Tải bản đầy đủ (.pdf) (6 trang)

5 tính năng bảo mật hay nhất của thiết bị Cisco M

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (157.32 KB, 6 trang )

5 tính năng bảo mật hay nhất của thiết bị Cisco

Một hệ thống đang hoạt động ổn định và bạn muốn giữ trạng thái
ổn định đó. Hãy quan tâm đến những nguy cơ đến từ các thành
phần trong hệ thống mạng của bạn từ các thiết bị phần cứng tới
các ứng dụng phần mềm. Và bạn là nhà quản trị mạng cho hệ
thống đó bạn sẽ làm gì để giảm thiểu những nguy cơ tiềm ẩn đó?
Trong bài viết này tôi đưa ra 5 cách thức trên các thiết bị của
Cisco.

1: SSH Whenever Possible

Một cách nhanh chóng và dễ dàng để truy cập và quản trị các thiết bị của Cisco là sử dụng
Telnet. Một cách đáng tiếc là Telnet gửi mọi thông tin dạng "clear text". Username, Password
khi truyền trên mạng đều không được mã hoá. Thông tin này như việc chúng ta sử dụng G.711.
May mắn thay, một vài thiết bị của Cisco đã giới hạn Telnet.
SSH là Secure Shell. Nó hoạt động trong thế giới của Unix và gần đây đã được sử dụng vào mục
đích để thay thế cho Telnet, hỗ trợ cho cả môi trường Windows và Mac. Nó là một công cụ miễn
phí, nhưng một vài nhà sản xuất dựa trên nền tảng đó để kiếm lợi nhuận. Cuối cùng, những nhà
phát triển của tổ chức mã nguồn mở đã chỉnh sửa một vài điểm từ phiên bản đầu tiên. Kết quả là
một sản phẩm SSH đã ra đời, nhưng tồn tại với nó cũng có những bản mã nguồn mở khác nhau.
Cisco đã triển khai SSH vào trong các thiết bị của mình và như một biện pháp để thay thế Telnet.
Việc sử dụng Telnet để truy cập và quản trị các thiết bị là không an toàn, và nhiều thông tin có
thể bị đánh cắp và dẫn đến một số nguy hiểm có thể xảy ra đối với hệ thống. Cisco đã bắt đầu
quan tâm đến và triển khai vào các thiết bị với SSH v2. Nhà sản xuất cũng cung cấp SSH v1 bởi
IPSec sẽ được triển khai trên phiên bản này và cho phép người quản trị truy cập vào các thiết bị
một cách an toàn.
Thiết lập SSH tương tự như quá trình cho phép router sử dụng "digital certificates" trong IPSec.
Trước khi bắt đầu bạn phải được xác thực bởi router. Nó không mất quá 30 phút để bạn có thể xử
lý được những sự cố liên quan đến việc cấu hình này. Một việc đầu tiên là bạn phải tạo ra cặp
key public/private. Trước khi thực hiện bạn phải cấu hình router với domain.


(config)# ip domain-name abccompany.com
(config)# crypto key generate rsa
Dòng đầu tiên để router sẽ là thành viên trong domain abccompany.com trong khi dòng thứ hai
sẽ bắt đầu tạo ra một cặp khoá public/private. Khi thực hiện, bạn sẽ phải khai báo độ lớn của cặp
khoá mà bạn sử dụng. Và buộc chúng phải có cùng độ lớn trên client và trên router.
Độ lớn của
các khoá nó sẽ tự động tạo ví như trên Router 2500, một key 512 bit sẽ được tạo ra trong khoảng
45 giây một lần.
Dưới đây là các câu lệnh cho phép bạn quản trị SSH.
(config)# ip ssh time-out 30
(config)# ip ssh authentication-retries 2
(config-line)# transport input ssh
Dòng đầu tiên giới hạn thời gian khi không được thực hiện trong bao nhiêu phút sẽ bị ngắt kết
nối. Bạn có thể thiết lập thời gian đó ngắn hơn. Nhưng thiết lập phần này để bạn yên tâm kết nối
của bạn sẽ vẫn được đảm bảo trong thời gian bạn giải lao. Dòng lệnh thứ hai giới hạn số lần cố
gắng xác thực của người dùng. Dòng lệnh thứ ba, sẽ làm việc với mode VTY, giới hạn các dạng
kết nối và cổng VTY nào để nhận các thông tin. Và trong dòng lệnh này ý nghĩ là chỉ cho phép
cổng VTY chỉ cho phép các phiên làm việc với SSH.
Lưu ý chỉ sử dụng được SSH khi IOS của router có khả năng mã hoá "encryption-capable".
Router phải có khả năng về các quá trình truyền tin mã hoá dạng DES hay 3DES. Rất nhiều SSH
clients có khả năng mã hoá dữ liệu sử dụng các thuật toán mã hoá khác nhau. Nhưng Router của
Cisco chỉ có thể mã hoá các phiên làm việc SSH sử dụng DES và 3DES
Bạn có thể cấu hình SSH cho IOS phiên bản 12.2 tại:

ios122/122cgcr/fsecur_c/fothersf/scfssh.htm
Một vài thiết bị khác của Cisco cũng có khả năng sử dụng SSH bao gồm PIX firewall và một vài
dòng Catalyst Switchs. Phiên bản IOS hỗ trợ cho SSH là từ phiên bản 12.0 và 12.1 tuy nhiên
chúng có một vài lỗi trong mã SSH. Nếu bạn muốn thực sự bảo mật trong quá trình quản trị, bạn
nên dùng phiên bản IOS v 12.2.
SSH clients bạn có thể rất dễ tìm thấy: trên nền Unix bạn có BSD. Phiên bản cho Windows bạn

sẽ khó có thể tìm được chúng hơn. Một phiên bản miễn phí phổ thông cho các client là FiSSH có
tại trang web Hay bạn có thể lên internet tìm kiếm với
từ khoá "windows ssh".
2: Look at G.729 for VoIP

Khi mọi người nghĩ về các phần mềm tóm gói tin sniffers, họ thường nghĩ quá trình truyền tin sẽ
có thể đọc được. Nếu bạn tóm được một gói tin truyền trên mạng là một file nhị phân, bạn làm
thế nào để đọc được thông tin từ chúng? Tôi sẽ cố gắng phục hồi đoạn tin nếu bạn không thể
phục hồi đượ
c đoạn đầu và đoạn cuối. Và chúng tôi sẽ không lo lắng nhiều vì sẽ rất khó khăn để
có thể phục hồi được các thông tin từ một file nhị phân sang một dạng thông tin nào đó. Voice
truyền thông tin không như vậy.
Gián điệp có thể thực hiện dựa trên những sơ hở thông tin. Các hoạt động chính trị có thể sẽ bị
nghe lén và giám sát, hầu hết mọ người đều không muốn người khác quan tâm đến đời tư của
mình. Các cuộc nói chuyện trong các hội nghị có thể sẽ rất quan trọng. Và một điều là có những
công cụ trên Internet có thể thu lại các cuộc nói chuyện qua IP Telephone và save chúng lại
thành một file WAV. May mắn thay trong các công cụ của Windows không cho phép ta thực
hiện công việc này.
Và quá trình truyền tải âm thanh cần được mã hoá. Có vài cách để mã hoá quá trình truyền tải
âm thanh. Quá trình đó được gọi là "codecs" mỗi phương pháp mã hoá đều mang đến khả năng
nén khác nhau. Quá trình nén âm thanh có thể giảm tải trên đường truyền nhưng lại có thể ảnh
hưởng đến chất lượng âm thanh.
Giải pháp tốt nhất là sử dụng mã hoá G.711 nó là một phương thức mã hoá, không cần nén.
Nhưng khi sử dụng giải pháp này yêu cầu hạ tầng mạng của bạn phải thật sự tốt với băng thông
truyền tải đủ yêu cầu bởi các thông tin không bị nén lại, và giải pháp này thường được sử dụng
trong mạng LANs.
Bởi vì không có bất kỳ quá trình nén thông tin nào, tất cả dữ liệu được truyền tải trên dây dẫn.
Nếu vài người có thể tóm được những gói tin, sử dụng một phương pháp nào đó để chuyển quá
trình nói chuyện qua G.711 thành một file âm thanh. Những nhà lãnh đạo không muốn các cuộc
nói chuyện sẽ bị lộ ra ngoài, và làm thế nào để các cuộc nói chuyện đó được đảm bảo?

Thay bằng việc sử dụng G.711, bạn sử dụng mã hoá gọi là G.729. Nó có khả năng mã hoá trước
khi truyền thông tin G.711. Một vài lựa chọn có thể mã hoá giữa các điểm vơớinhau. Mỗi
phương thức đều mang đến độ chễ lớn hơn với phương thức sử dụng G.711. Nhưng nó làm cho
các cuộc gọi trở lên an toàn hơn.
3: Use Time-Based Access Lists
Một vấn đề là bạn có nhiều đường kết nối tới những thiết bị cần tính bảo mật cao, bạn có thể
muốn cái gì có thể truy cập vào và khi nào được truy cập. Với cơ sở là thời gian "time-based
access list" sẽ không chỉ những chính sách được áp dụng thời gian của cả ngày, hay những ngày
của tuần hoặc thời gian của một năm, mà có thể cung cấp access list theo từng giờ của một ngày,
từng ngày của một tuần. Nhưng khi sử dụng tính năng này bạn phải kiểm tra thời gian của hệ
thống sao cho trùng với thời gian thực.
Quá trình cấu hình trong global với câu lệnh: time-range[name]. Trong mode của một time-range
bạn có thể cấu hình, bạn cần bắt đầu c
ầu hình khoảng thời gian này ứng với quá trình lọc nào.
Cần phải biết rằng cấu hình trong mode này rất lằng nhằng và phức tạp -- ở đây bạn không phải
cấu hình để lọc quá trình truyền tải mà chỉ liên kết đến một access list đã được tạo. Time range
kết hợp access list sẽ cho bạn một access list với thời gian áp dụng cụ thể cho từng thời điểm
khác nhau….
Chỉ có hai dạng cấu hình thời gian có thể sử dụng. Theo một chu kỳ tuần hoàn nào đó sẽ được
thực hiện. Bạn có thể cấu hình với một để lọc các thông tin của tất cả các tuần khi sử dụng trạng
thái Periodic. Hay một dạng khác là Absolute. Khi bạn sử dụng lựa chọn này, quá trình lọc giữa
hai khoảng thời gian khác nhau thì sẽ khác nhau. Một ví dụ bạn có thể lọc toàn bộ quá trình
truyền thông tin từ 10 giờ sáng ngày 6 tháng 6 nă
m 2006 cho đến 1 giờ sáng ngày 8 tháng 6 năm
2006. Nó có khả năng lọc sử dụng kết hợp hai dạng "time-range", một theo tính tuần hoàn và
một theo tính không tuần hoàn, và một access list có thể được sử dụng bởi nhiều time-range khác
nhau.
Một time-range có khi được cấu hình nó sẽ kết hợp với một access list đã được cấu hình. Và khi
đã cấu hình hoàn tất thì access list đó sẽ chỉ được áp dụng trong khoảng thời gian đã được thiết
lập:

access-list [ACL number] {deny | permit} protocol any any [log] [time-range time-range-name].
Một ví dụ cho phép access list truy cập Web với time range:
Time-range Allow-HTTP
Periodic weekdays 18:00 to 08:00
Periodic weekdays 11:30 to 13:00
Periodic Friday 18:00 to Monday 08:00
Access-list 101 permit tcp any any eq www time-range allow-http
Tính năng này bạn có thể tìm thấy bắt đầu từ phiên bản IOS 12.0 (T) và toàn bộ thông tin về tính
năng này bạn có thể tìm được tại:

software/ios120/120newft/120t/120t1/timerang.htm
4: VLANs Work on More than Physical Ports
Cơ bản switch cung cấp khả năng truy cập vào mạng cho người dùng PCs. Bởi thiết bị không cần
thiết cung cấp nhiều tính năng, chúng thường không linh động như dòng switchs enterprise-level.
Đúng vậy, nó không phải là những sản phẩm đắt tiền. Hầu hết người sử dụng truy cập mạng sử
dụng switch của Cisco là các dòng 1900s, 2900s và 3500s.
Mỗi Switch hỗ trợ địa chỉ IP để có thể quản lý được các VLANs và để
điều khiển Broadcast
domain. Hầu hết các switch được sử dụng với toàn bộ các cổng là chung trong một VLAN bởi
hầu hết người sử dụng trong cùng một switch đều có những ứng dụng tương tự nhau.
Mỗi switch cũng có một cổng quản lý VLAN; mặc định nó sử dụng VLAN1, cùng VLAN với
các cổng còn lại. Trong một môi trường mạng, nó thường được sử dụng cho toàn bộ mọi người
đều cùng một VLAN. Và số lượng broadcast cũng không có đủ khả năng để gây ra lỗi cho thiết
bị.
Khi một vài người truy cập vào một thiết bị mạng, nó thường tiềm tàng khả năng thiết bị bị ngắt
kết nối. Một các dễ tưởng tượng nhất: để tắt một vài người đang telnet vào switch để lọc các yêu
cầu. Thiết lập toàn bộ các cổng vào cùng một VLAN để dễ dàng cho việc lọc trên Router. Bằng
cách gán toàn bộ các switchs vào một giải địa chỉ ví như 192.168.3.x, bạn có thể lọc các thông
tin không thích đáng vào các thiết bị đó bằng một vài access list. Một cách tốt nhất và đơn giản
đẻ quản lý hệ thống mạng là bạn hoàn toàn có thể chỉ cần một VLAN cho một switch và không

cần bận tâm tới việc điều đó sẽ làm cả hệ thống mạng của bạn sẽ hoạt động một cách chậm chạp.
· Nếu bạn để địa chỉ IP của switch là 192.168.3.56 và toàn bộ máy tính của phòng IT có địac hỉ
192.168.7.x bạn có thể làm được một vài thứ như:
· Bạn tạo ra một cách quản lý VLAN mà không chia sẻ với quá trình trao đổi dữ liệu với người
dùng. Trong trường hợp này tôi tạo VLAN là 99
· Bạn đến router tạo ra một sub-interface cho VLAN 99. Thiết lập "no shut" trên cổng này.
· Thiết lập access list cho cổng này. Nó cho phép toàn bộ các trao đổi dữ liệu từ tất cả mọi nơi
nhưng sẽ cấm quá trình telnet đến switch từ tất cả các máy tính của phòng IT.
1. access-list 101 permit tcp 192.168.7.0 0.0.0.255 192.168.3.0 0.0.0.255 eq 23
2. access-list 101 deny tcp any any eq 23
3. access-list 101 permit ip any any
áp dụng access list tới cổng này. bởi tất cả quá trình truyền tải dữ liệu bình thường sẽ không qua
sub-interface 99, access list này thực hiện kiểm tra cũng không ảnh hưởng đến tốc độ truyền tải
dữ liệu.
5: Permit Lists for Layer 3 Switches
Một switch Layer3 là một thiết bị sử dụng các thông tin tại Layer 3 trong switching tables.
Layer3 và Layer 4 switches cho phép nhiều tính năng linh động hơn và được thiết kế để
switching các nội dung và có khả năng load balancing. Một dòng switch layer3 của Cisco như
series 4000, 2948G và 2980G.
Bởi vì switch này có thể hiểu được vài thông tin của layer 3 nhưng bạn
đừng tạo nó như một
router. Một router sẽ truyền tải thông tin với các router khác và có thể học được mạng của các
mạng từ xa. Một switch không làm được điều đó. Nó chỉ có thể học được lớp trên bằng việc cho
phép quá trình truyền tải qua nó.
Một switch layer 3 có thể nhận ra các dạng traffic khác nhau. Nó cho phép người quản trị cấu
hình một vài thiết lập gọi là một Permit List. Danh sách này sẽ cho phép những dạng thông tin
truyền tả
i nào cụ thể với địa chỉ IP. Nó không phải là access list nhưng có những thành phần, tính
chất tương tự -- và có những giới hạn riêng.
Switch có thể nhận ra một vài cách có thể cấu hình bao gồm Telnet và SNMP. Bạn cần thay đổi

và không muốn bất kỳ ai có thể truy cập vào switch và cấu hình lại chúng. Trong khi các thiết lập
access list sẽ làm việc, một phương pháp để làm việc với switch là thực hiện lọc từ chính các
thông tin đến nó.

×