понедельник, 5 декабря 2016 г.

5. Корпоративная сеть на MikroTik. Firewall

Очередной урок по MikroTik. На этот раз мы рассмотрим основы работы со списками доступа (Access List), т.е. функционал Firewall.
Видео урок:

Автор курса - Конев Сергей.

<--4 урок 6 урок-->

четверг, 1 декабря 2016 г.

6. Практическая безопасность сетей

1.1.5 Сброс пароля
Последний параграф из секции “Физический доступ” касается возможности сброса пароля на устройстве. Казалось бы, вход в консоль устройства запаролен и можно не волноваться даже если злоумышленник получил физический доступ к оборудованию. Однако это ложное чувство безопасности. Все еще остается одна лазейка. Подключившись к устройству по консоли довольно просто установить новый пароль, даже не зная текущего. Вообще говоря, данная тема выходит за рамки книги, но мы обязаны рассмотреть сам процесс сброса, чтобы понять, насколько это просто сделать. Для примера рассмотрим алгоритм сброса пароля на коммутаторе:

1) Подключаемся по консоли к устройству (Мы рассмотрим пример с коммутатором. Для маршрутизатора процесс немного отличается, но идея та же.).
2) Вытаскиваем шнур питания коммутатора.
3) На лицевой панели коммутатора зажимаем кнопку mode.
4) Вставляем шнур питания не отпуская кнопку mode.
5) Не отпускаем кнопку mode до тех пор, пока индикатор над портом 1, не будет гореть, как минимум 2 секунды.
6) Вводим в консоли устройства команду flash_init.
7) Затем команду load_helper.
8) Переименуем текущую конфигурацию командой rename flash:config.text flash:config.old. Таким образом, при загрузке коммутатор не увидит файл с конфигурацией и запустится с заводскими настройками.
9) Загружаемся командой boot.
10) Входим в привилегированный режим командой enable. Вход будет без пароля.
11) Вернем название файла конфигурации: rename flash:config.old flash:config.text.
12) Теперь копируем первоначальную конфигурацию в текущую: copy startup-config running-config.
13) Мы оказались в привилегированном режим с первоначальными конфигурациями. Для смены пароля необходимо войти в режим глобальной конфигурации: conf t.
14) Теперь мы можем делать с конфигурацией все, что угодно. Сменить пароль на enable, создать своего пользователя, настроить удаленное подключение и т.д.
15) Сохраняем конфигурацию: copy running-config startup-config.

Как видим, получить полный контроль над коммутатором или маршрутизатором не составляет особого труда. При этом администратор сети может ничего не узнать, т.к. мы сохранили первоначальную конфигурацию и это не скажется на работе сети (за исключением времени, когда происходила перезагрузка коммутатора).
Чтобы избежать данной ситуации есть два варианта:

1) Ограничить физический доступ, как было сказано ранее. Сетевое оборудование должно быть либо в серверном помещении либо в специальном телекоммуникационном ящике с замком. К сожалению это не всегда возможно, особенно для коммутаторов уровня доступа, когда подключаются обычные пользователи.

2) Запретить возможность сброса пароля. Делается это на программном уровне используя команду no service password-recovery. Данная команда поддерживается в относительно новых прошивках. После ее применения уже не получится сбросить пароль с помощью описанной выше процедуры. Злоумышленник все еще сможет сбросить устройство в заводские настройки, но он не сможет получить доступ к текущей конфигурации. Однако подумайте несколько раз, прежде чем использовать эту функцию. Возможна ситуация, когда вы сами захотите сбросить пароль на устройстве (по причине его утери), но сделать это вы уже не сможете. Лично я рекомендую использовать данную функцию только на коммутаторах уровня доступа, находящихся вне серверной комнаты.
Запретите сброс пароля (no service password-recovery) на коммутаторах уровня доступа к которым возможен физический доступ.

среда, 30 ноября 2016 г.

4. Корпоративная сеть на MikroTik. VPN

Очередной урок по MikroTik. На этот раз мы рассмотрим особенности настройки Site-to-Site VPN и Remote Access VPN.
Видео урок:

понедельник, 28 ноября 2016 г.

5. Практическая безопасность сетей

1.1.4 Подключение по консоли

Пароль на привилегированный режим задан, учетные записи созданы, пора обсудить настройку подключения. Начнем мы с консоли. Как было сказано ранее, недостаточно задавать пароль только на привилегированный режим. Несанкционированный доступ к пользовательскому режиму также очень опасен. Поэтому мы настроим вход в консоль устройства по учетной записи, т.е. по логину и паролю. Чаще всего в интернете можно встретить следующую инструкцию:

Router#conf t /вход в привилегированный режим
Router(config)#line console 0 /вход в настройки консоли
Router(config-line)#login local /указываем использование локальной базы пользователей

После этого при попытке входа в консоль устройства будет запрошен логин и пароль. Однако это довольно старый способ и в любой современной литературе используют новый метод, который так и называется new-model. Настройка производится следующим образом:

Router(config)#aaa new-model /указываем что будем использовать метод new-model
Router(config)#aaa authentication login default local /создаем method list

На этом настройка заканчивается. Если попробовать подключиться по консоли, то получим следующее:

User Access Verification

Username: admin
Password:
Router>

Теперь разберемся с использованными командами: 

1) aaa new-model включает функцию ААА (Authentication Authorization and Accounting) - систему аутентификации, авторизации и учета событий. Данная функция встроена в большинство версий IOS, однако по умолчанию она отключена. Преимущество aaa new-model в гибкости настройки аутентификации (в отличие от login local). 

2) aaa authentication login свидетельствует о настройке аутентификации. При этом создается так называемый метод аутентификации (method list).

3) default - имя метода аутентификации. Для метода аутентификации всегда указывается имя (list-name). Это может быть либо default (как в нашем примере), либо другое конкретное имя. Таким образом, на разные типы линий (aux, vty, con...) можно назначить разные методы аутентификации, в зависимости от политики безопасности.

4) local указывает на использование локальной базы пользователей.

В нашем примере используется method list под названием default, а это значит, что применяемые настройки касаются всех доступных линий на устройстве. Таким образом мы одновременно настроили аутентификацию для консоли (console) и для удаленных подключений (vty).

Используя aaa new-model (вместо login local) в дальнейшем вы сможете более плавно перейти к использованию AAA-серверов, т.к. там используется именно этот метод. В главе AAA мы более подробно рассмотрим создание методов аутентификации.
Для настройки аутентификации используйте aaa new-model.
Как ни странно, все еще встречаются прошивки, которые не поддерживают AAA. В этом случае ничего не остается, как использовать метод login local (либо обновить прошивку).

воскресенье, 27 ноября 2016 г.

3. Корпоративная сеть на MikroTik. Базовая настройка

В данном уроке мы рассмотрим базовую настройку MikroTik, а именно:
- настройка DHCP
- настройка маршрутизации
- настройка NAT
- настройка "проброса" портов (Static NAT)
Видео урок:

Автор курса - Конев Сергей

среда, 23 ноября 2016 г.

2. Корпоративная сеть на MikroTik. Установка

Второй урок посвящен установке MikroTik в Virtualbox с последующим использованием в GNS3. Также рассмотрен процесс подключения к устройству с помощью WinBox и Webfig.
Для урока был использован iso образ, который можно скачать по данной ссылке. Однако (как заметил зритель видео блога - Дмитрий Чернышёв), можно использовать образ Cloud Hosted Router, который имеет ограничения только по пропускной способности и не лимитирован временем использования.
Видео урок:

Автор курса - Конев Сергей.

понедельник, 21 ноября 2016 г.

4. Практическая безопасность сетей

1.1.3 Создание пользователей

Мы разобрались каким образом задавать пароль на вход в привилегированный режим. Но этого недостаточно. Нам также необходимо защитить и пользовательский режим, как это было описано выше. Для этого требуется настройка аутентификации по учетной записи. В этом случае при входе на устройство (даже с консоли) необходимо ввести логин (login) и пароль. Пример:

User Access Verification
Username: admin
Password:
Switch>

Для настройки учетных записей существует два основных способа:
1) Использование локальной базы пользователей. В этом случае учетные записи создаются непосредственно на устройстве и хранятся в его памяти.

2) Использование AAA-серверов. Все учетные записи хранятся на выделенном сервере. При этом нет необходимости создавать пользователей на сетевом оборудовании.

Я категорически не рекомендую использовать первый способ. Он менее безопасен, менее гибок и требует значительного внимания со стороны администратора. Использование локальной базы затрудняет соблюдение парольной политики (о которой мы поговорим чуть позже). Только представьте, что у вас около 30 сетевых устройств. И в компании три администратора с разными правами. Вам придется зайти на каждое устройство и вручную “вбить” учетные записи. Когда придет время менять пароли (а их нужно менять!), то данную процедуру придется повторить. Поэтому я настоятельно рекомендую использовать AAA-сервера (о них мы поговорим в следующей главе).

Но и не стоит забывать об адекватности применяемых решений. Как правило AAA-сервер рекомендуется если у вас больше 10 устройств. Если в вашей сети всего 3 - 5 устройств, то установка AAA-сервера будет выглядеть немного странно. Поэтому мы рассмотрим некоторые аспекты использования локальной базы пользователей.

Удивительно сколько внимания уделяется сложности паролей, но при этом все забывают про еще один параметр учетной записи - имя пользователя. 
НИКОГДА не используйте стандартные учетные записи. Придумывайте уникальные имена пользователей.
Пример типичных учетных записей: admin, adm, administrator, root, cisco, user, usr и т.д. При брутфорсе почти всегда идет подбор паролей к стандартным именам. Задав уникальное имя учетной записи вы снижаете риск несанкционированного доступа во множество раз. Даже если вы будете использовать стандартный пароль вроде “cisco” или “1234” (хоть я это и не рекомендую), но имя учетной записи будет нестандартным, то злоумышленник не сможет получить доступ методом перебора паролей.

Теперь рассмотрим сам процесс создания учетных записей на устройствах Cisco. Как правило рекомендуют использовать команду:

Switch(config)#username admin privilege 15 password cisco

Никогда так не делайте. Мы уже знаем, что нельзя использовать стандартную учетную запись admin. Для задания пароля здесь используется password, недостатки которого мы уже обсудили ранее. Используйте secret. Про пароль комментарии излишни. В этой команде есть еще один параметр, на который обычно не обращают внимания - privilege. Это уровень доступа. По умолчанию в Cisco IOS существует три уровня:

1) Уровень привилегий 0 (privilege 0). Это самый низкий уровень из которого доступны всего несколько команд: disable, enable, exit, help и logout. Используется редко.

2) Уровень привилегий 1 (privilege 1). Соответствует пользовательскому режиму (т.е. в качестве приглашения в командной строке switch>). Команды из привилегированного режима недоступны.

3) Уровень привилегий 15 (privilege 15). Привилегированный режим, где доступны все команды (приглашение в командной строке switch#).

Уровни 2-14 по умолчанию не используются, но команды, относящиеся к уровню 15, могут быть перенесены на один из этих уровней, также как и команды с уровня 1. Данная модель используется для разграничения пользователей в правах в зависимости от их роли. К примеру, администратору Интернет-провайдерской сети нужен доступ ко всем командам, поэтому ему понадобится наивысший уровень привилегий, т.е. 15. Специалистам тех. поддержки из первой линии возможно нужны только команды диагностики (вроде ping или show mac-address-table), без доступа к командам конфигурации . В таком случае подходит обычный пользовательский режим - уровень 1. Остальные уровни (2-14) можно использовать для создания кастомных (индивидуальных) профилей со строго определенным перечнем команд. Пример:

Switch(config)#username worker privilege 2 secret cisco /создаем пользователя
Switch(config)#privilege exec level 2 show running-config /определяем доступные команды
Switch(config)#privilege exec level 2 ping

Если зайти в систему под пользователем worker, то вам будет доступно всего две команды: show running-config и ping.
Не создавайте учетные записи с уровнем привилегий 15. Пароль учетной записи и пароль на enable должны быть разными!
Гораздо разумнее будет создавать пользователей с уровнем 1, тогда при входе на устройство вы будете попадать в пользовательский режим (switch>). Для перехода в привилегированный режим (switch#) будет необходимо дополнительно ввести команду enable и пароль. Это позволяет повысить уровень защищенности (злоумышленнику придется угадывать два пароля вместо одного). Таким образом создавая пользователя должна использоваться команда подобная примеру:

Switch(config)#username krok privilege 1 secret пароль

Здесь мы используем нестандартное имя учетной записи и пониженный уровень привилегий. Вопрос выбора паролей будет описан чуть позже.

При использовании AAA сервера учетные записи не хранятся на оборудовании, в этом случае можно присваивать уровень 15 (об этом мы поговорим чуть позже).

1. Корпоративная сеть на MikroTik. Введение

Добро пожаловать на новый курс от NetSkills. На этот раз мы рассмотрим построение корпоративной сети на основе оборудования MikroTik.
Автор курса - Конев Сергей.

Блог развивается при поддержке

Блог развивается при поддержке
Защищаем настоящие ценности клиента

Translate

Популярные сообщения

Технологии Blogger.

Google+ Followers