Защита маршрутизатора средствами CISCO IOS - реферат

Реферат

Тема: защита маршрутизатора средствами CISCO IOS


Содержание. Введение 3 Программное обеспечение маршрутизаторов Cisco 4 Главные интерфейсы 6 Консольные интерфейсы 7 Решения Cisco Systems для обеспечения сетевой безопасности 8 Пользовательский и привилегированный уровни доступа 10 Парольная защита 12 Ограничение доступа к маршрутизатору 15 Заключение 16 Перечень использованных источников 17 Введение. Компания Cisco Systems является абсолютным фаворитом на рынке маршрутизаторов (занимает около Защита маршрутизатора средствами CISCO IOS - реферат 70% рынка; на втором месте Juniper c 21%). Cisco предлагает модели от простых маршрутизаторов для малого кабинета (серия 800) до мультигигабитных устройств, размещаемых в ядре Веба (серия 12000). Не считая маршрутизаторов Cisco известна коммутаторами ЛВС марки Catalyst, межсетевыми экранами марки PIX, продуктами для IP-телефонии, продуктами марки Aironet для организации беспроводных сетей и др Защита маршрутизатора средствами CISCO IOS - реферат. С учетом всей номенклатуры выпускаемой продукции Cisco Systems является фаворитом мирового рынка оборудования связи (14%; на втором месте Siemens с 11,7%). Все модели, не считая серии 800, владеют той либо другой степенью модульности, другими словами, позволяют устанавливать сменные интерфейсные модули и спец вычислительные модули (для шифрования либо обработки голоса). Соответственно, стоимость устройства Защита маршрутизатора средствами CISCO IOS - реферат очень находится в зависимости от комплектации. Обширно всераспространены также устройства серий 2500 и 4000, но в текущее время они сняты с производства (кроме моделей 2509 и 2511). На замену 2500 пришли маршрутизаторы серий 1700 и 2600, а на замену 4000 - 3600. Программное обеспечение маршрутизаторов Cisco. Все маршрутизаторы Cisco работают под управлением операционной системы Cisco IOS. Для каждой модели Защита маршрутизатора средствами CISCO IOS - реферат маршрутизатора предлагаются несколько разновидностей IOS. Образы IOS различаются по версии. Cisco употребляет довольно сложную систему идентификации версий, ознакомиться с которой можно по этой ссылке. Для студентов довольно будет последующего осознания: номер версии Cisco IOS состоит из 3-х частей: Номер основного релиза (major release; в текущее время Защита маршрутизатора средствами CISCO IOS - реферат обычно встречаются главные релизы 11.3, 12.0, 12.1, 12.2). Номер обновления (maintenance release), начиная с 1. Обновления выпускаются каждые 8 недель, в их врубаются исправления ошибок. Набор многофункциональных способностей релиза не меняется. Номер выпуска (software rebuild), обозначается буковкой, начиная с а. Выпуски созданы для критического исправления ошибок, которое не может ожидать до последующего обновления. Таким макаром, IOS 12.2(6с Защита маршрутизатора средствами CISCO IOS - реферат) - это основной релиз 12.2, обновление 6, выпуск c. Любая версия характеризуется степенью зрелости, обычно это LD (Limited Deployment) либо GD (General Deployment). LD предполагает наименьший объем тестирования и опыта эксплуатации по сопоставлению с GD. Не считая основного ряда IOS существует экспериментальный ряд, так именуемый T-train (либо, официально, Technology Releases). Конкретно в Защита маршрутизатора средствами CISCO IOS - реферат T-train врубаются новые способности и проходят "обкатку" до того, как будут введены в основной ряд. Нумерация версий ряда Т строится аналогично основному ряду (только выпуски нумеруются цифрами): IOS 12.1(6)T2 - этот T-train базируется на основном релизе 12.1. Это 2-ой выпуск шестого обновления обозначенного T-train. С течением Защита маршрутизатора средствами CISCO IOS - реферат времени из T-train выходит последующий основной релиз (так к примеру, 12.0(6)Т перебегает в 12.1, и в тот же момент появляется ряд 12.1Т для прибавления новых способностей). Зрелость T-train характеризуется как ED (Early Deployment), что значит, что программное обеспечение не рекомендуется использовать на ответственных участках, если аналогичную функциональность можно отыскать в Защита маршрутизатора средствами CISCO IOS - реферат версиях LD либо GD. Не всякая версия может быть установлена на определенный маршрутизатор в конретной конфигурации; за ранее следует проконсультироваться у спеца компании-реселлера. Не считая версий, образы IOS различаются по заложенной в их функциональности. Многофункциональные способности группируются в наборы, именуемые feature sets. Малая функциональность содержится в IP only Защита маршрутизатора средствами CISCO IOS - реферат feature set (либо просто "IP"); она содержит в себе, а именно, поддержку IP-интерфейсов, статическую и динамическую IP-маршрутизацию, поддержку мониторинга и управления по SNMP. IP Plus feature set включает дополнительные способности (к примеру, поддержку технологии VoIP для передачи голоса). Также имеются feature sets с функциями Защита маршрутизатора средствами CISCO IOS - реферат межсетевого экрана (FW, Firewall), системы обнаружения атак (IDS), криптозащиты трафика (IPSEC) и др., в том числе имеются и комбинированные образы, к примеру IP Plus FW IPSEC. Безвозмездно с маршрутизатором поставляется только IP only feature set, другие образы нужно брать. Для определения того, в каком feature set имеется требуемая вам Защита маршрутизатора средствами CISCO IOS - реферат возможность, следует обратиться к спецу компании-реселлера. Таким макаром, определенный образ IOS идентифицируется 3-мя параметрами: аппаратная платформа, для которой он предназначен, feature set, версия. Пример названии файла с образом IOS: c3620-is-mz.122-13a.bin. Это IOS IP Plus 12.2(13a) для Cisco 3620. Feature set (IP Plus) идентифицируется знаками "is", последующими Защита маршрутизатора средствами CISCO IOS - реферат за обозначением платформы. Другие примеры feature sets: "i" - IP, "js" - Enterprise Plus, "io" - IP FW. Схожая шифровка справедлива для серий 2600, 3600; для других платформ коды feature set могут отличаться. Буковкы "mz" означают, что IOS при запуске загружается в оперативку (m) и что в файле образ хранится в сжатом виде (z Защита маршрутизатора средствами CISCO IOS - реферат). Главные интерфейсы. В каждом маршрутизаторе имеется некое число физических интерфейсов. Более всераспространенными типами интерфейсов являются: Ethernet/FastEthernet и поочередные интерфейсы (Serial). Поочередные интерфейсы по собственному аппаратному выполнению бывают синхронные, синхронно-асинхронные (режим выбирается командой конфигурации) и асинхронные (Async). Протоколы физического уровня поочередных интерфейсов: V.35 (в большинстве случаев употребляется на синхронных линиях Защита маршрутизатора средствами CISCO IOS - реферат), RS-232 (в большинстве случаев употребляется на асинхронных линиях) и другие. Каждому интерфейсу соответствует разъем на корпусе маршрутизатора. Интерфейсы Ethernet на витой паре обычно имеют разъем RJ-45, но на неких моделях (серия 2500) встречаются разъемы AUI (DB-15), которые требуют подключения наружного трансивера, реализующего тот либо другой интерфейс физического уровня Защита маршрутизатора средствами CISCO IOS - реферат Ethernet. Поочередные интерфейсы в большинстве случаев снабжаются фирменными разъемами DB-60 F либо SmartSerial F (последний более малогабаритен). Для того, чтоб подключить интерфейс к наружному оборудованию, нужно использовать фирменный кабель - собственный для каждого протокола физического уровня. Фирменный кабель имеет с одной стороны разъем DB-60 M, а с другой стороны Защита маршрутизатора средствами CISCO IOS - реферат - разъем избранного эталона физического уровня для устройства DTE либо DCE. Таким макаром, кабель делает последующие задачки: методом замыкания особых контактов в разъеме DB-60 говорит маршрутизатору, какой избран протокол физического уровня, и каким типом устройства является маршрутизатор: DTE либо DCE; является переходником с универсального разъема DB-60 на стандартный разъем избранного протокола Защита маршрутизатора средствами CISCO IOS - реферат физического уровня. Примечание. В терминологии Cisco кабель DTE подключается к устройству DCE, а кабель DCE - к устройству DTE; другими словами тип кабеля показывает, какого вида устройством является сам маршрутизатор, а не тот прибор, с которым его соединяет кабель. Обычно кабели DTE употребляются для подключения к маршрутизатору модемов, а связка 2-ух кабелей Защита маршрутизатора средствами CISCO IOS - реферат DTE-DCE употребляется для соединения 2-ух маршрутизаторов впрямую (back-to-back), при всем этом, естественно, один из маршрутизаторов будет в роли DCE. На рисунке 2.2 приведен пример сипользования кабедей для соединения устройств через интерфейс V.35 (стандартный разъем M.34). Не считая универсальных поочередных интерфейсов, рассматривавшихся выше, есть спец поочередные Защита маршрутизатора средствами CISCO IOS - реферат интерфейсы, реализованные вкупе с каналообразующим оборудованием: контроллеры E1, модули ISDN BRI, модули DSL, интегрированные аналоговые либо ISDN-модемы. В данном случае поочередный интерфейс находится снутри маршрутизатора, "меж" каналообразующим оборудованием и ядром маршрутизатора. Для подключения линий связи к вышеуказанному каналообразующему оборудованию обычно употребляется разъем RJ-45 (для подключения линий к Защита маршрутизатора средствами CISCO IOS - реферат аналоговым модемам - RJ-11). Консольные интерфейсы. Два особых поочередных интерефейса - CON и AUX - созданы для доступа с терминала админа к маршрутизатору для опции и управления. Интерфейс CON подключается напосредственно к COM-порту компьютера админа. К интерфейсу AUX подключается модем, что дает возможность удаленного управления маршрутизатором методом дозвона на модем. Интерфейс AUX может Защита маршрутизатора средствами CISCO IOS - реферат быть применен и как обыденный поочередный интерфейс, через который делается маршрутизация дейтаграмм, но обрабока пакетов на этом интерфейсе просит большой толики процессорного времени (каждый приобретенный б вызывает прерывание), а скорость ограничена 115 кбит/с. Интерфейс CON употребляется только для терминального доступа к маршрутизатору, характеристики COM-порта должны быть Защита маршрутизатора средствами CISCO IOS - реферат 9600-8-N-1. Обычно разъемы CON и AUX выполнены в формате RJ-45. Подключение к ним делается при помощи специального кабеля RJ45-RJ45, прилагаемого к маршрутизатору. Одним концом кабель врубается в CON либо AUX, а на другой надевается переходник. Для подключения порта CON к компу на кабель надевается переходник, помеченный как "TERMINAL", а для Защита маршрутизатора средствами CISCO IOS - реферат подключения порта AUX к модему со стороны модема употребляется переходник "MODEM". Виртуальные интерфейсы. Вместе с физическими интерфейсами в маршрутизаторе могут быть организованы виртуальные интерфейсы: Loopback, Null, Dialer, Virtual-Template, Multilink, BVI и др. Loopback и Null вообщем никак не связаны с физическими интерфейсами. Loopback - это интерфейс оборотной связи Защита маршрутизатора средствами CISCO IOS - реферат, ему можно назначать Айпишник и указывать некие другие характеристики, применяемые при настройках интерфейсов. Loopback имеет последующие характеристики: интерфейс всегда активен (в отличие от физических интерфейсов, где, к примеру, обрыв кабеля переводит интерфейс в отключенное состояние); как и в случае физических интерфейсов, пакеты, адресованные на этот интерфейс, числятся адресованными Защита маршрутизатора средствами CISCO IOS - реферат маршрутизатору, а воображаемая IP-сеть, к которой он "подсоединен" (согласно своим адресу и маске), считается конкретно подсоединенной к маршрутизатору; пакеты, маршрутизированные через таковой интерфейс (другими словами, направленные к узлам воображаемой сети, к которой подсоединен Loopback), уничтожаются. Внедрения интерфейсов Loopback подвергнутся рассмотрению по ходу лабораторного практикума. Интерфейс Null не имеет Айпишники и Защита маршрутизатора средствами CISCO IOS - реферат иных опций. Пакеты, маршрутизированные через интерфейс типа Null, уничтожаются. Null используется при фильтрации дейтаграмм, также для сотворения защитных маршрутов при суммировании маршрутов. Другие виртуальные интерфейсы практически получают и посылают данные через физические интерфейсы, но в этом случае IP-интерфейс больше не ассоциируется конкретно с физическим портом маршрутизатора. Порт Защита маршрутизатора средствами CISCO IOS - реферат (порты), находящиеся "под" виртуальным интерфейсом, работают сейчас лишь на уровнях 1 и 2 и им не присваиваются Айпишники. Решения Cisco Systems для обеспечения сетевой безопасности. Компания Cisco Systems, являясь одним из ведущих производителей сетевого оборудования, предлагает полный диапазон решений для обеспечения сетевой безопасности. Ниже приведен лаконичный список новых товаров и Защита маршрутизатора средствами CISCO IOS - реферат решений, предлагаемых в данной области. Для обеспечения защиты сетевых соеднений: Network based IPSec VPN solution for Service Providers, VPN AIM Module for Cisco 2600XM, VAM2 Card for 7200s, VPN SM for Cat6500/7600, VPN 3000 Concentrator v4.0, AES Module for VPN 3000, VPN Client v.4.0.
Для управления системой безопасности: Cisco IOS AutoSecure Защита маршрутизатора средствами CISCO IOS - реферат, Cisco Security Device Manager v1.0 , Cisco ISC v3.0, CiscoWorks VMS v2.2, CiscoWorks Security Information Management Solution (SIMS) v3.1.
Для обнаружения и предотвращения сетевых атак и вторжений: IDS 4215 Sensor, IDS Network Module for Cisco 2600XM, 3660, 3700 series, Cisco Security Agents v4.0, Cisco CSS 11501S and WebNS v7.2 SSL s/w ,Cisco ACNS Защита маршрутизатора средствами CISCO IOS - реферат Software version 5.0.3 with Websense Content Filtering On-Box.
Для достоверной идентификации сторон, участвующих в защищенном обмене информацией: Cisco IOS software Identity Enhancements. Network based IPSec VPN solution for Service Providers позволяет поставщикам услуг доступа управлять распределенными сетями на базе MPLS-VPN, IP-VPN и FR/ATM-VPN с Защита маршрутизатора средствами CISCO IOS - реферат помощью 1-го интегрированного пакета управления. VPN AIM Module for Cisco 2600XM (AIM-VPN/BPII) предоставляет маршрутизатору функции аппаратной шифрации с поддержкой алгоритмов DES, 3DES и AES и обеспечивает вдвое более высшую производительность по сопоставлению с предшествующим модулем ускорения шифрации (AIM-VPN/BP) - до 22 Мбит/сек. VAM2 Card for Cisco 7200 - модуль аппаратного Защита маршрутизатора средствами CISCO IOS - реферат ускорения шифрации для маршрутизаторов серии Cisco 7200. Один модуль обеспечивает производительность шифрации до 260 Мбит/сек, два модуля - до 460 Мбит/сек. VPN SM for Cat6500/7600 - сервисный модуль аппаратной шифрации для коммутаторов Catalyst 6500/7600. Обеспечивая производительность до 14 Гбит/сек он также поддерживает расширенную функциональность - поддержку и ускорение GRE-туннелей, полнофункциональне резервирование IPSec-соединений Защита маршрутизатора средствами CISCO IOS - реферат (stateful failover), IPSec Remote Access и возможность подключения WAN-интерфейсов. VPN 3000 Concentrator v4.0 - новое ПО для концентратора VPN-соединений. Появились новые диагностические функции, поддержка авторизации юзеров через Kerberos/Active Directory, LAN-to-LAN backup для резервирования межсетевых соединений. Также появилась поддержка нового модуля шифрации AES - SEP-E, поддерживающего Защита маршрутизатора средствами CISCO IOS - реферат до 10000 одновременных соединений DES/3DES/AES. VPN Client v.4.0 - новенькая версия ПО для клиентских рабочих станций, работающих через VPN. Интеграция с Cisco Security Agent предоставляет юзеру функции firewall, удачный и обычный графический интерфейс упрощает настройку и управление, поддержка приложений, работающих с протоколом H.323 позволяет дистанционно разговаривать, не беспокоясь о Защита маршрутизатора средствами CISCO IOS - реферат защищенности соединения. Cisco IOS AutoSecure - функция интерфейса IOS, позволяющая стремительно произвести настройку функций безопасности, отключить изредка применяемые сетевые сервисы и разрешить доступ и управление только для авторизованных юзеров. Cisco Security Device Manager v1.0 - ПО управления сетевой безопасностью, доступное на всех моделях маршрутизаторов доступа, от Cisco 830 до Cisco 3700, позволяющее в графическом Защита маршрутизатора средствами CISCO IOS - реферат режиме, удаленно с хоть какой раюбочей станции (через веб-браузер) изменять любые опции безопасности на маршрутизаторе. Интегрированный метод аудита предупредит юзера о потенциально небезопасных настройках и предложит варианты решения. Cisco ISC v3.0 - Cisco IP Solution Center позволяет определять политики безопасности для всей сети, скрывая подробности реализации политик на Защита маршрутизатора средствами CISCO IOS - реферат определенных устройствах. Политики позволяют учесть схемы реализации устройств LAN-to-LAN VPN, Remote Access VPN, EZ VPN и DMVPN, Firewall, NAT и QoS, а ISC реализует их на всех сетевых устройствах, работающих с механизмами безопасности (IOS, PIX, VPN3K Concentrator и т.п.). CiscoWorks VPN/Security management Solution 2.2 централизует функции управления Защита маршрутизатора средствами CISCO IOS - реферат, мониторинга, учета, диагностики и обновления для ПО всех сетевых устройств Cisco, реализующих функции сетевой безопасности. CiscoWorks Security Information Management Solution (SIMS) v3.1 позволяет управлять безопасностью в сетях, использующих оборудование и ПО разных производителей. IDS 4215 Sensor - отдельное устройство в стоечном выполнении, высотой 1 RU, позволяет организовывать до 5 детекторов Защита маршрутизатора средствами CISCO IOS - реферат с общей пропускной способностью до 80 Мбит/сек, которые способны прослушивать сетевой трафик, выслеживать потенциально страшную активность, решать деяния по предотвращению и остановке сетевых атак. IDS Network Module for Cisco 2600XM, 3660, 3700 series - аналогичное устройство, но созданное для слежения за трафиком на самом периметре сети - на маршрутизаторе доступа. Обеспечивая производительность до 45 Мбит Защита маршрутизатора средствами CISCO IOS - реферат/сек, модуль употребляет то же ПО, что и IDS sensor, что позволяет строить гомогенную инфраструктуру безопасности, с единым централизованным интерфейсом управления. Cisco Security Agents v4.0 - "последняя линия" сетевой обороны, ПО, устанавливаемое на рабочие станции и серверы. Они выслеживают пробы несанкционированного доступа к операционной системе, также смотрят за активностью приложений, в Защита маршрутизатора средствами CISCO IOS - реферат случае неправильных действий либо нестабильной работы они могут приостановить либо перезапустить приложение либо сервис. Оповещения о подозрительных событиях пересылаются и скапливаются на центральной консоли управления. Cisco CSS 11500 Series Content Services Switch - платформа управления трафиком на уровнях 4-7, позволяющая определять правила рассредотачивания трафика, его балансировки и резервирования. Cisco ACNS Software Защита маршрутизатора средствами CISCO IOS - реферат version 5.0.3 with Websense Content Filtering On-Box - версия 4 этого продукта работала как двухуровневая система, где модуль фильтрации располагался на устройствах Cisco Content Engine, а набор шаблонов WebSense для фильтрации - на наружном сервере. Новенькая версия совмещает оба элемента на одной платформе (Content Engine). Cisco IOS software Identity Enhancements - новые Защита маршрутизатора средствами CISCO IOS - реферат функции IOS обеспечивают надежную идентификацию устройств и юзеров, участвующих в обмене информацией по защищенным каналам. Поддержка инфраструктуры PKI и интеграция с функциями AAA на серверах, маршрутизаторах и концентраторах доступа упрощают идентификацию в распределенной сети с внедрением цифровых сертификатов и подписей. Secure RSA private key предутверждает внедрение украденных маршрутизаторов - в Защита маршрутизатора средствами CISCO IOS - реферат случае пробы вскрытия пароля приватные ключи маршрутизатора уничтожаются. N-tier CA Chaining позволяет отследить цепочку доверенных сертификатов, начиная с наиблежайшего и заканчивая центральным (root) certificate authority. Authentication Proxy инспектирует права юзера перед тем как выпустить юзера за границы сети. Secure ARP - связывает MAC и Айпишники устройств, не позволяя подменить Защита маршрутизатора средствами CISCO IOS - реферат одно из устройств в процессе передачи данных. Поддержка 802.1X просит авторизации юзера перед тем как пустить его трафик в сеть. Пользовательский и привилегированный уровни доступа. Cisco IOS для конфигурации маршрутизатора поддерживает интерфейс командной строчки, работать с которым можно с терминала, присоединенного к маршрутизатору через консольный порт (Console port) либо при помощи Защита маршрутизатора средствами CISCO IOS - реферат удаленного доступа по модему и telnet - соединения по сети. Сеанс командной строчки именуется EXEC-сессией. В целях безопасности Cisco IOS обеспечивает два уровня доступа к интерфейсу командной строчки: пользовательский и привилегированный. Пользовательский уровень именуется user EXEC режим, а привилегированный privileged EXEC режим.
Предвидено 16 уровней льгот: от 0 до Защита маршрутизатора средствами CISCO IOS - реферат 15. На нулевом уровне доступно всего 5 команд: disable, enable, exit, help, logout. На уровне 15 доступны все вероятные команды. Пользовательский режим Вид командной строчки имеет вид Router>
Этот режим позволяет временно поменять опции терминала, выполнить главные испытания, просмотреть системную информацию и подключиться к удаленному устройству. Пользовательский режим по дефлоту имеет 1-ый уровень привилегии. Набор Защита маршрутизатора средствами CISCO IOS - реферат команд значительно ограничен. Для перехода на другой уровень льгот нужно ввести команду enable [номер уровня], к примеру Router>enable 7 Команды enable и enable 15 являются подобными и приводят юзера на привилегированный уровень. Привилегированный режим Вид командной строчки в имеет вид Router#
Набор привилегированных команд устанавливает характеристики работы Защита маршрутизатора средствами CISCO IOS - реферат системы. Юзер имеет доступ к командам глобального конфигурирования и особым конфигурационным режимам. Способности пользовательского режима с первым уровнем приемуществ довольно широкие. Из этого режима может быть выполнение "небезопасных" команд, таких как telnet, connect, tunnel, login и совершенно не подходящих для неких юзеров команд traceroute, enable, mstat, mrinfo, также команд группы Защита маршрутизатора средствами CISCO IOS - реферат show: show hosts, show versions, show users, show flash: и многие другие. Права юзеров можно тонко настраивать: хоть какому юзеру можно назначить определенный уровень при входе в маршрутизатор, всякую команду можно перевести на уровень, хороший от стандартного. В свое время у нас появилась задачка сотворения юзера с наименьшими способностями: запрет команды Защита маршрутизатора средствами CISCO IOS - реферат enable, всех команд группы show и единственной разрешенной командой telnet. Это может быть воплотить последующим образом: 1. Сделаем юзера cook с нулевым уровнем льгот Router(config)#username cook privilege 0 password 7 044D0908 2. Работать это будет только тогда, когда прописать последующее Router(config)#aaa new-model
Router(config)#aaa authorization exec default Защита маршрутизатора средствами CISCO IOS - реферат local none После регистрации юзер с именованием cook по команде ? (перечень доступных команд) увидит список: Router>? Exec commands: Session number to resume disable Turn off privileged commands enable Turn on privileged commands exit Exit from the EXEC help Description of the interactive help system logout Exit from the EXEC Защита маршрутизатора средствами CISCO IOS - реферат Router> Команду enable переведем на уровень выше (на уровень 1), а выполнение команды telnet разрешим для нулевого уровня Router(config)#privilege exec level 1 enable
Router(config)#privilege exec level 0 telnet К данным командам действует некое исключение - их действие нельзя отменить с помощью стандартной команды no. Этот вариант тут не проходит Защита маршрутизатора средствами CISCO IOS - реферат. Router(config)#no privilege exec level 1 enable
Router(config)#no privilege exec level 0 telnet Для отмены деяния этих команд нужно ввести последующие команды: Router(config)#privilege exec reset enable
Router(config)#privilege exec reset telnet На данный момент после регистрации юзер cook по команде ? увидит последующее: Router>? Exec commands: Session number to Защита маршрутизатора средствами CISCO IOS - реферат resume disable Turn off privileged commands exit Exit from the EXEC help Description of the interactive help system logout Exit from the EXEC telnet Open a telnet connection Router> Проделав все операции, получили юзера с заблаговременно данными способностями. Существует таковой тип юзеров, для которых нужно зарегистрироваться на маршрутизаторе и Защита маршрутизатора средствами CISCO IOS - реферат выполнить одну единственную команду (к примеру, show users). Для этого можно завести на маршрутизаторе юзера с входом без пароля и с выполнением автокоманды. Router(config)#username dream nopassword autocommand show users После ввода имени юзера dream на экран выдается информация о присутствующих на этот момент на маршрутизаторе Защита маршрутизатора средствами CISCO IOS - реферат юзерах. Парольная защита. В согласовании с имеющимися пользовательским и привилегированным уровнями доступа существует два вида паролей: username password и enable secret (либо enable password). Оба типа этих паролей могут иметь длину до 25 знаков, содержать внутри себя разные знаки препинания и пробелы. Пароль типа username password устанавливается с подходящим ему именованием Защита маршрутизатора средствами CISCO IOS - реферат юзера. Задается это в режиме конфигурации последующей командой (юзер cook с паролем queen): Router(config)#username cook password queen При выводе конфигурации (с помощью команды show running-config) на дисплее мы увидим последующую информацию: username cook password 0 queen Из этой строчки лицезреем, что пароль находится в "открытом виде", тип "0" значит Защита маршрутизатора средствами CISCO IOS - реферат "незашифрованный пароль". Если пристально поглядеть самое начало конфигурации, то можно увидеть последующую строчку: no service password-encryption Это сервис шифрования видимой части пароля. По дефлоту он отключен. Правильным считается (для обеспечения безопасности - от простого подглядывания) включать этот сервис. Router(config)#service password-encryption Тогда строчка конфигурации об имени и пароле Защита маршрутизатора средствами CISCO IOS - реферат юзера будет иметь несколько другой вид, где мы уже не лицезреем текст пароля в очевидном виде (тип "7" - зашифрованный пароль): username cook password 7 03154E0E0301 Для входа в privileg EXEC level (привилегированный уровень) юзер должен ввести пароль. При выключенном сервисе шифрования пароля соответственная строчка в конфигурации будет Защита маршрутизатора средствами CISCO IOS - реферат иметь вид: enable password queen При включенном же сервисе шифрования: enable password 7 071E34494B07 Необходимо подчеркнуть, что данный способ шифрования пароля довольно банален, есть скрипты, которые в секунду декодируют его назад в нормально читаемое состояние. Потому одним из принципиальных частей безопасности является вещь, с одной стороны очень дальная от Защита маршрутизатора средствами CISCO IOS - реферат телекоммуникаций и маршрутизаторов - порядок на своем рабочем месте. Чтоб не были просто доступными бумажки с записями пароля в открытом виде, также распечаток конфигураций роутеров, пусть даже пароль и будет зашифрован. Наилучшая возможность имеется для шифрования пароля к привилегированному уровню - внедрение не enable password, а enable secret, в каком для кодировки пароля применяется Защита маршрутизатора средствами CISCO IOS - реферат метод MD5 (тип "5"): Router(config)#enable secret queen Строчка конфигурации: enable secret 5 $1$EuWt$SxHM5UPH3AIL8U9tq9a2E0 Преимущество такового шифрования пароля в том, что его кодирование делается даже при отключенном сервисе шифрования (запамятовали включить либо не знали про таковой сервис). Скриптов по расшифровке таких паролей я Защита маршрутизатора средствами CISCO IOS - реферат не встречал, но их существование полностью возможно. Ограничение доступа к маршрутизатору. Управлять маршрутизаторами можно удаленно через telnet либо локально через консольный порт либо порт AUX. Отсюда следует два вида ограничения доступа к маршрутизатору: локальное и удаленное. Доступ к маршрутизатору для его конфигурирования и мониторинга может выполняться 6 методами: с Защита маршрутизатора средствами CISCO IOS - реферат терминала, компьютера админа (COM-порт), либо терминального сервера через консольный порт маршрутизатора с терминала, компьютера админа (COM-порт), либо терминального сервера методом дозвона на модем, подсоединенный к порту AUX через Telnet средством Unix-команды rsh по протоколу SNMP (community с правом записи - RW) через WWW-интерфейс (интегрированный в Защита маршрутизатора средствами CISCO IOS - реферат маршрутизатор HTTP-сервер) Терминальным сервером именуется хост, имеющий несколько поочередных асинхронных портов эталона RS-232 (COM-порты), к которым подключаются консольные кабели маршрутизаторов. Так как обыденный компьютер имеет 2 COM-порта, то для организации многопортового терминального сервера на базе ПК требуется установка карты расширения с дополнительными COM-портами (к примеру Защита маршрутизатора средствами CISCO IOS - реферат, RocketPort). Из обрудования Cisco в качестве терминальных серверов обычно употребляются маршрутизаторы Cisco 2509 (8 асинхронных интерфейсов) и 2511 (16 асинхронных интерфейсов); при всем этом режим маршрутизации обычно отключается (no ip routing). В целях безопасности все методы доступа, не считая консольного, следует по способности ограничить, а лучше - на сто процентов отключить. По дефлоту rsh и SNMP отключены Защита маршрутизатора средствами CISCO IOS - реферат, а доступ по Telnet, напротив, разрешен, при этом без пароля. Статус HTTP-сервера находится в зависимости от версии IOS и модели оборудования. Консольный доступ уже сам по для себя на физическом уровне ограничен подключением консольного кабеля к терминальному серверу. Если админ получает доступ к терминальному серверу удаленно Защита маршрутизатора средствами CISCO IOS - реферат, то встаёт задачка защищенного доступа на терминальный сервер. Более верный метод организации удаленного доступа к терминальному серверу - протокол SSH. Локальное ограничение доступа к маршрутизатору Во-1-х, нужно особое помещение с ограничением доступа для персонала, в каком бы находилось оборудование. Это рекомендуется для того, чтоб сторонний человек не имел физический доступ к Защита маршрутизатора средствами CISCO IOS - реферат маршрутизатору, т.к. при работе с маршрутизатором через консольный порт либо порт AUX мы работаем в EXEC сессии без пароля на уровне обыденного юзера. И для получения доступа к привилегированному режиму сторонний человек может пользоваться самым обычным способом восстановление паролей - перезагрузка маршрутизатора, вход в режим ROM Защита маршрутизатора средствами CISCO IOS - реферат-монитора, изменение значения регистра конфигурации, опять перезагрузка маршрутизатора и простый вход в привилегированный режим без всякого пароля (вообще-то, это стандартный способ восстановления позабытого пароля для доступа в privileg EXEC mode, но вот может употребляться и для совсем обратной цели). Если физический доступ к маршрутизатору не может быть довольно ограничен, то нужно Защита маршрутизатора средствами CISCO IOS - реферат установить пароль на работу в EXEC режиме по консольному порту и порту AUX. Вообщем это лучше делать всегда, даже когда маршрутизатор находится в закрытом помещении под 10 замками (а вы убеждены в собственных сотрудниках?). Делается это довольно легко и существует минимум два хороших варианта: совершенно запретить вход в привилегированный режим Защита маршрутизатора средствами CISCO IOS - реферат либо разрешить вход с обычной авторизацией через пароль. Пример конфигурации, в какой для консольного порта разрешен вход через пароль с временем работы на порту в течении 1,5 минут, а для порта AUX запрещен вход EXEC режим: aaa new-model
aaa authentication login default local line con 0
exec-timeout 1 30
line Защита маршрутизатора средствами CISCO IOS - реферат aux
no exec В этой конфигурации при подсоединении к консольному порту мы не сходу попадем в user EXEC режим как это происходит обычно, а только после ввода пользовательского имени и пароля. Желаю увидеть, что в параметрах команды exec-timeout время задается в минутках и секундах (через пробел), но если мы захотим Защита маршрутизатора средствами CISCO IOS - реферат указать 0 минут и 0 секунд (exec-timeout 0 0), то это не значит, что совершенно нельзя будет попасть на данный порт. Как раз напротив - юзер будет находиться в EXEC режиме нескончаемо длительно. Это необходимо непременно учесть админам при конфигурации маршрутизатора. Самое малое время - 1 секунда (exec-timeout 0 1). Удаленное ограничение доступа к маршрутизатору Обычно рекомендуется Защита маршрутизатора средствами CISCO IOS - реферат совершенно воспрещать удаленный доступ к маршрутизатору по telnet либо же агрессивно ограничивать его. Достигнуть этого можно благодаря применению списков доступа. 1. Полное воспрещение доступа по telnet к маршрутизатору access-list 1 deny any line vty 0 4
access-class 1 in 2. Доступ к маршрутизатору по telnet разрешен только с определенного хоста (сделаем Защита маршрутизатора средствами CISCO IOS - реферат расширенный перечень доступа и применим его к интерфейсу Ethernet 0/0) access-list 101 permit tcp host 140.11.12.73 host 140.11.12.236 eq telnet interface Ethernet0/0
ip address 140.11.12.236 255.255.255.0
ip access-group 101 in Нужно увидеть, что в перечне доступа в структуре "от кого - кому" в качестве "кому" прописан IP адресок интерфейса Ethernet 0/0. А так же то, что при данной Защита маршрутизатора средствами CISCO IOS - реферат конфигурации через Ethernet 0/0 больше никто никуда не попадет, отсекаемый неявным оператором deny any. Потому необходимо будет дополнить перечень доступа необходимыми "разрешениями". Если нужно изменять маршрутизатор с удаленного хоста и терминальный сервер при маршрутизаторе отсутствует (к примеру, одиночный маршрутизатор в удаленном филиале), то заместо Telnet следует использовать SSH. IPSEC Feature Защита маршрутизатора средствами CISCO IOS - реферат set операционной системы Cisco IOS поддерживает работу SSH-сервера конкретно на маршрутизаторе. IPSEC Feature set имеет высшую цена, просит достаточно зачительных ресурсов микропроцессора и памяти и реализует относительно слабенький метод (DES с 40-битным ключом). Поддержка сильного метода (Triple DES с 256-битным ключом) связана с преодолением экспортных Защита маршрутизатора средствами CISCO IOS - реферат ограничений США. Исходя из вышесказанного, организовывать административный доступ к маршрутизатору при помощи IPSEC Feature set следует только при невозможности подключения терминального сервера (либо если IPSEC Feature set уже употребляется для организации VPN). При доступе к маршрутизатору через WWW-интерфейс аутентификация юзера HTTP-сервером проводится по ненадежной технологии. Отключение HTTP Защита маршрутизатора средствами CISCO IOS - реферат-сервера: router(config)# no ip http server Протокол SNMP (по последней мере, версий 1 и 2) вообщем не предоставляет адекватных средств обеспечения безопасности, потому разрешать запись через SNMP категорически не рекомендуется. Чтение следует разрешить только для административной станции - для этого нужно сформировать соответственный перечень доступа и указать его в команде активизации Защита маршрутизатора средствами CISCO IOS - реферат SNMP-агента: router(config)#snmp-server community public RO номер _ перечня _ доступа Заключение. Защита паролем, ограничение локального доступа, шифрованные пароли, расширенные списки доступа, учет и запись событий на маршрутизаторах обеспечивают защиту от несанкционированных попыток доступа и протоколируют информацию о таких попытках, всё это можно воплотить средствами CISCO IOS. Перечень использованных источников. 1. http Защита маршрутизатора средствами CISCO IOS - реферат://cisco.com/ 2. http://www.mark-itt.ru/CISCO/ITO/ 3. http://telecom.opennet.ru/cisco/security.shtml#part_3 4. http://athena.vvsu.ru/net/labs/lab02_cisco_2.html#2.12
zashita-informacii-ot-kopirovaniya.html
zashita-informacii-s-pomoshyu-shifrovaniya.html
zashita-informacii-v-globalnih-i-lokalnih-kompyuternih-setyah-vvedenie-v-informatiku.html