cpe.rmutt.ac.thcpe.rmutt.ac.th/comnet/presentrations/2552-2/sec1-monday... · web viewอธ...
Post on 12-Jun-2018
214 Views
Preview:
TRANSCRIPT
อปกรณความปลอดภยในบทน คณจะไดเรยนรวธการตางๆ ดงตอไปน :
อธบายการตงคาหรอกำาหนดคาและตรวจสอบ AutoSecure/One-Step Lockdown implementations (CLI and SDM)
อธบายการตงคาหรอกำาหนดคาและตรวจสอบ AAA สำาหรบ Cisco Routers
อธบายการตงคาหรอกำาหนดคา IOS คณสมบตการจดการเกยวกบความปลอดภย (SSH, SNMP, SYSLOG, NTP, Role-Based CLI, and the like)
470บทท 13. อปกรณความปลอดภย
บทนจะครอบคลมเกยวกบเรองการรกษาความปลอดภยเบองตนสำาหรบอปกรณคนหาเสนทาง ซงคณสมบตเหลานน เชน ระบบการจดการความคบคง
ของขอมล ทสงขอมลทละมากๆไปยงอปกรณตางๆ ในเครอขายของคณ.โดยสวนใหญแลวบทนจะเนนในตวคณสมบตทมอยแลวเพอใชสรางความปลอดภยในอปกรณคนหาเสนทาง. ในขนแรก คณจะไดเรยนรเหตผลขนพนฐานเพอความปลอดภยของอปกรณและเซอรวสดานความปลอดภย. จากนน คณจะไดเรยนรวธการใช AutoSecure เพอลอคดาวนเซอรวส CLI. สดทายคณจะไดเหนประโยชน 2 ประการของ SDM wizards ทชวยใหคณสามารถลอคดาวนอปกรณคนหาเสนทางของคณ โดยวธการตรวจสอบความปลอดภยและ One-Step Lockdown wizards.ทำาไมถงตองรกษาความปลอดภยใหกบอปกรณของคณ?
เราไมสามารถบอกคณไดวามคนกคนทถามเขามาวา เซอรวสและโปรเซส“ไหนของเราเตอรทฉนควรจะปด?” จากตาราง 13.1 ทเรยงลำาดบรายการของความเสยงมากทสดและการโจมตมากทสดเกยวกบ เชอรวสและโพรเซสตางๆ และคณควรพจารณาอยางจรงจงทจะปดใชงานเซอรวสเหลาน.รายการนไมไดสมบรณแบบดวยวธการใดๆ แตเปนสงทดในการเรมตนการตรวจสอบความปลอดภยของคณ
ตารางท 13.1 รายการความเสยงของการรกษาความปลอดภย
รายการ ความคดเหนOpen router จำากดการเขาถงขอมลทไมไดรบอนญาตไปยงเรา
471ความปลอดภยของคณทำาไมถงเปนอปกรณ
interfaces เตอรและระบบเครอขายทไมสามารถปดการใชงานได, เปดเราเตอรอนเตอรเฟส
Bootp server เซอรวสนเปดใชงานโดยคาเรมตน ซงเซอรวสนไมคอยไดใชงานมากนกและควรจะปดการใชงานไป
Cisco Discovery Protocol (CDP)
เซอรวสนเปดใชงานโดยคาเรมตน ถาไมมความตองการใชงาน,เซอรวสนควรจะปดการใชงานลงหรอเปดระบบ per-interface Basis
Configuration auto-loading
เซอรวสนจะถกปดโดยคาเรมตน ซงจะโหลดไฟลการตงคาตางๆ แบบอตโนมตบนเครอขายเซรฟเวอร ซงควรจะปดการใชงานเมอไมใชเราเตอร
FTP server เซอรวสนจะถกปดโดยคาเรมตน เพราะเซอรวสนจะอนญาตใหสามารถเขาถงไฟลบางไฟลในหนวยความจำาแฟลชของเราเตอร ซงเซอรวสนควรจะปดเมอไมจำาเปนตองใชงาน
TFTP server เซอรวสนจะถกปดโดยคาเรมตน.เซอรวสนควรจะปดการทำางานเมอไมจำาเปนตองใชเพราะจะมการอนญาตใหเขาถงไฟลบางไฟลในหนวยความจำาแฟลชของเราเตอรได
Network Time Protocol (NTP) service
เซอรวสนจะถกปดโดยคาเรมตน เซอรวสนควรจะปดการทำางานเมอไมจำาเปนตองใชงาน
Packet assembler and disassembler (PAD) service
เซอรวสนจะเปดการใชงานโดยคาเรมตน เซอรวสนจะตองปดการทำางานเมอไมไดใชงาน
TCP and User Datagram Protocol (UDP) Minor services
เซอรวสนจะเปดใชงานในซอฟทแวรของ Cisco IOS โดยซอฟตแวร Cisco IOS Release 11.3 รนกอนและถกปดการทำางานในซอฟตแวร Cisco IOS Release 11.3 และรนตอๆมา
Maintenance Operation Protocol (MOP) service
Ethernet interfaces จะเปดใชงานเซอรวสนมากทสด ซงควรจะปดเมอไมไดใชงาน
472บทท 13. อปกรณความปลอดภย
Simple Network Management Protocol (SNMP)
เซอรวสนจะถกปดโดยคาเรมตน เซอรวสนควรจะปดการทำางานเมอไมจำาเปนตองใชงาน
HTTP configuration and monitoring
คาเรมตนสำาหรบเซอรวสนจะขนอยกบอปกรณ Cisco คณควร ปดการใชเซอรวสนหากไมมความจำาเปนในการใชงาน. ถาบรการนจำาเปนตองใช ควรจำากดการเขาใชเซอรวส HTTP ซงเราเตอรจะใชรายการควบคมการเขาใช (ACLs)
Domain Name System (DNS)
ทเครองลกขายจะเปดเซอรวสนไวเปนคาเรมตน โดยถาเซอรวส DNS ตองถกใชงาน.ควรตรวจสอบใหแนในวามการตงคา DNS Server Address แลว
ICMP redirects เซอรวสนจะถกปดโดยคาเรมตน เซอรวสนควรจะปดการทำางานเมอไมจำาเปนตองใชงาน
IP source routing เซอรวสนจะถกปดโดยคาเรมตน เซอรวสนควรจะปดการทำางานเมอไมจำาเปนตองใชงาน
Finger service เซอรวสนจะถกปดโดยคาเรมตน เซอรวสนควรจะปดการทำางานเมอไมจำาเปนตองใชงาน
ICMP unreachable notifications
เซอรวสนจะถกเปดโดยคาเรมตน.ขอมลนจะถกนำาไปใชในการวาดแผนทเนตเวรคและควรจะปดบนอนเตอรเฟสทเชอมตอกบระบบเนตเวรคทไมนาเชอถอ
ICMP mask reply เซอรวสนจะถกเปดโดยคาเรมตน.ขอมลนจะถกนำาไปใชในการวาดแผนทเนตเวรคและควรจะปดบนอนเตอรเฟสทเชอมตอกบระบบเนตเวรคทไมนาเชอถอ
IP identification service
เซอรวสนจะถกเปดโดยคาเรมตน.ขอมลนสามารถถกใชโจมตกบเครอขายของคณได,ดงนนควรจะปดเซอรวสน
TCP keepalives เซอรวสนจะถกปดโดยคาเรมตน. Keepalives
473ความปลอดภยของคณทำาไมถงเปนอปกรณ
ควรจะเปดไวเพอใชจดการกบการเชอมตอ TCP และขดขวางการโจมตแบบ Dos
Gratuitous ARP เซอรวสนจะถกเปดโดยคาเรมตน.คณควรปด ARPs บนเราตเตอรอนเตอรเฟสแตละอน ยกเวนวาเซอรวสนจำาเปนตองถกใชงาน
Proxy ARP เซอรวสนจะถกเปดโดยคาเรมตน.เซอรวสนควรจะถกปด ยกเวนวาเราเตอรกำาลงถกใชเปน LAN Bridge
IP directed broadcast
เซอรวสนจะถกเปดในซอฟทแวร Cisco IOS software รนกอนเวอรชน 12.0 และถกปดในเวอรชน 12.0 และรนตอๆมา.เซอรวสนควรจะถกปดหากไมไดมการใชงาน
การทโปรเซสทมการใชงานอยแลวในเราเตอรและถกปดเซอรวสเองทงหมด เปนสงทเลวราย ซงยงไมรวมถงระยะเวลาและแนวโนมของความผดพลาดของงานทอาจจะเกดขนได.มนจะงายขนหากคณมองขามเซอรวสบางตวไป. นนหมายความวาคณพยายามทำาสงดๆหลายๆอยางและยงปดชองโหวในเนตเวรคไมใหมการโจมตไดอก
ดวยเหตผลนจงเปนการเสรมและผกใจความสำาคญทงสองเขาดวยกน เกยวกบ IOS ทจะชวยใหคณลอคดาวนอปกรณไดอยางอตโนมต. คณสมบตพนฐานแรกของ Command Line Interface (CLI) เรยกวา AutoSecure.อยางทสองคอ Web-based (SDM) ตวชวยทอนญาตใหคณตรวจสอบการตงคาการรกษาความปลอดภยปจจบนหรอเตรยมใหใช one-step lockdown.
474บทท 13. อปกรณความปลอดภย
CLI-Based AutoSecure
คณสมบต AutoSecure เปนคณสมบตใหม และ ม อย ใน IOS Version 12.3 และ รนตอๆมา. AutoSecure ใชงานงาย ดวยคำาสงเดยวสามารถตงคาความปลอดภยของอปกรณจากการคกคามไดอยางงายและรวดเรว. AutoSecure สามารถเพมประสทธภาพในการปองกนเราเตอรของคณได
AutoSecure มระบบทำางาน 2 โหมด คอ interactive และ noninteractive.Interactive ซงพรอมทจะใหคณเลอกใชตามวธการตงคาเราเตอรเซอรวสและคณสมบตดสนความปลอดภยอนๆทเกยวของ. ในโหมด Interactive คณสามารถควบคมคณสมบตดานความปลอดภยของเราตเตอรไดเอง. ระบบวซารดจะถามคำาถามเกยวกบสงทคณ ตองการตงคาความปลอดภย. สำาหรบโหมด Noninteractive การตงคาคณสมบตดานความปบลอดภยของเราเตอรจะถกตงตามคาของท Cisco ไดกำาหนดเอาไวแลว ซงเปนการออกแบบมาเพอเวลาทคณตองการความรวดเรวในการตงคาเราเตอร. โหมด noninteractive สามารถเปดใชงานไดจากการใช no-interact option.
Lockdown Items
คณสมบต AutoSecure จะเขาถงแตละแผนงานซงแตกตางกนบนเราเตอรเพอทำาการ sys-tematically ลอคดาวน และรกษาความปอดภยของระบบทงหมด. หากยงจำาแผนงานของผมทเกยวกบการประชมทผานมาได,มนเหมอนกบ CEF หรอเปลา?. เราเตอรทเสยหายจากการใชเพอจดการและควบคมตามหนาทของมน. ถดมาจะเปนการดวาคณสมบต AutoSecure นนทำาอะไรทแตกตางจากเราเตอรบาง
การจดการแผนงาน. การจดการแผนงานจะรวมไปถงการจดการเซอรวส เชน fn-ger, pad, udp และ tcp small servers, password encryption, tcp-keepalives, cdp, bootp, http, source routing, gratuitous
475ความปลอดภยของคณทำาไมถงเปนอปกรณ
arp, proxy-arp, icmp (redirects, mask-replies), directed broadcast, mop, และ banner. และยงรวมถงระบบลอคอน เชน password security และ การจดการเมอมการโจมตผานการลอดอน ซงเหมอนกบ secure shell (SSH)
Forwarding Plane Forwarding Plane ประกอบไปดวยการเขาใชงาน Cisco Express For-warding (CEF) และการตงคา ACLs เพอใชในการคดกรองทราฟฟค
รายการดานลางนเปนบางคณสมบตทมอยในระบบ Autosecure และ LockDown
ระบบไฟรวอลสามารถอนญาตใหคณเปดการใชงาน Cisco IOS Firewall inspection (ระบบไฟลวอลทมการตรวจจบขอมล) เพอใชกบโปรโตคอลและแอพพลเคชนทใชงานรวมกน
ฟงกชน Login จะรวมทงการจดการ Password และการตงคาเพอจดการกบการโจมตทใชการลอคอน (failed login attempts)
ฟงกชน NTP ทำาหนาทในการตงคาการเชอมตอแบบ NTP
ฟงกชน SSH ทำาหนาทตงคา Hostname และ Domain name ถาหากยงไมมการตงคาในสวนนกอนการเปดใชงาน. เราเตอรจะทำาการปองกนไมใหเขาใชงานฟงกชน SSH
ฟงกชน TCP Intercept จะถกเปดใชงานตามคาปกตทไดตงไว
Rollback (การกคน)
คงไมดแนถาคณเกดไมระมดระวงหรอลมวธในการตงคาเราเตอร. ดานลางนคอเรองเลกๆนอยๆทคณคงไมอยากใหเกดขนกบตวเอง
476บทท 13. อปกรณความปลอดภย
IOS รน 12.3 (8) T ไดเพมคณสมบตการกคนขอมลการตงคา AutoSecure.
การกคนจะชวยใหเราเตอรกลบไปอยในสถานะกอนการตงคา หากเกดความผดพลาดในการตงคา AutoSecure ขนมา.
A pre-AutoSecure snapshot จะถกบนทกลงใน Flash Memory บนเรา เตอร เปนไฟลเชน pre_autosec.cfg กอนท AutoSecure จะนำาคาทไดตงไวไปใชกบเราเตอร. คณสามารถใชไฟลนชวยแกไขการตงคาเราเตอรได
ในการเปลยนการตงคาการทำางานปจจบน ดวยไฟลการตงคาทถกเซฟไวแลวดวย AutoSecure. จะใชคำาสงในโหมด EXEC
ในรนกอนหนา Cisco IOS Release 12.3 (8) T, การกคนการตงคาของ AutoSecure นนไมมใหใชงาน;หมายความวาคณจะตองเซฟการตงคาทงหมดกอนทจะใช AutoSecure
477ความปลอดภยของคณทำาไมถงเปนอปกรณ
วธการตงคา Autosecure
คณสามารถเรมการทำางานของโปรเซส Autosecure โดยการใชคำาสง auto secure ดวยรปแบบดงน
auto secure [management | forwarding] [no-interact | full] [ntp | login | ssh | firewall | tcp-intercept]
AutoSecure ใชรปแบบของคำาสงทางดานบนน ซงชวยใหคณสามารถควบคมการทำางานของโปรเซสไดมากขน. และเพอความ ปลอดภยของสวนประกอบและฟวกชนทงหมด ควรเลอกเปนแบบ Full Option. ในการหลกเลยงการแจงเตอนเกยวกบการตงคา ควรจะเลอกเปน no-interact keyword .สวนการกำาหนดขอบเขตใหใชตวเลอกทแสดงในตาราง 13.2
ตารางท 13.2 AutoSecure Options
ตวเลอก รายละเอยดmanagement
management plane เพยงสวนเดยวเทานนทจะถกรกษาความปลอดภย
forwarding
forwarding plane เพยงสวนเดยวเทานนทจะถกรกษาความปลอดภย
no-interact
ผใชจะไมไดกำาหนดการตงคาใดๆ.ซงจะไมมหนาตางทงหนาตางการตงคารวมไปถง usernames หรอ passwords.
Full ผใชจะเปนคนตงคาและตอบโตกบคำาถามเกยวกบการตงคาเองทงหมด ซงตวเลอกนเปนคาปกตทถกตงมาแลว
Ntp เปนการตงคาเกยวกบคณสมบต Network Time Protocol (NTP) ใน AutoSecure command-line interface (CLI)
Login เปนการตงคาเกยวกบคณสมบต Login ซงอยใน AutoSecure CLI
Ssh เปนการตงคาเกยวกบคณสมบต SSH ซงอยใน AutoSecure CLI
478บทท 13. อปกรณความปลอดภย
Firewall เปนการตงคาเกยวกบคณสมบต firewall ซงอยใน AutoSecure CLI
tcp-intercept
เปนการตงคาเกยวกบคณสมบต TCP-Intercept ซงอยใน AutoSecure CLI
ขนตอนการตงคา AutoSecure สำาหรบฟงกชนและเซอรวสทงหมด
1. ระบ interfaces ภายนอก.
2. ตงคาความปลอดภยใหกบ management plane
3. สราง Security Banner.
4. ตงคา passwords, AAA, และ SSH
5. ตงคาความปลอดภยใหกบ interface settings
6. ตงคาความปลอดภยใหกบ forwarding plane
ถาคณไมไดระบตวเลอกใดๆ. คาเรมตนของ AutoSecure จะอยท interactive mode และ ทำาการตงคาฟงกชนและเซอรวสใหแบบสมบรณ
การกษาความปลอดภยท สำาหนกงานสาขายอยดไบ
สำานกงานทดไบเปนการขยายตวของ FutureTech Corporation. คณไดเตรยมพรอมในเรองโครงสรางพนฐานสำาหรบพนทไวแลว.อปกรณและสายเคเบลกอยในตำาแหนงทพรอมแลว. คณเองกเพงจะไดงานในการออกแบบโครงสรางของ switch blocks. แตกอนทคณจะมการเชอมตออนเตอรเนตภายในสำานกงาน. คณควรจะตดตงระบบรกษาความปลอดภยเอาไวบาง.
479ความปลอดภยของคณทำาไมถงเปนอปกรณ
และตอนน คณสามารถทจะตงคาความปลอดภยใหกบเราเตอรได.คณรจกกบเซอรวสและอนเตอรเฟสมากมายทใชในการตงคาใหกบเราเตอร.อยางไรกตาม,ทางสำานกงานใหญตองการใหคณใชฟงกชนทเรยกวา Autosecure โดยเชอวาฟงกชนนจะทำาใหการทำางานนนเรวขนและเชอถอได
ในครงแรก.ผมใชวธ Autosecure ในการตงคาเราเตอรบนเครอขาย.ดงนน ผมจะแสดงใหคณไดเหนวธการใช Autosecure ในการตงคาความปลอดภยบนเราเตอรเพอเชอมตออนเเตอรเนต. ไมมอะไรตองกลว. แคคณตอบคำาถามสก 2-3 ขอกเพยงพอแลว
เมอคณทำาการตดตง Autosecure จนเสรจเรยบรอยแลว.ตอไปกเปนการเรยนรเพอใชงาน SDM wizards 2 ตวเพอตงคาใหเสรจแบบเดยวกบการตงคาความปลอดภย
หลงจากบทนไป คณจะไดเรยนรวธในการควบคมการเขาถงระบบเครอขายและอปกรณทใชในการเขาระบบ,การอนถญาตเขาใชงาน และ AAA (บญชรายชอ), เกยวกบการตงคา AAA บนเราเตอร คณสามารถควบคมการเขาถงเครอขายไดจากพนทศนยกลางเพยงแหงเดยว.
และสดทาย คณจะไดเรยนรวธในการรกษาความปลอดภยดานทราฟฟคของระบบเครอขาย. คณเองกคงไมตองการใหแฮกเกอรเขามาขโมยขอมลของคณไดเชนกน !
ขนแรก, ใหเรมการทำางาน Autosecure และตอบคำาถามทางดานลางตอไปน
เรา เตอรจะตองเชอมตอกบอนเทอรเนตหรอไม ?
จำานวนอเตอรเฟสทใชในการเชอมตออนเตอรเนตมเทาไหร ?
ชอของอนเตอรเฟสทใชเชอมตออนเตอรเนตคออะไร ?
480บทท 13. อปกรณความปลอดภย
Router>enRouter#auto secure--- AutoSecure Configuration ---*** AutoSecure configuration enhances the security ofthe router, but it will not make it absolutely resistantto all security attacks ***AutoSecure will modify the configuration of your device.All configuration changes will be shown. For a detailedexplanation of how the configuration changes enhance securityand any possible side effects, please refer to Cisco.com forAutoSecure documentation.At any prompt you may enter ‘?’ for help.Use ctrl-c to abort this session at any prompt.Gathering information about the router for AutoSecureIs this router connected to internet? [no]:
เนองจากวาเราเตอรสวนมากในระบบเครอขายไมไดถกเชอมตอกบอนเตอรเนตโดยตรง, ดงนน ผมจะตอบ no ไปกอนในขนตอนน
หากผมตอบ yes ไป,ตวโปรเซสจะกลบมาถามผมเกยวกบจำานวนอนเตอรเฟสทใชเชอมตอและจำาขอชอของแตละการเชอมตอดวย. ในการปองกนขอมล, AutoSecure สามารถตงคารายการการเขาถงและ IOS Firewall ได. คณสามารถเหนผลของโปรเซสไดจากดานลางน
Securing Management plane services . . .
481ความปลอดภยของคณทำาไมถงเปนอปกรณ
Disabling service fingerDisabling service padDisabling udp & tcp small serversEnabling service password encryptionEnabling service tcp-keepalives-inEnabling service tcp-keepalives-outDisabling the cdp protocolDisabling the bootp serverDisabling the http serverDisabling the finger serviceDisabling source routingDisabling gratuitous arp
ในตอนน, โปรเซส AutoSecure ไดปดการทำางานของเซอรวส Management Plane ทไมจำาเปนตองใชงานทงหมด. จากนนโปรเซสกจพพรอมใหคณตงคา แบนเนอร. ตอไปเปนตวอยางการตงคา แบนเนอร
Here is a sample Security Banner to be shownat every access to device. Modify it to suit yourenterprise requirements.Authorized Access onlyThis system is the property of So-&-So-Enterprise.UNAUTHORIZED ACCESS TO THIS DEVICE IS PROHIBITED.You must have explicit permission to access thisdevice. All activities performed on this device
482บทท 13. อปกรณความปลอดภย
are logged. Any violations of access policy will resultin disciplinary action.Enter the security banner {Put the banner betweenk and k, where k is any character}:# This is a test banner for FutureTech Inc #
นคอจดสำาคญ. ตามกฎหมายไดกลาวไววาผดแลระบบจะตองไมมคำาวา "Welcome"อยใน แบนเนอรใดๆ. เพราะจะทำาใหเหมอนเปนการเชญชวนใหมการโจมตเขามาในระบบได. ผมเองกยงไมเคยพบหลกฐานทจะยนยนในเรองน.แตในความเปนจรง. ไมมเหตผลใดทจะทำาใหใครๆรสกยนดไดถาหากวาพวกเขาไมใช.
ตอไป โปรเซสพรอมใหคณตงคา Password และการอนญาตการเขาถง AAA :Enable secret is either not configured oris the same as enable passwordEnter the new enable secret:Confirm the enable secret :Enter the new enable password:Choose a password that’s different from secretEnter the new enable password:Confirm the enable password:Configuration of local user databaseEnter the username: Pat
483ความปลอดภยของคณทำาไมถงเปนอปกรณ
Enter the password:Confirm the password:Configuring AAA local authenticationConfiguring Console, Aux and VTY lines forlocal authentication, exec-timeout, and transport
Next, you have an opportunity to secure against login attacks:Securing device against Login AttacksConfigure the following parametersBlocking Period when Login Attack detected: 60Maximum Login failures with the device: 5Maximum time period for crossing the failed login attempts: 30
เมอมการโจมตผานการลอคอน. คณควรจะกำาหนดคาตามน
ระยะเวลาทมการพยายามเขาสระบบและถกปฏเสธไป (เรยก วา quiet period มหนวยเปน วนาท)
จำานวนสงสดของ failed login ตาม quiet period
ระยะเวลาทมการอนญาตให failed login ได ซงควรจะตงไวกอนท blocking period จะทำางาน
เมอเสรจแลว, AutoSecure จะพรอมใหคณตงคา SSH server.ถาคณตอบ yes,” AutoSecure จะตง SSH timeout เปน 60 วนาทและจำานวน SSH authentication retries ใหเปน 2 โดยอตโนมต. ถาหากเราเตอรไมไดม hostname เพยงแหงเดยว. คณจะตองเปนคนทตงคาสวนนเอง
484บทท 13. อปกรณความปลอดภย
หากคณตงคา hostname สำาหรบเราเตอรนกอนเรมการทำางาน AutoSecure, คณไมจำาเปนตองตงคาตรงน. อยางไรกตาม, ถาเราเตอรยงคงใชการตงคาจากโรงงานดวยคา default host-name, คณจะตองตงใหม Hostname เพยงแหงเดยวเสยกอน, อยางทไดเหนในรป. นเปนเรองสำาคญ เพราะ SSH ตองการ Hostname เพยงแหงเดยว เพอสราง Key ทจะใชในการตงคาความปลอดภย
ขอสงเกตคอ AutoSecure สามารถใหคณกำาหนดคาโดเมนเปนทเดยวกบเราเตอรได. เชนคา Hostname, โดเมนเนมซงสำาคญในการสราง Key ของ SSH
Configure SSH server? [yes]:Enter the hostname: DubRtr1
ปอน โดเมน ชอ: futuretech.com. ใหสงเกตวาตอนน AutoSecure จะปดการทำางานของเซอรวสบนเราเตอรเองทงหมด:
IP redirects IP proxy ARP IP unreachables IP directed-broadcast IP mask replies and mop on Ethernet interfaces
Configuring interface specific AutoSecure servicesDisabling the following ip services on all interfaces:no ip redirectsno ip proxy-arpno ip unreachables
485ความปลอดภยของคณทำาไมถงเปนอปกรณ
no ip directed-broadcastno ip mask-replyDisabling mop on Ethernet interfacesSecuring Forwarding plane services . . .Enabling CEF (This might impact the memory requirements for your platform)Enabling unicast rpf on all interfaces connectedto internet
โปรเซส AutoSecure จะแจงใหคณเปดใชฟงกชน frewall. ผมจะยงไมเปดฟงกชนนในตอนน, แตดานลางนคอผลการทำางานหากคณไดเปดการทำางานไปแลว. ผมจะแสดงผลการทำางานทผมไดเลอกจากเราเตอรในภายหลง
Configure CBAC Firewall feature? [yes/no]: nTcp intercept feature is used prevent tcp syn attackon the servers in the network. Create autosec_tcp_intercept_listto form the list of servers to which the tcp traffic is tobe observedEnable tcp intercept feature? [yes/no]: n
ผลการทำางานถดไปจะแสดงใหเหนการตงคาจรงๆซงผมใชกบเราเตอรของผมเอง. ผมจะรนคำาสงใหไดเหนกนตอไป
นคอคาทถกสรางขน
no service fingerno service pad
486บทท 13. อปกรณความปลอดภย
no service udp-small-serversno service tcp-small-serversservice password-encryptionservice tcp-keepalives-inservice tcp-keepalives-outno cdp runno ip bootp serverno ip http serverno ip fingerno ip source-routeno ip gratuitous-arpsno ip identd
AutoSecure จะถกปดการใชงานเซอรวสรวมหลายๆตว เพอเปนการปองกนไมใหเกดชองโหวและเปดการทำางานใหกบบางเซอรวสทชวยปองกนเราตอร :
banner motd ^C This is a test banner for FutureTech Inc ^Csecurity passwords min-length 6security authentication failure rate 10 log
ใน AutoSecure confgures มการตงคา authentication failure rate เปน 10. หมายถงการอนญาตให user ลอคอนผดได 10 ครง กอนทเราเตอรจะสง authentication failure event ไปให logger (router log หรอ Syslog server). คณไมควรจะเขาไปตงคานเอง; และควรปลอยให AutoSecure ตงคานโดยอตโนมต
487ความปลอดภยของคณทำาไมถงเปนอปกรณ
enable secret 5 $1$C0vX$UzdRxlTIAWefBQZ6xjDDe/enable password 7 050D131B345E4B1D1C061F43username Pat password 7 00071C08085A05aaa new-modelaaa authentication login local_auth localline con 0login authentication local_authexec-timeout 5 0transport output telnetline aux 0login authentication local_authexec-timeout 10 0transport output telnetline vty 0 4login authentication local_authtransport input telnet
AutoSecure จะเปดการทำางาน local AAA authentication และทำาการตงคา console 0, auxiliary 0, และ vty lines 0 - 4 for local authentication , EXEC timeout, และ outgoing Telnet connections:line tty 1login authentication local_authexec-timeout 15 0
488บทท 13. อปกรณความปลอดภย
login block-for 60 attempts 5 within 30hostname Router1ip domain-name futuretech.comcrypto key generate rsa general-keys modulus 1024ip ssh time-out 60ip ssh authentication-retries 2line vty 0 4transport input ssh telnet
AutoSecure จะถามเพอใหตงคา Hostname และชอโดเมน. ซงเปนคาทจำาเปนในการสราง Key, เพอเปดการใชงาน SSH บนเราเตอร. ตวเลอกการตดตงของ SSH จะถกตงคาไว. การตงคา Autosecure ดวย VTY lines 0 ถง 4 จะชวยสนบสนน SSH และ Telnet incoming con-nections. . ขนตอนนจะเพม SSH ลงในรายชอของ possible incoming connection typesservice timestamps debug datetime msec localtime show-timezoneservice timestamps log datetime msec localtime show-timezonelogging facility loca12logging trap debuggingservice sequence-numberslogging console criticallogging bufferedinterface FastEthernet0/0
489ความปลอดภยของคณทำาไมถงเปนอปกรณ
no ip redirectsno ip proxy-arpno ip unreachablesno ip directed-broadcastno ip mask-replyno mop enabledinterface FastEthernet0/1no ip redirectsno ip proxy-arpno ip unreachablesno ip directed-broadcastno ip mask-replyno mop enabledinterface Seria10/0/0no ip redirectsno ip proxy-arpno ip unreachablesno ip directed-broadcastno ip mask-replyip cefaccess-list 100 permit udp any any eq bootpc!end
490บทท 13. อปกรณความปลอดภย
Apply this configuration to running-config? [yes]:Applying the config generated to running-configThe name for the keys will be: Router1.futuretech.com% The key modulus size is 1024 bits% Generating 1024 bit RSA keys, keys will be non-exportable . . . [OK]DubRtr1#000045: *Oct 29 03:24:44.940 UTC: %AUTOSEC-1-MODIFIED: AutoSecure configuration has been Modified on this device
ตามทเคยสญญา.ผมจะแสดงใหเหนผลการทำางาน จากการตอบ Yes ทขนตอน Internet interface และ firewall . ขนแรก. เปนคำาสงทจะทำาให Autosecure รวาคณม Internet interface เทาไหร :
Is this router connected to internet? [no]: yEnter the number of interfaces facing the internet [1]: 1Interface IP-Address OK? Method Status ProtocolFastEthernet0/0 1.1.1.1 YES manual up upFastEthernet0/1 unassigned YES unset administratively down downSeria10/0/0 unassigned YES unset administratively down downEnter the interface name that is facing the internet: FastEthernet0/0
Here is the output from answering yes to the frewall question:
491ความปลอดภยของคณทำาไมถงเปนอปกรณ
Configure CBAC Firewall feature? [yes/no]: yตอนนจะไมมการแสดงผลอนๆอก , ตอไปเปนการแสดงโคดทถกตงคา ซง
จะไดผลดงน
ip inspect audit-trailip inspect dns-timeout 7ip inspect tcp idle-time 14400ip inspect udp idle-time 1800ip inspect name autosec_inspect cuseeme timeout 3600ip inspect name autosec_inspect ftp timeout 3600ip inspect name autosec_inspect http timeout 3600ip inspect name autosec_inspect rcmd timeout 3600ip inspect name autosec_inspect realaudio timeout 3600ip inspect name autosec_inspect smtp timeout 3600ip inspect name autosec_inspect tftp timeout 30ip inspect name autosec_inspect udp timeout 15ip inspect name autosec_inspect tcp timeout 3600ip access-list extended autosec_firewall_aclpermit udp any any eq bootpcdeny ip any anyinterface FastEthernet0/0ip inspect autosec_inspect outip access-group autosec_firewall_acl inSDM-Based Security Audit Wizard
492บทท 13. อปกรณความปลอดภย
Cisco SDM ประกอบไปดวย Security Audit Wizard ทชวยในการตรวจสอบประสทธภาพความปลอดภยของเราเตอรโดยรวม. Cisco SDM ไดใช Cisco Technical Assistance Center (TAC) และ International Computer Security Association (ICSA) เพอรบรองความถกตองโดยการเปรยบคาทไดตงไวกบคาเรมตนทมมา. The Security Audit Wizard จะเชคชองโหวของเราเตอรจากการตงคาและแนะนำาคาความปลอดภยของเราเจอรทตวรตงคาใหดวย
นอกจากน. สวนทสองของ SDM wizard ยงสามารถตงคาทคณเหนใน Autosecure ไดเกอบจะทงหมด. ซงจะเสรจทนทหากใช คณสมบต One-Step Lockdown ใน SDM
คณสมบต The Cisco SDM security audit จะทำาการเปรยบเทยบการตงคาเราเตอรไปยงรายการตรวจสอบ (ดานลางนยงไมใชรายการทงหมดของการเชคประสทธภาพ)
ปดระบบเซรฟเวอรทไมจำาเปนตองใช ในเราเตอร
ปดเซอรวสทไมจำาเปนตองใช ในเราเตอร
นำา Firewall ไปใชกบอนเอตรเฟสภายนอก
ปดการใชงาน SNMP หรอเปดดวย hard-to-guess community strings
ปดระบบอนเตอรเฟสทไมใชงานลง โดยการใชคำาสง no ip proxy-arp
ลอค Password สำาหรบ router console และ vty lines
ลอคและเปดการใชงาน secret password
บงคบใหใช ACLs
493ความปลอดภยของคณทำาไมถงเปนอปกรณ
The Security Audit Wizard ประกอบไปดวย 2 โหมด:
Security Audit จะตรวจสอบการตงคาเราเตอร, จากนนแสดงผลพธออกมาทางหนาตาง, ซงจะแสดงรายชอปญหาดานความปลอดภย. คณสามารถเลอกไดวาปญหาใดทคณตองการให lock down
One-Step Lockdown จะเรมรน lockdown อตโนมตโดยใชคาทกำาหนดไวแลว. เรมจากการใชงาน security audit mode, นจะเปนตวเลอกแรกทคณจะเหนเพยงครงเดยวจาก security audit ของ SDM
SDM Security Audit
การใชงาน SDM wizard, คณตองทำาใหเราเตอรเชอมตอ HTTP และรน SDM ได. ซงผมรวาคณไดทำาไปหมดแลว,ในขนตอนน ใหเปดอนเตอรเฟส SDM . และใหทำาตามขนตอนตอไปนโดยเรมจากหนา Home
ขนตอนในการตรวจสอบประสทธภาพโดย security audit :
1. คลก ปม Configure ใน main toolbar ท แสดง ใน รป ท 13.1.
2. คลก ท ไอคอน Security Audit ใน Tasks toolbar ดาน ซาย.
3. คณ มปม Wizard 2 ปม; คลก ท ปม Perform Security Audit
รปท 13.1 SDM Home Page
494บทท 13. อปกรณความปลอดภย
เลอกปม Confgure ท แสดง ใน รป ท 13.1. ใน รป ท 13.2 ไดอะลอกบอกซ Interfaces and Connections จะถกเปดขนมา
รปท 13.2 SDM Configure Page
495ความปลอดภยของคณทำาไมถงเปนอปกรณ
คณตองเลอกทปม Security Audit จากแถบเครองมอแนวตง. ใน รป ท 13.3 ไดอะลอคบอกซ Security Audit จะถกเปดขนมา
รปท 13.3 SDM Security Audit Page
คลก Perform Security Audit เพอเรมการใชงาน Wizard . เมอ Wizard ถกเปดขน, คณจะเหนหนาจอคลายกบทแสดงในรป ท 13.4. ซงจะแสดง Wizard ทใชตงคาความปลอดภยบนเราเตอร.
496บทท 13. อปกรณความปลอดภย
รปท 13.4 Security Audit Wizard Page
คณจะเหนไดวา wizard มการทำางานเพยงไมกอยาง. เรมแรก, มนจะเชคการตงคาของเราเตอรเปรยบเทยบกบคามาตรฐาน. จากนนจะแสดงรายชอของหวขอดานความปลอดภยทถกเชคไวในแตละตว. Wizard จะชวยใหคณสามารถแกไขคาตางๆเหลานนได โดยจะทำาการคนหาการตงคาทไมปลอดภยหรอไมแนะนำาใหใชงาน. สดทาย, มนจะทำาการแกไขคาเหลานน. กด Next เพอดำาเนนการขนตอไปทหนาตาง Security Audit Interface Confguration, แสดงดงรปท 13.5.
ทนจะเปนทๆใหคณเลอกวาอนเตอรเฟสไหนนาเชอถอ(ภายใน)และอนไหนไมนาเชอถอ(ภายนอก) . ปกตแลวอนเตอรเฟสภายในจะเปนอนเอรเฟสทไมเชอมตอกบอนเตอรเนตหรออยบนเครอขายทตองการการปองกน. อนเตอรเฟสภายนอก เปนอนเตอรเฟสทเชอมตอกบอนเตอรเนต. คณสามารถเลอกจำานวนของอนเตอรเฟสทจะตงคาได.กด Next เพอทำาการตรวจสอบประสทธภาพ สวนผลลพธแสดงในรปท 13.6
497ความปลอดภยของคณทำาไมถงเปนอปกรณ
รป ท 13.6 จะ แสดง หนาการตรวจสอบกบรายการทงหมดของสงทตรวจสอบในระหวางการตรวจสอบประสทธภาพ. คณ สามารถเลอกไดวาจะบนทกรายงานหรอปดไป. เมอคณเลอกแลว, หนาการแกจะถกเปดขน แสดงใน รป ท 13.7
นเปนการแสดงรายการเดยวกนจากหนาตรวจสอบประสทธภาพ.แตตอนนคณมโอกาสเลอกสงทคณตองการจะแกไข
หากคณคลกทปม Fix All .wizard จะแกไจตามรายการทงหมด.หนาตางจะปรากฏขนและคณสามารถตงคาไดตามตองการ เชน รหส ผาน.
รปท 13.5 Wizard Interface Configuration
รปท 13.6 Security Audit Page
498บทท 13. อปกรณความปลอดภย
499ความปลอดภยของคณทำาไมถงเปนอปกรณ
รปท 13.7 Fix It Page
สำาหรบทางเลอกอน, คณสามารถเลอกจำานวนของแตละรายการจากรายการการแกไขใด ๆได
หากคณคลก hyperlinks , คณจะไดรบขอมลเพมเตมเกยวกบสงทเลอก.ระวง จะ ไม ลอค ตว เอง ออก จาก เรา เตอร. แตควรระมดระวงไมใหเราเตอรหยดการทำางาน
คลกทปม Fix All เพอดขนตอนท Wizard จะทำาใหเราเตอรของคณปลอดภยโดยสมบรณ .รป ท 13.8 แสดงขนตอนแรก
500บทท 13. อปกรณความปลอดภย
รปท 13.8 Enable Secret and Login Banner
ขนตอนแรก Wizard จะใหคณเพมและเปดการใชงาน Secret Password .คณสามารถเหนหนาตางนไดจากรปท 13.8. Password นควรผสมตวอกษรลงไปดวยเพอใหยากแกการคาดเดา. อาจะใชตวอกษรเลกใหญ,ตวเลข,และอกษรพเศษอนๆปะปนกน เพอทำาให Password ของคณเดาไดยากมากขน
การตงคาตอไปในหนาน คอ login banner อยในรปท 13.8 .จากทกลาวไปแลวในการตงคา Autosecure. Banner ควรจะไมมคำาเชญชวนใดๆหรอประกอบไปดวยคำาวา “Welcome” . ใหคณเพม Password และขอความ Banner จากนนคลก Next เพอเปดหนาตางการตงคา User
501ความปลอดภยของคณทำาไมถงเปนอปกรณ
รปท 13.9 User for Secure Access
บญชผใชสามารถถกใชไดจากผดแลระบบเพอเขาถงเราเตอรผาน Telnet หรอ SSH. เพอความปลอดภยทางดานการเขาระบบ, User แตละคนควรจะสามารถเขาถงอปกรณไดในแบบ sepa-rate account. ในการเพม User ใหมเขาในฐานขอมลใหคลก Add. รปท 13.10 แสดงภาพหนาตาง the Add Telnet/SSH Accountรปท 13.10 Add User Screen
502บทท 13. อปกรณความปลอดภย
หนาตางนจะอนญาตใหคณตงคาตวเลอกของ User ใหม.เปนตวเลอกงายๆคอ Username และ Password. หลงจากเพม User เสรจแลว,คลก OK .User ทเพมเขาไปใหมจะแสดงอยในรายชอในฐานขอมลดงรป 13.11
503ความปลอดภยของคณทำาไมถงเปนอปกรณ
รปท 13.11 User Added to Local Database
ตอนนคณสามารถตรวจสอบวา User ใหมทคณเพงสรางไปแลวอยในฐานขอมลจรง. ถาคณตองการเพมผใชเพมเตมในฐานขอมล, ใหเลอกปม Add อกครงและทำาซำาจนกวาจะครบผ ใชตามทคณตองการเพมในระบบฐานขอมล. เมอเสรจแลว, คลก Next เพอไปเปดระบบ Logging ดงรป ท 13.12.
รปท 13.12 Enable Logging
504บทท 13. อปกรณความปลอดภย
หนาจอนจะแสดงตวเลอกเพอตงคา logging สำาหรบเราเตอร. โดยปกตชอง CheckBox จะถกเชคเพอเปดระบบ Logging อยแลว. ผมไดเชคออกไปเพราะวาผมไมม syslog server ทจะสงขอมลไปให.แตในการใชงานบนเครอขายจรงคณจะตองมสถานทสงขอมล Logging ดวย. และนเปนตวเลอกแรกในหนาน; คณตองบอกเราเตอรเกยวกบ IP ของ syslog server ในเครอ ขายของคณเพอใชสง Logging Data. ตวเลอกทสองทางดานลางหนาจอจะชวยใหคณกำาหนดระดบ Logging สำาหรบเราเตอร. เมอ เสรจแลว, คลก Next เพอไปยงการตงคา IOS firewall แสดง ใน รป ท 13.13.
รปท 13.13 IOS Firewall Setup
505ความปลอดภยของคณทำาไมถงเปนอปกรณ
ในจดน Security Audit Wizard จะเรมเปด Wizard ตวอน ซงกคอ IOS Firewall Wizard. ตอนนคณอยใน Advanced Firewall Wizard. ผมจะบอกวธการสนๆสำาหรบขนตอนน.โดยในบทท 15 "Cisco IOS Firewall" จะอธบายในเชงลกสำาหรบ วธการทำางานของ Firewall บน Router
ขนตอนแรกจากภาพจะบอกคณวาคณสมบตและขนตอนของไฟรวอลลทสามารถทำาได. เพยงคลก Next. คณจะเรมตนการตงคาบนหนาจอถดไป แสดง ใน รป ท 13.14.
หนาจอทสองของ Firewall Wizard จะชวยใหคณตงคาอนเตอรเฟสทนาเชอถอและไมนาเชอถอของ firewall. ทดานลาง ของหนาจอ, จะบอกใหวาคณสามารถตงคาอนเตอรเฟสท 3 เพอใชเปน DMZ. อกครง. คณจะไดเรยนรเกยวกบสงนในบทท 15. คลก Next เพอดำาเนนการตงคาตอ, แสดง ใน รป ท 13.15.
บนหนาจอน, คณจะไดตงคาระดบความปลอดภยของ firewall. ดานขวาบรเวณกลางหนาจอจะมแถบสไลดทคณสามารถ ตงระดบความปลอดภยจาก
506บทท 13. อปกรณความปลอดภย
หนง ใน สาม ระดบ. กลองขอความทางดานขวาของแถบสไลดจะใหคำาอธบายพนฐานของแตละระดบ.
เชนเดยวกน,คณสามารถตงคาระดบความปลอดภยของคณ โดยเลอกทจาก Custom Application Security Policy จากนนใหคลก Next. เมอคณคลก Next แลว.Wizard จะตงคา firewall แลวแสดงสรปขนตอนท Wizard จะทำาการตงคาบนเรา เตอร. รป ท 13.16 แสดงผลการทำางาน
รปท 13.14 การเลอกอนเตอรเฟซของ Firewall ( เกราะปองกน )
507ความปลอดภยของคณทำาไมถงเปนอปกรณ
รปท 13.15 การเลอกระดบความปลอดภยของ Firewall ( เกราะปองกน )
รปท 13.16 สรปการตงคาของ Firewall ( เกราะปองกน )
508บทท 13. อปกรณความปลอดภย
คลกท Back หากตองการทำาการเปลยนแปลง คลก Finish หากตองการจบการตงคา
รป ท 13.17 เปนการแสดงหนาสรปทปรากฏขนเมอตวชวยสรางเสรจสมบรณ
รปท 13.17 หนา สรป
509ความปลอดภยของคณทำาไมถงเปนอปกรณ
เมอแนใจวาทกอยางทคณทำาเสรจสมบรณใหทำาการคลก Finish การตงคาทงหมดจะถกบนทกท Router
ขนตอนแรกสำาหรบการลอค
ใหคณทำาการรโหลด Router ของคณเพอลบการกำาหนดคาทงหมดทมอยในปจจบนกลบไปสหนาการตรวจสอบความปลอดภย SDM แสดง ใน รป ท 13.3. แสดงขนตอนแรกของการลอก Wizard ทำาการคลกปม ลอคเตอนจะแสดงในรปท 13.18
รปท 13.18 การเตอนของ SDM
ณ จดน ถาคณเลอก Yes ตวชวยสรางอตโนมตจะผานไปและการตงคาทงหมดจะเปนการตงคาความ ปลอดภยทแนะนำา และเมอทำาการเลอก Yes. การตรวจสอบกลองโตตอบจะแสดงใน รป ท 13.19
รปท 13.19 หนายนยน
510บทท 13. อปกรณความปลอดภย
ณ จดท Router มการตงคาทงหมดจะมรายละเอยดทกสงทไปเพมลงไปใน Router คณจะเหนตวเลอก เดยวทคณมคอ การสงคำาสงให Router ใหคลก OK เพอทำาการสงกลองขอมลการจดสงจะแสดงในรป ท 13.20
รปท 13.20 หนาจอการสง
ทจดทมการกำาหนดคาทมการทำางานทงหมดของคำาสงนทเพมใน Wizard และเมอ Router วางเปลาจะมค ำาสง 65 หรอ 66 คำาสง และนคอรายการทงหมดของสงทถกตรวจสอบและสงทดำาเนนการไดในตวชวยสราง
- ไมมบรการเกยวกบ Finger- ไมมบรการเกยวกบ PAD- ไมมบรการเกยวกบ TCP Small Servers- ไมมบรการเกยวกบ UDP Small Servers- ไมมบรการเกยวกบ IP Boot Server- ไมมบรการเกยวกบ IP Identification- ไมมบรการเกยวกบ CDP- ไมมบรการเกยวกบ IP Source Route- มบรการใชรหสผานและการเขารหส- มบรการ TCP Keepalives สำาหรบชวงขาเขาของ Telnet
511ความปลอดภยของคณทำาไมถงเปนอปกรณ
- มบรการ TCP Keepalives สำาหรบชวงขาออกของ Telnet- มบรการ ใชหมายเลขลำาดบทและเวลาแสตมปใน Debugs- มบรการ IP CEF- ไมมบรการ Gratuitous ARPs- มการตงรหสผานขนตำาทนอยกวา 6 ตว อกษร- มการกำาหนดอตราลมเหลวในการตรวจสอบใหนอยกวา 3 ครง- มการตงเวลาสำาหรบรอคอย TCP- มการตงคาแบนเนอร- มการเปดการเขาใชงาน- มรหสผานตดตงใชงานลบ- ไมม SNMP- มการตงคาของตารางเวลา- มการตงคาการจดสรรตารางเวลา- มการตงคาของผใช- มการตงคาการใชงาน Telnet- มการสลบการใช NetFlow- ไมมการเปลยนเสนทางของ IP- ไมม IP Proxy ARP- ไมม IP Directed Broadcast- ไมมบรการ MOP- ไมม IP Unreachable- ไมมการอบกลบของ IP ทซอน- ปด IP ทวางบนอนเตอรเฟซ- เปด Unicast RPF ในอนเตอรเฟซนอก- มการเปด Firewall ทก Interface นอก- มการตงคาการเขาถงบรการของ HTTP
512บทท 13. อปกรณความปลอดภย
- มการตงคาการเขาถง VTY- มการเปด SSH สำาหรบการเขาถง Router
AAAAAA ยอมาจาก การตรวจสอบ,การอนมต และบญช คณลกษณะ AAA
ซงสนบสนนเกอบทก อปกรณเครอขายของ Cisco ทมอยในตลาดทชวยใหจดการภาพรวมของคณสมบตตางๆในเครอขายทงหมดการอธบายทง 3 คณลกษณะมดงน
การตรวจสอบ คอ ตรวจสอบความถกตองของผใชและผดแลระบบเพอพสจนวาพวกเขามอยจรง ในการตรวจสอบนนจะใชชอของผใชและรหสผานในการตรวจสอบ
การอนมต คอ หลงจากทมการตรวจสอบผใชและผดแล ระบบบรการจะมการอนมตหรอการ ตดสนใจใหใชทรพยากรซง ผใชและผดแลทไดรบอนญาตใหเขาใชและดำาเนนงานจะเขาใชงานได
513ความปลอดภยของคณทำาไมถงเปนอปกรณ
การอนมตสำาหรบงานอน ๆ
- พารามเตอรทมการระบ เชน ทอย และ รายการควบคมการเขา ใช (ACLs) เพอเชอมตอกบผใช งาน
- ระบสทธของผใชงานทใหมการ Exec- ควบคมการใชงานคำาสง Exec เฉพาะ
บญช และ การตรวจสอบบญช คอ บญชทบนทกสงทผใชและผดแลทำาหรอสงทพวกเขาเขาถงและ ระยะเวลาทพวกเขาเขาถงสำาหรบบญชและการตรวจสอบมวตถประสงคคอ ตดตามการใชทรพยากรเครอขาย
AAA ม 2 วตถประสงคหลกคอ
1. ตรวจสอบผใชระยะไกลทพยายามเขาถงเครอขายหรอองคกรผานวธการแบบระยะไกล เชน dial-in หรอ การเชอมตออนเทอรเนต
2. ตรวจสอบผ ใช และผ ด แลท พยายามเข าถ ง Router ผ านทาง console port, port aux,หรอ พอรต VTY
514บทท 13. อปกรณความปลอดภย
Cisco มสามแนวทางทใชในการบรการ ประเมน เพอใชกบ Router Cisco และเครอขายเซรฟเวอร การเขาถ ง (NASs), concentrators VPN, Firewall และอปกรณ Switch จะแสดงใน รป ท 13.21
รปท 13.21 การตดตงและการใช AAA เบองตน
แนวคดเกยวกบการทำางานโดยมากกจะใหผดแลระบบจดการเพอรกษาหรอแยกฐานขอมลในแตละ อปกรณเขามาจากอนเทอรเนต ถาฐานขอมลเปนแบบเฉพาะ ทกครงรหสผานของผใชตองถกตงใหม หรอ ทำาการปรบปรงและจะตองปรบปรงฐานขอมลเฉพาะของแตละอปกรณ เชน กนวามเพยง ACS server เดยวทตองใช ในเครอขาย ตารางตอไปนจะแสดงตวเลอกการใชงานทแตกตางกนวาคณมคณสมบตอยางไร
AAA in Dubaiใน สำานกงานของ ดไบ จะมอปกรณหลายรปแบบททำาใหใหผใชสามารถเขา
ถงเครอขายระยะไกล โดย AAA จะทำาการแยกใชเซรฟเวอรตามปกต เชน อปกรณหนงประเภทสามารถใชเซรฟเวอรในเครอขายภายในประเภท ของเซรฟเวอร AAA นจะใชเพอใหมสถานทเดยวทใชสำาหรบการรกษาความปลอดภย และ การขอเขา ใชหรอสงขอมล และ ฐานขอมลเฉพาะทอปกรณเชอมเขาหากนไมได
ตาราง 13.3 แสดง บรการ ของ AAA ทมใน Cisco
515ความปลอดภยของคณทำาไมถงเปนอปกรณ
ตาราง 13.3 การบรการ AAA ของ Cisco
บรการ ลกษณะการบรการ
- บรการทมในตวเองของ AAA บรการทตนเองมใน Router เอง นเรยก วา การ ตรวจ สอบ ภายใน
- ความปลอดภยทอยบนตววนโดว เปนการควบคมความปลอดภยในการเขาถงเซรฟเวอรสำาหรบผใช
และการตรวจสอบดแล
-บรการความปลดภยของอปกรณCisco AAA บรการบน Router หรอ NAS ตดตอกบอปกรณ Cisco ภายนอก
Secure Solution ACS สำาหรบ ผใชและการตรวจสอบดแล.
ประเภทของการสนบสนนโปรโตคอล AAA ทใชกนอยางแพรหลายทสดคอ TACACS+ และ RADIUS.TACACS ซงมาแทนทรนเดมคอ TACACS และ XTACACS ซง TACACS+ และ RADIUS ไดมคณสมบตอนเพมเขามาททำาใหเหมาะสำาหรบการใชงานทแตกตางกน
RADIUS เปนมาตรฐานทใชโปรโตคอลทถกสรางขนโดย Internet Engineering Task Force (IETF) TACACS + ซ ง เ ป น เ จ า ข อ งเทคโนโลยระบบ Cisco วาขอมล encrypts. อนแตกตางทส ำาค ญ ค อ TACACS + ทำางานใน TCP ขณะ RADIUS ทำางานใน (UDP).
TACACS + ม ประโยชนมากสำาหรบการกำาหนดคาอปกรณ Cisco ทจะใช AAA ในการจดการและการ บรการสำาหรบปลายทาง และ TACACS + สามารถควบคมระดบการอนมตของผใชในขณะท RADIUS ไม สามารถควบคมไดนอกจากน เนองจาก TACACS + แยกการตรวจสอบและอนมตนนเปนไป
516บทท 13. อปกรณความปลอดภย
ไดทจะใช TACACS + ในการอนมต และ บญชขณะทใชวธการอนการตรวจสอบ เชน Kerberos.
RADIUSเปนการแสดงขนตอนการตรวจสอบกบขอบเขตโปรโตคอล รป ท 13.22
แสดงขนตอนตาม กระบวนการ ในขนตอนนนเครองไคลเอนตกำาลงพยายามทจะทำาการเชอมตอไปยงเครอขาย.
RADIUS ในดไบ
อปกรณของลกขายจะเขาถงเครอขายภายใน ดไบ ไดจากตำาแหนงทอยระยะไกล เปนการดำาเนนการคนหาเสนทางทจะไปยงเครอขายของสำานกงานดไบภายใต RADIUS ของ AAA โปรโตคอล
รป ท 13.22 ขอบเขตการเชอมตอกบ Client
1. ลกขายรองขอการตดตอ2. Router แจงลกขายกรอกขอมลชอผใช3. ลกขายแจงชอผใชไปยง Router
517ความปลอดภยของคณทำาไมถงเปนอปกรณ
4. Router แจงใหผใชกรอกขอมลพาสเวรด5. ลกขายแจงพาสเวรดไปยง Router6. Router สงตอขอมลทเกยวกบชอผใชและรหสผานไปยง Server
RADIUS ใชสทธการเขาถงขอมล
7. หาก ขอมลผใชนนถกตองแลว server จะทำาการตอบตกลงกลบมาและยงมจะมการสงคาพารามเตอร IP กลบมา
หากขอมลผใชไมถกตองจะมขอความปฏเสธตอบกลบและ Router จะสนสดการเชอมตอ
ตาราง 13.4 แสดงขอความคำาอธบาย RADIUS ทงสตาราง 13.4 ประเภทขอความของ RADIUS
ประเภทขอความ คำาอธบาย
1 Access-Request ขอความนถกจะถกสงโดย router หรออปกรณอนๆทมคณลกษณะแบบ (AV-pair) สำาหรบช อผใชและรหสผานจะเปนขอมลเฉพาะทมการเขารหส และ เพมเตมขอมล เชน พอรต Router
2 Access-Challenge จะสงโดย RADIUS Server เพ อตอบกลบของ Access-Request Message เมอตองการขอมลเพมเตม ทจ ำาเป นเพอด ำาเน นการตรวจ
518บทท 13. อปกรณความปลอดภย
สอบหรออนมต เป น Message ท RADIUS Client ต อ ง ต อ บ ก ล บ Access-Challenge Message ปกตจะเปนการตรวจสอบกลบเมอต ร ว จ ส อ บ ข อ ม ล ป ร ะ จ ำา ต ว ข อ ง Client
3 Access-Accept จะสงโดย RADIUS Server ใชในก า ร ต อ บ ก ล บ ข อ ง Access-Request Message เ พ อ บ อ ก RADIUS Client ถ ง ส ท ธ ใ น ก า รเ ช อ ม ต อ Access-Accept สามารถกำาหนดคาและขอมลในการเชอมตอได
4 Access-Reject จะสงโดย RADIUS Server ใชในการตอบกลบของ Access-Request Message เพอบอก RADIUS Client ถงการปฏเสธ การเชอมตอ RADIUS Server จะสงขอความนหากสทธในการเชอมตอไมเปนจรงหรอไมมสทธในการเชอมตอ
ขอความทมอยใน AV- pairs เปนขอมลจรงทชวยใหอปกรณในเครอขายทำาการตรวจสอบ อนมต และ บญช สำาหรบ โฮสต. ตวอยางทใช RADIUS AV-pairs ทวไป คอ
519ความปลอดภยของคณทำาไมถงเปนอปกรณ
- ชอผใช- ผใช - รหสผาน (เฉพาะองคกรณทเขารหสใน RADIUS)- รหสผาน CHAP- NAS-IP-Address- NAS-Port- ประเภทของบรการ- กรอบของ IP Address
มการกำาหนดประมาณ 50 AV-pairs ใหม Internet Engineering Task Force (มาตรฐาน IETF) และ Cisco ไดเพม คณลกษณะผผลตเฉพาะในฝงเซรฟเวอร
520บทท 13. อปกรณความปลอดภย
อปกรณ Cisco IOS โดยปกตมกจะใช Cisco AV-pairs แตสามารถถกกำาหนดคาใหใชคณลกษณะ เฉพาะของมาตรฐาน IETF สำาหรบการทำางานรวมกน
การนำา RADIUS ของ Cisco เปนมาตรฐาน (IETF). คณลกษณะนมเฉพาะผผลต (VSA) สำาหรบ Cisco. ใชขออนมต VSA โดยระบใน TACACS + ขอกำาหนดจะถกสงไป ยงอปกรณเพอเขาใชงานผาน RADIUS
ปจจยททำาใหเกดขอจำากด RADIUS
- คณสมบตการรกษาความปลอดภยของรหสผานเฉพาะจะถกเขารหส- การอนมตสามารถทำารวมกบการตรวจสอบได
ขอมลบญชและขอความพเศษจะถกสงภายใน RADIUS
TACACS+TACACS + ใน โปรโตคอล Cisco ม ความยดหย นมากส ำาหร บ
RADIUS โปรโตคอล TACACS + Server สามารถใชในการสนทนากบลกคาเพอไดรบขอมลทเพยงพอสำาหรบผใชทไดรบสทธ คณสามารถ กำาหนดคาการสนทนารวมกบรายชออนๆหรอขอมลสวนบคคลทควรรจก เชน ค ำาถามความปลอดภยเมอทานเขาสเวบไซตของธนาคาร
TACACS + เปนโปรโตคอลหลกสำาหรบ implementations Cisco เพอสนบสนน IOS Router , สวตช และ PIX / ASA Firewall
TACACS + ใช TCP พอรต 49 เปนชนของการขนสงเร มตน โดยปกตในแตละรายการจะใชการเชอม ตอ TCP เฉพาะ ซงสามารถจดตงขนเพอใหโหลดในเซรฟเวอรนอยลงและการตรวจสอบในการสอสารดขน อปกรณเครอขายสามารถทำางานไดตราบใดท Server ดำาเนนการอย
521ความปลอดภยของคณทำาไมถงเปนอปกรณ
ร ป ท 13.23 แสดงข นตอนการตรวจสอบโดยใช TACACS + protocol. คลายกบตวอยาง RADIUS ท ตอนนคณมลกคาพยายามเขาไปในสำานกงาน ดไบ Router จะทำาการสอสารไปยงเซรฟเวอรทใช TACACS +
1. ลกคารองขอสทธหรอโอกาสในการใชงาน2. Router รองขอชอผใชจาก TACACS + server3. TACACS + server ทำาการแจงชอผใชกลบไป4. Router แจงตอบกลบไปยงผใช5. ลกขายแจงชอผใชงาน6. Router ทำาการสงตอไปยง TACACS + server.7. Router รองขอรหสผานจาก TACACS + server8. TACACS + server ทำาการแจงรหสผานให
522บทท 13. อปกรณความปลอดภย
9. Router แจงรหสผานใหลกขาย10. ลกขายทำาการสงรหสผานกลบไป11. Router สงตอรหสผานไปยง TACACS + server12. TACACS + server ทำาการตอบรบ หรอ ปฏเสธ ผ ใช
รป ท 13.23 Client เชอมตอกบ TACACS +
Router ไดรบการตอบสนองอยางใดอยางหนงตอไปนจาก TACACS + server
- ACCEPT คอ ผใชมสทธและการบรการอาจจะเรมขนถา Router มการกำาหนดการอนมตไดถกตอง
523ความปลอดภยของคณทำาไมถงเปนอปกรณ
- REJECT คอ ผใชเกดความลมเหลวในการตรวจสอบ ผใชอาจถกปฏเสธการเขาถงเพมเตม หรออาจ มการแจงใหเขาสระบบตามลำาดบอกครงขนอยกบ TACACS +
- ERROR เกดขอผดพลาดในเวลาระหวางการตรวจสอบนสามารถเกดขนทงในเซรฟเวอรหรอใน การเชอมตอเครอขายระหวางเซรฟเวอรและ Router ถาเกดขอผดพลาด Router มกจะพยายาม ใช วธอนในการตรวจสอบผ ใช
- CONTINUE ผใชทำาการแจงขอมลสำาหรบการตรวจสอบเพมเตม
การตรวจสอบผใชจะตองมการรบอนมตเพมเตมหากมการอนมตใหมการเปดการใชงานของ Router ผ ใชครงแรกแลวจงจะเสรจสมบรณซง TACACS + จะทำาการตรวจสอบกอนการดำาเนนการอนมต TACACS + ตอไป
ซงถา TACACS + อนมตกจะทำาการตดตอกบ TACACS + server อกครงและจะทำาการตอบ ยอมรบ หรอปฏเสธการอนมต ถาตอบยอมรบจะมขอมลในรปของคณลกษณะทใชโดยตรงหรอการ EXEC ของงานในเครอขายสำาหรบผใชทมการกำาหนดบรการใหสามารถเขาถงไดซงการบรการประกอบดวยสงตางๆดงน
- Telnet- rlogin- PPP- Serial Line Internet Protocol (SLIP)- EXEC Services- Parameter และ เชอม ตอรวมถงโฮสตหรอลกขาย ACL และผ ใช
หมดเวลาของการใชงาน
524บทท 13. อปกรณความปลอดภย
กระบวนการอนมตของ TACACS + จะเรมหลงจากทผใชมสทธในการเชอมตอกบ ACL ผใชสามารถ อปโหลดไปยง Router และสามารถใช TACACS + สำาหรบ การอปโหลดหลายพารามเตอร ซงขอมลตอไปนจะเกยวของกบปญหาในการแลกเปลยขอมลของ Router
1. ปญหาท Router ขออนมตสำาหรบการเขาใชเครอขาย TACACS + server
2. TACACS + server อนญาตใหเขา denies. ถามการอนมตพารามเตอรทถกสงไปยง Router ทจะนำา ไปใชในการเชอมตอกบผใช
ผใชทำาการควบคมการกำาหนดคาชวยลดความซบซอนของโครงสรางพนฐานความปลอดภยในเครอ ขายขององคกรขนาดใหญ สทธของผใชสามารถกำาหนดคาได ใน ACS ซงจะชวยลดความยงยากในการกำาหนด คาของอปกรณเครอขายและจำากดผบรหารขนอยกบหนาทการทำางาน
ตวอยางของ TACACS + และแอตทรบวตทใชบอยสำาหรบการตรวจสอบและอนมต ดงทแสดงและ อธบายไวใน ตาราง ท 13.5
ตาราง 13.5 คณสมบตการใชงาน TACACS +
ลกษณะ คำาอธบาย
ACL (EXEC authorization)
หมายเลขของบรรทดมผลกบการเชอมตอ
ADDR (SLIP, PPP/IP authorization)
การระบทอย IP ของ โฮสตระยะไกล ควรระบ เมอใช SLIP หรอ PPP / IP ในการเชอมตอ
CMD (EXEC) AV-pairs ใชสำาหรบการเรมตนขออนมตจาก EXEC
525ความปลอดภยของคณทำาไมถงเปนอปกรณ
Priv-lvl (EXEC authorization)
การระบระดบสทธปจจบนในการอนมต คำาสงหมายเลข 0-15
ตาราง 13.5 คณสมบตการใช TACACS + (ตอ)
ลกษณะ คำาอธบาย
Route (PPP/IP, SLIPauthorization)
ทำาการระบเสนทางทจะนำาไป ใชในการอนเตอรเฟซ
526บทท 13. อปกรณความปลอดภย
InACL (PPP/IP, SLIPauthorization)
มการการ เชอมตอ IP ACL เขากบ SLIP หรอ PPP / IP
OutACL ม IP ACL สำาหรบ SLIP หรอ PPP / IP
Addr-pool ตงชอเฉพาะกลมของ host ทอยระยะไกล
Autocmd ระบคำาสงทจะรนโดยอตโนมต ใน EXEC
คณลกษณะอนๆทรองรบการประยกตเครอขายรวมถง dial-in โซลชน, proxy ตรวจสอบใน Firewall หรอการอนมตคำาสงสำาหรบอปกรณ Cisco
Configuring AAAในสวนนจะแสดงคำาสงทคณตงคาแตละสวนหนาท ของ AAA คำาสงแรก
เปนคำาสงททวโลกตองมการ กำาหนดคาไมวางานคณอาจกำาหนดคาบนเครองใด
การประเมนคำาสงตองเปดการใชงานทกฟงกชนใน Router ซงจะมผลใน Router หรอ Switch
DubRtr1(config)#aaa new-modelRouter หรอ อปกรณทเซรฟเวอรทำาการประเมนวาเปนวาประเภท ของ
เซรฟเวอร AAA (Cisco Secure ACS, Microsoft IAS หรอ อน ๆ) คณตองบอกอปกรณเครอขายซงในเครอขายเซรฟเวอรไปถงคำาสง RADIUS แรกแลวจะสงคำาสงไปยง TACACS +
การตงคาการสอสารใหกบ RADIUS Server
คำาสงม RADIUS Server ทโฮสตคอ XXXX ซง X เปนคำาสงระบทอย IP ของเซรฟเวอร
527ความปลอดภยของคณทำาไมถงเปนอปกรณ
DubRtr1(config)#radius-server host 1.1.1.1คำาสงตอไปเปนระบการเขารหสทสำาคญทจะใชเมอมการสอสารกบ
RADIUS server คยนจะถก กำาหนดคาบนเซรฟเวอร RADIUS เอง
radius-server มคำาสงทเปนกญแจสำาคญ ในการระบคยของสตรงทใชสำาหรบการ เขารหสและตองตรงกบชด กญแจบนเซรฟเวอร
528บทท 13. อปกรณความปลอดภย
DubRtr1(config)#radius-server key abcd1234จะเปนการชคณสมบตทจะชวยใหคณลดความฟมเฟอยและมความ
ปลอดภยในเครอขาย เชน ทกสงในโลก น ควรจะมมากกวาหนงสงของทกสงจะประเมนไมแตกตางกนซงการทำางานจะแยกกนซงในการตงคาเซรฟเวอรทงสองจะตองใชคยเดยวกน เนองจากคณสามารถใช RADIUS server คยคำาสงไดเพยงครงเดยวซงจะมวธใหการรกษาความปลอดภยทดกวาสำาหรบเครอขายและเซรฟเวอรของคณเองคณสามารถกำาหนดคาท สำาคญ แยกกนสำาหรบแตละ เซรฟเวอรและใหใชคาตอไปนแทนคำาสงของทงสองคำาสงจะกำาหนดคาสองเซรฟเวอร คณ สามารถดวธการทำางานน
DubRtr1(config)#radius-server host 1.1.1.1 key abcd1234DubRtr1(config)#radius-server host 2.2.2.2 key wxyz5678การตงคาการสอสารใหกบ TACACS + Server
คำาสงสำาหรบ TACACS + server คลายคลงกนมากซงคณจะตองระบโปรโตคอลในคำาสงทแตกตางกน คำาสงใหมทยงคงตองระบในการกำาหนด TACACS + protocol การ กำาหนด คา อปกรณ เครอ ขาย เมอ ม ตำาแหนงของ TACACS + server คำา สง เปน TACACS + Server โฮสต XXXX เดยวตอ.Xs อกครงเปนทอยของ IP เซรฟเวอร ตวเลอกการเชอมตอเดยวเปนคณลกษณะของ TACACS + TCP ใชในการเชอมตอระหวางอปกรณ เครอขาย และเซรฟเวอร ถาคณระบตวเลอกของการเชอมตอเดยวเพยงหนงการเช อมตอจะเปนการรกษา กรเช อมตอระหวางสองอปกรณ นใหต ดตอทม ประสทธภาพมากยงขน
DubRtr1(config)#tacacs-server host 1.1.1.1 single-connection
คณตองระบคยในการเขารหสเฉพาะสำาหรบ TACACS + server ซง tacacs server จะคำาสงหลกทสำาคญ
529ความปลอดภยของคณทำาไมถงเปนอปกรณ
DubRtr1(config)#tacacs-server key abcd1234ดวยเหตผลเดยวกนกบ RADIUS คณสามารถกำาหนดคาตวเลอกท
สำาคญใหกบ tacacs server โฮสต ซงจะชวย ใหคณกำาหนดคาไดมากกวาหนงเซรฟเวอรและแตละเซรฟเวอรทใชคยตวเองสำาหรบการเขารหส
DubRtr1(config)#tacacs-server host 1.1.1.1 key abcd1234DubRtr1(config)#tacacs-server host 2.2.2.2 key wxyz5678กระบวนการในการตรวจสอบ
สงถดไปทคณควรมเพอใหเปนกระบวนการตรวจสอบคำาสงวาคณ ใช RADIUS หรอ TACACS เพอใหมนใจวาคณ กำาหนดตวเลอกทถกตอง
การตรวจสอบจะกระทำาโดยใช aaa ในการตรวจสอบคำาสง login ซงมกจะหมายถงรายการตรวจสอบ เพราะมรายการของวธการหรอคำาสงทงหมดมการตรวจสอบการลอกอน [default | list-name] group [group-name | radius | tacacs+] [method2 method3 method4]
ตวเลอกแรกคอประเภทของรายการทคณจะสรางตวเลอกรายการเรมตน ถาคณใชตวเลอกเรมตน รายการทคณสรางแบบอตโนมตในอปกรณกจะสามารถใชไดกบอนเตอรเฟซ ทกประเภท หากคณใชตวเลอกรายชอรายชอทเลอกจะเปนรายชอถดไป
หากคณกำาหนดคามากกวาหนงรายการ เชน รายการ เรม ตนและราย ชอ นนรายการเรมตนจะใชกบ ชอรายการหนงในบรรทด รายการชอจะยกเลกการใชรายการคาเรมตนในบรรทดท
ตวเลอกสดทายหรอตวเลอกจะมวธการอนเพอทำาการตรวจสอบลำาดบวธตามทระบหากมขอผดพลาด กอน เชน การ หยด พก ชวคราว
หากวธกอนหนานไมรบรองความถกตองจำาเปนตองใชวธอน เนองจากไมสามารถใชการตรวจสอบลม เหลว ตาราง 13.6 เปนวธการทวไปในสามารถกำาหนดคา
530บทท 13. อปกรณความปลอดภย
ตาราง ท 13.6 วธการตรวจสอบ
วธ คำาอธบาย
enable เปดการตรวจสอบในการใชรหสผาน
group ใชงานแบบกลม
krb5 ใช Kerberos เวอรชน 5 สำาหรบการตรวจสอบ
line ใชรหสผานแบบเสนในการตรวจสอบ
local ใชชอผใชเฉพาะและฐานขอมลรหสผานสำาหรบการ ตรวจสอบ
local-case ใชในกรณการตรวจสอบชอผใชเฉพาะ
none ใชการตรวจสอบไมได
531ความปลอดภยของคณทำาไมถงเปนอปกรณ
รายการตรวจสอบลกษณะทงสองมลกษณอยางไร
DubRtr1(config)#aaa authentication login default group tacacs+ localDubRtr1(config)#aaa authentication login pats_list group tacacs+
การใชชอรายการทบรรทดทคณตองใชทำาการตรวจสอบสทธการเขา ชอคำาสงในอยทรายชอของรายการบน console port ของ Router
DubRtr1(config)#line console 0DubRtr1(config-line)#login authentication pats_listกระบวนการอนมต
การดำาเนนการอนมตและกำาหนดคา โดยทวไปเปนรายการเดยวกบกระบวนการการตรวจสอบเปน จำาเปนตองกำาหนดคาหลงจากขนตอน AAA ซงทวโลกมการใชคำาสงในการตงคาคาอปกรณและการอนญาตให ใช AAA [network | exec | commands level | config-commands | reverse-access] [default | list-name] [method2 method3 method4] ตาราง 13.7 รายละเอยดของตวเลอกทคณสามารถใชในคำาสงไดตาราง 13.7 aaa อนมตตวเลอกคำาสง
532บทท 13. อปกรณความปลอดภย
ตวเลอก คำาอธบาย
network บรการทงหมดของเครอขายรวมไปถง Serial Line Internet Protocol(SLIP), PPP และ AppleTalk Remote Access Protocol (ARAProtocol)
exec กระบวนการ exec
commands level ทกคำาสงจะ EXEC ในระดบ (0-15) ตามทระบ
config-commands โหมดคำาสงในการกำาหนดคา
reverse-access ใชสำาหรบการเชอมตอ Telnet reverse
if-authenticated สทธของผใชในการใชงาน
local ใชฐานขอมลเฉพาะในการอนมต (พรอมชอผใชหรอ รหสผาน)
none ไมใหสทธ
group radius ใชสทธ RADIUS
group tacacs+ ใชสทธ TACACS +
533ความปลอดภยของคณทำาไมถงเปนอปกรณ
ตวอยางของคำาสงและวธการทจะใช
DubRtr1(config)#aaa authorization exec default group tacacs+ localDubRtr1(config)#aaa authorization exec pats_list group tacacs+กระบวนการบญช
การกำาหนดคาบญชโดยทวไปเปนรายการเดยวกบการตรวจสอบและกระบวนการอนมตเปนตอง กำาหนดคาหลงจากขนตอน AAA ซงทวโลกไดเปดใชคำาสงเพอกำาหนดคาของอปกรณสำาหรบการเชอมตอเปน บญช AAA [commands level | connection | exec | network | system] [default | list-name] [start-stop | stop-only |
534บทท 13. อปกรณความปลอดภย
wait_start]group [tacacs+ | radius] ตาราง 13.8 เปนรายละเอยดของตวเลอกทคณสามารถใชคำาสงไดตาราง 13.8 AAA ตวเลอกคำาสงเกยวกบบญช
ตวเลอก คำาอธบาย
commands level คำาสงตรวจสอบทกระดบสทธตงแต (0-15)
Connection ตรวจสอบทกการเชอมตอตางๆ เชน Telnet และ rlogin
Exec ตรวจสอบการ EXEC
Network ตรวจสอบทกคำาขอบรการของเครอขาย เชน SLIP, PPP และ ARAP
System ตรวจสอบระบบทงหมดทกระดบ ทมการบรรจใหม
start-stop ทำาการสงบญชแจงการเรมตนดำาเนนการและแจง บญช หยดเมอสนสดกระบวนการ การบนทกบญชถกสงภาย หลงกระบวนการท ผใชตองการจะเรมตนและแจง บญชเรมใชงานได
stop-only แจงการหยดบญชของผใชงาน
wait-start เรมหยดสงและหยดบญชและแจงไปยงเซรฟเวอร เพอทำาการรอ ผใชบรการจะไมเรมตนการทำางานจนกวา บญชจะยอมรบ
535ความปลอดภยของคณทำาไมถงเปนอปกรณ
group tacacs+ or radius ใช TACACS + สำาหรบ บญชหรอใช RADIUS สำาหรบบญช.
ตวอยางของคำาสงและวธการทใช
DubRtr1(config)#aaa accounting exec default start-stop group tacacs+
536บทท 13. อปกรณความปลอดภย
DubRtr1(config)#aaa accounting exec pats_list start-stop group tacacs+หนาทและการจดการความปลอดภย
โปรโตคอลการจดการเครอขายนนมหลายบรการดงตอไปน
- Simple Network Management P NN rotocol (SNMP)- Syslog- Trivial File Transfer Protocol (TFTP)- Network Time Protocol (NTP)
SNMP
SNMP ยอมาจาก Simple Network Management Protocol ซงเปนโปรโตคอลทอยระดบบนในชนการประยกต และเปนสวนหนงของชดโปรโตคอล TCP/IP ในการบรการและจดการเครอขายตองใชอปกรณตาง ๆ มสวนของการทำางานรวมกบระบบจดการเครอขาย ซ งเราเรยกวา เอเจนต (Agent) เอเจนตเปนสวนของซอฟตแวรทอยในอปกรณตาง ๆ ทเชอมอยในเครอขายโดยมคอมพวเตอรหลกในระบบหนงเคร องเปนตวจดการและบรหาร เครอขายหรอเรยกวา NMS-Network Management System คำาอธบายเหลานเปนคำาแนะนำาสำาหรบการใชงานทถกตองของเครองมอ SNMP
- SNMP อานคาสตรงเพยงอยางเดยว - การตงคาเขาใชการควบคมในอปกรณทคณตองการจดการผาน
SNMP เพอใหเขาถงการจดการท เหมาะสม.- SNMP มการใชงาน 3 เวอรชนและมการเขาถงอปกรณทปลอดภยการ
ผสมผสานของการตรวจ สอบและการเขารหสแพกเกจโดยการจดการผานเครอขาย
Syslog
537ความปลอดภยของคณทำาไมถงเปนอปกรณ
โปรโตคอล Syslog ถก ออกแบบมาเพอด ำาเนนการกำาหนดคาจากอปกรณเพอเขาสเซรฟเวอร Syslog ท เกบรวบรวมขอมลขอความทถกสงขอความระหวางอปกรณทมการจดการและ Syslog ยงม แพคเกตททำาการตรวจสอบเพอใหแนใจวาเนอหาของแพคเกตไมไดถกแกไขในระหวางการขนสงขอมลและเพอเปนการดแลระบบเครอขายไมใหสบสนในระหวางการสง
538บทท 13. อปกรณความปลอดภย
เปนไปไดควรปฏบตตามแนวทางบรหารการจดการ
- เขารหส syslog ภายในตาม IPSec- ใช RFC 3,704 กรองท Router เมอมการอนญาตใหเขาใช syslog
จากอปกรณทอยนอก Firewall- ใช ACLs ใน Firewall เพอใหโฮสตเขาถงการจดการอปกรณ
syslog - เมอเปนไปไดใหเขารหส TFTP ภายใน IPSec เพอลดโอกาสเกด
interceptionTFTP
TFTP เปนกระบวนการรบสงไฟลทเรยบงายกวา FTP ทวไป โดยใชกลไกการสอสารแบบ UDP (User Datagram Protocol) ซงเปนโปรโตคอลททำางานแบบ Connectionless ซงผใชไมจำาเปนตองใสรหสหรอ Password แตจะทำาไดเพยงโอนขอมลทจดเตรยมไวแลวเทานน แตจะไมมฟงกชนอนๆ เชน การแสดงรายชอไฟล , การเปลยนไดเรคทอร เปนตน
กลไกการทำางานของ FTP จะกำาหนดขนาดของบลอคขอมลทโอนยายไวคงท และมขนาดของการรบสงขอมลทโตตอบคงทเชนกน การรบสงขอมลในแตละบลอค ผสงจะตองรอใหผรบยนยนความถกตองของขอมลบลอคทไดรบกอน จงจะสามารถสงขอมลบลอคตอไปได กรณทไมมกายนยนความถกตองของขอมลในเวลาทกำาหนด(timeout) จะถอวาไมมผรบขอมลดงกลาว และจะตองสงขอมลหรอยนยนความถกตองใหมอกคร งหนง(retransmit) แตถาหากเกดปญหาขนในระหวางการรบสงขอมลการทำางานจะถกยกเลกและ TFTP กไมสามารถจะรบสงขอมลตอจากสวนเดมได
NTP
NTP ( Network Time Protocol ) เปนโปรโตคอลทใชในการซงโครไนซ ( Synchornous ) เวลาของเคร องบนเครอขาย โดยมกลไกรกษาและ
539ความปลอดภยของคณทำาไมถงเปนอปกรณ
ควบคมเวลาไดในระดบมลลวนาท เวลาท NTP สงออกไปจะเปนเวลามาตรฐาน Universal Time Coordinate ( ซ ง เป น เ ว ลา เด ย ว ก บ Greenwich Mean Time ) เคร องทไดรบขอมลไปจะตองปรบคาของเวลาตาม Time Zone, Daylight Saving Time ห ร อ ร ป แ บ บ อ น ๆ ท ต น เ อ ง ใ ช เ อ ง โปรโตคอล จะกำาหนดคาใหกบเครองแตละเครองโดยแบงเปน 16 ระดบ เครองทเป นระด บ 1 จะสามารถเขาถ งเวลาไดในระดบสญญาณนาฬกา เคร องคอมพวเตอรทมคาระดบสงกวาจะสอบถามเวลาทเซรฟเวอรทมคาระดบตำากวา โดยไคลเอนทสามารถขอใชบรการเซรฟเวอรไดหลายเครองทงนกเพอประโยชนในการตรวจสอบ โดยอาศยความซ ำาซอน ( Redundancy ) และเพอความคงทน ( Robust ) ของระบบ โปรโตคอล NTP รนหนงมชอวา Simplified NTP ( SNTP ) พฒนาขนในป 1995 เพอใชในเครอง PC ซงกอนหนานนไดมการกำาหนด NTP ไวแลว 3 เวอรชน คอ NTP เวอรชน 1 ,NTP เวอรชน 2 , NTP เวอรช น 3 ซงโปรโตคอล NTP ถกพฒนาใหมท งบนระบบปฏบตการ Unix และ Windows
คำา แนะนำาตอไปนเปนคำาแนะนำาเมอใช NTP
- การประสานงานกบเครอขายโดยใชสญญาณนาฬกาแบบ synchronization
- ใช NTP version 3 หรอสงกวาเพราะรนนสนบสนนการตรวจสอบ Cryptographic กลไกระหวาง peers. NTP V3 เปนงานโดยผคาสวนใหญรวมถง Cisco. รน 4 ลาสดไมกำาหนดโดย RFC ใดจงไมไดรบการสนบสนนอยางกวางขวาง
- ใช ACLs ในการระบอปกรณเครอขายทไดรบสทธใหประสานงานกบอปกรณอน ๆในเครอขาย
สรป
540บทท 13. อปกรณความปลอดภย
ตอนนคณมสะดวกสบายมากขนเนองจากความสามารถในการเขาถงเครอขายโดยอปกรณของคณ เชน Router ในบทนจะบอกคณเกยวกบ บรการ และ รายการทสามารถโจมตในเครอขายทงหมด
คณไดเรยนรวธการใหม ๆ บางประการททำาใหมความมนใจ และปลอดภยของบรการเหลาน และ อนเตอรเฟซอปกรณ Router กบเครอขาย
คณสมบตแรกทอธบายไดอธบายถงการ AutoSecure ใหดำาเนนการเพอรกษาความปลอดภยโดย Router ในเครอขาย
คณสมบตทสองไดมการเพมตวชวยสรางใน interface SDM คอ การตรวจสอบความปลอดภยแบบ Wizard สงดเกยวกบกระบวนการนคอ คณจะไปดรายการผดของการตงคา Router ท Wizard แลวคณสามารถเลอกทจะ แกไขหรอไมแกไข ตวชวยทสอง ขนตอนแรกคอ ลอค Wizard ใหคณเลอกทสงคณใช ในขนตอนแรกลอค Wizard และทำาการลอกในขนตอนถดไป
เมอคณผานขนตอนในการกำาหนดคา AAA ในอปกรณเครอขายของคณนจะเปนคณลกษณะทดเพราะ จะชวยใหคณสามารถควบคมสวนกลางการเขาใชอปกรณ และเครอ ขาย
สดทายนคณควรดวธทปลอดภยทเขากบการจดการจราจรทในไหลเครอขายของคณวาเปนอยางไร จำาเปนหรอสำาคญเทาใด เพอใหการจราจรทมาจากความผดพลาดหามเขามาใชประโยชนจากเครอขายของคณหากพวกเขาสามารถเขาถงการจราจรหรอการจดการกจะเกดความเสยหายตอระบบเครอขายเชนกน
top related