Khảo sát và phân tích các lỗi logic thường gặp trên các thiết bị router

Hãy tự đặt cho mìnhnhững câu hỏi như sau:- Những interface này có trên cùng một IP network không ?- Những interface này có cùng một subnet mask không ?- Có bất kỳ access list ACL nào đan

Khảo sát và phân tích các lỗi logic thường gặp trên các

thiết bị Router

Việc cài đặt mạng lưới router và switch không an toàn là một rủi ro bảo mậtthường bị bỏ qua, mà nếu không không ai để ý đến, có thể có nhiều hậu quả đángtiếc xảy ra Biện pháp an ninh chỉ dựa trên các phần mềm không thể ngăn chặnđược hết hoặc thậm chí có những thiệt hại về mạng liên quan đến việc cài đặtkhông cẩn thận Chúng ta sẽ thảo luận về cách để xác định và khắc phục việc càiđặt không an toàn

4.1.1 Đánh giá sự rủi ro trong quá trình cài đặt

Trước khi thảo luận làm thế nào để bảo mật việc cài đặt router và switch,quan trọng hơn là phân biệt được sự khác biệt giữa các thiết bị rủi ro thấp (low riskdevices) và rủi ro cao (high risk devices):

- Low risk devices: Các thiết bị này điển hình là rẻ nhất hoặc dưới một hệ thốngmạng kích thước nhỏ như small office/home office (SOHO), chẳng hạn như routerCisco series 800/900/1700 và switch cisco được sử dụng trong môi trường nơi màcho phép 10 thiết bị cùng dây cáp kết nối truy cập không có nguy cơ cao như mạngcông ty Việc cài và lắp đặt này không được áp dụng và thậm chí là quá tốn kém vì

phải cung cấp nhiều thiết bị an ninh cùng cáp kết nối cho một mạng có kích thướclớn như mạng doanh nghiệp Trong những trường hợp này, người quản trị mạngphải đưa ra quyết định hợp lý về hệ thống thiết bị mạng sao cho đảm bảo được độbảo mật.

- High risk devices: Các thiết bị này thường được tìm thấy trong các văn phòng lớnhơn hoặc các cơ sở công ty nơi mà hàng chục, hàng trăm, hoặc thậm chí hàng ngànnhân viên làm việc, hoặc nơi mà có số lượng lớn nhân viên truy cập dữ liệu từ xacủa công ty Các thiết bị thường được sử dụng như router, firewall và các hệ thốngquản lý để định tuyến và kiểm soát một lượng lớn dữ liệu và lưu lượng truy cậpvideo hay voice Hệ thống mạng này thường có rủi ro bảo mật bởi các nhân viênbất mãn hoặc bị ảnh hưởng bởi điều kiện môi trường tiêu cực

4.1.2 Những mối đe dọa phổ biến trong quá trình cài đặt vật lý cho router vàswitch

Việc cài đặt không an toàn hay các mối đe dọa truy cập vật lý có thể đượcphân loại như sau:

- Hardware threats: Là các mối đe dọa thiệt hại vật chất phần cứng của router hoặc

- Environmental threats: Là các mối đe dọa do nhiệt độ (quá nóng hay quá lạnh)hoặc do độ ẩm (quá ướt hay quá khô).

- Electrical threats: Là các mối đe dọa như tăng giảm điện áp, điện áp cung cấpkhông đầy đủ và tổng số tổn thất điện năng

- Mainternance threats: Là các mối đe dọa do việc xử lý kém của các thành phầnđiện tử chính (gây rò rỉ điện), thiếu phụ tùng quan trọng, dây cáp kém, lắp đặt kém,

…

4.1.3 Giảm thiểu những mối đe dọa do phần cứng

Nhiệm vụ quan trọng của các thiết bị router và switch nên được đặt trong hệthống điện tử hoặc máy tính hoặc phòng viễn thông đáp ứng những yêu cầu tối

- Nhân viên được ủy quyền phải khóa phòng và chỉ có người có phận sự mới đượcvào

- Không nên để người khác có thể đột nhập vào phòng thông qua trần nhà, sàn nhà,cửa sổ, đường ống, hoặc bất kì địa điểm nào khác

- Nếu có thể, việc kiểm soát truy cập điện tử nên được khai thác tối đa khả năngchống truy cập trái phép của hệ thống an ninh và được giám sát bởi các nhân viên

an ninh

- Nếu có thể, nhân viên an ninh nên giám sát qua camera an ninh và tự động ghiâm

4.1.4 Giảm thiểu những mối đe dọa do môi trường

Các quy tắc sau nên được áp dụng để hạn chế những mối đe dọa do môitrường tới router và switch:

- Phòng phải được cung cấp hệ thống kiểm soát nhiệt độ và độ ẩm tốt Luôn luônkiểm tra các thông số nhiệt độ môi trường trong phòng phù hợp theo yêu cầu tàiliệu sản phẩm được cung cấp

- Nếu có thể, các thông số nhiệt độ môi trường này nên được theo dõi từ xa và cóchế độ báo động kịp thời

- Phòng phải được đảm bảo sự nhiễu điện và từ trường

4.1.5 Giảm thiểu những mối đe dọa do điện năng

Những vấn đề liên quan đến điện năng có thể được hạn chế bằng cách tuânthủ các quy tắc sau đây:

- Cài đặt các hệ thống điện năng hỗ trợ không bị gián đoạn (uninterrupted powersupply -UPS) cho những thiết bị router và switch quan trọng

- Cài đặt các hệ thống máy phát điện dự phòng cho nguồn cung cấp quan trọng

- Lên kế hoạch và khởi tạo UPS, thường xuyên kiểm tra máy phát điện và thựchiện lịch trình bảo trì phòng ngừa dựa vào các yêu cầu của nhà sản xuất

- Sử dụng nguồn lọc

- Cài đặt các nguồn điện dự phòng trên các thiết bị quan trọng

- Theo dõi và cảnh báo liên quan đến các thông số mức độ yêu cầu của thiết bị.4.1.6 Giảm thiểu những mối đe dọa liên quan đến bảo trì

Các mối đe dọa liên quan đến bảo trì là một hạng mục rộng lớn bao gồmnhiều quy tắc Các quy tắc chung sau đây cần được tuân thủ để ngăn chặn các mối

- Luôn luôn nhớ rằng, không có phòng nào là hoàn toàn an toàn và không nên chỉdựa vào lực lượng bảo vệ để đảm bảo an ninh cho thiết bị truy cập Một khi kẻ xâmnhập vào được bên trong phòng, sẽ không có biện pháp nào để ngăn chặn kết nốivào terminal thông qua cổng console của router hoặc switch.

4.2 Khắc phục các sự cố của Router trên mô hình OSI

Mỗi quản trị viên mạng đều sẽ gặp phải sự cố về các liên kết mạng trênrouter Cách tốt nhất để khắc phục bất kỳ sự cố nào về vấn đề kết nối mạng là sửdụng mô hình OSI và kiểm soát lỗi từng tầng của mô hình này Vậy làm thế nào để

sử dụng mô hình OSI khắc phục sự cố mạng? Để trả lời cho câu hỏi này, chúng tôi

sẽ giới thiệu về các phương pháp tiếp cận, xử lý sự cố khác nhau và làm thế nào để

sử dụng chúng để khắc phục sự cố mạng của bạn Trong phần này, chúng ta sẽ tậptrung xử lý sự cố ở 2 tầng Data Link và Network

4.2.1 Kiểm tra và khắc phục lỗi sự cố phần cứng của Router tại tầng 2 Data Link

Ở đây ta chỉ quan tâm đến tầng Data Link và không bàn tới sự cố tại tầngPhysical là các cổng giao tiếp (interface) hay cáp kết nối Những dòng giao thức(line protocol) điển hình hoạt động tại tầng này như Ethernet, ATM, 802.11, PPP,frame-replay, HDLC hay PPP

Trước tiên, ta phải nắm được các thông số chi tiết của router bằng câu lệnh

show interface và show ip interface brief Như ví dụ dưới đây của interface Gigabit

Ethernet 0/0 và Serial 0/3:

Dưới đây là những gì ta quân tâm:

- Interface có UP không?

- Line protocol có UP không?

- Nếu cả hai interface và line protocol đều NOT up thì kết nối sẽ không bao giờđược thiết lập

- Để xử lý một line protocol bị down, ta phải kiểm tra chắc chắn rằng các giaothức phù hợp với mỗi bên của kết nối (thông báo line protocol ở mỗi interfacetrên)

Nói chung, phải xác minh sự phù hợp của line protocol và các cài đặtclocking là chính xác

Nếu đây là một kết nối Ethernet, đó có phải là một đèn báo liên kết trên

Nếu đây là một kết nối serial, có phải bạn có một external CSU/DSU không?Nếu nó là một external CSU, kiểm tra xem đèn Carrier Detect (CD) và đèn dataterminal (DTR) có sáng không Nếu không, hãy liên hệ với nhà cung cấp Điều nàycũng áp dụng nếu bạn có một card internal Cisco WIC CSU Nếu đó là trường hợpnày, hãy xem thông tin tại liên kết trang chủ của nhà sản xuất để tìm hiểu rõ hơn vềđèn trên card đó.

Bạn có thể sử dụng lệnh Cisco IOS test để kiểm tra các network interface

của bạn với nhân viên nội bộ và với các nhà cung cấp dịch vụ viễn thông của bạn

Không tiến hành các lớp cấp trên cho đến khi interface vật lý trên router củabạn và line protocol của bạn cho thấy là UP Cho đến lúc đó, ta chưa cần quan tâmđến địa chỉ IP, ping, access list hoặc bất cứ điều gì như thế

4.2.2 Kiểm tra và khắc phục lỗi sự cố phần cứng của Router tại tầng 3 Network:

Tại tầng này, cách dễ dàng nhất để xem lớp 3 có hoạt động là ping tới cácliên kết mạng LAN hoặc WAN từ router này Hãy chắc chắn rằng bạn ping càngchặt chẽ càng tốt để router của bạn có thể giao tiếp với thiết bị khác

Sau đây là ví dụ 2 trường hợp ping thành công và ping thất bại:

Cách dễ nhất để kiểm tra tình trạng của lớp 3 là dung lệnh show ip interface

brief Dưới đây là một ví dụ:

Hoặc có thể xem chi tiết về địa chỉ IP của từng interface mà bạn muốn bằng

câu lệnh show running-config như ví dụ dưới đây:

Tôi khuyên bạn nên cấu hình interface và so sánh chúng với nhau, với cáckết nối từ xa WAN phải đảm bảo chúng đều giống nhau Hãy tự đặt cho mìnhnhững câu hỏi như sau:

- Những interface này có trên cùng một IP network không ?

- Những interface này có cùng một subnet mask không ?

- Có bất kỳ access list (ACL) nào đang chặn lưu lượng truy cập của bạn không ?

- Bạn có thể loại bỏ tất cả các tùy chỉnh tính năng IP để đảm bảo rằng việc cấuhình cơ bản hoạt động trước khi thêm các tính năng bổ sung khác mà có thể gây ra

sự cố không ?

Sau đây là một ví dụ, nhìn vào hai interface dưới đây Vấn đề thực sự là gì

mà làm cho 2 router này không giao tiếp được với nhau ?

Router 1

interface Serial3/0 description Sprint T3 - TO ROUTER 2 bandwidth 9000 ipaddress 10.2.100.2 255.255.255.252

IP subnet như router 1 Mặc dù chúng có cùng một subnet, IP address 10.2.100.5

sẽ không bao giờ có thể để giao tiếp với các địa IP address 10.2.100.2 bởi vì chúngđang ở trên các mạng khác nhau nhưng kết nối trực tiếp

Hãy chắc rằng, bây giờ bạn có thể ping qua liên kết, từ một bên khác Trongkhi, đó là một dấu hiệu tốt, không phải lúc nào tất cả mọi thứ được fixed Bạn vẫnkhông có khả năng giao tiếp từ một client trên mạng LAN của một router, với mộtclient trên mạng LAN của router khác, vì những thứ như cấu hình không đúng cácgiao thức định tuyến IP

Đối với một mạng LAN để giao tiếp với mạng LAN khác, thông qua router(thường thông qua một mạng WAN), bạn phải cấu hình một trong hai kiểu: staticroutes (định tuyến tĩnh) hoặc dynamic routes (định tuyến động) Để đảm bảo bạncấu hình định tuyến được cho mạng, bạn hãy thực hiện các câu lệnh sau để kiểmtra:

Router# show ip routes

Router# show ip protocols

Đối với việc xử lý sự cố ở lớp 3, hãy nhìn vào hiển thị của câu lệnh như hìnhsau:

4.3 Nghiên cứu xây dựng hướng dẫn một số điểm cần chú ý để cấu hình Router antoàn, bao gồm:

4.3.1 Kiểm tra những thông tin bảo mật cơ bản của Router

Có rất nhiều lệnh show được dùng để kiểm tra nội dung các tập tin trên trênrouter và để tìm ra sự cố

Show version Xem tên file IOS, version của IOS đang sử dụng, cấu

hình phần cứng của router, các dịch vụ và các cổngtrên router

Show flash Xem file IOS đang lưu trong flash

Show interface {interface} Xem cấu hình tất cả các cổng hay cổng được chỉ

địnhShow running-config Xem cấu hình chung đang sử dụng

Show starup-config Xem cấu hình chung dùng cho khởi động (lưu trong

NVRAM)Show clock Xem đồng hồ (thời gian cấu hình)

Show hosts Hiển thị danh sách tên và địa chỉ các host

Show user Hiển thị tất cả các user đang kết nối vào router

Show ip route Hiển thị bảng chọn đường của Router

Tiếp theo là giới thiệu về bảo mật router bằng cách sử dụng các phươngpháp đã được chứng minh để cấu hình an toàn cho các thiết bị router và bảo vệgiao diện quản trị của router

4.3.1.1 Kết nối vào cổng console của router

Ta sẽ mô tả làm thế nào để cấu hình quyền quản trị truy cập an toàn chorouter Đây là bước vô cùng quan trọng trong việc thiết lập độ bảo mật cho router.Nếu một người truy cập trái phép khống chế được quyền quản trị truy cập đếnrouter, người này có thể thay đổi các thông số định tuyến, vô hiệu hóa chức năngđịnh tuyến, hoặc phát hiện và truy cập các hệ thống khác trong mạng

Cách để thực hiện bước đầu cấu hình là truy cập vào cổng console (giao diệnđiều khiển) của router bằng dây console Console là một thiết bị đầu cuối(terminal) được kết nối với cổng console của router, nó cũng có thể là một thiết bịcuối câm (dumb terminal) hoặc một PC chạy phần mềm mô phỏng thiết bị đầucuối Console chỉ là một cách quản trị viên truy cập vào quyền quản trị để cấu hình

và quản lý router Ngoài ra, để truy cập quyền quản trị còn có những cách nhưTelnet, HTTP / HTTPS, SSH, Simple Network Management Protocol (SNMP), vàtính năng Security Device Manager (SDM)

Để có thể cấu hình được router bạn phải truy cập vào giao diện người dùngcủa router bằng thiết bị đầu cuối hoặc bằng truy cập từ xa Bạn phải nắm được cácmode làm việc của router, các mode này được thể hiện như hình sau:

Sau khi truy cập được vào router thì mới có thể nhập các lệnh cho router.Mỗi chế độ có đặc điểm riêng, cung cấp một số tính năng xác định để cấu hìnhrouter Tuy nhiên vì lý do bảo mật nên router có 2 mức truy cập:

- Mức EXEC Mode (hay User mode: mức người dung): đây là mode bắt đầu mộtphiên làm việc với router (qua console hay telnet) Ở mode này chỉ có một số câulệnh thông thường của router hay interface, một số câu lệnh dùng để xem trạng thái

của router như lệnh show hay clear Ở mức này người sử dụng không thể thay đổi

được cấu hình của router

- Priviledge EXEC Mode (Mode EXEC đặc quyền): Ở mode này cung cấp các lệnhquan trọng để cấu hình router, cho phép cấu hình tất cả các chức năng hoạt độngcủa router

4.3.1.2 Một số quy tắc tạo password

Bước đầu tiên trong việc bảo mật quyền truy cập quản trị vào router là cấuhình Password hệ thống Những Password này cùng được chứa trong chính routerhoặc điều khiển máy chủ từ xa (AAA), chẳng hạn như thiết bị bảo mật SecureAccess Control Server (ACS)

Khi tạo Password cho router, luôn luôn tuân theo các quy tắc sau đây:

- Password phải có độ dài từ 1 đến 25 ký tự Để bảo mật tốt hơn, bạn nên sử dụngpassword tối thiểu có 10 ký tự hoặc nhiều hơn Khi đặt Password phải bao gồm:

- Chữ số

- Chữ in hoa, chữ in thường, hoặc cả hai.

- Password không thể có một chữ số là ký tự đầu tiên

- Password không nên sử dụng từ điển

- Bạn nên thay đổi password thường xuyên

Bạn cũng có thể tự tạo ra quy tắc riêng cho mình để đặt password an toànhơn

4.3.1.3 Hộp thoại cấu hình ban đầu

Nếu bạn đang làm việc trên router mới (từ nhà sản xuất) hoặc một router vừađược thiết lập lại (sử dụng các thủ thuật khôi phục password), bạn sẽ được nhắcnhở bởi giao diện dòng lệnh (command line interface-CLI) nếu bạn muốn nhập vàohộp thoại cấu hình ban đầu, như trong hình trên

Trong câu hỏi đầu tiên của hộp thoại cấu hình ban đầu có thể được tìm thấymột số yêu cầu password cho router:

- Password bảo mật (secret password) của router này sẽ được kích hoạt (enable) là

gì ?

- Password của router này sẽ được enable là gì ?

- Password sẽ được sử dụng để truy cập vào virtual terminal (Telnet) của router là

gì ?

Enable secret password được sử dụng để vào enable mode (đôi khi được gọi

là privileged mode hoặc privileged EXEC mode) Bạn có thể thiết lập enable secretpassword bằng cách nhập một password trong hộp thoại cấu hình ban đầu (như

trong hình trên), hoặc bằng cách sử dụng lệnh enable secret trong configuration

mode Việc enable secret password luôn luôn được mã hóa bên trong các cấu hìnhrouter bằng cách sử dụng thuật toán mã hóa Message Digest 5 (MD5)

Enable password cũng được sử dụng để vào enable mode, nhưng theo mặcđịnh password này không được mã hóa trong cấu hình router Tuy nhiên nhữngphiên bản router cũ chưa có hỗ trợ enable secret password nên enable passwordvẫn được giữ lại mặc dù kém an toàn hơn

Virtual terminal password là line-level password được nhập vào khi kết nốivới router bằng cách sử dụng Telnet Bạn có thể thiết lập password trong hộp thoại

cấu hình ban đầu (như trong hình trên) hoặc bằng cách sử dụng lệnh password

trong vty line configuration mode

4.3.1.4 Độ dài tối thiểu của password

Với hệ điều hành Cisco IOS 12.3 hoặc lớn hơn cho phép các quản trị viênthiết lập độ dài ký tự tối thiểu cho tất cả các password của router bằng cách sửdụng secret password thông qua lệnh cấu hình như trong hình trên Lệnh này cungcấp truy cập tăng cường độ bảo mật cho các router bằng cách cho phép bạn chỉđịnh một chiều dài password tối thiểu, loại bỏ password thông thường phổ biếntrên hầu hết các mạng chẳng hạn như phòng thí nghiệm và cisco Lệnh này sẽ ảnhhưởng đến user password, enable password , line password và độ bảo mật.

Cú pháp cho lệnh password bảo mật như sau:

security passwords min-length length

Chú ý: lenth sẽ được chọn trong khoảng 0-16 ký tự Khuyến khích thiết lập độ dàitối thiểu là 10 ký tự

Sau khi lệnh này được kích hoạt, bất kỳ password nào được tạo có độ dài ký

tự ít hơn đều sẽ thất bại Sẽ có một thông báo lỗi nếu thất bại trong việc tạopassword như trong hiển thị dưới đây:

% Password too short – must be at least 10 characters Password configuration failed.

4.3.1.5 Cấu hình kích hoạt password sử dụng enable secret

Nếu bạn không sử dụng hộp thoại cấu hình ban đầu để cấu hình password

bảo mật, bạn phải sử dụng lệnh enable secret trong configuration mode Câu lệnh

enable secret sử dụng một thuật toán mã hóa MD5 (lúc này password đã được mã

hóa như trong hình trên) và được xem là không thể phục hồi bởi hầu hết cácchuyên gia mã hóa

Sử dụng câu lệnh enable secret trong configuration mode như trong hình

trên

Cú pháp cho câu lệnh enable secret như sau:

enable secret password

Lưu ý: Nếu bạn quên secret password, không có lựa chọn nào khác là sử dụng thủtục phục hồi password của router

4.3.1.6 Cấu hình password cho cổng console.

Theo mặc định, cổng console không được đặt password Nhưng việc thiếtlập password này được sử dụng cho mục đích bảo trì chẳng hạn như khi chạy thủtục khôi phục mật khẩu router bằng BREAK để gián đoạn tiến trình khởi độngbình thường của router

Để cấu hình password cho cổng console, ta thực hiện theo các bước sau:Bước 1: vào configuration mode config-line:

Boston (config) # line console 0

Bước 2: Kích hoạt password bằng cách kiểm tra login:

Boston (config-line) # login

Bước 3: Nhập vào password cho cổng console, ví dụ là ConUserl ):

Boston (config-line)# password ConUserl

Nếu bạn muốn xem lại các bước vừa làm, bạn có thể dùng lệnh show

running-config sẽ được hiển thị như dưới đây:

Boston (config) #service password-encryption

4.3.1.7 Cấu hình password cho line VTY

Router Cisco hỗ trợ nhiều phiên Telnet (có đến 5 phiên đồng thời có thểđược thêm vào) trên line VTY Theo mặc định, router ban đầu không được cấu

hình password trên line VTY Đồng nghĩa với việc không thể telnet vào router nàyđược Lúc đó màn hình sẽ thông báo lỗi như sau nếu bạn cố gắng telnet vào:

Telnet 10.0.1.2

Trying

Oonnected to 10.0.1.2

Escape character is '^]'

Password required, but none set

Connection closed by remote host.

Có hai cách để cấu hình password cho line VTY, cách đầu tiên là nhập mậtkhẩu trong hộp thoại cấu hình ban đầu, cách thứ hai là sử dụng lệnh cấu hìnhpassword trong config-line mode Cách thứ hai thường được áp dụng nhiều hơn

Trong ví dụ như hình trên, line VTY được cấu hình quy định 4 phiên đồngthời 0-4 Cũng giống như line console, password được đặt cũng không được mãhóa và có thể dễ dàng nhận biết

Sau đây là một vài điều cần lưu ý để thực hiện kết nối an toàn khi telnet vàorouter:

- Nếu bạn không thiết lập password trong line VTY của router, bạn sẽ không thểtruy cập vào privileged EXEC mode sử dụng telnet

- Nên giới hạn truy cập telnet bằng cách xây dựng một danh sách truy cập điềukhiển (access control list-ACL) với các tiêu chí sau:

- Cho phép truy cập telnet từ các host cụ thể (có địa chỉ IP rõ ràng)

- Ngăn chặn truy cập telnet từ các host cụ thể không đáng tin cậy (có địa chỉ IP rõràng)

- Bằng cách sử dụng lệnh access-class để thiết lập quan hệ giữa ACL và line VTY.

Sau đây là một ví dụ cho thấy ACL 30 hạn chế truy cập telnet tới host10.0.1.1 và từ chối truy cập từ host 10.0.1.2 trên line VTY 0-4:

Boston(config)# access-list 30 permit 10.0.1.1

Boston(config)# access-list 30 deny 10.0.1.2