Безпечний маршрут: 10 кроків до захищеного маршрутизатора

Відео: Minecraft Приколи | # 2 | 10 кроків до успіху в майнкрафт

ОТКРОЙТЕ БУДЬ ПОСІБНИК З СЕТЕВОЙ БЕЗПЕКИ. У БІЛЬШОСТІ ВИПАДКІВ ОСНОВНИЙ УВАГА ПРИДІЛЯЄТЬСЯ ЗАХИСТУ брандмауер, АЛЕ ПРАКТИЧНО НІЧОГО НЕ СКАЗАНО ПРО ЗАХИСТ маршрутизатор. А АДЖЕ ПОРУШЕННЯ РОБОТИ САМЕ ЦЬОГО ПРИСТРОЮ може паралізувати роботу ВСІЄЇ МЕРЕЖІ.

Сучасні маршрутизатори не схожі на своїх попередників. У них додалося велику кількість нових функцій: організація фільтрації пакетів, організація VPN-шлюзів і т.д. По суті, сучасний маршрутизатор - це спеціальний комп`ютер, керований власною операційною системою ( «вбудовані» ОС чимось нагадують UNIX).

Налаштування маршрутизаторів БУДЕМО РОЗГЛЯДАТИ НА ПРИКЛАДІ керування маршрутизатором СЕРЕДНЬОГО КЛАСУ.

1. Установка пароля
Будь-керований маршрутизатор дозволяє встановити пароль для доступу до консолі управління. За замовчуванням пароль або взагалі відсутня, або ж використовується стандартний пароль, який стандартно і зламуються. Зловмиснику досить знати модель вашого маршрутизатора, а пароль можна знайти в Інтернеті, після чого доступ до маршрутизатора буде гарантований. Тому варто встановити свій пароль. При цьому пароль не повинен містити особистих даних, а також загальнодоступних даних компанії. Деякі маршрутизатори дозволяють встановити пароль довжиною до 80 символів! Але не варто користуватися цією можливістю, оскільки такий пароль ви ніколи не запам`ятаєте, де-небудь збережіть і, теоретично, його можна буде знайти.

2. Обмеження доступу по мережі
Отримати доступ до консолі керованого маршрутизатора можна локально (підключившись до AUX) або ж по мережі. Зазвичай використовується протокол Тelnet або SSH. У разі мережевого доступу потрібно обмежити вузли, з яких дозволений доступ до консолі управління маршрутизатором (всі керовані маршрутизатори дозволяють зробити це). Якщо є вибір між Тelnet і SSH, то краще вибрати SSH, оскільки Тelnet передає інформацію по мережі у відкритому вигляді (в тому числі і паролі).

3. Тільки локальний доступ
Напевно, самий надійний спосіб обмеження доступу - це заборона мережевого доступу. В цьому випадку доступ до консолі маршрутизатора можливий тільки локально - за допомогою AUX. Тобто зловмисникові, щоб змінити параметри маршрутизатора, доведеться фізично підійти до маршрутизатора і підключитися до AUX, що, природно, не можливо. Якщо ж маршрутизатор розміщений у віддаленій частині приміщення, доцільно встановити приховану відеокамеру для контролю доступу до маршрутизатора.

4. Захист SNMP
SNMP (Simple Network Management Protocol) - протокол управління мережею, який дуже часто використовується для управління маршрутизаторами. З міркувань безпеки краще взагалі відключити SNMP. Але якщо SNMP вам потрібен, переконайтеся, що використовується більш захищена третя версія (SNMPv3), так як в ранніх версіях (SNMPv1, SNMPv2) авторизація та захист даних не передбачені.

Якщо SNMP потрібен, необхідно прийняти мінімальні заходи щодо забезпечення безпеки:

• Придумайте важко підбирається ім`я community;
MIB (Management Information Base) повинна працювати в режимі "тільки читання»;
Обмежте SNMP-доступ декількома вузлами (бажано взагалі одним - вашим).

Відео: 10 КРОКІВ ДО ІДЕАЛЬНОЮ ШКІРІ || Мій Догляд За Обличчям мій ранок + dfgh

5. Ведення журналів
Напевно у вашій компанії знайдеться хоча б одна машина під управлінням UNIX (Linux). Так ось, в складі UNIX є демон протоколювання Syslogd, який можна налаштувати для протоколювання подій маршрутизатора. Протоколювати потрібно в повному обсязі події, а тільки ті, які зачіпають мережеву безпеку, наприклад, спроби невдалої авторизації по ACL (списками доступу).

Для більш надійного протоколювання рекомендується запустити Syslogd на декількох UNIX-машинах і налаштувати їх на протоколювання подій одного маршрутизатора. Це пов`язано з тим, що Syslogd використовує протокол UDP (а не TCP), який не гарантує доставку пакетів (якщо один чорт не запротоколює, то у другого точно все вийде).

Також бажано використовувати протокол NTP (Network Time Protocol) для синхронізації часу, що допомагає при аналізі протоколів.

6. Відключення непотрібних сервісів
Вимкніть всі сервіси, які ви не використовуєте (наприклад, finger, BOOTP, ARP Proxy). Кожен такий сервіс може стати «дірою» в системі безпеки вашого маршрутизатора.

7. Обмеження ICMP
Деякі DoS-атаки використовують даний протокол в якості основного інструменту вторгнення, тому бажано обмежити використання ICMP, дозволивши тільки пакети певних типів. В першу чергу, потрібно обмежити пакти PMTU (Path MTU discovery) і пакети з повідомленням «packet-too-big». Що робити з іншими типами ICMP-повідомлень, залежить від вашої політики безпеки.

8. Відключення потенційно небезпечних опцій
До потенційно небезпечних опцій відносяться IP source route і IP unreachables. За допомогою першої зловмисник може визначити шлях, по якому буде передаватися пакет. Після цього він може послати пакет source routed на «вузол-жертву», який знаходиться за маршрутизатором, в результаті чого зміниться маршрутизація атакується мережі.

За допомогою другої (IP unreachables), якщо пакет відкинутий відповідно до списку доступу (ACL), зловмисник отримає ICMP-пакет (тип 3, код 13), на підставі чого зможе зробити висновок, що маршрутизатор захищена за допомогою ACL, а це небажано . Чим менше інформації про вашому маршрутизаторі є у зловмисника, тим менше ймовірність злому. Тому опцію IP unreachables радимо відключити.
Для відключення опцій IP source route і IP unreachables на маршрутизаторах Cisco потрібно ввести IOS-команди:

Відео: 10 КРОКІВ ДО ПОДОЛАННЯ СТРЕСУ 📌 by NinaMind

9. Анти-spoofing і захист від DoS-атак
IP-spoofing - це неавторизований доступ до комп`ютера (сервера) шляхом підробки IP-адреси. Наприклад, ви дозволили доступ до свого маршрутизатора вузлу з певною адресою, а зловмисник може підробити цю адресу. Для захисту слід використовувати анти-спуфинг, основна ідея якого полягає в тому, щоб ніхто з зовнішньої мережі не мав прав відправляти пакети, що містять в поле адреси джерела якийсь адресу з вашої підмережі. Для фільтрації таких пакетів потрібно використовувати списки доступу, а також бажано зафіксувати спробу підробки IP-адреси в журналі.

Широко поширені дві DoS-атаки. Перша називається SYN flood: зловмисник відправляє на відкритий порт багато SYN-пакетів з недосяжним адресою джерела. Атакується маршрутизатор повинен відповісти пакетом, але вузол, зазначений в якості джерела, недоступний. Тому триступенева схема встановлення TCP-з`єднання не закінчується. З огляду на, що таких SYN-пакетів дуже багато, ліміт на кількість відкритих з`єднань швидко перевищується, і жертва відмовляється приймати запити на встановлення з`єднання від звичайних користувачів мережі. Друга атака називається Land і полягає в тому, що зловмисник посилає пакет з однаковими портами і IP-адресами джерела і одержувача. Такі пакети викликають виключення в багатьох маршрутизаторах. Більш докладно про зіщіте від DoS-атак читай у відповідній статті цього номера.

10. Відключення CDP (Cisco Discovery Protocol)
Цей протокол, що працює на всьому обладнанні Cisco, використовується для управління мережами. Він дозволяє оповістити інші пристрої Cisco про присутність в мережі ще одного пристрою тієї ж компанії. Іншими словами, пристрої Cisco за допомогою цього протоколу знаходять один одного. Використовуючи CDP, можна отримати інформацію про пристрій, його конфігурації, низькорівневих протоколах, а також інформацію про сусідніх машрутізаторах. Пам`ятайте основний принцип захисту будь-якої інформаційної системи: мінімум інформації. Чим більше інформації про свою мережі ви надасте зловмисникові, тим швидше він її зламає. Тому CDP потрібно відключити. Для цього використовується наступна IOS-команда: