вторник, 16 декабря 2014 г.

Cisco: Защита административного и физического доступа

Физического доступа к оборудованию быть не должно!

Это, как всем известно, аксиома. Но мы с вами знаем, что бывают - в реальном мире - ситуации, когда по различным причинам либо серверные устраивают в прохдных дворах - либо есть не зависящие от вас обстоятельства (типа, охранник дает ключи от серверной племяннику президента, который пытается в здании смотреть порнуху и нарывается на блокировку, и страшно жаждет либо ее снести - либо навредить). Всякое бывает. Ну и идеалисты довольно часто не задерживаются в должности системных администраторов. Особенно если они идеализмом размахивают. :)

Само собой разумеется, что в серверной необходимо иметь видеонаблюдение или, как минимум, надежные замки с ключами не у каждого сотрудника (в идеале их и у охраны быть не должно).

В уважающих себя датацентрах и компаниях не уровня "Рога-и-Копыта, Inc." так и есть.

А что делать в остальных случаях?

Что делать с серверами - достаточно понятно. Надо отключать USB и DVD-приводы, причем желательно физически либо как минимум на уровне BIOS/PROM. Потому что страшна только загрузка с внешнего носителя.

А вот как быть с активным сетевым оборудованием? Не с тупеньким, а с продвинутым - роутерами, управляемыми свичами?

Если вам неслыханно повезло, и у вас Cisco:

Cisco: защита административного доступа

Прежде всего, это, конечно, защита удаленного доступа.


Установка таймаутов на консольном подключении (на AUX ее можно не ставить, пароль там так и так действует, но даже sho run выполнить нельзя - если остальные настройки правильные).

Разумеется, только SSH2 на входе - никаких телнетов (обладателям старого оборудования не завидую - у них SSH2 либо отсутствует, либо не впихнешь по причине жлобского флэша).


Да, желательно вывесить SSH на нестандартный порт (так от сканирования ботами можно в большинстве случаев уклониться) и включить аутентификацию по ключу, а не по паролю.

Примите как данность факт, что, даже после перенастройки SSH И отключения telnet, порты 22 и 23 продолжают слушаться. Более того, на 22й даже будет работать коннект по SSH (telnet нет, только порт 23 открыт остается).

Дабы не доводить ближних до греха ;), закроем эти порты явно:


и вывесим этот ACL на все порты, по которым возможны визиты.

Сделаем один умный ход и слегка укрепим оборону:


Запретим явно обработку shell скриптов и поставим защиту от брутфорса (действует в том числе на консоли и aux) - три неудачных логина - таймаут. Ну и в журнал того, кто явно продолбится большее количество раз.

Все? Как бы не так!

PASSWORD RECOVERY IS EVIL!

В случае с Cisco у нас проблема. Что, если наш предположительный нарушитель-таки вломился в серверную с синим проводом 

и ноутбуком?

Ага, закричите вы, смотри пункт 1! Никакого физического доступа!

Но все-таки? Что, если?

Имея физический доступ, мы имеем возможность (по умолчанию) сделать password recovery.

То есть, подключив оный провод к консоли Cisco, сделать power cycle (перезапустить с кнопки) и, послав в консоль Ctrl+Break (Ctrl+C или Ctrl+]), прервать загрузку iOS, и получить доступ к конфигурации без защиты. То бишь поменять или сбить админский пароль, создать еще одного, собственного ручного, админа, несанкционированно поменять конфигурацию ну и так далее.

Масштабы ужасны, верно?

Ну, я вас предупредил. Сохраните пароли доступа в нескольких легкодоступных (для вас) и надежных местах. Да, я знаю, что это трудно. Сделайте это.

Потому что если вы пароли забудете - трындец.

НЕ ПЫТАЙТЕСЬ ДЕЛАТЬ ЭТОГО, ЕСЛИ НЕ ПОЗАБОТИЛИСЬ О НАДЕЖНОМ ХРАНЕНИИ ПАРОЛЕЙ!

Итак, отключаем password recovery:


Это скрытая команда глобальной конфигурации. Помните о смерти - я вас предупредил - теперь password recovery буден недоступна никому, включая вас!

Теперь вам практически пофигу, если ваш предполагаемый мальчик-онанист и вломится в серверную с синим проводом.

Ну да, разумеется - паролей по умолчанию быть не должно, легких паролей быть не должно, шифрование паролей должно быть включено - как и показано на рисунке выше.

Вот и все. Загрузку теперь прервать нельзя, получить доступ в обход административных паролей нельзя. Можете спать относительно спокойно. :)