Xác định danh sách truy cập Trong ví dụ này, số hiệu mạng được dùng để cho phép hay từ chối truy cập;do đó khoảng IP chuẩn được sử dụng (từ 1 đến 99 ). Với những kết nối từ bên ngoài đến modem lines, chỉ những gói tin từ những host trong mạng nội bộ Class B và những gói tin từ các host trong firewall subnetwork được cho phép: access-list 10 deny B.B.14.0 0.0.0.255 access-list 10 permit B.B.0.0 0.0.255.255 Những kết nối đi chỉ được cho phép đến các hosts trong mạng nội bộ và communication server access-list 11 deny B.B.13.2 0.0.0.0 access-list 11 permit B.B.0.0 0.0.255.255 Áp dụng danh sách truy cập với các đường kết nối Áp dụng 1 danh sách truy cập với 1 đường kết nối bằng lệnh access-class. Trong bài viết này, sự hạn chế trong danh sách truy cập 10 được áp dụng cho các kết nối đến với đường kết nối 2, sự hạn chế trong danh sách truy cập 11 được áp dụng cho các kết nối đi với đường kết nối 2 line 2. access-class 10 in access-class 11 out Sử dụng banners để tạo một thông báo Ta có thể dùng cấu hình banner exec để tạo ra các thông báo, sẽ được hiện trong tất cả các kết nối. Ví dụ, trên một communication server, bạn có thể đưa vào thông điệp sau : banner exec ^C If you have problems with the dial-in lines, please send mail to helpdesk@CorporationX.com. If you get the message "% Your account is expiring", please send mail with name and voicemail box to helpdesk@CorporationX.com, and someone will contact you to renew your account. Unauthorized use of these resources is prohibited. Bảo vệ những dịch vụ ngoài chuẩn Có rất nhiều dịch vụ ngoài chuẩn từ Internet. Trong trường hợp của 1 kết nối vào Internet, những dịch vụ này có thể rất tinh vi và phức tạp. Ví dụ của những dịch vụ này là World Wide Web (WWW), Wide Area Information Service (WAIS), Gopher và Mosaic. Hầu hết những hệ thống này liên quan đến việc cung cấp thông tin cho người dùng theo những cách tổ chức khác nhau, cho phép tim kiếm thông tin một cách có cấu trúc. Phần lớn những hệ thống này có những giao thức riêng. Một vài trường hợp như Mosaic sử dụng nhiều giao thức để nhận được thông tin. Bạn phải cẩn thận khi thiết kế một danh sách truy cập áp dụng với mỗi dịch vụ. Trong nhiều trường hợp, các danh sách truy cập có liên quan đến nhau vì mối liên quan giữa các dịch vụ. Tổng kết Mặc dù bài viết này minh họa cách sử dụng các tính năng ở mức network-layer của Cisco để tăng cường tính bảo mật cho mạng IP, để có được sự bảo mật đúng nghĩa, bạn phải quan tâm đến tất cả hệ thống ở tất cả các mức Tài liệu tham khảo Cheswick, B. and Bellovin, S. Firewalls and Internet Security. Addison-Wesley. Comer, D.E and Stevens, D.L., Internetworking with TCP/IP. Volumes I-III. Englewood Cliffs, New Jersey: Prentice Hall; 1991-1993. Curry, D. UNIX System Security—A Guide for Users and System Administrators. Garfinkel and Spafford. Practical UNIX Security.O'Reilly & Associates. Quarterman, J. and Carl-Mitchell, S. The Internet Connection, Reading, Massachusetts: Addison-Wesley Publishing Company; 1994. Ranum, M. J. Thinking about Firewalls, Trusted Information Systems, Inc. Stoll, C. The Cuckoo's Egg. Doubleday. Treese, G. W. and Wolman, A. X through the Firewall and Other Application Relays. Requests For Comments (RFCs) RFC 1118. "The Hitchhiker's Guide to the Internet." September 1989. RFC 1175. "A Bibliography of Internetworking Information." August 1990. RFC1244. "Site Security Handbook." July 1991. RFC 1340. "Assigned Numbers." July 1992. RFC 1446. "Security Protocols for SNMPv2." April 1993. RFC 1463. "FYI o¬n Introducing the Internet—A Short Bibliography of Introductory Internetworking Readings for the Network Novice." May 1993. RFC 1492. "An Access Control Protocol, Sometimes Called TACACS." July 1993. Internet Directories Documents at gopher.nist.gov. The "Computer Underground Digest" in the /pub/cud directory at ftp.eff.org. Documents in the /dist/internet_security directory at research.att.com. HVA-Translator Group Tăng cường bảo mật cho mạng IP (phần 3) Router Security Principles and Goals 3. Các mục đích vŕ nguyên tắc của sự bảo mật router Các router đóng một vai trň quan trọng trong việc bảo mật mạng. Phần này trình bày những nguyên tắc cơ bản cho một router tự bảo vệ nó, bảo vệ một mạng với một router, và sử dụng một router được an toàn. 3.1 Router tự bảo vệ 3.1.1 Bảo mật về mặt vật lý Có một số cách để bảo mật một router về mặt vật lý. Phňng chứa router phải không bị nhiễu từ hoặc nhiễu tĩnh điện. Phňng phải có các bộ kiểm soát độ ẩm vŕ nhiệt độ. Nếu thấy cần thiết vì những lý do nhạy cảm hoặc cần dùng ngay, một bộ UPS phải được lắp đặt, các thŕnh phần dự phòng cùng các thứ đi kèm phải sẵn sàng để thay thế. Để giúp cho việc bŕo vệ chống lại một vài kiểu tấn công từ chối dịch vụ, và cho phép hỗ trợ rộng rãi các loại dịch vụ bảo mật nhất, router phải được cấu hěnh với dung lượng bộ nhớ lớn nhất có thể*. Đồng thời, router phải được đặt trong một phňng khóa chặt, chỉ một số ít người được phép mới vŕo. Cuối cùng, các thiết bị vật lý ( chẳng hạn như các PC card, modem) thường kết nối tới router đòi hỏi phải có sự bảo vệ về mặt lưu trữ. 3.1.2 Hệ điều hŕnh Hệ điều hŕnh cho router là một thành phần cốt yếu. Quyết địnhxem mạng cần có những đặc điểm nŕo, và dùng danh sách các đặc điểm để chọn phięn bản của hệ điều hŕnh. Tuy nhiên, không phải phiên bản mới nhất của bất kỳ hệ điều hŕnh nào cũng đều là đáng tin cậy nhất do sự phơi bày còn hạn chế của nó trong một diện rộng các môi trường mạng. Người quản trị mạng phải dùng phiên bản ổn định cuối cùng của hệ điều hành mà phù hợp với các yêu cầu về mặt đạc điểm. 3.1.3 Làm vững chãi cấu hình Một router cũng giống như nhiều máy tính, có nhiều dịch vụ chạy theo chế độ mặc định. Nhiều trong số những dịch vụ nŕy là không cần thiết và có thể được một hacker dùng để khai thác hay thu thập thông tin. Tất cả các dịch vụ không cần thiết phải được tắt đi trong cấu hěnh của router. Phần 3.3.2 thảo luận việc quản lý các cập nhật cho cấu hình của router. * Một số người đọc có thể bỏ qua lời khuyęn này; họ có thể nghĩ rằng bộ nhớ tốn tiền và vì thế nên mua một router với dung lượng bộ nhớ tối thiểu cần thiết để hỗ trợ cho công việc của nó. Điều nŕy một sự tiết kiệm sai lầm. Chi phí tăng lęn do bộ nhớ thêm thường nhỏ hơn tổng chi phí cho một router được cấu hình đầy đủ, vŕ tính linh động vŕ hiệu suất do bộ nhớ thêm mang lại hầu như luôn đáng giá khi důng dần cho số dịch vụ và người dùng dựa vào router cho hoạt động kết nối. Đồng thời, bổ sung bộ nhớ cho một router đang hoạt động đňi hỏi phải tạm dừng các dịch vụ do nó cung cấp. Ví dụ, trong cộng đồng các ISP (Internet Service Provider), một ngành kinh doanh được xem như thực hiện tốt nhất việc trang bị cho tất cả các router đang hoạt động dung lượng bộ nhớ lớn nhất mŕ nó hỗ trợ. 3.2 Bảo vệ mạng với router 3.2.1 Các vai trò trong bảo mật và các thao tác mạng Các router thực hiện nhiều công việc khác nhau trong các mạng hiện nay, nhưng trong cuộc thảo luận này, chúng ta sẽ xem xét ba phương hướng cơ bản mà các router được dùng. Các interior router Một interior router chuyển tiếp các gói tin giữa hai hay nhiều mạng cục bộ trong vòng một tổ chức hay xí nghiệp. Các mạng nối nhau bởi một interior router thường chia sẻ chính sách bảo mật giống nhau và độ tin cậy giữa chúng thường ở mức cao. Nếu một xí nghiệp có nhiều interior router, chúng thường sử dụng một Interior Gateway Protocol (tạm dịch là giao thức cầu nối nội) để điều khiển các router. Các interior router có thể bắt các gói tin mà chúng chuyển tiếp giữa các mạng chịu một số giới hạn. Hầu hết sự hướng dẫn trong sách này đều hữu dụng cho các interior router. Hình 3-1: Một interior router kết nối tới các mạng nội bộ của một xí nghiệp Các backbone router Một backbone hay một exterior router là một router chuyển tiếp các gói tin giữa các xí nghiệp khác nhau( còn được gọi là các ‘autonomous system’ khác nhau). Giao thông giữa các mạng khác nhau hình thành nên mạng Internet, được điều khiển bởi các backbone router. Độ tin cậy giữa các mạng kết nối bởi một backbone router thường rất thấp. Thông thường, các backbone router được thiết kế vŕ cấu hình để chuyển tiếp các gói tin càng nhanh càng tốt, mà không buộc các gói tin phải chịu bất kỳ giới hạn nào. Những mục đích bảo mật chính cho một backbone router là phải đảm bảo rằng sự hoạt động vŕ sự điều khiển của router chỉ được quản lý bởi những nhóm người có thẩm quyền, vŕ phải bảo vệ tính toàn vẹn của thông tin gửi qua mà nó dùng để chuyển tiếp các gói tin. Các backbone router thường dùng các Exterior Gateway Protocol(tạm dịch là các giao thức cầu nối ngoại) để điều khiển các router. Việc cấu hình cho các backbone router là công việc mang tính chuyên môn cao. Hầu hết các kỹ thuật mô tả trong sách này có thể áp dụng cho các backbone router, nhưng có thể cần phải thay đổi hoặc hiệu chỉnh lại cho phù hợp với các ứng dụng cụ thể. Hình 3-2: Các backbone router kết nối nhiều mạng với nhau Các border router Một boder router chuyển tiếp các gói tin giữa một xí nghiệp và các mạng bên ngoài. Đặc điểm chính của một border router lŕ nó tạo nên đường biên giữa các mạng nội bộ được tin cậy của một xí nghiệp và các mạng bên ngoài không được tin cậy( như Internet chẳng hạn). Nó có thể giúp bảo mật vòng ngoài của một mạng xí nghiệp bằng các sự giới hạn bắt buộc đối với các gói tin mà nó điều khiển. Một border router có thể dùng các routing protocol( tạm dịch là các giao thức gửi tin) hay nó có thể hoàn toàn dựa vào các static router( các router tĩnh). Hình 3-3: Một border router kết nối các mạng nội bộ với một mạng ngoài Thông thường, một border router không phải là thành phần duy nhất ở đường biên; nhiều xí nghiệp còn sử dụng một firewall( bức tường lửa) để áp đặt chính sách bảo mật nghiêm ngặt. . theo chế độ mặc định. Nhiều trong số những dịch vụ nŕy là không cần thiết và có thể được một hacker dùng để khai thác hay thu thập thông tin. Tất cả các dịch vụ không cần thiết phải được tắt