1. Trang chủ
  2. » Công Nghệ Thông Tin

Hacker Professional Ebook part 122 ppsx

6 205 0

Đang tải... (xem toàn văn)

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 6
Dung lượng 133,27 KB

Nội dung

-Vạch ra cách đáp ứng hay hướng dẫn phát hiện router bị xâm nhập. -Định ra các chính sách quản lý và khoảng thời gian cập nhật longterm secrect cho routing protocol, NTP, TACAS+, RADIUS, SNMP, -Định ra chính sách quản lý chính cho chìa khoá mã hoá dài hạn (nếu có) Bảo mật cấu hình động: -Xác định các dịch vụ cấu hình động được chạy trên router và những mạng được truy cập đến những dịch vụ này. -Xác định các routing protocol cần được sử dụng và những vấn đề bảo mật cần được thiết lập trên mối protocol. -Xác định cơ chế và chính sách để thiết lập đồng hồ của router (bằng tay hay dùng NTP) -Xác định thuật toán mã hoá và key tương ứng để dùng trong các phiên kết nối VPN với các mạng khác. Bảo mật dịch vụ mạng: -Liệt kê các giao thức, cổng, dịch vụ được router cho phép ở mỗi interface hay kết nối (vd, inbound hay outbound) và đưa ra những thủ tục để xác nhận quyền. -Mô tả thủ tục và vai trò bảo mật khi tương tác với nhà cung cấp dịch vụ hay nhân viên bảo hành ben ngoài. Đáp ứng khi bị xâm hại: -Liệt kê các nhân hay tổ chức sẽ được thông báo khi có xâm hại. -Định ra những thông tin cấu hình cần thiết phải giữ lại. -Định ra những thủ tuc đáp ứng, kiểm tra quyền, và mục đích của đáp ứng sau khi mạng bị xâm nhập, bao gồm cả việctìm hiểu để lưu bằng chứng và để thực thi luật pháp. HVA translator group Tăng cường bảo mật cho mạng IP (phần 5) Router Security Configuration Guide 4.3.5. Danh sách điều khiển truy cập nhanh Vài mô hình router của Cisco hỗ trợ danh sách điều khiển truy cập đã được biên dịch, gọi là “Turbo ACLs”, phần 12.1(6) của IOS, và sau đó. Nếu sử dụng danh sách điều khiển truy cập đã được biên dịch thì có thể giảm đáng kể ảnh hưởng đến quá trình thực thi khi danh sách dài. Để thiết lập chức năng này ta sử dụng lệnh chế độ cấu hình access-list compiled (Nếu IOS của bạn không hỗ trợ chức năng này thì nó sẽ phát sinh một tín hiệu lỗi nhưng vô hại) . Khi chức năng này đã được thiết lập thì IOS sẽ biên dịch tất cả các danh sách truy cập phù hợp vào bảng tra nhanh và vẫn giữ lại được các ngữ nghĩa ăn khớp nhau của chúng. Sau khi đã thiết lập các danh sách truy cập nhanh, ta có thể xem thông tin về chúng bằng lệnh show access- list compiled. Nếu bạn dùng danh sách truy cập với hơn 5 qui tắc để tăng tốc các mạch ghép nối thì bạn có thể dùng chức năng này để củng cố quá trình thực thi của router. 4.3.6. Using Committed Access Rate 4.3.6. Sử dụng Tốc độ truy cập được ràng buộc (CAR = Committed Access Rate) CAR là một dịch vụ của router cho phép các quản trị viên vài quyền điều khiển chỗ giao chung của lưu lượng vào và ra router. Bằng cách định cho các khối lưu lượng một lượng băng thông nhất định ta sẽ có thể điều chỉnh dữ liệu truyền qua router để bảo vệ lưu lượng yếu và hủy các lưu lượng quá mức băng thông cho phép đồng thời giới hạn được các lưu lượng giả tạo; tuy nhiên, công việc quan trọng nhất mà CAR làm được là giảm nhẹ các tác động gây tê liệt của các đợt tấn công DoS và các đợt tập trung chớp nhoáng. Bạn có thể dùng CAR để dành một phần băng thông của đường kết nối cho các lưu lượng quan trọng (1), hoặc để giới hạn lượng băng thông chiếm bởi một loại hình tấn công cụ thể (2). Trong trương hợp 2, có thể không phải lúc nào cũng cần giữ các qui tắc CAR nhưng phải đảm bảo lúc nào bạn cũng có thể sẵn sàng áp dụng nhanh chóng các qui tắc CAR khi phát hiện một đợt tấn công đang diễn ra. Phần này cung cấp tổng quan về CAR và một số ví dụ đơn giản. CAR Command Syntax Cấu trúc câu lệnh CAR Để cấu hình CAR bạn phải áp dụng các qui tắc về hạn chế tốc độ cho các mạch ghép nối nào mà bạn thiết lập ràng buộc lên việc sử dụng băng thông hay lưu lượng. Mỗi mạch ghép nối có thể có một tập hợp các qui tắc riêng biệt, có thứ tự theo các hướng nhận (in-bound) và gửi (out-bound). Cấu trúc tổng quát của nguyên tắc CAR ở dưới đây, đã được rút gọn. rate-limit {input | output} [access-group [rate-limit] acl] token-bit-rate burst-normal-size burst-excess-size conform-action action exceed-action action Để thêm một qui tắc cho một mạch kết nối, bạn chỉ cần nhập qui qui tắc đó trong chế độ thiết lập mạch kết nối, xem ví dụ bên dưới. Để hủy một qui tắc, nhập lại nó và thêm vào đằng trước từ khóa no. Để xem các qui luật CAR trên tất cả các mạch kết nối, sử dụng lệnh show interface rate-limit. Kết quả của lệnh sẽ là các qui tắc và vài số liệu thống kê lưu lượng về giới hạn tốc độ. Ví dụ đầu tiên dưới đây là một mẫu kết quả của lệnh này. Để biết thêm các câu lệnh của CAR, xem phần “IOS Quality of Service Solutions Command Reference” trong tài liệu documentation của IOS. Defining Rules Định nghĩa các qui tắc Mỗi một qui tắc hạn chế tốc độ được tạo bởi 3 phần: định nghĩa khối, các tham số nhóm mã thông báo token bucket, và các tiêu chuẩn thực thi. Phần định nghĩa khối của qui tắc chỉ rõ loại lưu lượng (hoặc khối gói tin :packet aggregate) mà qui tắc áp dụng. Phần này phải bao gồm hướng của lưu lượng, và có thể bao gồm luôn fine-grained traffic selection được xác định với một danh sách điều khiển truy cập. Nếu qui tắc áp dụng cho các packet đi vào router thì sử dụng từ khóa input, trái lại dùng từ khóa output. Nếu phần này bao gồm mệnh đề access- group thì qui tắc CAR chỉ áp dụng cho lưu lượng phù hợp với danh sách truy cập. (Cũng có thể áp dụng các qui tắc CAR cho các gói tin bằng phần đầu của QoS QoS header và các tiêu thức criteria khác nhưng các thứ đó ngoài phạm vi của phần sơ lược này.) Nếu xuất hiện từ khóa rate-limit thì có nghĩa là khối đã được định rõ bằng một danh sách truy cập có giới hạn tốc độ, còn nếu không thì danh sách truy cập sẽ là một danh sách IP chuẩn hoặc mở rộng. Các danh sách truy cập giới hạn tốc độ xác định các khối dựa trên thứ tự trước sau của số IP hay các địa chỉ MAC. Phần thứ hai của lệnh rate-limit bao gồm 3 tham số nhóm mã thông báo. Chức năng CAR sử dụng một mô hình nhóm mã thông báo để xác định hoặc hạn chế băng thông lưu lượng. Mô hình này cho bạn một cách thuận tiện để qui định các ranh giới của trạng thái lưu lượng cho một khối. Mẫu nhóm mã thông báo cần 3 tham số cho việc xác lập, đó là: tốc độ bit của mã thông báo, kích thước thông thường của truyền loạt lưu lượng (tính bằng byte), và kích thước truyền loạt lưu lượng khi quá giới hạn. Tham số tốc độ bit của mã thông báo phải được xác định bằng bps (bits per second = số bit trong một giây) và phải lớn hơn 8000. Nó mô tả tổng quát tốc độ cho phép cho khối. Kích thước thông thường của truyền loạt, tính bằng byte, nói chung là kích thước của một phiên giao dịch lưu lượng chuẩn theo một hướng riêng rẽ. Đối với các giao thức đơn giản, như là ICMP hoặc DNS, nó có thể đơn giản là kích thước của một thông điệp chuẩn. Kích thước khi quá giới hạn của truyền loạt cho biết kích thước lớn nhất có thể có của truyền loạt lưu lượng, trước khi khối sử dụng hết băng thông của nó. Để biết chi tiết hơn về mô hình nhóm mã thông báo, xem [9]. Phần cuối của qui tắc bao gồm 2 tiêu chuẩn thực thi. Tiêu chuẩn thứ nhất hướng dẫn router cách xử lý gói tin khi khối phù hợp với phần băng thông, tiêu chuẩn thứ hai hướng dẫn router cách xử lí khi khối vượt quá băng thông cho phép của nó. Tùy thuộc vào phiên bản IOS của bạn, có thể có nhiều đến 9 hành động, 4 hành động thường dùng nhất được mô tả dưới đây. Cấu trúc làm việc của CAR Hành động được thực thi drop Hủy bỏ gói tin. transmit Truyền đi gói tin. continue Áp dụng qui tắc hạn chế tốc độ tiếp theo. set-prec-transmit prec Thiết lập thứ tự trước sau của IP thành prec và truyền đi gói tin. Các ví dụ về CAR Trong ví dụ đầu tiên, CAR được dùng để dành ra 10% của 10MB đường truyền theo chuẩn Ethernet cho lưu lượng SMTP gởi đi, và giới hạn lưu lượng tiếng ping ICMP gởi đi xuống dưới 1% của đường truyền. Phần còn lại của băng thông đường truyền sẽ hữu dụng cho lưu lượng SMTP còn lại và tất cả các lưu lượng IP khác. Thực tế, bạn có thể muốn bắt buộc giới hạn tốc độ cho cả ngoài lẫn trong ranh giới để bảo vệ lưu lượng SMTP quan trọng. north(config)# no access-list 130 north(config)# access-list 130 permit tcp any any eq smtp north(config)# no access-list 131 north(config)# access-list 131 permit icmp any any echo north(config)# access-list 131 permit icmp any any echo-reply north(config)# interface eth0/0 north(config-if)# rate-limit output access-group 130 1000000 25000 50000 conform-action transmit exceed-action continue north(config-if)# rate-limit output access-group 131 16000 8000 8000 conform-action continue exceed-action drop north(config-if)# rate-limit output 9000000 112000 225000 conform-action transmit exceed-action drop north(config-if)# end north# show interface rate-limit Ethernet0/0 Output matches: access-group 130 params: 1000000 bps, 25000 limit, 50000 extended limit conformed 12 packets, 11699 bytes; action: transmit exceeded 0 packets, 0 bytes; action: continue last packet: 2668ms ago, current burst: 0 bytes last cleared 00:02:32 ago, conformed 0 bps, exceeded 0 bps matches: access-group 131 params: 16000 bps, 2500 limit, 2500 extended limit conformed 130 packets, 12740 bytes; action: continue exceeded 255 packets, 24990 bytes; action: drop last packet: 7120ms ago, current burst: 2434 bytes last cleared 00:02:04 ago, conformed 0 bps, exceeded 990 bps matches: all traffic params: 9000000 bps, 112000 limit, 225000 extended limit conformed 346 packets, 27074 bytes; action: transmit exceeded 0 packets, 0 bytes; action: drop last packet: 7140ms ago, current burst: 0 bytes last cleared 00:01:40 ago, conformed 2000 bps, exceeded 0 bps north# In this second example, CAR is being used to throttle a TCP SYN flood attack. Trong ví dụ 2 này, CAR đang được dùng để tiết lưu một đợt tấn công làm lụt (flood attack) vào TCP SYN. north(config)# no access-list 160 north(config)# access-list 160 deny tcp any any established north(config)# access-list 160 permit tcp any any syn north(config)# interface eth0/0 north(config-if)# rate-limit input access-group 160 64000 8000 8000 conform-action transmit exceed-action drop north(config-if)# end north# Qui tắc CAR trong ví dụ trên đơn giản hủy bỏ các gói TCP SYN đã quá giới hạn. Trong trường hợp này, lưu lượng đã được xác thực cũng có thể bị ảnh hưởng. Nếu bạn khoanh vùng được nguồn của đợt tấn công (có thể là một dải IP) thì bạn có thể bảo vệ có chọn lọc hơn bằng cách sát nhập vùng địa chỉ vào danh sách truy cập đã xác định của khối. Để xem thêm một ví dụ nữa về sử dụng CAR chống lại đợt tấn công từ chối dịch vụ DoS, xem [10]. 4.3.7. Tham khảo [1] Chapman, D. Brent and Zwicky, Elizabeth D., Building Internet Firewalls, O’Reilly Associates, 1995. Cung cấp các thông tin hữu ích về cách lọc gói tin của các dịch vụ thường dùng, như là SMTP, FTP, Telnet,

Ngày đăng: 04/07/2014, 11:20

Xem thêm

TỪ KHÓA LIÊN QUAN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN