Политики безопасности компании при работе в Интернет, Петренко Сергей Александрович

Политики безопасности компании при работе в Интернет

на обложку

Петренко Сергей Александрович

Шрифт:

...

banner motd «This is a private computer system for authorized use only.

All access is logged and monitored. Violators could be prosecuted».

Сообщение, выводимое при входе в непривилегированный (EXEC) режим:

...

banner exec «Any unauthorized access will be vigorously prosecuted».

Маршрутизация «от источника». Отключение

маршрутизации «от источника». Маршрутизация от источника дает пакетам возможность переносить информацию о «верном» или более удобном маршруте и позволяет пренебречь правилами, которые предписаны в таблице маршрутизации для данного пакета, то есть модифицирует маршрут пакета. Это позволяет злоумышленнику управлять трафиком по своему желанию. Необходимо отключить маршрутизацию «от источника»:

...

no ip source-route

4.3.2. Сервисы маршрутизатора

Необходимо отключить все неиспользуемые и опасные сервисы на маршрутизаторе и сконфигурировать нужные сервисы для обеспечения безопасности. Некоторые из них уже отключены по умолчанию в версии IOS 12.3, поэтому здесь они приводятся для дополнительной проверки.

«Малые» сервисы. Отключение редко используемых UDP-и ТСР-сервисов диагностики:

...

no service tcp-small-servers

Чтобы уменьшить для злоумышленника возможности получения дополнительной информации о маршрутизации, надо отключить сервисы finger и identd. Также требуется отключить HTTP-, DNS-, DHCP-, bootp-сервисы:

...

no ip finger

no service finger

no ip identd

no ip http server

no ip bootp service

no ip domain-lookup

no service pad

no service dhcp

no call rsvp-sync

Определяется максимальное количество получателей для SMTP-соединений для встроенной в IOS функции поддержки факсов. Установка максимального количества, равного 0, означает отключение сервиса:

...

mta receive maximum-recipients 0

Отключение протокола CDP (Cisco Discovery Protocol), который позволяет обмениваться информацией канального уровня с другими устройствами от компании Cisco:

...

no cdp running

Отключение функций proxy arp на маршрутизаторе. Proxy arp позволяет распространяться ARP-запросам по смежным сетям, что дает злоумышленнику дополнительную возможность узнать о структуре сети:

...

no ip proxy-arp

Для того чтобы в сообщениях, отправляемых по syslog, присутствовала временная метка, необходимо выполнить команды:

...

service timestamps debug datetime msec localtime showtimezone

service timestamps log datetime msec localtime showtimezone

Конфигурирование SNMP. Так как мониторинг сетевых устройств осуществляется из сети управления и является критичным аспектом обеспечения высокой доступности, решено использовать SNMP, несмотря на проблемы безопасности, связанные с ним. Для минимизации риска предприняты следующие шаги:

• запрещен SNMP-трафик в Интернет и из Интернета;

• ограничено количество используемых счетчиков.

Используемые команды:

...

snmp-server view NNM-Only internet included

snmp-server view NNM-Only ipRouteTable excluded

snmp-server view NNM-Only ipNetToMediaTable excluded

snmp-server view NNM-Only at excluded

Списки контроля доступа сконфигурированы для ограничения доступа только с HP OpenView NNM:

...

access-list 5 permit host 172.16.6.33

и SNMP используется только для чтения: