Bảo đảm an toàn các dịch vụ và giao diện điều khiển của router

Router hỗ trợ nhiều dịch vụ mạng được nhu cầu hay không được nhu cầu trong bất kỳ mạng công ty nào. Tắt hoặc hạn chế truy cập tới những dịch vụ này để cải thiện đáng kể an toàn mạng. Một trong hầu hết các quy tắc cơ bản đảm bảo an toàn router là chỉ cung cấp những dịch vụ mà mạng nhu cầu. Việc để lại những dịch vụ không sử dụng đến làm tăng khả năng attacker lợi dụng khai thác thông qua những dịch vụ này. Những dịch vụ dễ bị tấn công sẽ được giới thiệu và liệt kê sau đây: Bootp server: Dịch vụ này theo mặc định thường được enable. Dịch vụ này cho phép router hoạt động như Bootp server của các router doanh nghiệp khác. Dịch vụ này rất hiếm được nhu cầu, ta phải disable nó. Configuration autoloading: Dịch vụ này theo mặc định thường được disable. Chức năng tự động nạp tập tin cấu hình từ một mạng máy chủ phải được disable khi không được sử dụng bởi router. Doamin Name System (DNS): Dịch vụ máy trạm này theo mặc định được enable. Ta phải disable dich vụ này khi không được nhu cầu. Nếu dịch vụ DNS lookup được nhu cầu, hãy chắc rằng việc thiết lập chính xác địa chỉ máy chủ DNS. Finger: Dịch vụ này theo mặc định thường được enable. Giao thức finger (sử dụng port 79) được dùng để nhận ra thông tin về thói quen người dùng trên máy chủ. Việc truy cập những thông tin cá nhân của tất cả người dùng thực là một quan điểm không tốt vì thế dịch vụ này thường xuyên không được kích hoạt. HTTP server: Dịch vụ này cho phép router được theo dõi hoặc thay đổi cấu đổi cấu hình qua một trình duyệt web. Ta phải disable dịch vụ này nếu không được nhu cầu. Nếu dịch vụ này được nhu cầu, ta phải hạn chế truy cập vào dịch vụ HTTP của router bằng cách sử dụng kiểm soát danh sách truy cập (ACL).

Trang 1

Bảo đảm an toàn các dịch vụ và giao diện điều khiển

của router.

Router hỗ trợ nhiều dịch vụ mạng được nhu cầu hay không được nhu cầu trong bất kỳ mạng công ty nào Tắt hoặc hạn chế truy cập tới những dịch vụ này để cải thiện đáng kể an toàn mạng

Một trong hầu hết các quy tắc cơ bản đảm bảo an toàn router là chỉ cung cấp những dịch vụ mà mạng nhu cầu Việc để lại những dịch vụ không sử dụng đến làm tăng khả năng attacker lợi dụng khai thác thông qua những dịch vụ này

Những dịch vụ dễ bị tấn công sẽ được giới thiệu và liệt kê sau đây:

- Bootp server: Dịch vụ này theo mặc định thường được enable Dịch vụ này cho phép router hoạt động như Bootp server của các router doanh nghiệp khác Dịch vụ này rất hiếm được nhu cầu, ta phải disable nó

- Configuration auto-loading: Dịch vụ này theo mặc định thường được disable Chức năng tự động nạp tập tin cấu hình từ một mạng máy chủ phải được disable khi không được sử dụng bởi router

- Doamin Name System (DNS): Dịch vụ máy trạm này theo mặc định được enable

Ta phải disable dich vụ này khi không được nhu cầu Nếu dịch vụ DNS lookup được nhu cầu, hãy chắc rằng việc thiết lập chính xác địa chỉ máy chủ DNS

-Finger: Dịch vụ này theo mặc định thường được enable Giao thức finger (sử dụng port 79) được dùng để nhận ra thông tin về thói quen người dùng trên máy chủ Việc truy cập những thông tin cá nhân của tất cả người dùng thực là một quan điểm không tốt vì thế dịch vụ này thường xuyên không được kích hoạt

- HTTP server: Dịch vụ này cho phép router được theo dõi hoặc thay đổi cấu đổi cấu hình qua một trình duyệt web Ta phải disable dịch vụ này nếu không được nhu cầu Nếu dịch vụ này được nhu cầu, ta phải hạn chế truy cập vào dịch vụ HTTP của router bằng cách sử dụng kiểm soát danh sách truy cập (ACL)

Trang 2

- FTP server: Dịch vụ này theo mặc định thường được disable Là máy chủ lưu trữ tập trung dữ liệu, cung cấp dịch vụ FTP để hỗ trợ cho người dùng có thể cung cấp, truy xuất tài nguyên qua mạng TCP/IP FTP là một trong các dịch vụ truyền file rất thông dụng, người dùng có thể upload và download thông tin một cách dễ dàng hơn

- TFTP server: Dịch vụ này theo mặc định thường được disable TFTP server cho phép sử dụng router như là máy chủ TFTP cho máy trạm TFTP Dịch vụ này phải được disable khi nó không được sử dụng bởi vì nó cho phép truy cập vào tập tin nào đó trong bộ nhớ Flash của router

- IP directed broadcast: Dịch vụ này theo mặc định thường được enable IP directed broadcast được sử dụng rất phổ biến và phổ biến nhất là được áp dụng để tấn công từ chối dịch vụ (DoS) Dịch vụ này phải được disable nếu không có nhu cầu

- Internet Control Message Protocol (ICMP) mask reply: Dịch vụ này theo mặc định thường được disable Dịch vụ này được dùng để gửi ra những thông điệp điều khiểm tới Router Nó là giao thức lớp Internet , làm việc cùng với giao thức IP

Nó có thể được dùng trong một vài tình huống mà có thể cần thiết để một Router chỉ dẫn cho Router khác về một điều gì đó – thông thường khi một Router lấy Datagram mà nó không thể giao được , nó phản hồi lại tới Router mà gửi Datagram với thông điệp ICMP giải thích tại sao nó không thể giao được Datagram Dịch vụ này phải được disable trên interface của mạng không tin cậy

- ICMP redirects: Dịch vụ này theo mặc định thường được enable ICMP redirect làm cho router gửi đi những thông điệp ICMP redirect bất cứ khi nào router bị buộc phải gửi lại một gói tin thông qua giao diện tương tự mà trên đó nó đã được nhận Thông tin này có thể được sử dụng bởi attacker để chuyển hướng gói tin tới một thiết bị không tin cậy Dịch vụ này phải được disable khi không có nhu cầu

- IP source routing: Dịch vụ này theo mặc định thường được enable IP source routing là một cơ chế cho phép một máy nguồn chỉ ra đường đi một cách cụ thể và không phụ thuộc vào bảng định tuyến của các router Nếu attacker dũng kỹ thuật

Trang 3

IP source routing ,hắn có thể nhắm tới một đường định tuyến thành công đã có sẵn.Máy tấn công lúc này có thể gởi một gói IP với địa chỉ nguồn tự tạo trong IP header.Và khi host đích nhận dc gói tin này,nó sẽ gửi traffic ngược lại đến địa chỉ

IP giả mạo thông qua đường router mà attacker muốn.Cách tiếp cận này có thể vượt qua những khó khăn khi thực hiện việc tấn công blind spoofing Ta phải disable dịch vụ này nếu không có nhu cầu

- ICMP unreachable notifications: Dịch vụ này theo mặc định thường được enable Dịch vụ này thông báo cho người gửi của các địa chỉ IP mạng đích Thông tin này

có thể được sử dụng để ánh xạ lên mạng và phải được disable trên giao diện mạng không tin cậy

- Identification service: Dịch vụ này theo mặc định thường được enable Giao thức xác định (quy định trong RFC 1413) báo cáo định dạng của kết nối khởi tạo TCP tới máy nhận Dữ liệu này có thể được sử dụng bởi attacker để thu thập thông tin

về mạng Dịch vụ này phải được disable

- Network Time Protocol (NTP) service: Dịch vụ này theo mặc định thường được disable NTP là một giao thức để đồng bộ đồng hồ của các hệ thống máy tính thông qua mạng dữ liệu chuyển mạch gói với độ trễ biến đổi Giao thức này được thiết kế để tránh ảnh hưởng của độ trễ biến đổi bằng cách sử dụng bộ đệm jitter NTP cũng là tên gọi của phần mềm được triển khai trong dự án Dịch vụ NTP Công cộng (NTP Public Services Project) Phải disable dịch vụ này khi không có nhu cầu

- Packet assembler/disassembler (PAD) service: Dịch vụ này theo mặc định thường được enable Dịch vụ PAD cho phép truy cập vào lệnh X.25 PAD khi gửi trả gói tin X.25 Dịch vụ này phải được disable khi không sử dụng

- Proxy Address Resolution Protocol (ARP): Dịch vụ này theo mặc định thường được enable Tính năng của giao thức này giúp router hoạt đọng như một proxy cho phân giải địa chỉ ở tầng 2 Dịch vụ này phải được disable để tránh router bị sử dụng như một Lan bridge

Trang 4

- Gratuitous ARP: Dịch vụ này theo mặc định thường được enable Gratuitous ARP là một cơ chế chính được sử dụng trong ARP poisoning attack Ta phải disable dịch vụ này trên mọi cổng giao tiếp của router trừ trường hợp cần thiết

- Simple Network Management Protocol (SNMP): Dịch vụ này theo mặc định thường được enable SNMP là một tập hợp các giao thức không chỉ cho phép kiểm tra nhằm đảm bảo các thiết bị mạng như router, switch hay server đang vận hành

mà còn vận hành một cách tối ưu, ngoài ra SNMP còn cho phép quản lý các thiết

bị mạng từ xa SNMP sử dụng UDP (User Datagram Protocol) như là giao thức

truyền tải thông tin giữa các manager và agent Việc sử dụng UDP, thay vì TCP, bởi vì UDP là phương thức truyền mà trong đó hai đầu thông tin không cần thiết

lập kết nối trứơc khi dữ liệu được trao đổi (connectionless), thuộc tính này phù hợp

trong điều kiện mạng gặp trục trặc, hư hỏng v.v SNMP có các phương thức quản

lý nhất định và các phương thức này được định dạng bởi các gói tin PDU

(Protocol Data Unit) Các manager và agent sử dụng PDU để trao đổi với nhau Ta

phải disable dịch vụ này khi không có nhu cầu

- TCP small servers: là những máy chủ (daemon) chạy trong router đôi khi được sử dụng để chuẩn đoán, nhưng rất hiếm được áp dụng Ta phải disable dịch vụ này khi không có nhu cầu

- UCP small servers: là những máy chủ (daemon) chạy trong router đôi khi được

sử dụng để chuẩn đoán, nhưng rất hiếm được áp dụng Ta phải disable dịch vụ này khi không có nhu cầu

- Mintenance Operation Protocol (MOP) service: Dịch vụ này được enable trên hầu hết các cổng giao tiếp Ethernet MOP là một giao thức bảo trì thiết bị kỹ thuật số của công ty Ta phải disable dịch vụ này khi không được sử dụng

- TCP keepalives: Dịch vụ này theo mặc định thường được disable TCP keepalives giúp “clean up” kết nối TCP nơi một kết thiết bị điều khiển máy chủ vừa được reboot hoặc nếu không thì dừng chức năng lưu thông TCP Dịch này phải được enable để quản lý kết nối TCP và ngăn chặn một số DoS attack

Trang 5

Để sử dụng router bảo mật các service và interface hiệu quả hơn, cần phải disable và enable một số dịch vụ sau:

- Disable Bootp Server

- Disable CDP

- Disable Configuration Auto-Loading

- Restricting DNS Service

- Disable Finger Service

- Disable HTTP Service

- Disable FTP Server

- Disable TFTP Server

- Disable IP Directed Broadcast

- Disable ICMP Mask Replies

- Disable ICMP Redirects

- Disable ICMP Unreachable Messages

- Disable IP Source Routing

- Disable IP Identification

- Disable NTP Service

- Disable PAD Service

- Disable Proxy ARP

- Disable Gratuitous ARPs

- Disable SNMP

Trang 6

- Disable Small Servers

- Disable MOP Service

- Enable TCP Keepalives

- Disable Unused Router Interfaces

B Khắc phục một số lỗi sử dụng lọc lưu lượng truy cập mạng

1 Khắc phục lỗi giả mạo địa chỉ IP-Inbound

Ta không nên cho phép gói tin IP inbound vào một mạng riêng chứa địa chỉ nguồn của một vài máy chủ nội bộ hoặc mạng

2 Khắc phục lỗi giả mạo địa chỉ IP-Outbound

Ta không nên cho phép gói tin IP inbound vào một mạng riêng chứa địa chỉ nguồn của một vài máy chủ nội bộ hoặc mạng

3 Khắc phục tấn công DoS TCP SYN sử dụng Blocking External Access

TCP SYN attack liên quan đến việc gửi một số lượng lớn của các gói tin từ một nguồn giả mạo trong mạng nội bộ, dẫn đến tràn bộ nhớ ảnh hưởng đến kết nối

4 Khắc phục tấn công DoS TCP SYN sử dụng TCP Intercept

TCP Intercept là một công cụ rất hiệu quả bảo vệ mạng máy chủ nội bộ từ các cuộc tấn công TCP SYN bên ngoài

TCP Intercept bảo vệ các máy chủ nội bộ từ các cuộc tấn công SYN flood bằng cách chặn và xác nhận yêu cầu kết nối TCP trước khi chúng đến các máy chủ Kết nối hợp lệ (Những kết nối được thiết lập trong phạm vi các ngưỡng cấu hình) được thông qua để đi tới máy chủ Các kết nối không hợp lệ sẽ bị ngăn chặn

5 Khắc phục tấn công DoS Smurf

Smurf attack bao gồm một số lượng lớn các gói tin ICMP được gửi đến địa chỉ subnet broadcast của router sử dụng một địa chỉ giả mạo IP từ subnet tương tự

Trang 7

Một số router phải được cấu hình để chuyển tiếp những broadcast này tới những router khác để bảo vệ mạng điều này gây ra sụt giảm hiệu năng hoạt động

6 Lọc các thông điệp ICMP-Inbound

Có nhiều loại thông điệp ICMP khác nhau có thể được sử dụng để chống lại

hệ thống mạng Attacker sử dụng những thông điệp này để khai thác tài nguyên mạng

Các gói tin phản hồi ICMP có thể được sử dụng để phát hiện ra các mạng con và máy chủ để bảo vệ mạng và cũng có thể được sử dụng để tạo ra DoS flood Thông điệp ICMP redirect có thể được sử dụng để làm thay đổi bảng định tuyến máy chủ Cả ICMP echo và redirect thông điệp phải được ngăn chặn inbound bởi router

7 Lọc các thông điệp ICMP-Inbound

Những thông điệp ICMP sau được yêu cầu cho mạng lưới hoạt động phù hợp và nên được cho phép outbound:

- Echo: Cho phép người dùng ping tới các máy chủ bên ngoài

- Parameter problem: Thông báo tiêu đề gói tin của máy chủ

- Packet too big: Thông báo số lượng gói tin truyền dẫn tối đa

- Source quench: Điều tiết lưu lượng truy cập khi cần thiết

8 Lọc thông điệp UDP Traceroute

Các tính năng traceroute sử dụng một số các loại thông điệp ICMP để hoàn thành một số nhiệm vụ Traceroute hiển thị các địa chỉ IP của router (hop) gặp trên quá trình đi từ nguồn tới đích Kẻ tấn công có thể tận dụng các gói tin phản hồi ICMP để các gói tin UDP traceroute phát hiện ra các mạng con và các máy chủ trên mạng được bảo vệ

C Khắc phục tấn công DDoS (Distributed Denial of Service) trong Router

Trang 8

1.1 Tổng quan

- Tấn công từ chối dịch vụ DDoS là một hình thức tấn công nhằm ngăn chặn những người dùng hợp lệ được sử dụng một dịch vụ nào đó Các cuộc tấn công có thể được thực hiện nhằm vào các thiết bị mạng như: Router, web, thư điện tử và hệ thống DNS

- Tấn công từ chối dịch vụ có thể được thực hiện theo một số cách nhất định sau:

+ Nhằm tiêu tốn tài nguyên tính toán như băng thông, dung lượng đĩa cứng hoặc thời gian xử lý

+ Phá vỡ các thông tin cấu hình như thông tin định tuyến

+ Phá vỡ các trạng thái thông tin như việc tự động reset lại các phiên TCP

+ Phá vỡ các thành phần vật lý của mạng máy tính

+ Làm tắc nghẽn thông tin liên lạc có chủ đích giữa các người dùng

và nạn nhân dẫn đến thông tin liên lạc giữa hai bên không được thông suốt

1.2 Các loại tấn công DDoS và cách khắc phục:

a Trin00:

- Cấu hình Router để chặn các cổng tương ứng sau:

cấu hình trên Router:

Trang 9

Router (config) # access-list 190 deny tcp any any eq 27665 log

Router (config) # access-list 190 deny udp any any eq 27665 log

b Stacheldraht

c Trinity v3

d SubSenven

- Cấu hình Router để chặn các cổng tương ứng sau

Trang 10

- Lệnh

Router (config) # access-list 190 deny tcp any any range 6711 6712 log Router (config) # access-list 190 deny tcp any any eq 6776 log

Định dạng
Số trang	10
Dung lượng	25,61 KB