Service password encryption cisco что это
Основы основ безопасности в Cisco сетях
Всем доброго здравия!
Не так давно начал самостоятельное обучение к сертификации по курсу Cisco CCNA Security. Дело чрезвычайно интересное и полезное, для тех кто сталкивается в жизни с данным вендором. В этом топике хотелось бы ввести, дорогих хаброжителей, в основы основ безопасности Cisco сетях, на примере железок 3-го уровня. Статья не претендует на роль полноценного мануала по безопасности маршрутизаторов, а лишь дает основные понятия подхода к реализации безопасности в Cisco сетях. Топик будит полезен, как для начинающих админов, так и для гуру администрирования, дабы освежить память. И так, с Вашего позволения, поехали:
Сразу оговорюсь, что теории будит мало, в основном лишь комментарии к редко используемым командам. Для примера, я использовал старенькую/тестовую железку, третьего уровня, 28 серии.
В первую очередь необходимо установить длину используемых паролей, в моем случае эта длина будит равна 10 символам:
R1(config)#security passwords min-length 10
Далее, подготовим роутер, для работы через line console, aux port-ы и line vty.
R1(config)#line console 0
R1(config-line)#password cisco
R1(config-line)#exec-timeout 5 0
R1(config-line)#login
R1(config-line)#logging synchronous
Команда exec-timeout говорит нам о том что, при бездействии пользователя в течении 5-ти минут произойдет процесс разлогирования.
Команда logging synchronous запрещает вывод каких-либо консольных сообщений, которые в свою очередь могут прервать ввод команд в консольном режиме. К сожалению по умолчанию она не включена.
R1(config)#line aux 0
R1(config-line)#password ciscoauxpass
R1(config-line)#exec-timeout 5 0
R1(config-line)#login
R1(config)#line vty 0 4
R1(config-line)#password ciscovtypass
R1(config-line)#exec-timeout 5 0
R1(config-line)#login
Воспользуемся командой service password-encryption для шифрования паролей console, aux и vty.
R1(config)# service password-encryption
Создадим пользователей системы:
R1(config)#username user1 password 0 cisco123pass.
Здесь можно выставить password со-значением 0, так как мы уже ввели команду service password-encryption и пароль будит в любом случае хешироваться в MD5. Так же обязательно выставлять каждому новому пользователю secret password:
R1(config)#username user2 secret user123pass
R1(config)#line console 0
R1(config-line)#login local
R1(config-line)#end
R1#exit
R1(config)#line aux 0
R1(config-line)#login local
R1(config-line)#end
R1#exit
R1(config)#line vty 0 4
R1(config-line)#login local
R1(config-line)#end
R1#exit
Еще один маленький штрих:
R1(config)#login block-for 60 attempts 2 within 30
В течении 60 секунд, не будит возможности войти в систему после 2-х неудачных попыток залогиниться. Сконфигурим процесс логирования, при всех возможных попытках доступа в систему:
R1(config)#login on-success log
R1(config)#login on-failure log every 2
R1(config)#exit
Подготовим router для работы с ssh соединениям, для этого создадим пользователя с уровнем привилегий 15 и соответствующими настройками line vty, ключи, ограниченным числом сессий и тайм-аутом для ssh сессий:
R1(config)#username admin privilege 15 secret Cisco12345Admin
R1(config)#line vty 0 4
R1(config-line)#privilege level 15
R1(config-line)#login local
R1(config-line)#transport input ssh
R1(config-line)#exit
R1(config)#crypto key generate rsa general-keys modulus 1024
R1(config)#exit
R1(config)#ip ssh time-out 90
R1(config)#ip ssh maxstartups 2
R1(config)#ip ssh authentication-retries 2
Router(config)#wr
Также, при необходимости существует возможность пробросить на нестандартный ssh порт:
R1(config)#ip ssh port 2009 rotary 9
R1(config)# line vty 4
R1(config)#rotary 9
Конфигурирование AAA: Administrative Role. Это довольно таки сильный механизм и по ней можно написать отдельную статью. В моем случае будит рассмотрен лишь малая его часть. Включаем ААА:
R1#config t
R1(config)#aaa new-model
R1(config)#exit
Включаем для пользователя admin, admin view. Для этого должен быть включен secret password, до того как был включен механизм ААА.
R1(config)#enable secret cisco12345
R1(config)#parser view admin
R1(config-view)#
*Dec 16 22:45:27.587: %PARSER-6-VIEW_CREATED: view ‘admin’
successfully created.
Note: To delete a view, use the command no parser view viewname.
Сделаем привязку пользователя и пароля:
R1(config-view)#secret admin1pass
R1(config-view)#
R1(config-view)#commands?
-RITE-profile Router IP traffic export profile command mode
-RMI Node Config Resource Policy Node Config mode
-RMI Resource Group Resource Group Config mode
-RMI Resource Manager Resource Manager Config mode
-RMI Resource Policy Resource Policy Config mode
-SASL-profile SASL profile configuration mode
-aaa-attr-list AAA attribute list config mode
-aaa-user AAA user definition
-accept-dialin VPDN group accept dialin configuration mode
-accept-dialout VPDN group accept dialout configuration mode
-address-family Address Family configuration mode
R1(config-view)#commands exec include all show
R1(config-view)#commands exec include all config terminal
R1(config-view)#commands exec include all debug
R1(config-view)#end
R1#enable view admin1
Password:admin1pass
Далее необходимо подготовить IOS железки, что то вроде на её безопасную загрузку и устойчивость.
R1(config)#secure boot-image
%IOS_RESILIENCE-5-IMAGE_RESIL_ACTIVE: Successfully secured running image
R1(config)#secure boot-config
%IOS_RESILIENCE-5-CONFIG_RESIL_ACTIVE: Successfully secured config archive [flash:.runcfg-19930301-00131.ar]
Все это проверяется командами:
R1#show flash
R1#show secure bootset
Конфигурим службу syslog на маршрутизаторе. Для этого нам понадобится Kiwi Syslog Daemon или Tftpd32 на отдельном PC, с настройками данных программ, думаю не должно возникнуть особых сложностей, там в принципе все просто. Так же необходимо будит поднять NTP сервер на routre, для синхронизации времени логов.
R1(config)#ntp server 10.1.1.2
R1(config)#ntp update-calendar
R1#show ntp associations
R1#debug ntp all
R1(config)#service timestamps log datetime msec
R1(config)#logging 192.168.1.3
Далее выставляем уровень логирования:
Severity level Keyword Meaning
0 emergencies System unusable
1 alerts Immediate action required
2 critical Critical conditions
3 errors Error conditions
4 warnings Warning conditions
5 notifications Normal but significant condition
6 informational Informational messages
7 debugging Debugging messages
Обычно выбирается уровень 4. Но все зависит от конкретной ситуации.
Ну вот в принципе пока все. Это то что мне удалось узнать из первых уроков курса и ПРОВЕРИТЬ в «боевых» условиях. Надеюсь, что не сильно утомил.
Безопасная Cisco
Всем привет!
Многие из вас видели и читали прекрасные материалы под общим названием «Сети для самых маленьких». Собственно, я не претендую на лавры, но решил написать нечто подобное в области безопасности сети на основе оборудования Cisco.
Первый материал будет посвящен BaseLine/L2 Security, т.е. тем механизмам, которые можно использовать при начальной конфигурации устройств а также на L2 коммутаторах под управлением IOS.
Всем, кому интересно, поехали!
Допустим, у нас brand-new [switch/router], для первой главы не принципиально. Мы подключаемся к нему с помощью консольного провода (более подробно описано Часть.1 Сети для самых маленьких). Т.к. мы не хотим, чтобы железка лежала у нас на столе или (если она уже в стойке) стоять и мерзнуть в серверной, сразу настроим на ней удаленное управление.
Remote control & credentials
Вроде бы все, если что забыл, прошу отписаться в комментарии, по крайней мере JDima, всегда делал стоящие комментарии.
Создаем обычный список доступа, который будет использоваться в VACL. Определим VLAN access map. Определим действие при совпадении трафика со списком. Применим к VLAN. 1 класс трафика будет останавливаться, весь другой пересылаться.
Интересная функция в IOS — MacSec.
Вот такой набор команд (к примеру на 2 устройствах):
Настроив на L2 устройствах, на портах через которые два коммутатора соединены между собой, получим симметрично зашифрованный канал (pmk на устройствах должен быть одинаковым).
Snooping table
Для того, чтобы обезопасить себя от атак на dhcp можно применять dhcp snooping table. Суть заключается в том, что коммутатор запоминает за каким портом у него легальный dhcp сервер, тем самым выполнить dhcp starvation attack (ну или кто-то просто принес из дома dlink) с портов доступа не получится. 
Включается режим отдельно на всю железку и vlans: 
Ограничить количество запросов dhcp можно командой ip dhcp snooping limit rate 20. И по необходимости посмотреть имеющиеся связи: 
Изначально в этом режиме по умолчанию все порты являются не доверенными.
DAI
На основе snooping table работает DAI – dynamic arp inspection, т.е. динамически сравнивает MAC-IP и тем самым предотвращает ARP poisoning: ip arp inspection vlan 456.
Это тип атаки при которой рассылаются ARP пакеты с измененными MAC адресами, после обновления ARP таблицы проводится MITM. 
Если же в инфраструктуре нет DHCP, то аналогичного функционала можно добиться с использованием arp access-list:
Также есть функционал для сравнения ARP Validation Checks.
IP Spoofing/Source Guard
Опять же на основе snooping table функционирует IP Spoofing/Source Guard.
Яркий пример атаки с подменой IP, когда злоумышленник генерирует различные пакеты с разными IP DESTINATION и одинаковым IP SOURCE. В итоге все Destination пытаются ответить Source и проводят его DDoS. 
Этот набор команд поможет защититься от атак типа IP Spoofing. 
STP
Как вы знаете основной задачей STP является устранение петель в топологии, в которой есть избыточные соединения. Но возможно реализовать такую схему, когда нарушитель станет root bridge и опять же реализует MITM: 
Для того, чтобы активировать защиту глобально на всех портах необходимо использовать команду spanning-tree portfast bpduguard default.
Далее переводим порт в режим portfast и получаем… Вместо тысячи слов: 
Отдельно на интерфейсе это делается командой: spanning-tree bpduguard enable.
В дополнение к вышеописанному существуют такие технологии как: Root Guard, EtherChannel Guard, Loop Guard, Port Blocking.
За сим все, спасибо, что дочитали до конца. Надеюсь, информация окажется полезной.
Как обезопасить маршрутизатор Cisco
Исторически сложилось так, что пакетные маршрутизаторы разрабатывались для маршрутизации всего трафика. В некоторой степени такая особенность сохраняется и в принятой по умолчанию конфигурации современных пакетных маршрутизаторов. Но чаще всего эти устройства используются в качестве шлюза для доступа к Internet. В стандартной конфигурации многие из них уязвимы с точки зрения безопасности, особенно это касается атак по типу «отказ в обслуживании» (Denial of Service, DoS). В этой статье рассматриваются конфигурационные команды и концепция настройки фильтрации, применение которых позволяет повысить уровень безопасности стандартной конфигурации маршрутизатора Cisco. Многие сервисы можно отключить либо модифицировать без снижения его функциональности. Кроме того, обсуждаются базовая операционная система IOS и интегрированные функции брандмауэра маршрутизаторов Cisco.
РАЗМЕЩЕНИЕ МАРШРУТИЗАТОРА НА ПЕРИМЕТРЕ СЕТИ
Доступ организации к Internet обычно осуществляется путем подключения специального устройства (это может быть маршрутизатор) к глобальной сети через так называемую «точку присутствия» провайдера Internet.
Многие современные методы подключений — кабельное (сетевой доступ с помощью широкополосной линии связи), DSL (Digital Subscriber Line, высокоскоростная передача данных по медному проводу) — заканчиваются на клиентской стороне портом Ethernet (кабельный модем/маршрутизатор или модем/маршрутизатор DSL). Маршрутизатор может быть использован в точке подключения по протоколу Ethernet для обеспечения дополнительных сетевых сервисов, таких, как преобразование сетевых адресов (Network Address Translation, NAT) или динамического предоставления IP-адресов клиентам (Dynamic Host Configuration Protocol, DHCP). Многие кабельные и DSL-модемы обладают встроенными функциями маршрутизации и могут обеспечивать соединение с провайдером Internet, предоставляя дополнительные функции наподобие NAT.
 |
| Рисунок 1. Пример размещения пограничного маршрутизаторa. |
На Рисунке 1 представлены две схемы. На первой показано применение маршрутизатора в качестве оконечного устройства в точке подключения к глобальной сети. Он может находиться перед одним или несколькими другими маршрутизаторами, брандмауэрами либо иными сетевыми устройствами. На второй схеме маршрутизатор располагается в точке подключения сети малого или домашнего офиса (Small Office/Home Office, SOHO) к предоставляемому провайдером Internet кабельному или DSL-соединению.
ПАРАМЕТРЫ ГЛОБАЛЬНОЙ КОНФИГУРАЦИИ
В маршрутизаторах Cisco используются два типа параметров конфигурации: общие и интерфейсные. Общие параметры действительны для всего устройства, а интерфейсные касаются только конкретного сетевого интерфейса. В этом разделе дается определение ряда общих команд, имеющихся в большинстве версий Cisco IOS, применение которых позволит повысить общий уровень безопасности.
no ip source routе — четвертая версия IP имеет средства для включения информации о маршруте в пакет. Эта технология известна как маршрутизация от источника. Она никогда широко не применялась и уже удалена из новой версии протокола TCP/IP. Взломщики часто обращаются к ее возможностям, чтобы обойти таблицы маршрутизации устройств, и таким образом скрыть источник трафика. Данная команда заставляет маршрутизатор игнорировать пакеты с таким заголовком.
no service finger — процесс finger (указатель на детальную информацию об интересующем объекте) в маршрутизаторе подобен процессу finger в системе UNIX. Он может предоставить потенциальным взломщикам информацию, которую им не следует знать. Данная команда его отключает.
no service tcp-small-servers и no service udp-small-servers — в последних версиях IOS она применяется по умолчанию. Устройства Cisco поддерживают такие «малые» службы IP, как echo, chagren и discard. Ими легко воспользоваться, однако ввиду нечастого применения их лучше отключить.
no cdp run — протокол обнаружения Cisco (Cisco Discovery Protocol, CDP) является собственным информационным протоколом Cisco второго уровня. Предоставляемая им информация не нужна для работы маршрутизатора но может быть использована взломщиками. Однако если протокол CDP используется в вашей сети, то его можно отключить на тех интерфейсах, где он не нужен, с помощью соответствующей интерфейсной команды.
no ntp enable — синхронизирующий сетевой протокол (Network Time Protocol, NTP) может оказаться ненужным для пограничного маршрутизатора и должен быть отключен. При этом маршрутизатор не может быть ни источником, ни конечным пунктом маршрута для трафика NTP. Однако если протокол NTP все же используется в сети, то его можно отключить на тех интерфейсах, где он не нужен, с помощью соответствующей интерфейсной команды.
no ip domain-lookup — oтключает в маршрутизаторе функции поиска по DNS, которые в большинстве случаев не требуются для выполнения стандартных операций.
service password-encryption — определяет шифрование паролей, хранящихся на локальном маршрутизаторе, и обеспечивает необходимый уровень безопасности, если имеется брешь в системе защиты либо пароли скомпрометированы.
enable secret — определяет шифрование паролей в привилегированном режиме, в отличие от команды enable password, которая разрешает передачу пароля в виде нешифрованного текста.
banner motd
ip tcp intercept mode intercept access-list 102 permit tcp any 172.30.0.0.0.0.255.255 ip tcp intercept list 102 ip tcp intercept max-incomplite high 200
Функция перехвата протокола TCP предоставляет возможность программной защиты серверов TCP от атак SYN flooding. Эта разновидность атак по типу «отказ в обслуживании» приводит к тому, что сервер оказывается заблокирован многочисленными запросами. Список доступа (дополнительную информацию см. далее в разделе «Списки доступа») определяет серверы и сети, от которых принимаются входящие соединения TCP. Параметр high 200 определяет максимально допустимое число открытых соединений TCP на хост. Команда может содержать много конфигурационных параметров, и ее следует применять, только если вы хорошо понимаете, какого типа трафик и соединения типичны для вашей сети.
ПАРАМЕТРЫ КОНФИГУРАЦИИ ИНТЕРФЕЙСА
Как уже говорилось в предыдущем разделе, эти параметры применяются непосредственно к сетевому интерфейсу для изменения его функции. Если не указано иное, большинство подобных команд должно применяться к внешнему по отношению к вашей сети интерфейсу маршрутизатора.
no ip redirects — отключает переадресацию протокола управляющих сообщений (Internet Control Messging Protocol, ICMP). ICMP переадресует сообщения от маршрутизатора с указанием лучшего сетевого маршрута. Такие сообщения могут быть использованы для организации атаки по типу «отказ в обслуживании».
no ip unreachables — отключает сообщения протокола ICMP о недоступности участков сети. Эти сведения маршрутизатор передает при невозможности доставить пакет адресату. Они также могут быть использованы для организации атаки по типу «отказ в обслуживании».
no ip proxy-arp — протокол разрешения адресов (Address Resolution Protocol, ARP) позволяет маршрутизатору отвечать на запросы ARP от подсетей помимо той, к которой он подключен. Для того чтобы информацией не воспользовались взломщики, такую возможность лучше отменить.
no ip mrout-cache — отключает кэш многоадресной рассылки Cisco IOS. Если рассылка не используется, то кэш для нее не нужен.
ntp disable — отключает NTP на уровне интерфейса. Это позволяет выполнять протокол NTP на маршрутизаторе, но делает его «невидимым» снаружи.
no cdp enable — отключает протокол CDP на уровне интерфейса, что очень полезно, если протокол CDP применяется только во внутренней локальной сети.
no ip directed broadcast — действует по умолчанию в IOS Version 12 и выше. Команда блокирует прямую широковещательную рассылку в конкретную сеть или ее подсеть. Появление широковещательного трафика в сети часто является признаком такой разновидности атак по типу «отказ в обслуживании», как Smurf. Этот режим хорошо бы установить на всех сетевых маршрутизаторах компании, естественно, если отсутствуют конкретные приложения, которым необходима широковещательная рассылка.
mac-address 00550.04FE.7F9C — изменяет MAC-адрес интерфейса (Burned In Address, BIA) в программном обеспечении. Это позволяет слегка повысить уровень безопасности путем введения в заблуждение злоумышленника. С помощью указанной команды можно переопределить MAC-адрес интерфейса. Так как производители сетевого оборудования назначают MAC-адреса при изготовлении устройств, изменение данного параметра поможет скрыть тип устройства, например тип вашего маршрутизатора. Обычно я беру MAC-адрес сетевого адаптера 3COM со своего компьютера. Подобная операция может запутать потенциального взломщика, а также окажется весьма полезной, если ваш поставщик услуг связи (кабельного или DSL-соединения) неодобрительно относится к использованию маршрутизаторов в его сети.
СПИСКИ ДОСТУПА
Стандартный список доступа
Расширенный список доступа
Интерфейсная команда ip access group активизирует эти списки доступа на соответствующем интерфейсе. IOS позволяет задавать только по одному фильтру на каждом направлении (на входе или на выходе пакета). Если вы включили фильтрацию с использованием списков доступа IP, как минимум, убедитесь, что этот фильтр выполняет следующие операции фильтрации.
Выполнение хотя бы минимальной фильтрации может быть полезно, даже если у вас есть брандмауэр между маршрутизатором на границе сети и внутренней сетью. Для пропуска только трафика, необходимого для работы вашей сети, могут быть разработаны более строгие фильтры. Пакетная фильтрация способна стать мощным средством безопасности. Однако пакетная фильтрация такого рода «не помнит» промежуточные состояния, поэтому маршрутизатор не «знает» о потоках, соединениях и обратном трафике. Например, если политика доступа разрабатывалась в предположении, что из вашей сети будет исходить только конкретный вид трафика, то природа пакетной фильтрации «без сохранения состояния» требует, чтобы вы проверяли и обратный трафик. Некоторые типы соединений предполагают, что пользователь устанавливает соединение вовне, а в ответ сервер инициирует соединение с пользователем (режим порта ftp, потоковое мультимедиа). Это потребует открытия «высоких» портов (больше чем 1023), а также контроля за битами TCP SYN и ACK, которые легко фальсифицировать.
Списки доступа следующего поколения — это возвратные списки доступа и контекстно-зависимые списки доступа (Context Based Access Control, CBAC). Они позволяют учитывать протоколы и функции более высокого уровня. Возвратные списки называют также фильтрацией сеанса IP, поскольку они строят динамический обратный путь на основе информации о сеансе. Возвратные списки доступа являются частью базового набора функций Cisco IOS, начиная с версии 12.0.
возвратные списки
Возвратные списки обладают всей гибкостью расширенных и стандартных списков, но в них учтены и исправлены некоторые слабые места последних. Одна из замечательных особенностей возвратных списков состоит в том, что они позволяют выполнять исходящие команды ping (и другие аналогичные команды протокола ICMP), но при этом запрещают входящий трафик ICMP. В предыдущем примере разрешается весь исходящий трафик изнутри сети (и обратный трафик в ответ на команды), входящий трафик ответов и входящий трафик почтовых соединений по протоколу SMTP, направленных на адрес 1.2.3.4. Возвратные списки отличаются большими возможностями по сравнению со стандартными и расширенными, но обеспечивают фильтрацию только на уровне сеанса.
Контекстно-зависимые списки доступа типа работают на прикладном уровне. Они проверяют трафик, который проходит через брандмауэр в целях выявления информации о состоянии сеансов TCP и UDP и управления ими. Эта информация используется для создания временных окон в списках доступа брандмауэра с целью пропуска обратного трафика, а также для создания дополнительных соединений в рамках законных сеансов. Контекстно-зависимые списки доступа являются частью интегрированной системы безопасности Cisco (Cisco Secure Integrated Security (CSIS), ранее известной как Firewall IOS). В таких списках требуется задавать специфические параметры проверки в зависимости от типа протокола. Специальные правила проверки имеются для таких протоколов, как http, а также стандартные правила для протоколов TCP, UDP и фрагментации IP. Если общие списки доступа применяются к интерфейсу, то контекстно-зависимые управляют соединениями. Они могут работать только с протоколами TCP и UDP, поэтому фильтрация по протоколам IP и ICMP должна осуществляться с помощью списков доступа других типов — «без сохранения состояния». В предлагаемой в качестве образца конфигурации маршрутизатора приводятся примеры контекстно-зависимых списков доступа.
Использование списков доступа для фильтрации входящих коммуникаций с маршрутизатором
В системе IOS списки доступа могут служить для фильтрации как входящих, так и исходящих соединений маршрутизатора. Два вида таких соединений, telnet и SNMP, направлены к маршрутизатору. Список доступа может применяться непосредственно к процессам telnet и snmp для ограничения трафика.
Пример для входящего трафика telnet:
Пример для трафика SNMP:
!использовать список доступа 10 для доступа SNMP snmp-server community my-community RW 10
ВСТРОЕННЫЕ ФУНКЦИИ IOS ДЛЯ ВЫЯВЛЕНИЯ ВТОРЖЕНИЙ
Контекстно-зависимые списки доступа — не единственный компонент интегрированной системы безопасности. Она также включает систему выявления вторжений (Intrusion Detection System, IDS). Технология IDS позаимствована от соответствующих продуктов Cisco (прежде называвшихся NetRanger). IOS IDS содержит подмножество специальных профайлов с сигнатурами наиболее часто встречающихся типов атак. IDS проверяет пакеты во время их прохождения через маршрутизатор. Этот процесс отнимает много ресурсов, поэтому IDS реализована только на наиболее мощных маршрутизаторах, где используется CSIS (маршрутизаторы серий 2600, 3600 либо 7×00). Процесс проверки контекстно-зависимых списков может значительно уменьшить производительность сети в зависимости от объема и вида трафика. Система выявления вторжений записывает информацию о событиях в буфере протоколирования системных событий маршрутизатора, но для внешнего хранения и использования этой информации потребуются CS IDS Director или сервер авторизации под управлением UNIX. IDS нуждается в соответствующей настройке и последующем контроле для того, чтобы обычный трафик не воспринимался ею как отклоняющийся от нормы. Буфер протоколирования системных событий можно просмотреть с помощью команды show log. К данному буферу следует обращаться в том случае, когда внешнее протоколирование невозможно. IDS может оказаться не в состоянии проверять весь трафик — все зависит от доступных ресурсов маршрутизатора и объема трафика. Она способна реально обеспечить дополнительный уровень защиты. Стандартная конфигурация включает систему IDS в автономном режиме, а запись о событиях производится в буфер протоколирования системных событий.
КОММЕНТАРИЙ К РАБОЧЕЙ КОНФИГУРАЦИИ МАРШРУТИЗАТОРА
Приведенная рабочая конфигурация в настоящее время используется на маршрутизаторе в домашнем офисе, подключенном к Internet по кабельному модему. Маршрутизатор Cisco2621 работает под управлением IOS версии 12.1(3)T (C2600-JO3S56I-M). В качестве внешнего интерфейса используется Fast Ethernet 0/0. Он подключается к кабельному модему с помощью переходного кабеля Ethernet. Внутренний интерфейс — Ethernet 0/1 — подсоединен к коммутатору Ethernet домашнего офиса. Внешний интерфейс имеет собственный MAC-адрес, как у сетевой платы компьютера, и получает адрес от провайдера по протоколу DHCP. Внутренний интерфейс использует сервер DHCP для предоставления информации об адресах оборудования домашнего офиса. Частный адрес (RFC 1918) применяется внутри. Маршрутизатор выполняет динамическое преобразование сетевых адресов NAT с использованием адреса внешнего интерфейса в качестве адреса отправителя. Безопасность обеспечивается за счет применения контекстно-зависимых списков доступа и системы выявления вторжений. Маршрутизатор использует также процесс учета, авторизации и идентификации (Accounting, Autho-rization, Authentication, AAA) для обеспечения безопасности консоли, вспомогательного последовательного порта и telnet. Процесс AAA обеспечивает большую безопасность, чем использование паролей отдельно для каждой линии, так как предоставляет унифицированный метод регистрации.
ЗАКЛЮЧЕНИЕ
Хотя в малых и домашних офисах уже широко используются брандмауэры, а также высокоскоростные линии связи, проблема безопасности внешнего периметра сети часто игнорируется. Маршрутизаторы Cisco при соответствующем конфигурировании могут обеспечить необходимый уровень безопасности любой сети.