Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

Bảo mật Router-Switch (P8)

Collapse
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • Bảo mật Router-Switch (P8)

    9.2 VLAN 1

    9.2.1 Tính dễ bị tổn thương

    Những Switch Cisco sử dụng VLAN 1 như là VLAN mặc định để đăng ký cho các port của nó, bao gồm việc quản lý những port đó. Thêm vào đó, các giao thức lớp 2 như là CDP và VTP cần được gửi đi trên 1 VLAN chi tiêt trên những đường Trunk, vì vậy VLAN 1 được chọn lựa. Trong 1 vài trường hợp, VLAN 1 có thể mở rộng hệ thống mạng nếu không lượt bớt 1 cách đúng đắn. Nó cũng cung cấp cho những kẻ tấn công dễ dàng truy xuất và mở rộng việc vươn tới những cuộc tấn công.

    9.2.2 Giải pháp

    Do not use VLAN 1 for either out-of-band management or in-band management. To provide network-based, out-of-band management, dedicate a physical switch port and VLAN on each switch for management use. Create a Switch Virtual Interface (SVI) Layer Three interface for that VLAN, and connect the VLAN to a dedicated switch and communications path back to the management hosts. Do not allow the operational VLANs access to the management VLAN. Also, do not trunk the management VLAN off the switch.
    To provide out-of-band management that separates management traffic from user traffic, use the following commands as an example.
    Create the out-of-band management VLAN.
    Switch(config)# vlan 6
    Switch(config-vlan)# name ADMINISTRATION-VLAN
    Create a management IP address and restrict access to it. Also, enable the interface.
    Switch(config)# no access-list 10
    Switch(config)# access-list 10 permit 10.1.6.1
    Switch(config)# access-list 10 permit 10.1.6.2
    Switch(config)# interface vlan 6
    Switch(config-if)# description ADMIN-VLAN
    Switch(config-if)# ip address 10.1.6.121 255.255.255.0
    Switch(config-if)# ip access-group 10 in
    itch(config-if)# no shutdown
    Sw
    Assign the management VLAN to the dedicated interface.
    Switch(config)# interface fastethernet 4/1
    Switch(config-if)# description Out-Of-Band Admin
    Switch(config-if)# switchport mode access
    Switch(config-if)# switchport access vlan 6
    Switch(config-if)# no shutdow

    9.3 Private VLAN(PVLAN)

    9.3.1 Tính dễ bị tổn thương

    Trong 1 vài ví dụ điển hình nơi mà những hệ thống không cần tác động trực tiếp, PVLANs cung cấp sự bảo vệ thêm vào. Một PVLAN chính khai báo miền Broadcast với những PVLAN phụ được liên kết. Những PVLANs phụ có thể là Isolated PVLANs hoặc là Community PVLANs. Những máy tính trên Isolated PVLAN chỉ giao tiếp những port Promiscuous, những máy tính trên community PVLANs chỉ giao tiếp giữa chúng và liên kết với những port Promicuous. Sự cấu hình này cung cấp 5 phần nhỏ tách biệt trong lớp 2 để điều khiển mỗi hệ thống.

    Việc sử dụng thích hợp những PVLAN để bảo vệ cho các hệ thống từ 1 cái khác mà chia sẽ những VLAN thông thường được cung cấp bởi việc tách lớp 2. Những sự cấu hình này thì 1 cách thông thường thì đượctìm thấy ở những Multiple Server như là mạng De-Militarized Zone (DMZ) không có Firewall hay 1 sự không truy xuất vào server của 1 Switch có tốc độ cao. Nếu 1 Server được thỏa hiệp, khi đó Server đó có thể là nguồn của các cuộc tấn công vào các Server khác. PVLANs hạn chế tính nguy hiểm này bằng cách không cho phép sự giao tiếp giữa các Server mà không nên liên hệ với những cái khác.

    Các PVLAN có 1 giới hạn là phải gán địa chỉ cho một hệ thống để bảo đảm an toàn. Một Router có thể chuyển các traffic trở lại trên cùng 1 mạng từ mạng gốc. Một PVLAN chỉ ngăn tách những traffic tại lớp 2. Một Router mà tại hệ thống lớp 3 và được gắn vào 1 port Promicuous thì có thể định tuyến traffic đến tất cả các port trong PVLAN đó. Hai máy tính trên PVLAN Isolated sẽ không thể giao tiếp tại lớp 2 nhưng vấn giao tiếp tại lớp 3 mà nó phá vỡ sự bảo vệ lớp 2 của PVLAN. Trường hợp này có thể gán điạ chỉ nơi mà được cần bởi các Router Access Control List.

    9.3.2 Giải pháp

    Một sự cấu hình với Multiple Server trên 1 VLAN đơn lẽ nên được sử dụng cho việc tách lớp 2 trong số các Server. Những Router nên ở trên các Port Promicuous và Server nên ở trên community PVLAN. Chỉ những Server mà cần giao tiếp trực tiếp với những Server khác thì nên ở trên community PVLAN. Thực thi VACLs trên PVLAN chính để lọc traffic bắt nguồn bằng việc định tuyến trên cùng phân đoạn.

    Trong 1 vài ví dụ điển hình nơi mà những hệ thống không cần tác động trực tiếp, PVLAN cung cấp thêm vào sự giới hạn tấn công. Trong mạng Voice điều này có thể là trường hợp với dịch vụ ủy quyền cho cùng một user nhưng sử dụng khác giao thức hay sự cấp phát dịch vụ CallManagers khác user. Trong ví dụ sau đây, việc cấp phát cho phép sử dụng việc lọc cho CallManagers, trong khi Private VLAN giữ 1 sự thỏa hiệp CallManager từ việc vươn tới những cái khác trực tiếp tại lớp 2.

    Ví dụ sau đây tạo 1 PVLAN với 1 NTP server trên 1 promiscuous port và 2 isolated servers.

    Switch# vlan 200
    Switch(vlan)# name SERVERS-PRIVATE
    Switch(vlan)# private-vlan primary
    Switch(vlan)# private-vlan association 201
    Switch# vlan 201
    Switch(vlan)# name SERVERS-ISOLATED
    Switch(vlan)# private-vlan isolated
    Switch(config)# interface GigabitEthernet6/1
    Switch(config-if)# description SERVER 1
    Switch(config-if)# switchport private-vlan host-association 200 201
    Switch(config-if)# switchport mode private-vlan host
    Switch(config-if)# no shutdown
    Switch(config)# interface GigabitEthernet6/2
    Switch(config-if)# description SERVER 2
    Switch(config-if)# switchport private-vlan host-association 200 201
    Switch(config-if)# switchport mode private-vlan host
    Switch(config-if)# no shutdown
    Switch(config)# interface GigabitEthernet6/6
    Switch(config-if)# description SERVER NTP Server
    Switch(config-if)# switchport mode private-vlan promiscuous
    Switch(config-if)#switchport



    9.4 Virtual Trunking Protocol

    9.4.1 Tính dễ bị tổn thương

    VTP là 1 giao thức thông điệp tại lớp 2 của Cisco, được sử dụng để phân phối thông tin cấu hình vượt qua Trunk. VTP cho phép sự thêm vào, xóa và thay đổi tên của VLAN trên mạng mở rộng. Nơi mà cho phép những Switch có 1 sự cấu hình VLAN phù hợp trong cùng 1 miền VTP. Tất cả Switch trong cùng 1 miền quản lý chia sẽ thông tin VLAN, và 1 Switch có thể tham gia chỉ trên 1 miền VTP quản lý.

    Một Switch có thể ở 1 trong 3 mode sau: Server, Transparent, và client. Một Switch ở mode Server bắt đầu sự cấu hình VTP VLAN cho những Switch khác để sử dụng. Ở mode Server, nhà quản trị có thể tạo, sửa và xóa VLAN cho miền quản lý entrie VTP. VTP Server quảng bá sự cấu hình VLAN đến những Switch khác trong cùng 1 miền VTP và đồng bộ cơ sở dữ liệu của chúng. Một Switch ở mode Transparent nhận và chuyển gói tin VTP nhưng nó không bắt nguồn từ nó. Một Switch ở bất kỳ mode nào có thể tham gia vào VTP Pruning, mà nó kìm hãm việc trao đổi các gói tin VTP trên những port được chọn lựa.

    Mặc định, các Switch chia sẽ thông tin VLAn mà không cần chứng thực. Do đó, những cài đặt VLAN không đúng có thể phát tán vượt ra ngoài 1 miền VTP. Để giải quyết vấn đề này, các Switch khi tham gia vào VTP đều mặc định ở mode Server và 1 Server với chỉ số Revision cao hơn thay thế cho một cái với chỉ số thấp hơn. Nó thì hoàn toàn có thể chỉ là 1 Switch đơn lẻ mà đã trải qua 1 con số khảo sát VTP đầy đủ, để 1 cách hoàn toàn chép đè lên hoặcloại trừ tất cả sự phân công VLAN trong 1 mạng hoạt động bằng việc chỉ kết nối nó đến mạng. Như 1 cuộc tấn cống sẽ không cần thiết phải có ý xấu, chỉ đơn giản là di chuyển 1 lab Switch đến 1 mạng đang hoạt động thì có thể gây ra sự ảnh hưởng này

    Mặc định miền quản lý VTP được cài đặt để là tăng chế độ an toàn mà không cần 1 password. Nó thì có thể làm giảm việc ghi đè nguy hiểm với sự bảo vệ bằng password. Một khách hang kiểm tra password trước khi thực thi việc cấu hình 1 VLAN mà nó nhận bằng VTP. Password không được mã hóa hoặc làm che đậy thong tin trong VTP. Cấu hình VTP với password chỉ để đảm bảo rằng các thong điệp được chứng thực.Một kẻ tấn công với 1 nhà phân tích mạng có thể dễ dàng giành được kiến thức của cấu trúc VLAN từ mạng cục bộ. Password vẫn có thể bị hash với những thông tin và nó thật khó để phân tích password từ những traffic mạng khác được chọn lọc.

    9.4.2Giải pháp

    Nó thì thật rõ ràng rằng VTP rất đơn giản cho việc quản trị, một cách đặt biệt nơi mà 1 lượng lớn VLAN được triển khai, VTP khá nguy hiểm khi nó được sử dụng vì sự chán nản. Nếu có thể, hãy tắt VTP bằng việc sử dụng câu lệnh

    Switch(config)# no vtp mode
    Switch(config)# no vtp password
    Switch(config)# no vtp pruning


    Nếu VTP là cần thiết, thì hãy xem xét việc cài đặt theo ví dụ sau. Cài đặt một miền quản lý VTP thích hợp. Tất cả Switch trong cùng 1 miền quản lý chia sẽ thông tin VLAN. Một Switch chỉ có thể tham gia vào 1 miền quản lý VTP. Sử dụng câu lệnh sau để tạo 1 miền VTP:
    Switch(config)# vtp domain test.lab


    Đăng ký 1 password mạnh cho miền quản lý VTP. Tất cả Switch trong cùng một miền nên đăng ký cùng 1 password. Diiều này ngăn cản việc những Switch không được cấp quyền gắn vào miền quản lý VTP và thay đổi thông tin không chính xác về VLAN. Sử dụng sự bảo vệ trên miền VTP như ví dụ sau:

    Switch(config)# vtp password g00d-P5WD
    Enable VTP pruning and use it on appropriate ports. By default, VLANs numbered 2 through 1000 are pruning-eligible.
    Bật VTP pruning và sử dụng chúng trên nhưng port thích hợp. Mặc định những VLAN được đếm từ 2 đến 1000 là prunning-eligible

    Switch(config)# vtp pruning

    Cài đặt VTP ờ mode transparent với lệnh sau

    Switch(config)# vtp transparent
    Phạm Minh Tuấn

    Email : phamminhtuan@vnpro.org
    Yahoo : phamminhtuan_vnpro
    -----------------------------------------------------------------------------------------------
    Trung Tâm Tin Học VnPro
    149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
    Tel : (08) 35124257 (5 lines)
    Fax: (08) 35124314

    Home page: http://www.vnpro.vn
    Support Forum: http://www.vnpro.org
    - Chuyên đào tạo quản trị mạng và hạ tầng Internet
    - Phát hành sách chuyên môn
    - Tư vấn và tuyển dụng nhân sự IT
    - Tư vấn thiết kế và hỗ trợ kỹ thuật hệ thống mạng

    Network channel: http://www.dancisco.com
    Blog: http://www.vnpro.org/blog
Working...
X