Router là thiết bị hoạt động trên tầng 3 của mô hình OSI. Nhiệm vụ chủ yếu của router là định tuyến các gói tin và điều khiển sự liên kết giữa các VLAN. Mỗi cổng của router là 1 vùng broadcast domain, do đó router sẽ chia nhỏ các vùng broadcast domain. Ngoài ra tính năng quan trọng nhất của router là nó có khả năng chọn con đường tối ưu để cho gói tin đi tới đích.
Router được dùng trong rất nhiều loại hình mạng như ISDN, Frame Relay… Đây là một thiết bị có độ mềm dẻo cao, như router của Cisco có thể được dùng như một firewall thực thụ, điều này rất thuận tiện cho người sử dụng.
a. Password truy cập
Router có 2 mode để truy cập vào nó, đó là user mode và privileged mode. Mode user là mode đầu tiên khi kết nối với router. Truy cập vào mode user chỉ có thể kiểm tra các kết nối và xem thông tin dưới dạng các bảng thống kê chứ không
35
có quyền thay đổi cấu hình thiết bị, vì thế sự xâm nhập trái phép ở mức này không mấy nguy hiểm. Trong mức privileged có thể thay đổi cấu hình, thậm chí còn có thể xoá bỏ cấu hình, đặt lại password mới. Đê đảm bảo an toàn, chúng ta có thể đặt password cho các mức này bằng các lệnh sau:
Lệnh đặt password cho không mã hóa Router(config)#enable password lebaquy Lệnh đặt password mã hóa
Router(config)#enable secret lebaquy
Trong hai câu lệnh trên lebaquy là password mà người dùng tự đặt.
Để đảm bảo tính an toàn cho thiết bị cũng như hệ thống, nên loại bỏ tất cả các dịch vụ mà ta không sử dụng, hay những dịch vụ sẽ tạo lỗ hổng cho những kẻ tấn công lợi dụng xâm nhập vào thiết bị. Trên router có một số dịch vụ luôn mặc định được sử dụng. Trên router Cisco luôn chạy giao thức CDP (Cisco Discovery Protocol). Giao thức này cho phép người sử dụng có thể quan sát được thông số thiết bị đang sử dụng, trạng thái hoạt động, quan hệ với các thiết bị khác để đưa ra phương pháp quản lý thích hợp. Đây là giao thức giúp đỡ rất nhiều cho việc cấu hình cũng như sửa chữa lỗi xảy ra trên router, do đó nếu kẻ tấn công vào được thiết bị thì đây cũng là một công cụ rất hữu ích đối với chúng. Để ngừng hoạt động của CDP ta gõ lệnh no cdp trên mỗi cổng router mà ta không cho phép hoạt động.
b. Access Control Lists
Một trong những phương pháp bảo vệ được áp dụng phổ biến trên router đó là ACLs. ACLs có thể cho phép hay ngăn chặn một hoặc một số địa chỉ IP đi qua router. Đây là các câu lệnh để định nghĩa một ACLs:
Router(config)#access-list 1 permit 5.6.0.0 0.0.255.255 Router(config)#access-list 1 deny 7.8.0.0 0.0.255.255
Sau khi tạo ra ACLs cần phải gán vào một cổng nào đó của router: Router(config)#interface fa0/0
36
Sau câu lệnh này tất cả các địa chỉ trong dải 5.6.0.0/16 đều được đi vào cổng fa0/0, đồng thời tất cả các địa chỉ trong dải 7.8.0.0/16 đều không được đi vào cổng fa0/0 của router.
Ngoài ra cũng có thể cấu hình ACLs để chấp nhận hay từ chối việc sử dụng một dịch vụ của một địa chỉ mạng nào đó (extended ACLs)
Router(config)#access-list 101 permit tcp 172.16.4.0 0.0.0.255 any eq telnet
Router(config)#access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 20
Router(config)#access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 21
Router(config)#access-list 101 permit ip any any
Ở dòng đầu tiên ACLs cho phép mạng 172.16.4.0 thực hiện telnet đến bất cứ mạng nào khác. Dòng thứ 2 và thứ 3 từ chối dịch vụ FTP từ mạng 172.16.4.0 đến mạng 172.16.3.0. Dòng cuối cùng là cho phép tất cả các dịch vụ ip khác.
ACLs này sẽ được gắn vào một cổng nào đó của router: Router(config)#interface fa0/0
Router(config-if)#ip access-group 101 out
Tương tự như vậy ta có thể cho phép một dịch vụ nào đó được phép đi ra hay đi vào một mạng nào đó, bằng cách này ta có thể ngăn chặn được những truy cập không mong muốn vào mạng.
Ở đây ACLs không sử dụng subnet mask mà sử dụng wildcard mask. Một cách đơn giản, chúng ta có thể hiểu wildcard ngược lại với subnet. Ví dụ subnet mask là 255.255.0.0 thì wildcard mask tương ứng với nó sẽ là 0.0.255.255.
ACLs được cấu hình trên router làm cho nó có chức năng như là một firewall. Thông thường các router ở vị trí trung gian giữa mạng bên trong và mạng bên ngoài sẽ được cấu hình, nó sẽ cách ly toàn bộ hệ thống mạng bên trong tránh bị tấn công. Ngoài ra cũng có thể cấu hình ACLs trên các router trung gian kết nối hai phần của hệ thống mạng để kiểm soát lưu lượng qua lại giữa hai phần này.
37
Thông qua cách cấu hình router ta có thể ngăn chặn được sự tấn công của phương pháp DoS hoặc DDoS bằng cách cấm không cho router sử dụng chức năng gửi broadcast của mình bằng lệnh no ip directed broadcastRouting. Ngoài những cách trên để đảm bảo việc định tuyến gói tin an toàn và chính xác đối với router ta có thể sử dụng các giao thức định tuyến động như RIP, IGRP, EIGRP, OSPF. Đây là các giao thức đảm bảo việc định tuyến các gói tin một cách nhanh nhất lại đảm bảo tính xác thực của thông tin gửi và nhận.
38
CHƯƠNG 3: SỬ DỤNG CÔNG CỤ NESSUS QUÉT LỖ HỔNG BẢO MẬT MẠNG LAN