Сетевая безопасность

Сетевая безопасность базируется на трех факторах: уязвимости, угрозы и атаки.
 
Уязвимости
Существуют три основных категории уязвимостей:
Технологические - уязвимости, связанные с операционной системой, протоколами TCP/IP, слабыми сторонами сетевого оборудования.
Конфигурационные - незащищенные учетные записи пользователей, легко угадываемые пароли системных учетных записей, неправильно настроенные интернет сервисы, настройки по умолчанию сетевого оборудования не изменены, неправильно настроенное оборудование.
Отсутствие внятной политики безопасности.
 
Угрозы
Угрозы могут быть следующих типов:
Угрозы физической инфраструктуры - угрозы физического урона для оборудования, угрозы окружающей среды, электрические угрзы, угрозы, связанные с проблемой обслуживания.
Неструктурированные угрозы - угрозы, исходящие от неопытных людей, которые используют широкодоступные стедства для тестирования своих навыков по взлому. Тем не менее могут нанести серьезный ущерб.
Структурированные угрозы - исходят от людей с высокой компетенцией, которые знаю все уязвимости и знают, что конкретно им надо.
Внешние угрозы - от людей, которые не работают в сети компании, а пытаются проникнуть извне. Зависят от опыта взломщика.
Внутренние - от людей внутри компании.
 
Атаки
Существует четыре вида:
Разведка - сбор данных о системах, услугах и уязвимостях. Это сканирование портов, анализирование пакетов, запросы информации в интернете, проверка доступности (nslookup, whois, ping, Nmap, Superscan, Wireshark). Методы защиты: использование коммутаторов, а не концентраторов; шифрование полезной информации в пакетах; запрет на использование протоколов, которые восприимчиву к прослушиванию.
Доступ - возможность злоумышленника получить доступ к устройству, для которого он не имеет учетной записи или пароля с помощью известных уязвимостей системы или программы.
Сначала он определяет пароль с помощью анализатора пакетов или подбором по словарю. Надо требовать от пользователей использовать сложные пароли, а также регулярно производить смену паролей.
Если злоумышленник сначала не сможет получить доступ к какому-то ресурсу, т.к. у него закрыт доступ извне, злоумышленник может сначала получить доступ к какому-то компбютеру, у которого открыт доступ извне, а уже через него подключиться к требуемому ресурсу.
Также злоумышленник может перенаправить трафик между двумя устройствами через себя, используя зеркалирование портов.
Отказ в обслуживании (DoS) - злоумышленник отключает какие-то службы или замедляет их работу до такой степени, что они перестают отвечать на запросы.
Пинг смерти - злоумышленник направляет на устройство ICMP пакеты командой ping с большим размером буфера (до 65536 байт). Естественно, устройство будет недоступно.
Отправка большого количества SYN запросов на установление ТСР сессий.
Отправка большого количества сообщений электронной почты.
Распределенная атака с множества хостов (DDoS).
Черви, вирусы и трояны - вредоносное ПО, которое повреждает систему, отказывает в доступе, а также может передавать злоумышленнику конфиденциальную информацию с компьютера.
 
 Базовая защита серверов и рабочих станций
 1. После установки ОС сменить все учетные записи и пароли по умолчанию.
 2. Резрешить доступ только определенным лицам, кому надо, а не всем.
 3. Выключить все неиспользуемые службы и приложения.
 4. Установить антивирус и регулярно его обновлять.
 5. Поставить персональный брендмауер.
 6. Регулярно проверять и устанавливать обновления для ОС.
 7. Использовать IDS/IPS. Системы обнаружения вторжений (IDS) обнаруживают атаки против сетей и отправлять сведения об этом на консоль управления. Системы предотвращения вторжений (IPS) предотвращают нападения на сеть и должны обеспечивать следующие активные механизмы защиты в дополнение к обнаружению: остановить обнаруженные атаки и создать иммунитет от будущих атак вредоносных источников.
 
 Колесо сетевой безопасности
 Есть четыре повторяющихся шага для достижения безопасности
 1. Защита
 2. Мониторинг
 3. Тестирование
 4. Усиление защиты
 
 Защита маршрутизаторов
 1. Физическая безопасность.
 2. Обновление IOS до последней стабильной версии.
 3. Резервное копирование IOS и конфигурации.
 4. Отключение неиспользуемых портов и служб.
 
 Настройка безопасности на маршрутизаторе
 1. Настройка паролей на маршрутизатор
 Уровень шифрования паролей бывает трех уровней
 - без шифрования(0) - при выводе конфигурации можно прочитать пароль
 - простое шифрование (7) - используется алгоритм шифрования Cisco. Настраивается командой:
 R1(config)#service password-encryption
 - комплексное шифрование (5) - используется алгоритм MD5. Настраивается при помощи команд

R1(config)#username admin secret cisco
R1(config)#enable secret cisco

То есть, везде, где можно, вместо слова password в командах использовать secret. Но, например, РАР не может использовать MD5. Поэтому там надо использовать пароли безшифрования.
 
Также есть возможность настроить требования маршрутизатора по длине паролей:

R1(config)#security passwords min-length 10

 Эта команда будет иметь эффект только для новых паролей.
 
 2. Настройка удаленного доступа
 На портах (линиях), через которые не будет проводится конфигурирование, отключаем командами:

R1(config)#line aux 0
R1(config-line)#no password
R1(config-line)#login
R1(config)#line aux 0

На виртуальных каналах (VTY) по умолчанию настроена возможность подключения через любые протоколы. Поэтому лучше оставлять возможность подключения лишь через определенные протоколы.

R1(config)#line vty 0 4
R1(config-line)#no transport input
R1(config-line)#transport input ssh

Маршрутизаторы имеют ограниченное количество виртуальных линий. Поэтому существует еще одна угроза - злоумышленник может просто подключиться ко всем виртуальным линиям, даже не вводить пароль, и оставить. Сессии будут ожидать ввода пароля. А в это время администратор не сможет подключиться, т.к. все линии заняты.
Чтобы решить эту проблему, есть два пути.
Первый - настроить одну виртуальную линию для работы только с конкретного ІР адреса.
Второй - настроить тайм-аут для не использующихся сессий, через который виртуальные линии будут освобождаться:

R1(config)#line vty 0 4
R1(config-line)#exec-timeout 3 30 - в минутах и секундах

Также надо защититься от возможности перехвата сессий Telnet:

R1(config)#line vty 0 4
R1(config-line)#service tcp-keepalives-in

  Настроить SSH

Router(config)#hostname R1
R1(config)#ip domain-name cisco.com
R1(config)#crypto key generate rsa
How many bits in the module [512]: 1024
R1(config)#username student secret cisco
R1(config)#line vty 0 4
R1(config-line)#transport input ssh
R1(config-line)#login local
R1(config)#ip ssh time-out 15 - время ожидания неактивной сессии SSH
R1(config)#ip ssh authentication-retries 2 - количество попыток ввода пароля

 Уязвимые службы и интерфейсы.
 Службы, которые обязательно должны быть отключены

R1(config)#no service tcp-small-servers
R1(config)#no service udp-small-servers
R1(config)#no ip bootp server
R1(config)#no service finger
R1(config)#no ip http server
R1(config)#no snmp-server

 Также надо отключить неиспользуемые службы:

R1(config)#no cdp run
R1(config)#no service config - удаленное автоконфигурирование
R1(config)#no ip source-route
R1(config)#no ip classless

 Теперь, что касается интерфейсов:

• отключаем не использующиеся - R1(config-if)#shutdown
• отключаем на интерфейсах возможность отвечать на пакеты с поддельными адресами источника 

R1(config-if)#no ip directed-broadcast
R1(config-if)#no ip proxy-arp

 Сетевые протоколы

•  SNMP - использовать только версию 3, который позволяет шифровать информацию.
•  NTP - надо отключать протокол на портах, через которые он не будет использоваться
•  DNS - по умолчанию, если DNS сервер не указан в настройках маршрутизатора, он начинает искать сервер путем рассылки широковещательных запросов. Чтобы этого не было, надо:
   - или явно указывать адрес DNS сервера:

 R1(config)#ip name-server addresses

 - или отключать рассылку широковещательных DNS запросов:

 R1(config)#no ip domain-lookup

 Настройка аутентификации в протоколах динамической маршрутизации.
 1. Настройка интерфейсов, через которые можно отправлять обновления

 R1(config)#router rip
 R1(config-router)#passive-interface default - отключаем рассылку на всех интерфейсах
 R1(config-router)#no passive-interface s0/0/0 - включаем рассылку на конкретных интерфейсах

 2. Предотвращение несанкционированного приема обновлений RIP
 2.1. RIP

 R1(config)#key chain RIP_KEY - создаем ключевую цепочку
 R1(config-keychain)#key 1
 R1(config-keychain-key)#key-string cisco
 R1(config)#interface s0/0/0
 R1(config-if)#ip rip authentication mode md5 - указываем алгоритм шифрования
 R1(config-if)#ip rip authentication key-chain RIP_KEY - привязываем цепочку к протоколу

 2.2. EIGRP

 R1(config)#key chain EIGRP_KEY
 R1(config-keychain)#key 1
 R1(config-keychain-key)#key-string cisco
 R1(config)#interface s0/0/0
 R1(config-if)#ip authentication mode eigrp 1 md5
 R1(config-if)#ip authentication key-chain eigrp 1 EIGRP_KEY

 2.3. OSPF
 2.3.1. Простая аутентификация без шифрования

R1(config)#router ospf 1
R1(config-router)#area 0 authentication - все обновления в зоне 0 будут требовать аутентификации
R1(config-router)#interface S0/0/0
R1(config-if)#ip ospf authentication-key cisco123 - указываем ключ

2.3.2. MD5 аутентификация

 R1(config)#interface s0/0/0
 R1(config-if)#ip ospf message-digest-key 1 md5 cisco
 R1(config-if)#ip ospf authentication message-digest
 R1(config)#router ospf 10
 R1(config-router)#area 0 authentication message-digest

 
 Авто-настройка безопасности маршрутизатора
 У маршрутизаторов есть возможность автоматически настроить опции безопасности с помощью команды:ъ
 R1# auto secure
 После ввода данной команды маршрутизатор настроит:

•  интерфейсы
•  баннеры
•  пароли
•  SSH
•  функции брендмауера
•  отключит ненужные службы
   

 The Cisco Router and Security Device Manager
 SDM - программа для настройки оборудования через веб-интерфейс. Чтобы его использовать, оборудование надо сначала настроить:

 R1# configure terminal
 R1(config)# ip http server
 R1(config)# ip http secure-server
 R1(config)# ip http authentication local
 R1(config)# username Name privilege 15 secret cisco
 R1(config)# line vty 0 4
 R1(config-line)# privilege level 15
 R1(config-line)# login local
 R1(config-line)# transport input telnet ssh