пятница, 16 декабря 2016 г.

9. Практическая безопасность сетей


Кроме Telnet и SSH, коммутаторы и маршрутизаторы Cisco поддерживают еще один вариант управления - через веб-интерфейс. Могут использоваться такие протоколы, как HTTP и HTTPS. Пример веб-интерфейса представлен на картинке ниже.
Многие сетевые инженеры даже не знают о такой возможности по причине довольно удобной командной строки Cisco.

Для реализации управления черезе веб-интерфейс на устройстве используется локальный http/https сервер. На самом деле, практически никто не использует веб-интерфейс для управления устройством. HTTP/S сервер включают только ради использования специализированных программ (с графическим интерфейсом) управления устройствами Cisco. Наиболее популярны следующие программы: 

1)CNA - Cisco Network Assistant. Программа с графическим интерфейсом которая существенно упрощает администрирование устройств Cisco (коммутаторы и маршрутизаторы) и автоматизирует выполнение рутинных задач. Программа позволяет управлять сетевой инфраструктурой, которая включает до 40 устройств.

2)SDM - Security Device Manager. Данная программа позволяет управлять маршрутизаторами Cisco. Существенно упрощает создание VPN туннелей, а также предоставляет более удобную работу со списками доступа (access-list). 

Подробное рассмотрение данных программ выходит за рамки нашей книги. Однако мы не можем не затронуть проблему безопасности, связанную с использованием HTTP/S сервера. В первую очередь стоит отметить, что именно с HTTP/S серверами связано наибольшее количество уязвимостей, позволяющих получить удаленный контроль над устройством. К тому же, большинство вендоров весьма халатно относятся к устранению этих самых уязвимостей, поскольку не считают эту задачу приоритетной. Оно и неудивительно, как я сказал ранее, мало кто пользуется данной функцией. В итоге получается, что ваше устройство может месяцами “святиться” в сети с набором известных уязвимостей. Используйте данную функцию весьма осторожно и следите за обновлением прошивок. Мы поговорим о прошивках чуть подробнее в следующих главах.
Как ни странно, но на некоторых устройствах функция HTTP включена по умолчанию, даже если вы ее не используйте. Обязательно проверьте это, либо выполните команду no ip http server в режиме глобальной конфигурации (conf t).
Если же по какой-либо причине вам все же необходимо использовать web доступ (например для CNA или SDM), то выбирайте HTTPS. Здесь можно провести аналогию и сравнить HTTP с Telnet, а HTTPS с SSH. HTTPS шифрует все данные, в то время как HTTP передает их в открытом виде, в том числе и пароли.
Давайте рассмотрим сам процесс настройки:

R1(config)#ip domain-name netskills.ru /должно быть задано доменное имя
R1(config)#ip http secure-server /включаем https сервер
R1(config)#no ip http server /убедитесь, что http сервер выключен

На этом настройка закончена. Т.к. мы ранее использовали aaa new-model и команду aaa authentication login default local, то аутентификация уже настроена и вход будет выполняться по созданным локальным учетным записям (username). Для подключению к устройству используйте браузер с запросом https://ip-address-router, либо озвученные ранее программы (CNA, SDM).
При необходимости организации web-доступа к оборудованию, используйте HTTPS вместо HTTP. Помните об огромном количестве уязвимостей, связанных с HTTP/S.

0 коммент.:

Отправить комментарий

Блог развивается при поддержке

Блог развивается при поддержке
Защищаем настоящие ценности клиента

Translate

Популярные сообщения

Blog Archive

Технологии Blogger.

Google+ Followers