Как безопасно обмениваться паролями в вашей сети

69-01 password

По материалам сайта: www.blogs.manageengine.com

Множество сетевых устройств и несколько администраторов, которые ими управляют, – нормальная ситуация для любого оператора связи или интернет-провайдера. Для конфигурации всего парка оборудования требуются логины и пароли различного уровня доступа. Риск заключается в беспечном отношении к их хранению и передаче, что может обернуться катастрофой для всей компании.

Опасная беспечность

Представьте разговор между двумя сетевыми администраторами оператора связи:

Сергей: «Петр, у меня завтра выходной, а подрядчик запланировал перенос нашего оборудования. Ты не мог бы после этого зайти и поменять его конфигурацию?»

Петр: «Конечно, только у меня нет доступа администратора к коммутаторам».

Сергей: «Не проблема, ты можешь зайти на них с моей рабочей станции, а логин и пароль я тебе пришлю по почте».

Петр: «Хорошо, Сергей, я все сделаю!»

В этом разговоре есть несколько категорически неправильных вещей, которые собираются сделать сетевые администраторы.

  • Во-первых, Сергей планирует отправить Петру логин и пароль администратора сетевых устройств по электронной почте, которая представляет собой небезопасную среду, особенно если это не внутренняя корпоративная почта, а бесплатный публичный сервис.
  • Во-вторых, Сергей небезопасно передает не один, а два логина и пароля – от своей рабочей станции и от сетевых устройств.
  • В-третьих, если Сергей регулярно не сбрасывает пароли, то Петр получит доступ к критически важному оборудованию не на один день, а на все остальное время и сможет делать с ним все что угодно на свое усмотрение.

Казалось бы, разве может принести вред компании какая-то пара паролей? Может! В июле 2016 года недовольный сетевой администратор «Ситибанка» намеренно «положил» 9 маршрутизаторов, что привело к отказу 90 % банковской сети по всей Америке.

Безответственное отношение к паролям, их передача в открытом виде с помощью электронной почты, мессенджеров, чатов и просто бумажек на столе способствует их попаданию в чужие руки и может привести к серьезным последствиям. Контроль за хранением и передачей паролей имеет большое значение как с точки зрения финансовых потерь в случае их злоумышленного использования, так и для поддержания репутации компании.

Реализация нескольких простых правил хранения и совместного использования данных привилегированных учетных записей поможет справиться с утечкой паролей. Вот правила, которые всегда эффективны.

  1. Используйте безопасное корпоративное хранилище для паролей.

Консолидация и хранение привилегированных паролей в безопасном централизованном месте вместо использования таблиц Excel или текстовых документов является простой, но редко используемой мерой безопасности. Надежное хранилище с шифрованием делает использование паролей более удобным, а главное – защищает их от злоумышленников.

К таким хранилищам можно отнести менеджеры паролей: Vaultier, Passwork, CommonKey и другие.

vaultier

  1. Ограничение доступа к паролям на основе роли пользователя.

Уровень привилегий пользователя должен зависеть от его роли в организации, в соответствии с ней ограничиваются права доступа. Большинство пользователей не должны даже видеть пароли в простой текстовой форме. Они просто заходят в систему под своим логином и автоматически получают разрешенный доступ к устройствам.

  1. Настроить автоматический доступ к устройствам без ввода пароля.

Администраторы и пользователи должны подключаться к сетевым устройствам без ввода паролей в виде простого текста. Это достигается использованием сервера авторизации, например Radius или Tacacs, про которые мы расскажем в следующих статьях. Такой способ авторизации позволяет гибко настраивать уровни доступа на самом сервере и не требует ручного ввода дополнительных паролей от пользователя.

radius

  1. Разрешить временный доступ с помощью одноразовых паролей.

Предоставляете сотрудникам временный доступ к оборудованию и системам по мере необходимости. Для этого генерируется одноразовый пароль с ограниченными правами и сроком действия, после завершения срока действия пароль становится бесполезным и не позволит сотруднику злоупотребить повышенными правами.

  1. Регулярно осуществляйте сброс общих паролей.

Пароли, которые используются группой пользователей и находятся в общем доступе, должны периодически автоматически сбрасываться. Это препятствует их распространению и исключает возможность получения пользователями ненадлежащего доступа к ИТ-ресурсам.

  1. Требуйте разрешения главного администратора на выдачу паролей.

Для обеспечения дополнительной безопасности и более строгого управления общими паролями генерацию и выдачу нового пароля сотруднику необходимо производить только после получения разрешения от главного сетевого администратора. Все манипуляции с паролями, такие как сброс, изменение, удаление, также должны производиться через рабочий процесс создания запроса на изменение.

  1. Создать журнал операций с паролями.

Ведение журнала аудита всех операций, связанных с использованием паролей, куда заносятся сведения о сотруднике, который их производит (логин, пароль, IP-адрес, время использования), позволит в случае аварии выяснить причину ее возникновения и ответственного.

  1. Настроить систему оповещения при получении доступа к паролю и его совместное использование.

Главный администратор в реальном времени должен получать мгновенные сообщения о том, что кто-то из администраторов получил доступ к привилегированному паролю, стал его использовать или передавать другим сотрудникам.

Выполнение этих простых рекомендаций, включающих как административные действия, так и использование специального серверного и прикладного программного обеспечения, наведет порядок в ваших паролях и обеспечит дополнительную сетевую безопасность. Выбор сложных сетевых решений (маршрутизаторы, коммутаторы, системы анализа трафика (DPI) и биллинга), как и обеспечение их безопасности, – важная задача для любого оператора связи.

Инженеры компании VAS Experts, разрабатывая систему СКАТ DPI, уделили большое внимание обеспечению защиты от незаконного проникновения и несанкционированного использования третьими лицами.

Авторизация в системе осуществляется с помощью средсв операционной системы CentOS, также можно настроить беспрольный доступ по SSH с помощью ключа и взаимодейсвие с центральизованным хранилищем паролей на Radius-сервере.

Более подробную информацию о преимуществах СКАТ DPI, ее эффективном использовании на сетях операторов связи, а также о миграции с других платформ вы можете узнать у специалистов компании VAS Experts – разработчика и поставщика системы анализа трафика СКАТ DPI.

 Подписывайтесь на рассылку новостей блога, чтобы не пропустить новые материалы.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *