Защита маршрутизатора средствами CISCO IOSРефераты >> Программирование и компьютеры >> Защита маршрутизатора средствами CISCO IOS
VPN Client v.4.0 - новая версия ПО для клиентских рабочих станций, работающих через VPN. Интеграция с Cisco Security Agent предоставляет пользователю функции firewall, удобный и простой графический интерфейс облегчает настройку и управление, поддержка приложений, работающих с протоколом H.323 позволяет дистанционно общаться, не беспокоясь о защищенности соединения.
Cisco IOS AutoSecure - функция интерфейса IOS, позволяющая быстро произвести настройку функций безопасности, отключить редко используемые сетевые сервисы и разрешить доступ и управление только для авторизованных пользователей.
Cisco Security Device Manager v1.0 - ПО управления сетевой безопасностью, доступное на всех моделях маршрутизаторов доступа, от Cisco 830 до Cisco 3700, позволяющее в графическом режиме, удаленно с любой раюбочей станции (через веб-браузер) изменять любые настройки безопасности на маршрутизаторе. Встроенный алгоритм аудита предупредит пользователя о потенциально опасных настройках и предложит варианты решения.
Cisco ISC v3.0 - Cisco IP Solution Center позволяет определять политики безопасности для всей сети, скрывая подробности реализации политик на конкретных устройствах. Политики позволяют учитывать схемы реализации механизмов LAN-to-LAN VPN, Remote Access VPN, EZ VPN и DMVPN, Firewall, NAT и QoS, а ISC реализует их на всех сетевых устройствах, работающих с механизмами безопасности (IOS, PIX, VPN3K Concentrator и т.п.).
CiscoWorks VPN/Security management Solution 2.2 централизует функции управления, мониторинга, учета, диагностики и обновления для ПО всех сетевых устройств Cisco, реализующих функции сетевой безопасности. CiscoWorks Security Information Management Solution (SIMS) v3.1 позволяет управлять безопасностью в сетях, использующих оборудование и ПО различных производителей.
IDS 4215 Sensor - отдельное устройство в стоечном исполнении, высотой 1 RU, позволяет организовывать до 5 сенсоров с общей пропускной способностью до 80 Мбит/сек, которые способны прослушивать сетевой трафик, отслеживать потенциально опасную активность, предпринимать действия по предотвращению и остановке сетевых атак.
IDS Network Module for Cisco 2600XM, 3660, 3700 series - аналогичное устройство, но предназначенное для слежения за трафиком на самом периметре сети - на маршрутизаторе доступа. Обеспечивая производительность до 45 Мбит/сек, модуль использует то же ПО, что и IDS sensor, что позволяет строить гомогенную инфраструктуру безопасности, с единым централизованным интерфейсом управления.
Cisco Security Agents v4.0 - "последняя линия" сетевой обороны, ПО, устанавливаемое на рабочие станции и серверы. Они отслеживают попытки несанкционированного доступа к операционной системе, а также следят за активностью приложений, в случае некорректных действий или нестабильной работы они могут остановить или перезапустить приложение или сервис. Оповещения о подозрительных событиях пересылаются и накапливаются на центральной консоли управления.
Cisco CSS 11500 Series Content Services Switch - платформа управления трафиком на уровнях 4-7, позволяющая определять правила распределения трафика, его балансировки и резервирования.
Cisco ACNS Software version 5.0.3 with Websense Content Filtering On-Box - версия 4 этого продукта работала как двухуровневая система, где модуль фильтрации размещался на устройствах Cisco Content Engine, а набор шаблонов WebSense для фильтрации - на внешнем сервере. Новая версия совмещает оба элемента на одной платформе (Content Engine).
Cisco IOS software Identity Enhancements - новые функции IOS обеспечивают надежную идентификацию устройств и пользователей, участвующих в обмене информацией по защищенным каналам. Поддержка инфраструктуры PKI и интеграция с функциями AAA на серверах, маршрутизаторах и концентраторах доступа облегчают идентификацию в распределенной сети с использованием цифровых сертификатов и подписей. Secure RSA private key предотвращает использование украденных маршрутизаторов - в случае попытки вскрытия пароля приватные ключи маршрутизатора уничтожаются. N-tier CA Chaining позволяет отследить цепочку доверенных сертификатов, начиная с ближайшего и заканчивая центральным (root) certificate authority. Authentication Proxy проверяет права пользователя перед тем как выпустить пользователя за пределы сети. Secure ARP - связывает MAC и IP-адреса устройств, не позволяя подменить одно из устройств в процессе передачи данных. Поддержка 802.1X требует авторизации пользователя перед тем как пустить его трафик в сеть.
Пользовательский и привилегированный уровни доступа.
Cisco IOS для конфигурации маршрутизатора поддерживает интерфейс командной строки, работать с которым можно с терминала, подключенного к маршрутизатору через консольный порт (Console port) или с помощью удаленного доступа по модему и telnet - соединения по сети. Сеанс командной строки называется EXEC-сессией.
В целях безопасности Cisco IOS обеспечивает два уровня доступа к интерфейсу командной строки: пользовательский и привилегированный. Пользовательский уровень называется user EXEC режим, а привилегированный privileged EXEC режим. Предусмотрено 16 уровней привилегий: от 0 до 15. На нулевом уровне доступно всего пять команд: disable, enable, exit, help, logout. На уровне 15 доступны все возможные команды.
Пользовательский режим
Вид командной строки имеет вид Router> Этот режим позволяет временно изменить настройки терминала, выполнить основные тесты, просмотреть системную информацию и подключиться к удаленному устройству. Пользовательский режим по умолчанию имеет первый уровень привилегии. Набор команд существенно ограничен. Для перехода на другой уровень привилегий необходимо ввести команду enable [номер уровня], например
Router>enable 7
Команды enable и enable 15 являются аналогичными и приводят пользователя на привилегированный уровень.
Привилегированный режим
Вид командной строки в имеет вид Router# Набор привилегированных команд устанавливает параметры работы системы. Пользователь имеет доступ к командам глобального конфигурирования и специальным конфигурационным режимам.
Возможности пользовательского режима с первым уровнем привилегий достаточно широкие. Из этого режима возможно выполнение "опасных" команд, таких как telnet, connect, tunnel, login и совсем не нужных для некоторых пользователей команд traceroute, enable, mstat, mrinfo, а также команд группы show: show hosts, show versions, show users, show flash: и многие другие.
Права пользователей можно тонко настраивать: любому пользователю можно назначить определенный уровень при входе в маршрутизатор, любую команду можно перевести на уровень, отличный от стандартного. В свое время у нас возникла задача создания пользователя с минимальными возможностями: запрет команды enable, всех команд группы show и единственной разрешенной командой telnet. Это возможно реализовать следующим образом: