понедельник, 19 декабря 2016 г.

10. Практическая безопасность сетей


1.2.5 Ограничение доступа

В 90% организаций, где мне приходилось работать, к сетевому оборудованию был разрешен удаленный доступ абсолютно с любого компьютера. Только подумайте, насколько повышается риск несанкционированного доступа к коммутатору или маршрутизатору, если доступ возможен не с одного - двух компьютеров, а с тысячи? Для повышения безопасности, логичным выходом является ограничение доступа к оборудованию. Есть два основных способа:

1.Out-of-band (OOB) - управление сетью по выделенному каналу. В этом случае управляющий трафик изолируется от общего (пользовательского). При этом под управляющим трафиком может пониматься не только SSH или Telnet сессия, но и такой трафик как SNMP и Log (мы поговорим об этом в следующих главах). Есть два способа отделить управляющий трафик от общего:

а)Физически. Устройства, которыми необходимо управлять, объединяются в выделенную физическую сеть. Для этого на маршрутизаторах и коммутаторах, как правило, имеется специальный порт - management port (mgmt). Если такового не имеется, то можно в произвольном порядке выделить порт под эти нужды. Таким образом, управлять оборудованием сможет только тот компьютер, который физически находится в управляющей сети. Это может быть специально выделенный компьютер системного администратора. Данный способ обладает наибольшей безопасностью, но весьма редко применяется. Связано это в первую очередь со сложностью исполнения, т.к. приходится создавать отдельную сеть для всех устройств, а это либо дорого (тянуть дополнительные линии связи, устанавливать дополнительный коммутатор), либо просто невозможно (в случае большой распределенной сети).

б)Логически. В этом случае управляющий трафик отделяется от пользовательского посредством выделения в отдельный логический сегмент - VLAN. Данный способ является компромиссным решением, т.к. мы изолируем управляющий трафик без необходимости в дополнительных линиях связи. Получить удаленный доступ к оборудованию сможет только тот компьютер, которых находится в управляющем VLAN. Логическое изолирование также не применимо в случае распределенной сети, если при этом невозможно “прокинуть” управляющий VLAN до удаленного объекта.

Оба варианта требуют настройки на оборудовании IP - адреса из сети, отличной от сети пользователей.

2.In-band (IB) - управление оборудованием осуществляется по общим каналам. Данный способ используется чаще всего, либо из-за отсутствия возможности организации способа OOB, либо из-за обычной халатности системного администратора. В этом случае значительно повышается вероятность несанкционированного доступа (или попытки доступа). Для повышения уровня защищенности единственным разумным решением является применение списков доступа (Access-list). Мы поговорим о них более подробно в следующем параграфе.
Ограничьте удаленный доступ. Лишь несколько компьютеров должны иметь возможность подключения к оборудованию.
1.2.6 Списки доступа к оборудованию

Если у вас нет возможности вынести управляющий трафик в отдельный VLAN, то практически единственным средством ограничения доступа являются списки доступа - Access List. Используя их вы сможете указать с каких именно компьютеров возможно управление устройствами, т.е. подключение по Telnet, SSH или HTTPS. Тем самым вы отсечете саму возможность несанкционированного доступа с запрещенных узлов, в том числе сети Интернет (на самом деле все еще остается лазейка в виде спуфинга, о которой мы поговорим чуть позже).
Первое что необходимо сделать, это четко определить с каких компьютеров будет возможно удаленное подключение к устройствам. Как правило это компьютер системного администратора. Разумеется IP-адрес этого компьютера должен быть статическим. При этом, если вы используете в сети DHCP-сервер, следует заранее зарезервировать данный адрес, чтобы он не был случайно выдан другому пользователю.
Также я настоятельно не рекомендую настраивать удаленное подключение из сети Интернет, даже если вы используете защищенные протоколы вроде SSH. Гораздо логичнее будет организация VPN соединения, где компьютеру удаленного пользователя будет присваиваться некий зарезервированный IP-адрес и уже с этого адреса будет возможен доступ к оборудованию.

Сам процесс настройки списков доступа предельно прост. Давайте рассмотрим ограничение доступа по SSH (при этом у вас уже должны быть выполнены предыдущие настройки):

R1(config)#ip access-list standard SSH-ACCESS /создание списка доступа с понятным названием
R1(config-std-nacl)#permit host 192.168.2.2 /определяем хосты имеющие доступ по SSH
R1(config-std-nacl)#permit host 192.168.2.3 
R1(config-std-nacl)#exit
R1(config)#line vty 0 4 /заходим в режим конфигурации vty
R1(config-line)#access-class SSH-ACCESS in  /”вешаем” список доступа

Теперь доступ по SSH возможен только с двух узлов - 192.168.2.2 и 192.168.2.3. При этом если нужно указать целую сеть, то можно использовать команду permit 192.168.2.0.

Функция ip access-list (именованные списки доступа) может быть недоступна на устройствах со старой прошивкой. Тогда необходимо либо обновить прошивку, либо использовать следующий вариант настройки:

R1(config)#access-list 1 remark SSH-ACCESS
R1(config)#access-list 1 permit host 192.168.2.2
R1(config-std-nacl)#exit
R1(config)#line vty 0 4 
R1(config-line)#access-class 1 in

Если вы используете HTTPS на ваших устройствах, то ограничение доступа можно выполнить используя тот же список доступа следующим образом:

R1(config)# ip http access-class 1

0 коммент.:

Отправить комментарий

Блог развивается при поддержке

Блог развивается при поддержке
Защищаем настоящие ценности клиента

Translate

Популярные сообщения

Blog Archive

Технологии Blogger.

Google+ Followers