В данной статье опишем методы, которые позволят вам обезопасить ваши устройства. К безопасности нужно подходить с умом. Если мы не достаточно уделим этому внимания, то злоумышленники обязательно этим воспользуются. Так же не стоит перебарщивать, ведь есть 1 самый надежный способ как можно обезопасить устройства - это не включать их вообще)) Но коллеги вам спасибо не скажут. Поэтому пользуемся рекомендациями:
Общие рекомендации по безопасности для ESR
Для предотвращения физического вмешательства в устройство, рекомендуется всегда отключать неиспользуемые физические интерфейсы с помощью команды shutdown. Когда порт выключен, недоброжелатель не сможет зайти через свободный порт. Следует всегда назначать интерфейсам соответствующие зоны безопасности и настраивать корректные правила межсетевого экрана. Используйте команду ip firewall disable (отключающую межсетевое экранирование), только для тестов работы настроек вне сети.
Рекомендуется всегда настраивать синхронизацию системных часов с доверенными источниками сетевого времени (NTP) и отключать NTP broadcast client, включённый по умолчанию в заводской конфигурации. Чтобы не слушать broadcast-сообщений от серверов.
Рекомендации по управлению устройствами
Управление устройствами должно быть не только удобным, но и безопасным. Поэтому, не рекомендуется включать удалённое управление по протоколу Telnet так, как он не использует шифрование данных. Используйте криптостойкие алгоритмы аутентификации sha2-512, шифрования aes256ctr и обмена ключами шифрования dh-groupexchange-sha256. Все не используемые алгоритмы обязательно отключайте.
Использовать криптостойкий алгоритм верификации Host-Key для SSH rsa и
отключить все остальные. Разрешите доступ к удалённому управлению устройством только с определённых IP-адресов в вашей доверенной сети. Перед началом эксплуатации рекомендуется перегенерировать ключи шифрования.
Команды для выполнения рекомендаций по управлению:
Для отключения устаревших и не криптостойких алгоритмов выполните команды:
esr(config)# ip ssh server
esr(config)# ip ssh authentication algorithm md5 disable
esr(config)# ip ssh authentication algorithm md5-96 disable
esr(config)# ip ssh authentication algorithm ripemd160 disable
esr(config)# ip ssh authentication algorithm sha1 disable
esr(config)# ip ssh authentication algorithm sha1-96 disable
esr(config)# ip ssh authentication algorithm sha2-256 disable
esr(config)# ip ssh encryption algorithm 3des disable
esr(config)# ip ssh encryption algorithm aes128 disable
esr(config)# ip ssh encryption algorithm aes128ctr disable
esr(config)# ip ssh encryption algorithm aes192 disable
esr(config)# ip ssh encryption algorithm aes192ctr disable
esr(config)# ip ssh encryption algorithm aes256 disable
esr(config)# ip ssh encryption algorithm arcfour disable
esr(config)# ip ssh encryption algorithm arcfour128 disable
esr(config)# ip ssh encryption algorithm arcfour256 disable
esr(config)# ip ssh encryption algorithm blowfish disable
esr(config)# ip ssh encryption algorithm cast128 disable
esr(config)# ip ssh key-exchange algorithm dh-group-exchange-sha1 disable
esr(config)# ip ssh key-exchange algorithm dh-group1-sha1 disable
esr(config)# ip ssh key-exchange algorithm dh-group14-sha1 disable
esr(config)# ip ssh key-exchange algorithm ecdh-sha2-nistp256 disable
esr(config)# ip ssh key-exchange algorithm ecdh-sha2-nistp384 disable
esr(config)# ip ssh key-exchange algorithm ecdh-sha2-nistp521 disable
esr(config)# ip ssh host-key algorithm dsa disable
esr(config)# ip ssh host-key algorithm ecdsa256 disable
esr(config)# ip ssh host-key algorithm ecdsa384 disable
esr(config)# ip ssh host-key algorithm ecdsa521 disable
esr(config)# ip ssh host-key algorithm ed25519 disable
После чего сгенерируйте новые ключи шифрования:
esr# update ssh-host-key rsa 2048
Доступ к удалённому управлению устройством только с определённых IP-адресов:
## Создадим объект ssh с портом на который будем подключаться
object-group service ssh
port-range 22
exit
## Создадим объект ADMIN с адресами откуда будем подключаться
object-group network ADMIN
ip address-range 172.16.1.101
exit
## Создадим разрешающее правило из доверенной сети в сторону маршрутизатора
security zone-pair LAN self
rule 10
action permit
match source-address object-group ADMIN
match destination-port object-group ssh
enable
exit
exit
Рекомендации по механизмам защиты от сетевых атак
Злоумышленники не дремлют и поэтому уровень тревожности системного администратора должен быть всегда выше среднего)) Защищаться нужно как от внешних недругов так и от своих сотрудников ведь мы не знаем, что у них на уме. Кто-то роутер свой принесет подключит, чтобы WIFI себе организовать, а кто-то и целенаправленно планирует пакостить!
Поэтому для защиты от сетевых атак рекомендуется включать защиту от ip spoofing, TCP-пакетов с неправильно выставленными флагами, фрагментированных TCP-пакетов с выставленным
флагом SYN, фрагментированных ICMP-пакетов, ICMP-пакетов большого размера, незарегистрированных IP-протоколов и включить логирование механизма защиты от сетевых атак.
Команды для выполнения рекомендаций по механизмам защиты от сетевых атак:
Для включения защиты от ip spoofing и логирования механизма защиты выполните команды:
esr(config)# ip firewall screen spy-blocking spoofing
esr(config)# logging firewall screen spy-blocking spoofing
Для включения защиты от TCP-пакетов с неправильно выставленными флагами и логирование механизма защиты выполните команды:
esr(config)# ip firewall screen spy-blocking syn-fin
esr(config)# logging firewall screen spy-blocking syn-fin
esr(config)# ip firewall screen spy-blocking fin-no-ack
esr(config)# logging firewall screen spy-blocking fin-no-ack
esr(config)# ip firewall screen spy-blocking tcp-no-flag
esr(config)# logging firewall screen spy-blocking tcp-no-flag
esr(config)# ip firewall screen spy-blocking tcp-all-flags
esr(config)# logging firewall screen spy-blocking tcp-all-flags
Для включения защиты от фрагментированных ICMP-пакетов и логирование механизма защиты выполните команды:
esr(config)# ip firewall screen suspicious-packets icmp-fragment
esr(config)# logging firewall screen suspicious-packets icmp-fragment
Для включения защиты от ICMP-пакетов большого размера и логирование механизма защиты выполните команды:
esr(config)# ip firewall screen suspicious-packets large-icmp
esr(config)# logging firewall screen suspicious-packets large-icmp
Для включения защиты от незарегистрированных IP-протоколов и логирование механизма защиты выполните команды:
esr(config)# ip firewall screen suspicious-packets unknown-protocols
esr(config)# logging firewall screen suspicious-packets unknown-protocols
Настройка системы обнаружения и предотвращения вторжений (IPS/IDS)
IPS/IDS (Intrusion Prevention System/Intrusion Detection System) – система приобретается по отдельной лицензии, так как использует сигнатуры (шаблоны или правила) сторонних вендеров, например, Kaspersky-Lab.
Программная система сетевой и компьютерной безопасности, обнаруживающая вторжения или нарушения безопасности и автоматически защищающая от них. Устройства ESR позволяют скачивать актуальные правила с открытых источников в сети Интернет или с корпоративного сервера. Также с помощью CLI можно создавать свои специфические правила.
Антивирус умеет анализировать файлы, спам-фильтр анализирует письма, firewall - соединения по IP. IPS/IDS анализируют входящий/исходящий трафик проходящий через устройство сети, на глубоком уровне, «заглядывая» в каждый пакет. Чем больше объем трафика, тем выше потребность в ресурсах процессора и оперативной памяти.
Команды для настройки защиты локальной сети с автообновлением правил из открытых источников:
Создадим профиль адресов защищаемой локальной сети (192.168.1.0/24 – локальная сеть):
esr(config)# object-group network LAN
esr(config-object-group-network)# ip prefix 192.168.1.0/24
esr(config-object-group-network)# exit
Настроим на ESR DNS-клиента для разрешения имен источников обновления правил IPS/IDS:
esr(config)# domain lookup enable
esr(config)# domain nameserver 8.8.8.8
Создадим политику безопасности IPS/IDS:
esr(config)# security ips policy OFFICE
esr(config-ips-policy)# description "My Policy"
esr(config-ips-policy)# protect network-group LAN
Разрешим работу IPS/IDS на интерфейсе локальной сети bridge 1:
esr(config)# bridge 1
esr(config-bridge)# service-ips inline
Настроим параметры IPS/IDS:
esr(config)# security ips
esr(config-ips)# logging remote-server 192.168.10.1
esr(config-ips)# logging update-interval 15
esr(config-ips)# policy OFFICE
esr(config-ips)# enable
Устройство будет использоваться только как шлюз безопасности, по этому отдадим сервису IPS/IDS все доступные ресурсы:
esr(config-ips)# perfomance max
Настроим автообновление правил с сайтов EmergingThreats.net, etnetera.cz и Abuse.ch:
esr(config-ips)# auto-upgrade
esr(config-auto-upgrade)# user-server ET-Open
esr(config-ips-upgrade-user-server)# description "emerging threats open rules"
esr(config-ips-upgrade-user-server)# url
ttps://rules.emergingthreats.net/open/suricata-4.0/emerging-all.rules
esr(config-ips-upgrade-user-server)# enable
esr(config-ips-upgrade-user-server)# exit
esr(config-auto-upgrade)# user-server Aggressive
esr(config-ips-upgrade-user-server)# description "Etnetera aggressive IP blacklist"
esr(config-ips-upgrade-user-server)# url https://security.etnetera.cz/feeds/
etn_aggressive.rules
esr(config-ips-upgrade-user-server)# upgrade interval 4
esr(config-ips-upgrade-user-server)# enable
esr(config-ips-upgrade-user-server)# exit
esr(config-auto-upgrade)# user-server SSL-BlackList
esr(config-ips-upgrade-user-server)# description "Abuse.ch SSL Blacklist"
esr(config-ips-upgrade-user-server)# url ttps://sslbl.abuse.ch/blacklist/sslblacklist.rules
esr(config-ips-upgrade-user-server)# upgrade interval 4
esr(config-ips-upgrade-user-server)# enable
esr(config-ips-upgrade-user-server)# exit
esr(config-auto-upgrade)# user-server C2-Botnet
esr(config-ips-upgrade-user-server)# description "Abuse.ch Botnet C2 IP Blacklist"
esr(config-ips-upgrade-user-server)# url https://sslbl.abuse.ch/blacklist/sslipblacklist.rules
esr(config-ips-upgrade-user-server)# upgrade interval 4
esr(config-ips-upgrade-user-server)# enable
esr(config-ips-upgrade-user-server)# exit
Заключение
В данной статье рассмотрели методы, которые позволят обезопасить ваши устройства ESR. Если знаете еще способы пишите в комментарии. Если возникли вопросы по настройке или вы хотите получить оборудование в тест, напишите мне на почту it@encominc.ru. Настраивайте ваши устройства грамотно и будете спать спокойно! НО это не точно...
Источник данных: docs.eltex-co.ru