Việc sử dụng Telnet để truy cập và quản trị các thiết bị là không an toàn, và nhiều thông tin có thể bị đánh cắp và dẫn đến một số nguy hiểm có thể xảy ra đối với hệ thống.. Nhưng Router
Trang 1Một hệ thống đang hoạt động ổn định và bạn muốn giữ trạng thái ổn định đó Hãy quan tâm đến những nguy cơ đến từ các thành phần trong hệ thống mạng của bạn từ các thiết bị phần cứng tới các ứng dụng phần mềm Và bạn là nhà quản trị mạng cho hệ thống đó bạn sẽ làm gì để giảm thiểu những nguy cơ tiềm
ẩn đó? Trong bài viết này tôi đưa ra 5 cách thức trên các thiết bị của Cisco
1: SSH Whenever Possible
Một cách nhanh chóng và dễ dàng để truy cập và quản trị các thiết bị của Cisco
là sử dụng Telnet Một cách đáng tiếc là Telnet gửi mọi thông tin dạng "clear text" Username, Password khi truyền trên mạng đều không được mã hoá Thông tin này như việc chúng ta sử dụng G.711 May mắn thay, một vài thiết bị của Cisco đã giới hạn Telnet
SSH là Secure Shell Nó hoạt động trong thế giới của Unix và gần đây đã được
sử dụng vào mục đích để thay thế cho Telnet, hỗ trợ cho cả môi trường Windows
và Mac Nó là một công cụ miễn phí, nhưng một vài nhà sản xuất dựa trên nền tảng đó để kiếm lợi nhuận Cuối cùng, những nhà phát triển của tổ chức mã nguồn mở đã chỉnh sửa một vài điểm từ phiên bản đầu tiên Kết quả là một sản phẩm SSH đã ra đời, nhưng tồn tại với nó cũng có những bản mã nguồn mở khác nhau
Cisco đã triển khai SSH vào trong các thiết bị của mình và như một biện pháp để thay thế Telnet Việc sử dụng Telnet để truy cập và quản trị các thiết bị là không
an toàn, và nhiều thông tin có thể bị đánh cắp và dẫn đến một số nguy hiểm có thể xảy ra đối với hệ thống Cisco đã bắt đầu quan tâm đến và triển khai vào các thiết bị với SSH v2 Nhà sản xuất cũng cung cấp SSH v1 bởi IPSec sẽ được triển khai trên phiên bản này và cho phép người quản trị truy cập vào các thiết bị một cách an toàn
Thiết lập SSH tương tự như quá trình cho phép router sử dụng "digital
certificates" trong IPSec Trước khi bắt đầu bạn phải được xác thực bởi router
Nó không mất quá 30 phút để bạn có thể xử lý được những sự cố liên quan đến việc cấu hình này Một việc đầu tiên là bạn phải tạo ra cặp key public/private Trước khi thực hiện bạn phải cấu hình router với domain
(config)# ip domain-name abccompany.com
(config)# crypto key generate rsa
Dòng đầu tiên để router sẽ là thành viên trong domain abccompany.com trong khi dòng thứ hai sẽ bắt đầu tạo ra một cặp khoá public/private Khi thực hiện, bạn sẽ phải khai báo độ lớn của cặp khoá mà bạn sử dụng Và buộc chúng phải
có cùng độ lớn trên client và trên router Độ lớn của các khoá nó sẽ tự động tạo
ví như trên Router 2500, một key 512 bit sẽ được tạo ra trong khoảng 45 giây một lần
Dưới đây là các câu lệnh cho phép bạn quản trị SSH
Trang 2(config)# ip ssh time-out 30
(config)# ip ssh authentication-retries 2
(config-line)# transport input ssh
Dòng đầu tiên giới hạn thời gian khi không được thực hiện trong bao nhiêu phút
sẽ bị ngắt kết nối Bạn có thể thiết lập thời gian đó ngắn hơn Nhưng thiết lập phần này để bạn yên tâm kết nối của bạn sẽ vẫn được đảm bảo trong thời gian bạn giải lao Dòng lệnh thứ hai giới hạn số lần cố gắng xác thực của người dùng Dòng lệnh thứ ba, sẽ làm việc với mode VTY, giới hạn các dạng kết nối và cổng VTY nào để nhận các thông tin Và trong dòng lệnh này ý nghĩ là chỉ cho phép cổng VTY chỉ cho phép các phiên làm việc với SSH
Lưu ý chỉ sử dụng được SSH khi IOS của router có khả năng mã hoá
"encryption-capable" Router phải có khả năng về các quá trình truyền tin mã hoá dạng DES hay 3DES Rất nhiều SSH clients có khả năng mã hoá dữ liệu sử dụng các thuật toán mã hoá khác nhau Nhưng Router của Cisco chỉ có thể mã hoá các phiên làm việc SSH sử dụng DES và 3DES
Bạn có thể cấu hình SSH cho IOS phiên bản 12.2 tại:
http://www.cisco.com/univercd/cc/td/doc/product/software/ios122/122cgcr/fsecur_ c/fothersf/scfssh.htm
Một vài thiết bị khác của Cisco cũng có khả năng sử dụng SSH bao gồm PIX firewall và một vài dòng Catalyst Switchs Phiên bản IOS hỗ trợ cho SSH là từ phiên bản 12.0 và 12.1 tuy nhiên chúng có một vài lỗi trong mã SSH Nếu bạn muốn thực sự bảo mật trong quá trình quản trị, bạn nên dùng phiên bản IOS v 12.2
SSH clients bạn có thể rất dễ tìm thấy: trên nền Unix bạn có BSD Phiên bản cho Windows bạn sẽ khó có thể tìm được chúng hơn Một phiên bản miễn phí phổ thông cho các client là FiSSH có tại trang web
http://pgpdist.mit.edu/FiSSH/index.html Hay bạn có thể lên internet tìm kiếm với
từ khoá "windows ssh"
2: Look at G.729 for VoIP.
Khi mọi người nghĩ về các phần mềm tóm gói tin sniffers, họ thường nghĩ quá trình truyền tin sẽ có thể đọc được Nếu bạn tóm được một gói tin truyền trên mạng là một file nhị phân, bạn làm thế nào để đọc được thông tin từ chúng? Tôi
sẽ cố gắng phục hồi đoạn tin nếu bạn không thể phục hồi được đoạn đầu và đoạn cuối Và chúng tôi sẽ không lo lắng nhiều vì sẽ rất khó khăn để có thể phục hồi được các thông tin từ một file nhị phân sang một dạng thông tin nào đó Voice truyền thông tin không như vậy
Trang 3Gián điệp có thể thực hiện dựa trên những sơ hở thông tin Các hoạt động chính trị có thể sẽ bị nghe lén và giám sát, hầu hết mọ người đều không muốn người khác quan tâm đến đời tư của mình Các cuộc nói chuyện trong các hội nghị có thể sẽ rất quan trọng Và một điều là có những công cụ trên Internet có thể thu lại các cuộc nói chuyện qua IP Telephone và save chúng lại thành một file WAV May mắn thay trong các công cụ của Windows không cho phép ta thực hiện công việc này
Và quá trình truyền tải âm thanh cần được mã hoá Có vài cách để mã hoá quá trình truyền tải âm thanh Quá trình đó được gọi là "codecs" mỗi phương pháp
mã hoá đều mang đến khả năng nén khác nhau Quá trình nén âm thanh có thể giảm tải trên đường truyền nhưng lại có thể ảnh hưởng đến chất lượng âm thanh
Giải pháp tốt nhất là sử dụng mã hoá G.711 nó là một phương thức mã hoá, không cần nén Nhưng khi sử dụng giải pháp này yêu cầu hạ tầng mạng của bạn phải thật sự tốt với băng thông truyền tải đủ yêu cầu bởi các thông tin không bị nén lại, và giải pháp này thường được sử dụng trong mạng LANs
Bởi vì không có bất kỳ quá trình nén thông tin nào, tất cả dữ liệu được truyền tải trên dây dẫn Nếu vài người có thể tóm được những gói tin, sử dụng một
phương pháp nào đó để chuyển quá trình nói chuyện qua G.711 thành một file
âm thanh Những nhà lãnh đạo không muốn các cuộc nói chuyện sẽ bị lộ ra ngoài, và làm thế nào để các cuộc nói chuyện đó được đảm bảo?
Thay bằng việc sử dụng G.711, bạn sử dụng mã hoá gọi là G.729 Nó có khả năng mã hoá trước khi truyền thông tin G.711 Một vài lựa chọn có thể mã hoá giữa các điểm vơớinhau Mỗi phương thức đều mang đến độ chễ lớn hơn với phương thức sử dụng G.711 Nhưng nó làm cho các cuộc gọi trở lên an toàn hơn
3: Use Time-Based Access Lists
Một vấn đề là bạn có nhiều đường kết nối tới những thiết bị cần tính bảo mật cao, bạn có thể muốn cái gì có thể truy cập vào và khi nào được truy cập Với cơ
sở là thời gian "time-based access list" sẽ không chỉ những chính sách được áp dụng thời gian của cả ngày, hay những ngày của tuần hoặc thời gian của một năm, mà có thể cung cấp access list theo từng giờ của một ngày, từng ngày của một tuần Nhưng khi sử dụng tính năng này bạn phải kiểm tra thời gian của hệ thống sao cho trùng với thời gian thực
Quá trình cấu hình trong global với câu lệnh: time-range[name] Trong mode của một time-range bạn có thể cấu hình, bạn cần bắt đầu cầu hình khoảng thời gian này ứng với quá trình lọc nào Cần phải biết rằng cấu hình trong mode này rất lằng nhằng và phức tạp ở đây bạn không phải cấu hình để lọc quá trình truyền tải mà chỉ liên kết đến một access list đã được tạo Time range kết hợp access
Trang 4list sẽ cho bạn một access list với thời gian áp dụng cụ thể cho từng thời điểm khác nhau…
Chỉ có hai dạng cấu hình thời gian có thể sử dụng Theo một chu kỳ tuần hoàn nào đó sẽ được thực hiện Bạn có thể cấu hình với một để lọc các thông tin của tất cả các tuần khi sử dụng trạng thái Periodic Hay một dạng khác là Absolute Khi bạn sử dụng lựa chọn này, quá trình lọc giữa hai khoảng thời gian khác nhau thì sẽ khác nhau Một ví dụ bạn có thể lọc toàn bộ quá trình truyền thông tin từ
10 giờ sáng ngày 6 tháng 6 năm 2006 cho đến 1 giờ sáng ngày 8 tháng 6 năm
2006 Nó có khả năng lọc sử dụng kết hợp hai dạng "time-range", một theo tính tuần hoàn và một theo tính không tuần hoàn, và một access list có thể được sử dụng bởi nhiều time-range khác nhau
Một time-range có khi được cấu hình nó sẽ kết hợp với một access list đã được cấu hình Và khi đã cấu hình hoàn tất thì access list đó sẽ chỉ được áp dụng trong khoảng thời gian đã được thiết lập:
access-list [ACL number] {deny | permit} protocol any any [log] [range time-range-name]
Một ví dụ cho phép access list truy cập Web với time range:
Time-range Allow-HTTP
Periodic weekdays 18:00 to 08:00
Periodic weekdays 11:30 to 13:00
Periodic Friday 18:00 to Monday 08:00
Access-list 101 permit tcp any any eq www time-range allow-http
Tính năng này bạn có thể tìm thấy bắt đầu từ phiên bản IOS 12.0 (T) và toàn bộ thông tin về tính năng này bạn có thể tìm được tại:
http://www.cisco.com/univercd/cc/td/doc/product/software/ios120/120newft/120t/1 20t1/timerang.htm
4: VLANs Work on More than Physical Ports
Cơ bản switch cung cấp khả năng truy cập vào mạng cho người dùng PCs Bởi thiết bị không cần thiết cung cấp nhiều tính năng, chúng thường không linh động như dòng switchs enterprise-level Đúng vậy, nó không phải là những sản phẩm đắt tiền Hầu hết người sử dụng truy cập mạng sử dụng switch của Cisco là các dòng 1900s, 2900s và 3500s
Mỗi Switch hỗ trợ địa chỉ IP để có thể quản lý được các VLANs và để điều khiển Broadcast domain Hầu hết các switch được sử dụng với toàn bộ các cổng là chung trong một VLAN bởi hầu hết người sử dụng trong cùng một switch đều có
Trang 5những ứng dụng tương tự nhau.
Mỗi switch cũng có một cổng quản lý VLAN; mặc định nó sử dụng VLAN1, cùng VLAN với các cổng còn lại Trong một môi trường mạng, nó thường được sử dụng cho toàn bộ mọi người đều cùng một VLAN Và số lượng broadcast cũng không có đủ khả năng để gây ra lỗi cho thiết bị
Khi một vài người truy cập vào một thiết bị mạng, nó thường tiềm tàng khả năng thiết bị bị ngắt kết nối Một các dễ tưởng tượng nhất: để tắt một vài người đang telnet vào switch để lọc các yêu cầu Thiết lập toàn bộ các cổng vào cùng một VLAN để dễ dàng cho việc lọc trên Router Bằng cách gán toàn bộ các switchs vào một giải địa chỉ ví như 192.168.3.x, bạn có thể lọc các thông tin không thích đáng vào các thiết bị đó bằng một vài access list Một cách tốt nhất và đơn giản
đẻ quản lý hệ thống mạng là bạn hoàn toàn có thể chỉ cần một VLAN cho một switch và không cần bận tâm tới việc điều đó sẽ làm cả hệ thống mạng của bạn
sẽ hoạt động một cách chậm chạp
· Nếu bạn để địa chỉ IP của switch là 192.168.3.56 và toàn bộ máy tính của phòng IT có địac hỉ 192.168.7.x bạn có thể làm được một vài thứ như:
· Bạn tạo ra một cách quản lý VLAN mà không chia sẻ với quá trình trao đổi dữ liệu với người dùng Trong trường hợp này tôi tạo VLAN là 99
· Bạn đến router tạo ra một sub-interface cho VLAN 99 Thiết lập "no shut" trên cổng này
· Thiết lập access list cho cổng này Nó cho phép toàn bộ các trao đổi dữ liệu từ tất cả mọi nơi nhưng sẽ cấm quá trình telnet đến switch từ tất cả các máy tính của phòng IT
1 access-list 101 permit tcp 192.168.7.0 0.0.0.255 192.168.3.0 0.0.0.255 eq 23
2 access-list 101 deny tcp any any eq 23
3 access-list 101 permit ip any any
áp dụng access list tới cổng này bởi tất cả quá trình truyền tải dữ liệu bình thường sẽ không qua sub-interface 99, access list này thực hiện kiểm tra cũng không ảnh hưởng đến tốc độ truyền tải dữ liệu
5: Permit Lists for Layer 3 Switches
Một switch Layer3 là một thiết bị sử dụng các thông tin tại Layer 3 trong
switching tables Layer3 và Layer 4 switches cho phép nhiều tính năng linh động hơn và được thiết kế để switching các nội dung và có khả năng load balancing Một dòng switch layer3 của Cisco như series 4000, 2948G và 2980G
Trang 6Bởi vì switch này có thể hiểu được vài thông tin của layer 3 nhưng bạn đừng tạo
nó như một router Một router sẽ truyền tải thông tin với các router khác và có thể học được mạng của các mạng từ xa Một switch không làm được điều đó
Nó chỉ có thể học được lớp trên bằng việc cho phép quá trình truyền tải qua nó
Một switch layer 3 có thể nhận ra các dạng traffic khác nhau Nó cho phép người quản trị cấu hình một vài thiết lập gọi là một Permit List Danh sách này sẽ cho phép những dạng thông tin truyền tải nào cụ thể với địa chỉ IP Nó không phải là access list nhưng có những thành phần, tính chất tương tự và có những giới hạn riêng
Switch có thể nhận ra một vài cách có thể cấu hình bao gồm Telnet và SNMP Bạn cần thay đổi và không muốn bất kỳ ai có thể truy cập vào switch và cấu hình lại chúng Trong khi các thiết lập access list sẽ làm việc, một phương pháp để làm việc với switch là thực hiện lọc từ chính các thông tin đến nó
Dòng lệnh để làm việc với permit list là: Set ip permit ip_address [mask] [all | snmp | telnet | ssh] Cái này sẽ quyết định thiết bị nào hay những thiết bị có thể truy cập đến nó Tất cả các thiết bị không được cấu hình mặc nhiên sẽ không được truy cập đến nó Nó bao gồm ba bảng khác nhau cho phép với các câu lệnh Bảng Telnet sẽ được dữ động lập với bảng SNMP Nó cho phép bạn cấu hình permit list chỉ cho phép quản lý switch từ SNMP và một permit list khác cho Telnet với các thiết bị khác nhau
Trong các bước quá quá trình này bạn phải sử dụng dòng lệnh: set ip permit enable [ssh | snmp | telnet] Bạn phải lựa chọn cụ thể bảng Telnet hay SNMP được kích hoạt Điều đó có nghĩa là bảng SNMP được kích hoạt không có nghĩa bảng Telnet được kích hoạt
Thông tin thiết lập để SNMP truy cập vào các thiết bị layer 3 của Cisco được miêu tả chi tiết tại:
http://www.cisco.com/univercd/cc/td/doc/product/
lan/cat4000/rel_6_1/conf/ip_perm.htm
Kết luận
Đây là các bước bảo mật hệ thống của bạn Tuy nhiên đó là bước để bạn lắm bắt công nghệ cơ bản nhất để thực hiện và tiến hành các ứng dụng này bạn cần phải có hiểu biết sâu rộng về nó