Bài giảng Xây dựng hệ thống Firewall - Bài 1: Các nguyên tắc bảo mật mạng

Nội dung text: Bài giảng Xây dựng hệ thống Firewall - Bài 1: Các nguyên tắc bảo mật mạng

1. MÔN HỌC: XÂY DỰNG HỆ THỐNG FIREWALL Trường Cao đẳng Nghề CNTT iSPACE Khoa Mạng Và An Ninh Thông Tin [email protected] @Email: [email protected] 1
2. MÔN HỌC: XÂY DỰNG HỆ THỐNG FIREWALL Bài 1: CÁC NGUYÊN TẮC BẢO MẬT MẠNG. Bài 2: BẢO MẬT MẠNG SỬ DỤNG CISCO IOS FIREWALL Bài 3: BẢO MẬT MẠNG SỬ DỤNG CISCO IPS Bài 4: BẢO MẬT LAYER 2 Bài 5: TRIỂN KHAI HỆ THỐNG VPN TRÊN CISCO IOS @Email: [email protected] 2
3. BÀI 1: CÁC NGUYÊN TẮC BẢO MẬT MẠNG Cấu hình cho thiết bị các tính năng tự bảo mật, giảm nguy cơ bị tấn công, truy cập thiết bị trái phép. Suy nghĩ như một Hacker Giảm nguy cơ bị tấn công mạng Tắt các dịch vụ mạng và các Interface không sử dụng Bảo mật truy cập quản trị và cấu hình Cisco Router Giảm mối đe dọa và tấn công với ACL Bảo mật cho tính năng Management và Reporting Câu hỏi & bài tập @Email: [email protected] 3
4. MỤC TIÊU BÀI HỌC Nhận biết được các nguy cơ bị tấn công của hệ thống mạng. Giải thích được các bước để hack một hệ thống mạng. Trình bày được các loại tấn công vào hệ thống mạng. Cấu hình giảm nguy cơ bị tấn công mạng trên Cisco Router. Cấu hình bảo mật cho tính năng management và reporting trên Cisco Routers. Cấu hình được tính năng AAA trên Cisco Routers. Cấu hình bảo mật được cho Cisco Routers sử dụng tính năng AutoSecure. @Email: [email protected] 4
5. Suy Nghĩ Như Một Hacker Luôn luôn đóng vai trò như một Hacker để tìm ra các phương thức phòng vệ và bảo mật cho hệ thống. 7 bước để tấn công một hệ thống mạng: B1: Thực hiện phân tích các dấu vết hay các thông tin ban đầu. B2: Chi tiết thông tin. B3: Ghi nhận các thao tác người dùng truy cập. B4: Chiếm dụng những quyền hạn cao hơn.(leo thang đặc quyền). B5: Bổ sung mật khẩu và thu thập bí mật. B6: Cài đặt back doors. B7: Tận dụng hệ thống bị xâm nhập. @Email: [email protected] 5
6. Suy Nghĩ Như Một Hacker Các gợi ý bảo vệ mạng chống lại các hacker Cập nhật các bản vá lỗi . Đóng các dịch vụ không cần thiết và các port. Sử dụng mật khẩu (đủ phức tạp) và thường xuyên thay đổi chúng . Kiểm soát truy cập vào hệ thống vật lý. Cắt giảm đầu vào không cần thiết. Thực hiện sao lưu hệ thống và kiểm tra chúng một cách thường xuyên . Cảnh báo mọi người về social engineering. Mã hóa và mật khẩu bảo vệ dữ liệu nhạy cảm Sử dụng thích hợp bảo mật phần cứng và phần mềm Phát triển một chính sách an ninh bằng văn bản cho công ty @Email: [email protected] 6
7. Giảm Nguy Cơ Hệ Thống Mạng Bị Tấn Công Tìm hiểu các phương thức tấn công và cách phòng chống, làm giảm nguy cơ hệ thống mạng bị tấn công Các loại tấn công mạng: Minimal Intelligence: Reconnaissance Access attacks DoS and DDoS @Email: [email protected] 7
8. Giảm Nguy Cơ Hệ Thống Mạng Bị Tấn Công Reconnaissance Attacks và cách phòng chống: Reconnaissance: là khám phá trái phép và lập bản đồ của các hệ thống, dịch vụ, hoặc các lỗ hổng. Reconnaissance: còn được gọi là thu thập thông tin, và trong hầu hết trường hợp, đứng trước một cuộc tấn công truy cập hay DoS. Các cuộc tấn công Reconnaissance có thể bao gồm: Packet sniffers o Một Packet sniffer là phần mềm ứng dụng sử dụng card mạng trong chế đô promiscuous để bắt những tất cả các gói tin trong mạng. o Khai thác thông tin dạng Plaintext , các giao thức sử dụng Plaintext như : Telnet, FTP, SNMP, POP và HTTP o Phải nằm trên cùng một colision domain o Có thể sử dụng hợp pháp hoặc được thiết kế đặc biệt để tấn công @Email: [email protected] 8
9. Giảm Nguy Cơ Hệ Thống Mạng Bị Tấn Công Reconnaissance Attacks và cách phòng chống: Giảm nguy cơ và phòng chống Packet sniffers: Dùng các kỹ thuật và các công cụ bao gồm: o Chứng thực (Authentication). o Mật mã(Cryptography). o Các công cụ Antisniffer. o Thay đổi cơ sở hạ tầng (Switched infrastructure). @Email: [email protected] 9
10. Giảm Nguy Cơ Hệ Thống Mạng Bị Tấn Công Reconnaissance Attacks và cách phòng chống: Các cuộc tấn công Reconnaissance có thể bao gồm: Port scans và Ping sweeps o Một hacker sử dụng các công cụ để scan các port và ping quét dòxé t qua Internet. o Là công cụ hợp pháp dùng để scan port và ping quét các ứng dụng trên các máy chủ hay các thiết bị để xác định các dịch vụ dễ bị tổn thương. o Thông tin được thu thập bằng cách kiểm tra địa chỉ IP và port của ứng dụng chạy trên cả UDP hay TCP. @Email: [email protected] 10
11. Giảm Nguy Cơ Hệ Thống Mạng Bị Tấn Công Reconnaissance Attacks và cách phòng chống: Các cuộc tấn công Reconnaissance có thể bao gồm: Port scans và Ping sweeps @Email: [email protected] 11
12. Giảm Nguy Cơ Hệ Thống Mạng Bị Tấn Công Reconnaissance Attacks và cách phòng chống: Giảm nguy cơ và phòng chống Port scans và Ping sweeps: Dùng các kỹ thuật và các công cụ bao gồm: o Network-based IPS (NIPS) và Host-based IPS (HIPS) thường có thể thông báo cho bạn biết khi cómột cuộc tấn công reconnaissance. o IPS so sánh lưu lượng truy cập đến hệ thống phát hiện xâm nhập (IDS) hoặc dấu hiệu nhận dạng tấn công (signatures) trong cơ sở dữ liệu IPS. o Một dấu hiệu nhận dạng, như "một số gói tin đến các port đích khác nhau từ cùng một nguồn địa chỉ trong một thời gian ngắn có thể được dùng để phát hiện scan port." @Email: [email protected] 12
13. Giảm Nguy Cơ Hệ Thống Mạng Bị Tấn Công Reconnaissance Attacks và cách phòng chống: Giảm nguy cơ và phòng chống Port scans và Ping sweeps: @Email: [email protected] 13
14. Giảm Nguy Cơ Hệ Thống Mạng Bị Tấn Công Access Attacks và cách phòng chống: Access attacks: Man-in-middle attacks: o Các kẻ tấn công đứng ở giữa lắng nghe thông tin giữa người gửi và người nhận, thậm chí sửa đổi các dữ liệu trước khi gửi đến hai bên. Buffer overflow: o Một chương trình ghi dữ liệu vượt quágiớ i hạn kết thúc của bộ đệm trong bộ nhớ. o Việc tràn bộ đệm cóthê ̉ dẫn đến dữ liệu hợp lệ bị ghi đè. @Email: [email protected] 14
15. Giảm Nguy Cơ Hệ Thống Mạng Bị Tấn Công DoS, DDoS attacks và cách phòng chống: DoS và DDoS attacks: Ví dụ DDoS: @Email: [email protected] 15
16. Giảm Nguy Cơ Hệ Thống Mạng Bị Tấn Công DoS, DDoS attacks và cách phòng chống: IP Spoofing trong DoS và DDoS attacks: Giả mạo địa chỉ IP là một kỹ thuật hacker sử dụng để truy cập trái phép vào máy tính. o Giả mạo địa chỉ IP xảy ra khi một hacker bên trong hay bên ngoài mạng đóng vai trò như máy tính tin cậy đang liên lạc. o Giả mạo địa chỉ bao gồm: . Thêm những dữ liệu độc hại hoặc các lệnh và luồng dữ liệu hiện có . Thay đổi bảng định tuyến. o Giả mạo địa chỉ là một một trong các bước cơ bản trong kiểu tấn công DoS hay DDoS. @Email: [email protected] 16
17. Giảm Nguy Cơ Hệ Thống Mạng Bị Tấn Công DoS, DDoS attacks và cách phòng chống: Các phòng chống DoS và DDoS attacks: Anti-spoof: một bộ lọc chứa danh sách truy cập thích hợp với tính năng unicast reverse path forwarding nhằm dựa vào bảng định tuyến để xác định gói tin giả mạo, vô hiệu hoá các tuỳ chọn con đường nguồn. Anti-DoS: tính năng này giới hạn số lượng half-open các kết nối TCP mà hệ thống cho phép ở bất kỳ thời điểm nào. Hạn chế tỉ số traffic: mọi tổ chức có thể thực hiện hạn chế tỉ số giao tiếp với ISP. @Email: [email protected] 17
18. Giảm Nguy Cơ Hệ Thống Mạng Bị Tấn Công Các loại tấn công mạng: Intelligence: @Email: [email protected] 18
19. Giảm Nguy Cơ Hệ Thống Mạng Bị Tấn Công Worm, Virus, Trojan Horse Attacks và cách phòng chống: Worm, Virus và Trojan attacks: Các loại worm, virus hay trojan horse dựa vào các lỗ hổng để chúng xâm nhập và tự cài đặt vào hệ thống. Sau khi tiếp cận được mục tiêu chúng chuyển hướng dòtì m các mục tiêu mới theo điều khiển của hacker. Khi hacker đã đạt được mục tiêu cũng là lúc hacker đã chiếm được đặc quyền truy cập và khai thác hệ thống. @Email: [email protected] 19
20. Giảm Nguy Cơ Hệ Thống Mạng Bị Tấn Công Worm, Virus, Trojan Horse Attacks và cách phòng chống: Giảm nguy cơ Worm, Virus và Trojan attacks: Sử dụng các phần mềm Anti-Virus. Cập nhật các bản vá lỗi mới nhất của phần mềm, ứng dụng và kể cả hệ điều hành. Triển khai hệ thống chống xâm nhập trên các host (ví dụ: Cisco Security Agent). Cập nhật kiến thức những phát triển mới nhất về các phương pháp tấn công dựa vào Worm, Virus hay Trojan Horse. Ngăn chặn sự lây lan của Worm hay Virus trong hệ thống mạng, thực hiện cách ly để kiểm dịch, quét sạch các worm hay virus thậm chí là cài đặt lại hệ thống. @Email: [email protected] 20
21. Giảm Nguy Cơ Hệ Thống Mạng Bị Tấn Công Application Layer Attacks và cách phòng chống: Application Layer attacks có các đặc điểm như sau: Khai thác các ứng dụng như: mail, http và ftp, Thường sử dụng các port được phép đi qua các tường lửa (ví dụ: TCP port 80 được dùng trong tấn công máy chủ Web đằng sau một tường lửa). Loại tấn công này thường khó loại bỏ hoàn toàn vì nóluôn dò tìm sử dụng lỗ hổng mới. @Email: [email protected] 21
22. Giảm Nguy Cơ Hệ Thống Mạng Bị Tấn Công Application Layer Attacks và cách phòng chống: Một công cụ điển hình trong Application Layer attacks. Netcat: là công cụ mà đọc hoặc ghi dữ liệu trên bất kỳ kết nối TCP/UDP, chuyển tiếp các kết nối TCP và có thể hành động như một máy chủ TCP/UDP. #nc -h connect to somewhere: nc [-options] hostname port[s] [ports] listen for inbound: nc -l -p port [-options] [hostname] [port] options: -g gateway source-routing hop point[s], up to 8 -G num source-routing pointer: 4, 8, 12, -i secs delay interval for lines sent, ports scanned -l listen mode, for inbound connects -n numeric-only IP addresses, no DNS -o file hex dump of traffic -p port local port number -r randomize local and remote ports -s addr local source address -u UDP mode -v verbose [use twice to be more verbose] port numbers can be individual or ranges: lo-hi [inclusive] @Email: [email protected] 22
23. Giảm Nguy Cơ Hệ Thống Mạng Bị Tấn Công Application Layer Attacks và cách phòng chống: Ví dụ về Netcat: @Email: [email protected] 23
24. Giảm Nguy Cơ Hệ Thống Mạng Bị Tấn Công Application Layer Attacks và cách phòng chống: Cách giảm nguy cơ Application Layer attacks: Tìm hiểu hệ điều hành mạng và các tập tin đăng nhập mạng. Cập nhật các bản vá lỗi mới nhất cho các ứng dụng và kể cả hệ điều hành. Sử dụng hệ thống IPS/IDS để theo dõi, phát hiện và ngăn chặn các cuộc tấn công. @Email: [email protected] 24
25. Giảm Nguy Cơ Hệ Thống Mạng Bị Tấn Công Nguy cơ từ các giao thức quản trị mạng (Management Protocols): Các giao thức quản trị mạng có thể là nguy cơ cho các cuộc tấn công như: SNMP, Syslog, NTP, TFTP. SNMP: sử dụng cơ chế xác thực đơn giản, gửi dữ liệu dạng chữ thô (plaintext). Syslog: dữ liệu được gửi dưới dạng chữ thô giữa các thiết bị quản lý và các host. TFTP: Dữ liệu được gửi dưới dạng chữ thô giữa các máy chủ yêu cầu và máy chủ TFTP. NTP: Với giao thức đồng bộ thời gian, các máy chủ trên Internet không cần sự chứng thực của các máy ngang hàng. @Email: [email protected] 25
26. Giảm Nguy Cơ Hệ Thống Mạng Bị Tấn Công Nguy cơ từ các giao thức quản trị mạng (Management Protocols): Cách giảm nguy cơ từ các giao thức quản trị mạng: Cấu hình quản trị mạng sử dụng cơ chế SSL/SSH. Sử dụng ACL để xác định danh sách truy cập đến máy chủ quản lý, và chỉcho phép truy cập đến các máy chủ quản lý thông qua SSH hay HTTPS, Sử dụng các giao thức quản trị an toàn và bảo vệ dữ liệu với IPSec. Thực hiện RFC 3.704 lọc tại router để làm giảm cơ hội của các hacker từ bên ngoài giả mạo các địa chỉ quản lý của các máy chủ. @Email: [email protected] 26
27. Giảm Nguy Cơ Hệ Thống Mạng Bị Tấn Công Xác định rủi ro và mối đe doạ: Có một số công cụ và kỹ thuật mà cóthể được sử dụng để tìm các lỗ hổng trong mạng. Sau khi xác định được lỗ hổng hay các nguy cơ, chúng ta luôn có thể tìm ra cách bảo vệ và phòng tránh nguy cơ bị tấn công mạng. Một số công cụ phổ biến hiện nay như: Blue’s PortScanner. Wireshark (trước đây là Ethereal) Microsoft Baseline Security Analyzer NMap @Email: [email protected] 27
28. Giảm Nguy Cơ Hệ Thống Mạng Bị Tấn Công Xác định rủi ro và mối đe doạ: Blue’s PortScanner: Là công cụ quét mạng khá nhanh, có thể quét hơn 300 port trong một giây. Cung cấp tính năng quét TCP/UDP với Anti-flood và Ping check. @Email: [email protected] 28
29. Giảm Nguy Cơ Hệ Thống Mạng Bị Tấn Công Xác định rủi ro và mối đe doạ: Wireshark: công cụ quét và phân tích traffic hàng đầu. @Email: [email protected] 29
30. Giảm Nguy Cơ Hệ Thống Mạng Bị Tấn Công Xác định rủi ro và mối đe doạ: Microsoft Baseline Security Analyzer. @Email: [email protected] 30
31. Giảm Nguy Cơ Hệ Thống Mạng Bị Tấn Công Xác định rủi ro và mối đe doạ: Nmap: @Email: [email protected] 31
32. Tắt Các Dịch Vụ Mạng & Các Interface Không Được Sử Dụng Các dịch vụtrên Router cóthê ̉ tạo ra các lỗ hổng cho tấn công như: BOOTP, CDP, FTP, TFTP, NTP, Finger, SNMP, Source IP và Proxy ARP Các rủi ro của Router Service và Interface: Router Cisco có thể được sử dụng như: thiết bị Edge Firewall hay router nội bộ. Các lỗ hổng có thể được khai thác bất kỳ ở router nào, không phụ thuộc vào vị trí của router đó. Lỗ hổng có thể từ các dịch vụ không được bảo mật trên router hay các interface của router không được sử dụng. @Email: [email protected] 32
33. Tắt Các Dịch Vụ Mạng & Các Interface Không Được Sử Dụng Locking Down Routers với AutoSecure: Tính năng AutoSecure được tích hợp từ dòng Cisco IOS phiên bản 12.3 trở về sau này. AutoSecure làcông cụ built-in cho phép loại bỏ các mối hiểm hoạ tồn tại trên router một cách nhanh chóng và dễ dàng. AutoSecure hoạt động ởhai chế độ: Interactive mode: dựa vào những câu hỏi, trả lời tương tác để các bạn lựa chọn cấu hình các dịch vụ trên router và các tính năng liên quan đến bảo mật. None-interactive mode: cấu hình bảo mật cho thiết bị chỉdự a vào những thông số mặc định của cisco IOS mà không có sự thay đổi chỉnh sửa nào. @Email: [email protected] 33
34. Tắt Các Dịch Vụ Mạng & Các Interface Không Được Sử Dụng Locking Down Routers với AutoSecure: Các tính năng của AutoSecure: Management Plane: o Finger, PAD, UDP and TCP small servers, password encryption, TCP keepalive, CDP, BOOTP, HTTP, source routing, gratuitous ARP, proxy ARP, ICMP, direct broadcast, MOP, banner. o Cung cấp password security và SSH. Forwarding Plane: CEF, bộ lọc với ACL. Firewall: Kiểm tra ngữ cảnh truy cập (CBAC) Quản lý quátrì nh login. SSH Access Kiểm soát các dịch vụ truyền thông qua TCP. @Email: [email protected] 34
35. Tắt Các Dịch Vụ Mạng & Các Interface Không Được Sử Dụng Locking Down Routers với AutoSecure: AutoSecure Failure Senarios: Trường hợp cấu hình AutoSecure hoạt động ổn định, thì cấu hình trên router có thể đã bị thay đổi mà không thể khắc phục được. o Trong phiên bản Cisco IOS Release 12.3 (8) T và các phiên bản phát hành sau này có thể cấu hình rollback lại trạng thái ban đầu: . Pre-AutoSecure cấu hình snapshot được lưu trong flash dưới dạng tập tin pre-autosec.cfg . Chúng ta cóthể cấu hình rollback để trả cấu hình về trạng thái ban đâu bằng lệnh: . configure replace flash:pre_autosec.cfg o Nếu router đang sử dụng phiên bản Cisco IOS trước khi phát hành 12.3(8) T, thì trước khi cấu hình AutoSecure chúng ta nên sao lưu cấu hình để dự phòng. @Email: [email protected] 35
36. Tắt Các Dịch Vụ Mạng & Các Interface Không Được Sử Dụng Cấu hình AutoSecure với SDM (Security Device Manager): SDM một trình thuật giao diện đồ họa điều khiển cấu hình Cisco Router một cách đơn giản. SDM cũng cho phép cấu hình cấu hình tường lửa trên Cisco Router khá hiệu quả thông qua Cisco IOS Firewall. SDM cung cấp tính năng Security Audit wizard thực hiện tiến trình kiểm soát sự an ninh trên Cisco Router, ghi nhận đánh giá các lỗ hổng để giúp ta nhanh chóng tìm cách khắc phục. SDM còn có thể thực hiện hầu như tất cả các cấu hình mà AutoSecure cung cấp với tính năng One-Step Lockdown. @Email: [email protected] 36
37. Bảo Mật Truy Cập Quản Trị Và Cấu Hình Cisco Router Để giảm nguy cơ bị tấn công mạng ta phải thực hiện cơ chế bảo mật về quản lý truy cập, cấu hình và quản trị thiết bị Cisco Router. Cấu hình Router Passwords: Cisco IOS cung cấp một số tính năng cải tiến cho phép tăng độ bảo mật hệ thống với password,bao gồm: chiều dài mật khẩu tối thiểu, mãhoa ́ mật khẩu, chứng thực với user. Để thiết lập chiều dài tối thiểu của mật khẩu ta thực hiện lệnh dưới đây: Ví dụ: cấu hình cho độ dài mật khẩu yêu cầu tối thiểu là10 Router(config)# security passwords min-length 10 @Email: [email protected] 37
38. Bảo Mật Truy Cập Quản Trị Và Cấu Hình Cisco Router Cấu hình Router Passwords: Mãhoa ́ tất cả các password trong file cấu hình của Router. Router(config)# service password-encryption Router(config)#service password-encryption Router(config)#exit Router#show running-config enable password 7 06020026144A061E ! line con 0 password 7 0956F57A109A ! line vty 0 4 password 7 034A18F366A0 ! line aux 0 password 7 7A4F5192306A @Email: [email protected] 38
39. Bảo Mật Truy Cập Quản Trị Và Cấu Hình Cisco Router Cấu hình Router Passwords: Nâng cao tính năng bảo mật router với username và password. Router(config)#username rtradmin secret 0 Curium96 Router(config)#username rtradmin secret 5 $1$feb0$a104Qd9UZ./Ak007 @Email: [email protected] 39
40. Bảo Mật Truy Cập Quản Trị Và Cấu Hình Cisco Router Thiết lập Login Failure Rate: Cisco IOS cung cấp một số tính năng để đảm bảo router chống lại các đăng nhập trái phép bằng cách thiết lập Login Failure Rate. Theo mặc định, router cho phép đăng nhập thất bại 10 lần trước khi đợi 10 giây. Tạo ra một thông điệp syslog khi đăng nhập vượt quásô ́ lượng lần truy cập được cho phép. Router(config)# security authentication failure rate threshold- rate log Ví dụ: Router(config)# security authentication failure rate 10 log @Email: [email protected] 40
41. Bảo Mật Truy Cập Quản Trị Và Cấu Hình Cisco Router Xem thông tin login: Router(config)# show login Router(config)#show login A default login delay of 1 seconds is applied. No Quiet-Mode access list has been configured. All successful login is logged and generate SNMP traps. All failed login is logged and generate SNMP traps. Router enabled to watch for login Attacks. If more than 15 login failures occur in 100 seconds or less, logins will be disabled for 100 seconds. Router presently in Watch-Mode, will remain in Watch-Mode for 95 seconds. Present login failure count 5. @Email: [email protected] 41
42. Bảo Mật Truy Cập Quản Trị Và Cấu Hình Cisco Router Xem thông tin login: Router(config)# show login failures Perth(config)#show login failures Information about login failure's with the device Username Source IPAddr lPort Count TimeStamp try1 10.1.1.1 23 1 21:52:49 UTC Sun Mar 9 2003 try2 10.1.1.2 23 1 21:52:52 UTC Sun Mar 9 2003 @Email: [email protected] 42
43. Bảo Mật Truy Cập Quản Trị Và Cấu Hình Cisco Router Thiết lập Timeouts: Mặc định giao diện cấu hình router được active trong khoảng thời gian 10 phút của một phiên làm việc. Chúng tra cần điều chỉnh thời gian này thành từ 2 hay 3 phút thôi. Nếu thiết lập giá trị exec-timeout 0 có nghĩa là không có thời gian chờ và phiên làm việc sẽluôn luôn ởtrạ ng thái active. Do vậy chúng ta không nên dùng câu lệnh exec-timeout 0. @Email: [email protected] 43
44. Bảo Mật Truy Cập Quản Trị Và Cấu Hình Cisco Router Thiết lập Multiple Privilege Levels: Cisco Router cho phép cấu hình ởtừ ng mức độ đặc quyền khác nhau trên từng quản trị viên. Đối với các Cisco IOS mới khi ta đăng nhập vào thì mặc định giao diện dòng lệnh của ta đang ởcấ p độ đặc quyền là 1. Ở level này thì các lệnh cấu hình bị hạn chế. Khi ta chuyển sang chế độ enable (quyền root) thì cấp độ đặc quyền thay đổi là15 , lúc này chúng ta có thể toàn quyền sử dụng tất cả các lệnh trên router. Giả sử router được cấu hình bởi nhiều user khác nhau thì mỗi người sẽđượ c cấu hình với một cấp độ đặc quyền khác nhau: Để thực hiện việc phân quyền chúng ta có thể định nghĩa cho từng cấp độ lệnh cho từng user khác nhau từ 1 đến 14. User đăng nhập ở cấp độ cao hơn thì cóthê ̉ thực thi được những lệnh ở cấp độ thấp hơn. @Email: [email protected] 44
45. Bảo Mật Truy Cập Quản Trị Và Cấu Hình Cisco Router Thiết lập Multiple Privilege Levels: Định nghĩa enable password cho các level. Router>enable Router#show privilege Current Privilege level is current 15 Router#configure terminal Router(config)#enable secret level 2 level2 @Cấu hình password cho level 2 là level 2 Router(config)#enable secret level 3 level3 @Cấu hình password cho level 3 là level 3 @Đăng nhập vào ở cấp độ level 2 ta thực hiện như sau: Router>enable 2 ! Số 2 đại diện cho level 2 ! Password:level2 Router#show running-config ^ % Invalid input detected at '^' marker. @Email: [email protected] 45
46. Bảo Mật Truy Cập Quản Trị Và Cấu Hình Cisco Router Cấu hình Banner Message: Banner message được sử dụng để cảnh báo những kẻ xấu xâm nhập không được chào đón vào hệ thống mạng của bạn. Có bốn biến lệnh được sử dụng trong banner message: $(hostname): hiển thị tên router $(domain): hiển thị domain của router. $(line): hiển thị số line vty hay tty $(line-desc): hiện mô tả của các line vty hay tty. Ví dụ: Router(config)#banner motd % WARNING: You are connected to $(hostname) on the Cisco Systems, Incorporated network. Unauthorized access and use of this network will be vigorously prosecuted. % @Email: [email protected] 46
47. Bảo Mật Truy Cập Quản Trị Và Cấu Hình Cisco Router Cisco IOS Role-based CLI Access: Tính năng role-based CLI cho phép các quản trị viên xác định các “view”, làtậ p hợp của các câu lệnh cấu hình và khả năng chọn lựa truy cập hoặc chỉứ ng dụng một phần lệnh EXEC của Cisco IOS. View giới hạn sự truy cập ởngườ i sử dụng Cisco IOS CLI và các thông tin cấu hình. CLI View cung cấp khả năng kiểm soát truy cập chi tiết hơn cho các quản trị mạng, đặc biệt hơn chế độ privilege level là đăng nhập ởview nào thì chỉthấ y ởview đó. @Email: [email protected] 47
48. Bảo Mật Truy Cập Quản Trị Và Cấu Hình Cisco Router Bảo mật tập tin cấu hình: Bật tính năng phục hồi Cisco IOS Image: Router(config)# secure boot-image Tạo bản sao cho running configuration Router(config)# secure boot-config Hiển thị thông tin trạng thái khả năng phục hồi image hay tập tin cấu hình. Router# show secure bootset Router(config)#secure boot-image Router(config)#secure boot-config Router #show secure bootset @Email: [email protected] 48
49. Giảm Mối Hiểm Họa Và Tấn Công Với ACL ACL là một trong những công cụ hiệu quảcho việc giảm nguy cơ hệ thống mạng bị tấn công, giới hạn traffic truy cập vào hệ thống mạng. Cisco ACL (Access Control List): ACL là một danh sách các mệnh được định nghĩa các điều khiển cho phép hay không cho phép các đối tượng truy cập. Cisco Router sử dụng ACLs như bộ lọc gói tin để quyết định các gói tin có thể truy cập một dịch vụ trên router hoặc được phép đi qua một interface trên router. Cisco Router hỗ ba loại ACLs sau: Standard ACLs. Extended ACLs. Enhanced IP ACLs. @Email: [email protected] 49
50. Giảm Mối Hiểm Hoạ Và Tấn Công Với ACL ACL apply trên interface: ACLs phải được apply lên interface của router. ACLs được apply theo luồng dữ liệu đi vào (Inbound) hay đi ra (Outbound). @Email: [email protected] 50
51. Giảm Mối Hiểm Hoạ Và Tấn Công Với ACL Sử dụng Traffic Filtering với ACL: Sử dụng ACL để lọc dữ liệu vào hay ra trên các router hay firewall. Sử dụng ACL để vô hiệu hóa hay giới hạn sự truy cập vào các dịch vụ, các port và các giao thức. @Email: [email protected] 51
52. Giảm Mối Hiểm Hoạ Và Tấn Công Với ACL Ứng dụng Traffic Filtering với ACL để hạn chế hiểm họa: Giảm nguy cơ giả mạo địa chỉIP (Outbound): R2(config)#access-list 105 permit ip 10.2.1.0 0.0.0.255 any R2(config)#access-list 105 deny ip any any log R2(config)#interface e0/1 R2(config-if)#ip access-group 105 in R2(config-if)#end @Email: [email protected] 52
53. Bảo Mật Cho Tính Năng Management Và Reporting Các tính năng managemet và reporting cũng cóthể là lỗ hổng cho các mối đe doạ tấn công Bảo mật cho Management và Reporting. Xây dựng bảo mật cho tính năng Management và Reporting: Hệ thống Management và Reporting rất quan trọng, nhưng sẽ cómộ t số khó khăn nếu số thiết bị giám sát khá lớn thì lượng thông tin có thể sai lệch và dữ liệu có thể bị bad. Để hệ thống hiểu quả chúng ta cần trả lời hệ thống câu hỏi sau: Làm thế nào để tách riêng các message đặc biệt ra khỏi các message thường xuyên ? Làm sao để ngăn chặn các log giả mạo ? Làm thế nào để tính toán các time stamps ? Những dữ liệu nào là cần thiết trong giám sát điều tra (inspect) ? Làm thế nào xử lý khối lượng lớn message log ? Làm thế nào quản lý tất cả các thiết bị? Làm thế nào để có thể theo dõi những thay đổi khi các cuộc tấn công hay các login thất bại diễn ra? @Email: [email protected] 53
54. Bảo Mật Cho Tính Năng Management Và Reporting Kiến trúc bảo mật cho tính năng Management và Reporting: @Email: [email protected] 54
55. Bảo Mật Cho Tính Năng Management Và Reporting Kiến trúc bảo mật cho tính năng Management và Reporting: Information Paths: Thông tin di chuyển giữa các máy quản lý và các host cóthể đi qua hai con đường: o In-Band: Luồng thông tin ở mạng doanh nghiệp, internet hay cả hai. o Out-of-Band (OOB): Các luồng thông tin ở trong mạng doanh nghiệp. @Email: [email protected] 55
56. Bảo Mật Cho Tính Năng Management Và Reporting Kiến trúc bảo mật cho tính năng Management và Reporting: @Email: [email protected] 56
57. Bảo Mật Cho Tính Năng Management Và Reporting Cấu hình SSH Server để bảo mật cho tính năng Management và Reporting: Cấu hình IP Domain Name. Tạo RSA Key Hiển thị Key (option) Cấu hình khoảng thời gian chờ cho SSH. Cấu hình SSH retry. Disable inbound vty Telnet. Enable inbound vty SSH @Email: [email protected] 57
58. Bảo Mật Cho Tính Năng Management Và Reporting Cấu hình SSH Server để bảo mật cho tính năng Management và Reporting: Router#configure terminal Router(config)#ip domain-name cisco.com Router(config)#crypto key generate rsa general-keys modulus 1024 Sept 22 13:20:45: %SSH-5-ENABLED: SSH 1.5 has been enabled Router(config)#ip ssh timeout 120 Router(config)#ip ssh authentication-retries 4 Router(config)#line vty 0 4 Router(config-line)#no transport input telnet Router(config-line)#transport input ssh Router(config-line)#end @Email: [email protected] 58
59. Bảo Mật Cho Tính Năng Management Và Reporting Sử dụng Syslog để bảo mật mạng: Syslog server: Một máy chấp nhận và xử lý các log message từ một hoặc nhiều syslog client. Syslog client: Một máy tạo ra các log message và chuyển chúng đến Syslog server. @Email: [email protected] 59
60. Bảo Mật Cho Tính Năng Management Và Reporting Cisco Log Severity Levels: Syslog Level and Name Definition Example 0 LOG_EMERG A panic condition normally broadcast Cisco IOS software could not to all users load 1 LOG_ALERT A condition that should be corrected Temperature too high immediately, such as a corrupted system database 2 LOG_CRIT Critical conditions; for example, hard Unable to allocate memory device errors 3 LOG_ERR Errors Invalid memory size 4 LOG_WARNING Warning messages Crypto operation failed 5 LOG_NOTICE Conditions that are not error Interface changed state, up or conditions but should possibly be down handled specially 6 LOG_INFO Informational messages Packet denied by ACL 7 LOG_DEBUG Messages that contain information Packet type invalid that is normally used only when debugging a program @Email: [email protected] 60
61. Bảo Mật Cho Tính Năng Management Và Reporting Log Message Format: @Email: [email protected] 61
62. Bảo Mật Cho Tính Năng Management Và Reporting Ví dụ triển khai Syslog: Router(config)#logging 10.2.2.6 Router(config)#logging trap informational Router(config)#logging source-interface loopback 0 Router(config)#logging on @Email: [email protected] 62
63. Bảo Mật Cho Tính Năng Management Và Reporting SNMP Version 3: Simple Network Management Protocol: Giao thức SNMP hoạt động dựa trên giao thức UDP. Dùng để giám sát, quản lý các máy chủ, các thiết bị hoạt động trong hệ thống mạng. Cócá c version: SNMPv1, SNMPv2, SNMPv2c, SNMPv3. Giao thức SNMP gồm một bộ các tiêu chuẩn quản lý mạng: Application Layer Protocol. Database Schema. Set of Data Objects. @Email: [email protected] 63
64. Bảo Mật Cho Tính Năng Management Và Reporting SNMP Version 3: Hệ thống quản lý mạng dựa trên giao thức SNMP bao gồm 3 thành phần sau: Managed Devices: Thiết bị được quản lý. Agent: Phần mềm chạy trên các thiết bị được quản lý. Network Management System (NMS): Phần mềm chạy để quản lý. SNMP hoạt động ở tầng ứng dụng trong mô hình OSI. SNMP Agent nhận các yêu cầu từ NMS thông qua UDP Port 161. NMS nhận các thông báo (Trap, Inform Request) từ Managed Devices thông qua UDP Port 162. @Email: [email protected] 64
65. Bảo Mật Cho Tính Năng Management Và Reporting SNMP Version 3: Community Strings: SNMPv1 và SNMPv2 sử dụng community string để router truy cập các SNMP agent. SNMP community string hoạt động như là password, SNMP community string là một chuỗi văn bản được sử dụng để xác thực thông điệp giữa một trạm quản lý và một SNMP engine. Nếu người quản lý gửi một community string chính xác với thuộc tính read-only, thì người quản lý có thể nhận được thông tin, nhưng không thiết lập được thông tin trong agent. Nếu người quản lý gửi một community string chính xác với thuộc tính read-write, người quản lý có thể nhận được thông tin và có thể thiết lập thông tin agent. @Email: [email protected] 65
66. Bảo Mật Cho Tính Năng Management Và Reporting SNMP Version 3: Community Strings: SNMP Community Strings được dùng để xác nhận các thông tin gửi đi giữa manager và agent. Chỉ khi manager gửi thông điệp với community string đúng thì agent mới trả lời. Mặc định, hầu hết các hệ thống sử dụng SNMP community string đều public. SNMP community strings được gửi ở dạng cleartext gọi là MIB. Do đó, bất cứ ai cũng có khả năng lấy bắt được gói tin MIB nào đó có thể sẽ tìm ra chuỗi này, có thể giả mạo người dùng sửa đổi cấu hình các router qua SNMP. @Email: [email protected] 66
67. Bảo Mật Cho Tính Năng Management Và Reporting SNMP Version 3: Mô hình và các cấp độ bảo mật SNMP: Security Model: chiến lược an ninh sử dụng cho các SNMP agent. Security Level: mức giới hạn cho phép về an ninh trong một security model. @Email: [email protected] 67
68. Bảo Mật Cho Tính Năng Management Và Reporting SNMP Version 3: SNMPv3 Operational Model: @Email: [email protected] 68
69. Bảo Mật Cho Tính Năng Management Và Reporting SNMP Version 3: Tính năng và lợi ích của SNMPv3: Tính năng: o Toàn vẹn message: đảm bảo rằng một gói tin không bị giả mạo. o Authentication: xác thực message đó xuất phát từ một nguồn hợp lệ. o Encryption: mãhoa ́ nội dung của gói tin để tránh các gói tin bị xem trái phép. Lợi ích: o Dữ liệu có thể được thu thập từ các thiết bị SNMP an toàn mà không sợ dữ liệu bị giả mạo hay bị hư hỏng. o Thông tin bí mật vì được mãhoa ́ do SNMPv3 để tránh có nội dung bị hélộ trên mạng. @Email: [email protected] 69
70. Bảo Mật Cho Tính Năng Management Và Reporting Cấu hình SNMP Managed Node: Cấu hình SNMP-Server Engine ID: Để cấu hình một tên cho một trong hai engine SNMP cục bộ hay từ xa trên router, sử dụng lệnh snmp-server engineID trong chế độ cấu hình toàn cục global config mode. Các SNMP engine ID là một chuỗi duy nhất được sử dụng để xác định các thiết bị cho các mục đích quản trị. Nếu một ID nào đó không đủ 24 ký tự của engine ID thì ID sẽ được thêm vào những số 0. o Ví dụ: cấu hình về SNMP-Server Engine ID là 123400000000000000000000, xác định snmp-server engine ID local là 1234000000. @Email: [email protected] 70
71. Bảo Mật Cho Tính Năng Management Và Reporting Cấu hình SNMP Managed Node: Cấu hình Remode Engine ID: Một remote engine phải được tạo ra khi có một SNMP V3 inform được cấu hình. Các remote engine ID được sử dụng để tính toán phân loại bảo mật để xác thực và mã hoá các gói tin được gửi đến một người sử dụng trên các máy từ xa. o Các inform sẽ được xác nhận , khi manager nhận được từ agent sẽ gửi phản hồi lại agent, đảm bảo truyền đến đích. @Email: [email protected] 71
72. Bảo Mật Cho Tính Năng Management Và Reporting Cấu hình SNMP Managed Node: Cấu hình SNMP-Server Group Names: Để cấu hình một group SNMP mới, hoặc một table mà ánh xạ SNMP người sử dụng đến SNMP view, sử dụng các lệnh snmp- server group cấu hình toàn cục global config mode. Một SNMP view là một ánh xạ giữa những đối tượng SNMP và các quyền truy cập có sẵn. Một đối tượng có thể có quyền truy cập khác nhau trong từng view. Quyền truy cập cho biết đối tượng có thể truy cập bằng một community string hoặc một người sử dụng. @Email: [email protected] 72
73. Bảo Mật Cho Tính Năng Management Và Reporting Cấu hình SNMP Managed Node: Cấu hình SNMP-Server Group Names: Router(config)# snmp-server group groupname {v1 | v2c | v3 {auth | noauth | priv}} [read readview] [write writeview] [notify notifyview] [access access- list] Ví dụ: Router1(config)#snmp-server group ispacegroup v3 auth Router1(config)#snmp-server group icaregroup v3 auth priv Xác định một nhóm ispacegroup cho SNMP v3 nhưng không sử dụng chứng thực nhưng không mã hóa. Xác định một nhóm ispacegroup cho SNMP v3 nhưng không sử dụng chứng thực và mã hóa. @Email: [email protected] 73
74. Bảo Mật Cho Tính Năng Management Và Reporting Cấu hình SNMP Managed Node: Cấu hình SNMP-Server Users: Router(config)# snmp-server user username groupname [remote ip- address [udp-port port]] {v1 | v2c | v3 [encrypted] [auth {md5 | sha} auth-password [priv des56 priv-password]]} [access access-list] Ví dụ: Router1(config)#snmp-server user Bill ispacegroup v3 auth md5 john2passwd Router1(config)#snmp-server user John iscaregroup v3 auth md5 bill3passwd des56 password2 Router1(config)#snmp-server group ispacegroup v3 auth Router1(config)#snmp-server group iscaregroup v3 auth priv @Email: [email protected] 74
75. Bảo Mật Cho Tính Năng Management Và Reporting Cấu hình SNMP Managed Node: Cấu hình SNMP-Server Hosts: Để xác định máy nhận message SNMP ta sử dụng lệnh snmp- server host cấu hình toàn cục (global config mode). Router(config)# snmp-server host host-address [traps | informs] [version {1 | 2c | 3 [auth | noauth | priv]}] community-string [udp-port port] [notification- type] Message SNMP có thể được gửi như trap hoặc inform requests. Một thực thể SNMP nhận message inform request acknowledges bên trong SNMP response PDU Ít nhất một lệnh snmp-server host phải được nhập vào. @Email: [email protected] 75
76. Bảo Mật Cho Tính Năng Management Và Reporting Cấu hình SNMP Managed Node: Cấu hình SNMP-Server Hosts: Để có thể gửi một “inform", thực hiện các bước sau: o Cấu hình một engine ID từ xa. o Cấu hình một user từ xa. o Cấu hình một nhóm trên một thiết bị từ xa. o Enable traps trên thiết bị từ xa. o Enable SNMP manager. @Email: [email protected] 76
77. Bảo Mật Cho Tính Năng Management Và Reporting Cấu hình SNMP Managed Node: Cấu hình SNMP-Server Hosts: Cấu hình người nhận SNMP Trap Operation: Router(config)# snmp-server host host-address [traps | informs] [version {1 | 2c | 3 [auth | noauth | priv]}] community-string [udp-port port] [notification- type] Ví dụ: Router1(config)#snmp-server engineID remote 10.1.1.1 1234 Router1(config)#snmp-server user bill icaregroup remote 10.1.1.1 v3 Router1(config)#snmp-server group icaregroup v3 noauth Router1(config)#snmp-server enable traps Router1(config)#snmp-server host 10.1.1.1 inform version 3 noauth bill Router1(config)#snmp-server manager @Email: [email protected] 77
78. Bảo Mật Cho Tính Năng Management Và Reporting Cấu hình SNMP Managed Node: Ví dụ cấu hình SNMPv3: Trap_sender(config)#snmp-server group snmpgroup v3 auth Trap_sender(config)#snmp-server group snmpgroup v3 priv Trap_sender(config)#snmp-server user snmpuser snmpgroup v3 auth md5 authpassword priv des56 encryptpassword Trap_sender(config)#snmp-server enable traps cpu Trap_sender(config)#snmp-server enable traps config Trap_sender(config)#snmp-server enable traps snmp Trap_sender(config)#snmp-server host 172.16.1.1 traps version 3 priv snmpuser Trap_sender(config)#snmp-server source-interface traps loopback 0 Walked_device(config)#snmp-server group snmpgroup v3 auth Walked_device(config)#snmp-server group snmpgroup v3 priv Walked_device(config)#snmp-server user snmpuser snmpgroup v3 auth md5 authpassword priv des56 encrypt password @Email: [email protected] 78
79. Bảo Mật Cho Tính Năng Management Và Reporting Cấu hình NTP Client: Giao thức NTP (Network Time Protocol): Giao thức đồng bộ thời gian. Là một giao thức để đồng bộ đồng hồ của các hệ thống máy tính thông qua mạng dữ liệu chuyển mạch gói với độ trễ biến đổi. NTP được thiết kế đầu tiên bởi Dave Mills tại trường đại học Delaware, hiện ông vẫn còn quản lý nó cùng với một nhóm người tình nguyện. (trước năm 1985) NTPv4 đảm bảo độ chính xác trong khoảng10 mili giây (1/100 s) trên mạng Internet, và có thể đạt đến độ chính xác200 micro giây (1/5000 s) trong môi trường mạng LAN. NTP Client: là phần mềm sử dụng giao thức NTP để đồng bộ thời gian với NTP Server. @Email: [email protected] 79
80. Bảo Mật Cho Tính Năng Management Và Reporting Ví dụ cấu hình NTP: Source(config)#ntp master 5 Source(config)#ntp authentication-key 1 md5 secretsource Source(config)#ntp peer 172.16.0.2 key 1 Source(config)#ntp source loopback 0 Intermediate(config)#ntp authentication-key 1 md5 secretsource Intermediate(config)#ntp authentication-key 2 md5 secretclient Intermediate(config)#ntp trusted-key 1 Intermediate(config)#ntp server 172.16.0.1 Intermediate(config)#ntp source loopback 0 Intermediate(config)#interface Fastethernet0/0 Intermediate(config-int)#ntp broadcast Client(config)#ntp authentication-key 1 md5 secretclient Client(config)#ntp trusted-key 1 Client(config)#interface Fastethernet0/1 Client(config-int)#ntp broadcast client @Email: [email protected] 80
81. Cấu Hình AAA Trên Cisco Router Để tăng cường bảo mật cho thiết bị chúng ta cần cấu hình tính năng Authentication, Authorization và Accounting trên thiết bị Cisco Routers. Giới thiệu về AAA: Quản trị bảo mật truy cập mạng trong môi trường Cisco dựa trên một kiến trúc module có ba thành phần chức năng: Authentication Authorization Accounting Những dịch vụ AAA cung cấp một mức độ cao hơn về khả năng mở rộng hơn line-level, chứng thực-EXEC privileged cho các thành phần mạng. Sử dụng một Cisco AAA cho phép kiến trúc phù hợp, bảo mật truy cập hệ thống và khả năng mở rộng. @Email: [email protected] 81
82. Cấu Hình AAA Trên Cisco Router Giới thiệu về AAA: Authentication: Cung cấp các phương pháp xác định người sử dụng, bao gồm cả tên đăng nhập và mật khẩu và cá tuỳ chọn giao thức bảo mật, mãhoa ́. Authorization: Cung cấp phương pháp để kiểm soát truy cập từ xa, bao gồm tài khoản ủy quyền hay dịch vụ ủy quyền. Accounting: Cung cấp các phương pháp thu thập và gửi thông tin bảo mật đến máy chủ để thanh toán, kiểm toán và báo cáo. Chẳng hạn như kiểm toán danh tính người dùng, số lần bắt đầu, kết thúc @Email: [email protected] 82
83. Cấu Hình AAA Trên Cisco Router Giới thiệu về AAA: Administrative access: Console, Telnet và AUX access. Remote user network access: Dialup hoặc VPN access. @Email: [email protected] 83
84. Cấu Hình AAA Trên Cisco Router Router access modes: Tất cả các lệnh AAA (ngoại trừ hệ thống accounting) đều áp dụng character mode hay packet mode. Character mode: cho phép một quản trị viên hệ thống với số lượng lớn các router trong một mạng xác thực tài khoản người dùng một lần, sau đó truy cập được vào các router khác được cấu hình bằng phương pháp này. @Email: [email protected] 84
85. Cấu Hình AAA Trên Cisco Router AAA protocols: RADIUS và TACASC+ RADIUS Authentication và Authorization: Ví dụ dưới đây cho thấy cách trao đổi RADIUS giữa client, Router và ACS (ACS sở hữu của tên người dùng và mật khẩu). Các ACS cóthê ̉ trả lời với tin nhắn Access-Accept khi xác thực thành công, hoặc Access-Reject nếu xác thực không thành công. @Email: [email protected] 85
86. Cấu Hình AAA Trên Cisco Router AAA protocols: RADIUS và TACASC+ RADIUS messages: Cóbố n loại thông điệp tham gia vào việc trao đổi xác thực RADIUS: Access-Request, Access-Accept, Access-Reject và Access-Challenge @Email: [email protected] 86
87. Cấu Hình AAA Trên Cisco Router AAA protocols: RADIUS và TACASC+ RADIUS attributes: RADIUS là một tiêu chuẩn giao thức IETF - RFC 2865 . Thuộc tính Standard có thể được tăng cường bởi các thuộc tính độc quyền. Sử dụng UDP trên port chuẩn (Microsoft RADIUS UDP Port 1812 cho Authentication, Port 1813 cho Accounting; Cisco RADIUS UDP Port 1645 cho Authetication và Port 1646 cho Authorization). Bao gồm chỉ có hai tính năng bảo mật o Mật mãcủ a pasword (MD5) o Xác thực của gói tin (MD5 fingerpriting) Authorization chỉ là một phần của Authentication. @Email: [email protected] 87
88. Cấu Hình AAA Trên Cisco Router AAA protocols: RADIUS và TACASC+ TACACS+ Authentication: @Email: [email protected] 88
89. Cấu Hình AAA Trên Cisco Router AAA protocols: RADIUS và TACASC+ TACACS+ Network Authorization: @Email: [email protected] 89
90. Cấu Hình AAA Trên Cisco Router AAA protocols: RADIUS và TACASC+ TACACS+ Command Authorization: @Email: [email protected] 90
91. Cấu Hình AAA Trên Cisco Router AAA protocols: RADIUS và TACASC+ TACACS+ Attributes và Features: TACACS+ là giao thức linh hoạt hơn nhiều so với giao thức RADIUS. TACACS+ server cho phép giao thức TACACS+ sử dụng các hộp thoại ảo để thu thập đủ thông tin cho đến khi người dùng được chứng thực. TACACS+ messages chứa AV-pairs, ADDR, CMD, Interface- config, Priv-Lvl, Route TACACS+ sử dụng TCP port 49 TACACS+ thiết lập một phiên làm việc TCP dành riêng cho mỗi hoạt động AAA. Cisco Secure ACS có thể sử dụng một phiên liên tục TCP cho tất cả các hoạt động. Giao thức bảo mật bao gồm chứng thực và mã hóa của tất cả các datagrams TACACS+ @Email: [email protected] 91
92. Cấu Hình AAA Trên Cisco Router AAA protocols: RADIUS và TACASC+ Cấu hình AAA Servers: Các bước trong cấu hình Network Access Server (NAS): o Tại chế độ global configuration ta enable AAA để sử dụng tất cả các thành phần AAA. Bước này là một điều kiện tiên quyết cho tất cả các lệnh AAA khác. o Chỉ định Cisco Secure ACS sẽ cung cấp các dịch vụ AAA cho network access server. o Cấu hình khoá, mật mã sẽ được sử dụng để mã hóa việc chuyển dữ liệu giữa các NAS và Cisco Secure ACS. @Email: [email protected] 92
93. Câu hỏi bài tập Có các nguy cơ tấn công của hệ thống mạng nào? Có mấy bước để hack một hệ thống mạng? Nếu các bước để hack một hệ thống mạng. Bạn hãy liệt kê các loại tấn công vào hệ thống mạng. Những cấu hìnhnà o có thể làm giảm nguy cơ bị tấn công mạng trên Cisco Router. Thực hiện cấu hình bảo mật cho tính năng management và reporting trên Cisco Routers. @Email: [email protected] 93
94. TÓM LƯỢC BÀI HỌC Tiến hành khảo sát, dò tìm lỗ hổng trong hệ thống mạng để khắc phục, giảm nguy cơ hê thống mạng bị tấn công. Các lỗ hổng bảo mật có thể ở các giao thức thuộc tính năng Management và Reporting Cấu hình bảo mật các tính năng Management và Reporting. Cấu hình chứng thực AAA để tăng cường bảo mật cho hệ thống giảm rủi ro và nguy cơ tấn công do truy cập trái phép. Kết luận: Bài học này rất hay giúp ta hình dung tổng quan về hệ thống an ninh. Ứng dụng bài học vào thực tiễn xâydự ng cơ chế tăng cường bảo mật cho thiết bị ở DN. @Email: [email protected] 94
95. @Email: [email protected] 95