Docsity
Docsity

Prepare for your exams
Prepare for your exams

Study with the several resources on Docsity


Earn points to download
Earn points to download

Earn points by helping other students or get them with a premium plan


Guidelines and tips
Guidelines and tips

Безопасность сетевых устройств: защита от несанкционированного доступа и атак, Lecture notes of Network security

Данный документ посвящен вопросам безопасности сетевых устройств, таких как коммутаторы и маршрутизаторы. В нем рассматриваются основные угрозы, методы защиты от них, а также практические примеры настройки безопасности. Документ содержит ценную информацию для специалистов по информационной безопасности, а также для студентов, изучающих сетевые технологии.

Typology: Lecture notes

2024/2025

Uploaded on 04/03/2025

davlatbek-aktamov
davlatbek-aktamov 🇬🇧

1 document

1 / 142

Toggle sidebar

This page cannot be seen from the preview

Don't miss anything!

bg1
Длятех,ктонезнаетсчегоначать…
Практическая
безопасностьсетей
ОльковЕвгений,2017
blog.netskills.ru
pf3
pf4
pf5
pf8
pf9
pfa
pfd
pfe
pff
pf12
pf13
pf14
pf15
pf16
pf17
pf18
pf19
pf1a
pf1b
pf1c
pf1d
pf1e
pf1f
pf20
pf21
pf22
pf23
pf24
pf25
pf26
pf27
pf28
pf29
pf2a
pf2b
pf2c
pf2d
pf2e
pf2f
pf30
pf31
pf32
pf33
pf34
pf35
pf36
pf37
pf38
pf39
pf3a
pf3b
pf3c
pf3d
pf3e
pf3f
pf40
pf41
pf42
pf43
pf44
pf45
pf46
pf47
pf48
pf49
pf4a
pf4b
pf4c
pf4d
pf4e
pf4f
pf50
pf51
pf52
pf53
pf54
pf55
pf56
pf57
pf58
pf59
pf5a
pf5b
pf5c
pf5d
pf5e
pf5f
pf60
pf61
pf62
pf63
pf64

Partial preview of the text

Download Безопасность сетевых устройств: защита от несанкционированного доступа и атак and more Lecture notes Network security in PDF only on Docsity!

Для тех, кто не знает с чего начать…

Практическая

безопасность сетей

Ольков Евгений, 2017

blog.netskills.ru

  • От автора
  • О чем эта книга?
  • Для кого эта книга?
  • Применение
  • Введение
  • Миф безопасности
    1. Доступ к оборудованию
    • 1.1 Физический доступ
      • 1.1.1 Вход в систему
      • 1.1.2 Задаем пароль на enable
      • 1.1.3 Создание пользователей
      • 1.1.4 Подключение по консоли
      • 1.1.5 Сброс пароля
    • 1.2 Удаленный доступ
      • 1.2.1 VTY
      • 1.2.2 Telnet
      • 1.2.3 SSH
      • 1.2.4 HTTP/S
      • 1.2.5 Ограничение доступа
      • 1.2.6 Списки доступа к оборудованию
      • 1.2.7 Защита от Brute Force
      • 1.2.8 Идентификация устройства
    • 1.3 AAA
      • 1.3.1 RADIUS
      • 1.3.2 TACACS+
      • 1.3.3 RADIUS vs TACACS+
      • 1.3.4 Настройка ААА-сервера
      • 1.3.5 Настройка Authentication
      • 1.3.6 Настройка Authorization
      • 1.3.7 Настройка Accounting
      • 1.3.8 Ограничения ААА
    • 1.4 Парольная политика
    • 1.5 Чек-лист №1
    • 1.6 Пример конфигурации
    1. Лучшие практики
    • 2.1 Logs
      • 2.1.1 Методы сбора логов
      • 2.1.2 Уровни логирования
      • 2.1.3 Console Logging
      • 2.1.4 Buffered Logging
      • 2.1.5 Terminal Logging
      • 2.1.6 Syslog-сервер
      • 2.1.7 SNMP Traps
      • 2.1.8 Безопасность логов
      • 2.1.9 Время
    • 2.2 Лишние сервисы
    • 2.3 Резервная память
    • 2.4 Защищенные протоколы
      • 2.4.1 SCP
      • 2.4.2 SNMP
    • 2.5 Резервные копии
    • 2.6 Логирование команд
    • 2.7 Обновления
    • 2.8 Чек-лист №2
    • 2.9 Пример конфигурации
    1. Защищаем локальную сеть
    • 3.1 Уровень доступа
      • 3.1.1 Сегментация
      • 3.1.2 Неиспользуемые порты
      • 3.1.3 VLAN1
      • 3.1.4 DTP
      • 3.1.5 Trunk - порты
      • 3.1.6 Имена портов и VLAN
      • 3.1.7 Штормы
      • 3.1.8 PortFast
      • 3.1.9 BPDU Guard
      • 3.1.10 Port Security
      • 3.1.11 DHCP snooping
      • 3.1.12 IP Source Guard
      • 3.1.13 Dynamic ARP Inspection
      • 3.1.14 IEEE 802.1X
    • 3.2 Уровень распределения и ядра
      • 3.2.1 STP priority
      • 3.2.2 Root Guard
      • 3.2.3 RSTP
      • 3.2.4 Общие рекомендации
    • 3.3 Чеклист №3
    • 3.4 Пример конфигурации
    1. Управление безопасностью
    • 4.1 Иерархия средств защиты
    • 4.2 Политика безопасности
      • 4.2.1 Верхний уровень
      • 4.2.2 Средний уровень
      • 4.2.3 Нижний уровень
      • 4.2.4 Пример политики безопасности
    • 4.4 Чеклист №4
    1. Управление доступом
    • 5.1 С чего начать?
    • 5.2 Что защищать?
    • 5.3 От чего защищать?
    • 5.4 Как защищать?
    • 5.5 Чем защищать?
    • 5.6 Списки доступа
      • 5.6.1 Матрица прав доступа
      • 5.6.2 Методы назначения прав. RBAC
      • 5.6.3 VLAN и RBAC
      • 5.6.4 Порты
      • 5.6.5 Входящий или исходящий
      • 5.6.6 Два главных подхода
    • 5.7 Лучшие практики
      • 5.7.1 Именованные списки доступа
      • 5.7.2 Логирование правил
      • 5.7.3 Топ-правила
      • 5.7.4 Неиспользуемые правила
      • 5.7.8 Паразитный трафик
    • 5.8 Обратные списки доступа
    • 5.9 Чеклист №5
    • 5.10 Пример конфигурации
    1. Защита периметра
    • 6.1 Stateful Packet Inspection
    • 6.2 Zone-Based Firewall
      • 6.2.1 Подготовка (NetFlow)
      • 6.2.2 Zone
      • 6.2.3 Zone-pair
      • 6.2.4 Class-map
      • 6.2.5 Policy-map
      • 6.2.6 Service-policy
      • 6.2.7 Интерфейсы
      • 6.2.8 DoS
    • 6.3 DMZ
      • 6.3.1 Зачем?
      • 6.3.2 Лишние сервисы
      • 6.3.3 Private VLAN
    • 6.4 Чеклист №6
    • 6.5 Пример конфигурации
  • Заключение

От автора

Данная книга является результатом нескольких лет работы в области системной интеграции, а также основана на анализе и переработке огромного количества профессиональной литературы. Руководство носит исключительно информативный характер. Приведенные рекомендации всего лишь личное мнение автора и не являются абсолютной истиной! Я буду придерживаться свободного стиля изложения и возможно у вас иногда будет возникать ощущение, что вы читаете художественную, а не техническую литературу. Надеюсь, что это позволит гораздо легче воспринимать весь материал. Автор имеет техническое образование и совершенно однозначно не может назвать себя писателем. Книга не проходила никакой модерации, поэтому с большой долей вероятности вы встретите как орфографические, так и пунктуационные ошибки. Заранее прошу прощения (буду благодарен, если вы сообщите мне об ошибках в тексте)! Кроме того, хотел бы обратиться к читателям с просьбой не распространять эту книгу в сети Интернет. Автор потратил очень много сил на ее написание. Хоть и небольшой доход от продаж книги позволяет поддерживать и развивать бесплатный проект NetSkills, где и в дальнейшем будут публиковаться бесплатные видео курсы.

О чем эта книга?

Если взять мою предыдущую книгу “Архитектура корпоративных сетей”, то можно узнать практически о всех средствах защиты сети. Однако следует понимать, что в той книге описывается идеальный случай, когда вы не ограничены бюджетом и можете покупать все, что вам нужно. Также стоит помнить, что даже самый дорогой межсетевой экран не сможет защитить вашу сеть, если вы не будете его настраивать должным образом. Информационная безопасность это не результат, это непрерывный процесс. Нельзя установить средства защиты и решить, что теперь ваша сеть безопасна. Вам придется постоянно дорабатывать свою систему защиты. Мы живем в реальном мире и далеко не всегда располагаем нужными средствами в ИТ/ИБ бюджете для закупки тех или иных средств. Что же делать тем, у кого отсутствует какое-либо оборудование для защиты сети? Неужели придется поставить крест на безопасности? Многие так и делают, говоря: “О какой безопасности может идти речь, если компания не хочет или не может выделять средства”. С этой мыслью многие почему-то совершенно забывают о встроенных средствах защиты в обычном сетевом оборудовании, не соблюдают простейшие правила безопасности и оставляют огромные “дыры” в своей сети. Не делайте так. Если вы беретесь за какую-то работу, то делайте ее максимально хорошо, используя все доступные возможности. По работе мне часто приходилось участвовать в очень крупных проектах, где ставилась задача по защите сети в 5-10 тысяч пользователей. Закупалось огромное количество дорого оборудования - межсетевые экраны, системы предотвращения

вторжений, прокси-сервера и т.д. Бюджет проектов исчислялся десятками миллионов рублей. Представьте мое удивление, когда после внедрения таких “дорогущих” проектов обнаруживалось, что на обычном сетевом оборудовании использовались пароли вроде “admin” или “1234” (и эти пароли не менялись годами, даже после смены системных администраторов). Для подключения к коммутаторам использовался незащищенный протокол “Telnet”. В офисах стояли хабы, которые принесли сами пользователи, “потому что им так удобнее”. В корпоративную сеть подключались личные ноутбуки сотрудников. В ИТ инфраструктуре была полная анархия. Таким образом, несмотря на потраченные миллионы, такую сеть мог бы “положить” даже школьник в течении 5 минут. А все из-за безалаберного отношения к обычным коммутаторам и маршрутизаторам, которые обычно никто даже не рассматривает в качестве средств защиты.


В данной книге мы узнаем каким образом можно “закрутить гайки безопасности” на обычных коммутаторах и маршрутизаторах. Попробуем описать лучшие практики по настройке оборудования и процессы, необходимые для обеспечения информационной безопасности.


Для кого эта книга?

Современный работодатель считает (или хочет так считать) что ИТ-специалист и специалист по ИБ, это одно и то же. Безусловно это не так. Это совершенно разные профессии. Но в силу различных обстоятельств (не зависящих от нас), очень часто приходится совмещать эти две профессии. Возможно кого-то возмутит данный факт, но я убежден, что любой уважающий себя ИТ-специалист должен обладать хотя бы элементарными знаниями в области сетевой безопасности и придерживаться некоторых принципов при построении или администрировании сети.


Если перед вами вдруг встала задача обезопасить свою сеть, но тема сетевой безопасности для вас темный лес, то стоит начать именно с этой книги.


Безусловно, это руководство не сделает из вас эксперта в области ИБ. Но мы и не ставим такой цели. Эта книга для тех, кто хочет в кратчайшие сроки улучшить защиту своей сети. Выжмите максимум из имеющегося оборудования, а уж затем можно думать о таких вещах как DLP, SIEM, Proxy, IPS и т.д. Строительство дома всегда начинается с фундамента. В нашем случае, фундамент безопасности - грамотно настроенное сетевое оборудование и выстроенный процесс сопровождения сети. Эта книга будет вам интересна, если вы:

  1. хотите узнать об основных опасностях для вашей сети;
  2. хотите узнать как от них защищаться;
  3. вам нужны практические советы по защите сети;
  4. хотите стандартизировать настройки безопасности для сетевого оборудования;

Введение

Информационная безопасность (ИБ). Это очень емкое понятие, которое трактуется по-разному. Но почти всегда эту фразу ассоциируют с чем-то сложным, непонятным и даже раздражающим. Некоторые пользователи вообще ненавидят эту самую безопасность, особенно когда им неожиданно закрыли доступ к любимому сайту или ограничили права на файловом хранилище. Большинство воспринимают ИБ как нечто мифическое, пока сами не столкнутся с неприятностями. А учитывая последние тенденции компьютеризации всего и вся, возможностей у злоумышленников становится все больше, в то время как мы становимся все более и более уязвимыми. Многие часто используют понятие “сетевая безопасность” как синоним “информационной безопасности”. Это в корне не верно. Под сетевой безопасностью мы будем подразумевать защиту нашей ИТ - инфраструктуры от злоумышленников (как внешних так и внутренних), а также защиту от случайных ошибок персонала. Да, опасность исходит не только от хакеров. Наш собственный пользователь представляет не меньшую опасность, сам того не подозревая. Мы начнем с базовых вещей, которые можно сделать “здесь и сейчас”, без серьезного переделывания сети. Уделим внимание типичным ошибкам администраторов сети. Узнаем об основных угрозах для сети и каким образом от них защититься. Рассмотрим лучшие практики по настройке оборудования. К концу книги мы рассмотрим более сложные вещи. Научимся производить простейший аудит сети. Узнаем каким образом разграничивать доступ к корпоративным ресурсам и попробуем разработать свою первую матрицу доступа.


В итоге мы получим некий “чек-лист”, на который следует ориентироваться при построении безопасной сети.


Миф безопасности

Прежде чем продолжишь повествование, я должен сделать небольшое лирическое отступление.


Если вас захотят взломать, вы не сможете этому противостоять. Чтобы вы не делали.


Возможно данный тезис не очень мотивирует к дальнейшему чтению, но нужно правильно понимать смысл этого утверждения. Ни одна система защиты не даст 100% гарантию. Пока вы дочитали до этой строки уже появилось несколько новых (ранее неизвестных) уязвимостей, которые уже кто-то использует с весьма корыстными целями. Обеспечение информационной безопасности похоже на гонку вооружений, вот только хакер всегда на шаг впереди. Всегда будут первые жертвы, после которых появляются описания данных брешей, выходят всевозможные патчи и обновления для

средств защиты. Периодически взламываются такие серьезные структуры как ФБР, Пентагон, ФСБ, Kaspersky, где бюджеты ИБ исчисляются миллиардами, а в службе безопасности работают лучшие из лучших. Но даже они не могут защититься от таргетированных (целенаправленных) атак, когда высококлассный хакер кропотливо пытается подобрать ключик к самой современной системе защиты. Как бы дико не звучало, но даже полностью изолированные сети (отключенные от Интернета) подвержены успешным атакам. Современные вирусы способны внедряться в закрытые сети через флеш-носители сотрудников, собирать нужную информацию и терпеливо ждать, когда они смогут выбраться через те же флешки. Но зачем тогда защищаться, если все так плохо? Но все плохо только на первый взгляд. Процент таких таргетированных атак ничтожно мал, по сравнению с атаками “на дурака”. Подавляющее большинство вторжений в сеть происходит с применением простейших и давно известных приемов. Для воспроизведения таких атак не требуется быть хакером - экспертом. Достаточно скачать специализированные дистрибутивы (например Kali Linux) и воспользоваться уже готовыми программами для взлома. Не нужно глубокое понимание работы стэка TCP/IP, не нужно уметь программировать, не нужно разбираться в современных средствах защиты. Просто скачать дистрибутив, нажать пару кнопок и готово. Можно даже скачать готовый вирус/троян и закинуть его по почте. Наблюдается интересная статистика, в праздничные дни возрастает кол-во атак. Как вы думаете, почему? Из-за студентов и школьников на каникулах, которые пробуют свои силы в хакинге с помощью популярных и весьма доступных утилит. Кроме того, как было сказано выше, угрозу представляют не только внешние “враги”, но и внутренние пользователи. Неосторожные действия могут привести к весьма длительному простою сети, либо открыть окно для внешнего злоумышленника. Поэтому не стоит пенять на отсутствие средств защиты, забывая о грамотной настройке основного сетевого оборудования. Даже на уровне коммутаторов и маршрутизаторов вы сможете отсечь подавляющее большинство опасностей для вашей сети.

установки подобного шкафа, постарайтесь убрать сетевое оборудование в максимально недоступное место: под потолок, на высокий шкаф и т.д. Если же ваше сетевое оборудование находится в неконтролируемой зоне (общие коридоры, лестничные пролеты), то телекоммуникационный шкаф с надежным замком является обязательным условием. Данная мера позволит существенно снизить риск физического доступа злоумышленника к вашей сети. Иными словами - хакер не сможет подключиться патч-кордом к вашему коммутатору. Плюс это может спасти вас от вандалов, которые также представляют угрозу для информационной безопасности. Тоже самое можно сказать про витую пару. Все провода должны проходить в труднодоступных местах, чтобы снизить вероятность злонамеренного внедрения.


Ограничьте физический доступ к вашему сетевому оборудованию, а также кабельной системе. Это снизит риски как случайных, так и целенаправленных вторжений.


1.1.1 Вход в систему

Для входа в саму операционную систему Cisco IOS есть два способа: через консольный порт и удаленно (протоколы telnet, ssh, https). Прежде чем рассмотреть вопрос удаленного доступа необходимо описать некоторые моменты, касающиеся входа через консоль и в Cisco IOS в целом. Возможно шкаф с замком не остановил злоумышленника и он получил прямой физический доступ к коммутатору. Первое что он попытается сделать - подключиться по консоли. Именно поэтому очень важно принять меры по защите консольного подключения. Наверняка большинство читателей уже немного знакомы с Cisco IOS, но я все же расскажу несколько базовых вещей. Из соображений безопасности в Cisco IOS существует два режима доступа к командной строке:

  1. Пользовательский режим (User EXEC Mode). Если вы зашли на коммутатор или маршрутизатор и видите приглашение вроде “ Switch> ”, т.е. строка оканчивающаяся на знак “ > ”, то вы именно в пользовательском режиме. Из данного режима невозможно производить настройку оборудования или просмотреть текущую конфигурацию.
  2. Привилегированный режим (Privileged EXEC Mode). В данном режиме приглашение выглядит следующим образом - “ Switch# ”, т.е. заканчивается на знак “ # ”. Для входа в данный режим необходимо ввести команду enable. Из данного режима можно производить настройку оборудования и просматривать конфигурацию. Многие почему-то пренебрегают защитой пользовательского режима и оставляют вход по консоли совершенно открытым, ограничиваясь лишь паролем на привилегированный режим (т.е. пароль на enable ). Казалось бы, из User mode злоумышленник не сможет поправить или просмотреть конфигурацию. Но это безопасно только на первый взгляд. Получив доступ к оборудованию из

пользовательского режима возможно собрать большое количество информации о сети в целом. Приведем простой пример. Пусть наша сеть выглядит следующим образом:

Предположим что злоумышленник подключился по консоли к коммутатору Switch1. Вход в привилегированный режим закрыт паролем. Для просмотра доступных команд ему достаточно набрать знак “? ”:

Switch>? Exec commands: connect Open a terminal connection disable Turn off privileged commands disconnect Disconnect an existing network connection enable Turn on privileged commands exit Exit from the EXEC logout Exit from the EXEC ping Send echo messages resume Resume an active network connection show Show running system information telnet Open a telnet connection terminal Set terminal line parameters traceroute Trace route to destination

Как видим довольно большой список. По умолчанию на всех устройствах Cisco включен протокол CDP. Это проприетарный протокол компании Cisco позволяющий обнаруживать подключенное напрямую сетевое оборудование (опять же компании Cisco). Какую же информацию можно получить набрав команду show cdp neighbors detail?

Switch>show cdp neighbors detail

Device ID: Switch Entry address(es): IP address : 192.168.1. Platform: cisco 2960, Capabilities: Switch Interface: FastEthernet0/1, Port ID (outgoing port): FastEthernet0/

Большинство руководств в сети Интернет описывает процесс установки пароля с помощью команд:

Switch#configure terminal /вход в режим глобальной конфигурации Switch(config)#enable password cisco /установка пароля

Казалось бы, что на этом можно и закончить. Привилегированный режим защищен паролем. Отчасти да. Однако стоит знать, что данный пароль хранится в конфигурации устройства как обычный текст и если использовать команду show run , то можно увидеть следующее:

Switch#show running-config | include enable password enable password cisco /пароль хранится в открытом виде

Чем же это опасно? Возможно вы, как добросовестный администратор, храните резервные копии конфигураций, что вполне логично. Как правило такие резервные копии лежат на FTP либо TFTP сервере. Возможна ситуация, когда злоумышленник получил доступ к этому серверу. Просмотрев конфигурации устройств и найдя пароли, он получит доступ ко всей вашей сети. Другой вариант, когда вы открыли сессию удаленного доступа (telnet, ssh) к одному из коммутаторов, но вас вдруг позвали в другую комнату. Вы оставили окошко с открытой сессией буквально на 2 минуты. Возможно этого времени недостаточно, чтобы внести серьезные изменения в конфигурацию, но этого точно хватит, чтобы ваш коллега или случайный “прохожий” из другого отдела успел подглядеть пароль. Более того, подсмотреть пароль могут просто находясь у вас за спиной, когда вы просматриваете конфигурацию. Очевидно, что пароль нужно хранить в зашифрованном виде. В этом случае в сети Интернет советуют использовать следующую команду:

Switch(config)#service password-encryption

Данная команда призвана шифровать все имеющиеся пароли в конфигурации устройства. Вот так выглядит пароль после применения команды:

Switch#show running-config | include enable password enable password 7 0822455D0A16 /зашифрованный пароль

Как видим пароль уже выглядит совсем иначе. Это так называемые Type 7 пароли. Но и этого недостаточно. Дело в том, что команда service password-encryption использует довольно слабый и широко известный метод шифрования. Данные пароли очень просто поддаются дешифрации. В интернете огромное количество утилит, которые позволяют это сделать. Яркий пример - утилита Cain&Abel. Также доступны онлайн ресурсы (это всего лишь пример и вы можете найти другие сайты используя в google поисковый запрос “cisco type 7 password decrypt”). Давайте попробуем восстановить пароль из нашей зашифрованной последовательности 0822455D0A16.

Пароль успешно восстановлен. Таким образом, если злоумышленник все же смог получить доступ к конфигурации устройства (или возможно он смог запомнить зашифрованный пароль одним лишь взглядом), то он с легкостью расшифрует реальный пароль. Шифрование здесь не помогло. Для решения этой проблемы существует enable secret. Именно эту команду необходимо использовать при задании пароля. Функция secret использует совершенно другой принцип. Вместо шифрования, пароль проходит через определенный алгоритм (MD5) и на выходе получается так называемый hash (хэш).

Это операция в одну сторону. Ее можно сравнить с мясорубкой. Если вы перекрутите кусок мяса в фарш, то обратно кусок мяса вы уже не получите никаким образом. В конфигурации отображается именно hash, который невозможно расшифровать. Для примера давайте зададим пароль и посмотрим, что получится на выходе:

Switch(config)#enable secret cisco Switch#show running-config | include enable enable secret 5 $1$mERr$hx5rVt7rPNoS4wqbXKX7m0 /hash исходного пароля “cisco”

1.1.3 Создание пользователей

Мы разобрались каким образом задавать пароль на вход в привилегированный режим. Но этого недостаточно. Нам также необходимо защитить и пользовательский режим, как это было описано выше. Для этого требуется настройка аутентификации по учетной записи. В этом случае при входе на устройство (даже с консоли) необходимо ввести логин (login) и пароль. Пример:

User Access Verification

Username: admin Password:

Switch>

Для настройки учетных записей существует два основных способа:

  1. Использование локальной базы пользователей. В этом случае учетные записи создаются непосредственно на устройстве и хранятся в его памяти.
  2. Использование AAA-серверов. Все учетные записи хранятся на выделенном сервере. При этом нет необходимости создавать пользователей на сетевом оборудовании. Я категорически не рекомендую использовать первый способ. Он менее безопасен, менее гибок и требует значительного внимания со стороны администратора. Использование локальной базы затрудняет соблюдение парольной политики (о которой мы поговорим чуть позже). Только представьте, что у вас около 30 сетевых устройств. И в компании три администратора с разными правами. Вам придется зайти на каждое устройство и вручную “вбить” учетные записи. Когда придет время менять пароли (а их нужно менять!), то данную процедуру придется повторить. Поэтому я настоятельно рекомендую использовать AAA-сервера (о них мы поговорим в следующей главе). Но и не стоит забывать об адекватности применяемых решений. Как правило AAA-сервер рекомендуется если у вас больше 10 устройств. Если в вашей сети всего 3 - 5 устройств, то установка AAA-сервера будет выглядеть немного странно. Поэтому мы рассмотрим некоторые аспекты использования локальной базы пользователей. Удивительно сколько внимания уделяется сложности паролей, но при этом все забывают про еще один параметр учетной записи - имя пользователя.

НИКОГДА не используйте стандартные учетные записи. Придумывайте уникальные имена пользователей.


Пример типичных учетных записей: admin, adm, administrator, root, cisco, user, usr и т.д. При брутфорсе почти всегда идет подбор паролей к стандартным именам. Задав уникальное имя учетной записи вы снижаете риск несанкционированного доступа во множество раз. Даже если вы будете использовать стандартный пароль вроде “cisco” или “1234” (хоть я это и не рекомендую), но имя учетной записи будет нестандартным, то злоумышленник не сможет получить доступ методом перебора паролей.

Теперь рассмотрим сам процесс создания учетных записей на устройствах Cisco. Как правило рекомендуют использовать команду:

Switch(config)#username admin privilege 15 password cisco

Никогда так не делайте. Мы уже знаем, что нельзя использовать стандартную учетную запись admin. Для задания пароля здесь используется password , недостатки которого мы уже обсудили выше. Используйте secret. Про пароль комментарии излишни. В этой команде есть еще один параметр, на который обычно не обращают внимания - privilege. Это уровень доступа. По умолчанию в Cisco IOS существует три уровня:

  1. Уровень привилегий 0 (privilege 0). Это самый низкий уровень из которого доступны всего несколько команд: disable, enable, exit, help и logout. Используется редко.
  2. Уровень привилегий 1 (privilege 1). Соответствует пользовательскому режиму (т.е. в качестве приглашения в командной строке switch> ). Команды из привилегированного режима недоступны.
  3. Уровень привилегий 15 (privilege 15). Привилегированный режим, где доступны все команды (приглашение в командной строке switch# ). Уровни 2-14 по умолчанию не используются, но команды, относящиеся к уровню 15, могут быть перенесены на один из этих уровней, также как и команды с уровня 1. Данная модель используется для разграничения пользователей в правах в зависимости от их роли. К примеру, администратору Интернет-провайдерской сети нужен доступ ко всем командам, поэтому ему понадобится наивысший уровень привилегий, т.е. 15. Специалистам тех. поддержки из первой линии возможно нужны только команды диагностики (вроде ping или show mac-address-table ), без доступа к командам конфигурации. В таком случае подходит обычный пользовательский режим
  • уровень 1. Остальные уровни (2-14) можно использовать для создания кастомных (индивидуальных) профилей со строго определенным перечнем команд. Пример:

Switch(config)#username worker privilege 2 secret cisco /создаем пользователя Switch(config)#privilege exec level 2 show running-config /определяем доступные команды Switch(config)#privilege exec level 2 ping

Если зайти в систему под пользователем worker , то вам будет доступно всего две команды: show running-config и ping.


Не создавайте учетные записи с уровнем привилегий 15. Пароль учетной записи и пароль на enable должны быть разными!


Гораздо разумнее будет создавать пользователей с уровнем 1, тогда при входе на устройство вы будете попадать в пользовательский режим ( switch> ). Для перехода в привилегированный режим ( switch# ) будет необходимо дополнительно ввести команду enable и пароль. Это позволяет повысить уровень защищенности (злоумышленнику придется угадывать два пароля вместо одного). Таким образом создавая пользователя должна использоваться команда подобная примеру:

Switch(config)#username krok privilege 1 secret пароль