Zabezpieczenie zdalnego dostępu do przełączników

Pytanie: W przedsiębiorstwie ma zostać przeprowadzony audyt bezpieczeństwa informatycznego. Pracuję nad aktualizacją oprogramowania przełączników oraz bezpieczeństwem konfiguracji. Chciałbym zabezpieczyć także dostęp do urządzeń. Jakie operacje można przeprowadzić w celu dobrego zabezpieczenia zdalnego dostępu do przełączników Cisco?

Pytanie: W przedsiębiorstwie ma zostać przeprowadzony audyt bezpieczeństwa informatycznego. Pracuję nad aktualizacją oprogramowania przełączników oraz bezpieczeństwem konfiguracji. Chciałbym zabezpieczyć także dostęp do urządzeń. Jakie operacje można przeprowadzić w celu dobrego zabezpieczenia zdalnego dostępu do przełączników Cisco?

Odpowiedź: Dostęp przez telnet jest najczęściej stosowaną metodą zdalnego dostępu do interfejsu linii komend na przełącznikach Cisco. Jeżeli posiadamy licencję i wolną pamięć w przełączniku, aktualizacja oprogramowania pozwoli zaimplementować protokół SSH zamiast telnet. SSH wzmocni bezpieczeństwo, zabezpieczy przed podsłuchaniem ruchu do przełącznika oraz odkryciem hasła. Warto sprawdzić, czy oprogramowanie pozwala zaimplementować SSHv2, bo wersja SSHv1 ma wiele błędów.

Niezależnie od wybranej metody zdalnego dostępu, warto zaimplementować listę kontroli dostępu na interfejsie VTY. ACL pozwoli ochronić zdalny dostęp przez restrykcje dla innych sieci niż dopuszczone do zarządzania przełącznikiem. Kiedy przełączniki zostaną bezpiecznie skonfigurowane, konieczne będzie utworzenie dobrego hasła telnet oraz enable. Problem z tego typu uwierzytelnianiem stanowi identyczne hasło dla wszystkich pracowników, posiadających dostęp do konfiguracji przełącznika. Audyt zmian w konfiguracjach przełączników staje się praktycznie niemożliwy. Można zastosować jednak rozwiązania zabezpieczające te czynności.

Włączając lokalne uwierzytelnianie, użytkownik będzie proszony o nazwę i hasło przy próbie dostępu do każdego przełącznika. O ile jest to dobre rozwiązanie w przypadku małej liczby urządzeń, to duża sieć będzie wymagała zbyt wielu zmian przy modyfikacji dostępu.

Inną opcją jest TACACS+. Gdy zaistnieje konieczność uwierzytelnienia, przełączniki są zmuszone do komunikacji z serwerem TACACS+. Centralny serwer zezwala lub blokuje dostęp do urządzeń. System wymaga skonfigurowania nazwy użytkownika i hasła wyłącznie na centralnym serwerze. Próba uwierzytelnienia na przełączniku jest przekazywana do centralnego serwera, który decyduje o uprawnieniach użytkownika. Dzięki możliwości sprawdzenia kto i kiedy pracował na przełącznikach, otrzymujemy możliwość audytu wszelkich zmian konfiguracji.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200