1. Trang chủ
  2. » Tất cả

Nghiên cứu, xây dựng tài liệu hướng dẫn kiểm tra và khắc phục lỗi của thiết bị router

72 737 0
Tài liệu đã được kiểm tra trùng lặp

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 72
Dung lượng 2,89 MB

Nội dung

Nghiên cứu, xây dựng tài liệu hướng dẫn kiểm tra khắc phục lỗi thiết bị Router THUẬT NGỮ VIẾT TẮT 1.3 Mục đích việc nghiên cứu, xây dựng: 1.4 Nội dung : .3 Nghiên cứu xác định yêu cầu đảm bảo an toàn cho hoạt động Router .4 Nghiên cứu, xây dựng hướng dẫn kiểm tra khắc phục lỗi vật lý thiết bị Router 3.1 Khảo sát phân tích lỗi thường gặp thiết bị Router 3.2 Nghiên cứu, xây dựng hướng dẫn kiểm tra khắc phục cố vật lý Router .4 3.2.1 Kiểm tra thông tin Router 3.2.2 Kiểm tra xác định cố Router vấn đề như:Cổng Serial, cổng ISDN, nhớ, Router bị treo .6 3.2.3 Kiểm tra khắc phục lỗi Router Reboots/Reloads 10 3.2.4 Kiểm tra khắc phục lỗi Router bị Boot liên tục 12 3.2.5 Router không boot 13 3.2.6 Kiểm tra khắc phục lỗi Router làm gói tin .15 3.3 Nghiên cứu, xây dựng hướng dẫn khắc phục lỗi Crashes thiết bị Router 18 3.3.1 Khảo sát phân tích kiểu lỗi Crash thiết bị định tuyến 18 3.2.2 Kiểm tra nhận biết thông tin lỗi Crash 22 3.3.3 Khắc phục cố Module Router 25 4.1 Khảo sát phân tích lỗi logic thường gặp thiết bị Router 29 4.1.1 Đánh giá rủi ro trình cài đặt 30 4.1.2 Những mối đe dọa phổ biến trình cài đặt vật lý cho router switch 31 4.1.3 Giảm thiểu mối đe dọa phần cứng 32 4.1.4 Giảm thiểu mối đe dọa môi trường .33 4.1.5 Giảm thiểu mối đe dọa điện 34 4.1.6 Giảm thiểu mối đe dọa liên quan đến bảo trì 35 4.2 Khắc phục cố Router mô hình OSI 36 4.2.1 Kiểm tra khắc phục lỗi cố phần cứng Router tầng Data Link 36 4.2.2 Kiểm tra khắc phục lỗi cố phần cứng Router tầng Network 38 4.3 Nghiên cứu xây dựng hướng dẫn số điểm cần ý để cấu hình Router an toàn, bao gồm: 40 4.3.1 Kiểm tra thông tin bảo mật Router 40 4.3.2 Hướng dẫn khắc phục số lỗi bảo mật Router .50 THUẬT NGỮ VIẾT TẮT Router Thiết bị định tuyến Switch Thiết bị chuyển mạch line Đường Access list Danh sách truy cập Interface Giao diện điều khiển cổng giao tiếp Password Mật Lan Mạng nội Wan Mạng diện rộng IOS Hệ điều hành Mode Chế độ Port Cổng FireWall Thiết bị tường lửa Configuration Cấu hình Protocol Giao thức Telnet Truy cập từ xa 1.3 Mục đích việc nghiên cứu, xây dựng: Xây dựng tài liệu hướng dẫn kiểm tra khắc phục lỗi thiết bị định tuyến (Router) 1.4 Nội dung : STT Nội dung thực Nghiên cứu, xây dựng đề cương nghiên cứu chi tiết Nghiên cứu xác định yêu cầu đảm bảo an toàn cho hoạt động router Nghiên cứu, xây dựng hướng dẫn kiểm tra khắc phục lỗi vật lý thiết bị Router 3.1 Khảo sát phân tích lỗi thường gặp thiết bị Router 3.2 Nghiên cứu, xây dựng hướng dẫn kiểm tra khắc phục cố vật lý Router, bao gồm nội dung cụ thể sau: Kiểm tra thông tin Router Kiểm tra xác định cố Router vể vấn đề như: cổng Serial, cổng ISDN, nhớ, Router bị treo Kiểm tra khắc phục lỗi Router bị Reboots/Reloads Kiểm tra khắc phục lỗi Router bị boot liên tục Kiểm tra khắc phục lỗi Router không boot Kiểm tra khắc phục lỗi Router làm gói tin 3.3 Nghiên cứu, xây dựng hướng dẫn khắc phục lỗi Crashes thiết bị Router, bao gồm nội dung Khảo sát phân tích kiểu lỗi Crash thiết bị định tuyến Kiểm tra nhận biết thông tin lỗi Crash Khắc phục cố Module Router Nghiên cứu, xây dựng hướng dẫn kiểm tra khắc phục lỗi logic thiết bị Router 4.1 Khảo sát phân tích lỗi logic thường gặp thiết bị Router 4.2 Nghiên cứu, xây dựng hướng dẫn khắc phục số cố thường gặp Router mô hình OSI để đảm bảo an toàn Kiểm tra khắc phục lỗi cố phần cứng Router tầng Data Link Kiểm tra khắc phục lỗi cố phần cứng Router tầng Network 4.3 Nghiên cứu xây dựng hướng dẫn số điểm cần ý để cấu hình Router an toàn, bao gồm: Kiểm tra thông tin bảo mật Router Hướng dẫn khắc phục số lỗi bảo mật Router Biên soạn tài liệu báo cáo chung, báo cáo kết tổng hợp nghiên cứu Tổng cộng Nghiên cứu xác định yêu cầu đảm bảo an toàn cho hoạt động Router …… Nghiên cứu, xây dựng hướng dẫn kiểm tra khắc phục lỗi vật lý thiết bị Router 3.1 Khảo sát phân tích lỗi thường gặp thiết bị Router ……… 3.2 Nghiên cứu, xây dựng hướng dẫn kiểm tra khắc phục cố vật lý Router 3.2.1 Kiểm tra thông tin Router Trong chương cung cấp thông thin cần thiết Router Tích hợp phần cứng-phần mềm yêu cầu nhớ: Bất cài đặt card/module mới, phần mềm IOS Router, quan trọng để kiểm tra lại Router có đủ nhớ không, phần cứng phần mềm tích hợp với tính mà bạn cần sử dụng Để kiểm tra xem phần cứng-mềm có tương thích yêu cầu nhớ cần hoàn thành bước sau: Sử dụng Software Advisor Tool cho việc chọn phần mềm cho thiết bị mạng bạn Hỗ trợ phần mềm cho phần cứng: Mục giúp đỡ bạn kiểm tra lại xem moduls cạc cài đặt Router có hỗ trợ phiên phần mềm IOS Cisco hay không Hỗ trợ phần mềm tính năng: Mục giúp đỡ bạn phát yêu cầu phần mềm IOS Cisco Bạn chọn kiểu đặc tính mà bạn muốn thực thi Sử dụng nâng cấp IOS Panner để kiểm tra khối lượng nhỏ nhớ (Ram Flash) yêu cầu phần mềm Cisco IOS, và/hoặc tải phần mềm IOS củ Cisco Để phát khối lượng nhớ (RAM Flash) cài đặt Router bạn Nếu bạn phát phần mềm IOS nâng cấp theo yêu cầu gồm: thủ tục nâng cấp cài đặt phần mềm cho Router Fixed and Modular Access Routers Thông báo lỗi Công cụ giải mã thông báo lỗi cho phép bạn kiểm tra xem thông báo lỗi Thông báo lỗi xuất cổng Console sản phẩm cisco, thông thường form: %XXX-n-YYYY : [text] Đây ví dụ thông báo lỗi Router# %SYS-2-MALLOCFAIL: Memory allocation of [dec] bytes failed from [hex], pool [chars], alignment [dec] Một vài thông báo lỗi đưa thông tin, thông báo khác đưa dẫn lỗi phần cứng hay phần mềm yêu cầu hành động Công cụ giải mã thông báo lỗi cung cấp giải thích thông điệp, đưa lời khuyên hành động (nếu cần) có sẵn liên kết tới tài liệu mà cung cấp thông tin mởi rộng cho việc khắc phục thông báo lỗi Vấn đề nhận dạng Xử lý cố phần cứng cho Router - Để phát nguyên nhân, bước phải bắt nhiều thông tin có khả gây lỗi Thông tin đưa yếu tố cần thiết để phát nguyên nhân gây lỗi + Các nhật ký bảng điều khiển: (Console Logs ) + Thông tin log hệ thống (Syslog) Nếu Router cài đặt để gửi Log tới Log hệ thống máy chủ, bạn nhận biết điều xảy + Câu lệnh xuất thông tin: Show technical-support: Đây câu lệnh biên dịch gộp nhiều lệnh Show khác là: Show version, show runningconfig show stacks Đây tập hợp lệnh quan trọng trước bạn khởi động lại làm cho giá trị ghi có tác dụng Hành động nguyên nhân gây tất thông tin + Trình tự khởi động xong, Router bị lỗi khởi động khởi động lại được: Nếu bạn có đầu lệnh Show từ thiết bị Cisco (bao gồm lệnh Show tech nical-support), bạn sử dụng để hiển thị vấn đề có khả khắc phục, bạn phải đăng nhập cho phép JavaScipt hoạt động Trình tự khởi động xong, định tuyến kinh nghiệm lỗi khởi động không khởi động 3.2.2 Kiểm tra xác định cố Router vấn đề như:Cổng Serial, cổng ISDN, nhớ, Router bị treo 3.2.2.1 Kiểm tra khắc phục lỗi cổng Serial Biểu đồ tiến trình khắc phục cố cổng T1: - Đây điều kiện tiên quyết: - Phần mềm không bị giới hạn phần mềm cụ thể phiên phần cứng Sơ đồ khắc phục cố: Các vấn đề xử lý cố cổng Serial Trong phần sec đưa thông tin khắc phục cố thảo luận công cụ công nghệ sử dụng cho việc khắc phục cố kết nối cổng Serial Bao gồm phần sau: + Khắc phục cố sử dụng lệnh Show interfaces serial + Sử dụng lệnh show controllers + Sử dụng lệnh debug + Sử dụng kiểm tra Ping + Khắc phục cố với vấn đề Clocking + Điều chỉnh Buffers + Kiểm tra với dòng Serial đặc biệt + Thông tin chi tiết với câu lệnh: show interfaces serial + Các vấn đề khắc phục cố với cổng T1 + Các vấn đề khắc phục cố với cổng E1 - Yêu cầu: Phải nắm khái niệm sau: • DTE = data terminal equipment • CD = Carrier Detect • CSU = channel service unit • DSU = digital service unit • SCTE = serial clock transmit external • DCE = data circuit-terminating equipment • CTS = clear-to-send • DSR = data-set ready • SAP = Service Advertising Protocol • IPX = Internetwork Packet Exchange • FDDI = Fiber Distributed Data Interface • ESF = Extended Superframe Format • B8ZS = binary eight-zero substitution • LBO = Line Build Out Thành phần sử dụng: Phần mềm không bị giới hạn phần mềm cụ thể phiên phần cứng Thông tin đưa tài liệu tạo từ thiết bị môi trường Lab cụ thể Hiển thị đầu lệnh Show interfaces serial cho High-Level Data Link (HDLC) cổng Serial * Xử lý cố dòng Serial * Các kiểm tra Lookback cho dòng T1/56K 3.2.2.2 Xử lý cố cổng ISDN Sử dụng tham chiếu để khắc phục cố cổng Serial - Xử lý cố ISDN Layer - Xử lý cố ISDN Layer - Xử lý cố ISDN Layer 3.2.2.3 Xử lý cố với vấn đề nhớ: Nếu Router đủ nhớ đưa lỗi khởi động sau: SYSTEM INIT: INSUFFICIENT MEMORY TO BOOT THE IMAGE! Hoặc đưa lỗi khác việc cấp phát nhớ: %SYS-2-MALLOCFAIL theo thông báo sau: 00:00:07: %SYS-2-MALLOCFAIL: Memory allocation of 4000 bytes failed from 0x32D05 C0, alignment Pool: Processor Free: Cause: Not enough free memory Alternate Pool: I/O Free: Cause: Not enough free memory - Đảm bảo Router bạn có đung lượng nhớ tối thiểu cần thiết định Cisco IOS + Có kế hoạch nâng cấp + Xem nâng cấp Boot Image với Thẻ nhớ Flash cho Router phần thông tin thêm 3.2.2.4 Xử lý cố Router bị treo Thỉnh thoảng Router bị treo, có nghĩa họ chuyển tiếp lưu lượng truy cập và/hoặc không đáp ứng tới bảng điều khiển thiết bị Router khởi động suốt trình vận hành thông thường Đây kiểu vấn đề thường gặp với phần mềm liên quan Nếu Router bạn bị treo bạn xem thêm thông tin xử lý Router bị treo 3.2.3 Kiểm tra khắc phục lỗi Router Reboots/Reloads Khi Router khởi động lại, trở trạng thái bình thường Một trạng thái “normal state” nghĩa Router thực chức thông thường, lưu lượng chuyển qua Router bạn truy cập vào Router Kiểm tra xem Router bị khởi động lại sử dụng lệnh Show verion xem thông tin đầu (xem ví dụ đây): Router# show version Router uptime is 20 weeks, days, 33 minutes System returned to ROM by power-on a) Router bị Crashes Một hệ thống bị Crash đề cập tới tình mà hệ thống phát lỗi khôi phục lại khởi động lại Một lỗi crash bị nguyên nhân vấn đề phần mềm, vấn đề phần cứng hai Trong phần giải vấn đề bị Crashes mà nguyên nhân phần cứng gây ra, crashes có liên quan đến phần mềm, bị nhầm lẫn với vấn đề phần cứng Quan trọng: Nếu bạn nạp lại giá trị Router sau bị crash (ví dụ thông qua lệnh power-cycle reload) thông tin quan trọng lỗi Crash bị Thử tập hợp lại thông tin lệnh đưa thông tin đầu Show technical-support show log trước bạn khởi động lại Router Xem xử lý cố Router bị Crashes cho thêm vài thông tin: Bus Error Crashes Hệ thống bắt gặp lỗi với Bus vi xử lý cố gắng truy cập vào vùng nhớ không tồn (do phần mềm lỗi), không trả lời (một vấn đề phần cứng) Để xác định lỗi Bus nhìn đầu lệnh Show version cung cấp Router (nếu dùng lệnh Power-cycled reloaded) Đây hai ví dụ lỗi bus error crashes: Router uptime is days, 21 hours, 30 minutes System restarted by bus error at PC 0x30EE546, address 0xBB4C4 System image file is "flash:igs-j-l.111-24.bin", booted via flash Trên giao diện Console bạn nhìn thấy thông báo lỗi bus sau: *** System received a Bus Error exception *** 10 Sourcewildcard Các mặt nạ ký tự đại diện áp dụng cho nguồn để xác định nguồn nhóm máy chủ nơi mà có gói tin kiểm tra Lưu ý mặt nạ quy định cụ thể, mặt nạ mặc định trở thành 0.0.0.0 Trong ví dụ thể hình trên, dòng access list cho phép máy chủ với địa IP 36.48.0.3 Dòng thứ hai phủ nhận tất host khác subnet 36.48.0.0 Dòng cuối cho phép tất máy chủ khác mạng 36.0.0.0 Lưu ý: Khi xây dựng tiêu chuẩn access list mở rộng, theo mặc định, kết thúc access list tiềm ẩn từ chối tất tình trạng Hơn nữa, với access list chuẩn, bạn bỏ qua mặt nạ từ mục nhập danh sách truy cập, mặt nạ mặc định 0.0.0.0 Thêm vào từ khóa quy định trên, quy định số hiệu danh sách tiêu chuẩn IP hỗ trợ từ khoá sau đây: any Chỉ định máy chủ Điều tương tự sử dụng địa IP mặt nạ ký tự đại diện: 0.0.0.0 255.255.255.255 host Chỉ định máy chủ phù hợp Điều giống định mặt nạ ký tự đại diện: 0.0.0.0 Log Cho phép đăng nhập gói tin phù hợp với điều khoản từ chối cho phép (phiên hệ điều hành Cisco IOS ≥ 11.3) Bắt đầu với phiên hệ điều hành IOS Cisco 11,3(3)T, access list tiêu chuẩn cung cấp thông điệp gói liệu cho phép bị từ chối danh sách truy cập IP tiêu chuẩn Đó là, gói tin phù hợp với access list phát tin nhắn thông tin đăng nhập gói tin gửi đến giao diện điều khiển Mức độ tin nhắn đăng nhập vào giao diện điều khiển lệnh logging console Khả trước có sẵn danh sách truy cập IP mở rộng Các gói tin kích hoạt access list phát thông báo đăng nhập Các gói liệu sau thu thập khoảng thời gian phút trước chúng hiển thị đăng nhập Tin nhắn đăng nhập bao gồm số danh sách truy cập, xem gói tin phép hay bị từ chối, địa IP nguồn tiêu đề gói tin số lượng gói liệu nguồn cho phép từ chối khoảng phút trước Lưu ý: Cơ sở việc đăng nhập vào router phải bỏ qua vài gói tin tin nhắn đăng nhập có nhiều để xử lý có nhiều tin nhắn đăng nhập xử lý giây Cơ chế ngăn router khỏi lỗi trình xử lý có nhiều gói liệu đăng nhập Do đó, sở đăng nhập không nên coi công cụ bảo mật không đảm bảo độ xác số lưu lượng tới access list 4.3.2.2.4 Định dạng số hiệu access list tiêu chuẩn 58 Danh sách truy cập mở rộng cho phép lọc gói tin địa nguồn đích, loại giao thức, cổng nguồn cổng đích, số tùy chọn phụ thuộc vào giao thức Tạo số hiệu danh sách truy cập mở rộng cách sử dụng lệnh access-list global configuration mode thể hình Cú pháp cho lệnh access-list sau: Access-list access-list-number {deny | permit} {protocol-number | protocolkeyword} {source source-wildcard | any | host} {source-port} {destination destination-wildcard | any | host} {destination-port} [established] [log | loginput] Access-listnumber Con số phục vụ mục đích kép - Nó định danh access list - Nó xác định giao thức danh sách truy cập mở rộng (từ 100-199 2000-2699) Deny Từ chối tất gói tin phù hợp với địa nguồn quy định Permit Cho phép gói tin phù hợp với địa nguồn quy định Protocol-number Số nguyên phạm vi 0-255 đại diện cho giao thức IP 59 Protocolkeyword Tên giao thức IP Có thể tên sau đây: eigrp, gre, icmp, igmp, igrp, ip, ipinip, nos, ospf, tcp udp Source Địa IP máy chủ hay mạng địa nguồn gốc gói tin Source-wildcard Mặt nạ ký tự đại diện áp dụng cho địa IP nguồn Source-port Chỉ định cổng nguồn gói tin Điều số cổng thực tế (ví dụ 80), tên phổ biến (ví dụ; HTTP) Destination Địa IP máy chủ mạng, nơi gói tin gửi Destinationwildcard Các mặt nạ ký tự đại diện áp dụng cho địa IP đích Destination-port Chỉ định cổng đích gói tin Điều số cổng thực tế (ví dụ 80), tên phổ biến (ví dụ; HTTP) Established (chỉ dành cho TCP) Thẩm tra hai bit RST ACK thiết lập.Nếu bit thiết lập, gói tin phần kết nối thành lập trước Điều sử dụng để hạn chế TCP phản hồi chiều phiên chiều ngược lại Log Kích hoạt gói tin đăng nhập bị từ chối hay cho phép đăng nhập Log-input Bao gồm đầu vào cổng giao tiếp, địa MAC nguồn VC đăng nhập Any Chỉ định máy chủ Điều tương tự sử dụng địa IP mặt nạ ký tự đại diện: 0.0.0.0 255.255.255.255 Host Chỉ định máy chủ phù hợp Điều giống định mặt nạ ký tự đại diện: 0.0.0.0 Trong ví dụ hình trên, interface e0/0 router Miami phần lớp mạng B với địa 128.88.0.0 Các mail server, với địa 128.88.1.2, cung cấp thư Internet Các từ khóa thiết lập access list sử dụng cho chế TCP để kết nối thiết lập Một phiên giao dịch xảy chế TCP thiết lập bit ACK RST, gói tin thuộc kết nối Trong kịch này, bit ACK không thiết lập bit SYN thiết lập, gói tin Internet khởi tạo phiên gói tin bị từ chối Lưu ý: Khi xây dựng danh sách truy cập tiêu chuẩn mở rộng, theo mặc định, kết thúc danh sách truy cập chứa ngầm định từ chối tất thông báo 60 4.3.2.2.5 Định dạng tên danh sách truy cập mở rộng Lưu ý: Tên access list đặt không công nhận phiên hệ điều hành IOS Cisco 11.2 Hoàn thành bước sau để tạo tên danh sách truy cập mở rộng: Bước 1: Nhập lệnh ip access-list extended global configuration mode thể hình Cú pháp cho lệnh ip access-list extended sau: ip access-list standard access-list-name Access-listname Tên danh sách truy cập.Tên chứa khoảng trống dấu ngoặc kép, phải bắt đầu ký tự chữ để ngăn chặn trùng với số hiệu danh sách truy cập Bước 2: Nhập lệnh deny permit extended named access list mode hình Cú pháp cho lệnh deny permit extended named access list sau: {deny | permit} {protocol-number | protocol-keyword} { source source-wildcard | any | host} {source-port} {destination destinationwildcard | any | host} {destination-port} [established] [log | log-input] Deny Từ chối tất gói tin phù hợp với địa nguồn quy định Permit Cho phép tất gói tin phù hợp với địa nguồn quy định 61 truy cập vào cổng giao tiếp Protocolnumber Số nguyên phạm vi 0-255 đại diện cho giao thức IP Protocolkeyword Tên giao thức IP Có thể tên sau đây: eigrp, gre, icmp, igmp, igrp, ip, ipinip, nos, ospf, tcp udp Source Chỉ định địa IP máy chủ nhóm máy chủ (nếu mặt nạ ký tự đại diện quy định) có gói tin kiểm tra Sourcewildcard Chỉ định địa IP máy chủ nhóm máy chủ (nếu mặt nạ ký tự đại diện quy định) có gói tin kiểm tra Source-port Chỉ định cổng nguồn gói tin Điều số cổng thực tế (ví dụ 80), tên phổ biến (ví dụ; HTTP) Destination Địa IP máy chủ mạng, nơi gói tin gửi Destinationwildcard Các mặt nạ ký tự đại diện áp dụng cho địa IP đích Destination-port Chỉ định cổng đích gói tin Điều số cổng thực tế (ví dụ 80), tên phổ biến (ví dụ; HTTP) Established (chỉ dành cho TCP) Thẩm tra hai bit RST ACK thiết lập.Nếu bit thiết lập, gói tin phần kết nối thành lập trước Điều sử dụng để hạn chế TCP phản hồi chiều phiên chiều ngược lại Log Chỉ định máy chủ phù hợp Điều giống định mặt nạ ký tự đại diện: 0.0.0.0 Log-input Bao gồm đầu vào cổng giao tiếp, địa MAC nguồn VC đăng nhập Any Chỉ định máy chủ Điều tương tự sử dụng địa IP mặt nạ ký tự đại diện: 0.0.0.0 255.255.255.255 Host Chỉ định máy chủ phù hợp Điều giống định mặt nạ ký tự đại diện: 0.0.0.0 Lưu ý: Khi xây dựng danh sách truy cập tiêu chuẩn mở rộng, theo mặc định, kết thúc danh sách truy cập chứa ngầm định từ chối tất thông báo Thêm vào từ khóa quy định trên, số hiệu danh sách truy cập IP mở rộng tên danh sách truy cập IP mở rộng hỗ trợ từ khoá sau đây: Icmp-type Xác định access list thực lọc dựa vào loại tin nhắn ICMP (0-255) 62 Icmp-message Xác định access list thực lọc dựa vào tên đặc trưng tin nhắn ICMP (0-255) (ví dụ: echo-reply) Precedence precedence Xác định access list thực lọc dựa mức độ ưu tiên tên số hiệu (0,7) remark Được sử dụng để thêm nhận xét (lên đến 100 ký tự) cho access list (phiên hệ điều hành IOS CISCO ≥ 12.0) 4.3.2.2.6 Thông tin gợi ý cho danh sách truy cập IP Để viết gợi ý giúp đỡ (remark) cho mục danh sách truy cập (access-list) IP, sử dụng dòng lệnh cấu hình remark access-list global configuration mode hình Cú pháp cho lệnh remark sau: remark message Message Remark thêm vào access-list (tối đa 100 ký tự) 4.3.2.2.7 Các quy tắc cho việc phát triển access-list 63 Trước bắt đầu phát triển access-list , bạn ý ba quy tắc sau: - Quy tắc 1: Để phát triển access-list tốt bạn nên đưa công việc cụ thể mà bạn muốn access-list làm Đơn giản như, access-list phải chặn tất SNMP truy cập vào router ngoại trừ host SNMP có địa 16.1.1.15 - Quy tắc 2: Thiết lập hệ thống phát triển-có thể laptop hay server chuyên dụng, bạn cần nơi để phát triển lưu trữ access-list bạn Bạn xử lý văn hay soạn thảo văn hình thức nào, miễn bạn lưu tập tin định dạng văn ASCII Việc xây dựng thư viện access-list sử dụng phổ biến coi nguồn cho tập tin Access-list paste vào running configuration router (yêu cầu truy cập console telnet) lưu tập tin cấu hình router Note: Hacker thích đột nhập vào cấu hình hệ thống phát triển router TFTP server-nơi lưu trữ access-list Một hacker khám phá nhiều thứ từ mạng bạn cách dễ dàng thông qua tập tin văn Chính thế, hệ thống mà bạn chọn để phát triển lưu trữ tập tin router cần phải bảo đảm an toàn - Quy tắc 3: Nếu có thể, kiểm tra chắn access-list bạn đặt môi trường an toàn trước đưa chúng vào Đây phương pháp thường áp dụng với doanh nghiệp Giúp cho doanh nghiệp tiết kiệm nhiều thời gian tiền bạc thời gian dài 4.3.2.2.8 Định hướng lọc access-list 64 Việc lọc access-list phải áp dụng cho router interface để đạt hiệu Điều quan trọng cần lưu ý access-list áp dụng cho giao diện dựa hướng dẫn hình - Inbound (in)- Gói lọc access-list áp dụng cho việc nhận gói tin router interface - Outbound (out)- Gói lọc access-list áp dụng cho việc truyền gói tin router interface 4.3.2.2.9 Áp dụng access-list cho interface 65 Trước áp dụng gói lọc access-list cho router interface, bạn phải xác định hướng lọc Áp dụng access-list cho router interface cách sử dụng lệnh ip access group interface configuration mode hình Cú pháp dòng lệnh cho ip access group sau: ip access-group {access-list-number | access-list-name} {in lout} access-list-number Số hiệu IP tiêu chuẩn IP mở rộng gán cho access-list dạng số thập phân từ đến 199 từ 1300 đến 2699 access-list-name Tên IP tiêu chuẩn IP mở rộng đặt cho access-list theo quy định dòng lệnh ip IP access-list in Bộ lọc inbound (lưu vào router interface) out Bộ lọc outbound (lưu từ router interface) 4.3.2.2.10 Màn hình hiển thị access list 66 Hiển thị access-list router cách sử dụng lệnh show access-list priviledge EXEC mode hình Cú pháp dòng lệnh show access list sau: show access-lists {access-list-number I access-list-name} access-list-number Số hiệu IP tiêu chuẩn IP mở rộng gán cho access-list dạng số thập phân từ đến 199 từ 1300 đến 2699 access-list-name Tên IP tiêu chuẩn IP mở rộng đặt cho accesslist theo quy định dòng lệnh ip IP access-list Tùy chọn này, bạn sử dụng lệnh show ip interface để xem ACL gán cho router interface Cú pháp lệnh show ip interface sau: show ip interface [type number] Type Loại interface Number Số hiệu interface 4.3.2.2.11 Kích hoạt Turbo ACLs 67 Access-list thường tìm kiếm để tìm quy tắc phù hợp xếp theo thứ tự đặc biệt Bởi nhu cầu ngày tăng yêu cầu lọc an toàn phân loại gói tin ngày cao, ACL phải mở rộng thời điểm tìm kiếm dẫn tới phải tốn thêm lường thời gian nhớ đáng kể gói tin truyền Hơn nữa, khoảng thời gian để router tìm kiếm danh sách luôn quán, có độ trễ để truyền gói tin Vì vậy, CPU có tốc độ load nhanh cần thiết cho trình tìm kiếm ACL Tính Turbo ACL biên dịch access list vào tập hợp bảng tra cứu, trì yêu cầu Tiêu đề gói tin sử dụng để truy cập vào bảng Cú pháp cho lệnh access-list compiled sau: access-list compiled Lệnh từ khóa tham số Để xem trạng thái turbo access lists bạn, sử dụng lệnh show accesslists compiled privileged EXEC mode hình Cú pháp cho lệnh show access-lists compiled sau: show access-list compiled Lệnh từ khóa tham số 68 4.3.2.3 Sử dụng Access List để giảm thiểu nguy an toàn Phần mô tả làm để sử dụng access list giảm thiểu phạm vi nguy an toàn phổ biến Để rà soát, phải áp dụng quy tắc sau định làm để xử lý dịch vụ router, port protocol: - Vô hiệu hóa dịch vụ (service), port hay protocol không sử dụng-Tùy trường hợp cần thiết sử dụng hay không sử dụng mà ta nên enable disable service, port hay protocol - Hạn chế truy cập vào service, port hay protocol- Tùy trường hợp người sử dụng hệ thống yêu cầu truy cập mà giới hạn truy cập sử dụng access list Kiểm soát access list tốt việc quan trọng lọc lưu lượng người truy cập từ mạng công ty (mạng tin cậy) từ internet (mạng không tin cậy) Sử dụng access list việc router thực thi sách bảo mật công ty cách từ chối sử dụng protocol port Bảng sau có chứa danh sách dịch vụ router sử dụng để thu thập thông tin mạng bạn, tệ sử dụng để công mạng bạn Trừ mạng bạn cấu hình cho phép số ứng dụng truy cập thông qua router không tất dịch vụ khác bị từ chối Có thể chặn dịch vụ luồng từ internet để bảo vệ cho mạng bạn cách sử dụng access list Service Port Transport 69 Tcpmux TCP and UDP Echo TCP and UDP Discard TCP and UDP Systat 11 TCP Daytime 13 TCP and UDP Netstat 15 TCP Chargen 19 TCP and UDP Time 37 TCP and UDP Whois 43 TCP Bootp 67 UDP Tftp 69 UDP Subdup 93 TCP Sunrpc 111 TCP and UDP Loc-srv 135 TCP and UDP Netbios-ns 137 TCP and UDP Netbios-dgm 138 TCP and UDP Netbios-ssn 139 TCP and UDP Xdmcp 177 UDP Netbios (ds) 445 TCP Rexec 512 TCP Lpr 515 TCP Talk 517 UDP Ntalk 518 UDP Uucp 540 TCP Microsoft UpnP SSDP 1900, 5000 TCP and UDP Nfs 2049 UDP X Window System 6000-6063 TCP Irc 6667 TCP NetBus 12345 TCP NetBus 12346 TCP Back Orifice 31337 TCP and UDP Bảng sau chứa danh sách service phổ biến phục vụ bảo vệ mang công ty router Những service từ chối truy cập không tin cậy cách sử dụng accest list 70 Service Port Transport Finger 79 TCP Snmp 161 TCP and UDP Snmp trap 162 TCP and UDP rlogin 513 TCP Who 513 UDP Rsh, rcp, rdist, rdump 514 TCP Syslog 514 UDP New who 550 TCP and UDP Có số cách để kiểm soát truy cập dịch vụ router: - Disable the service itself- Khi service router bị vô hiệu hóa không sử dụng service Việc vô hiệu hóa service an toàn hơn, đáng tin cậy cách cố gắng chặn tất truy cập tới service sử dụng access list - Restrict access to the service using access lists: Trong trường hợp phục vụ nhu cầu hạn chế truy cập tới service, phải xây dựng kiểm tra access list thích hợp để áp dụng cho service Tài liệu tham khảo: 1.KnowledgeNet Securing Cisco IOS Networks (SECUR) 1.1 Student Guide – OK 2.http://www.petri.co.il/layer-by-layer-troubleshooting-cisco.htm 71 3.http://www.cisco.com/en/US/products/hw/routers/ps233/products_tech_note09 186a00801545eb.shtml 4.http://www.cisco.com/en/US/products/hw/iad/ps397/products_tech_note09186 a00800b4447.shtml 72

Ngày đăng: 14/12/2021, 23:08

TỪ KHÓA LIÊN QUAN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w