Защита административного доступа к сетевым устройствам

При формировании системы защиты сети одной из важных задач является защита административного доступа к сетевым устройствам.

Принципы работы сетевого оборудования и основные используемые протоколы у различных производителей одинаковы, так как они основываются на концепции модели OSI, поэтому, здесь и далее все будет рассматриваться на примере сетевого оборудования фирмы “Cisco”.

Рассмотрим уязвимые места, через которые может быть выполнен несанкционированный доступ к сетевому оборудованию.

•      Доступ через консольные порты (console) устройств к файлам конфигурации.

•      Доступ через порт удаленного соединения (AUX).

•      Удаленный доступ через порты Telnet устройств к файлам конфигурации.

•      Доступ к файлам конфигурации устройств и определение топологии сети с помощью средств SNMP.

•      Определение топологии внутренней сети и получение доступ к сетевым устройствам с помощью перехвата обновлений маршрутизации.

•      Доступ к сетевому оборудованию по протоколу HTTP (Hypertext Transfer Protocol — протокол передачи гипертекстовых файлов).

Для снижения вероятности угроз по этим направлениям необходимо обеспечить защиту по следующим направлениям:

•      защита на уровне физического доступа к устройствам;

•      защита на уровне административного интерфейса;

•      защита связей между маршрутизаторами.

Защита на уровне физического доступа к устройствам.

Возможность физического доступа к сетевому оборудованию предоставляет злоумышленнику полный контроль над ним. При открытом доступе к сетевому оборудованию установка сложных средств защиты бесполезна. Для предотвращения физического доступа необходимо выполнить ряд мероприятий.

•      Установление политики контроля. Необходимо разработать план по обеспечению контроля доступа к сетевому оборудованию и линиям связи с графиком проверки состояния защиты.

•      Ограничение доступа к оборудованию и обеспечение надежности электропитания и охлаждения. Необходимо выбрать правильное место размещения оборудования. Сетевое оборудование должно размещаться в помещении с ограничением физического доступа. Право доступа в это помещение должно строго регламентироваться. Для наиболее важного оборудования необходимо обеспечить резервные источники питания или источники бесперебойного питания (ИБП). В помещении необходимо обеспечить систему кондиционирования для предотвращения перегрева.

•      Контроль прямого доступа ко всему сетевому оборудованию. Корпуса сетевого оборудования должны быть закрыты на замки или размещены в закрывающихся стойках. Доступ к консольному порту должен быть строго регламентирован.

•      Обеспечение защиты линий связи. Необходимо выполнять периодическую проверку всех коммуникационные линии на предмет прослушивания, а так же надежность закрытия распределительных шкафов.