Tổng quan an ninh mạng Cisco Cấu hình SSH cho Router Sử dung ACL điều khiển truy cập VTY, ACL được dùng để điều chỉnh truy cập của các đối tượng trên router Cấu hình router được đó
Trang 1Router & Access Control Lists
GVHD :Tô Nguyễn Nhật Quang
Trang 2Router & ACCESS CONTROL LIST
I Tổng quan an ninh mạng Cisco
II Nguyên tắc định tuyến
III Removing Protocols and Services
IV ACCESS CONTROL LIST
V LOGGING CONCEPTS
2
Trang 3I Tổng quan an ninh mạng Cisco
Trang 4I Tổng quan an ninh mạng Cisco
Cấu hình SSH cho Router
Sử dung ACL điều khiển truy cập VTY, ACL được
dùng để điều chỉnh truy cập của các đối tượng trên router
Cấu hình router được đóng lại để kết thúc nhưng
bạn phải mở RSA để nhận cặp khóa và sử dụng, cần một ít thời gian để tạo ra cặp khóa.
4
Trang 5I Tổng quan an ninh mạng Cisco
Cấu hình SSH cho Client
5
Trang 6II Nguyên tắc định tuyến
Tiến trình ARP
6
Trang 7II Nguyên tắc định tuyến
định tuyến Lan-to-Lan
7
Trang 8II Nguyên tắc định tuyến
định tuyến Lan-to-Wan
8
Trang 9II Nguyên tắc định tuyến
định tuyến tĩnh
9
Trang 10II Nguyên tắc định tuyến
định tuyến động
10
Trang 11II Nguyên tắc định tuyến
định tuyến vertor khoảng cách
11
Trang 12 định tuyến trạng thái kết nối(link-state routing)
12
II Nguyên tắc định tuyến
Trang 13III Removing Protocols and Services
13
3.1 CDP
Mô tả CDP flood
Trang 14III Removing Protocols and Services
14
Bước 1: Kiểm tra kết nối giữa PC và RouterA tại địa chỉ
192.168.1.1
Trang 15III Removing Protocols and Services
15
Bước 2: Trên PC khởi động bằng đĩa Backtrack ,sử dụng lệnh yersinia
-I từ console để chạy phần mềm CDP flood tên là Yersinia
Trang 16III Removing Protocols and Services
16
Bước 3: Nhấn phím ‘g’ chọn CDP trong số những giao thức
yersinia hỗ trợ
Trang 17III Removing Protocols and Services
17
Bước 4: Kiểm tra lại bảng CDP của routerA bằng lệnh show cdp
neighbor hiện tại sẽ không thấy gì
Trang 18III Removing Protocols and Services
18
Bước 5: Tiến hành flood bảng CDP của routerA ,trên phần mềm yersinia
nhấn phím x và chọn 1 để bắt đầu flood
Trang 19III Removing Protocols and Services
19
Quá trình flood bắt đầu diễn ra ,ta sẽ thấy Yersinia tạo ra
liên tục các gói CDP giả đẩy đến RouterA
Trang 20III Removing Protocols and Services
20
Kiểm tra lại bảng CDP của routerA trong qua trình tấn công,ta sẽ thấy số
lương CDP entry tăng lên rất nhiều
Trang 21III Removing Protocols and Services
21
Sau một khoảng 1 thời gian ta sẽ thấy báo lỗi bộ nhớ trên router
Trang 22III Removing Protocols and Services
hoặc tắt hẳn giao thức CDP
Router(config)#no cdp run
Trang 23III Removing Protocols and Services
23
3.2 ICMP (Internet Control Message Protocol)
Trang 24III Removing Protocols and Services
24
Đoạn cấu hình sau trình bày việc vô hiệu hóa ICMP directed broadcast trên cổng giao tiếp serial 1, serial 0 và Ethernet 0 Bảo vệ đầy đủ chống lại cuộc tấn công này bạn phải tắt broadcast trên tất cả các interface
Trang 25III Removing Protocols and Services
25
3.3 Source Routing (Định tuyến nguồn)
Cho phép client chỉ ra đường đi của 1 gói tin 1 cách
cụ thể mà không phụ thuộc vào Routing Table của các Router.điều này cho phép một kẻ tấn công vượt qua được hệ thống quan trọng, ví dụ tường lửa Trong hầu hết các trường hợp thì
t không cần phải sử dụng tới Source Routing tại bất cứ Router nào
Cách vô hiệu hóa dịch vụ này:
Trang 26III Removing Protocols and Services
26
Maintenance Operations Protocol (MOP) services
BootP
Finger
Small Servers (both TCP and UDP)
Packet Assembler and Disassembler (PAD)
IdentD protocol
Network Time Protocol (NTP)
MỘT SỐ GIAO THỨC VÀ DỊCH VỤ KHÁC
Trang 27IV ACCESS CONTROL LIST
Chống lại các cuộc tấn công bằng ACLs
Sử dụng mô hình này cho việc cấu hình
Trang 28IV ACCESS CONTROL LIST
Chống lại các cuộc tấn công bằng ACLs
o Anti-SYN ACLs
Bình thường
Bị tấn công
Trang 29IV ACCESS CONTROL LIST
Chống lại các cuộc tấn công bằng ACLs
o Anti-SYN ACLs
Router#configure terminal Router(config)#access-list 170 permit tcp any 192.168.20.0
0.0.0.255 established Router(config)#access-list 170 deny ip any any
Router(config)#interface Serial 0 Router(config-if)#ip access-group 170 in Router(config-if)#^Z
Router#
Trang 30IV ACCESS CONTROL LIST
Chống lại các cuộc tấn công bằng ACLs
Anti-Land ACLs
Trang 31IV ACCESS CONTROL LIST
Chống lại các cuộc tấn công bằng ACLs
Router#configure terminal Router(config)#interface Serial 0 Router(config-if)#ip address 10.20.30.50 255.255.255.0
Router(config-if)#exit Router(config)#
Router(config)#access-list 110 deny ip host 10.20.30.50 host 10.20.30.50 log
Router(config)#access-list 110 permit ip any any
Router(config)#interface Serial 0 Router(config-if)#ip access-group 110 in Router(config-if)#^Z
Router#
Anti-Land ACLs
Trang 32V LOGGING CONCEPTS
1 Syslog là gì?
Đó là một công cụ (Kiwi-Syslog ) sử dụng để lưu trữ các sự kiện xảy ra trên một thiết bị, hệ thống phục vụ cho công tác quản trị, phát hiện các xâm nhập trái phép Syslog được xây dựng dựa trên các Trap (tức là phân loại các sự kiện ) có tất cả khoảng 7 Trap Nhưng thông thường thì chỉ dùng Trap Information với Trap Debugging Câu lệnh để cấu hình :
Router(config)#logging <địa chỉ IP của máy cài phần mềm Syslog> Router(config)#logging trap debugging (có thể thay thế debugging là 7).
Chú ý: có thể logging nhiều IP cùng 1 lúc cũng được
Trang 33V LOGGING CONCEPTS
Syslog sử dụng User Datagram Protocol (UDP), cổng 514
mặc định để truyền dữ liệu Một gói tin syslog sẽ giới hạn trong 1024 bytes gồm 5 thông tin sau :
Trang 35V LOGGING CONCEPTS
3 Kiểm tra:
Trang 36Thank You !