Настройка удаленного доступа к сетевому оборудованию

Рассмотрим уязвимые места, через которые может быть выполнен несанкционированный доступ к сетевому оборудованию:

• — доступ через консольные порты (console) устройств к файлам конфигурации.
• — доступ через порт удаленного соединения (AUX).
• — удаленный доступ через порты Telnet устройств к файлам конфигурации.
• — доступ к файлам конфигурации устройств и определение топологии сети с помощью средств SNMP.
• — определение топологии внутренней сети и получение доступ к сетевым устройствам с помощью перехвата обновлений маршрутизации.
• — доступ к сетевому оборудованию по протоколу HTTP (Hypertext Transfer Protocol — протокол передачи гипертекстовых файлов).

Для снижения вероятности угроз по этим направлениям необходимо обеспечить защиту по следующим направлениям:

• — защита на уровне физического доступа к устройствам;
• — защита на уровне административного интерфейса;
• — защита связей между маршрутизаторами.

Наибольший интерес для злоумышленников представляет административный интерфейс сетевого оборудования. Для обеспечения его защиты необходимо выполнить ряд требований:

• — обеспечить защиту доступа по консольному порту (con);
• — обеспечить защиту доступа по порту AUX;
• — обеспечить защиту доступа по Telnet (vty);
• — установить пароль на доступ в привилегированный режим;
• — установить минимальную длину паролей;
• — применить шифрование паролей;
• — настроить параметры соединений;
• — использовать многоуровневую систему привилегий доступа;
• — использовать информационные баннеры устройств;
• — обеспечить управление доступом SNMP.

Защита доступа обеспечивается с помощью паролей. Пароли могут устанавливаться непосредственно в маршрутизаторе. Но в сетях, требующих высоко уровня безопасности, управление паролями должно быть реализовано с помощью удаленной базы данных защиты через серверы аутентификации (Cisco Secure AccessControl Server — ACS) TACACS+ или RADIUS. Для резервирования можно использовать локальные базы данных со средствами аутентификации, авторизации и аудита (сервер AAA).

Защита доступа по консольному порту.

В начальный момент времени (по умолчанию) доступ к маршрутизатору по консольному порту открыт, и мы сразу попадаем в пользовательский режим. Для обеспечения защиты доступа по консольному порту в подрежиме конфигурации этого порта устанавливается пароль.

Защита доступа по порту AUX.

Через порт удаленного доступа (AUX) обеспечивается модемное подключение, но при необходимости его можно использовать вместо консольного порта. По умолчанию, доступ к маршрутизатору по порту AUX открыт. Для обеспечения защиты доступа по этому порту в подрежиме конфигурации порта (aux 0) устанавливается пароль.

Защита доступа по Telnet.

К маршрутизатору можно подключится для его конфигурирования удаленно, через один из его интерфейсов по линиям виртуального терминала (virtual terminal — vty) с установкой соединения по Telnet или SSH. Одновременно может быть организовано пять соединений (от 0 до 4). Можно установить один пароль на все соединения, а можно на каждое соединение установить свой пароль.

Установка пароля на доступ в привилегированный режим.

По умолчанию, пароль на доступ в привилегированный режим не установлен. Для установки пароля необходимо в режиме глобальной конфигурации выполнить команду enable secret. При этом пароль будет храниться в конфигурации в зашифрованном виде по MD5.