Галицька Лілія, КБСТ-11, глава 3, частина 1

(с. 91-110)
Розділ 3

Захист інфраструктури мережі

У цьому розділі йдеться про використання налаштувань маршрутизаторів Cisco IOS та комутаторів
Ethernet, що забезпечують захист інфраструктури територіальної мережі підприємства (кампусу).
Розділ починається обговоренням потенційних загроз захисту мережі, що є типовими в умовах
кампусу. В результаті обговорення стане зрозуміло, як можна удосконалити фізичний доступ до
мережевих пристроїв.

Тут будуть розглянуті проблеми захисту адміністративного інтерфейсу маршрутизаторів та контролю

доступу до мережевих пристроїв Cisco за допомогою протоколу SNMP (Simple Network Management
Protocol – простий протокол мережевого управління), а також питання вибору конфігурації
маршрутизаторів, що дозволяє забезпечити захист файлів конфігурації у серверах TFTP (Trivial File
Transfer Protocol – простий протокол передачі даних). Ба більше, у розділі буде розглянуто
використання страндартних та розширених списків доступу, що дозволяють організувати управління
мережевим потоком маршрутизаторів кампусу. Основними елементами територіальної мережі
підприємства є комутатори Ethernet, тому ми обговоримо питання управління доступом комутаторів
Ethernet до портів на адміністративних інтерфейсів. Ви отримаєте необхідні практичні знання,
вивчивши запропоновані приклади, у яких політика мережевого захисту гіпотетичної компанії XYZ
подається у термінах відповідних команд конфігурації маршрутизатора мережі.

Проблема захисту територіальної мережі та варіанти

вирішення
Інфраструктура територіальної мережі підприємства (кампусу), що містить маршрутизатори Cisco та
комутатори Ethernet, вразлива в питанні загроз від зовнішніх та внутрішніх порушників. Порушниками,
що створюють загрози, можуть бути такі особи:

 Службові, що виявляють надмірну допитливість чи охочі отримати доступ до захищених

ділянок мережі.
 Службові або користувачі, що ненавмисно вдаються до дій, що можуть порушити мережевий
захист.
 Вороже налаштовані звільнені службовці.
 Шпигуни, що мають на меті виявити внутрішню інформацію компанії.

Найскладнішим насправді є виявлення порушень з боку працівників компанії, оскільки зазвичай між
працівниками та їх керівниками підтримуються стосунки, що базуються на взаємодовірі. В арсеналі
мережевих порушників чимало методів, що дозволяють здійснити атаку на інфраструктуру
територіальної мережі. Знаючи вразливі точки мережі та правильно сконфігурувавши мережеві
пристрої, щоб потрібним чином забезпечити найкращий захист мережі в цих точках, можна суттєво
посилити захист інфраструктури мережі. У цьому розділі ви дізнаєтесь, як забезпечити захист
інфраструктури територіальної мережі на практиці. Ось перелік певних конкретних загроз, для яких
підтверджено мережеве обладнання:

 Можливість доступу до консолі пристроїв та портів Telnet;

 Можливість доступу до файлів конфігурації маршрутизаторів та паролів;
 Можливість доступу до даних конфігурації пристроїв та з’ясування топології внутрішньої мережі
завдяки засобам SNMP;
 Можливість з’ясування топології внутрішньої мережі завдяки перехопленню оновлень
маршрутизації;
 Можливість переспрямування потоку даних за допомогою фальсифікованих оновлень
маршрутизації;
 Можливість доступу до закритих даних внутрішньої мережі;
 Можливість доступу HTTP (Hypertext Transfer Protocol – протокол передавання гіпертекстових
файлів) до маршрутизаторів;
 Можливість несанкціонованого доступу через комутатори Ethernet.

На рис. 3.1 продемонстровано інфраструктуру територіальної мережі компанії XYZ – мережі, що

описуватиметься у цьому розділі. Інфраструктура цієї мережі містить дві внутрішні підмережі – мережі
збуту та мережі виробничого підрозділу. Кожна підмережа містить маршрутизатор Cisco (він
забезпечує захист потоку даних мережі) та комутатори Ethernet. Окрім того, в кожній із них є
розташовані в межах відповідного підрозділу комп’ютери-клієнти та мережеві сервери, що потребують
захисту.

З’ясування проблеми захисту інфраструктури територіальної мережі підприємства полягає у виборі

правильної конфігурації мережевої інфраструктури відповідно до політики захисту, що враховує
реальні загрози цієї мережі. Точки вразливості інфраструктури мережі, для яких необхідно забезпечити
захист, добре відомі, а також відомі методи протидії відповідним загрозам. Конфігурація пристроїв, що
забезпечує захист інфраструктури мережі, складається із ряду компонентів:

 Захист фізичних пристроїв;

 Захист адміністративного інтерфейсу;
 Захист зв’язків між маршрутизаторами;
 Захист комутаторів Ethernet.
Рис. 3.1. Інфраструктура територіальної мережі компанії XYZ, що містить дві внутрішні підмережі,
що потребують захисту

Захист фізичних пристроїв

Фізичний доступ до мережевого обладнання може забезпечити досвідченому користувачу можливість
практично цілковитого контролю над ним. Фізичний доступ до лінії зв’язку дає можливість
перехоплювати повідомлення, що надходять, або впроваджувати в лінію додаткові дані. Немає
жодного сенсу встановлювати складні програмні засоби захисту, якщо не контролюється доступ до
мережевого обладнання та ліній зв’язку. Скажімо, особа, що має можливість фізичного доступу до
маршрутизатора, фактично має доступ до консольного порту і може перевстановити системний пароль,
в результаті чого буде отримано право повного доступу до маршрутизатора і, можливо, до інших
мережевих пристроїв. Необхідно забезпечити захист мережевого обладнання шляхом вирішення таких
завдань.

 Вибір правильної конфігурації обладнання та політики контролю. Варто розробити план

політики захисту мережі у відношенні мережевого обладнання та ліній зв’язку. Необхідно
також регулярно виконувати перевірки стану захисту, щоб гарантувати необхідний рівень
фізичного захисту.
  Обмеження доступу до обладнання та забезпечення надійності його електроживлення та
охолодження. Варто потурбуватися про правильне розташування обладнання. Розташуйте
обладнання в приміщеннях, що мають засоби фізичного контролю доступу (наприклад,
електронні замки ідентифікаційними картками або навіть звичайні замки). Ретельно
контролюйте право працівників мати відповідні ключі та доступ до таких кімнат. Потурбуйтесь
про те, щоб для важливого обладнання були альтернативні джерела живлення. Можна
встановити для такого обладнання джерела безперебійного живлення (ДБЖ). Потурбуйтесь
також про те, щоб охолодження обладнання було достатньо інтенсивним для попередження
перегрівання.
 Контроль прямого доступу до всього мережевого обладнання. Закрийте корпуси обладнання
на замки або розташуйте обладнання в комірках стійок, що закриваються на замки. Дозвольте
доступ до контрольного порту лише обмеженій кількості чітко контрольованих осіб.
Потурбуйтесь про те, щоб доступ до обладнання не можна було здійснити через розкладні
стелі чи підлоги відповідних кімнат.
 Забезпечення захисту ліній зв’язку. Переконайтеся в тому, що всі комунікаційні лінії та
мережеві шнури захищені від прослуховування, а розподільчі шафи надійно зачинені. Постійно
перевіряйте обладнання, щоб не припустити несанкціоноване під’єднання модемів до
консольних портів.
 Розробка плану відновлення системи у разі катастрофи. Розробіть план відновлення
дієздатності системи, що відповідає умовам розміщення вашого підприємства.

Захист адміністративного інтерфейсу

Однією з головних точок атак порушників є адміністративний інтерфейс маршрутизаторів Cisco,
комутаторів Ethernet та серверів мережевого доступу. Якщо порушник зможе отримати доступ до
адміністративного інтерфейсу пристрою, він зможе з’ясувати конфігурацію відповідного пристрою,
змінити її відповідно своїх цілей та отримати право управління цим пристроєм чи право доступу до
інших елементів мережевого обладнання, пов’язаних з цим пристроєм. Захист адміністративного
інтерфейсу маршрутизаторів Cisco містить ось що:

 Захист доступу до консолі;

 Використання шифрування паролів;
 Детальні налаштування параметрів ліній звязку;
 Використання багаторівневої системи привілегій доступу;
 Використання інформаційних банерів пристроїв;
 Управління доступом Telnet;
 Управління доступом SNMP.

Захист доступу до консолі

Консоль являє собою термінал, пов'язаний безпосередньо з маршрутизатором через консольний порт,
як показано на рис. 3.2. Захист консолі означає вимогу до користувачів ідентифікувати себе шляхом
введення паролів. У конфігурації маршрутизатора, яка встановлюється за умовчанням, паролі консолі
не призначаються, і спочатку в діалоговому вікні настройки конфігурації установка відповідного пароля
не потрібно. Тому необхідно встановити цей пароль за допомогою команд зміни конфігурації.
Фізичний захист маршрутизатора забезпечити дуже важливо, так як при відсутності такого захисту
порушник може встановити свій пароль, викликавши спочатку перезавантаження, а потім натиснувши
клавішу <Break>, щоб ініціалізувати процес оновлення пароля. Паролі можуть призначатися
безпосередньо в маршрутизаторі або ж вони можуть контролюватися віддаленою базою даних захисту
(як це реалізовано, наприклад, в сервері управління доступом CiscoSecure ACS), поряд з процесами ААА
(аутентифікації, авторизації та аудиту) Cisco IOS.

Рис. 3.2. Термінал, пов’язаний із консольним портом маршрутизатора

Маршрутизатори Cisco можуть працювати у різних режимах. Спершу ви отримуєте доступ до

консольного порту в режимі користувача (user EXEC). Якщо пароль рівня користувача, тобто, пароль
сеансу (login password), було встановлено, вам буде запропоновано його ввести. У режимі користувача
маршрутизатор відображає ім’я хоста маршрутизатора та символ запрошення у вигляді router>. В
режимі користувача можна використовувати ряд команд, список яких можна отримати у результаті
введення ? або help.

Щоб отримати доступ до привілейованого рівня (privileged EXEC або enable), необхідно ввести enable
або натиснути <Enter>. Якщо пароль режиму enable було встановлено, маршрутизатор запитає його. У
цьому режимі ім’я хосту маршрутизатора та символ запрошення відображаються у вигляді router#.
Привілейований режим відкриває доступ до більшого набору команд, а також доступ до режиму
глобальної конфігурації, в якому ви можете змінити конфігурацію маршрутизатора. Для
привілейованого режиму можна встановити різні рівні привілегій команд та різні рівні адміністрування.
Управління доступом користувачів до привілейованих рівнів є дуже важливою складовою захисту
маршрутизатора.

Встановлення паролів консолі

Можна встановити паролі як для режиму користувача, так і для привілейованого режиму. Паролі
консолі можуть включати до 25 буквено-цифрових символів як верхнього, так і нижнього регістрів.

Наведемо деякі рекомендації, що стосуються парольного захисту консолі і Telnet, в тому числі правила
вибору надійних паролів і правила керування ними.

 Призначайте паролі при першому ж встановленні системи. Не використовуйте паролі,

встановлені за замовчуванням.
 Переконайтеся, що привілейований пароль відрізняється від пароля доступу.
  Використовуйте паролі зі змішаним набором символів (не обмежуйтеся
тільки буквами нижнього і верхнього регістрів), щоб максимально ускладнити
порушнику завдання злому пароля.
 Не записуйте паролі і не зберігайте їх там, де вони можуть бути легко знайдені.
 Не використовуйте паролі, що легко вгадати на кшталт імен домашніх тварин, адрес або днів
народження.
 Щоякнайчастіше змінюйте паролі.
 Ніколи не використовуйте паролі типу "cisco" або "san-fran", так само як і інші
очевидні похідні відомих слів в умовах реального підприємства. Такі паролі обов'язково будуть
перевірені порушниками, якщо останні виявлять запрошення входу в систему Cisco.

Пароль користувацького режиму

Пароль консолі для режиму користувача встановлюється у файлі конфігурації маршрутизатора за
допомогою команд, показаних в прикладі 3.1. У паролі розрізняються символи верхнього і нижнього
регістрів. В даному прикладі паролем є ruHamlet.

ПРИКЛАД 3.1. ВСТАНОВЛЕННЯ ПАРОЛЮ КОНСОЛІ ДЛЯ РЕЖИМУ ПОЧАТКУ

СЕАНСУ
router(config)#line console 0
router(config-line)#login
router(config-line)#password ruHamlet

При вході в систему маршрутизатора з встановленим паролем початку сеансу,

запрошення маршрутизатора буде виглядати подібно показаному в прикладі 3.2.

ПРИКЛАД 3.2.ВИД ЗАПРОШЕННЯ МАРШРУТИЗАТОРА ЗІ ВСТАНОВЛЕНИМ

ПАРОЛЕМ ПОЧАТКУ СЕАНСУ
User Access Verification
Password:ruHamlet
router>

У цьому прикладі, щоб отримати непривілейований доступ до маршрутизатора, необхідно ввести

пароль ruHamlet. У відповідь маршрутизатор відкриває режим користувача, на що вказує запрошення
">". В цьому режимі є можливість ввести ряд команд, що дозволяють отримати інформацію про роботу
маршрутизатора, але немає можливості змінити його конфігурацію.

Пароль привілейованого режиму

Пароль привілейованого режиму встановлюється в файлі конфігурації маршрутизатора в режимі
глобальної конфігурації за допомогою команд, показаних в прикладі 3.3. У цьому прикладі пароль
вказується у вигляді відкритого тексту 2br!2b@?.

ПРИКЛАД 3.3. ВСТАНОВЛЕННЯ ПАРОЛЮ ДЛЯ РЕЖИМУ ENABLE

router(config)#enable password 2br12b@?

Щоб перейти в привілейований режим з непривілейованого, слід діяти так, як показано в прикладі 3.4.
Маршрутизатор запитує пароль привілейованого режиму. В даному прикладі, щоб отримати
привілейований доступ до маршрутизатора, необхідно ввести пароль 2br!2b@?. У відповідь
маршрутизатор відкриває привілейований доступ, на що вказує запрошення "#".

ПРИКЛАД 3.4. ВИХІД В ПРИВІЛЕЙОВАНИЙ РЕЖИМ З НЕПРИВІЛЕЙОВАНОГО ЗА

ДОПОМОГОЮ ВВЕДЕННЯ ВІДПОВІДНОГО ПАРОЛЮ
router>enable
Password:2br12b@?
router#

Шифрування паролів
За замовчуванням всі паролі консолі і Telnet зберігаються в маршрутизаторі у відкритому вигляді і тому
виявляються уразливими. Крім того, їх можна перехопити під час сеансу Telnet при введенні пароля
привілейованого доступу або перегляду конфігурації за допомогою команд write terminal або show
running-config привілейованого режиму. Паролі виявляються уразливими і при зберіганні конфігурації
маршрутизатора на сервері TFTP.

Як стане ясно з наступних розділів, є дві можливості приховати паролі, що забезпечуються командами
service password-encryption і enable secret.

Команда service password-encryption

Дана команда змушує систему зберігати паролі конфігурації маршрутизатора в зашифрованому
вигляді. Застосовувана при цьому схема шифрування це спеціальний оборотний алгоритм, який
використовується в пристроях Cisco і побудований на основі шифру Віженера, що є одним з варіантів
поліалфавітних шифрів.

Шифрування стосується всіх паролів включно з паролями користувачів, ключів аутентифікації,

привілейованих команд, доступу до консолі і віртуальних терміналів, а також паролі BGP (Border
Gateway Protocol - прикордонний міжмережевий протокол, протокол BGP). Відповідна команда має
такий вигляд.

router(config)#enable password [level рівень] {пароль | [тип-шифрування]

зашифрований-пароль}

Параметри команди і їх значення представлені в наступній таблиці.

Синтаксис Опис
level рівень (Необов'язковий) Визначає рівень привілеїв, для
якого встановлюється пароль. Можна вказати до
16 рівнів привілеїв, використовуючи номери від
0 до 15. Рівень 1 відповідає рівню привілеїв
звичайного користувача привілейованого
режиму. Якщо цей параметр в даній команді
(або у відповідній команді з префіксом no) не
визначений, то для рівня привілеїв за
замовчуванням встановлюється значення 15
(традиційно відповідне вирішення привілеїв). Те
ж вірно і для відповідної команди з префіксом no
пароль Задає пароль, необхідний від користувача для
 входу в привілейований режим. Цей пароль
повинен відрізнятися від пароля, створюваного
за допомогою команди enable secret
тип-шифрування (Необов'язковий) Вказує використовуваний в
пристроях Cisco алгоритм, за допомогою якого
виконується шифрування пароля. В даний час
єдиним допустимим значенням для цієї команди
є 7. Якщо цей параметр вказаний, то наступний
параметр повинен задавати шифрований пароль
(пароль, зашифровані маршрутизатором Cisco за
допомогою зазначеного типу шифрування). Якщо
вказано значення 0, пароль слід вводити у
відкритому вигляді
зашифрований-пароль Визначає введений вами шифрований пароль,
копіюється з іншої області конфігурації
маршрутизатора

Попередження
Команда service password-encryption не забезпечує високого рівня захисту. Численні програми зламу
паролів здатні розшифрувати паролі Cisco. При використанні цієї команди вам доведеться вжити
додаткових заходів мережевого захисту.

Якщо можливість шифрування пароля активізована, про введенні команди show running-config пароль
буде показано у зашифрованому вигляді. Ключове слово password 7 вказує на те, що можливість
шифрування паролю активізована, як вказано в прикладі 3.5.

ПРИКЛАД 3.5. ЗАШИФРОВАНА ФОРМА ПАРОЛЮ СВІДЧИТЬ ПРО ТЕ, ЩО

МОЖЛИВІСТЬ ШИФРУВАННЯ ПАРОЛЮ АКТИВІЗОВАНА
router#show running-config
enable password 7 14141B180F0B
!
line con 0
password 7 094F471A1A0A
line vty 0 4
password 7 05080F1C2243

Команда enable password дозволяє задати шифрування пароля з допомогою методу шифрування Cisco.
Як правило, цю опцію слід використовувати тільки для повторного введення неправильно введеного
шифрованого пароля до виходу з привілейованого режиму. Якщо в команді enable password
зазначений тип шифрування пароля, пароль повинен вводитися в зашифрованому вигляді, що
відображається командою show running-config. Якщо ви введете пароль у відкритому вигляді, не
зможете знову ввійти в привілейований режим.

Зауваження
Якщо ви втратите або забудете зашифрований пароль, вам доведеться очистити ЗП (NVRAM) та
встановити новий пароль.
Команда enable secret
Ця команда глобальної конфігурації передбачає застосування схеми одностороннього шифрування на
основі використання функції хешування MD5, що буде описана в розділі 13. Цей метод шифрування
більш надійний, аніж метод, здійснений командою service password-encryption. Команда доступна в
межах Cisco IOS Software версій 10.0(9), 10.2(5), 10.3(2) та наступних. Паролі цієї команди лишаються
вразливими у відношенні перебору всіх варіантів та перебору за словником. Розглянемо синтаксис цієї
команди.

enable secret [level рівень] {пароль | [тип-шифрування] зашифрований-пароль}

Параметри команди і їх значення представлені в наступній таблиці.

Синтаксис Опис
level рівень (Необов'язковий) Визначає рівень привілеїв, для
якого встановлюється пароль. Можна вказати до
16 рівнів привілеїв, використовуючи номери від
0 до 15. Рівень 1 відповідає рівню привілеїв
звичайного користувача привілейованого
режиму. Якщо цей параметр в даній команді
(або у відповідній команді з префіксом no) не
визначений, то для рівня привілеїв за
замовчуванням встановлюється значення 15
(традиційно відповідне вирішення привілеїв). Те
ж вірно і для відповідної команди з префіксом no
пароль Задає пароль, необхідний від користувача для
входу в привілейований режим. Цей пароль
повинен відрізнятися від пароля, створюваного
за допомогою команди enable secret
тип-шифрування (Необов'язковий) Вказує використовуваний в
пристроях Cisco алгоритм, за допомогою якого
виконується шифрування пароля. В даний час
єдиним допустимим значенням для цієї команди
є 5. Якщо цей параметр вказаний, то наступний
параметр повинен задавати шифрований пароль
(пароль, зашифровані маршрутизатором Cisco за
допомогою зазначеного типу шифрування). Якщо
вказано значення 0, пароль слід вводити у
відкритому вигляді
зашифрований-пароль Визначає введений вами шифрований пароль,
копіюється з іншої області конфігурації
маршрутизатора

На пароль команди enable secret вказує число 5, що бачимо на прикладі 3.6.

ПРИКЛАД 3.5. НА ЗАШИФРОВАНИЙ ПАРОЛЬ ENABLE SECRET ВКАЗУЄ ЧИСЛО 5

router#show running-config
!
enable secret 5 $1$6cWV$inD7guHLP1D3ZmdX08MMS/
Звісно, шифрування корисне, але не повинне бути єдиним методом захисту мережевих паролів.

Фахівці Cisco радять команду enable secret, оскільки вона передбачає застосування більш
довершеного алгоритму шифрування. Використовуйте команду enable password лише при
завантаженні досить старого ПЗ Cisco IOS або завантажувачів на ПЗУ (до версій 10.3, 4000 та 4000М
маршрутизаторів Cisco), що не розпізнають команду enable secret.

Налаштування параметрів лінії

Встановлення паролів початку сеансу і привілейованого доступу в деяких випадках не може
забезпечити достатній ступінь захисту. Якщо консоль або сеанс зв'язку Telnet залишиться без контролю
в привілейованому режимі, будь-який користувач зможе змінити конфігурацію маршрутизатора.
Можна вказати граничний час відкритого стану без супроводу ліній, тим самим забезпечивши
додатковий ступінь захисту.

Регулювання граничного часу роботи несупроводжуваної консолі (якою за замовчуванням є консоль,

що не може використовуватись протягом 10 хвилин) забезпечить додаткову міру захисту. Можна
змінити граничну тривалість такої роботи за допомогою команди exec-timeout mm ss, де mm означає
хвилини, а ss - секунди, як показано в прикладі на рис. 3.3 (в цьому прикладі значення граничної
тривалості роботи консольного порту без супроводу встановлюється рівним 2 хвилинам 30 секундам).

Рис. 3.3. Управління налаштуваннями лінії за допомогою відповідних команд з їх численними опціями

Для управління захистом лінії виявляються корисними й багато інших команд конфігурації. Приклад 3.7
демонструє деякі типи ліній, для яких в Cisco IOS передбачено налаштування багатьох параметрів.

ПРИКЛАД 3.7. ТИПИ ЛІНІЙ, ДЛЯ ЯКИХ В CISCO IOS ПЕРЕДБАЧЕНО

НАЛАШТУВАННЯ БАГАТЬОХ ПАРАМЕТРІВ
router(config)#line ?
<0-70> First Line number
aux Auxiliary line
console Primary terminal line
tty Terminal controller
vty Virtual terminal

У прикладі 3.8 продемонстровано деякі з ряду параметрів, за допомогою яких здійснюється управління
захистом ліній.
ПРИКЛАД 3.8. ПАРАМЕТРИ УПРАВЛІННЯ ЗАХИСТОМ ЛІНІЙ
router(config)#line console 0
router(config)#line?
Line configuration commands:
absolute-timeout Set absolute timeout for line disconnection
access-class Filter connections based on an IP access list
exec Start an EXEC process
exec-banner Enable the display of the EXEC banner
exec-timeout Set the EXEC timeout
exit Exit from line configuration mode
full-help Provide help to unprivileged user
history Enable and control the command history function
login Enable password checking
logout-warning Set Warning countdown for absolute timeout of line
monitor Copy debug output to the current terminal line
motd-banner Enable the display of the MOTD banner
no Negate a command or set its defaults
priviledge Change privilege level for line
refuse-message Define a refuse banner
session-disconnect-warning Set warning countdown for session-timeout
session-timeout Set interval for closing connection when there is
no input traffic
telnet Telnet protocol-specific configuration
timeout Timeouts for the line
vacant-message Define a vacant banner

Використання багаторівневої системи привілеїв

Вище йшлось, що ПЗ Cisco IOS має за замовчуванням два режими захисту пароля – це user EXEC та
privileged EXEC (режим enable). Командам кожного із цих режимів можна призначити до 16 ієрархічних
рівнів, що дозволяє делегувати адміністративні уповноваження. Команди Cisco IOS можна пов’язати з
будь-яким із рівнів, і це забезпечує досить широкі можливості управління доступом користувачів. За
допомогою багатьох паролів можна дозволити різним групам користувачів доступ до різних наборів
команд. Попередньо визначеними є наведені нижче рівні.

 Рівень 1 призначений для отримання прав доступу в режимі користувача.

 Рівні 2-14 є рівнями привілеїв користувача, що налаштовуються.
 Рівень 15 призначений для дозволу доступу в привілейованому режимі; цей тип доступу
викликається командою enable.

Рівень привілеїв для команд задають за допомогою команди privilege level глобальної
конфігурації. Використання цієї команди з префіксом no повертає до рівня
привілеїв, що заданий для відповідної команди за замовчуванням. Синтаксис команди
такий.

privilege режим {level рівень команда | reset команда}

Параметри команди та їх значення описані далі в таблиці.

Синтаксис Опис
 режим Вказує на режим конфігурації. Допустимими
значеннями є exec, configure, line,
interface та ін. режими конф-ї
маршртутизатора
level рівень Призначає рівень привілеїв від 0 до 15, що
пов’язаний із вказаною командою
команда Вказує команду, з якою пов’язується рівнь
привілеїв, що призначається
reset команда Відновлює рівень привілеїв вказаної команди

Прикладом використання команди privilege level є дозвіл системному адміністратору

застосовувати команди моніторингу та тестування (ping, show, debug) шляхом призначення їм
рівня 2, а системному інженеру – всі команди, як і вказано на рис. 3.4.

Рис. 3.4. Використання команди privilege level для створення ієрархії адміністративних рівнів

Відповідним чином налаштувати маршрутизатор можна так, як вказано в прикладі 3.9.

ПРИКЛАД 3.9. ВИЗНАЧЕННЯ ТИПІВ ПРИВІЛЕГІЙ ДОЗВОЛЯЄ СИСТЕМНОМУ

АДМІНІСТРАТОРУ ВИКОРИСТОВУВАТИ КОМАНДИ СИСТЕМНОГО МОНІТОРИНГУ ТА
ТЕСТУВАННЯ
router(config)#privilege exec level 2 show startup-config
router(config)#privilege exec level 2 debug ip rip
router(config)#privilege exec level 2 ping
router(config)#enable secret level 2 2kdo40d

Ви можете встановити рівень привілегій за замовчуванням для лінії за допомогою команди privilege
level конфігурації лінії, яка має такий синтаксис:

privilege level рівень

Щоби отримати доступ до привілейованого рівня, можна скористатись командою
enable привілейованого режиму лінії, що має такий синтаксис:

router>enable рівень

Використання інформаційних банерів пристроїв

Ви можете використовувати банерні повідомлення, що інформують про те, кому дозволено (і не
дозволено) входити в вашу мережу. Ніколи не застосовуйте слово welcome (ласкаво просимо) в
банерах, що демонструються користувачам в процесі реєстрації входу в систему. Є прецеденти, коли за
рішенням суду порушники визнавалися невинними на підставі того, що слово welcome розцінювалося
ними як запрошення адміністратора увійти в систему. Створіть повідомлення, що сповіщає про те,
наскільки серйозними для вас є порушення захисту. Якщо це можливо, щодо тексту банерних
повідомлень слід отримати висновок відповідного фахівця у галузі юриспруденції. Цитуйте відповідні
цивільні акти і закони, що відносяться до питань мережевого захисту. Простим прикладом є наступний
текст: "Увага! Це приватна мережа компанії XYZ. Несанкціонований доступ і використання ресурсів
мережі будуть переслідуватися за законом ".

Параметри команди banner

Ви можете вибрати конфігурацію, яка передбачає відображення інформації про активізацію лінії при
ініціалізації процесу EXEC. Банерні повідомлення можуть з'являтися тоді, коли користувач входить в
режим privileged EXEC, при активізації лінії, спробі зв'язку з віртуальним терміналом або як спеціальні
повідомлення. Щоб створити банерне повідомлення, в режимі глобальної конфігурації вводять
наступну команду.

banner {exec | incoming | login | motd} d повідомлення d

Параметри команди та їх значення описано в таблиці.

У прикладі 3.10 вказано типи активізації лінії, для яких ви можете призначити
банерне повідомлення.

Синтаксис Опис
exec Свідчить про те, що повідомлення повинне з’являтися при створенні процесу
EXEC (наприклад, при активізації консольної лінії чи при їх спробі спробі доступу
до лінії vty)
incoming Свідчить про те, що повідомлення має з’являтися при спробі (асинхронного)
підключення до лінії з боку вузла мережі
login Свідчить про те, що повідомлення має з’являтися під час роботи програми входу
в систему перед пропозицією ввести ім’я користувача та пароль
motd Викликає появу повідомлення MOTD (Message of the Day – спеціальне
повідомлення). З’являється під час входу в систему і виявляється корисним при
потребі поширення інформації, що стосується всіх користувачів мережі
d Задає символ роздільника, яким, наприклад, може бути символ “#”. В тексті
банерного повідомлення символ роздільника використовувати заборонено
повідомлення Задає тест повідомлення
ПРИКЛАД 3.10. ПРИКЛАД СТВОРЕННЯ БАНЕРНОГО ПОВІДОМЛЕННЯ, ЩО
З’ЯВЛЯТИМЕТЬСЯ ПРИ ІНІЦІАЛІЗАЦІЇ КОРИСТУВАЧЕМ ПРОЦЕСУ EXEC
router(config)#banner exec $
Session activated. Enter commands at the prompt.
$

Управління доступом Telnet

Основною можливістю захисту маршрутизаторів Cisco є управління доступом Telnet до
маршрутизатора. Цей тип захисту важливий, оскільки з допомогою Telnet до маршрутизатора можна
отримати привілейований доступ. При спробі доступу до маршрутизатора за допомогою Telnet
користувач отримує запрошення маршрутизатора в режимі користувача. Потім користувач може увійти
в привілейований режим. Розглянемо кілька зауважень, які слід враховувати при управлінні доступом
Telnet.

 Порти Telnet в маршрутизаторі називаються портами віртуальних терміналів (портами vty).

 Слід встановити пароль привілейованого режиму (пароль enable), що обмежує доступ до
привілейованого режиму через Telnet.
 За замовчуванням пароль режиму enable для маршрутизатора не встановлено. При спробі
підключення за допомогою Telnet до інтерфейсу, пароль для якого не встановлено, ви
побачите повідомлення, що інформує про те, що потрібно пароль, але він не був встановлений.
Консольний порт при цьому є єдиним портом, що дозволяє доступ в привілейованому режимі,
коли пароль vty не встановлено.
 Програмне забезпечення Cisco IOS використовує один і той же пароль для портів vty і консолі.
 Необхідно обмежити доступ Telnet за допомогою команд access-class та access-list, зокрема
варто зробити ось що:
o Обмежити доступ Telnet для джерел з деякими IP-адресами;
o Визначити стандартний список доступу з дозволеними IP-адресами;
o Використовувати список доступу для лінії vty за допомогою команди access-class.
 Необхідно налаштувати всі задані конфігурацією порти vty. Порти з номерами 0-4 є за
замовчуванням, але можна призначити і більше число портів.
 Слід обмежити доступ до порту aux, заблокувати його або взагалі відключити з допомогою
команди no exec в режимі конфігурації лінії.
 Потрібно відключити команди, подібні ip allias, no cdp running і no cdp enable, щоб запобігти
можливості доступу порушників до маршрутизатора через порти vty. Детальну інформацію про
командах, які слід відключити в цілях захисту від атак доступу, ви знайдете в розділі 7.
 Необхідно заблокувати запити відклику за допомогою команд no service tcp-small-servers та no
service udp-small-servers.
 Варто встановити обмеження на типи з’єднань (secure shell, LAT, RCP), котрі можуть бути
відкриті до маршрутизатора, використовуючи при цьому команди transport input.

Приклади конфігурації Telnet

Розглянемо приклади конфігурації, що забезпечують захист доступу Telnet. Приклад 3.11 демонструє,
як встановити пароль початку сеансу (режиму користувача) для ліній vty з номерами 0-4.
ПРИКЛАД 3.11. ВСТАНОВЛЕННЯ паролю початку сеансу (режиму
користувача) для ліній vty з номерами 0-4
router(config)#line vty 0 4
router(config-line)#login
router(config-line)#password shakespeare

У прикладі 3.12 встановлюється пароль маршрутизатора для привілейованого режиму - такий пароль
користувач повинен вводити після отримання доступу Telnet до лінії vty. У прикладі показаний
фрагмент сеансу Telnet. При цьому відображається банер MOTD. Користувач вводить пароль
shakespeare, необхідний для початку сеансу Telnet. Потім він вводить команду enable і отримує
запрошення ввести пароль режиму enable. Після цього користувач вводить відповідний пароль, а саме
пароль whatLight, і отримує доступ в привілейованому режимі.

ПРИКЛАД 3.12. ВИКОРИСТАННЯ ПАРОЛЮ ПРИВІЛЕЙОВАНОГО РЕЖИМУ В СЕАНСІ

TELNET
router (config)#enable password whatLight
C:\>telnet 10.1.1.2

“MOTD Banner"

User Access Verification

Password: shakespeare

router>enable

Password: whatlight

router#
Розглянемо тепер приклад 3.13, що демонструє використання списку доступу, що дозволяє доступ до
ліній vty з номерами 0-4 лише системі адміністратора з адресою 10.1.1.4. Зауважте, що приклад списку
доступу до ліній vty забезпечується командою access-class.

ПРИКЛАД 3.13. СПИСОК ДОСТУПУ 21 ДОЗВОЛЯЄ ДОСТУП ДО ЛІНІЙ VTY

АДМІНІСТРАТОРУ З АДРЕСОЮ 10.1.1.4
router(config)#access-list 21 permit 10.1.1.4
router(config-line)#line vty 0 4
router(config-line)#access-class 21 in

Управління доступом SNMP

Засоби SNMP можуть бути використані порушниками для впровадження в мережу, якщо ці засоби не
налаштовані потрібним чином. Ви можете навіть не знати про те, що хтось отримує доступ до баз MIB
(Management Information Base – інформаційна база управління) за допомогою засобів моніторингу
SNMP або ж здійснює захоплення повідомлень SNMP вашого мережевого обладнання. Для захисту
інфраструктури мережі дуже важливо контролювати доступ SNMP. Протокол SNMP допускає
різноманітні рівні доступу: доступ лише для читання (RO) дозволяє читати бази MIB, доступ
читання/запису (RW) дозволяє як читати, так і записувати дані, а доступ запису (W) – лише записувати
дані.

ОГЛЯД SNMP
SNMP (Simple Network Management Protocol – простий протокол мережевого управління) – це протокол
прикладного рівня, що забезпечує зв’язок між диспетчерами та агентами SNMP.

Система SNMP складається з трьох компонентів (рис. 3.5).

 Керуючі пристрої типу маршрутизаторів та комутаторів.

 Агенти SNMP та бази MIB, зокрема бази RMON MIB (Remote MONitoring MIB – база MIB
віддаленого монітрингу), розташовані в керуючих пристроях.
 Додаток-диспетчер SNMP типу CiscoWorks 2000, котрий взаємодіє з агентами та керуючими
пристроями з метою збору статистичних даних та попереджень.

Зауваження
Керуючий додаток SNMP (диспетчер) разом із ПК, на якому він виконується, називається системою
мережевого управління (Network Management System – NMS).

Мережеве управління SNMP використовує такі функції агента SNMP.

 Доступ до змінних MIB. Ця функція ініціалізовується агентом SNMP у відповідь на запит NMS.
Агент витягує значення потрібної змінної MIB та повертає його системі NMS. Доступ систем NMS
повинен контролюватисяя, аби не допустити доступ порушників до баз MIB з ціллю з’ясування
конфігурації та стану пристроїв.

Рис. 3.5. Компоненти системи SNMP

 Встановлення змінних MIB. Ця функція ініціалізується агентом SNMP у відповідь на
повідомлення NMS. Агент SNMP змінює значення змінної MIB на значення, вказане NMS.
Доступ повинен контролюватися, щоб не дати порушникам можливості змінити конфігурацію
пристроїв.
 Переривання SNMP. Ця функція використовується для сповіщення NMS про те, що в системі
агента відбулась важлива подія. Коли в результаті появи деякої події генерується переривання,
агент SNMP надсилає повідомлення переривання SNMP всім станціям NMS, вказаним у списку
отримувачів цього повідомлення. Доступ повинен контролюватися, щоб не дозволити
мережевим порушникам перехопити інформацію про події обладнання.
 Групові рядки SNMP. Групові рядки SNMP ідентифікують доступ до об’єктів MIB та
функціонують як вбудовані паролі.
Сповіщення SNMP
Система може генерувати сповіщення SNMP двох типів - переривання і інформаційні запити.
Переривання забезпечують обмежену надійність з огляду на те, що від одержувача не потрібно
підтвердження отримання переривання. Відправник не може визначити, чи було отримано
відправлене переривання. Інформаційні запити більш надійні, оскільки в цьому випадку агент SNMP
надсилає запит, який повинен бути підтверджений диспетчером SNMP за допомогою повернення PDU
(Protocol Data Unit - протокольна одиниця обміну). Якщо диспетчер не отримає інформаційний запит,
він не відправить відповідь. Якщо відправник не отримає відповідь, інформаційний запит можна
послати знову. Тому ймовірність того, що відповідна інформація досягне свого адресата, виявляється
вищою.

Версії SNMP, що підтримуються

Програмне забезпечення Cisco IOS версії 12.0 підтримує такі версії SNMP.

 SNMPv1 в якості стандарту Internet та визначений в документі RFC 1157.

 SNMPv2C (Classic), що містить кілька частин:
o SNMPv2 – версія 2 протоколу SNMP, приймається в якості проекту стандарту Internet та
визначена в документах RFC 1902-1907;
o SNMPv2C – розподілена адміністративна структура для SNMPv2, прийнята як
експериментальний протокол Internet та визначена в документі RFC 1901.

SNMPv2C заміняє адміністративну та захисну структуру SNMPv2Classic на роподілену адміністративну

структуру, багато в чому зберігаючи засоби масового пошуку та вдосконалення контролю помилок
SNMPv2Classic.

Як SNMPv1, так і SNMPv2C використовують розподілені (доступні в мережі) форми захисту. Сукупність
дипетчерів, що мають право доступу до бази MIB агента, визначається списком доступу з IP-адресами
та паролями. Підтримка SNMPv2C містить механізм масового пошуку та повернення керуючим
станціям більш детальних повідомлень про помилки.

Налаштування агента SNMP

Агент SNMP повинен бути налаштований так, щоб була можливість використати ту версію SNMP, котру
підтримує NMS. Один агент може зв’язуватися з багатьма системами NMS, тому програмне
забезпечення Cisco IOS можна налатувати так, щоб при зв’язку із одини станціями управлінн
використовувався протокол SNMPv1, а з іншими – протокол SNMPv2.

Щоби налаштувати SNMP в маршрутизаторі, необхідно визначити зв’язок між NMS та відповідним
агентом. Агент SNMP має змінні MIB, значення яких система NMS може запросити або змінити. Система
NMS може отримувати дані від агента та зберігати їх в системі агента. Агент збирає дані баз MIB, що
зберігають інформацію про параметри мережевих пристроїв. Агент може також відповідати на запити
сиситеми NMS про отримання чи зміну даних.
Управління доступом SNMP за допомогою
групових рядків
Існує можливість налаштування групових рядків SNMP, що визначають зв’язки між диспетчером SNMP
та відповідним агентом. Групові рядки схожі на паролі, що дозволяють доступ до агента в
маршрутизаторі. Можна вказати один або кілька наведених нижче об’єктів, пов’язаних із рядком, який
контролює доступ.

 Список доступу з IP-адресами систем NMS, котрим дозволено використовувати такий груповий
рядок для отримання доступу до агента.
 Представлення бази MIB, що визначає набір усіх об’єктів MIB, що доступні системам цієї групи.
 Встановлення доступу читання/запису або лише читання для об’єктів MIB, що доступні для
систем цієї групи.

Щоб визначити груповий рядок, використовуйте таку команду в режимі глобальної конфігурації.

router(config)#snmp-server community рядок [view ім‘я-представлення] [ro | rw]

[число]

Поле число повинне містити необов’язковий номер списку доступу. В команді

snmp-server community можна використовувати стандартні списки доступу IP
(Internet Protocol – протокол міжмережевої взаємодії) або стандартні списки
доступу IP з розширеним діапазоном. Можна визначити кілька групових рядків, а
для їхнього видалення потрібно застосувати команду no snmp-server community.

Непривілейований доступ SNMP

Для непривілейованого доступу SNMP до маршрутизаторів використовується
параметр ro команди snmp-server community. Показані у прикладі 3.14 команди
конфігурації дозволять агенту в маршрутизаторі приймати лише запити get-
request та get-next-request SNMP, що надсилаються за допомогою групового рядка
secure.

ПРИКЛАД 3.14. ДОЗВІЛ НА ВИКОРИСТАННЯ ПОВІДОМЛЕНЬ SNMP,

НАДІСЛАНИХ ЗА ДОПОМОГОЮ ГРУПОВОГО РЯДКА SECURE
router(config)#snmp-server community secure ro

Привілейований доступ SNMP

Для привілейованого доступу SNMP до маршрутизаторів використовується
параметр rw команди snmp-server community. Показані у прикладі 3.15 команди
конфігурації дозволять агенту в маршрутизаторі використовувати лише
повідомлення set-request SNMP, що надсилаються за допомогою групового рядка
semisecure.

ПРИКЛАД 3.15. ДОЗВІЛ НА ВИКОРИСТАННЯ ПОВІДОМЛЕНЬ SNMP,

НАДІСЛАНИХ ЗА ДОПОМОГОЮ ГРУПОВОГО РЯДКА SEMISECURE
router(config)#snmp-server community semisecure rw
Доступ SNMP за списками доступу
Можна вказати список хостів з конкретними IP-адресами, яким дозволяється посилати повідомлення
маршрутизатору. Для цього використовується параметр access-list команди snmp-server community,
який можна застосовувати як в привілейованому, так і в непривілейованому режимах. Показані в
прикладі 3.16 команди конфігурації дозволяють доступ до маршрутизатора в привілейованому режимі
SNMP тільки вузлів з адресами 10.1.1.4 і 10.1.1.5.

ПРИКЛАД 3.16. ДОЗВІЛ НА ДОСТУП У ПРИВІЛЕЙОВАНОМУ РЕЖИМІ SNMP

ЛИШЕ ВУЗЛАМ 10.1.1.4 ТА 10.1.1.5
router(config)#access-list 1 permit 10.1.1.4
router(config)#access-list 1 permit 10.1.1.5
router(config)#snmp-server community private rw 1

Дозвіл на переривання та запити SNMP лише

для заданих систем
Ви повинні бути впевнені, що конфігурація маршрутизатора дозволить відсилати переривання SNMP
тільки вузлів, які призначені вами для виконання функцій NMS. Перериванням є повідомлення, що
посилається агентом SNMP системі NMS, консолі або терміналу; воно інформує про настання деякої
важливого події, наприклад про виконання певних умов або досягнення деякої граничної величини.

Налаштування маршрутизатора для відсилання переривань SNMP тільки заданим вузлам NMS
здійснюється за допомогою команди snmp-server host вузол trap, а налаштування маршрутизатора для
відсилання інформаційних запитів SNMP тільки заданим вузлам NMS - за допомогою команди snmp-
server host вузол informs.

Команда snmp-server enable traps призначена для того, щоб дати загальний дозвіл використовувати
механізм генерування переривань і інформаційних запитів.

Деякі переривання і інформаційні запити не контролюються командою snmp-server enable traps. Ці

елементи системи або активізовані за замовчуванням, або управляються іншими командами.
Наприклад, при відкритті і закритті інтерфейсу відповідні переривання лінії SNMP генеруються за
замовчуванням. Для інтерфейсів, які часто відкриваються і закриваються (наприклад, для інтерфейсу
ISDN), генерування відповідних переривань може виявитися небажаним. Щоб скасувати генерування
переривань, використовуйте команду no snmp trap link-status в режимі конфігурації інтерфейсу.

Крім того, можна вказати значення, відмінні від значень за замовчуванням, для числа спроб, інтервалу
ретрансмісії, максимального числа відкладених запитів і IP-адреси джерела. Для цього
використовуються додаткові команди snmp-server informs і snmp-server trap-source в режимі
глобальної конфігурації.

Захист зв’язку між маршрутизаторами

Зв'язок між маршрутизаторами можна використовувати для прослуховування, маніпуляції даними,
відтворення сеансів зв'язку і зміни параметрів маршрутизації. Прикладами можуть бути поновлення
параметрів маршрутизації, передача файлів маршрутизатора за протоколом TFTP і доступ до
маршрутизатора по протоколу HTTP. Захист зв'язку між маршрутизаторами може бути забезпечено так,
як пропонується в наступних розділах, де будуть розглянуті наступні питання:

 Аутентифікація протоколу маршрутизації;

 Захист файлів конфігурації маршрутизатора;
 Упавління потоком даних за допомогою фільтра;
 Заборона обробки оновлень маршрутизації;
 Вхідні мережеві фільтри;
 Приклад політики захисту, що припускає контроль потоку даних;
 Управління доступом HTTP до маршрутизатора.

Аутентифікація протоколу маршрутизації

Протоколи маршрутизації уразливі відносно прослуховування і фальсифікації оновлень маршрутизації.
Наприклад, протокол маршрутизації RIP можна фальсифікувати, маючи правильну контрольну суму
будь-якого дійсного заголовка IP над довільним оновленням маршрутизації; контрольна сума UDP при
цьому не використовується. Програмне забезпечення Cisco IOS підтримує аутентифікацію оновлень
маршрутизації, щоб виявити несанкціоновані або фальсифіковані повідомлення маршрутизації з
невідомих джерел. Аутентифікація протоколу маршрутизації називається також аутентифікацією
сусіднього вузла.

Якщо в маршрутизаторі передбачена аутентифікація сусіднього вузла, він виконує аутентифікацію

джерела для всіх пакетів поновлення маршрутизації. Для цього застосовується процедура обміну
ключами аутентифікації або підписами, налаштованим як в посилаючому, так і в приймаючому
маршрутизаторах. На рис. 3.6 показана схема процесу аутентифікації сусіднього вузла, коли
передбачається, що маршрутизатори А і В налаштовані на виконання відповідної функції.
Маршрутизатор А підписує пакет поновлення маршрутизації і посилає пакет маршрутизатора В.
Маршрутизатор У перевіряє підпис аутентифікації, щоб переконатися в тому, що оновлення не було
змінено в дорозі.

Cisco IOS версії 12.0 пропонує два типи аутентифікації сусіднього вузла - відкриту аутентифікацію і
аутентифікацію MD5. В обох випадках аутентифікація виконується однаково, з тією лише різницею, що
при використанні MD5 пересилається "профіль" ключа аутентифікації, а не сам ключ. Профіль
повідомлення створюється за допомогою ключа і повідомлення, але сам ключ безпосередньо не
пересилається, що виключає можливість його перехоплення. Відкрита аутентифікація передбачає
пересилання ключа аутентифікації по мережі. Налаштування засобів аутентифікації MD5 ми розглянемо
в цьому розділі трохи пізніше, а алгоритм MD5 буде детально розглядатися в розділі 13.