| Ограничьте использование команд маршрутизатора для пользователя с именем user 1 и паролем userpass.
Разрешить использование только команд ping и show interfaces.
Установите уровень привилегий 6.
|
Router(config)#privilege exec level 6 ping
Router(config)#privilege exec level 6 show interfaces
Router(config)#enable secret level 6 userpass
Router(config)#username user1 privilege 6 secret userpass
|
3-1-15 Информационные баннеры устройств
| Можно использовать баннерные сообщения, информирующие о том, кому позволено или не позволено входить в вашу сеть. Этот элемент защиты обеспечивает сдерживание (предупреждение об ответственности).
Нельзя применять в таких сообщениях слова, побуждающие к проникновению. Например - welcome (добро пожаловать). Сообщение может иметь следующее примерное содержание: "Внимание! Эта часть сети закрыта для общего доступа. Несанкционированный доступ будет преследоваться по закону".
Баннерное сообщение формируется в режиме глобальной конфигурации с помощью команды banner.
|
banner {exec | incoming | login | motd | slip-ppp} x message x
| exec
| Сообщение появляется при запуске процесса Exec (доступ по консоли или telnet)
| | incoming
| Сообщение появляется при попытке подключения со стороны узла по telnet
| | login
| Сообщение появляется перед вводом имени и пароля.
| | motd
| Сообщение появляется во время подключения
| | slip-ppp
| Сообщение появляется при подключении по протоколу SLIP или PPP.
| | x
| Символ разделителя. Может быть любой.
| | message
| Сообщение
| R1(conf t)#banner login x Attention! This area is restricted. If you not authorized user, you will be prosecuted by low!!! X
PC>telnet 10.1.1.1
Trying 10.1.1.1...Open
Attention!!! If This area is restricted. If you not authorized user, you will be prosecuted by low!!!
User Access Verification
Password:
Рис 3 -1-15.
|
3-1-16 Управление доступом SNMP
| Протокол сетевого управления (SNMP – simple network management protocol) был разработан для управления узлами сети, такими как коммутаторы, маршрутизаторы, рабочие станции, сервера. Этот протокол обеспечивает обмен управляющей информацией между сетевыми устройствами.
Существует несколько версий SNMP.
SNMPv 1 и SNMPv 2 строятся на базе трех компонентов
· Управляемые сетевые устройства - маршрутизаторы или коммутаторы.
· Размещаемые на управляемых устройствах Агенты SNMP и базы MIB (management information base), поддерживающие управление.
· Сетевая управляющая система (network management systems - NMS), которая представляет собой приложение-диспетчер SNMP вместе с компьютером, на котором оно установлено.
Агенты SNMP обеспечивают доступ к MIB устройств. В MIB содержится информация о ресурсах и загрузке сетевого устройства.
С помощью NMS можно получать информацию от агентов, изменять ее, а так же изменять конфигурационные параметры сетевого устройства. Например, можно перезагрузить маршрутизатор, загрузить на него новый конфигурационный файл или скачать имеющийся.
Такие возможности представляют большой интерес для злоумышленников.
С помощью средств протокола сетевого управления SNMP злоумышленник может внедриться в сеть. Для этого достаточно получить доступ к базам.
|
Рис 3-1-16
|
3-1-17 Управление доступом SNMP
| SNMP агенты принимают команды и запросы от системы управления SNMP только, если правильно настроена групповая строка (community string). Групповая строка SNMP представляет собой текстовую строку, с помощью которой может выполняться аутентификация для доступа к MIBs.
Существует два типа групповых строк:
Строка – «Только чтение» (Read - only – ro) – разрешает доступ к MIB только для чтения.
Строка – «Чтение/запись» (Read - write – rw) - разрешает доступ ко всем объектам MIB для чтения и записи.
Получение доступа в режиме чтение/запись эквивалентно доступу к маршрутизатору в привилегированном режиме.
По умолчанию в системах SNMP используется групповая строка " public ". Для обеспечения безопасности, эту строку необходимо заменить на новую – индивидуальную. Но при этом, уязвимость остается при обмене строками, так как они передаются открытым текстом. Исходя из этого, рекомендуется настраивать SNMP только ан получение информации от устройств (использовать строку - ro).
Передавать SNMP сообщения необходимо только в управляемом сегменте.
|
Рис 3 -1-17
|
3-1-18 SNMPv3
| Разработана новая версия SNMP - SNMPv 3. В данной версии устранены недостатки предыдущих по аутентификации, privacy (секретности) и контролю доступа.
В SNMPv 3 применяется сочетание аутентификации и шифрования пакетов. Таким образом, в данной версии обеспечивается безопасность по таким направлениям как:
Целостность сообщения – пакеты не будут изменены при прохождении через сеть.
Аутентификация – идентифицирует отправителя сообщения.
Шифрование – шифрует содержимое для предотвращения неавторизованного просмотра.
|
Рис 3-1-18
|
3-1-19 Конфигурация групповых строк SNMP
| Групповая строка является паролем, по которому происходит доступ к агенту SNMP.
Для каждой группы устройств формируется отдельная строка.
При формировании групповой строки можно учитывать следующие параметры:
· Стандартный список доступа с IP -адресами NMS, которые могут использовать данную групповую строку для получения доступа к агенту.
· Установка доступа чтения/записи или только чтения для объектов MIB.
Для настройки групповой строки в режиме глобальной конфигурации надо ввести команду snmp-server community.
Для удаления групповых строк используется команда no snmp-server community.
Для обеспечения безопасности, маршрутизатор должен отсылать прерывания SNMP и информационные запросы SNMP только легальным узлам NMS.
Это осуществляется с помощью команды режима глобальной конфигурации snmp-server host.
Для отмены отправления прерываний используется команда no snmp trap link-status в подрежиме конфигурации интерфейса.
|
Конфигурация групповой строки
router(config)#snmp -server community string [ro | rw] [number]
| string
| символьная строка доступа
| | ro
| разрешает доступ к MIB только для чтения
| | rw
| разрешает доступ ко всем объектам MIB для чтения и записи
| | number
| номер стандартного списка доступа
|
Конфигурация отправки SNMP прерываний.
snmp - server host ip - address trap
Конфигурация отправки SNMP сообщений.
snmp -server host ip -address informs
ip -address – адрес узла NMS
Рис 3-1-19
|
Археология
Биология
Генетика
География
Информатика
История
Логика
Маркетинг
Математика
Менеджмент
Механика
Педагогика
Религия
Социология
Технологии
Физика
Философия
Финансы
Химия
Экология
