Bài giảng Xây dựng hệ thống firewall - Bài 1: Các nguyên tắc bảo mật mạng
TÓM LƯỢC BÀI HỌC
Tiên hanh khảo sat, do tim lỗ hổng trong hệ thống mạng để
khắc phục, giảm nguy cơ hê thống mạng bị tấn công.
Cac lỗ hổng bảo mật có thể ơ cac giao thức thuộc tinh năng
Management va Reporting -> Cấu hinh bảo mật cac tinh năng
Management va Reporting.
Cấu hinh chứng thực AAA để tăng cường bảo mật cho hệ
thống giảm rủi ro va nguy cơ tấn công do truy cập trai phep.
Kêt luận:
Bài học này rất hay giup ta hinh dung tổng quan về hệ thống an ninh.
Ưng dụng bài học vào thực tiên xây dựng cơ chế tăng cường bao mật
cho thiết bị ở DN.
95 trang |
Chia sẻ: vutrong32 | Lượt xem: 1171 | Lượt tải: 2
Bạn đang xem trước 20 trang tài liệu Bài giảng Xây dựng hệ thống firewall - Bài 1: Các nguyên tắc bảo mật mạng, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
@Email: fit@ispace.edu.vn
MÔN HỌC: XÂY DỰNG HỆ THỐNG
FIREWALL
1
Trường Cao đẳng Nghề CNTT iSPACE
Khoa Mạng Và An Ninh Thông Tin
fit@ispace.edu.vn
@Email: fit@ispace.edu.vn
Bài 1: CÁC NGUYÊN TẮC BẢO MẬT MẠNG.
Bài 2: BẢO MẬT MẠNG SỬ DỤNG CISCO IOS FIREWALL
Bài 3: BẢO MẬT MẠNG SỬ DỤNG CISCO IPS
Bài 4: BẢO MẬT LAYER 2
Bài 5: TRIỂN KHAI HỆ THỐNG VPN TRÊN CISCO IOS
MÔN HỌC: XÂY DỰNG HỆ THỐNG
FIREWALL
2
@Email: fit@ispace.edu.vn
BÀI 1: CÁC NGUYÊN TẮC BẢO MẬT MẠNG
Suy nghĩ như một Hacker
Giảm nguy cơ bị tấn công mạng
Tắt các dịch vụ mạng và các
Interface không sử dụng
Bảo mật truy cập quản trị và cấu
hình Cisco Router
Giảm mối đe dọa và tấn công với
ACL
Bảo mật cho tính năng
Management và Reporting
Câu hỏi & bài tập
Cấu hình cho thiết bị các tính năng tự bảo mật, giảm nguy cơ bị
tấn công, truy cập thiết bị trái phép.
3
@Email: fit@ispace.edu.vn
MỤC TIÊU BÀI HỌC
Nhận biết được các nguy cơ bị tấn công của hệ thống mạng.
Giải thích được các bước để hack một hệ thống mạng.
Trình bày được các loại tấn công vào hệ thống mạng.
Cấu hình giảm nguy cơ bị tấn công mạng trên Cisco Router.
Cấu hình bảo mật cho tính năng management và reporting
trên Cisco Routers.
Cấu hình được tính năng AAA trên Cisco Routers.
Cấu hình bảo mật được cho Cisco Routers sử dụng tính năng
AutoSecure.
4
@Email: fit@ispace.edu.vn
Suy Nghĩ Như Một Hacker
7 bước để tấn công một hệ thống mạng:
B1: Thực hiện phân tích các dấu vết hay các
thông tin ban đầu.
B2: Chi tiết thông tin.
B3: Ghi nhận các thao tác người dùng truy cập.
B4: Chiếm dụng những quyền hạn cao hơn.(leo
thang đặc quyền).
B5: Bổ sung mật khẩu và thu thập bí mật.
B6: Cài đặt back doors.
B7: Tận dụng hệ thống bị xâm nhập.
Luôn luôn đóng vai tro ̀ như một Hacker để tìm ra các phương thức phòng
vê ̣ va ̀ bảo mật cho hê ̣ thống.
5
@Email: fit@ispace.edu.vn
Suy Nghĩ Như Một Hacker
Các gợi ý bảo vệ mạng chống lại các hacker
Cập nhật các bản vá lỗi .
Đóng các dịch vụ không cần thiết và các port.
Sử dụng mật khẩu (đủ phức tạp) và thường xuyên thay đổi
chúng .
Kiểm soát truy cập vào hệ thống vật lý.
Cắt giảm đầu vào không cần thiết.
Thực hiện sao lưu hệ thống và kiểm tra chúng một cách
thường xuyên .
Cảnh báo mọi người về social engineering.
Mã hóa và mật khẩu bảo vệ dữ liệu nhạy cảm
Sử dụng thích hợp bảo mật phần cứng và phần mềm
Phát triển một chính sách an ninh bằng văn bản cho công ty
6
@Email: fit@ispace.edu.vn
Giảm Nguy Cơ Hệ Thống Mạng
Bị Tấn Công
Các loại tấn công mạng:
Minimal Intelligence:
Reconnaissance
Access attacks
DoS and DDoS
Tìm hiểu các phương thức tấn công va ̀ cách phòng chống, làm giảm nguy
cơ hê ̣ thống mạng bị tấn công
7
@Email: fit@ispace.edu.vn
Giảm Nguy Cơ Hệ Thống Mạng
Bị Tấn Công
Reconnaissance Attacks và cách phòng chống:
Reconnaissance: là khám phá trái phép và lập bản đồ của các hệ
thống, dịch vụ, hoặc các lỗ hổng.
Reconnaissance: còn được gọi là thu thập thông tin, và trong hầu
hết trường hợp, đứng trước một cuộc tấn công truy cập hay DoS.
Các cuộc tấn công Reconnaissance có thể bao gồm:
Packet sniffers
o Một Packet sniffer là phần mềm ứng dụng sử dụng card
mạng trong chế đô promiscuous để bắt những tất cả các gói
tin trong mạng.
o Khai thác thông tin dạng Plaintext , các giao thức sử dụng
Plaintext như : Telnet, FTP, SNMP, POP và HTTP
o Phải nằm trên cùng một colision domain
o Có thể sử dụng hợp pháp hoặc được thiết kế đặc biệt để tấn
công
8
@Email: fit@ispace.edu.vn
Giảm Nguy Cơ Hệ Thống Mạng
Bị Tấn Công
Reconnaissance Attacks và cách phòng chống:
Giảm nguy cơ và phòng chống Packet sniffers:
Dùng các kỹ thuật va ̀ các công cụ bao gồm:
o Chứng thực (Authentication).
o Mật mã (Cryptography).
o Các công cụ Antisniffer.
o Thay đổi cơ sở hạ tầng (Switched infrastructure).
9
@Email: fit@ispace.edu.vn
Giảm Nguy Cơ Hệ Thống Mạng
Bị Tấn Công
Reconnaissance Attacks và cách phòng chống:
Các cuộc tấn công Reconnaissance có thể bao gồm:
Port scans va ̀ Ping sweeps
o Một hacker sử dụng các công cụ để scan các port va ̀ ping
quét dò xét qua Internet.
o Là công cụ hợp pháp dùng để scan port va ̀ ping quét các
ứng dụng trên các máy chủ hay các thiết bị để xác định các
dịch vụ dê ̃ bị tổn thương.
o Thông tin được thu thập bằng cách kiểm tra địa chỉ IP va ̀
port của ứng dụng chạy trên ca ̉ UDP hay TCP.
10
@Email: fit@ispace.edu.vn
Giảm Nguy Cơ Hệ Thống Mạng
Bị Tấn Công
Reconnaissance Attacks và cách phòng chống:
Các cuộc tấn công Reconnaissance có thể bao gồm:
Port scans va ̀ Ping sweeps
11
@Email: fit@ispace.edu.vn
Giảm Nguy Cơ Hệ Thống Mạng
Bị Tấn Công
Reconnaissance Attacks và cách phòng chống:
Giảm nguy cơ và phòng chống Port scans và Ping sweeps:
Dùng các kỹ thuật va ̀ các công cụ bao gồm:
o Network-based IPS (NIPS) và Host-based IPS (HIPS) thường
có thể thông báo cho bạn biết khi có một cuộc tấn công
reconnaissance.
o IPS so sánh lưu lượng truy cập đến hệ thống phát hiện xâm
nhập (IDS) hoặc dấu hiệu nhận dạng tấn công (signatures)
trong cơ sở dữ liệu IPS.
o Một dấu hiệu nhận dạng, như "một số gói tin đến các port
đích khác nhau từ cùng một nguồn địa chỉ trong một thời
gian ngắn có thể được dùng để phát hiện scan port."
12
@Email: fit@ispace.edu.vn
Giảm Nguy Cơ Hệ Thống Mạng
Bị Tấn Công
Reconnaissance Attacks và cách phòng chống:
Giảm nguy cơ và phòng chống Port scans và Ping sweeps:
13
@Email: fit@ispace.edu.vn
Giảm Nguy Cơ Hệ Thống Mạng
Bị Tấn Công
Access Attacks và cách phòng chống:
Access attacks:
Man-in-middle attacks:
o Các kẻ tấn công đứng ở giữa lắng nghe thông tin giữa người
gửi va ̀ người nhận, thậm chí sửa đổi các dữ liệu trước khi gửi
đến hai bên.
Buffer overflow:
o Một chương trình ghi dữ liệu vượt quá giới hạn kết thúc của
bô ̣ đệm trong bô ̣ nhớ.
o Việc tràn bô ̣ đệm có thể dẫn đến dữ liệu hợp lê ̣ bị ghi đè.
14
@Email: fit@ispace.edu.vn
Giảm Nguy Cơ Hệ Thống Mạng
Bị Tấn Công
DoS, DDoS attacks và cách phòng chống:
DoS và DDoS attacks:
Ví dụ DDoS:
15
@Email: fit@ispace.edu.vn
Giảm Nguy Cơ Hệ Thống Mạng
Bị Tấn Công
DoS, DDoS attacks và cách phòng chống:
IP Spoofing trong DoS và DDoS attacks:
Giả mạo địa chỉ IP là một kỹ thuật hacker sử dụng để truy cập
trái phép vào máy tính.
o Giả mạo địa chỉ IP xảy ra khi một hacker bên trong hay bên
ngoài mạng đóng vai tro ̀ như máy tính tin cậy đang liên lạc.
o Giả mạo địa chỉ bao gồm:
Thêm những dữ liệu độc hại hoặc các lệnh va ̀ luồng dữ
liệu hiện có
Thay đổi bảng định tuyến.
o Giả mạo địa chỉ là một một trong các bước cơ bản trong kiểu
tấn công DoS hay DDoS.
16
@Email: fit@ispace.edu.vn
Giảm Nguy Cơ Hệ Thống Mạng
Bị Tấn Công
DoS, DDoS attacks và cách phòng chống:
Các phòng chống DoS va ̀ DDoS attacks:
Anti-spoof: một bô ̣ lọc chứa danh sách truy cập thích hợp với
tính năng unicast reverse path forwarding nhằm dựa vào bảng
định tuyến để xác định gói tin giả mạo, vô hiệu hoá các tuỳ chọn
con đường nguồn.
Anti-DoS: tính năng này giới hạn số lượng half-open các kết nối
TCP mà hê ̣ thống cho phép ở bất kỳ thời điểm nào.
Hạn chế tỉ số traffic: mọi tổ chức có thể thực hiện hạn chế tỉ số
giao tiếp với ISP.
17
@Email: fit@ispace.edu.vn
Giảm Nguy Cơ Hệ Thống Mạng
Bị Tấn Công
Các loại tấn công mạng:
Intelligence:
18
@Email: fit@ispace.edu.vn
Giảm Nguy Cơ Hệ Thống Mạng
Bị Tấn Công
Worm, Virus, Trojan Horse Attacks và cách phòng chống:
Worm, Virus và Trojan attacks:
Các loại worm, virus hay trojan horse dựa vào các lỗ hổng để
chúng xâm nhập va ̀ tự cài đặt vào hê ̣ thống.
Sau khi tiếp cận được mục tiêu chúng chuyển hướng dò tìm các
mục tiêu mới theo điều khiển của hacker.
Khi hacker đã đạt được mục tiêu cũng là lúc hacker đã chiếm
được đặc quyền truy cập va ̀ khai thác hê ̣ thống.
19
@Email: fit@ispace.edu.vn
Giảm Nguy Cơ Hệ Thống Mạng
Bị Tấn Công
Worm, Virus, Trojan Horse Attacks và cách phòng chống:
Giảm nguy cơ Worm, Virus và Trojan attacks:
Sử dụng các phần mềm Anti-Virus.
Cập nhật các bản va ́ lỗi mới nhất của phần mềm, ứng dụng va ̀ kể
cả hê ̣ điều hành.
Triển khai hê ̣ thống chống xâm nhập trên các host (ví dụ: Cisco
Security Agent).
Cập nhật kiến thức những phát triển mới nhất vê ̀ các phương
pháp tấn công dựa vào Worm, Virus hay Trojan Horse.
Ngăn chặn sự lây lan của Worm hay Virus trong hê ̣ thống mạng,
thực hiện cách ly để kiểm dịch, quét sạch các worm hay virus
thậm chí là cài đặt lại hê ̣ thống.
20
@Email: fit@ispace.edu.vn
Giảm Nguy Cơ Hệ Thống Mạng
Bị Tấn Công
Application Layer Attacks va ̀ cách phòng chống:
Application Layer attacks có các đặc điểm như sau:
Khai thác các ứng dụng như: mail, http va ̀ ftp,...
Thường sử dụng các port được phép đi qua các tường lửa (ví dụ:
TCP port 80 được dùng trong tấn công máy chủ Web đằng sau
một tường lửa).
Loại tấn công này thường kho ́ loại bỏ hoàn toàn vì nó luôn dò
tìm sử dụng lô ̃ hổng mới.
21
@Email: fit@ispace.edu.vn
Giảm Nguy Cơ Hệ Thống Mạng
Bị Tấn Công
Application Layer Attacks và cách phòng chống:
Một công cụ điển hình trong Application Layer attacks.
Netcat: là công cụ mà đọc hoặc ghi dữ liệu trên bất kỳ kết nối
TCP/UDP, chuyển tiếp các kết nối TCP và có thể hành động như
một máy chủ TCP/UDP.
#nc -h
connect to somewhere: nc [-options] hostname port[s] [ports] ...
listen for inbound: nc -l -p port [-options] [hostname] [port]
options:
-g gateway source-routing hop point[s], up to 8
-G num source-routing pointer: 4, 8, 12, ...
-i secs delay interval for lines sent, ports scanned
-l listen mode, for inbound connects
-n numeric-only IP addresses, no DNS
-o file hex dump of traffic
-p port local port number
-r randomize local and remote ports
-s addr local source address
-u UDP mode
-v verbose [use twice to be more verbose]
port numbers can be individual or ranges: lo-hi [inclusive]
22
@Email: fit@ispace.edu.vn
Giảm Nguy Cơ Hệ Thống Mạng
Bị Tấn Công
Application Layer Attacks va ̀ cách phòng chống:
Ví dụ về Netcat:
23
@Email: fit@ispace.edu.vn
Giảm Nguy Cơ Hệ Thống Mạng
Bị Tấn Công
Application Layer Attacks va ̀ cách phòng chống:
Cách giảm nguy cơ Application Layer attacks:
Tìm hiểu hệ điều hành mạng va ̀ các tập tin đăng nhập mạng.
Cập nhật các bản va ́ lỗi mới nhất cho các ứng dụng va ̀ kể cả hệ
điều hành.
Sử dụng hê ̣ thống IPS/IDS để theo dõi, phát hiện va ̀ ngăn chặn
các cuộc tấn công.
24
@Email: fit@ispace.edu.vn
Giảm Nguy Cơ Hệ Thống Mạng
Bị Tấn Công
Nguy cơ từ các giao thức quản trị mạng (Management
Protocols):
Các giao thức quản trị mạng có thể là nguy cơ cho các cuộc
tấn công như: SNMP, Syslog, NTP, TFTP.
SNMP: sử dụng cơ chế xác thực đơn giản, gửi dữ liệu dạng chữ
thô (plaintext).
Syslog: dữ liệu được gửi dưới dạng chữ thô giữa các thiết bị
quản lý va ̀ các host.
TFTP: Dữ liệu được gửi dưới dạng chữ thô giữa các máy chủ yêu
cầu va ̀ máy chủ TFTP.
NTP: Với giao thức đồng bô ̣ thời gian, các máy chủ trên Internet
không cần sự chứng thực của các máy ngang hàng.
25
@Email: fit@ispace.edu.vn
Giảm Nguy Cơ Hệ Thống Mạng
Bị Tấn Công
Nguy cơ từ các giao thức quản trị mạng (Management
Protocols):
Cách giảm nguy cơ từ các giao thức quản trị mạng:
Cấu hình quản trị mạng sử dụng cơ chế SSL/SSH.
Sử dụng ACL để xác định danh sách truy cập đến máy chủ quản
lý, va ̀ chỉ cho phép truy cập đến các máy chủ quản lý thông qua
SSH hay HTTPS,
Sử dụng các giao thức quản trị an toàn va ̀ bảo vệ dữ liệu với
IPSec.
Thực hiện RFC 3.704 lọc tại router để làm giảm cơ hội của các
hacker từ bên ngoài giả mạo các địa chỉ quản lý của các máy
chủ.
26
@Email: fit@ispace.edu.vn
Giảm Nguy Cơ Hệ Thống Mạng
Bị Tấn Công
Xác định rủi ro và mối đe doa ̣:
Có một số công cụ và kỹ thuật mà có thể được sử dụng để
tìm các lỗ hổng trong mạng.
Sau khi xác định được lô ̃ hổng hay các nguy cơ, chúng ta
luôn có thể tìm ra cách bảo vệ và phòng tránh nguy cơ bị tấn
công mạng.
Một số công cụ phô ̉ biến hiện nay như:
Blue’s PortScanner.
Wireshark (trước đây là Ethereal)
Microsoft Baseline Security Analyzer
NMap
27
@Email: fit@ispace.edu.vn
Giảm Nguy Cơ Hệ Thống Mạng
Bị Tấn Công
Xác định rủi ro và mối đe doa ̣:
Blue’s PortScanner:
Là công cụ quét mạng kha ́ nhanh,
có thể quét hơn 300 port trong
một giây.
Cung cấp tính năng quét
TCP/UDP với Anti-flood va ̀ Ping
check.
28
@Email: fit@ispace.edu.vn
Giảm Nguy Cơ Hệ Thống Mạng
Bị Tấn Công
Xác định rủi ro và mối đe doa ̣:
Wireshark: công cụ quét va ̀ phân tích traffic hàng đầu.
29
@Email: fit@ispace.edu.vn
Giảm Nguy Cơ Hệ Thống Mạng
Bị Tấn Công
Xác định rủi ro và mối đe doa ̣:
Microsoft Baseline Security Analyzer.
30
@Email: fit@ispace.edu.vn
Giảm Nguy Cơ Hệ Thống Mạng
Bị Tấn Công
Xác định rủi ro và mối đe doa ̣:
Nmap:
31
@Email: fit@ispace.edu.vn
Tắt Các Dịch Vụ Mạng & Các
Interface Không Được Sử Dụng
Các rủi ro của Router Service và Interface:
Router Cisco có thể được sử dụng như: thiết bị Edge Firewall
hay router nội bộ. Các lô ̃ hổng có thể được khai thác bất kỳ ở
router nào, không phu ̣ thuộc vào vị trí của router đó.
Lỗ hổng có thể từ các dịch vụ không được bảo mật trên
router hay các interface của router không được sử dụng.
Các dịch vụ trên Router có thê ̉ tạo ra các lô ̃ hổng cho tấn công như:
BOOTP, CDP, FTP, TFTP, NTP, Finger, SNMP, Source IP va ̀ Proxy ARP
32
@Email: fit@ispace.edu.vn
Tắt Các Dịch Vụ Mạng & Các
Interface Không Được Sử Dụng
Locking Down Routers với AutoSecure:
Tính năng AutoSecure được tích hợp từ dòng Cisco IOS
phiên bản 12.3 trở về sau này.
AutoSecure là công cụ built-in cho phép loại bỏ các mối hiểm
hoạ tồn tại trên router một cách nhanh chóng và dễ dàng.
AutoSecure hoạt động ở hai chế độ:
Interactive mode: dựa vào những câu hỏi, trả lời tương tác để
các bạn lựa chọn cấu hình các dịch vụ trên router va ̀ các tính
năng liên quan đến bảo mật.
None-interactive mode: cấu hình bảo mật cho thiết bị chỉ dựa
vào những thông sô ́ mặc định của cisco IOS mà không có sự
thay đổi chỉnh sửa nào.
33
@Email: fit@ispace.edu.vn
Tắt Các Dịch Vụ Mạng & Các
Interface Không Được Sử Dụng
Locking Down Routers với AutoSecure:
Các tính năng của AutoSecure:
Management Plane:
o Finger, PAD, UDP and TCP small servers, password
encryption, TCP keepalive, CDP, BOOTP, HTTP, source
routing, gratuitous ARP, proxy ARP, ICMP, direct broadcast,
MOP, banner.
o Cung cấp password security va ̀ SSH.
Forwarding Plane: CEF, bô ̣ lọc với ACL.
Firewall: Kiểm tra ngữ cảnh truy cập (CBAC)
Quản lý quá trình login.
SSH Access
Kiểm soát các dịch vụ truyền thông qua TCP.
34
@Email: fit@ispace.edu.vn
Tắt Các Dịch Vụ Mạng & Các
Interface Không Được Sử Dụng
Locking Down Routers với AutoSecure:
AutoSecure Failure Senarios:
Trường hợp cấu hình AutoSecure hoạt động ổn định, thì cấu hình
trên router có thể đã bị thay đổi mà không thể khắc phục được.
o Trong phiên bản Cisco IOS Release 12.3 (8) T va ̀ các phiên
bản phát hành sau này có thể cấu hình rollback lại trạng thái
ban đầu:
Pre-AutoSecure cấu hình snapshot được lưu trong flash
dưới dạng tập tin pre-autosec.cfg
Chúng ta có thể cấu hình rollback để trả cấu hình về
trạng thái ban đâu bằng lệnh:
configure replace flash:pre_autosec.cfg
o Nếu router đang sử dụng phiên bản Cisco IOS trước khi phát
hành 12.3(8) T, thì trước khi cấu hình AutoSecure chúng ta
nên sao lưu cấu hình để dự phòng.
35
@Email: fit@ispace.edu.vn
Tắt Các Dịch Vụ Mạng & Các
Interface Không Được Sử Dụng
Cấu hình AutoSecure với SDM (Security Device Manager):
SDM một trình thuật giao diện đồ họa điều khiển cấu hình
Cisco Router một cách đơn giản.
SDM cũng cho phép cấu hình cấu hình tường lửa trên Cisco
Router kha ́ hiệu quả thông qua Cisco IOS Firewall.
SDM cung cấp tính năng Security Audit wizard thực hiện tiến
trình kiểm soát sự an ninh trên Cisco Router, ghi nhận đánh
giá các lỗ hổng để giúp ta nhanh chóng tìm cách khắc phục.
SDM còn có thể thực hiện hầu như tất cả các cấu hình mà
AutoSecure cung cấp với tính năng One-Step Lockdown.
36
@Email: fit@ispace.edu.vn
Bảo Mật Truy Cập Quản Trị Và
Cấu Hình Cisco Router
Cấu hình Router Passwords:
Cisco IOS cung cấp một số tính năng cải tiến cho phép tăng
độ bảo mật hệ thống với password,bao gồm: chiều dài mật
khẩu tối thiểu, mã hoa ́ mật khẩu, chứng thực với user.
Để thiết lập chiều dài tối thiểu của mật khẩu ta thực hiện
lệnh dưới đây:
Ví dụ: cấu hình cho độ dài mật khẩu yêu cầu tối thiểu là 10
Router(config)# security passwords min-length 10
Để giảm nguy cơ bị tấn công mạng ta phải thực hiện cơ chế bảo mật về
quản lý truy cập, cấu hình va ̀ quản trị thiết bị Cisco Router.
37
@Email: fit@ispace.edu.vn
Bảo Mật Truy Cập Quản Trị Và
Cấu Hình Cisco Router
Cấu hình Router Passwords:
Mã hoa ́ tất cả các password trong file cấu hình của Router.
Router(config)# service password-encryption
Router(config)#service password-encryption
Router(config)#exit
Router#show running-config
enable password 7 06020026144A061E
!
line con 0
password 7 0956F57A109A
!
line vty 0 4
password 7 034A18F366A0
!
line aux 0
password 7 7A4F5192306A
38
@Email: fit@ispace.edu.vn
Bảo Mật Truy Cập Quản Trị Và
Cấu Hình Cisco Router
Cấu hình Router Passwords:
Nâng cao tính năng bảo mật router với username và
password.
Router(config)#username rtradmin secret 0 Curium96
Router(config)#username rtradmin secret 5 $1$feb0$a104Qd9UZ./Ak007
39
@Email: fit@ispace.edu.vn
Bảo Mật Truy Cập Quản Trị Và
Cấu Hình Cisco Router
Thiết lập Login Failure Rate:
Cisco IOS cung cấp một số tính năng để đảm bảo router
chống lại các đăng nhập trái phép bằng cách thiết lập Login
Failure Rate.
Theo mặc định, router cho phép đăng nhập thất bại 10 lần
trước khi đợi 10 giây.
Tạo ra một thông điệp syslog khi đăng nhập vượt quá số
lượng lần truy cập được cho phép.
Router(config)# security authentication failure rate threshold-
rate log
Ví dụ:
Router(config)# security authentication failure rate 10 log
40
@Email: fit@ispace.edu.vn
Bảo Mật Truy Cập Quản Trị Và
Cấu Hình Cisco Router
Xem thông tin login:
Router(config)# show login
Router(config)#show login
A default login delay of 1 seconds is applied.
No Quiet-Mode access list has been configured.
All successful login is logged and generate SNMP traps.
All failed login is logged and generate SNMP traps.
Router enabled to watch for login Attacks.
If more than 15 login failures occur in 100 seconds or less, logins
will be disabled for 100 seconds.
Router presently in Watch-Mode, will remain in Watch-Mode for 95
seconds.
Present login failure count 5.
41
@Email: fit@ispace.edu.vn
Bảo Mật Truy Cập Quản Trị Và
Cấu Hình Cisco Router
Xem thông tin login:
Router(config)# show login failures
Perth(config)#show login failures
Information about login failure's with the device
Username Source IPAddr lPort Count TimeStamp
try1 10.1.1.1 23 1 21:52:49 UTC Sun Mar 9 2003
try2 10.1.1.2 23 1 21:52:52 UTC Sun Mar 9 2003
42
@Email: fit@ispace.edu.vn
Bảo Mật Truy Cập Quản Trị Và
Cấu Hình Cisco Router
Thiết lập Timeouts:
Mặc định giao diện cấu hình router được active trong khoảng
thời gian 10 phút của một phiên làm việc. Chúng tra cần
điều chỉnh thời gian này thành từ 2 hay 3 phút thôi.
Nếu thiết lập giá trị exec-timeout 0 có nghĩa là không có thời
gian chờ va ̀ phiên làm việc sẽ luôn luôn ở trạng thái active.
Do vậy chúng ta không nên dùng câu lệnh exec-timeout 0.
43
@Email: fit@ispace.edu.vn
Bảo Mật Truy Cập Quản Trị Và
Cấu Hình Cisco Router
Thiết lập Multiple Privilege Levels:
Cisco Router cho phép cấu hình ở từng mức độ đặc quyền
khác nhau trên từng quản trị viên.
Đối với các Cisco IOS mới khi ta đăng nhập vào thì mặc định
giao diện dòng lệnh của ta đang ở cấp độ đặc quyền là 1. Ở
level này thì các lệnh cấu hình bị hạn chế.
Khi ta chuyển sang chế độ enable (quyền root) thì cấp độ
đặc quyền thay đổi là 15, lúc này chúng ta có thể toàn quyền
sử dụng tất cả các lệnh trên router.
Giả sử router được cấu hình bởi nhiều user khác nhau thì
mỗi người sẽ được cấu hình với một cấp độ đặc quyền khác
nhau:
Để thực hiện việc phân quyền chúng ta có thê ̉ định nghĩa cho
từng cấp độ lệnh cho từng user khác nhau từ 1 đến 14.
User đăng nhập ở cấp độ cao hơn thì có thể thực thi được những
lệnh ở cấp độ thấp hơn.
44
@Email: fit@ispace.edu.vn
Bảo Mật Truy Cập Quản Trị Và
Cấu Hình Cisco Router
Thiết lập Multiple Privilege Levels:
Định nghĩa enable password cho các level.
Router>enable
Router#show privilege
Current Privilege level is current 15
Router#configure terminal
Router(config)#enable secret level 2 level2
@Cấu hình password cho level 2 là level 2
Router(config)#enable secret level 3 level3
@Cấu hình password cho level 3 là level 3
@Đăng nhập vào ở cấp độ level 2 ta thực hiện như sau:
Router>enable 2 ! Số 2 đại diện cho level 2 !
Password:level2
Router#show running-config
^
% Invalid input detected at '^' marker.
45
@Email: fit@ispace.edu.vn
Bảo Mật Truy Cập Quản Trị Và
Cấu Hình Cisco Router
Cấu hình Banner Message:
Banner message được sử dụng để cảnh báo những kẻ xấu
xâm nhập không được chào đón vào hệ thống mạng của bạn.
Có bốn biến lệnh được sử dụng trong banner message:
$(hostname): hiển thị tên router
$(domain): hiển thị domain của router.
$(line): hiển thị sô ́ line vty hay tty
$(line-desc): hiện mô tả của các line vty hay tty.
Ví dụ:
Router(config)#banner motd %
WARNING: You are connected to $(hostname) on the Cisco Systems,
Incorporated network. Unauthorized access and use of this network will
be vigorously prosecuted. %
46
@Email: fit@ispace.edu.vn
Bảo Mật Truy Cập Quản Trị Và
Cấu Hình Cisco Router
Cisco IOS Role-based CLI Access:
Tính năng role-based CLI cho phép các quản trị viên xác
định các “view”, là tập hợp của các câu lệnh cấu hình và kha ̉
năng chọn lựa truy cập hoặc chỉ ứng dụng một phần lệnh
EXEC của Cisco IOS.
View giới hạn sự truy cập ở người sử dụng Cisco IOS CLI và
các thông tin cấu hình.
CLI View cung cấp khả năng kiểm soát truy cập chi tiết hơn
cho các quản trị mạng, đặc biệt hơn chế độ privilege level là
đăng nhập ở view nào thì chỉ thấy ở view đó.
47
@Email: fit@ispace.edu.vn
Bảo Mật Truy Cập Quản Trị Và
Cấu Hình Cisco Router
Bảo mật tập tin cấu hình:
Bật tính năng phục hồi Cisco IOS Image:
Router(config)# secure boot-image
Tạo bản sao cho running configuration
Router(config)# secure boot-config
Hiển thị thông tin trạng thái kha ̉ năng phục hồi image hay
tập tin cấu hình.
Router# show secure bootset
Router(config)#secure boot-image
Router(config)#secure boot-config
Router #show secure bootset
48
@Email: fit@ispace.edu.vn
Giảm Mối Hiểm Họa Và
Tấn Công Với ACL
Cisco ACL (Access Control List):
ACL là một danh sách các mệnh được định nghĩa các điều
khiển cho phép hay không cho phép các đối tượng truy cập.
Cisco Router sử dụng ACLs như bộ lọc gói tin để quyết định
các gói tin có thể truy cập một dịch vụ trên router hoặc được
phép đi qua một interface trên router.
Cisco Router hỗ ba loại ACLs sau:
Standard ACLs.
Extended ACLs.
Enhanced IP ACLs.
ACL là một trong những công cụ hiệu quả cho việc giảm nguy cơ hê ̣
thống mạng bị tấn công, giới hạn traffic truy cập vào hê ̣ thống mạng.
49
@Email: fit@ispace.edu.vn
Giảm Mối Hiểm Hoạ Và
Tấn Công Với ACL
ACL apply trên interface:
ACLs phải được apply lên interface của router.
ACLs được apply theo luồng dữ liệu đi vào (Inbound) hay đi
ra (Outbound).
50
@Email: fit@ispace.edu.vn
Giảm Mối Hiểm Hoạ Và
Tấn Công Với ACL
Sử dụng Traffic Filtering với ACL:
Sử dụng ACL để lọc dữ liệu vào hay ra trên các router hay
firewall.
Sử dụng ACL để vô hiệu hóa hay giới hạn sự truy cập vào các
dịch vụ, các port và các giao thức.
51
@Email: fit@ispace.edu.vn
Giảm Mối Hiểm Hoạ Và
Tấn Công Với ACL
Ứng dụng Traffic Filtering với ACL để hạn chế hiểm họa:
Giảm nguy cơ giả mạo địa chỉ IP (Outbound):
R2(config)#access-list 105 permit ip 10.2.1.0 0.0.0.255 any
R2(config)#access-list 105 deny ip any any log
R2(config)#interface e0/1
R2(config-if)#ip access-group 105 in
R2(config-if)#end
52
@Email: fit@ispace.edu.vn
Bảo Mật Cho Tính Năng
Management Và Reporting
Xây dựng bảo mật cho tính năng Management và Reporting:
Hệ thống Management và Reporting rất quan trọng, nhưng
sẽ có một số kho ́ khăn nếu số thiết bị giám sát kha ́ lớn thì
lượng thông tin có thể sai lệch và dữ liệu có thể bị bad.
Để hệ thống hiểu quả chúng ta cần trả lời hệ thống câu hỏi
sau:
Làm thế nào để tách riêng các message đặc biệt ra khỏi các
message thường xuyên ?
Làm sao để ngăn chặn các log giả mạo ?
Làm thế nào để tính toán các time stamps ?
Những dữ liệu nào là cần thiết trong giám sát điều tra (inspect) ?
Làm thế nào xử lý khối lượng lớn message log ?
Làm thế nào quản lý tất ca ̉ các thiết bị?
Làm thế nào để có thể theo dõi những thay đổi khi các cuộc tấn
công hay các login thất bại diễn ra?
Các tính năng managemet va ̀ reporting cũng có thể là lô ̃ hổng cho các
mối đe doa ̣ tấn công Bảo mật cho Management va ̀ Reporting.
53
@Email: fit@ispace.edu.vn
Bảo Mật Cho Tính Năng
Management Và Reporting
Kiến trúc bảo mật cho tính năng Management và Reporting:
54
@Email: fit@ispace.edu.vn
Bảo Mật Cho Tính Năng
Management Và Reporting
Kiến trúc bảo mật cho tính năng Management và Reporting:
Information Paths:
Thông tin di chuyển giữa các máy quản lý va ̀ các host có thể đi
qua hai con đường:
o In-Band: Luồng thông tin ở mạng doanh nghiệp, internet hay
cả hai.
o Out-of-Band (OOB): Các luồng thông tin ở trong mạng doanh
nghiệp.
55
@Email: fit@ispace.edu.vn
Bảo Mật Cho Tính Năng
Management Và Reporting
Kiến trúc bảo mật cho tính năng Management và Reporting:
56
@Email: fit@ispace.edu.vn
Bảo Mật Cho Tính Năng
Management Và Reporting
Cấu hình SSH Server để bảo mật cho tính năng Management và
Reporting:
Cấu hình IP Domain Name.
Tạo RSA Key
Hiển thị Key (option)
Cấu hình khoảng thời gian chờ cho SSH.
Cấu hình SSH retry.
Disable inbound vty Telnet.
Enable inbound vty SSH
57
@Email: fit@ispace.edu.vn
Bảo Mật Cho Tính Năng
Management Và Reporting
Cấu hình SSH Server để bảo mật cho tính năng Management và
Reporting:
Router#configure terminal
Router(config)#ip domain-name cisco.com
Router(config)#crypto key generate rsa general-keys
modulus 1024
Sept 22 13:20:45: %SSH-5-ENABLED: SSH 1.5 has been
enabled
Router(config)#ip ssh timeout 120
Router(config)#ip ssh authentication-retries 4
Router(config)#line vty 0 4
Router(config-line)#no transport input telnet
Router(config-line)#transport input ssh
Router(config-line)#end
58
@Email: fit@ispace.edu.vn
Bảo Mật Cho Tính Năng
Management Và Reporting
Sử dụng Syslog để bảo mật mạng:
Syslog server: Một máy chấp nhận và xử lý các log message từ
một hoặc nhiều syslog client.
Syslog client: Một máy tạo ra các log message và chuyển chúng
đến Syslog server.
59
@Email: fit@ispace.edu.vn
Bảo Mật Cho Tính Năng
Management Và Reporting
Cisco Log Severity Levels:
Syslog Level and Name Definition Example
0 LOG_EMERG A panic condition normally broadcast
to all users
Cisco IOS software could not
load
1 LOG_ALERT A condition that should be corrected
immediately, such as a corrupted
system database
Temperature too high
2 LOG_CRIT Critical conditions; for example, hard
device errors
Unable to allocate memory
3 LOG_ERR Errors Invalid memory size
4 LOG_WARNING Warning messages Crypto operation failed
5 LOG_NOTICE Conditions that are not error
conditions but should possibly be
handled specially
Interface changed state, up or
down
6 LOG_INFO Informational messages Packet denied by ACL
7 LOG_DEBUG Messages that contain information
that is normally used only when
debugging a program
Packet type invalid
60
@Email: fit@ispace.edu.vn
Bảo Mật Cho Tính Năng
Management Và Reporting
Log Message Format:
61
@Email: fit@ispace.edu.vn
Bảo Mật Cho Tính Năng
Management Và Reporting
Ví dụ triển khai Syslog:
Router(config)#logging 10.2.2.6
Router(config)#logging trap informational
Router(config)#logging source-interface loopback 0
Router(config)#logging on
62
@Email: fit@ispace.edu.vn
Bảo Mật Cho Tính Năng
Management Và Reporting
SNMP Version 3:
Simple Network Management Protocol:
Giao thức SNMP hoạt động dựa trên giao thức UDP.
Dùng để giám sát, quản lý các máy chủ, các thiết bị hoạt động
trong hệ thống mạng.
Có các version: SNMPv1, SNMPv2, SNMPv2c, SNMPv3.
Giao thức SNMP gồm một bộ các tiêu chuẩn quản lý mạng:
Application Layer Protocol.
Database Schema.
Set of Data Objects.
63
@Email: fit@ispace.edu.vn
Bảo Mật Cho Tính Năng
Management Và Reporting
SNMP Version 3:
Hệ thống quản lý mạng dựa trên giao thức SNMP bao gồm 3
thành phần sau:
Managed Devices: Thiết bị được quản lý.
Agent: Phần mềm chạy trên các thiết bị được quản lý.
Network Management System (NMS): Phần mềm chạy để quản
lý.
SNMP hoạt động ở tầng ứng dụng trong mô hình OSI.
SNMP Agent nhận các yêu cầu từ NMS thông qua UDP Port 161.
NMS nhận các thông báo (Trap, Inform Request) từ Managed
Devices thông qua UDP Port 162.
64
@Email: fit@ispace.edu.vn
Bảo Mật Cho Tính Năng
Management Và Reporting
SNMP Version 3:
Community Strings:
SNMPv1 và SNMPv2 sử dụng community string để router truy
cập các SNMP agent.
SNMP community string hoạt động như là password, SNMP
community string là một chuỗi văn bản được sử dụng để xác
thực thông điệp giữa một trạm quản lý và một SNMP engine.
Nếu người quản lý gửi một community string chính xác với thuộc
tính read-only, thì người quản lý có thể nhận được thông tin,
nhưng không thiết lập được thông tin trong agent.
Nếu người quản lý gửi một community string chính xác với thuộc
tính read-write, người quản lý có thể nhận được thông tin và có
thể thiết lập thông tin agent.
65
@Email: fit@ispace.edu.vn
Bảo Mật Cho Tính Năng
Management Và Reporting
SNMP Version 3:
Community Strings:
SNMP Community Strings được dùng để xác nhận các thông tin
gửi đi giữa manager và agent.
Chỉ khi manager gửi thông điệp với community string đúng thì
agent mới trả lời.
Mặc định, hầu hết các hệ thống sử dụng SNMP community string
đều public.
SNMP community strings được gửi ở dạng cleartext gọi là MIB.
Do đó, bất cứ ai cũng có khả năng lấy bắt được gói tin MIB nào
đó có thể sẽ tìm ra chuỗi này, có thể giả mạo người dùng sửa
đổi cấu hình các router qua SNMP.
66
@Email: fit@ispace.edu.vn
Bảo Mật Cho Tính Năng
Management Và Reporting
SNMP Version 3:
Mô hình va ̀ các cấp độ bảo mật SNMP:
Security Model: chiến lược an ninh sử dụng cho các SNMP agent.
Security Level: mức giới hạn cho phép về an ninh trong một
security model.
67
@Email: fit@ispace.edu.vn
Bảo Mật Cho Tính Năng
Management Và Reporting
SNMP Version 3:
SNMPv3 Operational Model:
68
@Email: fit@ispace.edu.vn
Bảo Mật Cho Tính Năng
Management Và Reporting
SNMP Version 3:
Tính năng va ̀ lợi ích của SNMPv3:
Tính năng:
o Toàn vẹn message: đảm bảo rằng một gói tin không bị giả
mạo.
o Authentication: xác thực message đó xuất phát từ một
nguồn hợp lê ̣.
o Encryption: mã hoa ́ nội dung của gói tin để tránh các gói tin
bị xem trái phép.
Lợi ích:
o Dữ liệu có thể được thu thập từ các thiết bị SNMP an toàn
mà không sợ dữ liệu bị giả mạo hay bị hư hỏng.
o Thông tin bí mật vì được mã hoa ́ do SNMPv3 để tránh có nội
dung bị hé lộ trên mạng.
69
@Email: fit@ispace.edu.vn
Bảo Mật Cho Tính Năng
Management Và Reporting
Cấu hình SNMP Managed Node:
Cấu hình SNMP-Server Engine ID:
Để cấu hình một tên cho một trong hai engine SNMP cục bộ hay
từ xa trên router, sử dụng lệnh snmp-server engineID trong
chế độ cấu hình toàn cục global config mode.
Các SNMP engine ID là một chuỗi duy nhất được sử dụng để xác
định các thiết bị cho các mục đích quản trị.
Nếu một ID nào đó không đủ 24 ký tự của engine ID thì ID sẽ
được thêm vào những số 0.
o Ví dụ: cấu hình vê ̀ SNMP-Server Engine ID là
123400000000000000000000, xác định snmp-server engine
ID local là 1234000000.
70
@Email: fit@ispace.edu.vn
Bảo Mật Cho Tính Năng
Management Và Reporting
Cấu hình SNMP Managed Node:
Cấu hình Remode Engine ID:
Một remote engine phải được tạo ra khi có một SNMP V3 inform
được cấu hình.
Các remote engine ID được sử dụng để tính toán phân loại bảo
mật để xác thực và mã hoá các gói tin được gửi đến một người
sử dụng trên các máy từ xa.
o Các inform sẽ được xác nhận , khi manager nhận được từ
agent sẽ gửi phản hồi lại agent, đảm bảo truyền đến đích.
71
@Email: fit@ispace.edu.vn
Bảo Mật Cho Tính Năng
Management Và Reporting
Cấu hình SNMP Managed Node:
Cấu hình SNMP-Server Group Names:
Để cấu hình một group SNMP mới, hoặc một table mà ánh xạ
SNMP người sử dụng đến SNMP view, sử dụng các lệnh snmp-
server group cấu hình toàn cục global config mode.
Một SNMP view là một ánh xạ giữa những đối tượng SNMP và
các quyền truy cập có sẵn.
Một đối tượng có thể có quyền truy cập khác nhau trong từng
view.
Quyền truy cập cho biết đối tượng có thể truy cập bằng một
community string hoặc một người sử dụng.
72
@Email: fit@ispace.edu.vn
Bảo Mật Cho Tính Năng
Management Và Reporting
Cấu hình SNMP Managed Node:
Cấu hình SNMP-Server Group Names:
Router(config)#
snmp-server group groupname {v1 | v2c | v3 {auth
| noauth | priv}} [read readview] [write
writeview] [notify notifyview] [access access-
list]
Ví dụ:
Xác định một nhóm ispacegroup cho SNMP v3 nhưng không sử
dụng chứng thực nhưng không mã hóa.
Xác định một nhóm ispacegroup cho SNMP v3 nhưng không sử
dụng chứng thực và mã hóa.
Router1(config)#snmp-server group ispacegroup v3 auth
Router1(config)#snmp-server group icaregroup v3 auth priv
73
@Email: fit@ispace.edu.vn
Bảo Mật Cho Tính Năng
Management Và Reporting
Cấu hình SNMP Managed Node:
Cấu hình SNMP-Server Users:
Router(config)#
snmp-server user username groupname [remote ip-
address [udp-port port]] {v1 | v2c | v3
[encrypted] [auth {md5 | sha} auth-password [priv
des56 priv-password]]} [access access-list]
Ví dụ:
Router1(config)#snmp-server user Bill ispacegroup v3 auth md5 john2passwd
Router1(config)#snmp-server user John iscaregroup v3 auth md5 bill3passwd
des56 password2
Router1(config)#snmp-server group ispacegroup v3 auth
Router1(config)#snmp-server group iscaregroup v3 auth priv
74
@Email: fit@ispace.edu.vn
Bảo Mật Cho Tính Năng
Management Và Reporting
Cấu hình SNMP Managed Node:
Cấu hình SNMP-Server Hosts:
Để xác định máy nhận message SNMP ta sử dụng lệnh snmp-
server host cấu hình toàn cục (global config mode).
Router(config)#
snmp-server host host-address [traps | informs]
[version {1 | 2c | 3 [auth | noauth | priv]}]
community-string [udp-port port] [notification-
type]
Message SNMP có thể được gửi như trap hoặc inform requests.
Một thực thể SNMP nhận message inform request acknowledges
bên trong SNMP response PDU
Ít nhất một lệnh snmp-server host phải được nhập vào.
75
@Email: fit@ispace.edu.vn
Bảo Mật Cho Tính Năng
Management Và Reporting
Cấu hình SNMP Managed Node:
Cấu hình SNMP-Server Hosts:
Để có thể gửi một “inform", thực hiện các bước sau:
o Cấu hình một engine ID từ xa.
o Cấu hình một user từ xa.
o Cấu hình một nhóm trên một thiết bị từ xa.
o Enable traps trên thiết bị từ xa.
o Enable SNMP manager.
76
@Email: fit@ispace.edu.vn
Bảo Mật Cho Tính Năng
Management Và Reporting
Cấu hình SNMP Managed Node:
Cấu hình SNMP-Server Hosts:
Cấu hình người nhận SNMP Trap Operation:
Router(config)#
snmp-server host host-address [traps | informs]
[version {1 | 2c | 3 [auth | noauth | priv]}]
community-string [udp-port port] [notification-
type]
Ví dụ:
Router1(config)#snmp-server engineID remote 10.1.1.1 1234
Router1(config)#snmp-server user bill icaregroup remote 10.1.1.1 v3
Router1(config)#snmp-server group icaregroup v3 noauth
Router1(config)#snmp-server enable traps
Router1(config)#snmp-server host 10.1.1.1 inform version 3 noauth bill
Router1(config)#snmp-server manager
77
@Email: fit@ispace.edu.vn
Bảo Mật Cho Tính Năng
Management Và Reporting
Cấu hình SNMP Managed Node:
Ví dụ cấu hình SNMPv3:
Trap_sender(config)#snmp-server group snmpgroup v3 auth
Trap_sender(config)#snmp-server group snmpgroup v3 priv
Trap_sender(config)#snmp-server user snmpuser snmpgroup v3 auth md5 authpassword priv
des56 encryptpassword
Trap_sender(config)#snmp-server enable traps cpu
Trap_sender(config)#snmp-server enable traps config
Trap_sender(config)#snmp-server enable traps snmp
Trap_sender(config)#snmp-server host 172.16.1.1 traps version 3 priv snmpuser
Trap_sender(config)#snmp-server source-interface traps loopback 0
Walked_device(config)#snmp-server group snmpgroup v3 auth
Walked_device(config)#snmp-server group snmpgroup v3 priv
Walked_device(config)#snmp-server user snmpuser snmpgroup v3 auth md5 authpassword
priv des56 encrypt password
78
@Email: fit@ispace.edu.vn
Bảo Mật Cho Tính Năng
Management Và Reporting
Cấu hình NTP Client:
Giao thức NTP (Network Time Protocol): Giao thức đồng bộ
thời gian.
Là một giao thức để đồng bộ đồng hồ của các hệ thống máy tính
thông qua mạng dữ liệu chuyển mạch gói với độ trễ biến đổi.
NTP được thiết kế đầu tiên bởi Dave Mills tại trường đại học
Delaware, hiện ông vẫn còn quản lý nó cùng với một nhóm
người tình nguyện. (trước năm 1985)
NTPv4 đảm bảo độ chính xác trong khoảng 10 mili giây (1/100 s)
trên mạng Internet, và có thể đạt đến độ chính xác 200 micro
giây (1/5000 s) trong môi trường mạng LAN.
NTP Client: là phần mềm sử dụng giao thức NTP để đồng bộ thời
gian với NTP Server.
79
@Email: fit@ispace.edu.vn
Bảo Mật Cho Tính Năng
Management Và Reporting
Ví dụ cấu hình NTP:
Source(config)#ntp master 5
Source(config)#ntp authentication-key 1 md5 secretsource
Source(config)#ntp peer 172.16.0.2 key 1
Source(config)#ntp source loopback 0
Intermediate(config)#ntp authentication-key 1 md5 secretsource
Intermediate(config)#ntp authentication-key 2 md5 secretclient
Intermediate(config)#ntp trusted-key 1
Intermediate(config)#ntp server 172.16.0.1
Intermediate(config)#ntp source loopback 0
Intermediate(config)#interface Fastethernet0/0
Intermediate(config-int)#ntp broadcast
Client(config)#ntp authentication-key 1 md5 secretclient
Client(config)#ntp trusted-key 1
Client(config)#interface Fastethernet0/1
Client(config-int)#ntp broadcast client
80
@Email: fit@ispace.edu.vn
Cấu Hình AAA Trên Cisco Router
Giới thiệu về AAA:
Quản trị bảo mật truy cập mạng trong môi trường Cisco dựa
trên một kiến trúc module có ba thành phần chức năng:
Authentication
Authorization
Accounting
Những dịch vụ AAA cung cấp một mức độ cao hơn về khả
năng mở rộng hơn line-level, chứng thực-EXEC privileged
cho các thành phần mạng.
Sử dụng một Cisco AAA cho phép kiến trúc phù hợp, bảo mật
truy cập hệ thống và khả năng mở rộng.
Để tăng cường bảo mật cho thiết bị chúng ta cần cấu hình tính năng
Authentication, Authorization va ̀ Accounting trên thiết bị Cisco Routers.
81
@Email: fit@ispace.edu.vn
Cấu Hình AAA Trên Cisco Router
Giới thiệu về AAA:
Authentication:
Cung cấp các phương pháp xác định người sử dụng, bao gồm cả
tên đăng nhập va ̀ mật khẩu va ̀ ca ́ tuỳ chọn giao thức bảo mật,
mã hoa ́.
Authorization:
Cung cấp phương pháp để kiểm soát truy cập từ xa, bao gồm tài
khoản ủy quyền hay dịch vụ ủy quyền.
Accounting:
Cung cấp các phương pháp thu thập va ̀ gửi thông tin bảo mật
đến máy chủ để thanh toán, kiểm toán va ̀ báo cáo. Chẳng hạn
như kiểm toán danh tính người dùng, số lần bắt đầu, kết thúc
82
@Email: fit@ispace.edu.vn
Cấu Hình AAA Trên Cisco Router
Giới thiệu về AAA:
Administrative access: Console, Telnet va ̀ AUX access.
Remote user network access: Dialup hoặc VPN access.
83
@Email: fit@ispace.edu.vn
Cấu Hình AAA Trên Cisco Router
Router access modes:
Tất cả các lệnh AAA (ngoại trừ hệ thống accounting) đều áp
dụng character mode hay packet mode.
Character mode: cho phép một quản trị viên hệ thống với số
lượng lớn các router trong một mạng xác thực tài khoản người dùng
một lần, sau đó truy cập được vào các router khác được cấu hình
bằng phương pháp này.
84
@Email: fit@ispace.edu.vn
Cấu Hình AAA Trên Cisco Router
AAA protocols: RADIUS và TACASC+
RADIUS Authentication và Authorization:
Ví dụ dưới đây cho thấy cách trao đổi RADIUS giữa client, Router
va ̀ ACS (ACS sở hữu của tên người dùng và mật khẩu).
Các ACS có thể trả lời với tin nhắn Access-Accept khi xác thực
thành công, hoặc Access-Reject nếu xác thực không thành công.
85
@Email: fit@ispace.edu.vn
Cấu Hình AAA Trên Cisco Router
AAA protocols: RADIUS và TACASC+
RADIUS messages:
Có bốn loại thông điệp tham gia vào việc trao đổi xác thực
RADIUS: Access-Request, Access-Accept, Access-Reject va ̀
Access-Challenge
86
@Email: fit@ispace.edu.vn
Cấu Hình AAA Trên Cisco Router
AAA protocols: RADIUS và TACASC+
RADIUS attributes:
RADIUS là một tiêu chuẩn giao thức IETF - RFC 2865 .
Thuộc tính Standard có thể được tăng cường bởi các thuộc tính
độc quyền.
Sử dụng UDP trên port chuẩn (Microsoft RADIUS UDP Port 1812
cho Authentication, Port 1813 cho Accounting; Cisco RADIUS
UDP Port 1645 cho Authetication va ̀ Port 1646 cho
Authorization).
Bao gồm chỉ có hai tính năng bảo mật
o Mật mã của pasword (MD5)
o Xác thực của gói tin (MD5 fingerpriting)
Authorization chỉ là một phần của Authentication.
87
@Email: fit@ispace.edu.vn
Cấu Hình AAA Trên Cisco Router
AAA protocols: RADIUS và TACASC+
TACACS+ Authentication:
88
@Email: fit@ispace.edu.vn
Cấu Hình AAA Trên Cisco Router
AAA protocols: RADIUS và TACASC+
TACACS+ Network Authorization:
89
@Email: fit@ispace.edu.vn
Cấu Hình AAA Trên Cisco Router
AAA protocols: RADIUS và TACASC+
TACACS+ Command Authorization:
90
@Email: fit@ispace.edu.vn
Cấu Hình AAA Trên Cisco Router
AAA protocols: RADIUS và TACASC+
TACACS+ Attributes và Features:
TACACS+ là giao thức linh hoạt hơn nhiều so với giao thức
RADIUS.
TACACS+ server cho phép giao thức TACACS+ sử dụng các hộp
thoại ảo để thu thập đủ thông tin cho đến khi người dùng được
chứng thực.
TACACS+ messages chứa AV-pairs, ADDR, CMD, Interface-
config, Priv-Lvl, Route
TACACS+ sử dụng TCP port 49
TACACS+ thiết lập một phiên làm việc TCP dành riêng cho mỗi
hoạt động AAA.
Cisco Secure ACS có thể sử dụng một phiên liên tục TCP cho tất
cả các hoạt động.
Giao thức bảo mật bao gồm chứng thực và mã hóa của tất cả
các datagrams TACACS+
91
@Email: fit@ispace.edu.vn
Cấu Hình AAA Trên Cisco Router
AAA protocols: RADIUS và TACASC+
Cấu hình AAA Servers:
Các bước trong cấu hình Network Access Server (NAS):
o Tại chế độ global configuration ta enable AAA để sử dụng tất
cả các thành phần AAA. Bước này là một điều kiện tiên quyết
cho tất cả các lệnh AAA khác.
o Chỉ định Cisco Secure ACS sẽ cung cấp các dịch vụ AAA cho
network access server.
o Cấu hình khoá, mật mã sẽ được sử dụng để mã hóa việc
chuyển dữ liệu giữa các NAS và Cisco Secure ACS.
92
@Email: fit@ispace.edu.vn
Câu hỏi bài tập
Có các nguy cơ tấn công của hệ thống mạng nào?
Có mấy bước để hack một hệ thống mạng? Nếu các bước để
hack một hệ thống mạng.
Bạn hãy liệt kê các loại tấn công vào hệ thống mạng.
Những cấu hình nào có thể làm giảm nguy cơ bị tấn công
mạng trên Cisco Router.
Thực hiện cấu hình bảo mật cho tính năng management và
reporting trên Cisco Routers.
93
@Email: fit@ispace.edu.vn
TÓM LƯỢC BÀI HỌC
Tiến hành khảo sát, dò tìm lỗ hổng trong hệ thống mạng để
khắc phục, giảm nguy cơ hê thống mạng bị tấn công.
Các lỗ hổng bảo mật có thể ở các giao thức thuộc tính năng
Management và Reporting Cấu hình bảo mật các tính năng
Management và Reporting.
Cấu hình chứng thực AAA để tăng cường bảo mật cho hệ
thống giảm rủi ro và nguy cơ tấn công do truy cập trái phép.
Kết luận:
Bài học này rất hay giúp ta hình dung tổng quan về hệ thống an ninh.
Ứng dụng bài học vào thực tiễn xây dựng cơ chế tăng cường bảo mật
cho thiết bị ở DN.
94
@Email: fit@ispace.edu.vn 95
Các file đính kèm theo tài liệu này:
- lesson01_8197.pdf