Nội dung chính
+ Tổng quan về bảo mật thiết bị mạng + Cấu hình bảo mật cho mạng không dây + Cấu hình port security
I. Tổng quan về bảo mật thiết bị mạng a. Repeater:
Đặc điểm, chức năng và hoạt động:
Là thiết bị tầng 1 (physical layer) trong mô hình OSI, có 2 port.
Khuếch đại tính hiệu và forward tính hiệu từ port này sang port khác, dùng để tăng chiều dài mạng.
Ví dụ: kỹ thuật IEEE 802.3 (100Mbs) quy định chiều dài network segment tối đa là 100 mét, để mở rộng mạng tới 400 mét chẳng hạn, có thể sử dụng repeater.
Điểm yếu của bảo mật:
Mạng sẽ bị đứt nếu repeater không hoạt động. Khi tiếp cận được repeater dễ dàng khống chế đường truyền.
Nếu gắng thiết bị vào 1 trong 2 port attacker có toàn bô thông tin của phần bên kia gởi tới. Hoặc dùng thêm 1 Hub có thể nghe lén toàn bộ thông tin đi qua repeater.
Cách khắc phục:
Bố trí Repeater ở vị trí an toàn, quản lý repeater.
b. HUB:
Đặc điểm, chức năng và hoạt động:
Là thiết bị hoạt động ở tầng 1 trong mô hình OSI.
Có nhiều port dùng kết nối máy tính hay thiết bị mạng, các thiết bị kết nối bằng hub thuộc cùng network segment hay một colliss domain.
Không thực hiện bất cứ thao tác đọc dữ liệu nào.
Không quan tâm địa chỉ nguồn, địa chỉ đích của tính hiệu qua nó.
Có tính năng khuyếch đại tính hiệu nếu cần và broadcast tín hiệu nhận được tất cả các port.
258
Phân loại: có 3 loại passive, active và intelligent.
Passive không có tính năng khuyếch đại tín hiệu.
Active có khả năng khuyếch đại tính hiệu.
Intelligent hub tương tự như active hub nhưng thường có thêm khả năng SMNP hay LAN.
Điểm yếu bảo mật, dễ dàng bi nghe lén vì toàn bộ tín hiệu hub đều được broadcast tới tất cả các port.
Cách khắc phục: bố trí hub ở vị trí an toàn, kiểm soát và quản lý các thiết bị gắn vào hub.
c. Bridge:
Đặc điểm, chức năng, hoạt động:
Là thiết bị hoạt động ở tầng 2 (Data link layer) trong OSI, có 2 port nối vào LAN segment.
Hiểu địa chỉ MAC, chi mỗi port là 1 LAN segment hay collission domain nhưng 2 LAN segment vẫn chung một broadcast domain.
Điểm yếu bảo mật: Nếu bridge không hoạt động, truyền thông giữ 2 LAN segment không còn.
Nếu tiếp cận được, bridge dễ dàng khống chế đường truyền.
Các khắc phục: Bố trí ở vị trí an toàn và quản lý tốt.
d. Router:
Đặc điểm chức năng và hoạt động:
Là thành phẩn quan trọng trong hoạt động của tầng 3 và 4 (Network layer và Transport layer) trong mô hình OSI.Router đơn giản nhất là máy tính có nhiều hơn 2 interface thực hiện chức năng định tuyến.
Chức năng chính là chia broadcast domain, hiểu network address (IP address) và dùng thực hiện định tuyến.
Thực hiện chức năng filter (screening router) bằng Access Control List (ACLs).
Các khả năng bảo mật của router đi liền với chức năng chính của nó.
Do các packet đi qua router nên nó thực hiện vai trò là chốt kiểm soát bằng cách thi hành các ACLs.
Chia nhỏ broadcast domain hạn chế thông tin để có thể bị nghe lén.
Phân biệt chiều của dữ liệu tránh giả mạo IP.
Điểm yếu bảo mật:
Router có rất ít điểm yếu bảo mật nếu được cấu hình đúng. Ngoài những tấn công thông thường, một dạng tấn công cần nhắc đến là tấn công giao thức định tuyến (tuy nhiên loại tấn công này khó thực hiện – các giao thức định tuyến mới thường cung cấp chức năng password).
II. Cấu hình bảo mật cho mạng không dây
259 a. Tổng quan về bảo mật trong mạng không dây
Overview of Wireless Security
Khi đã triễn khai thành công hệ thống mạng không dây thì bảo mật là vấn đề kế tiếp cần phải quan tâm, công nghệ và giải pháp bảo mật cho mạng Wireless hiện tại cũng đang gặp phải nhiều nan giải, rất nhiều công nghệ và giải pháp đã được phát triển rồi đưa ra nhằm bảo vệ sự riêng tư và an toàn cho dữ liệu của hệ thống và người dùng. Nhưng với sự hổ trợ của các công cụ (phần mềm chuyên dùng) thì Attacker dễ dàng phá vở sự bảo mật này. Chúng ta sẽ cùng tìm hiểu sâu hơn về vấn đề bảo mật và các giải pháp phòng chóng mà nhiều chuyên gia đã nghiên cứu và phát triển thành công trong những phần sau.
Như rất nhiều tài liệu nghiên cứu về bảo mật trong mạng Wireless thì để có thể bảo mật tối thiểu bạn cần một hệ thống có 2 thành phần sau:
• Authentication - chứng thực cho người dùng: quyết định cho ai có thể sử dụng mạng WLAN.
• Encryption - mã hóa dữ liệu: cung cấp tính bảo mật dữ liệu.
Authentication + Encryption = Wireless Security
Bởi vì mạng Wireless truyền và nhận dữ liệu dựa trên sóng radio, và vì AP phát sóng lan truyền trong bán kính cho phép nên bất cứ thiết bị nào có hổ trợ truy cập Wireless đều có thể bắt sóng này, sóng Wireless có thể truyền xuyên qua các vật liệu như bêtông, nhựa, sắt,
… Cho nên rủi ro thông tin bị các attacker đánh cắp hoặc nghe trộm rất cao, vì hiện tại có rất nhiều công cụ hổ trợ cho việc nhận biết và phân tích thông tin của sóng Wireless sau đó dùng thông tin này để dò khóa WEP (như AirCrack, AirSnort, …).
b. WEP – Wired Equivalent Privacy
WEP là một hệ thống mã hóa dùng cho việc bảo mật dữ liệu cho mạng Wireless, WEP là một phần của chuẩn 802.11 gốc và dựa trên thuật toán mã hóa RC4, mã hóa dữ liệu 40bit để ngăn chặn sự truy cập trái phép từ bên ngoài. Thực tế WEP là một thuật toán được dùng để mã hóa và giải mã dữ liệu.
Đặc tính kỹ thuật của WEP:
• Điều khiển việc truy cập, ngăn chặn sự truy cập của những Client không có khóa phù hợp
• Sự bảo mật nhằm bảo vệ dữ liệu trên mạng bằng cách mã hóa chúng và chỉ cho những Client nào có đúng khóa WEP giải mã
WEP key lengths
Một khóa WEP chuẩn sử dụng khóa 64bit mã hóa theo thuật toán RC4 (sẽ nghiên cứu trong phần sau). Trong 64bit có 40bit được ẩn. Nhiều nhà cung cấp sử dụng nhiều tên khác nhau cho khóa WEP như: “standar WEP”, “802.11-compliant WEP”, “40-bit WEP”,
“40+24-bit WEP” hoặc thậm chí là “64-bit WEP”. Nhưng hiện tại thì 64-bit WEP thường
260
được nhắc đến hơn hết. Nhưng với những thiết bị sử dụng 64-bit WEP thường thì tính bảo mật không cao và dễ dàng bị tấn công. Hiện nay có một chuẩn tốt hơn đó là 128-bit WEP, hầu hết các doanh nghiệp, cá nhân đều dần chuyển sang 128-bit WEP sử dụng thuật toán RC4 mã hóa, tính bảo mật cao hơn, các Attacker cũng khó khăn trong việc dò thấy khóa WEP. Nhưng về sau tính bảo mật của khóa WEP 128-bit cũng không còn khó khăn nữa đối với các Attacker nhờ sự hổ trợ của các công cụ dò tìm khóa WEP, thì lúc đó Wi-fi Protected Access – WPA là một chuẩn bảo mật cao cấp hơn WEP được ra đời
c. WPA - Wi-fi Protected Access
WPA được thiết kế nhằm thay thế cho WEP vì có tính bảo mật cao hơn. Temporal Key Intergrity Protocol (TKIP), còn được gọi là WPA key hashing là một sự cải tiến dựa trên WEP, là vì nó tự động thay đổi khóa, điều này gây khó khăn rất nhiều cho các Attacker dò thấy khóa của mạng.
Mặt khác WPA cũng cải tiến cả phương thức chứng thực và mã hóa. WPA bảo mật mạnh hơn WEP rất nhiều. Vì WPA sử dụng hệ thống kiểm tra và bảo đảm tính toàn vẹn của dữ liệu tốt hơn WEP
d. WPA2 – Wi-fi Protected Access 2
WPA2 là một chuẩn ra đời sau đó và được kiểm định lần đầu tiên và ngày 1/9/2004. WPA2 được National Institute of Standards and Technology (NIST) khuyến cáo sử dụng, WPA2 sử dụng thuật toán mã hóa Advance Encryption Standar (AES).
WPA2 cũng có cấp độ bảo mật rất cao tương tự như chuẩn WPA, nhằm bảo vệ cho người dùng và người quản trị đối với tài khoản và dữ liệu.
Nhưng trên thực tế WPA2 cung cấp hệ thống mã hóa mạnh hơn so với WPA, và đây cũng là nhu cầu của các tập đoàn và doanh nghiệp có quy mô lớn. WPA2 sử dụng rất nhiều thuật toán để mã hóa dữ liệu như TKIP, RC4, AES và một vài thuật toán khác. Những hệ thống sử dụng WPA2 đều tương thích với WPA.
III. Cấu hình Port Security:
a. Giới thiệu
Các tính năng Port Secutiry :
- Giới hạn cho 1 cổng chỉ được sử dụng bởi 1 (hoặc nhiều) thiết bị.
VD: bạn muốn cổng Fa0/1 chỉ chấp nhận các frame đến từ thiết bị có MAC Address là 0202.1111.1111
Điều này giúp giảm thiểu 1 số nguy cơ mạng bị tấn công khi Attacker thực hiện ARP Attack.
261
- Nếu 1 thiết bị không có quyền sử dụng cổng gửi frame tới, Switch loại bỏ frame đó, ghi lại log, hoặc shutdown cổng(loại bỏ tất cả các frame muốn vào ra từ cổng này của tất cả các thiết bị)
b. Các bước cấu hình
Cấu hình Port Security bao gồm nhiều bước. Về cơ bản, bạn cần thiết lập cho cổng muốn áp Port Security trở thành Access Port, tức là cổng đó chỉ có thể trao đổi frame với các cổng nằm cùng VLAN với nó. Sau đó, bạn enable cho Port Security và cấu hình để thiết bị có MAC Adrress là gì mới được sử dụng cổng đó. Các bước thực hiện như sau:vào cổng muốn áp PS.
Để cổng đó trở thành Access Port sử dụng lệnh:Switchport mode access Enable PS :Switchport port-security
Nếu muốn chỉ định số lượng MAC Address tối đa được phép liên kết với cổng này thì gõ Switchport port-security maximum number (Thay number=số MAC Address, mặc định là 1) (không bắt buộc) Nếu muốn chỉ định số lượng MAC Address tối đa được phép liên kết với cổng này thì gõ Switchport port-security violation {protect | restrict | shutdown}
Giải thích:
- Protect: Loại bỏ frame (nhưng vẫn cho phép các frame khác đi ra cổng này)
- Restrict: Loại bỏ frame + hiển thị syslog trên cửa sổ console + gửi thông điệp SNMP - Shutdown: Loại bỏ frame + hiển thị syslog trên cửa sổ console và gửi thông điệp SNMP + disable cổng từ chối tất cả traffic vào ra
Tùy chọn Shutdown đặt interface vào trạng thái error disabled (err-disabled), làm cho interface ngừng hoạt động hoàn toàn. Để khôi phục làm việc cho nó bạn “nhảy” vào cổng và dùng lệnh:
No shutdown
Chỉ định 1 (hoặc nhiều) MAC Addess được phép gửi frame tới cổng này Switchport port-security mac-address mac-address
(thay mac_address = MAC Adrress mong muốn). Sử dụng lệnh này nhiều lần để chỉ định hơn 1 MAC Adrress
Switch có thể tự động thêm các MAC Address vào danh sách được phép liên kết với cổng (Whitelist) thông qua quá trình “Sticky Learning”.
Switchport port-security mac-address sticky
Lệnh này sẽ báo cho Switch biết: “Thiết bị nào gửi frame đến cổng này đầu tiên thì hãy thêm MAC Address của thiết bị đó vào Whitelist”
Lưu ý:
+ Nếu bạn đặt maximum=n thì chỉ có n thiết bị gửi frame đến đầu tiên sẽ nằm trong Whitelist.
+ Sau khi hoàn tất thiết lập Port Security bạn chạy lệnh
262
Copy running-config startup-config Để lưu lại RAM vào NVRAM