Tweet
4. Passwords
4.1 Tính dễ bị tổn thương
Các IOS Switch của Cisco có 2 cấp độ mặc định để truy xuất: user(level 1) và privileged(level 15). Cấp độ User được truy xuất 1 cách điển hình bởi kết nối Telnet hay SSH bằng dây Console đến Switch. Cấp Privileged được truy xuất sau khi cấp User được thiết lập. Mỗi cấp thường được cấu hình password. Ở cấp privileged có thể cấu hình với câu lệnh “enable” password, hay “enable secret” password. Câu lệnh “enable secret” password thì được bảo vệ cao hơn “enable” password , sử dụng chức năng dựa trên kỹ thuật băm MD5. Chi tiết về tính năng dễ bị tổn thương liên quan phần password bao gồm những phần sau:
Mặc định, 1 Switch của Cisco biễu diễn password ở dạng Plaintext khi sử dụng câu lệnh “enable” password. Nếu 1 kẻ tấn công có thể tập hợp những thông tin cấu hình của Switch từ mạng sử dụng 1 người phân tích mạng, sau đó kẻ tấn công có thể sử dụng password đó để truy xuất vào hệ thống này.
Nếu câu lệnh “enable secret” password không được cài đặt hay cài đặt 1 password yếu, khi đó 1 kẻ tấn công có thể giành được quyền truy cập ở cấp privileged để lấy hoặc thay đổi thông tin trên Switch.Cũng vậy việc cài đặt cùng password cho các Switch khi dùng câu lệnh “enable secret” password cung cấp 1 điểm đơn lẻ không thích hợp bởi vì 1 Switch bị thoả hiệp sẽ gây nguy hiểm cho những Switch khác. Và cuối cùng, việc sử dụng cùng 1 password cho nhiều Switch khi sử dụng câu lệnh “enable secret” password thì cho phép 1 sự thoả hiệp tiềm tàng; Bởi vì việc đặt password có thể ở dạng Plaintext và khi đó có thể bị thu thập trên mạng mà có 1 nhà phân tích mạng. Một kẻ tấn công người mà có thể thu thập password của Switch có thể giành được quyền truy xuất ở cấp privileged cho lần sau.
4.2 Giải pháp
giải pháp sau đây sẽ giới hạn tính dễ bị tổn thương về phần Password trong Switch của Cisco. Giải pháp được miêu tả cho dây Console, dây virtual terminal và Username trong phần Management Port và Network Services
Sự mã hoá cơ bản được cung cấp cho việc cấu hình bằng câu lệnh “enable” password . Sử dụng câu lện sau đây:
Switch(config)# service password-encryption
Cấu hình “enable secret” password trên mỗi Switch của Cisco. Không được cấu hình bất kỳ câu lệnh “enable” password nào trên bất kỳ Switch của Cisco. Trừ khi nó cần được thiết lập cho nhiều cấp độ truy xuất ngoại trừ cấp độ mặc định. Sử dụng những dòng hướng dẫn sau để tạo password an toàn: password ít nhất là 8 ký tự; không là những từ cơ bản; và thêm vào ít nhẩt 1 ký tự đặc biệt hay số như:!@#$%^&*()|+_...; thay đổi password ít nhất là 3 tháng 1 lần; Sử dụng 1 password duy nhất cho câu lệnh “enable secret” password trên mỗi Switch.
Và cũng sử dụng những password khác nhau cho mỗi cài đặt khác nhau trên cùng 1 Switch(telnet,..). Sử dụng câu lệnh sau đây để bật tính năng “enable secret” password(r3a117-GOOD -psw 6)
Switch(config)# enable secret r3a117-GOOD -psw 6
5 Quản lý Port
5.1 Tính dễ bị tổn thương
Một hệ điều hành của Switch Cisco có quản lý port, dây Console(line con 0) mà nó cung cấp sự truy xuất trực tiếp đến Switch cho sự quản trị. Nếu sự quản lý port được cài đặt quá lỏng lẻo thì Switch có thể bị ảnh hưởng bởi các cuộc tấn công.Và chi tiết về tính dễ bị tổn thương của việc quản lý Port bao gồm những phần sau đây:
Một Switch với 1 management port sử dụng tài khoản user mặc định cho phép kẻ tấn công cố găng tạo kết nối sử dụng 1 hoặc nhiều tài khoản mặc định được biết đến(administrator, root, security)
Nếu 1 Switch có 1 management port mà không cài password, password mặc định hay password yếu, khi đó 1 kẻ tấn công có thể đoán được pass hay crack chúng và lấy hoặc thay đổi thông tin trên Switch. Cũng vậy việc cài cùng password trên nhiều Switch cung cấp 1 điểm đơn của sự hỏng hóc. Kẻ tấn công, người mà thỏa hiệp được 1 Switch sẽ thỏa hiệp được với các Switch còn lại. Cuối cùng việc cài đặt cùng 1 password cho cả management port và những cài đặt khác trên Switch cho phép sự thỏa hiệp tiềm tàng bởi vì password được cài đặt ở dạng Plaintext có thể bị thu thập trong 1 mạng mà có người phân tích mạng. Kẻ tấn công người mà thu thập được password telnet từ traffic mạng có thể truy cập vào management port của Switch lúc khác.
Nếu một kết nối đến Switch sử dụng management port mà không cài đặt thời gian Timeout hoặc cài đặt khoảng thời gian Timeout lớn (lớn hơn 9 phút), khi đó kết nối sẽ sẵn sang cho 1 kẻ tấn công hack chúng.
Một Banner đưa ra ghi chú cho bất kỳ người nào kết nối đến Switch mà nó thì được chứng thực và sẽ bị theo dõi cho bất kỳ hành động nào.Toà án sẽ bỏ qua trường hợp chống lại người mà tấn công vào một hệ thong không có Banner cảnh báo.
4.1 Tính dễ bị tổn thương
Các IOS Switch của Cisco có 2 cấp độ mặc định để truy xuất: user(level 1) và privileged(level 15). Cấp độ User được truy xuất 1 cách điển hình bởi kết nối Telnet hay SSH bằng dây Console đến Switch. Cấp Privileged được truy xuất sau khi cấp User được thiết lập. Mỗi cấp thường được cấu hình password. Ở cấp privileged có thể cấu hình với câu lệnh “enable” password, hay “enable secret” password. Câu lệnh “enable secret” password thì được bảo vệ cao hơn “enable” password , sử dụng chức năng dựa trên kỹ thuật băm MD5. Chi tiết về tính năng dễ bị tổn thương liên quan phần password bao gồm những phần sau:
Mặc định, 1 Switch của Cisco biễu diễn password ở dạng Plaintext khi sử dụng câu lệnh “enable” password. Nếu 1 kẻ tấn công có thể tập hợp những thông tin cấu hình của Switch từ mạng sử dụng 1 người phân tích mạng, sau đó kẻ tấn công có thể sử dụng password đó để truy xuất vào hệ thống này.
Nếu câu lệnh “enable secret” password không được cài đặt hay cài đặt 1 password yếu, khi đó 1 kẻ tấn công có thể giành được quyền truy cập ở cấp privileged để lấy hoặc thay đổi thông tin trên Switch.Cũng vậy việc cài đặt cùng password cho các Switch khi dùng câu lệnh “enable secret” password cung cấp 1 điểm đơn lẻ không thích hợp bởi vì 1 Switch bị thoả hiệp sẽ gây nguy hiểm cho những Switch khác. Và cuối cùng, việc sử dụng cùng 1 password cho nhiều Switch khi sử dụng câu lệnh “enable secret” password thì cho phép 1 sự thoả hiệp tiềm tàng; Bởi vì việc đặt password có thể ở dạng Plaintext và khi đó có thể bị thu thập trên mạng mà có 1 nhà phân tích mạng. Một kẻ tấn công người mà có thể thu thập password của Switch có thể giành được quyền truy xuất ở cấp privileged cho lần sau.
4.2 Giải pháp
giải pháp sau đây sẽ giới hạn tính dễ bị tổn thương về phần Password trong Switch của Cisco. Giải pháp được miêu tả cho dây Console, dây virtual terminal và Username trong phần Management Port và Network Services
Sự mã hoá cơ bản được cung cấp cho việc cấu hình bằng câu lệnh “enable” password . Sử dụng câu lện sau đây:
Switch(config)# service password-encryption
Cấu hình “enable secret” password trên mỗi Switch của Cisco. Không được cấu hình bất kỳ câu lệnh “enable” password nào trên bất kỳ Switch của Cisco. Trừ khi nó cần được thiết lập cho nhiều cấp độ truy xuất ngoại trừ cấp độ mặc định. Sử dụng những dòng hướng dẫn sau để tạo password an toàn: password ít nhất là 8 ký tự; không là những từ cơ bản; và thêm vào ít nhẩt 1 ký tự đặc biệt hay số như:!@#$%^&*()|+_...; thay đổi password ít nhất là 3 tháng 1 lần; Sử dụng 1 password duy nhất cho câu lệnh “enable secret” password trên mỗi Switch.
Và cũng sử dụng những password khác nhau cho mỗi cài đặt khác nhau trên cùng 1 Switch(telnet,..). Sử dụng câu lệnh sau đây để bật tính năng “enable secret” password(r3a117-GOOD -psw 6)
Switch(config)# enable secret r3a117-GOOD -psw 6
5 Quản lý Port
5.1 Tính dễ bị tổn thương
Một hệ điều hành của Switch Cisco có quản lý port, dây Console(line con 0) mà nó cung cấp sự truy xuất trực tiếp đến Switch cho sự quản trị. Nếu sự quản lý port được cài đặt quá lỏng lẻo thì Switch có thể bị ảnh hưởng bởi các cuộc tấn công.Và chi tiết về tính dễ bị tổn thương của việc quản lý Port bao gồm những phần sau đây:
Một Switch với 1 management port sử dụng tài khoản user mặc định cho phép kẻ tấn công cố găng tạo kết nối sử dụng 1 hoặc nhiều tài khoản mặc định được biết đến(administrator, root, security)
Nếu 1 Switch có 1 management port mà không cài password, password mặc định hay password yếu, khi đó 1 kẻ tấn công có thể đoán được pass hay crack chúng và lấy hoặc thay đổi thông tin trên Switch. Cũng vậy việc cài cùng password trên nhiều Switch cung cấp 1 điểm đơn của sự hỏng hóc. Kẻ tấn công, người mà thỏa hiệp được 1 Switch sẽ thỏa hiệp được với các Switch còn lại. Cuối cùng việc cài đặt cùng 1 password cho cả management port và những cài đặt khác trên Switch cho phép sự thỏa hiệp tiềm tàng bởi vì password được cài đặt ở dạng Plaintext có thể bị thu thập trong 1 mạng mà có người phân tích mạng. Kẻ tấn công người mà thu thập được password telnet từ traffic mạng có thể truy cập vào management port của Switch lúc khác.
Nếu một kết nối đến Switch sử dụng management port mà không cài đặt thời gian Timeout hoặc cài đặt khoảng thời gian Timeout lớn (lớn hơn 9 phút), khi đó kết nối sẽ sẵn sang cho 1 kẻ tấn công hack chúng.
Một Banner đưa ra ghi chú cho bất kỳ người nào kết nối đến Switch mà nó thì được chứng thực và sẽ bị theo dõi cho bất kỳ hành động nào.Toà án sẽ bỏ qua trường hợp chống lại người mà tấn công vào một hệ thong không có Banner cảnh báo.
5.2 Giải pháp
Hầu hêt phương pháp bảo đảm cho việc quản trị Switch thì nằm ngoài việc quản lý nhóm.
Phương pháp này không trộn lẫn việc quản lý traffic với việc thao tác traffic.Việc quản lý ngoài nhóm sủ dụng dành cho những hệ thống và truyền thông. Sơ đồ 1 chỉ ra 1 dây Serial kết nối đến Server và chia việc quản lý các máy tính ngoài cổng Console kết nối đến các port của Switch.. Giải pháp này thỉ đủ cho nhiều chức năng quản lý. Tuy nhiên Network-based, ngoài việc truy xuẫt thích hợp cho những chức năng chính xác(cập nhật IOS), nó còn bao gồm việc sử dụng Virtual Local Area Network (VLAN) và được miêu tả trong giải pháp cho VLAN 1 trong phần Virtual Local Area Networks
Giải pháp sau đây sẽ làm giảm tính dễ bi tổn thương khi sử dụng dây Console trên mỗi Switch:
Cài đặt một tài khoản duy nhất cho mỗi nhà quản trị khi truy xuất bằng dây Console. Lệnh sau chỉ ra 1 ví dụ về việc tạo 1 tài khoản ở cấp privilged và cài đặt cấp privilege thành mặc định(0) cho dây Console . Ỏ câp privileged 0 là cấp thấp nhât của Switch Cisco và cho phép cài đặt rất ít lệnh. Người quản trị có thể làm tăng cấp privileged lên 15 bằng câu lệnh enable. Cũng vậy, tài khoản này cũng có thể được truy xuất từ dây virtual terminal.
Switch(config)# username ljones privilege 0
Switch(config)# line con 0
Switch(config-line)# privilege level 0
Sử dụng những dòng hướng dẫn sau để tạo password an toàn: password ít nhất là 8 ký tự; không là những từ cơ bản; và thêm vào ít nhẩt 1 ký tự đặc biệt hay số như:!@#$%^&*()|+_...; thay đổi password ít nhất là 3 tháng 1 lần. Sử dụng
Switch(config)# username ljones secret g00d-P5WD
Switch(config)# line con 0
Switch(config-line)# login local
Hầu hêt phương pháp bảo đảm cho việc quản trị Switch thì nằm ngoài việc quản lý nhóm.
Phương pháp này không trộn lẫn việc quản lý traffic với việc thao tác traffic.Việc quản lý ngoài nhóm sủ dụng dành cho những hệ thống và truyền thông. Sơ đồ 1 chỉ ra 1 dây Serial kết nối đến Server và chia việc quản lý các máy tính ngoài cổng Console kết nối đến các port của Switch.. Giải pháp này thỉ đủ cho nhiều chức năng quản lý. Tuy nhiên Network-based, ngoài việc truy xuẫt thích hợp cho những chức năng chính xác(cập nhật IOS), nó còn bao gồm việc sử dụng Virtual Local Area Network (VLAN) và được miêu tả trong giải pháp cho VLAN 1 trong phần Virtual Local Area Networks
Giải pháp sau đây sẽ làm giảm tính dễ bi tổn thương khi sử dụng dây Console trên mỗi Switch:
Cài đặt một tài khoản duy nhất cho mỗi nhà quản trị khi truy xuất bằng dây Console. Lệnh sau chỉ ra 1 ví dụ về việc tạo 1 tài khoản ở cấp privilged và cài đặt cấp privilege thành mặc định(0) cho dây Console . Ỏ câp privileged 0 là cấp thấp nhât của Switch Cisco và cho phép cài đặt rất ít lệnh. Người quản trị có thể làm tăng cấp privileged lên 15 bằng câu lệnh enable. Cũng vậy, tài khoản này cũng có thể được truy xuất từ dây virtual terminal.
Switch(config)# username ljones privilege 0
Switch(config)# line con 0
Switch(config-line)# privilege level 0
Sử dụng những dòng hướng dẫn sau để tạo password an toàn: password ít nhất là 8 ký tự; không là những từ cơ bản; và thêm vào ít nhẩt 1 ký tự đặc biệt hay số như:!@#$%^&*()|+_...; thay đổi password ít nhất là 3 tháng 1 lần. Sử dụng
Switch(config)# username ljones secret g00d-P5WD
Switch(config)# line con 0
Switch(config-line)# login local