"Эфрос" — контроль и администрирование команд Cisco

"Эфрос" — контроль и администрирование команд Cisco

Р. Компаниец, директор департамента разработки и сертификации программного обеспечения ООО "Газинформсервис"

Особое место в организации защиты корпоративной сети занимают маршрутизаторы и межсетевые экраны (МСЭ). Наиболее распространенным в этой области сейчас является оборудование фирмы Cisco Systems. Маршрутизаторы и МСЭ Cisco обладают широким набором средств как для защиты корпоративной сети, так и собственной защиты. Один из методов повышения защиты маршрутизаторов и МСЭ — разграничение доступа к командам управления. Разграничение доступа базируется на механизмах привилегий команд и пользователей, однако практическое использование этих механизмов затруднено в силу многих причин:

Встроенные средства ОС Cisco IOS и МСЭ Cisco Pix не дают обобщенной достоверной информации о составе доступных параметров команд и их уровнях привилегий.

Процедура администрирования уровней привилегий команд требует глубоких знаний, обладает высокой трудоемкостью (более 1000 команд, более 100 режимов выполнения команд, сотни тысяч вариантов задания команд), сопряжена с внесением ошибок.

В ООО "Газинформсервис" разработан инструментальный комплекс (И К) контроля и разграничения доступа к командам ОС Cisco IOS и МСЭ Cisco Pix версии 7.0 — "Эфрос", который автоматизирует процессы контроля и администрирования привилегий команд и тем самым дает возможность в полной мере использовать механизмы защиты оборудования Cisco.

ИК "Эфрос" позволяет:

• сформировать описание всех доступных команд и их уровни привилегий;
• сохранять описания команд в базе данных комплекса для их дальнейшего анализа, контроля и создания конфигураций разграничения доступа к командам;
• создавать конфигурации для защиты оборудования Cisco от использования недокументированных команд (команд, которые отсутствуют в справочной подсистеме, но доступны для выполнения).

Области применения ИК "Эфрос"

• Администрирование авторизации команд — автоматизация процесса создания разрешительной (запретительной) политики разграничения доступа к командам, создание ролевых моделей разграничения доступа, формирование схем защиты маршрутизаторов и МСЭ Cisco от выполнения недокументированных команд.
• Сертификационные испытания и аттестация маршрутизаторов и МСЭ Cisco — контроль состава и уровней привилегий команд, заданных по умолчанию, автоматизированное тестирование механизмов авторизации команд и правил (матрицы) разграничения доступа администраторов (операторов) к командам.
• Обучение администраторов, которое проводится в НОУ ДПО "Центр предпринимательских рисков".

Состав и возможности ИК "Эфрос"

Сканер команд "Эфрос-сканер" обеспечивает сканирование маршрутизаторов и МСЭ Cisco на основе сценариев и заданий, создание базы данных с описанием команд, их параметров и уровней привилегий.

Интегрированные среды "Эфрос-IOS" и "Эфрос-Pix" предназначены для работы с базами данных команд ОС Cisco IOS и МСЭ соответственно. В рамках интегрированных сред поддерживаются:

• визуализация команд и их параметров в графической форме в виде деревьев;
• редактирование уровней привилегий команд и создание модели разграничения доступа к командам;
• автоматическая генерация (в соответствии с созданной моделью) описаний уровней привилегий команд в формате, пригодном для загрузки на маршрутизатор (МСЭ);
• автоматическая генерация шаблонов описания авторизуемых команд для конфигурационных файлов внешних AAA-серверов типа Tacacs+;
• справочная информация о командах и их параметрах, синхронизированная с просмотром деревьев команд;
• возможность написания собственных макросов для типовых процедур изменения уровней привилегий команд.

Инструментальный комплекс "Эфрос" работает под управлением операционной системы Windows 2000/ХР. Защита комплекса реализована на базе ключа защиты HASP HL.