет 6 – Отключайте протокол CDP на все портах пользователей и портах идущих к другим организациям

Протокол CDP следует отключать на всех портах, к которым подключаются пользователи, а также на тех портах к которым подключается оборудование других организаций (например провайдера), так как с помощью данного протокола можно узнать модель вашего оборудования и версию установленной на нем операционной системы. О том, как настраивать протокол cdp можно прочитать в статье Знакомимся спротоколом CDP.

Совет 7 – Отключите работающие на оборудование http сервера

Отключив работающие на Cisco оборудование http сервера вы отключите управление коммутатором через web-интерфейс. Для того чтобы это сделать выполните команды:

Switch(config)#no ip http server
Switch(config)#no ip http secure-server


Совет 8 – Отключите все неиспользуемые интерфейсы оборудования

Представьте себе такую ситуацию: пользователь был подключен к коммутатору и сидел в комнате номер 1, пользователь переехал в комнату 2 и вы настроили для него новый порт коммутатора, но забыли отключить старый. Теперь каждый желающий может подключиться к сетевой розетке в комнате 1 и получить доступ к вашей сети. Для того чтобы отключить интерфейс нужно перейти к его конфигурированию и выполнить команду  shutdown.Пример:

Switch(config)#interface fastEthernet 0/1
Switch(config-if)#shutdown

Совет 9 – Используйте таймеры блокировки

Для каждый линии виртуальных терминалов и консольной линии можно настроить интервал времени ,через который устройство, при бездействии со стороны пользователя, будет завершать текущий сеанс и просить ввести вас логин и пароль снова.Пример:

Switch(config)#line console 0
Switch(config-line)#no exec-timeout 0 20

Данная конфигурация консольной линии попросит пользователя подключенного через консольный порт ввести его логин и пароль заново через 20 секунд простоя.

Совет 10 – При необходимости используйте привязку mac адресов к портам коммутаторов

В некоторых ситуациях может потребоваться сделать так, чтобы к определенным портам коммутатора могли подключаться только устройства с заданными mac адресами, реализовать данную возможность можно следующим образом:

Switch(config)#interface fastEthernet 0/1
Switch(config-if)#switchport port-security
Switch(config-if)#switchport port-security mac-address <тут mac устройства>
Switch(config-if)#switchport port-security violation  restrict

Здесь второй командой мы указываем разрешенный для подключения к данному интерфейсу mac адрес. А третьей командой указываем что делать с устройствами с другими mac адресами при попытке подключения к данному интерфейсу.

На данный момент это все советы, которые приходят мне на ум. Со временем буду добавлять в данную статью новые советы по обеспечению безопасности устройств фирмы Cisco.

7 коммент.:

Зравствуйте, а как Вы считаете пароль "gjkgbpls" считается надежным или нет?

Конечно Виталий, но лучше все же будет 123=)

интересно было прочитать

Рад что вам было интересно=)

Пароли зашифрованные алгоритмом Cisco 7 поддаются расшифровке, в отличие от хеша, в данном случае MD5. Можете сами попробовать на password-decrypt.com (не реклама=)). Над паролем gjkgbpls на русской раскладке поржал... Спасибо за статьи.

Да что же это такое, уже второй раз с комментарием не попадаю! Опять следующая статья об этом =)

Ничего страшного, самое главное что вы читаете статьи! Причем судя по тому, что вы находите неточности, читаете вы их действительно внимательно и вдумчиво!

Отправить комментарий