понедельник, 14 ноября 2016 г.

2. Практическая безопасность сетей


1. Доступ к оборудованию

Ограничить доступ к сетевому оборудованию, как физически, так и удаленно. Это первое с чего вы должны начать. Просто поразительно сколько неприятностей происходит в корпоративных сетях только из-за неограниченного доступа к оборудованию.

1.1 Физический доступ

Абсолютно в каждой компании найдется сотрудник, который считает себя намного умнее системного администратора. И когда ему кажется, что в сети возникли какие-то проблемы (или же ему захотелось поменять местами пару проводов) он уверенно идет к коммутатору и делает все, что душе угодно (вплоть до перезагрузки оборудования). В результате в сети возникают “петли”, либо просто путаница с подключениями. Данный инцидент можно смело причислять к “вторжениям”. Это прямая опасность для вашей сети. 
В идеале все сетевое оборудование должно находится в серверной комнате, которая закрывается на ключ и доступ туда имеет лишь ограниченный круг лиц. Но мы живем не в идеальном мире и очень часто коммутаторы оказываются либо в коридоре помещения, либо вовсе в кабинете под столом. Отличным решением в данном случае будет установка специализированных телекоммуникационных шкафов. Наиболее удобны небольшие настенные шкафы имеющие замок:
Естественно, установленный замок не поможет от целенаправленной попытки добраться до сетевого оборудования. Но мы и не ставим такой цели. Данный шкаф это скорее “защита от дурака”. Вряд ли офисный сотрудник начнет ломать замок желая переключить пару проводов. Именно это нам и нужно. В случае невозможности установки подобного шкафа, постарайтесь убрать сетевое оборудование в максимально недоступное место: под потолок, на высокий шкаф и т.д.
Если же ваше сетевое оборудование находится в неконтролируемой зоне (общие коридоры, лестничные пролеты), то телекоммуникационный шкаф с надежным замком является обязательным условием. Данная мера позволит существенно снизить риск физического доступа злоумышленника к вашей сети. Иными словами - хакер не сможет подключиться патч-кордом к вашему коммутатору. Плюс это может спасти вас от вандалов, которые также представляют угрозу для информационной безопасности.
Тоже самое можно сказать про витую пару. Все провода должны проходить в труднодоступных местах, чтобы снизить вероятность злонамеренного внедрения.
Ограничьте физический доступ к вашему сетевому оборудованию, а так же кабельной системе. Это снизит риски как случайных, так и целенаправленных вторжений.

1.1.1 Вход в систему

Для входа в саму операционную систему Cisco IOS есть два способа: через консольный порт и удаленно (протоколы telnet, ssh, https). Прежде чем рассмотреть вопрос удаленного доступа необходимо описать некоторые моменты, касающиеся входа через консоль и в Cisco IOS в целом.
Возможно шкаф с замком не остановил злоумышленника и он получил прямой физический доступ к коммутатору. Первое что он попытается сделать - подключиться по консоли. Именно поэтому очень важно принять меры по защите консольного подключения.
Наверняка большинство читателей уже немного знакомы с Cisco IOS, но я все же расскажу несколько базовых вещей. Из соображений безопасности в Cisco IOS существует два режима доступа к командной строке:

1) Пользовательский режим (User EXEC Mode). Если вы зашли на коммутатор или маршрутизатор и видите приглашение вроде “Switch>”, т.е. строка оканчивающаяся на знак “>”, то вы именно в пользовательском режиме. Из данного режима невозможно производить настройку оборудования или просмотреть текущую конфигурацию. 

2) Привилегированный режим (Privileged EXEC Mode). В данном режиме приглашение выглядит следующим образом - “Switch#”, т.е. заканчивается на знак “#”. Для входа в данный режим необходимо ввести команду enable. Из данного режима можно производить настройку оборудования и просматривать конфигурацию.

Многие почему-то пренебрегают защитой пользовательского режима и оставляют вход по консоли совершенно открытым, ограничиваясь лишь паролем на привилегированный режим (т.е. пароль на enable). Казалось бы, из User mode злоумышленник не сможет поправить или просмотреть конфигурацию. Но это безопасно только на первый взгляд. Получив доступ к оборудованию, из пользовательского режима возможно собрать большое количество информации о сети в целом. Приведем простой пример. Пусть наша сеть выглядит следующим образом:
Предположим что злоумышленник подключился по консоли к коммутатору Switch1. Вход в привилегированный режим закрыт паролем. Для просмотра доступных команд ему достаточно набрать знак “?”:

Switch>?
Exec commands:
connect Open a terminal connection
disable Turn off privileged commands
disconnect Disconnect an existing network connection
enable Turn on privileged commands
exit Exit from the EXEC
logout Exit from the EXEC
ping Send echo messages
resume Resume an active network connection
show Show running system information
telnet Open a telnet connection
terminal Set terminal line parameters
traceroute Trace route to destination

Как видим довольно большой список. По умолчанию на всех устройствах Cisco включен протокол CDP. Это проприетарный протокол компании Cisco позволяющий обнаруживать подключенное напрямую сетевое оборудование (опять же компании Cisco). Какую же информацию можно получить набрав команду show cdp neighbors detail?

Switch>show cdp neighbors detail
Device ID: Switch
Entry address(es):
IP address : 192.168.1.3
Platform: cisco 2960, Capabilities: Switch
Interface: FastEthernet0/1, Port ID (outgoing port): FastEthernet0/1
Holdtime: 136
Version :
Cisco IOS Software, C2960 Software (C2960-LANBASE-M), Version 12.2(25)FX, RELEASE SOFTWARE (fc1)
Copyright (c) 1986-2005 by Cisco Systems, Inc.
Compiled Wed 12-Oct-05 22:05 by pt_team
advertisement version: 2
Duplex: full
---------------------------
Device ID: Switch
Entry address(es):
IP address : 192.168.1.4
Platform: cisco 2960, Capabilities: Switch
Interface: FastEthernet0/2, Port ID (outgoing port): FastEthernet0/1
Holdtime: 161
Version :
Cisco IOS Software, C2960 Software (C2960-LANBASE-M), Version 12.2(25)FX, RELEASE SOFTWARE (fc1)
Copyright (c) 1986-2005 by Cisco Systems, Inc.
Compiled Wed 12-Oct-05 22:05 by pt_team
advertisement version: 2
Duplex: full
---------------------------
Device ID: Router
Entry address(es):
IP address : 192.168.1.254
Platform: cisco C1900, Capabilities: Router
Interface: FastEthernet0/3, Port ID (outgoing port): GigabitEthernet0/0
Holdtime: 139
Version :
Cisco IOS Software, C1900 Software (C1900-UNIVERSALK9-M), Version 15.1(4)M4, RELEASE SOFTWARE (fc2)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2012 by Cisco Systems, Inc.
Compiled Thurs 5-Jan-12 15:41 by pt_team
advertisement version: 2
Duplex: full

Теперь злоумышленник знает практически все о нашей сети: ip адреса, модели устройств и даже версии их прошивки. Сведения о прошивке позволяют использовать известные уязвимости. Ситуация усугубляется тем, что далеко не все администраторы следят за выходом новых прошивок, в которых закрываются эти известные уязвимости. Кроме того, ему доступны такие команды как ping, traceroute, telnet, show vlan, show arp и т.д. В итоге он получает идеальную площадку для сбора информации и дальнейшей атаки, пытаясь проникнуть на другие устройства (telnet).
Закрывайте доступ к консольному порту даже для пользовательского режима.

3 комментария:

  1. Читаю с удовольствием. Благодарю за информацию. Жду продолжения.

    ОтветитьУдалить
  2. будут ли продолжение выпусков UnetLAB?

    ОтветитьУдалить
    Ответы
    1. Как только авторы определятся с дальнейшей жизнью проекта.

      Удалить

Блог развивается при поддержке

Блог развивается при поддержке
Защищаем настоящие ценности клиента

Translate

Популярные сообщения

Blog Archive

Технологии Blogger.

Google+ Followers