Безопасный маршрут: 10 шагов к защищенному маршрутизатору

ОТКРОЙТЕ ЛЮБОЕ ПОСОБИЕ ПО СЕТЕВОЙ БЕЗОПАСНОСТИ. В БОЛЬШИНСТВЕ СЛУЧАЕВ ОСНОВНОЕ ВНИМАНИЕ УДЕЛЯЕТСЯ ЗАЩИТЕ БРАНДМАУЭРОВ, НО ПРАКТИЧЕСКИ НИЧЕГО НЕ СКАЗАНО О ЗАЩИТЕ МАРШРУТИЗАТОРА. А ВЕДЬ НАРУШЕНИЕ РАБОТЫ ИМЕННО ЭТОГО УСТРОЙСТВА МОЖЕТ ПАРАЛИЗОВАТЬ РАБОТУ ВСЕЙ СЕТИ.

Современные маршрутизаторы не похожи на своих предшественников. У них добавилось большое количество новых функций: организация фильтрации пакетов, организация VPN-шлюзов и т.д. По сути, современный маршрутизатор — это специальный компьютер, управляемый собственной операционной системой («встроенные» ОС чем-то напоминают UNIX).

НАСТРОЙКУ МАРШРУТИЗАТОРА БУДЕМ РАССМАТРИВАТЬ НА ПРИМЕРЕ УПРАВЛЯЕМОГО МАРШРУТИЗАТОРА СРЕДНЕГО КЛАССА.

1. Установка пароля
Любой управляемый маршрутизатор позволяет установить пароль для доступа к консоли управления. По умолчанию пароль или вообще отсутствует, или же используется стандартный пароль, который стандартно и взламывается. Злоумышленнику достаточно знать модель вашего маршрутизатора, а пароль можно найти в Интернете, после чего доступ к маршрутизатору будет гарантирован. Поэтому стоит установить свой пароль. При этом пароль не должен содержать личных данных, а также общедоступных данных компании. Некоторые маршрутизаторы позволяют установить пароль длиной до 80 символов! Но не стоит пользоваться этой возможностью, так как такой пароль вы никогда не запомните, где-нибудь сохраните и, теоретически, его можно будет найти.

2. Ограничение доступа по сети
Получить доступ к консоли управляемого маршрутизатора можно локально (подключившись к AUX) или же по сети. Обычно используется протокол Тelnet или SSH. В случае сетевого доступа нужно ограничить узлы, с которых разрешен доступ к консоли управления маршрутизатором (все управляемые маршрутизаторы позволяют сделать это). Если есть выбор между Тelnet и SSH, то лучше выбрать SSH, поскольку Тelnet передает информацию по сети в открытом виде (в том числе и пароли).

3. Только локальный доступ
Наверное, самый надежный способ ограничения доступа — это запрещение сетевого доступа. В этом случае доступ к консоли маршрутизатора возможен только локально — с помощью AUX. То есть злоумышленнику, чтобы изменить параметры маршрутизатора, придется физически подойти к маршрутизатору и подключиться к AUX, что, естественно, не возможно. Если же маршрутизатор размещен в отдаленной части помещения, целесообразно установить скрытую видеокамеру для контроля доступа к маршрутизатору.

4. Защита SNMP
SNMP (Simple Network Management Protocol) — протокол управления сетью, который очень часто используется для управления маршрутизаторами. Из соображений безопасности лучше вообще отключить SNMP. Но если SNMP вам нужен, убедитесь, что используется более защищенная третья версия (SNMPv3), так как в ранних версиях (SNMPv1, SNMPv2) авторизация и защита данных не предусмотрены.

Если SNMP нужен, необходимо принять минимальные меры по обеспечению безопасности:

•Придумайте трудно подбираемое имя community;
MIB (Management Information Base) должна работать в режиме «только чтение»;
Ограничьте SNMP-доступ несколькими узлами (желательно вообще одним — вашим).

5. Ведение журналов
Наверняка в вашей компании найдется хотя бы одна машина под управлением UNIX (Linux). Так вот, в составе UNIX есть демон протоколирования Syslogd, который можно настроить для протоколирования событий маршрутизатора. Протоколировать нужно не все события, а только те, которые затрагивают сетевую безопасность, например, попытки неудачной авторизации по ACL (спискам доступа).

Для более надежного протоколирования рекомендуется запустить Syslogd на нескольких UNIX-машинах и настроить их на протоколирование событий одного маршрутизатора. Это связано с тем, что Syslogd использует протокол UDP (а не TCP), который не гарантирует доставку пакетов (если один демон не запротоколирует, то у второго точно все получится).

Также желательно использовать протокол NTP (Network Time Protocol) для синхронизации времени, что помогает при анализе протоколов.

6. Отключение ненужных сервисов
Отключите все сервисы, которые вы не используете (например, finger, BOOTP, ARP Proxy). Каждый такой сервис может стать «дырой» в системе безопасности вашего маршрутизатора.

7. Ограничение ICMP
Некоторые DoS-атаки используют данный протокол в качестве основного инструмента вторжения, поэтому желательно ограничить использование ICMP, разрешив только пакеты определенных типов. В первую очередь, нужно ограничить пакты PMTU (Path MTU discovery) и пакеты с сообщением «packet-too-big». Что делать с другими типами ICMP-сообщений, зависит от вашей политики безопасности.

8. Отключение потенциально опасных опций
К потенциально опасным опциям относятся IP source route и IP unreachables. С помощью первой злоумышленник может определить путь, по которому будет передаваться пакет. После этого он может послать пакет source routed на «узел-жертву», который находится за маршрутизатором, в результате чего изменится маршрутизация атакуемой сети.

С помощью второй (IP unreachables), если пакет отброшен в соответствии со списком доступа (ACL), злоумышленник получит ICMP-пакет (тип 3, код 13), на основании чего сможет сделать вывод, что маршрутизатор защищен с помощью ACL, а это нежелательно. Чем меньше информации о вашем маршрутизаторе имеется у злоумышленника, тем меньше вероятность взлома. Поэтому опцию IP unreachables советуем отключить.
Для отключения опций IP source route и IP unreachables на маршрутизаторах Cisco нужно ввести IOS-команды:

9. Анти-spoofing и защита от DoS-атак
IP-spoofing — это неавторизированный доступ к компьютеру (серверу) путем подделки IP-адреса. Например, вы разрешили доступ к своему маршрутизатору узлу с определенным адресом, а злоумышленник может подделать этот адрес. Для защиты следует использовать анти-спуфинг, основная идея которого заключается в том, чтобы никто из внешней сети не имел прав отправлять пакеты, содержащие в поле адреса источника какой-нибудь адрес из вашей подсети. Для фильтрации таких пакетов нужно использовать списки доступа, а также желательно зафиксировать попытку подделки IP-адреса в журнале.

Широко распространены две DoS-атаки. Первая называется SYN flood: злоумышленник отправляет на открытый порт много SYN-пакетов с недостижимым адресом источника. Атакуемый маршрутизатор должен ответить пакетом , но узел, указанный в качестве источника, недоступен. Поэтому трехступенчатая схема установления TCP-соединения не завершается. Учитывая, что таких SYN-пакетов очень много, лимит на количество открытых соединений быстро превышается, и жертва отказывается принимать запросы на установление соединения от обычных пользователей сети. Вторая атака называется Land и заключается в том, что злоумышленник посылает пакет с одинаковыми портами и IP-адресами источника и получателя. Такие пакеты вызывают исключения во многих маршрутизаторах. Более подробно о зищите от DoS-атак читай в соответствующей статье этого номера.

10. Отключение CDP (Cisco Discovery Protocol)
Этот протокол, работающий на всем оборудовании Cisco, используется для управления сетями. Он позволяет оповестить другие устройства Cisco о присутствии в сети еще одного устройства той же компании. Другими словами, устройства Cisco с помощью этого протокола находят друг друга. Используя CDP, можно получить информацию об устройстве, его конфигурации, низкоуровневых протоколах, а также информацию о соседних машрутизаторах. Помните основной принцип защиты любой информационной системы: минимум информации. Чем больше информации о своей сети вы предоставите злоумышленнику, тем быстрее он ее взломает. Поэтому CDP нужно отключить. Для этого используется следующая IOS-команда: