Как безопасно обмениваться паролями в вашей сети

21 апреля 2017
Безопасность
Как безопасно обмениваться паролями в вашей сети
Множество сетевых устройств и несколько администраторов, которые ими управляют, – нормальная ситуация для любого оператора связи или интернет-провайдера. Для конфигурации всего парка оборудования требуются логины и пароли различного уровня доступа.

Риск заключается в беспечном отношении к их хранению и передаче, что может обернуться катастрофой для всей компании.

По материалам сайта: www.blogs.manageengine.com

Опасная беспечность
Представьте разговор между двумя сетевыми администраторами оператора связи:
Сергей: «Петр, у меня завтра выходной, а подрядчик запланировал перенос нашего оборудования. Ты не мог бы после этого зайти и поменять его конфигурацию?»
Петр: «Конечно, только у меня нет доступа администратора к коммутаторам».
Сергей: «Не проблема, ты можешь зайти на них с моей рабочей станции, а логин и пароль я тебе пришлю по почте».
Петр: «Хорошо, Сергей, я все сделаю!»

В этом разговоре есть несколько категорически неправильных вещей, которые собираются сделать сетевые администраторы.

  • Во-первых, Сергей планирует отправить Петру логин и пароль администратора сетевых устройств по электронной почте, которая представляет собой небезопасную среду, особенно если это не внутренняя корпоративная почта, а бесплатный публичный сервис.
  • Во-вторых, Сергей небезопасно передает не один, а два логина и пароля – от своей рабочей станции и от сетевых устройств.
  • В-третьих, если Сергей регулярно не сбрасывает пароли, то Петр получит доступ к критически важному оборудованию не на один день, а на все остальное время и сможет делать с ним все что угодно на свое усмотрение.

Казалось бы, разве может принести вред компании какая-то пара паролей? Может! В июле 2016 года недовольный сетевой администратор «Ситибанка» намеренно «положил» 9 маршрутизаторов, что привело к отказу 90 % банковской сети по всей Америке.

Безответственное отношение к паролям, их передача в открытом виде с помощью электронной почты, мессенджеров, чатов и просто бумажек на столе способствует их попаданию в чужие руки и может привести к серьезным последствиям. Контроль за хранением и передачей паролей имеет большое значение как с точки зрения финансовых потерь в случае их злоумышленного использования, так и для поддержания репутации компании.

Реализация нескольких простых правил хранения и совместного использования данных привилегированных учетных записей поможет справиться с утечкой паролей. Вот правила, которые всегда эффективны.

Используйте безопасное корпоративное хранилище для паролей

Консолидация и хранение привилегированных паролей в безопасном централизованном месте вместо использования таблиц Excel или текстовых документов является простой, но редко используемой мерой безопасности. Надежное хранилище с шифрованием делает использование паролей более удобным, а главное – защищает их от злоумышленников.

К таким хранилищам можно отнести менеджеры паролей: Passwork, CommonKey и другие.

менеджер паролей

Ограничение доступа к паролям на основе роли пользователя

Уровень привилегий пользователя должен зависеть от его роли в организации, в соответствии с ней ограничиваются права доступа. Большинство пользователей не должны даже видеть пароли в простой текстовой форме. Они просто заходят в систему под своим логином и автоматически получают разрешенный доступ к устройствам.

Настроить автоматический доступ к устройствам без ввода пароля

Администраторы и пользователи должны подключаться к сетевым устройствам без ввода паролей в виде простого текста. Это достигается использованием сервера авторизации, например Radius или Tacacs, про которые мы расскажем в следующих статьях. Такой способ авторизации позволяет гибко настраивать уровни доступа на самом сервере и не требует ручного ввода дополнительных паролей от пользователя.

безопасность паролей и сервер авторизации

Разрешить временный доступ с помощью одноразовых паролей

Предоставляете сотрудникам временный доступ к оборудованию и системам по мере необходимости. Для этого генерируется одноразовый пароль с ограниченными правами и сроком действия, после завершения срока действия пароль становится бесполезным и не позволит сотруднику злоупотребить повышенными правами.

Регулярно осуществляйте сброс общих паролей

Пароли, которые используются группой пользователей и находятся в общем доступе, должны периодически автоматически сбрасываться. Это препятствует их распространению и исключает возможность получения пользователями ненадлежащего доступа к ИТ-ресурсам.

Требуйте разрешения главного администратора на выдачу паролей

Для обеспечения дополнительной безопасности и более строгого управления общими паролями генерацию и выдачу нового пароля сотруднику необходимо производить только после получения разрешения от главного сетевого администратора. Все манипуляции с паролями, такие как сброс, изменение, удаление, также должны производиться через рабочий процесс создания запроса на изменение.

Создать журнал операций с паролями

Ведение журнала аудита всех операций, связанных с использованием паролей, куда заносятся сведения о сотруднике, который их производит (логин, пароль, IP-адрес, время использования), позволит в случае аварии выяснить причину ее возникновения и ответственного.

Настроить систему оповещения при получении доступа к паролю и его совместное использование

Главный администратор в реальном времени должен получать мгновенные сообщения о том, что кто-то из администраторов получил доступ к привилегированному паролю, стал его использовать или передавать другим сотрудникам.

Выполнение этих простых рекомендаций, включающих как административные действия, так и использование специального серверного и прикладного программного обеспечения, наведет порядок в ваших паролях и обеспечит дополнительную сетевую безопасность. Выбор сложных сетевых решений (маршрутизаторы, коммутаторы, системы анализа трафика (DPI) и биллинга), как и обеспечение их безопасности, – важная задача для любого оператора связи.

Инженеры компании VAS Experts, разрабатывая систему СКАТ, уделили большое внимание обеспечению защиты от незаконного проникновения и несанкционированного использования третьими лицами.

Авторизация в системе осуществляется с помощью средств операционной системы CentOS, также можно настроить беспарольный доступ по SSH с помощью ключа и взаимодействие с централизованным хранилищем паролей на Radius-сервере.

Мы используем файлы cookies для оптимизации функциональности сайта и улучшения качества услуг. Нажимая «Принять», вы даете согласие на работу с этими файлами. Чтобы узнать больше, пожалуйста, прочтите нашу Политику конфиденциальности.