ЖУРНАЛ «СТА» 4/2016
О ГРАНИЧЕНИЕ ДИАПАЗОНА IP- АДРЕСОВ , ИМЕЮЩИХ ДОСТУП К ФУНКЦИЯМ УПРАВЛЕНИЯ Следующий уровень защиты сети – ограничить IP-адреса, с которых может осуществляться доступ к управлению сетевым устройством. Для этого следует создать список IP-адресов, которым разрешён доступ к интерфейсам управ- ления устройством, а также определить, какой протокол может быть использо- ван для доступа с каждого из адресов. На рис. 2 условно показаны разре- шённые и запрещённые IP-адреса (вы- делены зелёным и красным цветом со- ответственно), а также доступные для каждого из разрешённых адресов про- токолы управления. В этом случае злоумышленник будет вынужден подменить IP-адрес рабочей станции управления для получения до- ступа к сетевым устройствам, что по- требует от него дополнительных усилий и знаний в области IT. Несмотря на то что использование этих двух приёмов (ограничение по IP-адресу и протоколу управления) ка- жется элементарным, их совместное применение весьма эффективно для предотвращения нежелательного досту- па к сетевой инфраструктуре. О ГРАНИЧЕНИЕ ДОСТУПА ПЕРСОНАЛА Чтобы исключить риски, связанные с возможностью получения доступа к се- тевым устройствам персонала, не имеющего прав или необходимых ком- петенций для осуществления манипу- ляций с настройками узлов, следует предоставить каждому сотруднику ин- дивидуальный логин и пароль, а также строго соответствующий его обязанно- стям уровень доступа. Пользователи с гостевым уровнем доступа имеют до- ступ только по чтению. Управляющий персонал получает доступ как по запи- си, так и по чтению конфигурации, од- нако следует исключить его доступ к управлению функциями безопасности. А вот администратор сети, конечно же, должен получить полный доступ по чте- нию и записи ко всем функциям управ- ления сетевых устройств, включая функции безопасности (рис. 3). Это предъявляет особые требования к такому сотруднику, и к подбору персо- нала на должность администратора сети следует подойти более ответственно. Персонал должен получить уникаль- ные пароли с высокой стойкостью к подбору. При этом коммутатор позво- ляет задавать минимальные требования к паролю, которые можно сформулиро- вать следующим образом: ● ограничение минимальной длины; ● минимальное число прописных сим- волов; ● минимальное число строчных симво- лов; ● минимальное число цифр; ● минимальное число специальных символов. Следует также ограничить макси- мальное число попыток ввода пароля (рис. 3). И СПОЛЬЗОВАНИЕ ПРОЦЕДУРЫ АУТЕНТИФИКАЦИИ ПОЛЬЗОВАТЕЛЕЙ Аутентификация – это процедура проверки подлинности пользователя путём сравнения введённых учётных данных (логина и пароля), с сохранён- ными в базе данных сетевого коммута- тора или сервера аутентификации поль- зователей. Не следует путать аутенти- фикацию с авторизацией . Последняя представляет собой процедуру предо- ставления пользователям определённых прав, в соответствии с политиками, определёнными для каждого из пользо- вателей, и их ролями. Трудно переоценить важность проце- дуры аутентификации. В последние го- АППА РАТ НЫЕ С Р Е ДС Т В А / С Е Т Е ВОЕ ОБОР УДОВ АНИЕ 95 СТА 4/2016 www.cta.ru Рис. 2. Визуальное представление правил безопасности Рис. 3. Страница настроек коммутатора с распределением уровня доступа Hirschmann RSPE LAN 192.168.1.1 192.168.1.2 192.168.1.3 192.168.1.165 . . . HTTPS Telnet SNMP SSH HTTPS Telnet SNMP SSH Таблица 1 Ограничения по применению протоколов управления Протокол Ограничение SNMP Отключить версии v1 и v2 Telnet Отключить HTTP Отключить HTTPS Изменить используемый сертификат Изменить порт, используемый по умолчанию SSH Использовать алгоритм RSA Генерировать новые ключи Задать время закрытия соединения после простоя
Made with FlippingBook
RkJQdWJsaXNoZXIy MTQ4NjUy