скрытая мощь

АЛЕКСЕЙ ЛУКАЦКИЙ

Спецвыпуск: Хакер, номер #068, стр. 068-062-1

(ALUKATSK@CISCO.COM), БИЗНЕС-КОНСУЛЬТАНТ ПО БЕЗОПАСНОСТИ CISCO SYSTEMS

10 МЕХАНИЗМОВ ЗАЩИТЫ МАРШРУТИЗАТОРОВ CISCO

ЧАСТО РЕШЕНИЯ КОМПАНИИ CISCO SYSTEMS ВОСПРИНИМАЮТСЯ МНОГИМИ КАК ПРОСТО ХОРОШИЕ СЕТЕВЫЕ УСТРОЙСТВА, ПРИЗВАННЫЕ ОБЕСПЕЧИТЬ ПЕРЕДАЧУ ТРАФИКА ИЗ ТОЧКИ А В ТОЧКУ Б. ПРИ ЭТОМ ЕСЛИ О НАДЕЖНОСТИ И ФУНКЦИОНАЛЬНОСТИ МАРШРУТИЗАТОРОВ И КОММУТАТОРОВ ВСЕ НАСЛЫШАНЫ, ТО О ФУНКЦИОНАЛЬНОСТИ С ТОЧКИ ЗРЕНИЯ БЕЗОПАСНОСТИ МАЛО КТО ЗНАЕТ

А в любой маршрутизатор Cisco встроены:

- прозрачный межсетевой экран Cisco IOS Firewall;

- средство построения VPN (IPSec или SSL) Cisco IOS VPN;

- прозрачная система предотвращения атак (Intrusion Prevention System) Cisco IOS IPS.

Помимо этих хорошо известных механизмов существует и множество других не менее важных и полезных функций, делающих из обычного маршрутизатора полноценное защитное устройство, ориентированное на защиту небольших и средних офисов. Аналогичный тезис применим и к коммутаторам.

[с чего начинается администрирование маршрутизатора.]

Администрирование функций безопасности нужно для защиты сети (внешней и внутренней) от несанкционированной активности. А значит, прежде чем начинать копаться в настройках оборудования, необходимо понять, что и от чего ты защищаешь. Начинай с политики безопасности, которая должна:

- описывать, какие ресурсы, кому, когда и как можно использовать;

- описывать все информационные потоки в защищаемой сети;

- не забывать о защите самих средств обеспечения информационной безопасности;

- быть технически реализуемой;

- быть последовательной;

- быть глобальной и применимой ко всей сети, а не к отдельным ее сегментам;

- четко описывать роли и ответственность всех заинтересованных лиц;

- быть гибкой к постоянно изменяющимся технологиям и бизнес-процессам;

- быть понятной;

- включать в себя не только задачи отражения угроз, но и процессы расследования и реагирования на атаки.

И еще грамотная политика безопасности не должна диктовать бизнесу, как ему работать — все должно быть с точностью наоборот. При этом политика не должна зависеть от используемых средств защиты. Сегодня это может быть маршрутизатор Cisco 871W, завтра маршрутизатор Cisco ISR 3845, а послезавтра многофункциональное защитное устройство «все в одном» Cisco ASA 5550. Грамотная политика будет без изменений «работать» для любого из этих устройств. Более того, если требования по защите не очень специфичны, то эта же политика может быть использована и для других производителей средств защиты.

[принципы безопасности маршрутизаторов Cisco.]

Маршрутизатор может быть логически разделен на 4 функциональных компонента, отвечающих за решение своих задач:

1 Data Plane – уровень данных, через который проходит весь сетевой трафик.

2 Control Plane – уровень построения и обновления таблиц маршрутизации.

3 Management Plane – уровень управления маршрутизатором (SSH, SNMP, syslog и т.д.)

4 Service Plane – уровень обеспечения качества сервиса и уровня обслуживания.

Очевидно, что механизмы защиты маршрутизаторов должны быть применены ко всем этим уровням без исключения. Причем защита уровней управления и контроля зачастую является даже более важной, чем безопасность уровня данных. Списки контроля доступа (Access Control List, ACL), однонаправленная проверка передачи по обратному маршруту (Unicast Reverse Path Forwarding, uRPF), ограничение полосы пропускания (Committed Access Rate, CAR) и так далее очень важны, но позволяют ограничить только определенные типы трафика. А вот недооценка вопросов самозащиты самого маршрутизатора может повлечь за собой печальные последствия – захват и компрометация всего устройства, локальное или дистанционное изменение таблиц маршрутизации, перехват трафика, реализация атак «отказ в обслуживании» (Denial of Service, DoS) и т.п.