понедельник, 21 ноября 2016 г.

4. Практическая безопасность сетей



1.1.3 Создание пользователей

Мы разобрались каким образом задавать пароль на вход в привилегированный режим. Но этого недостаточно. Нам также необходимо защитить и пользовательский режим, как это было описано выше. Для этого требуется настройка аутентификации по учетной записи. В этом случае при входе на устройство (даже с консоли) необходимо ввести логин (login) и пароль. Пример:

User Access Verification
Username: admin
Password:
Switch>

Для настройки учетных записей существует два основных способа:
1) Использование локальной базы пользователей. В этом случае учетные записи создаются непосредственно на устройстве и хранятся в его памяти.

2) Использование AAA-серверов. Все учетные записи хранятся на выделенном сервере. При этом нет необходимости создавать пользователей на сетевом оборудовании.

Я категорически не рекомендую использовать первый способ. Он менее безопасен, менее гибок и требует значительного внимания со стороны администратора. Использование локальной базы затрудняет соблюдение парольной политики (о которой мы поговорим чуть позже). Только представьте, что у вас около 30 сетевых устройств. И в компании три администратора с разными правами. Вам придется зайти на каждое устройство и вручную “вбить” учетные записи. Когда придет время менять пароли (а их нужно менять!), то данную процедуру придется повторить. Поэтому я настоятельно рекомендую использовать AAA-сервера (о них мы поговорим в следующей главе).

Но и не стоит забывать об адекватности применяемых решений. Как правило AAA-сервер рекомендуется если у вас больше 10 устройств. Если в вашей сети всего 3 - 5 устройств, то установка AAA-сервера будет выглядеть немного странно. Поэтому мы рассмотрим некоторые аспекты использования локальной базы пользователей.

Удивительно сколько внимания уделяется сложности паролей, но при этом все забывают про еще один параметр учетной записи - имя пользователя. 
НИКОГДА не используйте стандартные учетные записи. Придумывайте уникальные имена пользователей.
Пример типичных учетных записей: admin, adm, administrator, root, cisco, user, usr и т.д. При брутфорсе почти всегда идет подбор паролей к стандартным именам. Задав уникальное имя учетной записи вы снижаете риск несанкционированного доступа во множество раз. Даже если вы будете использовать стандартный пароль вроде “cisco” или “1234” (хоть я это и не рекомендую), но имя учетной записи будет нестандартным, то злоумышленник не сможет получить доступ методом перебора паролей.

Теперь рассмотрим сам процесс создания учетных записей на устройствах Cisco. Как правило рекомендуют использовать команду:

Switch(config)#username admin privilege 15 password cisco

Никогда так не делайте. Мы уже знаем, что нельзя использовать стандартную учетную запись admin. Для задания пароля здесь используется password, недостатки которого мы уже обсудили ранее. Используйте secret. Про пароль комментарии излишни. В этой команде есть еще один параметр, на который обычно не обращают внимания - privilege. Это уровень доступа. По умолчанию в Cisco IOS существует три уровня:

1) Уровень привилегий 0 (privilege 0). Это самый низкий уровень из которого доступны всего несколько команд: disable, enable, exit, help и logout. Используется редко.

2) Уровень привилегий 1 (privilege 1). Соответствует пользовательскому режиму (т.е. в качестве приглашения в командной строке switch>). Команды из привилегированного режима недоступны.

3) Уровень привилегий 15 (privilege 15). Привилегированный режим, где доступны все команды (приглашение в командной строке switch#).

Уровни 2-14 по умолчанию не используются, но команды, относящиеся к уровню 15, могут быть перенесены на один из этих уровней, также как и команды с уровня 1. Данная модель используется для разграничения пользователей в правах в зависимости от их роли. К примеру, администратору Интернет-провайдерской сети нужен доступ ко всем командам, поэтому ему понадобится наивысший уровень привилегий, т.е. 15. Специалистам тех. поддержки из первой линии возможно нужны только команды диагностики (вроде ping или show mac-address-table), без доступа к командам конфигурации . В таком случае подходит обычный пользовательский режим - уровень 1. Остальные уровни (2-14) можно использовать для создания кастомных (индивидуальных) профилей со строго определенным перечнем команд. Пример:

Switch(config)#username worker privilege 2 secret cisco /создаем пользователя
Switch(config)#privilege exec level 2 show running-config /определяем доступные команды
Switch(config)#privilege exec level 2 ping

Если зайти в систему под пользователем worker, то вам будет доступно всего две команды: show running-config и ping.
Не создавайте учетные записи с уровнем привилегий 15. Пароль учетной записи и пароль на enable должны быть разными!
Гораздо разумнее будет создавать пользователей с уровнем 1, тогда при входе на устройство вы будете попадать в пользовательский режим (switch>). Для перехода в привилегированный режим (switch#) будет необходимо дополнительно ввести команду enable и пароль. Это позволяет повысить уровень защищенности (злоумышленнику придется угадывать два пароля вместо одного). Таким образом создавая пользователя должна использоваться команда подобная примеру:

Switch(config)#username krok privilege 1 secret пароль

Здесь мы используем нестандартное имя учетной записи и пониженный уровень привилегий. Вопрос выбора паролей будет описан чуть позже.

При использовании AAA сервера учетные записи не хранятся на оборудовании, в этом случае можно присваивать уровень 15 (об этом мы поговорим чуть позже).

0 коммент.:

Отправить комментарий

Блог развивается при поддержке

Блог развивается при поддержке
Защищаем настоящие ценности клиента

Translate

Популярные сообщения

Blog Archive

Технологии Blogger.

Google+ Followers