Если злоумышленник получает физический доступ к маршрутизатору, то он может выполнить над маршрутизатором любые действия.
Можно изменить или удалить конфигурационный файл, можно удалить IOS. Это приведет к выходу из строя сети на время восстановления.
Можно усилить безопасность сети с помощью защиты конфигурационного файла и файла IOS. При этом будет запрещено копировать, изменять или удалять эти файлы.
Такая возможность имеется только для маршрутизаторов, поддерживающих интерфейс для флэш-памяти PCMCIA ATA (Advanced Technology Attachment). Файлы хранятся в такой памяти в скрытом виде.
Для выполнения этих действий используются команды режима глобальной конфигурации secure boot-image и secure boot-config.
При выполнении команды secure boot-image, Cisco IOS переводится в скрытый режим. Для отмены этого режима необходимо ввести команду no secure boot-image только при доступе по консольному порту.
При выполнении команды secure boot-config создается архивная копия файла текущей конфигурации (running configuration), которая хранится в энергонезависимой памяти маршрутизатора в скрытом виде. Для отмены этого режима необходимо ввести команду no secure boot-config только при доступе по консольному порту.
|
|
В случае изменения версии IOS или изменении конфигурации маршрутизатора появляется соответствующее сообщение. Для подтверждения этих изменений, в режиме доступа по консольному порту необходимо заново ввести команду secure boot-image или secure boot-config.
Еще один способ получения несанкционированного доступа это процедура сброса и восстановления пароля (password recovery procedure).
Для блокировки этой процедуры используется команда режима глобальной конфигурации no service password-recovery. После выполнения данной команды маршрутизатор не сможет войти в режим позволяющий выполнить сброс паролей (ROMmon).
Для восстановления маршрутизатора в данном режиме, необходимо нажать на клавишу «break» в течении пяти секунд после разархивации IOS в процессе загрузки. После этого будет предложено повторно нажать клавишу «break». При повторном нажатии клавиши загрузочный файл (startup configuration) будет удален и маршрутизатор загрузится с заводскими установками.
Управление потоком данных с помощью ACL
Для управления потоком пользовательских данных и обновлений маршрутной информации используются списки контроля доступа (ACL). Структура списков доступа и их настройка подробно рассмотрены в курсе «Применение сетевого оборудования Cisco».
ACL применяются для того, чтобы заблокировать или разрешить трафик на уровне интерфейса маршрутизатора
Списки доступа фильтруют поток данных на основе информации, содержащейся в пакетах, такой как адрес получателя или порта назначения, адрес источника или соответствующего порта, протокол верхнего уровня.
|
|
Запрет отправки обновлений маршрутизации
Обновление маршрутной информации может ограничиваться списками доступа. При этом обеспечивается защита сети по двум направлениям.
• Усиливает защиту. Если о сети не объявлять, то неизвестны маршруты в данной сети, что затрудняет доступ к ней.
• Повышает устойчивость сети. Фильтрация сетей в обновлениях маршрутизации предотвращает получение ложной информации в обновлениях маршрутизации из-за неправильной конфигурации или преднамеренных действий, ведущих к возникновению проблем маршрутизации или краже информации.