Информационные коммутаторы способны распределять нагрузку между несколькими межсетевыми экранами. Это позволяет избежать снижения производительности экранов и, одновременно с этим, решает проблему единственного критически важного устройства на линии. Повышение надежности Internet-соединения достигается за счет размещения группы экранов между двумя коммутаторами (рис. А.5). При этом внешний коммутатор выполняет функции распределителя, направляя потоки на разные межсетевые экраны. Информационные коммутаторы Cisco поддерживают 32 имени пользователей и два уровня доступа — пользовательский (User) и администраторский (SuperUser).
Пользовательский уровень доступа На этом уровне доступа возможно исполнение ограниченного количества команд. Изменять конфигурационные настройки нельзя. Создать пользовательскую запись можно с помощью инструкции: Здесь Name- имя создаваемого или изменяемого пользователя (до 16 символов) и Password — пароль (от 6 до 16 символов). Пароль может быть зашифрован (опция
Администраторский уровень доступа На этом (привилегированном) уровне доступа возможен просмотр и изменение любой конфигурационной настройки. По умолчанию администраторское Запрет терминального доступа Если все коммутаторы расположены в одном месте, имеет смысл отключить терминальный (telnet) доступ к системе. Это значительно повысит безопасность.
Для запрета терминального доступа введите следующую команду: Протоколирование
Часто бывает так, что знать структуру атаки не менее важно, чем прерывать ее ход. Именно в этом случае протоколирование действий хакера играет решающую роль. Информационный коммутатор можно настроить для работы с внешним syslog-сервером (в конфигурационном режиме):
Отключить протоколирование разрешается с помощью команды по: Уязвимости
Здесь в качестве примера рассмотрим две уязвимости в защите систем коммутации. Более детальную информацию можно получить на странице Эта уязвимость позволяет непривилегированному пользователю перезагрузить устройство, что может прервать работу на 5 минут. Естественно, многократная перезагрузка приведет к отказу в обслуживании со стороны защищаемого сервера.
