встроенный иммунитет

АЛЕКСЕЙ ЛУКАЦКИЙ

Спецвыпуск: Хакер, номер #068, стр. 068-076-1

(ALUKATSK@CISCO.COM), БИЗНЕС-КОНСУЛЬТАНТ ПО БЕЗОПАСНОСТИ CISCO SYSTEMS

БЕЗОПАСНОСТЬ КОММУТАТОРОВ

ЕСЛИ О ЗАЩИТЕ ПЕРИМЕТРА НАПИСАНО МНОГО, ТО О ТОМ, КАК ЗАЩИТИТЬ ВНУТРЕННЮЮ СЕТЬ ОТ АТАК И НАРУШИТЕЛЕЙ, ПИШУТ РЕДКО. А ЕСЛИ И ПИШУТ, ТО О ВСЯКИХ НАВЕСНЫХ СИСТЕМАХ ЗАЩИТЫ, КОТОРЫЕ СТОЯТ БАСНОСЛОВНЫХ ДЕНЕГ

И если стоимость выбранного коммутатора изначально невелика, то добавление в его комплектацию системы защиты полностью отбрасывает цену, как главный конкурентный показатель, которым часто оперируют производители коммутационного оборудования. Не говоря уже о том, что внедрить систему защиты в коммутируемую сеть не так-то и просто. Но зато если твоя сеть построена на оборудовании Cisco, ситуация меняется: в различные модели коммутаторов Cisco Catalyst уже встроено большое количество функций защиты, о части из которых мы и поговорим. Причем не будем касаться базовых механизмов (VLAN, баннеры, пароли и учетные записи), а перейдем сразу к ключевым особенностям.

[port security.]

Первое, что мы хотим реализовать в коммутируемой сети с точки зрения безопасности, -это предотвращение подключения чужих устройств. Сделать это можно достаточно легко, и многие производители предлагают такую возможность (в Cisco это Port Security).

Реализация блокировки подключения чужих устройств (третья команда блокирует порт на 600 минут)

set port security 2/1 enable

set port security 2/1 enable 00-90-2b-03-34-08

set port security 2/1 shutdown 600

Коммутаторы Cisco могут работать под управлением двух различных операционных систем – CatOS и IOS. Поэтому примеры конфигурации в дальнейшем будем приводить для разных ОС.

Чем плох описанный выше подход? Он слишком сложен в администрировании и абсолютно не масштабируем. Представь, что к тебе приехал представитель компании-партнера или клиент со своим лэптопом. Ты хочешь подключить его к твоей сети. Жесткая привязка портов коммутатора к MAC-адресам сделает эту задачу трудновыполнимой. Тем более что подделка MAC-адреса сегодня не является сложной задачей. Поэтому рекомендуется пойти немного другим путем. С помощью механизма 802.1x блокировать подключение несанкционированных устройств, а функцию Port Security использовать для динамической авторизации на коммутаторе.

Иными словами, вместо указания самих MAC-адресов, ты указываешь количество адресов, которые могут работать на данном порту. Порт коммутатора в динамическом режиме запоминает первые адреса, которые к нему «обратились», и в течение заданного администратором времени разрешает трафик только с них. При этом если на порт попал трафик с неразрешенных адресов, возможно применение двух режимов – shutdown и restricted. В первом случае блокируется работа самого порта, во втором – блокируется прием трафика с неразрешенных адресов.

Реализация механизма Port Security для CatOS

set port security 5/1 enable

set port security 5/1 port max 3

set port security 5/1 violation restrict

set port security 5/1 age 2

set port security 5/1 timer-type inactivity

Реализация механизма Port Security для IOS

switchport port-security