Следуя аксиомам безопасности, мы будем считать, что любой узел сети является потенциальной целью.
Поэтому было бы неплохо узнать, какие потенциальные уязвимости есть у этих узлов.
Рассмотрим маршрутизатор Cisco. Сразу возникнут возражения: их много, поддерживаемые сервисы разные, да и вообще сложно свалить CRS-1 и древнюю 1600 в одну кучу.
Однако я не ставлю перед собой задачу охватить все, а опишу некоторые общие вещи.
Итак, первое, что нужно запомнить, это то, что по умолчанию маршрутизатор не блокирует никакой нормальный трафик на интерфейсе (кадры с неверной контрольной суммой не учитываются).
Однако при более глубоком рассмотрении (процессором) часть пакетов маршрутизатор все же признает ненужными, например: 1. Пакеты с TTL =0 или меньше.
2. Пакеты, которые неизвестно куда отправлять (сеть назначения пакета отсутствует в таблице маршрутизации и нет явного правила пересылки пакетов (PBR)) 3. Пакеты, относящиеся к служебным протоколам (например, протоколам маршрутизации), которые не работают на маршрутизаторе.
Эти уничтоженные пакеты могут сыграть злую шутку: если такого трафика будет много, он может существенно загрузить процессор маршрутизатора.
Далее, помимо транзитного трафика, маршрутизатор обрабатывает некоторый служебный трафик (направленный на себя).
Часто по умолчанию (или по незнанию) маршрутизатор запускает ненужные для работы протоколы.
Они опасны тем, что маршрутизатор обрабатывает пакеты этого протокола.
А можно провести, например, DoS-атаку, узнать удаленно информацию, не предназначенную для распространения, или изучить топологию сети.
Такие протоколы включают 1. TFTP (маршрутизатор может выступать в роли TFTP-сервера).
2. BOOTP (может распространять свои конфигурационные файлы на бездисковые станции) 3. DHCP (маршрутизатор может выступать в роли сервера и клиента) 4. Малые TCP-серверы (TCP Echo, Finger и т. д.) 5. Малые UDP-серверы (UDP Echo, Discard и т. д.) 6. CDP (протокол обнаружения Cisco) 7. NTP (Протокол сетевого времени.
Маршрутизатор может выступать в роли сервера и клиента) 8. DNS (широковещательный поиск DNS-серверов в сегменте включен по умолчанию) 9.PAD (накопитель/разборщик пакетов) 10. SNMP (часто настраиваются сообщества по умолчанию) Как правило, если эти протоколы не нужны, их лучше отключить.
1. нет tftp-сервера 2. нет IP-загрузочного сервера (старая команда нет сервисной загрузки ) 3. нет пула IP DHCP (нет службы DHCP) 4. нет службы tcp-small-servers 5. нет службы udp-small-servers 6. нет запуска cdp (Глобальный), нет включения cdp (на определенном интерфейсе).
Не следует отключать этот протокол, если к интерфейсу подключен ip-телефон Cisco, т.к.
именно этот протокол автоматически определяет подключенное устройство (данная рекомендация более характерна для свитчей, но все же) 7. нет ntp-мастера, нет ntp-сервера 8. нет поиска домена по IP .
Помните, что на роутере часто нужен DNS, поэтому не всегда нужно его отключать.
9. нет сервисной панели 10. нет сообщества snmp-сервера {public|private} Однако даже если вы отключите эти и другие служебные протоколы (например, http, https, ssh), пакеты этих протоколов, поступающие на интерфейс роутера, попадут в мозг и только там будут отброшены.
Те.
Даже выключив все, можно попробовать загрузить процессор роутера выбросом мусора.
Хотелось бы научиться отбрасывать такие пакеты не нагружая мозг.
Также часто возникает задача по ограничению нагрузки на процессор служебным трафиком.
Например, указав максимальное количество служебных пакетов (всего или по отдельным протоколам) в очереди или количество служебных пакетов в секунду.
Эти задачи решаются с помощью специального режима.
хост плоскости управления Чтобы воспользоваться этой технологией, вы можете создавать специальные классы трафика.
тип карты классов? контроль доступа конкретная карта классов управления доступом контроль Настройка карты классов политики управления осмотреть Настройка карты классов CBAC Ведение журнала Карта классов для регистрации пакетов на уровне управления.
порт-фильтр Карта классов для фильтра портов порог очереди Карта классов для порога очереди куча карта классов для спецификации стека заголовков протокола Создайте специальную политику (тип Policy-map) тип карты политики? контроль доступа карта политик контроля доступа контроль Настройте карту политики управления политикой осмотреть Настройка карты политик CBAC Ведение журнала Регистрация пакетов на уровне управления порт-фильтр Фильтрация портов TCP/UDP на уровне управления порог очереди Ограничение очереди протокола плоскости управления И примените его в таком режиме: хост плоскости управления тип политики обслуживания? Ведение журнала Регистрация пакетов на уровне управления порт-фильтр Фильтрация портов TCP/UDP на уровне управления порог очереди Ограничение очереди протокола плоскости управления Ограничение нагрузки на мозг пакетами услуг организовано аналогично, только для этого достаточно описать обычный класс трафика, штатную политику, где в качестве действия указать ограничение словом Police ставка полиции [единицы] пп.
Давайте посмотрим на примеры: 1. Ограничить количество пакетов Telnet от всех сетей, кроме хоста 10.1.1.100, до 100 пакетов в секунду.
Для этого напишем список доступа расширенный список доступа ip TELNET запретить TCP-хост 10.1.1.100 любой eq 23 разрешить TCP любой любой уравнение 23 Далее создадим класс трафика карта классов TELNET соответствие группы доступа TELNET Опишем политику политика-карта TELNET класс ТЕЛНЕТ ставка полиции 100 чел.
в секунду И поместите политику в плоскость управления хост плоскости управления ввод политики обслуживания TELNET 2. Блокировать пакеты, направляемые на порты приложений, не используемые маршрутизатором.
Давайте создадим специальный класс трафика тип карты классов порт-фильтр PORTS соответствие закрытым портам Опишем специальную политику тип политики-карты фильтр портов PORTS класс ПОРТЫ уронить И поместите политику в плоскость управления хост плоскости управления входной фильтр порта-фильтра типа службы-политики ПОРТЫ Для защиты Management-plane, т.е.
при управлении своим роутером, необходимо помнить следующие моменты: 1. По возможности следует использовать безопасные протоколы управления: ssh, https. Для этого необходимо разработать пару ключей RSA, указать правила аутентификации и включить поддержку https (ip http secure-server) 2. Даже при использовании защищенных протоколов управления, и особенно при невозможности их использования, необходимо ограничить административный доступ снаружи и изнутри с помощью списков доступа, применяемых на интерфейсах, терминальных линиях (line vty) или в хосте плоскости управления.
режим 3. Целесообразно использовать сложные пароли длиной не менее 8 символов, содержащие цифры, буквы разного регистра и символы.
А чтобы какой-нибудь молодой администратор роутера не нарушил это правило создания паролей, есть команда минимальная длина паролей безопасности [длина] 4. Лучше иметь в конфиге хешированные пароли.
Тогда не будет возможности подсмотреть пароль.
Для этого используйте не слово «пароль», а слово «секрет».
Примеры: имя пользователя, секрет администратора {пароль} включить секретный {пароль} 5. Не забудьте про порт AUX. Это практически та же консоль, и любой, у кого есть доступ к оборудованию, сможет подключиться через AUX к командной строке.
Если пароля на AUX нет, то подключившийся сможет попасть как минимум в непривилегированный режим.
6. Многие маршрутизаторы имеют функцию защиты паролем.
Вы можете заблокировать пользователя после N неправильно введенных паролей, а можете вставить задержку после нескольких попыток.
Пример: частота неудачных попыток аутентификации безопасности [попытки] [журнал] После N неверных паролей (по умолчанию 10) будет вставлена 15-секундная задержка.
Слово log позволяет регистрировать такие события.
7. Помните, что при использовании протокола SNMP желательно использовать версию 3 протокола с аутентификацией и шифрованием.
При использовании более ранних, практически незащищенных версий, убедитесь, что сообщества по умолчанию отключены.
8. В сетях с большим количеством устройств имеет смысл выделить так называемую сеть для управления (OOB, Out-of-Band Management).
Это отдельный сегмент сети, не имеющий пересечений с сетью передачи данных.
До недавнего времени роутер можно было поместить в OOB только через консольный сервер, но в новой IOS можно административно определить интерфейс, из которого можно настроить роутер и только из него.
Все это делается в одном и том же режиме хоста плоскости управления путем явного указания интерфейса и разрешенных протоколов.
Пример: хост плоскости управления Интерфейс управления f0/0 позволяет использовать ssh snmp Защита протоколов маршрутизации Защита протоколов динамической маршрутизации также является очень важной темой, потому что.
Если злоумышленнику удастся повредить таблицу маршрутизации, необходимые пакеты будут просто уничтожены или пойдут не туда.
Поэтому я настоятельно рекомендую использовать аутентификацию обновления при работе с протоколами динамической маршрутизации, желательно по сумме MD5 (хешу).
Эту технологию поддерживают практически все протоколы: BGP, OSPF, RIPv2, EIGRP. Некоторые протоколы также поддерживают аутентификацию открытым текстом (просто по ключу), но поскольку.
ключ передается в самом пакете обновления; такой механизм сложно назвать безопасным.
Чтобы настроить аутентификацию MD5, вам обычно необходимо: 1. Описать один и тот же ключ на всех роутерах, работающих по одному и тому же протоколу (или на определенном интерфейсе, в определенной зоне) 2. Настройте метод защиты (без защиты, открытый текст, MD5) 3. Включите механизм Пример: протокол OSPF Ro(config-if)# дайджест сообщения аутентификации ip ospf Ro(config-if)# ip ospf message-digest-key 1234 md5 Cisco Где 1234 — номер ключа, а от слова «cisco» будет рассчитываться хеш md5. Теги: #cisco #cisco #маршрутизатор #защита #рекомендации
