Professional Documents
Culture Documents
розділ 3 (1) Галицька
розділ 3 (1) Галицька
(с. 91-110)
Розділ 3
Найскладнішим насправді є виявлення порушень з боку працівників компанії, оскільки зазвичай між
працівниками та їх керівниками підтримуються стосунки, що базуються на взаємодовірі. В арсеналі
мережевих порушників чимало методів, що дозволяють здійснити атаку на інфраструктуру
територіальної мережі. Знаючи вразливі точки мережі та правильно сконфігурувавши мережеві
пристрої, щоб потрібним чином забезпечити найкращий захист мережі в цих точках, можна суттєво
посилити захист інфраструктури мережі. У цьому розділі ви дізнаєтесь, як забезпечити захист
інфраструктури територіальної мережі на практиці. Ось перелік певних конкретних загроз, для яких
підтверджено мережеве обладнання:
Щоб отримати доступ до привілейованого рівня (privileged EXEC або enable), необхідно ввести enable
або натиснути <Enter>. Якщо пароль режиму enable було встановлено, маршрутизатор запитає його. У
цьому режимі ім’я хосту маршрутизатора та символ запрошення відображаються у вигляді router#.
Привілейований режим відкриває доступ до більшого набору команд, а також доступ до режиму
глобальної конфігурації, в якому ви можете змінити конфігурацію маршрутизатора. Для
привілейованого режиму можна встановити різні рівні привілегій команд та різні рівні адміністрування.
Управління доступом користувачів до привілейованих рівнів є дуже важливою складовою захисту
маршрутизатора.
Наведемо деякі рекомендації, що стосуються парольного захисту консолі і Telnet, в тому числі правила
вибору надійних паролів і правила керування ними.
Щоб перейти в привілейований режим з непривілейованого, слід діяти так, як показано в прикладі 3.4.
Маршрутизатор запитує пароль привілейованого режиму. В даному прикладі, щоб отримати
привілейований доступ до маршрутизатора, необхідно ввести пароль 2br!2b@?. У відповідь
маршрутизатор відкриває привілейований доступ, на що вказує запрошення "#".
Шифрування паролів
За замовчуванням всі паролі консолі і Telnet зберігаються в маршрутизаторі у відкритому вигляді і тому
виявляються уразливими. Крім того, їх можна перехопити під час сеансу Telnet при введенні пароля
привілейованого доступу або перегляду конфігурації за допомогою команд write terminal або show
running-config привілейованого режиму. Паролі виявляються уразливими і при зберіганні конфігурації
маршрутизатора на сервері TFTP.
Як стане ясно з наступних розділів, є дві можливості приховати паролі, що забезпечуються командами
service password-encryption і enable secret.
Синтаксис Опис
level рівень (Необов'язковий) Визначає рівень привілеїв, для
якого встановлюється пароль. Можна вказати до
16 рівнів привілеїв, використовуючи номери від
0 до 15. Рівень 1 відповідає рівню привілеїв
звичайного користувача привілейованого
режиму. Якщо цей параметр в даній команді
(або у відповідній команді з префіксом no) не
визначений, то для рівня привілеїв за
замовчуванням встановлюється значення 15
(традиційно відповідне вирішення привілеїв). Те
ж вірно і для відповідної команди з префіксом no
пароль Задає пароль, необхідний від користувача для
входу в привілейований режим. Цей пароль
повинен відрізнятися від пароля, створюваного
за допомогою команди enable secret
тип-шифрування (Необов'язковий) Вказує використовуваний в
пристроях Cisco алгоритм, за допомогою якого
виконується шифрування пароля. В даний час
єдиним допустимим значенням для цієї команди
є 7. Якщо цей параметр вказаний, то наступний
параметр повинен задавати шифрований пароль
(пароль, зашифровані маршрутизатором Cisco за
допомогою зазначеного типу шифрування). Якщо
вказано значення 0, пароль слід вводити у
відкритому вигляді
зашифрований-пароль Визначає введений вами шифрований пароль,
копіюється з іншої області конфігурації
маршрутизатора
Попередження
Команда service password-encryption не забезпечує високого рівня захисту. Численні програми зламу
паролів здатні розшифрувати паролі Cisco. При використанні цієї команди вам доведеться вжити
додаткових заходів мережевого захисту.
Якщо можливість шифрування пароля активізована, про введенні команди show running-config пароль
буде показано у зашифрованому вигляді. Ключове слово password 7 вказує на те, що можливість
шифрування паролю активізована, як вказано в прикладі 3.5.
Команда enable password дозволяє задати шифрування пароля з допомогою методу шифрування Cisco.
Як правило, цю опцію слід використовувати тільки для повторного введення неправильно введеного
шифрованого пароля до виходу з привілейованого режиму. Якщо в команді enable password
зазначений тип шифрування пароля, пароль повинен вводитися в зашифрованому вигляді, що
відображається командою show running-config. Якщо ви введете пароль у відкритому вигляді, не
зможете знову ввійти в привілейований режим.
Зауваження
Якщо ви втратите або забудете зашифрований пароль, вам доведеться очистити ЗП (NVRAM) та
встановити новий пароль.
Команда enable secret
Ця команда глобальної конфігурації передбачає застосування схеми одностороннього шифрування на
основі використання функції хешування MD5, що буде описана в розділі 13. Цей метод шифрування
більш надійний, аніж метод, здійснений командою service password-encryption. Команда доступна в
межах Cisco IOS Software версій 10.0(9), 10.2(5), 10.3(2) та наступних. Паролі цієї команди лишаються
вразливими у відношенні перебору всіх варіантів та перебору за словником. Розглянемо синтаксис цієї
команди.
Синтаксис Опис
level рівень (Необов'язковий) Визначає рівень привілеїв, для
якого встановлюється пароль. Можна вказати до
16 рівнів привілеїв, використовуючи номери від
0 до 15. Рівень 1 відповідає рівню привілеїв
звичайного користувача привілейованого
режиму. Якщо цей параметр в даній команді
(або у відповідній команді з префіксом no) не
визначений, то для рівня привілеїв за
замовчуванням встановлюється значення 15
(традиційно відповідне вирішення привілеїв). Те
ж вірно і для відповідної команди з префіксом no
пароль Задає пароль, необхідний від користувача для
входу в привілейований режим. Цей пароль
повинен відрізнятися від пароля, створюваного
за допомогою команди enable secret
тип-шифрування (Необов'язковий) Вказує використовуваний в
пристроях Cisco алгоритм, за допомогою якого
виконується шифрування пароля. В даний час
єдиним допустимим значенням для цієї команди
є 5. Якщо цей параметр вказаний, то наступний
параметр повинен задавати шифрований пароль
(пароль, зашифровані маршрутизатором Cisco за
допомогою зазначеного типу шифрування). Якщо
вказано значення 0, пароль слід вводити у
відкритому вигляді
зашифрований-пароль Визначає введений вами шифрований пароль,
копіюється з іншої області конфігурації
маршрутизатора
Фахівці Cisco радять команду enable secret, оскільки вона передбачає застосування більш
довершеного алгоритму шифрування. Використовуйте команду enable password лише при
завантаженні досить старого ПЗ Cisco IOS або завантажувачів на ПЗУ (до версій 10.3, 4000 та 4000М
маршрутизаторів Cisco), що не розпізнають команду enable secret.
Рис. 3.3. Управління налаштуваннями лінії за допомогою відповідних команд з їх численними опціями
Для управління захистом лінії виявляються корисними й багато інших команд конфігурації. Приклад 3.7
демонструє деякі типи ліній, для яких в Cisco IOS передбачено налаштування багатьох параметрів.
У прикладі 3.8 продемонстровано деякі з ряду параметрів, за допомогою яких здійснюється управління
захистом ліній.
ПРИКЛАД 3.8. ПАРАМЕТРИ УПРАВЛІННЯ ЗАХИСТОМ ЛІНІЙ
router(config)#line console 0
router(config)#line?
Line configuration commands:
absolute-timeout Set absolute timeout for line disconnection
access-class Filter connections based on an IP access list
exec Start an EXEC process
exec-banner Enable the display of the EXEC banner
exec-timeout Set the EXEC timeout
exit Exit from line configuration mode
full-help Provide help to unprivileged user
history Enable and control the command history function
login Enable password checking
logout-warning Set Warning countdown for absolute timeout of line
monitor Copy debug output to the current terminal line
motd-banner Enable the display of the MOTD banner
no Negate a command or set its defaults
priviledge Change privilege level for line
refuse-message Define a refuse banner
session-disconnect-warning Set warning countdown for session-timeout
session-timeout Set interval for closing connection when there is
no input traffic
telnet Telnet protocol-specific configuration
timeout Timeouts for the line
vacant-message Define a vacant banner
Рівень привілеїв для команд задають за допомогою команди privilege level глобальної
конфігурації. Використання цієї команди з префіксом no повертає до рівня
привілеїв, що заданий для відповідної команди за замовчуванням. Синтаксис команди
такий.
Синтаксис Опис
режим Вказує на режим конфігурації. Допустимими
значеннями є exec, configure, line,
interface та ін. режими конф-ї
маршртутизатора
level рівень Призначає рівень привілеїв від 0 до 15, що
пов’язаний із вказаною командою
команда Вказує команду, з якою пов’язується рівнь
привілеїв, що призначається
reset команда Відновлює рівень привілеїв вказаної команди
Рис. 3.4. Використання команди privilege level для створення ієрархії адміністративних рівнів
Ви можете встановити рівень привілегій за замовчуванням для лінії за допомогою команди privilege
level конфігурації лінії, яка має такий синтаксис:
router>enable рівень
У прикладі 3.10 вказано типи активізації лінії, для яких ви можете призначити
банерне повідомлення.
Синтаксис Опис
exec Свідчить про те, що повідомлення повинне з’являтися при створенні процесу
EXEC (наприклад, при активізації консольної лінії чи при їх спробі спробі доступу
до лінії vty)
incoming Свідчить про те, що повідомлення має з’являтися при спробі (асинхронного)
підключення до лінії з боку вузла мережі
login Свідчить про те, що повідомлення має з’являтися під час роботи програми входу
в систему перед пропозицією ввести ім’я користувача та пароль
motd Викликає появу повідомлення MOTD (Message of the Day – спеціальне
повідомлення). З’являється під час входу в систему і виявляється корисним при
потребі поширення інформації, що стосується всіх користувачів мережі
d Задає символ роздільника, яким, наприклад, може бути символ “#”. В тексті
банерного повідомлення символ роздільника використовувати заборонено
повідомлення Задає тест повідомлення
ПРИКЛАД 3.10. ПРИКЛАД СТВОРЕННЯ БАНЕРНОГО ПОВІДОМЛЕННЯ, ЩО
З’ЯВЛЯТИМЕТЬСЯ ПРИ ІНІЦІАЛІЗАЦІЇ КОРИСТУВАЧЕМ ПРОЦЕСУ EXEC
router(config)#banner exec $
Session activated. Enter commands at the prompt.
$
У прикладі 3.12 встановлюється пароль маршрутизатора для привілейованого режиму - такий пароль
користувач повинен вводити після отримання доступу Telnet до лінії vty. У прикладі показаний
фрагмент сеансу Telnet. При цьому відображається банер MOTD. Користувач вводить пароль
shakespeare, необхідний для початку сеансу Telnet. Потім він вводить команду enable і отримує
запрошення ввести пароль режиму enable. Після цього користувач вводить відповідний пароль, а саме
пароль whatLight, і отримує доступ в привілейованому режимі.
“MOTD Banner"
Password: shakespeare
router>enable
Password: whatlight
router#
Розглянемо тепер приклад 3.13, що демонструє використання списку доступу, що дозволяє доступ до
ліній vty з номерами 0-4 лише системі адміністратора з адресою 10.1.1.4. Зауважте, що приклад списку
доступу до ліній vty забезпечується командою access-class.
ОГЛЯД SNMP
SNMP (Simple Network Management Protocol – простий протокол мережевого управління) – це протокол
прикладного рівня, що забезпечує зв’язок між диспетчерами та агентами SNMP.
Зауваження
Керуючий додаток SNMP (диспетчер) разом із ПК, на якому він виконується, називається системою
мережевого управління (Network Management System – NMS).
Доступ до змінних MIB. Ця функція ініціалізовується агентом SNMP у відповідь на запит NMS.
Агент витягує значення потрібної змінної MIB та повертає його системі NMS. Доступ систем NMS
повинен контролюватисяя, аби не допустити доступ порушників до баз MIB з ціллю з’ясування
конфігурації та стану пристроїв.
Як SNMPv1, так і SNMPv2C використовують розподілені (доступні в мережі) форми захисту. Сукупність
дипетчерів, що мають право доступу до бази MIB агента, визначається списком доступу з IP-адресами
та паролями. Підтримка SNMPv2C містить механізм масового пошуку та повернення керуючим
станціям більш детальних повідомлень про помилки.
Щоби налаштувати SNMP в маршрутизаторі, необхідно визначити зв’язок між NMS та відповідним
агентом. Агент SNMP має змінні MIB, значення яких система NMS може запросити або змінити. Система
NMS може отримувати дані від агента та зберігати їх в системі агента. Агент збирає дані баз MIB, що
зберігають інформацію про параметри мережевих пристроїв. Агент може також відповідати на запити
сиситеми NMS про отримання чи зміну даних.
Управління доступом SNMP за допомогою
групових рядків
Існує можливість налаштування групових рядків SNMP, що визначають зв’язки між диспетчером SNMP
та відповідним агентом. Групові рядки схожі на паролі, що дозволяють доступ до агента в
маршрутизаторі. Можна вказати один або кілька наведених нижче об’єктів, пов’язаних із рядком, який
контролює доступ.
Список доступу з IP-адресами систем NMS, котрим дозволено використовувати такий груповий
рядок для отримання доступу до агента.
Представлення бази MIB, що визначає набір усіх об’єктів MIB, що доступні системам цієї групи.
Встановлення доступу читання/запису або лише читання для об’єктів MIB, що доступні для
систем цієї групи.
Щоб визначити груповий рядок, використовуйте таку команду в режимі глобальної конфігурації.
Налаштування маршрутизатора для відсилання переривань SNMP тільки заданим вузлам NMS
здійснюється за допомогою команди snmp-server host вузол trap, а налаштування маршрутизатора для
відсилання інформаційних запитів SNMP тільки заданим вузлам NMS - за допомогою команди snmp-
server host вузол informs.
Команда snmp-server enable traps призначена для того, щоб дати загальний дозвіл використовувати
механізм генерування переривань і інформаційних запитів.
Крім того, можна вказати значення, відмінні від значень за замовчуванням, для числа спроб, інтервалу
ретрансмісії, максимального числа відкладених запитів і IP-адреси джерела. Для цього
використовуються додаткові команди snmp-server informs і snmp-server trap-source в режимі
глобальної конфігурації.
Cisco IOS версії 12.0 пропонує два типи аутентифікації сусіднього вузла - відкриту аутентифікацію і
аутентифікацію MD5. В обох випадках аутентифікація виконується однаково, з тією лише різницею, що
при використанні MD5 пересилається "профіль" ключа аутентифікації, а не сам ключ. Профіль
повідомлення створюється за допомогою ключа і повідомлення, але сам ключ безпосередньо не
пересилається, що виключає можливість його перехоплення. Відкрита аутентифікація передбачає
пересилання ключа аутентифікації по мережі. Налаштування засобів аутентифікації MD5 ми розглянемо
в цьому розділі трохи пізніше, а алгоритм MD5 буде детально розглядатися в розділі 13.