Router hỗ trợ nhiều dịch vụ mạng được nhu cầu hay không được nhu cầu trong bất kỳ mạng công ty nào. Tắt hoặc hạn chế truy cập tới những dịch vụ này để cải thiện đáng kể an toàn mạng. Một trong hầu hết các quy tắc cơ bản đảm bảo an toàn router là chỉ cung cấp những dịch vụ mà mạng nhu cầu. Việc để lại những dịch vụ không sử dụng đến làm tăng khả năng attacker lợi dụng khai thác thông qua những dịch vụ này. Những dịch vụ dễ bị tấn công sẽ được giới thiệu và liệt kê sau đây: Bootp server: Dịch vụ này theo mặc định thường được enable. Dịch vụ này cho phép router hoạt động như Bootp server của các router doanh nghiệp khác. Dịch vụ này rất hiếm được nhu cầu, ta phải disable nó. Configuration autoloading: Dịch vụ này theo mặc định thường được disable. Chức năng tự động nạp tập tin cấu hình từ một mạng máy chủ phải được disable khi không được sử dụng bởi router. Doamin Name System (DNS): Dịch vụ máy trạm này theo mặc định được enable. Ta phải disable dich vụ này khi không được nhu cầu. Nếu dịch vụ DNS lookup được nhu cầu, hãy chắc rằng việc thiết lập chính xác địa chỉ máy chủ DNS. Finger: Dịch vụ này theo mặc định thường được enable. Giao thức finger (sử dụng port 79) được dùng để nhận ra thông tin về thói quen người dùng trên máy chủ. Việc truy cập những thông tin cá nhân của tất cả người dùng thực là một quan điểm không tốt vì thế dịch vụ này thường xuyên không được kích hoạt. HTTP server: Dịch vụ này cho phép router được theo dõi hoặc thay đổi cấu đổi cấu hình qua một trình duyệt web. Ta phải disable dịch vụ này nếu không được nhu cầu. Nếu dịch vụ này được nhu cầu, ta phải hạn chế truy cập vào dịch vụ HTTP của router bằng cách sử dụng kiểm soát danh sách truy cập (ACL).
Bảo đảm an toàn dịch vụ giao diện điều khiển router Router hỗ trợ nhiều dịch vụ mạng nhu cầu hay không nhu cầu mạng công ty Tắt hạn chế truy cập tới dịch vụ để cải thiện đáng kể an toàn mạng Một hầu hết quy tắc đảm bảo an toàn router cung cấp dịch vụ mà mạng nhu cầu Việc để lại dịch vụ không sử dụng đến làm tăng khả attacker lợi dụng khai thác thông qua dịch vụ Những dịch vụ dễ bị công giới thiệu liệt kê sau đây: - Bootp server: Dịch vụ theo mặc định thường enable Dịch vụ cho phép router hoạt động Bootp server router doanh nghiệp khác Dịch vụ nhu cầu, ta phải disable - Configuration auto-loading: Dịch vụ theo mặc định thường disable Chức tự động nạp tập tin cấu hình từ mạng máy chủ phải disable không sử dụng router - Doamin Name System (DNS): Dịch vụ máy trạm theo mặc định enable Ta phải disable dich vụ không nhu cầu Nếu dịch vụ DNS lookup nhu cầu, việc thiết lập xác địa máy chủ DNS -Finger: Dịch vụ theo mặc định thường enable Giao thức finger (sử dụng port 79) dùng để nhận thông tin thói quen người dùng máy chủ Việc truy cập thông tin cá nhân tất người dùng thực quan điểm không tốt dịch vụ thường xuyên không kích hoạt - HTTP server: Dịch vụ cho phép router theo dõi thay đổi cấu đổi cấu hình qua trình duyệt web Ta phải disable dịch vụ không nhu cầu Nếu dịch vụ nhu cầu, ta phải hạn chế truy cập vào dịch vụ HTTP router cách sử dụng kiểm soát danh sách truy cập (ACL) - FTP server: Dịch vụ theo mặc định thường disable Là máy chủ lưu trữ tập trung liệu, cung cấp dịch vụ FTP để hỗ trợ cho người dùng cung cấp, truy xuất tài nguyên qua mạng TCP/IP FTP dịch vụ truyền file thông dụng, người dùng upload download thông tin cách dễ dàng - TFTP server: Dịch vụ theo mặc định thường disable TFTP server cho phép sử dụng router máy chủ TFTP cho máy trạm TFTP Dịch vụ phải disable không sử dụng cho phép truy cập vào tập tin nhớ Flash router - IP directed broadcast: Dịch vụ theo mặc định thường enable IP directed broadcast sử dụng phổ biến phổ biến áp dụng để công từ chối dịch vụ (DoS) Dịch vụ phải disable nhu cầu - Internet Control Message Protocol (ICMP) mask reply: Dịch vụ theo mặc định thường disable Dịch vụ dùng để gửi thông điệp điều khiểm tới Router Nó giao thức lớp Internet , làm việc với giao thức IP Nó dùng vài tình mà cần thiết để Router dẫn cho Router khác điều – thông thường Router lấy Datagram mà giao , phản hồi lại tới Router mà gửi Datagram với thông điệp ICMP giải thích giao Datagram Dịch vụ phải disable interface mạng không tin cậy - ICMP redirects: Dịch vụ theo mặc định thường enable ICMP redirect làm cho router gửi thông điệp ICMP redirect router bị buộc phải gửi lại gói tin thông qua giao diện tương tự mà nhận Thông tin sử dụng attacker để chuyển hướng gói tin tới thiết bị không tin cậy Dịch vụ phải disable nhu cầu - IP source routing: Dịch vụ theo mặc định thường enable IP source routing chế cho phép máy nguồn đường cách cụ thể không phụ thuộc vào bảng định tuyến router Nếu attacker dũng kỹ thuật IP source routing ,hắn nhắm tới đường định tuyến thành công có sẵn.Máy công lúc gởi gói IP với địa nguồn tự tạo IP header.Và host đích nhận dc gói tin này,nó gửi traffic ngược lại đến địa IP giả mạo thông qua đường router mà attacker muốn.Cách tiếp cận vượt qua khó khăn thực việc công blind spoofing Ta phải disable dịch vụ nhu cầu - ICMP unreachable notifications: Dịch vụ theo mặc định thường enable Dịch vụ thông báo cho người gửi địa IP mạng đích Thông tin sử dụng để ánh xạ lên mạng phải disable giao diện mạng không tin cậy - Identification service: Dịch vụ theo mặc định thường enable Giao thức xác định (quy định RFC 1413) báo cáo định dạng kết nối khởi tạo TCP tới máy nhận Dữ liệu sử dụng attacker để thu thập thông tin mạng Dịch vụ phải disable - Network Time Protocol (NTP) service: Dịch vụ theo mặc định thường disable NTP giao thức để đồng đồng hồ hệ thống máy tính thông qua mạng liệu chuyển mạch gói với độ trễ biến đổi Giao thức thiết kế để tránh ảnh hưởng độ trễ biến đổi cách sử dụng đệm jitter NTP tên gọi phần mềm triển khai dự án Dịch vụ NTP Công cộng (NTP Public Services Project) Phải disable dịch vụ nhu cầu - Packet assembler/disassembler (PAD) service: Dịch vụ theo mặc định thường enable Dịch vụ PAD cho phép truy cập vào lệnh X.25 PAD gửi trả gói tin X.25 Dịch vụ phải disable không sử dụng - Proxy Address Resolution Protocol (ARP): Dịch vụ theo mặc định thường enable Tính giao thức giúp router hoạt đọng proxy cho phân giải địa tầng Dịch vụ phải disable để tránh router bị sử dụng Lan bridge - Gratuitous ARP: Dịch vụ theo mặc định thường enable Gratuitous ARP chế sử dụng ARP poisoning attack Ta phải disable dịch vụ cổng giao tiếp router trừ trường hợp cần thiết - Simple Network Management Protocol (SNMP): Dịch vụ theo mặc định thường enable SNMP tập hợp giao thức không cho phép kiểm tra nhằm đảm bảo thiết bị mạng router, switch hay server vận hành mà vận hành cách tối ưu, SNMP cho phép quản lý thiết bị mạng từ xa SNMP sử dụng UDP (User Datagram Protocol) giao thức truyền tải thông tin manager agent Việc sử dụng UDP, thay TCP, UDP phương thức truyền mà hai đầu thông tin không cần thiết lập kết nối trứơc liệu trao đổi (connectionless), thuộc tính phù hợp điều kiện mạng gặp trục trặc, hư hỏng v.v SNMP có phương thức quản lý định phương thức định dạng gói tin PDU (Protocol Data Unit) Các manager agent sử dụng PDU để trao đổi với Ta phải disable dịch vụ nhu cầu - TCP small servers: máy chủ (daemon) chạy router sử dụng để chuẩn đoán, áp dụng Ta phải disable dịch vụ nhu cầu - UCP small servers: máy chủ (daemon) chạy router sử dụng để chuẩn đoán, áp dụng Ta phải disable dịch vụ nhu cầu - Mintenance Operation Protocol (MOP) service: Dịch vụ enable hầu hết cổng giao tiếp Ethernet MOP giao thức bảo trì thiết bị kỹ thuật số công ty Ta phải disable dịch vụ không sử dụng - TCP keepalives: Dịch vụ theo mặc định thường disable TCP keepalives giúp “clean up” kết nối TCP nơi kết thiết bị điều khiển máy chủ vừa reboot không dừng chức lưu thông TCP Dịch phải enable để quản lý kết nối TCP ngăn chặn số DoS attack Để sử dụng router bảo mật service interface hiệu hơn, cần phải disable enable số dịch vụ sau: - Disable Bootp Server - Disable CDP - Disable Configuration Auto-Loading - Restricting DNS Service - Disable Finger Service - Disable HTTP Service - Disable FTP Server - Disable TFTP Server - Disable IP Directed Broadcast - Disable ICMP Mask Replies - Disable ICMP Redirects - Disable ICMP Unreachable Messages - Disable IP Source Routing - Disable IP Identification - Disable NTP Service - Disable PAD Service - Disable Proxy ARP - Disable Gratuitous ARPs - Disable SNMP - Disable Small Servers - Disable MOP Service - Enable TCP Keepalives - Disable Unused Router Interfaces B Khắc phục số lỗi sử dụng lọc lưu lượng truy cập mạng Khắc phục lỗi giả mạo địa IP-Inbound Ta không nên cho phép gói tin IP inbound vào mạng riêng chứa địa nguồn vài máy chủ nội mạng Khắc phục lỗi giả mạo địa IP-Outbound Ta không nên cho phép gói tin IP inbound vào mạng riêng chứa địa nguồn vài máy chủ nội mạng Khắc phục công DoS TCP SYN sử dụng Blocking External Access TCP SYN attack liên quan đến việc gửi số lượng lớn gói tin từ nguồn giả mạo mạng nội bộ, dẫn đến tràn nhớ ảnh hưởng đến kết nối Khắc phục công DoS TCP SYN sử dụng TCP Intercept TCP Intercept công cụ hiệu bảo vệ mạng máy chủ nội từ công TCP SYN bên TCP Intercept bảo vệ máy chủ nội từ công SYN flood cách chặn xác nhận yêu cầu kết nối TCP trước chúng đến máy chủ Kết nối hợp lệ (Những kết nối thiết lập phạm vi ngưỡng cấu hình) thông qua để tới máy chủ Các kết nối không hợp lệ bị ngăn chặn Khắc phục công DoS Smurf Smurf attack bao gồm số lượng lớn gói tin ICMP gửi đến địa subnet broadcast router sử dụng địa giả mạo IP từ subnet tương tự Một số router phải cấu hình để chuyển tiếp broadcast tới router khác để bảo vệ mạng điều gây sụt giảm hiệu hoạt động Lọc thông điệp ICMP-Inbound Có nhiều loại thông điệp ICMP khác sử dụng để chống lại hệ thống mạng Attacker sử dụng thông điệp để khai thác tài nguyên mạng Các gói tin phản hồi ICMP sử dụng để phát mạng máy chủ để bảo vệ mạng sử dụng để tạo DoS flood Thông điệp ICMP redirect sử dụng để làm thay đổi bảng định tuyến máy chủ Cả ICMP echo redirect thông điệp phải ngăn chặn inbound router Lọc thông điệp ICMP-Inbound Những thông điệp ICMP sau yêu cầu cho mạng lưới hoạt động phù hợp nên cho phép outbound: - Echo: Cho phép người dùng ping tới máy chủ bên - Parameter problem: Thông báo tiêu đề gói tin máy chủ - Packet too big: Thông báo số lượng gói tin truyền dẫn tối đa - Source quench: Điều tiết lưu lượng truy cập cần thiết Lọc thông điệp UDP Traceroute Các tính traceroute sử dụng số loại thông điệp ICMP để hoàn thành số nhiệm vụ Traceroute hiển thị địa IP router (hop) gặp trình từ nguồn tới đích Kẻ công tận dụng gói tin phản hồi ICMP để gói tin UDP traceroute phát mạng máy chủ mạng bảo vệ C Khắc phục công DDoS (Distributed Denial of Service) Router 1.1 Tổng quan - Tấn công từ chối - dịch vụ DDoS hình thức công nhằm ngăn chặn người dùng hợp lệ sử dụng dịch vụ Các công thực nhằm vào thiết bị mạng như: Router, web, thư điện tử hệ thống DNS Tấn công từ chối dịch vụ thực theo số cách định sau: + Nhằm tiêu tốn tài nguyên tính toán băng thông, dung lượng + + đĩa cứng thời gian xử lý Phá vỡ thông tin cấu thông tin định tuyến Phá vỡ trạng thái thông tin việc tự động reset lại phiên + + TCP Phá vỡ thành phần vật lý mạng máy tính Làm tắc nghẽn thông tin liên lạc có chủ đích người dùng nạn nhân dẫn đến thông tin liên lạc hai bên không thông suốt 1.2 Các loại công DDoS cách khắc phục: a Trin00: - Cấu hình Router để chặn cổng tương ứng sau: - - Giao thức Port TCP 27665 UDP 31335 UDP 27444 Lệnh cấu hình Router: Router (config) # access-list 190 deny tcp any any eq 27665 log Router (config) # access-list 190 deny udp any any eq 27665 log Router (config) # access-list 190 deny udp any any eq 27665 log b Stacheldraht Cấu hình Router để chặn cổng tương ứng sau: Giao thức Port - - - - - TCP 16660 TCP 65000 Lệnh cấu hình Router: Router (config) # access-list 190 deny tcp any any eq 16660 log Router (config) # access-list 190 deny tcp any any eq 65000 log c Trinity v3 Cấu hình Router để chặn cổng tương ứng sau: Giao thức Port TCP 33270 TCP 39168 Lệnh cấu hình Router: Router (config) # access-list 190 deny tcp any any eq 33270 log Router (config) # access-list 190 deny tcp any any eq 39168 log d SubSenven Cấu hình Router để chặn cổng tương ứng sau Giao thức Port TCP 6711, 6712 TCP 6776 TCP 6669 TCP 2222 TCP 7000 Lệnh cấu hình Router: Router (config) # access-list 190 deny tcp any any range 6711 6712 log Router (config) # access-list 190 deny tcp any any eq 6776 log Router (config) # access-list 190 deny tcp any any eq 6669 log Router (config) # access-list 190 deny tcp any any eq 2222 log Router (config) # access-list 190 deny tcp any any eq 7000 log