Latest posts for the topic "Tăng cường bảo mật cho mạng IP"

Tăng cường bảo mật cho mạng IP

phuchn71 — GMT

Tác giả: (Someone) HVA-Translator group??? Tăng cường bảo mật cho mạng IP Tăng cường bảo mật cho mạng IP Tìm hiểu cách tiếp cận của Cisco với vấn đề bảo mật mạng Điều khiển truy cập tới Cisco Routers Truy cập Console Password cho chế độ nonprivileged ( bình thường ) Password cho chế độ privileged ( đặc quyền ) Giới hạn thời gian phiên làm việc Mã hóa password Truy cập Telnet Password cho chế độ nonprivileged Password cho chế độ privileged Hạn chế truy cập Telnet với những địa chỉ IP cụ thể Hạn chê truy cập Telnet với những sản phẩm của Cisco thông qua các cổng TCP Terminal Access Controller Access Control System (TACACS) Chế độ nonprivileged Chế độ privileged Simple Network Management Protocol ( SNMP) Chế độ nonprivileged Chế độ privileged Thiết lập kiến trúc cho một firewall Điều khiển lưu thông trong mạng Cấu hình cho một Firewall Router Lập danh sách truy cập Áp dụng danh sách truy cập với các interface Cấu hình cho một Firewall Communication Server Lập danh sách truy cập Áp dụng danh sách truy cập với các interface Sử dụng banner tạo các thông báo Bảo vệ những dịch vụ ngoài chuẩn khác Tổng kết Danh sách tài liệu nên đọc

Router Cisco config

phuchn71 — GMT

Tăng cường Bảo mật cho mạng IP Bảo mật mạng là một vấn đề rất rộng, có thể được xem xét ở mức dữ liệu (nơi mà những vấn đề về trộm gói tin và mã hóa dữ liệu có thể xảy ra), ở mức giao thức, và ở mức ứng dụng. Ngày càng có nhiều người kết nối Internet và các công ty ngày càng mở rộng mạng, vấn đề bảo mật cho mạng nội bộ trở nên khó khăn hơn. Công ty phải xác định khu vực nào của mạng nội bộ cần bảo vệ, tìm cách hạn chế người dùng truy cập tới những khu vực đó, xác định loại dịch vụ mạng nào cần sàng lọc để ngăn chặn những lỗ hổng bảo mật. Cisco Systems cung cấp rất nhiều tính năng ở tầng giao thức (protocol hay network layer) để tăng cường bảo mật cho mạng IP. Những tính năng này bao gồm điều khiển hạn chế truy cập tới routers và servers bằng console port, Telnet, Simple Network Management Protocol (SNMP), Terminal Access Control System (TACACS), thẻ chứa mã người dùng và danh sách truy cập Việc thiết lập kiến trúc của một firewal cũng sẽ được nói tới. Bài viết này chỉ nói đến những vấn đề bảo mật ở mức network-layer, nhưng nếu bỏ qua những vấn đề bảo mật ở mức host-level cũng sẽ rất nguy hiểm. Về những biện pháp bảo mật ở host-level bạn hãy xem hướng dẫn về các ứng dụng của bạn, và danh sách liệt kê ở cuối bài viết này. Tìm hiểu cách tiếp cận của Cisco với vấn đề bảo mật mạng Khi người ta nói tới bảo mật, họ muốn chắc chắn rằng người dùng chỉ thực hiện được những việc được cho phép, chỉ nhận được những thông tin được cho phép, và không thể gây ra hư hại với dữ liệu, ứng dụng hay hệ điều hành của hệ thống Từ bảo mật còn bao hàm nghĩa bảo vệ khỏi những tấn công ác ý từ bên ngoài. Bảo mật cũng liên quan đến điều khiển hiệu ứng của các lỗi và sự cố thiết bị. Những gì có thể bảo vệ chống lại những tấn công được tính toán kỹ lưỡng thì cũng ngăn chặn được những rủi ro ngẫu nhiên. Bài viết này cung cấp những việc mà bạn có thể làm để tăng cường bảo mật cho mạng của bạn. Trước khi đi vào chi tiết, sẽ rất có ích nếu bạn hiểu những khái niệm cơ bản không thể thiếu với bất cứ hệ thống nào (*) Biết rõ kẻ thù Ở đây muốn nói tới những kẻ tấn công. Hãy tìm hiểu xem ai muốn vượt qua các biện pháp bảo mật của bạn, xác định động lực thúc đẩy họ. Xác định họ muốn làm gì và những hư hại họ có thể gây ra cho hệ thống của bạn. Các biện pháp bảo mật không thể ngăn chặn tuyệt đối các hành động không được phép, mà chỉ khiến việc đó trở nên khó khăn hơn. Mục tiêu là khiến sự bảo mật của mạng vượt qua khả năng hay động lực thúc đẩy kẻ tấn công. (*) Tính toán chi phí Các biện pháp bảo mật hầu hết đều làm giảm đi sụ tiện lợi. Bảo mật có thể khiến công việc đình trệ và tạo thêm chi phí đào tạo và quản trị. Nó có thể đòi hỏi nhiều tài nguyên quan trọng cũng như những phần cứng chuyên dụng. Khi thiết kế các biện pháp bảo mật, bạn cần hiểu được chi phí của chúng, so sánh với lợi ích có thể có. Để làm được như vậy bạn phải hiểu chi phí cho bản thân các biện pháp và chi phí cho những lỗ hổng bảo mật có thể có. (*) Những giả định của bạn Mỗi hệ thống bảo mật đều có những giả định của nó. Ví dụ, bạn có thể giả sử rằng kẻ tấn công biết ít hơn bạn, rằng họ dùng những phần mềm tiêu chuẩn. Hãy kiểm tra và đánh giá cẩn thận các giả định của bạn. Mỗi giả định chưa được xem xét sẽ là một lỗ hổng bảo mật tiềm ẩn. (*) Điều khiển các thông tin bí mật Hầu hết bảo mật là dựa trên các thông tin bí mật, chẳng hạn như password và các khóa mã hóa. Điều quan trọng nhất là hiểu được khu vực bạn cần bảo vệ. Những kiến thức nào sẽ giúp ai đó vượt qua hệ thống của bạn ? Bạn phải bảo vệ cẩn thận với kiến thức đó. Càng nhiều thông tin bí mật, càng khăn cho việc bảo vệ tất cả chúng. Hệ thống bảo mật chỉ nên thiết kế cho một giới hạn nhất định thông tin cần giữ. (*) Hãy nhớ đến yếu tố con người Rất nhiều phương pháp bảo mật thất bại vì những người thiết kế không để ý đến việc người dùng nghĩ gì. Ví dụ, do chúng rất khó nhớ, password tạo 1 cách tự động thường thấy được ghi ở mặt dưới bàn phím.Nếu các biện pháp bảo mật gây trở ngại cho việc sử dụng thiết yếu của hệ thống, những biện pháp đó sẽ bị bỏ qua. Để đạt được ý muốn, bạn phải chắc chắn rằng người dùng có thể hoàn thành công việc của họ, bạn phải làm cho họ hiểu được và chấp nhận sự cần thiết của bảo mật. Người dùng nên có một sự hợp tác với hệ thống bảo mật, ít nhất ở mức độ nào đó.Password, chẳng hạn, có thể nhận được bằng cách đơn giản gọi điên đến người dùng, giả làm người quản trị. Nếu người dùng của bạn hiểu những vấn đề bảo mật và nếu họ hiểu lý do những biện pháp của bạn, họ sẽ không khiến cho kẻ xâm nhập cảm thấy dễ dàng. Ít nhất, người dùng nên được hướng dẫn không bao giờ đưa password hay thông tin bí mật qua đường điện thoại hay email không được bảo vệ, cảnh giác với những câu hỏi qua điện thoại. Một vài công ty đã lập ra những chương trình đào tạo về bảo mật thông thường cho nhân viên, nhân viên không được truy cập Internet khi chưa hoàn thành chương trình này. (*) Biết điểm yếu của bạn Mọi hệ thống đều có điểm yếu. Bạn cần hiểu các điểm yếu trong hệ thống của bạn và cách khai thác những điểm yếu đó. Bạn cũng nên biết khu vực có nguy cơ cao nhất và ngăn chặn sự truy cập đến đó. Hiểu được những điểm yếu là bước đầu tiên đưa chúng thành những khu vực an toàn. (*) Giới hạn phạm vi truy cập Bạn nên đặt những giới hạn thích hợp trong hệ thống sao cho nếu kẻ xâm nhập có thể truy cập đến một phần hệ thống, họ không thể tự động có quyền truy cập đến phần còn lại của hệ thống. (*) Hiểu môi trường làm việc của bạn Hiểu hệ thông của bạn hoạt động ra sao, biết được cái gì được mong đợi và cái gì không, quen với việc các thiết bị thường được sử dụng thế nào, sẽ giúp bạn phát hiện những vấn đề bảo mật. Chú ý đến những sự kiện không bình thường giúp bạn phát hiện kẻ xâm nhập trước khi chúng phá hoại hệ thống. Những công cụ giám sát có thể giúp bạn phát hiện những sự kiện không bình thường đó. (*) Giới hạn sự tin tưởng Bạn nên biết chính xác bạn phần mềm nào bạn tin tưởng, và hệ thống bảo mật của bạn không nên dựa trên giả định rằng tất cả các phần mềm không có lỗi (*) Nhớ đến physical security Truy cập một cách trực tiếp vào 1 máy tính ( hay một router ), một người kinh nghiệm có thể chiếm toàn bộ điều khiển trên đó.Sẽ chẳng có ý nghĩa gì nếu cài đặt những phần mềm bảo mật khi quyền sử dụng trực tiếp phần cứng không được quan tâm. (*) Bảo mật ở khắp nơi Hầu hết những thay đổi trong hệ thống của bạn có thể có ảnh hưởng đến bảo mật. Điều này đặc biệt đúng khi một dịch vụ mới được tạo ra. Những nhà quản trị, lập trình, và người dùng phải luôn để ý đến vấn đề bảo mật trong mỗi thay đổi họ tạo ra. Hiểu được khía cạnh bảo mật của mỗi thay đổi đòi hỏi thực hành, khám phá mỗi dịch vụ có thể được sử dụng theo những cách nào. Điều khiển truy cập tới Cisco Routers Việc điều khiển truy cập tới Cisco routers của bạn là rất quan trọng. Bạn có thể điều khiển truy cập tới routers sử dụng các phương pháp sau : - Truy cập console - Truy cập telnet - Truy cập bằng Simple Network Management Protocol (SNMP) - Điều khiển truy cập tới servers có những file cấu hình hệ thống Bạn có thể bảo vệ 3 phương pháp đầu tiên bằng cách sử dụng tính năng của phần mềm router. Với mỗi phương pháp, bạn có thể cho phép privileged access (truy cập với đặc quyền ) hay nonprivileged access (truy cập thông thường) đối với mỗi người dùng (hay nhóm người dùng). Nonprivileged access cho phép người dùng theo dõi router nhưng không được thay đổi router. Privileged access cho người dùng toàn quyền thay đổi cấu hìnhcho router. Với truy cập qua console port và Telnet, bạn có thể thiết lập 2 loại password. Loại thứ nhất là password đăng nhập, cho phép nonprivileged access. Sau khi truy cập vào router, người dùng có thể chuyển sang chế độ privileged bằng cách nhập password phù hợp. Ở chế độ privileged người dùng có toàn quyền thay đổi thiết lập Truy cập SNMP cho phép bạn đặt những chuỗi SNMP khác nhau cho cả nonprivileged và privileged access. Nonprivileged access cho phép người dùng ở 1 host gửi đến router những thông điệp SNMP get-request và SNMP get-next-request. Những thông điệp này được dùng để lấy thông tin từ router. Privileged access cho phép người dùng gửi những thông điệp SNMP set-request để thay đổi cấu hìnhvà trạng thái hoạt động của router. Truy cập Console Console là thiết bị đầu cuối gắn trực tiếp với router qua cổng console. Việc bảo mật được áp dụng với console bằng cách buộc người dùng xác nhận bản thân qua password. Theo mặc định, không có password đi kèm với console access. Password cho chế độ nonprivileged Bạn thiết lập password cho chế độ nonprivileged bằng cách đánh dòng lệnh sau vào file cấu hìnhcủa router. Password phân biệt chữ hoa, chữ thường. Ở ví dụ, password là "1forAll" line console 0 login password 1forAll Khi bạn đăng nhập vào router, sẽ nhận được thông báo login như sau User Access Verification Password: Bạn phải nhập password "1forAll" để có quyền nonprivileged access đến router. Router sẽ trả lời như sau : router>Dấu nhắc > báo hiệu đây là chế độ nonprivileged. Bây giờ bạn có thể dùng rất nhiều lệnh để xem thông tin về hoạt động của router. Không bao giờ dùng "cisco", hay những biến thể khác như "pancho" cho password của Cisco router. Đó sẽ là những password đầu tiên kẻ xâm nhập thử khi họ nhìn thấy dấu đăng nhập Cisco. Password cho chế độ privileged Thiết lập password cho chế độ privileged bằng cách đưa dòng lệnh sau vào file cấu hìnhcủa router. Trong ví dụ này password là "san-tran". enable-password san-fran Để truy cập chế độ privileged, đánh lệnh sau: router> enable Password: Gõ password "san-fran" để được privileged access tới router. Router trả lời như sau : router# Dấu nhắc # báo hiệu chế độ privileged. Ở chế độ privileged, bạn có thể đánh tất cả các lệnh để xem thông tin và cấu hìnhcho router. Giới hạn thời gian phiên làm việc Đặt password đăng nhập và password enable có thể chưa đủ an toàn trong 1 số trường hợp. Giới hạn thời gian cho một console không được điều khiển ( mặc định 10 phút ) cung cấp thêm một biện pháp an toàn.Bạn có thể thay đổi giới hạn này bằng lệnh exec-timeout mm ss trong đó mm là số phút, ss là số giây. Lệnh sau thay đổi giới hạn thành 1 phut 30 giây line console 0 exec-timeout 1 30 Mã hóa password Tất cả password trên router đều có thể xem được bằng lệnh xem cấu hìnhcủa router trong chế độ privileged. Nếu bạn có quyền truy cập ở chế độ privileged , bạn có thể xem tất cả password ở dạng cleartext, theo mặc định. Có một cách để giấu cleartext password. Lệnh password-encryption lưu các password dưới dạng mã hóa.Tuy nhiên, nếu bạn quên password, để lấy lại quyền truy cập, bạn phải có quyền truy cập trực tiếp (physical access) đối với router. Truy cập bằng Telnet Bạn có thể truy cập theo chế độ nonprivileged hoặc privileged tới router thông qua Telnet. Giống như với Console, sự bảo mật với Telnet có được khi người dùng xác nhận bản thân bằng password. Thực tế, rất nhiều khái niệm tương tự mô tả ở phần "Console Access" ở trên cũng áp dụng cho truy cập Telnet. Bạn phải nhập password để chuyển từ chế độ nonprivileged sang privileged, có thể mã hóa password, đặt giới hạn thời gian cho phiên làm việc. Password cho chế độ nonprivileged Mỗi cổng Telnet của router được coi như một thiệt bị đầu cuối "ảo" ( virtual terminal ). Có tối đa 5 cổng dành cho virtual terminal (VTY) trên router , cho phép 5 phiên làm việc Telnet đồng thời. Trên router, các này đánh số từ 0 đến 4. Bạn có thể đặt nonprivileged password cho các cổng với lệnh cấu hình sau.Trong ví dụ này, cổng virtual terminal từ 0 đến 4 sử dụng password "marin" : line vty 0 4 login password marin Khi người dùng telnet đến IP của router, router trả lời tương tự như sau : % telnet router Trying ... Connected to router Escape character is '^]' User Access Verification Password: Nếu người dùng nhập đúng nonprivileged password, dấu nhắc sau sẽ xuất hiện: router> Password cho chế độ privileged Bây giờ người dùng đã có nonprivileged access và có thể chuyển sang chế độ privileged bằng cách gõ lệnh enable giống như đối với Console Access. Hạn chế truy cập Telnet đối với những địa chỉ IP cụ thể Nếu bạn muốn chỉ những IP nhất định có thể dùng Telnet truy cập router, bạn phải dùng lệnh access-class nn in để xác định danh sách truy cập (từ 1 đến 99). Lệnh cấu hình sau cho phép truy cập Telnet đến router từ các host trong mạng 192.85.55.0: access-list 12 permit 192.85.55.0 0.0.0.255 line vty 0 4 access-class 12 in Hạn chế truy cập Telnet đối với các sản phẩm Cisco thông qua cổng TCP Có thể truy cập tới 1 sản phẩm của Cisco thông qua Telnet đến những cổng TCP nhất định. Kiểu truy cập Telnet thay đổi tùy theo những phiên bản phần mềm Cisco: - Software Release 9.1 (11.4) và cũ hơn, 9.21 (3.1) và cũ hơn - Software Release 9.1 (11.5) , 9.21 (3.2), 10.0 và mới hơn Với Software Release 9.1 (11.4) và cũ hơn, 9.21 (3.1) và cũ hơn, có thể , theo mặc định, thiết lập kết nối TCP tới sản phẩm của Cisco thông qua các cổng TCP trong Bảng 3-1 Bảng 3-1 : Cổng TCP truy cập Telnet tới các sản phẩm Cisco ( các phiên bản cũ) Cổng TCP Phương thức truy cập 7 Echo 9 Discard 23 Telnet ( tới cổng VTY theo kiểu quay vòng) 79 Finger 1993 SNMP thông qua TCP 2001-2999 Telnet tới cổng hỗ trợ (auxiliary - AUX ), cổng terminal (TTY), và cổng virtual terminal (VTY) 3001-3999 Telnet tới những cổng quay vòng ( chỉ có thể khi đã được cấu hình với lệnh rotary ) 4001-4999 Telnet ( stream mode ) , mirror của các cổng trong khoảng 2000 5001-5999 Telnet ( stream mode), mirror của khoảng 3000 ( chỉ khi đã cấu hình rotary) 6001-6999 Telnet (binary mode), mirror của khoảng 2000 7001-7999 Telnet (binary mode), mirror của khoảng 300 ( chỉ khi đã cấu hình rotary) 8001-8999 Xremote ( chỉ với communication servers) 9001-9999 Reverse Xremote ( chỉ với communication servers) 10001-19999 Reverse Xremote rotary (chỉ với communication servers, khi đã cấu hình rotary trước) Chú ý : Vì Cisco routers không có đường TTY, thiết lập truy cập ( trên communicaiton servers) tới các cổng 2002,2003,2004 và lớn hơn có thể cung cấp truy cập tới VTY (trên routers) tới các cổng tương ứng. Để cung cấp truy cập tới các cổng TTY, bạn có thể tạo danh sách truy cập trong đó hạn chế truy cập đối với VTYs. Khi thiết lập những nhóm quay vòng, luôn nhớ rằng có thể truy cập đến bất cứ cổng nào trong nhóm (trừ khi có danh sách giới hạn truy cập). Sau đây là ví dụ minh họa một danh sách truy cập từ chối truy cập đến cổng hỗ trợ (AUX) và chỉ cho phép truy cập telnet từ địa chỉ 192.32.6.7 : access-class 51 deny 0.0.0.0 255.255.255.255 access-class 52 permit 192.32.6.7 line aux 0 access-class 51 in line vty 0 4 Chú ý : nếu lệnh ip alias được cho phép trên sản phẩm Cisco, mọi kết nối TCP tới bất cứ cổng nào cũng được coi là hợp lệ. Có thể bạn sẽ muốn vô hiệu hóa lệnh này Có thể bạn muốn tạo danh sách truy cập hạn chế truy cập tới sản phẩm Cisco qua cổng TCP. đến router. Với Software Release 9.1 (11.5), 9.21 (3.2), và bất cứ phiên bản nào của Software Release 10, những cải tiến sau đã được thực hiện : - Truy cập trực tiếp đến virtual terminal lines (VTYs) qua cổng trong các khoảng 2000,4000 và 6000 đã được vô hiệu hóa theo mặc định - Kết nối tới cổng echo và discard (7 và 9) có thể được vô hiệu hóa với lệnh no service tcp-small-servers - Tất cả sản phẩm Cisco cho phép kết nối tới IP alias chỉ với cổng 23 Với những phiên bản sau này, Cisco router chấp nhận kết nối TCP qua các cổng mặc định trong Bảng 3-2 Bảng 3-2 : Cổng TCP cho truy cập Telnet tới các sản phẩm Cisco ( những phiên bản sau ) Cổng TCP Phương thức truy cập 7 Echo 9 Discard 23 Telnet 79 Finger 1993 Cổng hỗ trợ (AUX) 4001 Cổng AUX (stream) 6001 Cổng AUX (binary) Truy cập qua cổng 23 có thể bị hạn chế bằng cách tạo danh sách truy cập và gán nó cho một đường virtual terminal. Truy cập qua cổng 79 có thể vô hiệu hóa bằng lệnh no service finger. Truy cập qua cổng 1993 có thể được kiểm soát bằng danh sách truy cập SNMP. Truy cập qua cổng 2001,4001 và 6001 có thể được kiểm soát bằng 1 danh sách truy cập đặt ở 1 cổng hỗ trợ (AUX) Terminal Access Conroller Access Control System ( TACACS) Password chế độ nonprivileged và privileged được áp dụng cho mỗi người dùng truy cập router từ console port hay Telnet. Ngoài ra, Terminal Access Controller Access Control System (TACACS) cung cấp 1 cách xác nhận mỗi người dùng dựa trên từng cơ sở riêng biệt trước khi họ có thể có quyền truy cập vào router hay communication server. TACACS được xây dựng ở Bộ quốc phòng mỹ và được mô tả trong Request For Comments (RFC) 1492. TACACS được Cisco sử dụng để cho phép quản lý tốt hơn, xem ai có quyền truy cập tới router trong chế độ nonprivileged và privileged . Với TACACS enabled, router nhắc người dùng nhập username và password. Sau đó, router gọi TACACS server để xác định password có đúng không. Một TACACS server thường chạy trên một trạm làm việc UNIX. Domain TACACS servers có thể nhận được thông qua anonymous ftp đến ftp.cisco.com trong thư mục /pub. Sử dụng /pub/README để tim tên file. Một server hỗ trợ TACACS đầy đủ có kèm trong CiscoWorks Version 3. Lệnh cấu hình tacacs-server host xác định UNIX host chạy một TACACS server sẽ xác nhận lại yêu cầu gửi từ routers. Bạn có thể đánh lệnh tacacs-server host nhiều lần để chỉ ra nhiều TACACS server cho một router. Nonprivileged Access Nếu tất cả server đều không sẵn sàng, bạn có thể bị khóa đối với router. Lúc này, lệnh cấu hình tacacs-server last resort [password | succeed] cho phép bạn xác định xem có cho người dùng đăng nhập không cần password ( từ khóa succeed) hay buộc người dùng cung cấp password chuẩn ( từ khóa password) Các lệnh sau chỉ ra một TACACS server và cho phép đăng nhập nếu server gặp sự cố: tacacs-server host 129.140.1.1 tacacs-server last-resort succeed Buộc người dùng truy cập qua Telnet xác nhận bản thân qua lệnh cấu hìnhsau : line vty 0 4 login tacacs Privileged Access (truy cập với đặc quyền) Phương pháp kiểm tra password này cũng có thể áp dụng với chế độ privileged dùng lệnh enable use-tacacs. Nếu tất cả server đều không sẵn sàng tiếp nhận, lệnh cấu hìnhenable last-resort [succeed | password] cho biết có để người dùng đăng nhập không cần password hay không. Nếu bạn dùng lệnh enable use-tacacs, bạn cũng phải dùng lệnh tacacs-server authenticate enable. Lệnh tacacs-server extended cho phép thiết bị Cisco chạy chế độ TACACS mở rộng. Hệ thống UNIX phải chạy extended TACACS daemon, có thể nhận được bằng anonymous ftp tới ftp.cisco.com, tên file là xtacacsd.shar. Daemon này cho phép communication servers và những thiết bị khác giao tiếp với hệ thống UNIX và cập nhật thông tin mà thiết bị đó gửi. Lệnh username password [0 | 7] cho phép bạn lưu một danh sách user và password trong thiết bị Cisco thay vì trên một TACACS server. Số 0 lưu password dạng cleartext trong file cấu hình. Số 7 lưu ở dạng mã hóa. Nếu bạn không có một TACACS server và vẫn muốn xác định từng user bạn có thể dùng những lệnh cấu hìnhsau : username steve password 7 steve-pass username allan password 7 allan-pass Token Card Access ( truy cập bằng thẻ ) Sử dụng TACACS cho routers và communication server, có thể hỗ trợ các loại key devices , hay token card. Mã của TACACS server có thể thay đổi để hỗ trợ việc này mà không cần thay đổi cấu hình của router hay communication server. Sự thay đổi này không thể trực tiếp từ Cisco Hệ thống token card dựa trên một tấm thẻ bạn phải có để xác nhận bản thân. Bằng cách móc nối ( hook ) với mã của TACACS server, các công ty thứ 3 ( third-party) có thể cung cấp những dịch vụ này. Một trong những sản phẩm như vậy là Enigma Logic SafeWord, ngoài ra còn có Security Dynamics SmartCard.

Tăng cường bảo mật cho mạng IP (Phần 2)

phuchn71 — GMT

Simple Network Management Protocol (SNMP) Access SNMP là một phương pháp khác dùng truy cập router. Với SNMP, bạn có thể thu thập thông tin hay cấu hình routers. Thu thập thông tin với thông điệp get-request và get-next-request, cấu hình routers với thông điệp set-request. Mỗi thông điệp SNMP có một community string ( chuỗi công cộng ! ), là 1 password ở dạng cleartext được gửi trong mỗi gói tin giữa trung tâm điều khiển( management station ) và router, nơi có chứa một SNMP agent. Chuỗi SNMP được dùng để xác nhận các thông tin gửi đi giữa manager và agent. Chỉ khi manager gửi thông điệp với community string đúng thì agent mới trả lời. SNMP agent trên router cho phép bạn thiết lập những community string cho truy cập ở chế độ nonprivileged và privileged. Bạn có thể thiết lập community strings trên router thông qua lệnh cấu hình snmp-server community [RO | RW ] [access-list]. Tuy nhiên, SNMP community strings được gửi ở dạng cleartext. Do đó, bất cứ ai có khả năng lấy đựợc 1 gói tin nào đó có thể sẽ tìm ra chuỗi này, có thể giả mạo người dùng sửa đổi routers qua SNMP. Vì vậy sử dụng lệnh no snmp-server trap-authentication có thể ngăn chặn những kẻ xâm nhập bắt các thông điệp (gửi giữa SNMP managers và agents) để tìm community strings. Người ta đã cải tiến bảo mật của SNMP version 2 (SNMPv2) , được mô tả trong RFC 1446. SNMPv2 dùng thuật toán MD5 để xác nhận giao tiếp giữa server và agent. MD5 xác nhận tính tương thích của dữ liệu, nguồn gốc cũng như thời gian. Hơn nữa SNMPv2 có thể dùng chuẩn mã hóa dữ liệu DES để mã hóa thông tin. Chế độ nonprivileged Dùng từ khóa RO của lệnh snmp-server community để cung cấp truy cập nonprivileged tới routers qua SNMP. Lệnh cấu hình sau làm agent trong router chỉ cho phép các thông điệp SNMP get-request và get-next-request, được gửi đi với community string "public" : snmp-server community pubic RO 1 Bạn có thể chỉ rõ danh sách địa chỉ IP được phép gửi thông điệp tới router bằng tùy chọn access-list với lệnh snmp-server community. Ở ví dụ sau, chỉ hosts 1.1.1.1 và 2.2.2.2 được phép truy cập nonprivileged tới router qua SNMP: access-list 1 permit 1.1.1.1 access-list 1 permit 2.2.2.2 snmp-server community public RO 1 Chế độ privileged Sử dụng từ khóa RW của lệnh snmp-server community để cung cấp truy cập privileged tới router qua SNMP. Lệnh sau khiến agent trong router chỉ cho phép thông điệp SNMP set-request, được gửi với community string là "private" : snmp-server community private RW 1 Bạn có thể chỉ rõ danh sách IP được phép gửi thông điệp tới router bằng tùy chọn access-list của lệnh snmp-server community. Ở ví dụ sau , chỉ có hosts 5.5.5.5 và 6.6.6.6 được phép truy cập privileged tới router qua SNMP : access-list 1 permit 5.5.5.5 access-list 1 permit 6.6.6.6 snmp-server community private RW 1 Điều khiển việc truy cập đến các Servers chứa các file cấu hình Nếu 1 router thường xuyên download file cấu hình từ một server Trivial File Transfer Protocol (TFTP) hay Maintenance Operations Protocol (MOP), bất cứ ai có thể truy cập server này cũng có thể thay đổi file cấu hình của router trên server đó. Communication servers có thể đươc cấu hình để chấp nhận một kết nối LAT ( Local Area Transport).Protocol translator và các translating router có thể chấp nhận kết nối X.29. Sự khác biệt về kiểu truy cập này cần được chú ý khi tạo một kiến trúc firewall. Thiết lập kiến trúc firewall của bạn Một kiến trúc firewall là 1 mô hình tồn tại giữa bạn và thế giới bên ngoài nhằm bảo vệ bạn khỏi những kẻ xâm nhập. Trong phần lớn tình huống, những kẻ xâm nhập được đại diện bởi mạng Internet và hàng ngàn mạng kết nối với nó. Điển hình như một firewall dựa trên nhiều bộ máy khác nhau trong hình 3-1 Hình 3-1 : Trong kiến trúc này, một router được nối với Internet (exterior router), buộc mỗi giao tiếp mạng đi vào application gateway (cổng ứng dụng ). Một router được nối với mạng nội bộ (interior router) chỉ tiếp nhận những gói tin từ cổng ứng dụng. Cổng ứng dụng thiết lập policies ( chính sách ) đối với từng người dùng và từng ứng dụng. Hệ quả là nó điều khiển được sử phân phát của các dịch vụ cả đến và đi từ mạng nội bộ. Ví dụ, chỉ một số người dùng được phép giao tiếp với Internet, hay chỉ một số ứng dụng được phép thiết lập kết nối với bên ngoài. Nếu chỉ 1 ứng dụng được phép gửi thư, chỉ những gói thư được đi qua router. Điều khiển lưu thông trong mạng Phần này sử dụng tình huống minh họa trong hình 3-2 để mô tả việc sử dụng danh sách truy cập ngăn chặn lưu thông dữ liệu đến và đi từ một firewall router và một firewall communication server Hình 3-2 : Trong bài viết này firewall router cho phép kết nối "đến" từ 1 hay nhiều server hay host. Một router được thiết kế hoạt động như 1 firewall là điều ta mong muốn, vì nó định rõ mục đích của router là external gateway và tránh làm phiền các router khác với nhiệm vụ này. Trong tình huống mạng nội bộ cần được cô lập, firewall router sẽ cung cấp điểm cô lập mà không ảnh hưởng đến phần còn lại của mạng. Cấu hình một Firewall Router Trong cấu hình của firewall router dưới đây, subnet 13 của Class B là firewall subnet, trong khi đó subnet 14 cung cấp kết nối Internet qua một nhà cung cấp dịch vụ : interface ethernet 0 ip address B.B.13.1 255.255.255.0 interface serial 0 ip address B.B.14.1 255.255.255.0 router igrp network B.B.0.0 Cấu hình đơn giản này không có sự bảo mật và cho phép tất cả mọi lưu thông từ thế giới bên ngoài đến mạng. Để có sự bảo mật với firewall router, sử dụng danh sách truy cập và nhóm truy cập như mô tả dưới đây. Xác định danh sách truy cập Danh sách truy cập xác định những lưu thông thực tế sẽ được cho phép hay từ chối, trong khi đó 1 nhóm truy cập áp dụng 1 danh sách truy cập nhất định cho 1 interface. Danh sách truy cập có thể dùng để từ chối kết nối ẩn chứa mối nguy hại về bảo mật và cho phép tất cả các kết nối khác, hoặc cho phép những kết nối chấp nhận được và từ chối tất cả kết nối còn lại. Đối với một firewall, cách thứ 2 là cách an toàn hơn. Trong bài viết này, email và news đến được cho phép với 1 số hosts, nhưng FTP, Telnet và rlogin chỉ cho phép những host nằm trong firewall subnet.Khoảng IP mở rộng (từ 100 đến 199) và các số cổng TCP hay UDP được dùng để lọc lưu thông .Khi một kết nối sắp được hình thành cho email,Telnet, FTP,... nó sẽ cố mở một dịch vụ ở một cổng xác định. Do đó bạn có thể lọc những kết nối đó bằng cách từ chối các gói tin tìm cách sử dụng dịch vụ đó. Về danh sách của những dịch vụ và cổng thường gặp, xem phần "Lọc các dịch vụ TCP và UDP" ở phần sau. Một danh sách truy cập được gọi sau quyết định của router nhưng trước khi gói tin được gửi đến 1 interface. Chỗ tốt nhất để xác định danh sách truy cập là tạo 1 file chứa các lệnh access-list, đặt file đó trong thư mục TFTP mặc định và nạp file đó vào router. Server chứa file đó fải chạy TFTP daemon và có kết nối TCP đến firewall router. Trước khi nạp, mọi xác định trước đó của danh sách truy cập này được gỡ bỏ bằng lệnh no access-list 101 Lệnh access-list có thể được dùng để cho phép các gói tin trả về từ những kết nối được thiết lập trước đó. Với từ khóa established, sẽ có sự phù hợp nếu gói TCP chứa acknowledgement (ACK) hay reset(RST) bits set. access-list 101 permit tcp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 established Nếu firewall routers nào chia sẻ mạng với 1 nhà cung cấp bên ngoài, bạn sẽ muốn cho phép truy cập từ các host đó tới mạng của bạn. Trong bài viết này, nhà cung cấp bên ngoài có một cổng nối tiếp sử dụng firewall router Class B địa chỉ (B.B.14.2) là địa chỉ nguồn như sau : access-list 101 permit ip B.B.14.2 0.0.0.0 0.0.0.0 255.255.255.255 Ví dụ sau minh họa cách từ chối lưu thông từ 1 người dùng cố gắng che giấu một địa chỉ nội bộ của bạn với bên ngoài ( không dùng danh sách truy cập "đầu vào" 9.21 ) : access-list 101 deny ip B.B.0.0 0.0.255.255 0.0.0.0 255.255.255.255 Lệnh sau cho phép Domain Name System (DNS) và Network Time Protocol (NTP) gửi yêu cầu và trả lời : access-list 101 permit udp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 eq 53 access-list 101 permit udp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 eq 123 Lệnh sau từ chối cổng Network File Server (NFS) User Datagram Protocol (UDP) : access-list 101 deny udp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 eq 2049 Lệnh sau từ chối OpenWindows ở cổng 2001 và 2002, từ chối X11 ở cổng 6001 và 6002 : access-list 101 deny tcp 0.0.0.0 255.255.255.2550.0.0.0 255.255.255.255 eq 6001 access-list 101 deny tcp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 eq 6002 access-list 101 deny tcp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 eq 2001 access-list 101 deny tcp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 eq 2002 Lệnh sau cho phép Telnet đến communication server (B.B.13.2) : access-list 101 permit tcp 0.0.0.0 255.255.255.255 B.B.13.2 0.0.0.0 eq 23 Lệnh sau cho phép FTP đến host ở subnet 13 : access-list 101 permit tcp 0.0.0.0 255.255.255.255 B.B.13.100 0.0.0.0 eq 21 access-list 101 permit tcp 0.0.0.0 255.255.255.255 B.B.13.100 0.0.0.0 eq 20 Ở những ví dụ sau, mạng B.B.1.0 nằm trong mạng nội bộ.Các lệnh sau cho phép kết nối TCP và UDP tới các cổng lớn hơn 1023 với những host hết sức giới hạn. Nhớ đừng để communication servers bộ dịch giao thức ( protocol translator ) nằm trong danh sách này : access-list 101 permit tcp 0.0.0.0 255.255.255.255 B.B.13.100 0.0.0.0 gt 1023 access-list 101 permit tcp 0.0.0.0 255.255.255.255 B.B.1.100 0.0.0.0 gt 1023 access-list 101 permit tcp 0.0.0.0 255.255.255.255 B.B.1.101 0.0.0.0 gt 1023 access-list 101 permit udp 0.0.0.0 255.255.255.255 B.B.13.100 0.0.0.0 gt 1023 access-list 101 permit udp 0.0.0.0 255.255.255.255 B.B.1.100 0.0.0.0 gt 1023 access-list 101 permit udp 0.0.0.0 255.255.255.255 B.B.1.101 0.0.0.0 gt 1023 Chú ý : chuẩn FTP sử dụng cổng >1023 cho kết nối dữ liệu của nó; do đó, cổng >1023 phải đựợc mở. Chi tiết hơn đọc phần "Cổng File Transfer Protocol (FTP) " ở phía dưới Lệnh sau cho phép DNS truy cập tới DNS server(s) liệt kê bởi Network Information Center (NIC) : access-list 101 permit tcp 0.0.0.0 255.255.255.255 B.B.13.100 0.0.0.0 eq 53 access-list 101 permit tcp 0.0.0.0 255.255.255.255 B.B.1.100 0.0.0.0 eq 53 Lệnh sau cho phép SMPT email theo chiều đến với 1 số máy : access-list 101 permit tcp 0.0.0.0 255.255.255.255 B.B.13.100 0.0.0.0 eq 25 access-list 101 permit tcp 0.0.0.0 255.255.255.255 B.B.1.100 0.0.0.0 eq 25 Lệnh sau cho phép news transfer protocol (NNTP) server của mạng nội bộ nhận kết nối NNTP từ danh sách cho phép : access-list 101 permit tcp 16.1.0.18 0.0.0.1 B.B.1.100 0.0.0.0 eq 119 access-list 101 permit tcp 128.102.18.32 0.0.0.0 B.B.1.100 0.0.0.0 eq 119 Lệnh sau cho phép Internet control message protocole (ICMP) cho thông điệp báo lỗi : access-list 101 permit icmp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 Mỗi danh sách truy cập có ẩn câu lệnh "từ chối tất cả những thứ khác" ở cuối danh sách để chắc chắn các thuộc tính không được đề cập đến sẽ bị từ chối. Cổng File Transfer Protocol (FTP) Hiện nay nhiều site chặn các phiên làm việc TCP từ ngoài vào nhưng cho phép kết nối ra ngoài. Vấn đề ở chỗ chặn kết nối từ ngoài vào sẽ ngăn cản những chương trình FTP client truyền thống, vì những chương trình này dùng lệnh "PORT" cho server biết chỗ để gửi file. Máy khách mở một kết nối "điều khiển" đến server, nhưng server sau đó sẽ mở một kết nối "dữ liệu" ở một cổng nào đó ( >1023) trên máy khách. Rất may , còn có 1 cách khác cho phép máy khác mở một socket "dữ liệu" và cho phép bạn có cả firewall và FTP. Máy khách gửi 1 lệnh PASV đến server, nhận lại một số hiệu cổng cho socket dữ liệu, mở socket dữ liệu trên cổng đó và bắt đầu gửi . Để thực hiện phương pháp này, chương trình FTP client phải hỗ trợ lệnh PASV. Vấn đề duy nhất với phương pháp này là nó không thực hiện được nếu server chặn luôn kết nối bất kỳ từ ngoài vào Mã nguồn cho 1 chương trình FPT hoạt động được với firewall có thể nhận được bằng anonymous FTP tại ftp.cisco.com, file /pub/passive-ftp.tar.Z .Đây là phiên bản BSD 4.3 FTP có sửa chữa để hỗ trợ PASV. Chú ý : Cẩn thận khi cung cấp dịch vụ anonymous FTP. Rất nhiều FTP server có lỗi ở khu vực này. Áp dụng danh sách truy cập với các Interfaces Sau khi danh sách truy cập được nạp vào router và lưu trên NVRAM, phải gán nó cho một interface phù hợp. Trong bài viết này, lưu thông đến từ bên ngoài qua cổng nối tiếp 0 được lọc trước khi được đặt vào subnet 13 (ethernet 0). Do đó lệnh access-group , dùng 1 danh sách truy cập lọc các kết nối đến, phải được gán cho Ethernet 0 như sau : interface ethernet 0 ip access-group 101 Để điều khiển truy cập Internet từ mạng nội bộ, lập một danh sách truy cập và áp dụng nó với gói tin gửi đi trên cổng nối tiếp 0 của router. Để làm được vậy, những gói tin gửi về từ các hosts sử dụng Telnet hay FTP phải được cho phép truy cập đến firewall subnetwork B.B.13.0 Sàng lọc dịch vụ TCP và UDP Vài cổng TCP và UDP thường gặp được liệt kê ở bảng 3-3 Bảng 3-3 : Một số cổng và dịch vụ TCP và UDP thường gặp Dịch vụ Loại cổng Số cổng FTP-Data TCP 20 FTP-Commands TCP 21 Telnet TCP 23 SMTP-Email TCP 25 TACACS UDP 49 DNS TCP và UDP 53 TFTP UDP 69 finger TCP 79 Sun Remote Procedure Call(RPC) UDP 111 Network News Transfer Protocol (NNTP) TCP 119 Network Time Protocol (NTP) TCP và UDP 123 NeWS TCP 144 Simple Management Network Protocol (SNMP) UDP 161 SNMP (traps) UDP 162 Border Gateway Protocol (BGP) TCP 179 rlogin TCP 513 rexec TCP 514 talk TCP và UDP 517 ntalk TCP và UDP 518 Open Windows TCP và UDP 2000 Network File System (NFS) UDP 2049 X11 TCP và UDP 6000 Lời khuyên của CERT Computer Emergency Response Team (CERT) khuyên nên lọc những dịch vụ trong bảng 3-4 Bảng 3-4 : Lời khuyên của CERT với các dịch vụ TCP, UDP và cổng Dịch vụ Loại cổng Số cổng DNS zone transfers TCP 53 TFTP daemon (tftpd) UDP 69 link TCP 87 Sun RPC TCP và UDP 1111 NFS UDP 2049 BSD UNIX các lệnh bắt đầu bằng r- TCP từ 512 đến 514 line printer daemon (lpd) TCP 515 UNIX-to-UNIX copy program daemon (uucpd) TCP 540 Open Windows TCP và UDP 2000 X Windows TCP và UDP 6000+ Phần lớn dịch vụ RPC không có số cổng cố định. Bạn nên tìm những cổng có dịch vụ này và chặn lại. Cisco khuyên nên chặn tất cả cổng UDP trừ DNS nếu có thể. Chú ý : Cisco khuyên bạn nên lọc dịch vụ finger ở cổng 79 để ngăn chặn người ngoài tìm hiểu cấu trúc thư mục của người dùng và tên của host mà người dùng đăng nhập danh sách truy cập "đầu vào" Trong Software Release 9.21, Cisco giới thiệu khả năng gán danh sách truy cập "đầu vào" cho 1 interface. Điều này cho phép người quản trị có thể lọc các gói tin trước khi chúng đi qua router. Trong nhiều trường hợp, danh sách truy cập "đầu vào" và danh sách truy cập "đầu ra" đạt được những tính năng như nhau; tuy nhiên, danh sách truy cập "đầu vào" được ưa thích hơn với 1 số người và có thể dùng để ngăn chặn một vài kiểu che giấu địa chỉ trong khi danh sách truy cập "đầu ra" sẽ không cung cấp đủ độ bảo mật. Hình 3-3 minh họa 1 host đang bị đánh lừa. Ai đó ở bên ngoài đang mạo nhận rằng đến từ mạng 131.108.17.0.Router interface cho rằng gói tin đến từ 131.108.17.0.Để tránh việc này, 1 input access list được áp dụng cho router interface đối với bên ngoài. Nó sẽ chặn bất cứ gói tin nào từ ngoài vào với địa chỉ nguồn trong mạng nội bộ mà router biết (17.0 và 18.0) Hình 3-3 : Nếu bạn có nhiều mạng nội bộ nối với firewall router và router đang dùng bộ lọc "đầu ra", lưu thông giữa các mạng nội bộ sẽ bị ảnh hưởng bởi bộ lọc. Nếu bộ lọc "đầu vào" chỉ được dùng với router interface với bên ngoài, mạng nội bộ sẽ không bị ảnh hưởng đáng kể. Chú ý : Nếu 1 địa chỉ sử dụng source routing, nó có thể gửi và nhận thông qua firewall router. Vì lý do này, bạn nên vô hiệu hóa source routing trên router với lệnh no ip source-route Cấu hình một Firewall Communication Server Trong bài viết này, firewall communication server có 1 modem ở line 2 interface Ethernet 0 ip address B.B.13.2 255.255.255.0 ! access-list 10 deny B.B.14.0 0.0.0.255 access-list 10 permit B.B.0.0 0.0.255.255 ! access-list 11 deny B.B.13.2 0.0.0.0 access-list 11 permit B.B.0.0 0.0.255.255 ! line 2 login tacacs location FireWallCS#2 ! access-class 10 in access-class 11 out ! modem answer-timeout 60 modem InOut telnet transparent terminal-type dialup flowcontrol hardware stopbits 1 rxspeed 38400 txspeed 38400 ! tacacs-server host B.B.1.100 tacacs-server host B.B.1.101 tacacs-server extended ! line vty 0 15 login tacacs Xác định danh sách truy cập Trong ví dụ này, số hiệu mạng được dùng để cho phép hay từ chối truy cập;do đó khoảng IP chuẩn được sử dụng (từ 1 đến 99 ). Với những kết nối từ bên ngoài đến modem lines, chỉ những gói tin từ những host trong mạng nội bộ Class B và những gói tin từ các host trong firewall subnetwork được cho phép: access-list 10 deny B.B.14.0 0.0.0.255 access-list 10 permit B.B.0.0 0.0.255.255 Những kết nối đi chỉ được cho phép đến các hosts trong mạng nội bộ và communication server access-list 11 deny B.B.13.2 0.0.0.0 access-list 11 permit B.B.0.0 0.0.255.255 Áp dụng danh sách truy cập với các đường kết nối Áp dụng 1 danh sách truy cập với 1 đường kết nối bằng lệnh access-class. Trong bài viết này, sự hạn chế trong danh sách truy cập 10 được áp dụng cho các kết nối đến với đường kết nối 2, sự hạn chế trong danh sách truy cập 11 được áp dụng cho các kết nối đi với đường kết nối 2 line 2. access-class 10 in access-class 11 out Sử dụng banners để tạo một thông báo Ta có thể dùng cấu hình banner exec để tạo ra các thông báo, sẽ được hiện trong tất cả các kết nối. Ví dụ, trên một communication server, bạn có thể đưa vào thông điệp sau : banner exec ^C If you have problems with the dial-in lines, please send mail to helpdesk@CorporationX.com. If you get the message "% Your account is expiring", please send mail with name and voicemail box to helpdesk@CorporationX.com, and someone will contact you to renew your account. Unauthorized use of these resources is prohibited. Bảo vệ những dịch vụ ngoài chuẩn Có rất nhiều dịch vụ ngoài chuẩn từ Internet. Trong trường hợp của 1 kết nối vào Internet, những dịch vụ này có thể rất tinh vi và phức tạp. Ví dụ của những dịch vụ này là World Wide Web (WWW), Wide Area Information Service (WAIS), Gopher và Mosaic. Hầu hết những hệ thống này liên quan đến việc cung cấp thông tin cho người dùng theo những cách tổ chức khác nhau, cho phép tim kiếm thông tin một cách có cấu trúc. Phần lớn những hệ thống này có những giao thức riêng. Một vài trường hợp như Mosaic sử dụng nhiều giao thức để nhận được thông tin. Bạn phải cẩn thận khi thiết kế một danh sách truy cập áp dụng với mỗi dịch vụ. Trong nhiều trường hợp, các danh sách truy cập có liên quan đến nhau vì mối liên quan giữa các dịch vụ. Tổng kết Mặc dù bài viết này minh họa cách sử dụng các tính năng ở mức network-layer của Cisco để tăng cường tính bảo mật cho mạng IP, để có được sự bảo mật đúng nghĩa, bạn phải quan tâm đến tất cả hệ thống ở tất cả các mức Tài liệu tham khảo Cheswick, B. and Bellovin, S. Firewalls and Internet Security. Addison-Wesley. Comer, D.E and Stevens, D.L., Internetworking with TCP/IP. Volumes I-III. Englewood Cliffs, New Jersey: Prentice Hall; 1991-1993. Curry, D. UNIX System Security—A Guide for Users and System Administrators. Garfinkel and Spafford. Practical UNIX Security.O'Reilly & Associates. Quarterman, J. and Carl-Mitchell, S. The Internet Connection, Reading, Massachusetts: Addison-Wesley Publishing Company; 1994. Ranum, M. J. Thinking about Firewalls, Trusted Information Systems, Inc. Stoll, C. The Cuckoo's Egg. Doubleday. Treese, G. W. and Wolman, A. X through the Firewall and Other Application Relays. Requests For Comments (RFCs) RFC 1118. "The Hitchhiker's Guide to the Internet." September 1989. RFC 1175. "A Bibliography of Internetworking Information." August 1990. RFC1244. "Site Security Handbook." July 1991. RFC 1340. "Assigned Numbers." July 1992. RFC 1446. "Security Protocols for SNMPv2." April 1993. RFC 1463. "FYI o¬n Introducing the Internet—A Short Bibliography of Introductory Internetworking Readings for the Network Novice." May 1993. RFC 1492. "An Access Control Protocol, Sometimes Called TACACS." July 1993. Internet Directories Documents at gopher.nist.gov. The "Computer Underground Digest" in the /pub/cud directory at ftp.eff.org. Documents in the /dist/internet_security directory at research.att.com. HVA-Translator Group

Tăng cường bảo mật cho mạng IP (Phần 3)

phuchn71 — GMT

Router Security Principles and Goals 3. Các mục đích vŕ nguyên tắc của sự bảo mật router Các router đóng một vai trň quan trọng trong việc bảo mật mạng. Phần này trình bày những nguyên tắc cơ bản cho một router tự bảo vệ nó, bảo vệ một mạng với một router, và sử dụng một router được an toàn. 3.1 Router tự bảo vệ 3.1.1 Bảo mật về mặt vật lý Có một số cách để bảo mật một router về mặt vật lý. Phňng chứa router phải không bị nhiễu từ hoặc nhiễu tĩnh điện. Phňng phải có các bộ kiểm soát độ ẩm vŕ nhiệt độ. Nếu thấy cần thiết vì những lý do nhạy cảm hoặc cần dùng ngay, một bộ UPS phải được lắp đặt, các thŕnh phần dự phòng cùng các thứ đi kèm phải sẵn sàng để thay thế. Để giúp cho việc bŕo vệ chống lại một vài kiểu tấn công từ chối dịch vụ, và cho phép hỗ trợ rộng rãi các loại dịch vụ bảo mật nhất, router phải được cấu hěnh với dung lượng bộ nhớ lớn nhất có thể*. Đồng thời, router phải được đặt trong một phňng khóa chặt, chỉ một số ít người được phép mới vŕo. Cuối cùng, các thiết bị vật lý ( chẳng hạn như các PC card, modem) thường kết nối tới router đòi hỏi phải có sự bảo vệ về mặt lưu trữ. 3.1.2 Hệ điều hŕnh Hệ điều hŕnh cho router là một thành phần cốt yếu. Quyết địnhxem mạng cần có những đặc điểm nŕo, và dùng danh sách các đặc điểm để chọn phięn bản của hệ điều hŕnh. Tuy nhiên, không phải phiên bản mới nhất của bất kỳ hệ điều hŕnh nào cũng đều là đáng tin cậy nhất do sự phơi bày còn hạn chế của nó trong một diện rộng các môi trường mạng. Người quản trị mạng phải dùng phiên bản ổn định cuối cùng của hệ điều hành mà phù hợp với các yêu cầu về mặt đạc điểm. 3.1.3 Làm vững chãi cấu hình Một router cũng giống như nhiều máy tính, có nhiều dịch vụ chạy theo chế độ mặc định. Nhiều trong số những dịch vụ nŕy là không cần thiết và có thể được một hacker dùng để khai thác hay thu thập thông tin. Tất cả các dịch vụ không cần thiết phải được tắt đi trong cấu hěnh của router. Phần 3.3.2 thảo luận việc quản lý các cập nhật cho cấu hình của router. * Một số người đọc có thể bỏ qua lời khuyęn này; họ có thể nghĩ rằng bộ nhớ tốn tiền và vì thế nên mua một router với dung lượng bộ nhớ tối thiểu cần thiết để hỗ trợ cho công việc của nó. Điều nŕy một sự tiết kiệm sai lầm. Chi phí tăng lęn do bộ nhớ thêm thường nhỏ hơn tổng chi phí cho một router được cấu hình đầy đủ, vŕ tính linh động vŕ hiệu suất do bộ nhớ thêm mang lại hầu như luôn đáng giá khi důng dần cho số dịch vụ và người dùng dựa vào router cho hoạt động kết nối. Đồng thời, bổ sung bộ nhớ cho một router đang hoạt động đňi hỏi phải tạm dừng các dịch vụ do nó cung cấp. Ví dụ, trong cộng đồng các ISP (Internet Service Provider), một ngành kinh doanh được xem như thực hiện tốt nhất việc trang bị cho tất cả các router đang hoạt động dung lượng bộ nhớ lớn nhất mŕ nó hỗ trợ. 3.2 Bảo vệ mạng với router 3.2.1 Các vai trò trong bảo mật và các thao tác mạng Các router thực hiện nhiều công việc khác nhau trong các mạng hiện nay, nhưng trong cuộc thảo luận này, chúng ta sẽ xem xét ba phương hướng cơ bản mà các router được dùng. Các interior router Một interior router chuyển tiếp các gói tin giữa hai hay nhiều mạng cục bộ trong vòng một tổ chức hay xí nghiệp. Các mạng nối nhau bởi một interior router thường chia sẻ chính sách bảo mật giống nhau và độ tin cậy giữa chúng thường ở mức cao. Nếu một xí nghiệp có nhiều interior router, chúng thường sử dụng một Interior Gateway Protocol (tạm dịch là giao thức cầu nối nội) để điều khiển các router. Các interior router có thể bắt các gói tin mà chúng chuyển tiếp giữa các mạng chịu một số giới hạn. Hầu hết sự hướng dẫn trong sách này đều hữu dụng cho các interior router. Hình 3-1: Một interior router kết nối tới các mạng nội bộ của một xí nghiệp Các backbone router Một backbone hay một exterior router là một router chuyển tiếp các gói tin giữa các xí nghiệp khác nhau( còn được gọi là các ‘autonomous system’ khác nhau). Giao thông giữa các mạng khác nhau hình thành nên mạng Internet, được điều khiển bởi các backbone router. Độ tin cậy giữa các mạng kết nối bởi một backbone router thường rất thấp. Thông thường, các backbone router được thiết kế vŕ cấu hình để chuyển tiếp các gói tin càng nhanh càng tốt, mà không buộc các gói tin phải chịu bất kỳ giới hạn nào. Những mục đích bảo mật chính cho một backbone router là phải đảm bảo rằng sự hoạt động vŕ sự điều khiển của router chỉ được quản lý bởi những nhóm người có thẩm quyền, vŕ phải bảo vệ tính toàn vẹn của thông tin gửi qua mà nó dùng để chuyển tiếp các gói tin. Các backbone router thường dùng các Exterior Gateway Protocol(tạm dịch là các giao thức cầu nối ngoại) để điều khiển các router. Việc cấu hình cho các backbone router là công việc mang tính chuyên môn cao. Hầu hết các kỹ thuật mô tả trong sách này có thể áp dụng cho các backbone router, nhưng có thể cần phải thay đổi hoặc hiệu chỉnh lại cho phù hợp với các ứng dụng cụ thể. Hình 3-2: Các backbone router kết nối nhiều mạng với nhau Các border router Một boder router chuyển tiếp các gói tin giữa một xí nghiệp và các mạng bên ngoài. Đặc điểm chính của một border router lŕ nó tạo nên đường biên giữa các mạng nội bộ được tin cậy của một xí nghiệp và các mạng bên ngoài không được tin cậy( như Internet chẳng hạn). Nó có thể giúp bảo mật vòng ngoài của một mạng xí nghiệp bằng các sự giới hạn bắt buộc đối với các gói tin mà nó điều khiển. Một border router có thể dùng các routing protocol( tạm dịch là các giao thức gửi tin) hay nó có thể hoàn toàn dựa vào các static router( các router tĩnh). Hình 3-3: Một border router kết nối các mạng nội bộ với một mạng ngoài Thông thường, một border router không phải là thành phần duy nhất ở đường biên; nhiều xí nghiệp còn sử dụng một firewall( bức tường lửa) để áp đặt chính sách bảo mật nghiêm ngặt. Trong hình 3-4, border router đóng vai trò như một tuyến phòng thủ đầu tiên và được coi là một screening router. Nó chứa một router tĩnh chuyển tất cả các kết nối nhằm vào mạng được bảo vệ đến firewall. Firewall đưa ra sự điều khiển truy nhập bổ sung cho giao thông mạng vŕ các kết nối. Firewall cũng có thể thi hành user authentication. Dùng một firewall và một router cùng lúc có thể đem lại sự bảo mật tốt hơn khi chỉ dùng một trong hai. Hình 3-4: Cấu hình một router-tường lửa đơn giŕn cho đường bięn một mạng Phương pháp giải quyết khác là phải bố trí một router ở điểm nối giữa các mạng ngoài, và sau đó là router khác giữa firewall và các mạng nội bộ được tin cậy. Cấu hình này tạo ra hai điểm mà chính sách bảo mật có thể được áp đặt. Nó cũng tạo ra một vůng trung gian thường gọi là khu vực phi quân sự( DMZ) giữa hai router. DMZ thường được dùng cho các server truy cập được từ Internet hay mạng ngoài khác. Hình 3-5: Cấu hình hai router-firewall cho đường biên một mạng Tất cả các chỉ dẫn trong sách này đều phù hợp với các border router. 3.2.2 Các bộ lọc gói tin cho TCP/IP Một bộ lọc gói tin cho các dịch vụ TCP/IP điều khiển việc vận chuyển dữ liệu giữa các mạng dựa vào các giao thức và các địa chỉ. Các router có thể dùng các bộ lọc theo những cách khác nhau. Một vài router có các bộ lọc tác động vào các dịch vụ mạng theo cả chiều đi vào và đi ra, trong khi số khác có các bộ lọc chỉ tác động theo một chiều.( Nhiều dịch vụ mang tính hai chiều. Ví dụ, một người důng ở hệ thống A telnet tới hệ thống B, và hệ thống B gửi một vài kiểu trả lời lại cho hệ thống A. Vì vậy, một số router cần có hai bộ lọc để xử lý các dịch vụ hai chiều này.) Hầu hết các router có thể lọc một hoặc nhiều thông tin sau: địa chỉ IP nguồn, cổng nguồn, địa chỉ IP đích, cổng đích vŕ kiểu giao thức. Một vài router còn có thể lọc bất kỳ bit nào hay bất kỳ mẫu hình bit nào trong IP header. Tuy nhiên, các router thường không có khả năng lọc nội dung của các dịch vụ( như tên tập tin FTP chẳng hạn). Các bộ lọc gói tin đặc biệt quan trọng đối với các router khi chúng giữ vai trň một gateway giữa các mạng được tin cậy vŕ không được tin cậy. Trong vai trň đó, router có thể áp đặt chính sách bảo mật, loại bỏ các giao thức vŕ từ chối các cổng dựa theo các chính sách của mạng được tin cậy. Các bộ lọc cũng quan trọng bởi khả năng áp đặt sự rŕng buộc địa chỉ. Ví dụ, trong hěnh 3-1, router phải áp đặt sự rŕng buộc là các gói tin gửi từ firewall hay mạng được bảo vệ (từ phải sang trái) phải mang một địa chỉ nguồn trong khoảng riêng biệt. Thỉnh thoảng nó còn được gọi là "việc lọc đường ra”. Tương tự, router phải áp đặt sự rŕng buộc là các gói tin đến từ Internet phải mang một địa chỉ nguồn bęn ngoài khoảng là hợp lệ đối với mạng được bảo vệ. Nó được gọi lŕ “việc lọc đường vŕo". Hai đặc điểm chính của các bộ lọc gói tin TCP/IP lŕ việc sắp xếp và độ dài. Một bộ lọc có một hoặc nhiều quy tắc, mỗi quy tắc hoặc chấp nhận hoặc ngăn cấm một tập hợp gói tin nào đó. Số quy tắc trong một gói tin quy định độ dŕi của nó. Nói chung, khi độ dŕi tăng lęn thì bộ lọc càng phức tạp và càng khó để gỡ rối. Trật tự các quy tắc trong một bộ lọc gói tin là xác định(tới hạn). Khi router phân tích một gói tin dựa vào bộ lọc, gói tin sẽ được so sánh với từng quy tắc lọc tin theo tuần tự. Nếu có sự trùng hợp thì gói tin hoặc được cho phép hoặc bị ngăn cấm vŕ phần còn lại của bộ lọc được bỏ qua. Nếu không có sự trùng hợp gói tin sẽ bị ngăn cấm do quy tắc ngăn cấm tuyệt đối ở cuối bộ lọc. Bạn phải cẩn thận tạo ra các quy tắc lọc tin theo trật tự thích hợp, để tất cả các gói tin được đối xử phů hợp với chính sách bảo mật định důng. Một phương pháp sắp xếp là đặt các quy tắc xử lý thông tin trong các gói tin đó cŕng gần vị trí đầu bộ lọc cŕng tốt. Vì vậy, độ dài và việc sắp xếp của bộ quy tắc lọc gói tin có thể ảnh hưởng đến hiệu suất của router. (Ghi chú: sự thảo luận nŕy có thể áp dụng cho các bộ lọc gói tin của các router của Cisco, hầu hết các loại router khác và hầu hết các firewall lọc gói tin khác. Việc lọc tin trong Cisco được thảo luận được thảo luận chi tiết trong Section 4.3. Nếu bạn có một router không do Cisco chế tạo, tham khảo tài liệu hướng dẫn của nó để biết thêm chi tiết.) Dùng các bộ lọc gói tin: chỉ cho phép các dịch vụ và các giao thức theo quy định Xem xét cẩn thận dịch vụ mạng nào sẽ được phép đi qua router(đi vŕo và đi ra) và được phép đi đến router. Nếu có thể, hăy dùng nguyên tắc sau để tạo ra các bộ lọc: các dịch vụ nào không được cho phép một cách rõ ràng đều phải bị cấm. Nguyên tắc này đặt biệt quan trọng đối với các border router. Lập danh sách các dịch vụ và các giao thức phải đi qua router, các dịch vụ và các giao thức mà router cần đến cho chính hoạt động của nó. Tạo ra một tập các quy tắc lọc tin cho phép hoạt động giao thông nằm trong danh sách vŕ cấm tất cả các hoạt động giao thông khác. Trong trường hợp các mạng hay các host nào đó cần truy xuất các dịch vụ đặt biệt, thęm vào một quy tắc lọc tin cho phép dịch vụ đó nhưng chỉ cho các địa chỉ host cụ thể hay các vůng địa chỉ cụ thể. Ví dụ, firewall host mạng có thể lŕ địa chỉ duy nhất được phép kích hoạt các kết nối web (TCP cổng 80) thông qua router. Dùng các bộ lọc gói tin: từ chối các dịch vụ và các giao thức mạo hiểm Thỉnh thoảng, ta không thể tuân theo nguyên tắc bảo mật cứng nhắc đã thảo luận ở trên. Trong trường hợp đó, quay lại với các dịch vụ bị cấm do thường là không cần thiết hoặc được xem như các phương tiện truyền bá sự thoả hiệp bảo mật hay dùng. Hai bảng sau liệt kê các dịch vụ phổ biến cần hạn chế bởi vì chúng thu thập thông tin của mạng được bảo vệ hay chúng có các yếu điểm có thể bị khai thác để chống lại mạng được bảo vệ. Bảng đầu tięn liệt kê những dịch vụ nào phải hoàn toàn bị khóa bởi các router thông thường. Trừ khi bạn có một nhu cầu thao tác rõ ràng cần hỗ trợ chúng, các giao thức trong bảng 3-1 phải không được phép đi qua router theo cả hai chiều. Bảng 3-1: Các dịch vụ bị khoá hoàn toàn ở router Bảng 3-2 liệt kê một vài dịch vụ trong mạng nội bộ hay trong chính router phải không truy xuất được đối với các kết nối từ các mạng bęn ngoài. Bảng 3-2: Một vài dịch vụ bị khoá ở router từ các client bên ngoài Các giao thức và các cổng chuẩn Một số tổ chức đưa ra một danh sách các giao thức vŕ các cổng chuẩn phải được cho phép hoặc hỗ trợ trong các mạng của họ. Các tổ chức rięng biệt trong US DOD cũng đưa ra các danh sách như vậy, và Defense Information System Agency (DISA) đang cố gắng tìm cách tạo ra một danh sách chuẩn cho cả DOD. Đối với các mạng lŕ đối tượng của các danh sách nŕy, cách thực hiện tốt nhất trước tiên là chỉ cho phép những giao thức và những cổng nào nằm trong danh sách chuẩn và từ chối tất cả cái khác. Lọc địa chỉ Các bộ lọc của router cũng được důng để chống lại việc giả mạo địa chỉ IP, nhất lŕ ở các border router. Trong hầu hết trường hợp, các quy tắc lọc tin phải dùng cả "lọc đường vào" và "lọc đường ra”, bao gồm cả việc khóa các địa chỉ dŕnh riêng. Các nguyên tắc áp dụng cho border router được liệt kê bên dưới. * Loại bỏ tất cả các gói tin từ các mạng nội bộ mang địa chỉ IP nguồn không thuộc về các mạng nội bộ.( Các gói tin tạo ra bởi các nguồn trong các mạng nội bộ luôn luôn mang địa chỉ nguồn trong một khoảng hay nhiều khoảng được gán cho các mạng nội bộ; bất cứ những gói tin khác nào cố nhận địa chỉ nguồn giả mạo thì hầu như luôn có bản chất không đúng hoặc ác ý.) * Loại bỏ tất cả các gói tin từ các mạng bên ngoài mang địa chỉ nguồn thuộc về các mạng nội bộ.( giả sử các địa chỉ đă được gán đúng, các gói tin gửi từ các mạng bên ngoải phải luôn mang địa chỉ nguồn nằm trong các khoảng khác với các khoảng đă được ấn định cho các mạng cục bộ. Các gói tin mang địa chỉ giả như vậy thường lŕ thành phần của một cuộc tấn công, và phải được border router vứt bỏ.) * Loại bỏ tất cả các gói tin với địa chỉ nguồn hay địa chỉ đích thuộc về bất kỳ khoảng địa chỉ nŕo không hợp pháp, không thể tìm đường hoặc được dành riêng. 3.2.3 Giảm đi các cuộc tấn công từ chối dịch vụ Ngừng dịch vụ hay hiệu suất mạng giảm xuống đáng kể do nhiều nguyęn nhân khác nhau. DoS ám chỉ những cố gắng có chủ ý để gây ra những sự đổ vỡ nghięm trọng. Mặc dầu các cuộc tấn công DoS có thể được xem như những sự quấy rầy có thể chịu đựng được nhưng chúng có thể gây ra các hậu quả nghięm trọng nếu chúng xảy ra ở các thời điểm nhạy cảm. Chưa có giải pháp triệt để nŕo cho vấn đề DoS; khi tŕi nguyên của một mạng còn bị giới hạn và tồn tại công khai thì chúng còn là các điểm yếu để tấn công. Có nhiều mức độ mŕ người quản trị mạng chọn để bảo vệ các mạng khỏi các cuộc tấn công DoS và giảm bớt những tác động của chúng. Những mức độ nŕy đňi hỏi một số nỗ lực hợp tác giữa những người quản trị các host, các thiết bị mạng và nhà cung cấp quyền truy cập. Để có hiệu quả, các mức độ nŕy phải được lęn kế hoạch và áp dụng trước khi cuộc tấn công xảy ra. Ở mức độ xí nghiệp, có ba chiến lược chính để đối đầu với các cuộc tấn công DoS, được mô tả chi tiết bęn dưới. Chống lại các gói tin ác ý đến từ mạng công cộng trong mạng xí nghiệp. Cấu hình và triển khai các mức độ bảo vệ cục bộ ở cả border router cũng như interior router. Phối hợp các mức độ bảo vệ chống lại các cuộc tấn công DdoS với các nhà cung cấp quyền truy xuất mạng và/hoặc những người quản trị backbone. Trước hết, thật quan trọng khi mỗi người quản trị mạng giúp giảm bớt các hệ thống dùng để thực hiện cuộc tấn công DoS. Đừng để mạng của bạn lŕ điểm khởi đầu của một cuộc tấn công DoS; giữ các host an toàn và loại bỏ các host đă bị nhiễm ra khỏi mạng ngay lập tức. Có một số cơ chế sẵn có trong các router để ngăn cản các kiểu tấn công DoS nŕo đó. Nhiều trong số các cuộc tấn công nảy cần důng các địa chỉ nguồn giả mạo hoặc không hợp lệ. Ví dụ, các địa chỉ không hợp lệ được dủng trong cuộc tấn công kiểu SYN flood để chắc chắn rằng sự bắt tay TCP với host mục tiêu đã hết hạn(times out) và đang đợi trả lời( xem Section 6.3.2). Có một số phương pháp để lọc ra các gói tin có địa chỉ không hợp lệ nŕy. Danh sách điều khiển truy cập là phương tiện dễ dàng nhất có ở mọi router( xem Section 4.3). Việc tìm đường kểu black hole cũng có thể hữu ích và làm việc trên tất cả các router( xem Section 4.4.6). Hầu hết các router của Cisco đều hỗ trợ một công cụ gọi là Unicast Reserve-Path Forwarding Verification dùng bảng tìm đường để phát hiện vŕ loại bỏ các gói tin mang địa chỉ không hợp lệ( xem Section 4.4.7). Bạn phải ghi nhận sự xuất hiện của các gói tin này ở bất cứ đâu có thể, việc ghi nhận lại những vi phạm này có thể giúp xác định được các host đă bị lây nhiễm cần bị loại bỏ ra khỏi mạng. Dĩ nhiên, sự phát hiện dựa vào việc xem xét thường xuyên các bản ghi nhận của router. Bạn có thể chống lại các cuộc tấn công DoS đơn lẻ mang tính chất cục bộ bằng cách loại bỏ các gói tin mang địa chỉ nguồn không hợp lệ khi chúng đến từ một border router( xem Section 4.3.5). Các địa chỉ nguồn không hợp lệ hay các địa chỉ nguồn không thể těm ra dấu vết khác thường dùng để dấu nguồn gốc thực tế của cuộc tấn công. Đồng thời, các dịch vụ của router hỗ trợ cho các cuộc tấn công hay mở đường cho cuộc tấn công đều phải bị vô hiệu hóa( xem Section 4.2). Một số router và firewall thường đặc biệt hóa các phương tiện để giảm bớt các cuộc tấn công kiểu TCP SYN flood; trong các router của Cisco phương tiện này gọi được gọi là TCP Intercept( xem Section 4.3.3). Trong vài trường hợp, các phương tiện kiểm soát tốc độ các gói tin hay chất lượng dịch vụ của router có thể dùng để bảo vệ các dịch vụ bị nguy kịch khỏi các hậu quả lớn nhất của các cuộc tấn công DoS( xem Section 4.3.6). Các phương tiện của router cũng có thể được bổ sung bằng các sản phẩm chống DoS thương mại cung cấp khả năng phát hiện tấn và lọc tin nghiêm ngặt hơn. Một border router không thể kiểm soát được kiểu hay toàn bộ khối lượng gói tin gửi qua nó. Sự giảm bớt DoS hết sức cần đến hành động hợp tác "ngược dòng", nghĩ là từ nhà cung cấp quyền truy cập, (có thể) từ nhà cung cấp vận chuyển, nhà cung cấp quyền truy cập vào điểm nguồn, hoặc ngay các nhà quản trị của các host tấn công. Ví dụ, khi các gói tin của một ICMP flood cùng hội tụ tại uplink, các gói tin hợp pháp bị thay bởi các gói tin giả và các gói tin này không còn chịu tác động bởi sự kiểm soát dòng chảy các gói tin. Các kết nối và truyền dữ liệu bị thiếu và cuối cùng bị hết hạn hay bị treo vì chúng không thể tái đồng bộ được. Nếu nhà cung cấp quyền truy cập của bạn thực hiện việc theo dõi các gói tin theo thống kê, họ có thể từng bước khóa lại và lần ra dấu vết của các gói tin có hại này khi cuộc tấn công bắt đầu. Nếu không có loại dịch vụ giám sát này thì mạng đang bị tấn công cần phải nhanh chóng yêu cầu nhà cung cấp dịch vụ truy cập của nó lọc ra các gói tin gây hại. Không có những phương pháp nào có thể hoàn toàn chống lại được các kiểu tấn công DoS đã biết, và dĩ nhiên sẽ có các kiểu tấn công DoS mới lạ được khám phá trong tương lai. Vẫn là khôn ngoan khi trang bị để đối xử với các kiểu tấn công DoS phổ biến bằng các phương tiện có sẵn. Các router là một phần của giải pháp, nhưng thiết kế cẩn thận, lập kế hoạch đối phó với các trường hợp bất ngờ và sự hợp tác giữa các nhà quản trị mạng cũng là cần thiết.

Tăng cường bảo mật cho mạng IP (Phần 4)

phuchn71 — GMT

Quản lý router 3.3 Quản lý router: 3.3.1 Cơ chế truy cập của Admin: Điều khiển truy cập đến router dưới quyền admin là một vấn đề quan trọng. Có 2 loại truy cập: cục bộ và từ xa. Truy cập cục bộ là dùng một dump terminal hay laptop kết nối trực tiếp đến cổng console trên router. Truy cập từ xa là dùng một máy tính (trên cùng subnet hay khác subnet) để telnet hay SNMP đến router.Khuyến cáo: Chỉ nên cho truy cập cục bộ vì khi telnet hay SNMP thì password được gởi đến router dưới dạng plain (không được mã hoá)-->Nếu một hacker sniff dòng dữ liệu này thì anh ta cũng sẽ tóm được password của bạn. Tuy nhiên, nếu thực sự cần thiết phải có remote access thì có thể áp dụng các phương pháp sau: 1.Thiết lập một mạng quản lý chuyên dụng. Mạng này chỉ nên có các adminitrator host và các spare interface của mỗi router. Hình vẽ minh hoạ như sau (Hinh 3.6): 2.Mã hoá tất cả thông tin được truyền giữa administrator host và router. (Phần 5.2 là một ví dụ về mã hoá IPSec với Cisco router và Windows 2000, phần 5.3 chỉ cho ta biết cách thiết lập một Cisco router để nó hỗ trợ mã hoá SSH). Trong cả hai biện pháp trên đây, ta cũng nên thiết lập việc lọc gói, chỉ cho phép những administrator host được định trước có quyền truy cập đến router. Ngoài cách truy cập vào router, ta cũng cần phải phân quyền cho admin. Tức là có nhiều mức admin và có nhiều vai trò quản lý khác nhau. Ví dụ, “network manager” (quản lý mạng) sẽ có quyền xem xét, chỉnh sửa các thông sổ interface và cấu hình router; “operator” (điều hành mạng) sẽ chỉ có quyền xoá kết nối và bộ đếm. Nhìn chung, ta nên giới hạn số admin toàn quyền đến mức thấp nhất. 3.3.2 Nâng cấp router Ta cần phải nâng cấp (update) hệ điều hành và file cấu hình của router định kỳ. Lý do: chữa những lỗi bảo mật, tăng hiệu suất hay hỗ trợ các tính năng mới (có thể là những tính năng này cho phép tăng cường chính sách bảo mật). Trước khi update, admin cần thực hiện các bước như sau: -Xác định lượng bộ nhớ cần thiết để update, nếu cần thì thêm bộ nhớ. -Thiết lập và thử khả năng truyền file giữa host cúa admin và router. -Lập lịch lúc mạng và router không hoạt động để tiến hành update (thường là sau giờ làm việc hành chính). Sau khi nhận được bản update từ nhà phân phối và kiểm tra, admin cần thực hiện các bước sau: -Shutdown hay disconnect các interface trên router -Sao lưu OS và file cấu hình hiện hành vào máy tính của admin. -Tải bản update lên router. -Kiểm tra lại để khẳng định việc update tốt đẹp hay không. Nếu tốt thì reconnect các interface trên router, ngược lại thì lấy lại cái cũ (vừa backup xong) 3.3.3 Logging Logging cung cấp cho ta nhiều tiện ích. Khi sử dụng thông tin trong file log, admin có thể biết được router hoạt động bình thường hay không. Trong vài trường hợp, nó có thể cho ta biết loại tấn công nào đang tấn công router hay mạng của chúng ta. Nên cấu hình logging trên router một cách cẩn thận và gởi file log đến log host (một máy tính chuyên dùng để lưu trữ file log). Log host nên được nối vào một mạng được bảo vệ hay la một interface riêng của router. Tăng cường bảo mật cho log host bằng cách loại bỏ những dịch vụ hoặc account khong cần thiết. Thiết lập mức log tương ứng với chính sách bảo mật, và thay đổi cách thông sổ log khi mạng thay đổi. Mức log được thay đổi dựa vào việc kiểm tra xem bao nhiêu thông tin log la phù hợp và hữu dụng.Có 2 lĩnh vực cần được log là: (1)phạm vào những qui tắc từ chối truy cập, (2)thay đổi cấu hình router. Vấn đề quan trọng nhất là ta phải xem file log thường xuyên. Bằng cách kiểm tra file log thường xuyên, ta có thể cảm nhận đươc trạng thái hoạt động bình thường của mạng và khi có một sự bất thường nào đó xảy ra thì ta có thể biết được. Dấu thời gian (timestamp)rất quan trọng trong logging. Tuy rằng router có đồng hồ riêng, nhưng như vậy là không đủ, ta phải hướng router đến ít nhất là 2 time server để đảm bảo tính chính xác của dấu thời gian. Như vậy, ta cần hướng router đến các time server ổ định và kèm theo thời gian trong mỗi message log. Điều này cho phép ta tin tưởng lần theo các cuộc tấn công. Ta cũng cần xem xét đến việc lưu các file log này vào thiết bị lưu trữ chỉ ghi 1 lần hay in ra giấy (phòng khi log host có vấn đề). 3.3.4Quản lý bảo mật trong thời gian hoạt động: Để đạt được bảo mật trong thời gian hoạt động, cần phải đánh giá, kiểm tra và chỉnh sửa thường xuyên. Một vấn đề khác là cần phải sẵn sàng cho các sự cố xảy ra: Ta phải backup cấu hình router và IOS hiện hành (ta sẽ dùng backup này để restore lại trạng thái ban đầu khi bị hack hay bị hư hỏng phần cứng nhẹ). Đồng thời, phải lập ra một kế hoạch thực hiện phục hồi, thảo ra các thủ tục, luyện tập kế hoạch định kỳ để tất cả các thành viên hiểu được vai trò của họ. Kế hoạch phục hồi phải phù hợp với chính sách bảo mật của bạn. Trong trường hợp bị xâm nhập, cần phải trử các bằng chứng để thực hiện điều tra hoặc truy tố. Nhớ đính kèm các bước để thấy trạng thái router bị xâm nhập trong kế hoạch phục hồi của bạn. 3.4.Chính sách bảo mật cho router: Router là một phần quan trọng của mạng, và bảo mật của nó là một phần quan trọng trong hệ thống bảo mật toàn mạng mà router phục vụ. Nhưng router được bảo mật là như thế nào? Một cách đơn giản để định nghĩa bảo mật cho router là: quản lý, cấu hình, hoạt động của router có thoả mãn được chính sách bảo mật của bạn hay không. 3.4.1Cơ bản về chính sách bảo mật của router: Hình 3.7 dưới đây sẽ cho ta thấy cấu trúc lớp về bảo mật của router. Bảo mật của một lớp phụ thuộc vào bảo mật của lớp bên trong nó. Lớp trong cùng là lớp bảo mật về vật lý của router. Một hacker có khả năng truy xuất vật lý router sẽ có thể làm nguy hại đến router, do đó, ta phải quản lý tốt việc truy cập về mặt vật lý nhằm tạo ra một nền tảng vững chắc cho bảo mật của toàn bộ hệ thống. Hầu hết router cung cấp một hoặc nhiều kết nối trực tiếp thông qua port Console hay Control, những port này tạo ra một cơ chế đặc biệt để điều khiển router. Do đó ta phải thiết lập các qui tắc (rule) để kiểm soát những port này được dùng ở đâu và như thế nào. Lớp kế tiếp là lớp lưu trữ cấu hình tĩnh và phần mềm của router. Nếu hacker có thể xâm nhập vào phần này (đặc biệt là phần cấu hình tĩnh) thì anh ta cũng có thể điều khiển được hai lớp còn lại bên ngoài. Vài thông số quan trọng của cấu hình tĩnh là địa chỉ giao tiếp (interface address), username, password, và những điều khiển truy cập để truy xuất trực tiếp đến command interface (phần nhận lệnh của người sdụng) của router. Do đó ta cần thiết lập rule thật chặt cho lớp này ở cả cơ chế hoạt động của mạng lẫn vai trò của admin. Lớp tiếp theo là lớp cấu hình động của router, gồm: route table, interface status, ARP table, audit log,...Nếu hacker có thể xâm nhập vào lớp này thì anh ta cũng có thể xâm nhập được vào lớp ngoài cùng. Do đó nên thiết lập rule cho lớp này, tuy nhiên đôi khi nó bị bỏ qua. Lớp ngoài cùng biểu diễn lượng thông tin (của mạng cục bộ lẫn bên ngoài) mà router quản lý.Chính sách bảo mật mạng có thể qui định rule cho lớp này: xác định những giao thức và dịch vụ nào được cho phép, xác định cơ chế truy cập và vai trò quản lý. Những yêu cầu quan trọng của chính sách quản lý mạng phải được phản ánh thông qua cấu hình router và chính sách bảo mật của router. 3.4.2Chính sách bảo mật router và chính sách bảo mật toàn bộ hệ thống: Thông thường, mạng mà router phục vụ sẽ có một chính sách bảo mật, định nghĩa vai trò (role), quyền, rule và trách nhiệm.Chính sách bảo mật của router phải phù hợp với chính sách của toàn mạng. Vại trò được định nghĩa trong chính sách bảo mật của router phải là một tập con của chính sách bảo mật của toàn mạng. Rule để quản trị router nên rõ ràng đối với ứng dụng của network rule. Ví dụ: Một chính sách bảo mật mạng định nghĩa 3 vai trò: admin, perator, user. Chính sách bảo mật router có thể chỉ có 2: admin và operator. Mỗi một vai trò phải được gán đặc quyền trong chính sách bảo mật của router để nó có thể hoàn thành được trách nhiệm được nên rõ trong chính sách bảo mật của mạng. Ví dụ, operator sẽ được cấp quyền login vào router để xem router log-->anh ta sẽ hoàn thành được trách nhiệm xem định kỳ audit log mà chính sách bảo mật mạng đã giao phó cho anh ta. Mặt khác, chính sách bảo mật router phải chi tiết hơn chính sách bảo mật mạng. Trong vài trường hợp, router ảnh hưởng đến chính sách bảo mật của mạng và chính sách bảo mật của router phải phản ánh rõ điều này. Ví dụ, chính sách bảo mật mạng yêu cầu chỉ được quản lý router từ mạng LAN thì chính sách bảo mật của router phải thiết lập những rule thích hợp để cấm quản lý router từ xa. 3.4.3Tạo một chính sách bảo mật cho router: Có nhiều lời khuyên khi tạo chính sách bảo mật cho router: -Xác định những mục đích bảo mật chứ khong phải xác định lệnh hay cơ chế cụ thể --> chính sách sẽ trở nên khả chuyển giữa các version phần mềm router khác nhau hay giữa các loại router khác nhau. -Xác định chính sách cho tất cả các lớp, bắt đầu từ lớp vật lý đi ra ngoài. -Những giao thức và dịch vụ không được cho phép một cách rõ ràng thì nên cấm chúng. Khi dùng chính sách bảo mật của router phản ánh chính sách bảo mật của mạng, cần tìm những giao thức và dịch vụ cần thiết cho hoạt đọng của mạng, cho phép chúng một cách tường minh và cấm hoàn toàn những cái còn lại. Trong vài trường hợp, ta không thể làm được như trên. Ví dụ, backbone router (phải định tuyến cho nhiều mạng con khác nhau) không thể làm như trên được vì vấn đề hiệu suất và sự khác nhau trong các chính sách bảo mật của các mạng con. Trong những trường hợp như vậy, cần định rõ những giới hạn hay hạn chế bị ảnh hưởng. Khi phác thảo một chính sách, cần mô tả mục đích chứ khong môt tả cơ chế một cách rõ ràng. Một chính sách bảo mật phải là một tài liêu sống. Phải thường xuyên xem xét lại các chính sách bảo mật (của router và của toàn mạng). Cập nhật lại chính sách bảo mật của router khi chính sách bảo mật của mạng thay đổi hay khi mục đích bảo mật của router thay đổi.Cần xem xét lại chính sách bảo mật router khi kiến trúc mạng thay đổi hay cấu trúc quản lý mạng thay đổi. Đặc biệt, xem lại chính sách bảo mật trong các trường hợp sau: -Có kết nối mới giữa mạng cục bộ và mạng bên ngoài. -Thay đổi lớn về cơ cấu, thủ tục, hoạt động quản lý. -Thay đổi lớn về chính sách bảo mật toàn mạng. -Cài đặt các khả năng mới (ví dụ như VPN mới) hay thiết bị mạng mới (vd như firewall mới) -Phát hiện một cuộc tấn công hay bị xâm nhập. Khi xem xét chính sách bảo mật của router, cần báo cho tất cả những người quản trị router và tất cả những người có quyền truy cập vật lý đến nó.Giữ những hiểu biết về chính sách rất quan trọng trong việc tương thích giữa các chính sách. Cuối cùng, có vài tổ chức áp đặt một số các chính sách bảo mật trên các mạng con, do đó, cần phải kiểm tra kỹ xem các chính sách bảo mật của bạn có phù hợp với chính sách bảo mật ở cấp cao hơn hay không, nếu không phải sửa lại cho phù hợp. 3.4.4Những yêu cầu khi kiểm tra chính sách bảo mật của router: Những yêu cầu này được thiết lập để trợ giúp bạn tạo ra được một chính sách bảo mật router tốt. Sau khi phác thảo chính sách, lần lượt kiểm tra từng mục một trong danh sách sau. Bảo mật về mặt vật lý: -Xác định ai có quyền cài đặt, di chuyển hay bỏ router. -Xác định ai có quyền bảo trì phần cứng và thay đổi cấu hình vật lý của router. -Xác định ai có quyền thiết lập kết nối vật lý đến router. -Chỉ ra điều khiển về nơi đặt và sự sử dụng console hay các kết nối cổng trực tiếp khác. -Chỉ ra những thủ tục phục hồi khi phần cứng bị hư hay khi có dấu hiệu router bị phá hoại. Bảo mật cấu hình tĩnh: -Xác định ai có quyền kết nối trực tiếp vào router thông qua console hay kết nối cổng trực tiếp khác. -Xác định ai có quyền admin trên router. -Xác định thủ tục và bài thực hành để thay đổi cấu hình tĩnh của router. -Xác định chính sách về password cho user password và admin password, bao gồm cả những điều kiện để yêu cầu phải đổi password (vd, lúc bị xâm nhập, lúc thay đổi admin, lúc hết thời gian tồn tại password) -Xác định ai có quyền truy cập router từ xa. -Xác định những giao thức, thủ tục để truy cập router từ xa. -Xác định thủ tục phục hồi, và ai có trách nhiêm phuc hồi khi có sự cố. -Xác định chính sách log, chỉ ra thủ tục quản lý log và trách nhiệm xem log. -Xác định những thủ tuc và đưa ra những giới hạn trong việc sử dụng các công cụ theo dõi và quản lý tự động (vd, SNMP) -Vạch ra cách đáp ứng hay hướng dẫn phát hiện router bị xâm nhập. -Định ra các chính sách quản lý và khoảng thời gian cập nhật longterm secrect cho routing protocol, NTP, TACAS+, RADIUS, SNMP,... -Định ra chính sách quản lý chính cho chìa khoá mã hoá dài hạn (nếu có) Bảo mật cấu hình động: -Xác định các dịch vụ cấu hình động được chạy trên router và những mạng được truy cập đến những dịch vụ này. -Xác định các routing protocol cần được sử dụng và những vấn đề bảo mật cần được thiết lập trên mối protocol. -Xác định cơ chế và chính sách để thiết lập đồng hồ của router (bằng tay hay dùng NTP) -Xác định thuật toán mã hoá và key tương ứng để dùng trong các phiên kết nối VPN với các mạng khác. Bảo mật dịch vụ mạng: -Liệt kê các giao thức, cổng, dịch vụ được router cho phép ở mỗi interface hay kết nối (vd, inbound hay outbound) và đưa ra những thủ tục để xác nhận quyền. -Mô tả thủ tục và vai trò bảo mật khi tương tác với nhà cung cấp dịch vụ hay nhân viên bảo hành ben ngoài. Đáp ứng khi bị xâm hại: -Liệt kê các nhân hay tổ chức sẽ được thông báo khi có xâm hại. -Định ra những thông tin cấu hình cần thiết phải giữ lại. -Định ra những thủ tuc đáp ứng, kiểm tra quyền, và mục đích của đáp ứng sau khi mạng bị xâm nhập, bao gồm cả việctìm hiểu để lưu bằng chứng và để thực thi luật pháp.

Tăng cường bảo mật cho mạng IP (Phần 5)

phuchn71 — GMT

Router Security Configuration Guide 4.3.5. Danh sách điều khiển truy cập nhanh Vài mô hình router của Cisco hỗ trợ danh sách điều khiển truy cập đã được biên dịch, gọi là “Turbo ACLs”, phần 12.1(6) của IOS, và sau đó. Nếu sử dụng danh sách điều khiển truy cập đã được biên dịch thì có thể giảm đáng kể ảnh hưởng đến quá trình thực thi khi danh sách dài. Để thiết lập chức năng này ta sử dụng lệnh chế độ cấu hình access-list compiled (Nếu IOS của bạn không hỗ trợ chức năng này thì nó sẽ phát sinh một tín hiệu lỗi nhưng vô hại) . Khi chức năng này đã được thiết lập thì IOS sẽ biên dịch tất cả các danh sách truy cập phù hợp vào bảng tra nhanh và vẫn giữ lại được các ngữ nghĩa ăn khớp nhau của chúng. Sau khi đã thiết lập các danh sách truy cập nhanh, ta có thể xem thông tin về chúng bằng lệnh show access-list compiled. Nếu bạn dùng danh sách truy cập với hơn 5 qui tắc để tăng tốc các mạch ghép nối thì bạn có thể dùng chức năng này để củng cố quá trình thực thi của router. 4.3.6. Using Committed Access Rate 4.3.6. Sử dụng Tốc độ truy cập được ràng buộc (CAR = Committed Access Rate) CAR là một dịch vụ của router cho phép các quản trị viên vài quyền điều khiển chỗ giao chung của lưu lượng vào và ra router. Bằng cách định cho các khối lưu lượng một lượng băng thông nhất định ta sẽ có thể điều chỉnh dữ liệu truyền qua router để bảo vệ lưu lượng yếu và hủy các lưu lượng quá mức băng thông cho phép đồng thời giới hạn được các lưu lượng giả tạo; tuy nhiên, công việc quan trọng nhất mà CAR làm được là giảm nhẹ các tác động gây tê liệt của các đợt tấn công DoS và các đợt tập trung chớp nhoáng. Bạn có thể dùng CAR để dành một phần băng thông của đường kết nối cho các lưu lượng quan trọng (1), hoặc để giới hạn lượng băng thông chiếm bởi một loại hình tấn công cụ thể (2). Trong trương hợp 2, có thể không phải lúc nào cũng cần giữ các qui tắc CAR nhưng phải đảm bảo lúc nào bạn cũng có thể sẵn sàng áp dụng nhanh chóng các qui tắc CAR khi phát hiện một đợt tấn công đang diễn ra. Phần này cung cấp tổng quan về CAR và một số ví dụ đơn giản. CAR Command Syntax Cấu trúc câu lệnh CAR Để cấu hình CAR bạn phải áp dụng các qui tắc về hạn chế tốc độ cho các mạch ghép nối nào mà bạn thiết lập ràng buộc lên việc sử dụng băng thông hay lưu lượng. Mỗi mạch ghép nối có thể có một tập hợp các qui tắc riêng biệt, có thứ tự theo các hướng nhận (in-bound) và gửi (out-bound). Cấu trúc tổng quát của nguyên tắc CAR ở dưới đây, đã được rút gọn. rate-limit {input | output} [access-group [rate-limit] acl] token-bit-rate burst-normal-size burst-excess-size conform-action action exceed-action action Để thêm một qui tắc cho một mạch kết nối, bạn chỉ cần nhập qui qui tắc đó trong chế độ thiết lập mạch kết nối, xem ví dụ bên dưới. Để hủy một qui tắc, nhập lại nó và thêm vào đằng trước từ khóa no. Để xem các qui luật CAR trên tất cả các mạch kết nối, sử dụng lệnh show interface rate-limit. Kết quả của lệnh sẽ là các qui tắc và vài số liệu thống kê lưu lượng về giới hạn tốc độ. Ví dụ đầu tiên dưới đây là một mẫu kết quả của lệnh này. Để biết thêm các câu lệnh của CAR, xem phần “IOS Quality of Service Solutions Command Reference” trong tài liệu documentation của IOS. Defining Rules Định nghĩa các qui tắc Mỗi một qui tắc hạn chế tốc độ được tạo bởi 3 phần: định nghĩa khối, các tham số nhóm mã thông báo token bucket, và các tiêu chuẩn thực thi. Phần định nghĩa khối của qui tắc chỉ rõ loại lưu lượng (hoặc khối gói tin :packet aggregate) mà qui tắc áp dụng. Phần này phải bao gồm hướng của lưu lượng, và có thể bao gồm luôn fine-grained traffic selection được xác định với một danh sách điều khiển truy cập. Nếu qui tắc áp dụng cho các packet đi vào router thì sử dụng từ khóa input, trái lại dùng từ khóa output. Nếu phần này bao gồm mệnh đề access-group thì qui tắc CAR chỉ áp dụng cho lưu lượng phù hợp với danh sách truy cập. (Cũng có thể áp dụng các qui tắc CAR cho các gói tin bằng phần đầu của QoS QoS header và các tiêu thức criteria khác nhưng các thứ đó ngoài phạm vi của phần sơ lược này.) Nếu xuất hiện từ khóa rate-limit thì có nghĩa là khối đã được định rõ bằng một danh sách truy cập có giới hạn tốc độ, còn nếu không thì danh sách truy cập sẽ là một danh sách IP chuẩn hoặc mở rộng. Các danh sách truy cập giới hạn tốc độ xác định các khối dựa trên thứ tự trước sau của số IP hay các địa chỉ MAC. Phần thứ hai của lệnh rate-limit bao gồm 3 tham số nhóm mã thông báo. Chức năng CAR sử dụng một mô hình nhóm mã thông báo để xác định hoặc hạn chế băng thông lưu lượng. Mô hình này cho bạn một cách thuận tiện để qui định các ranh giới của trạng thái lưu lượng cho một khối. Mẫu nhóm mã thông báo cần 3 tham số cho việc xác lập, đó là: tốc độ bit của mã thông báo, kích thước thông thường của truyền loạt lưu lượng (tính bằng byte), và kích thước truyền loạt lưu lượng khi quá giới hạn. Tham số tốc độ bit của mã thông báo phải được xác định bằng bps (bits per second = số bit trong một giây) và phải lớn hơn 8000. Nó mô tả tổng quát tốc độ cho phép cho khối. Kích thước thông thường của truyền loạt, tính bằng byte, nói chung là kích thước của một phiên giao dịch lưu lượng chuẩn theo một hướng riêng rẽ. Đối với các giao thức đơn giản, như là ICMP hoặc DNS, nó có thể đơn giản là kích thước của một thông điệp chuẩn. Kích thước khi quá giới hạn của truyền loạt cho biết kích thước lớn nhất có thể có của truyền loạt lưu lượng, trước khi khối sử dụng hết băng thông của nó. Để biết chi tiết hơn về mô hình nhóm mã thông báo, xem [9]. Phần cuối của qui tắc bao gồm 2 tiêu chuẩn thực thi. Tiêu chuẩn thứ nhất hướng dẫn router cách xử lý gói tin khi khối phù hợp với phần băng thông, tiêu chuẩn thứ hai hướng dẫn router cách xử lí khi khối vượt quá băng thông cho phép của nó. Tùy thuộc vào phiên bản IOS của bạn, có thể có nhiều đến 9 hành động, 4 hành động thường dùng nhất được mô tả dưới đây. Cấu trúc làm việc của CAR Hành động được thực thi drop Hủy bỏ gói tin. transmit Truyền đi gói tin. continue Áp dụng qui tắc hạn chế tốc độ tiếp theo. set-prec-transmit prec Thiết lập thứ tự trước sau của IP thành prec và truyền đi gói tin. Các ví dụ về CAR Trong ví dụ đầu tiên, CAR được dùng để dành ra 10% của 10MB đường truyền theo chuẩn Ethernet cho lưu lượng SMTP gởi đi, và giới hạn lưu lượng tiếng ping ICMP gởi đi xuống dưới 1% của đường truyền. Phần còn lại của băng thông đường truyền sẽ hữu dụng cho lưu lượng SMTP còn lại và tất cả các lưu lượng IP khác. Thực tế, bạn có thể muốn bắt buộc giới hạn tốc độ cho cả ngoài lẫn trong ranh giới để bảo vệ lưu lượng SMTP quan trọng. north(config)# no access-list 130 north(config)# access-list 130 permit tcp any any eq smtp north(config)# no access-list 131 north(config)# access-list 131 permit icmp any any echo north(config)# access-list 131 permit icmp any any echo-reply north(config)# interface eth0/0 north(config-if)# rate-limit output access-group 130 1000000 25000 50000 conform-action transmit exceed-action continue north(config-if)# rate-limit output access-group 131 16000 8000 8000 conform-action continue exceed-action drop north(config-if)# rate-limit output 9000000 112000 225000 conform-action transmit exceed-action drop north(config-if)# end north# show interface rate-limit Ethernet0/0 Output matches: access-group 130 params: 1000000 bps, 25000 limit, 50000 extended limit conformed 12 packets, 11699 bytes; action: transmit exceeded 0 packets, 0 bytes; action: continue last packet: 2668ms ago, current burst: 0 bytes last cleared 00:02:32 ago, conformed 0 bps, exceeded 0 bps matches: access-group 131 params: 16000 bps, 2500 limit, 2500 extended limit conformed 130 packets, 12740 bytes; action: continue exceeded 255 packets, 24990 bytes; action: drop last packet: 7120ms ago, current burst: 2434 bytes last cleared 00:02:04 ago, conformed 0 bps, exceeded 990 bps matches: all traffic params: 9000000 bps, 112000 limit, 225000 extended limit conformed 346 packets, 27074 bytes; action: transmit exceeded 0 packets, 0 bytes; action: drop last packet: 7140ms ago, current burst: 0 bytes last cleared 00:01:40 ago, conformed 2000 bps, exceeded 0 bps north# In this second example, CAR is being used to throttle a TCP SYN flood attack. Trong ví dụ 2 này, CAR đang được dùng để tiết lưu một đợt tấn công làm lụt (flood attack) vào TCP SYN. north(config)# no access-list 160 north(config)# access-list 160 deny tcp any any established north(config)# access-list 160 permit tcp any any syn north(config)# interface eth0/0 north(config-if)# rate-limit input access-group 160 64000 8000 8000 conform-action transmit exceed-action drop north(config-if)# end north# Qui tắc CAR trong ví dụ trên đơn giản hủy bỏ các gói TCP SYN đã quá giới hạn. Trong trường hợp này, lưu lượng đã được xác thực cũng có thể bị ảnh hưởng. Nếu bạn khoanh vùng được nguồn của đợt tấn công (có thể là một dải IP) thì bạn có thể bảo vệ có chọn lọc hơn bằng cách sát nhập vùng địa chỉ vào danh sách truy cập đã xác định của khối. Để xem thêm một ví dụ nữa về sử dụng CAR chống lại đợt tấn công từ chối dịch vụ DoS, xem [10]. 4.3.7. Tham khảo [1] Chapman, D. Brent and Zwicky, Elizabeth D., Building Internet Firewalls, O’Reilly Associates, 1995. Cung cấp các thông tin hữu ích về cách lọc gói tin của các dịch vụ thường dùng, như là SMTP, FTP, Telnet, ... [2] Karrenberg, D., Moskowitz, B. and Rekhter, Y. “Address Allocation for Private Internets”, RFC 1918, February 1996. Mô tả cấu tạo địa chỉ IP cho mạng nội bộ tư nhân. Internet Assigned Numbers Authority đã dành 3 khối vùng địa chỉ IP sau cho mạng nội bộ tư nhân: 10.0.0.0 – 10.255.255.255, 172.16.0.0 – 172.31.255.255, và 192.168.0.0 – 192.168.255.255. [3] Held, G., and Hundley, K., Cisco Access List Field Guide, McGraw-Hill, 1999. Thông tin chi tiết về danh sách điều khiển truy cập và nhiều ví dụ về cấu trúc và cách sử dụng danh sách. [4] Held, G., and Hundley, K., Cisco Security Architectures, McGraw-Hill, 1999 Một giới thiệu hữu ích về bảo mật router và về danh sách truy cập. [5] Cisco IOS Release 12.0 Security Configuration Guide, Cisco Press, 1999. Tham khảo và chỉ dẫn các tính năng bảo mật trong IOS 12.0. Bao gồm thông tin về Ngăn chặn TCP, bản thân danh sách truy cập, và danh sách truy cập động. [6] Ferguson, P. and Senie, D. “Network Ingress Filtering: Cung cấp tổng quan về lọc địa chỉ nguồn. [7] Cisco ISP Essentials, version 2.9, Cisco Systems, June 2001. Tập tin IOSEssentialsPDF.zip có ở http://www.cisco.com/public/cons/isp/documents . Chỉ dẫn chi tiết về thiết lập danh sách truy cập trong nhiều tình huống khác nhau, và một thảo luận hữu ích về các vấn đề cần xem xét đối với quá trình thực thi. [8] Sedayao, J., Cisco IOS Access Lists, O’Reilly Associates, 2001. Chỉ dẫn chi tiết về danh sách truy cập, bao gồm báo cáo về sử dụng danh sách truy cập bằng các giao thức định tuyến. [9] “Selecting Burst and Extended Burst Values for Class-based Policing”, Cisco Tech Note, Cisco Systems, Feb 2002. Có tại http://www.cisco.com/warp/public/105/carburstvalues.html Mô tả mô hình nhóm mã thông báo CAR và tham số kích thước của truyền loạt khá chi tiết; chỉ dẫn cách chọn các giá trị hữu dụng. [10] “Using CAR During DOS Attacks”, Cisco Tech Note, Cisco Systems, 2001. Có tại http://www.cisco.com/warp/public/63/car_rate_limit_icmp.html Xem qua một ví dụ chi tiết về CAR liên quan đến quá trình làm lụt (flooding) ICMP. 4.4. Định tuyến và giao thức định tuyến “Một phương thức là một mô tả hình thức của một tập hợp các qui tắc và qui ước chi phối cách trao đổi thông tin của các thiết bị trên một mạng máy tính”[5]. Phần này ta sẽ bàn luận 2 loại giao thức cơ bản, sẽ tập trung vào loại 2. Hai loại giao thức đó là: Giao thức tuyến định Đó là các giao thức có thể được định tuyến bằng một router. Giao thức tuyến định cho phép router diễn dịch chính xác mạng logic. Vài ví dụ về giao thức này là IP, IPX, Apple Talk, và DECnet. Giao thức định tuyến “Một giao thức định tuyến thu thập thông tin về các mạng hiện hữu và khoảng cách hoặc giá cả để liên lạc đến các mạng đó.”[7] Các giao thức này hỗ trợ giao thức tuyến định và được dùng để duy trì bảng định tuyến. Vài ví dụ về giao thức này là OSPF, RIP, BGP, và EIGRP. Tất cả các ví dụ trong phần này đều dựa trên kiến trúc mạng trên hình 4-1 Giao thức tuyến định Thông dụng nhất là cặp TCP/IP; cơ sở của nó là Giao thức mạng Internet Protocol IP. Phần này không đi sâu vào giao thức này, vì nó vượt quá phạm vi tài liệu hướng dẫn này, xem [6] để biết thêm hướng dẫn. ARPA đã tài trợ cho việc phát triển IP trong hơn 25 năm qua trong dự án ARPANET. Ngày nay, nó là nền tảng của Internet toàn cầu. Sự lớn mạnh và phổ biến của nó có thể qui cho khả năng kết nối các mạng máy tính khác nhau bất kể môi trường vật lý nào, và do bản chất linh hoạt và mở của kiến trúc mạng IP. IP được thiết kế để sử dụng trên các mạng lớn; bằng cách sử dụng IP, một máy chủ kết được nối bất cứ đâu trên mạng có thể giao tiếp với bất cứ mày nào khác. Trong thực tế, các ứng dụng máy chủ hầu như không bao giờ sử dụng IP thô để giao tiếp. Thay vào đó, chúng dùng một trong 2 phương thức truyền tải qua lớp được xây dựng dựa trên IP: đó là TCP (Transmission Control Protcol = Giao thức điều khiển số liệu) hoặc UDP (User Datagram Protocol = Giao thức gam dữ liệu người dùng). Việc dùng TCP hay UDP đều không liên quan gì đến việc định tuyến (có vai trò dành riêng ở lớp mạng). Từng máy chủ IP không cần biết đường trong mạng để đến với máy chủ khác mà chỉ cần biết địa chỉ của một hoặc một số nhỏ các router. Các router đó có nhiệm vụ chỉ đường cho từng gói tin IP đến chỗ nó cần đến. Trong một mạng nhỏ, từng router có thể chỉ đơn giản nối trực tiếp tới các router khác. Dĩ nhiên trong các mạng lớn, làm như thế rất tốn kém. Thay vì làm như vậy, từng router duy trì một bảng tuyến trong đó có thông tin về cách chuyển các gói tin đến địa chỉ của chúng. Đối với bất kì mạng IP lớn nào, thao tác này có chính xác, có hiệu quả, có bảo mật hay không đều tùy thuộc vào sự toàn vẹn của bảng tuyến của mạng đó. Để có thêm thông tin chi tiết về các khái niệm định tuyến, xem [6]. Bảng tuyến và Giao thức định tuyến Nhiệm vụ cơ bản của một router là gửi gói tin đến địa chỉ đã định. Để thực hiện điều này, từng router cần một bảng tuyến. Từng router xây dựng bảng tuyến cho nó dựa trên thông tin từ mạng và từ các quản trị viên. Sau đó router dùng một tập hợp phép đo lường, tùy vào nội dung của bảng tuyến và thuật toán định tuyến của nó, để so sánh các tuyến rồi quyết định đường tới đích tốt nhất. Router dùng 4 kĩ thuật cơ bản sau để xây dựng bảng tuyến: 1. Kết nối trực tiếp: Bất cứ phần nào của mạng LAN mà router kết nối trực tiếp đều tự động được thêm vào bảng tuyến. Ví dụ, router Central nối với phần mạng LAN 14.2.9.0/24. 2. Định hướng tĩnh: Với vai trò là người quản trị mạng, bạn có thể xác lập cho router sử dụng một tuyến cho trước đến một đích xác định. Phương pháp này thường trước sau gì cũng dùng khi đã dùng các phương pháp khác 3. Định tuyến động: Dùng router cập nhật thông điệp từ các router khác để tạo tuyến. Thuật toán định tuyến đi với từng giao thức định tuyến xác định sẽ quyết định đường dẫn tối ưu tới đích và cập nhật bảng tuyến. Phương pháp này linh động nhất bởi nó có thể tự động cập nhật những thay đổi trong mạng. 4. Định tuyến mặc định: Dùng tuyến được nhập vào thủ công tới ‘cổng vào của lần dùng cuối’ cụ thể khi các cơ cấu định tuyến khác không nhận biết được tuyến. Phương pháp này hữu dụng nhất cho các router ở biên và các router có vai trò như kết nối nền giữa một mạng LAN nhỏ và mạng lớn như Internet. Các router dựa vào một cổng vào mặc định duy nhất thường không dùng các giao thức định tuyến Mặc dù có nhiều giao thức định tuyến động nhưng có thể chia chúng ra 2 nhóm: nhóm giao thức cổng trong và nhóm giao thức cổng ngoài. Một IGP (Interior Gateway Protocol = giao thức cổng trong) được dùng để trao đổi thông tin tuyến giữa các cổng nằm trong một hệ thống độc lập. Một hệ thống độc lập là một nhóm các thành phần mạng dưới một tên miền được quản lý. Các cổng nằm trong hệ thống độc lập sử dụng thông tin tuyến được truyền bởi các thông điệp IGP để phân luồng lưu lượng. Một EGP (Exterior Gateway Protocol = Giao thức cổng ngoài) được dùng để trao đổi thông tin tuyến giữa các hệ thống độc lập. Theo tiêu chuẩn, mặc dù không phổ biến, thì các IGP được giao việc trên các router trong, và các EGP thì trên các router xương sống. Các router biên có thể dùng một trong hai hay cả hai tùy thuộc vào cấu trúc mạng tìm thấy chúng. BGP-4 (Border Gateway Protocol version 4 = Giao thức cổng biên phiên bản 4) là EGP dùng để truyền thông tin giữa các mạng độc lập trên Internet. Phần này tập trung vào một số nhỏ các giao thức định tuyến thông dụng như: RIP, OSPF, BGP và EIGRP. 3 giao thức đầu theo chuẩn IETF, giao thức còn lại EIGRP còn lại do nhà đầu tư xác định. RIP, viết tắt của Routing Information Protocol (giao thức thông tin định tuyến), là một ví dụ về IGP định hướng từ xa. OSPF, Open Shortest Path First = Mở đường ngắn nhất trước, là một ví dụ về IGP của trạng thái đường nối. BGP-4 là EGP theo chuẩn IETF. EIGRP, giao thức định tuyến cổng trong mở rộng, là một IGP của riêng Cisco, thường được dùng trong tất cả các mạng Cisco. Dưới đây là bảng so sánh ngắn. Bảng 4-2 – 4 giao thức định tuyến IP phổ biến RIP Giao thức định hướng từ xa: duy trì một danh sách các khoảng cách tới các mạng khác đo bằng bước nhảy, số router một gói tin phải đi ngang qua để đến đích. Bị giới hạn về kích cỡ vì khoảng cách nào quá 15 bước nhảy thì không thể tới được. Trạm truyền thông 30 giây cập nhật 1 lần tất cả các router RIP gần nó. Mỗi bản cập nhật là một bảng tuyến. RIP thích hơp cho các mạng nhỏ OSPF Giao thức trạng thái đường truyền: sử dụng đơn vị đo dựa trên tốc độ đường truyền để quyết định đường tới các mạng khác. Mỗi router duy trì một bản đồ giản lược của toàn bộ mạng. Các bản cập nhật được gửi bằng kĩ thuật multicast và được gửi chỉ khi nào cấu hình của mạng thay đổi. Mỗi bản cập nhật chỉ bao gồm những thay đổi đến mạng. OSPF thích hợp cho các mạng lớn EIGRP Giao thức định hướng từ xa: duy trì một tập hợp các đơn vị đo lường phức tạp đo khoảng cách đến các mạng khác và kết hợp chặt chẽ với vài tính năng của các giao thức trạng thái đường truyền. Trạm truyền thông cứ 90 giây cập nhật một lần cho tất cả các EIGRP gần nó. Mỗi bản cập nhật chỉ bao gồm các thay đổi đến mạng. EIGRP thích hợp các cho mạng lớn. BGP Một giao thức cổng ngoài định hướng từ xa nhờ một nhóm các qui tắc duy trì các con đường tới các mạng. Các bản cập nhật được gửi trên khắp các kết nối TCP giữa các đẳng đã được xác định cụ thể. BGP-4 nhờ khối tuyến hỗ trợ các mạng cực lớn như Internet. Một khía cạnh quan trọng nữa của lược đồ giao thức định tuyến là lượng thời gian cần thiết để kiến trúc mạng hay những thay đổi về kết nối đựơc thể hiện trong bảng tất cả các router bị ảnh hưởng. Khía cạnh này thường được gọi là tốc đô hội tụ. Ví dụ, trong một mạng lớn OSPF nhanh hơn nhiều so với RIP. Việc cấu hình định tuyến trong các mạng IP có thể là công việc phức tạp, và cũng nằm ngoài phạm vi của hướng dẫn này. Định tuyến chắc chắn tạo ra nhiều vấn đề về bảo mật, và IOS của Cisco cung cấp nhiều dịch vụ bản mật trong quá trình định tuyến; Phần này bàn luận vài vấn đề bảo mật và mô tả tương đối chi tiết nhiều dịch vụ bảo mật. Để biết các hướng dẫn chung về các giao thức định tuyến, xem tài liệu của Cisco hoặc [3]. 4.4.1. Các rủi ro thường gặp khi định tuyến Một câu hỏi thường không được chú ý là “Tại sao ta lại phải cần chuốc lấy lo lắng về bảo mật mạng?”. Một câu hỏi hay hơn là “Kẻ phá hoại có thể gây những tổn thất nào đến mạng của ta?” Phần 3 giới thiệu vài động cơ thúc đẩy bảo mật router toàn diện. Phần này tập trung vào các vấn đề bảo mật liên quan đến định tuyến và giao thức định tuyến. Bảo mật quá trình định tuyến cần là một ưu tiên hàng đầu đối với các quản trị viên muốn: Ngăn cản sự truy cập trái phép đến tài nguyên mạng, Bảo vệ thông tin nhiệm vụ tránh bị phơi bày và sửa chữa không được phép, Ngăn cản sự gián đoạn và từ chối thực thi trong dịch vụ Router hoặc tên miền định tuyến không được bảo vệ sẽ trở thành một mục tiêu cho các kẻ tấn công có hiểu biết về mạng. Ví dụ, kẻ tấn công gửi các gói tin cập nhật định tuyến không đúng đến một router không được bản vệ có thể dễ dàng gây bất ổn cho bảng tuyến của router. Bằng cách này, kẻ tấn công có thể định lại tuyến của các lưu lượng trên mạng theo ý muốn. Chìa khóa để ngăn ngừa những kiểu tấn công như vậy là bảo vệ bảng tuyến tránh các thay đổi không phép và nguy hiểm. Có 2 lối tiếp cận cơ bản nhằm bảo vệ sự ổn định của bảng tuyến: 1. Sử dụng các tuyến tĩnh – Có thể phù hợp với mạng nhỏ, nhưng không ổn định trong mạng lớn. 2. Chứng thực các bản cập nhật bảng tuyến – Bằng cách dùng giao thức đinh tuyến có chứng thực, các quản trị mạng có thể phát hiện ra các đợt tấn công dựa trên các thay đổi định tuyến không phép. Các bản cập nhật được chứng thực chắc rằng các thông điệp cập nhật đến từ các nguồn xác thực, các thông điệp không thật sẽ tự động được hủy bỏ. Một dạng tấn công khác một kẻ phá hoại có thể cố đối với router là dạng tấn công từ chối dịch vụ. Dạng này có thể thực hiện bằng rất nhiều cách. Ví dụ, việc ngăn cản các thông điệp cập nhật router gửi đi hay nhận và sẽ dẫn đến sự hạ xuống của vài phần của mạng. Để kháng cự các đợt tấn công từ chối dịch vụ và hồi phục nhanh chóng, các router cần các tuyến sao lưu và hội tụ mau lẹ. 4.4.2. ARP và các mạng LAN Tuy nhiên vì ARP cũng như ARP proxy đều không có bản mật. Điểm yếu bảo mật chủ yếu của ARP là ở chỗ nó không phải được thiết kế để dùng bất kì xác lập chứng thực nào. Bất cứ ai trên phần mạng LAN đều có thể sửa đổi mục vào của cạc (cache) ARP của router phục vụ phần mạng đó. Vì thế, nếu một máy chủ trên mạng không dùng các cổng vào mặc định nhưng thay vào đó là dùng các ARP proxy để xử lý quá trình định tuyến thì điều này cũng dễ xảy ra với các tuyến xấu và nguy hiểm. Trong bất cứ trường hợp nào, không nên dùng ARP proxy nữa và nên vô hiệu hóa nó. Ví dụ sau mô tả cách làm. Central# config t Enter configuration commands, o¬ne per line. End with CNTL/Z. Central(config)# interface ethernet0/0 Central(config-if)# no ip proxy-arp Central(config-if)# exit Central(config)# interface ethernet0/1 Central(config-if)# no ip proxy-arp Central(config-if)# end Central# 4.4.3. Các bảng tuyến, các tuyến tĩnh và các giao thức định tuyến Phần này mô tả cách bảo vệ router tránh các rủi ro thường thấy khi định tuyến. Phần này tập trung vào việc sử dụng chứng thực router ngang hàng với các giao thức cổng trong. Vài chỉ dẫn về bảo mật cho các giao thức một cổng ngoài, BGP-4, được dành riêng vào phần 4.4.5. Chứng thực router lân cận Mục đích cơ bản của chứng thực router lân cận là bảo vệ sự bền vững của một tên miền định tuyến. Trong trường hợp này, chứng thực xảy ra khi 2 router lân cận trao đổi thông tin định tuyến. Chứng thực sẽ bảo đảm router nhận sát nhập vào bảng tuyến của nó các thông tin tuyến mà router gửi đã được chứng thực thực thực sự định gửi. Việc này ngăn cản một router đã được chứng thực chấp nhận và thực thi các bản cập nhật không phép, nguy hiểm, hoặc gián đoạn có thể nguy hại tới bảo mật hay hiệu lực của mạng. Một nguy hại như thế có thể dẫn đến nguy cơ định tuyến lại các lưu lượng, một sự từ chối dịch vụ, hay đơn giản cho phép một người không được phép quyền truy cập các gói tin nhất dịnh. Chứng thực OSPF Chứng thực router lân cận là một cơ chế mà khi được áp dụng đúng đắn có thể ngăn ngừa nhiều đợt tấn công định tuyến. Mội một router thực hiện chứng thực bằng khóa chứng thực mà chúng có. Có nghĩa là tất cả các router nối tới cùng phần mạng cùng dùng một khóa mật chung. Từng router gửi sau đó dùng khóa này để đánh dấu thông điệp cập nhật bảng tuyến. Router nhận kiểm tra khóa chung để quyết định thông điệp có nên nhận hay không. Phần này mô tả cách thiết lập chứng thực router lân cận trong OSPF, vì nó là một minh họa sinh động cho nguyên tắc cơ bản này; chứng thực trong RIP phiên bản 2 và EIGRP tương tự. OSPF dùng 2 loại chứng thực lân cận: văn bản thô và thông điệp mã hóa MD5. Chứng thực văn bản thô dùng khóa chung của mọi router trên phần mạng. Khi một router gửi xây dựng một gói tin OSPF, nó đánh dấu gói tin bằng cách thay khóa bằng văn bản thô vào trong phần đầu của OSPF. Router nhận sau đó sẽ so sánh khóa nhận được với khóa trong bộ nhớ. Nếu 2 khóa trùng nhau thì router nhận chấp nhận gói tin. Bằng không thì router nhận bãi bỏ gói tin. Phương thức này không bảo mật cao vì khóa được lưu trong gói tin dưới dạng văn bản thô. Dùng cách này sẽ làm lộ khóa mật cho kẻ tấn công dùng thiết bị dò mạng vào đúng phần mạng LAN nạn nhân. Một khi kẻ tấn công lấy được khóa mật rồi, chúng có thể làm rối một router đã chứng thực. Phương thức thứ hai, bảo mật hơn, là chứng thực thông điệp đã được mã hóa. Hình 4-3 cho thấy một ví dụ về mạng với các giao thức định tuyến của nó. Trong ví dụ này, các router North, East và Central cùng chung khóa mật, r0utes-4-all, ID của khóa là 1. Mỗi khóa chứng thực nhau sử dụng phương thức chứng thực mã hóa MD5, giá trị chứng thực mã hóa giả sử là 2. Hình 4-4 cho thấy East chứng thực qua North. Đầu tiên East xây dựng một gói tin OSPF, cả phần đầu lẫn phần thân. Sau đó nó lấy một khóa chính để dùng trên phần mạng. Trong trường hợp này, khóa đó là r0utes-4-all. ID tương ứng của khóa, 1, được đặt ở phần đầu gói tin. East đồng thời cũng đặt một dãy số 32 bit vào phần đầu gói tin. Dãy số này bảo vệ tránh những đợt tấn công lặp lại sao cho không có 2 gói tin OSPF nào có cùng giá trị băm. Dãy số này tăng 1 đơn vị mỗi khi có gói tin mới. Cuối cùng, khóa mật được nối thêm vào gói tin. East thực thi thuật toán băm mã hóa, MD5, cho gói tin OSPF. Kết quả, 16 byte, được viết chồng lên khóa mật đã được nối thêm vào gói tin. Router nhận, North, dựa vào ID của khóa để quyết định khóa nào đã được dùng để sinh mã băm hay kí hiệu xác nhận. Sau đó router nhận dùng khóa của nó để sinh lại mã băm cho gói tin đã nhận theo cùng cách mà router gửi đã làm. Nếu mã băm vừa sinh ra phù hợp với mã băm được gửi từ router East thì router North sẽ chấp nhận gói tin. Bằng không thì nó sẽ coi như gói tin không hợp lệ và hủy. Chứng thực văn bản OSPF Phương thức này kiến nghị không nên dùng, dùng phương thức MD5 tốt hơn, xem bên dưới. Chứng thực mã hóa MD5 OSPF Ví dụ dưới đây minh họa một ví dụ về thiết lập MD5 cho chứng thực lân cận router OSPF. Các bản ghi của ví dụ dưới đây cho thấy các router North và East nhận khóa r0utes-4-all. Thực tế thì tất cả các router tham gia vào mạng đã cho nên được cấu hình tương tự dùng cùng khóa. Dùng ví dụ mạng ở hình 4-1, router Central cũng sẽ phải được cấu hình chứng thực MD5 và dùng cùng khóa như bên dưới đây. North# config t Enter configuration commands, o¬ne per line. End with CNTL/Z. North(config)# router ospf 1 North(config-router)# network 14.1.0.0 0.0.255.255 area 0 North(config-router)# area 0 authentication message-digest North(config-router)# exit North(config)# int eth0/1 North(config-if)# ip ospf message-digest-key 1 md5 r0utes-4-all North(config-if)# end North# East# config t Enter configuration commands, o¬ne per line. End with CNTL/Z. East(config)# router ospf 1 East(config-router)# area 0 authentication message-digest East(config-router)# network 14.1.0.0 0.0.255.255 area 0 East(config-router)# network 14.2.6.0 0.0.0.255 area 0 East(config-router)# exit East(config)# int eth0 East(config-if)# ip ospf message-digest-key 1 md5 r0utes-4-all East(config-if)# end East# Chứng thực RIP Giao thức định tuyến RIP cũng hỗ trợ chứng thực đề ngăn ngừa các đợt tấn công. Phương thức chứng thực của RIP rất giống với của OSPF mặc dù các lệnh IOS có hơi khác nhau. Các router RIP lân cận dùng chung các khóa mật. Mỗi router gửi sử dụng các khóa này để sinh mã băm sát nhập vào từng thông điệp cập nhật RIP. Router gửi sau đó dùng khóa mật chung để kiểm tra giá trị băm và quyết định thông điệp có được chấp nhận hay không. Chứng thực văn bản thô RIP Phương thức này kiến nghị không nên dùng, dùng phương thức MD5 tốt hơn dưới đây. Chứng thực MD5 cho RIP Ví dụ dưới đây minh họa một ví dụ về cách thiết lập MD5 cho chứng thực lân cận router RIP. Các bản ghi của ví dụ bên dưới cho thấy các router trong hình 4-3, Central và South, nhận khóa my-supersecret-key, lần lượt chứa trong chuỗi khóa của chúng. Thực tế, tất cả các router nối với một mạng đã cho phải được cấu hình tương tự. Có nghĩa là tất cả các router phải có một hoặc nhiều khóa chung. Trước khi kích hoạt chứng thực MD5 cho RIP, từng router lân cận phải có một khóa chung. RIP quản lý các khóa chứng thực bằng việc dùng chuỗi khóa. Một chuỗi khóa là một nơi chứa nhiều khóa với ID của khóa đi kèm và thời gian tồn tại của chúng. Nhiều khóa với thời gian sống khác nhau có thể tồn tại. Tuy thế chỉ có một gói tin chứng thực được gửi đi. Router kiểm tra các số khóa theo thứ tự từ thấp đến cao và sử dụng khóa hợp lệ đầu tiên nó bắt gặp được. HVA-Translator group