скрытая мощь

АЛЕКСЕЙ ЛУКАЦКИЙ

Спецвыпуск: Хакер, номер #068, стр. 068-062-3

[расширения IOS Login.]

Начиная с версии IOS 12.2(25)S, маршрутизаторы Cisco могут существенно усложнить жизнь злоумышленникам, желающим получить несанкционированный доступ к сетевому оборудованию. Одна из распространенных атак, позволяющих получить такой доступ, — подбор пароля. Для этого используются различные утилиты, к примеру, THC-Hydra или Brutus. Самый простой путь блокировать эту атаку – увеличить время задержки между попытками ввода логина и пароля. Сделать это можно тремя путями: через уже описанную функцию AutoSecure, или с помощью специальных команд – login delay и login block-for. Эти команды можно использовать и в паре.

Router(config)# login block-for 100 attempts 5 within 50

Router(config)# login quiet-mode access-class myacl

Router(config)# login delay 10

Router(config)# login on-failure log

Router(config)# login on-success log

Первая команда должна вводиться до использования любых других команд login. Она на 100 секунд блокирует любые попытки подключения к устройству, если в течение 50-ти секунд было осуществлено 5 неудачных регистраций на маршрутизаторе. Если есть адреса, которые не должны быть блокированы (например, административные), то они описываются командой login quiet-mode access-class. Команда login delay определяет время задержки перед разрешением повторной регистрации. Если ее не указать, то автоматическая задержка будет осуществлена по команде login block-for на 1 секунду. Последние 2 команды включают регистрацию успешных и неудачных попыток подключения к маршрутизатору.

Проверить настройки подсистемы регистрации можно путем использования команды show login. А команда show login failures показывает все неудачные попытки подключения к устройству.

[защита уровня контроля.]

Почти все архитектуры уязвимы к атакам «отказ в обслуживании». При атаке на сетевое оборудование это несет серьезную опасность, так как выведение его из строя приводит к неработоспособности всей сети. Необходимо оградить процессор маршрутизатора от обработки вредоносного трафика и, начиная с версии IOS 12.2, такая возможность появилась и стала носить название Control Plane Policing. С ее помощью можно:

- классифицировать и ограничить каждый класс трафика, поступающий на обработку в уровень контроля;

- обеспечить механизм раннего отбрасывания пакетов, направленных на закрытые или иные TCP/UDP-порты;

- обеспечить защиту от протокольного флудинга;

- обеспечить QoS для пакетов, направленных на уровень контроля;

- обеспечить надежность, защищенность и доступность.

Для реализации данного механизма необходимо пройти 4 обязательных и 2 опциональных шага:

1 Задать критерии для классификации пакетов.

2 Определить политики сервиса.

3 Перейти в режим настройки.

4 Применить политики.

5 Настроить политики фильтрации портов (для раннего отбрасывания пакетов).