Рекомендации по настройке наиболее распространенных типов промышленного сетевого оборудования

1. Что относится к сетевому оборудованию?

Сетевое оборудование – это устройства, необходимые для организации компьютерной сети.

К сетевому оборудованию относятся роутеры, маршрутизирующие пакеты между различными сетями, коммутаторы, позволяющие соединять несколько узлов компьютерной сети в пределах одного или нескольких сегментов сети, сетевые адаптеры, выступающие в качестве физического интерфейса между компьютером и сетевым кабелем, мультиплексоры, мосты, повторители, концентраторы, а также, различные кабели, позволяющие объединить все это в единую сетевую инфраструктуру.

Сетевое оборудование принято разделять на активное и пассивное оборудование.

Пассивное оборудование составляет физическую инфраструктуру сети, к нему относятся различные виды кабелей, концентраторы, розетки, патч-панели, повторители и т.д. Основной функцией пассивного сетевого оборудования является обеспечение передачи сигнала, данное оборудование не потребляет электроэнергию.

Активное сетевое оборудование позволяет создавать и поддерживать логическую структуру каналов передачи данных поверх физических носителей. К активному сетевому оборудованию относятся коммутаторы, маршрутизаторы и т.д. Для работы такого оборудования требуется электроэнергия, причем желательно наличие источника бесперебойного питания.

По данным аналитических агентств производителями наиболее популярного оборудования маршрутизации и коммутации являются Cisco Systems (около 64%), HP Networking (около 9 %), Alcatel-Lucent (3%), Juniper Networks (2,3%) и Huawei (1,8%).

Рассмотрим следующие продукции обозначенных производителей:

• Cisco IOS Router.
• Cisco IOS Switch.
• Huawei VRP Router.
• Huawei VRP Switch.
• Juniper JUNOS.

При построении сети большое внимание должно уделяться вопросам доступности сети, качеству обслуживания, скорости коммутации пакетов, а также сетевой безопасности.

По большему счету, безопасность данных устройств зависит от производителя, от того, насколько ответственно производители подходят к поиску и исправлению уязвимостей в своих продукциях. Также, безопасность подобных устройств зависит от корректности их настройки.

Зачастую настройки остаются по умолчанию, что приводит к появлению определенных уязвимостей, эксплуатация которых может приводить к реализации ряда угроз.

2. Рекомендации по настройке промышленного сетевого оборудования

Для каждого из устройства, рекомендации по настройкам разбиты по нескольким классам. Рекомендации приводятся для наиболее критичных настроек, невыполнение подобных рекомендаций может привести к возникновению серьезных угроз безопасности.

2.1. Рекомендации по настройке Cisco IOS Router

2.1.1. Правила аутентификации, авторизации и учета:

• Необходимо настроить централизованную аутентификацию AAA при переходе в режим Enable, используя следующие команды:

hostname(config)#aaa new-model

hostname(config)#tacacs-server host {ip-address server}

hostname(config)#aaa authentication enable { default } group tacacs+ [ enable ...]

Если используется резервный механизм, задайте пароль "enable secret", используя команду:

hostname(config)#enable secret {ENABLE_SECRET}

• Для аутентификации (с резервным механизмом) при входе на устройство, необходимо настроить методы аутентификации AAA, используя следующие команды:

hostname(config)#aaa new-model

hostname(config)#tacacs-server host {ip-address server}

hostname(config)#aaa authentication login { default | aaa_list_name } group tacacs+ [ local-case ...]

• Необходимо настроить AAA-учет для режима Exec , используя следующие команды:

hostname(config)#aaa new-model

hostname(config)#tacacs-server host {ip-address server}

hostname(config)#aaa accounting {exec} {default} {start-stop} {group-tacacs+} [local-case …]

• Необходимо настроить AAA-учет для системных событий, используя следующие команды:

hostname(config)#aaa new-model

hostname(config)#tacacs-server host {ip-address server}

hostname(config)#aaa accounting {system} {default} {start-stop} {group-tacacs+} [local-case …]

Описание:

Системы аутентификации, авторизации и учета (AAA) позволяют управлять и отслеживать доступ к устройствам. Централизация управления позволяет обеспечить непротиворечивость контроля доступа, возможность использования сервисов, доступ к которым предоставляется без повторной аутентификации, а также помогает отслеживать доступ к сервисам. Кроме того, централизация контроля доступа уменьшает административные затраты на управление учетными записями, особенно при управлении большим количеством устройств.

Примечание: только при использовании внешней централизованной системы аутентификации.

2.1.2. Правила локальной аутентификации, авторизации и учета (AAA):

Правила локальной конфигурации аутентификации, авторизации и учета (AAA) обеспечивают контроль доступа к устройствам.

• Необходимо включить глобальную аутентификацию, авторизацию и учет (AAA), используя команду new model:

hostname(config)#aaa new-model

Описание:

Централизация управления позволяет обеспечить непротиворечивость контроля доступа, возможность использования служб, доступ к которым предоставляется без повторной аутентификации, а также помогает отслеживать доступ к службам.

2.1.3. Правила доступа к устройству

Данные правила описывают настройки контроля доступа для административных подключений.

• Необходимо задать локального пользователя, используя следующую команду:

hostname(config)#username {имя_пользователя} password {пароль}

• Для версий после 12.0(18)S, 12.1(8a)E, 12.2(8)T:

hostname(config)#username {имя_пользователя} secret {пароль}

Описание:

В стандартной конфигурации устройствами не используется стойкая аутентификация пользователей, что облегчает злоумышленнику доступ к устройству. Использование локальной учетной записи с зашифрованным паролем позволяет усилить аутентификацию и использовать обратимый механизм аутентификации для настроек в именованном списке методов, если централизованная служба AAA недоступна.

• Необходимо настроить SSH для удаленного доступа к устройству, используя следующие команды:

hostname(config)#hostname { device_hostname }

hostname(config)#domain-name { domain-name }

hostname(config)#crypto key generate rsa modulus { 2048 }

hostname(config)#ip ssh timeout [60]

hostname(config)#ip ssh authentication-retries [3]

Описание:

Соединения шифруются, пароли и другие конфиденциальные данные передаются в зашифрованном виде. Использование протокола SSH препятствует осуществлению атак типа перехвата сессий и других типов сетевых атак.

• Необходимо использовать SSH-транспорт для всех сервисов управления устройством, используя следующие команды:

hostname(config)#line {aux | console | tty | vty} {line-number} [ending-line-number]

hostname(config-line)#transport input ssh

Описание:

Управление по SSH разрешается только для авторизованных систем управления. Если удаленное администрирование возможно только из некоторых, авторизованных систем, то неавторизованные пользователи не получат доступ к системе.

• Необходимо настроить таймаут (10 минут) для сеанса входа, используя следующие команды:

hostname(config)#line {aux | console | tty | vty} {line-number} [ending-line-number]

hostname(config-line)#exec-timeout {timeout_in_minutes} [ timeout_in_seconds ]

• Необходимо настроить список доступа для подключения к устройству по протоколу SSH, с помощью следующей команды:

hostname(config)#line {aux | console | tty | vty} {line-number} [ending-line-number]

hostname(config-line)# access-class [ vty_acl_number ] in

Описание:

Настроенные списки контроля доступа защищают устройство от попыток доступа неавторизованных пользователей.

• Необходимо настроить доступ к входящих сессий управления для всех VTY lines с помощью следующих команд:

hostname(config)#access-list {vty_acl_number} permit tcp {vty_acl_block_with_mask} any

hostname(config)#access-list {vty_acl_number} permit tcp host [ vty_acl_host ] any

hostname(config)#deny ip any any log

Описание:

Списки контроля доступа по VTY обеспечивают контроль над тем, с каких адресов могут осуществляться попытки входа на маршрутизатор.

2.1.4. Правила паролей

Правила в классе паролей обеспечивают использование защищенных учетных данных для аутентификации на локальном устройстве.

• Необходимо включить сервис шифрования паролей, используя следующую команду:

hostname(config)#service password-encryption

Описание:

Для того чтобы неавторизованные пользователи не могли определить пароли, прочитав файл конфигурации, необходимо, чтобы пароли хранились в файле конфигурации в зашифрованном виде. Если сервис отключен, то многие пароли устройств будут передаваться в файле конфигурации в незашифрованном виде. Данный сервис обеспечивает передачу паролей в виде зашифрованных строк, что мешает злоумышленнику определить заданное значение.

2.1.5. Правила SNMP

Правила в классе Simple Network Management Protocol (SNMP) реализуют защищенное сетевое управление и мониторинг устройства.

• Необходимо запретить стандартный пароль ("private", "public") протокола SNMP, используя следующие команды:

hostname(config)#no snmp-server community {private}

hostname(config)#no snmp-server community {public}

Описание:

"private" и "public" представляют собой широко известные стандартные пароли. Использование широко известных паролей, угадать которые не составляет труда, представляет собой угрозу получения злоумышленником неавторизованного доступа к устройству. Необходимо отключить SNMP, если вы не используете его для управления сетью. Если использование SNMP необходимо, то убедитесь, что используются стойкие пароли, которые не совпадают с паролями режима enable, паролями линий, ключами BGP и другими аутентификационными данными. Рекомендуется по возможность использовать SNMPv3, который содержит средства аутентификации, авторизации и шифрования данных.

• Необходимо установить список контроля доступа по протоколу SNMP с помощью следующих команд:

hostname(config)#access-list {snmp_access-list_number}permit {snmp_access-list}

hostname(config)#access-list deny any log

Описание:

Списки контроля доступа по протоколу SNMP обеспечивают контроль над тем, с каких адресов разрешено управлять устройством и осуществлять его мониторинг по протоколу SNMP.

Для ограничения доступа к устройству по протоколу SNMP небольшим количеством станций, которым разрешено управление устройством, расположенным в доверенной области управления, необходимо установить список контроля доступа.

• Необходимо установить пароли и список доступа по SNMP с правами на чтение, используя следующие команды:

hostname(config)#snmp-server community {read_community_ string} {ro} {snmp_access-list_number}

Описание:

Необходимо разрешить доступ по SNMP с правами на чтение только авторизованным системам управления в ограниченной зоне с использованием уникального пароля, чтобы предотвратить неавторизованный доступ к устройству. Если злоумышленнику удастся угадать или захватить пароль и получить доступ к устройству, то он потенциально может получить важные данные устройства по протоколу SNMP.

2.1.6.Правила глобальных сервисов

Правила в классе глобальных сервисов используют серверные и сервисные средства управления, которые обеспечивают защиту от атак или неправомерной эксплуатации устройства.

• Необходимо отключить HTTP-сервер, используя следующую команду:

hostname(config)#no ip http server

Описание:

HTTP-сервер позволяет осуществлять удаленное управление маршрутизаторами. На нем используется простая HTTP-аутентификация, при которой пароль передается в незашифрованном виде. Это может привести к получению неавторизованного доступа к маршрутизатору и возможности неправомерного управления им.

• Необходимо настроить сервис TCP keepalives-in для прекращения сессий, удаленный участник которых не отвечает, используя следующую команду:

hostname(config)#service tcp-keepalives-in

• Необходимо настроить сервис TCP keepalives-out для прекращения сессий, удаленный участник которых не отвечает, используя следующую команду:

hostname(config)#service tcp-keepalives-out

Описание:

Неактивные соединения используют ресурсы, и могут потенциально подвергнуться захвату с целью получения несанкционированного доступа.

• Необходимо запретить использование tcp-small-servers, используя следующую команду:

hostname(config)#no service tcp-small-servers

• Необходимо запретить использование udp-small-servers, используя следующую команду:

hostname(config)#no service udp-small-servers

Описание:

Сервисы TCP echo, chargen и daytime (включая UDP-версии) используются редко. Эти сервисы могут быть использованы злоумышленниками для вызова отказа в обслуживании и других атак, которые можно предотвратить фильтрацией пакетов, при условии, что эти сервисы отключены.

• Необходимо запретить использование TFTP-сервера, используя следующую команду:

hostname(config)#no tftp-server

Описание:

Протокол TFTP не является надежным сервисом. Протокол позволяет любому, кто имеет возможность подключиться к устройству, осуществлять передачу файлов, таких как списки доступа, параметры конфигурации маршрутизатора и образы системы.

2.1.7. Фильтрация трафика на граничных устройствах (Cisco IOS Router):

• Необходимо запретить использование адресов внутренних сетей во входящем трафике из сети Интернет, используя следующие команды:

hostname(config)#access-list {access-list} deny ip {internal_networks} any log

hostname(config)#access-list {access-list} deny ip 127.0.0.0 0.255.255.255 any log

hostname(config)#access-list {access-list} deny ip 10.0.0.0 0.255.255.255 any log

hostname(config)#access-list {access-list} deny ip 0.0.0.0 0.255.255.255 any log

hostname(config)#access-list {access-list} deny ip 172.16.0.0 0.15.255.255 any log

hostname(config)#access-list {access-list} deny ip 192.168.0.0 0.0.255.255 any log

hostname(config)#access-list {access-list} deny ip 192.0.2.0 0.0.0.255 any log

hostname(config)#access-list {access-list} deny ip 169.254.0.0 0.0.255.255 any log

hostname(config)#access-list {access-list} deny ip 224.0.0.0 31.255.255.255 any log

hostname(config)#access-list {access-list} deny ip host 255.255.255.255 any log

hostname(config)#access-list {access-list} permit ip any any

hostname(config)#interface {interface}

hostname(config-if)#ip access-group {access-list} in

Описание:

Для снижения результативности атак типа подмены IP-адресов, необходимо настроить списки контроля доступа таким образом, чтобы запретить любой трафик из внешних сетей, с адресами источников, совпадающих с адресами внутренней сети.

• Необходимо запретить использование адресов внешних сетей в исходящем трафике, используя следующие команды:

hostname(config)#access-list {access-list} permit ip {internal_networks} any

hostname(config)#interface {interface}

hostname(config-if)#ip access-group {access-list} in

Описание:

Данное требование защищает от атак типа подмены IP адресов, направленных на сети других организаций из внутренней сети Компании, путем контроля исходящего трафика.

2.1.8. Аутентификация протоколов маршрутизации (Cisco IOS Router):

• Необходимо настроить OSPF-аутентификацию, если используется протокол, используя следующие команды:

hostname(config)#router ospf {ospf_process-id }

hostname(config-router)#area { ospf_area-id } authentication message-digest

hostname(config)#interface {interface_name }

hostname(config-if)#ip ospf message-digest-key {ospf_md5_key-id } md5 { ospf_md5_key }

Описание:

Проверка пути пакетов обновлений уменьшает вероятность того, что устройство будет обновлено некорректно, что потенциально может позволить злоумышленнику испортить таблицы маршрутизации, влиять на доступность сети или перенаправлять сетевой трафик.

2.1.9. Правила маршрутизации (Cisco IOS Router):

Ненужные сервисы должны быть отключены.

• Необходимо включить одноадресную пересылку по обратному пути (unicast reverse path forwarding) на всех интерфейсах устройства, используя следующие команды:

hostname(config)#ip cef

hostname(config)#interface {interface_name}

hostname(config-if)#ip verify unicast reverse-path rx (версии после 12.0(15)S)

hostname(config-if)#ip verify unicast reverse-path (версии до 12.0(15)S)

Описание:

Проверка адреса источника IP-трафика на соответствие правилам маршрутизации уменьшает вероятность подмены злоумышленником источника атаки.

2.2. Рекомендации по настройке Huawei VRP

2.2.1. Системная информация:

• Необходимо задать имя маршрутизатора, используя следующую команду:

[Quidway] sysname { hostname}

Описание:

Для идентификации устройства необходимо задать имя.

2.2.2. Локальные правила аутентификации, авторизации и учета (Huawei VRP Router):

• Необходимо настроить сервисы управления устройством на использование централизованной аутентификации AAA, используя следующие команды:

"Quidwa" system-view

[Quidway] user-interface { vty | console } { line-number } [ ending-line-number ]

[Quidway-ui-{ vty | console } { line-number }] authentication-mode aaa

Описание:

Использование аутентификации для доступа к устройству обеспечивает непротиворечивый централизованный контроль сети.

2.2.3. Локальные правила аутентификации, авторизации и учета (Huawei VRP Switch):

• Необходимо настроить сервисы управления устройством на использование централизованной аутентификации AAA.

"Quidwa" system-view [Quidway] aaa [Quidway-aaa] local-user { user-name} password cipher { password } [Quidway-aaa] authentication-scheme {name scheme} [Quidway-aaa-authen-{name scheme}] authentication-mode local [Quidway-aaa] domain { domain-name } [Quidway-aaa-domain-{ domain-name }] authentication-scheme { name scheme } [Quidway] user-interface { vty | console } { line-number } [ ending-line-number ]

[Quidway-ui-{ vty | console } { line-number }] authentication-mode aaa

Описание:

Использование аутентификации для доступа к устройству обеспечивает непротиворечивый централизованный контроль сети.

• Задайте методы аутентификации AAA для аутентификации при входе на устройство.

"Quidwa" system-view

[Quidway] aaa

[Quidway-aaa] local-user { user-name} password cipher { password }

[Quidway-aaa] authentication-scheme {name scheme}

[Quidway-aaa-authen-{name scheme}] authentication-mode local

[Quidway-aaa] domain { domain-name }

[Quidway-aaa-domain-{ domain-name }] authentication-scheme { name scheme }

Описание:

Системы аутентификации, авторизации и учета (AAA) позволяют контролировать и отслеживать доступ к устройствам. Централизация управления позволяет обеспечить непротиворечивость контроля доступа, возможность использования сервисов, доступ к которым предоставляется без повторной аутентификации, а также помогает отслеживать доступ к сервисам. Кроме того, централизация контроля доступа уменьшает административные затраты на управление учетными записями, особенно при управлении большим количеством устройств.

2.2.4. Правила доступа:

• Необходимо настроить удаленное администрирование по SSH для входа на устройство с помощью VTY, используя команду:

[Quidway] rsa local-key-pair create

Описание:

SSH использует стойкое RSA-шифрование с открытым ключом для установления защищенного соединения между клиентам и сервером. Поскольку соединения шифруются, то пароли и другие конфиденциальные данные передаются в зашифрованном виде. Использование протокола SSH также препятствует осуществлению атак типа перехвата сессий и других типов сетевых атак.

• Необходимо настроить SSH-транспорт VTY для всех сервисов управления устройством, используя команду:

[Quidway] user-interface { vty } { first-number [ last-number ] }

[Quidway-ui-{ vty } { first-number [ last-number ] }] protocol inbound ssh

Описание:

Управление по SSH разрешается только для авторизованных систем управления. Если удаленное администрирование возможно только из некоторых, авторизованных систем, то неавторизованные пользователи не получат доступ к системе.

• Необходимо настроить таймауты (10 минут) для всех управляющих подключений на устройстве для прерывания неактивных сессий, используя команду:

[Quidway] user-interface {aux | console | vty} { first-number [ last-number ] }

[Quidway-ui-{aux|console|vty} { first-number [ last-number ] }] idle-timeout {timeout_in_minutes} [ timeout_in_seconds ]

Описание:

Данное требование предотвращает неавторизованный доступ к устройству путем использования незавершенных сессий управления.

• Необходимо установить ограничения на удаленное администрирование для всех терминальных линий (VTY lines), используя команду:

"Quidwa" system-view

[Quidway] user-interface {vty} { first-number [ last-number ] }

[Quidway-ui-{ vty} { first-number [ last-number ] }] acl {vty_acl_number} { inbound }

Описание:

Настроенные списки контроля доступа защищают устройство от попыток доступа неавторизованных пользователей.

• Необходимо задать стойкий пароль для перехода в режим администрирования (Super), используя команду:

"Quidwa" system-view

[Quidway] super password cipher { password }

Описание:

При создании пароля рекомендуется учитывать фактор, что слабые пароли легко подобрать методом перебора, что дает злоумышленнику возможность получить неавторизованный доступ к маршрутизатору.

• Необходимо задать локального пользователя и пароль, используя команду:

[Quidway] aaa

[Quidway-aaa] local-user { user-name} password cipher { password }

Описание:

Если пароли не используются, то злоумышленник может получить доступ к устройству без пароля в том случае, если он сумеет определить действительное имя пользователя. При создании пароля рекомендуется учитывать фактор, что слабые пароли легко подобрать методом перебора, что дает злоумышленнику возможность получить неавторизованный доступ к маршрутизатору.

2.2.5. Правила паролей:

• Сконфигурируйте пользователя с зашифрованным паролем.

"#> { password }

Описание:

Если пароли не используются, то злоумышленник может получить доступ к устройству без пароля в том случае, если он сумеет определить действительное имя пользователя. Слабые пароли легко угадать, что дает злоумышленнику возможность получить неавторизованный доступ к маршрутизатору.

2.2.6. Правила паролей (Huawei VRP Router):

• Необходимо задать пароль для перехода в режим Super с применением стойкого алгоритма шифрования

"Quidwa" system-view

[Quidway] super password cipher { password }

Описание:

Требование использовать стойкий пароль для входа в режим администрирования обеспечивает защиту привилегированного режима (shell). Также пароли с применением стойкого алгоритма шифрования лучше защищают систему, чем пароли, которые используют слабый, распространенный и обратимый алгоритм шифрования.

2.2.7. Правила SNMP:

• Отключите стандартные или запрещенные пароли протокола SNMP.

[Quidway] undo snmp-agent community write { private }

[Quidway] undo snmp-agent community read { public }

Описание:

Использование широко известных паролей, угадать которые не составляет труда, представляет собой угрозу получения злоумышленником неавторизованного доступа к устройству.

• Необходимо установить ограничения доступа по протоколу SNMP с помощью ACL.

[Quidway] snmp-agent community { read | write } {community_string} ACL {snmp_access-list_number}

# Значение для {snmp_access-list_number} является целым числом в диапазоне от 2000 до 2999 (стандартный ACL).

Описание:

Если списки контроля доступа не применяются, то любой, кто обладает действительным паролем протокола SNMP, может потенциально осуществлять мониторинг устройства и управлять им.

2.2.8. Правила времени:

• Необходимо назначить первичный NTP-сервер

[Quidway] ntp-service unicast-server { ip-address NTP_server1 }

Описание:

Протокол NTP позволяет устанавливать точное время на устройствах при синхронизации с доверенным сервером времени. Точность системного времени и событий делает более эффективным поиск и устранение неисправностей, а также реагирование на инциденты.

2.2.9. Правила регистрации событий:

• Необходимо активировать Info-center

[Quidway] info-center enable

Описание:

Должна быть включена регистрация событий, связанных с функционированием и безопасностью устройства. Регистрация событий необходима для реагирования на инциденты общего характера, а также на инциденты в системе безопасности.

• Необходимо настроить регистрацию событий в буфер (с минимальным размером). Рекомендуемый размер - 512.

[Quidway] info-center enable

[Quidway] info-center logbuffer size { buffersize }

Описание:

Регистрация событий полезна при отладке и отслеживании с входом на устройство.

• Необходимо задать уровень регистрации событий сервисом Info-center для консоли

[Quidway] info-center enable

[Quidway] info-center console channel logbuffer

Описание:

Регистрация событий консоли должна ограничиваться исключительно сообщениями, необходимыми для немедленной диагностики неисправностей, связанных с регистрацией на устройстве.

• Необходимо назначить один или несколько syslog-серверов (используя их IP-адреса).

[Quidway] info-center enable

[Quidway] info-center loghost { ip-address }

Описание:

Маршрутизаторы Huawei могут отправлять сообщения о регистрации событий в формате сервиса syslog. Сервис syslog просто получает сообщения и сохраняет их в файлах или в распечатанном виде в соответствии с настройками простого файла конфигурации. Данный метод регистрации событий представляется оптимальным, поскольку он предоставляет возможность защищенного долговременного хранения журналов регистрации событий (способность внутреннего буфера регистрации событий сохранять журналы ограничена). Кроме того, большинство стандартов безопасности предписывают или настоятельно рекомендуют осуществлять регистрацию событий во внешнюю систему.

• Необходимо задать уровень отправки syslog-сообщений

[Quidway] info-center enable

[Quidway] info-center loghost {ip-address } loghost

Описание:

При настройке регистрации сообщений определяется уровень важности событий, которые будут пересылаться с помощью syslog-сообщений. Этот параметр должен быть настроен не ниже уровней «debugging» (7) или «informational» (6).

• Необходимо настроить временные метки в сообщениях отладки

[Quidway] info-center enable

[Quidway] info-center timestamp debugging date

• Необходимо настроить временные метки в сообщениях о регистрации событий

[Quidway] info-center enable

[Quidway] info-center timestamp log format-date millisecond

• Необходимо настроить временные метки в сообщениях trap

[Quidway] info-center enable

[Quidway] info-center timestamp trap date

Описание:

Добавление временных меток в журналы сообщений упрощает установление соответствий между событиями и обнаружение сетевых атак на большом количестве устройств. Включение временных меток при генерации сообщений упрощает получение общей картины событий, делая более оперативным поиск и устранение неисправностей или последствий атак.

2.2.10. Правила для loopback-интерфейса:

• Необходимо настроить loopback-интерфейс

"Quidwa" system-view

[Quidway] interface loopback {loopback-number}

[Quidway-LoopBack{loopback-number}] ip address {ip-address} { mask | mask-length }

Описание:

Loopback-интерфейс предоставляет стандартный интерфейс для использования с протоколами регистрации событий, времени, маршрутизации, а также для ACL, ограничивающих административный доступ.

2.2.11. Аутентификация протоколов маршрутизации (Huawei VRP Router):

• Необходимо настроить BGP-аутентификацию, если используется протокол

[Quidway] bgp {Number AS}

[Quidway-bgp] peer { group-name | ipv4-address } password cipher {cipher-text }

Описание:

Проверка пакетов обновления маршрутов с использованием аутентификации соседей уменьшает возможность того, что устройство получит поддельные обновления маршрутов, которые могут потенциально позволить злоумышленнику вызвать повреждения таблиц маршрутизации, скомпрометировать доступность сети или перенаправить сетевой трафик.

2.3. Рекомендации по настройке Juniper JUNOS

2.3.1. Системная информация:

• Необходимо задать имя маршрутизатора, используя следующую команду:

user@host# set system host-name { hostname }

Описание:

Для идентификации устройства необходимо задать имя.

2.3.2. Правила паролей:

• Настройте необходимый уровень сложности пароля, используя для этого следующие команды:

user@host# set system login password change-type { character-sets }

user@host# set system login password minimum-changes { 3 }

Описание:

Эксперты в области информационной безопасности рекомендуют использовать минимальную длину пароля не менее 8 символов с применением цифр, специальных символов, заглавных и строчных букв.

Операционная система JUNOS поддерживает 5 классов символов, которые могут использоваться при вводе пароля:

• строчные буквы
• заглавные буквы
• цифры
• символы пунктуации
• специальные символы: ! @ # $ % ^ * , + " : ;

При установке пароля необходимо использовать как минимум 3 класса символов.

• Хранение паролей с использованием обратимого шифрования. Настройте формат обратимого шифрования, используя следующую команду:

user@host# set system login password format { md5 | sha1 }

Описание:

Модель аутентификации Juniper использует такое шифрование паролей, при котором каждому паролю ставится в соответствие числовое значение - так называемый хэш. Хэш нельзя расшифровать для получения самого пароля. Чтобы обеспечить совместимость с некоторыми приложениями, Juniper позволяет хранить пароли с обратимым шифрованием, но по возможности этого следует избегать.

• Алгоритм шифрования пароля суперпользователя. Настройте стойкий алгоритм шифрования для паролей, используя следующую команду:

user@host# set system root-authentication plain-text-password

• Настройте стойкий алгоритм шифрования для паролей, используя следующую команду:

user@host# set system pic-console-authentication plain-text-password

Описание:

Задайте криптостойкий алгоритм шифрования пароля таким образом, чтобы даже при получении конфигурации устройства пароль невозможно было восстановить. Также следует помнить, что несложные пароли легко восстанавливаются даже при использовании самого надежного алгоритма шифрования пароля.

• Сконфигурируйте пользователя с зашифрованным паролем, используя следующую команду:

user@host# set system login user { user name } authentication plain-text-password

Описание:

Если пароли не используются, то злоумышленник может получить доступ к устройству без пароля в том случае, если он сумеет определить действительное имя пользователя. Слабые пароли легко угадать, что дает злоумышленнику возможность получить неавторизованный доступ к маршрутизатору.

2.3.3. Правила доступа:

• Настройте удаленное администрирование по SSH для входа на устройство, используя следующую команду:

user@host# set system services ssh

Описание:

SSH использует стойкое RSA-шифрование с открытым ключом для установления защищенного соединения между клиентом и сервером. Поскольку соединения шифруются, то пароли и другие конфиденциальные данные передаются в зашифрованном виде. Использование протокола SSH также препятствует осуществлению атак типа перехвата сессий и других типов сетевых атак. Необходимо использовать SSH вместо Telnet там, где это возможно.

• Настройте период блокировки сессии, используя следующие команды:

user@host# set system login retry-options minimum-time { 40 }

Описание:

После определенного количества неудачных попыток входа в систему, сессия остается активной в течение времени, заданного данным параметром.

• Настройте пороговое значение блокировки для учетной записи, используя следующую команду:

user@host# set system login retry-options backoff-threshold { 2 }

Описание:

Данным параметром задается количество неудачных попыток входа в систему, после достижения которых учетная запись блокируется на определенный период времени.

• Настройте период блокировки учетной записи, используя следующую команду:

user@host# set system login retry-options backoff-factor { 5 }

Описание:

Этот параметр задает период, на который блокируется данная учетная запись. С каждой неудачной попыткой входа период блокировки увеличивается в арифметической прогрессии.

• Настройте таймаут (10 минут) на устройстве для прерывания незавершенных сессий, используя следующую команду:

user@host# set system login class {class-name} idle-timeout { 10 }

Описание:

Установка данного параметра предотвращает некорректное использование неавторизованными пользователями незавершенных сессий (например, если администратор, уходя в отпуск, оставляет активную сессию входа в своей рабочей системе). В данном случае необходим компромисс между безопасностью (более короткие таймауты) и удобством использования (более длинные таймауты). При определении оптимального значения также следует учитывать локальные политики и функциональные особенности системы. В большинстве случаев, значение таймаута не должно превышать 10 минут.

• Установите пароль суперпользователя, используя следующую команду:

user@host# set system root-authentication plain-text-password

Описание:

Требование установить пароль для пользователя «root» направлено на защиту привилегированного режима суперпользователя. По умолчанию, вход на маршрутизатор осуществляется от имени пользователя «root» без пароля.

• Сконфигурируйте локального пользователя со стойким (трудно угадываемым) зашифрованным паролем, используя следующую команду:

user@host# set system login user { user name } authentication plain-text-password

Описание:

Стандартная конфигурация устройства не требует стойкого ко взлому способа аутентификации пользователей, что позволяет злоумышленнику, обладающему физическим доступом к устройству, получить неограниченный доступ.

2.3.4. Правила глобальных сервисов:

• Отключите сервис Telnet, используя следующую команду:

user@host# delete system services telnet

Описание:

Протокол Telnet не предоставляет практически никакой защиты. В сеансе Telnet все данные (включая пароли) передаются между клиентом и сервером в виде простого текста. Для удаленного управления устройством вместо протокола Telnet используйте SSH.

• Отключите сервис Finger, используя следующую команду:

user@host# set system services finger

Описание:

Finger используется для проверки того, какие пользователи присутствуют на маршрутизаторе. Данный сервис редко используется в средах на практике и может потенциально предоставить злоумышленнику важную информацию. Кроме того, использование сервиса Finger может подвергать устройство атаке отказа в обслуживании типа "Finger of Death". Как и в случае со всеми второстепенными сервисами, сервис Finger необходимо отключить в системе, кроме случаев, когда он необходим для сетевого управления. Любое сетевое устройство с сервисами UDP, TCP, BOOTP или Finger необходимо защитить с помощью межсетевого экрана или путем отключения данных сервисов, чтобы обеспечить защиту от атак отказа в обслуживании.

2.3.5. Правила времени:

• Настройте на маршрутизаторе сервис NTP в режиме клиента, используя следующие команды:

user@host# set system ntp server { IP-address }

user@host# set system ntp boot-server { IP-address }

Описание:

Протокол NTP позволяет устанавливать точное время на устройствах при синхронизации с доверенным сервером времени. Синхронизация системного времени устройства с доверенным сервером времени позволяет анализировать и сопоставлять события, основываясь на фактической очередности их возникновения. Способность точно определять время и очередность возникновения события повышает уверенность в том, что данные события точны. Точность системного времени и событий делает более эффективным поиск и устранение неисправностей, а также реагирование на инциденты. Дополнительные источники времени увеличивают уровень точности и надежности системного времени.

Примечание: IP-адреса NTP-сервера Boot и первичного NTP-сервера должны быть одинаковыми.

2.3.6. Правила регистрации событий:

• Настройте регистрацию системных событий во внешнюю систему, используя следующую команду:

user@host# set system syslog host { IP-address } any { any | info }

Описание:

Маршрутизаторы и коммутаторы Juniper могут отправлять сообщения о регистрации событий в формате сервиса syslog. Сервис syslog просто получает сообщения и сохраняет их в файлах или в распечатанном виде в соответствии с настройками простого файла конфигурации. Данный метод регистрации событий представляется оптимальным, поскольку он предоставляет возможность защищенного долговременного хранения журналов регистрации событий (способность внутреннего буфера регистрации событий сохранять журналы ограничена). Кроме того, большинство стандартов безопасности предписывают или настоятельно рекомендуют осуществлять регистрацию событий во внешнюю систему.

• Сформируйте файл регистрации системных событий, используя следующие команды:

user@host# set system syslog file {file_name} {any} {notice}

user@host# set system syslog file {file_name} authorization {info}

user@host# set system syslog file {file_name} {daemon} {any}

user@host# set system syslog file {file_name} {kernel} {any}

user@host# set system syslog file {file_name} archive size {10m} files {5} no-world-readable

• Сформируйте файл регистрации событий авторизации, используя следующие команды:

user@host# set system syslog file {file_name} authorization {any}

user@host# set system syslog file {file_name} interactive-commands {any}

• Сформируйте файл регистрации событий межсетевого экрана, используя следующую команду:

user@host# set system syslog file {file_name} firewall {any}

Описание:

Файл, в который ведется регистрация событий предоставления и отказа в авторизации и аутентификации, наряду с регистрацией всех пользовательских команд, предоставляет отличный способ отслеживания на маршрутизаторе всех действий, связанных с управлением. Проверки таких файлов на предмет зарегистрированных неудачных попыток аутентификации помогают выявлять попытки взлома маршрутизатора. Такие файлы также могут предоставлять данные обо всех командах, выполненных на маршрутизаторе, и об их исполнителе. Рекомендуется просматривать зарегистрированные команды, которые были выполнены на маршрутизаторе, и сопоставлять любое сетевое событие с изменениями, внесенными в определенное время. Эти файлы хранятся локально на маршрутизаторе. Рекомендуется регистрировать события межсетевого экрана в отдельный файл регистрации системных событий.

2.3.7. Правила интерфейса loopback:

• Привяжите сервис регистрации событий к интерфейсу loopback, используя следующую команду:

user@host# set system syslog source-address { IP-address }

Описание:

Настройте исходный адрес для трафика сообщений регистрации событий. Это необходимо, если серверы syslog используют фильтрацию IP-адресов.

• Определите и настройте один интерфейс loopback, используя следующую команду:

user@host# set interfaces lo0 unit {number_unit} family inet address {IP-address}

Описание:

Интерфейс loopback представляет собой стандартный интерфейс для использования с протоколами регистрации событий, времени, маршрутизации, а также для списков ACL, ограничивающих административный доступ.

2.3.8. Правила маршрутизации:

• Настройте BGP-аутентификацию (там, где это возможно), используя следующие команды:

user@host# set protocols bgp group {name_group} peer-as {Number_AS}

user@host# set protocols bgp group {name_group} neighbor {address} authentication-key {password}

Описание:

Проверка пакетов обновления маршрутов с использованием аутентификации соседей уменьшает возможность того, что устройство получит поддельные обновления маршрутов, которые могут потенциально позволить злоумышленнику вызвать повреждения таблиц маршрутизации, скомпрометировать доступность сети или перенаправить сетевой трафик.

Примечание: Если устройство настраивается на аутентификацию протоколов маршрутизации, соседнее устройство должно быть настроено на аутентификацию с совместимыми настройками, иначе пакеты обновлений маршрутов, отправленные этим устройством, будут игнорироваться и удаляться.

• Настройте OSPF-аутентификацию (там, где это возможно), используя следующую команду:

user@host# set protocols ospf area {number} interface {interface} authentication md5 {number_key} key {password}

Описание:

Проверка пакетов обновления маршрутов с использованием аутентификации соседей уменьшает возможность того, что устройство получит поддельные обновления маршрутов, которые могут потенциально позволить злоумышленнику вызвать повреждения таблиц маршрутизации, скомпрометировать доступность сети или перенаправить сетевой трафик.

Примечание: Если устройство настраивается на аутентификацию протоколов маршрутизации, соседнее устройство должно быть настроено на аутентификацию с совместимыми настройками, иначе пакеты обновлений маршрутов, отправленные этим устройством, будут игнорироваться и удаляться.

Для аутентификации сообщений рекомендуется использовать шифрование по алгоритму md5.

• Настройте RIPv2-аутентификацию (там, где это возможно), используя следующие команды:

user@host# set protocols rip group {name_group} neighbor {interface} authentication-type {md5}

user@host# set protocols rip group {name_group} neighbor {interface} authentication-key {password}

Описание:

Проверка пакетов обновления маршрутов с использованием аутентификации соседей уменьшает возможность того, что устройство получит поддельные обновления маршрутов, которые могут потенциально позволить злоумышленнику вызвать повреждения таблиц маршрутизации, скомпрометировать доступность сети или перенаправить сетевой трафик.

Примечание: Если устройство настраивается на аутентификацию протоколов маршрутизации, соседнее устройство должно быть настроено на аутентификацию с совместимыми настройками, иначе пакеты обновлений маршрутов, отправленные этим устройством, будут игнорироваться и удаляться.

2.3.9. Правила SNMP:

• Отключите стандартные или запрещенные пароли протокола SNMP, используя следующую команду:

user@host# delete snmp community {private} authorization {read-write | read-only}

user@host# delete snmp community {public} authorization {read-write | read-only}

Описание:

SNMP позволяет удаленно осуществлять мониторинг устройства и управлять этим устройством. "public" представляет собой широко известный стандартный пароль. Использование широко известных паролей, угадать которые не составляет труда, представляет собой угрозу получения злоумышленником неавторизованного доступа к устройству. Следует отключить SNMP, кроме тех случаев, когда он необходим для сетевого управления. Если вам требуется использовать SNMP, удостоверьтесь, что выбраны только стойкие SNMP-пароли, которые не совпадают с другими паролями, заданными в конфигурации устройства. Рекомендуется рассмотреть возможность использования протокола SNMPv3, который применяет шифрование данных, во всех возможных случаях.