ЖУРНАЛ «СТА» 4/2016

О ГРАНИЧЕНИЕ ДИАПАЗОНА IP- АДРЕСОВ , ИМЕЮЩИХ ДОСТУП К ФУНКЦИЯМ УПРАВЛЕНИЯ Следующий уровень защиты сети – ограничить IP-адреса, с которых может осуществляться доступ к управлению сетевым устройством. Для этого следует создать список IP-адресов, которым разрешён доступ к интерфейсам управ- ления устройством, а также определить, какой протокол может быть использо- ван для доступа с каждого из адресов. На рис. 2 условно показаны разре- шённые и запрещённые IP-адреса (вы- делены зелёным и красным цветом со- ответственно), а также доступные для каждого из разрешённых адресов про- токолы управления. В этом случае злоумышленник будет вынужден подменить IP-адрес рабочей станции управления для получения до- ступа к сетевым устройствам, что по- требует от него дополнительных усилий и знаний в области IT. Несмотря на то что использование этих двух приёмов (ограничение по IP-адресу и протоколу управления) ка- жется элементарным, их совместное применение весьма эффективно для предотвращения нежелательного досту- па к сетевой инфраструктуре. О ГРАНИЧЕНИЕ ДОСТУПА ПЕРСОНАЛА Чтобы исключить риски, связанные с возможностью получения доступа к се- тевым устройствам персонала, не имеющего прав или необходимых ком- петенций для осуществления манипу- ляций с настройками узлов, следует предоставить каждому сотруднику ин- дивидуальный логин и пароль, а также строго соответствующий его обязанно- стям уровень доступа. Пользователи с гостевым уровнем доступа имеют до- ступ только по чтению. Управляющий персонал получает доступ как по запи- си, так и по чтению конфигурации, од- нако следует исключить его доступ к управлению функциями безопасности. А вот администратор сети, конечно же, должен получить полный доступ по чте- нию и записи ко всем функциям управ- ления сетевых устройств, включая функции безопасности (рис. 3). Это предъявляет особые требования к такому сотруднику, и к подбору персо- нала на должность администратора сети следует подойти более ответственно. Персонал должен получить уникаль- ные пароли с высокой стойкостью к подбору. При этом коммутатор позво- ляет задавать минимальные требования к паролю, которые можно сформулиро- вать следующим образом: ● ограничение минимальной длины; ● минимальное число прописных сим- волов; ● минимальное число строчных симво- лов; ● минимальное число цифр; ● минимальное число специальных символов. Следует также ограничить макси- мальное число попыток ввода пароля (рис. 3). И СПОЛЬЗОВАНИЕ ПРОЦЕДУРЫ АУТЕНТИФИКАЦИИ ПОЛЬЗОВАТЕЛЕЙ Аутентификация – это процедура проверки подлинности пользователя путём сравнения введённых учётных данных (логина и пароля), с сохранён- ными в базе данных сетевого коммута- тора или сервера аутентификации поль- зователей. Не следует путать аутенти- фикацию с авторизацией . Последняя представляет собой процедуру предо- ставления пользователям определённых прав, в соответствии с политиками, определёнными для каждого из пользо- вателей, и их ролями. Трудно переоценить важность проце- дуры аутентификации. В последние го- АППА РАТ НЫЕ С Р Е ДС Т В А / С Е Т Е ВОЕ ОБОР УДОВ АНИЕ 95 СТА 4/2016 www.cta.ru Рис. 2. Визуальное представление правил безопасности Рис. 3. Страница настроек коммутатора с распределением уровня доступа Hirschmann RSPE LAN 192.168.1.1 192.168.1.2 192.168.1.3 192.168.1.165 . . . HTTPS Telnet SNMP SSH HTTPS Telnet SNMP SSH Таблица 1 Ограничения по применению протоколов управления Протокол Ограничение SNMP Отключить версии v1 и v2 Telnet Отключить HTTP Отключить HTTPS Изменить используемый сертификат Изменить порт, используемый по умолчанию SSH Использовать алгоритм RSA Генерировать новые ключи Задать время закрытия соединения после простоя