Đang tải... (xem toàn văn)
Khảo sát và phân tích các lỗi logic thường gặp trên các thiết bị Router Việc cài đặt mạng lưới router và switch không an toàn là một rủi ro bảo mật thường bị bỏ qua, mà nếu không không ai để ý đến, có thể có nhiều hậu quả đáng tiếc xảy ra. Biện pháp an ninh chỉ dựa trên các phần mềm không thể ngăn chặn được hết hoặc thậm chí có những thiệt hại về mạng liên quan đến việc cài đặt không cẩn thận. Chúng ta sẽ thảo luận về cách để xác định và khắc phục việc cài đặt không an toàn.
Khảo sát phân tích lỗi logic thường gặp thiết bị Router Việc cài đặt mạng lưới router switch khơng an tồn rủi ro bảo mật thường bị bỏ qua, mà không không để ý đến, có nhiều hậu đáng tiếc xảy Biện pháp an ninh dựa phần mềm ngăn chặn hết chí có thiệt hại mạng liên quan đến việc cài đặt không cẩn thận Chúng ta thảo luận cách để xác định khắc phục việc cài đặt khơng an tồn 4.1.1 Đánh giá rủi ro trình cài đặt Trước thảo luận làm để bảo mật việc cài đặt router switch, quan trọng phân biệt khác biệt thiết bị rủi ro thấp (low risk devices) rủi ro cao (high risk devices): - Low risk devices: Các thiết bị điển hình rẻ hệ thống mạng kích thước nhỏ small office/home office (SOHO), chẳng hạn router Cisco series 800/900/1700 switch cisco sử dụng môi trường nơi mà cho phép 10 thiết bị dây cáp kết nối truy cập khơng có nguy cao mạng công ty Việc cài lắp đặt khơng áp dụng chí tốn phải cung cấp nhiều thiết bị an ninh cáp kết nối cho mạng có kích thước lớn mạng doanh nghiệp Trong trường hợp này, người quản trị mạng phải đưa định hợp lý hệ thống thiết bị mạng cho đảm bảo độ bảo mật - High risk devices: Các thiết bị thường tìm thấy văn phòng lớn sở công ty nơi mà hàng chục, hàng trăm, chí hàng ngàn nhân viên làm việc, nơi mà có số lượng lớn nhân viên truy cập liệu từ xa công ty Các thiết bị thường sử dụng router, firewall hệ thống quản lý để định tuyến kiểm soát lượng lớn liệu lưu lượng truy cập video hay voice Hệ thống mạng thường có rủi ro bảo mật nhân viên bất mãn bị ảnh hưởng điều kiện môi trường tiêu cực 4.1.2 Những mối đe dọa phổ biến trình cài đặt vật lý cho router switch Việc cài đặt không an toàn hay mối đe dọa truy cập vật lý phân loại sau: - Hardware threats: Là mối đe dọa thiệt hại vật chất phần cứng router switch - Environmental threats: Là mối đe dọa nhiệt độ (quá nóng hay lạnh) độ ẩm (quá ướt hay khô) - Electrical threats: Là mối đe dọa tăng giảm điện áp, điện áp cung cấp không đầy đủ tổng số tổn thất điện - Mainternance threats: Là mối đe dọa việc xử lý thành phần điện tử (gây rò rỉ điện), thiếu phụ tùng quan trọng, dây cáp kém, lắp đặt kém, … 4.1.3 Giảm thiểu mối đe dọa phần cứng Nhiệm vụ quan trọng thiết bị router switch nên đặt hệ thống điện tử máy tính phịng viễn thông đáp ứng yêu cầu tối thiểu sau đây: - Nhân viên ủy quyền phải khóa phịng có người có phận vào - Khơng nên để người khác đột nhập vào phịng thơng qua trần nhà, sàn nhà, cửa sổ, đường ống, địa điểm khác - Nếu có thể, việc kiểm sốt truy cập điện tử nên khai thác tối đa khả chống truy cập trái phép hệ thống an ninh giám sát nhân viên an ninh - Nếu có thể, nhân viên an ninh nên giám sát qua camera an ninh tự động ghi âm 4.1.4 Giảm thiểu mối đe dọa môi trường Các quy tắc sau nên áp dụng để hạn chế mối đe dọa môi trường tới router switch: - Phịng phải cung cấp hệ thống kiểm sốt nhiệt độ độ ẩm tốt Luôn kiểm tra thơng số nhiệt độ mơi trường phịng phù hợp theo yêu cầu tài liệu sản phẩm cung cấp - Nếu có thể, thơng số nhiệt độ môi trường nên theo dõi từ xa có chế độ báo động kịp thời - Phịng phải đảm bảo nhiễu điện từ trường 4.1.5 Giảm thiểu mối đe dọa điện Những vấn đề liên quan đến điện hạn chế cách tuân thủ quy tắc sau đây: - Cài đặt hệ thống điện hỗ trợ không bị gián đoạn (uninterrupted power supply -UPS) cho thiết bị router switch quan trọng - Cài đặt hệ thống máy phát điện dự phòng cho nguồn cung cấp quan trọng - Lên kế hoạch khởi tạo UPS, thường xuyên kiểm tra máy phát điện thực lịch trình bảo trì phịng ngừa dựa vào yêu cầu nhà sản xuất - Sử dụng nguồn lọc - Cài đặt nguồn điện dự phòng thiết bị quan trọng - Theo dõi cảnh báo liên quan đến thông số mức độ yêu cầu thiết bị 4.1.6 Giảm thiểu mối đe dọa liên quan đến bảo trì Các mối đe dọa liên quan đến bảo trì hạng mục rộng lớn bao gồm nhiều quy tắc Các quy tắc chung sau cần tuân thủ để ngăn chặn mối đe dọa: - Tất loại cáp nên dán nhãn rõ ràng trang bị thiết bị giá đỡ để ngăn chặn thiệt hại ngẫu nhiên bị ngắt kết nối đột ngột - Chạy dây cáp, ống bảo vệ dây cáp hai sử dụng để qua kết nối rack-to-ceiling rack-to-rack - Luôn tuân theo quy trình xả điện (electrostatic discharge -ESD) thay làm việc với thiết bị router switch - Duy trì kho chứa phụ kiện thay quan trọng để sử dụng trường hợp khẩn cấp - Không để kết nối điều khiển đăng nhập vào cổng console Luôn log off giao diện quản trị ngồi - Ln ln nhớ rằng, khơng có phịng hồn tồn an tồn khơng nên dựa vào lực lượng bảo vệ để đảm bảo an ninh cho thiết bị truy cập Một kẻ xâm nhập vào bên phịng, khơng có biện pháp để ngăn chặn kết nối vào terminal thông qua cổng console router switch 4.2 Khắc phục cố Router mơ hình OSI Mỗi quản trị viên mạng gặp phải cố liên kết mạng router Cách tốt để khắc phục cố vấn đề kết nối mạng sử dụng mơ hình OSI kiểm sốt lỗi tầng mơ hình Vậy làm để sử dụng mơ hình OSI khắc phục cố mạng? Để trả lời cho câu hỏi này, giới thiệu phương pháp tiếp cận, xử lý cố khác làm để sử dụng chúng để khắc phục cố mạng bạn Trong phần này, tập trung xử lý cố tầng Data Link Network 4.2.1 Kiểm tra khắc phục lỗi cố phần cứng Router tầng Data Link Ở ta quan tâm đến tầng Data Link không bàn tới cố tầng Physical cổng giao tiếp (interface) hay cáp kết nối Những dịng giao thức (line protocol) điển hình hoạt động tầng Ethernet, ATM, 802.11, PPP, frame-replay, HDLC hay PPP Trước tiên, ta phải nắm thông số chi tiết router câu lệnh show interface show ip interface brief Như ví dụ interface Gigabit Ethernet 0/0 Serial 0/3: Dưới ta qn tâm: - Interface có UP khơng? - Line protocol có UP khơng? - Nếu hai interface line protocol NOT up kết nối không thiết lập - Để xử lý line protocol bị down, ta phải kiểm tra chắn giao thức phù hợp với bên kết nối (thông báo line protocol interface trên) Nói chung, phải xác minh phù hợp line protocol cài đặt clocking xác Nếu kết nối Ethernet, có phải đèn báo liên kết switch không? Nếu kết nối serial, có phải bạn có external CSU/DSU khơng? Nếu external CSU, kiểm tra xem đèn Carrier Detect (CD) đèn data terminal (DTR) có sáng khơng Nếu không, liên hệ với nhà cung cấp Điều áp dụng bạn có card internal Cisco WIC CSU Nếu trường hợp này, xem thông tin liên kết trang chủ nhà sản xuất để tìm hiểu rõ đèn card Bạn sử dụng lệnh Cisco IOS test để kiểm tra network interface bạn với nhân viên nội với nhà cung cấp dịch vụ viễn thông bạn Không tiến hành lớp cấp interface vật lý router bạn line protocol bạn cho thấy UP Cho đến lúc đó, ta chưa cần quan tâm đến địa IP, ping, access list điều 4.2.2 Kiểm tra khắc phục lỗi cố phần cứng Router tầng Network: Tại tầng này, cách dễ dàng để xem lớp có hoạt động ping tới liên kết mạng LAN WAN từ router Hãy chắn bạn ping chặt chẽ tốt để router bạn giao tiếp với thiết bị khác Sau ví dụ trường hợp ping thành công ping thất bại: 10 Log-input Any Host đăng nhập Bao gồm đầu vào cổng giao tiếp, địa MAC nguồn VC đăng nhập Chỉ định máy chủ Điều tương tự sử dụng địa IP mặt nạ ký tự đại diện: 0.0.0.0 255.255.255.255 Chỉ định máy chủ phù hợp Điều giống định mặt nạ ký tự đại diện: 0.0.0.0 Trong ví dụ hình trên, interface e0/0 router Miami phần lớp mạng B với địa 128.88.0.0 Các mail server, với địa 128.88.1.2, cung cấp thư Internet Các từ khóa thiết lập access list sử dụng cho chế TCP để kết nối thiết lập Một phiên giao dịch xảy chế TCP thiết lập bit ACK RST, gói tin thuộc kết nối Trong kịch này, bit ACK không thiết lập bit SYN thiết lập, gói tin Internet khởi tạo phiên gói tin bị từ chối Lưu ý: Khi xây dựng danh sách truy cập tiêu chuẩn mở rộng, theo mặc định, kết thúc danh sách truy cập chứa ngầm định từ chối tất thông báo 4.3.2.2.5 Định dạng tên danh sách truy cập mở rộng 35 Lưu ý: Tên access list đặt không công nhận phiên hệ điều hành IOS Cisco 11.2 Hoàn thành bước sau để tạo tên danh sách truy cập mở rộng: Bước 1: Nhập lệnh ip access-list extended global configuration mode thể hình Cú pháp cho lệnh ip access-list extended sau: ip access-list standard access-list-name Access-listname Tên danh sách truy cập.Tên chứa khoảng trống dấu ngoặc kép, phải bắt đầu ký tự chữ để ngăn chặn trùng với số hiệu danh sách truy cập Bước 2: Nhập lệnh deny permit extended named access list mode hình 36 Cú pháp cho lệnh deny permit extended named access list sau: {deny | permit} {protocol-number | protocol-keyword} { source source-wildcard | any | host} {source-port} {destination destinationwildcard | any | host} {destination-port} [established] [log | log-input] Deny Permit Protocolnumber Protocolkeyword Source Sourcewildcard Source-port Destination Destinationwildcard Destinationport Established Log Log-input Any Host Từ chối tất gói tin phù hợp với địa nguồn quy định Cho phép tất gói tin phù hợp với địa nguồn quy định truy cập vào cổng giao tiếp Số nguyên phạm vi 0-255 đại diện cho giao thức IP Tên giao thức IP Có thể tên sau đây: eigrp, gre, icmp, igmp, igrp, ip, ipinip, nos, ospf, tcp udp Chỉ định địa IP máy chủ nhóm máy chủ (nếu mặt nạ ký tự đại diện quy định) có gói tin kiểm tra Chỉ định địa IP máy chủ nhóm máy chủ (nếu mặt nạ ký tự đại diện quy định) có gói tin kiểm tra Chỉ định cổng nguồn gói tin Điều số cổng thực tế (ví dụ 80), tên phổ biến (ví dụ; HTTP) Địa IP máy chủ mạng, nơi gói tin gửi Các mặt nạ ký tự đại diện áp dụng cho địa IP đích Chỉ định cổng đích gói tin Điều số cổng thực tế (ví dụ 80), tên phổ biến (ví dụ; HTTP) (chỉ dành cho TCP) Thẩm tra hai bit RST ACK thiết lập.Nếu bit thiết lập, gói tin phần kết nối thành lập trước Điều sử dụng để hạn chế TCP phản hồi chiều phiên chiều ngược lại Chỉ định máy chủ phù hợp Điều giống định mặt nạ ký tự đại diện: 0.0.0.0 Bao gồm đầu vào cổng giao tiếp, địa MAC nguồn VC đăng nhập Chỉ định máy chủ Điều tương tự sử dụng địa IP mặt nạ ký tự đại diện: 0.0.0.0 255.255.255.255 Chỉ định máy chủ phù hợp Điều giống định mặt nạ ký tự đại diện: 0.0.0.0 37 Lưu ý: Khi xây dựng danh sách truy cập tiêu chuẩn mở rộng, theo mặc định, kết thúc danh sách truy cập chứa ngầm định từ chối tất thông báo Thêm vào từ khóa quy định trên, số hiệu danh sách truy cập IP mở rộng tên danh sách truy cập IP mở rộng hỗ trợ từ khoá sau đây: Icmp-type Icmp-message Precedence precedence remark Xác định access list thực lọc dựa vào loại tin nhắn ICMP (0-255) Xác định access list thực lọc dựa vào tên đặc trưng tin nhắn ICMP (0-255) (ví dụ: echo-reply) Xác định access list thực lọc dựa mức độ ưu tiên tên số hiệu (0,7) Được sử dụng để thêm nhận xét (lên đến 100 ký tự) cho access list (phiên hệ điều hành IOS CISCO ≥ 12.0) 4.3.2.2.6 Thông tin gợi ý cho danh sách truy cập IP 38 Để viết gợi ý giúp đỡ (remark) cho mục danh sách truy cập (access-list) IP, sử dụng dịng lệnh cấu hình remark access-list global configuration mode hình Cú pháp cho lệnh remark sau: remark message Message Remark thêm vào access-list (tối đa 100 ký tự) 4.3.2.2.7 Các quy tắc cho việc phát triển access-list 39 Trước bắt đầu phát triển access-list , bạn ý ba quy tắc sau: - Quy tắc 1: Để phát triển access-list tốt bạn nên đưa công việc cụ thể mà bạn muốn access-list làm Đơn giản như, access-list phải chặn tất SNMP truy cập vào router ngoại trừ host SNMP có địa 16.1.1.15 - Quy tắc 2: Thiết lập hệ thống phát triển-có thể laptop hay server chuyên dụng, bạn cần nơi để phát triển lưu trữ access-list bạn Bạn xử lý văn hay soạn thảo văn hình thức nào, miễn bạn lưu tập tin định dạng văn ASCII Việc xây dựng thư viện access-list sử dụng phổ biến coi nguồn cho tập tin Access-list paste vào running configuration router (yêu cầu truy cập console telnet) lưu tập tin cấu hình router Note: Hacker thích đột nhập vào cấu hình hệ thống phát triển router TFTP server-nơi lưu trữ access-list Một hacker khám phá nhiều thứ từ mạng bạn cách dễ dàng thông qua tập tin văn Chính thế, hệ 40 thống mà bạn chọn để phát triển lưu trữ tập tin router cần phải bảo đảm an toàn - Quy tắc 3: Nếu có thể, kiểm tra chắn access-list bạn đặt mơi trường an tồn trước đưa chúng vào Đây phương pháp thường áp dụng với doanh nghiệp Giúp cho doanh nghiệp tiết kiệm nhiều thời gian tiền bạc thời gian dài 4.3.2.2.8 Định hướng lọc access-list Việc lọc access-list phải áp dụng cho router interface để đạt hiệu Điều quan trọng cần lưu ý access-list áp dụng cho giao diện dựa hướng dẫn hình - Inbound (in)- Gói lọc access-list áp dụng cho việc nhận gói tin router interface - Outbound (out)- Gói lọc access-list áp dụng cho việc truyền gói tin router interface 41 4.3.2.2.9 Áp dụng access-list cho interface Trước áp dụng gói lọc access-list cho router interface, bạn phải xác định hướng lọc Áp dụng access-list cho router interface cách sử dụng lệnh ip access group interface configuration mode hình Cú pháp dịng lệnh cho ip access group sau: ip access-group {access-list-number | access-list-name} {in lout} access-list-number access-list-name Số hiệu IP tiêu chuẩn IP mở rộng gán cho access-list dạng số thập phân từ đến 199 từ 1300 đến 2699 Tên IP tiêu chuẩn IP mở rộng đặt cho access-list theo quy định dòng lệnh ip IP access-list 42 in Bộ lọc inbound (lưu vào router interface) Bộ lọc outbound (lưu từ router interface) out 4.3.2.2.10 Màn hình hiển thị access list Hiển thị access-list router cách sử dụng lệnh show accesslist priviledge EXEC mode hình Cú pháp dịng lệnh show access list sau: show access-lists {access-list-number I access-list-name} access-list-number access-list-name Số hiệu IP tiêu chuẩn IP mở rộng gán cho access-list dạng số thập phân từ đến 199 từ 1300 đến 2699 Tên IP tiêu chuẩn IP mở rộng đặt cho access-list theo quy định dòng lệnh ip IP access-list 43 Tùy chọn này, bạn sử dụng lệnh show ip interface để xem ACL gán cho router interface Cú pháp lệnh show ip interface sau: show ip interface [type number] Type Number Loại interface Số hiệu interface 4.3.2.2.11 Kích hoạt Turbo ACLs Access-list thường tìm kiếm để tìm quy tắc phù hợp xếp theo thứ tự đặc biệt Bởi nhu cầu ngày tăng yêu cầu lọc an tồn phân loại gói tin ngày cao, ACL phải mở rộng thời điểm tìm kiếm dẫn tới phải tốn thêm lường thời gian nhớ đáng kể gói tin truyền Hơn nữa, khoảng thời gian để router tìm kiếm danh sách khơng phải ln ln qn, có độ trễ để truyền gói tin Vì vậy, CPU có tốc độ load nhanh cần thiết cho trình tìm kiếm ACL 44 Tính Turbo ACL biên dịch access list vào tập hợp bảng tra cứu, trì yêu cầu Tiêu đề gói tin sử dụng để truy cập vào bảng Cú pháp cho lệnh access-list compiled sau: access-list compiled Lệnh khơng có từ khóa tham số Để xem trạng thái turbo access lists bạn, sử dụng lệnh show access-lists compiled privileged EXEC mode hình Cú pháp cho lệnh show access-lists compiled sau: show access-list compiled Lệnh khơng có từ khóa tham số 4.3.2.3 Sử dụng Access List để giảm thiểu nguy an tồn Phần mơ tả làm để sử dụng access list giảm thiểu phạm vi nguy an tồn phổ biến 45 Để rà sốt, phải ln áp dụng quy tắc sau định làm để xử lý dịch vụ router, port protocol: - Vơ hiệu hóa dịch vụ (service), port hay protocol không sử dụng-Tùy trường hợp cần thiết sử dụng hay không sử dụng mà ta nên enable disable service, port hay protocol - Hạn chế truy cập vào service, port hay protocol- Tùy trường hợp người sử dụng hệ thống yêu cầu truy cập mà giới hạn truy cập sử dụng access list Kiểm soát access list tốt việc quan trọng lọc lưu lượng người truy cập từ mạng công ty (mạng tin cậy) từ internet (mạng không tin cậy) Sử dụng access list việc router thực thi sách bảo mật công ty cách từ chối sử dụng protocol port Bảng sau có chứa danh sách dịch vụ router sử dụng để thu thập thông tin mạng bạn, tệ sử dụng để công mạng bạn Trừ mạng bạn cấu hình cho phép số ứng 46 dụng truy cập thơng qua router cịn khơng tất dịch vụ khác bị từ chối Có thể chặn dịch vụ luồng từ internet để bảo vệ cho mạng bạn cách sử dụng access list Service Tcpmux Echo Discard Systat Daytime Netstat Chargen Time Whois Bootp Tftp Subdup Sunrpc Loc-srv Netbios-ns Netbios-dgm Netbios-ssn Xdmcp Netbios (ds) Rexec Lpr Talk Ntalk Uucp Microsoft UpnP SSDP Nfs X Window System Irc NetBus NetBus Back Orifice Port 11 13 15 19 37 43 67 69 93 111 135 137 138 139 177 445 512 515 517 518 540 1900, 5000 2049 6000-6063 6667 12345 12346 31337 Transport TCP and UDP TCP and UDP TCP and UDP TCP TCP and UDP TCP TCP and UDP TCP and UDP TCP UDP UDP TCP TCP and UDP TCP and UDP TCP and UDP TCP and UDP TCP and UDP UDP TCP TCP TCP UDP UDP TCP TCP and UDP UDP TCP TCP TCP TCP TCP and UDP 47 Bảng sau chứa danh sách service phổ biến phục vụ bảo vệ mang công ty router Những service từ chối truy cập không tin cậy cách sử dụng accest list Service Finger Snmp Snmp trap rlogin Who Rsh, rcp, rdist, rdump Syslog New who Port 79 161 162 513 513 514 514 550 Transport TCP TCP and UDP TCP and UDP TCP UDP TCP UDP TCP and UDP Có số cách để kiểm soát truy cập dịch vụ router: - Disable the service itself- Khi service router bị vơ hiệu hóa khơng sử dụng service Việc vơ hiệu hóa service an toàn hơn, đáng tin cậy cách cố gắng chặn tất truy cập tới service sử dụng access list - Restrict access to the service using access lists: Trong trường hợp phục vụ nhu cầu hạn chế truy cập tới service, phải xây dựng kiểm tra access list thích hợp để áp dụng cho service 48