1.5 Чек-лист №1
Первая глава книги подошла к концу и хотелось бы резюмировать вышесказанное. Для этого запишем ключевые мысли предыдущих параграфов в виде чек-листа:
Показаны сообщения с ярлыком ПБС. Показать все сообщения
Показаны сообщения с ярлыком ПБС. Показать все сообщения
воскресенье, 12 февраля 2017 г.
среда, 1 февраля 2017 г.
17. Практическая безопасность сетей
Как было сказано ранее, в сети Интернет можно найти целые словари наиболее часто используемых паролей. Данная база обновляется каждый год и публикуется так называемый ТОП. Делается это с целью показать, насколько часто и насколько “плохие” пароли мы используем. Ниже представлены 25 самых популярных паролей 2015 года:
123456
password
12345678
qwerty
12345
123456789
football
1234
1234567
baseball
welcome
1234567890
abc123
111111
1qaz2wsx
dragon
master
monkey
letmein
login
princess
qwertyuiop
solo
passw0rd
starwars
понедельник, 30 января 2017 г.
16. Практическая безопасность сетей
Мы уже частично затронули эту тему в предыдущих главах, теперь мы рассмотрим данный вопрос более детально. В современном мире, практически любой человек понимает важность пароля, а точнее важность его секретности. Используете ли вы соц. сети, электронную почту или онлайн банкинг, везде необходим секретный пароль. Тоже самое касается и корпоративных сетей. Пароль должен исключать возможность несанкционированного доступа к сетевому оборудованию. Это касается как доступа из внешней сети (Интернет), так и из внутренней.
понедельник, 23 января 2017 г.
15. Практическая безопасность сетей
Теперь рассмотрим процесс настройки сетевого оборудования для использования функций ААА. Данную тему нельзя назвать простой, поэтому я настоятельно рекомендую потренироваться на лабораторном макете, прежде чем начинать настройку реального оборудования. Может получиться, что вы просто потеряете доступ.
среда, 18 января 2017 г.
14. Практическая безопасность сетей
Прежде чем перейти к описанию настроек сетевого оборудования будет весьма полезно рассмотреть настройки ААА-сервера. Хоть данная тема и выходит за рамки нашей книги, я все же опишу основные моменты. В качестве примера мы будем рассматривать протокол TACACS+, поскольку он гораздо интереснее в плане безопасности, т.к. позволяет авторизовать каждую команду.
понедельник, 16 января 2017 г.
13. Практическая безопасность сетей
RADIUS (Remote Authentication in Dial-In User Service) - открытый AAA-протокол. Рассмотрим ключевые характеристики данного протокола:
четверг, 12 января 2017 г.
12. Практическая безопасность сетей
Как уже было сказано выше, AAA-сервер позволяет централизованно хранить все учетные записи пользователей. Это отличная альтернатива локальной базе на самих устройствах. Какие же преимущества несет в себе AAA-сервер:
воскресенье, 8 января 2017 г.
11. Практическая безопасность сетей
Кроме упомянутых выше методов (выбор сложного пароля, нестандартной учетной записи и списков доступа) есть еще один способ, который позволит защититься от попытки взломать ваше устройство. Это так называемая защита от Brute Force (т.е. от перебора паролей).
понедельник, 19 декабря 2016 г.
10. Практическая безопасность сетей
1.2.5 Ограничение доступа
В 90% организаций, где мне приходилось работать, к сетевому оборудованию был разрешен удаленный доступ абсолютно с любого компьютера. Только подумайте, насколько повышается риск несанкционированного доступа к коммутатору или маршрутизатору, если доступ возможен не с одного - двух компьютеров, а с тысячи? Для повышения безопасности, логичным выходом является ограничение доступа к оборудованию. Есть два основных способа:
пятница, 16 декабря 2016 г.
9. Практическая безопасность сетей
Кроме Telnet и SSH, коммутаторы и маршрутизаторы Cisco поддерживают еще один вариант управления - через веб-интерфейс. Могут использоваться такие протоколы, как HTTP и HTTPS. Пример веб-интерфейса представлен на картинке ниже.
Многие сетевые инженеры даже не знают о такой возможности по причине довольно удобной командной строки Cisco.
вторник, 13 декабря 2016 г.
8. Практическая безопасность сетей
Telnet. Этот протокол доступен практически на любом сетевом оборудовании и почти всегда используется по умолчанию. Имеет ярко выраженный недостаток - все данные передаются в открытом виде. Давайте рассмотрим простейший пример (вы можете его с легкостью повторить в GNS3 или UNetLab). Имеется следующая схема:
Предположим, что хакер получил доступ к коммутатору SW1. Либо он мог поставить свой коммутатор в разрыв существующей линии. Настроил зеркалирование трафика (SPAN порт) на свой компьютер, где в свою очередь запущен Wireshark - софт для анализа трафика. Администратор ни о чем не подозревает и инициирует удаленное telnet соединение с роутером R2. Вводит имя, пароль, просматривает конфигурацию. В это время на компьютере злоумышленника видно весь проходящий трафик, в том числе TELNET:
Если воспользоваться встроенной функцией Wireshark, а именно Analyze->Follow->TCP Stream, то можно получить следующую картину:
Как видно из картинки, злоумышленник теперь знает и логин, и пароль, и даже всю конфигурацию устройства. Сказывается отсутствие шифрования Telnet - сессии.
Не используйте Telnet в качестве протокола удаленного подключения.
1.2.3 SSH
Очевидное решение проблемы Telnet - шифрование данных. Для этой цели был создан протокол SSH (Secure Shell - “Безопасная оболочка”) - сетевой протокол прикладного уровня, предназначенный для удаленного управления. SSH является практически стандартом для удаленного администрирования и поддерживается большинством операционных систем. Протокол создает виртуальный шифрованный канал между двух устройств. При этом одно устройство выступает в качестве SSH сервера (например маршрутизатор или коммутатора), а другое - в качестве SSH клиента (например наш компьютер). Все данные внутри канала шифруются, в том числе login и password. Вообще говоря, SSH может использоваться не только для удаленного управления, но и для безопасной передачи любых данных, будь-то звук, видео и т.д.
Следует отметить, что существует две версии протокола, это SSHv1 и SSHv2. Как можно догадаться, предпочтительнее использовать именно SSHv2, он более безопасен. Эта безопасность достигается за счет использования более криптостойких алгоритмов шифрования 3DES или AES. При этом следует учитывать, что некоторое оборудование по умолчанию не поддерживает данные алгоритмы, а значит возможно использовать только SSHv1. Эта проблема решается банальным обновлением прошивки. Как правило это прошивка в названии которой присутствуют символы “k9”.
Вернемся к описанному ранее примеру:
Предположим, что теперь администратор использует SSH для подключения к маршрутизатору R2. Он подключается с помощью Putty (либо SecureCRT, это не важно), вводит пароль, просматривает конфигурацию. Злоумышленник, как и в первом примере, видит весь трафик и использует Wireshark для анализа пакетов. Если посмотреть “дамп” трафика, то можно увидеть следующее:
Можно заметить, что используется протокол SSHv2 и все пакеты в зашифрованном виде - Encrypted. Если снова воспользоваться утилитой Analyze->Follow->TCP Stream, то мы увидим следующее:
В данном случае мы уже не можем увидеть ни пароль, ни конфигурацию, что делает нецелесообразным “прослушку” управляющего трафика.
Используйте защищенные протоколы удаленного подключения (например SSHv2).
Давайте теперь вкратце рассмотрим процесс настройки SSH подключений, тем более что это довольно простой процесс. Большую часть настроек мы уже выполнили в предыдущих этапах. На всякий случай напомню, что у вас уже должен быть задан пароль для enable и создан хотя бы один username. Затем настроена аутентификация либо с помощью aaa new-model (aaa authentication login default local) либо login local, для настройки SSH нет никакой разницы, т.к. в данном случае мы всего лишь выбираем протокол. Вот так выглядит процесс настройки:
R2(config)#ip domain-name netskills.ru /имя домена используется для генерации ключей
R2(config)#crypto key generate rsa modulus 1024 /генерируем пару ключей, где длина ключа - 1024
Длина ключа может варьироваться от 360 до 2048. После ввода команды маршрутизатор сообщит об успешной генерации ключей и о том, что был включен SSH:
The name for the keys will be: R1.netskills.ru
% The key modulus size is 1024 bits
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
*Mar 1 00:01:54.243: %SSH-5-ENABLED: SSH 1.99 has been enabled
Теперь укажем, что нужно использовать SSH версии 2:
R2(config)#ip ssh version 2
Воспользуемся дополнительными настройками:
R2(config)#ip ssh time-out 15 /Ограничиваем время ввода логина/пароля
R2(config)#ip ssh logging events /Логируем все попытки входа
И последнее, что нам нужно сделать, это указать SSH в качестве протокола удаленного доступа:
R2(config)#line vty 0 4
R2(config-line)#transport input ssh
Обратите внимание, что если в конфигурации устройства присутствуют две группы (vty 0 4 и vty 5 15), то команду transport input ssh нужно указать дважды.
По завершении настройки обязательно проверьте возможность подключения по Telnet, доступ должен быть запрещен.
вторник, 6 декабря 2016 г.
7. Практическая безопасность сетей
1.2 Удаленный доступ
Просто поразительно насколько халатно относятся к удаленному доступу большинство системных администраторов. Защита удаленного доступа к оборудованию - один из самых важных пунктов в любой политике безопасности. Данный параграф будет посвящен основным аспектам настройки удаленного доступа
четверг, 1 декабря 2016 г.
6. Практическая безопасность сетей
1.1.5 Сброс пароля
Последний параграф из секции “Физический доступ” касается возможности сброса пароля на устройстве. Казалось бы, вход в консоль устройства запаролен и можно не волноваться даже если злоумышленник получил физический доступ к оборудованию. Однако это ложное чувство безопасности. Все еще остается одна лазейка. Подключившись к устройству по консоли довольно просто установить новый пароль, даже не зная текущего. Вообще говоря, данная тема выходит за рамки книги, но мы обязаны рассмотреть сам процесс сброса, чтобы понять, насколько это просто сделать. Для примера рассмотрим алгоритм сброса пароля на коммутаторе:
понедельник, 28 ноября 2016 г.
5. Практическая безопасность сетей
1.1.4 Подключение по консоли
Пароль на привилегированный режим задан, учетные записи созданы, пора обсудить настройку подключения. Начнем мы с консоли. Как было сказано ранее, недостаточно задавать пароль только на привилегированный режим. Несанкционированный доступ к пользовательскому режиму также очень опасен. Поэтому мы настроим вход в консоль устройства по учетной записи, т.е. по логину и паролю. Чаще всего в интернете можно встретить следующую инструкцию:
понедельник, 21 ноября 2016 г.
4. Практическая безопасность сетей
Мы разобрались каким образом задавать пароль на вход в привилегированный режим. Но этого недостаточно. Нам также необходимо защитить и пользовательский режим, как это было описано выше. Для этого требуется настройка аутентификации по учетной записи. В этом случае при входе на устройство (даже с консоли) необходимо ввести логин (login) и пароль. Пример:
четверг, 17 ноября 2016 г.
3. Практическая безопасность сетей
Установка пароля на привилегированный режим, это первое с чего начинается настройка оборудования Cisco. Возможно многие читатели подумают, что я пишу об очевидных вещах. Однако, даже в этом простом шаге есть свои нюансы.
Большинство руководств в сети Интернет описывает процесс установки пароля с помощью команд:
понедельник, 14 ноября 2016 г.
2. Практическая безопасность сетей
Ограничить доступ к сетевому оборудованию, как физически, так и удаленно. Это первое с чего вы должны начать. Просто поразительно сколько неприятностей происходит в корпоративных сетях только из-за неограниченного доступа к оборудованию.
среда, 9 ноября 2016 г.
1. Практическая безопасность сетей
Введение
Информационная безопасность (ИБ). Это очень емкое понятие, которое трактуется по-разному. Но почти всегда эту фразу ассоциируют с чем-то сложным, непонятным и даже раздражающим. Некоторые пользователи вообще ненавидят эту самую безопасность, особенно когда им неожиданно закрыли доступ к любимому сайту или ограничили права на файловом хранилище. Большинство воспринимают ИБ как нечто мифическое, пока сами не столкнутся с неприятностями. А учитывая последние тенденции компьютеризации всего и вся, возможностей у злоумышленников становится все больше, в то время как мы становимся все более и более уязвимыми.
Многие часто используют понятие “сетевая безопасность” как синоним “информационной безопасности”. Это в корне не верно. Под сетевой безопасностью мы будем подразумевать защиту нашей ИТ - инфраструктуры от злоумышленников (как внешних так и внутренних), а также защиту от случайных ошибок персонала. Да, опасность исходит не только от хакеров. Наш собственный пользователь представляет не меньшую опасность, сам того не подозревая.
Мы начнем с базовых вещей, которые можно сделать “здесь и сейчас”, без серьезного переделывания сети. Уделим внимание типичным ошибкам администраторов сети. Узнаем об основных угрозах для сети и каким образом от них защититься. Рассмотрим лучшие практики по настройке оборудования.
К концу книги мы рассмотрим более сложные вещи. Научимся производить простейший аудит сети. Узнаем каким образом разграничивать доступ к корпоративным ресурсам и попробуем разработать свою первую матрицу доступа.
В итоге мы получим некий “чек-лист”, на который следует ориентироваться при построении безопасной сети.
Миф безопасности
Прежде чем продолжишь повествование, я должен сделать небольшое лирическое отступление.
Если вас захотят взломать, вы не сможете этому противостоять. Чтобы вы не делали.
Возможно данный тезис не очень мотивирует к дальнейшему чтению, но нужно правильно понимать смысл этого утверждения. Ни одна система защиты не даст 100% гарантию. Пока вы дочитали до этой строки уже появилось несколько новых (ранее неизвестных) уязвимостей, которые уже кто-то использует с весьма корыстными целями. Обеспечение информационной безопасности похоже на гонку вооружений, вот только хакер всегда на шаг впереди. Всегда будут первые жертвы, после которых появляются описания данных брешей, выходят всевозможные патчи и обновления для средств защиты. Периодически взламываются такие серьезные структуры как ФБР, Пентагон, ФСБ, Kaspersky, где бюджеты ИБ исчисляются миллиардами, а в службе безопасности работают лучшие из лучших. Но даже они не могут защититься от таргетированных (целенаправленных) атак, когда высококлассный хакер кропотливо пытается подобрать ключик к самой современной системе защиты. Как бы дико не звучало, но даже полностью изолированные сети (отключенные от Интернета) подвержены успешным атакам. Современные вирусы способны внедряться в закрытые сети через флеш-носители сотрудников, собирать нужную информацию и терпеливо ждать, когда они смогут выбраться через те же флешки.
Но зачем тогда защищаться, если все так плохо? Но все плохо только на первый взгляд. Процент таких таргетированных атак ничтожно мал, по сравнению с атаками “на дурака”. Подавляющее большинство вторжений в сеть происходит с применением простейших и давно известных приемов. Для воспроизведения таких атак не требуется быть хакером - экспертом. Достаточно скачать специализированные дистрибутивы (например Kali Linux) и воспользоваться уже готовыми программами для взлома. Не нужно глубокое понимание работы стэка TCP/IP, не нужно уметь программировать, не нужно разбираться в современных средствах защиты. Просто скачать дистрибутив, нажать пару кнопок и готово. Можно даже скачать готовый вирус/троян и закинуть его по почте. Наблюдается интересная статистика, в праздничные дни возрастает кол-во атак. Как вы думаете, почему? Из-за студентов и школьников на каникулах, которые пробуют свои силы в хакинге с помощью популярных и весьма доступных утилит.
Кроме того, как было сказано выше, угрозу представляют не только внешние “враги”, но и внутренние пользователи. Неосторожные действия могут привести к весьма длительному простою сети, либо открыть окно для внешнего злоумышленника. Поэтому не стоит пенять на отсутствие средств защиты, забывая о грамотной настройке основного сетевого оборудования. Даже на уровне коммутаторов и маршрутизаторов вы сможете отсечь подавляющее большинство опасностей для вашей сети.
вторник, 8 ноября 2016 г.
0. Практическая безопасность сетей
Ну вот и пришло время для новой книги, которая все еще пишется в свободное от работы время. Пишется она уже месяца два-три и еще очень много работы. Дабы готовые материалы "не залеживались на полках", буду потихоньку публиковать их в блоге. Возможно это смотивирует меня к более продуктивной работе. Публикации будут пару раз в неделю.
