Hướng dẫn cấu hình bảo mật tăng cường cho Router/Switch của Cisco

Hướng dẫn cấu hình bảo mật tăng cường cho Router/Switch của Cisco

Các thiết bị cơ sở hạ tầng mạng (bộ định tuyến, bộ chuyển mạch, bộ cân bằng tải, tường lửa, v.v.) là một trong những tài sản của doanh nghiệp đóng vai trò quan trọng trong bảo mật và do đó cần được bảo vệ và cấu hình phù hợp.

Nhiều doanh nghiệp tập trung vào việc bảo vệ dữ liệu, máy chủ, ứng dụng, cơ sở dữ liệu, v.v. nhưng lại quên mất việc bảo mật các thiết bị mạng.

Ví dụ: một bộ định tuyến bị xâm phạm có thể tàn phá toàn bộ bảo mật của doanh nghiệp vì nó có thể được sử dụng để truy cập dữ liệu, được cấu hình lại để định tuyến lưu lượng truy cập đến các đích khác, được sử dụng để khởi chạy các cuộc tấn công vào các mạng khác, được sử dụng để truy cập vào các tài nguyên nội bộ khác...

Do đó, việc tăng cường bảo mật cho chính các thiết bị mạng là điều cần thiết để tăng cường bảo mật toàn bộ doanh nghiệp.

Cisco tách một thiết bị mạng thành 3 thành phần chức năng được gọi là “Mặt phẳng - Planes”. Được mô tả sau đây:

• Mặt phẳng quản lý(Management Plane): Đây là về việc quản lý thiết bị mạng. Mặt phẳng quản lý được sử dụng để truy cập, cấu hình, quản lý và giám sát thiết bị mạng. An ninh của mặt phẳng quản lý được thảo luận trong bài viết này.

• Mặt phẳng điều khiển(Control Plane): Mặt phẳng điều khiển bao gồm các giao thức và quy trình giao tiếp giữa các thiết bị mạng để di chuyển dữ liệu từ nguồn đến đích. Bao gồm các giao thức định tuyến như BGP, OSPF, giao thức báo hiệu, v.v.

• Mặt phẳng dữ liệu(Data Plane): Mặt phẳng dữ liệu chịu trách nhiệm di chuyển dữ liệu từ nguồn đến đích. Đây là nơi hầu hết các gói dữ liệu đang truyền trong thiết bị mạng (thường cũng được tăng tốc phần cứng).

Từ ba Mặt phẳng ở trên, Mặt phẳng Quản lý (Management Plane) đầu tiên và Mặt phẳng Điều khiển (Control Plane) thứ hai là quan trọng nhất để bảo mật.

Trong bài viết này, sẽ tập trung vào bảo mật Mặt phẳng quản lý(Management Plane) và thảo luận về 10 bước quan trọng nhất để bảo vệ thiết bị mạng Cisco IOS.

Danh sách kiểm tra bảo mật dưới đây không đầy đủ nhưng nó bao gồm các lệnh và cấu hình quan trọng nhất để khóa thiết bị mạng Cisco IOS và tăng cường bảo mật cho thiết bị cũng như của toàn bộ mạng. Danh sách kiểm tra bên dưới cũng áp dụng cho cả Bộ định tuyến và Bộ chuyển mạch của Cisco.

Tạo mật khẩu kích hoạt bí mật (Enable Secret Password)

Để cấp quyền truy cập quản trị đặc quyền cho thiết bị Cisco iOS, bạn nên tạo Mật khẩu “Enable Secret” mạnh. Bạn nên sử dụng mật khẩu có ít nhất 10 ký tự bao gồm cả chữ và số và các ký hiệu đặc biệt.

Đảm bảo sử dụng lệnh “enable secret” để tạo mật khẩu có mã hóa mạnh.

Router# config terminal
Router(config)# enable secret strongpassword

Mã hóa mật khẩu trên thiết bị (Encrypt Passwords)

Tất cả các mật khẩu được cấu hình trên thiết bị Cisco (ngoại trừ “enable secret”) được hiển thị dưới dạng văn bản rõ ràng trong tệp cấu hình. Để mã hóa mật khẩu văn bản rõ ràng và che khuất chúng khỏi hiển thị trong tệp cấu hình, hãy sử dụng lệnh global “service password-encryption”.

Router# config terminal
Router(config)# service password-encryption

Lệnh trên sử dụng mật mã khá yếu có thể được giải mã bằng các công cụ phần mềm. Nó được sử dụng chủ yếu để ngăn những người quan sát bình thường đọc mật khẩu, chẳng hạn như khi họ nhìn vào màn hình qua vai của quản trị viên.

Sử dụng máy chủ AAA bên ngoài để xác thực người dùng (external AAA server for User Authentication)

Thay vì sử dụng tài khoản người dùng cục bộ trên mỗi thiết bị để truy cập, quản trị viên nên sử dụng máy chủ AAA bên ngoài (TACACS+ hoặc RADIUS) sẽ an toàn, linh hoạt và có thể mở rộng hơn nhiều để xử lý Xác thực (Authentication), Ủy quyền (Authorization) và Kế toán (Accounting) quyền truy cập của người dùng vào thiết bị.

Với máy chủ AAA tập trung, bạn có thể dễ dàng thay đổi/bật/tắt mật khẩu tài khoản, thực thi chính sách mật khẩu mạnh, theo dõi việc sử dụng tài khoản và quyền truy cập của người dùng, v.v.

Ở đây chúng ta sẽ xem cách cấu hình cả máy chủ TACACS+ và RADIUS AAA với mật khẩu “enable secret” làm dự phòng nếu máy chủ AAA không khả dụng.

TACACS+

Router# config terminal
Router(config)# enable secret K6dn!#scfw35 <- trước tiên hãy tạo “enable secret” password
Router(config)# aaa new-model <- Kích hoạt AAA service
Router(config)# aaa authentication login default group tacacs+ enable <-Sử dụng TACACS cho xác thực với “enable” password làm dự phòng
Router(config)# tacacs-server host 192.168.1.10 <- gán internal AAA server
Router(config)# tacacs-server key ‘secret-key’ <- secret key được cấu hình trên AAA server
Router(config)# line vty 0 4
Router(config-line)# login authentication default <- Áp dụng xác thực AAA vào VTY lines (Telnet, SSH etc)
Router(config-line)# exit
Router(config)# line con 0 <- Áp dụng xác thực AAA vào cổng console port
Router(config-line)# login authentication default

RADIUS

Router# config terminal
Router(config)# enable secret K6dn!#scfw35 <- trước tiên hãy tạo “enable secret” password
Router(config)# aaa new-model <- kích thoạt AAA service
Router(config)# aaa authentication login default group radius enable <- Sử dụng RADIUS cho xác thực với “enable” password làm dự phòng
Router(config)# radius-server host 192.168.1.10 <- gán internal AAA server
Router(config)# radius-server key ‘secret-key’ <- secret key được cấu hình trên AAA server
Router(config)# line vty 0 4
Router(config-line)# login authentication default <- Áp dụng xác thực AAA vào VTY lines (Telnet, SSH etc)
Router(config-line)# exit
Router(config)# line con 0 <- Áp dụng xác thực AAA vào cổng console port
Router(config-line)# login authentication default

Tạo tài khoản cục bộ riêng cho Xác thực người dùng

Nếu bạn không thể cài đặt và sử dụng máy chủ AAA bên ngoài như đã thảo luận trong phần trước, thì ở mức tối thiểu, hãy tạo các tài khoản cục bộ riêng cho bất kỳ ai mà bạn sẽ cấp quyền truy cập vào thiết bị của mình.

Ví dụ: nếu bạn có 3 quản trị viên mạng và bạn phải sử dụng tài khoản cục bộ cho họ, thì hãy tạo tài khoản người dùng được cá nhân hóa cho từng quản trị viên. Điều này hoàn thành trách nhiệm giải trình cho từng quản trị viên khác nhau về các hành động được thực hiện trên thiết bị.

Ngoài ra, từ phiên bản iOS 12.2(8)T trở lên, bạn có thể cấu hình “Enhanced Password Security -Bảo mật mật khẩu nâng cao” cho các tài khoản cục bộ được tạo trên thiết bị. Điều này có nghĩa là các tài khoản cục bộ sẽ được mã hóa bằng hàm băm MD5.

Giờ chúng ta hãy định cấu hình 3 tài khoản quản trị viên cục bộ khác nhau bằng “Enhanced Password Security-Bảo mật mật khẩu nâng cao”.

Router# config terminal
Router(config)# username john-admin secret Lms!a2eZSf*%
Router(config)# username david-admin secret d4N3$6&%sf
Router(config)# username mary-admin secret 54sxSFT*&(zsd

Cấu hình số lần xác thực không thành công tối đa

Để tránh các cuộc tấn công mật khẩu dò tìm vào thiết bị, bạn có thể cấu hình số lần thử đăng nhập không thành công tối đa để người dùng sẽ bị khóa sau ngưỡng này.

Điều này áp dụng cho tài khoản người dùng cục bộ trên thiết bị.

Router# config terminal
Router(config)# username john-admin secret Lms!a2eZSf*%
Router(config)# aaa new-model
Router(config)# aaa local authentication attempts max-fail 5 <- tối đa 5 lần đăng nhập thất bại
Router(config)# aaa authentication login default local

Chỉ giới hạn quyền truy cập quản lý vào các thiết bị với các IP cụ thể

Đây có lẽ là một trong những cấu hình bảo mật quan trọng nhất trên các thiết bị mạng của Cisco. Bạn nên hạn chế những địa chỉ IP nào có thể Telnet hoặc SSH cho thiết bị của mình. Điều này nên được giới hạn trong một số hệ thống quản lý mà quản trị viên sẽ sử dụng để quản lý mạng.

Giả sử rằng mạng con của quản trị viên là 192.168.1.0/28

Router# config terminal
Router(config)# access-list 10 permit 192.168.1.0 0.0.0.15
Router(config)# line vty 0 15
Router(config)# access-class 10 in <- áp dụng IP restrictions vào all VTY lines (for Telnet or SSH)

Kích hoạt ghi nhật ký (Enable Logging)

Ghi nhật ký rất hữu ích để theo dõi, ứng phó sự cố và kiểm toán. Bạn có thể kích hoạt ghi nhật ký vào bộ đệm bên trong của thiết bị hoặc vào máy chủ Nhật ký bên ngoài. Cái sau linh hoạt và hữu ích hơn nhiều vì bạn có thể lưu trữ nhiều dữ liệu nhật ký hơn và thực hiện phân tích nhật ký dễ dàng hơn nhiều so với ghi nhật ký cục bộ.

Có 8 cấp độ ghi nhật ký khác nhau (từ 0 đến 7), mỗi cấp độ cung cấp thêm chi tiết dữ liệu nhật ký. Bạn nên tránh đăng nhập mức 7 (gỡ lỗi) vì nó sẽ làm quá tải thiết bị.

Ở đây chúng ta sẽ thảo luận về cả ghi nhật ký vào bộ đệm (nội bộ thiết bị) và Ghi nhật ký vào Máy chủ bên ngoài. Bạn có thể có cả hai nếu bạn muốn như hình bên dưới.

Router# config terminal
Router(config)# logging trap 6 <- Bật ghi nhật ký cấp 6 cho các nhật ký được gửi đến máy chủ bên ngoài
Router(config)# logging buffered 5 <- Bật ghi nhật ký cấp 5 cho các nhật ký được lưu trữ cục bộ trong bộ đệm

Router(config)# service timestamps log datetime msec show-timezone <- Bao gồm dấu thời gian trong nhật ký với độ chính xác đến mili giây

Router(config)# logging host 192.168.1.2 <- Gửi nhật ký đến máy chủ nhật ký bên ngoài
Router(config)# logging source-interface ethernet 1/0 <- Dùng cổng Eth1/0 để gởi log nhật ký

Bật Giao thức thời gian mạng (Enable Network Time Protocol - NTP)

Bước này là cần thiết cho việc ghi nhật ký. Bạn phải có cài đặt đồng hồ chính xác và thống nhất trên tất cả các thiết bị mạng để dữ liệu nhật ký được đóng dấu với thời gian và múi giờ chính xác. Điều này sẽ giúp ích rất nhiều trong việc xử lý sự cố cũng như giám sát và tương quan nhật ký thích hợp.

Bạn có thể cấu hình máy chủ NTP bên trong hoặc bên ngoài (có một số máy chủ NTP công cộng mà bạn cũng có thể sử dụng).

Router# config terminal
Router(config)# ntp server 1.1.1.1
Router(config)# ntp server 2.2.2.2

Sử dụng Giao thức quản lý an toàn nếu có thể

Telnet là giao thức quản lý mặc định để truy cập dòng lệnh vào các thiết bị của Cisco. Tuy nhiên, tất cả lưu lượng quản lý là văn bản rõ ràng với Telnet. Vì lý do bảo mật, hãy ưu tiên SSH để quản lý thay vì Telnet.

Hãy xem cách định cấu hình quyền truy cập SSH vào thiết bị Cisco.

Router# config terminal
Router(config)# hostname Router-TGM
Router-TGM(config)# ip domain-name thegioimang.vn
Router-TGM(config)# ip ssh version 2
Router-TGM(config)# crypto key generate rsa modulus 2048
Router-TGM(config)# ip ssh time-out 60
Router-TGM(config)# ip ssh authentication-retries 3
Router-TGM(config)# line vty 0 15
Router-TGM(config-line)# transport input ssh

SSH yêu cầu phải cấu hình tên máy chủ và tên miền cũng như tạo khóa SSH. Ngoài ra, trên các dòng VTY chỉ cho phép giao thức SSH.

Hạn chế và bảo mật truy cập SNMP

Giao thức quản lý mạng đơn giản (SNMP) có thể rất hữu ích để thu thập thông tin từ các thiết bị mạng nhưng cũng có thể gây rủi ro bảo mật nếu không được cấu hình đúng cách.

Giao thức SNMP sử dụng “Community String - Chuỗi cộng đồng” đóng vai trò là mật khẩu để hạn chế quyền truy cập (Chỉ đọc hoặc Đọc/Ghi) đối với dữ liệu SNMP trên thiết bị. Ngoài việc định cấu hình Community String, lọc IP cũng phải được áp dụng để chỉ cho phép truy cập SNMP từ một số máy trạm quản lý.

Hãy cấu hình hai chuỗi Community strings (một “READ ONLY” và một chuỗi khác “READ/WRITE”) và cũng áp dụng kiểm soát địa chỉ IP với ACL

Router# config terminal
Router(config)# access-list 11 permit 192.168.1.0 0.0.0.15
Router(config)# access-list 12 permit 192.168.1.1
Router(config)# snmp-server community Cbd43@#w5SDF RO 11 <- Tạo chuỗi cộng đồng Chỉ đọc (RO) và sử dụng ACL 11 để cho phép truy cập SNMP
Router(config)# snmp-server community Xcv4#56&454sdS RW 12 <- Tạo chuỗi cộng đồng Read Write (RW) và sử dụng ACL 12 để cho phép truy cập SNMP

Các lệnh trên cho phép quản trị viên mạng con 192.168.1.0/28 có quyền truy cập SNMP Chỉ Đọc vào các thiết bị và cũng cho phép Máy chủ 192.168.1.1 có toàn quyền truy cập SNMP Đọc/Ghi vào các thiết bị.

Nếu bạn có vấn đề gì thắc mắc đừng ngần ngại liên hệ với chúng tôi theo thông tin dưới đây để được hỗ trợ thêm.

Hẹn gặp lại các bạn trong các bài viết tiếp theo !

CÔNG TY CỔ PHẦN DỊCH VỤ CÔNG NGHỆ DATECH

• Địa chỉ: Số 23E4 KĐT Cầu Diễn, Tổ 7, Phú Diễn, Bắc Từ Liêm, Hà Nội

• Điện thoại: 02432012368

• Hotline: 098 115 6699

• Email: info@datech.vn

• Website: https://datech.vn