Bài giảng Xây dựng hệ thống firewall - Bài 1: Các nguyên tắc bảo mật mạng

@Email: fit@ispace.edu.vn MÔN HỌC: XÂY DỰNG HỆ THỐNG FIREWALL 1 Trường Cao đẳng Nghề CNTT iSPACE Khoa Mạng Và An Ninh Thông Tin fit@ispace.edu.vn @Email: fit@ispace.edu.vn Bài 1: CÁC NGUYÊN TẮC BẢO MẬT MẠNG. Bài 2: BẢO MẬT MẠNG SỬ DỤNG CISCO IOS FIREWALL Bài 3: BẢO MẬT MẠNG SỬ DỤNG CISCO IPS Bài 4: BẢO MẬT LAYER 2 Bài 5: TRIỂN KHAI HỆ THỐNG VPN TRÊN CISCO IOS MÔN HỌC: XÂY DỰNG HỆ THỐNG FIREWALL 2 @Email: fit@ispace.edu.vn BÀI 1: CÁC NGUYÊN TẮC BẢO MẬT MẠNG Suy nghĩ như một Hacker Giảm nguy cơ bị tấn công mạng Tắt các dịch vụ mạng và các Interface không sử dụng Bảo mật truy cập quản trị và cấu hình Cisco Router Giảm mối đe dọa và tấn công với ACL Bảo mật cho tính năng Management và Reporting Câu hỏi & bài tập Cấu hình cho thiết bị các tính năng tự bảo mật, giảm nguy cơ bị tấn công, truy cập thiết bị trái phép. 3 @Email: fit@ispace.edu.vn MỤC TIÊU BÀI HỌC Nhận biết được các nguy cơ bị tấn công của hệ thống mạng. Giải thích được các bước để hack một hệ thống mạng. Trình bày được các loại tấn công vào hệ thống mạng. Cấu hình giảm nguy cơ bị tấn công mạng trên Cisco Router. Cấu hình bảo mật cho tính năng management và reporting trên Cisco Routers. Cấu hình được tính năng AAA trên Cisco Routers. Cấu hình bảo mật được cho Cisco Routers sử dụng tính năng AutoSecure. 4 @Email: fit@ispace.edu.vn Suy Nghĩ Như Một Hacker 7 bước để tấn công một hệ thống mạng: B1: Thực hiện phân tích các dấu vết hay các thông tin ban đầu. B2: Chi tiết thông tin. B3: Ghi nhận các thao tác người dùng truy cập. B4: Chiếm dụng những quyền hạn cao hơn.(leo thang đặc quyền). B5: Bổ sung mật khẩu và thu thập bí mật. B6: Cài đặt back doors. B7: Tận dụng hệ thống bị xâm nhập. Luôn luôn đóng vai tro ̀ như một Hacker để tìm ra các phương thức phòng vê ̣ va ̀ bảo mật cho hê ̣ thống. 5 @Email: fit@ispace.edu.vn Suy Nghĩ Như Một Hacker Các gợi ý bảo vệ mạng chống lại các hacker Cập nhật các bản vá lỗi . Đóng các dịch vụ không cần thiết và các port. Sử dụng mật khẩu (đủ phức tạp) và thường xuyên thay đổi chúng . Kiểm soát truy cập vào hệ thống vật lý. Cắt giảm đầu vào không cần thiết. Thực hiện sao lưu hệ thống và kiểm tra chúng một cách thường xuyên . Cảnh báo mọi người về social engineering. Mã hóa và mật khẩu bảo vệ dữ liệu nhạy cảm Sử dụng thích hợp bảo mật phần cứng và phần mềm Phát triển một chính sách an ninh bằng văn bản cho công ty 6 @Email: fit@ispace.edu.vn Giảm Nguy Cơ Hệ Thống Mạng Bị Tấn Công Các loại tấn công mạng: Minimal Intelligence: Reconnaissance Access attacks DoS and DDoS Tìm hiểu các phương thức tấn công va ̀ cách phòng chống, làm giảm nguy cơ hê ̣ thống mạng bị tấn công 7 @Email: fit@ispace.edu.vn Giảm Nguy Cơ Hệ Thống Mạng Bị Tấn Công Reconnaissance Attacks và cách phòng chống: Reconnaissance: là khám phá trái phép và lập bản đồ của các hệ thống, dịch vụ, hoặc các lỗ hổng. Reconnaissance: còn được gọi là thu thập thông tin, và trong hầu hết trường hợp, đứng trước một cuộc tấn công truy cập hay DoS. Các cuộc tấn công Reconnaissance có thể bao gồm: Packet sniffers o Một Packet sniffer là phần mềm ứng dụng sử dụng card mạng trong chế đô promiscuous để bắt những tất cả các gói tin trong mạng. o Khai thác thông tin dạng Plaintext , các giao thức sử dụng Plaintext như : Telnet, FTP, SNMP, POP và HTTP o Phải nằm trên cùng một colision domain o Có thể sử dụng hợp pháp hoặc được thiết kế đặc biệt để tấn công 8 @Email: fit@ispace.edu.vn Giảm Nguy Cơ Hệ Thống Mạng Bị Tấn Công Reconnaissance Attacks và cách phòng chống: Giảm nguy cơ và phòng chống Packet sniffers: Dùng các kỹ thuật va ̀ các công cụ bao gồm: o Chứng thực (Authentication). o Mật mã (Cryptography). o Các công cụ Antisniffer. o Thay đổi cơ sở hạ tầng (Switched infrastructure). 9 @Email: fit@ispace.edu.vn Giảm Nguy Cơ Hệ Thống Mạng Bị Tấn Công Reconnaissance Attacks và cách phòng chống: Các cuộc tấn công Reconnaissance có thể bao gồm: Port scans va ̀ Ping sweeps o Một hacker sử dụng các công cụ để scan các port va ̀ ping quét dò xét qua Internet. o Là công cụ hợp pháp dùng để scan port va ̀ ping quét các ứng dụng trên các máy chủ hay các thiết bị để xác định các dịch vụ dê ̃ bị tổn thương. o Thông tin được thu thập bằng cách kiểm tra địa chỉ IP va ̀ port của ứng dụng chạy trên ca ̉ UDP hay TCP. 10 @Email: fit@ispace.edu.vn Giảm Nguy Cơ Hệ Thống Mạng Bị Tấn Công Reconnaissance Attacks và cách phòng chống: Các cuộc tấn công Reconnaissance có thể bao gồm: Port scans va ̀ Ping sweeps 11 @Email: fit@ispace.edu.vn Giảm Nguy Cơ Hệ Thống Mạng Bị Tấn Công Reconnaissance Attacks và cách phòng chống: Giảm nguy cơ và phòng chống Port scans và Ping sweeps: Dùng các kỹ thuật va ̀ các công cụ bao gồm: o Network-based IPS (NIPS) và Host-based IPS (HIPS) thường có thể thông báo cho bạn biết khi có một cuộc tấn công reconnaissance. o IPS so sánh lưu lượng truy cập đến hệ thống phát hiện xâm nhập (IDS) hoặc dấu hiệu nhận dạng tấn công (signatures) trong cơ sở dữ liệu IPS. o Một dấu hiệu nhận dạng, như "một số gói tin đến các port đích khác nhau từ cùng một nguồn địa chỉ trong một thời gian ngắn có thể được dùng để phát hiện scan port." 12 @Email: fit@ispace.edu.vn Giảm Nguy Cơ Hệ Thống Mạng Bị Tấn Công Reconnaissance Attacks và cách phòng chống: Giảm nguy cơ và phòng chống Port scans và Ping sweeps: 13 @Email: fit@ispace.edu.vn Giảm Nguy Cơ Hệ Thống Mạng Bị Tấn Công Access Attacks và cách phòng chống: Access attacks: Man-in-middle attacks: o Các kẻ tấn công đứng ở giữa lắng nghe thông tin giữa người gửi va ̀ người nhận, thậm chí sửa đổi các dữ liệu trước khi gửi đến hai bên. Buffer overflow: o Một chương trình ghi dữ liệu vượt quá giới hạn kết thúc của bô ̣ đệm trong bô ̣ nhớ. o Việc tràn bô ̣ đệm có thể dẫn đến dữ liệu hợp lê ̣ bị ghi đè. 14 @Email: fit@ispace.edu.vn Giảm Nguy Cơ Hệ Thống Mạng Bị Tấn Công DoS, DDoS attacks và cách phòng chống: DoS và DDoS attacks: Ví dụ DDoS: 15 @Email: fit@ispace.edu.vn Giảm Nguy Cơ Hệ Thống Mạng Bị Tấn Công DoS, DDoS attacks và cách phòng chống: IP Spoofing trong DoS và DDoS attacks: Giả mạo địa chỉ IP là một kỹ thuật hacker sử dụng để truy cập trái phép vào máy tính. o Giả mạo địa chỉ IP xảy ra khi một hacker bên trong hay bên ngoài mạng đóng vai tro ̀ như máy tính tin cậy đang liên lạc. o Giả mạo địa chỉ bao gồm:  Thêm những dữ liệu độc hại hoặc các lệnh va ̀ luồng dữ liệu hiện có  Thay đổi bảng định tuyến. o Giả mạo địa chỉ là một một trong các bước cơ bản trong kiểu tấn công DoS hay DDoS. 16 @Email: fit@ispace.edu.vn Giảm Nguy Cơ Hệ Thống Mạng Bị Tấn Công DoS, DDoS attacks và cách phòng chống: Các phòng chống DoS va ̀ DDoS attacks: Anti-spoof: một bô ̣ lọc chứa danh sách truy cập thích hợp với tính năng unicast reverse path forwarding nhằm dựa vào bảng định tuyến để xác định gói tin giả mạo, vô hiệu hoá các tuỳ chọn con đường nguồn. Anti-DoS: tính năng này giới hạn số lượng half-open các kết nối TCP mà hê ̣ thống cho phép ở bất kỳ thời điểm nào. Hạn chế tỉ số traffic: mọi tổ chức có thể thực hiện hạn chế tỉ số giao tiếp với ISP. 17 @Email: fit@ispace.edu.vn Giảm Nguy Cơ Hệ Thống Mạng Bị Tấn Công Các loại tấn công mạng: Intelligence: 18 @Email: fit@ispace.edu.vn Giảm Nguy Cơ Hệ Thống Mạng Bị Tấn Công Worm, Virus, Trojan Horse Attacks và cách phòng chống: Worm, Virus và Trojan attacks: Các loại worm, virus hay trojan horse dựa vào các lỗ hổng để chúng xâm nhập va ̀ tự cài đặt vào hê ̣ thống. Sau khi tiếp cận được mục tiêu chúng chuyển hướng dò tìm các mục tiêu mới theo điều khiển của hacker. Khi hacker đã đạt được mục tiêu cũng là lúc hacker đã chiếm được đặc quyền truy cập va ̀ khai thác hê ̣ thống. 19 @Email: fit@ispace.edu.vn Giảm Nguy Cơ Hệ Thống Mạng Bị Tấn Công Worm, Virus, Trojan Horse Attacks và cách phòng chống: Giảm nguy cơ Worm, Virus và Trojan attacks: Sử dụng các phần mềm Anti-Virus. Cập nhật các bản va ́ lỗi mới nhất của phần mềm, ứng dụng va ̀ kể cả hê ̣ điều hành. Triển khai hê ̣ thống chống xâm nhập trên các host (ví dụ: Cisco Security Agent). Cập nhật kiến thức những phát triển mới nhất vê ̀ các phương pháp tấn công dựa vào Worm, Virus hay Trojan Horse. Ngăn chặn sự lây lan của Worm hay Virus trong hê ̣ thống mạng, thực hiện cách ly để kiểm dịch, quét sạch các worm hay virus thậm chí là cài đặt lại hê ̣ thống. 20 @Email: fit@ispace.edu.vn Giảm Nguy Cơ Hệ Thống Mạng Bị Tấn Công Application Layer Attacks va ̀ cách phòng chống: Application Layer attacks có các đặc điểm như sau: Khai thác các ứng dụng như: mail, http va ̀ ftp,... Thường sử dụng các port được phép đi qua các tường lửa (ví dụ: TCP port 80 được dùng trong tấn công máy chủ Web đằng sau một tường lửa). Loại tấn công này thường kho ́ loại bỏ hoàn toàn vì nó luôn dò tìm sử dụng lô ̃ hổng mới. 21 @Email: fit@ispace.edu.vn Giảm Nguy Cơ Hệ Thống Mạng Bị Tấn Công Application Layer Attacks và cách phòng chống: Một công cụ điển hình trong Application Layer attacks. Netcat: là công cụ mà đọc hoặc ghi dữ liệu trên bất kỳ kết nối TCP/UDP, chuyển tiếp các kết nối TCP và có thể hành động như một máy chủ TCP/UDP. #nc -h connect to somewhere: nc [-options] hostname port[s] [ports] ... listen for inbound: nc -l -p port [-options] [hostname] [port] options: -g gateway source-routing hop point[s], up to 8 -G num source-routing pointer: 4, 8, 12, ... -i secs delay interval for lines sent, ports scanned -l listen mode, for inbound connects -n numeric-only IP addresses, no DNS -o file hex dump of traffic -p port local port number -r randomize local and remote ports -s addr local source address -u UDP mode -v verbose [use twice to be more verbose] port numbers can be individual or ranges: lo-hi [inclusive] 22 @Email: fit@ispace.edu.vn Giảm Nguy Cơ Hệ Thống Mạng Bị Tấn Công Application Layer Attacks va ̀ cách phòng chống: Ví dụ về Netcat: 23 @Email: fit@ispace.edu.vn Giảm Nguy Cơ Hệ Thống Mạng Bị Tấn Công Application Layer Attacks va ̀ cách phòng chống: Cách giảm nguy cơ Application Layer attacks: Tìm hiểu hệ điều hành mạng va ̀ các tập tin đăng nhập mạng. Cập nhật các bản va ́ lỗi mới nhất cho các ứng dụng va ̀ kể cả hệ điều hành. Sử dụng hê ̣ thống IPS/IDS để theo dõi, phát hiện va ̀ ngăn chặn các cuộc tấn công. 24 @Email: fit@ispace.edu.vn Giảm Nguy Cơ Hệ Thống Mạng Bị Tấn Công Nguy cơ từ các giao thức quản trị mạng (Management Protocols): Các giao thức quản trị mạng có thể là nguy cơ cho các cuộc tấn công như: SNMP, Syslog, NTP, TFTP. SNMP: sử dụng cơ chế xác thực đơn giản, gửi dữ liệu dạng chữ thô (plaintext). Syslog: dữ liệu được gửi dưới dạng chữ thô giữa các thiết bị quản lý va ̀ các host. TFTP: Dữ liệu được gửi dưới dạng chữ thô giữa các máy chủ yêu cầu va ̀ máy chủ TFTP. NTP: Với giao thức đồng bô ̣ thời gian, các máy chủ trên Internet không cần sự chứng thực của các máy ngang hàng. 25 @Email: fit@ispace.edu.vn Giảm Nguy Cơ Hệ Thống Mạng Bị Tấn Công Nguy cơ từ các giao thức quản trị mạng (Management Protocols): Cách giảm nguy cơ từ các giao thức quản trị mạng: Cấu hình quản trị mạng sử dụng cơ chế SSL/SSH. Sử dụng ACL để xác định danh sách truy cập đến máy chủ quản lý, va ̀ chỉ cho phép truy cập đến các máy chủ quản lý thông qua SSH hay HTTPS, Sử dụng các giao thức quản trị an toàn va ̀ bảo vệ dữ liệu với IPSec. Thực hiện RFC 3.704 lọc tại router để làm giảm cơ hội của các hacker từ bên ngoài giả mạo các địa chỉ quản lý của các máy chủ. 26 @Email: fit@ispace.edu.vn Giảm Nguy Cơ Hệ Thống Mạng Bị Tấn Công Xác định rủi ro và mối đe doa ̣: Có một số công cụ và kỹ thuật mà có thể được sử dụng để tìm các lỗ hổng trong mạng. Sau khi xác định được lô ̃ hổng hay các nguy cơ, chúng ta luôn có thể tìm ra cách bảo vệ và phòng tránh nguy cơ bị tấn công mạng. Một số công cụ phô ̉ biến hiện nay như: Blue’s PortScanner. Wireshark (trước đây là Ethereal) Microsoft Baseline Security Analyzer NMap 27 @Email: fit@ispace.edu.vn Giảm Nguy Cơ Hệ Thống Mạng Bị Tấn Công Xác định rủi ro và mối đe doa ̣: Blue’s PortScanner: Là công cụ quét mạng kha ́ nhanh, có thể quét hơn 300 port trong một giây. Cung cấp tính năng quét TCP/UDP với Anti-flood va ̀ Ping check. 28 @Email: fit@ispace.edu.vn Giảm Nguy Cơ Hệ Thống Mạng Bị Tấn Công Xác định rủi ro và mối đe doa ̣: Wireshark: công cụ quét va ̀ phân tích traffic hàng đầu. 29 @Email: fit@ispace.edu.vn Giảm Nguy Cơ Hệ Thống Mạng Bị Tấn Công Xác định rủi ro và mối đe doa ̣: Microsoft Baseline Security Analyzer. 30 @Email: fit@ispace.edu.vn Giảm Nguy Cơ Hệ Thống Mạng Bị Tấn Công Xác định rủi ro và mối đe doa ̣: Nmap: 31 @Email: fit@ispace.edu.vn Tắt Các Dịch Vụ Mạng & Các Interface Không Được Sử Dụng Các rủi ro của Router Service và Interface: Router Cisco có thể được sử dụng như: thiết bị Edge Firewall hay router nội bộ. Các lô ̃ hổng có thể được khai thác bất kỳ ở router nào, không phu ̣ thuộc vào vị trí của router đó. Lỗ hổng có thể từ các dịch vụ không được bảo mật trên router hay các interface của router không được sử dụng. Các dịch vụ trên Router có thê ̉ tạo ra các lô ̃ hổng cho tấn công như: BOOTP, CDP, FTP, TFTP, NTP, Finger, SNMP, Source IP va ̀ Proxy ARP 32 @Email: fit@ispace.edu.vn Tắt Các Dịch Vụ Mạng & Các Interface Không Được Sử Dụng Locking Down Routers với AutoSecure: Tính năng AutoSecure được tích hợp từ dòng Cisco IOS phiên bản 12.3 trở về sau này. AutoSecure là công cụ built-in cho phép loại bỏ các mối hiểm hoạ tồn tại trên router một cách nhanh chóng và dễ dàng. AutoSecure hoạt động ở hai chế độ: Interactive mode: dựa vào những câu hỏi, trả lời tương tác để các bạn lựa chọn cấu hình các dịch vụ trên router va ̀ các tính năng liên quan đến bảo mật. None-interactive mode: cấu hình bảo mật cho thiết bị chỉ dựa vào những thông sô ́ mặc định của cisco IOS mà không có sự thay đổi chỉnh sửa nào. 33 @Email: fit@ispace.edu.vn Tắt Các Dịch Vụ Mạng & Các Interface Không Được Sử Dụng Locking Down Routers với AutoSecure: Các tính năng của AutoSecure: Management Plane: o Finger, PAD, UDP and TCP small servers, password encryption, TCP keepalive, CDP, BOOTP, HTTP, source routing, gratuitous ARP, proxy ARP, ICMP, direct broadcast, MOP, banner. o Cung cấp password security va ̀ SSH. Forwarding Plane: CEF, bô ̣ lọc với ACL. Firewall: Kiểm tra ngữ cảnh truy cập (CBAC) Quản lý quá trình login. SSH Access Kiểm soát các dịch vụ truyền thông qua TCP. 34 @Email: fit@ispace.edu.vn Tắt Các Dịch Vụ Mạng & Các Interface Không Được Sử Dụng Locking Down Routers với AutoSecure: AutoSecure Failure Senarios: Trường hợp cấu hình AutoSecure hoạt động ổn định, thì cấu hình trên router có thể đã bị thay đổi mà không thể khắc phục được. o Trong phiên bản Cisco IOS Release 12.3 (8) T va ̀ các phiên bản phát hành sau này có thể cấu hình rollback lại trạng thái ban đầu:  Pre-AutoSecure cấu hình snapshot được lưu trong flash dưới dạng tập tin pre-autosec.cfg  Chúng ta có thể cấu hình rollback để trả cấu hình về trạng thái ban đâu bằng lệnh:  configure replace flash:pre_autosec.cfg o Nếu router đang sử dụng phiên bản Cisco IOS trước khi phát hành 12.3(8) T, thì trước khi cấu hình AutoSecure chúng ta nên sao lưu cấu hình để dự phòng. 35 @Email: fit@ispace.edu.vn Tắt Các Dịch Vụ Mạng & Các Interface Không Được Sử Dụng Cấu hình AutoSecure với SDM (Security Device Manager): SDM một trình thuật giao diện đồ họa điều khiển cấu hình Cisco Router một cách đơn giản. SDM cũng cho phép cấu hình cấu hình tường lửa trên Cisco Router kha ́ hiệu quả thông qua Cisco IOS Firewall. SDM cung cấp tính năng Security Audit wizard thực hiện tiến trình kiểm soát sự an ninh trên Cisco Router, ghi nhận đánh giá các lỗ hổng để giúp ta nhanh chóng tìm cách khắc phục. SDM còn có thể thực hiện hầu như tất cả các cấu hình mà AutoSecure cung cấp với tính năng One-Step Lockdown. 36 @Email: fit@ispace.edu.vn Bảo Mật Truy Cập Quản Trị Và Cấu Hình Cisco Router Cấu hình Router Passwords: Cisco IOS cung cấp một số tính năng cải tiến cho phép tăng độ bảo mật hệ thống với password,bao gồm: chiều dài mật khẩu tối thiểu, mã hoa ́ mật khẩu, chứng thực với user. Để thiết lập chiều dài tối thiểu của mật khẩu ta thực hiện lệnh dưới đây: Ví dụ: cấu hình cho độ dài mật khẩu yêu cầu tối thiểu là 10 Router(config)# security passwords min-length 10 Để giảm nguy cơ bị tấn công mạng ta phải thực hiện cơ chế bảo mật về quản lý truy cập, cấu hình va ̀ quản trị thiết bị Cisco Router. 37 @Email: fit@ispace.edu.vn Bảo Mật Truy Cập Quản Trị Và Cấu Hình Cisco Router Cấu hình Router Passwords: Mã hoa ́ tất cả các password trong file cấu hình của Router. Router(config)# service password-encryption Router(config)#service password-encryption Router(config)#exit Router#show running-config enable password 7 06020026144A061E ! line con 0 password 7 0956F57A109A ! line vty 0 4 password 7 034A18F366A0 ! line aux 0 password 7 7A4F5192306A 38 @Email: fit@ispace.edu.vn Bảo Mật Truy Cập Quản Trị Và Cấu Hình Cisco Router Cấu hình Router Passwords: Nâng cao tính năng bảo mật router với username và password. Router(config)#username rtradmin secret 0 Curium96 Router(config)#username rtradmin secret 5 $1$feb0$a104Qd9UZ./Ak007 39 @Email: fit@ispace.edu.vn Bảo Mật Truy Cập Quản Trị Và Cấu Hình Cisco Router Thiết lập Login Failure Rate: Cisco IOS cung cấp một số tính năng để đảm bảo router chống lại các đăng nhập trái phép bằng cách thiết lập Login Failure Rate. Theo mặc định, router cho phép đăng nhập thất bại 10 lần trước khi đợi 10 giây. Tạo ra một thông điệp syslog khi đăng nhập vượt quá số lượng lần truy cập được cho phép. Router(config)# security authentication failure rate threshold- rate log Ví dụ: Router(config)# security authentication failure rate 10 log 40 @Email: fit@ispace.edu.vn Bảo Mật Truy Cập Quản Trị Và Cấu Hình Cisco Router Xem thông tin login: Router(config)# show login Router(config)#show login A default login delay of 1 seconds is applied. No Quiet-Mode access list has been configured. All successful login is logged and generate SNMP traps. All failed login is logged and generate SNMP traps. Router enabled to watch for login Attacks. If more than 15 login failures occur in 100 seconds or less, logins will be disabled for 100 seconds. Router presently in Watch-Mode, will remain in Watch-Mode for 95 seconds. Present login failure count 5. 41 @Email: fit@ispace.edu.vn Bảo Mật Truy Cập Quản Trị Và Cấu Hình Cisco Router Xem thông tin login: Router(config)# show login failures Perth(config)#show login failures Information about login failure's with the device Username Source IPAddr lPort Count TimeStamp try1 10.1.1.1 23 1 21:52:49 UTC Sun Mar 9 2003 try2 10.1.1.2 23 1 21:52:52 UTC Sun Mar 9 2003 42 @Email: fit@ispace.edu.vn Bảo Mật Truy Cập Quản Trị Và Cấu Hình Cisco Router Thiết lập Timeouts: Mặc định giao diện cấu hình router được active trong khoảng thời gian 10 phút của một phiên làm việc. Chúng tra cần điều chỉnh thời gian này thành từ 2 hay 3 phút thôi. Nếu thiết lập giá trị exec-timeout 0 có nghĩa là không có thời gian chờ va ̀ phiên làm việc sẽ luôn luôn ở trạng thái active. Do vậy chúng ta không nên dùng câu lệnh exec-timeout 0. 43 @Email: fit@ispace.edu.vn Bảo Mật Truy Cập Quản Trị Và Cấu Hình Cisco Router Thiết lập Multiple Privilege Levels: Cisco Router cho phép cấu hình ở từng mức độ đặc quyền khác nhau trên từng quản trị viên. Đối với các Cisco IOS mới khi ta đăng nhập vào thì mặc định giao diện dòng lệnh của ta đang ở cấp độ đặc quyền là 1. Ở level này thì các lệnh cấu hình bị hạn chế. Khi ta chuyển sang chế độ enable (quyền root) thì cấp độ đặc quyền thay đổi là 15, lúc này chúng ta có thể toàn quyền sử dụng tất cả các lệnh trên router. Giả sử router được cấu hình bởi nhiều user khác nhau thì mỗi người sẽ được cấu hình với một cấp độ đặc quyền khác nhau: Để thực hiện việc phân quyền chúng ta có thê ̉ định nghĩa cho từng cấp độ lệnh cho từng user khác nhau từ 1 đến 14. User đăng nhập ở cấp độ cao hơn thì có thể thực thi được những lệnh ở cấp độ thấp hơn. 44 @Email: fit@ispace.edu.vn Bảo Mật Truy Cập Quản Trị Và Cấu Hình Cisco Router Thiết lập Multiple Privilege Levels: Định nghĩa enable password cho các level. Router>enable Router#show privilege Current Privilege level is current 15 Router#configure terminal Router(config)#enable secret level 2 level2 @Cấu hình password cho level 2 là level 2 Router(config)#enable secret level 3 level3 @Cấu hình password cho level 3 là level 3 @Đăng nhập vào ở cấp độ level 2 ta thực hiện như sau: Router>enable 2 ! Số 2 đại diện cho level 2 ! Password:level2 Router#show running-config ^ % Invalid input detected at '^' marker. 45 @Email: fit@ispace.edu.vn Bảo Mật Truy Cập Quản Trị Và Cấu Hình Cisco Router Cấu hình Banner Message: Banner message được sử dụng để cảnh báo những kẻ xấu xâm nhập không được chào đón vào hệ thống mạng của bạn. Có bốn biến lệnh được sử dụng trong banner message: $(hostname): hiển thị tên router $(domain): hiển thị domain của router. $(line): hiển thị sô ́ line vty hay tty $(line-desc): hiện mô tả của các line vty hay tty. Ví dụ: Router(config)#banner motd % WARNING: You are connected to $(hostname) on the Cisco Systems, Incorporated network. Unauthorized access and use of this network will be vigorously prosecuted. % 46 @Email: fit@ispace.edu.vn Bảo Mật Truy Cập Quản Trị Và Cấu Hình Cisco Router Cisco IOS Role-based CLI Access: Tính năng role-based CLI cho phép các quản trị viên xác định các “view”, là tập hợp của các câu lệnh cấu hình và kha ̉ năng chọn lựa truy cập hoặc chỉ ứng dụng một phần lệnh EXEC của Cisco IOS. View giới hạn sự truy cập ở người sử dụng Cisco IOS CLI và các thông tin cấu hình. CLI View cung cấp khả năng kiểm soát truy cập chi tiết hơn cho các quản trị mạng, đặc biệt hơn chế độ privilege level là đăng nhập ở view nào thì chỉ thấy ở view đó. 47 @Email: fit@ispace.edu.vn Bảo Mật Truy Cập Quản Trị Và Cấu Hình Cisco Router Bảo mật tập tin cấu hình: Bật tính năng phục hồi Cisco IOS Image: Router(config)# secure boot-image Tạo bản sao cho running configuration Router(config)# secure boot-config Hiển thị thông tin trạng thái kha ̉ năng phục hồi image hay tập tin cấu hình. Router# show secure bootset Router(config)#secure boot-image Router(config)#secure boot-config Router #show secure bootset 48 @Email: fit@ispace.edu.vn Giảm Mối Hiểm Họa Và Tấn Công Với ACL Cisco ACL (Access Control List): ACL là một danh sách các mệnh được định nghĩa các điều khiển cho phép hay không cho phép các đối tượng truy cập. Cisco Router sử dụng ACLs như bộ lọc gói tin để quyết định các gói tin có thể truy cập một dịch vụ trên router hoặc được phép đi qua một interface trên router. Cisco Router hỗ ba loại ACLs sau: Standard ACLs. Extended ACLs. Enhanced IP ACLs. ACL là một trong những công cụ hiệu quả cho việc giảm nguy cơ hê ̣ thống mạng bị tấn công, giới hạn traffic truy cập vào hê ̣ thống mạng. 49 @Email: fit@ispace.edu.vn Giảm Mối Hiểm Hoạ Và Tấn Công Với ACL ACL apply trên interface: ACLs phải được apply lên interface của router. ACLs được apply theo luồng dữ liệu đi vào (Inbound) hay đi ra (Outbound). 50 @Email: fit@ispace.edu.vn Giảm Mối Hiểm Hoạ Và Tấn Công Với ACL Sử dụng Traffic Filtering với ACL: Sử dụng ACL để lọc dữ liệu vào hay ra trên các router hay firewall. Sử dụng ACL để vô hiệu hóa hay giới hạn sự truy cập vào các dịch vụ, các port và các giao thức. 51 @Email: fit@ispace.edu.vn Giảm Mối Hiểm Hoạ Và Tấn Công Với ACL Ứng dụng Traffic Filtering với ACL để hạn chế hiểm họa: Giảm nguy cơ giả mạo địa chỉ IP (Outbound): R2(config)#access-list 105 permit ip 10.2.1.0 0.0.0.255 any R2(config)#access-list 105 deny ip any any log R2(config)#interface e0/1 R2(config-if)#ip access-group 105 in R2(config-if)#end 52 @Email: fit@ispace.edu.vn Bảo Mật Cho Tính Năng Management Và Reporting Xây dựng bảo mật cho tính năng Management và Reporting: Hệ thống Management và Reporting rất quan trọng, nhưng sẽ có một số kho ́ khăn nếu số thiết bị giám sát kha ́ lớn thì lượng thông tin có thể sai lệch và dữ liệu có thể bị bad. Để hệ thống hiểu quả chúng ta cần trả lời hệ thống câu hỏi sau: Làm thế nào để tách riêng các message đặc biệt ra khỏi các message thường xuyên ? Làm sao để ngăn chặn các log giả mạo ? Làm thế nào để tính toán các time stamps ? Những dữ liệu nào là cần thiết trong giám sát điều tra (inspect) ? Làm thế nào xử lý khối lượng lớn message log ? Làm thế nào quản lý tất ca ̉ các thiết bị? Làm thế nào để có thể theo dõi những thay đổi khi các cuộc tấn công hay các login thất bại diễn ra? Các tính năng managemet va ̀ reporting cũng có thể là lô ̃ hổng cho các mối đe doa ̣ tấn công  Bảo mật cho Management va ̀ Reporting. 53 @Email: fit@ispace.edu.vn Bảo Mật Cho Tính Năng Management Và Reporting Kiến trúc bảo mật cho tính năng Management và Reporting: 54 @Email: fit@ispace.edu.vn Bảo Mật Cho Tính Năng Management Và Reporting Kiến trúc bảo mật cho tính năng Management và Reporting: Information Paths: Thông tin di chuyển giữa các máy quản lý va ̀ các host có thể đi qua hai con đường: o In-Band: Luồng thông tin ở mạng doanh nghiệp, internet hay cả hai. o Out-of-Band (OOB): Các luồng thông tin ở trong mạng doanh nghiệp. 55 @Email: fit@ispace.edu.vn Bảo Mật Cho Tính Năng Management Và Reporting Kiến trúc bảo mật cho tính năng Management và Reporting: 56 @Email: fit@ispace.edu.vn Bảo Mật Cho Tính Năng Management Và Reporting Cấu hình SSH Server để bảo mật cho tính năng Management và Reporting: Cấu hình IP Domain Name. Tạo RSA Key Hiển thị Key (option) Cấu hình khoảng thời gian chờ cho SSH. Cấu hình SSH retry. Disable inbound vty Telnet. Enable inbound vty SSH 57 @Email: fit@ispace.edu.vn Bảo Mật Cho Tính Năng Management Và Reporting Cấu hình SSH Server để bảo mật cho tính năng Management và Reporting: Router#configure terminal Router(config)#ip domain-name cisco.com Router(config)#crypto key generate rsa general-keys modulus 1024 Sept 22 13:20:45: %SSH-5-ENABLED: SSH 1.5 has been enabled Router(config)#ip ssh timeout 120 Router(config)#ip ssh authentication-retries 4 Router(config)#line vty 0 4 Router(config-line)#no transport input telnet Router(config-line)#transport input ssh Router(config-line)#end 58 @Email: fit@ispace.edu.vn Bảo Mật Cho Tính Năng Management Và Reporting Sử dụng Syslog để bảo mật mạng: Syslog server: Một máy chấp nhận và xử lý các log message từ một hoặc nhiều syslog client. Syslog client: Một máy tạo ra các log message và chuyển chúng đến Syslog server. 59 @Email: fit@ispace.edu.vn Bảo Mật Cho Tính Năng Management Và Reporting Cisco Log Severity Levels: Syslog Level and Name Definition Example 0 LOG_EMERG A panic condition normally broadcast to all users Cisco IOS software could not load 1 LOG_ALERT A condition that should be corrected immediately, such as a corrupted system database Temperature too high 2 LOG_CRIT Critical conditions; for example, hard device errors Unable to allocate memory 3 LOG_ERR Errors Invalid memory size 4 LOG_WARNING Warning messages Crypto operation failed 5 LOG_NOTICE Conditions that are not error conditions but should possibly be handled specially Interface changed state, up or down 6 LOG_INFO Informational messages Packet denied by ACL 7 LOG_DEBUG Messages that contain information that is normally used only when debugging a program Packet type invalid 60 @Email: fit@ispace.edu.vn Bảo Mật Cho Tính Năng Management Và Reporting Log Message Format: 61 @Email: fit@ispace.edu.vn Bảo Mật Cho Tính Năng Management Và Reporting Ví dụ triển khai Syslog: Router(config)#logging 10.2.2.6 Router(config)#logging trap informational Router(config)#logging source-interface loopback 0 Router(config)#logging on 62 @Email: fit@ispace.edu.vn Bảo Mật Cho Tính Năng Management Và Reporting SNMP Version 3: Simple Network Management Protocol: Giao thức SNMP hoạt động dựa trên giao thức UDP. Dùng để giám sát, quản lý các máy chủ, các thiết bị hoạt động trong hệ thống mạng. Có các version: SNMPv1, SNMPv2, SNMPv2c, SNMPv3. Giao thức SNMP gồm một bộ các tiêu chuẩn quản lý mạng: Application Layer Protocol. Database Schema. Set of Data Objects. 63 @Email: fit@ispace.edu.vn Bảo Mật Cho Tính Năng Management Và Reporting SNMP Version 3: Hệ thống quản lý mạng dựa trên giao thức SNMP bao gồm 3 thành phần sau: Managed Devices: Thiết bị được quản lý. Agent: Phần mềm chạy trên các thiết bị được quản lý. Network Management System (NMS): Phần mềm chạy để quản lý. SNMP hoạt động ở tầng ứng dụng trong mô hình OSI. SNMP Agent nhận các yêu cầu từ NMS thông qua UDP Port 161. NMS nhận các thông báo (Trap, Inform Request) từ Managed Devices thông qua UDP Port 162. 64 @Email: fit@ispace.edu.vn Bảo Mật Cho Tính Năng Management Và Reporting SNMP Version 3: Community Strings: SNMPv1 và SNMPv2 sử dụng community string để router truy cập các SNMP agent. SNMP community string hoạt động như là password, SNMP community string là một chuỗi văn bản được sử dụng để xác thực thông điệp giữa một trạm quản lý và một SNMP engine. Nếu người quản lý gửi một community string chính xác với thuộc tính read-only, thì người quản lý có thể nhận được thông tin, nhưng không thiết lập được thông tin trong agent. Nếu người quản lý gửi một community string chính xác với thuộc tính read-write, người quản lý có thể nhận được thông tin và có thể thiết lập thông tin agent. 65 @Email: fit@ispace.edu.vn Bảo Mật Cho Tính Năng Management Và Reporting SNMP Version 3: Community Strings: SNMP Community Strings được dùng để xác nhận các thông tin gửi đi giữa manager và agent. Chỉ khi manager gửi thông điệp với community string đúng thì agent mới trả lời. Mặc định, hầu hết các hệ thống sử dụng SNMP community string đều public. SNMP community strings được gửi ở dạng cleartext gọi là MIB. Do đó, bất cứ ai cũng có khả năng lấy bắt được gói tin MIB nào đó có thể sẽ tìm ra chuỗi này, có thể giả mạo người dùng sửa đổi cấu hình các router qua SNMP. 66 @Email: fit@ispace.edu.vn Bảo Mật Cho Tính Năng Management Và Reporting SNMP Version 3: Mô hình va ̀ các cấp độ bảo mật SNMP: Security Model: chiến lược an ninh sử dụng cho các SNMP agent. Security Level: mức giới hạn cho phép về an ninh trong một security model. 67 @Email: fit@ispace.edu.vn Bảo Mật Cho Tính Năng Management Và Reporting SNMP Version 3: SNMPv3 Operational Model: 68 @Email: fit@ispace.edu.vn Bảo Mật Cho Tính Năng Management Và Reporting SNMP Version 3: Tính năng va ̀ lợi ích của SNMPv3: Tính năng: o Toàn vẹn message: đảm bảo rằng một gói tin không bị giả mạo. o Authentication: xác thực message đó xuất phát từ một nguồn hợp lê ̣. o Encryption: mã hoa ́ nội dung của gói tin để tránh các gói tin bị xem trái phép. Lợi ích: o Dữ liệu có thể được thu thập từ các thiết bị SNMP an toàn mà không sợ dữ liệu bị giả mạo hay bị hư hỏng. o Thông tin bí mật vì được mã hoa ́ do SNMPv3 để tránh có nội dung bị hé lộ trên mạng. 69 @Email: fit@ispace.edu.vn Bảo Mật Cho Tính Năng Management Và Reporting Cấu hình SNMP Managed Node: Cấu hình SNMP-Server Engine ID: Để cấu hình một tên cho một trong hai engine SNMP cục bộ hay từ xa trên router, sử dụng lệnh snmp-server engineID trong chế độ cấu hình toàn cục global config mode. Các SNMP engine ID là một chuỗi duy nhất được sử dụng để xác định các thiết bị cho các mục đích quản trị. Nếu một ID nào đó không đủ 24 ký tự của engine ID thì ID sẽ được thêm vào những số 0. o Ví dụ: cấu hình vê ̀ SNMP-Server Engine ID là 123400000000000000000000, xác định snmp-server engine ID local là 1234000000. 70 @Email: fit@ispace.edu.vn Bảo Mật Cho Tính Năng Management Và Reporting Cấu hình SNMP Managed Node: Cấu hình Remode Engine ID: Một remote engine phải được tạo ra khi có một SNMP V3 inform được cấu hình. Các remote engine ID được sử dụng để tính toán phân loại bảo mật để xác thực và mã hoá các gói tin được gửi đến một người sử dụng trên các máy từ xa. o Các inform sẽ được xác nhận , khi manager nhận được từ agent sẽ gửi phản hồi lại agent, đảm bảo truyền đến đích. 71 @Email: fit@ispace.edu.vn Bảo Mật Cho Tính Năng Management Và Reporting Cấu hình SNMP Managed Node: Cấu hình SNMP-Server Group Names: Để cấu hình một group SNMP mới, hoặc một table mà ánh xạ SNMP người sử dụng đến SNMP view, sử dụng các lệnh snmp- server group cấu hình toàn cục global config mode. Một SNMP view là một ánh xạ giữa những đối tượng SNMP và các quyền truy cập có sẵn. Một đối tượng có thể có quyền truy cập khác nhau trong từng view. Quyền truy cập cho biết đối tượng có thể truy cập bằng một community string hoặc một người sử dụng. 72 @Email: fit@ispace.edu.vn Bảo Mật Cho Tính Năng Management Và Reporting Cấu hình SNMP Managed Node: Cấu hình SNMP-Server Group Names: Router(config)# snmp-server group groupname {v1 | v2c | v3 {auth | noauth | priv}} [read readview] [write writeview] [notify notifyview] [access access- list] Ví dụ: Xác định một nhóm ispacegroup cho SNMP v3 nhưng không sử dụng chứng thực nhưng không mã hóa. Xác định một nhóm ispacegroup cho SNMP v3 nhưng không sử dụng chứng thực và mã hóa. Router1(config)#snmp-server group ispacegroup v3 auth Router1(config)#snmp-server group icaregroup v3 auth priv 73 @Email: fit@ispace.edu.vn Bảo Mật Cho Tính Năng Management Và Reporting Cấu hình SNMP Managed Node: Cấu hình SNMP-Server Users: Router(config)# snmp-server user username groupname [remote ip- address [udp-port port]] {v1 | v2c | v3 [encrypted] [auth {md5 | sha} auth-password [priv des56 priv-password]]} [access access-list] Ví dụ: Router1(config)#snmp-server user Bill ispacegroup v3 auth md5 john2passwd Router1(config)#snmp-server user John iscaregroup v3 auth md5 bill3passwd des56 password2 Router1(config)#snmp-server group ispacegroup v3 auth Router1(config)#snmp-server group iscaregroup v3 auth priv 74 @Email: fit@ispace.edu.vn Bảo Mật Cho Tính Năng Management Và Reporting Cấu hình SNMP Managed Node: Cấu hình SNMP-Server Hosts: Để xác định máy nhận message SNMP ta sử dụng lệnh snmp- server host cấu hình toàn cục (global config mode). Router(config)# snmp-server host host-address [traps | informs] [version {1 | 2c | 3 [auth | noauth | priv]}] community-string [udp-port port] [notification- type] Message SNMP có thể được gửi như trap hoặc inform requests. Một thực thể SNMP nhận message inform request acknowledges bên trong SNMP response PDU Ít nhất một lệnh snmp-server host phải được nhập vào. 75 @Email: fit@ispace.edu.vn Bảo Mật Cho Tính Năng Management Và Reporting Cấu hình SNMP Managed Node: Cấu hình SNMP-Server Hosts: Để có thể gửi một “inform", thực hiện các bước sau: o Cấu hình một engine ID từ xa. o Cấu hình một user từ xa. o Cấu hình một nhóm trên một thiết bị từ xa. o Enable traps trên thiết bị từ xa. o Enable SNMP manager. 76 @Email: fit@ispace.edu.vn Bảo Mật Cho Tính Năng Management Và Reporting Cấu hình SNMP Managed Node: Cấu hình SNMP-Server Hosts: Cấu hình người nhận SNMP Trap Operation: Router(config)# snmp-server host host-address [traps | informs] [version {1 | 2c | 3 [auth | noauth | priv]}] community-string [udp-port port] [notification- type] Ví dụ: Router1(config)#snmp-server engineID remote 10.1.1.1 1234 Router1(config)#snmp-server user bill icaregroup remote 10.1.1.1 v3 Router1(config)#snmp-server group icaregroup v3 noauth Router1(config)#snmp-server enable traps Router1(config)#snmp-server host 10.1.1.1 inform version 3 noauth bill Router1(config)#snmp-server manager 77 @Email: fit@ispace.edu.vn Bảo Mật Cho Tính Năng Management Và Reporting Cấu hình SNMP Managed Node: Ví dụ cấu hình SNMPv3: Trap_sender(config)#snmp-server group snmpgroup v3 auth Trap_sender(config)#snmp-server group snmpgroup v3 priv Trap_sender(config)#snmp-server user snmpuser snmpgroup v3 auth md5 authpassword priv des56 encryptpassword Trap_sender(config)#snmp-server enable traps cpu Trap_sender(config)#snmp-server enable traps config Trap_sender(config)#snmp-server enable traps snmp Trap_sender(config)#snmp-server host 172.16.1.1 traps version 3 priv snmpuser Trap_sender(config)#snmp-server source-interface traps loopback 0 Walked_device(config)#snmp-server group snmpgroup v3 auth Walked_device(config)#snmp-server group snmpgroup v3 priv Walked_device(config)#snmp-server user snmpuser snmpgroup v3 auth md5 authpassword priv des56 encrypt password 78 @Email: fit@ispace.edu.vn Bảo Mật Cho Tính Năng Management Và Reporting Cấu hình NTP Client: Giao thức NTP (Network Time Protocol): Giao thức đồng bộ thời gian. Là một giao thức để đồng bộ đồng hồ của các hệ thống máy tính thông qua mạng dữ liệu chuyển mạch gói với độ trễ biến đổi. NTP được thiết kế đầu tiên bởi Dave Mills tại trường đại học Delaware, hiện ông vẫn còn quản lý nó cùng với một nhóm người tình nguyện. (trước năm 1985) NTPv4 đảm bảo độ chính xác trong khoảng 10 mili giây (1/100 s) trên mạng Internet, và có thể đạt đến độ chính xác 200 micro giây (1/5000 s) trong môi trường mạng LAN. NTP Client: là phần mềm sử dụng giao thức NTP để đồng bộ thời gian với NTP Server. 79 @Email: fit@ispace.edu.vn Bảo Mật Cho Tính Năng Management Và Reporting Ví dụ cấu hình NTP: Source(config)#ntp master 5 Source(config)#ntp authentication-key 1 md5 secretsource Source(config)#ntp peer 172.16.0.2 key 1 Source(config)#ntp source loopback 0 Intermediate(config)#ntp authentication-key 1 md5 secretsource Intermediate(config)#ntp authentication-key 2 md5 secretclient Intermediate(config)#ntp trusted-key 1 Intermediate(config)#ntp server 172.16.0.1 Intermediate(config)#ntp source loopback 0 Intermediate(config)#interface Fastethernet0/0 Intermediate(config-int)#ntp broadcast Client(config)#ntp authentication-key 1 md5 secretclient Client(config)#ntp trusted-key 1 Client(config)#interface Fastethernet0/1 Client(config-int)#ntp broadcast client 80 @Email: fit@ispace.edu.vn Cấu Hình AAA Trên Cisco Router Giới thiệu về AAA: Quản trị bảo mật truy cập mạng trong môi trường Cisco dựa trên một kiến trúc module có ba thành phần chức năng: Authentication Authorization Accounting Những dịch vụ AAA cung cấp một mức độ cao hơn về khả năng mở rộng hơn line-level, chứng thực-EXEC privileged cho các thành phần mạng. Sử dụng một Cisco AAA cho phép kiến trúc phù hợp, bảo mật truy cập hệ thống và khả năng mở rộng. Để tăng cường bảo mật cho thiết bị chúng ta cần cấu hình tính năng Authentication, Authorization va ̀ Accounting trên thiết bị Cisco Routers. 81 @Email: fit@ispace.edu.vn Cấu Hình AAA Trên Cisco Router Giới thiệu về AAA: Authentication: Cung cấp các phương pháp xác định người sử dụng, bao gồm cả tên đăng nhập va ̀ mật khẩu va ̀ ca ́ tuỳ chọn giao thức bảo mật, mã hoa ́. Authorization: Cung cấp phương pháp để kiểm soát truy cập từ xa, bao gồm tài khoản ủy quyền hay dịch vụ ủy quyền. Accounting: Cung cấp các phương pháp thu thập va ̀ gửi thông tin bảo mật đến máy chủ để thanh toán, kiểm toán va ̀ báo cáo. Chẳng hạn như kiểm toán danh tính người dùng, số lần bắt đầu, kết thúc 82 @Email: fit@ispace.edu.vn Cấu Hình AAA Trên Cisco Router Giới thiệu về AAA: Administrative access: Console, Telnet va ̀ AUX access. Remote user network access: Dialup hoặc VPN access. 83 @Email: fit@ispace.edu.vn Cấu Hình AAA Trên Cisco Router Router access modes: Tất cả các lệnh AAA (ngoại trừ hệ thống accounting) đều áp dụng character mode hay packet mode. Character mode: cho phép một quản trị viên hệ thống với số lượng lớn các router trong một mạng xác thực tài khoản người dùng một lần, sau đó truy cập được vào các router khác được cấu hình bằng phương pháp này. 84 @Email: fit@ispace.edu.vn Cấu Hình AAA Trên Cisco Router AAA protocols: RADIUS và TACASC+ RADIUS Authentication và Authorization: Ví dụ dưới đây cho thấy cách trao đổi RADIUS giữa client, Router va ̀ ACS (ACS sở hữu của tên người dùng và mật khẩu). Các ACS có thể trả lời với tin nhắn Access-Accept khi xác thực thành công, hoặc Access-Reject nếu xác thực không thành công. 85 @Email: fit@ispace.edu.vn Cấu Hình AAA Trên Cisco Router AAA protocols: RADIUS và TACASC+ RADIUS messages: Có bốn loại thông điệp tham gia vào việc trao đổi xác thực RADIUS: Access-Request, Access-Accept, Access-Reject va ̀ Access-Challenge 86 @Email: fit@ispace.edu.vn Cấu Hình AAA Trên Cisco Router AAA protocols: RADIUS và TACASC+ RADIUS attributes: RADIUS là một tiêu chuẩn giao thức IETF - RFC 2865 . Thuộc tính Standard có thể được tăng cường bởi các thuộc tính độc quyền. Sử dụng UDP trên port chuẩn (Microsoft RADIUS UDP Port 1812 cho Authentication, Port 1813 cho Accounting; Cisco RADIUS UDP Port 1645 cho Authetication va ̀ Port 1646 cho Authorization). Bao gồm chỉ có hai tính năng bảo mật o Mật mã của pasword (MD5) o Xác thực của gói tin (MD5 fingerpriting) Authorization chỉ là một phần của Authentication. 87 @Email: fit@ispace.edu.vn Cấu Hình AAA Trên Cisco Router AAA protocols: RADIUS và TACASC+ TACACS+ Authentication: 88 @Email: fit@ispace.edu.vn Cấu Hình AAA Trên Cisco Router AAA protocols: RADIUS và TACASC+ TACACS+ Network Authorization: 89 @Email: fit@ispace.edu.vn Cấu Hình AAA Trên Cisco Router AAA protocols: RADIUS và TACASC+ TACACS+ Command Authorization: 90 @Email: fit@ispace.edu.vn Cấu Hình AAA Trên Cisco Router AAA protocols: RADIUS và TACASC+ TACACS+ Attributes và Features: TACACS+ là giao thức linh hoạt hơn nhiều so với giao thức RADIUS. TACACS+ server cho phép giao thức TACACS+ sử dụng các hộp thoại ảo để thu thập đủ thông tin cho đến khi người dùng được chứng thực. TACACS+ messages chứa AV-pairs, ADDR, CMD, Interface- config, Priv-Lvl, Route TACACS+ sử dụng TCP port 49 TACACS+ thiết lập một phiên làm việc TCP dành riêng cho mỗi hoạt động AAA. Cisco Secure ACS có thể sử dụng một phiên liên tục TCP cho tất cả các hoạt động. Giao thức bảo mật bao gồm chứng thực và mã hóa của tất cả các datagrams TACACS+ 91 @Email: fit@ispace.edu.vn Cấu Hình AAA Trên Cisco Router AAA protocols: RADIUS và TACASC+ Cấu hình AAA Servers: Các bước trong cấu hình Network Access Server (NAS): o Tại chế độ global configuration ta enable AAA để sử dụng tất cả các thành phần AAA. Bước này là một điều kiện tiên quyết cho tất cả các lệnh AAA khác. o Chỉ định Cisco Secure ACS sẽ cung cấp các dịch vụ AAA cho network access server. o Cấu hình khoá, mật mã sẽ được sử dụng để mã hóa việc chuyển dữ liệu giữa các NAS và Cisco Secure ACS. 92 @Email: fit@ispace.edu.vn Câu hỏi bài tập Có các nguy cơ tấn công của hệ thống mạng nào? Có mấy bước để hack một hệ thống mạng? Nếu các bước để hack một hệ thống mạng. Bạn hãy liệt kê các loại tấn công vào hệ thống mạng. Những cấu hình nào có thể làm giảm nguy cơ bị tấn công mạng trên Cisco Router. Thực hiện cấu hình bảo mật cho tính năng management và reporting trên Cisco Routers. 93 @Email: fit@ispace.edu.vn TÓM LƯỢC BÀI HỌC Tiến hành khảo sát, dò tìm lỗ hổng trong hệ thống mạng để khắc phục, giảm nguy cơ hê thống mạng bị tấn công. Các lỗ hổng bảo mật có thể ở các giao thức thuộc tính năng Management và Reporting  Cấu hình bảo mật các tính năng Management và Reporting. Cấu hình chứng thực AAA để tăng cường bảo mật cho hệ thống giảm rủi ro và nguy cơ tấn công do truy cập trái phép. Kết luận: Bài học này rất hay giúp ta hình dung tổng quan về hệ thống an ninh. Ứng dụng bài học vào thực tiễn xây dựng cơ chế tăng cường bảo mật cho thiết bị ở DN. 94 @Email: fit@ispace.edu.vn 95