




























































































Study with the several resources on Docsity
Earn points by helping other students or get them with a premium plan
Prepare for your exams
Study with the several resources on Docsity
Earn points to download
Earn points by helping other students or get them with a premium plan
Community
Ask the community for help and clear up your study doubts
Discover the best universities in your country according to Docsity users
Free resources
Download our free guides on studying techniques, anxiety management strategies, and thesis advice from Docsity tutors
Данный документ посвящен вопросам безопасности сетевых устройств, таких как коммутаторы и маршрутизаторы. В нем рассматриваются основные угрозы, методы защиты от них, а также практические примеры настройки безопасности. Документ содержит ценную информацию для специалистов по информационной безопасности, а также для студентов, изучающих сетевые технологии.
Typology: Lecture notes
1 / 142
This page cannot be seen from the preview
Don't miss anything!
От автора
Данная книга является результатом нескольких лет работы в области системной интеграции, а также основана на анализе и переработке огромного количества профессиональной литературы. Руководство носит исключительно информативный характер. Приведенные рекомендации всего лишь личное мнение автора и не являются абсолютной истиной! Я буду придерживаться свободного стиля изложения и возможно у вас иногда будет возникать ощущение, что вы читаете художественную, а не техническую литературу. Надеюсь, что это позволит гораздо легче воспринимать весь материал. Автор имеет техническое образование и совершенно однозначно не может назвать себя писателем. Книга не проходила никакой модерации, поэтому с большой долей вероятности вы встретите как орфографические, так и пунктуационные ошибки. Заранее прошу прощения (буду благодарен, если вы сообщите мне об ошибках в тексте)! Кроме того, хотел бы обратиться к читателям с просьбой не распространять эту книгу в сети Интернет. Автор потратил очень много сил на ее написание. Хоть и небольшой доход от продаж книги позволяет поддерживать и развивать бесплатный проект NetSkills, где и в дальнейшем будут публиковаться бесплатные видео курсы.
О чем эта книга?
Если взять мою предыдущую книгу “Архитектура корпоративных сетей”, то можно узнать практически о всех средствах защиты сети. Однако следует понимать, что в той книге описывается идеальный случай, когда вы не ограничены бюджетом и можете покупать все, что вам нужно. Также стоит помнить, что даже самый дорогой межсетевой экран не сможет защитить вашу сеть, если вы не будете его настраивать должным образом. Информационная безопасность это не результат, это непрерывный процесс. Нельзя установить средства защиты и решить, что теперь ваша сеть безопасна. Вам придется постоянно дорабатывать свою систему защиты. Мы живем в реальном мире и далеко не всегда располагаем нужными средствами в ИТ/ИБ бюджете для закупки тех или иных средств. Что же делать тем, у кого отсутствует какое-либо оборудование для защиты сети? Неужели придется поставить крест на безопасности? Многие так и делают, говоря: “О какой безопасности может идти речь, если компания не хочет или не может выделять средства”. С этой мыслью многие почему-то совершенно забывают о встроенных средствах защиты в обычном сетевом оборудовании, не соблюдают простейшие правила безопасности и оставляют огромные “дыры” в своей сети. Не делайте так. Если вы беретесь за какую-то работу, то делайте ее максимально хорошо, используя все доступные возможности. По работе мне часто приходилось участвовать в очень крупных проектах, где ставилась задача по защите сети в 5-10 тысяч пользователей. Закупалось огромное количество дорого оборудования - межсетевые экраны, системы предотвращения
вторжений, прокси-сервера и т.д. Бюджет проектов исчислялся десятками миллионов рублей. Представьте мое удивление, когда после внедрения таких “дорогущих” проектов обнаруживалось, что на обычном сетевом оборудовании использовались пароли вроде “admin” или “1234” (и эти пароли не менялись годами, даже после смены системных администраторов). Для подключения к коммутаторам использовался незащищенный протокол “Telnet”. В офисах стояли хабы, которые принесли сами пользователи, “потому что им так удобнее”. В корпоративную сеть подключались личные ноутбуки сотрудников. В ИТ инфраструктуре была полная анархия. Таким образом, несмотря на потраченные миллионы, такую сеть мог бы “положить” даже школьник в течении 5 минут. А все из-за безалаберного отношения к обычным коммутаторам и маршрутизаторам, которые обычно никто даже не рассматривает в качестве средств защиты.
В данной книге мы узнаем каким образом можно “закрутить гайки безопасности” на обычных коммутаторах и маршрутизаторах. Попробуем описать лучшие практики по настройке оборудования и процессы, необходимые для обеспечения информационной безопасности.
Для кого эта книга?
Современный работодатель считает (или хочет так считать) что ИТ-специалист и специалист по ИБ, это одно и то же. Безусловно это не так. Это совершенно разные профессии. Но в силу различных обстоятельств (не зависящих от нас), очень часто приходится совмещать эти две профессии. Возможно кого-то возмутит данный факт, но я убежден, что любой уважающий себя ИТ-специалист должен обладать хотя бы элементарными знаниями в области сетевой безопасности и придерживаться некоторых принципов при построении или администрировании сети.
Если перед вами вдруг встала задача обезопасить свою сеть, но тема сетевой безопасности для вас темный лес, то стоит начать именно с этой книги.
Безусловно, это руководство не сделает из вас эксперта в области ИБ. Но мы и не ставим такой цели. Эта книга для тех, кто хочет в кратчайшие сроки улучшить защиту своей сети. Выжмите максимум из имеющегося оборудования, а уж затем можно думать о таких вещах как DLP, SIEM, Proxy, IPS и т.д. Строительство дома всегда начинается с фундамента. В нашем случае, фундамент безопасности - грамотно настроенное сетевое оборудование и выстроенный процесс сопровождения сети. Эта книга будет вам интересна, если вы:
Введение
Информационная безопасность (ИБ). Это очень емкое понятие, которое трактуется по-разному. Но почти всегда эту фразу ассоциируют с чем-то сложным, непонятным и даже раздражающим. Некоторые пользователи вообще ненавидят эту самую безопасность, особенно когда им неожиданно закрыли доступ к любимому сайту или ограничили права на файловом хранилище. Большинство воспринимают ИБ как нечто мифическое, пока сами не столкнутся с неприятностями. А учитывая последние тенденции компьютеризации всего и вся, возможностей у злоумышленников становится все больше, в то время как мы становимся все более и более уязвимыми. Многие часто используют понятие “сетевая безопасность” как синоним “информационной безопасности”. Это в корне не верно. Под сетевой безопасностью мы будем подразумевать защиту нашей ИТ - инфраструктуры от злоумышленников (как внешних так и внутренних), а также защиту от случайных ошибок персонала. Да, опасность исходит не только от хакеров. Наш собственный пользователь представляет не меньшую опасность, сам того не подозревая. Мы начнем с базовых вещей, которые можно сделать “здесь и сейчас”, без серьезного переделывания сети. Уделим внимание типичным ошибкам администраторов сети. Узнаем об основных угрозах для сети и каким образом от них защититься. Рассмотрим лучшие практики по настройке оборудования. К концу книги мы рассмотрим более сложные вещи. Научимся производить простейший аудит сети. Узнаем каким образом разграничивать доступ к корпоративным ресурсам и попробуем разработать свою первую матрицу доступа.
В итоге мы получим некий “чек-лист”, на который следует ориентироваться при построении безопасной сети.
Миф безопасности
Прежде чем продолжишь повествование, я должен сделать небольшое лирическое отступление.
Если вас захотят взломать, вы не сможете этому противостоять. Чтобы вы не делали.
Возможно данный тезис не очень мотивирует к дальнейшему чтению, но нужно правильно понимать смысл этого утверждения. Ни одна система защиты не даст 100% гарантию. Пока вы дочитали до этой строки уже появилось несколько новых (ранее неизвестных) уязвимостей, которые уже кто-то использует с весьма корыстными целями. Обеспечение информационной безопасности похоже на гонку вооружений, вот только хакер всегда на шаг впереди. Всегда будут первые жертвы, после которых появляются описания данных брешей, выходят всевозможные патчи и обновления для
средств защиты. Периодически взламываются такие серьезные структуры как ФБР, Пентагон, ФСБ, Kaspersky, где бюджеты ИБ исчисляются миллиардами, а в службе безопасности работают лучшие из лучших. Но даже они не могут защититься от таргетированных (целенаправленных) атак, когда высококлассный хакер кропотливо пытается подобрать ключик к самой современной системе защиты. Как бы дико не звучало, но даже полностью изолированные сети (отключенные от Интернета) подвержены успешным атакам. Современные вирусы способны внедряться в закрытые сети через флеш-носители сотрудников, собирать нужную информацию и терпеливо ждать, когда они смогут выбраться через те же флешки. Но зачем тогда защищаться, если все так плохо? Но все плохо только на первый взгляд. Процент таких таргетированных атак ничтожно мал, по сравнению с атаками “на дурака”. Подавляющее большинство вторжений в сеть происходит с применением простейших и давно известных приемов. Для воспроизведения таких атак не требуется быть хакером - экспертом. Достаточно скачать специализированные дистрибутивы (например Kali Linux) и воспользоваться уже готовыми программами для взлома. Не нужно глубокое понимание работы стэка TCP/IP, не нужно уметь программировать, не нужно разбираться в современных средствах защиты. Просто скачать дистрибутив, нажать пару кнопок и готово. Можно даже скачать готовый вирус/троян и закинуть его по почте. Наблюдается интересная статистика, в праздничные дни возрастает кол-во атак. Как вы думаете, почему? Из-за студентов и школьников на каникулах, которые пробуют свои силы в хакинге с помощью популярных и весьма доступных утилит. Кроме того, как было сказано выше, угрозу представляют не только внешние “враги”, но и внутренние пользователи. Неосторожные действия могут привести к весьма длительному простою сети, либо открыть окно для внешнего злоумышленника. Поэтому не стоит пенять на отсутствие средств защиты, забывая о грамотной настройке основного сетевого оборудования. Даже на уровне коммутаторов и маршрутизаторов вы сможете отсечь подавляющее большинство опасностей для вашей сети.
установки подобного шкафа, постарайтесь убрать сетевое оборудование в максимально недоступное место: под потолок, на высокий шкаф и т.д. Если же ваше сетевое оборудование находится в неконтролируемой зоне (общие коридоры, лестничные пролеты), то телекоммуникационный шкаф с надежным замком является обязательным условием. Данная мера позволит существенно снизить риск физического доступа злоумышленника к вашей сети. Иными словами - хакер не сможет подключиться патч-кордом к вашему коммутатору. Плюс это может спасти вас от вандалов, которые также представляют угрозу для информационной безопасности. Тоже самое можно сказать про витую пару. Все провода должны проходить в труднодоступных местах, чтобы снизить вероятность злонамеренного внедрения.
Ограничьте физический доступ к вашему сетевому оборудованию, а также кабельной системе. Это снизит риски как случайных, так и целенаправленных вторжений.
Для входа в саму операционную систему Cisco IOS есть два способа: через консольный порт и удаленно (протоколы telnet, ssh, https). Прежде чем рассмотреть вопрос удаленного доступа необходимо описать некоторые моменты, касающиеся входа через консоль и в Cisco IOS в целом. Возможно шкаф с замком не остановил злоумышленника и он получил прямой физический доступ к коммутатору. Первое что он попытается сделать - подключиться по консоли. Именно поэтому очень важно принять меры по защите консольного подключения. Наверняка большинство читателей уже немного знакомы с Cisco IOS, но я все же расскажу несколько базовых вещей. Из соображений безопасности в Cisco IOS существует два режима доступа к командной строке:
пользовательского режима возможно собрать большое количество информации о сети в целом. Приведем простой пример. Пусть наша сеть выглядит следующим образом:
Предположим что злоумышленник подключился по консоли к коммутатору Switch1. Вход в привилегированный режим закрыт паролем. Для просмотра доступных команд ему достаточно набрать знак “? ”:
Switch>? Exec commands: connect Open a terminal connection disable Turn off privileged commands disconnect Disconnect an existing network connection enable Turn on privileged commands exit Exit from the EXEC logout Exit from the EXEC ping Send echo messages resume Resume an active network connection show Show running system information telnet Open a telnet connection terminal Set terminal line parameters traceroute Trace route to destination
Как видим довольно большой список. По умолчанию на всех устройствах Cisco включен протокол CDP. Это проприетарный протокол компании Cisco позволяющий обнаруживать подключенное напрямую сетевое оборудование (опять же компании Cisco). Какую же информацию можно получить набрав команду show cdp neighbors detail?
Switch>show cdp neighbors detail
Device ID: Switch Entry address(es): IP address : 192.168.1. Platform: cisco 2960, Capabilities: Switch Interface: FastEthernet0/1, Port ID (outgoing port): FastEthernet0/
Большинство руководств в сети Интернет описывает процесс установки пароля с помощью команд:
Switch#configure terminal /вход в режим глобальной конфигурации Switch(config)#enable password cisco /установка пароля
Казалось бы, что на этом можно и закончить. Привилегированный режим защищен паролем. Отчасти да. Однако стоит знать, что данный пароль хранится в конфигурации устройства как обычный текст и если использовать команду show run , то можно увидеть следующее:
Switch#show running-config | include enable password enable password cisco /пароль хранится в открытом виде
Чем же это опасно? Возможно вы, как добросовестный администратор, храните резервные копии конфигураций, что вполне логично. Как правило такие резервные копии лежат на FTP либо TFTP сервере. Возможна ситуация, когда злоумышленник получил доступ к этому серверу. Просмотрев конфигурации устройств и найдя пароли, он получит доступ ко всей вашей сети. Другой вариант, когда вы открыли сессию удаленного доступа (telnet, ssh) к одному из коммутаторов, но вас вдруг позвали в другую комнату. Вы оставили окошко с открытой сессией буквально на 2 минуты. Возможно этого времени недостаточно, чтобы внести серьезные изменения в конфигурацию, но этого точно хватит, чтобы ваш коллега или случайный “прохожий” из другого отдела успел подглядеть пароль. Более того, подсмотреть пароль могут просто находясь у вас за спиной, когда вы просматриваете конфигурацию. Очевидно, что пароль нужно хранить в зашифрованном виде. В этом случае в сети Интернет советуют использовать следующую команду:
Switch(config)#service password-encryption
Данная команда призвана шифровать все имеющиеся пароли в конфигурации устройства. Вот так выглядит пароль после применения команды:
Switch#show running-config | include enable password enable password 7 0822455D0A16 /зашифрованный пароль
Как видим пароль уже выглядит совсем иначе. Это так называемые Type 7 пароли. Но и этого недостаточно. Дело в том, что команда service password-encryption использует довольно слабый и широко известный метод шифрования. Данные пароли очень просто поддаются дешифрации. В интернете огромное количество утилит, которые позволяют это сделать. Яркий пример - утилита Cain&Abel. Также доступны онлайн ресурсы (это всего лишь пример и вы можете найти другие сайты используя в google поисковый запрос “cisco type 7 password decrypt”). Давайте попробуем восстановить пароль из нашей зашифрованной последовательности 0822455D0A16.
Пароль успешно восстановлен. Таким образом, если злоумышленник все же смог получить доступ к конфигурации устройства (или возможно он смог запомнить зашифрованный пароль одним лишь взглядом), то он с легкостью расшифрует реальный пароль. Шифрование здесь не помогло. Для решения этой проблемы существует enable secret. Именно эту команду необходимо использовать при задании пароля. Функция secret использует совершенно другой принцип. Вместо шифрования, пароль проходит через определенный алгоритм (MD5) и на выходе получается так называемый hash (хэш).
Это операция в одну сторону. Ее можно сравнить с мясорубкой. Если вы перекрутите кусок мяса в фарш, то обратно кусок мяса вы уже не получите никаким образом. В конфигурации отображается именно hash, который невозможно расшифровать. Для примера давайте зададим пароль и посмотрим, что получится на выходе:
Switch(config)#enable secret cisco Switch#show running-config | include enable enable secret 5 $1$mERr$hx5rVt7rPNoS4wqbXKX7m0 /hash исходного пароля “cisco”
Мы разобрались каким образом задавать пароль на вход в привилегированный режим. Но этого недостаточно. Нам также необходимо защитить и пользовательский режим, как это было описано выше. Для этого требуется настройка аутентификации по учетной записи. В этом случае при входе на устройство (даже с консоли) необходимо ввести логин (login) и пароль. Пример:
User Access Verification
Username: admin Password:
Switch>
Для настройки учетных записей существует два основных способа:
НИКОГДА не используйте стандартные учетные записи. Придумывайте уникальные имена пользователей.
Пример типичных учетных записей: admin, adm, administrator, root, cisco, user, usr и т.д. При брутфорсе почти всегда идет подбор паролей к стандартным именам. Задав уникальное имя учетной записи вы снижаете риск несанкционированного доступа во множество раз. Даже если вы будете использовать стандартный пароль вроде “cisco” или “1234” (хоть я это и не рекомендую), но имя учетной записи будет нестандартным, то злоумышленник не сможет получить доступ методом перебора паролей.
Теперь рассмотрим сам процесс создания учетных записей на устройствах Cisco. Как правило рекомендуют использовать команду:
Switch(config)#username admin privilege 15 password cisco
Никогда так не делайте. Мы уже знаем, что нельзя использовать стандартную учетную запись admin. Для задания пароля здесь используется password , недостатки которого мы уже обсудили выше. Используйте secret. Про пароль комментарии излишни. В этой команде есть еще один параметр, на который обычно не обращают внимания - privilege. Это уровень доступа. По умолчанию в Cisco IOS существует три уровня:
Switch(config)#username worker privilege 2 secret cisco /создаем пользователя Switch(config)#privilege exec level 2 show running-config /определяем доступные команды Switch(config)#privilege exec level 2 ping
Если зайти в систему под пользователем worker , то вам будет доступно всего две команды: show running-config и ping.
Не создавайте учетные записи с уровнем привилегий 15. Пароль учетной записи и пароль на enable должны быть разными!
Гораздо разумнее будет создавать пользователей с уровнем 1, тогда при входе на устройство вы будете попадать в пользовательский режим ( switch> ). Для перехода в привилегированный режим ( switch# ) будет необходимо дополнительно ввести команду enable и пароль. Это позволяет повысить уровень защищенности (злоумышленнику придется угадывать два пароля вместо одного). Таким образом создавая пользователя должна использоваться команда подобная примеру:
Switch(config)#username krok privilege 1 secret пароль