Обеспечение безопасности устройств Cisco
В данной статье рассмотрены решения и приемы, которые сделают оборудование Cisco более стойким к несанкционированному доступу извне, позволят сберечь терабайты информации и миллионы нервных клеток.
Совет 1 - Всегда доступ по паролю для подключения через консольный порт.
В стоковой конфигурации паролей не установлено, потому через консоль к нему может подключится кто угодно и внести какие угодно изменения. Для того, чтобы назначить свой пароль, введем следующие команды:
Switch(config)#line console 0
Switch(config-line)#login
Switch(config-line)#password 123
Первой командой мы начинаем конфигурирование оборудования. Второй командой мы выставляем настройку – требовать аутентификации клиента при подключении через консольный порт. Третей командой мы задаём пароль (лучше сложнее, пароль, типа «123» - плохой вариант).
Есть альтернативный вариант авторизации:
Switch(config)#username user20161109 password qwerty
Switch(config)#line console 0
Switch(config-line)#login local
Здесь, первой командой создаём нового пользователя с именем user20161109 и паролем «qwerty», третей командой делаем локальную базу аккаунтов базой по умолчанию.
Совет 2 – Настройте доступ в привилегированном режиме по паролю.
Даже если кто-то смог подключится к вашему оборудованию непривилегированном режиме, то он не сможет не прочитать настройки, не изменить конфигурацию, пока не перейдет в привилегированный режим.
Чтобы задать пароль для перехода в привилегированный режим, можно воспользоваться командой «enable password» или «enable secret». «enable secret» более безопасна, т.к. хранит в конфигурации не сам пароль, а его хеш, в то время, как «enable password» хранит пароль в открытом виде.
Посмотрим, как это выглядит на примере:
Switch(config)#enable secret 123
Switch(config)#enable password 123
Откроем нашу конфигурацию:
enable secret 5 $1$mERr$3HhIgMGBA/9qNmgzccuxv0
enable password 123
Два «ключа доступа» хранятся одновременно (на практике это не имеет смысла, лучше использовать только один способ), и если они отличаются, то устройство будет сверять введенный клиентом пароль с хеш-слепком, а не с паролем, сохраненном командой «enable password», т.е. актуальным будет именно пароль, заданный при помощи «enable secret».
Совет 3 – SSH безопаснее чем Telnet
Для удаленных подключений лучше всегда использовать SSH, а не Telnet, т.к. по SSH данные передаются в зашифрованном виде, и если даже злоумышленник перехватит трафик, то он навряд ли сможет узнать из него какие-то реквизиты доступа.
Совет 4 – Храните пароли в зашифрованном виде.
Все пароли, кроме сохраненных при помощи команды «enable secret», о которой было сказано выше, хранятся в открытом виде. Однако оборудование Cisco умеет их шифровать. Данный метод шифрования не очень сложный и пароли поддаются расшифровке, но тем не менее, оно позволяет уберечь пароль от случайного взгляда стороннего человека. Рассмотрим случай, когда пароли хранятся в нешифрованном виде:
enable secret 5 $1$mERr$3HhIgMGBA/9qNmgzccuxv0
enable password 123
!
!
username ciscouser privilege 1 password 0 123
Переключимся в режим конфигурации и запустим команду «service password-encryption». Пароли после этого будут выглядеть следующим образом:
enable secret 5 $1$mERr$3HhIgMGBA/9qNmgzccuxv0
enable password 7 08701E1D
!
!
username ciscouser privilege 1 password 7 08701E1D
Можно заметить, что были зашифрованы только те пароли, которые хранились в открытом виде. Хеш-слепки изменению не подверглись. Перед шифрованным паролем стоит цифра «7», это говорит о том, что пароль был зашифрован 7-м типом шифрования, поддерживаемым данным устройством.
Совет 5 – Настройте приветственное сообщение при подключении к устройству.
Командой «banner motd» задайте сообщение, которое будет отображаться клиенту при подключении к устройству:
Hello World!
User Access Verification
Username:
В тексте можно указать что-то более стоящее, чем «привет мир», вроде предупреждении о том, что все адреса подключений записываются и за несанкционированный доступ предусмотрена ответственность. Кого-то это может остановить.
Совет 6 – Отключайте CDP на всех портах, к которым подключены пользователи и стороннее оборудование.
Протокол CDP необходимо отключить на портах, к которым подключены компьютеры пользователей, а также устройства, вам не подконтрольные, такие, как оборудование провайдера, т.к. при помощи данного протокола можно узнать версию ОС, а также модель вашего оборудования, что может облегчить задачу получения несанкционированного доступа.
Совет 7 – Отключите http сервера
Если вы не пользуетесь web-интерфейсом, то стоит его отключить:
Switch(config)#no ip http server
Switch(config)#no ip http secure-server
Совет 8 – Выключайте все незадействованные порты
Давайте представим такую ситуацию:
К розетке 1 кабинета 101 был подключен один из компьютеров сети. Через какое-то время сотрудник переехал в кабинет 201, кабинет 101 остался некем не занят. Следовательно, к сети может подключится любой случайный человек, имеющий доступ к розетке в 101 кабинете. Что бы избежать такой ситуации, интерфейс стоит отключить при помощи команды «shotdown»:
Switch(config)#interface fastEthernet 0/1
Switch(config-if)#shutdown
Совет 9 – Настройте таймеры блокировки
Для всех консольных линий и линий виртуальных терминалов можно установить интервал времени бездействия пользователя, по прошествии которого устройство будет завершать текущий сеанс автоматически и требовать авторизоваться при следующей попытке подключения:
Switch(config)#line console 0
Switch(config-line)#no exec-timeout 0 20
Такая конфигурация сбросит сессию через 20 секунд простоя и предложит повторно ввести логин и пароль.
Совет 10 – При возможности все устройства к конкретным портам коммутаторов на mac-адресам.
Если сеть довольно статична, то стоит сделать привязку устройств по mac-адресам:
Switch(config)#interface fastEthernet 0/1
Switch(config-if)#switchport port-security
Switch(config-if)#switchport port-security mac-address <тут mac устройства>
Switch(config-if)#switchport port-security violation restrict
В третей строке мы указываем закрепленный за данным портом mac-адрес устройства, а четвертой строкой определяем действие, на случай, если была попытка подключится с другим адресом.
Безопасность не ограничивается данным списком, но если использовать данные советы, то это сделает сеть более защищенной от различного рода посягательств.
В стоковой конфигурации паролей не установлено, потому через консоль к нему может подключится кто угодно и внести какие угодно изменения. Для того, чтобы назначить свой пароль, введем следующие команды:
Switch(config)#line console 0
Switch(config-line)#login
Switch(config-line)#password 123
Первой командой мы начинаем конфигурирование оборудования. Второй командой мы выставляем настройку – требовать аутентификации клиента при подключении через консольный порт. Третей командой мы задаём пароль (лучше сложнее, пароль, типа «123» - плохой вариант).
Есть альтернативный вариант авторизации:
Switch(config)#username user20161109 password qwerty
Switch(config)#line console 0
Switch(config-line)#login local
Здесь, первой командой создаём нового пользователя с именем user20161109 и паролем «qwerty», третей командой делаем локальную базу аккаунтов базой по умолчанию.
Совет 2 – Настройте доступ в привилегированном режиме по паролю.
Даже если кто-то смог подключится к вашему оборудованию непривилегированном режиме, то он не сможет не прочитать настройки, не изменить конфигурацию, пока не перейдет в привилегированный режим.
Чтобы задать пароль для перехода в привилегированный режим, можно воспользоваться командой «enable password» или «enable secret». «enable secret» более безопасна, т.к. хранит в конфигурации не сам пароль, а его хеш, в то время, как «enable password» хранит пароль в открытом виде.
Посмотрим, как это выглядит на примере:
Switch(config)#enable secret 123
Switch(config)#enable password 123
Откроем нашу конфигурацию:
enable secret 5 $1$mERr$3HhIgMGBA/9qNmgzccuxv0
enable password 123
Два «ключа доступа» хранятся одновременно (на практике это не имеет смысла, лучше использовать только один способ), и если они отличаются, то устройство будет сверять введенный клиентом пароль с хеш-слепком, а не с паролем, сохраненном командой «enable password», т.е. актуальным будет именно пароль, заданный при помощи «enable secret».
Совет 3 – SSH безопаснее чем Telnet
Для удаленных подключений лучше всегда использовать SSH, а не Telnet, т.к. по SSH данные передаются в зашифрованном виде, и если даже злоумышленник перехватит трафик, то он навряд ли сможет узнать из него какие-то реквизиты доступа.
Совет 4 – Храните пароли в зашифрованном виде.
Все пароли, кроме сохраненных при помощи команды «enable secret», о которой было сказано выше, хранятся в открытом виде. Однако оборудование Cisco умеет их шифровать. Данный метод шифрования не очень сложный и пароли поддаются расшифровке, но тем не менее, оно позволяет уберечь пароль от случайного взгляда стороннего человека. Рассмотрим случай, когда пароли хранятся в нешифрованном виде:
enable secret 5 $1$mERr$3HhIgMGBA/9qNmgzccuxv0
enable password 123
!
!
username ciscouser privilege 1 password 0 123
Переключимся в режим конфигурации и запустим команду «service password-encryption». Пароли после этого будут выглядеть следующим образом:
enable secret 5 $1$mERr$3HhIgMGBA/9qNmgzccuxv0
enable password 7 08701E1D
!
!
username ciscouser privilege 1 password 7 08701E1D
Можно заметить, что были зашифрованы только те пароли, которые хранились в открытом виде. Хеш-слепки изменению не подверглись. Перед шифрованным паролем стоит цифра «7», это говорит о том, что пароль был зашифрован 7-м типом шифрования, поддерживаемым данным устройством.
Совет 5 – Настройте приветственное сообщение при подключении к устройству.
Командой «banner motd» задайте сообщение, которое будет отображаться клиенту при подключении к устройству:
Hello World!
User Access Verification
Username:
В тексте можно указать что-то более стоящее, чем «привет мир», вроде предупреждении о том, что все адреса подключений записываются и за несанкционированный доступ предусмотрена ответственность. Кого-то это может остановить.
Совет 6 – Отключайте CDP на всех портах, к которым подключены пользователи и стороннее оборудование.
Протокол CDP необходимо отключить на портах, к которым подключены компьютеры пользователей, а также устройства, вам не подконтрольные, такие, как оборудование провайдера, т.к. при помощи данного протокола можно узнать версию ОС, а также модель вашего оборудования, что может облегчить задачу получения несанкционированного доступа.
Совет 7 – Отключите http сервера
Если вы не пользуетесь web-интерфейсом, то стоит его отключить:
Switch(config)#no ip http server
Switch(config)#no ip http secure-server
Совет 8 – Выключайте все незадействованные порты
Давайте представим такую ситуацию:
К розетке 1 кабинета 101 был подключен один из компьютеров сети. Через какое-то время сотрудник переехал в кабинет 201, кабинет 101 остался некем не занят. Следовательно, к сети может подключится любой случайный человек, имеющий доступ к розетке в 101 кабинете. Что бы избежать такой ситуации, интерфейс стоит отключить при помощи команды «shotdown»:
Switch(config)#interface fastEthernet 0/1
Switch(config-if)#shutdown
Совет 9 – Настройте таймеры блокировки
Для всех консольных линий и линий виртуальных терминалов можно установить интервал времени бездействия пользователя, по прошествии которого устройство будет завершать текущий сеанс автоматически и требовать авторизоваться при следующей попытке подключения:
Switch(config)#line console 0
Switch(config-line)#no exec-timeout 0 20
Такая конфигурация сбросит сессию через 20 секунд простоя и предложит повторно ввести логин и пароль.
Совет 10 – При возможности все устройства к конкретным портам коммутаторов на mac-адресам.
Если сеть довольно статична, то стоит сделать привязку устройств по mac-адресам:
Switch(config)#interface fastEthernet 0/1
Switch(config-if)#switchport port-security
Switch(config-if)#switchport port-security mac-address <тут mac устройства>
Switch(config-if)#switchport port-security violation restrict
В третей строке мы указываем закрепленный за данным портом mac-адрес устройства, а четвертой строкой определяем действие, на случай, если была попытка подключится с другим адресом.
Безопасность не ограничивается данным списком, но если использовать данные советы, то это сделает сеть более защищенной от различного рода посягательств.