Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

Bảo mật Router-Switch (P4)

Collapse
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • Bảo mật Router-Switch (P4)

    1. Dịch vụ mạng.

    6.1. Tính dễ bị tổn thương

    Những IOS Switch của Cisco có thể có một số dịch vụ mong đợi được phép. Nhiều những dịch vụ tiêu biểu này không cần thiết cho một thao tác bình thường cho sự chuyển đổi; tuy nhiên nếu những dịch vụ này được bật len trên Switch thì nó dễ bị ảnh hưởng dến những thông tin tập trung hoặc những cuộc tấn công mạng. Những đặc tính hoặc cấu hình không đầy đủ cho những dịch vụ mạng trên Switch có thể dẫn dắt đến những thỏa hiệp. Hầu hết những dịch vụ này sử dụng một trong những cơ chế stranport tại lớp 4 trong mô hình OSI RM: TCP, UDP. Những tính dễ bị tổn thương liên quan đến những dịch vụ mạng sau:
    + Những kết nối tới những dịch vụ trên Switch thì không được mã hóa, vì vậy những kẻ tấn công có thể tập hợp traffic mạng liên quan dến những dịch vụ mạng để phân tích một mạng. Traffic này có thể chứa usermane, password hoặc thông tin cấu hính trên Switch.
    + Một Switch với những dịch vụ sử dụng tài khoàn mặc định cho phép những kẻ tấn công tạo và sử dụng một kết nối hoặc hơn tài khoàn mặc định những tài khoàn nổi tiếng như(administrator, root, security).
    + Nếu một Switch có một dịch vụ mạng không đặt password, password mặc định hoặc password đơn giản , thì kẻ tấn công có thể đoán password hoặc hack nó và truy lục dữ liệu hoặc thay đổi cấu hình trên Switch. Đồng thời, việc dặt cùng mật khẩu cho những dịch vụ trên nhiểu Switch là một diểm yếu ( điểm thất bại). Những người tấn công có thể thỏa hiệp trên một Switch và dựa vào nó để thỏa hiệp đến những Switch khác.
    + Sự truy cập dịch vụ mạng trên Switch là cho Switch dễ bị tổn thương để tấn công. Phương pháp truy cập đó vào tất cả các hệ thống hoặc những hệ thốnt lớn hơn có thể kết nối đến Switch.
    + Nếu một kết nối tới dịch vụ hệ thống mạng mà không đặt thời gian timeout hoặc có thời gian timeout quá lớn (lớn hơn 9 phút), thì những kết nối có sẵn sẽ thuận tiện cho những kẻ tấn công tấn công chúng.

    1.2. Giải Pháp.

    Nếu có thể thay vào đó việc sử dụng dịch vụ mạng (telnet) để thực hiện việc quản lí bên in-band cúa một Switch, sử dụng quản lí out-of-band (via the console port) trên mổi Switch. Quản lí out-of-band giảm bớt sự phơi bày thông tin cấu hình và password hơn quản lí in-band. Tham chiếu đến phần quản lí port chi tiết trong quản lí out-of-band.
    Những giải pháp sau sẽ giảm nhẹ tính dễ bị tổn thương cùa những dịch vụ mạng được bật trên Switch. Những biện pháp đối phó chia theo những loại sau: dịch vụ mạng không cần thiết và dịch vụ mạng cần thiết tiềm tàn
    .
    6.2.1. Dịch vụ mạng không cẩn thiết:

    Nếu có thể thì vô hiệu hóa những dịch vụ không cần thiết trên mỗi Switch. Những lệnh sau sẽ vô hiệu hóa những dịch vụ liên quan. Trong một số trường hợp những lệnh này chỉ ảnh hưởng đến Switch toàn cục, trong khi trong những trường hợp khác nó chỉ ảnh hưởng đên một interface riêng lẻ (Fastenthernet, gigaethernet) trên Switch. Để áp dụng những cài đặt này vào một interface, sử dụng dãi dòng lệnh chỉ rõ cấu hình trên interface.
    Ví dụ sau dùng để đặt cho interface Gigaethernrt 6/1- 6/3
    Switch(config)# interface range gigabitethernet 6/1 – 3

    6.2.1.1 TCP và UDP Small servers – TCP/UDP port 7, 9, 13, 19

    Cisco hỗ trợ cho “ Small Server ”( echo,discard, daytime and chargen). Hai server echo và chargen có thể sử dụng một hoặc nhiều hơn tấn công từ chối dịch vụ trên Switch. Những dịch vụ này có thể được tắt đi bằng những dòng lệnh sau:
    Switch(config)# no service tcp-small-servers
    Switch(config)# no service udp-small-servers

    6.2.1.2 Bootp Server – UDP port 67

    Một switch của Cisco có thẽ tác động đến Bootp Server để phân phối những hình ảnh của hệ thống tới những hệ thống khác. Trừ khi nó là những yêu cầu về thao tác, nó tốt nhất để tắt những dịch vụ những dòng lệnh sau sẽ giảm tối thiểu những hình ảnh của sự truy nhập không hợp pháp vào hệ thống trên Switch.
    Switch(config)# no ip bootp server

    6.2.1.3 Finger – TCP port 79.

    Những Switch của Cisco có hỗ trợ dịch vụ Finger, mà có thể cung cấp những thông tin về người dùng đã logged vào Switch. Những dòng lệnh sau sẽ tắt dịch vụ Finger. Lệnh đầu tiên sẽ thay thế lệnh thứ hai trong những phiên bản IOS tương lai.
    Switch(config)# no ip finger
    Switch(config)# no service finger

    6.2.1.4 Cấu Hình Autoload.

    Một Switch cùa Cisco có thể được cấu hình từ một server trên mạng bằng một số phương pháp. Những phương pháp này thỉ không được đề nghị bởi vì những thông tin được chuyển trong cleartext trong quá trình khởi động và có thể được tập hợp bởi ngừơi dùng bất hợp pháp. Sử dụng những dòng lệnh để vô hiệu hóa những phương pháp này.

    Switch(config)# no service config
    Switch(config)# no boot host
    Switch(config)# no boot network
    Switch(config)# no boot system

    6.2.1.5 Packet Assembler/Disassembler(PAD)

    PAD cho phép những kết nối X.25 giữa những hệ thống mạng. Trừ khi một mạng yêu cầu khà năng này dịch vụ PAD được vô hiệu hóa bởi dòng lệnh.

    Switch(config)# no service pad

    6.2.1.6 Thông điệp ICMP ( internet control messeger protocol)

    Một Switch của Cisco có thể tự động phát sinh ba loại thông điệp ICMP: Host Unreachable, Redirect and Mask Reply.
    Thông điệp Mask Reply cung cấp mặt nạ mạng cho những mẫu tin mạng đến requestor. Một kẻ tấn công có thể sử dụng những thông điệp này để giúp hắn trong việc ánh xạ một mạng. Vô hiệu hóa những thông báo này bằng những lệnh sau khuyến cáo rằng dùng cho mỗi interface và trên inter face Null 0.

    Switch(config-if)#noip unreachables
    Switch(config-if)# no ip redirects
    Switch(config-if)# no ip mask-reply

    Vô hiệu hóa interface Null 0 thì được chú trọng. Interface này là gói tin mất dần giá trị. Nó đôi khi được dùng trong tấn công từ chối dịch vụ và những gói tin blocked được gửi tới interface này. Nó sẽ phát sinh ra những thông diệp Host Unreachable làm tràn ngập mạng trừ khi nó được đựơc vô hiệu hóa. Những kẻ tấn công có thểsử dụng những thông báo này để xác được cấu hình access-control-list bởi việc xác định những gói tin bị tắt nghẽn. Directed Broadcast cho phép những thông điệp broadcast lan truyền từ những broadcast domain khác hơn đến Switch. Ví dụ những kẻ tấn công có thể sử dụng ICMP Directed Broadcast cho mục đích này. Khuyến cáo nên tắt khả năng broadcast sử dụng dòng lệnh sau cho mỗi interface.
    Switch(config-if)# no ip directed-broadcast

    6.2.2 Những dịch vụ mạng tiềm tàn cần thiết.

    Những dịch vụ mạng cần thiết có thể cần cho việc quản trị trên một Switch. Nếu trong quản lí in-band hoặc dịch vụ mạng cần thiết, thì xem xét những mục sau để cấu hình dịch vụ mạng an toàn hơn.
    Thiết lập một tài khoản duy nhất cho mỗi người quản trị cho sự truy cập tới bất kì dịch vụ mạng cần thiết nào. Những dòng lệnh sau sẽ tạo ra một tài khoản với một mức đặc quyền. Tài khoản này chỉ tới Switch cục bộ. Đặc quyền ở level 0 là mức thấp nhất trên Switch của Cisco và cho phép những tập hơp rất nhỏ những lệnh. Người quản trị có thể đi tới level cao hơn (ví dụ mức 15) từ level 0 sử dụng dòng lệnh Enable.

    Switch(config)# username ljones privilege 0
    Switch(config)# username ljones secret g00d-P5WD
    Cho sự chứng thực các dịch vụ tinh tế hơn, cũng như liên hệ các khả năng khác vì những dịch vụ tham chiếu tới Authentination, Authorization và Accouting (AAA) trong báo cáo này.
    6.2.2.1 Domain Name System(DNS) – TCP port 53, UDP port 53.

    Để chỉ định cho DNS sever phân giải tên, sử dụng câu lệnh ip name – server. Lệnh này có thể sử dụng để thiết lập sáu DNS server. Ví dụ sau đặt địa chỉ ip 10.1.200.97 cho DNS server.

    Switch(config)# ip name-server 10.1.200.97
    Để ánh xạ DNS-base từ tên sang địa chỉ Ip, sử dụng câu lệnh ip domain-lookup . Lệnh này cho phép DNS broadcast truy vấn từ Switch và được trả lời bởi DNS server.

    Switch(config)# ip domain-lookup

    Trong một vài trường hợp người quản trị không muốn khả năng truy vấn DNS này. Ví dụ sau nếu người quản trị gõ dòng lệnh không đúng thì Switch có thể giải quyết vấn đề này tới một địa chì Ip. Thuộc tính náy có thể gây ra sự trì hoãn. Như vậy, sử dụng dòng lệnh sau dể vô hiệu hóa khả năng này nếu cần thiết.

    Switch(config)# no ip domain-lookup
    Để chỉ rõ tên miền mặc định để hoàn thành hoàn toàn hostname, sử dụng dòng lệnh ip domain-name. Ví dụ sau đặt tên miền là test.lab sử dụng câu lệnh sau.

    Switch(config)# ip domain-name test.lab

    6.2.2.2 SSH – TCP port 22.

    Nếu cần thiết có truy cập từ xa đến Switch, thì xem xét sử dụng SSH thay vì telnet. SSH cung cấp mã hóa những kết nối từ xa. Tuy nhiên, những phiên bản IOS bao gồm hỗ trợ cơ chế mã hóa SSH. Đồng thời, SSH Switch cần cập nhật phiên bản IOS. Trước khi sử dụng SSH trên Switch, người quản trị cần phải cấu hình những lệnh sau: hostname, ip domain-name, và crypto key generate rsa. Ví dụ sau để đặt hostname cho Switch.
    Switch(config)# hostname Switch
    Tham chiếu đến những mục trên về DNS sử dụng dòng lệnh Ip domain-name. Dòng lệnh crypto key generate rsa được quyết định trên dòng lệnh hostname và ip domain-name. Lệnh crypto tạo ra khóa đôi Rivest, Shamir, Adleman (RSA) mà bao gồm một kháo publice RSA và một khóa private RSA.
    Ví dụ sau cho thấy lệnh crypto này kể cả hai tham số là tên cho khóa(switch.test.lab) và kích thước cho khóa(1024).

    Switch(config)# crypto key generate rsa
    The name for the keys will be: switch.test.lab

    Choose the size of the key modulus in the range of 360 to 2048 for your
    General Purpose Keys. Choosing a key modulus greater than 512 may take a few minutes.
    How many bits in the modulus[512]? 1024
    Generating RSA keys.... [OK].

    Để hạn chế sự truy nhập SSH đến Switch, cần cấu hình mở rộng access-list để chấp nhận cho những hệ thống của ngừơi quản trị để tạo những kết nối và áp vào những thiết bị đầu cuối. Chấp nhận những kết nối SSH tới những đường này bằng cách sử dụng dòng lệnh transport input ssh. Đặt mức quyền là level 0 và set thời gian exec-timeout là 9 phút và 0 giây tới sự ngắt kết nối nhàn rỗi những kết nối tới những lines này. Cuối cùng sử dụng dòng lệnh login local để bật tính năng kiểm tra tài khoàn tại những lúc đăng nhập cái đó sẽ nhắc nhở cho một username và một password.
    Những dòng lệnh sau để cấu hình SSH cho các thiết bị đầu cuối.

    Switch(config)# no access-list 101
    Switch(config)# access-list 101 remark Permit SSH access from administrators’ systems
    Switch(config)# access-list 101 permit tcp host 10.1.6.1 any eq 22 log
    Switch(config)# access-list 101 permit tcp host 10.1.6.2 any eq 22 log
    Switch(config)# access-list 101 deny ip any any log
    Switch(config)# line vty 0 4
    Switch(config-line)# access-class 101 in Switch(config-line)# transport input ssh Switch(config-line)# privilege level 0
    Switch(config-line)# exec-timeout 9 0
    Switch(config-line)# login local

    Câu lệnh login local không được dùng với AAA. Thay vì sử dụng dòng lệnh login authentication. Xem phần AAA dể biết thêm chi tiết.

    6.2.2.3 Telnet – TCP port 23.

    Nếu người quản trị không thể update phiên bản ISO cho Switch với SSH, để hạn chế việc chấp nhận telnet vào Switch. Cấu hình mở rộng các access-list(vd: 102) mà cho phép chỉ duy nhất hệ thống của người quản trị tạo kết nối và áp dụng những access-list này vào thiết bị đầu cuối. Cho phép những kết nối telnet duy nhất trên những lines này sử dụng câu lệnh transport input telnet. Đặt mức quyền là level 0 và set thời gian exec-timeout là 9 phút và 0 giây tới sự ngắt kết nối nhàn rỗi những kết nối tới những lines này. Cuối cùng sử dụng dòng lệnh login local để bật tính năng kiểm tra tài khoàn tại những lúc đăng nhập cái đó sẽ nhắc nhở cho một username và một password.
    Những dòng lệnh sau để cấu hình Telnet cho các thiết bị đầu cuối.

    Switch(config)# no access-list 102
    Switch(config)# access-list 102 remark Permit telnet access from
    administrators’ systems
    Switch(config)# access-list 102 permit tcp host 10.1.6.1 any eq 23 log Switch(config)# access-list 102 permit tcp host 10.1.6.2 any eq 23 log Switch(config)# access-list 102 deny ip any any log
    Switch(config)# line vty 0 4
    Switch(config-line)# access-class 102 in Switch(config-line)# transport input telnet Switch(config-line)# privilege level 0
    Switch(config-line)# exec-timeout 9 0
    Switch(config-line)# login local
    Câu lệnh login local không được dùng với AAA. Thay vì sử dụng dòng lệnh login authentication. Xem phần AAA dể biết thêm chi tiết.
    Phạm Minh Tuấn

    Email : phamminhtuan@vnpro.org
    Yahoo : phamminhtuan_vnpro
    -----------------------------------------------------------------------------------------------
    Trung Tâm Tin Học VnPro
    149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
    Tel : (08) 35124257 (5 lines)
    Fax: (08) 35124314

    Home page: http://www.vnpro.vn
    Support Forum: http://www.vnpro.org
    - Chuyên đào tạo quản trị mạng và hạ tầng Internet
    - Phát hành sách chuyên môn
    - Tư vấn và tuyển dụng nhân sự IT
    - Tư vấn thiết kế và hỗ trợ kỹ thuật hệ thống mạng

    Network channel: http://www.dancisco.com
    Blog: http://www.vnpro.org/blog
Working...
X