При формировании системы защиты сети одной из важных задач является защита административного доступа к сетевым устройствам.
Принципы работы сетевого оборудования и основные используемые протоколы у различных производителей одинаковы, так как они основываются на концепции модели OSI, поэтому, здесь и далее все будет рассматриваться на примере сетевого оборудования фирмы “Cisco”.
Рассмотрим уязвимые места, через которые может быть выполнен несанкционированный доступ к сетевому оборудованию.
• Доступ через консольные порты (console) устройств к файлам конфигурации.
• Доступ через порт удаленного соединения (AUX).
• Удаленный доступ через порты Telnet устройств к файлам конфигурации.
• Доступ к файлам конфигурации устройств и определение топологии сети с помощью средств SNMP.
• Определение топологии внутренней сети и получение доступ к сетевым устройствам с помощью перехвата обновлений маршрутизации.
• Доступ к сетевому оборудованию по протоколу HTTP (Hypertext Transfer Protocol — протокол передачи гипертекстовых файлов).
|
|
Для снижения вероятности угроз по этим направлениям необходимо обеспечить защиту по следующим направлениям:
• защита на уровне физического доступа к устройствам;
• защита на уровне административного интерфейса;
• защита связей между маршрутизаторами.
Защита на уровне физического доступа к устройствам.
Возможность физического доступа к сетевому оборудованию предоставляет злоумышленнику полный контроль над ним. При открытом доступе к сетевому оборудованию установка сложных средств защиты бесполезна. Для предотвращения физического доступа необходимо выполнить ряд мероприятий.
• Установление политики контроля. Необходимо разработать план по обеспечению контроля доступа к сетевому оборудованию и линиям связи с графиком проверки состояния защиты.
• Ограничение доступа к оборудованию и обеспечение надежности электропитания и охлаждения. Необходимо выбрать правильное место размещения оборудования. Сетевое оборудование должно размещаться в помещении с ограничением физического доступа. Право доступа в это помещение должно строго регламентироваться. Для наиболее важного оборудования необходимо обеспечить резервные источники питания или источники бесперебойного питания (ИБП). В помещении необходимо обеспечить систему кондиционирования для предотвращения перегрева.
• Контроль прямого доступа ко всему сетевому оборудованию. Корпуса сетевого оборудования должны быть закрыты на замки или размещены в закрывающихся стойках. Доступ к консольному порту должен быть строго регламентирован.
• Обеспечение защиты линий связи. Необходимо выполнять периодическую проверку всех коммуникационные линии на предмет прослушивания, а так же надежность закрытия распределительных шкафов.