работа на тему: «Организация безопасных сетей Cisco» (стр. 6 из 9)

Как показывает проведенный выше анализ, решение проблемы защиты для каж­дой компании будет своим, и даже для одной и той же компании оно может меняться со временем. Подробный анализ, планирование и использование средств типа CiscoSecure Scanner позволят реализовать подходящее решение наиболее экономич­ным и эффективным способом.

Лабороторная работа №1.

Базовая защита маршрутизатора и коммутатора.

Цели:

• Установка и шифрование паролей доступа к устройству.
• Настройка параметров доступа к консольному и терминальному порту: установка тайм-аута, установка списков доступа на консольный порт и на порт vty, настройка SSH для удаленного доступа. Создание баннеров для различных режимов устройства.
• Установка системы привелегий для всех режимов устройства. Ограничение числа попыток доступа к устройству, различные варианты блокировки доступа, в зависимости от ситуации, включение создания логов попыток доступа на устройство.

Оборудование:

Для выполнения понадобится маршрутизатор серии 1700, 2600, 2690, 3600, 3700, 7200, также понадобится rollover кабель и хост для подключения к маршрутизатору через консольный порт.

Введение:

Одной из главных целей атак нарушителей являются административные интерфейсы маршрутизатора, поэтому их необходимо защитить с помощью паролей и других средств защиты. Для улучшения безопасности используется шифрование паролей, также применятся система привелигированного доступа, с помощью привелегий можно разделить пользователей на группы. Для защиты от атак типа brute-force используется ограничение числа попыток доступа к устройству, и различные блокировки доступа. Также для мониторинга используется ведение различных логов доступа.

Задание 1. Установка и шифрование паролей доступа к устройству.

Команда enable password устанавливает пароль для привелигированного режима маршрутизатора или коммутатора, но он хранится в незашифрованном виде, лучше использовать команду enable secret password, в таком случае пароль хранится как хэш-значение MD5. Установим пароль с помощью команды enable secret password:

Router (config)# enable secret Cisc0Pr3$$

Router (config)# end

Router # show running-config

!

enable secret 5 $1$kmOB$rL419kUxmQphzVVTgO4sP1

!

Установим пароли также и для доступа к консоли, удаленного доступа и к доступа к порту aux:

Router (config)# line con 0

Router (config-line)# password 1mA$3cr3t

Router (config-line)# login

Router (config)# line aux 0

Router (config-line)# password @uxP@$$w0rd

Router (config-line)# login

Router (config)# line vty 0 4

Router (config-line)# login

Router (config-line)# password MyP@$$w0rd

Эти пароли хранятся в незашифрованном виде, поэтому применим команду service password-encryption, которая зашифрует все существующие незашифрованные пароли, а также созданные впоследствии:

Router (config)# service password-encryption

Router # show run

!

line con 0

password 7 091D43285D5614005818

login

line aux 0

password 7 06261A397C6E4D5D1247000F

login

line vty 0 4

password 7 09615739394153055B1E00

login

Нарушитель может обойти парольную защиту при помощи режима ROMMON, для предотвращения этой угрозы используем команду no service password-recovery в режиме глобальной конфигурации:

Router (config)# no service password-recovery

Задание 2. Настройка параметров доступа к консольному и терминальному порту.

Для усиления безопасности установим таймеры бездействия, они будут закрывать существующие соеденения если пользователь бездействует заданное время:

Router # conf term

Router (config)# line con 0

Router (config-line)# exec-timeout 2 30

Router (config-line)# exit

Router (config)# line aux 0

Router (config-line)# exec-timeout 2 30

Router (config-line)# exit

Router (config)# line vty 0 4

Router (config-line)# exec-timeout 2 30

Чтобы настроить сообщения при входе в систему используется команда banner, существует 4 опции, banner exec, banner incoming, banner login, banner motd, создадим сообщение,которое будет появлятся при попытке доступа к консоли или при попытке доступа к vty:

Router # conf term

Router (config)# banner exec $

Enter TEXT message. End with the character '$'.

WARNING: This router is the private property of Cisco Press.

Disconnect now if you are not an authorized user.

Violators will be prosecuted.

$

Router (config)#end

По умолчанию для удаленного доступа используется Telnet, и сообщения передаются в открытом виде, для усиления безопасности для удаленного доступа настроим SSH:

Router (config)# crypto key generate rsa general-keys modulus 1024

Router (config)# ip ssh time-out 120

Router (config)# ip ssh authentication-retries 4

Router (config)# line vty 0 4

Router (config-line)# transport input ssh

Теперь удаленный доступ можно получить используя только SSH, Telnet сессии не принимаются.

Для того чтобы была возможность подключиться к маршрутизатору или коммутатору только с заданных хостов используем списки доступа:

Router (config)#access-list 21 permit 10.1.1.4

Router (config)#line vty 0 4

Router (config-line)#access-class 21 in

Теперь подключиться к маршрутизатору или коммутатору можно только с хоста с адресом 10.1.1.4

Задание 3. Настройка привелегий, блокировки доступа, ведения логов.

Для настройки привелегий используется команда privelige level, уровни привелегий могут быть от 0 до 15, по умолчанию когда вы заходите на маршрутизатор или коммутатор у вас 0 уровень привелегий, когда заходите в enable-режим у вас становится 15 уровень привелегий, можно вручную задать команды, которые будут доступны для каждого уровня привелегий. Например создадим уровень привелегий системного администтратора, который может выполнять следующие команды show startup-config, debug ip rip, ping, для этого используем команду privelige level, но сначала создадим пользователя sysAdmin с уровнем привелегий 2:

Router (config)#username sysAdmin privilege 2 secret 0dmin

Router (config)#privelige exec level 2 show startup-config

Router (config)#privelige exec level 2 debug

Router (config)#privelige exec level 2 ping

Теперь установим пароль для пользователей уровня 2:

Router (config)#enable secret level 2 2kd042

Теперь чтобы войти на маршрутизатор с данным уровнем привелегий нужно ввести команду:

Router >enable 2

Для того чтобы работал вход по имени пользователя нужно включить сервис ААА и указать ему использовать локальную базу данных пользователей:

Router(config)#aaa new-model

Router(config)#aaa authorization exec default local none

Router(config)#line con 0

Router(config-line)#login authentication default

Router(config)#line vty 0 4

Router(config-line)#login authentication default

Для противостояния DoS атакам можно использовать команды блокироки доступа login, для того чтобы блокировать доступ используем:

Router # conf term

Router (config)# login block-for 90 attempts 5 within 10

Теперь если в течении 10 секунд произойдет 5 попыток доступа и все они будут неудачными, то произойдет отключение возможности доступа на 90 секунд, чтобы назначить адреса для которых не действует блокировка доступа используем команду:

Router (config)# login quiet-mode access-class 21

Теперь на все адреса указанные в 21 списке доступа НЕ будет дейсвовать блокировка, для установки времени между попытками доступа используем команду:

Router (config)# login delay 3

Для ведения логов попыток доступа используем команды:

Router (config)# login on failure log

Router (config)# login on-success log

Для просмотра информации о попытках доступа используем команду:

Router # show login

A login delay of 3 seconds is applied.

Quiet-Mode access list 101 is applied.

All successful login is logged.

All failed login is logged.

Router enabled to watch for login Attacks.

If more than 5 login failures occur in 10 seconds or less,

logins will be disabled for 30 seconds.

Router presently in Normal-Mode.

Current Watch Window

Time remaining: 9 seconds.

Login failures for current window: 0.

Total login failures: 0.

Router #

Чтобы указать syslog сервер на который будут сохранятся логи используем команду:

Router(config)#logging host 172.16.1.155 transport tcp port 514

Контрольные вопросы:

1. Какую команду создания пароля для привелигированного режима предпочтительнее использовать?

2. С помощью какой команды можно зашифровать все существующие и будущие пароли методом шифрования Cisco.

3. Почему следует настроить протокол SSH для удаленного доступа к маршрутизатору? С помощью какой команды?

4. Зачем используются списки доступа для удаленного доступа?

5. С помощью какой команды можно настроить привелегии для пользователей и зачем это нужно?

6. Для чего нужно ведение логов, с помощью каких команд это осуществляется?

Лабороторная работа №2.

Защита маршрутизатора с помощью доп.средств.

Цели:

• Установка и краткое описание Cisco Security Device Manager.
• Настройка защиты маршрутизатора с помощью опции auto secure.

Оборудование:

Для выполнения понадобится маршрутизатор серии 1700, 2600, 2690, 3600, 3700, 7200, также понадобится rollover кабель и хост для подключения к маршрутизатору через консольный порт, нужны файлы Cisco SDM для того, чтобы закачать их на флэш-память маршрутизатора, установленное программное обеспечение TFTP сервера на хосте, файлы Cisco SDM доступны по этой ссылке ftp://ftp.cisco.com/pub/web/sdm/.

Задание 1. Установка и краткое описание Cisco Security Device Manager.

Cisco Security Device Manager это мощное средство для настройики и конфигурирования оборудования Cisco, Cisco Security Device Manager имеет очень удобный, понятный интерфейс, доступ к устройству осуществляется с хоста через веб-браузер. Для того чтобы пользоваться Cisco Security Device Manager нужно закачать его рабочие файлы с помощью TFTP, как минимум во флэш памяти должны находиться следующие файлы:

■ sdmconfig-router_platform.cfg

■ sdm.tar

■ es.tar

■ common.tar

■ home.shtml

■ home.tar

После этого нужно настроить доступ к маршрутизатору посредством протокола HTTP или HTTPS:

Router (config)# ip http server

Router (config)# ip http secure-server

Router (config)# ip http authentication local

Для того чтобы войти на устройство нужно в строке адреса браузера адреса указать адрес активного IP интерфейса устройства. Вот так выглядит окно Cisco SDM:

Слева на панели находятся все необходимыые настройки маршрутизатора, сверху можно выбрать режим настройки или мониторинга. Выполните все задания приведенные в лабороторной работе №1 с помощью Cisco SDM.

Задание 2. Настройка защиты маршрутизатора с помощью опции auto secure.

Функция программного обеспечения Cisco IOS AutoSecure упрощает конфигурацию атрибутов безопасности на маршрутизаторах и снижает риск ошибок конфигурации. В интерактивном режиме, который подходит для опытных пользователей, пользователям выдаются подсказки по индивидуальной настройке атрибутов безопасности и сервисов на маршрутизаторах. Это обеспечивает больший контроль над функциями безопасности маршрутизаторов. Для этого используем команду: