Tweet
8. Tính sẵn sàn của hệ thống.
8.1. Tính Hiểm Họa.
Nhiều cuộc tấn công tồn tại và ngày càng được tạo ra nhiều là nguyên nhân của từ chối dịch vụ một cách từng phần hoặc hoàn toàn đến hệ thống hay mạng, Những Switch thì dễ bị tổn thương bởi những cuộc tấn công đó. Những cuộc tấn công này tập trung vào những tài nguyên quan trọng(hệ thống xử lí hoặc băng thông) mà không sẵn sàng. Sự tổn thương chi tiết liên kết tới hệ thống sẵn sàng bao gồm những cái sau đây:
ð Vài sự tấn công phát tán nhanh chống có thể là nguyên nhân của hệ thống xử lí của Switch không sẵn sàng cho sự truy cập vào quản lí.
ð 802.3x Flow Control cho phép nhận những port của những gói tin duy chuyển đang tạm dừng từ người gửi trong suốt thời gian tắt nghẽn. Nếu đặt tính được bật lên, một frame đang tạm dừng có thể đựoc nhận, dừng chuyển gói tin dữ liệu. Flow Control tạm dừng frames sử dụng trong tấn công từ chối dịch vụ.
ð Một vài cuộc tấn công hoạt động và chằc chắn lỗi có thể là nguyên nhân của viec phát tán gói tin cùa những port trên Switch.
ð Một kết nối trực tiếp đến Switch chạy giao thức Unidirectional Link Detection (UDLD) có thể được phân tích nếu một đường link không trực tiép tồn tại giữa chúng. Nếu một cái bị phát hiện thì đường link sẽ bị shutdown mãi cho đến khi nó phục hồi lại bằng tay. Thông điệp UDLD có thể được sử dụng tấn công từ chối dịch vụ.
ð Tấn công bằng SYN Flood gửi yêu cầu kết nối lập lại mà không có sự chấp nhận ACK để yêu cầu kết nối. Cuộc tân công này có thể làm tràn bộ đệm kết nối của Switch hoặc disable Switch.
Mạng hội tụ có thể mang đến cả hai traffic dữ liệu và âm thanh (e.g., Voice over IP (VoIP)) . Nếu không được cấu hình chính xác, thì mạng đó cho phép traffic âm thanh.
8.2 Giải Pháp.
Sau đây là những giải pháp sẽ lảm hạn chế tính dễ bị tổn thương của hệ thống sẵn sàng trên mỗi Switch.
=> Để chống lại sự tấn công phát tán nhanh và đảm bảo rẳng thậm chí những quá trình ưu tiên nhỏ nhát có bộ xử lí thời gian sử dụng câu lệnh scheduler interval. Ví dụ sau đặt thời gian tối đa trừoc khi chạy tiến trình xử lí ưu tiên thấp nhất là 500 milli giây.
Switch(config)# scheduler interval 500
Một cách khác bảo đảm thời gian xử lí cho tiến trình là việc sử dụng câu lệnh scheduler allocate. Lệnh này để cài đặt thời gian ngẳt và thời gian xử lí. Thời gian ngắt là con số tối đa của micro giây để sử dụng trên những chuyển mạch nhanh trong vòng bất kì hoàn cảnh mạng nào. Thời gian xử lí số tối thiểu của miro giây để dùng cho tiến trình phân cấp khi mạng đột nhiên bị hỏng.
Ví dụ sau lấy 10% của xử lí có sẵn với khoảng thời gian là 4000 micro giây và thời gian 400 micro giây.
Switch(config)# scheduler allocate 4000 400
=> Sử dụng lệnh sau để tắt Flow Control trên mỗi interface
Switch(config)# flowcontrol receive off
=> UDLD nên được tắt toàn cục và trên mà nó không được yêu cầu.
Dòng lệnh UDLD sử dụng trên toàn cục:
Switch(config)# no udld enable
Để tằt UDLD trên mỗi interface sử dụng một trong những dòng lệnh sau đây, phụ thuộc vào loại Switch và phiên bản IOS
Switch(config-if)# no udld port
Switch(config-if)# udld disabled
=> Để giúp chống lại tấn công SYN Flood người quản trị cần phải cài đặt một khoảng thời gian Switch sẽ đợi trong khi cố gắng thiết lập một kết nối TCP. Sau đây là dòng lệnh xét thời gian chờ là 10 giây
Switch(config)# ip tcp synwait-time 10
=> Để cho traffic voice có dộ ưu tiên đẻ vượt qua mạng nó phải được dễ dàng phân tích gói tin nào là voice thậm chí nếu tính hiệu voice hoặc dữ liệu bị mã hóa. Tuy nhiên, bất kì cái nào đối một ngừơi phân tích mạng cũng có thể dễ dàng bắt được traffic voice. Sự thêm vào nguy hiểm phải được xem xét dể quyết định thông số chất lượng dich vụ (QoS) sẽ được cấu hình cho traffic voice. QoS có thể được xem xét dể có thể chấp nhận cho sự thực thi VoIP. Sự sắp xếp gói tin là bứoc đẩu tiên trong viec thiết lập thông lượng ưu tiên của mạng và nên được thực hiện tại diểm sẵn sàng đầu tiên. Những Switch có thể chính xác phân loại gói tin cho mục đích QoS. Một vài ví dụ sau dây chỉ ra làm thế nào để thực thi trong một khả năng QoS của Switch.
Câu lệnh sau để bật tính năng QoS.
Switch(config)# mls qos
Câu lệnh sau đây sẽ áp đặt sự ưu tiên tốt nhất cho hệ thống không tin tưởng
Switch(config-if)# mls qos cos 0
Switch(config-if)# mls qos cos override
Câu lệnh sau sẽ chấp nhận độ ưu tiên được gán bởi một thống tin tường ( voice gateway).
Switch(config-if)# mls qos trust dscp
Câu lệnh sau sẽ chấp nhận độ ưu tiên được gán bời một IP Phone nhưng sẽ áp đặt sự ưu tiên tốt nhất cho bất kì máy tính nào gắn vào.
Switch(config-if)# mls qos trust dscp
Switch(config-if)# mls qos trust device cisco-phone
Switch(config-if)# switchport priority extend cos 0
Việc ngăn cách voice traffic trong một mạng con sử dụng Vlan và điều khiển sự tác động lẫn nhau giữa mạng voice và dữ liệu. Xem phần Access Control List để biết chi tiết và việc diều khiển truy cập trên mạng voice và mạng dữ liệu. Theo dõi Switch và sử dụng mạng như thay đổi sự phân phối mạng VoIP, voice codec hoặc thêm vào hệ thống diện thoại VoIP có thể được yêu cầu để xừa sai cho mạng bị phát tán hoặc Switch
9 Virtual Local Area Network
9.1 Tổng quan
Một Virtual Local Area Network(VLAN) là một miền Broadcast. Tất cả thành viên trong 1 VLAN nhận gói tin Broadcast được gửi bởi các thành viên trong cùng 1 VLAN, nhưng nó không nhận các gói tin Broadcast từ các thành viên của VLAN khác. Tất cả các thành viên trong 1 VLAN được nhóm 1 cách logic trong cùng 1 miền Broadcast không phụ thuộc vào vị trí vật lý. Việc thêm, di chuyển, thay đổi thành viên đều được ghi lại trong Switch. Định tuyến được yêu cầu cho sự giao tiếp giữa các VLAN khác nhau.
VLAN cung cấp sự chia đoạn theo logic của Switch thành nhiều vùng con. Sự chia nhỏ những mạng thành những VLAN với những chức năng khác nhau thì nhìn chung tốt cho nhà quản trị. Việc lọc gói tin mà được miêu tả ở phần Access Control List thì đơn giản để thực thi khi những hệ thống trên VLAN có cùng những chức năng tương tự. Ví dụ như, việc tạo những VLAN khác nhau thì làm đơn giản cho việc lọc Data và Voice.
Có nhiều phương pháp khác nhau để thực thi nhóm VLAN. Những phương pháp ở tầng 2 bao gồm Port-based VLANs và việc nhóm tầng MAC. Những phương pháp của tầng 3 bao gồm việc nhóm giao thức mạng và việc nhóm IP Multicast. Những Switch Cisco thực thi cả 2 phương pháp của tầng 2, nhưng Cisco xem việc nhóm tầng MAC như là VLANs động. Nhóm Port-based là phương pháp phổ biến nhất của việc khai báo VLANs, với tất cả dòng Switch hỗ trợ nó. Chỉ có Port-based VLANs và VLANs động được thảo luận trong phần này.
Đối với Port-based VLANs, người quản trị mạng đăng ký mỗi port của 1 Switch cho 1 VLAN. Ví dụ các port từ 1-5 sẽ được đăng ký vào VLAN 100, các port 6-8 vào VLAN 200 và port 9-12 vào VLAN 300. Switch sẽ phân tích nhóm VLAN của mỗi gói tin bằng việc đánh dấu port khí gói tin đến. Ỏ khí cạnh khác, sự thực thi dynamic VLAN đăng ký những MAC chi tiết cho mỗi VLAN. Điều này cho phép 1 hệ thống có thể được chuyển sang 1 port khác mà không thay đổi VLAN của port mà đã đăng ký. Một điểm khác biệt quan trọng nữa của sựt hực thi VLAN là phương pháp sử dụng chỉ ra những thành viên khi 1 gói tin di chuyển giữa các Switch. Các Switch gắn mỗi gói tin để chỉ ra thành viên của VLAN để phù hợp với chuẩn Trunk Inter-Switch Link(ISL) của Cisco hay chuẩn IEEE 802.1q. Và chỉ có chuẩn IEEE 802.1q được thảo luận trong phần này.
Sự phân chia mạng không làm ảnh hưởng đến việc nhận thức bằng việc thực hành tốt sự bảo mật. Sự phân chia mạng 1 cách vật lý cho Voice và Data là sự bảo đảm nhất nhưng không thực tế cho tất cả nhưng nó cần thiết trong môi trường bảo mật khắt khe. Việc không tách mạng Voice và Data thì có thể không thực tế để mà họat động theo những yêu cầu khác nhau cho mỗi traffic lợi dụng mạng. Cho hầu hết sự thực thi sau đó, mạng Voice và Data phải chia sẽ vài tài nguyên phổ biến trong khi vẫn giữ nguyên như tách vật lý.
Việc tách logic xuyên qua việc sử dụng VLAN nằm ngoài như là hướng giải quyết tốt nhất để mà có khả năng và bảo mật những tài nguyên chia sẽ mạng. Tuy nhiên việc tách theo logic là sự cộng tác và cung cấp 1 chút sự giảm thiểu tấn công bới chính nó.Một lớp được bảo vệ tiến gần đến việc sử dụng công nghệ bảo vệ có chiều sâu mà nó có thể làm tốt việc sử dụng tách logic cho Voice và Data thì được yêu cầu. Tham chiếu đến phần Access Control List để xem cách cung cấp sự bảo vệ cho các lớp. Hai cái hữu ích từ Cisco cho việc thực hành tốt nhất cho VLAN là [5] [9]
Phần khác miêu tả tính dễ bị tổn thương và những giải pháp tương ứng cho những vùng sau: VLAN 1, Private VLAN, VTP, Trunk Auto-Negotiation, VLAN Hoping và nhiệm vụ của Dynamic VLAN
8.1. Tính Hiểm Họa.
Nhiều cuộc tấn công tồn tại và ngày càng được tạo ra nhiều là nguyên nhân của từ chối dịch vụ một cách từng phần hoặc hoàn toàn đến hệ thống hay mạng, Những Switch thì dễ bị tổn thương bởi những cuộc tấn công đó. Những cuộc tấn công này tập trung vào những tài nguyên quan trọng(hệ thống xử lí hoặc băng thông) mà không sẵn sàng. Sự tổn thương chi tiết liên kết tới hệ thống sẵn sàng bao gồm những cái sau đây:
ð Vài sự tấn công phát tán nhanh chống có thể là nguyên nhân của hệ thống xử lí của Switch không sẵn sàng cho sự truy cập vào quản lí.
ð 802.3x Flow Control cho phép nhận những port của những gói tin duy chuyển đang tạm dừng từ người gửi trong suốt thời gian tắt nghẽn. Nếu đặt tính được bật lên, một frame đang tạm dừng có thể đựoc nhận, dừng chuyển gói tin dữ liệu. Flow Control tạm dừng frames sử dụng trong tấn công từ chối dịch vụ.
ð Một vài cuộc tấn công hoạt động và chằc chắn lỗi có thể là nguyên nhân của viec phát tán gói tin cùa những port trên Switch.
ð Một kết nối trực tiếp đến Switch chạy giao thức Unidirectional Link Detection (UDLD) có thể được phân tích nếu một đường link không trực tiép tồn tại giữa chúng. Nếu một cái bị phát hiện thì đường link sẽ bị shutdown mãi cho đến khi nó phục hồi lại bằng tay. Thông điệp UDLD có thể được sử dụng tấn công từ chối dịch vụ.
ð Tấn công bằng SYN Flood gửi yêu cầu kết nối lập lại mà không có sự chấp nhận ACK để yêu cầu kết nối. Cuộc tân công này có thể làm tràn bộ đệm kết nối của Switch hoặc disable Switch.
Mạng hội tụ có thể mang đến cả hai traffic dữ liệu và âm thanh (e.g., Voice over IP (VoIP)) . Nếu không được cấu hình chính xác, thì mạng đó cho phép traffic âm thanh.
8.2 Giải Pháp.
Sau đây là những giải pháp sẽ lảm hạn chế tính dễ bị tổn thương của hệ thống sẵn sàng trên mỗi Switch.
=> Để chống lại sự tấn công phát tán nhanh và đảm bảo rẳng thậm chí những quá trình ưu tiên nhỏ nhát có bộ xử lí thời gian sử dụng câu lệnh scheduler interval. Ví dụ sau đặt thời gian tối đa trừoc khi chạy tiến trình xử lí ưu tiên thấp nhất là 500 milli giây.
Switch(config)# scheduler interval 500
Một cách khác bảo đảm thời gian xử lí cho tiến trình là việc sử dụng câu lệnh scheduler allocate. Lệnh này để cài đặt thời gian ngẳt và thời gian xử lí. Thời gian ngắt là con số tối đa của micro giây để sử dụng trên những chuyển mạch nhanh trong vòng bất kì hoàn cảnh mạng nào. Thời gian xử lí số tối thiểu của miro giây để dùng cho tiến trình phân cấp khi mạng đột nhiên bị hỏng.
Ví dụ sau lấy 10% của xử lí có sẵn với khoảng thời gian là 4000 micro giây và thời gian 400 micro giây.
Switch(config)# scheduler allocate 4000 400
=> Sử dụng lệnh sau để tắt Flow Control trên mỗi interface
Switch(config)# flowcontrol receive off
=> UDLD nên được tắt toàn cục và trên mà nó không được yêu cầu.
Dòng lệnh UDLD sử dụng trên toàn cục:
Switch(config)# no udld enable
Để tằt UDLD trên mỗi interface sử dụng một trong những dòng lệnh sau đây, phụ thuộc vào loại Switch và phiên bản IOS
Switch(config-if)# no udld port
Switch(config-if)# udld disabled
=> Để giúp chống lại tấn công SYN Flood người quản trị cần phải cài đặt một khoảng thời gian Switch sẽ đợi trong khi cố gắng thiết lập một kết nối TCP. Sau đây là dòng lệnh xét thời gian chờ là 10 giây
Switch(config)# ip tcp synwait-time 10
=> Để cho traffic voice có dộ ưu tiên đẻ vượt qua mạng nó phải được dễ dàng phân tích gói tin nào là voice thậm chí nếu tính hiệu voice hoặc dữ liệu bị mã hóa. Tuy nhiên, bất kì cái nào đối một ngừơi phân tích mạng cũng có thể dễ dàng bắt được traffic voice. Sự thêm vào nguy hiểm phải được xem xét dể quyết định thông số chất lượng dich vụ (QoS) sẽ được cấu hình cho traffic voice. QoS có thể được xem xét dể có thể chấp nhận cho sự thực thi VoIP. Sự sắp xếp gói tin là bứoc đẩu tiên trong viec thiết lập thông lượng ưu tiên của mạng và nên được thực hiện tại diểm sẵn sàng đầu tiên. Những Switch có thể chính xác phân loại gói tin cho mục đích QoS. Một vài ví dụ sau dây chỉ ra làm thế nào để thực thi trong một khả năng QoS của Switch.
Câu lệnh sau để bật tính năng QoS.
Switch(config)# mls qos
Câu lệnh sau đây sẽ áp đặt sự ưu tiên tốt nhất cho hệ thống không tin tưởng
Switch(config-if)# mls qos cos 0
Switch(config-if)# mls qos cos override
Câu lệnh sau sẽ chấp nhận độ ưu tiên được gán bởi một thống tin tường ( voice gateway).
Switch(config-if)# mls qos trust dscp
Câu lệnh sau sẽ chấp nhận độ ưu tiên được gán bời một IP Phone nhưng sẽ áp đặt sự ưu tiên tốt nhất cho bất kì máy tính nào gắn vào.
Switch(config-if)# mls qos trust dscp
Switch(config-if)# mls qos trust device cisco-phone
Switch(config-if)# switchport priority extend cos 0
Việc ngăn cách voice traffic trong một mạng con sử dụng Vlan và điều khiển sự tác động lẫn nhau giữa mạng voice và dữ liệu. Xem phần Access Control List để biết chi tiết và việc diều khiển truy cập trên mạng voice và mạng dữ liệu. Theo dõi Switch và sử dụng mạng như thay đổi sự phân phối mạng VoIP, voice codec hoặc thêm vào hệ thống diện thoại VoIP có thể được yêu cầu để xừa sai cho mạng bị phát tán hoặc Switch
9 Virtual Local Area Network
9.1 Tổng quan
Một Virtual Local Area Network(VLAN) là một miền Broadcast. Tất cả thành viên trong 1 VLAN nhận gói tin Broadcast được gửi bởi các thành viên trong cùng 1 VLAN, nhưng nó không nhận các gói tin Broadcast từ các thành viên của VLAN khác. Tất cả các thành viên trong 1 VLAN được nhóm 1 cách logic trong cùng 1 miền Broadcast không phụ thuộc vào vị trí vật lý. Việc thêm, di chuyển, thay đổi thành viên đều được ghi lại trong Switch. Định tuyến được yêu cầu cho sự giao tiếp giữa các VLAN khác nhau.
VLAN cung cấp sự chia đoạn theo logic của Switch thành nhiều vùng con. Sự chia nhỏ những mạng thành những VLAN với những chức năng khác nhau thì nhìn chung tốt cho nhà quản trị. Việc lọc gói tin mà được miêu tả ở phần Access Control List thì đơn giản để thực thi khi những hệ thống trên VLAN có cùng những chức năng tương tự. Ví dụ như, việc tạo những VLAN khác nhau thì làm đơn giản cho việc lọc Data và Voice.
Có nhiều phương pháp khác nhau để thực thi nhóm VLAN. Những phương pháp ở tầng 2 bao gồm Port-based VLANs và việc nhóm tầng MAC. Những phương pháp của tầng 3 bao gồm việc nhóm giao thức mạng và việc nhóm IP Multicast. Những Switch Cisco thực thi cả 2 phương pháp của tầng 2, nhưng Cisco xem việc nhóm tầng MAC như là VLANs động. Nhóm Port-based là phương pháp phổ biến nhất của việc khai báo VLANs, với tất cả dòng Switch hỗ trợ nó. Chỉ có Port-based VLANs và VLANs động được thảo luận trong phần này.
Đối với Port-based VLANs, người quản trị mạng đăng ký mỗi port của 1 Switch cho 1 VLAN. Ví dụ các port từ 1-5 sẽ được đăng ký vào VLAN 100, các port 6-8 vào VLAN 200 và port 9-12 vào VLAN 300. Switch sẽ phân tích nhóm VLAN của mỗi gói tin bằng việc đánh dấu port khí gói tin đến. Ỏ khí cạnh khác, sự thực thi dynamic VLAN đăng ký những MAC chi tiết cho mỗi VLAN. Điều này cho phép 1 hệ thống có thể được chuyển sang 1 port khác mà không thay đổi VLAN của port mà đã đăng ký. Một điểm khác biệt quan trọng nữa của sựt hực thi VLAN là phương pháp sử dụng chỉ ra những thành viên khi 1 gói tin di chuyển giữa các Switch. Các Switch gắn mỗi gói tin để chỉ ra thành viên của VLAN để phù hợp với chuẩn Trunk Inter-Switch Link(ISL) của Cisco hay chuẩn IEEE 802.1q. Và chỉ có chuẩn IEEE 802.1q được thảo luận trong phần này.
Sự phân chia mạng không làm ảnh hưởng đến việc nhận thức bằng việc thực hành tốt sự bảo mật. Sự phân chia mạng 1 cách vật lý cho Voice và Data là sự bảo đảm nhất nhưng không thực tế cho tất cả nhưng nó cần thiết trong môi trường bảo mật khắt khe. Việc không tách mạng Voice và Data thì có thể không thực tế để mà họat động theo những yêu cầu khác nhau cho mỗi traffic lợi dụng mạng. Cho hầu hết sự thực thi sau đó, mạng Voice và Data phải chia sẽ vài tài nguyên phổ biến trong khi vẫn giữ nguyên như tách vật lý.
Việc tách logic xuyên qua việc sử dụng VLAN nằm ngoài như là hướng giải quyết tốt nhất để mà có khả năng và bảo mật những tài nguyên chia sẽ mạng. Tuy nhiên việc tách theo logic là sự cộng tác và cung cấp 1 chút sự giảm thiểu tấn công bới chính nó.Một lớp được bảo vệ tiến gần đến việc sử dụng công nghệ bảo vệ có chiều sâu mà nó có thể làm tốt việc sử dụng tách logic cho Voice và Data thì được yêu cầu. Tham chiếu đến phần Access Control List để xem cách cung cấp sự bảo vệ cho các lớp. Hai cái hữu ích từ Cisco cho việc thực hành tốt nhất cho VLAN là [5] [9]
Phần khác miêu tả tính dễ bị tổn thương và những giải pháp tương ứng cho những vùng sau: VLAN 1, Private VLAN, VTP, Trunk Auto-Negotiation, VLAN Hoping và nhiệm vụ của Dynamic VLAN
Comment