access-class 10 in access-class 11 out Sử dụng banners để tạo một thông báo Ta có thể dùng cấu hình banner exec để tạo ra các thông báo, sẽ được hiện trong tất cả các kết nối.. Tổng kết
Trang 1Xác định danh sách truy cập
Trong ví dụ này, số hiệu mạng được dùng để cho phép hay từ chối truy cập;do đó khoảng IP chuẩn được sử dụng (từ 1 đến 99 ) Với những kết nối từ bên ngoài đến modem lines, chỉ những gói tin từ những host trong mạng nội bộ Class B và những gói tin từ các host trong firewall subnetwork được cho phép:
access-list 10 deny B.B.14.0 0.0.0.255
access-list 10 permit B.B.0.0 0.0.255.255
Những kết nối đi chỉ được cho phép đến các hosts trong mạng nội bộ và
communication server
access-list 11 deny B.B.13.2 0.0.0.0
access-list 11 permit B.B.0.0 0.0.255.255
Áp dụng danh sách truy cập với các đường kết nối
Áp dụng 1 danh sách truy cập với 1 đường kết nối bằng lệnh access-class Trong bài viết này, sự hạn chế trong danh sách truy cập 10 được áp dụng cho các kết nối đến với đường kết nối 2, sự hạn chế trong danh sách truy cập 11 được áp dụng cho các kết nối đi với đường kết nối 2
line 2
access-class 10 in
access-class 11 out
Sử dụng banners để tạo một thông báo
Ta có thể dùng cấu hình banner exec để tạo ra các thông báo, sẽ được hiện trong tất
cả các kết nối Ví dụ, trên một communication server, bạn có thể đưa vào thông điệp sau :
banner exec ^C
If you have problems with the dial-in lines, please
send mail to helpdesk@CorporationX.com
If you get the message "% Your account is expiring", please send mail with name and voicemail box to helpdesk@CorporationX.com, and someone will contact you
to renew your account
Unauthorized use of these resources is prohibited
Bảo vệ những dịch vụ ngoài chuẩn
Có rất nhiều dịch vụ ngoài chuẩn từ Internet Trong trường hợp của 1 kết nối vào Internet, những dịch vụ này có thể rất tinh vi và phức tạp Ví dụ của những dịch vụ này là World Wide Web (WWW), Wide Area Information
Service (WAIS), Gopher và Mosaic Hầu hết những hệ thống này liên quan đến việc cung cấp thông tin cho người dùng theo những cách tổ chức khác nhau, cho
Trang 2phép tim kiếm thông tin một cách có cấu trúc
Phần lớn những hệ thống này có những giao thức riêng Một vài trường hợp như Mosaic sử dụng nhiều giao thức để nhận được thông tin Bạn phải cẩn thận khi thiết kế một danh sách truy cập áp dụng với mỗi dịch vụ Trong nhiều trường hợp, các danh sách truy cập có liên quan đến nhau vì mối liên quan giữa các dịch vụ
Tổng kết
Mặc dù bài viết này minh họa cách sử dụng các tính năng ở mức network-layer của Cisco để tăng cường tính bảo mật cho mạng IP, để có được sự bảo mật đúng nghĩa, bạn phải quan tâm đến tất cả hệ thống ở tất cả các mức
Tài liệu tham khảo
Cheswick, B and Bellovin, S Firewalls and Internet Security Addison-Wesley Comer, D.E and Stevens, D.L., Internetworking with TCP/IP Volumes I-III
Englewood Cliffs, New Jersey:
Prentice Hall; 1991-1993
Curry, D UNIX System Security—A Guide for Users and System Administrators Garfinkel and Spafford Practical UNIX Security.O'Reilly & Associates
Quarterman, J and Carl-Mitchell, S The Internet Connection, Reading,
Massachusetts: Addison-Wesley
Publishing Company; 1994
Ranum, M J Thinking about Firewalls, Trusted Information Systems, Inc
Stoll, C The Cuckoo's Egg Doubleday
Treese, G W and Wolman, A X through the Firewall and Other Application
Relays
Requests For Comments (RFCs)
RFC 1118 "The Hitchhiker's Guide to the Internet." September 1989
RFC 1175 "A Bibliography of Internetworking Information." August 1990
RFC1244 "Site Security Handbook." July 1991
RFC 1340 "Assigned Numbers." July 1992
RFC 1446 "Security Protocols for SNMPv2." April 1993
RFC 1463 "FYI o¬n Introducing the Internet—A Short Bibliography of
Introductory Internetworking Readings
for the Network Novice." May 1993
RFC 1492 "An Access Control Protocol, Sometimes Called TACACS." July 1993 Internet Directories
Documents at gopher.nist.gov
Trang 3The "Computer Underground Digest" in the /pub/cud directory at ftp.eff.org
Documents in the /dist/internet_security directory at research.att.com
HVA-Translator Group
Tăng cường bảo mật cho mạng IP (phần 3)
Router Security Principles and Goals
3 Các mục đích vŕ nguyên tắc của sự bảo mật router
Các router đóng một vai trň quan trọng trong việc bảo mật mạng Phần này trình bày những nguyên tắc cơ bản cho một router tự bảo vệ nó, bảo vệ một mạng với một router, và sử dụng một router được an toàn
3.1 Router tự bảo vệ
3.1.1 Bảo mật về mặt vật lý
Có một số cách để bảo mật một router về mặt vật lý Phňng chứa router phải không
bị nhiễu từ hoặc nhiễu tĩnh điện Phňng phải có các bộ kiểm soát độ ẩm vŕ nhiệt độ Nếu thấy cần thiết vì những lý do nhạy cảm hoặc cần dùng ngay, một bộ UPS phải được lắp đặt, các thŕnh phần dự phòng cùng các thứ đi kèm phải sẵn sàng để thay thế Để giúp cho việc bŕo vệ chống lại một vài kiểu tấn công từ chối dịch vụ, và cho phép hỗ trợ rộng rãi các loại dịch vụ bảo mật nhất, router phải được cấu hěnh với dung lượng bộ nhớ lớn nhất có thể* Đồng thời, router phải được đặt trong một phňng khóa chặt, chỉ một số ít người được phép mới vŕo Cuối cùng, các thiết bị vật lý ( chẳng hạn như các PC card, modem) thường kết nối tới router đòi hỏi phải
có sự bảo vệ về mặt lưu trữ
3.1.2 Hệ điều hŕnh
Hệ điều hŕnh cho router là một thành phần cốt yếu Quyết địnhxem mạng cần có những đặc điểm nŕo, và dùng danh sách các đặc điểm để chọn phięn bản của hệ
Trang 4điều hŕnh Tuy nhiên, không phải phiên bản mới nhất của bất kỳ hệ điều hŕnh nào cũng đều là đáng tin cậy nhất do sự phơi bày còn hạn chế của nó trong một diện rộng các môi trường mạng Người quản trị mạng phải dùng phiên bản ổn định cuối cùng của hệ điều hành mà phù hợp với các yêu cầu về mặt đạc điểm
3.1.3 Làm vững chãi cấu hình
Một router cũng giống như nhiều máy tính, có nhiều dịch vụ chạy theo chế độ mặc định Nhiều trong số những dịch vụ nŕy là không cần thiết và có thể được một hacker dùng để khai thác hay thu thập thông tin Tất cả các dịch vụ không cần thiết phải được tắt đi trong cấu hěnh của router Phần 3.3.2 thảo luận việc quản lý các cập nhật cho cấu hình của router
* Một số người đọc có thể bỏ qua lời khuyęn này; họ có thể nghĩ rằng bộ nhớ tốn tiền và vì thế nên mua một router với dung lượng bộ nhớ tối thiểu cần thiết để hỗ trợ cho công việc của nó Điều nŕy một sự tiết kiệm sai lầm Chi phí tăng lęn do bộ nhớ thêm thường nhỏ hơn tổng chi phí cho một router được cấu hình đầy đủ, vŕ tính linh động vŕ hiệu suất do bộ nhớ thêm mang lại hầu như luôn đáng giá khi důng dần cho số dịch vụ và người dùng dựa vào router cho hoạt động kết nối Đồng thời, bổ sung bộ nhớ cho một router đang hoạt động đňi hỏi phải tạm dừng các dịch vụ do nó cung cấp Ví dụ, trong cộng đồng các ISP (Internet Service Provider), một ngành kinh doanh được xem như thực hiện tốt nhất việc trang bị cho tất cả các router đang hoạt động dung lượng bộ nhớ lớn nhất mŕ nó hỗ trợ 3.2 Bảo vệ mạng với router
3.2.1 Các vai trò trong bảo mật và các thao tác mạng
Các router thực hiện nhiều công việc khác nhau trong các mạng hiện nay, nhưng trong cuộc thảo luận này, chúng ta sẽ xem xét ba phương hướng cơ bản mà các router được dùng
Các interior router
Một interior router chuyển tiếp các gói tin giữa hai hay nhiều mạng cục bộ trong
Trang 5vòng một tổ chức hay xí nghiệp Các mạng nối nhau bởi một interior router thường chia sẻ chính sách bảo mật giống nhau và độ tin cậy giữa chúng thường ở mức cao Nếu một xí nghiệp có nhiều interior router, chúng thường sử dụng một Interior Gateway Protocol (tạm dịch là giao thức cầu nối nội) để điều khiển các router Các interior router có thể bắt các gói tin mà chúng chuyển tiếp giữa các mạng chịu một
số giới hạn
Hầu hết sự hướng dẫn trong sách này đều hữu dụng cho các interior router
Hình 3-1: Một interior router kết nối tới các mạng nội bộ của một xí nghiệp
Các backbone router
Một backbone hay một exterior router là một router chuyển tiếp các gói tin giữa các xí nghiệp khác nhau( còn được gọi là các ‘autonomous system’ khác nhau) Giao thông giữa các mạng khác nhau hình thành nên mạng Internet, được điều khiển bởi các backbone router
Độ tin cậy giữa các mạng kết nối bởi một backbone router thường rất thấp Thông thường, các backbone router được thiết kế vŕ cấu hình để chuyển tiếp các gói tin càng nhanh càng tốt, mà không buộc các gói tin phải chịu bất kỳ giới hạn nào Những mục đích bảo mật chính cho một backbone router là phải đảm bảo rằng sự hoạt động vŕ sự điều khiển của router chỉ được quản lý bởi những nhóm người có thẩm quyền, vŕ phải bảo vệ tính toàn vẹn của thông tin gửi qua mà nó dùng để chuyển tiếp các gói tin Các backbone router thường dùng các Exterior Gateway Protocol(tạm dịch là các giao thức cầu nối ngoại) để điều khiển các router
Việc cấu hình cho các backbone router là công việc mang tính chuyên môn cao Hầu hết các kỹ thuật mô tả trong sách này có thể áp dụng cho các backbone router, nhưng có thể cần phải thay đổi hoặc hiệu chỉnh lại cho phù hợp với các ứng dụng
cụ thể
Hình 3-2: Các backbone router kết nối nhiều mạng với nhau
Các border router
Trang 6Một boder router chuyển tiếp các gói tin giữa một xí nghiệp và các mạng bên
ngoài Đặc điểm chính của một border router lŕ nó tạo nên đường biên giữa các mạng nội bộ được tin cậy của một xí nghiệp và các mạng bên ngoài không được tin cậy( như Internet chẳng hạn) Nó có thể giúp bảo mật vòng ngoài của một mạng xí nghiệp bằng các sự giới hạn bắt buộc đối với các gói tin mà nó điều khiển Một border router có thể dùng các routing protocol( tạm dịch là các giao thức gửi tin) hay nó có thể hoàn toàn dựa vào các static router( các router tĩnh)
Hình 3-3: Một border router kết nối các mạng nội bộ với một mạng ngoài
Thông thường, một border router không phải là thành phần duy nhất ở đường biên; nhiều xí nghiệp còn sử dụng một firewall( bức tường lửa) để áp đặt chính sách bảo mật nghiêm ngặt