Наибольший интерес для злоумышленников представляет административный интерфейс сетевого оборудования. Для обеспечения его защиты необходимо выполнить ряд требований:
• обеспечить защиту доступа по консольному порту (con);
• обеспечить защиту доступа по порту AUX;
• обеспечить защиту доступа по Telnet (vty);
• установить пароль на доступ в привилегированный режим;
• установить минимальную длину паролей;
• применить шифрование паролей;
• настроить параметры соединений;
• использовать многоуровневую систему привилегий доступа;
• использовать информационные баннеры устройств;
• обеспечить управление доступом SNMP.
Защита доступа обеспечивается с помощью паролей. Пароли могут устанавливаться непосредственно в маршрутизаторе. Но в сетях, требующих высоко уровня безопасности, управление паролями должно быть реализовано с помощью удаленной базы данных защиты через серверы аутентификации (Cisco Secure Access Control Server - ACS) TACACS+ или RADIUS. Для резервирования можно использовать локальные базы данных со средствами аутентификации, авторизации и аудита (сервер AAA).
|
|
Рекомендации по выбору паролей.
Пароли на маршрутизаторе могут включать до 25 буквенно-цифровых символов как верхнего, так и нижнего регистров.
Рассмотрим ряд рекомендаций, которым можно следовать при выборе паролей:
• Пароли необходимо устанавливать при первой установке системы.
• Измените все пароли, установленные по умолчанию.
• Пароль на доступ в привилегированный режим должен отличаться от паролей на доступ в пользовательский режим (con, aux, vty).
• Пароль должен состоять минимум из 10 знаков.
• Используйте пароли, состоящие не только из букв нижнего и верхнего регистров, но и с добавлением цифр (4You), чтобы усложнить процедуру взлома пароля.
• Если пароль записан, то эта запись должна храниться в труднодоступном месте.
• Нельзя использовать пароли из простых слов и имен, так как их можно легко подобрать.
• Нельзя использовать пароли, включающие в себя названия подразделения, фирмы или производителя оборудования.
• Регулярно выполняйте смену паролей.