МІНІСТЕРСТВО ОСВІТИ І НАУКИ УКРАЇНИ НАЦІОНАЛЬНИЙ УНІВЕРСИТЕТ «ЛЬВІВСЬКА ПОЛІТЕХНІКА» Кафедра ЗІ / Звіт до лабораторної роботи № 2 З курсу: «Комп`ютерні методи високорівневого проектування систем захисту» На тему: “ПРОЕКТУВАННЯ СИСТЕМ ЗАХИСТУ АДМІНІСТРАТИВНОГО ТА ВІДДАЛЕНОГО ДОСТУПУ НА ОСНОВІ IOS CISCO” Варіант № 8  Мета роботи – ознайомитися з основними протоколами віддаленого управління мережевим обладнанням корпоративної мережі, набути практичні навики стосовно організації захищеного доступу до консолі мережевого обладнання, забезпечення безпеки операційного середовища мережевих пристроїв при віддаленому до них підключенні на основі Telnet/SSH, організації віддаленого доступу до мережевого обладнання на основі ААА-сервера. 1.Теоретичні відомості Telnet (англ. TErminaL NETwork) ( протокол для реалізації текстового інтерфейсу по мережі (за допомогою транспорту TCP). Основне призначення полягає в емуляції терміналу, завдяки чому користувач, який працює на віддаленому комп’ютері (клієнт Telnet), одержує доступ до ресурсів іншої машини – сервера Telnet. Протокол проектує клієнтський комп’ютер на сервер Telnet таким чином, що цей комп’ютер виглядає як термінал безпосередньо під’єднаний до локальної мережі. Насправді, проекція є програмним образом, віртуальним терміналом, здатним взаємодіяти з віддаленим хостом. У протоколі Telnet не передбачено використання ні шифрування, ні перевірки достовірності даних. Тому він вразливий для будь-якого виду атак до яких вразливий і його транспорт, тобто протокол TCP. Для забезпечення безпечного віддаленого доступу до системи нині застосовується протокол SSH (особливо популярна версія 2), основною причиною створення якого були питання щодо забезпечення безпеки даних сеансу. Однак, Telnet нині широко використовується для організації віддаленого управління мережевими пристроями в повністю контрольованій мережі або у поєднанні зі захистом на мережевому рівні. SSH (англ. Secure Shell - «безпечна оболонка») ( мережевий протокол прикладного рівня, який забезпечує безпечне віддалене управління операційною системою і тунелювання TCP-з’єднань. Схожий за функціональністю з протоколом Telnet, однак, на відміну від нього, шифрує весь трафік, включаючи і передані паролі. На основі SSH можна не тільки віддалено працювати на комп’ютері через командну оболонку, але і передавати по шифрованому каналу звуковий потік або відео (наприклад, з веб-камери). Також SSH може використовувати стиснення переданих даних для подальшого їх шифрування, що зручно, наприклад, для віддаленого запуску клієнтів X Window System. Протокол SSH-1, на відміну від протоколу Telnet, стійкий до атак прослуховування трафіку («сніфінг»), але нестійкий до атак типу «людина посередині». Протокол SSH-2 стійкий до зазначених атак, так як неможливо при його застосуванні включитися у вже встановлену сесію або перехопити її. SSH протокол прикладного рівня. SSH-сервер зазвичай прослуховує з’єднання на TCP-порту 22. Специфікація протоколу SSH-2 міститься в RFC 4251. Для автентифікації сервера в SSH використовується протокол автентифікації сторін на основі алгоритмів електронно-цифрового підпису RSA або DSA, але допускається також автентифікація за допомогою пароля (режим зворотної сумісності з Telnet). Автентифікація по паролю найбільш поширена; вона безпечна, оскільки пароль передається по зашифрованому віртуальному каналу. Для створення загального секрету (сеансового ключа) використовується алгоритм Діффі-Хеллмана (DH). Для шифрування переданих даних використовується симетричне шифрування, алгоритми AES, Blowfish або 3DES. Для під’єднання робочої станції (РС) до консолі мережевого пристрою можуть використовуватися кабелі типу miniUSB-to-USB та COM-to-RJ-45. Проте, в останньому випадку, необхідно задіяти перехідник USB-to-COM. Також необхідне відповідне програмне забезпечення для підключення (Putty, SecureCRT та ін.). Компанія Cisco додала команду еnаble secret для кращого захисту паролем операційного середовища мережевих пристроїв. Пізн...