MÔN HỌC: XÂY DỰNG HỆ THỐNG FIREWALL
Trường Cao đẳng Nghề CNTT iSPACE Khoa Mạng Và An Ninh Thông Tin fit@ispace.edu.vn
http://fit.ispace.edu.vn
@Email: fit@ispace.edu.vn
1
MÔN HỌC: XÂY DỰNG HỆ THỐNG FIREWALL
Bài 1: CÁC NGUYÊN TẮC BẢO MẬT MẠNG. Bài 2: BẢO MẬT MẠNG SỬ DỤNG CISCO IOS FIREWALL Bài 3: BẢO MẬT MẠNG SỬ DỤNG CISCO IPS Bài 4: BẢO MẬT LAYER 2 Bài 5: TRIỂN KHAI HỆ THỐNG VPN TRÊN CISCO IOS
@Email: fit@ispace.edu.vn
2
BÀI 1: CÁC NGUYÊN TẮC BẢO MẬT MẠNG
Cấu hình cho thiết bị các tính năng tự bảo mật, giảm nguy cơ bị tấn công, truy cập thiết bị trái phép.
Suy nghĩ như một Hacker Giảm nguy cơ bị tấn công mạng Tắt các dịch vụ mạng và các Interface không sử dụng Bảo mật truy cập quản trị và cấu hình Cisco Router Giảm mối đe dọa và tấn công với ACL Bảo mật cho tính năng Management và Reporting Câu hỏi & bài tập
@Email: fit@ispace.edu.vn
3
MỤC TIÊU BÀI HỌC
Nhận biết được các nguy cơ bị tấn công của hệ thống mạng. Giải thích được các bước để hack một hệ thống mạng. Trình bày được các loại tấn công vào hệ thống mạng. Cấu hình giảm nguy cơ bị tấn công mạng trên Cisco Router. Cấu hình bảo mật cho tính năng management và reporting trên Cisco Routers. Cấu hình được tính năng AAA trên Cisco Routers. Cấu hình bảo mật được cho Cisco Routers sử dụng tính năng AutoSecure.
@Email: fit@ispace.edu.vn
4
Suy Nghĩ Như Một Hacker
Luônluônđóngvaitrò nhưmộtHacker để tìmracácphươngthứcphòng vệ và bảomậtchohệ thống.
7 bước để tấn công một hệ thống mạng:
B1: Thực hiện phân tích các dấu vết hay các thông tin ban đầu.
B2: Chi tiết thông tin.
B3: Ghi nhận các thao tác người dùng truy cập.
B4: Chiếm dụng những quyền hạn cao hơn.(leo thang đặc quyền).
B5: Bổ sung mật khẩu và thu thập bí mật.
B6: Cài đặt back doors.
B7: Tận dụng hệ thống bị xâm nhập.
@Email: fit@ispace.edu.vn
5
Suy Nghĩ Như Một Hacker
Các gợi ý bảo vệ mạng chống lại các hacker
Cập nhật các bản vá lỗi . Đóng các dịch vụ không cần thiết và các port. Sử dụng mật khẩu (đủ phức tạp) và thường xuyên thay đổi chúng . Kiểm soát truy cập vào hệ thống vật lý. Cắt giảm đầu vào không cần thiết. Thực hiện sao lưu hệ thống và kiểm tra chúng một cách thường xuyên . Cảnh báo mọi người về social engineering. Mã hóa và mật khẩu bảo vệ dữ liệu nhạy cảm Sử dụng thích hợp bảo mật phần cứng và phần mềm Phát triển một chính sách an ninh bằng văn bản cho công ty
@Email: fit@ispace.edu.vn
6
Giảm Nguy Cơ Hệ Thống Mạng Bị Tấn Công
Tìmhiểucácphươngthứctấncôngvà cáchphòngchống, làmgiảmnguy cơhệ thốngmạngbị tấncông
Các loại tấn công mạng:
Minimal Intelligence:
Reconnaissance
DoS and DDoS
Access attacks
@Email: fit@ispace.edu.vn
7
Giảm Nguy Cơ Hệ Thống Mạng Bị Tấn Công
Reconnaissance Attacks và cách phòng chống:
Reconnaissance: là khám phá trái phép và lập bản đồ của các hệ thống, dịch vụ, hoặc các lỗ hổng. Reconnaissance: còn được gọi là thu thập thông tin, và trong hầu hết trường hợp, đứng trước một cuộc tấn công truy cập hay DoS. Các cuộc tấn công Reconnaissance có thể bao gồm:
Packet sniffers
o Một Packet sniffer là phần mềm ứng dụng sử dụng card
mạng trong chế đô promiscuous để bắt những tất cả các gói tin trong mạng.
o Khai thác thông tin dạng Plaintext , các giao thức sử dụng
Plaintext như : Telnet, FTP, SNMP, POP và HTTP
o Phải nằm trên cùng một colision domain o Có thể sử dụng hợp pháp hoặc được thiết kế đặc biệt để tấn
công
@Email: fit@ispace.edu.vn
8
Giảm Nguy Cơ Hệ Thống Mạng Bị Tấn Công
Reconnaissance Attacks và cách phòng chống:
Giảm nguy cơ và phòng chống Packet sniffers: Dùng các kỹ thuật và các công cụ bao gồm:
o Chứng thực (Authentication). o Mật mã (Cryptography). o Các công cụ Antisniffer. o Thay đổi cơ sở hạ tầng (Switched infrastructure).
@Email: fit@ispace.edu.vn
9
Giảm Nguy Cơ Hệ Thống Mạng Bị Tấn Công
Reconnaissance Attacks và cách phòng chống:
Các cuộc tấn công Reconnaissance có thể bao gồm:
Port scans và Ping sweeps
quét dò xét qua Internet.
o Một hacker sử dụng các công cụ để scan các port và ping
o Là công cụ hợp pháp dùng để scan port và ping quét các
ứng dụng trên các máy chủ hay các thiết bị để xác định các dịch vụ dễ bị tổn thương.
port của ứng dụng chạy trên cả UDP hay TCP.
o Thông tin được thu thập bằng cách kiểm tra địa chỉ IP và
@Email: fit@ispace.edu.vn
10
Giảm Nguy Cơ Hệ Thống Mạng Bị Tấn Công
Reconnaissance Attacks và cách phòng chống:
Các cuộc tấn công Reconnaissance có thể bao gồm:
Port scans và Ping sweeps
@Email: fit@ispace.edu.vn
11
Giảm Nguy Cơ Hệ Thống Mạng Bị Tấn Công
Reconnaissance Attacks và cách phòng chống:
Giảm nguy cơ và phòng chống Port scans và Ping sweeps:
Dùng các kỹ thuật và các công cụ bao gồm:
có thể thông báo cho bạn biết khi có một cuộc tấn công reconnaissance.
o Network-based IPS (NIPS) và Host-based IPS (HIPS) thường
o Một dấu hiệu nhận dạng, như "một số gói tin đến các port đích khác nhau từ cùng một nguồn địa chỉ trong một thời gian ngắn có thể được dùng để phát hiện scan port."
o IPS so sánh lưu lượng truy cập đến hệ thống phát hiện xâm nhập (IDS) hoặc dấu hiệu nhận dạng tấn công (signatures) trong cơ sở dữ liệu IPS.
@Email: fit@ispace.edu.vn
12
Giảm Nguy Cơ Hệ Thống Mạng Bị Tấn Công
Reconnaissance Attacks và cách phòng chống:
Giảm nguy cơ và phòng chống Port scans và Ping sweeps:
@Email: fit@ispace.edu.vn
13
Giảm Nguy Cơ Hệ Thống Mạng Bị Tấn Công
Access Attacks và cách phòng chống:
Access attacks:
Man-in-middle attacks:
o Các kẻ tấn công đứng ở giữa lắng nghe thông tin giữa người gửi và người nhận, thậm chí sửa đổi các dữ liệu trước khi gửi đến hai bên. Buffer overflow:
o Một chương trình ghi dữ liệu vượt quá giới hạn kết thúc của
o Việc tràn bộ đệm có thể dẫn đến dữ liệu hợp lệ bị ghi đè.
bộ đệm trong bộ nhớ.
@Email: fit@ispace.edu.vn
14
Giảm Nguy Cơ Hệ Thống Mạng Bị Tấn Công
DoS, DDoS attacks và cách phòng chống:
DoS và DDoS attacks:
Ví dụ DDoS:
@Email: fit@ispace.edu.vn
15
Giảm Nguy Cơ Hệ Thống Mạng Bị Tấn Công
DoS, DDoS attacks và cách phòng chống:
IP Spoofing trong DoS và DDoS attacks:
o Giả mạo địa chỉ IP xảy ra khi một hacker bên trong hay bên ngoài mạng đóng vai trò như máy tính tin cậy đang liên lạc.
Giả mạo địa chỉ IP là một kỹ thuật hacker sử dụng để truy cập trái phép vào máy tính.
o Giả mạo địa chỉ bao gồm:
Thêm những dữ liệu độc hại hoặc các lệnh và luồng dữ
Thay đổi bảng định tuyến.
liệu hiện có
o Giả mạo địa chỉ là một một trong các bước cơ bản trong kiểu
tấn công DoS hay DDoS.
@Email: fit@ispace.edu.vn
16
Giảm Nguy Cơ Hệ Thống Mạng Bị Tấn Công
DoS, DDoS attacks và cách phòng chống:
Các phòng chống DoS và DDoS attacks:
Anti-spoof: một bộ lọc chứa danh sách truy cập thích hợp với tính năng unicast reverse path forwarding nhằm dựa vào bảng định tuyến để xác định gói tin giả mạo, vô hiệu hoá các tuỳ chọn con đường nguồn. Anti-DoS: tính năng này giới hạn số lượng half-open các kết nối TCP mà hệ thống cho phép ở bất kỳ thời điểm nào. Hạn chế tỉ số traffic: mọi tổ chức có thể thực hiện hạn chế tỉ số giao tiếp với ISP.
@Email: fit@ispace.edu.vn
17
Giảm Nguy Cơ Hệ Thống Mạng Bị Tấn Công
Các loại tấn công mạng:
Intelligence:
@Email: fit@ispace.edu.vn
18
Giảm Nguy Cơ Hệ Thống Mạng Bị Tấn Công
Worm, Virus, Trojan Horse Attacks và cách phòng chống:
Worm, Virus và Trojan attacks:
Các loại worm, virus hay trojan horse dựa vào các lỗ hổng để chúng xâm nhập và tự cài đặt vào hệ thống. Sau khi tiếp cận được mục tiêu chúng chuyển hướng dò tìm các mục tiêu mới theo điều khiển của hacker. Khi hacker đã đạt được mục tiêu cũng là lúc hacker đã chiếm được đặc quyền truy cập và khai thác hệ thống.
@Email: fit@ispace.edu.vn
19
Giảm Nguy Cơ Hệ Thống Mạng Bị Tấn Công
Worm, Virus, Trojan Horse Attacks và cách phòng chống:
Giảm nguy cơ Worm, Virus và Trojan attacks:
Sử dụng các phần mềm Anti-Virus. Cập nhật các bản vá lỗi mới nhất của phần mềm, ứng dụng và kể cả hệ điều hành. Triển khai hệ thống chống xâm nhập trên các host (ví dụ: Cisco Security Agent). Cập nhật kiến thức những phát triển mới nhất về các phương pháp tấn công dựa vào Worm, Virus hay Trojan Horse. Ngăn chặn sự lây lan của Worm hay Virus trong hệ thống mạng, thực hiện cách ly để kiểm dịch, quét sạch các worm hay virus thậm chí là cài đặt lại hệ thống.
@Email: fit@ispace.edu.vn
20
Giảm Nguy Cơ Hệ Thống Mạng Bị Tấn Công
Application Layer Attacks và cách phòng chống:
Application Layer attacks có các đặc điểm như sau:
Khai thác các ứng dụng như: mail, http và ftp,... Thường sử dụng các port được phép đi qua các tường lửa (ví dụ: TCP port 80 được dùng trong tấn công máy chủ Web đằng sau một tường lửa). Loại tấn công này thường khó loại bỏ hoàn toàn vì nó luôn dò tìm sử dụng lỗ hổng mới.
@Email: fit@ispace.edu.vn
21
Giảm Nguy Cơ Hệ Thống Mạng Bị Tấn Công
Application Layer Attacks và cách phòng chống:
Một công cụ điển hình trong Application Layer attacks.
Netcat: là công cụ mà đọc hoặc ghi dữ liệu trên bất kỳ kết nối TCP/UDP, chuyển tiếp các kết nối TCP và có thể hành động như một máy chủ TCP/UDP.
#nc -h connect to somewhere: nc [-options] hostname port[s] [ports] ... listen for inbound: nc -l -p port [-options] [hostname] [port] options:
-g gateway source-routing hop point[s], up to 8 -G num source-routing pointer: 4, 8, 12, ... -i secs delay interval for lines sent, ports scanned -l listen mode, for inbound connects -n numeric-only IP addresses, no DNS -o file hex dump of traffic -p port local port number -r randomize local and remote ports -s addr local source address -u UDP mode -v verbose [use twice to be more verbose]
port numbers can be individual or ranges: lo-hi [inclusive]
@Email: fit@ispace.edu.vn
22
Giảm Nguy Cơ Hệ Thống Mạng Bị Tấn Công
Application Layer Attacks và cách phòng chống:
Ví dụ về Netcat:
@Email: fit@ispace.edu.vn
23
Giảm Nguy Cơ Hệ Thống Mạng Bị Tấn Công
Application Layer Attacks và cách phòng chống:
Cách giảm nguy cơ Application Layer attacks:
Tìm hiểu hệ điều hành mạng và các tập tin đăng nhập mạng. Cập nhật các bản vá lỗi mới nhất cho các ứng dụng và kể cả hệ điều hành. Sử dụng hệ thống IPS/IDS để theo dõi, phát hiện và ngăn chặn các cuộc tấn công.
@Email: fit@ispace.edu.vn
24
Giảm Nguy Cơ Hệ Thống Mạng Bị Tấn Công
Nguy cơ từ các giao thức quản trị mạng (Management Protocols):
SNMP: sử dụng cơ chế xác thực đơn giản, gửi dữ liệu dạng chữ thô (plaintext). Syslog: dữ liệu được gửi dưới dạng chữ thô giữa các thiết bị quản lý và các host. TFTP: Dữ liệu được gửi dưới dạng chữ thô giữa các máy chủ yêu cầu và máy chủ TFTP. NTP: Với giao thức đồng bộ thời gian, các máy chủ trên Internet không cần sự chứng thực của các máy ngang hàng.
Các giao thức quản trị mạng có thể là nguy cơ cho các cuộc tấn công như: SNMP, Syslog, NTP, TFTP.
@Email: fit@ispace.edu.vn
25
Giảm Nguy Cơ Hệ Thống Mạng Bị Tấn Công
Nguy cơ từ các giao thức quản trị mạng (Management Protocols):
Cách giảm nguy cơ từ các giao thức quản trị mạng: Cấu hình quản trị mạng sử dụng cơ chế SSL/SSH. Sử dụng ACL để xác định danh sách truy cập đến máy chủ quản lý, và chỉ cho phép truy cập đến các máy chủ quản lý thông qua SSH hay HTTPS,… Sử dụng các giao thức quản trị an toàn và bảo vệ dữ liệu với IPSec. Thực hiện RFC 3.704 lọc tại router để làm giảm cơ hội của các hacker từ bên ngoài giả mạo các địa chỉ quản lý của các máy chủ.
@Email: fit@ispace.edu.vn
26
Giảm Nguy Cơ Hệ Thống Mạng Bị Tấn Công
Xác định rủi ro và mối đe doạ:
Có một số công cụ và kỹ thuật mà có thể được sử dụng để tìm các lỗ hổng trong mạng. Sau khi xác định được lỗ hổng hay các nguy cơ, chúng ta luôn có thể tìm ra cách bảo vệ và phòng tránh nguy cơ bị tấn công mạng. Một số công cụ phổ biến hiện nay như:
Blue’s PortScanner. Wireshark (trước đây là Ethereal) Microsoft Baseline Security Analyzer NMap
@Email: fit@ispace.edu.vn
27
Giảm Nguy Cơ Hệ Thống Mạng Bị Tấn Công
Xác định rủi ro và mối đe doạ:
Blue’s PortScanner:
Là công cụ quét mạng khá nhanh, có thể quét hơn 300 port trong một giây. Cung cấp tính năng quét TCP/UDP với Anti-flood và Ping check.
@Email: fit@ispace.edu.vn
28
Giảm Nguy Cơ Hệ Thống Mạng Bị Tấn Công
Xác định rủi ro và mối đe doạ:
Wireshark: công cụ quét và phân tích traffic hàng đầu.
@Email: fit@ispace.edu.vn
29
Giảm Nguy Cơ Hệ Thống Mạng Bị Tấn Công
Xác định rủi ro và mối đe doạ:
Microsoft Baseline Security Analyzer.
@Email: fit@ispace.edu.vn
30
Giảm Nguy Cơ Hệ Thống Mạng Bị Tấn Công
Xác định rủi ro và mối đe doạ:
Nmap:
@Email: fit@ispace.edu.vn
31
Tắt Các Dịch Vụ Mạng & Các Interface Không Được Sử Dụng
Các dịch vụ trên Router có thể tạo ra các lỗ hổng cho tấn công như: BOOTP, CDP, FTP, TFTP, NTP, Finger, SNMP, Source IP và Proxy ARP…
Các rủi ro của Router Service và Interface:
Router Cisco có thể được sử dụng như: thiết bị Edge Firewall hay router nội bộ. Các lỗ hổng có thể được khai thác bất kỳ ở router nào, không phụ thuộc vào vị trí của router đó. Lỗ hổng có thể từ các dịch vụ không được bảo mật trên router hay các interface của router không được sử dụng.
@Email: fit@ispace.edu.vn
32
Tắt Các Dịch Vụ Mạng & Các Interface Không Được Sử Dụng
Locking Down Routers với AutoSecure:
Tính năng AutoSecure được tích hợp từ dòng Cisco IOS phiên bản 12.3 trở về sau này. AutoSecure là công cụ built-in cho phép loại bỏ các mối hiểm hoạ tồn tại trên router một cách nhanh chóng và dễ dàng. AutoSecure hoạt động ở hai chế độ:
Interactive mode: dựa vào những câu hỏi, trả lời tương tác để các bạn lựa chọn cấu hình các dịch vụ trên router và các tính năng liên quan đến bảo mật. None-interactive mode: cấu hình bảo mật cho thiết bị chỉ dựa vào những thông số mặc định của cisco IOS mà không có sự thay đổi chỉnh sửa nào.
@Email: fit@ispace.edu.vn
33
Tắt Các Dịch Vụ Mạng & Các Interface Không Được Sử Dụng
Locking Down Routers với AutoSecure:
Các tính năng của AutoSecure:
Management Plane:
encryption, TCP keepalive, CDP, BOOTP, HTTP, source routing, gratuitous ARP, proxy ARP, ICMP, direct broadcast, MOP, banner.
o Finger, PAD, UDP and TCP small servers, password
o Cung cấp password security và SSH.
Forwarding Plane: CEF, bộ lọc với ACL. Firewall: Kiểm tra ngữ cảnh truy cập (CBAC) Quản lý quá trình login. SSH Access Kiểm soát các dịch vụ truyền thông qua TCP.
@Email: fit@ispace.edu.vn
34
Tắt Các Dịch Vụ Mạng & Các Interface Không Được Sử Dụng
Locking Down Routers với AutoSecure:
AutoSecure Failure Senarios:
Trường hợp cấu hình AutoSecure hoạt động ổn định, thì cấu hình trên router có thể đã bị thay đổi mà không thể khắc phục được. o Trong phiên bản Cisco IOS Release 12.3 (8) T và các phiên
bản phát hành sau này có thể cấu hình rollback lại trạng thái ban đầu:
Pre-AutoSecure cấu hình snapshot được lưu trong flash
Chúng ta có thể cấu hình rollback để trả cấu hình về
dưới dạng tập tin pre-autosec.cfg
trạng thái ban đâu bằng lệnh:
configure replace flash:pre_autosec.cfg
o Nếu router đang sử dụng phiên bản Cisco IOS trước khi phát hành 12.3(8) T, thì trước khi cấu hình AutoSecure chúng ta nên sao lưu cấu hình để dự phòng.
@Email: fit@ispace.edu.vn
35
Tắt Các Dịch Vụ Mạng & Các Interface Không Được Sử Dụng
Cấu hình AutoSecure với SDM (Security Device Manager):
SDM một trình thuật giao diện đồ họa điều khiển cấu hình Cisco Router một cách đơn giản. SDM cũng cho phép cấu hình cấu hình tường lửa trên Cisco Router khá hiệu quả thông qua Cisco IOS Firewall. SDM cung cấp tính năng Security Audit wizard thực hiện tiến trình kiểm soát sự an ninh trên Cisco Router, ghi nhận đánh giá các lỗ hổng để giúp ta nhanh chóng tìm cách khắc phục. SDM còn có thể thực hiện hầu như tất cả các cấu hình mà AutoSecure cung cấp với tính năng One-Step Lockdown.
@Email: fit@ispace.edu.vn
36
Bảo Mật Truy Cập Quản Trị Và Cấu Hình Cisco Router
Đểgiảmnguycơbị tấncôngmạngta phảithựchiệncơchếbảomậtvề quảnlý truycập, cấuhìnhvà quảntrị thiếtbị Cisco Router.
Cấu hình Router Passwords:
Cisco IOS cung cấp một số tính năng cải tiến cho phép tăng độ bảo mật hệ thống với password,bao gồm: chiều dài mật khẩu tối thiểu, mã hoá mật khẩu, chứng thực với user. Để thiết lập chiều dài tối thiểu của mật khẩu ta thực hiện lệnh dưới đây:
Ví dụ: cấu hình cho độ dài mật khẩu yêu cầu tối thiểu là 10
Router(config)# security passwords min-length 10
@Email: fit@ispace.edu.vn
37
Bảo Mật Truy Cập Quản Trị Và Cấu Hình Cisco Router
Cấu hình Router Passwords:
Mã hoá tất cả các password trong file cấu hình của Router.
Router(config)# service password-encryption
Router(config)#service password-encryption Router(config)#exit Router#show running-config enable password 7 06020026144A061E ! line con 0 password 7 0956F57A109A ! line vty 0 4 password 7 034A18F366A0 ! line aux 0 password 7 7A4F5192306A
@Email: fit@ispace.edu.vn
38
Bảo Mật Truy Cập Quản Trị Và Cấu Hình Cisco Router
Cấu hình Router Passwords:
Nâng cao tính năng bảo mật router với username và password.
Router(config)#username rtradmin secret 0 Curium96
Router(config)#username rtradmin secret 5 $1$feb0$a104Qd9UZ./Ak007
@Email: fit@ispace.edu.vn
39
Bảo Mật Truy Cập Quản Trị Và Cấu Hình Cisco Router
Thiết lập Login Failure Rate:
Router(config)# security authentication failure rate threshold-
Cisco IOS cung cấp một số tính năng để đảm bảo router chống lại các đăng nhập trái phép bằng cách thiết lập Login Failure Rate. Theo mặc định, router cho phép đăng nhập thất bại 10 lần trước khi đợi 10 giây. Tạo ra một thông điệp syslog khi đăng nhập vượt quá số lượng lần truy cập được cho phép.
ratelog
Ví dụ: Router(config)# security authentication failure rate 10 log
@Email: fit@ispace.edu.vn
40
Bảo Mật Truy Cập Quản Trị Và Cấu Hình Cisco Router
Xem thông tin login:
Router(config)# show login
Router(config)#show login
A default login delay of 1 seconds is applied. No Quiet-Mode access list has been configured. All successful login is logged and generate SNMP traps. All failed login is logged and generate SNMP traps. Router enabled to watch for login Attacks. If more than 15 login failures occur in 100 seconds or less, logins
will be disabled for 100 seconds.
Router presently in Watch-Mode, will remain in Watch-Mode for 95
seconds.
Present login failure count 5.
@Email: fit@ispace.edu.vn
41
Bảo Mật Truy Cập Quản Trị Và Cấu Hình Cisco Router
Xem thông tin login:
Router(config)# show login failures
Perth(config)#show login failures
Information about login failure's with the device Username Source IPAddr lPort Count TimeStamp try1 try2
23 1 21:52:49 UTC Sun Mar 9 2003 23 1 21:52:52 UTC Sun Mar 9 2003
10.1.1.1 10.1.1.2
@Email: fit@ispace.edu.vn
42
Bảo Mật Truy Cập Quản Trị Và Cấu Hình Cisco Router
Thiết lập Timeouts:
Mặc định giao diện cấu hình router được active trong khoảng thời gian 10 phút của một phiên làm việc. Chúng tra cần điều chỉnh thời gian này thành từ 2 hay 3 phút thôi. Nếu thiết lập giá trị exec-timeout 0 có nghĩa là không có thời gian chờ và phiên làm việc sẽ luôn luôn ở trạng thái active. Do vậy chúng ta không nên dùng câu lệnh exec-timeout 0.
@Email: fit@ispace.edu.vn
43
Bảo Mật Truy Cập Quản Trị Và Cấu Hình Cisco Router
Thiết lập Multiple Privilege Levels:
Cisco Router cho phép cấu hình ở từng mức độ đặc quyền khác nhau trên từng quản trị viên. Đối với các Cisco IOS mới khi ta đăng nhập vào thì mặc định giao diện dòng lệnh của ta đang ở cấp độ đặc quyền là 1. Ở level này thì các lệnh cấu hình bị hạn chế. Khi ta chuyển sang chế độ enable (quyền root) thì cấp độ đặc quyền thay đổi là 15, lúc này chúng ta có thể toàn quyền sử dụng tất cả các lệnh trên router. Giả sử router được cấu hình bởi nhiều user khác nhau thì mỗi người sẽ được cấu hình với một cấp độ đặc quyền khác nhau:
Để thực hiện việc phân quyền chúng ta có thể định nghĩa cho từng cấp độ lệnh cho từng user khác nhau từ 1 đến 14. User đăng nhập ở cấp độ cao hơn thì có thể thực thi được những lệnh ở cấp độ thấp hơn.
@Email: fit@ispace.edu.vn
44
Bảo Mật Truy Cập Quản Trị Và Cấu Hình Cisco Router
Thiết lập Multiple Privilege Levels:
Router>enable Router#show privilege Current Privilege level is current 15 Router#configure terminal Router(config)#enable secret level 2 level2
@Cấu hình password cho level 2 là level 2
Router(config)#enable secret level 3 level3
@Cấu hình password cho level 3 là level 3
@Đăng nhập vào ở cấp độ level 2 ta thực hiện như sau:
Router>enable 2 ! Số 2 đại diện cho level 2 ! Password:level2 Router#show running-config ^ % Invalid input detected at '^' marker.
Định nghĩa enable password cho các level.
@Email: fit@ispace.edu.vn
45
Bảo Mật Truy Cập Quản Trị Và Cấu Hình Cisco Router
Cấu hình Banner Message:
$(hostname): hiển thị tên router $(domain): hiển thị domain của router. $(line): hiển thị số line vty hay tty $(line-desc): hiện mô tả của các line vty hay tty.
Banner message được sử dụng để cảnh báo những kẻ xấu xâm nhập không được chào đón vào hệ thống mạng của bạn. Có bốn biến lệnh được sử dụng trong banner message:
Ví dụ:
Router(config)#banner motd % WARNING: You are connected to $(hostname) on the Cisco Systems, Incorporated network. Unauthorized access and use of this network will be vigorously prosecuted. %
@Email: fit@ispace.edu.vn
46
Bảo Mật Truy Cập Quản Trị Và Cấu Hình Cisco Router
Cisco IOS Role-based CLI Access:
Tính năng role-based CLI cho phép các quản trị viên xác định các “view”, là tập hợp của các câu lệnh cấu hình và khả năng chọn lựa truy cập hoặc chỉ ứng dụng một phần lệnh EXEC của Cisco IOS. View giới hạn sự truy cập ở người sử dụng Cisco IOS CLI và các thông tin cấu hình. CLI View cung cấp khả năng kiểm soát truy cập chi tiết hơn cho các quản trị mạng, đặc biệt hơn chế độ privilege level là đăng nhập ở view nào thì chỉ thấy ở view đó.
@Email: fit@ispace.edu.vn
47
Bảo Mật Truy Cập Quản Trị Và Cấu Hình Cisco Router
Bảo mật tập tin cấu hình:
Bật tính năng phục hồi Cisco IOS Image:
Router(config)# secure boot-image
Tạo bản sao cho running configuration
Router(config)# secure boot-config
Hiển thị thông tin trạng thái khả năng phục hồi image hay tập tin cấu hình.
Router# show secure bootset
Router(config)#secure boot-image Router(config)#secure boot-config Router #show secure bootset
@Email: fit@ispace.edu.vn
48
Giảm Mối Hiểm Họa Và Tấn Công Với ACL
ACL là mộttrongnhữngcôngcụ hiệuquả choviệcgiảmnguycơhệ thốngmạngbị tấncông, giớihạntraffic truycậpvàohệ thốngmạng.
Cisco ACL (Access Control List):
ACL là một danh sách các mệnh được định nghĩa các điều khiển cho phép hay không cho phép các đối tượng truy cập. Cisco Router sử dụng ACLs như bộ lọc gói tin để quyết định các gói tin có thể truy cập một dịch vụ trên router hoặc được phép đi qua một interface trên router. Cisco Router hỗ ba loại ACLs sau:
Standard ACLs. Extended ACLs. Enhanced IP ACLs.
@Email: fit@ispace.edu.vn
49
Giảm Mối Hiểm Hoạ Và Tấn Công Với ACL
ACL apply trên interface:
ACLs phải được apply lên interface của router. ACLs được apply theo luồng dữ liệu đi vào (Inbound) hay đi ra (Outbound).
@Email: fit@ispace.edu.vn
50
Giảm Mối Hiểm Hoạ Và Tấn Công Với ACL
Sử dụng Traffic Filtering với ACL:
Sử dụng ACL để lọc dữ liệu vào hay ra trên các router hay firewall. Sử dụng ACL để vô hiệu hóa hay giới hạn sự truy cập vào các dịch vụ, các port và các giao thức.
@Email: fit@ispace.edu.vn
51
Giảm Mối Hiểm Hoạ Và Tấn Công Với ACL
Ứng dụng Traffic Filtering với ACL để hạn chế hiểm họa:
Giảm nguy cơ giả mạo địa chỉ IP (Outbound):
R2(config)#access-list 105 permit ip 10.2.1.0 0.0.0.255 any R2(config)#access-list 105 deny ip any any log R2(config)#interface e0/1 R2(config-if)#ip access-group 105 in R2(config-if)#end
@Email: fit@ispace.edu.vn
52
Bảo Mật Cho Tính Năng Management Và Reporting
Cáctínhnăngmanagemetvà reporting cũngcó thểlàlỗ hổngchocác mốiđedoạ tấncôngBảomậtchoManagement và Reporting.
Xây dựng bảo mật cho tính năng Management và Reporting:
Làm thế nào để tách riêng các message đặc biệt ra khỏi các message thường xuyên ? Làm sao để ngăn chặn các log giả mạo ? Làm thế nào để tính toán các time stamps ? Những dữ liệu nào là cần thiết trong giám sát điều tra (inspect) ? Làm thế nào xử lý khối lượng lớn message log ? Làm thế nào quản lý tất cả các thiết bị? Làm thế nào để có thể theo dõi những thay đổi khi các cuộc tấn công hay các login thất bại diễn ra?
Hệ thống Management và Reporting rất quan trọng, nhưng sẽ có một số khó khăn nếu số thiết bị giám sát khá lớn thì lượng thông tin có thể sai lệch và dữ liệu có thể bị bad. Để hệ thống hiểu quả chúng ta cần trả lời hệ thống câu hỏi sau:
@Email: fit@ispace.edu.vn
53
Bảo Mật Cho Tính Năng Management Và Reporting
Kiến trúc bảo mật cho tính năng Management và Reporting:
@Email: fit@ispace.edu.vn
54
Bảo Mật Cho Tính Năng Management Và Reporting
Kiến trúc bảo mật cho tính năng Management và Reporting:
Information Paths:
o In-Band: Luồng thông tin ở mạng doanh nghiệp, internet hay
Thông tin di chuyển giữa các máy quản lý và các host có thể đi qua hai con đường:
cả hai.
o Out-of-Band (OOB): Các luồng thông tin ở trong mạng doanh
nghiệp.
@Email: fit@ispace.edu.vn
55
Bảo Mật Cho Tính Năng Management Và Reporting
Kiến trúc bảo mật cho tính năng Management và Reporting:
@Email: fit@ispace.edu.vn
56
Bảo Mật Cho Tính Năng Management Và Reporting
Cấu hình SSH Server để bảo mật cho tính năng Management và Reporting:
Cấu hình IP Domain Name. Tạo RSA Key Hiển thị Key (option) Cấu hình khoảng thời gian chờ cho SSH. Cấu hình SSH retry. Disable inbound vty Telnet. Enable inbound vty SSH
@Email: fit@ispace.edu.vn
57
Bảo Mật Cho Tính Năng Management Và Reporting
Cấu hình SSH Server để bảo mật cho tính năng Management và Reporting:
Router#configure terminal Router(config)#ip domain-name cisco.com Router(config)#crypto key generate rsa general-keys modulus 1024
Sept 22 13:20:45: %SSH-5-ENABLED: SSH 1.5 has been enabled
Router(config)#ip ssh timeout 120 Router(config)#ip ssh authentication-retries 4 Router(config)#line vty 0 4 Router(config-line)#no transport input telnet Router(config-line)#transport input ssh Router(config-line)#end
@Email: fit@ispace.edu.vn
58
Bảo Mật Cho Tính Năng Management Và Reporting
Sử dụng Syslog để bảo mật mạng:
Syslog server: Một máy chấp nhận và xử lý các log message từ một hoặc nhiều syslog client. Syslog client: Một máy tạo ra các log message và chuyển chúng đến Syslog server.
@Email: fit@ispace.edu.vn
59
Bảo Mật Cho Tính Năng Management Và Reporting
Cisco Log Severity Levels:
Syslog Level and Name
Definition
Example
0 LOG_EMERG
A panic condition normally broadcast to all users
Cisco IOS software could not load
1 LOG_ALERT
Temperature too high
A condition that should be corrected immediately, such as a corrupted system database
2 LOG_CRIT
Unable to allocate memory
Critical conditions; for example, hard device errors
Invalid memory size
3 LOG_ERR
Errors
Crypto operation failed
4 LOG_WARNING
Warning messages
5 LOG_NOTICE
Interface changed state, up or down
Conditions that are not error conditions but should possibly be handled specially
6 LOG_INFO
Informational messages
Packet denied by ACL
7 LOG_DEBUG
Packet type invalid
Messages that contain information that is normally used only when debugging a program
@Email: fit@ispace.edu.vn
60
Bảo Mật Cho Tính Năng Management Và Reporting
Log Message Format:
@Email: fit@ispace.edu.vn
61
Bảo Mật Cho Tính Năng Management Và Reporting
Ví dụ triển khai Syslog:
Router(config)#logging 10.2.2.6 Router(config)#logging trap informational Router(config)#logging source-interface loopback 0 Router(config)#logging on
@Email: fit@ispace.edu.vn
62
Bảo Mật Cho Tính Năng Management Và Reporting
SNMP Version 3:
Simple Network Management Protocol:
Giao thức SNMP hoạt động dựa trên giao thức UDP. Dùng để giám sát, quản lý các máy chủ, các thiết bị hoạt động trong hệ thống mạng. Có các version: SNMPv1, SNMPv2, SNMPv2c, SNMPv3.
Giao thức SNMP gồm một bộ các tiêu chuẩn quản lý mạng:
Application Layer Protocol. Database Schema. Set of Data Objects.
@Email: fit@ispace.edu.vn
63
Bảo Mật Cho Tính Năng Management Và Reporting
SNMP Version 3:
Hệ thống quản lý mạng dựa trên giao thức SNMP bao gồm 3 thành phần sau:
Managed Devices: Thiết bị được quản lý. Agent: Phần mềm chạy trên các thiết bị được quản lý. Network Management System (NMS): Phần mềm chạy để quản lý.
SNMP hoạt động ở tầng ứng dụng trong mô hình OSI. SNMP Agent nhận các yêu cầu từ NMS thông qua UDP Port 161. NMS nhận các thông báo (Trap, Inform Request) từ Managed Devices thông qua UDP Port 162.
@Email: fit@ispace.edu.vn
64
Bảo Mật Cho Tính Năng Management Và Reporting
SNMP Version 3:
Community Strings:
SNMPv1 và SNMPv2 sử dụng community string để router truy cập các SNMP agent. SNMP community string hoạt động như là password, SNMP community string là một chuỗi văn bản được sử dụng để xác thực thông điệp giữa một trạm quản lý và một SNMP engine. Nếu người quản lý gửi một community string chính xác với thuộc tính read-only, thì người quản lý có thể nhận được thông tin, nhưng không thiết lập được thông tin trong agent. Nếu người quản lý gửi một community string chính xác với thuộc tính read-write, người quản lý có thể nhận được thông tin và có thể thiết lập thông tin agent.
@Email: fit@ispace.edu.vn
65
Bảo Mật Cho Tính Năng Management Và Reporting
SNMP Version 3:
Community Strings:
SNMP Community Strings được dùng để xác nhận các thông tin gửi đi giữa manager và agent. Chỉ khi manager gửi thông điệp với community string đúng thì agent mới trả lời. Mặc định, hầu hết các hệ thống sử dụng SNMP community string đều public. SNMP community strings được gửi ở dạng cleartext gọi là MIB. Do đó, bất cứ ai cũng có khả năng lấy bắt được gói tin MIB nào đó có thể sẽ tìm ra chuỗi này, có thể giả mạo người dùng sửa đổi cấu hình các router qua SNMP.
@Email: fit@ispace.edu.vn
66
Bảo Mật Cho Tính Năng Management Và Reporting
SNMP Version 3:
Mô hình và các cấp độ bảo mật SNMP:
Security Model: chiến lược an ninh sử dụng cho các SNMP agent. Security Level: mức giới hạn cho phép về an ninh trong một security model.
@Email: fit@ispace.edu.vn
67
Bảo Mật Cho Tính Năng Management Và Reporting
SNMP Version 3:
SNMPv3 Operational Model:
@Email: fit@ispace.edu.vn
68
Bảo Mật Cho Tính Năng Management Và Reporting
SNMP Version 3:
Tính năng và lợi ích của SNMPv3:
Tính năng:
mạo.
o Toàn vẹn message: đảm bảo rằng một gói tin không bị giả
o Authentication: xác thực message đó xuất phát từ một
nguồn hợp lệ.
bị xem trái phép.
o Encryption: mã hoá nội dung của gói tin để tránh các gói tin
Lợi ích:
o Dữ liệu có thể được thu thập từ các thiết bị SNMP an toàn
mà không sợ dữ liệu bị giả mạo hay bị hư hỏng.
dung bị hé lộ trên mạng.
o Thông tin bí mật vì được mã hoá do SNMPv3 để tránh có nội
@Email: fit@ispace.edu.vn
69
Bảo Mật Cho Tính Năng Management Và Reporting
Cấu hình SNMP Managed Node:
Cấu hình SNMP-Server Engine ID:
Để cấu hình một tên cho một trong hai engine SNMP cục bộ hay từ xa trên router, sử dụng lệnh snmp-server engineID trong chế độ cấu hình toàn cục global config mode. Các SNMP engine ID là một chuỗi duy nhất được sử dụng để xác định các thiết bị cho các mục đích quản trị. Nếu một ID nào đó không đủ 24 ký tự của engine ID thì ID sẽ được thêm vào những số 0.
o Ví dụ: cấu hình về SNMP-Server Engine ID là
123400000000000000000000, xác định snmp-server engine ID local là 1234000000.
@Email: fit@ispace.edu.vn
70
Bảo Mật Cho Tính Năng Management Và Reporting
Cấu hình SNMP Managed Node:
Cấu hình Remode Engine ID:
Một remote engine phải được tạo ra khi có một SNMP V3 inform được cấu hình. Các remote engine ID được sử dụng để tính toán phân loại bảo mật để xác thực và mã hoá các gói tin được gửi đến một người sử dụng trên các máy từ xa.
o Các inform sẽ được xác nhận , khi manager nhận được từ agent sẽ gửi phản hồi lại agent, đảm bảo truyền đến đích.
@Email: fit@ispace.edu.vn
71
Bảo Mật Cho Tính Năng Management Và Reporting
Cấu hình SNMP Managed Node:
Cấu hình SNMP-Server Group Names:
Để cấu hình một group SNMP mới, hoặc một table mà ánh xạ SNMP người sử dụng đến SNMP view, sử dụng các lệnh snmp- server group cấu hình toàn cục global config mode. Một SNMP view là một ánh xạ giữa những đối tượng SNMP và các quyền truy cập có sẵn. Một đối tượng có thể có quyền truy cập khác nhau trong từng view. Quyền truy cập cho biết đối tượng có thể truy cập bằng một community string hoặc một người sử dụng.
@Email: fit@ispace.edu.vn
72
Bảo Mật Cho Tính Năng Management Và Reporting
Cấu hình SNMP Managed Node:
Cấu hình SNMP-Server Group Names:
Router(config)#
snmp-server group groupname {v1 | v2c | v3 {auth | noauth | priv}} [read readview] [write writeview] [notify notifyview] [access access- list]
Ví dụ:
Router1(config)#snmp-server group ispacegroup v3 auth Router1(config)#snmp-server group icaregroup v3 auth priv
Xác định một nhóm ispacegroup cho SNMP v3 nhưng không sử dụng chứng thực nhưng không mã hóa. Xác định một nhóm ispacegroup cho SNMP v3 nhưng không sử dụng chứng thực và mã hóa.
@Email: fit@ispace.edu.vn
73
Bảo Mật Cho Tính Năng Management Và Reporting
Cấu hình SNMP Managed Node:
Cấu hình SNMP-Server Users:
Router(config)#
snmp-server user username groupname [remote ip- address [udp-port port]] {v1 | v2c | v3 [encrypted] [auth {md5 | sha} auth-password [priv des56 priv-password]]} [access access-list]
Ví dụ:
Router1(config)#snmp-server user Bill ispacegroup v3 auth md5 john2passwd Router1(config)#snmp-server user John iscaregroup v3 auth md5 bill3passwd
des56 password2
Router1(config)#snmp-server group ispacegroup v3 auth Router1(config)#snmp-server group iscaregroup v3 auth priv
@Email: fit@ispace.edu.vn
74
Bảo Mật Cho Tính Năng Management Và Reporting
Cấu hình SNMP Managed Node:
Cấu hình SNMP-Server Hosts:
Để xác định máy nhận message SNMP ta sử dụng lệnh snmp- server host cấu hình toàn cục (global config mode). Router(config)#
snmp-server host host-address [traps | informs]
[version {1 | 2c | 3 [auth | noauth | priv]}] community-string [udp-port port] [notification- type]
Message SNMP có thể được gửi như trap hoặc inform requests. Một thực thể SNMP nhận message inform request acknowledges bên trong SNMP response PDU Ít nhất một lệnh snmp-server host phải được nhập vào.
@Email: fit@ispace.edu.vn
75
Bảo Mật Cho Tính Năng Management Và Reporting
Cấu hình SNMP Managed Node:
Cấu hình SNMP-Server Hosts:
Để có thể gửi một “inform", thực hiện các bước sau:
o Cấu hình một engine ID từ xa. o Cấu hình một user từ xa. o Cấu hình một nhóm trên một thiết bị từ xa. o Enable traps trên thiết bị từ xa. o Enable SNMP manager.
@Email: fit@ispace.edu.vn
76
Bảo Mật Cho Tính Năng Management Và Reporting
Cấu hình SNMP Managed Node:
Cấu hình SNMP-Server Hosts:
Cấu hình người nhận SNMP Trap Operation: Router(config)# snmp-server host host-address [traps | informs] [version {1 | 2c | 3 [auth | noauth | priv]}] community-string [udp-port port] [notification- type]
Ví dụ:
Router1(config)#snmp-server engineID remote 10.1.1.1 1234 Router1(config)#snmp-server user bill icaregroup remote 10.1.1.1 v3 Router1(config)#snmp-server group icaregroup v3 noauth Router1(config)#snmp-server enable traps Router1(config)#snmp-server host 10.1.1.1 inform version 3 noauth bill Router1(config)#snmp-server manager
@Email: fit@ispace.edu.vn
77
Bảo Mật Cho Tính Năng Management Và Reporting
Cấu hình SNMP Managed Node:
Ví dụ cấu hình SNMPv3:
Trap_sender(config)#snmp-server group snmpgroup v3 auth Trap_sender(config)#snmp-server group snmpgroup v3 priv Trap_sender(config)#snmp-server user snmpuser snmpgroup v3 auth md5 authpassword priv des56 encryptpassword Trap_sender(config)#snmp-server enable traps cpu Trap_sender(config)#snmp-server enable traps config Trap_sender(config)#snmp-server enable traps snmp Trap_sender(config)#snmp-server host 172.16.1.1 traps version 3 priv snmpuser Trap_sender(config)#snmp-server source-interface traps loopback 0
Walked_device(config)#snmp-server group snmpgroup v3 auth Walked_device(config)#snmp-server group snmpgroup v3 priv Walked_device(config)#snmp-server user snmpuser snmpgroup v3 auth md5 authpassword priv des56 encrypt password
@Email: fit@ispace.edu.vn
78
Bảo Mật Cho Tính Năng Management Và Reporting
Cấu hình NTP Client:
Giao thức NTP (Network Time Protocol): Giao thức đồng bộ thời gian.
Là một giao thức để đồng bộ đồng hồ của các hệ thống máy tính thông qua mạng dữ liệu chuyển mạch gói với độ trễ biến đổi. NTP được thiết kế đầu tiên bởi Dave Mills tại trường đại học Delaware, hiện ông vẫn còn quản lý nó cùng với một nhóm người tình nguyện. (trước năm 1985) NTPv4 đảm bảo độ chính xác trong khoảng 10 mili giây (1/100 s) trên mạng Internet, và có thể đạt đến độ chính xác 200 micro giây (1/5000 s) trong môi trường mạng LAN.
NTP Client: là phần mềm sử dụng giao thức NTP để đồng bộ thời gian với NTP Server.
@Email: fit@ispace.edu.vn
79
Bảo Mật Cho Tính Năng Management Và Reporting
Ví dụ cấu hình NTP:
Source(config)#ntp master 5 Source(config)#ntp authentication-key 1 md5 secretsource Source(config)#ntp peer 172.16.0.2 key 1 Source(config)#ntp source loopback 0
Intermediate(config)#ntp authentication-key 1 md5 secretsource Intermediate(config)#ntp authentication-key 2 md5 secretclient Intermediate(config)#ntp trusted-key 1 Intermediate(config)#ntp server 172.16.0.1 Intermediate(config)#ntp source loopback 0 Intermediate(config)#interface Fastethernet0/0 Intermediate(config-int)#ntp broadcast
Client(config)#ntp authentication-key 1 md5 secretclient Client(config)#ntp trusted-key 1 Client(config)#interface Fastethernet0/1 Client(config-int)#ntp broadcast client
@Email: fit@ispace.edu.vn
80
Cấu Hình AAA Trên Cisco Router
Đểtăngcườngbảomậtchothiếtbị chúngta cầncấuhìnhtínhnăng Authentication, Authorization và Accounting trênthiếtbị Cisco Routers.
Giới thiệu về AAA:
Quản trị bảo mật truy cập mạng trong môi trường Cisco dựa trên một kiến trúc module có ba thành phần chức năng:
Authentication Authorization Accounting
Những dịch vụ AAA cung cấp một mức độ cao hơn về khả năng mở rộng hơn line-level, chứng thực-EXEC privileged cho các thành phần mạng. Sử dụng một Cisco AAA cho phép kiến trúc phù hợp, bảo mật truy cập hệ thống và khả năng mở rộng.
@Email: fit@ispace.edu.vn
81
Cấu Hình AAA Trên Cisco Router
Giới thiệu về AAA:
Authentication:
Cung cấp các phương pháp xác định người sử dụng, bao gồm cả tên đăng nhập và mật khẩu và cá tuỳ chọn giao thức bảo mật, mã hoá. Authorization:
Cung cấp phương pháp để kiểm soát truy cập từ xa, bao gồm tài khoản ủy quyền hay dịch vụ ủy quyền.
Accounting:
Cung cấp các phương pháp thu thập và gửi thông tin bảo mật đến máy chủ để thanh toán, kiểm toán và báo cáo. Chẳng hạn như kiểm toán danh tính người dùng, số lần bắt đầu, kết thúc…
@Email: fit@ispace.edu.vn
82
Cấu Hình AAA Trên Cisco Router
Giới thiệu về AAA:
Administrative access: Console, Telnet và AUX access. Remote user network access: Dialup hoặc VPN access.
@Email: fit@ispace.edu.vn
83
Cấu Hình AAA Trên Cisco Router
Router access modes:
Tất cả các lệnh AAA (ngoại trừ hệ thống accounting) đều áp dụng character mode hay packet mode. Character mode: cho phép một quản trị viên hệ thống với số lượng lớn các router trong một mạng xác thực tài khoản người dùng một lần, sau đó truy cập được vào các router khác được cấu hình bằng phương pháp này.
@Email: fit@ispace.edu.vn
84
Cấu Hình AAA Trên Cisco Router
AAA protocols: RADIUS và TACASC+
RADIUS Authentication và Authorization:
Ví dụ dưới đây cho thấy cách trao đổi RADIUS giữa client, Router và ACS (ACS sở hữu của tên người dùng và mật khẩu). Các ACS có thể trả lời với tin nhắn Access-Accept khi xác thực thành công, hoặc Access-Reject nếu xác thực không thành công.
@Email: fit@ispace.edu.vn
85
Cấu Hình AAA Trên Cisco Router
AAA protocols: RADIUS và TACASC+
RADIUS messages:
Có bốn loại thông điệp tham gia vào việc trao đổi xác thực RADIUS: Access-Request, Access-Accept, Access-Reject và Access-Challenge
@Email: fit@ispace.edu.vn
86
Cấu Hình AAA Trên Cisco Router
AAA protocols: RADIUS và TACASC+
RADIUS attributes:
RADIUS là một tiêu chuẩn giao thức IETF - RFC 2865 . Thuộc tính Standard có thể được tăng cường bởi các thuộc tính độc quyền. Sử dụng UDP trên port chuẩn (Microsoft RADIUS UDP Port 1812 cho Authentication, Port 1813 cho Accounting; Cisco RADIUS UDP Port 1645 cho Authetication và Port 1646 cho Authorization). Bao gồm chỉ có hai tính năng bảo mật
Authorization chỉ là một phần của Authentication.
o Mật mã của pasword (MD5) o Xác thực của gói tin (MD5 fingerpriting)
@Email: fit@ispace.edu.vn
87
Cấu Hình AAA Trên Cisco Router
AAA protocols: RADIUS và TACASC+
TACACS+ Authentication:
@Email: fit@ispace.edu.vn
88
Cấu Hình AAA Trên Cisco Router
AAA protocols: RADIUS và TACASC+
TACACS+ Network Authorization:
@Email: fit@ispace.edu.vn
89
Cấu Hình AAA Trên Cisco Router
AAA protocols: RADIUS và TACASC+
TACACS+ Command Authorization:
@Email: fit@ispace.edu.vn
90
Cấu Hình AAA Trên Cisco Router
AAA protocols: RADIUS và TACASC+
TACACS+ Attributes và Features:
TACACS+ là giao thức linh hoạt hơn nhiều so với giao thức RADIUS. TACACS+ server cho phép giao thức TACACS+ sử dụng các hộp thoại ảo để thu thập đủ thông tin cho đến khi người dùng được chứng thực. TACACS+ messages chứa AV-pairs, ADDR, CMD, Interface- config, Priv-Lvl, Route… TACACS+ sử dụng TCP port 49 TACACS+ thiết lập một phiên làm việc TCP dành riêng cho mỗi hoạt động AAA. Cisco Secure ACS có thể sử dụng một phiên liên tục TCP cho tất cả các hoạt động. Giao thức bảo mật bao gồm chứng thực và mã hóa của tất cả các datagrams TACACS+
@Email: fit@ispace.edu.vn
91
Cấu Hình AAA Trên Cisco Router
AAA protocols: RADIUS và TACASC+
Cấu hình AAA Servers:
Các bước trong cấu hình Network Access Server (NAS):
o Tại chế độ global configuration ta enable AAA để sử dụng tất cả các thành phần AAA. Bước này là một điều kiện tiên quyết cho tất cả các lệnh AAA khác.
o Chỉ định Cisco Secure ACS sẽ cung cấp các dịch vụ AAA cho
network access server.
o Cấu hình khoá, mật mã sẽ được sử dụng để mã hóa việc
chuyển dữ liệu giữa các NAS và Cisco Secure ACS.
@Email: fit@ispace.edu.vn
92
Câu hỏi bài tập
Có các nguy cơ tấn công của hệ thống mạng nào? Có mấy bước để hack một hệ thống mạng? Nếu các bước để hack một hệ thống mạng. Bạn hãy liệt kê các loại tấn công vào hệ thống mạng. Những cấu hình nào có thể làm giảm nguy cơ bị tấn công mạng trên Cisco Router. Thực hiện cấu hình bảo mật cho tính năng management và reporting trên Cisco Routers.
@Email: fit@ispace.edu.vn
93
TÓM LƯỢC BÀI HỌC
Tiến hành khảo sát, dò tìm lỗ hổng trong hệ thống mạng để khắc phục, giảm nguy cơ hê thống mạng bị tấn công. Các lỗ hổng bảo mật có thể ở các giao thức thuộc tính năng Management và Reporting Cấu hình bảo mật các tính năng Management và Reporting. Cấu hình chứng thực AAA để tăng cường bảo mật cho hệ thống giảm rủi ro và nguy cơ tấn công do truy cập trái phép. Kết luận: Bài học này rất hay giúp ta hình dung tổng quan về hệ thống an ninh. Ứng dụng bài học vào thực tiễn xây dựng cơ chế tăng cường bảo mật cho thiết bị ở DN.
@Email: fit@ispace.edu.vn
94
@Email: fit@ispace.edu.vn
95
