Tăng cường bảo mật cho mạng IP Tăng cường bảo mật cho mạng IP Nội dung chính Tăng cường bảo mật cho mạng IP Tìm hiểu cách tiếp cận của Cisco với vấn đề bảo mật mạng Điều khiển truy cập tới Cisco Route[.]
Tăng cường bảo mật cho mạng IP Nội dung Tăng cường bảo mật cho mạng IP Tìm hiểu cách tiếp cận Cisco với vấn đề bảo mật mạng Điều khiển truy cập tới Cisco Routers Truy cập Console Password cho chế độ nonprivileged ( bình thường ) Password cho chế độ privileged ( đặc quyền ) Giới hạn thời gian phiên làm việc Mã hóa password Truy cập Telnet Password cho chế độ nonprivileged Password cho chế độ privileged Hạn chế truy cập Telnet với địa IP cụ thể Hạn chê truy cập Telnet với sản phẩm Cisco thông qua cổng TCP Terminal Access Controller Access Control System (TACACS) Chế độ nonprivileged Chế độ privileged Simple Network Management Protocol ( SNMP) Chế độ nonprivileged Chế độ privileged Thiết lập kiến trúc cho firewall Điều khiển lưu thơng mạng Cấu hình cho Firewall Router Lập danh sách truy cập Áp dụng danh sách truy cập với interface Cấu hình cho Firewall Communication Server Lập danh sách truy cập Áp dụng danh sách truy cập với interface Sử dụng banner tạo thông báo Bảo vệ dịch vụ chuẩn khác Tổng kết Danh sách tài liệu nên đọc ********************************************* Tăng cường Bảo mật cho mạng IP Bảo mật mạng vấn đề rộng, xem xét mức liệu (nơi mà vấn đề trộm gói tin mã hóa liệu xảy ra), mức giao thức, mức ứng dụng Ngày có nhiều người kết nối Internet công ty ngày mở rộng mạng, vấn đề bảo mật cho mạng nội trở nên khó khăn Cơng ty phải xác định khu vực mạng nội cần bảo vệ, tìm cách hạn chế người dùng truy cập tới khu vực đó, xác định loại dịch vụ mạng cần sàng lọc để ngăn chặn lỗ hổng bảo mật Cisco Systems cung cấp nhiều tính tầng giao thức (protocol hay network layer) để tăng cường bảo mật cho mạng IP Những tính bao gồm điều khiển hạn chế truy cập tới routers servers console port, Telnet, Simple Network Management Protocol (SNMP), Terminal Access Control System (TACACS), thẻ chứa mã người dùng danh sách truy cập Việc thiết lập kiến trúc firewal nói tới Bài viết nói đến vấn đề bảo mật mức network-layer, bỏ qua vấn đề bảo mật mức host-level nguy hiểm Về biện pháp bảo mật host-level bạn xem hướng dẫn ứng dụng bạn, danh sách liệt kê cuối viết Tìm hiểu cách tiếp cận Cisco với vấn đề bảo mật mạng Khi người ta nói tới bảo mật, họ muốn chắn người dùng thực việc cho phép, nhận thông tin cho phép, gây hư hại với liệu, ứng dụng hay hệ điều hành hệ thống Từ bảo mật bao hàm nghĩa bảo vệ khỏi cơng ác ý từ bên ngồi Bảo mật liên quan đến điều khiển hiệu ứng lỗi cố thiết bị Những bảo vệ chống lại cơng tính tốn kỹ lưỡng ngăn chặn rủi ro ngẫu nhiên Bài viết cung cấp việc mà bạn làm để tăng cường bảo mật cho mạng bạn Trước vào chi tiết, có ích bạn hiểu khái niệm thiếu với hệ thống (*) Biết rõ kẻ thù Ở muốn nói tới kẻ cơng Hãy tìm hiểu xem muốn vượt qua biện pháp bảo mật bạn, xác định động lực thúc đẩy họ Xác định họ muốn làm hư hại họ gây cho hệ thống bạn Các biện pháp bảo mật ngăn chặn tuyệt đối hành động khơng phép, mà khiến việc trở nên khó khăn Mục tiêu khiến bảo mật mạng vượt qua khả hay động lực thúc đẩy kẻ cơng (*) Tính tốn chi phí Các biện pháp bảo mật hầu hết làm giảm sụ tiện lợi Bảo mật khiến cơng việc đình trệ tạo thêm chi phí đào tạo quản trị Nó địi hỏi nhiều tài nguyên quan trọng phần cứng chuyên dụng Khi thiết kế biện pháp bảo mật, bạn cần hiểu chi phí chúng, so sánh với lợi ích có Để làm bạn phải hiểu chi phí cho thân biện pháp chi phí cho lỗ hổng bảo mật có (*) Những giả định bạn Mỗi hệ thống bảo mật có giả định Ví dụ, bạn giả sử kẻ cơng biết bạn, họ dùng phần mềm tiêu chuẩn Hãy kiểm tra đánh giá cẩn thận giả định bạn Mỗi giả định chưa xem xét lỗ hổng bảo mật tiềm ẩn (*) Điều khiển thơng tin bí mật Hầu hết bảo mật dựa thông tin bí mật, chẳng hạn password khóa mã hóa Điều quan trọng hiểu khu vực bạn cần bảo vệ Những kiến thức giúp vượt qua hệ thống bạn ? Bạn phải bảo vệ cẩn thận với kiến thức Càng nhiều thơng tin bí mật, khăn cho việc bảo vệ tất chúng Hệ thống bảo mật nên thiết kế cho giới hạn định thông tin cần giữ (*) Hãy nhớ đến yếu tố người Rất nhiều phương pháp bảo mật thất bại người thiết kế không để ý đến việc người dùng nghĩ Ví dụ, chúng khó nhớ, password tạo cách tự động thường thấy ghi mặt bàn phím.Nếu biện pháp bảo mật gây trở ngại cho việc sử dụng thiết yếu hệ thống, biện pháp bị bỏ qua Để đạt ý muốn, bạn phải chắn người dùng hồn thành cơng việc họ, bạn phải làm cho họ hiểu chấp nhận cần thiết bảo mật Người dùng nên có hợp tác với hệ thống bảo mật, mức độ đó.Password, chẳng hạn, nhận cách đơn giản gọi điên đến người dùng, giả làm người quản trị Nếu người dùng bạn hiểu vấn đề bảo mật họ hiểu lý biện pháp bạn, họ không khiến cho kẻ xâm nhập cảm thấy dễ dàng Ít nhất, người dùng nên hướng dẫn không đưa password hay thơng tin bí mật qua đường điện thoại hay email không bảo vệ, cảnh giác với câu hỏi qua điện thoại Một vài công ty lập chương trình đào tạo bảo mật thông thường cho nhân viên, nhân viên không truy cập Internet chưa hồn thành chương trình (*) Biết điểm yếu bạn Mọi hệ thống có điểm yếu Bạn cần hiểu điểm yếu hệ thống bạn cách khai thác điểm yếu Bạn nên biết khu vực có nguy cao ngăn chặn truy cập đến Hiểu điểm yếu bước đưa chúng thành khu vực an toàn (*) Giới hạn phạm vi truy cập Bạn nên đặt giới hạn thích hợp hệ thống cho kẻ xâm nhập truy cập đến phần hệ thống, họ khơng thể tự động có quyền truy cập đến phần cịn lại hệ thống (*) Hiểu mơi trường làm việc bạn Hiểu hệ thông bạn hoạt động sao, biết mong đợi khơng, quen với việc thiết bị thường sử dụng nào, giúp bạn phát vấn đề bảo mật Chú ý đến kiện khơng bình thường giúp bạn phát kẻ xâm nhập trước chúng phá hoại hệ thống Những cơng cụ giám sát giúp bạn phát kiện khơng bình thường (*) Giới hạn tin tưởng Bạn nên biết xác bạn phần mềm bạn tin tưởng, hệ thống bảo mật bạn không nên dựa giả định tất phần mềm khơng có lỗi (*) Nhớ đến physical security Truy cập cách trực tiếp vào máy tính ( hay router ), người kinh nghiệm chiếm tồn điều khiển đó.Sẽ chẳng có ý nghĩa cài đặt phần mềm bảo mật quyền sử dụng trực tiếp phần cứng không quan tâm (*) Bảo mật khắp nơi Hầu hết thay đổi hệ thống bạn có ảnh hưởng đến bảo mật Điều đặc biệt dịch vụ tạo Những nhà quản trị, lập trình, người dùng phải để ý đến vấn đề bảo mật thay đổi họ tạo Hiểu khía cạnh bảo mật thay đổi địi hỏi thực hành, khám phá dịch vụ sử dụng theo cách Điều khiển truy cập tới Cisco Routers Việc điều khiển truy cập tới Cisco routers bạn quan trọng Bạn điều khiển truy cập tới routers sử dụng phương pháp sau : - Truy cập console - Truy cập telnet - Truy cập Simple Network Management Protocol (SNMP) - Điều khiển truy cập tới servers có file cấu hình hệ thống Bạn bảo vệ phương pháp cách sử dụng tính phần mềm router Với phương pháp, bạn cho phép privileged access (truy cập với đặc quyền ) hay nonprivileged access (truy cập thông thường) người dùng (hay nhóm người dùng) Nonprivileged access cho phép người dùng theo dõi router không thay đổi router Privileged access cho người dùng toàn quyền thay đổi cấu hìnhcho router Với truy cập qua console port Telnet, bạn thiết lập loại password Loại thứ password đăng nhập, cho phép nonprivileged access Sau truy cập vào router, người dùng chuyển sang chế độ privileged cách nhập password phù hợp Ở chế độ privileged người dùng có tồn quyền thay đổi thiết lập Truy cập SNMP cho phép bạn đặt chuỗi SNMP khác cho nonprivileged privileged access Nonprivileged access cho phép người dùng host gửi đến router thông điệp SNMP get-request SNMP get-next-request Những thông điệp dùng để lấy thông tin từ router Privileged access cho phép người dùng gửi thông điệp SNMP set-request để thay đổi cấu hìnhvà trạng thái hoạt động router Truy cập Console Console thiết bị đầu cuối gắn trực tiếp với router qua cổng console Việc bảo mật áp dụng với console cách buộc người dùng xác nhận thân qua password Theo mặc định, khơng có password kèm với console access Password cho chế độ nonprivileged Bạn thiết lập password cho chế độ nonprivileged cách đánh dịng lệnh sau vào file cấu hìnhcủa router Password phân biệt chữ hoa, chữ thường Ở ví dụ, password "1forAll" line console login password 1forAll Khi bạn đăng nhập vào router, nhận thông báo login sau User Access Verification Password: Bạn phải nhập password "1forAll" để có quyền nonprivileged access đến router Router trả lời sau : router>Dấu nhắc > báo hiệu chế độ nonprivileged Bây bạn dùng nhiều lệnh để xem thông tin hoạt động router Không dùng "cisco", hay biến thể khác "pancho" cho password Cisco router Đó password kẻ xâm nhập thử họ nhìn thấy dấu đăng nhập Cisco Password cho chế độ privileged Thiết lập password cho chế độ privileged cách đưa dòng lệnh sau vào file cấu hìnhcủa router Trong ví dụ password "san-tran" enable-password san-fran Để truy cập chế độ privileged, đánh lệnh sau: router> enable Password: Gõ password "san-fran" để privileged access tới router Router trả lời sau : router# Dấu nhắc # báo hiệu chế độ privileged Ở chế độ privileged, bạn đánh tất lệnh để xem thơng tin cấu hìnhcho router Giới hạn thời gian phiên làm việc Đặt password đăng nhập password enable chưa đủ an tồn số trường hợp Giới hạn thời gian cho console không điều khiển ( mặc định 10 phút ) cung cấp thêm biện pháp an tồn.Bạn thay đổi giới hạn lệnh exec-timeout mm ss mm số phút, ss số giây Lệnh sau thay đổi giới hạn thành phut 30 giây line console exec-timeout 30 Mã hóa password Tất password router xem lệnh xem cấu hìnhcủa router chế độ privileged Nếu bạn có quyền truy cập chế độ privileged , bạn xem tất password dạng cleartext, theo mặc định Có cách để giấu cleartext password Lệnh password-encryption lưu password dạng mã hóa.Tuy nhiên, bạn quên password, để lấy lại quyền truy cập, bạn phải có quyền truy cập trực tiếp (physical access) router Truy cập Telnet Bạn truy cập theo chế độ nonprivileged privileged tới router thông qua Telnet Giống với Console, bảo mật với Telnet có người dùng xác nhận thân password Thực tế, nhiều khái niệm tương tự mô tả phần "Console Access" áp dụng cho truy cập Telnet Bạn phải nhập password để chuyển từ chế độ nonprivileged sang privileged, mã hóa password, đặt giới hạn thời gian cho phiên làm việc Password cho chế độ nonprivileged Mỗi cổng Telnet router coi thiệt bị đầu cuối "ảo" ( virtual terminal ) Có tối đa cổng dành cho virtual terminal (VTY) router , cho phép phiên làm việc Telnet đồng thời Trên router, đánh số từ đến Bạn đặt nonprivileged password cho cổng với lệnh cấu hình sau.Trong ví dụ này, cổng virtual terminal từ đến sử dụng password "marin" : line vty login password marin Khi người dùng telnet đến IP router, router trả lời tương tự sau : % telnet router Trying Connected to router Escape character is '^]' User Access Verification Password: Nếu người dùng nhập nonprivileged password, dấu nhắc sau xuất hiện: router> Password cho chế độ privileged Bây người dùng có nonprivileged access chuyển sang chế độ privileged cách gõ lệnh enable giống Console Access Hạn chế truy cập Telnet địa IP cụ thể Nếu bạn muốn IP định dùng Telnet truy cập router, bạn phải dùng lệnh access-class nn in để xác định danh sách truy cập (từ đến 99) Lệnh cấu hình sau cho phép truy cập Telnet đến router từ host mạng 192.85.55.0: access-list 12 permit 192.85.55.0 0.0.0.255 line vty access-class 12 in Hạn chế truy cập Telnet sản phẩm Cisco thông qua cổng TCP Có thể truy cập tới sản phẩm Cisco thông qua Telnet đến cổng TCP định Kiểu truy cập Telnet thay đổi tùy theo phiên phần mềm Cisco: - Software Release 9.1 (11.4) cũ hơn, 9.21 (3.1) cũ - Software Release 9.1 (11.5) , 9.21 (3.2), 10.0 Với Software Release 9.1 (11.4) cũ hơn, 9.21 (3.1) cũ hơn, , theo mặc định, thiết lập kết nối TCP tới sản phẩm Cisco thông qua cổng TCP Bảng 3-1 Bảng 3-1 : Cổng TCP truy cập Telnet tới sản phẩm Cisco ( phiên cũ) Cổng TCP Phương thức truy cập Echo Discard 23 Telnet ( tới cổng VTY theo kiểu quay vịng) 79 Finger 1993 SNMP thơng qua TCP 2001-2999 Telnet tới cổng hỗ trợ (auxiliary - AUX ), cổng terminal (TTY), cổng virtual terminal (VTY) 3001-3999 Telnet tới cổng quay vịng ( cấu hình với lệnh rotary ) 4001-4999 Telnet ( stream mode ) , mirror cổng khoảng 2000 5001-5999 Telnet ( stream mode), mirror khoảng 3000 ( cấu hình rotary) 6001-6999 Telnet (binary mode), mirror khoảng 2000 7001-7999 Telnet (binary mode), mirror khoảng 300 ( cấu hình rotary) 8001-8999 Xremote ( với communication servers) 9001-9999 Reverse Xremote ( với communication servers) 10001-19999 Reverse Xremote rotary (chỉ với communication servers, cấu hình rotary trước) Chú ý : Vì Cisco routers khơng có đường TTY, thiết lập truy cập ( communicaiton servers) tới cổng 2002,2003,2004 lớn cung cấp truy cập tới VTY (trên routers) tới cổng tương ứng Để cung cấp truy cập tới cổng TTY, bạn tạo danh sách truy cập hạn chế truy cập VTYs Khi thiết lập nhóm quay vịng, ln nhớ truy cập đến cổng nhóm (trừ có danh sách giới hạn truy cập) Sau ví dụ minh họa danh sách truy cập từ chối truy cập đến cổng hỗ trợ (AUX) cho phép truy cập telnet từ địa 192.32.6.7 : access-class 51 deny 0.0.0.0 255.255.255.255 access-class 52 permit 192.32.6.7 line aux access-class 51 in line vty Chú ý : lệnh ip alias cho phép sản phẩm Cisco, kết nối TCP tới cổng coi hợp lệ Có thể bạn muốn vơ hiệu hóa lệnh Có thể bạn muốn tạo danh sách truy cập hạn chế truy cập tới sản phẩm Cisco qua cổng TCP đến router Với Software Release 9.1 (11.5), 9.21 (3.2), phiên Software Release 10, cải tiến sau thực : - Truy cập trực tiếp đến virtual terminal lines (VTYs) qua cổng khoảng 2000,4000 6000 vơ hiệu hóa theo mặc định - Kết nối tới cổng echo discard (7 9) vơ hiệu hóa với lệnh no service tcp-small-servers - Tất sản phẩm Cisco cho phép kết nối tới IP alias với cổng 23 Với phiên sau này, Cisco router chấp nhận kết nối TCP qua cổng mặc định Bảng 3-2 Bảng 3-2 : Cổng TCP cho truy cập Telnet tới sản phẩm Cisco ( phiên sau ) Cổng TCP Phương thức truy cập Echo Discard 23 Telnet 79 Finger 1993 Cổng hỗ trợ (AUX) 4001 Cổng AUX (stream) 6001 Cổng AUX (binary) Truy cập qua cổng 23 bị hạn chế cách tạo danh sách truy cập gán cho đường virtual terminal Truy cập qua cổng 79 vơ hiệu hóa lệnh no service finger Truy cập qua cổng 1993 kiểm sốt danh sách truy cập SNMP Truy cập qua cổng 2001,4001 6001 kiểm sốt danh sách truy cập đặt cổng hỗ trợ (AUX) Terminal Access Conroller Access Control System ( TACACS) Password chế độ nonprivileged privileged áp dụng cho người dùng truy cập router từ console port hay Telnet Ngoài ra, Terminal Access Controller Access Control System (TACACS) cung cấp cách xác nhận người dùng dựa sở riêng biệt trước họ có quyền truy cập vào router hay communication server TACACS xây dựng Bộ quốc phịng mỹ mơ tả Request For Comments (RFC) 1492 TACACS Cisco sử dụng phép quản lý tốt hơn, xem có quyền truy cập tới router chế độ nonprivileged privileged Với TACACS enabled, router nhắc người dùng nhập username password Sau đó, router gọi TACACS server để xác định password có khơng Một TACACS server thường chạy trạm làm việc UNIX Domain TACACS servers nhận thơng qua anonymous ftp đến ftp.cisco.com thư mục /pub Sử dụng /pub/README để tim tên file Một server hỗ trợ TACACS đầy đủ có kèm CiscoWorks Version Lệnh cấu hình tacacs-server host xác định UNIX host chạy TACACS server xác nhận lại yêu cầu gửi từ routers Bạn đánh lệnh tacacs-server host nhiều lần để nhiều TACACS server cho router Nonprivileged Access Nếu tất server khơng sẵn sàng, bạn bị khóa router Lúc này, lệnh cấu hình tacacs-server last resort [password | succeed] cho phép bạn xác định xem có cho người dùng đăng nhập khơng cần password ( từ khóa succeed) hay buộc người dùng cung cấp password chuẩn ( từ khóa password) Các lệnh sau TACACS server cho phép đăng nhập server gặp cố: tacacs-server host 129.140.1.1 tacacs-server last-resort succeed Buộc người dùng truy cập qua Telnet xác nhận thân qua lệnh cấu hìnhsau : line vty login tacacs Privileged Access (truy cập với đặc quyền) Phương pháp kiểm tra password áp dụng với chế độ privileged dùng lệnh enable use-tacacs Nếu tất server không sẵn sàng tiếp nhận, lệnh cấu hìnhenable last-resort [succeed | password] cho biết có để người dùng đăng nhập không cần password hay không Nếu bạn dùng lệnh enable use-tacacs, bạn phải dùng lệnh tacacs-server authenticate enable Lệnh tacacs-server extended cho phép thiết bị Cisco chạy chế độ TACACS mở rộng Hệ thống UNIX phải chạy extended TACACS daemon, nhận anonymous ftp tới ftp.cisco.com, tên file xtacacsd.shar Daemon cho phép communication servers thiết bị khác giao tiếp với hệ thống UNIX cập nhật thông tin mà thiết bị gửi Lệnh username password [0 | 7] cho phép bạn lưu danh sách user password thiết bị Cisco thay TACACS server Số lưu password dạng cleartext file cấu hình Số lưu dạng mã hóa Nếu bạn khơng có TACACS server muốn xác định user bạn dùng lệnh cấu hìnhsau : username steve password steve-pass username allan password allan-pass Token Card Access ( truy cập thẻ ) Sử dụng TACACS cho routers communication server, hỗ trợ loại key devices , hay token card Mã TACACS server thay đổi để hỗ trợ việc mà không cần thay đổi cấu hình router hay communication server Sự thay đổi trực tiếp từ Cisco Hệ thống token card dựa thẻ bạn phải có để xác nhận thân Bằng cách móc nối ( hook ) với mã TACACS server, công ty thứ ( third-party) cung cấp dịch vụ Một sản phẩm Enigma Logic SafeWord, ngồi cịn có Security Dynamics SmartCard Simple Network Management Protocol (SNMP) Access SNMP phương pháp khác dùng truy cập router Với SNMP, bạn thu thập thơng tin hay cấu hình routers Thu thập thơng tin với thơng điệp get-request get-next-request, cấu hình routers với thơng điệp set-request Mỗi thơng điệp SNMP có community string ( chuỗi công cộng ! ), password dạng cleartext gửi gói tin trung tâm điều khiển( management station ) router, nơi có chứa SNMP agent Chuỗi SNMP dùng để xác nhận thông tin gửi manager agent Chỉ manager gửi thông điệp với community string agent trả lời SNMP agent router cho phép bạn thiết lập community string cho truy cập chế độ nonprivileged privileged Bạn thiết lập community strings router thông qua lệnh cấu hình snmp-server community [RO | RW ] [access-list] Tuy nhiên, SNMP community strings gửi dạng cleartext Do đó, có khả lấy đựợc gói tin tìm chuỗi này, giả mạo người dùng sửa đổi routers qua SNMP Vì sử dụng lệnh no snmp-server trap-authentication ngăn chặn kẻ xâm nhập bắt thông điệp (gửi SNMP managers agents) để tìm community strings Người ta cải tiến bảo mật SNMP version (SNMPv2) , mô tả RFC 1446 SNMPv2 dùng thuật toán MD5 để xác nhận giao tiếp server agent MD5 xác nhận tính tương thích liệu, nguồn gốc thời gian Hơn SNMPv2 dùng chuẩn mã hóa liệu DES để mã hóa thơng tin Chế độ nonprivileged Dùng từ khóa RO lệnh snmp-server community để cung cấp truy cập nonprivileged tới routers qua SNMP Lệnh cấu hình sau làm agent router cho phép thông điệp SNMP getrequest get-next-request, gửi với community string "public" : snmp-server community pubic RO Bạn rõ danh sách địa IP phép gửi thông điệp tới router tùy chọn access-list với lệnh snmp-server community Ở ví dụ sau, hosts 1.1.1.1 2.2.2.2 phép truy cập nonprivileged tới router qua SNMP: access-list permit 1.1.1.1 access-list permit 2.2.2.2 snmp-server community public RO Chế độ privileged Sử dụng từ khóa RW lệnh snmp-server community để cung cấp truy cập privileged tới router qua SNMP Lệnh sau khiến agent router cho phép thông điệp SNMP set-request, gửi với community string "private" : snmp-server community private RW Bạn rõ danh sách IP phép gửi thông điệp tới router tùy chọn access-list lệnh snmp-server community Ở ví dụ sau , có hosts 5.5.5.5 6.6.6.6 phép truy cập privileged tới router qua SNMP : access-list permit 5.5.5.5 access-list permit 6.6.6.6 snmp-server community private RW Điều khiển việc truy cập đến Servers chứa file cấu hình Nếu router thường xuyên download file cấu hình từ server Trivial File Transfer Protocol (TFTP) hay Maintenance Operations Protocol (MOP), truy cập server thay đổi file cấu hình router server Communication servers đươc cấu hình để chấp nhận kết nối LAT ( Local Area Transport).Protocol translator translating router chấp nhận kết nối X.29 Sự khác biệt kiểu truy cập cần ý tạo kiến trúc firewall Thiết lập kiến trúc firewall bạn Một kiến trúc firewall mô hình tồn bạn giới bên ngồi nhằm bảo vệ bạn khỏi kẻ xâm nhập Trong phần lớn tình huống, kẻ xâm nhập đại diện mạng Internet hàng ngàn mạng kết nối với Điển firewall dựa nhiều máy khác hình 3-1 Hình 3-1 : Trong kiến trúc này, router nối với Internet (exterior router), buộc giao tiếp mạng vào application gateway (cổng ứng dụng ) Một router nối với mạng nội (interior router) tiếp nhận gói tin từ cổng ứng dụng Cổng ứng dụng thiết lập policies ( sách ) người dùng ứng dụng Hệ điều khiển sử phân phát dịch vụ đến từ mạng nội Ví dụ, số người dùng phép giao tiếp với Internet, hay số ứng dụng phép thiết lập kết nối với bên Nếu ứng dụng phép gửi thư, gói thư qua router Điều khiển lưu thông mạng Phần sử dụng tình minh họa hình 3-2 để mô tả việc sử dụng danh sách truy cập ngăn chặn lưu thông liệu đến từ firewall router firewall communication server Hình 3-2 : Trong viết firewall router cho phép kết nối "đến" từ hay nhiều server hay host Một router thiết kế hoạt động firewall điều ta mong muốn, định rõ mục đích router external gateway tránh làm phiền router khác với nhiệm vụ Trong tình mạng nội cần cô lập, firewall router cung cấp điểm cô lập mà không ảnh hưởng đến phần cịn lại mạng Cấu hình Firewall Router Trong cấu hình firewall router đây, subnet 13 Class B firewall subnet, subnet 14 cung cấp kết nối Internet qua nhà cung cấp dịch vụ : interface ethernet ip address B.B.13.1 255.255.255.0 interface serial ip address B.B.14.1 255.255.255.0 router igrp network B.B.0.0 Cấu hình đơn giản khơng có bảo mật cho phép tất lưu thơng từ giới bên ngồi đến mạng Để có bảo mật với firewall router, sử dụng danh sách truy cập nhóm truy cập mơ tả Xác định danh sách truy cập Danh sách truy cập xác định lưu thông thực tế cho phép hay từ chối, nhóm truy cập áp dụng danh sách truy cập định cho interface Danh sách truy cập dùng để từ chối kết nối ẩn chứa mối nguy hại bảo mật cho phép tất kết nối khác, cho phép kết nối chấp nhận từ chối tất kết nối lại Đối với firewall, cách thứ cách an toàn Trong viết này, email news đến cho phép với số hosts, FTP, Telnet rlogin cho phép host nằm firewall subnet.Khoảng IP mở rộng (từ 100 đến 199) số cổng TCP hay UDP dùng để lọc lưu thơng Khi kết nối hình thành cho email,Telnet, FTP, cố mở dịch vụ cổng xác định Do bạn lọc kết nối cách từ chối gói tin tìm cách sử dụng dịch vụ Về danh sách dịch vụ cổng thường gặp, xem phần "Lọc dịch vụ TCP UDP" phần sau Một danh sách truy cập gọi sau định router trước gói tin gửi đến interface Chỗ tốt để xác định danh sách truy cập tạo file chứa lệnh access-list, đặt file thư mục TFTP mặc định nạp file vào router Server chứa file fải chạy TFTP daemon có kết nối TCP đến firewall router Trước nạp, xác định trước danh sách truy cập gỡ bỏ lệnh no access-list 101 Lệnh access-list dùng phép gói tin trả từ kết nối thiết lập trước Với từ khóa established, có phù hợp gói TCP chứa acknowledgement (ACK) hay reset(RST) bits set access-list 101 permit tcp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 established Nếu firewall routers chia sẻ mạng với nhà cung cấp bên ngoài, bạn muốn cho phép truy cập từ host tới mạng bạn Trong viết này, nhà cung cấp bên ngồi có cổng nối tiếp sử dụng firewall router Class B địa (B.B.14.2) địa nguồn sau : access-list 101 permit ip B.B.14.2 0.0.0.0 0.0.0.0 255.255.255.255 Ví dụ sau minh họa cách từ chối lưu thông từ người dùng cố gắng che giấu địa nội bạn với bên ngồi ( khơng dùng danh sách truy cập "đầu vào" 9.21 ) : access-list 101 deny ip B.B.0.0 0.0.255.255 0.0.0.0 255.255.255.255 Lệnh sau cho phép Domain Name System (DNS) Network Time Protocol (NTP) gửi yêu cầu trả lời : access-list 101 permit udp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 eq 53 access-list 101 permit udp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 eq 123 Lệnh sau từ chối cổng Network File Server (NFS) User Datagram Protocol (UDP) : access-list 101 deny udp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 eq 2049 Lệnh sau từ chối OpenWindows cổng 2001 2002, từ chối X11 cổng 6001 6002 : access-list 101 deny tcp 0.0.0.0 255.255.255.2550.0.0.0 255.255.255.255 eq 6001 access-list 101 deny tcp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 eq 6002 access-list 101 deny tcp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 eq 2001 access-list 101 deny tcp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 eq 2002 Lệnh sau cho phép Telnet đến communication server (B.B.13.2) : access-list 101 permit tcp 0.0.0.0 255.255.255.255 B.B.13.2 0.0.0.0 eq 23 Lệnh sau cho phép FTP đến host subnet 13 : access-list 101 permit tcp 0.0.0.0 255.255.255.255 B.B.13.100 0.0.0.0 eq 21 access-list 101 permit tcp 0.0.0.0 255.255.255.255 B.B.13.100 0.0.0.0 eq 20 Ở ví dụ sau, mạng B.B.1.0 nằm mạng nội bộ.Các lệnh sau cho phép kết nối TCP UDP tới cổng lớn 1023 với host giới hạn Nhớ đừng để communication servers dịch giao thức ( protocol translator ) nằm danh sách : access-list 101 permit tcp 0.0.0.0 255.255.255.255 B.B.13.100 0.0.0.0 gt 1023 access-list 101 permit tcp 0.0.0.0 255.255.255.255 B.B.1.100 0.0.0.0 gt 1023 access-list 101 permit tcp 0.0.0.0 255.255.255.255 B.B.1.101 0.0.0.0 gt 1023 access-list 101 permit udp 0.0.0.0 255.255.255.255 B.B.13.100 0.0.0.0 gt 1023 access-list 101 permit udp 0.0.0.0 255.255.255.255 B.B.1.100 0.0.0.0 gt 1023 access-list 101 permit udp 0.0.0.0 255.255.255.255 B.B.1.101 0.0.0.0 gt 1023 Chú ý : chuẩn FTP sử dụng cổng >1023 cho kết nối liệu nó; đó, cổng >1023 phải đựợc mở Chi tiết đọc phần "Cổng File Transfer Protocol (FTP) " phía Lệnh sau cho phép DNS truy cập tới DNS server(s) liệt kê Network Information Center (NIC) : access-list 101 permit tcp 0.0.0.0 255.255.255.255 B.B.13.100 0.0.0.0 eq 53 access-list 101 permit tcp 0.0.0.0 255.255.255.255 B.B.1.100 0.0.0.0 eq 53 Lệnh sau cho phép SMPT email theo chiều đến với số máy : access-list 101 permit tcp 0.0.0.0 255.255.255.255 B.B.13.100 0.0.0.0 eq 25 access-list 101 permit tcp 0.0.0.0 255.255.255.255 B.B.1.100 0.0.0.0 eq 25 Lệnh sau cho phép news transfer protocol (NNTP) server mạng nội nhận kết nối NNTP từ danh sách cho phép : access-list 101 permit tcp 16.1.0.18 0.0.0.1 B.B.1.100 0.0.0.0 eq 119 access-list 101 permit tcp 128.102.18.32 0.0.0.0 B.B.1.100 0.0.0.0 eq 119 Lệnh sau cho phép Internet control message protocole (ICMP) cho thông điệp báo lỗi : access-list 101 permit icmp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 Mỗi danh sách truy cập có ẩn câu lệnh "từ chối tất thứ khác" cuối danh sách để chắn thuộc tính khơng đề cập đến bị từ chối Cổng File Transfer Protocol (FTP) Hiện nhiều site chặn phiên làm việc TCP từ vào cho phép kết nối Vấn đề chỗ chặn kết nối từ ngồi vào ngăn cản chương trình FTP client truyền thống, chương trình dùng lệnh "PORT" cho server biết chỗ để gửi file Máy khách mở kết nối "điều khiển" đến server, server sau mở kết nối "dữ liệu" cổng ( >1023) máy khách Rất may , cịn có cách khác cho phép máy khác mở socket "dữ liệu" cho phép bạn có firewall FTP Máy khách gửi lệnh PASV đến server, nhận lại số hiệu cổng cho socket liệu, mở socket liệu cổng bắt đầu gửi Để thực phương pháp này, chương trình FTP client phải hỗ trợ lệnh PASV Vấn đề với phương pháp không thực server chặn kết nối từ vào Mã nguồn cho chương trình FPT hoạt động với firewall nhận anonymous FTP ftp.cisco.com, file /pub/passive-ftp.tar.Z Đây phiên BSD 4.3 FTP có sửa chữa để hỗ trợ PASV Chú ý : Cẩn thận cung cấp dịch vụ anonymous FTP Rất nhiều FTP server có lỗi khu vực Áp dụng danh sách truy cập với Interfaces Sau danh sách truy cập nạp vào router lưu NVRAM, phải gán cho interface phù hợp Trong viết này, lưu thơng đến từ bên ngồi qua cổng nối tiếp lọc trước đặt vào subnet 13 (ethernet 0) Do lệnh access-group , dùng danh sách truy cập lọc kết nối đến, phải gán cho Ethernet sau : interface ethernet ip access-group 101 Để điều khiển truy cập Internet từ mạng nội bộ, lập danh sách truy cập áp dụng với gói tin gửi cổng nối tiếp router Để làm vậy, gói tin gửi từ hosts sử dụng Telnet hay FTP phải cho phép truy cập đến firewall subnetwork B.B.13.0 Sàng lọc dịch vụ TCP UDP Vài cổng TCP UDP thường gặp liệt kê bảng 3-3 Bảng 3-3 : Một số cổng dịch vụ TCP UDP thường gặp Dịch vụ Loại cổng Số cổng FTP-Data TCP 20 FTP-Commands TCP 21 Telnet TCP 23 SMTP-Email TCP 25 TACACS UDP 49 DNS TCP UDP 53 TFTP UDP 69 finger TCP 79 Sun Remote Procedure Call(RPC) UDP 111 Network News Transfer Protocol (NNTP) TCP 119 Network Time Protocol (NTP) TCP UDP 123 NeWS TCP 144 Simple Management Network Protocol (SNMP) UDP 161 SNMP (traps) UDP 162 Border Gateway Protocol (BGP) TCP 179 rlogin TCP 513 rexec TCP 514 talk TCP UDP 517 ntalk TCP UDP 518 Open Windows TCP UDP 2000 Network File System (NFS) UDP 2049 X11 TCP UDP 6000 Lời khuyên CERT Computer Emergency Response Team (CERT) khuyên nên lọc dịch vụ bảng 3-4 Bảng 3-4 : Lời khuyên CERT với dịch vụ TCP, UDP cổng Dịch vụ Loại cổng Số cổng DNS zone transfers TCP 53 TFTP daemon (tftpd) UDP 69 link TCP 87 Sun RPC TCP UDP 1111 NFS UDP 2049 BSD UNIX lệnh bắt đầu r- TCP từ 512 đến 514 line printer daemon (lpd) TCP 515 UNIX-to-UNIX copy program daemon (uucpd) TCP 540 Open Windows TCP UDP 2000 X Windows TCP UDP 6000+ Phần lớn dịch vụ RPC khơng có số cổng cố định Bạn nên tìm cổng có dịch vụ chặn lại Cisco khuyên nên chặn tất cổng UDP trừ DNS Chú ý : Cisco khuyên bạn nên lọc dịch vụ finger cổng 79 để ngăn chặn người ngồi tìm hiểu cấu trúc thư mục người dùng tên host mà người dùng đăng nhập danh sách truy cập "đầu vào" Trong Software Release 9.21, Cisco giới thiệu khả gán danh sách truy cập "đầu vào" cho interface Điều cho phép người quản trị lọc gói tin trước chúng qua router Trong nhiều trường hợp, danh sách truy cập "đầu vào" danh sách truy cập "đầu ra" đạt tính nhau; nhiên, danh sách truy cập "đầu vào" ưa thích với số người dùng để ngăn chặn vài kiểu che giấu địa danh sách truy cập "đầu ra" khơng cung cấp đủ độ bảo mật Hình 3-3 minh họa host bị đánh lừa Ai bên mạo nhận đến từ mạng 131.108.17.0.Router interface cho gói tin đến từ 131.108.17.0.Để tránh việc này, input access list áp dụng cho router interface bên ngồi Nó chặn gói tin từ ngồi vào với địa nguồn mạng nội mà router biết (17.0 18.0) Hình 3-3 : Nếu bạn có nhiều mạng nội nối với firewall router router dùng lọc "đầu ra", lưu thông mạng nội bị ảnh hưởng lọc Nếu lọc "đầu vào" dùng với router interface với bên ngồi, mạng nội khơng bị ảnh hưởng đáng kể Chú ý : Nếu địa sử dụng source routing, gửi nhận thơng qua firewall router Vì lý này, bạn nên vơ hiệu hóa source routing router với lệnh no ip source-route Cấu hình Firewall Communication Server Trong viết này, firewall communication server có modem line interface Ethernet ip address B.B.13.2 255.255.255.0 ! access-list 10 deny B.B.14.0 0.0.0.255 access-list 10 permit B.B.0.0 0.0.255.255 ! access-list 11 deny B.B.13.2 0.0.0.0 access-list 11 permit B.B.0.0 0.0.255.255 ! line login tacacs location FireWallCS#2 ! access-class 10 in access-class 11 out ! modem answer-timeout 60 modem InOut telnet transparent terminal-type dialup flowcontrol hardware stopbits rxspeed 38400 txspeed 38400 ! tacacs-server host B.B.1.100 tacacs-server host B.B.1.101 tacacs-server extended ! line vty 15 login tacacs Xác định danh sách truy cập Trong ví dụ này, số hiệu mạng dùng phép hay từ chối truy cập;do khoảng IP chuẩn sử dụng (từ đến 99 ) Với kết nối từ bên đến modem lines, gói tin từ host mạng nội Class B gói tin từ host firewall subnetwork cho phép: access-list 10 deny B.B.14.0 0.0.0.255 access-list 10 permit B.B.0.0 0.0.255.255 Những kết nối cho phép đến hosts mạng nội communication server access-list 11 deny B.B.13.2 0.0.0.0 access-list 11 permit B.B.0.0 0.0.255.255 Áp dụng danh sách truy cập với đường kết nối Áp dụng danh sách truy cập với đường kết nối lệnh access-class Trong viết này, hạn chế danh sách truy cập 10 áp dụng cho kết nối đến với đường kết nối 2, hạn chế danh sách truy cập 11 áp dụng cho kết nối với đường kết nối line access-class 10 in access-class 11 out Sử dụng banners để tạo thơng báo Ta dùng cấu hình banner exec để tạo thơng báo, tất kết nối Ví dụ, communication server, bạn đưa vào thông điệp sau : banner exec ^C If you have problems with the dial-in lines, please send mail to helpdesk@CorporationX.com If you get the message "% Your account is expiring", please send mail with name and voicemail box to helpdesk@CorporationX.com, and someone will contact you to renew your account Unauthorized use of these resources is prohibited Bảo vệ dịch vụ ngồi chuẩn Có nhiều dịch vụ ngồi chuẩn từ Internet Trong trường hợp kết nối vào Internet, dịch vụ tinh vi phức tạp Ví dụ dịch vụ World Wide Web (WWW), Wide Area Information Service (WAIS), Gopher Mosaic Hầu hết hệ thống liên quan đến việc cung cấp thông tin cho người dùng theo cách tổ chức khác nhau, cho phép tim kiếm thơng tin cách có cấu trúc Phần lớn hệ thống có giao thức riêng Một vài trường hợp Mosaic sử dụng nhiều giao thức để nhận thông tin Bạn phải cẩn thận thiết kế danh sách truy cập áp dụng với dịch vụ Trong nhiều trường hợp, danh sách truy cập có liên quan đến mối liên quan dịch vụ Tổng kết Mặc dù viết minh họa cách sử dụng tính mức network-layer Cisco để tăng cường tính bảo mật cho mạng IP, để có bảo mật nghĩa, bạn phải quan tâm đến tất hệ thống tất mức Tài liệu tham khảo Cheswick, B and Bellovin, S Firewalls and Internet Security Addison-Wesley Comer, D.E and Stevens, D.L., Internetworking with TCP/IP Volumes I-III Englewood Cliffs, New Jersey: Prentice Hall; 1991-1993 Curry, D UNIX System Security—A Guide for Users and System Administrators Garfinkel and Spafford Practical UNIX Security.O'Reilly & Associates Quarterman, J and Carl-Mitchell, S The Internet Connection, Reading, Massachusetts: Addison-Wesley Publishing Company; 1994 Ranum, M J Thinking about Firewalls, Trusted Information Systems, Inc Stoll, C The Cuckoo's Egg Doubleday Treese, G W and Wolman, A X through the Firewall and Other Application Relays Requests For Comments (RFCs) RFC 1118 "The Hitchhiker's Guide to the Internet." September 1989 RFC 1175 "A Bibliography of Internetworking Information." August 1990 RFC1244 "Site Security Handbook." July 1991 RFC 1340 "Assigned Numbers." July 1992 RFC 1446 "Security Protocols for SNMPv2." April 1993 RFC 1463 "FYI on Introducing the Internet—A Short Bibliography of Introductory Internetworking Readings for the Network Novice." May 1993 RFC 1492 "An Access Control Protocol, Sometimes Called TACACS." July 1993 Internet Directories Documents at gopher.nist.gov The "Computer Underground Digest" in the /pub/cud directory at ftp.eff.org Documents in the /dist/internet_security directory at research.att.com