Вопрос 48____Безопасность коммутатора: управление и исполнение

Вопросы безопасности в локальной сети

Протокол обнаружения Cisco (CDP) — это запатентованный протокол, который может быть настроен на любых устройствах Cisco. CDP обнаруживает другие устройства Cisco с прямым подключением, благодаря чему устройства могут автоматически настраивать свои подключения. В некоторых случаях это упрощает процедуры настройки и подключения.

По умолчанию все порты на большинстве маршрутизаторов и коммутаторов Cisco настроены для использования CDP. Информация CDP отправляется в периодических незашифрованных широковещательных рассылках и обновляется локально в базе данных CDP каждого устройства. Поскольку CDP является протоколом 2-го уровня, сообщения CDP не распространяются маршрутизаторами.

CDP содержит следующую информацию об устройстве: IP-адрес, версию IOS, а также сведения о платформе, возможностях и native VLAN. Этой информацией может воспользоваться злоумышленник для поиска способов атаки сети, как правило, в форме атаки DoS.

На рисунке показана часть данных, захваченных программой Wireshark, в которых отображено содержание пакета CDP. Версия ПО Cisco IOS, обнаруженная через CDP, позволит злоумышленнику определить, есть ли слабые места в системе безопасности, характерные именно для этой версии IOS. Кроме того, в связи с тем, что CDP не аутентифицирован, злоумышленник может создавать фиктивные пакеты CDP и отправлять их на устройства Cisco с прямым подключением.

На устройствах или портах, где использование CDP не является необходимостью, рекомендуется отключить этот протокол с помощью команды режима глобальной конфигурации no cdp run. CDP может быть отключён на каждом порте.

Атаки Telnet

Telnet — это незащищённый протокол, который может быть использован для получения злоумышленником удалённого доступа к сетевому устройству Cisco. Существуют инструменты, позволяющие злоумышленнику начать атаку методом полного перебора против каналов vty на коммутаторе.

Атака методом полного перебора (метод грубой силы)

На первом этапе атаки методом полного перебора злоумышленник использует список распространённых паролей и программу, разработанную для установления сеанса Telnet с помощью всех слов из списка. Если пароль не обнаружен на первом этапе, начинается второй этап, в котором злоумышленник использует программу, создающую последовательные сочетания символов, пытаясь подобрать пароль. Имея достаточное количество времени, таким методом злоумышленник может взломать практически все используемые пароли.

Для того чтобы снизить риск такой атаки, необходимо использовать надёжные пароли и не забывать их регулярно менять. Надёжный пароль должен содержать комбинацию символов верхнего и нижнего регистров, а также числительные и символы (специальные знаки). Доступ к каналам vty также можно ограничить с помощью списка контроля доступа (ACL).

DoS-атака протокола Telnet

Telnet также может быть подвержен DoS-атаке. При атаках типа «отказ в обслуживании» (DoS-атаках) злоумышленник использует уязвимости серверного программного обеспечения Telnet, запущенного на коммутаторе, что делает сервис Telnet недоступным. Данный тип атак блокирует удалённый доступ администратору к функциям управления коммутатором. Такие атаки могут быть объединены с другими прямыми атаками на сеть как часть скоординированной попытки закрыть сетевому администратору доступ к базовым устройствам на время бреши в системе безопасности.

Уязвимости в сервисе Telnet, допускающие DoS-атаки, обычно учитываются в исправлениях системы безопасности, которые включают в новые версии Cisco IOS.

Примечание. Для удалённого управления рекомендуется использовать протокол SSH вместо Telnet.