скрытая мощь

АЛЕКСЕЙ ЛУКАЦКИЙ

Спецвыпуск: Хакер, номер #068, стр. 068-062-2

[AutoSecure.]

Несколько лет назад по Интернету ходил анекдот: «Чем отличается Windows 95 от Windows 98? Тем, что в Windows 95 не используется 95% возможностей, а в Windows 98 не используется 98% возможностей». Отчасти это так. Производители, чтобы удовлетворить как можно больше запросов со стороны своих заказчиков, оснащают свои продукты очень большим количеством функций, которые зачастую висят «мертвым» грузом и у многих попросту не используются (многие ли используют асимметричную маршрутизацию?). Хорошо, если эти функции просто не мешают. Но что делать, если они становятся каналом проникновения злоумышленников?

При администрировании операционных систем существует правило – «отключить все, что не нужно для выполнения поставленных задач». Аналогичное правило применимо и к сетевому оборудованию. Вручную отключать десятки неиспользуемых механизмов – дело неблагодарное (можно что-то и забыть). Поэтому в маршрутизаторах Cisco, начиная с версии IOS 12.3, появился механизм AutoSecure, который:

- запрещает потенциально опасные глобальные сервисы (Finger, Packet assembler and disassembler, TCP/UDP Small Services, Bootp Server, HTTP Server, CDP, NTP, Source Routing…);

- запрещает потенциально опасные сервисы по интерфейсам (ICMP, Proxy-Arp, Broadcast, MOP, ICMP Unreachable, ICMP Reply);

- включает расширенные механизмы защиты (шифрование паролей, настройка баннеров, взаимодействие с серверами аутентификации, антиспуфинг, Cisco Express Forwarding, блокирование зарезервированных адресов IANA, установка маршрута по умолчанию NULL 0, CBAC, Netflow…);

- обеспечивает защиту самого маршрутизатора (SSH и SCP, настройка паролей и учетных записей, блокирование SNMP…);

- включает регистрацию событий безопасности.

Cisco AutoSecure может функционировать в двух режимах — интерактивном и автоматическом. В первом случае администратор отвечает на вопросы о своей собственной сети, а во втором – настройка осуществляется автоматически, в соответствие с параметрами по умолчанию. Причем включить Cisco AutoSecure можно всего одной командой: Router# auto secure.

По окончании работы сервиса на экран выводится список всех сделанных настроек, и администратор должен разрешить все сделанные изменения. Проверка может быть осуществлена двумя путями – с помощью Security Device Manager (SDM) и команды IOS EXEC, которая показывает настройки, сделанные после AutoSecure. Наиболее интересен именно первый путь (функция Security Audit), так как он позволяет в удобном виде получить ответ на вопрос: «Какие из существующих механизмов защиты включены, а какие нет?».