четверг, 12 января 2017 г.

12. Практическая безопасность сетей

1.3 AAA

Как уже было сказано выше, AAA-сервер позволяет централизованно хранить все учетные записи пользователей. Это отличная альтернатива локальной базе на самих устройствах. Какие же преимущества несет в себе AAA-сервер:

воскресенье, 8 января 2017 г.

11. Практическая безопасность сетей

1.2.7 Защита от Brute Force

Кроме упомянутых выше методов (выбор сложного пароля, нестандартной учетной записи и списков доступа) есть еще один способ, который позволит защититься от попытки взломать ваше устройство. Это так называемая защита от Brute Force (т.е. от перебора паролей).

пятница, 30 декабря 2016 г.

Итоги года 2016. С Наступающим!

Ну вот и подошел к концу очередной год. Я всегда люблю подводить итоги после каждой задачи/проекта/мероприятия и т.д. Поэтому попробую сформулировать некоторые вещи относительно 2016 года...
Не знаю как для Вас, а для меня это был очень сложный и очень насыщенный год. Возможно один из самых трудных в моей жизни. Рождение ребенка, смена работы, переезд в другой город, вливание в новый коллектив и т.д. Однако, оглядываясь назад, могу сказать, что это был самый интересный год в моей жизни и я бы хотел, чтобы следующие года были как минимум такие же. Новые амбициозные проекты, новые вызовы для меня, как специалиста.
Не могу сказать, что выполнил все свои планы на 2016 год. Нет, многое я не успел и на многое забил. Так случается. Не смог закончить новую книгу, не смог записать новый курс, не смог выпустить свое приложение. Но не стоит сосредотачиваться на одних неудачах и невыполненных планах. Есть много и положительных вещей. Я не буду подробно расписывать мои успехи, дабы не показаться хвастуном.

EVE/UNL2.0 - новые образы/устройства

Отличные новости с полей. Разработчики UNetLab усиленно трудятся над новым релизом, который будет уже называется EVE. Кроме значительных улучшений в плане удобства и стабильности, была анонсирована поддержка следующих образов/устройств:

вторник, 27 декабря 2016 г.

9. Корпоративная сеть на MikroTik. VLAN

Последний в этом году урок по MikroTik. В этот раз мы обсудим технологию VLAN и как с ней работать на оборудовании MikroTik.
Видео урок:

Автор курса - Конев Сергей

<--8 урок 10 урок-->

вторник, 20 декабря 2016 г.

8. Корпоративная сеть на MikroTik. Блокировка сайтов

Очередной урок по MikroTik. На этот раз мы рассмотрим варианты блокировки сайтов с помощью MikroTik. Также рассмотрим функционал L7 firewall.
Видео урок:

Автор курса - Конев Сергей

понедельник, 19 декабря 2016 г.

10. Практическая безопасность сетей


1.2.5 Ограничение доступа


В 90% организаций, где мне приходилось работать, к сетевому оборудованию был разрешен удаленный доступ абсолютно с любого компьютера. Только подумайте, насколько повышается риск несанкционированного доступа к коммутатору или маршрутизатору, если доступ возможен не с одного - двух компьютеров, а с тысячи? Для повышения безопасности, логичным выходом является ограничение доступа к оборудованию. Есть два основных способа:

1.Out-of-band (OOB) - управление сетью по выделенному каналу. В этом случае управляющий трафик изолируется от общего (пользовательского). При этом под управляющим трафиком может пониматься не только SSH или Telnet сессия, но и такой трафик как SNMP и Log (мы поговорим об этом в следующих главах). Есть два способа отделить управляющий трафик от общего:

а)Физически. Устройства, которыми необходимо управлять, объединяются в выделенную физическую сеть. Для этого на маршрутизаторах и коммутаторах, как правило, имеется специальный порт - management port (mgmt). Если такового не имеется, то можно в произвольном порядке выделить порт под эти нужды. Таким образом, управлять оборудованием сможет только тот компьютер, который физически находится в управляющей сети. Это может быть специально выделенный компьютер системного администратора. Данный способ обладает наибольшей безопасностью, но весьма редко применяется. Связано это в первую очередь со сложностью исполнения, т.к. приходится создавать отдельную сеть для всех устройств, а это либо дорого (тянуть дополнительные линии связи, устанавливать дополнительный коммутатор), либо просто невозможно (в случае большой распределенной сети).

б)Логически. В этом случае управляющий трафик отделяется от пользовательского посредством выделения в отдельный логический сегмент - VLAN. Данный способ является компромиссным решением, т.к. мы изолируем управляющий трафик без необходимости в дополнительных линиях связи. Получить удаленный доступ к оборудованию сможет только тот компьютер, которых находится в управляющем VLAN. Логическое изолирование также не применимо в случае распределенной сети, если при этом невозможно “прокинуть” управляющий VLAN до удаленного объекта.

Оба варианта требуют настройки на оборудовании IP - адреса из сети, отличной от сети пользователей.

2.In-band (IB) - управление оборудованием осуществляется по общим каналам. Данный способ используется чаще всего, либо из-за отсутствия возможности организации способа OOB, либо из-за обычной халатности системного администратора. В этом случае значительно повышается вероятность несанкционированного доступа (или попытки доступа). Для повышения уровня защищенности единственным разумным решением является применение списков доступа (Access-list). Мы поговорим о них более подробно в следующем параграфе.
Ограничьте удаленный доступ. Лишь несколько компьютеров должны иметь возможность подключения к оборудованию.
1.2.6 Списки доступа к оборудованию

Если у вас нет возможности вынести управляющий трафик в отдельный VLAN, то практически единственным средством ограничения доступа являются списки доступа - Access List. Используя их вы сможете указать с каких именно компьютеров возможно управление устройствами, т.е. подключение по Telnet, SSH или HTTPS. Тем самым вы отсечете саму возможность несанкционированного доступа с запрещенных узлов, в том числе сети Интернет (на самом деле все еще остается лазейка в виде спуфинга, о которой мы поговорим чуть позже).
Первое что необходимо сделать, это четко определить с каких компьютеров будет возможно удаленное подключение к устройствам. Как правило это компьютер системного администратора. Разумеется IP-адрес этого компьютера должен быть статическим. При этом, если вы используете в сети DHCP-сервер, следует заранее зарезервировать данный адрес, чтобы он не был случайно выдан другому пользователю.
Также я настоятельно не рекомендую настраивать удаленное подключение из сети Интернет, даже если вы используете защищенные протоколы вроде SSH. Гораздо логичнее будет организация VPN соединения, где компьютеру удаленного пользователя будет присваиваться некий зарезервированный IP-адрес и уже с этого адреса будет возможен доступ к оборудованию.

Сам процесс настройки списков доступа предельно прост. Давайте рассмотрим ограничение доступа по SSH (при этом у вас уже должны быть выполнены предыдущие настройки):

R1(config)#ip access-list standard SSH-ACCESS /создание списка доступа с понятным названием
R1(config-std-nacl)#permit host 192.168.2.2 /определяем хосты имеющие доступ по SSH
R1(config-std-nacl)#permit host 192.168.2.3 
R1(config-std-nacl)#exit
R1(config)#line vty 0 4 /заходим в режим конфигурации vty
R1(config-line)#access-class SSH-ACCESS in  /”вешаем” список доступа

Теперь доступ по SSH возможен только с двух узлов - 192.168.2.2 и 192.168.2.3. При этом если нужно указать целую сеть, то можно использовать команду permit 192.168.2.0.

Функция ip access-list (именованные списки доступа) может быть недоступна на устройствах со старой прошивкой. Тогда необходимо либо обновить прошивку, либо использовать следующий вариант настройки:

R1(config)#access-list 1 remark SSH-ACCESS
R1(config)#access-list 1 permit host 192.168.2.2
R1(config-std-nacl)#exit
R1(config)#line vty 0 4 
R1(config-line)#access-class 1 in

Если вы используете HTTPS на ваших устройствах, то ограничение доступа можно выполнить используя тот же список доступа следующим образом:

R1(config)# ip http access-class 1

пятница, 16 декабря 2016 г.

9. Практическая безопасность сетей

1.2.4 HTTP/S

Кроме Telnet и SSH, коммутаторы и маршрутизаторы Cisco поддерживают еще один вариант управления - через веб-интерфейс. Могут использоваться такие протоколы, как HTTP и HTTPS. Пример веб-интерфейса представлен на картинке ниже.
Многие сетевые инженеры даже не знают о такой возможности по причине довольно удобной командной строки Cisco.

Для реализации управления черезе веб-интерфейс на устройстве используется локальный http/https сервер. На самом деле, практически никто не использует веб-интерфейс для управления устройством. HTTP/S сервер включают только ради использования специализированных программ (с графическим интерфейсом) управления устройствами Cisco. Наиболее популярны следующие программы: 

1)CNA - Cisco Network Assistant. Программа с графическим интерфейсом которая существенно упрощает администрирование устройств Cisco (коммутаторы и маршрутизаторы) и автоматизирует выполнение рутинных задач. Программа позволяет управлять сетевой инфраструктурой, которая включает до 40 устройств.

2)SDM - Security Device Manager. Данная программа позволяет управлять маршрутизаторами Cisco. Существенно упрощает создание VPN туннелей, а также предоставляет более удобную работу со списками доступа (access-list). 

Подробное рассмотрение данных программ выходит за рамки нашей книги. Однако мы не можем не затронуть проблему безопасности, связанную с использованием HTTP/S сервера. В первую очередь стоит отметить, что именно с HTTP/S серверами связано наибольшее количество уязвимостей, позволяющих получить удаленный контроль над устройством. К тому же, большинство вендоров весьма халатно относятся к устранению этих самых уязвимостей, поскольку не считают эту задачу приоритетной. Оно и неудивительно, как я сказал ранее, мало кто пользуется данной функцией. В итоге получается, что ваше устройство может месяцами “святиться” в сети с набором известных уязвимостей. Используйте данную функцию весьма осторожно и следите за обновлением прошивок. Мы поговорим о прошивках чуть подробнее в следующих главах.
Как ни странно, но на некоторых устройствах функция HTTP включена по умолчанию, даже если вы ее не используйте. Обязательно проверьте это, либо выполните команду no ip http server в режиме глобальной конфигурации (conf t).
Если же по какой-либо причине вам все же необходимо использовать web доступ (например для CNA или SDM), то выбирайте HTTPS. Здесь можно провести аналогию и сравнить HTTP с Telnet, а HTTPS с SSH. HTTPS шифрует все данные, в то время как HTTP передает их в открытом виде, в том числе и пароли.
Давайте рассмотрим сам процесс настройки:

R1(config)#ip domain-name netskills.ru /должно быть задано доменное имя
R1(config)#ip http secure-server /включаем https сервер
R1(config)#no ip http server /убедитесь, что http сервер выключен

На этом настройка закончена. Т.к. мы ранее использовали aaa new-model и команду aaa authentication login default local, то аутентификация уже настроена и вход будет выполняться по созданным локальным учетным записям (username). Для подключению к устройству используйте браузер с запросом https://ip-address-router, либо озвученные ранее программы (CNA, SDM).
При необходимости организации web-доступа к оборудованию, используйте HTTPS вместо HTTP. Помните об огромном количестве уязвимостей, связанных с HTTP/S.

Блог развивается при поддержке

Блог развивается при поддержке
Защищаем настоящие ценности клиента

Translate

Популярные сообщения

Технологии Blogger.

Google+ Followers