1. Vấn đề Eavesdropping và Session Replay:
Khi bạn truyền dữ liệu giữa 2 máy tính trên Internet thì có thể bị nghe trộm (Eavesdropping), và bị kẻ xấu đổi nội dung packet rồi gởi lại (Session Replay). Cách phòng chống hiệu quả nhất là sử dụng IPSec VPN. Ngoài ra trước đây giải pháp được sử dụng nhiều là SSL.
2. Chống lại Unauthorized Access, Data Manipulation:
Những trường hợp sau các bạn cần filter ở interface kết nối với Internet:
- Packet đi vào có source IP address là Private address
- Packet đi vào có source IP address là Internal address
- Packet đi vào có destination IP address không thuộc vùng DMZ
- Packet đi vào có IP thuộc dãy loopback
- Packet đi vào thuộc loại BOOTP, DHCP, TFTP, Traceroute
Ví dụ sau đây cấm Internal (trường hợp này cũng là private) address đi vào:
Code:
NTCRouter(config)#access-list 110 deny ip 172.16.1.0 0.0.0.255 any
NTCRouter(config)#interface s0/0
NTCRouter(config-if)#access-group 110 in
Ví dụ sau đây không cho phép 1 kết nối được tạo từ bên ngoài:
Code:
Lab_B(config)#access-list 110 deny tcp any any established
Lab_B(config)#access-list 110 permit tcp any any
Lab_B(config)#interface s0/0
Lab_B(config-if)#access-group 110 in
3. Chống lại Fighting Rerouting Attacks:Đây là trường hợp có 1 router lạ gởi routing update với thông tin không chính xác nhằm mục tiêu làm router của bạn học các con đường sai. Router này có thể nằm bên trong mạng, cũng có thể nằm bên ngoài mạng, hoặc là 1 máy tính chạy giao thức định tuyến.
Cách phòng chống là tắt các giao thức định tuyến trên các interface không cần thiết (ví dụ interface quay ra ngoài Internet) và cấu hình chứng thực routing protocol cho các Interface khác. Các giao thức hỗ trợ chứng thực:
CODERIPv2 (Routing Information Protocol version 2)
OSPF (Open Shortest Path First)
BGP (Border Gateway Protocol)
EIGRP (Enhanced Internet Gateway Routing Protocol)
Ví dụ về chứng thực EIGRP:
Code:
NTCRouter#conf t
NTCRouter(config)#router eigrp 200
NTCRouter(config-router)#network 10.0.0.0
NTCRouter(config-router)#network 172.16.0.0
NTCRouter(config)#exit
NTCRouter(config)#int s0/0
NTCRouter(config-if)#ip authentication mode eigrp 100 md5
NTCRouter(config-if)#ip authentication key-chain eigrp 100 ntc
NTCRouter(config-if)#exit
NTCRouter(config)#key chain ntc
NTCRouter(config-key)#key 1
NTCRouter(config-key)#key-string 123456789
NTCRouter(config-key)#^Z
NTCRouter#
4. Chống lại Denial of Service Attacks
Phần này đề cập đến kiểu tấn công SYN
- Attacker gởi packet SYN để tạo kết nối
- Máy bên trong mạng (Victim) gởi SYN-ACK và tạo buffer để chờ Attacker gởi dữ liệu
- Attacker không trả lời nữa, mà mở 1 kết nối SYN
Cứ như vậy Attacker sẽ mở rất nhiều kết nối với chỉ 1 packet SYN, làm cho Victim hết bộ nhớ và treo.
Các bạn sử dụng chức năng TCP Intercept để tránh tình trạng này. TCP Intercept có 2 mode:
- Intercept mode: nếu Attacker gởi packet SYN thì router rìa sẽ giữ packet này lại trả lời hộ. Nếu Attacker trả lời thì đây không phải là attacker, lúc này router gởi packet SYN cho máy bên trong vẫn chưa muộn, và dĩ nhiên cần giữ lại packet đầu tiên mà bên trong trả lời.
Còn ngược, Attacker không nói kô rằng thì rõ ràng không nên tiếp tục chơi với nó nữa, ghi nhớ IP này để deny nó.
- Monitor mode: nếu Attacker gởi packet SYN thì router rìa vẫn chuyển cho Victim, nhưng theo dõi kết nối này. Nếu nhận thấy Attacker không trả lời mà lại có nhiều kết nối khác được mở giống như vậy nữa thì router biết rằng máy bên trong đang bị tấn công DoS SYN Attack, nó sẽ ngừng ngay các packet tiếp theo.
Sau đây là ví dụ về việc bảo vệ server 172.16.10.25 khỏi SYN Attack
Code:
NTCRouter#config t
NTCRouter(config)#access-list 151 permit tcp any host 172.16.10.25
NTCRouter(config)#ip tcp intercept list 151
NTCRouter(config)#ip tcp intercept mode intercept
NTCRouter(config)#^Z
NTCRouter#
(Nguồn : www.avnonline.org)
![[Rule]](/hvaonline/templates/viet/images/icon_mini_rule.gif "[Rule]"){kind=icon}
![[Home]](/hvaonline/templates/viet/images/icon_mini_groups.gif "[Home]"){kind=icon}
![[Portal]](/hvaonline/templates/viet/images/icon_mini_portal.gif "[Portal]"){kind=icon}
![[Members]](/hvaonline/templates/viet/images/icon_mini_members.gif "[Members]"){kind=icon}
![[Statistics]](/hvaonline/templates/viet/images/icon_mini_stats.gif "[Statistics]"){kind=icon}
![[Search]](/hvaonline/templates/viet/images/icon_mini_search.gif "[Search]"){kind=icon}
![[Reading Room]](/hvaonline/templates/viet/images/icon_mini_book.gif "[Reading Room]"){kind=icon}
![[Register]](/hvaonline/templates/viet/images/icon_mini_register.gif "[Register]"){kind=icon}
Register![[Login]](/hvaonline/templates/viet/images/icon_mini_login.gif "[Login]"){kind=icon}
Login [
Thảo luận bảo mật
![[Avatar]](/hvaonline/images/avatar/a96604dd2ee67e119335c6083387c559.jpg "[Avatar]")
![[Profile]](/hvaonline/templates/viet/images/en_US/icon_profile.gif "[Profile]"){kind=icon}
![[PM]](/hvaonline/templates/viet/images/en_US/icon_pm.gif "[PM]"){kind=icon}
![[Yahoo!]](/hvaonline/templates/viet/images/icon_yim.gif "[YIM]"){kind=icon}
![[Up]](/hvaonline/templates/viet/images/en_US/icon_up.gif "[Up]"){kind=icon}
![[Print Copy]](/hvaonline/templates/viet/images/en_US/icon_print.gif "[Print Copy]"){kind=icon}
![[digg]](/hvaonline/templates/viet/images/digg.gif "[digg]")
![[delicious]](/hvaonline/templates/viet/images/delicious.gif "[delicious]")
![[google]](/hvaonline/templates/viet/images/google.gif "[google]")
![[yahoo]](/hvaonline/templates/viet/images/yahoo.gif "[yahoo]")
![[technorati]](/hvaonline/templates/viet/images/technorati.gif "[technorati]")
![[reddit]](/hvaonline/templates/viet/images/reddit.gif "[reddit]")
![[stumbleupon]](/hvaonline/templates/viet/images/stumbleupon.gif "[stumbleupon]")