phòng chống tấn công dos trên các thiết bị layer 3 của cisco

Hàng ngày bạn dạo chơi trên Internet, lướt trên các trang Web, có bao giờ bạn tự hỏi làm thế nào mà con người có được khả năng truy cập thông tin mạnh mẽ và tiện lợi đến như vậy?. i u lu

Sự bùng nổ của mạng thông tin toàn cầu Internet đã đưa khả năng sử dụng mạng đến từng người dân Hàng ngày bạn dạo chơi trên Internet, lướt trên các trang Web, có bao giờ bạn tự hỏi làm thế nào mà con người có được khả năng truy cập thông tin mạnh mẽ và tiện lợi đến như vậy? uy nhiên, đi k m với các tiện ch từ Internet và công nghệ thông tin mang lại th nguy cơ b ch nh các tiện ch ấy gây r c r i khi sự bảo đảm an toàn thông tin g p các trở ngại và quay lại trở thành m i hi m hoạ cho bạn iệc luôn phải hoàn thiện các công cụ bảo mật và ngăn ch n sự phá hoại nh ng tiện

ch ấy đ gi p cho đời s ng công nghệ ngày càng t t hơn, an toàn hơn luôn cần nh ng phương án bảo mật hết sức t i ưu rong ti u luận này ch ng tôi mu n đ cập đến m t trong s nh ng r c r i mà người dùng Internet g p phải và chia s phương án ph ng thủ tương đ i hiệu quả cho người dùng ó là sử dụng t nh năng ngăn ch n truy cập từ thiết b ayer của isco Hy v ng với nh ng chia s này có th gi p các bạn có cái

nh n r ràng hơn v tầm quan tr ng của việc bảo đảm an toàn thông tin và cách thức thực hiện đi u đó i u luận được chia thành phần như sau:

hần ấu tr c I hần hiết b ayer của I và các t nh năng bảo mật hần guy cơ mất an toàn thông tin trên hoạt đ ng của các thiết b ayer và cách ph ng ch ng

hần emo tấn công và ch n

1

I ạng truy n thông, mô h nh và cơ chế 1

II ấu tr c I 1

III ự tương ứng với mô h nh I 6

Ph n 2: THIẾT BỊ 10

I iới thiệu 10

1 Router: 10

II hân loại 11

III ác l i bảo mật của thiết b layer của isco được phát hiện 16

IV ác thông tin v bản vá l i bảo mật trên các thiết b layer của isco 19

V uá tr nh truy n d liệu Internet đi qua các thiết b layer 20

VII nh năng ccess ontrol ist ACL): 24

32

I ác m i đe doạ an toàn thông tin 32

II Tấn công bằng từ ch i d ch vụ DoS (Denial of Service): 32

III t s ki u tấn công o hay g p 33

IV Cách phòng ch ng tổng quát: 38

V Các công cụ tấn công o thường được dùng 40

44

I ô h nh mạng 44

II Demo: 45

51

52

Trang H nh ơ đ m t mô h nh truy n thông đi n h nh 1

H nh ấu tr c I 2

H nh hương thức đóng gói d liệu 5

H nh ự tương ứng gi a mô h nh I và I 6

H nh opology Internet 7

H nh outer 10

H nh uá tr nh nhận gởi d liệu được xử l ở các tầng 22

H nh i m soát lưu lượng bằng 26

H nh l c của 27

H nh xác d nh lu ng d liệu 28

H nh t ví dụ của m t outbound ACL 29

H nh ự đánh giá của ACL 31

H nh uy tr nh b t tay chi u 34

H nh ường đã b tê liệt và không th h i đáp 34

H nh ơ chế đánh tràn 35

H nh ơ chế khuyếch đại 37

H nh hương thức phân ph i làm giảm băng thông 38

II ấu tr c I

2:

các máy máy t nh có th liên lạc với nhau qua mạng, ch ng phải sử dụng cùng ngôn ng hay c n g i là giao thức rotocol) I là viết t t của ransmission ontrol rotocol iao thức i u hi n ruy n hông) Internet rotocol iao thức Internet)

I không chỉ g m giao thức mà thực tế nó là tập hợp của nhi u giao thức

ó b n phiên bản đã được xây dựng v , v hiên bản được tách ra thành hai phần v và I v , vào mùa xuân năm , và sau đó ổn đ nh hóa với phiên bản

I v giao thức tiêu chu n hiện dùng của Internet ngày nay giao thức I sử dụng đ kết n i gi a hai host và sự đáp ứng của từng lớp cho kết n i, giao thức liên mạng xuất phát từ công tr nh xây dựng cho các máy t nh trao đổi d liệu với nhau I sử dụng mô h nh truy n thông tầng ương đương với mô h nh I là lớp mạng etwork ayer) là m t lớp phức tạp, cung cấp các d ch vụ v ch n đường đi và kết

n i gi a hai hệ th ng, đi u khi n và phân ph i d ng d liệu truy n trên mạng đ tránh t t nghẽn ớp mạng có trách nhiệm đ a chỉ hoá, d ch từ đ a chỉ logic sang đ a chỉ vật l đ nh tuyến d liệu từ nơi gửi tới nơi nhận ó xác đ nh đường truy n nào t t nhất trên cơ sở các

đi u kiện của mạng, quy n ưu tiên d ch vụ ó c ng quản l các vấn đ giao thông trên

quan đến việc truy n thông gi a các thiết b trên mạng tách biệt v logic, được liên kết đ trở thành liên mạng o các liên mạng có th rất lớn và có th được kiến tạo từ các ki u mạng khác nhau, nên lớp mạng vận dụng các thuật toán đ nh tuy n đ hướng các gói tin từ các mạng ngu n đến các mạng đ ch hành phần ch nh của lớp mạng là m i mạng trong liên mạng được gán m t đ a chỉ, có th dùng nó đ đ nh tuyến m t gói tin ó đảm nhiệm các nhiệm vụ sau - đ nh đ a chỉ – ây dựng các thuật toán đ nh tuyến – cung cấp các d ch vụ liên kết

+ ầng Ứng ụng pplication ayer) - m nhi u giao thức cung cấp cho các ứng dụng người dùng ược sử dụng đ đ nh dạng và trao đổi thông tin người dùng

• H ynamic Host onfiguration rotocol) iao hức ấu H nh rạm ng

• omain ame ystem) Hệ h ng ên i n

• imple etwork anagement rotocol) iao hức uản ạng ơn iản

• F File ransfer rotocol) iao hức ruy n ập in

• F rivial File ransfer rotocol) iao hức ruy n ập in nh hường

• imple ail ransfer rotocol) iao hức ruy n hư ơn iản

• ransmission ontrol rotocol) gược lại với , cung cấp các kênh truy n thông hướng kết n i và đảm bảo truy n d liệu cách tin cậy thường truy n các gói tin có k ch thước lớn và yêu cầu ph a nhận xác nhận v các gói tin đã nhận

ác giao thức đ nh tuyến như F chạy trên I , c ng có th được coi là m t phần của tầng giao vận, ho c tầng mạng I Internet control message protocol) - iao thức đi u khi n thông điệp Internet và I Internet group management protocol - iao thức quản l nhóm Internet) chạy trên I , có th được coi là m t phần của tầng mạng

+ ầng iên ạng Internet ayer) - ằm bên trên tầng giao diện mạng ầng này có chức năng gán đ a chỉ, đóng gói và đ nh tuyến oute) d liệu giao thức quan tr ng nhất trong tầng này g m

• I Internet rotocol) ó chức năng gán đ a chỉ cho d liệu trước khi truy n và đ nh tuyến ch ng tới đ ch

• ddress esolution rotocol) ó chức năng biên d ch đ a chỉ I của máy đ ch thành đ a chỉ

• I Internet ontrol essage rotocol) ó chức năng thông báo l i trong trường hợp truy n d liệu b hỏng

• I Internet roup anagement rotocol) ó chức năng đi u khi n truy n đa hướng ulticast)

• ARP (Address Resolution Protocol| - tạm d ch là iao thức t m đ a chỉ) và (Reverse Address Resolution Protocol - tạm d ch là iao thức t m đ a chỉ ngược lại) hoạt

đ ng ở bên dưới I nhưng ở trên tầng liên kết link layer), vậy có th nói là nó nằm ở khoảng trung gian gi a hai tầng giao thức I dùng sự đóng gói d liệu đ trừu tượng hóa thu nhỏ lại quan niệm cho dễ hi u) các giao thức và các d ch vụ ói m t cách chung chung, giao thức ở tầng cao hơn dùng giao thức ở tầng thấp hơn đ đạt được mục đ ch của m nh

+ ầng iao iện ạng etwork Interface Layer): có trách nhiệm đưa d liệu tới và nhận

d liệu từ phương tiện truy n dẫn ầng này g m các thiết b phần cứng vật l chẳng hạn như ard ạng và áp ạng t Card mạng chẳng hạn card thernet chứa s H k tự (00-18-37-03-C0-F4) được g i là a hỉ edia ccess ontrol) hay a hỉ ruy hập hương iện đóng vai tr quan tr ng trong việc gán đ a chỉ và truy n d liệu

t s giao thức tiêu bi u thu c tầng này g m + ATM (Asynchronous Transfer Mode), + Ethernet, + Token Ring, + FDDI (Fiber Distributed Data Interface), + Frame Relay

i máy trên mạng I hay c n g i là trạm I được nhận dạng bằng đ a chỉ I logic i trạm hay m i thiết b mạng sử dụng I đ truy n thông cần có đ a chỉ I duy nhất a chỉ I cho biết v tr của hệ th ng trong mạng gi ng như đ a chỉ xác

đ nh ngôi nhà trên con đường nào đó a chỉ I phải là duy nhất trên toàn cầu và phải được viết dưới đ nh dạng chu n

ớp Internet có nhiệm vụ thêm Header tới gói d liệu được nhận từ lớp ransport , là

m t loại d liệu đi u khi n khác , nó sẽ thêm đ a chỉ I ngu n và đ a chỉ I đ ch – có nghĩa

là đ a chỉ I của máy t nh đang gửi d liệu và đ a chỉ I của máy t nh mà sẽ nhận d liệu

tr nh là con đường mà gói d liệu phải dùng đ đến đ ch dụ hi d liệu yêu cầu từ máy chủ Internet , th d liệu này sẽ đi qua vài v tr khác nhau g i là nh ng outer ) trước khi đến máy t nh của bạn h ng gói d liệu sẽ đi qua m t vài outer khác nhau trước khi tới

đ ch i outer nằm trung gian trên đường đi được g i là Hop

3:

rong m i mạng n i với Internet có m t thiết b g i là outer , nó làm cầu n i gi a máy

t nh trong mạng cục b ) với Internet i outer có bảng đ nó biết nh ng mạng khác và c ng được thiết lập cấu h nh ngầm đ nh cổng ra vào ateway ) chỉ tới outer khác trên mạng Internet hi máy t nh của bạn gửi gói d liệu lên mạng Internet , outer kết n i tới mạng của bạn, nó phải xác đ nh đ a chỉ của máy t nh đ ch – máy t nh đ ch có th nằm v

tr trên cùng m t mạng ho c trên mạng mà nó biết đường đi , nếu không biết đường đi th nó

sẽ gửi gói d liệu tới ateway ngầm đ nh , có nghĩa là tới m t outer khác au đó quá tr nh được l p lại cứ như vậy cho tới khi gói d liệu đến được đ a chỉ đ ch

III ự tương ứng với mô h nh I

4:

5: Topology Internet

hư trong h nh, kết cấu vật l của mạng Internet g m có mạng ch nh chứa các server cung cấp d ch vụ cho mạng, mạng nhánh bao g m các trạm làm việc sử dụng d ch vụ do Internet cung cấp " ám mây Internet" hàm chứa vô vàn mạng ch nh, mạng nhánh và bao phủ toàn thế giới m t hệ th ng phức tạp như vậy hoạt đ ng trơn tru và hiệu quả th đi u kiện tiên quyết là m i máy t nh trong mạng, dù khác nhau v kiến tr c, đ u phải giao tiếp với mạng theo cùng m t quy luật ó là giao thức I

hông như giao thức UDP - giao thức có th lập tức gửi gói tin mà không cần thiết lập kết n i, đ i hỏi thiết lập kết n i trước khi b t đầu gửi d liệu và kết th c kết n i khi việc gửi d liệu hoàn tất ụ th , các kết n i có ba pha

LISTEN: đang đợi yêu cầu kết n i từ m t và cổng bất kỳ ở xa trạng thái này thường

do các server đ t)

SYN-SENT: đang đợi ở xa gửi m t gói tin với các cờ và được bật

trạng thái này thường do các client đ t)

SYN-RECEIVED: đang đợi ở xa gửi lại m t tin báo nhận sau khi đã gửi cho ở xa

đó m t tin báo nhận kết n i connection acknowledgment) thường do server đ t)

ESTABLISHED: cổng đã sẵn sàng nhận gửi d liệu với ở xa đ t bởi client và

server)

TIME-WAIT: đang đợi qua đủ thời gian đ ch c ch n là ở xa đã nhận được tin báo

nhận v yêu cầu kết th c kết n i của nó heo RFC 793, m t kết n i có th ở tại trạng thái TIME-W I trong v ng t i đa ph t

ế ập ế thiết lập m t kết n i, sử dụng m t quy tr nh b t tay bước

3-way handshake) rước khi client thử kết n i với m t server, server phải đăng k m t cổng và

mở cổng đó cho các kết n i đây được g i là mở b đ ng t khi mở b đ ng đã được thiết lập th m t client có th b t đầu mở chủ đ ng thiết lập m t kết n i, quy tr nh b t tay bước xảy ra như sau

1 lient yêu cầu mở cổng d ch vụ bằng cách gửi gói tin gói tin ) tới server,

trong gói tin này, tham s sequence number được gán cho m t giá tr ngẫu nhiên X

2 erver h i đáp bằng cách gửi lại ph a client bản tin -ACK, trong gói tin này,

tham s acknowledgment number được gán giá tr bằng + , tham s sequence number được gán ngẫu nhiên m t giá tr Y

3 hoàn tất quá trình bắ b b ớ , client tiếp tục gửi tới server bản tin , trong bản tin này, tham s sequence numberđược gán cho giá tr bằng + c n tham

s acknowledgment number được gán giá tr bằng +

ại thời đi m này, cả client và server đ u được xác nhận rằng, m t kết n i đã được thiết lập

t s đ c đi m cơ bản của đ phân biệt với UDP:

ruy n d liệu không l i do có cơ chế sửa l i truy n lại)

 ruy n lại các gói d liệu mất trên đường truy n

 oại bỏ các gói d liệu trùng l p

 ơ chế hạn chế t c nghẽn đường truy n

Ở hai bước đầu tiên trong ba bước b t tay, hai máy t nh trao đổi m t s thứ tự gói ban đầu

(Initial Sequence Number -I ) này có th ch n m t cách ngẫu nhiên thứ tự này

được dùng đ đánh dấu các kh i d liệu gửi từ m i máy t nh au m i byte được truy n đi,

s này lại được tăng lên hờ vậy ta có th s p xếp lại ch ng khi tới máy t nh kia bất k các gói tới nơi theo thứ tự thế nào rên l thuyết, m i byte gửi đi đ u có m t s thứ tự và khi nhận được th máy t nh nhận gửi lại tin báo nhận )

Kế ế kết th c kết n i hai bên sử dụng quá tr nh b t tay 3 bước và chi u của

kết n i kết th c đ c lập với nhau hi m t bên mu n kết th c, nó gửi đi m t gói tin FI và bên kia gửi lại tin báo nhận vậy, m t quá tr nh kết th c tiêu bi u sẽ có c p gói tin trao đổi t kết n i có th t n tại ở dạng "nửa mở" m t bên đã kết th c gửi d liệu nên chỉ nhận thông tin, bên kia vẫn tiếp tục gửi

2 Ế BỊ

I ớ :

1 Router:

6: Router

outer c ng có các thành phần cơ bản gi ng như máy t nh , b nhớ, system bus

và các cổng giao tiếp uy nhiên router được thiết kế là đ thực hiện m t s chức năng đ c biệt dụ kết n i hai hệ th ng mạng với nhau và cho phép hai hệ th ng này có th liên lạc với nhau, ngoài ra router c n thực hiện việc ch n lựa đường đi t t nhất cho d liệu

outer hoạt đ ng ở lớp mô h nh I và thực hiện chuy n gói d liệu dựa trên đ a chỉ mạng outer có hai chức năng ch nh là ch n đường đi t t nhất và chuy n mạch gói d liệu thực hiện chức năng này, m i router phải xây dựng m t bảng đ nh tuyến và thực hiện trao đổi thông tin đ nh tuyến với nhau t trong nh ng nhiệm vụ của router là đ nh tuyến gói d liệu ở lớp

outer được chế tạo với hai mục đ ch ch nh

• hân cách các mạng máy t nh thành các segment riêng biệt đ giảm hiện tượng đụng đ , giảm broadcast hay thực hiện chức năng bảo mật

• ết n i các mạng máy t nh hay kết n i các user với mạng máy t nh ở các khoảng cách xa với nhau thông qua các đường truy n thông điện thoại, I , , …

ùng với sự phát tri n của switch, chức năng đầu tiên của router ngày nay đã được switch đảm nhận m t cách hiệu quả outer chỉ c n phải đảm nhận việc thực hiện các kết n i truy cập từ xa remote access) hay các kết n i W cho hệ th ng mạng o hoạt đ ng

ở tầng thứ của mô h nh I, router sẽ hi u được các protocol quyết đ nh phương thức truy n d liệu ác đ a chỉ mà router hi u là các đ a chỉ “giả” được quy đ nh bởi các protocol dụ như đ a chỉ I đ i với protocol I , đ a chỉ I đ i với protocol I …

o đó tùy theo cấu h nh, router quyết đ nh phương thức và đ ch đến của việc chuy n các packet từ nơi này sang nơi khác

2 Switch layer 3:

witch layer chỉ hoạt đ ng trên layer của môt h nh I tức là nó xứa l các frame dựa trên các thông s của Frame, ới d ng switch layer của cisco, ngoài các t nh năng của m t switch b nh thường th nó có t nh năng nâng cao đó là routing và hoạt đ ng

gi ng như m t outer, witch layer là m t lựa ch n hoàn hảo cho nh ng doanh nghiệp cần nhu cầu kết n i nhi u ác ouer có s lượng cổng kết n i hạn chế, c n với switch th s cổng là rất lớn với d ng switch cao cấp của isco series s cổng mở r ng lên tới hơn

20 cổng như vậy nó đáp ứng t t cho nhu cầu kết n i Hệ th ng Internet c ng sử dụng loại switch đa lớp này đ làm chuy n mạch, ngoài t nh năng đa lớp nó c n cung cấp nhứng t nh năng bảo mật t t o với các router khác, switch layer thực hiện quá tr nh đ nh tuyến các gói d liệu nhanh hơn bằng cách sử dụng phần cứng I application-specific integrated circuit) thay v sử dụng cơ chế microprocessor -based witch layer c ng cải thiện hiệu suất mạng với hai chức năng route processing và intelligent network services

witch layer sử dụng kiến tr c phân tán trong đó phần đi u khi n và phần d liệu tương

đ i đ c lập với nhau hần đi u khi n, chẳng hạn như các giao thức đ nh tuyến, chạy trên route processing, trong khi hầu hết phần d liệu được chuy n tiếp bởi các module giao diện Ethernet và cáp quang

II

• ựa theo cấu tr c của router fixed configuration router, modular router

uy nhiên không có sự phân loại r ràng router m i m t hãng sản xuất có th có các tên g i khác nhau, cách phân loại khác nhau dụ như cách phân loại của hãng isco được tr nh bày theo bảng sau

Remote

Access

Low-end router

Fix configuration router Remote Modular

router Multi

protocol router

Multiport serial router

Router/hub

Cisco 2509 Cisco 7xx Cisco 2501 Cisco 2520 Cisco 2505 Cisco 2524 Cisco 2510 Cisco 8xx Cisco 2502 Cisco 2521 Cisco 2506 Cisco 2525 Cisco 2511 Cisco 100x Cisco 2503 Cisco 2522 Cisco 2507 Cisco 160x

ó th nói router là m t trong nh ng thiết b mạnh nhất, phổ biến nhất của hãng isco ếu theo t nh năng sử dụng ta có th phân loại thành ử dụng trong cloud computing, mạng edge hay mạng W ho c cho data center

n nếu phân theo quy mô hoạt đ ng th có th chia thành Router cho các ISP ho c các doanh nghiệp vừa và nhỏ

t s d ng outer isco thông dụng

1 Dòng Branch Office:

hế mạnh của d ng router này là t ch hợp đầy đủ các d ch vụ cần thiết yêu cầu của m t văn

ph ng hay m t công ty quy mô nhỏ như

 ch hợp đầy đủ các d ch vụ như voice, video, an ninh, di đ ng

 ho phép kết n i mạng W t c đ lên đến bps

iết kiệm năng lượng bằng cách modules đi u khi n hoạt đ ng theo thời gian trong ngày ( Cisco 3900, 3800, 2900, 2800, 1900, 1800 Series Integrated Services Routers Và series 800)

2 Dòng Cloud Computer:

ng router này như tên g i của nó có thế mạnh là h trợ nhi u giao diện mạng W như ầu cu i của , Gateway VPN, Redirection control and traffic, d ng đó là loud Services Router 1000V Series

3 Dòng Connected Grid:

ng router này được ứng dụng chủ yếu trong công nghiệp với các đ c t nh nổi bật như

 hiệt đ hoạt đ ng tầm từ - o đến + o

 H trợ hoạt đ ng ở chế đ điện áp thấp

 hả năng h trợ hệ th ng upervisory Control and Data Acquisition) công nghiệp

 Dòng này có 2 series chính: Cisco 2000, 1000 Series Connected Grid Routers

4 Dòng Data Center Interconnect Platforms:

ng này như tên g i của nó phục vụ cho trung tâm d liệu nên nó có khả năng chuy n mạch cao, đ nh tuyến I , giao diện lên đến bps ác d ch vụ quan tr ng đi k m của d ng router này như I Intergrated ideo all dmission ontrol), Intelligent Services Gateway và Intergrated Session Border Control Dòng này có các series 7600, 7200 Series Routers Carrier Routing System, ASR 1000 Series Aggregation Services Routers

ch vụ an ninh routers ã hóa và tường lửa)

5 Mobile Internet Routers

ng router này như tên g i của nó là khả năng di đ ng với các k ch thước, tr ng lượng và năng lượng và đ c biệt là trong đi u kiện thời tiết kh c nghiệp ác d ch vụ nổi bật như adio ware outing F , và ), obile d Hoc etworking, Service Advertisement Framework (SAF) ng này g m eries mbedded ervices Routers MVR 2900, 1900 Mobile Wireless Routers

6 Service Provider Core Routers: Dòng này có series Carrier Routing System

7 Service Provider Egde Routers

o hoạt đ ng ở mạng biên nên d ng routers này h trợ nhi u giao diện và nhi u slot

đ kết n i như d ch vụ chuy n mạch Frame elay, tich hợp các line quang, giao thức

đi m n i đi m, l i I Dòng này có các series 12000, 10000, 7600, 7500, 7300, 7200; ASR 9000, 1000, 903, 901 Series Aggregation Services Routers; XR 12000 Series Router

8 Small Business Routers

Dòng này có t nh năng tương tự như d ng ranch ffice với các router t ch hợp đầy

đủ các d ch vụ như video, voice, application data v.v… ác series tiêu bi u của d ng này

g m

 Cisco 2900, 1900 Series Intergrated Services Routers

 Cisco 800 Series Routers

 Cisco Small Business RV Series Routers

 Cisco Small Business SRP500 Series Services Ready Platforms

9 WAN Aggregation and Internet Edge Routers

ng này g m các d ng , , , ; ASR 1000 Series Aggregation Services Routers; ASR 1000 Series Route Processor (RP1)

ác kỹ thuật an toàn thông tin được t ch hợp sẵn trong các d ng outer I và g m

 Cisco ISR Web Security with Cisco ScanSafe

 Cisco IOS Firewall

 Intrusion Prevention System (IPS)

 IPSec VPN và SSL VPN, VPN Internal Service Module (VPN ISM)

 Cisco IOS Content Filtering

Switch layer 3:

witches với t nh năng ch nh là chuy n mạch và hoạt đ ng chủ yếu ở lớp , tuy nhiên ngày nay các switches đã được t ch hợp thêm m t s t nh năng của lớp và dưới đây là danh sách các switches của cisco có th hoạt đ ng ở cả lớp và lớp

 Catalyst 4500, 3750, 3750-E, 3560,3560-C, 3560-E, 3550, 4900 Series

 Catalyst 2960, 2960-S Static routing

 Nexus 5000, 3000 Series Switches

 Cisco Small Business Stackable Managed Switches: Static Switching

 Small Business 500 Series Stackable Managed Switches: Layer 3 Routing

 Small Business 300 Series Stackable Managed Switches: Static layer 3 routing

 Cisco ME 3400E Series Ethernet Access Switches

III b ậ ế bị p :

ổng c ng l i bảo mật mà isco cho rằng tin t c có th khai thác đ tấn công nhằm làm trục tr c dẫn đến ngưng hoạt đ ng các thiết b sử dụng I Hãng isco đã nhanh chóng phát hành bản vá l i bảo mật cho phần m m Internet perating ystem

I ) dùng đ vận hành trong các thiết b router và switch của hãng này ó l i liên quan đến cổng imple etwork anagement rotocol ) được đánh giá ở mức đ nguy hi m v tin t c có th khai thác đ chiếm quy n đi u khi n router b đ nh tuyến)

uy vậy, chỉ nguy hi m với các thiết b thu c series isco u được dùng bởi các công ty viễn thông đ kết n i nh ng khách hàng băng thông r ng đến internet ymantec

c ng cung cấp thêm thông tin v l i này và khuyến cáo nh ng ai đang dùng nh ng thiết

b trong phạm vi ảnh hưởng của l i nên cấu h nh và thực thi bản vá càng sớm càng t t

ác l i khác bao g m trong hoạt đ ng xử l và phần m m I ession Initiation Protocol)

, isco cảnh báo nh ng b đ nh tuyến isco ystems đang dùng m t s t nh năng điện thoại Internet đ u có th b tấn công từ ch i d ch vụ h ng b đ nh tuyến sử dụng t nh năng I elephony ervice, isco all anager xpress và urvivable Remote Site elephony đ u b l i h ng t nh năng này được nh ng trong phần m m Internetwork perating của isco I ), sử dụng trên tất cả các router I của hãng nh năng all anager xpress cho phép các b đ nh tuyến I isco xử l quy tr nh các cu c

g i trên điện thoại I urvivable emote ite elephony cho phép các công ty nhi u chi nhánh có m t cơ chế dự ph ng đ nâng cao đ ổn đ nh trên các mạng thoại I ếu liên kết trên mạng diện r ng b hỏng hóc và kết n i tới isco all anager b mất, các điện thoại của chi nhánh sẽ tự đ ng chuy n sang router chi nhánh đang chạy urvivable

all anager hi liên kết mạng diện r ng được phục h i, các điện thoại sẽ tự đ ng đăng

k với t nh năng isco all anager ban đầu ất cả nh ng t nh năng trên đ u sử dụng kinny all ontrol rotocol isco cảnh báo rằng “m t s gói t n hiệu d h nh” được gửi tới cổng xử l kinny all ontrol rotocol có th khiến thiết b phải nạp lại in t c có

th khai thác khiếm khuyết sẽ làm tràn thiết b đ nh tuyến bằng vô s gói t n hiệu ki u như vậy và khiến router phải nạp lại liên tục, phải hứng ch u m t cu c tấn công từ ch i

d ch vụ

, isco ystems công b chi tiết m t s l i bảo mật nghiêm tr ng trong các sản

ph m mạng và bảo mật của hãng h ng l i bảo mật này có th b lợi dụng đ tấn công

ho c o Hãng sản xuất thiết b mạng hàng đầu thế giới cho biết nh ng l i bảo mật này có th b lợi dụng đ tấn công cross-site-scripting) ho c o khách hàng sử dụng thiết b của h isco khẳng đ nh nh ng l i bảo mật nói trên có th b khai thác khi ứng dụng khởi đ ng d ch vụ ch ng giả mạo anti-spoofing) gi a tr nh duyệt và máy chủ tấn công sẽ tiến hành gửi m t đường đ c hại tới người dùng qua email ho c tin

nh n tức thời ếu người dùng nh p chu t vào nh ng đường liên kết đó th coi như k tấn công đã thành công hông nh ng thế l i bảo mật nói trên c n có th b khai thác trên

nh ng trang web được thiết kế riêng đ ch ng lại các vụ tấn công ếu thành công,

k tấn công có th cài đ t các mã đ c hại lên hệ th ng của người dùng

gười dùng được khuyến cáo là nên cập nhật thiết b bảo mật đ kh c phục nh ng vấn đ nói trên isco c ng đã cho phát hành nh ng hướng dẫn gi p người dùng giảm nhẹ nguy

cơ b tấn công thông qua việc khai thác nh ng l i bảo mật đó

, m t s thiết b đ nh tuyến router) và b chuy n mạch switch) của công ty này có nguy cơ b tấn công tấn công từ ch i d ch vụ o ) k cả được cấu h nh m t cách

th ch hợp h ng sản ph m chạy phiên bản hệ đi u hành I ersion , có h trợ giao thức H ynamic Host onfiguration rotocol) và b phận tiếp vận relay agent), đ u có khả năng b tấn công o khi nhận nh ng gói d liệu H được thiết kế

đ c biệt hậm ch nếu d ch vụ H ho c d ch vụ tiếp vận H không được bật,

router ho c switch vẫn có th b ảnh hưởng guy cơ nói trên b t ngu n từ m t l i trong phương thức mà phần m m của b đ nh tuyến và b chuy n mạch xử l các gói d liệu

H heo m t tài liệu hướng dẫn của isco, nếu có nh ng gói d liệu H bất thường được gửi đi nhằm tấn công thiết b , th các gói d liệu này “sẽ vẫn đi đ ng l tr nh thay v b bỏ rơi ếu s gói d liệu gửi đi tương đương với dung lượng của s d liệu gửi đến đang xếp hàng chờ th sẽ không có bất cứ m t lưu thông nào được chấp nhận trên giao diện đó” i u đó có nghĩa là thiết b sẽ không hoạt đ ng và không chạy bất cứ m t chức năng đ nh tuyến hay chuy n mạch nào

ưới đây là danh sách nh ng sản ph m b ảnh hưởng nếu chạy m t phiên bản thu c b IOS version 12.2S):

- ác b đ nh tuyến , và

- ác n n đa d ch vụ , , và

- n ứng dụng quang và

- chuy n mạch atalyst với các module up plus, up , up và up

- chuy n mạch atalyst với các module up lus

- ác b chuy n mạch atalyst , , và

- chuy n mạch atalyst với module up F và up F

- ác b đ nh tuyến với module up F và up F

h nghiệm của H uke đã vô t nh phát hiện ra m t l i trong isco I 29/8/2010, khi RIPE NCC (Reseaux IP Europeens Network Coordination Centre - Trung tâm ghiên cứu Internet của châu Âu) và các nhà nghiên cứu tại H uke b t đầu phân

ph i th nghiệm d liệu order ateway Protocol - tạm hi u là giao thức cổng vùng biên) thông qua các hệ th ng của I được các router sử dụng đ t m

ra nh ng con đường t t nhất nhằm gửi lưu lượng tới nhau trên Internet ởi v rất dễ dàng cho nh ng d liệu xấu lây lan nhanh chóng, các chuyên gia bảo mật đã cảnh báo

và th nghiệm đã nhanh chóng được dừng lạ, l i này đã góp phần làm gián đoạn ng n, ảnh hưởng tới khoảng % Internet isco đã sửa l i trong phần m m b đ nh tuyến router) I Internetwork perating ystem) của h

i hệ đi u hành I được cisco công b ngày i này ảnh hưởng các vi

xử l -4G, RSP- , Ảnh hưởng của nó là sẽ làm cho vi xử l không truy n tất cả d liệu mà nó phải đ nh tuyến đi => o

IV b b ậ ế bị :

Router:

gày đưa ra bản hướng dẫn kh c phục l i ession order ontroller) trong routers eries có th dẫn đến o o xảy ra khi xử l các gói dạng được gửi vào port i bảo mật này có th được thực hiện từ xa mà không cần xác thực và không cần sự tương tác với người dùng đầu cu i

bản cập nhật bảo mật cho phần m m I Internetwork perating ystem) dùng trong các b đ nh tuyến router) của isco ystems được phát hành hôm

t l i nghiêm tr ng khác ảnh hưởng tới nh ng người sử dụng bật giao thức ecure opy rotocol), cho phép truy n file qua mạng từ m t thiết b isco I được cấu h nh như máy chủ hổng này được nhà nghiên cứu evin raham thông báo cho Cisco Cisco cùng nhi u nhà sản xuất khác đã và đang làm việc đ vá m t l i I lớn trong các router của h , có th b dùng trong ki u tấn công ockstress

gày isco đưa ra bảng vá l i dẫn đến nguy cơ b tấn công o của router eries chạy phiên bản I ver có l hổng làm cho vi xử l b khóa ở các đường line card b khóa khi đang xử l các gói I v ết quả khi vi xử l b khóa sẽ dẫn đến thiết b rơi vào trạng thái từ ch i d ch vụ o

gày isco đã đưa ra bảng vá l i của router d ng eries trước nguy cơ tấn công của ki u o enial of ervices) bằng cách gửi m t s lượng lớn gói

I ết quả là các lưu lượng đến thiết b ch n do l i bảo mật này

Ứng dụng isco uard là m t hệ th ng ch ng tấn công o với khả năng phân t ch các d liệu b nghi ngờ chuy n qua mạng ếu t nh năng ch ng giả mạo anti-spoofing) của ứng dụng được k ch hoạt th m i d liệu H sẽ đ u b ki m duyệt trước khi chuy n đến tr nh duyệt của người dùng ếu mà tr nh duyệt của người dùng cho chứa mã tấn công th các d liệu mà isco uard gửi lại sẽ cho phép tr nh duyệt của người dùng có th thực thi các mã đ c hại

i bảo mật thứ hai được isco công b chi tiết trong đợt này là l i bảo mật trong phần m m ch ng xâm nhập I Intrusion revention ystem) ây là m t l i có th b lợi dụng đ tấn công o thông qua giao diện đi u khi n dạng web của ứng dụng i bảo mật này có liên quan đến các gói d liệu ecure ocket ayer) đ c hại và là

m t l i bảo mật d liệu phân mảnh trong I S

isco đã phát hành bản hướng dẫn gi p kh c phục gi p giảm nhẹ nguy cơ b tấn công

o thông qua giao diện web đi u khi n nhưng lại chưa ra m t bất kỳ giải pháp

kh c phục l i d liệu phân mảnh trong I

Switch layer 3:

gày isco đưa ra bảng vá l i cho thiết b witches exus và series, l hổng này cho phép lưu lượng vượt qua được danh sách ccess ontrol ists ) được cấu h nh trong thiết b

gày isco đưa ra bản vá l i hệ đi u hành - trong các loại switches Nexus v, , và eries có th b tấn công o khi tấn công hệ th ng I stack bằng m t gói I cung cấp các thông tin “giả ” từ lớp đưa xu ng và ) làm cho tất cả các d ch vụ cung cấp bởi I tack đ u b ảnh hưởng hệ th ng b quá tải

V ế bị :

iả sử bạn đang ở máy và mu n gửi m t thông điệp tới máy có th truy n qua mạng Internet, d liệu phải được xử l qua nhi u tầng ầu tiên, d liệu được xử l

nhất đ nh đ tầng application ở máy có th hi u được ầng application gửi d liệu

xu ng tầng dưới theo d ng byte n i byte ùng với d liệu, tầng application c ng gửi

xu ng các thông tin đi u khi n khác gi p xác đ nh đ a chỉ đến, đi của d liệu hi xu ng tới tầng , d ng d liệu sẽ được đóng thành các gói có k ch thước không nhất thiết bằng nhau nhưng phải nhỏ hơn ấu tr c của gói d liệu g m m t phần header chứa thông tin đi u khi n và sau đó là d liệu au khi đóng gói xong ở tầng ,

d liệu được chuy n xu ng cho tầng I ói d liệu xu ng tới tầng I sẽ tiếp tục b đóng gói lại thành các gói d liệu I nhỏ hơn sao cho có k ch thước phù hợp với mạng chuy n mạch gói mà nó dùng đ truy n d liệu rong khi đóng gói, I c ng ch n thêm phần header của nó vào gói d liệu r i chuy n xu ng cho tầng atalink hysical hi các gói

d liệu I tới tầng atalink sẽ được g n thêm m t header khác và chuy n tới tầng physical đi vào mạng ói d liệu l c này g i là frame ch thước của m t frame hoàn toàn phụ thu c vào mạng mà máy kết n i rong khi di chuy n trên mạng Internet, frame được các router chỉ dẫn đ có th tới đ ng đ ch cần tới outer thực ra là m t module chỉ có hai tầng là etwork và atalink hysical ác frame tới router sẽ được tầng atalink hysical l c bỏ header mà tầng này thêm vào và chuy n lên tầng etwork

I ) ầng I dựa vào các thông tin đi u khi n trong header mà nó thêm vào đ quyết

đ nh đường đi tiếp theo cho gói I au đó gói I này lại được chuy n xu ng tầng atalink hysical đ đi vào mạng uá tr nh cứ thế tiếp tục cho đến khi d liệu tới đ ch là máy hi tới máy các gói d liệu được xử l theo quy tr nh ngược lại với máy heo chi u m i tên, đầu tiên d liệu qua tầng datalink physical ại đây frame b bỏ đi phần header và chuy n lên tầng I ại tầng I , d liệu được bung gói I , sau đó lên tầng

và cu i cùng lên tầng application đ hi n th ra màn h nh

7: ậ

rong m t môi trường phức tạp hơn hai hệ th ng mạng g n với nhau thông qua m t router áy thu c mạng mu n gửi packet đến máy thu c mạng o các broadcast không th truy n qua router nên khi đó máy sẽ xem router như m t cầu n i

đ truy n d liệu rước đó, máy sẽ biết được đ a chỉ I của router port ) và biết được rằng đ truy n packet tới phải đi qua ất cả các thông tin như vậy sẽ được chứa trong m t bảng g i là bảng routing routing table) ảng routing table theo cơ chế này được lưu gi trong m i máy outing table chứa thông tin v các gateway đ truy cập vào m t hệ th ng mạng nào đó dụ trong trường hợp trên trong bảng sẽ chỉ ra rằng đ

đi tới phải qua port của router outing table sẽ có chứa đ a chỉ I của port uá tr nh truy n d liệu theo từng bước sau

• áy gửi m t request broadcast) đ t m đ a chỉ của port

• outer trả lời, cung cấp cho máy đ a chỉ của port

outer nhận được packet từ máy , chuy n packet ra port của router rong packet có chứa đ a chỉ I của máy

• outer sẽ gửi request đ t m đ a chỉ của máy

• áy sẽ trả lời cho router biết đ a chỉ của m nh

• au khi nhận được đ a chỉ của máy , router gửi packet của đến

heo đó các máy trạm không cần gi bảng routing table n a router sẽ có nhiệm vụ thực hiện, trả lời tất cả các request của tất cả các máy trong các mạng kết n i với nó outer

sẽ có m t bảng routing table riêng biệt chứa tất cả các thông tin cần thiết đ chuy n d liệu

uá tr nh chuy n d liệu switching) là quá tr nh cơ bản của router, được dựa trên protocol hi m t máy mu n gửi packet qua router cho m t máy thu c mạng khác, nó gửi packet đó đến router theo đ a chỉ của router, k m theo đ a chỉ protocol network address) của máy nhận outer sẽ xem xét network address của máy nhận đ biết xem nó thu c mạng nào ếu router không biết được phải chuy n packet đi đâu, nó sẽ loại bỏ drop) packet ếu router nhận thấy có th chuy n packet đến đ ch, nó sẽ bổ sung address của máy nhận vào packet và gởi packet đi iệc chuy n d liệu có th phải đi qua nhi u router, khi đó m i router phải biết được thông tin v tất cả các mạng mà nó có th truy n d liệu tới vậy, các thông tin của m i router v các mạng n i trực tiếp với nó sẽ phải được gửi đến cho tất cả các router trong cùng m t hệ th ng rong quá tr nh truy n đ a chỉ của packet luôn thay đổi nhưng đ a chỉ network không thay đổi

VI Control List ( ACL):

t trong nh ng công cụ rất quan tr ng trong isco outer được dùng trong lĩnh vực security là ccess ist ây là m t t nh năng gi p bạn có th cấu h nh trực tiếp trên outer đ tạo ra m t danh sách các đ a chỉ mà bạn có th cho phép hay ngăn ch n việc truy cập vào m t đ a chỉ nào đó ccess ontrol ist (ACL) là m t danh sách các câu lệnh được áp đ t vào các cổng interface) của router anh sách này chỉ ra cho router biết loại packet nào được chấp nhận allow) và loại packet nào b hủy bỏ deny) ự chấp

nhận và huỷ bỏ này có th dựa vào đ a chỉ ngu n, đ a chỉ đ ch ho c chỉ s port

ccess ist có loại là tandard ccess ist và xtended ccess ist

- tandard ccess ist đây là loại danh sách truy cập mà khi cho phép hay ngăn cản việc truy cập, outer chỉ ki m tra m t yếu t duy nhất là đ a chỉ ngu n Source Address)

- xtended ccess ist đây là loại danh sách truy cập mở r ng hơn so với loại tandard, các yếu t v đ a chỉ ngu n, đ a chỉ đ ch, giao thức port sẽ được ki m tra trước khi outer cho phép việc truy nhập hay ngăn cản

Hoạt đ ng của giao thức ccess ontrol ist trong mô h nh mạng