Configurations de sécurité des ports de gestion facilement ignorées ou mal comprises

17 0 0 0

Les périphériques réseau exposés au réseau public font généralement référence aux périphériques réseau configurés avec des adresses IP publiques, tels que les routeurs WAN et les routeurs frontaliers. Ces appareils sont configurés avec des adresses IP publiques sur les interfaces. Le périphérique VPN tel que le pare-feu est facile à ignorer. Le périphérique VPN est configuré avec une adresse IP publique pour établir un tunnel VPN avec l'utilisateur. L'adresse IP publique est également configurée sur l'interface de couche 3 de l'appareil. Par conséquent, le périphérique VPN est également un périphérique réseau exposé au réseau public.

Les ports de gestion des périphériques réseau sont des ports à haut risque. L'exposition au réseau public est très risquée. Si un utilisateur non autorisé se connecte au périphérique réseau, une commande suffit pour que tous les services tombent en panne. Lors de la rectification des périphériques réseau, le problème que les ports sont exposés au réseau public est souvent trouvé. Cette section décrit certaines configurations de sécurité de port qui sont facilement ignorées ou mal comprises.

1. Le VTY 16 ~ VTY 20 n'invoque pas l'ACL. Par conséquent, le réseau externe peut toujours analyser le port de gestion du périphérique réseau.

Généralement, l'ACL est utilisée pour contrôler l'autorisation d'accès sur l'interface utilisateur. La configuration est la suivante:

acl number 2000

 rule 5 permit source 10.0.0.0 0.255.255.255

 rule 100 deny

#

user-interface vty 0 4

 acl 2000 inbound

Cependant, certains appareils, tels que le routeur NE40, en plus des VTY0 ~ VTY4 réservés aux utilisateurs Telnet et SSH (la valeur maximale est VTY0 ~ VTY14), le numéro réservé VTY 16 ~ VTY 20 est réservé au NMS.

Si l'ACL est uniquement liée à VTY 0 ~ VTY4 ou VTY 0 ~ VTY 14, le port de gestion de l'appareil est toujours exposé au réseau externe. Par conséquent, vous devez également lier l'ACL au VTY 16 ~ VTY 20.

interface utilisateur vty 16 20

acl 2000 entrant

2. L'ACL invoquée par l'interface utilisateur ne restreint pas la connexion Web.

L'interface utilisateur comprend l'interface utilisateur de la console et l'interface utilisateur vty. Il s'agit d'une vue en ligne de commande fournie par le système. Il est utilisé pour configurer et gérer toutes les interfaces physiques et interfaces logiques fonctionnant en mode asynchrone pour gérer diverses interfaces utilisateur de manière unifiée. L'interface logique est le vty. On peut voir que l'interface utilisateur vty est utilisée pour se connecter à la CLI en mode asynchrone. SSH et Telnet sont utilisés dans ce mode. La connexion Web est une interface graphique au lieu d'un mode de ligne de commande. Par conséquent, l'ACL invoquée par l'interface utilisateur ne restreint pas la connexion Web.

Quelles sont les restrictions sur la connexion Web?

Les ports de gestion Web sont 8443 et 8887. Vous pouvez utiliser l'une des méthodes suivantes

(1). Intercepter l'accès au port de gestion local via le périphérique réseau en amont. Des dispositifs de sécurité IPS ou des pare-feu sont utilisés pour l'interception.

(2). Utiliser une stratégie pour empêcher l'adresse IP externe d'accéder au port Web de l'adresse IP publique locale

Par exemple, configurez les stratégies suivantes dans le sens untrust-> local sur un pare-feu:

rule name web_untrust_local_deny

  source-zone untrust

destination-zone local

destination-address x.x.x.x.0 mask 255.255.255.0

service protocol tcp

destination-port 8443

service protocol tcp

destination-port 8887

action deny

3. La liaison d'une ACL à un nom de communauté SNMP ne peut pas empêcher d'autres utilisateurs de tenter de se connecter.

Lors de l'analyse des journaux, nous constatons souvent que l'adresse IP du réseau externe tente de se connecter à l'appareil via SNMP. Bien que le port SNMP ne soit pas un port à haut risque, les informations et les performances du périphérique peuvent être lues après avoir été piratées.

La pratique habituelle consiste à configurer une ACL pour spécifier les adresses IP qui peuvent accéder aux périphériques réseau via SNMP. En règle générale, vous pouvez configurer une adresse IP intranet pour accéder au périphérique réseau, empêcher d'autres adresses IP d'accéder au périphérique réseau et lier l'ACL à la communauté snmp-agent.

 snmp-agent community read cipher xxxx mib-view userinfo acl 2000

 snmp-agent community write cipher xxxx mib-view userinfo acl 2000

Toutefois, il est constaté que le problème se produit toujours après la configuration de l'ACL. Examinez de plus près cette commande. La commande est utilisée pour permettre à l'adresse IP de l'ACL d'utiliser le nom de communauté xxxx pour lire et écrire l'adresse IP dans la vue MIB. Si l'adresse IP n'est pas dans la plage ACL, l'adresse IP ne peut pas être lue ou écrite par le nom de communauté XXXX. Par conséquent, l'adresse IP qui n'est pas dans la plage ACL peut toujours atteindre le périphérique, mais elle ne parvient pas à vérifier le nom de la communauté et ne peut pas se connecter.

La bonne méthode consiste à configurer une ACL globalement dans l'agent snmp. Seuls les utilisateurs SNMP de l'ACL peuvent accéder au périphérique. Une fois l'ACL configurée, l'adresse IP qui ne figure pas dans l'ACL ne peut pas tenter de se connecter au périphérique.

snmp-agent acl 2000

Que pensez-vous d'autre qui est important mais facile à ignorer? Bienvenue à partager .


  • x
  • Standard:

Commentaire

envoyer
Connectez-vous pour répondre. Se connecter | Enregistrer

Remarque Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Politique de confidentialité ».
Si le bouton de la pièce-jointe n'est pas disponible, mettez à jour Adobe Flash Player à la dernière version.
Connectez-vous pour participer à la communication et au partage

Connectez-vous pour participer à la communication et au partage

S'identifier