Захист маршрутизатора засобами CISCO IOS

Реферат.

Тема: захист маршрутизатора засобами CISCO IOS.

Запровадження 3.

Програмне забезпечення маршрутизаторів Cisco 4.

Основні інтерфейси 6.

Консольні інтерфейси 7.

Рішення Cisco Systems задля забезпечення мережевий безпеки 8.

Користувальницький і привілейований рівні доступу 10.

Парольна захист 12.

Обмеження доступу до маршрутизатору 15.

Укладання 16.

Список використаних джерел 17.

Компания Cisco Systems є абсолютною лідером над ринком маршрутизаторів (припадає близько 70% ринку; другою місці Juniper з 21%). Cisco пропонує моделі від найпростіших маршрутизаторів для малого офісу (серія 800) до мультигигабитных пристроїв, які у ядрі Інтернету (серія 12 000).

Крім маршрутизаторів Cisco відома комутаторами ЛВС марки Catalyst, міжмережними екранами марки PIX, продуктами для IP-телефонії, продуктами марки Aironet в організацію бездротових мереж, і ін. З урахуванням усієї номенклатури своєї продукції Cisco Systems є безумовним лідером світового ринку устаткування зв’язку (14%; другою місці Siemens з 11,7%).

Усі моделі, крім серії 800, мають тій чи іншій ступенем модульности, то є, дозволяють встановлювати змінні інтерфейсні модулі і спеціалізовані обчислювальні модулі (для шифрування чи обробки голоси). Відповідно, ціна устрою залежить від комплектації. Широко поширені також устрою серій 2500 і 4000, але у справжнє короткий час вони зняті з виробництва (крім моделей 2509 і 2511). На зміну 2500 прийшли маршрутизатори серій 1700 і 2600, але в зміну 4000 — 3600.

Программное забезпечення маршрутизаторів Cisco.

Все маршрутизатори Cisco працюють під керівництвом ОС Cisco IOS. Для кожної моделі маршрутизатора пропонуються кілька різновидів IOS.

Образи IOS різняться за версією. Cisco використовує досить складну систему ідентифікації версій, ознайомитися з якою можна за цієї ссылке.

Для студентів достатньо наступного розуміння: номер версії Cisco IOS складається з трьох частей:

Номер основного релізу (major release; нині зазвичай зустрічаються основні релізи 11.3, 12.0, 12.1, 12.2).

Номер відновлення (maintenance release), починаючи із першого. Оновлення випускаються кожні 8 тижнів, у яких включаються виправлення помилок. Набір функціональних можливостей релізу не изменяется.

Номер випуску (software rebuild), позначається буквою, починаючи з а. Випуски призначені для екстреного виправлення помилок, яка може чекати до наступного обновления.

Отже, IOS 12.2(6с) — це основний реліз 12.2, відновлення 6, випуск c.

Кожна версія характеризується ступенем зрілості, зазвичай це LD (Limited Deployment) чи GD (General Deployment). LD передбачає менший обсяг тестування і практичного досвіду експлуатації проти GD.

Крім основної низки IOS існує експериментальний ряд, так званий Ttrain (чи, офіційно, Technology Releases). Саме T-train включаються нові можливості і проходять «обкатку «доти, як буде введено в основний ряд. Нумерація версій низки Т будується аналогічно основному ряду (лише випуски нумеруються цифрами):

IOS 12.1(6)T2 — цей T-train виходить з основному релізі 12.1. Це другий випуск шостого відновлення зазначеного T-train.

З часом із T-train виходить наступний основний реліз (так наприклад, 12.0(6)Т перетворюється на 12.1, і того ж момент утворюється ряд 12.1Т для додавання нових можливостей). Зрілість T-train характеризується як ED (Early Deployment), що означає, що програмне забезпечення не рекомендується застосовувати на відповідальних ділянках, якщо аналогічну функціональність можна знайти у версіях LD чи GD.

Не всяка версія може бути встановлена на конкретний маршрутизатор в конретной конфігурації; попередньо слід проконсультуватися у фахівця компании-реселлера.

Крім версій, образи IOS різняться по закладених у них функціональності. Функціональні можливості групуються в набори, звані feature sets. Мінімальна функціональність міститься у IP only feature set (чи навіть «IP »); воно охоплює у собі, зокрема, підтримку IP-интерфейсов, статичну і динамічну IP-маршрутизацию, підтримку моніторингу і управління з SNMP. IP Plus feature set включає додаткових можливостей (наприклад, підтримку технології VoIP передачі голоси). Також є feature sets з функціями межсетевого екрана (FW, Firewall), системи виявлення атак (IDS), криптозахисту трафіку (IPSEC) та інших., зокрема є і комбіновані образи, наприклад IP Plus FW IPSEC. Безплатно з маршрутизатором поставляється лише IP only feature set, інші образи необхідно купувати. Для визначення цього у якому feature set є необхідна можливість, варто звернутися до спеціаліста компаніїреселлера.

Отже, конкретний образ IOS ідентифікується трьома параметрами:

апаратна платформа, на яку він предназначен,.

feature set,.

версия.

Приклад імені файла з чином IOS: c3620-is-mz.122−13a.bin. Це IOS IP Plus 12.2(13a) для Cisco 3620. Feature set (IP Plus) ідентифікується символами «is », такими за позначенням платформи. Інші приклади feature sets: «і «- IP, «js «- Enterprise Plus, «io «- IP FW. Така кодування справедлива для серій 2600, 3600; й інших платформ коди feature set можуть отличаться.

Букви «mz «означають, що IOS під час запуску завантажується в оперативну пам’ять (m) і у файлі образ зберігається стислому вигляді (z).

Основные интерфейсы.

В кожному маршрутизаторе є певна число фізичних інтерфейсів. Найпоширенішими типами інтерфейсів є: Ethernet/FastEthernet і найпослідовніші інтерфейси (Serial). Послідовні інтерфейси зі свого апаратному виконання бувають синхронні, синхронно-асинхронные (режим вибирається командою конфігурації) і асинхронні (Async). Протоколи фізичного рівня послідовних інтерфейсів: V.35 (найчастіше використовується на синхронних лініях), RS-232 (найчастіше використовується на асинхронних лініях) і другие.

Кожному інтерфейсу відповідає розняття на корпусі маршрутизатора. Інтерфейси Ethernet на кручений парі зазвичай мають розняття RJ-45, але деяких моделях (серія 2500) зустрічаються рознімання AUI (DB-15), які вимагають підключення зовнішнього трансивера, що реалізовуватиме той чи інший інтерфейс фізичного рівня Ethernet.

Послідовні інтерфейси найчастіше забезпечуються фірмовими розніманнями DB- 60 F чи SmartSerial F (останній більш компактний). А, щоб підключити інтерфейс зовнішнього устаткуванню, необхідно використовувати фірмовий кабель — свій кожному за протоколу фізичного рівня. Фірмовий кабель має з одного боку розняття DB-60 M, з другого боку — розняття обраного стандарту фізичного рівня для устрою DTE чи DCE. Таким чином, кабель виконує такі задачи:

шляхом замикання спеціальних контактів в разъеме DB-60 сигналізує маршрутизатору, який обрано протокол фізичного рівня, та яким типом устрою є маршрутизатор: DTE чи DCE;

є переходником з універсального розняття DB-60 на стандартний розняття обраного протоколу фізичного уровня.

Примітка. У термінології Cisco кабель DTE підключається до влаштуванню DCE, а кабель DCE — до влаштуванню DTE; тобто тип кабелю вказує, якого виду пристроєм є сам маршрутизатор, а чи не той прилад, з яким його з'єднує кабель.

Зазвичай кабелі DTE йдуть на підключення до маршрутизатору модемів, а зв’язка двох кабелів DTE-DCE використовується для поєднання двох маршрутизаторів безпосередньо (back-to-back), у своїй, природно, одне із маршрутизаторів буде зацікавлений у ролі DCE. На малюнку 2.2 наведено приклад сипользования кабедей для сполуки пристроїв через інтерфейс V.35 (стандартний розняття M.34).

Крім універсальних послідовних інтерфейсів, розглядали вище, існують спеціалізовані послідовні інтерфейси, реалізовані разом із каналообразующим устаткуванням: контролери E1, модулі ISDN BRI, модулі DSL, вбудовані аналогові чи ISDN-модемы. І тут послідовний інтерфейс перебуває всередині маршрутизатора, «між «каналообразующим обладнанням і ядром маршрутизатора. Для підключення ліній до вищезазначеному каналообразующему устаткуванню зазвичай використовується розняття RJ-45 (для підключення ліній до аналоговим модемів — RJ- 11).

Консольные интерфейсы.

Два спеціальних послідовних интерефейса — CON і AUX — призначені для доступу з термінала адміністратора до маршрутизатору для настроювання й управління. Інтерфейс CON підключається напосредственно до COM-порту комп’ютера адміністратора. До інтерфейсу AUX підключається модем, що дозволяє можливість віддаленого управління маршрутизатором шляхом додзвону на модем. Інтерфейс AUX можна використовувати як і звичайний послідовний інтерфейс, з якого виробляється маршрутизація дейтаграмм, але обрабока пакетів у цьому інтерфейсі вимагає великої частки процесорного часу (кожен отриманий байт викликає переривання), а швидкість обмежена 115 кбіт/с. Інтерфейс CON використовується лише термінального доступу до маршрутизатору, параметри COM-порта повинні прагнути бути 9600−8-N-1.

Зазвичай рознімання CON і AUX виконані форматі RJ-45. Підключення до них проводиться за допомогою спеціального кабелю RJ45-RJ45, прикладеного до маршрутизатору. З боку кабель входить у CON чи AUX, але в інший надягається переходник. Для підключення порту CON до комп’ютера на кабель надягається переходник, позначений як «TERMINAL », а підключення порту AUX до модему із боку модему використовується переходник «MODEM » .

Виртуальные интерфейсы.

Наряду з обмеженими фізичними інтерфейсами в маршрутизаторе можуть бути організовані віртуальні інтерфейси: Loopback, Null, Dialer, Virtual-Template, Multilink, BVI і др.

Loopback і Null загалом ніяк пов’язані з обмеженими фізичними интерфейсами.

Loopback — це інтерфейс зворотний зв’язок, можна призначати IP-адрес і вказувати деяких інших параметри, використовувані при настроюваннях інтерфейсів. Loopback має такі свойства:

інтерфейс завжди активний (на відміну фізичних інтерфейсів, де, наприклад, обрив кабелю переводить інтерфейс в відключене состояние);

як у разі фізичних інтерфейсів, пакети, адресовані цей інтерфейс, вважаються адресованими маршрутизатору, а уявна IP-сеть, до якої він «приєднаний «(відповідно до своїх адресою й масці), вважається безпосередньо подсоединенной до маршрутизатору;

пакети, маршрутизированные через такий інтерфейс (тобто, спрямовані до вузлам уявлюваного мережі, до котрої я приєднаний Loopback), уничтожаются.

Застосування інтерфейсів Loopback розглядатимуться у процесі лабораторного практикума.

Інтерфейс Null немає IP-адреси та інші настройок. Пакети, маршрутизированные через інтерфейс типу Null, знищуються. Null застосовується при фільтрації дейтаграмм, і навіть до створення захисних маршрутів при підсумовуванні маршрутов.

Інші віртуальні інтерфейси фактично отримують користь відправляють дані через фізичні інтерфейси, однак у тому випадку IP-интерфейс большє нє асоціюється безпосередньо з фізичною портом маршрутизатора. Порт (порти), які перебувають «під «віртуальним інтерфейсом, функціонують тепер лише з рівнях 1 і 2 і це не присвоюються IP-адреса.

Решения Cisco Systems задля забезпечення мережевий безопасности.

Компания Cisco Systems, будучи однією з провідних виробників мережного устаткування, пропонує повний спектр рішень задля забезпечення мережевий безпеки. Нижче наведено короткий перелік нових продуктів і рішень, запропонованих у даної области.

Задля більшої захисту мережевих соеднений: Network based IPSec VPN solution for Service Providers, VPN AIM Module for Cisco 2600XM, VAM2 Card for 7200s, VPN SM for Cat6500/7600, VPN 3000 Concentrator v4.0, AES Module for VPN 3000, VPN Client v.4.0.

Для управління системою безпеки: Cisco IOS AutoSecure, Cisco Security Device Manager v1.0, Cisco ISC v3.0, CiscoWorks VMS v2.2, CiscoWorks Security Information Management Solution (SIMS) v3.1.

Для виявлення й запобігання мережевих атак і вторгнень: IDS 4215 Sensor, IDS Network Module for Cisco 2600XM, 3660, 3700 series, Cisco Security Agents v4.0, Cisco CSS 11501S and WebNS v7.2 SSL s/w, Cisco ACNS Software version 5.0.3 with Websense Content Filtering On-Box.

Для достовірної ідентифікації сторін, що у захищеному обміні інформацією: Cisco IOS software Identity Enhancements.

Network based IPSec VPN solution for Service Providers дозволяє постачальникам послуг доступу управляти розподіленими мережами з урахуванням MPLSVPN, IP-VPN і FR/ATM-VPN з допомогою одного інтегрованого пакета управления.

VPN AIM Module for Cisco 2600XM (AIM-VPN/BPII) надає маршрутизатору функції апаратної шифрации із підтримкою алгоритмів DES, 3DES і AES і забезпечує вдвічі вищу продуктивність проти попереднім модулем прискорення шифрации (AIM-VPN/BP) — до 22 Мбит/сек.

VAM2 Card for Cisco 7200 — модуль апаратного прискорення шифрации для маршрутизаторів серії Cisco 7200. Один модуль забезпечує продуктивність шифрации до 260 Мбит/сек, два модуля — до 460 Мбит/сек.

VPN SM for Cat6500/7600 — сервісний модуль апаратної шифрации для комутаторів Catalyst 6500/7600. Забезпечуючи продуктивність до 14 Гбит/сек він також підтримує розширену функціональність — підтримку і прискорення GRE-туннелей, полнофункциональне резервування IPSec-соединений (stateful failover), IPSec Remote Access і можливість підключення WANинтерфейсов.

VPN 3000 Concentrator v4.0 — нове ПО для концентратора VPN-соединений. З’явилися нові діагностичні функції, підтримка авторизації користувачів через Kerberos/Active Directory, LAN-to-LAN backup для резервування межсетевых сполук. Також з’явилася підтримка нового модуля шифрации AES — SEP-E, підтримує до 10 000 одночасних сполук DES/3DES/AES.

VPN Client v.4.0 — нова версія ПО для клієнтських робочих станцій, працюючих через VPN. Інтеграція з Cisco Security Agent надає користувачеві функції firewall, зручний та простий графічний інтерфейс полегшує настроювання і управління, підтримка додатків, які працюють із протоколом H.323 дозволяє дистанційно спілкуватися, не турбуючись захищеності соединения.

Cisco IOS AutoSecure — функція інтерфейсу IOS, що дозволяє швидко зробити настроювання функцій безпеки, відключити рідко використовувані мережні сервіси і розв’язати доступ і управління лише авторизованих пользователей.

Cisco Security Device Manager v1.0 — ПО управління мережевий безпекою, доступне усім моделях маршрутизаторів доступу, від Cisco 830 до Cisco 3700, що дозволяє в графічному режимі, удаленно з кожного раюбочей станції (через веб-браузер) змінювати будь-які настройки безпеки на маршрутизаторе. Вмонтований алгоритм аудиту попередить користувача про потенційно небезпечних настроюваннях і запропонує варіанти решения.

Cisco ISC v3.0 — Cisco IP Solution Center дозволяє визначати політики безпеки для в усій мережі, приховуючи подробиці реалізації політик на конкретних пристроях. Політики дозволяють враховувати схеми реалізації механізмів LAN-to-LAN VPN, Remote Access VPN, EZ VPN і DMVPN, Firewall, NAT і QoS, а ISC реалізує їх у всіх мережевих пристроях, які працюють із механізмами безпеки (IOS, PIX, VPN3K Concentrator і т.п.).

CiscoWorks VPN/Security management Solution 2.2 централізує наявну функції управління, моніторингу, обліку, діагностику і відновлення для ПО всіх мережевих пристроїв Cisco, що реалізують функції мережевий безпеки. CiscoWorks Security Information Management Solution (SIMS) v3.1 дозволяє управляти безпекою у мережах, використовують обладнання та ПО різних производителей.

IDS 4215 Sensor — окреме пристрій в стоечном виконанні, заввишки 1 RU, дозволяє організовувати до 5 сенсорів із загальною пропускною спроможністю до 80 Мбит/сек, які можуть прослуховувати мережевий трафік, відстежувати потенційно небезпечну активність, розпочинати дії для запобігання і зупинці мережевих атак.

IDS Network Module for Cisco 2600XM, 3660, 3700 series — аналогічне пристрій, але призначене для спостереження трафіком на периметрі мережі - на маршрутизаторе доступу. Забезпечуючи продуктивність до 45 Мбит/сек, модуль використовує те ПО, як і IDS sensor, що дозволяє будувати гомогенну інфраструктуру безпеки, із централізованим інтерфейсом управления.

Cisco Security Agents v4.0 — «остання лінія «мережевий оборони, ПО, встановлюваний на робочі станції і сервери. Вони відстежують спроби несанкціонованого доступу до операційній системі, і навіть опікуються активністю додатків, у разі некоректних дій чи нестабільної роботи можуть зупинити чи перезапустить додаток чи сервіс. Оповіщення про підозрілих подіях пересилаються і нагромаджуються на центральної консолі управления.

Cisco CSS 11 500 Series Content Services Switch — платформа управління трафіком на рівнях 4−7, що дозволяє визначати правила розподілу трафіку, його балансування і резервирования.

Cisco ACNS Software version 5.0.3 with Websense Content Filtering On-Box — версія 4 цього продукту працювала як дворівнева система, де модуль фільтрації займав пристроях Cisco Content Engine, а набір шаблонів WebSense для фільтрації - осіб на зовнішньому сервері. Нову версію поєднує обидва елемента в одній платформі (Content Engine).

Cisco IOS software Identity Enhancements — нові функції IOS забезпечують надійну ідентифікацію пристроїв і користувачів, що у обміні інформацією по захищеною каналам. Підтримка інфраструктури PKI і інтеграція з функціями AAA на серверах, маршрутизаторах і концентраторах доступу полегшують ідентифікацію в розподіленої мережі з допомогою цифрових сертифікатів і підписів. Secure RSA private key запобігає використання украдених маршрутизаторів — у разі спроби розтину пароля приватні ключі маршрутизатора знищуються. N-tier CA Chaining дозволяє відстежити ланцюжок довірених сертифікатів, починаючи з найближчого і закінчуючи центральним (root) certificate authority. Authentication Proxy перевіряє права користувача перш ніж випустити користувача за межі мережі. Secure ARP — пов’язує MAC і IP-адреси пристроїв, не дозволяючи підмінити одна з пристроїв у процесі передачі. Підтримка 802.1X вимагає авторизації користувача перш ніж пустити його трафік в сеть.

Користувальницький і привілейований рівні доступа.

Cisco IOS для конфігурації маршрутизатора підтримує інтерфейс командної рядки, працювати з яких можна з термінала, підключеного до маршрутизатору через консольний порт (Console port) чи з допомогою віддаленого доступу по модему і telnet — сполуки через мережу. Сеанс командної рядки називається EXEC-сессией.

З метою безпеки Cisco IOS забезпечує два рівня доступу до інтерфейсу командної рядки: користувальницький і привілейований. Користувальницький рівень називається user EXEC режим, а привілейований privileged EXEC режим.

Предусмотрено 16 рівнів привілеїв: від 0 до 15. На нульовому рівні доступно лише п’ять команд: disable, enable, exit, help, logout. На рівні 15 доступні всіх можливих команды.

Користувальницький режим.

Вигляд командної рядки має вигляд Router>

Этот режим дозволяє тимчасово змінити настройки термінала, виконати основні тести, переглянути системну інформації і підключитися до віддаленому влаштуванню. Користувальницький режим за умовчанням має перший рівень привілеї. Набір команд істотно обмежений. Для переходу на інший рівень привілеїв необхідно провести команду enable [номер рівня], например

Router>enable 7.

Команди enable і enable 15 є аналогічними і приводять користувача на привілейований уровень.

Привілейований режим.

Вигляд командної рядки у має вигляд Router#.

Набор привілейованих команд встановлює параметри роботи системи. Користувач має доступом до командам глобального конфигурирования і спеціальним конфигурационным режимам.

Можливості користувальницького режиму з цим рівнем привілеїв досить широкі. На цьому режиму можливо виконання «небезпечних «команд, як-от telnet, connect, tunnel, login і не потрібних декому користувачів команд traceroute, enable, mstat, mrinfo, і навіть команд групи show: show hosts, show versions, show users, show flash: і з другие.

Права користувачів можна тонко налаштовувати: кожному користувачеві можна призначити певний рівень біля входу до маршрутизатор, будь-яку команду можна перекласти рівень, відмінний від стандартного. Свого часу ми постало завдання створення користувача з мінімальними можливостями: заборона команди enable, всіх команд групи show і єдиної дозволеної командою telnet. Це можна реалізувати наступним образом:

1. Створимо користувача cook із нульовим рівнем привилегий.

Router (config)#username cook privilege 0 password 7 044D0908.

2. Працювати це лише тоді, коли прописати следующее.

Router (config)#aaa new-model.

Router (config)#aaa authorization exec default local none.

Після реєстрації користувач безпосередньо з ім'ям cook за командою? (список доступних команд) побачить перечень:

Router>?

Exec commands:

Session number to resume.

disable Turn off privileged commands.

enable Turn on privileged commands.

exit Exit from the EXEC.

help Description of the interactive help system.

logout Exit from the EXEC.

Router>

Команду enable переведемо до рівня вище (до рівня 1), а виконання команди telnet дозволимо для нульового уровня.

Router (config)#privilege exec level 1 enable.

Router (config)#privilege exec level 0 telnet.

До даним командам діє деяке виняток — їхня цілющість не можна скасувати з допомогою стандартної команди no. Цього варіанта не проходит.

Router (config)#no privilege exec level 1 enable.

Router (config)#no privilege exec level 0 telnet.

Для скасування дії цих команд необхідно провести такі команды:

Router (config)#privilege exec reset enable.

Router (config)#privilege exec reset telnet.

Зараз після реєстрації користувач cook за командою? побачить следующее:

Router>?

Exec commands:

Session number to resume.

disable Turn off privileged commands.

exit Exit from the EXEC.

help Description of the interactive help system.

logout Exit from the EXEC.

telnet Open a telnet connection.

Router>

Проробивши усі фінансові операції, отримали користувача із наперед заданими возможностями.

Є такий тип користувачів, котрим необхідно зареєструватися на маршрутизаторе і одну-єдину команду (наприклад, show users). І тому можна завести на маршрутизаторе користувача з входом без пароля і з виконанням автокоманды.

Router (config)#username dream nopassword autocommand show users.

Після введення імені користувача dream на екран видається інформацію про присутніх в момент на маршрутизаторе пользователях.

Парольная защита.

В відповідність до наявними користувальницьким і привілейованим рівнями доступу існує два виду паролів: username password і enable secret (чи enable password). Обидва типу цих паролів може мати довжину до 25 символів, утримувати у собі різні розділові знаки і пробелы.

Пароль типу username password встановлюється з певним йому ім'ям користувача. Задається це у режимі конфігурації наступній командою (користувач cook з паролем queen):

Router (config)#username cook password queen.

При виведення конфігурації (з допомогою команди show running-config) на екрані побачимо таку информацию:

username cook password 0 queen.

З цього рядка бачимо, що пароль перебуває у «відкритому вигляді «, тип «0 «означає «незашифрований пароль ». Якщо уважно подивитися саме початок конфігурації, можна помітити таку строку:

no service password-encryption.

Це сервіс шифрування видимої частини пароля. За умовчанням він відключений. Знову ж правильним вважається (задля забезпечення безпеки — від найпростішого підглядання) включати цей сервис.

Router (config)#service password-encryption.

Тоді рядок конфігурації про ім'я і пароль користувача матиме трохи інший вид, де вже не бачимо текст пароля вочевидь (тип «7 «- зашифрований пароль):

username cook password 7 03154E0E0301.

Для входу в privileg EXEC level (привілейований рівень) користувач повинен запровадити пароль. При вимкненому сервісі шифрування пароля відповідний рядок в конфігурації матиме вид:

enable password queen.

При включеному ж сервісі шифрования:

enable password 7 071E34494B07.

Слід зазначити, що це метод шифрування пароля досить тривіальний, існують скрипти, які з секунду декодируют його знову на нормально читане стан. Тож з важливих елементів безпеки є річ, з одного боку дуже далека від телекомунікацій, і маршрутизаторів — порядок у власному робоче місце. Щоб були легко доступними папірці з записами пароля у вигляді, і навіть роздруківок конфігурацій роутеров, навіть пароль і буде зашифрован.

Краща можливість є для шифрування пароля до привілейованому рівню — використання не enable password, а enable secret, у якому для кодування пароля застосовується алгоритм MD5 (тип «5 »):

Router (config)#enable secret queen.

Рядок конфигурации:

enable secret 5 $ 1 $EuWt$SxHM5UPH3AIL8U9tq9a2E0.

Перевага такого шифрування пароля у цьому, що його кодування виробляється навіть за від'єднаному сервісі шифрування (забули ввімкнути чи було невідомо про такий сервіс). Скриптов з розшифровування таких паролів я — не зустрічав, та їх існування цілком вероятно.

Ограничение доступу до маршрутизатору.

Управлять маршрутизаторами можна удаленно через telnet чи локально через консольний порт чи порт AUX. Звідси випливає два виду обмеження доступу до маршрутизатору: локальне і удаленное.

Доступ до маршрутизатору щодо його конфигурирования і моніторингу може здійснюватися 6 способами:

з термінала, комп’ютера адміністратора (COM-порт), чи термінального серверу через консольний порт маршрутизатора.

з термінала, комп’ютера адміністратора (COM-порт), чи термінального серверу шляхом додзвону на модем, під'єднаний на порт AUX.

через Telnet.

у вигляді Unix-команды rsh.

за протоколом SNMP (community з правом записи — RW).

через WWW-интерфейс (вмонтований в маршрутизатор HTTP-сервер) Терминальным сервером називається хост, має кілька послідовних асинхронних портів стандарту RS-232 (COM-порты), яких підключаються консольні кабелі маршрутизаторів. Оскільки звичайний комп’ютер має 2 COMпорту, то тут для організації многопортового термінального серверу з урахуванням ПК потрібно установка карти розширення з додатковими COM-портами (наприклад, RocketPort). З обрудования Cisco як термінальних серверів зазвичай використовуються маршрутизатори Cisco 2509 (8 асинхронних інтерфейсів) і 2511 (16 асинхронних інтерфейсів); у своїй режим маршрутизації зазвичай відключається (no ip routing).

З метою безпеки всі можливі способи доступу, крім консольного, слід за можливості обмежити, а краще — повністю відключити. За умовчанням rsh і SNMP відключено, а доступ по Telnet, навпаки, дозволено, причому без пароля. Статус HTTP-сервера залежить від версії IOS і моделі оборудования.

Консольний доступ сам собою фізично обмежений підключенням консольного кабелю до терминальному серверу. Якщо адміністратор отримує доступом до терминальному серверу удаленно, то встає завдання захищеного доступу на термінальний сервер. Найбільш правильний спосіб організації віддаленого доступу до терминальному серверу — протокол SSH.

Локальне обмеження доступу до маршрутизатору.

По-перше, необхідно спеціальне приміщення зі обмеженням доступу для персоналу, у якому перебувало устаткування. Це рекомендується для здобуття права чужий у відсутності фізичний доступом до маршрутизатору, т.к. під час роботи з маршрутизатором через консольний порт чи порт AUX ми працюємо в EXEC сесії без пароля лише на рівні звичайного користувача. І на отримання доступу до привілейованому режиму чужий може скористатися найпростішим методом відновлення паролів — перезавантаження маршрутизатора, вхід в режим ROM-монитора, зміна значення регістру конфігурації, знову перезавантаження маршрутизатора й елементарний вхід в привілейований режим це без будь-якого пароля (взагалі-то, це стандартний метод відновлення забутого пароля для доступу в privileg EXEC mode, але ось можна використовувати й у геть протилежною цели).

Якщо фізичний доступом до маршрутизатору може бути досить обмежений, необхідно встановити пароль працювати в EXEC режимі по консольному порту і порту AUX. Взагалі, це краще робити завжди, коли маршрутизатор перебуває у закритому приміщенні під десятьма замками (а ви упевнені у своїх колег?). Робиться досить існує мінімум два оптимальних варіанта: зовсім заборонити вхід в привілейований режим чи дозволити вхід із нормальною авторизацією через пароль.

Приклад конфігурації, у якій для консольного порту дозволено вхід через пароль з часом роботи з порту протягом 1,5 хвилин, а порту AUX заборонено вхід EXEC режим:

aaa new-model.

aaa authentication login default local.

line con 0.

exec-timeout 1 30.

line aux.

no exec.

У цьому конфігурації при під'єднанні до консольному порту ми відразу потрапимо в user EXEC режим як зазвичай, лише після введення користувальницького імені Ілліча та пароля. Хочу помітити, що у параметрах команди exec-timeout час поставив у хвилинах і секундах (через прогалину), але захочемо вказати 0 хвилин і 0 секунд (exec-timeout 0 0), це значить, що не можна потрапити даний порт. А навпаки — користувач перебуватиме у EXEC режимі як довго. Це потрібно обов’язково враховувати адміністраторам при конфігурації маршрутизатора. Найстрашніше мінімальне час — 1 секунда (exec-timeout 0 1).

Удаленное обмеження доступу до маршрутизатору.

Зазвичай рекомендується зовсім забороняти віддалений доступом до маршрутизатору по telnet або ж жорстко обмежувати його. Досягти цього можна завдяки застосуванню списків доступа.

1. Повне заборона доступу по telnet до маршрутизатору.

access-list 1 deny any.

line vty 0 4.

access-class 1 in.

2. Доступ до маршрутизатору по telnet дозволено тільки з певного хоста (створимо розширений список доступу і застосуємо його до інтерфейсу Ethernet 0/0).

access-list 101 permit tcp host 140.11.12.73 host 140.11.12.236 eq telnet.

interface Ethernet0/0.

ip address 140.11.12.236 255.255.255.0.

ip access-group 101 in.

Слід зазначити, що у списку доступу у структурі «від когось — кому «в ролі «кому «прописаний IP адресу інтерфейсу Ethernet 0/0. Однак ж, що при даної конфігурації через Ethernet 0/0 більше ніхто не потрапить, отсекаемый неявним оператором deny any. Тому слід буде доповнити список доступу необхідними «дозволами » .

Якщо потрібно конфіґурувати маршрутизатор з віддаленого хоста і термінальний сервер при маршрутизаторе відсутня (наприклад, одиночний маршрутизатор у видаленому філії), то замість Telnet варто використовувати SSH. IPSEC Feature set ОС Cisco IOS підтримує роботу SSH-сервера безпосередньо на маршрутизаторе. IPSEC Feature set має високу вартість, вимагає досить зачительных ресурсів процесора і пам’яті і реалізують щодо слабкий алгоритм (DES з 40-битным ключем). Підтримка сильного алгоритму (Triple DES з 256-битным ключем) пов’язані з подоланням експортних обмежень США. Відповідно до вищезазначеного, організовувати адміністративний доступом до маршрутизатору з допомогою IPSEC Feature set слід лише за неможливості підключення термінального серверу (або якщо IPSEC Feature set вже в організацію VPN).

При доступі до маршрутизатору через WWW-интерфейс аутентификация користувача HTTP-сервером проходить за ненадійної технології. Відключення HTTP-сервера:

router (config)# no ip http server.

Протокол SNMP (по крайнього заходу, версій 1 і 2) взагалі надає адекватних коштів забезпечення безпеки, тому вирішувати запис через SNMP категорично категорично не рекомендується. Читання слід вирішити лише адміністративної станції - цього потрібно сформувати відповідний список доступу і зазначити їх у команді активізації SNMP-агента:

router (config)#snmp-server community public RO номер_списка_доступа.

Заключение

.

Захист паролем, обмеження локального доступу, шифровані паролі, розширені списки доступу, облік і запис подій не маршрутизаторах забезпечують захисту від несанкціонованих спроб доступу і протоколюють інформацію про такі спробах, усе це можна реалізувати засобами CISCO IOS.

Список використаних источников.

internet.

internet.

internet.

internet.