Контакты
Подписка
МЕНЮ
Контакты
Подписка

"Эфрос" — контроль и администрирование команд Cisco

"Эфрос" — контроль и администрирование команд Cisco

В рубрику "Соискатели" | К списку рубрик  |  К списку авторов  |  К списку публикаций

"Эфрос" — контроль и администрирование команд Cisco

Р. Компаниец, директор департамента разработки и сертификации программного обеспечения ООО "Газинформсервис"

Особое место в организации защиты корпоративной сети занимают маршрутизаторы и межсетевые экраны (МСЭ). Наиболее распространенным в этой области сейчас является оборудование фирмы Cisco Systems. Маршрутизаторы и МСЭ Cisco обладают широким набором средств как для защиты корпоративной сети, так и собственной защиты. Один из методов повышения защиты маршрутизаторов и МСЭ — разграничение доступа к командам управления. Разграничение доступа базируется на механизмах привилегий команд и пользователей, однако практическое использование этих механизмов затруднено в силу многих причин:

Встроенные средства ОС Cisco IOS и МСЭ Cisco Pix не дают обобщенной достоверной информации о составе доступных параметров команд и их уровнях привилегий.

Процедура администрирования уровней привилегий команд требует глубоких знаний, обладает высокой трудоемкостью (более 1000 команд, более 100 режимов выполнения команд, сотни тысяч вариантов задания команд), сопряжена с внесением ошибок.

В ООО "Газинформсервис" разработан инструментальный комплекс (И К) контроля и разграничения доступа к командам ОС Cisco IOS и МСЭ Cisco Pix версии 7.0 — "Эфрос", который автоматизирует процессы контроля и администрирования привилегий команд и тем самым дает возможность в полной мере использовать механизмы защиты оборудования Cisco.

ИК "Эфрос" позволяет:

  • сформировать описание всех доступных команд и их уровни привилегий;
  • сохранять описания команд в базе данных комплекса для их дальнейшего анализа, контроля и создания конфигураций разграничения доступа к командам;
  • создавать конфигурации для защиты оборудования Cisco от использования недокументированных команд (команд, которые отсутствуют в справочной подсистеме, но доступны для выполнения).

Области применения ИК "Эфрос"

  • Администрирование авторизации команд — автоматизация процесса создания разрешительной (запретительной) политики разграничения доступа к командам, создание ролевых моделей разграничения доступа, формирование схем защиты маршрутизаторов и МСЭ Cisco от выполнения недокументированных команд.
  • Сертификационные испытания и аттестация маршрутизаторов и МСЭ Cisco — контроль состава и уровней привилегий команд, заданных по умолчанию, автоматизированное тестирование механизмов авторизации команд и правил (матрицы) разграничения доступа администраторов (операторов) к командам.
  • Обучение администраторов, которое проводится в НОУ ДПО "Центр предпринимательских рисков".

Состав и возможности ИК "Эфрос"

Сканер команд "Эфрос-сканер" обеспечивает сканирование маршрутизаторов и МСЭ Cisco на основе сценариев и заданий, создание базы данных с описанием команд, их параметров и уровней привилегий.

Интегрированная среда «Эфрос-Pix» «Эфрос-сканер» Интегрированные среды "Эфрос-IOS" и "Эфрос-Pix" предназначены для работы с базами данных команд ОС Cisco IOS и МСЭ соответственно. В рамках интегрированных сред поддерживаются:

  • визуализация команд и их параметров в графической форме в виде деревьев;
  • редактирование уровней привилегий команд и создание модели разграничения доступа к командам;
  • автоматическая генерация (в соответствии с созданной моделью) описаний уровней привилегий команд в формате, пригодном для загрузки на маршрутизатор (МСЭ);
  • автоматическая генерация шаблонов описания авторизуемых команд для конфигурационных файлов внешних AAA-серверов типа Tacacs+;
  • справочная информация о командах и их параметрах, синхронизированная с просмотром деревьев команд;
  • возможность написания собственных макросов для типовых процедур изменения уровней привилегий команд.

Инструментальный комплекс "Эфрос" работает под управлением операционной системы Windows 2000/ХР. Защита комплекса реализована на базе ключа защиты HASP HL.

Опубликовано: Журнал "Information Security/ Информационная безопасность" #5, 2005
Посещений: 14534

Приобрести этот номер или подписаться

Статьи по теме

  Автор

 

Компаниец Р.

Директор департамента разработки и сертификации программного обеспечения ООО "Газинформсервис"

Всего статей:  1

В рубрику "Соискатели" | К списку рубрик  |  К списку авторов  |  К списку публикаций