Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 65 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
65
Dung lượng
421,5 KB
Nội dung
1.Giới thiệu Switch hướng dẫn và điều khiển nhiều dòng dữ liệu đi ngang qua mạng máy tính. Sự hướng dẫn này cung cấp công nghệ giúp nhà quản trị mạng tối ưu hệ thống mạng. Sử dụng những thông tin được trình bày ở đây để cấu hình Switch điều khiển truy xuất, hạn chế tấn công, tấm chắn bảo vệ cho những hệ thống mạng khác, và bảo vệ tính toàn vẹn và tính bảo mật của lưu thông mạng. Sự hướng dẫn này cũng có thể giúp cung cấp thông tin bảo mật bằng cách miêu tả những vấn đề bảo mật liên quan đến tình trạng mạng(Switch) mà nó là 1 phần của mạng máy tính. Sự hướng dẫn này cũng đáp lại 1 lượng lớn câu hỏi và yêu cầu từ The System and Network Attacks Centrer(SNAC). Những chủ đề này được thảo luận và chọn lựa dựa trên những quan tâm cơ bản của khách hàng và những vấn đề ở SNAC về bảo mật mạng. Nhiệm vụ chính của sự hướng dẫn này là làm tối ưu sự bảo mật trong Switch sử dụng mô hình mạng hoạt động Department Defense. Sự hướng dẫn này trình bày bảo mật mạng ở tầng 2(Data Link) của mô hình tham chiếu OSI. Một mạng phân cấp được giới thiệu mà giải thích về những loại Switch được sử dụng trong 1 mạng máy tính. Sau đó là tính dễ bị tổn thương và sự đối phó tương ứng được miêu tả theo những topic sau: operation system; password; management port; network service; port security; system avaleblity; virtual local area network; spanning tree protocol; access control list; logging and debugging; authentication, authorization and accounting. Những chủ đề cao hơn được khai báo cho công việc tương lai trong hướng dẫn này. Những file cấu hình ví dụ cho 2 mẫu Switch của Cisco mà nó phối hợp nhiều sự đối phó nhất. Và cuối cùng 1 danh sách kiểm tra tóm lược lại những sự đối phó đó. 2 Mạng phân cấp: Trong một mạng phân cấp rõ ràng, có 3 lớp được khai báo: access, distribution, core. Trong 1 mạng doanh nghiệp, mối tầng cung cấp 1 chức năng khác nhau. Bởi vì những tầng đó không phải lúc nào cũng nhận biết được tên truyền thống của mình, những cái tên được tham chiếu đến như: access hay workgroup, distribution hay policy, và core hay backbone. Tầng access hay workgroup thì kết nối đến người dùng. Chức năng khác của tầng này là được chia sẽ băng thông, Switched bandwith, lọc địa chỉ Media Access control(MAC) và phân đoạn. Local Area Network tồn tại hầu hết phổ biến trong tầng access. Distribution hay policy thực thi sự phức tạp và những tính toán xử lý chuyên sâu như: lọc, định tuyến liên Vlan, sự duy tri cây multicast, khai báo vung multicast và broadcast và địa chỉ , tổng các vùng. Tâng này cũng bao gồm Server cục bộ. Router, Lan Switch, Switched với khả năng định tuyến tâp trung trong tầng Distribution. Tầng Core hay Backbone là xương sống của mạng. Nó có tốc độ cao và liên quan đến việc chuyển mạch nhanh traffic. Nó thì không bao gồm sự thao tác gói tin ở phạm vi rộng. Những Server trung tâm cũng cần phải được gắn vào phần high-speed backbone trong tầng Core. Switch routers, high-speed routers, và đôi khi là Switch LAN có thể được tìm thấy trong tầng này. Sơ đồ mạng sau đây phục vụ như là 1 điểm tham chiếu cho sự hướng dẫn. Hai Switch 3550 của Cisco nằm trên đỉnh của sơ đồ hoạt động ở tầng Access. Hai Switch 6500 của Cisco cung cấp khả năng phối hợp chức năng cho tầng Distribution và Core. Tất cả những yêu cầu bảo mật trong sự hướng dẫn này đều tham chiếu đến sơ đồ này. Sơ đồ này chỉ đại diện kiến trúc mạng được khuyến cáo; có rất nhiều kiến trúc khác nhau mà có thể sử dụng được 3. Hệ Điều Hành 3.1. Tính Nguy Hiểm: Nếu một hệ thống không tiếptục hoạt động thì Switch dễ bị ảnh hưởng bở những thông tin tập trung tấn công mạng. Những kẻ tấn công tìm điểm yếu trong những phiên bản IOS hiện tại. Những tính năng bảo mật mới được thêm vào trong các phiên bản ISO mới. IOS của cisco cũng tương tự như những IOS khác với sự mong đợi là chịu đựng những điểm yếu đó. 3.2. Giải Pháp: Cài đặt phiên bản IOS mới nhất cho mỗi Switch. Cisco luon đưa ra những IOS mới, một sự nâng cấp đem lại lợi ích cho việc bảo mật nhưng nếu điều này thực hiện không chính xác thì nó sẽ làm Switch bị tổn thương. Nó thật quan trọng để ghi nhớ rằng việc nâng cấp IOS mới chỉ được hoàn thành bằng việc thay thế IOS hiện hành trên Switch. Nó thì không có khả năng cải thiện hoặc vá lỗi IOS đã cài đặt. Cập nhật một IOS có thể đụng chạm đến 1 Switch và khả năng hoạt động của mạng. Ví dụ như hiệu năng của Switch có thể bị ảnh hưởng để làm giảm thời gian chết cho việ nâng cấp hoặc những đặc tính mà nó hoạt động không đúng chức năng sau khi nâng cấp. Nó thật quan trọng để đọc và hiểu các ghi chú cho những phiên bản IOS 1 cách tổng hợp trước khi cài đặt nó phải chắc chắn rằng phiên bản này hỗ trợ đầy đủ những tính năng mà Switch cần trong mạng. Để chuẩn bị cho việc nâng cấp nếu hiệu năng của Switch hay bảo mật bị tổn thương, nếu điều này xảy ra thì thay thế 1 Switch bằng 1 Switch dự phòng để thực thi việc nâng cấp offline mà không làm mạng bị gián đoạn. Trong mạng với nhưng Switch dự phòng, nâng cấp Switch dự phòng từng phần và xác minh lại sự thành công trước khi nâng cấp phần khác. 3.2.1 Những phiên bản IOS thu được. Cisco tạo ra những phiên bản IOS mới để tạo nên sự đa dạng của những cơ chế và dễ dàng bảo trì. Nếu người quản trị có một thoả thuận có trung tâm bảo trì của Cisco thì người quản trị có thể tải phiên từ trung tâm phần mền trên website của Cisco. Sau khi tải xuống hãy kiểm tra kích thước của phiên bản. Trong lúc lựa chọn phiên bản IOS và trình tự download trên website của Cisco, người quản trị sẽ được đưa cho chiều dài của phiên bản trong những bytes. In trang web tóm lượt bao gồm chiều dài và MD5 checksum cho phiên bản IOS mong muốn. Luôn so sánh MD5 checksum phiên bản được tải và MD5 checksum phiên bản trên trang web. Nếu checksum không phù hợp thì huỷ phiên bản đó và tải nó xuống một lần nữa. Xác định phiên bản nào cần cho Switch thì người quàn trị cần xem xét các nhân tố sau: Tính năng sẵn sang, tình trạng phiên bản, giá, số lượng required memory và bug history. Để biết chi tiết về các phiên bản hãy tham chiếu những tran Web sau của Cisco: http://www.cisco.com/en/US/products/sw/iosswrel/products_ios_cisco_ios_softw are_category_home.html http://www.cisco.com/warp/public/732/releases/packaging/ 3.2.2 Trước khi cài đặt phiên bản mới Sau đây là danh sách kiểm tra trước khi cài đặt IOS phiên bản mới cho mỗi Switch. 1. Xác định số lượng bộ nhớ. Những loại Switch của Cisco có hai loại bộ nhớ cơ bản: Ramdom Access Memmory(RAM) và Flash. Những phiên bản IOS của Cisco yêu cầu cấn có một bộ nhớ tối thiểu. Đừng cài đặt phiên bản mới trừ khi Switch cần được nâng cấp để phù hợp yêu cầu về bộ nhớ cho cả hai RAM và Flash.( Thông thường một phiên bản mới thì tốn nhiều bộ nhớ hơn). Dùng lệnh show version dể9 kiểm tra bộ nhớ và phiên bản nào đang chạy trên Switch Switch> show version Cisco Internetwork Operating System Software IOS (tm) c6sup2_rp Software (c6sup2_rp-PSV-M), Version 12.1(13)E6, EARLY DEPLOYMENT RELEASE SOFTWARE (fc1) System image file is "sup-bootflash:c6sup22-psv-mz.121-13.E6.bin" cisco Catalyst 6000 (R7000) processor with 112640K/18432K bytes of memory. 381K bytes of non-volatile configuration memory. 32768K bytes of Flash internal SIMM (Sector size 512K). Configuration register is 0x2102 Những phần gạch chân của ví dụ trên là phiên bản ISO, model Switch, dung lượng của RAM và Flash. Để tính toán tổng dung lượng cùa RAM đơn giản chỉ thêm hai phần bắt buộc vào kích cờ của RAM. Ví dụ trên cho thấy Switch có bộ nhớ Ram là 128M. Thật quan trọng để biết kích thước của Switch Model và dung lượng của bộ nhớ trước khi thử một phiên bản IOS mới. 2. Kiểm tra file cấu hình chuyển giao trên Switch. Tải những phiên bản IOS mới cho Switch bằng việc sử dụng TFTP hoặc FTP(sẵn có chỉ trong phiên bản ISO 12.0 hoặc những phiên bản về sau). Phải chắc chắn rằng server TFTP và FTP được thiết lập cho phép upload và download dữ liệu. Và cũng chắc chắn Switch phải kết được với server. Copy phiên bản mới vào trong thư muc download của sever. Nếu có sẵn FTP thì hãy sử dụng FTP vì FTP cung cấp chứng thực trong khi TFTP thì không. Mặt dù TFTP được hỗ trợ bởi tất cả các phiên bản IOS nhưng nó không phải là một dịch vụ an toàn và bình thường không cần chạy trên bất kì hệ thống an toàn nào. Nếu không có sẵn FTP thì sử dụng TFTP cho việc nâng cấp và ngay sau đó vô hiệu hóa nó một lần nữa. Nếu có thể, thì nên kết nối TFTP server với Switch qua một mạng riêng biệt, không nên kết nối qua một mạng dùng chung. Việc này cũng có thể sử dụng VLAN. 3. Schedule Switch downtime Thiết lập một sự nâng cấp tới Switch lợi dụng downtime. Nếu sự nâng cấp diễn ra tốt thỉ thời gian downtime có thể là 30 phút hoặc ít hơn. Tuy nhiên, nếu sự nâng cấp không tốt hoặc người quản trị ra ngoài thì downtime có thể là vài giời. Hoạch định thời gian nâng cấp và thong tin người dùng khi cần. 4. Đọc quá trình sau cho việc nâng cấp phiên bản mới. Xem lại toàn bộ quá trình trước khi cài đặt IOS. Kèm theo phải thuộc tất cả các lệnh IOS 3.2.3. Quá trình cài đặt Phần này giới thiệu cách cài đặt phiên bản IOS mới của Cisco. Quá trình này thì duy trì. Nếu làm theo quá trình thì người quản trị có thể tránh được rủi ro và có thể khôi phục lại phiên bản cũ nếu cần thiết. Quá trình cài đặt theo ba bước sau: Backup, load và test. Giai đoạn backup, các bước 1-3, bao gồm việc sao chép, chạy và cấu hình phiên bản IOS lên FTP và TFTP server cho safekeeping. Giai đoạn cài đặt, bước 4 bao gồm việc tải phiên bản IOS mới. Giai đoạn kiểm tra, bước 5 bao gồm việc kiểm tra phiên bản mới và chạy thành công trên cấu hình cũ. Những bước mô tả bên dưới bao gồm những ví dụ thích hợp. 1. Log vào cổng console Switch Nó tốt nhất thì cho việc cài đặt phiên bản mói từ system console đúng hơn từ một mạng login vào. Console sẽ cho thấy những thong điệp về tình trạng quan trọng về những bước đi cùa việc cài đặt đó thì không rõ ràng. Nâng lên đặt quyền sử dụng. 2. Backup phiên bàn IOS hiện thời. Sao chép phiên bản hiện thời sử dụng một trong những ví dụ thích hợp sau: Dùng FTP: Switch# archive upload-sw ftp://netwadmin:G00dpa55@10.1.6.1/IOS- images/c3550-i9k212q3-tar.121-11.EA1a.tar Trong đó netwadmin là username, G00dpa55 là password, IOS-images là thư mục trên FTP server, c3550-i9k212q3-tar.121-11.EA1a.tar là file images. Dùng TFTP: Switch# copy flash tftp Switch sẽ nhằc nhở địa chì IP của TFTP server. Nếu bước này thất bại thì nó sẽ không thực hiện, hủy bỏ việc nâng cấp và kiểm tra cấu hình server trước khi thử lại một lầ nữa. 3. Backup cấu hình hiện đang chạy. Sao chép cấu hình hiện đang chạy sử dụng thích hợp một trong những ví dụ sau: Dùng FTP: Switch# copy system:running-config ftp://netwadmin:G00dpa55@10.1.6.1/configs/switch-confg Trong đó netwadmin là username, G00dpa55 là password, IOS-images là thư mục trên FTP server, c3550-i9k212q3-tar.121-11.EA1a.tar là file images. Dùng TFTP: Switch# copy running-config tftp Switch sẽ nhằc nhở địa chì IP của TFTP server. Nếu bước này thất bại thì nó sẽ không thực hiện, hủy bỏ việc nâng cấp và kiểm tra cấu hình server trước khi thử lại một lầ nữa. 4. Tải phiên bàn TOS mới. Sao chép phiên bản IOS mới sử dụng thích hợp các ví dụ dưới đây. Hầu hết các Switch của Cisco tự động flash trong bước này. Còn nếu có hỏi có xóa flash không thì câu trả lời là có Dùng FTP: Switch# archive download-sw /imageonly /overwrite ftp://netwadmin:G00dpa55@10.1.6.1/IOS-images/c3550-i9k212q3- tar.121-13.EA1a.tar Dùng TFTP: Switch# copy flash tftp Switch sẽ nhằc nhở địa chì IP của TFTP server. Sao chép không thì Switch sẽ tự động reboot, nếu không thì reboot lbình thường sử dụng lệnh reload. Nếu việc cài đặt mới qua một mạng kết nối thì kết nối sẽ bị đức tại thời điểm này. Switch# reload Proceed with reload? [confirm] y 5. Xác định phiên bản IOS mới và khời động images. Khi sử dụng console, đổng hồ và khởi động thong điệp trên Switch để xác nhận phiên bản IOS và khởi dộng images. Sử dụng một kết nối mạng, lập lại kết nối tại điểm này. Kiểm tra phiên bản ISO và khởi động images bằng dòng lệnh show version. Xác nhận tình trạng cấu hình bằng lệnh show running-config . Kiểm tra tình trạng interface bằng dòng lệnh show interface brief. Phụ thuộc vào tốc độ mạng và switch model, thủ tục này có thể mất từ 5-20 phút. Chú ý rẳng, vài switch model của Cisco cũ, thì nhửng bứơc chuyên biệt vè phần cứng thì cần thiết. 3.2.4 Khôi phục cài đặt. Nếu kiểm tra thấy vấn để trên Switch sau nâng cấp thì người quản trị có thể khôi phục lại phiên bản trước đây. Đơn giản theo thủ tục được mô tả ở trên, khởi động bước 3. Trong bước 3, sử dụng một tên khác cho việc đang chạy câu hình hơn sử dụng thòi gian thủ tục nâng cấp. Trong bước 4, tải sao chép file backup phiên bản IOS cũ. Chú ý nếu người quản trị nâng cấp từ một phiên bản chính thì hoặc tương tự thì cất giữ cấu hình có thề không làm việc chính xác khi người quản trị trả lại phiên bản trước đây. Trong trường hợp đó hãy khôi phục cấu hình trong bước 3. 3.2.5 Bổ sung sự an toàn liên quan. Trước hết việc sử dụng TFTP server trong việc cài đặt được mô tả trước đó là một mối quan tâm vì TFTp không cung cấp sự an toàn. Như vậy thật là phê bình khi người quản trị bảo vệ giao dịch TFTP và server khỏi những cuộc tấn công. Có vài cách để tiếp cận việc làm này, nhưng đơn giản nhất là chằc chắn traffic TFTP không đi ngang qua những mạng thù địch. Luôn không bật dịch vụ TFTP trên server và vô hiệu hóa nó sau khi quá trình cài đặt kết thúc. Thứ hai, bất cứ nơi nào làm bất kì loại sao chép backup nào trên một Switch người quản trị có thể làm lộ password mã hóa. Cách đơn giản nhất để giảm nhẹ nó là sử dụng enable setrec sau khi cài đặt. Thứ ba, nhiều mặc định khác nhau đặt giữa nhiều phiên bản IOS. Vài sự thiết đặt này có thể ảnh hưởng đến sự an toàn của Switch. Trong những phiên bản mới nó đề nghị các dịch vụ không giới thiệu những phiên bản cũ hơn. Như vậy thật quan trọng khi đọc và đi theo những ghi chú cho một phiên bản IOS mới. 4. Passwords 4.1 Tính dễ bị tổn thương Các IOS Switch của Cisco có 2 cấp độ mặc định để truy xuất: user(level 1) và privileged(level 15). Cấp độ User được truy xuất 1 cách điển hình bởi kết nối Telnet hay SSH bằng dây Console đến Switch. Cấp Privileged được truy xuất sau khi cấp User được thiết lập. Mỗi cấp thường được cấu hình password. Ở cấp privileged có thể cấu hình với câu lệnh “enable” password, hay “enable secret” password. Câu lệnh “enable secret” password thì được bảo vệ cao hơn “enable” password , sử dụng chức năng dựa trên kỹ thuật băm MD5. Chi tiết về tính năng dễ bị tổn thương liên quan phần password bao gồm những phần sau: Mặc định, 1 Switch của Cisco biễu diễn password ở dạng Plaintext khi sử dụng câu lệnh “enable” password. Nếu 1 kẻ tấn công có thể tập hợp những thông tin cấu hình của Switch từ mạng sử dụng 1 người phân tích mạng, sau đó kẻ tấn công có thể sử dụng password đó để truy xuất vào hệ thống này. Nếu câu lệnh “enable secret” password không được cài đặt hay cài đặt 1 password yếu, khi đó 1 kẻ tấn công có thể giành được quyền truy cập ở cấp privileged để lấy hoặc thay đổi thông tin trên Switch.Cũng vậy việc cài đặt cùng password cho các Switch khi dùng câu lệnh “enable secret” password cung cấp 1 điểm đơn lẻ không thích hợp bởi vì 1 Switch bị thoả hiệp sẽ gây nguy hiểm cho những Switch khác. Và cuối cùng, việc sử dụng cùng 1 password cho nhiều Switch khi sử dụng câu lệnh “enable secret” password thì cho phép 1 sự thoả hiệp tiềm tàng; Bởi vì việc đặt password có thể ở dạng Plaintext và khi đó có thể bị thu thập trên mạng mà có 1 nhà phân tích mạng. Một kẻ tấn công người mà có thể thu thập password của Switch có thể giành được quyền truy xuất ở cấp privileged cho lần sau. 4.2 Giải pháp giải pháp sau đây sẽ giới hạn tính dễ bị tổn thương về phần Password trong Switch của Cisco. Giải pháp được miêu tả cho dây Console, dây virtual terminal và Username trong phần Management Port và Network Services Sự mã hoá cơ bản được cung cấp cho việc cấu hình bằng câu lệnh “enable” password . Sử dụng câu lện sau đây: Switch(config)# service password-encryption Cấu hình “enable secret” password trên mỗi Switch của Cisco. Không được cấu hình bất kỳ câu lệnh “enable” password nào trên bất kỳ Switch của Cisco. Trừ khi nó cần được thiết lập cho nhiều cấp độ truy xuất ngoại trừ cấp độ mặc định. Sử dụng những dòng hướng dẫn sau để tạo password an toàn: password ít nhất là 8 ký tự; không là những từ cơ bản; và thêm vào ít nhẩt 1 ký tự đặc biệt hay số như:!@#$%^&*()|+_ ; thay đổi password ít nhất là 3 tháng 1 lần; Sử dụng 1 password duy nhất cho câu lệnh “enable secret” password trên mỗi Switch. Và cũng sử dụng những password khác nhau cho mỗi cài đặt khác nhau trên cùng 1 Switch(telnet, ). Sử dụng câu lệnh sau đây để bật tính năng “enable secret” password(r3a117-GOOD -psw 6) Switch(config)# enable secret r3a117-GOOD -psw 6 5 Quản lý Port 5.1 Tính dễ bị tổn thương Một hệ điều hành của Switch Cisco có quản lý port, dây Console(line con 0) mà nó cung cấp sự truy xuất trực tiếp đến Switch cho sự quản trị. Nếu sự quản lý port được cài đặt quá lỏng lẻo thì Switch có thể bị ảnh hưởng bởi các cuộc tấn công.Và chi tiết về tính dễ bị tổn thương của việc quản lý Port bao gồm những phần sau đây: Một Switch với 1 management port sử dụng tài khoản user mặc định cho phép kẻ tấn công cố găng tạo kết nối sử dụng 1 hoặc nhiều tài khoản mặc định được biết đến(administrator, root, security) Nếu 1 Switch có 1 management port mà không cài password, password mặc định hay password yếu, khi đó 1 kẻ tấn công có thể đoán được pass hay crack chúng và lấy hoặc thay đổi thông tin trên Switch. Cũng vậy việc cài cùng password trên nhiều Switch cung cấp 1 điểm đơn của sự hỏng hóc. Kẻ tấn công, người mà thỏa hiệp được 1 Switch sẽ thỏa hiệp được với các Switch còn lại. Cuối cùng việc cài đặt cùng 1 password cho cả management port và những cài đặt khác trên Switch cho phép sự thỏa hiệp tiềm tàng bởi vì password được cài đặt ở dạng Plaintext có thể bị thu thập trong 1 mạng mà có người phân tích mạng. Kẻ tấn công người mà thu thập được password telnet từ traffic mạng có thể truy cập vào management port của Switch lúc khác. Nếu một kết nối đến Switch sử dụng management port mà không cài đặt thời gian Timeout hoặc cài đặt khoảng thời gian Timeout lớn (lớn hơn 9 phút), khi đó kết nối sẽ sẵn sang cho 1 kẻ tấn công hack chúng. Một Banner đưa ra ghi chú cho bất kỳ người nào kết nối đến Switch mà nó thì được chứng thực và sẽ bị theo dõi cho bất kỳ hành động nào.Toà án sẽ bỏ qua trường hợp chống lại người mà tấn công vào một hệ thong không có Banner cảnh báo. 5.2 Giải pháp Hầu hêt phương pháp bảo đảm cho việc quản trị Switch thì nằm ngoài việc quản lý nhóm. Phương pháp này không trộn lẫn việc quản lý traffic với việc thao tác traffic.Việc quản lý ngoài nhóm sủ dụng dành cho những hệ thống và truyền thông. Sơ đồ 1 chỉ ra 1 dây Serial kết nối đến Server và chia việc quản lý các máy tính ngoài cổng Console kết nối đến các port của Switch Giải pháp này thỉ đủ cho nhiều chức năng quản lý. Tuy nhiên Network-based, ngoài việc truy xuẫt thích hợp cho những chức năng chính xác(cập nhật IOS), nó còn bao gồm việc sử dụng Virtual Local Area Network (VLAN) và được miêu tả trong giải pháp cho VLAN 1 trong phần Virtual Local Area Networks Giải pháp sau đây sẽ làm giảm tính dễ bi tổn thương khi sử dụng dây Console trên mỗi Switch: Cài đặt một tài khoản duy nhất cho mỗi nhà quản trị khi truy xuất bằng dây Console. Lệnh sau chỉ ra 1 ví dụ về việc tạo 1 tài khoản ở cấp privilged và cài đặt cấp pri vilege thành mặc định(0) cho dây Console . Ỏ câp privileged 0 là cấp thấp nhât của Switch Cisco và cho phép cài đặt rất ít lệnh. Người quản trị có thể làm tăng cấp privileged lên 15 bằng câu lệnh enable. Cũng vậy, tài khoản này cũng có thể được truy xuất từ dây virtual terminal. Switch(config)# username ljones privilege 0 Switch(config)# line con 0 Switch(config-line)# privilege level 0 Sử dụng những dòng hướng dẫn sau để tạo password an toàn: password ít nhất là 8 ký tự; không là những từ cơ bản; và thêm vào ít nhẩt 1 ký tự đặc biệt hay số như:!@#$ %^&*()|+_ ; thay đổi password ít nhất là 3 tháng 1 lần. Sử dụng Switch(config)# username ljones secret g00d-P5WD Switch(config)# line con 0 Switch(config-line)# login local 6. Dịch vụ mạng. 6.1. Tính dễ bị tổn thương Những IOS Switch của Cisco có thể có một số dịch vụ mong đợi được phép. Nhiều những dịch vụ tiêu biểu này không cần thiết cho một thao tác bình thường cho sự chuyển đổi; tuy nhiên nếu những dịch vụ này được bật len trên Switch thì nó dễ bị ảnh hưởng dến những thông tin tập trung hoặc những cuộc tấn công mạng. Những đặc tính hoặc cấu hình không đầy đủ cho những dịch vụ mạng trên Switch có thể dẫn dắt đến những thỏa hiệp. Hầu hết những dịch vụ này sử dụng một trong những cơ chế stranport tại lớp 4 trong mô hình OSI RM: TCP, UDP. Những tính dễ bị tổn thương liên quan đến những dịch vụ mạng sau: + Những kết nối tới những dịch vụ trên Switch thì không được mã hóa, vì vậy những kẻ tấn công có thể tập hợp traffic mạng liên quan dến những dịch vụ mạng để phân tích một mạng. Traffic này có thể chứa usermane, password hoặc thông tin cấu hính trên Switch. + Một Switch với những dịch vụ sử dụng tài khoàn mặc định cho phép những kẻ tấn công tạo và sử dụng một kết nối hoặc hơn tài khoàn mặc định những tài khoàn nổi tiếng như(administrator, root, security). + Nếu một Switch có một dịch vụ mạng không đặt password, password mặc định hoặc password đơn giản , thì kẻ tấn công có thể đoán password hoặc hack nó và truy lục dữ liệu hoặc thay đổi cấu hình trên Switch. Đồng thời, việc dặt cùng mật khẩu cho những dịch vụ trên nhiểu Switch là một diểm yếu ( điểm thất bại). Những người tấn công có thể thỏa hiệp trên một Switch và dựa vào nó để thỏa hiệp đến những Switch khác. + Sự truy cập dịch vụ mạng trên Switch là cho Switch dễ bị tổn thương để tấn công. Phương pháp truy cập đó vào tất cả các hệ thống hoặc những hệ thốnt lớn hơn có thể kết nối đến Switch. + Nếu một kết nối tới dịch vụ hệ thống mạng mà không đặt thời gian timeout hoặc có thời gian timeout quá lớn (lớn hơn 9 phút), thì những kết nối có sẵn sẽ thuận tiện cho những kẻ tấn công tấn công chúng. 6.2. Giải Pháp. Nếu có thể thay vào đó việc sử dụng dịch vụ mạng (telnet) để thực hiện việc quản lí bên in-band cúa một Switch, sử dụng quản lí out-of-band (via the console port) trên mổi Switch. Quản lí out-of-band giảm bớt sự phơi bày thông tin cấu hình và password hơn quản lí in-band. Tham chiếu đến phần quản lí port chi tiết trong quản lí out-of-band. Những giải pháp sau sẽ giảm nhẹ tính dễ bị tổn thương cùa những dịch vụ mạng được bật trên Switch. Những biện pháp đối phó chia theo những loại sau: dịch vụ mạng không cần thiết và dịch vụ mạng cần thiết tiềm tàn . 6.2.1. Dịch vụ mạng không cẩn thiết: Nếu có thể thì vô hiệu hóa những dịch vụ không cần thiết trên mỗi Switch. Những lệnh sau sẽ vô hiệu hóa những dịch vụ liên quan. Trong một số trường hợp những lệnh này chỉ ảnh hưởng đến Switch toàn cục, trong khi trong những trường hợp khác nó chỉ ảnh hưởng đên một interface riêng lẻ (Fastenthernet, gigaethernet) trên Switch. Để áp dụng những cài đặt này vào một interface, sử dụng dãi dòng lệnh chỉ rõ cấu hình trên interface. Ví dụ sau dùng để đặt cho interface Gigaethernrt 6/1- 6/3 Switch(config)# interface range gigabitethernet 6/1 – 3 6.2.1.1 TCP và UDP Small servers – TCP/UDP port 7, 9, 13, 19 Cisco hỗ trợ cho “ Small Server ”( echo,discard, daytime and chargen). Hai server echo và chargen có thể sử dụng một hoặc nhiều hơn tấn công từ chối dịch vụ trên Switch. Những dịch vụ này có thể được tắt đi bằng những dòng lệnh sau: Switch(config)# no service tcp-small-servers Switch(config)# no service udp-small-servers 6.2.1.2 Bootp Server – UDP port 67 Một switch của Cisco có thẽ tác động đến Bootp Server để phân phối những hình ảnh của hệ thống tới những hệ thống khác. Trừ khi nó là những yêu cầu về thao tác, nó tốt nhất để tắt những dịch vụ những dòng lệnh sau sẽ giảm tối thiểu những hình ảnh của sự truy nhập không hợp pháp vào hệ thống trên Switch. Switch(config)# no ip bootp server 6.2.1.3 Finger – TCP port 79. Những Switch của Cisco có hỗ trợ dịch vụ Finger, mà có thể cung cấp những thông tin về người dùng đã logged vào Switch. Những dòng lệnh sau sẽ tắt dịch vụ Finger. Lệnh đầu tiên sẽ thay thế lệnh thứ hai trong những phiên bản IOS tương lai. Switch(config)# no ip finger . switchport port -security Switch(config-if)# switchport port -security violation shutdown Switch(config-if)# switchport port -security maximum 1 Switch(config-if)# switchport port -security mac-address. switchport port -security Switch(config-if)# switchport port -security violation shutdown Switch(config-if)# switchport port -security maximum 1 Switch(config-if)# switchport port -security mac-address. control and set secure options switchport port -security switchport port -security maximum 1 switchport port -security aging time 10 switchport port -security aging type inactivity # Apply any switch-wide