Сетевая безопасность

Содержание

Слайд 2

Сетевая безопасность

Уязвимости
Технологические;
Конфигурационные;
Отсутствие внятной политики безопасности.

Сетевая безопасность базируется на трех факторах: уязвимости, угрозы

Сетевая безопасность Уязвимости Технологические; Конфигурационные; Отсутствие внятной политики безопасности. Сетевая безопасность базируется
и атаки.
Уязвимости Существуют три основных категории уязвимостей: Технологические - уязвимости, связанные с операционной системой, протоколами TCP/IP, слабыми сторонами сетеврого оборудования.

Слайд 3

Сетевая безопасность

Угрозы
Угрозы физической инфраструктуры;
Неструктурированные угрозы;
Структурированные угрозы;
Внешние угрозы;
Внутренние.

Угрозы Угрозы могут быть следующих типов: Угрозы физической инфраструктуры - угрозы физического урона для оборудования,

Сетевая безопасность Угрозы Угрозы физической инфраструктуры; Неструктурированные угрозы; Структурированные угрозы; Внешние угрозы;
угрозы окружающей среды, электрические угрозы, угрозы, связанные с проблемой обслуживания.

Слайд 4

Сетевая безопасность

Атаки
Разведка (сканирование портов, анализ пакетов, запросы информации в интернете, проверка доступности

Сетевая безопасность Атаки Разведка (сканирование портов, анализ пакетов, запросы информации в интернете,
(nslookup, whois, ping, Nmap, Superscan, Wireshark). Защита: шифрование полезной информации в пакетах; запрет на использование протоколов, восприимчивых к прослушиванию.
Доступ (возможность злоумышленника получить доступ к устройству, для которого он не имеет учетной записи или пароля с помощью известных уязвимостей системы или программы) Защита: требовать от пользователей использовать сложные пароли, регулярно производить смену паролей.

Атаки Существует четыре вида: Разведка - сбор данных о системах, услугах и уязвимостях. Это сканирование портов, анализ пакетов, запросы информации в интернете, проверка доступности (nslookup, whois, ping, Nmap, Superscan, Wireshark). Методы защиты: использование коммутаторов, а не концентраторов; шифрование полезной информации в пакетах; запрет на использование протоколов, восприимчивых к прослушиванию.

Слайд 5

Сетевая безопасность

Атаки
Отказ в обслуживании (DoS) (злоумышленник отключает какие-то службы или замедляет их работу до

Сетевая безопасность Атаки Отказ в обслуживании (DoS) (злоумышленник отключает какие-то службы или
такой степени, что они перестают отвечать на запросы) Пример: Ping смерти - ICMP пакеты с большим размером буфера (до 65536 байт); много SYN запросов на установление ТСР сессий; отправка большого количества сообщений электронной почты; Распределенная атака с множества хостов (DDoS).
Черви, вирусы и трояны (вредоносное ПО, повреждающее систему, отказывает в доступе, а также может передавать злоумышленнику конфиденциальную информацию с компьютера).

Черви, вирусы и трояны - вредоносное ПО, которое повреждает систему, отказывает в доступе, а также может передавать злоумышленнику конфиденциальную информацию с компьютера.

Слайд 6

Базовая защита серверов и рабочих станций

После установки ОС сменить все учетные записи

Базовая защита серверов и рабочих станций После установки ОС сменить все учетные
и пароли по умолчанию;
Разрешить доступ только определенным лицам;
Выключить все неиспользуемые службы и приложения;
Установить антивирус и регулярно его обновлять;
Поставить персональный брендмауер;
Регулярно проверять и устанавливать обновления для ОС;
Использовать системы:
обнаружения вторжений (IDS);
предотвращения вторжений (IPS).

1. После установки ОС сменить все учетные записи и пароли по умолчанию. 2. Разрешить доступ только определенным лицам, кому надо, а не всем. 3. Выключить все неиспользуемые службы и приложения. 4. Установить антивирус и регулярно его обновлять. 5. Поставить персональный брендмауер.

Слайд 7

«Колесо» сетевой безопасности

Защита;
Мониторинг;
Тестирование;
Усиление защиты.
Защита маршрутизаторов:
физическая безопасность;
обновление IOS до последней стабильной версии;
резервное копирование

«Колесо» сетевой безопасности Защита; Мониторинг; Тестирование; Усиление защиты. Защита маршрутизаторов: физическая безопасность;
IOS и конфигурации;
отключение неиспользуемых портов и служб.

Есть четыре повторяющихся шага для достижения безопасности 1. Защита 2. Мониторинг 3. Тестирование 4. Усиление защиты

Слайд 8

Настройка безопасности на маршрутизаторе

Настройка безопасности на маршрутизаторе

Слайд 9

1. Настройка паролей на маршрутизаторе

Уровень шифрования паролей:
без шифрования(0);
простое шифрование (7), команда: R1(config)#service password-encryption
комплексное

1. Настройка паролей на маршрутизаторе Уровень шифрования паролей: без шифрования(0); простое шифрование
шифрование (5), команды: R1(config)#username admin secret cisco R1(config)#enable secret cisco
Требования маршрутизатора по длине паролей: R1(config)#security passwords min-length 10
(Команда будет иметь эффект только для новых паролей)

Уровень шифрования паролей бывает трех уровней - без шифрования(0) - при выводе конфигурации можно прочитать пароль - простое шифрование (7) - используется алгоритм шифрования Cisco. Настраивается командой: R1(config)#service password-encryption - комплексное шифрование (5) - используется алгоритм MD5. Настраивается при помощи команд R1(config)#username admin secret cisco R1(config)#enable secret cisco

Слайд 10

2. Настройка удаленного доступа

На портах (линиях), через которые не будет проводится конфигурирование,

2. Настройка удаленного доступа На портах (линиях), через которые не будет проводится
отключаем командами: R1(config)#line aux 0 R1(config-line)#no password R1(config-line)#login R1(config)#line aux 0
На виртуальных каналах (VTY) по умолчанию настроена возможность подключения через любые протоколы. Поэтому лучше оставлять возможность подключения лишь через определенные протоколы. R1(config)#line vty 0 4 R1(config-line)#no transport input R1(config-line)#transport input ssh

2. Настройка удаленного доступа на портах (линиях), через которые не будет проводится конфигурирование, отключаем командами: R1(config)#line aux 0 R1(config-line)#no password R1(config-line)#login R1(config)#line aux 0

Слайд 11

2. Настройка удаленного доступа

Злоумышленник может подключиться ко всем виртуальным линиям без ввода

2. Настройка удаленного доступа Злоумышленник может подключиться ко всем виртуальным линиям без
пароля, при этом администратор не сможет подключиться, т.к. все линии заняты. Решение:
настроить одну виртуальную линию для работы только с конкретного ІР адреса;
настроить тайм-аут для неиспользующихся сессий, через который виртуальные линии будут освобождаться: R1(config)#line vty 0 4 R1(config-line)#exec-timeout 3 30 - в минутах и секундах
Защититься от возможности перехвата сессий Telnet: R1(config)#line vty 0 4 R1(config-line)#service tcp-keepalives-in

Маршрутизаторы имеют ограниченное количество виртуальных линий. Поэтому существует еще одна угроза - злоумышленник может просто подключиться ко всем виртуальным линиям, даже не вводить пароль, и оставить. Сессии будут ожидать ввода пароля. А в это время администратор не сможет подключиться, т.к. все линии заняты.

Также надо защититься от возможности перехвата сессий Telnet: R1(config)#line vty 0 4 R1(config-line)#service tcp-keepalives-in

Слайд 12

2. Настройка удаленного доступа

Настроить SSH Router(config)#hostname R1 R1(config)#ip domain-name cisco.com R1(config)#crypto key generate rsa How many bits in

2. Настройка удаленного доступа Настроить SSH Router(config)#hostname R1 R1(config)#ip domain-name cisco.com R1(config)#crypto
the module [512]: 1024 R1(config)#username student secret cisco R1(config)#line vty 0 4 R1(config-line)#transport input ssh R1(config-line)#login local R1(config)#ip ssh time-out 15 - время ожидания неактивной сессии SSH R1(config)#ip ssh authentication-retries 2 - количество попыток ввода пароля

Настроить SSH Router(config)#hostname R1 R1(config)#ip domain-name cisco.com R1(config)#crypto key generate rsa How many bits in the module [512]: 1024 R1(config)#username student secret cisco R1(config)#line vty 0 4 R1(config-line)#transport input ssh

Слайд 13

2. Настройка удаленного доступа

Уязвимые службы и интерфейсы. R1(config)#no service tcp-small-servers R1(config)#no service udp-small-servers R1(config)#no ip

2. Настройка удаленного доступа Уязвимые службы и интерфейсы. R1(config)#no service tcp-small-servers R1(config)#no
bootp server R1(config)#no service finger R1(config)#no ip http server R1(config)#no snmp-server
Неиспользуемые службы: R1(config)#no cdp run R1(config)#no service config - удаленное автоконфигурирование R1(config)#no ip source-route R1(config)#no ip classless

Уязвимые службы и интерфейсы. Службы, которые обязательно должны быть отключены R1(config)#no service tcp-small-servers R1(config)#no service udp-small-servers R1(config)#no ip bootp server R1(config)#no service finger R1(config)#no ip http server R1(config)#no snmp-server

Слайд 14

2. Настройка удаленного доступа

Отключить неиспользуемые интерфейсы
R1(config-if)#shutdown
Отключить на интерфейсах возможность отвечать на пакеты

2. Настройка удаленного доступа Отключить неиспользуемые интерфейсы R1(config-if)#shutdown Отключить на интерфейсах возможность
с поддельными адресами источника
R1(config-if)#no ip directed-broadcast R1(config-if)#no ip proxy-arp

Слайд 15

2. Настройка удаленного доступа

Сетевые протоколы
SNMP - использовать только версию 3 (позволяет шифровать

2. Настройка удаленного доступа Сетевые протоколы SNMP - использовать только версию 3
информацию);
NTP - отключать протокол на портах, через которые он не будет использоваться;
DNS - по умолчанию, если DNS сервер не указан в настройках маршрутизатора, он начинает искать сервер путем рассылки широковещательных запросов.
явно указывать адрес DNS сервера: R1(config)#ip name-server addresses
отключать рассылку широковещательных DNS запросов: R1(config)#no ip domain-lookup.

Сетевые протоколы - SNMP - использовать только версию 3, который позволяет шифровать информацию. - NTP - надо отключать протокол на портах, через которые он не будет использоваться - DNS - по умолчанию, если DNS сервер не указан в настройках маршрутизатора, он начинает искать сервер путем рассылки широковещательных запросов.

Слайд 16

Настройка аутентификации в протоколах динамической маршрутизации

Настройка аутентификации в протоколах динамической маршрутизации

Слайд 17

Настройка аутентификации в протоколах динамической маршрутизации

Настройка интерфейсов, через которые можно отправлять обновления R1(config)#router

Настройка аутентификации в протоколах динамической маршрутизации Настройка интерфейсов, через которые можно отправлять
rip R1(config-router)#passive-interface default - отключаем рассылку на всех интерфейсах R1(config-router)#no passive-interface s0/0/0 - включаем рассылку на конкретных интерфейсах.

Слайд 18

Настройка аутентификации в протоколах динамической маршрутизации

Предотвращение несанкционированного приема 
обновлений RIP
2.1. RIP R1(config)#key chain RIP_KEY - создаем ключевую цепочку R1(config-keychain)#key 1 R1(config-keychain-key)#key-string cisco R1(config)#interface s0/0/0 R1(config-if)#ip rip

Настройка аутентификации в протоколах динамической маршрутизации Предотвращение несанкционированного приема обновлений RIP 2.1.
authentication mode md5 - указываем алгоритм шифрования R1(config-if)#ip rip authentication key-chain RIP_KEY - привязв\ываем цепочку к протоколу.

2. Предотвращение несанкционированного приема обновлений RIP 2.1. RIP …

Слайд 19

Настройка аутентификации в протоколах динамической маршрутизации

2.2. EIGRP R1(config)#key chain EIGRP_KEY R1(config-keychain)#key 1 R1(config-keychain-key)#key-string cisco R1(config)#interface s0/0/0 R1(config-if)#ip authentication mode eigrp 1 md5 R1(config-if)#ip authentication

Настройка аутентификации в протоколах динамической маршрутизации 2.2. EIGRP R1(config)#key chain EIGRP_KEY R1(config-keychain)#key
key-chain eigrp 1 EIGRP_KEY

Слайд 20

Настройка аутентификации в протоколах динамической маршрутизации

2.3. OSPF
2.3.1. Простая аутентификация без шифрования R1(config)#router ospf 1
R1(config-router)#area

Настройка аутентификации в протоколах динамической маршрутизации 2.3. OSPF 2.3.1. Простая аутентификация без
0 authentication - все обновления в зоне 0 будут требовать аутентификации
R1(config-router)#interface S0/0/0 R1(config-if)#ip ospf authentication-key cisco123 - указываем ключ
2.3.2. MD5 аутентификация R1(config)#interface s0/0/0 R1(config-if)#ip ospf message-digest-key 1 md5 cisco R1(config-if)#ip ospf authentication message-digest R1(config)#router ospf 10 R1(config-router)#area 0 authentication message-digest

Слайд 21

Автонастройка безопасности маршрутизатора

Автонастройка безопасности маршрутизатора
R1# auto secure;
The Cisco Router and Security Device

Автонастройка безопасности маршрутизатора Автонастройка безопасности маршрутизатора R1# auto secure; The Cisco Router
Manager R1# configure terminal R1(config)# ip http server R1(config)# ip http secure-server R1(config)# ip http authentication local R1(config)# username Name privilege 15 secret cisco R1(config)# line vty 0 4 R1(config-line)# privilege level 15 R1(config-line)# login local R1(config-line)# transport input telnet ssh

У маршрутизаторов есть возможность автоматически настроить опции безопасности с помощью команды: R1# auto secure
После ввода данной команды маршрутизатор настроит: - интерфейсы - баннеры - пароли - SSH - функции брендмауера - отключит ненужные службы

Имя файла: Сетевая-безопасность.pptx
Количество просмотров: 45
Количество скачиваний: 0