<![CDATA[Latest posts for the topic "Tăng cường bảo mật cho mạng IP"]]> /hvaonline/posts/list/31.html JForum - http://www.jforum.net Tăng cường bảo mật cho mạng IP Tăng cường bảo mật cho mạng IP Tăng cường bảo mật cho mạng IP Tìm hiểu cách tiếp cận của Cisco với vấn đề bảo mật mạng Điều khiển truy cập tới Cisco Routers Truy cập Console Password cho chế độ nonprivileged ( bình thường ) Password cho chế độ privileged ( đặc quyền ) Giới hạn thời gian phiên làm việc Mã hóa password Truy cập Telnet Password cho chế độ nonprivileged Password cho chế độ privileged Hạn chế truy cập Telnet với những địa chỉ IP cụ thể Hạn chê truy cập Telnet với những sản phẩm của Cisco thông qua các cổng TCP Terminal Access Controller Access Control System (TACACS) Chế độ nonprivileged Chế độ privileged Simple Network Management Protocol ( SNMP) Chế độ nonprivileged Chế độ privileged Thiết lập kiến trúc cho một firewall Điều khiển lưu thông trong mạng Cấu hình cho một Firewall Router Lập danh sách truy cập Áp dụng danh sách truy cập với các interface Cấu hình cho một Firewall Communication Server Lập danh sách truy cập Áp dụng danh sách truy cập với các interface Sử dụng banner tạo các thông báo Bảo vệ những dịch vụ ngoài chuẩn khác Tổng kết Danh sách tài liệu nên đọc ]]> /hvaonline/posts/list/69.html#337 /hvaonline/posts/list/69.html#337 GMT Router Cisco config Dấu nhắc > báo hiệu đây là chế độ nonprivileged. Bây giờ bạn có thể dùng rất nhiều lệnh để xem thông tin về hoạt động của router. Không bao giờ dùng "cisco", hay những biến thể khác như "pancho" cho password của Cisco router. Đó sẽ là những password đầu tiên kẻ xâm nhập thử khi họ nhìn thấy dấu đăng nhập Cisco. Password cho chế độ privileged Thiết lập password cho chế độ privileged bằng cách đưa dòng lệnh sau vào file cấu hìnhcủa router. Trong ví dụ này password là "san-tran". enable-password san-fran Để truy cập chế độ privileged, đánh lệnh sau: router> enable Password: Gõ password "san-fran" để được privileged access tới router. Router trả lời như sau : router# Dấu nhắc # báo hiệu chế độ privileged. Ở chế độ privileged, bạn có thể đánh tất cả các lệnh để xem thông tin và cấu hìnhcho router. Giới hạn thời gian phiên làm việc Đặt password đăng nhập và password enable có thể chưa đủ an toàn trong 1 số trường hợp. Giới hạn thời gian cho một console không được điều khiển ( mặc định 10 phút ) cung cấp thêm một biện pháp an toàn.Bạn có thể thay đổi giới hạn này bằng lệnh exec-timeout mm ss trong đó mm là số phút, ss là số giây. Lệnh sau thay đổi giới hạn thành 1 phut 30 giây line console 0 exec-timeout 1 30 Mã hóa password Tất cả password trên router đều có thể xem được bằng lệnh xem cấu hìnhcủa router trong chế độ privileged. Nếu bạn có quyền truy cập ở chế độ privileged , bạn có thể xem tất cả password ở dạng cleartext, theo mặc định. Có một cách để giấu cleartext password. Lệnh password-encryption lưu các password dưới dạng mã hóa.Tuy nhiên, nếu bạn quên password, để lấy lại quyền truy cập, bạn phải có quyền truy cập trực tiếp (physical access) đối với router. Truy cập bằng Telnet Bạn có thể truy cập theo chế độ nonprivileged hoặc privileged tới router thông qua Telnet. Giống như với Console, sự bảo mật với Telnet có được khi người dùng xác nhận bản thân bằng password. Thực tế, rất nhiều khái niệm tương tự mô tả ở phần "Console Access" ở trên cũng áp dụng cho truy cập Telnet. Bạn phải nhập password để chuyển từ chế độ nonprivileged sang privileged, có thể mã hóa password, đặt giới hạn thời gian cho phiên làm việc. Password cho chế độ nonprivileged Mỗi cổng Telnet của router được coi như một thiệt bị đầu cuối "ảo" ( virtual terminal ). Có tối đa 5 cổng dành cho virtual terminal (VTY) trên router , cho phép 5 phiên làm việc Telnet đồng thời. Trên router, các này đánh số từ 0 đến 4. Bạn có thể đặt nonprivileged password cho các cổng với lệnh cấu hình sau.Trong ví dụ này, cổng virtual terminal từ 0 đến 4 sử dụng password "marin" : line vty 0 4 login password marin Khi người dùng telnet đến IP của router, router trả lời tương tự như sau : % telnet router Trying ... Connected to router Escape character is '^]' User Access Verification Password: Nếu người dùng nhập đúng nonprivileged password, dấu nhắc sau sẽ xuất hiện: router> Password cho chế độ privileged Bây giờ người dùng đã có nonprivileged access và có thể chuyển sang chế độ privileged bằng cách gõ lệnh enable giống như đối với Console Access. Hạn chế truy cập Telnet đối với những địa chỉ IP cụ thể Nếu bạn muốn chỉ những IP nhất định có thể dùng Telnet truy cập router, bạn phải dùng lệnh access-class nn in để xác định danh sách truy cập (từ 1 đến 99). Lệnh cấu hình sau cho phép truy cập Telnet đến router từ các host trong mạng 192.85.55.0: access-list 12 permit 192.85.55.0 0.0.0.255 line vty 0 4 access-class 12 in Hạn chế truy cập Telnet đối với các sản phẩm Cisco thông qua cổng TCP Có thể truy cập tới 1 sản phẩm của Cisco thông qua Telnet đến những cổng TCP nhất định. Kiểu truy cập Telnet thay đổi tùy theo những phiên bản phần mềm Cisco: - Software Release 9.1 (11.4) và cũ hơn, 9.21 (3.1) và cũ hơn - Software Release 9.1 (11.5) , 9.21 (3.2), 10.0 và mới hơn Với Software Release 9.1 (11.4) và cũ hơn, 9.21 (3.1) và cũ hơn, có thể , theo mặc định, thiết lập kết nối TCP tới sản phẩm của Cisco thông qua các cổng TCP trong Bảng 3-1 Bảng 3-1 : Cổng TCP truy cập Telnet tới các sản phẩm Cisco ( các phiên bản cũ) Cổng TCP Phương thức truy cập 7 Echo 9 Discard 23 Telnet ( tới cổng VTY theo kiểu quay vòng) 79 Finger 1993 SNMP thông qua TCP 2001-2999 Telnet tới cổng hỗ trợ (auxiliary - AUX ), cổng terminal (TTY), và cổng virtual terminal (VTY) 3001-3999 Telnet tới những cổng quay vòng ( chỉ có thể khi đã được cấu hình với lệnh rotary ) 4001-4999 Telnet ( stream mode ) , mirror của các cổng trong khoảng 2000 5001-5999 Telnet ( stream mode), mirror của khoảng 3000 ( chỉ khi đã cấu hình rotary) 6001-6999 Telnet (binary mode), mirror của khoảng 2000 7001-7999 Telnet (binary mode), mirror của khoảng 300 ( chỉ khi đã cấu hình rotary) 8001-8999 Xremote ( chỉ với communication servers) 9001-9999 Reverse Xremote ( chỉ với communication servers) 10001-19999 Reverse Xremote rotary (chỉ với communication servers, khi đã cấu hình rotary trước) Chú ý : Vì Cisco routers không có đường TTY, thiết lập truy cập ( trên communicaiton servers) tới các cổng 2002,2003,2004 và lớn hơn có thể cung cấp truy cập tới VTY (trên routers) tới các cổng tương ứng. Để cung cấp truy cập tới các cổng TTY, bạn có thể tạo danh sách truy cập trong đó hạn chế truy cập đối với VTYs. Khi thiết lập những nhóm quay vòng, luôn nhớ rằng có thể truy cập đến bất cứ cổng nào trong nhóm (trừ khi có danh sách giới hạn truy cập). Sau đây là ví dụ minh họa một danh sách truy cập từ chối truy cập đến cổng hỗ trợ (AUX) và chỉ cho phép truy cập telnet từ địa chỉ 192.32.6.7 : access-class 51 deny 0.0.0.0 255.255.255.255 access-class 52 permit 192.32.6.7 line aux 0 access-class 51 in line vty 0 4 Chú ý : nếu lệnh ip alias được cho phép trên sản phẩm Cisco, mọi kết nối TCP tới bất cứ cổng nào cũng được coi là hợp lệ. Có thể bạn sẽ muốn vô hiệu hóa lệnh này Có thể bạn muốn tạo danh sách truy cập hạn chế truy cập tới sản phẩm Cisco qua cổng TCP. đến router. Với Software Release 9.1 (11.5), 9.21 (3.2), và bất cứ phiên bản nào của Software Release 10, những cải tiến sau đã được thực hiện : - Truy cập trực tiếp đến virtual terminal lines (VTYs) qua cổng trong các khoảng 2000,4000 và 6000 đã được vô hiệu hóa theo mặc định - Kết nối tới cổng echo và discard (7 và 9) có thể được vô hiệu hóa với lệnh no service tcp-small-servers - Tất cả sản phẩm Cisco cho phép kết nối tới IP alias chỉ với cổng 23 Với những phiên bản sau này, Cisco router chấp nhận kết nối TCP qua các cổng mặc định trong Bảng 3-2 Bảng 3-2 : Cổng TCP cho truy cập Telnet tới các sản phẩm Cisco ( những phiên bản sau ) Cổng TCP Phương thức truy cập 7 Echo 9 Discard 23 Telnet 79 Finger 1993 Cổng hỗ trợ (AUX) 4001 Cổng AUX (stream) 6001 Cổng AUX (binary) Truy cập qua cổng 23 có thể bị hạn chế bằng cách tạo danh sách truy cập và gán nó cho một đường virtual terminal. Truy cập qua cổng 79 có thể vô hiệu hóa bằng lệnh no service finger. Truy cập qua cổng 1993 có thể được kiểm soát bằng danh sách truy cập SNMP. Truy cập qua cổng 2001,4001 và 6001 có thể được kiểm soát bằng 1 danh sách truy cập đặt ở 1 cổng hỗ trợ (AUX) Terminal Access Conroller Access Control System ( TACACS) Password chế độ nonprivileged và privileged được áp dụng cho mỗi người dùng truy cập router từ console port hay Telnet. Ngoài ra, Terminal Access Controller Access Control System (TACACS) cung cấp 1 cách xác nhận mỗi người dùng dựa trên từng cơ sở riêng biệt trước khi họ có thể có quyền truy cập vào router hay communication server. TACACS được xây dựng ở Bộ quốc phòng mỹ và được mô tả trong Request For Comments (RFC) 1492. TACACS được Cisco sử dụng để cho phép quản lý tốt hơn, xem ai có quyền truy cập tới router trong chế độ nonprivileged và privileged . Với TACACS enabled, router nhắc người dùng nhập username và password. Sau đó, router gọi TACACS server để xác định password có đúng không. Một TACACS server thường chạy trên một trạm làm việc UNIX. Domain TACACS servers có thể nhận được thông qua anonymous ftp đến ftp.cisco.com trong thư mục /pub. Sử dụng /pub/README để tim tên file. Một server hỗ trợ TACACS đầy đủ có kèm trong CiscoWorks Version 3. Lệnh cấu hình tacacs-server host xác định UNIX host chạy một TACACS server sẽ xác nhận lại yêu cầu gửi từ routers. Bạn có thể đánh lệnh tacacs-server host nhiều lần để chỉ ra nhiều TACACS server cho một router. Nonprivileged Access Nếu tất cả server đều không sẵn sàng, bạn có thể bị khóa đối với router. Lúc này, lệnh cấu hình tacacs-server last resort [password | succeed] cho phép bạn xác định xem có cho người dùng đăng nhập không cần password ( từ khóa succeed) hay buộc người dùng cung cấp password chuẩn ( từ khóa password) Các lệnh sau chỉ ra một TACACS server và cho phép đăng nhập nếu server gặp sự cố: tacacs-server host 129.140.1.1 tacacs-server last-resort succeed Buộc người dùng truy cập qua Telnet xác nhận bản thân qua lệnh cấu hìnhsau : line vty 0 4 login tacacs Privileged Access (truy cập với đặc quyền) Phương pháp kiểm tra password này cũng có thể áp dụng với chế độ privileged dùng lệnh enable use-tacacs. Nếu tất cả server đều không sẵn sàng tiếp nhận, lệnh cấu hìnhenable last-resort [succeed | password] cho biết có để người dùng đăng nhập không cần password hay không. Nếu bạn dùng lệnh enable use-tacacs, bạn cũng phải dùng lệnh tacacs-server authenticate enable. Lệnh tacacs-server extended cho phép thiết bị Cisco chạy chế độ TACACS mở rộng. Hệ thống UNIX phải chạy extended TACACS daemon, có thể nhận được bằng anonymous ftp tới ftp.cisco.com, tên file là xtacacsd.shar. Daemon này cho phép communication servers và những thiết bị khác giao tiếp với hệ thống UNIX và cập nhật thông tin mà thiết bị đó gửi. Lệnh username password [0 | 7] cho phép bạn lưu một danh sách user và password trong thiết bị Cisco thay vì trên một TACACS server. Số 0 lưu password dạng cleartext trong file cấu hình. Số 7 lưu ở dạng mã hóa. Nếu bạn không có một TACACS server và vẫn muốn xác định từng user bạn có thể dùng những lệnh cấu hìnhsau : username steve password 7 steve-pass username allan password 7 allan-pass Token Card Access ( truy cập bằng thẻ ) Sử dụng TACACS cho routers và communication server, có thể hỗ trợ các loại key devices , hay token card. Mã của TACACS server có thể thay đổi để hỗ trợ việc này mà không cần thay đổi cấu hình của router hay communication server. Sự thay đổi này không thể trực tiếp từ Cisco Hệ thống token card dựa trên một tấm thẻ bạn phải có để xác nhận bản thân. Bằng cách móc nối ( hook ) với mã của TACACS server, các công ty thứ 3 ( third-party) có thể cung cấp những dịch vụ này. Một trong những sản phẩm như vậy là Enigma Logic SafeWord, ngoài ra còn có Security Dynamics SmartCard. ]]> /hvaonline/posts/list/69.html#338 /hvaonline/posts/list/69.html#338 GMT Tăng cường bảo mật cho mạng IP (Phần 2) /hvaonline/posts/list/69.html#339 /hvaonline/posts/list/69.html#339 GMT Tăng cường bảo mật cho mạng IP (Phần 3) /hvaonline/posts/list/69.html#340 /hvaonline/posts/list/69.html#340 GMT Tăng cường bảo mật cho mạng IP (Phần 4) /hvaonline/posts/list/69.html#341 /hvaonline/posts/list/69.html#341 GMT Tăng cường bảo mật cho mạng IP (Phần 5) http://www.cisco.com/public/cons/isp/documents . Chỉ dẫn chi tiết về thiết lập danh sách truy cập trong nhiều tình huống khác nhau, và một thảo luận hữu ích về các vấn đề cần xem xét đối với quá trình thực thi. [8] Sedayao, J., Cisco IOS Access Lists, O’Reilly Associates, 2001. Chỉ dẫn chi tiết về danh sách truy cập, bao gồm báo cáo về sử dụng danh sách truy cập bằng các giao thức định tuyến. [9] “Selecting Burst and Extended Burst Values for Class-based Policing”, Cisco Tech Note, Cisco Systems, Feb 2002. Có tại http://www.cisco.com/warp/public/105/carburstvalues.html Mô tả mô hình nhóm mã thông báo CAR và tham số kích thước của truyền loạt khá chi tiết; chỉ dẫn cách chọn các giá trị hữu dụng. [10] “Using CAR During DOS Attacks”, Cisco Tech Note, Cisco Systems, 2001. Có tại http://www.cisco.com/warp/public/63/car_rate_limit_icmp.html Xem qua một ví dụ chi tiết về CAR liên quan đến quá trình làm lụt (flooding) ICMP. 4.4. Định tuyến và giao thức định tuyến “Một phương thức là một mô tả hình thức của một tập hợp các qui tắc và qui ước chi phối cách trao đổi thông tin của các thiết bị trên một mạng máy tính”[5]. Phần này ta sẽ bàn luận 2 loại giao thức cơ bản, sẽ tập trung vào loại 2. Hai loại giao thức đó là: Giao thức tuyến định Đó là các giao thức có thể được định tuyến bằng một router. Giao thức tuyến định cho phép router diễn dịch chính xác mạng logic. Vài ví dụ về giao thức này là IP, IPX, Apple Talk, và DECnet. Giao thức định tuyến “Một giao thức định tuyến thu thập thông tin về các mạng hiện hữu và khoảng cách hoặc giá cả để liên lạc đến các mạng đó.”[7] Các giao thức này hỗ trợ giao thức tuyến định và được dùng để duy trì bảng định tuyến. Vài ví dụ về giao thức này là OSPF, RIP, BGP, và EIGRP. Tất cả các ví dụ trong phần này đều dựa trên kiến trúc mạng trên hình 4-1 Giao thức tuyến định Thông dụng nhất là cặp TCP/IP; cơ sở của nó là Giao thức mạng Internet Protocol IP. Phần này không đi sâu vào giao thức này, vì nó vượt quá phạm vi tài liệu hướng dẫn này, xem [6] để biết thêm hướng dẫn. ARPA đã tài trợ cho việc phát triển IP trong hơn 25 năm qua trong dự án ARPANET. Ngày nay, nó là nền tảng của Internet toàn cầu. Sự lớn mạnh và phổ biến của nó có thể qui cho khả năng kết nối các mạng máy tính khác nhau bất kể môi trường vật lý nào, và do bản chất linh hoạt và mở của kiến trúc mạng IP. IP được thiết kế để sử dụng trên các mạng lớn; bằng cách sử dụng IP, một máy chủ kết được nối bất cứ đâu trên mạng có thể giao tiếp với bất cứ mày nào khác. Trong thực tế, các ứng dụng máy chủ hầu như không bao giờ sử dụng IP thô để giao tiếp. Thay vào đó, chúng dùng một trong 2 phương thức truyền tải qua lớp được xây dựng dựa trên IP: đó là TCP (Transmission Control Protcol = Giao thức điều khiển số liệu) hoặc UDP (User Datagram Protocol = Giao thức gam dữ liệu người dùng). Việc dùng TCP hay UDP đều không liên quan gì đến việc định tuyến (có vai trò dành riêng ở lớp mạng). Từng máy chủ IP không cần biết đường trong mạng để đến với máy chủ khác mà chỉ cần biết địa chỉ của một hoặc một số nhỏ các router. Các router đó có nhiệm vụ chỉ đường cho từng gói tin IP đến chỗ nó cần đến. Trong một mạng nhỏ, từng router có thể chỉ đơn giản nối trực tiếp tới các router khác. Dĩ nhiên trong các mạng lớn, làm như thế rất tốn kém. Thay vì làm như vậy, từng router duy trì một bảng tuyến trong đó có thông tin về cách chuyển các gói tin đến địa chỉ của chúng. Đối với bất kì mạng IP lớn nào, thao tác này có chính xác, có hiệu quả, có bảo mật hay không đều tùy thuộc vào sự toàn vẹn của bảng tuyến của mạng đó. Để có thêm thông tin chi tiết về các khái niệm định tuyến, xem [6]. Bảng tuyến và Giao thức định tuyến Nhiệm vụ cơ bản của một router là gửi gói tin đến địa chỉ đã định. Để thực hiện điều này, từng router cần một bảng tuyến. Từng router xây dựng bảng tuyến cho nó dựa trên thông tin từ mạng và từ các quản trị viên. Sau đó router dùng một tập hợp phép đo lường, tùy vào nội dung của bảng tuyến và thuật toán định tuyến của nó, để so sánh các tuyến rồi quyết định đường tới đích tốt nhất. Router dùng 4 kĩ thuật cơ bản sau để xây dựng bảng tuyến: 1. Kết nối trực tiếp: Bất cứ phần nào của mạng LAN mà router kết nối trực tiếp đều tự động được thêm vào bảng tuyến. Ví dụ, router Central nối với phần mạng LAN 14.2.9.0/24. 2. Định hướng tĩnh: Với vai trò là người quản trị mạng, bạn có thể xác lập cho router sử dụng một tuyến cho trước đến một đích xác định. Phương pháp này thường trước sau gì cũng dùng khi đã dùng các phương pháp khác 3. Định tuyến động: Dùng router cập nhật thông điệp từ các router khác để tạo tuyến. Thuật toán định tuyến đi với từng giao thức định tuyến xác định sẽ quyết định đường dẫn tối ưu tới đích và cập nhật bảng tuyến. Phương pháp này linh động nhất bởi nó có thể tự động cập nhật những thay đổi trong mạng. 4. Định tuyến mặc định: Dùng tuyến được nhập vào thủ công tới ‘cổng vào của lần dùng cuối’ cụ thể khi các cơ cấu định tuyến khác không nhận biết được tuyến. Phương pháp này hữu dụng nhất cho các router ở biên và các router có vai trò như kết nối nền giữa một mạng LAN nhỏ và mạng lớn như Internet. Các router dựa vào một cổng vào mặc định duy nhất thường không dùng các giao thức định tuyến Mặc dù có nhiều giao thức định tuyến động nhưng có thể chia chúng ra 2 nhóm: nhóm giao thức cổng trong và nhóm giao thức cổng ngoài. Một IGP (Interior Gateway Protocol = giao thức cổng trong) được dùng để trao đổi thông tin tuyến giữa các cổng nằm trong một hệ thống độc lập. Một hệ thống độc lập là một nhóm các thành phần mạng dưới một tên miền được quản lý. Các cổng nằm trong hệ thống độc lập sử dụng thông tin tuyến được truyền bởi các thông điệp IGP để phân luồng lưu lượng. Một EGP (Exterior Gateway Protocol = Giao thức cổng ngoài) được dùng để trao đổi thông tin tuyến giữa các hệ thống độc lập. Theo tiêu chuẩn, mặc dù không phổ biến, thì các IGP được giao việc trên các router trong, và các EGP thì trên các router xương sống. Các router biên có thể dùng một trong hai hay cả hai tùy thuộc vào cấu trúc mạng tìm thấy chúng. BGP-4 (Border Gateway Protocol version 4 = Giao thức cổng biên phiên bản 4) là EGP dùng để truyền thông tin giữa các mạng độc lập trên Internet. Phần này tập trung vào một số nhỏ các giao thức định tuyến thông dụng như: RIP, OSPF, BGP và EIGRP. 3 giao thức đầu theo chuẩn IETF, giao thức còn lại EIGRP còn lại do nhà đầu tư xác định. RIP, viết tắt của Routing Information Protocol (giao thức thông tin định tuyến), là một ví dụ về IGP định hướng từ xa. OSPF, Open Shortest Path First = Mở đường ngắn nhất trước, là một ví dụ về IGP của trạng thái đường nối. BGP-4 là EGP theo chuẩn IETF. EIGRP, giao thức định tuyến cổng trong mở rộng, là một IGP của riêng Cisco, thường được dùng trong tất cả các mạng Cisco. Dưới đây là bảng so sánh ngắn. Bảng 4-2 – 4 giao thức định tuyến IP phổ biến RIP Giao thức định hướng từ xa: duy trì một danh sách các khoảng cách tới các mạng khác đo bằng bước nhảy, số router một gói tin phải đi ngang qua để đến đích. Bị giới hạn về kích cỡ vì khoảng cách nào quá 15 bước nhảy thì không thể tới được. Trạm truyền thông 30 giây cập nhật 1 lần tất cả các router RIP gần nó. Mỗi bản cập nhật là một bảng tuyến. RIP thích hơp cho các mạng nhỏ OSPF Giao thức trạng thái đường truyền: sử dụng đơn vị đo dựa trên tốc độ đường truyền để quyết định đường tới các mạng khác. Mỗi router duy trì một bản đồ giản lược của toàn bộ mạng. Các bản cập nhật được gửi bằng kĩ thuật multicast và được gửi chỉ khi nào cấu hình của mạng thay đổi. Mỗi bản cập nhật chỉ bao gồm những thay đổi đến mạng. OSPF thích hợp cho các mạng lớn EIGRP Giao thức định hướng từ xa: duy trì một tập hợp các đơn vị đo lường phức tạp đo khoảng cách đến các mạng khác và kết hợp chặt chẽ với vài tính năng của các giao thức trạng thái đường truyền. Trạm truyền thông cứ 90 giây cập nhật một lần cho tất cả các EIGRP gần nó. Mỗi bản cập nhật chỉ bao gồm các thay đổi đến mạng. EIGRP thích hợp các cho mạng lớn. BGP Một giao thức cổng ngoài định hướng từ xa nhờ một nhóm các qui tắc duy trì các con đường tới các mạng. Các bản cập nhật được gửi trên khắp các kết nối TCP giữa các đẳng đã được xác định cụ thể. BGP-4 nhờ khối tuyến hỗ trợ các mạng cực lớn như Internet. Một khía cạnh quan trọng nữa của lược đồ giao thức định tuyến là lượng thời gian cần thiết để kiến trúc mạng hay những thay đổi về kết nối đựơc thể hiện trong bảng tất cả các router bị ảnh hưởng. Khía cạnh này thường được gọi là tốc đô hội tụ. Ví dụ, trong một mạng lớn OSPF nhanh hơn nhiều so với RIP. Việc cấu hình định tuyến trong các mạng IP có thể là công việc phức tạp, và cũng nằm ngoài phạm vi của hướng dẫn này. Định tuyến chắc chắn tạo ra nhiều vấn đề về bảo mật, và IOS của Cisco cung cấp nhiều dịch vụ bản mật trong quá trình định tuyến; Phần này bàn luận vài vấn đề bảo mật và mô tả tương đối chi tiết nhiều dịch vụ bảo mật. Để biết các hướng dẫn chung về các giao thức định tuyến, xem tài liệu của Cisco hoặc [3]. 4.4.1. Các rủi ro thường gặp khi định tuyến Một câu hỏi thường không được chú ý là “Tại sao ta lại phải cần chuốc lấy lo lắng về bảo mật mạng?”. Một câu hỏi hay hơn là “Kẻ phá hoại có thể gây những tổn thất nào đến mạng của ta?” Phần 3 giới thiệu vài động cơ thúc đẩy bảo mật router toàn diện. Phần này tập trung vào các vấn đề bảo mật liên quan đến định tuyến và giao thức định tuyến. Bảo mật quá trình định tuyến cần là một ưu tiên hàng đầu đối với các quản trị viên muốn: Ngăn cản sự truy cập trái phép đến tài nguyên mạng, Bảo vệ thông tin nhiệm vụ tránh bị phơi bày và sửa chữa không được phép, Ngăn cản sự gián đoạn và từ chối thực thi trong dịch vụ Router hoặc tên miền định tuyến không được bảo vệ sẽ trở thành một mục tiêu cho các kẻ tấn công có hiểu biết về mạng. Ví dụ, kẻ tấn công gửi các gói tin cập nhật định tuyến không đúng đến một router không được bản vệ có thể dễ dàng gây bất ổn cho bảng tuyến của router. Bằng cách này, kẻ tấn công có thể định lại tuyến của các lưu lượng trên mạng theo ý muốn. Chìa khóa để ngăn ngừa những kiểu tấn công như vậy là bảo vệ bảng tuyến tránh các thay đổi không phép và nguy hiểm. Có 2 lối tiếp cận cơ bản nhằm bảo vệ sự ổn định của bảng tuyến: 1. Sử dụng các tuyến tĩnh – Có thể phù hợp với mạng nhỏ, nhưng không ổn định trong mạng lớn. 2. Chứng thực các bản cập nhật bảng tuyến – Bằng cách dùng giao thức đinh tuyến có chứng thực, các quản trị mạng có thể phát hiện ra các đợt tấn công dựa trên các thay đổi định tuyến không phép. Các bản cập nhật được chứng thực chắc rằng các thông điệp cập nhật đến từ các nguồn xác thực, các thông điệp không thật sẽ tự động được hủy bỏ. Một dạng tấn công khác một kẻ phá hoại có thể cố đối với router là dạng tấn công từ chối dịch vụ. Dạng này có thể thực hiện bằng rất nhiều cách. Ví dụ, việc ngăn cản các thông điệp cập nhật router gửi đi hay nhận và sẽ dẫn đến sự hạ xuống của vài phần của mạng. Để kháng cự các đợt tấn công từ chối dịch vụ và hồi phục nhanh chóng, các router cần các tuyến sao lưu và hội tụ mau lẹ. 4.4.2. ARP và các mạng LAN Tuy nhiên vì ARP cũng như ARP proxy đều không có bản mật. Điểm yếu bảo mật chủ yếu của ARP là ở chỗ nó không phải được thiết kế để dùng bất kì xác lập chứng thực nào. Bất cứ ai trên phần mạng LAN đều có thể sửa đổi mục vào của cạc (cache) ARP của router phục vụ phần mạng đó. Vì thế, nếu một máy chủ trên mạng không dùng các cổng vào mặc định nhưng thay vào đó là dùng các ARP proxy để xử lý quá trình định tuyến thì điều này cũng dễ xảy ra với các tuyến xấu và nguy hiểm. Trong bất cứ trường hợp nào, không nên dùng ARP proxy nữa và nên vô hiệu hóa nó. Ví dụ sau mô tả cách làm. Central# config t Enter configuration commands, o¬ne per line. End with CNTL/Z. Central(config)# interface ethernet0/0 Central(config-if)# no ip proxy-arp Central(config-if)# exit Central(config)# interface ethernet0/1 Central(config-if)# no ip proxy-arp Central(config-if)# end Central# 4.4.3. Các bảng tuyến, các tuyến tĩnh và các giao thức định tuyến Phần này mô tả cách bảo vệ router tránh các rủi ro thường thấy khi định tuyến. Phần này tập trung vào việc sử dụng chứng thực router ngang hàng với các giao thức cổng trong. Vài chỉ dẫn về bảo mật cho các giao thức một cổng ngoài, BGP-4, được dành riêng vào phần 4.4.5. Chứng thực router lân cận Mục đích cơ bản của chứng thực router lân cận là bảo vệ sự bền vững của một tên miền định tuyến. Trong trường hợp này, chứng thực xảy ra khi 2 router lân cận trao đổi thông tin định tuyến. Chứng thực sẽ bảo đảm router nhận sát nhập vào bảng tuyến của nó các thông tin tuyến mà router gửi đã được chứng thực thực thực sự định gửi. Việc này ngăn cản một router đã được chứng thực chấp nhận và thực thi các bản cập nhật không phép, nguy hiểm, hoặc gián đoạn có thể nguy hại tới bảo mật hay hiệu lực của mạng. Một nguy hại như thế có thể dẫn đến nguy cơ định tuyến lại các lưu lượng, một sự từ chối dịch vụ, hay đơn giản cho phép một người không được phép quyền truy cập các gói tin nhất dịnh. Chứng thực OSPF Chứng thực router lân cận là một cơ chế mà khi được áp dụng đúng đắn có thể ngăn ngừa nhiều đợt tấn công định tuyến. Mội một router thực hiện chứng thực bằng khóa chứng thực mà chúng có. Có nghĩa là tất cả các router nối tới cùng phần mạng cùng dùng một khóa mật chung. Từng router gửi sau đó dùng khóa này để đánh dấu thông điệp cập nhật bảng tuyến. Router nhận kiểm tra khóa chung để quyết định thông điệp có nên nhận hay không. Phần này mô tả cách thiết lập chứng thực router lân cận trong OSPF, vì nó là một minh họa sinh động cho nguyên tắc cơ bản này; chứng thực trong RIP phiên bản 2 và EIGRP tương tự. OSPF dùng 2 loại chứng thực lân cận: văn bản thô và thông điệp mã hóa MD5. Chứng thực văn bản thô dùng khóa chung của mọi router trên phần mạng. Khi một router gửi xây dựng một gói tin OSPF, nó đánh dấu gói tin bằng cách thay khóa bằng văn bản thô vào trong phần đầu của OSPF. Router nhận sau đó sẽ so sánh khóa nhận được với khóa trong bộ nhớ. Nếu 2 khóa trùng nhau thì router nhận chấp nhận gói tin. Bằng không thì router nhận bãi bỏ gói tin. Phương thức này không bảo mật cao vì khóa được lưu trong gói tin dưới dạng văn bản thô. Dùng cách này sẽ làm lộ khóa mật cho kẻ tấn công dùng thiết bị dò mạng vào đúng phần mạng LAN nạn nhân. Một khi kẻ tấn công lấy được khóa mật rồi, chúng có thể làm rối một router đã chứng thực. Phương thức thứ hai, bảo mật hơn, là chứng thực thông điệp đã được mã hóa. Hình 4-3 cho thấy một ví dụ về mạng với các giao thức định tuyến của nó. Trong ví dụ này, các router North, East và Central cùng chung khóa mật, r0utes-4-all, ID của khóa là 1. Mỗi khóa chứng thực nhau sử dụng phương thức chứng thực mã hóa MD5, giá trị chứng thực mã hóa giả sử là 2. Hình 4-4 cho thấy East chứng thực qua North. Đầu tiên East xây dựng một gói tin OSPF, cả phần đầu lẫn phần thân. Sau đó nó lấy một khóa chính để dùng trên phần mạng. Trong trường hợp này, khóa đó là r0utes-4-all. ID tương ứng của khóa, 1, được đặt ở phần đầu gói tin. East đồng thời cũng đặt một dãy số 32 bit vào phần đầu gói tin. Dãy số này bảo vệ tránh những đợt tấn công lặp lại sao cho không có 2 gói tin OSPF nào có cùng giá trị băm. Dãy số này tăng 1 đơn vị mỗi khi có gói tin mới. Cuối cùng, khóa mật được nối thêm vào gói tin. East thực thi thuật toán băm mã hóa, MD5, cho gói tin OSPF. Kết quả, 16 byte, được viết chồng lên khóa mật đã được nối thêm vào gói tin. Router nhận, North, dựa vào ID của khóa để quyết định khóa nào đã được dùng để sinh mã băm hay kí hiệu xác nhận. Sau đó router nhận dùng khóa của nó để sinh lại mã băm cho gói tin đã nhận theo cùng cách mà router gửi đã làm. Nếu mã băm vừa sinh ra phù hợp với mã băm được gửi từ router East thì router North sẽ chấp nhận gói tin. Bằng không thì nó sẽ coi như gói tin không hợp lệ và hủy. Chứng thực văn bản OSPF Phương thức này kiến nghị không nên dùng, dùng phương thức MD5 tốt hơn, xem bên dưới. Chứng thực mã hóa MD5 OSPF Ví dụ dưới đây minh họa một ví dụ về thiết lập MD5 cho chứng thực lân cận router OSPF. Các bản ghi của ví dụ dưới đây cho thấy các router North và East nhận khóa r0utes-4-all. Thực tế thì tất cả các router tham gia vào mạng đã cho nên được cấu hình tương tự dùng cùng khóa. Dùng ví dụ mạng ở hình 4-1, router Central cũng sẽ phải được cấu hình chứng thực MD5 và dùng cùng khóa như bên dưới đây. North# config t Enter configuration commands, o¬ne per line. End with CNTL/Z. North(config)# router ospf 1 North(config-router)# network 14.1.0.0 0.0.255.255 area 0 North(config-router)# area 0 authentication message-digest North(config-router)# exit North(config)# int eth0/1 North(config-if)# ip ospf message-digest-key 1 md5 r0utes-4-all North(config-if)# end North# East# config t Enter configuration commands, o¬ne per line. End with CNTL/Z. East(config)# router ospf 1 East(config-router)# area 0 authentication message-digest East(config-router)# network 14.1.0.0 0.0.255.255 area 0 East(config-router)# network 14.2.6.0 0.0.0.255 area 0 East(config-router)# exit East(config)# int eth0 East(config-if)# ip ospf message-digest-key 1 md5 r0utes-4-all East(config-if)# end East# Chứng thực RIP Giao thức định tuyến RIP cũng hỗ trợ chứng thực đề ngăn ngừa các đợt tấn công. Phương thức chứng thực của RIP rất giống với của OSPF mặc dù các lệnh IOS có hơi khác nhau. Các router RIP lân cận dùng chung các khóa mật. Mỗi router gửi sử dụng các khóa này để sinh mã băm sát nhập vào từng thông điệp cập nhật RIP. Router gửi sau đó dùng khóa mật chung để kiểm tra giá trị băm và quyết định thông điệp có được chấp nhận hay không. Chứng thực văn bản thô RIP Phương thức này kiến nghị không nên dùng, dùng phương thức MD5 tốt hơn dưới đây. Chứng thực MD5 cho RIP Ví dụ dưới đây minh họa một ví dụ về cách thiết lập MD5 cho chứng thực lân cận router RIP. Các bản ghi của ví dụ bên dưới cho thấy các router trong hình 4-3, Central và South, nhận khóa my-supersecret-key, lần lượt chứa trong chuỗi khóa của chúng. Thực tế, tất cả các router nối với một mạng đã cho phải được cấu hình tương tự. Có nghĩa là tất cả các router phải có một hoặc nhiều khóa chung. Trước khi kích hoạt chứng thực MD5 cho RIP, từng router lân cận phải có một khóa chung. RIP quản lý các khóa chứng thực bằng việc dùng chuỗi khóa. Một chuỗi khóa là một nơi chứa nhiều khóa với ID của khóa đi kèm và thời gian tồn tại của chúng. Nhiều khóa với thời gian sống khác nhau có thể tồn tại. Tuy thế chỉ có một gói tin chứng thực được gửi đi. Router kiểm tra các số khóa theo thứ tự từ thấp đến cao và sử dụng khóa hợp lệ đầu tiên nó bắt gặp được. HVA-Translator group ]]> /hvaonline/posts/list/69.html#342 /hvaonline/posts/list/69.html#342 GMT