Защита административного доступа к сетевым устройствам

Защита сети

Защита административного доступа к сетевым устройствам

Уязвимости сетевого оборудования

 

Рассмотрим уязвимые места, через которые может быть выполнен несанкционированный доступ к сетевому оборудованию (здесь и далее все будет рассматриваться на примере сетевого оборудования фирмы “ Cisco ”).   · Доступ через консольные порты (console) устройств к файлам конфигурации. · Доступ через порт удаленного соединения (AUX). · Удаленный доступ через порты Telnet устройств к файлам конфигурации. · Доступ к файлам конфигурации устройств и определение топологии сети с помощью средств SNMP. · Определение топологии внутренней сети и получение доступ к сетевым устройствам с помощью перехвата обновлений маршрутизации. · Доступ к сетевому оборудованию по протоколу HTTP (Hypertext Transfer Protocol — протокол передачи гипертекстовых файлов). Для снижения вероятности угроз по этим направлениям необходимо обеспечить защиту по следующим направлениям:   · защита на уровне физического доступа к устройствам; · защита на уровне административного интерфейса; · защита связей между маршрутизаторами.

Рис. 3-1-1

 

Защита на уровне физического доступа к устройствам

 

Возможность физического доступа к сетевому оборудованию предоставляет злоумышленнику полный контроль над ним. При открытом доступе к сетевому оборудованию установка сложных средств защиты бесполезна. Для предотвращения физического доступа необходимо выполнить ряд мероприятий. · Установление политики контроля. Необходимо разработать план по обеспечению контроля доступа к сетевому оборудованию и линиям связи с графиком проверки состояния защиты. · Ограничение доступа к оборудованию и обеспечение надежности электропитания и охлаждения. Необходимо выбрать правильное место размещения оборудования. Сетевое оборудование должно размещаться в помещении с ограничением физического доступа. Право доступа в это помещение должно строго регламентироваться. Для наиболее важного оборудования необходимо обеспечить резервные источники питания или источники бесперебойного питания (ИБП). В помещении необходимо обеспечить систему кондиционирования для предотвращения перегрева. · Контроль прямого доступа ко всему сетевому оборудованию. К орпуса сетевого оборудования должны быть закрыты на замки или размещены в закрывающихся стойках. Доступ к консольному порту должен быть строго регламентирован. · Обеспечение защиты линий связи. Необходимо выполнять периодическую проверку всех коммуникационные линии на предмет прослушивания, а так же надежность закрытия распределительных шкафов.

Защита физического доступа   Картинка 3-1-2   Установление политики контроля.   Ограничение доступа к оборудованию и обеспечение надежности электропитания и охлаждения.   Контроль прямого доступа ко всему сетевому оборудованию.   Обеспечение защиты линий связи.   Рис 3-1-2

 

 

Рекомендации по выбору паролей

 

Пароли на маршрутизаторе могут включать до 25 буквенно-цифровых символов как верхнего, так и нижнего регистров. Рассмотрим ряд рекомендаций, которым можно следовать при выборе паролей:   · Пароли необходимо устанавливать при первой установке системы. · Измените все пароли, установленные по умолчанию. · Пароль на доступ в привилегированный режим должен отличаться от паролей на доступ в пользовательский режим (con, aux, vty). · Пароль должен состоять минимум из 10 знаков. · Используйте пароли, состоящие не только из букв нижнего и верхнего регистров, но и с добавлением цифр (4 You), чтобы усложнить процедуру взлома пароля. · Если пароль записан, то эта запись должна храниться в труднодоступном месте. · Нельзя использовать пароли из простых слов и имен, так как их можно легко подобрать. · Нельзя использовать пароли, включающие в себя названия подразделения, фирмы или производителя оборудования. · Регулярно выполняйте смену паролей.

Рис 3-1-4

 

Усиление парольной защиты

Парольная защита может быть усилена с помощью ограничения минимальной длины паролей, шифрования паролей и установки параметров линии. Ограничение минимальной длины паролей. Начиная с версии Cisco IOS 12.3(1) можно устанавливать ограничение на минимальное количество символов в паролях в диапазоне от 0 до 16. Для этого в режиме глобальной конфигурации выполняется команда security passwords min - length length. Значение, указанное в этой команде, распространяется на все пароли, устанавливаемые на маршрутизаторе. На текущие пароли эта команда не влияет. Шифрование паролей. По умолчанию, все пароли, устанавливаемые на маршрутизаторе, кроме enable secret, хранятся в незашифрованном виде. Эти пароли можно зашифровать с помощью команды режима глобальной конфигурации service password - encryption. Эта команда может быть использована только для защиты от просмотра паролей, так как алгоритм шифрования простой и легко воспроизводится. Для отмены шифрования паролей эта команда используется с префиксом no. Ранее введенные пароли останутся в зашифрованном виде, а новые будут храниться в открытом виде. Установка параметров линии. Если в течении некоторого времени соединение, установленное по консоли или telnet остается без контроля, то этим может воспользоваться злоумышленник и изменить настройки оборудования. Можно уменьшить вероятность этого с помощью ограничения времени неактивного открытого состояния линии. По умолчанию это время составляет 10 мин. В подрежиме конфигурации соответствующей линии надо выполнить команду exec - timeout mm ss с указанием минут и секунд времени простоя.

Ограничение минимальной длины паролей   R1(config)# security passwords min-length 11. R1(config)#enable secret admin12 Password too short - must be at least 11 characters. Password configuration failed. R1(config)#   Шифрование паролей   R1(config)#service password-encryption R1(config)#^Z R1#sh run … enable secret 5 $1$mERr$qnVcFVUraySLnKS3XOpTd. line con 0  password 7 08345F4B1B1A0A19  login line vty 0  password 7 08345F4B1B0F110E42  login line vty 1 4  no login line vty 5  password 7 08345F4B1B0F110E login   Установка параметров линии   R 1(config)# line con 0 R1(config-line)#exec-timeout 5 10   R1#sh run … line con 0  exec-timeout 5 10  password 7 08345F4B1B1A0A19  login …   рис 3-1-6.

 

Направления защиты связи

Диалог между маршрутизаторами можно прослушать с целью изменения параметров маршрутизации. Изменение параметров маршрутизации позволяет злоумышленнику получать информационный поток из атакуемой сети или ее части. Злоумышленник может перехватить файлы конфигурации, передаваемые по протоколу TFTP, получить доступ к маршрутизатору по протоколу HTTP. Для уменьшения вероятности вредоносных действий по этим направлениям необходимо выполнить ряд мероприятий. · Настроить аутентификацию протокола маршрутизации. · Настроить защиту конфигурационных файлов. · Настроить управление потоком данных с помощью списков контроля доступа (ACL). · Запретить отправки обновлений маршрутизации. · Установить фильтрацию входящего сетевого трафика.

Рис. 3-2-1.

Задачи и концепции ААА

При построении системы безопасности сети важно знать, кто имеет доступ к сетевым ресурсам, какими ресурсами ему разрешено пользоваться и какими ресурсами он действительно пользовался. Такую возможность обеспечивает технология аутентификации, авторизации и аудита (ААА).   · Аутентификация (Authentication) - определяет - является ли пользователь тем, за кого себя выдает. Для этого при входе в сеть пользователь должен ввести имя и пароль.   · Авторизация (Authorization) –  при успешном прохождении процедуры аутентификации определяется, к каким ресурсам сети данному пользователю разрешено иметь доступ. · Аудит (Audit или Accounting) – фиксирует действия пользователя в сети. К каким ресурсам и в течении какого времени пользователь имел доступ. К каким ресурсам пытался доступ получить. Это позволяет определить попытки несанкционированного доступа.

Концепции ААА Аутентификация – Кто? Авторизация – что может делать? Аудит – что делал? Рис 3-3-1

Локальная база данных ААА

Локальная база данных используется, если к сети имеет доступ небольшое число удаленных пользователей через один или два сервера сетевого доступа. Учетные записи хранятся, непосредственно, на сервере сетевого доступа. Такой способ называется локальной аутентификацией (Local AAA Authentication). Особенности локальной аутентификации. · Используется в сетях с небольшим числом удаленных пользователей. · Учетные записи хранятся на сервере сетевого доступа. · Авторизация и аудит, при использовании локальной базы данных, усложняют процесс администрирования. · Использование локальной базы данных позволяет сэкономить на установке удаленной базы данных.

Рис 3-3-3.(анимация)

Удаленная база данных ААА

Если в сети используется большое количество серверов сетевого доступа (граничных маршрутизаторов), то для обеспечения централизованного управления доступом необходимо использовать удаленную базу данных защиты. При изменении учетных записей нет необходимости делать изменения на каждом сервере сетевого доступа. Достаточно изменить данные на центральном сервере защиты. Такой способ называется удаленной или серверной аутентификацией (Server - Based AAA Authentication). Особенности удаленной аутентификации. · Используется в сетях с большим числом удаленных пользователей и серверов сетевого доступа. · Учетные записи хранятся централизованно на сервере защиты. · Аутентификация, авторизация и аудит проходят через сервер защиты. · Использование централизованной базы данных позволяет сэкономить, снимая необходимость настройки каждого сервера сетевого доступа. · Сервер защиты должен быть максимально защищен.

Рис 3-3-4 (анимация)

Методы аутентификации ААА

При выполнении аутентификации выполняется проверка имени пользователя и его пароля. Примером реализации аутентификации являются протоколы PAP (Password Authentication Protocol) и CHAP (Challenge Handshake Authentication Protocol). Протокол PAP использует двухходовой обмен информацией, который обеспечивает простой метод идентификации удаленной стороны. РАР выполняется только при начальном установлении соединения. После завершения фазы установления канала РРР удаленная сторона начинает посылать пару “имя пользователя - пароль” до тех пор, пока маршрутизатор не подтвердит аутентификацию или не разорвет соединение. РАР не является надежным протоколом аутентификации. Пароли посылаются по каналу в открытом виде, что может быть использовано в среде с одноразовыми паролями. Также здесь нет защиты от воспроизведения подслушанного пароля или повторяющихся атак подбора пароля, поскольку попытки установить соединение производит удаленная сторона.   Протокол СНАР использует трехходовой обмен информацией. Процедура аутентификации выполняется при начальном установлении канала, а затем периодически, чтобы проверять идентификацию удаленной стороны. После завершения фазы установления канала РРР, маршрутизатор высылает сообщение удаленной стороне. Удаленная сторона отвечает паролем, зашифрованным по М D 5. Маршрутизатор сравнивает ответ со своим значением хэш-кода. Если значения совпали, то аутентификация подтверждается. В противном случае соединение немедленно разрывается. СНАР защищает от атак воспроизведения подслушанного пароля с помощью изменения сообщения запроса непредсказуемым и уникальным образом. Поскольку запрос уникален и случаен, результат хэш-функции также будет уникальным и случайным. Использование повторных запросов уменьшает вероятность одиночных атак.

Методы аутентификации Протокол PAP (по очереди)   Протокол СНАР(по очереди)   Сначала статичная картинка. При нажатии РАР проходит аутентификация РАР, а при нажатии CHAP, на той же картинке проходит аутентификация CHAP.   Рис 3-3-5

3-3-6 Методы авторизации ААА

 

Средства авторизации позволяют контролировать и ограничивать доступ пользователей к сетевым ресурсам. Авторизация определяет, к каким сетевым ресурсам или командам маршрутизатора имеет доступ пользователь после успешного процесса аутентификации. Авторизация может быть реализована с помощью удаленной или локальной базы данных. При настройке авторизации необходимо определить атрибуты, описывающие права пользователя. Когда удаленный пользователь пытается получить доступ к сети, его аутентификационным параметрам ставятся в соответствие сформированные атрибуты авторизации, записанные в базе данных ААА. Авторизация выполняется автоматически после аутентификации.

Рис 3-3-6

 

3-3-7 Методы аудита ААА

Средства аудита следят за количеством пользователей в системе и собирают статистику об их действиях. Фиксируется какой пользователь к каким ресурсам имел доступ или пытался получить доступ, и в течении какого времени. Это дает возможность выявления подозрительных действий. При активизации средств ААА граничный маршрутизатор (сервер сетевого доступа) создает контрольные записи действий каждого пользователя. Записи действий могут храниться в удаленной или локальной базе данных. Эти записи можно импортировать в аудиторскую программу для анализа с целью контроля и управления. Сервер ААА хранит записи (log), содержащие имя пользователя, адрес пользователя, имя службы, к которой обращался этот пользователь, время начала и конца сеанса, выполненные команды, объем переданных данных. Для поддержки удаленной базы данных используются протоколы RADIUS и TACACS +.

Рис 3.36.

Серверы защиты ААА

Как уже говорилось ранее, контроль доступа средствами ААА выполняется с использованием локальной или удаленной базы данных защиты. Существует несколько стандартов для удаленной базы данных защиты. Мы рассмотрим два протокола, поддерживаемые оборудованием Cisco - TACACS + и RADIUS. Данные протоколы используются для обмена информацией о доступе между сервером защиты и сервером доступа. Серверы сетевого доступа выступают в роли клиентов TACACS + или RADIUS.

Рис 3-3-8.

3-3-9 TACACS+

Протокол TACACS+ обеспечивает централизованное управление доступом пользователей к серверу сетевого доступа или другому сетевому оборудованию, поддерживающему TACACS+. База данных TACACS+ размещается на компьютере под управлением операционных систем UNIX или Windows NT.   Возможности и особенности TACACS+ · Использует порт 49 протокола TCP для надежной передачи данных между сервером сетевого доступа и сервером защиты. · Для каждого сервиса строится собственную базу данных, но они работают вместе, как один сервер защиты. · Пакет TACACS+ имеет 12-байтовый заголовок, который пересылается в виде открытого текста, а данные, содержащиеся в пакете, шифруются для защиты трафика между сервером сетевого доступа и сервером защиты. · Использует средствааутентификации РАР и CHAP, а также поддерживает диалоговые окна ввода пароля. · Поддерживает средства ААА удаленного и локального сетевого доступа для серверов сетевого доступа и сетевого оборудования, поддерживающего TACACS+. · Поддерживает протоколы удаленного доступа SLIP, PPP и ARAP. · Если команды внесены в конфигурацию базы данных TACACS+ и поддерживаются сервером сетевого доступа, то они выполняются автоматически. · Поддерживается функция обратного вызова,котораявозвращает телефонные вызовы. Сервер сетевого доступа звонит пользователю, что дает дополнительные гарантии защиты. · Если есть список доступа, созданный на предыдущем сеансе связи, то TACACS+ может его использовать его в течение текущей фазы авторизации.

TACACS+   · Транспортный протокол TCP, порт 49. · Отдельная база данных для каждого сервиса. · Шифрование данных при передаче. · Аутентификация РАР и CHAP. · Защита локального и удаленного доступа · Протоколы удаленного доступа SLIP, PPP и ARAP. · Функция автокоманд. · Функция обратного вызова. · Списки доступа пользователей. Рис 3-3-9.

3-3-10 Аутентификация TACACS+

Для поддержки процесса аутентификации TACACS+ используется три типа пакетов. START (начало) CONTINUE (продолжение) REPLY (ответ)   Рассмотрим этапы взаимодействия сервера сетевого доступа и сервера защиты TACACS+ в процессе  аутентификации.   1. Сервер сетевого доступа посылает запрос «START» серверу защиты для начала процесса аутентификации. 2. Сервер защиты TACACS+ посылает сообщение «GET USER» c запросом имени пользователя. 3. Сервер сетевого доступа отправляет имя, полученное от пользователя в сообщении «CONTINUE». 4. Сервер защиты TACACS+ посылает сообщение «GET PASS» c запросом пароля пользователя. 5. Сервер сетевого доступа отправляет пароль, полученный от пользователя в сообщении «CONTINUE». 6. Сервер защиты TACACS+ проверяет пароль и определяет – успешно ли завершен процесс аутентификации. На основе этой проверки отправляется положительный (PASS) или отрицательный (FAIL) ответ.

Рис 3-3-10 анимация

3-3-11 Авторизация и аудит TACACS+

Для авторизации TACACS+ используются пакеты REQUEST (запрос) и RESPONSE (ответ). Весь процесс авторизации контролируется с помощью обмена парами "атрибут/значение" между сервером защиты TACACS+ и сервером сетевого доступа. Рассмотрим несколько примеров пар "атрибут/значение": service = ррр — исходно доступный сервис; protocol = ip — протокол, доступный для использования с указанным сервисом; addr = 172.16.10.1 — авторизованный сетевой адрес; timeout = 12 — таймер, ограничивающий длительность соединения в минутах.   Рассмотрим этапы взаимодействия сервера сетевого доступа и сервера защиты TACACS+ в процессе авторизации.   1. Сервер сетевого доступа посылает запрос «REQUEST» серверу защиты. В этом запросе содержится имя пользователя и набор аргументов, определяющих параметры авторизации. 2. Сервер защиты TACACS+ отправляет ответ «RESPONSE» с набором разрешенных действий в виде пар «атрибут/значение». При выполнении аудита TACACS+, анализируются запросы процесса авторизации. На основании этих запросов создаются записи с информацией об активности пользователя в отношении заданных сервисов.

Рис 3-3-11

3-3-12 RADIUS

Протокол RADIUS (Remote Access Dial-In User Service — сервис идентификации удаленных абонентов) использует структуру клиент/сервер для обеспечения защиты сети от несанкционированного доступа в рамках технологии ААА. Протокол RADIUS может использоваться совместно с протоколом TACACS+ и  локальными базами данных защиты. Возможности и особенности протокола RADIUS. · Использует порт 1812 протокола UDP для связи между сервером сетевого доступа и сервером защиты (в некоторых случаях - порт 1645). · Объединяет аутентификацию и авторизацию. Сервер RADIUS получает запрос от пользователя, выполняет аутентификацию и авторизацию. Аудит выполняется сервером аудита RADIUS отдельно. · Шифрует пароли пользователей,  содержащиеся в пакетах RADIUS, с помощью хэш-кода MD5. · Использует средствааутентификации РАР и CHAP, а также поддерживает диалоговые окна ввода пароля. · Обеспечивает средства ААА удаленного доступа для серверов сетевого доступа и сетевого оборудования, поддерживающего RADIUS. · Поддерживает протоколы удаленного доступа SLIP, PPP и ARAP, а так же Telnet. · Если команды внесены в конфигурацию базы данных RADIUS и поддерживаются сервером сетевого доступа, то они выполняются автоматически. · Поддерживается функция обратного вызова,котораявозвращает телефонные вызовы. Сервер сетевого доступа звонит пользователю, что дает дополнительные гарантии защиты. · Возможность добавления новых пар (расширяемость) "атрибут/значение" производителем с помощью атрибута поставщика. · В процессе аутентификации между клиентом и сервером защиты RADIUS используется общее секретное значение, что обеспечивает сетевую защиту.

RADIUS   · Транспортный протокол UDP, порт 1812 или 1645. · Объединяет аутентификацию и авторизацию. · Шифрует пароли пользователей. · Аутентификация РАР и CHAP. · Защита удаленного доступа · Протоколы доступа SLIP, PPP, ARAP и Telnet. · Функция автокоманд. · Функция обратного вызова. · Расширяемость. · Обеспечение сетевой защиты. Рис 3-3-12

3-3-13 Аутентификация и авторизация RADIUS

 

Для поддержки процесса аутентификации и аудита сервер удаленного доступа и сервер защиты RADIUS обмениваются четырьмя типами пакетов: Access-Request - запрос доступа; Access-Accept – подтверждение доступа; Access-Reject – отказ доступа; Access-Challenge - доступ-вызов. Рассмотрим этапы взаимодействия сервера сетевого доступа и сервера защиты RADIUS.   1. Пользователь посылает запрос на соединение PPP к серверу сетевого доступа. 2. Сервер сетевого доступа запрашивает у пользователя имя и пароль. 3. Сервер сетевого доступа посылает серверу защиты RADIUS пакет Access-Request с именем пользователя, зашифрованным паролем и атрибутами. 4. Сервер защиты RADIUS выполняет аутентификацию пользователя, устанавливает параметры авторизации и выдает один из ответов:   Access-Accept – положительная аутентификация. Access - Reject – отрицательная аутентификация. Либо запрашивается другой пароль, либо запрещается доступ. Access - Challenge – требуется посылка дополнительных данных о пользователе. 5. Сервер сетевого доступа разрешает использовать службы на основе результатов аутентификации. 6. Сервер защиты RADIUS периодически посылает Access - Challenge для повторного ввода пароля пользователем или проверки состояния сервера сетевого доступа.

Рис 3-3-13

3-3-14 Аудит RADIUS

Протокол RADIUS обеспечивает доставку информации аудита от сервера сетевого доступа к серверу защиты RADIUS через UDP -порт 1813. Для этого используется пакет Accounting-Request (аудит-запрос) с соответствующим набором пар "атрибут/значение". Сервер защиты RADIUS принимает запрос и отвечает пакетом типа Accounting-Response (аудит-ответ). Рассмотрим этапы взаимодействия сервера сетевого доступа и сервера защиты RADIUS. 1. После завершения процесса аутентификации сервер удаленного доступа посылает серверу защиты старт-пакет Accounting-Request. 2. Сервер защиты подтверждает получение старт-пакета, отправляя пакет Accounting-Response. 3. После окончания использования ресурса, сервер удаленного доступа посылает серверу защиты стоп-пакет Accounting-Request. 4. Сервер защиты подтверждает получение стоп-пакета, отправляя пакет Accounting-Response.

Рис 3-3-14

 

Настройка ААА

Рис 3-4-2