Tweet
11 Access Control Lists
11.1 Tính dễ bị tổn thương
Một Switch mà không có cả access control list (ACL) lẫn ko ràng buột về việc áp ACL đến các interface của nó thì cho phép những kết nối TCP truy xuất 1 cách mênh mông(FTP, telnet, DNS, HTTP, SNMP, ICMP) vượt qua Switch tới bất kỳ hệ thống nào(những server quan trọng) trên mạng được bảo vệ. Broad access nghĩa là tất cả hệ thống hay 1 lượng lớn hệ thống không thể kết nối vượt qua Switch. Cả hai trường hợp trên đều cho kết quả là tào ra những thông tin tập trung lớn hơn và tạo ra nhiều cuộc tấn công hơn. Vài sự tyruy xuât này có thể cho phép bởi mặc định và có thể được cấu hình theo cách này mà nó không rõ ràng đối với người quản trị
11.2 Giải Pháp
Trong sự chuẩn bị cho việc thực thi ACLs, phân loại hệ thống gắn Switch vào những nhóm mà sử dụng cùng những dịch vụ mạng. Việc nhóm những hệ thống theo cách này giúp làm tăng kích cỡ và sự phức tạp của sự kết hợp những ACLs. Trong môi trường mạng Voice, sử dụng những VLAN được phân chia cho CallManagers, SCCP IP Phones, SIP IP Phones, Proxies, MGCP gateways and H.323 gateways là 1 ví dụ tốt cho vấn đề này. Việc xem xét những dịch vụ mạng sử dụng những hệ thống tương tự từ những công ty khác nhau(như H.323 gateways) là sự cải tiến sâu hơn của những ACL có thể cảm nhân thông qua những chính sách bảo mật mạng. Một lợi ích khác được tham chiếu từ Cisco cho sự hiểu biết về ACL ở [8]
ACL có thể cho phép hoặc cấm gói tin dựa trên lệnh điều khiển truy cập đầu tiên mà gói tin so sánh phù hợp. Nó cso những lọai khác nhau của Access Control Lists: Port Access Control List (PACL), Router Access Control List (RACL) và VLAN Access Control List (VACL).
11.2.1 Port Access Control List (PACL)
PACLs được sử dụng để hạn chế các gói tin cho phép đưa ra từ port. Nó có 2 loại PACL, IP PACL dựa trên IP access lists và IP access lists dựa trên MAC access lists. IP PACLs chỉ lọc những gói tin với IP ethertype. Việc tạo 1 chuẩn hay mở rộng IP access list và việc áp những access list đến 1 port của Switch ỏ tất cả thì được yêu cầu để thực thi IP PACLs
Trên những Switch mà hỗ trợ việc Unicast MAC, MAC PACLs sẽ lọc tất cả các gói tin mà không cần quan tâm đến Ethertype. Trên những Switch mà không hỗ trợ lọc Unicast MAC, MAC PACLs sẽ chỉ lọc những gói tin với những Ethertype thay vì IP. Bàn bạc việc đăng những ghi chú cho IOS trong việc sử dụng để phân tích để hỗ trợ Unicast MAC Filtering hay biểu diễn việc kiểm tra MAC filtering trước khi sử dụng MAC PACLs. Việc tạo 1 MAC access list mở rộng và việc áp những access list đến những interface của port của switch thì được yêu cầu để thực thi MAC PACLs
13 Sự xác thực, sự cấp quyền và sự tính toán
Tính dễ bị tổn thương
1 cách điển hình, 1 người quản trị truy cập từ xa đến 1 Switch Cisco yêu cầu phải có password nhưng không có username. Cũng vậy, không có cơ chế nào được cài đặt mặc định cho nhà quản trị thực hiện điều đó. Cuối cùng, việc thực thi xác thực chỉ 1 cách cục bộ tại những Switch ma không cung cấp 1 phương pháp tổng quát về việc xác thực quyền hạn và sự chỉ dẫn không chính xác về sự xác thực.
Giải pháp
Cisco cung cấp 3 cơ chế bảo mật gọi là: Authentication, Authorization và Accounting gọi tắt là AAA mà có thể dung cho những tính dễ bị tổn thương. Cấu hình AAA trên 1 Switch trong sự liên kết với 1 Security Server. Sử dụng AAA với 1 Security Server cung cấp cơ chế bảo mật theo mô tả bên dưới:
Ø Authentication: cơ chế này khai báo 1 user đằng xa và cục bộ trươc khi cho phép truy cập đến Switch.
Ø Authorization: cơ chế này điều khiển dịch vụ đằng xa dựa trên những khai báothuộc tính liên quan đến tính xác thực của user.
Ø Accounting: cơ chế này cung cấp 1 khả năng năng nhập bảo đảm băng việc lưu lại dịch vụ truy cập sử dụng băng thông tốt nhât của user
AAA cho phép 1 Security Server sử dụng 3 loại giao thức: RADIUS, TACACS+ và Kerberos. Việc sử dụng 1 Security Server thay vì tin tưởng vào vị trí dữ liệu của user(line password or enable passwords) cung cấp những lợi ích thêm vào của việc tập trung tâm hóa Server với nhiều hệ thống mạng sủ dụng AAA. Việc sủ dụng AAA cũng làm tăng thêm khả năng cấp quyền và sự tính toán mà nó không có nếu không sủ dụng Security Server. Những bước sau đây cung cấp những tùy chọn dựa trên Security Server được chọn .
Khai báo ít nhất 1 user cục bộ trước. việc cài đặt này rất quan trọng, đặt biệt nếu nhà quản trị đang cấu hình trên Switch đằng xa. Nếu 1 nhà quản trị không có 1 user được tạo từ trước và kết nối đằng xa bị đứt, khi đó người quản trị sẽ không thể kết nối đằng xa lại được nữa. Lệnh sau đây chỉ ra 1 ví dụ làm thế nào để tạo 1 user cục bộ bao gồm username với quyền uư tiên cao nhất và password được mã hóa là MD5.
Switch(config)#username ABC privilege 0 secret CDF
Để bật tính năng AAA, sử dụng câu lệnh sau:
Switch(config)#aaa new-model
Khai báo cụ thể 1 Security Server hay là 1 cài đặt Security Server có thể được thực hiện khi sử dụng câu lệnh sau cho TACACS và RADIUS:
{tacacs-server || radius-server} hots ip-address
{tacacs-server || radius-server} key key
Một điều lưu ý quan trọng khác khi sử dụng kerberos, trái với RADIUS hoặc TACACS là sự cấu hình thêm vào được yêu cầu để cho phép Switch giao tiếp với thuật toán mã hóa KDC(key distribution centrer)
11.1 Tính dễ bị tổn thương
Một Switch mà không có cả access control list (ACL) lẫn ko ràng buột về việc áp ACL đến các interface của nó thì cho phép những kết nối TCP truy xuất 1 cách mênh mông(FTP, telnet, DNS, HTTP, SNMP, ICMP) vượt qua Switch tới bất kỳ hệ thống nào(những server quan trọng) trên mạng được bảo vệ. Broad access nghĩa là tất cả hệ thống hay 1 lượng lớn hệ thống không thể kết nối vượt qua Switch. Cả hai trường hợp trên đều cho kết quả là tào ra những thông tin tập trung lớn hơn và tạo ra nhiều cuộc tấn công hơn. Vài sự tyruy xuât này có thể cho phép bởi mặc định và có thể được cấu hình theo cách này mà nó không rõ ràng đối với người quản trị
11.2 Giải Pháp
Trong sự chuẩn bị cho việc thực thi ACLs, phân loại hệ thống gắn Switch vào những nhóm mà sử dụng cùng những dịch vụ mạng. Việc nhóm những hệ thống theo cách này giúp làm tăng kích cỡ và sự phức tạp của sự kết hợp những ACLs. Trong môi trường mạng Voice, sử dụng những VLAN được phân chia cho CallManagers, SCCP IP Phones, SIP IP Phones, Proxies, MGCP gateways and H.323 gateways là 1 ví dụ tốt cho vấn đề này. Việc xem xét những dịch vụ mạng sử dụng những hệ thống tương tự từ những công ty khác nhau(như H.323 gateways) là sự cải tiến sâu hơn của những ACL có thể cảm nhân thông qua những chính sách bảo mật mạng. Một lợi ích khác được tham chiếu từ Cisco cho sự hiểu biết về ACL ở [8]
ACL có thể cho phép hoặc cấm gói tin dựa trên lệnh điều khiển truy cập đầu tiên mà gói tin so sánh phù hợp. Nó cso những lọai khác nhau của Access Control Lists: Port Access Control List (PACL), Router Access Control List (RACL) và VLAN Access Control List (VACL).
11.2.1 Port Access Control List (PACL)
PACLs được sử dụng để hạn chế các gói tin cho phép đưa ra từ port. Nó có 2 loại PACL, IP PACL dựa trên IP access lists và IP access lists dựa trên MAC access lists. IP PACLs chỉ lọc những gói tin với IP ethertype. Việc tạo 1 chuẩn hay mở rộng IP access list và việc áp những access list đến 1 port của Switch ỏ tất cả thì được yêu cầu để thực thi IP PACLs
Trên những Switch mà hỗ trợ việc Unicast MAC, MAC PACLs sẽ lọc tất cả các gói tin mà không cần quan tâm đến Ethertype. Trên những Switch mà không hỗ trợ lọc Unicast MAC, MAC PACLs sẽ chỉ lọc những gói tin với những Ethertype thay vì IP. Bàn bạc việc đăng những ghi chú cho IOS trong việc sử dụng để phân tích để hỗ trợ Unicast MAC Filtering hay biểu diễn việc kiểm tra MAC filtering trước khi sử dụng MAC PACLs. Việc tạo 1 MAC access list mở rộng và việc áp những access list đến những interface của port của switch thì được yêu cầu để thực thi MAC PACLs
13 Sự xác thực, sự cấp quyền và sự tính toán
Tính dễ bị tổn thương
1 cách điển hình, 1 người quản trị truy cập từ xa đến 1 Switch Cisco yêu cầu phải có password nhưng không có username. Cũng vậy, không có cơ chế nào được cài đặt mặc định cho nhà quản trị thực hiện điều đó. Cuối cùng, việc thực thi xác thực chỉ 1 cách cục bộ tại những Switch ma không cung cấp 1 phương pháp tổng quát về việc xác thực quyền hạn và sự chỉ dẫn không chính xác về sự xác thực.
Giải pháp
Cisco cung cấp 3 cơ chế bảo mật gọi là: Authentication, Authorization và Accounting gọi tắt là AAA mà có thể dung cho những tính dễ bị tổn thương. Cấu hình AAA trên 1 Switch trong sự liên kết với 1 Security Server. Sử dụng AAA với 1 Security Server cung cấp cơ chế bảo mật theo mô tả bên dưới:
Ø Authentication: cơ chế này khai báo 1 user đằng xa và cục bộ trươc khi cho phép truy cập đến Switch.
Ø Authorization: cơ chế này điều khiển dịch vụ đằng xa dựa trên những khai báothuộc tính liên quan đến tính xác thực của user.
Ø Accounting: cơ chế này cung cấp 1 khả năng năng nhập bảo đảm băng việc lưu lại dịch vụ truy cập sử dụng băng thông tốt nhât của user
AAA cho phép 1 Security Server sử dụng 3 loại giao thức: RADIUS, TACACS+ và Kerberos. Việc sử dụng 1 Security Server thay vì tin tưởng vào vị trí dữ liệu của user(line password or enable passwords) cung cấp những lợi ích thêm vào của việc tập trung tâm hóa Server với nhiều hệ thống mạng sủ dụng AAA. Việc sủ dụng AAA cũng làm tăng thêm khả năng cấp quyền và sự tính toán mà nó không có nếu không sủ dụng Security Server. Những bước sau đây cung cấp những tùy chọn dựa trên Security Server được chọn .
Khai báo ít nhất 1 user cục bộ trước. việc cài đặt này rất quan trọng, đặt biệt nếu nhà quản trị đang cấu hình trên Switch đằng xa. Nếu 1 nhà quản trị không có 1 user được tạo từ trước và kết nối đằng xa bị đứt, khi đó người quản trị sẽ không thể kết nối đằng xa lại được nữa. Lệnh sau đây chỉ ra 1 ví dụ làm thế nào để tạo 1 user cục bộ bao gồm username với quyền uư tiên cao nhất và password được mã hóa là MD5.
Switch(config)#username ABC privilege 0 secret CDF
Để bật tính năng AAA, sử dụng câu lệnh sau:
Switch(config)#aaa new-model
Khai báo cụ thể 1 Security Server hay là 1 cài đặt Security Server có thể được thực hiện khi sử dụng câu lệnh sau cho TACACS và RADIUS:
{tacacs-server || radius-server} hots ip-address
{tacacs-server || radius-server} key key
Một điều lưu ý quan trọng khác khi sử dụng kerberos, trái với RADIUS hoặc TACACS là sự cấu hình thêm vào được yêu cầu để cho phép Switch giao tiếp với thuật toán mã hóa KDC(key distribution centrer)