12.1Tính dễ bị tổn thương.
Một cấu hình và sự kiểm tra yếu của logging và debugging trên một Switch có thể dẫn tới việc thiếu thông tin khi có một cuộc tấn công xảy ra chống lại Switch hoặc những mạng kết nối đến nó. Những vấn đề có thể xảy ra nếu việc logging được cho phép nhưng quản lí không đúng mức. Những file log xác định trên Switch là những sự mạo hiểm nó cho phép ghi đè khi có một không gian của bản than nó để luư trữ thông tin logging. Đồng thời những log trên Switch có thể bị lấy để xoá hoặc thoả hiệp bởi kẻ tấn công.
Thông tin log hệ thống cần được trình bày chi tiết cho một người quản trị. Nếu logging được cấu hình ở một mức không hợp lệ thì người quản trị không thể có thông tin cần thiết để nhận dạng một biến cố trên hệ thống hoặc trên một mạng. logging mà không được điều hướng đúng cách thì có thể làm người quản trị bị lấn át bởi việc cung cấp thông tin thừa thãi. Cuối cùng, những thông điệp log và debug mà không có timestaps hoặc có một nguồn thời gian không đáng tin cậy có thể gây ra sự lẫn lộn cho người quản trị khi những sự kiện tấn công cùng đến.
12.2 Giải Pháp.
Phần này bao gồm cho Switch cả hai cấu hình cài đặt logging và debugging và việc chuẩn đoán tình trạng của logging và debugging.
12.2.1 Cấu hình Loggings
Bật tính năng Logging trên mỗi Switch bằng dòng lệnh sau: Switch(config)# logging on
Những logs từ mổi Switch đến ít nhất một log host cần phải dành một hệ thống mạng bảo vệ. Tiêu biểu, log host có một dịch vụ syslog được phép nhận những logs. Trên log host vô hiệu hóa tất cả TCP hoặc những dịch vụ UDP không cần thiết. Đồng thời loại bỏ những tài khoản người dùng không cần thiết. Nếu có thể, cấu hình ruleset trên
mỗi log host để làm sau cho: Cho phép duy nhất những mạng hệ thống gửi những logs đến log host và cho phép duy nhất những hệ thống quản trị truy cập đến những logs host. Cuối cùng, tập trung những logs host là một cơ chế tốt để tổng quan các cuộc tấn công ngang qua mạng máy tính. Lệnh sau sẽ cho thấy làm thế nào để định hướng những logs đến log host. Chú ý, IOS có thể hỗ trợ nhiều logs host; người quản trị cần sử dụng dòng lệnh logging <ip address> cho mổi log host trên mạng.
Switch(config)# logging 10.1.6.89
Cho mối access-list trên Switch, đặt một từ khóa log cho mỗi access-list đề từ chối traffic mạng đi qua Switch hoặc cho phép hoặc từ chối cho sự truy cập đến Switch. Câu lệnh sau để đặt từ khóa log cho access-list.
Switch(config)# access-list 101 deny ip any any log
Người quản trị cần cấu hình level trap cho syslog trên mỗi Switch để xác định những logs được gửi đến logs host nào. Sau đây là dòng lệnh dùng để đặt level trap.
Switch(config)# logging trap level Sau đây là 8 level syslog.
Number Keyword Message Examples 0 Emergencies System is unusable
1 Alerts Immediate action needed
2 Critical Critical conditions
3 Errors Error conditions
4 Warnings Warning conditions
5 Notifications Exit global configuration mode 6 Informational Access-list statement match
7 Debugging Debugging messages
Đặt level trap cho syslog trên mỗi Switch ít nhất là mức informational. Điều này cần thiết vì thông điệp log cho mỗi access-list có từ khóa log phát sinh ở mức informational. Khi một mức được cấu hình logging thì tất cả các thông điệp ở mức đó và ở mức thấp hơn sẽ bị log.
Đây là những cách khác để gửi log. Ví dụ, giao tiếp console cho Switch có thể nhận những log, nhưng làm thế nào để xác định những logs console nào cần phải nhận. Nếu console output đang được bắt thì nhiều logging có thể phù hợp. Ở tại minimum, đặt level trap cho console tới Critical dùng lệnh sau:
Switch(config)# logging console critical
Teminal lines có thể nhận những thông tin logging. Tại minimum, đặt level trap cho teminal line tới Critical dùng lệnh sau:
Switch(config)# logging monitor critical
Người quản trị có dùng dòng lệnh sau để xem thông tin logging và debugging cuối và session.
Switch# terminal monitor
Mỗi thông điệp log được gửi từ Switch đến log host có thể có địa chỉ nguồn được đặt cùng giá trị. Điều này có ích vì người quản trị có phân biệt log host trên bất cứ Switch nào mà gửi log. Đồng thời người quản trị có thể tạo access-lis cho phép duy nhất một địa chỉ nguồn hướng vào Switch để gửi những logs. Lệnh sau đặt địa chỉ nguồn dùng một trong những interface cùa Switch. Như vậy, interface này phải được cấu hình với một địa chỉ IP để thiết lập này thành công. Cổng Loopback 0 là sự chọn lựa tốt nhất cho địa chỉ IP nguồn.
Switch(config)# logging source-interface type number Type: kiều interface .
Number: Số interface.
Syslog facility cũng có thể là những tập hợp trên Switch. Dòng lệnh sau làm điều đó. Switch(config)# logging facility facility-type
facility-type là một trong những từ sau: local0 local3 local6
local1 local4 local7 (default) local2 local5 syslog
Mỗi thông điệp vể tình trạng logged trong hệ thống xử lí logging có một số tham khảo nối tiếp được áp dụng. Lệnh sau tạo một số nối tiếp cho mỗi thông điệp bởi việc trình bày số với thông báo.
Switch(config)# service sequence-numbers Time information.
Cấu hình trên mỗi Switch và trên mỗi log host để trỏ vào ít nhất hai timeserver đáng tin cậy để đảm bảo cho sự chính xác và tính sẵn sang của time information và đảm bảo chống lại tấn công từ chối dịch vụ trên timeserver đơn. Mỗi timeserver tiêu biểu được phép có một Network Time Protocol (NTP) server. NTP đồng bộ hóa những hệ thống tới một nguồn thời gian có căn cứ. Thời gian chính xác quan trọng cho thông điệp logging và debugging. Việc đồng bộ hóa thời gian giúp cho những khảo sát toàn mạng kéo theo nhiều nguồn logging. Lệnh sau dể chỉ định những địa chỉ timeserver và interface cho địa chỉ nguồn sử dụng trong những thông điệp NTP được gửi từ Switch đến timeserver.
Switch(config)# ntp server 10.1.200.94 source Loopback0 prefer
Các Switch của Cisco đề xuất hỗ trợ chứng thực NTP để ngăn ngừa việc ngẫu nhiên hoặc cố ý thay đổi đồng hồ hệ thống. Những lệnh sau cho phép sự chứng thực NTP, tạo ra một chìa khóa chứng thực liên quan dến số chìa khóa chứng thực, xác định số chìa khóa đó được yêu cầu trong chứng thực và cấu hình cho NTP server với khóa liên hệ.
Switch(config)# ntp authenticate
Switch(config)# ntp trusted-key 42
Switch(config)# ntp server 10.1.200.94 key 42 prefer
Chú ý rằng khi một Switch được cấu hình để sử dụng NTP cho việc đồng bộ hóa thời gian, thì Switch cũng trở thành một NTP server. Trừ khi Switch có ý nghĩa như một server trên mạng, NTP cần được vô hiệu hóa trên tất cả các interface mà không chuyển qua NTP traffic.
Switch(config-if)# ntp disable
Ngoài xem xét timeservers, thì Switch cần phải bao gồm ngày thàng và thời gian khi một thông điệp log và debug được gửi. Để dối chiếu ngày tháng và thời gian của những thông điệp này thì timestramps cần đặt trên mỗi Switch. Dòng lệnh sau dùng để cấu hình timestramps cho logging và debugging.
Switch(config)# service timestamp log datetime msec localtime show- timezone
Switch(config)# service timestamp debug datetime msec localtime show-timezone
Datetime : cung cấp ngày tháng và thời gian. Msec: thời gian tính bằng mili giây.
Locatime: cho thấy thời gian ở dạng giời địa phương. Show-timezone: khu vực thời gian.
Nếu Switch được quản lí bên trong nhiều timezones, sử dụng Greenwich Mean Time (GMT) cho tất cả các timezone cho tất cả Switch. Cách khác hãy sử dụng timezone địa phương trên Switch. Dòng lệnh sau dùng để đặt thời gian chuẩn phương đông và được đặt tự động trên Switch.
Switch(config)# clock timezone EST –5
Switch(config)# clock summer-time EDT recurring