cpe.rmutt.ac.thcpe.rmutt.ac.th/comnet/PRESENTRATIONS/2552-2/Sec1-Monday... · Web viewอธ บายการต งค าหร อกำหนดค า IOS ค ณสมบ

อปกรณความปลอดภยในบทน คณจะไดเรยนรวธการตางๆ ดงตอไปน :

อธบายการตงคาหรอกำาหนดคาและตรวจสอบ AutoSecure/One-Step Lockdown implementations (CLI and SDM)

อธบายการตงคาหรอกำาหนดคาและตรวจสอบ AAA สำาหรบ Cisco Routers

อธบายการตงคาหรอกำาหนดคา IOS คณสมบตการจดการเกยวกบความปลอดภย (SSH, SNMP, SYSLOG, NTP, Role-Based CLI, and the like)

470บทท 13. อปกรณความปลอดภย

บทนจะครอบคลมเกยวกบเรองการรกษาความปลอดภยเบองตนสำาหรบอปกรณคนหาเสนทาง ซงคณสมบตเหลานน เชน ระบบการจดการความคบคง

ของขอมล ทสงขอมลทละมากๆไปยงอปกรณตางๆ ในเครอขายของคณ.โดยสวนใหญแลวบทนจะเนนในตวคณสมบตทมอยแลวเพอใชสรางความปลอดภยในอปกรณคนหาเสนทาง. ในขนแรก คณจะไดเรยนรเหตผลขนพนฐานเพอความปลอดภยของอปกรณและเซอรวสดานความปลอดภย. จากนน คณจะไดเรยนรวธการใช AutoSecure เพอลอคดาวนเซอรวส CLI. สดทายคณจะไดเหนประโยชน 2 ประการของ SDM wizards ทชวยใหคณสามารถลอคดาวนอปกรณคนหาเสนทางของคณ โดยวธการตรวจสอบความปลอดภยและ One-Step Lockdown wizards.ทำาไมถงตองรกษาความปลอดภยใหกบอปกรณของคณ?

เราไมสามารถบอกคณไดวามคนกคนทถามเขามาวา เซอรวสและโปรเซส“ไหนของเราเตอรทฉนควรจะปด?” จากตาราง 13.1 ทเรยงลำาดบรายการของความเสยงมากทสดและการโจมตมากทสดเกยวกบ เชอรวสและโพรเซสตางๆ และคณควรพจารณาอยางจรงจงทจะปดใชงานเซอรวสเหลาน.รายการนไมไดสมบรณแบบดวยวธการใดๆ แตเปนสงทดในการเรมตนการตรวจสอบความปลอดภยของคณ

ตารางท 13.1 รายการความเสยงของการรกษาความปลอดภย

รายการ ความคดเหนOpen router จำากดการเขาถงขอมลทไมไดรบอนญาตไปยงเรา

471ความปลอดภยของคณทำาไมถงเปนอปกรณ

interfaces เตอรและระบบเครอขายทไมสามารถปดการใชงานได, เปดเราเตอรอนเตอรเฟส

Bootp server เซอรวสนเปดใชงานโดยคาเรมตน ซงเซอรวสนไมคอยไดใชงานมากนกและควรจะปดการใชงานไป

Cisco Discovery Protocol (CDP)

เซอรวสนเปดใชงานโดยคาเรมตน ถาไมมความตองการใชงาน,เซอรวสนควรจะปดการใชงานลงหรอเปดระบบ per-interface Basis

Configuration auto-loading

เซอรวสนจะถกปดโดยคาเรมตน ซงจะโหลดไฟลการตงคาตางๆ แบบอตโนมตบนเครอขายเซรฟเวอร ซงควรจะปดการใชงานเมอไมใชเราเตอร

FTP server เซอรวสนจะถกปดโดยคาเรมตน เพราะเซอรวสนจะอนญาตใหสามารถเขาถงไฟลบางไฟลในหนวยความจำาแฟลชของเราเตอร ซงเซอรวสนควรจะปดเมอไมจำาเปนตองใชงาน

TFTP server เซอรวสนจะถกปดโดยคาเรมตน.เซอรวสนควรจะปดการทำางานเมอไมจำาเปนตองใชเพราะจะมการอนญาตใหเขาถงไฟลบางไฟลในหนวยความจำาแฟลชของเราเตอรได

Network Time Protocol (NTP) service

เซอรวสนจะถกปดโดยคาเรมตน เซอรวสนควรจะปดการทำางานเมอไมจำาเปนตองใชงาน

Packet assembler and disassembler (PAD) service

เซอรวสนจะเปดการใชงานโดยคาเรมตน เซอรวสนจะตองปดการทำางานเมอไมไดใชงาน

TCP and User Datagram Protocol (UDP) Minor services

เซอรวสนจะเปดใชงานในซอฟทแวรของ Cisco IOS โดยซอฟตแวร Cisco IOS Release 11.3 รนกอนและถกปดการทำางานในซอฟตแวร Cisco IOS Release 11.3 และรนตอๆมา

Maintenance Operation Protocol (MOP) service

Ethernet interfaces จะเปดใชงานเซอรวสนมากทสด ซงควรจะปดเมอไมไดใชงาน


Simple Network Management Protocol (SNMP)

เซอรวสนจะถกปดโดยคาเรมตน เซอรวสนควรจะปดการทำางานเมอไมจำาเปนตองใชงาน

HTTP configuration and monitoring

คาเรมตนสำาหรบเซอรวสนจะขนอยกบอปกรณ Cisco คณควร ปดการใชเซอรวสนหากไมมความจำาเปนในการใชงาน. ถาบรการนจำาเปนตองใช ควรจำากดการเขาใชเซอรวส HTTP ซงเราเตอรจะใชรายการควบคมการเขาใช (ACLs)

Domain Name System (DNS)

ทเครองลกขายจะเปดเซอรวสนไวเปนคาเรมตน โดยถาเซอรวส DNS ตองถกใชงาน.ควรตรวจสอบใหแนในวามการตงคา DNS Server Address แลว

ICMP redirects เซอรวสนจะถกปดโดยคาเรมตน เซอรวสนควรจะปดการทำางานเมอไมจำาเปนตองใชงาน

IP source routing เซอรวสนจะถกปดโดยคาเรมตน เซอรวสนควรจะปดการทำางานเมอไมจำาเปนตองใชงาน

Finger service เซอรวสนจะถกปดโดยคาเรมตน เซอรวสนควรจะปดการทำางานเมอไมจำาเปนตองใชงาน

ICMP unreachable notifications

เซอรวสนจะถกเปดโดยคาเรมตน.ขอมลนจะถกนำาไปใชในการวาดแผนทเนตเวรคและควรจะปดบนอนเตอรเฟสทเชอมตอกบระบบเนตเวรคทไมนาเชอถอ

ICMP mask reply เซอรวสนจะถกเปดโดยคาเรมตน.ขอมลนจะถกนำาไปใชในการวาดแผนทเนตเวรคและควรจะปดบนอนเตอรเฟสทเชอมตอกบระบบเนตเวรคทไมนาเชอถอ

IP identification service

เซอรวสนจะถกเปดโดยคาเรมตน.ขอมลนสามารถถกใชโจมตกบเครอขายของคณได,ดงนนควรจะปดเซอรวสน

TCP keepalives เซอรวสนจะถกปดโดยคาเรมตน. Keepalives


ควรจะเปดไวเพอใชจดการกบการเชอมตอ TCP และขดขวางการโจมตแบบ Dos

Gratuitous ARP เซอรวสนจะถกเปดโดยคาเรมตน.คณควรปด ARPs บนเราตเตอรอนเตอรเฟสแตละอน ยกเวนวาเซอรวสนจำาเปนตองถกใชงาน

Proxy ARP เซอรวสนจะถกเปดโดยคาเรมตน.เซอรวสนควรจะถกปด ยกเวนวาเราเตอรกำาลงถกใชเปน LAN Bridge

IP directed broadcast

เซอรวสนจะถกเปดในซอฟทแวร Cisco IOS software รนกอนเวอรชน 12.0 และถกปดในเวอรชน 12.0 และรนตอๆมา.เซอรวสนควรจะถกปดหากไมไดมการใชงาน

การทโปรเซสทมการใชงานอยแลวในเราเตอรและถกปดเซอรวสเองทงหมด เปนสงทเลวราย ซงยงไมรวมถงระยะเวลาและแนวโนมของความผดพลาดของงานทอาจจะเกดขนได.มนจะงายขนหากคณมองขามเซอรวสบางตวไป. นนหมายความวาคณพยายามทำาสงดๆหลายๆอยางและยงปดชองโหวในเนตเวรคไมใหมการโจมตไดอก

ดวยเหตผลนจงเปนการเสรมและผกใจความสำาคญทงสองเขาดวยกน เกยวกบ IOS ทจะชวยใหคณลอคดาวนอปกรณไดอยางอตโนมต. คณสมบตพนฐานแรกของ Command Line Interface (CLI) เรยกวา AutoSecure.อยางทสองคอ Web-based (SDM) ตวชวยทอนญาตใหคณตรวจสอบการตงคาการรกษาความปลอดภยปจจบนหรอเตรยมใหใช one-step lockdown.


CLI-Based AutoSecure

คณสมบต AutoSecure เปนคณสมบตใหม และ ม อย ใน IOS Version 12.3 และ รนตอๆมา. AutoSecure ใชงานงาย ดวยคำาสงเดยวสามารถตงคาความปลอดภยของอปกรณจากการคกคามไดอยางงายและรวดเรว. AutoSecure สามารถเพมประสทธภาพในการปองกนเราเตอรของคณได

AutoSecure มระบบทำางาน 2 โหมด คอ interactive และ noninteractive.Interactive ซงพรอมทจะใหคณเลอกใชตามวธการตงคาเราเตอรเซอรวสและคณสมบตดสนความปลอดภยอนๆทเกยวของ. ในโหมด Interactive คณสามารถควบคมคณสมบตดานความปลอดภยของเราตเตอรไดเอง. ระบบวซารดจะถามคำาถามเกยวกบสงทคณ ตองการตงคาความปลอดภย. สำาหรบโหมด Noninteractive การตงคาคณสมบตดานความปบลอดภยของเราเตอรจะถกตงตามคาของท Cisco ไดกำาหนดเอาไวแลว ซงเปนการออกแบบมาเพอเวลาทคณตองการความรวดเรวในการตงคาเราเตอร. โหมด noninteractive สามารถเปดใชงานไดจากการใช no-interact option.

Lockdown Items

คณสมบต AutoSecure จะเขาถงแตละแผนงานซงแตกตางกนบนเราเตอรเพอทำาการ sys-tematically ลอคดาวน และรกษาความปอดภยของระบบทงหมด. หากยงจำาแผนงานของผมทเกยวกบการประชมทผานมาได,มนเหมอนกบ CEF หรอเปลา?. เราเตอรทเสยหายจากการใชเพอจดการและควบคมตามหนาทของมน. ถดมาจะเปนการดวาคณสมบต AutoSecure นนทำาอะไรทแตกตางจากเราเตอรบาง

การจดการแผนงาน. การจดการแผนงานจะรวมไปถงการจดการเซอรวส เชน fn-ger, pad, udp และ tcp small servers, password encryption, tcp-keepalives, cdp, bootp, http, source routing, gratuitous


arp, proxy-arp, icmp (redirects, mask-replies), directed broadcast, mop, และ banner. และยงรวมถงระบบลอคอน เชน password security และ การจดการเมอมการโจมตผานการลอดอน ซงเหมอนกบ secure shell (SSH)

Forwarding Plane Forwarding Plane ประกอบไปดวยการเขาใชงาน Cisco Express For-warding (CEF) และการตงคา ACLs เพอใชในการคดกรองทราฟฟค

รายการดานลางนเปนบางคณสมบตทมอยในระบบ Autosecure และ LockDown

ระบบไฟรวอลสามารถอนญาตใหคณเปดการใชงาน Cisco IOS Firewall inspection (ระบบไฟลวอลทมการตรวจจบขอมล) เพอใชกบโปรโตคอลและแอพพลเคชนทใชงานรวมกน

ฟงกชน Login จะรวมทงการจดการ Password และการตงคาเพอจดการกบการโจมตทใชการลอคอน (failed login attempts)

ฟงกชน NTP ทำาหนาทในการตงคาการเชอมตอแบบ NTP

ฟงกชน SSH ทำาหนาทตงคา Hostname และ Domain name ถาหากยงไมมการตงคาในสวนนกอนการเปดใชงาน. เราเตอรจะทำาการปองกนไมใหเขาใชงานฟงกชน SSH

ฟงกชน TCP Intercept จะถกเปดใชงานตามคาปกตทไดตงไว

Rollback (การกคน)

คงไมดแนถาคณเกดไมระมดระวงหรอลมวธในการตงคาเราเตอร. ดานลางนคอเรองเลกๆนอยๆทคณคงไมอยากใหเกดขนกบตวเอง


IOS รน 12.3 (8) T ไดเพมคณสมบตการกคนขอมลการตงคา AutoSecure.

การกคนจะชวยใหเราเตอรกลบไปอยในสถานะกอนการตงคา หากเกดความผดพลาดในการตงคา AutoSecure ขนมา.

A pre-AutoSecure snapshot จะถกบนทกลงใน Flash Memory บนเรา เตอร เปนไฟลเชน pre_autosec.cfg กอนท AutoSecure จะนำาคาทไดตงไวไปใชกบเราเตอร. คณสามารถใชไฟลนชวยแกไขการตงคาเราเตอรได

ในการเปลยนการตงคาการทำางานปจจบน ดวยไฟลการตงคาทถกเซฟไวแลวดวย AutoSecure. จะใชคำาสงในโหมด EXEC

ในรนกอนหนา Cisco IOS Release 12.3 (8) T, การกคนการตงคาของ AutoSecure นนไมมใหใชงาน;หมายความวาคณจะตองเซฟการตงคาทงหมดกอนทจะใช AutoSecure


วธการตงคา Autosecure

คณสามารถเรมการทำางานของโปรเซส Autosecure โดยการใชคำาสง auto secure ดวยรปแบบดงน

auto secure [management | forwarding] [no-interact | full] [ntp | login | ssh | firewall | tcp-intercept]

AutoSecure ใชรปแบบของคำาสงทางดานบนน ซงชวยใหคณสามารถควบคมการทำางานของโปรเซสไดมากขน. และเพอความ ปลอดภยของสวนประกอบและฟวกชนทงหมด ควรเลอกเปนแบบ Full Option. ในการหลกเลยงการแจงเตอนเกยวกบการตงคา ควรจะเลอกเปน no-interact keyword .สวนการกำาหนดขอบเขตใหใชตวเลอกทแสดงในตาราง 13.2

ตารางท 13.2 AutoSecure Options

ตวเลอก รายละเอยดmanagement

management plane เพยงสวนเดยวเทานนทจะถกรกษาความปลอดภย

forwarding

forwarding plane เพยงสวนเดยวเทานนทจะถกรกษาความปลอดภย

no-interact

ผใชจะไมไดกำาหนดการตงคาใดๆ.ซงจะไมมหนาตางทงหนาตางการตงคารวมไปถง usernames หรอ passwords.

Full ผใชจะเปนคนตงคาและตอบโตกบคำาถามเกยวกบการตงคาเองทงหมด ซงตวเลอกนเปนคาปกตทถกตงมาแลว

Ntp เปนการตงคาเกยวกบคณสมบต Network Time Protocol (NTP) ใน AutoSecure command-line interface (CLI)

Login เปนการตงคาเกยวกบคณสมบต Login ซงอยใน AutoSecure CLI

Ssh เปนการตงคาเกยวกบคณสมบต SSH ซงอยใน AutoSecure CLI


Firewall เปนการตงคาเกยวกบคณสมบต firewall ซงอยใน AutoSecure CLI

tcp-intercept

เปนการตงคาเกยวกบคณสมบต TCP-Intercept ซงอยใน AutoSecure CLI

ขนตอนการตงคา AutoSecure สำาหรบฟงกชนและเซอรวสทงหมด

1. ระบ interfaces ภายนอก.

2. ตงคาความปลอดภยใหกบ management plane

3. สราง Security Banner.

4. ตงคา passwords, AAA, และ SSH

5. ตงคาความปลอดภยใหกบ interface settings

6. ตงคาความปลอดภยใหกบ forwarding plane

ถาคณไมไดระบตวเลอกใดๆ. คาเรมตนของ AutoSecure จะอยท interactive mode และ ทำาการตงคาฟงกชนและเซอรวสใหแบบสมบรณ

การกษาความปลอดภยท สำาหนกงานสาขายอยดไบ

สำานกงานทดไบเปนการขยายตวของ FutureTech Corporation. คณไดเตรยมพรอมในเรองโครงสรางพนฐานสำาหรบพนทไวแลว.อปกรณและสายเคเบลกอยในตำาแหนงทพรอมแลว. คณเองกเพงจะไดงานในการออกแบบโครงสรางของ switch blocks. แตกอนทคณจะมการเชอมตออนเตอรเนตภายในสำานกงาน. คณควรจะตดตงระบบรกษาความปลอดภยเอาไวบาง.


และตอนน คณสามารถทจะตงคาความปลอดภยใหกบเราเตอรได.คณรจกกบเซอรวสและอนเตอรเฟสมากมายทใชในการตงคาใหกบเราเตอร.อยางไรกตาม,ทางสำานกงานใหญตองการใหคณใชฟงกชนทเรยกวา Autosecure โดยเชอวาฟงกชนนจะทำาใหการทำางานนนเรวขนและเชอถอได

ในครงแรก.ผมใชวธ Autosecure ในการตงคาเราเตอรบนเครอขาย.ดงนน ผมจะแสดงใหคณไดเหนวธการใช Autosecure ในการตงคาความปลอดภยบนเราเตอรเพอเชอมตออนเเตอรเนต. ไมมอะไรตองกลว. แคคณตอบคำาถามสก 2-3 ขอกเพยงพอแลว

เมอคณทำาการตดตง Autosecure จนเสรจเรยบรอยแลว.ตอไปกเปนการเรยนรเพอใชงาน SDM wizards 2 ตวเพอตงคาใหเสรจแบบเดยวกบการตงคาความปลอดภย

หลงจากบทนไป คณจะไดเรยนรวธในการควบคมการเขาถงระบบเครอขายและอปกรณทใชในการเขาระบบ,การอนถญาตเขาใชงาน และ AAA (บญชรายชอ), เกยวกบการตงคา AAA บนเราเตอร คณสามารถควบคมการเขาถงเครอขายไดจากพนทศนยกลางเพยงแหงเดยว.

และสดทาย คณจะไดเรยนรวธในการรกษาความปลอดภยดานทราฟฟคของระบบเครอขาย. คณเองกคงไมตองการใหแฮกเกอรเขามาขโมยขอมลของคณไดเชนกน !

ขนแรก, ใหเรมการทำางาน Autosecure และตอบคำาถามทางดานลางตอไปน

เรา เตอรจะตองเชอมตอกบอนเทอรเนตหรอไม ?

จำานวนอเตอรเฟสทใชในการเชอมตออนเตอรเนตมเทาไหร ?

ชอของอนเตอรเฟสทใชเชอมตออนเตอรเนตคออะไร ?


Router>enRouter#auto secure--- AutoSecure Configuration ---*** AutoSecure configuration enhances the security ofthe router, but it will not make it absolutely resistantto all security attacks ***AutoSecure will modify the configuration of your device.All configuration changes will be shown. For a detailedexplanation of how the configuration changes enhance securityand any possible side effects, please refer to Cisco.com forAutoSecure documentation.At any prompt you may enter ‘?’ for help.Use ctrl-c to abort this session at any prompt.Gathering information about the router for AutoSecureIs this router connected to internet? [no]:

เนองจากวาเราเตอรสวนมากในระบบเครอขายไมไดถกเชอมตอกบอนเตอรเนตโดยตรง, ดงนน ผมจะตอบ no ไปกอนในขนตอนน

หากผมตอบ yes ไป,ตวโปรเซสจะกลบมาถามผมเกยวกบจำานวนอนเตอรเฟสทใชเชอมตอและจำาขอชอของแตละการเชอมตอดวย. ในการปองกนขอมล, AutoSecure สามารถตงคารายการการเขาถงและ IOS Firewall ได. คณสามารถเหนผลของโปรเซสไดจากดานลางน

Securing Management plane services . . .


Disabling service fingerDisabling service padDisabling udp & tcp small serversEnabling service password encryptionEnabling service tcp-keepalives-inEnabling service tcp-keepalives-outDisabling the cdp protocolDisabling the bootp serverDisabling the http serverDisabling the finger serviceDisabling source routingDisabling gratuitous arp

ในตอนน, โปรเซส AutoSecure ไดปดการทำางานของเซอรวส Management Plane ทไมจำาเปนตองใชงานทงหมด. จากนนโปรเซสกจพพรอมใหคณตงคา แบนเนอร. ตอไปเปนตวอยางการตงคา แบนเนอร

Here is a sample Security Banner to be shownat every access to device. Modify it to suit yourenterprise requirements.Authorized Access onlyThis system is the property of So-&-So-Enterprise.UNAUTHORIZED ACCESS TO THIS DEVICE IS PROHIBITED.You must have explicit permission to access thisdevice. All activities performed on this device


are logged. Any violations of access policy will resultin disciplinary action.Enter the security banner {Put the banner betweenk and k, where k is any character}:# This is a test banner for FutureTech Inc #

นคอจดสำาคญ. ตามกฎหมายไดกลาวไววาผดแลระบบจะตองไมมคำาวา "Welcome"อยใน แบนเนอรใดๆ. เพราะจะทำาใหเหมอนเปนการเชญชวนใหมการโจมตเขามาในระบบได. ผมเองกยงไมเคยพบหลกฐานทจะยนยนในเรองน.แตในความเปนจรง. ไมมเหตผลใดทจะทำาใหใครๆรสกยนดไดถาหากวาพวกเขาไมใช.

ตอไป โปรเซสพรอมใหคณตงคา Password และการอนญาตการเขาถง AAA :Enable secret is either not configured oris the same as enable passwordEnter the new enable secret:Confirm the enable secret :Enter the new enable password:Choose a password that’s different from secretEnter the new enable password:Confirm the enable password:Configuration of local user databaseEnter the username: Pat


Enter the password:Confirm the password:Configuring AAA local authenticationConfiguring Console, Aux and VTY lines forlocal authentication, exec-timeout, and transport

Next, you have an opportunity to secure against login attacks:Securing device against Login AttacksConfigure the following parametersBlocking Period when Login Attack detected: 60Maximum Login failures with the device: 5Maximum time period for crossing the failed login attempts: 30

เมอมการโจมตผานการลอคอน. คณควรจะกำาหนดคาตามน

ระยะเวลาทมการพยายามเขาสระบบและถกปฏเสธไป (เรยก วา quiet period มหนวยเปน วนาท)

จำานวนสงสดของ failed login ตาม quiet period

ระยะเวลาทมการอนญาตให failed login ได ซงควรจะตงไวกอนท blocking period จะทำางาน

เมอเสรจแลว, AutoSecure จะพรอมใหคณตงคา SSH server.ถาคณตอบ yes,” AutoSecure จะตง SSH timeout เปน 60 วนาทและจำานวน SSH authentication retries ใหเปน 2 โดยอตโนมต. ถาหากเราเตอรไมไดม hostname เพยงแหงเดยว. คณจะตองเปนคนทตงคาสวนนเอง


หากคณตงคา hostname สำาหรบเราเตอรนกอนเรมการทำางาน AutoSecure, คณไมจำาเปนตองตงคาตรงน. อยางไรกตาม, ถาเราเตอรยงคงใชการตงคาจากโรงงานดวยคา default host-name, คณจะตองตงใหม Hostname เพยงแหงเดยวเสยกอน, อยางทไดเหนในรป. นเปนเรองสำาคญ เพราะ SSH ตองการ Hostname เพยงแหงเดยว เพอสราง Key ทจะใชในการตงคาความปลอดภย

ขอสงเกตคอ AutoSecure สามารถใหคณกำาหนดคาโดเมนเปนทเดยวกบเราเตอรได. เชนคา Hostname, โดเมนเนมซงสำาคญในการสราง Key ของ SSH

Configure SSH server? [yes]:Enter the hostname: DubRtr1

ปอน โดเมน ชอ: futuretech.com. ใหสงเกตวาตอนน AutoSecure จะปดการทำางานของเซอรวสบนเราเตอรเองทงหมด:

IP redirects IP proxy ARP IP unreachables IP directed-broadcast IP mask replies and mop on Ethernet interfaces

Configuring interface specific AutoSecure servicesDisabling the following ip services on all interfaces:no ip redirectsno ip proxy-arpno ip unreachables


no ip directed-broadcastno ip mask-replyDisabling mop on Ethernet interfacesSecuring Forwarding plane services . . .Enabling CEF (This might impact the memory requirements for your platform)Enabling unicast rpf on all interfaces connectedto internet

โปรเซส AutoSecure จะแจงใหคณเปดใชฟงกชน frewall. ผมจะยงไมเปดฟงกชนนในตอนน, แตดานลางนคอผลการทำางานหากคณไดเปดการทำางานไปแลว. ผมจะแสดงผลการทำางานทผมไดเลอกจากเราเตอรในภายหลง

Configure CBAC Firewall feature? [yes/no]: nTcp intercept feature is used prevent tcp syn attackon the servers in the network. Create autosec_tcp_intercept_listto form the list of servers to which the tcp traffic is tobe observedEnable tcp intercept feature? [yes/no]: n

ผลการทำางานถดไปจะแสดงใหเหนการตงคาจรงๆซงผมใชกบเราเตอรของผมเอง. ผมจะรนคำาสงใหไดเหนกนตอไป

นคอคาทถกสรางขน

no service fingerno service pad


no service udp-small-serversno service tcp-small-serversservice password-encryptionservice tcp-keepalives-inservice tcp-keepalives-outno cdp runno ip bootp serverno ip http serverno ip fingerno ip source-routeno ip gratuitous-arpsno ip identd

AutoSecure จะถกปดการใชงานเซอรวสรวมหลายๆตว เพอเปนการปองกนไมใหเกดชองโหวและเปดการทำางานใหกบบางเซอรวสทชวยปองกนเราตอร :

banner motd ^C This is a test banner for FutureTech Inc ^Csecurity passwords min-length 6security authentication failure rate 10 log

ใน AutoSecure confgures มการตงคา authentication failure rate เปน 10. หมายถงการอนญาตให user ลอคอนผดได 10 ครง กอนทเราเตอรจะสง authentication failure event ไปให logger (router log หรอ Syslog server). คณไมควรจะเขาไปตงคานเอง; และควรปลอยให AutoSecure ตงคานโดยอตโนมต


enable secret 5 $1$C0vX$UzdRxlTIAWefBQZ6xjDDe/enable password 7 050D131B345E4B1D1C061F43username Pat password 7 00071C08085A05aaa new-modelaaa authentication login local_auth localline con 0login authentication local_authexec-timeout 5 0transport output telnetline aux 0login authentication local_authexec-timeout 10 0transport output telnetline vty 0 4login authentication local_authtransport input telnet

AutoSecure จะเปดการทำางาน local AAA authentication และทำาการตงคา console 0, auxiliary 0, และ vty lines 0 - 4 for local authentication , EXEC timeout, และ outgoing Telnet connections:line tty 1login authentication local_authexec-timeout 15 0


login block-for 60 attempts 5 within 30hostname Router1ip domain-name futuretech.comcrypto key generate rsa general-keys modulus 1024ip ssh time-out 60ip ssh authentication-retries 2line vty 0 4transport input ssh telnet

AutoSecure จะถามเพอใหตงคา Hostname และชอโดเมน. ซงเปนคาทจำาเปนในการสราง Key, เพอเปดการใชงาน SSH บนเราเตอร. ตวเลอกการตดตงของ SSH จะถกตงคาไว. การตงคา Autosecure ดวย VTY lines 0 ถง 4 จะชวยสนบสนน SSH และ Telnet incoming con-nections. . ขนตอนนจะเพม SSH ลงในรายชอของ possible incoming connection typesservice timestamps debug datetime msec localtime show-timezoneservice timestamps log datetime msec localtime show-timezonelogging facility loca12logging trap debuggingservice sequence-numberslogging console criticallogging bufferedinterface FastEthernet0/0


no ip redirectsno ip proxy-arpno ip unreachablesno ip directed-broadcastno ip mask-replyno mop enabledinterface FastEthernet0/1no ip redirectsno ip proxy-arpno ip unreachablesno ip directed-broadcastno ip mask-replyno mop enabledinterface Seria10/0/0no ip redirectsno ip proxy-arpno ip unreachablesno ip directed-broadcastno ip mask-replyip cefaccess-list 100 permit udp any any eq bootpc!end


Apply this configuration to running-config? [yes]:Applying the config generated to running-configThe name for the keys will be: Router1.futuretech.com% The key modulus size is 1024 bits% Generating 1024 bit RSA keys, keys will be non-exportable . . . [OK]DubRtr1#000045: *Oct 29 03:24:44.940 UTC: %AUTOSEC-1-MODIFIED: AutoSecure configuration has been Modified on this device

ตามทเคยสญญา.ผมจะแสดงใหเหนผลการทำางาน จากการตอบ Yes ทขนตอน Internet interface และ firewall . ขนแรก. เปนคำาสงทจะทำาให Autosecure รวาคณม Internet interface เทาไหร :

Is this router connected to internet? [no]: yEnter the number of interfaces facing the internet [1]: 1Interface IP-Address OK? Method Status ProtocolFastEthernet0/0 1.1.1.1 YES manual up upFastEthernet0/1 unassigned YES unset administratively down downSeria10/0/0 unassigned YES unset administratively down downEnter the interface name that is facing the internet: FastEthernet0/0

Here is the output from answering yes to the frewall question:


Configure CBAC Firewall feature? [yes/no]: yตอนนจะไมมการแสดงผลอนๆอก , ตอไปเปนการแสดงโคดทถกตงคา ซง

จะไดผลดงน

ip inspect audit-trailip inspect dns-timeout 7ip inspect tcp idle-time 14400ip inspect udp idle-time 1800ip inspect name autosec_inspect cuseeme timeout 3600ip inspect name autosec_inspect ftp timeout 3600ip inspect name autosec_inspect http timeout 3600ip inspect name autosec_inspect rcmd timeout 3600ip inspect name autosec_inspect realaudio timeout 3600ip inspect name autosec_inspect smtp timeout 3600ip inspect name autosec_inspect tftp timeout 30ip inspect name autosec_inspect udp timeout 15ip inspect name autosec_inspect tcp timeout 3600ip access-list extended autosec_firewall_aclpermit udp any any eq bootpcdeny ip any anyinterface FastEthernet0/0ip inspect autosec_inspect outip access-group autosec_firewall_acl inSDM-Based Security Audit Wizard


Cisco SDM ประกอบไปดวย Security Audit Wizard ทชวยในการตรวจสอบประสทธภาพความปลอดภยของเราเตอรโดยรวม. Cisco SDM ไดใช Cisco Technical Assistance Center (TAC) และ International Computer Security Association (ICSA) เพอรบรองความถกตองโดยการเปรยบคาทไดตงไวกบคาเรมตนทมมา. The Security Audit Wizard จะเชคชองโหวของเราเตอรจากการตงคาและแนะนำาคาความปลอดภยของเราเจอรทตวรตงคาใหดวย

นอกจากน. สวนทสองของ SDM wizard ยงสามารถตงคาทคณเหนใน Autosecure ไดเกอบจะทงหมด. ซงจะเสรจทนทหากใช คณสมบต One-Step Lockdown ใน SDM

คณสมบต The Cisco SDM security audit จะทำาการเปรยบเทยบการตงคาเราเตอรไปยงรายการตรวจสอบ (ดานลางนยงไมใชรายการทงหมดของการเชคประสทธภาพ)

ปดระบบเซรฟเวอรทไมจำาเปนตองใช ในเราเตอร

ปดเซอรวสทไมจำาเปนตองใช ในเราเตอร

นำา Firewall ไปใชกบอนเอตรเฟสภายนอก

ปดการใชงาน SNMP หรอเปดดวย hard-to-guess community strings

ปดระบบอนเตอรเฟสทไมใชงานลง โดยการใชคำาสง no ip proxy-arp

ลอค Password สำาหรบ router console และ vty lines

ลอคและเปดการใชงาน secret password

บงคบใหใช ACLs


The Security Audit Wizard ประกอบไปดวย 2 โหมด:

Security Audit จะตรวจสอบการตงคาเราเตอร, จากนนแสดงผลพธออกมาทางหนาตาง, ซงจะแสดงรายชอปญหาดานความปลอดภย. คณสามารถเลอกไดวาปญหาใดทคณตองการให lock down

One-Step Lockdown จะเรมรน lockdown อตโนมตโดยใชคาทกำาหนดไวแลว. เรมจากการใชงาน security audit mode, นจะเปนตวเลอกแรกทคณจะเหนเพยงครงเดยวจาก security audit ของ SDM

SDM Security Audit

การใชงาน SDM wizard, คณตองทำาใหเราเตอรเชอมตอ HTTP และรน SDM ได. ซงผมรวาคณไดทำาไปหมดแลว,ในขนตอนน ใหเปดอนเตอรเฟส SDM . และใหทำาตามขนตอนตอไปนโดยเรมจากหนา Home

ขนตอนในการตรวจสอบประสทธภาพโดย security audit :

1. คลก ปม Configure ใน main toolbar ท แสดง ใน รป ท 13.1.

2. คลก ท ไอคอน Security Audit ใน Tasks toolbar ดาน ซาย.

3. คณ มปม Wizard 2 ปม; คลก ท ปม Perform Security Audit

รปท 13.1 SDM Home Page


เลอกปม Confgure ท แสดง ใน รป ท 13.1. ใน รป ท 13.2 ไดอะลอกบอกซ Interfaces and Connections จะถกเปดขนมา

รปท 13.2 SDM Configure Page


คณตองเลอกทปม Security Audit จากแถบเครองมอแนวตง. ใน รป ท 13.3 ไดอะลอคบอกซ Security Audit จะถกเปดขนมา

รปท 13.3 SDM Security Audit Page

คลก Perform Security Audit เพอเรมการใชงาน Wizard . เมอ Wizard ถกเปดขน, คณจะเหนหนาจอคลายกบทแสดงในรป ท 13.4. ซงจะแสดง Wizard ทใชตงคาความปลอดภยบนเราเตอร.


รปท 13.4 Security Audit Wizard Page

คณจะเหนไดวา wizard มการทำางานเพยงไมกอยาง. เรมแรก, มนจะเชคการตงคาของเราเตอรเปรยบเทยบกบคามาตรฐาน. จากนนจะแสดงรายชอของหวขอดานความปลอดภยทถกเชคไวในแตละตว. Wizard จะชวยใหคณสามารถแกไขคาตางๆเหลานนได โดยจะทำาการคนหาการตงคาทไมปลอดภยหรอไมแนะนำาใหใชงาน. สดทาย, มนจะทำาการแกไขคาเหลานน. กด Next เพอดำาเนนการขนตอไปทหนาตาง Security Audit Interface Confguration, แสดงดงรปท 13.5.

ทนจะเปนทๆใหคณเลอกวาอนเตอรเฟสไหนนาเชอถอ(ภายใน)และอนไหนไมนาเชอถอ(ภายนอก) . ปกตแลวอนเตอรเฟสภายในจะเปนอนเอรเฟสทไมเชอมตอกบอนเตอรเนตหรออยบนเครอขายทตองการการปองกน. อนเตอรเฟสภายนอก เปนอนเตอรเฟสทเชอมตอกบอนเตอรเนต. คณสามารถเลอกจำานวนของอนเตอรเฟสทจะตงคาได.กด Next เพอทำาการตรวจสอบประสทธภาพ สวนผลลพธแสดงในรปท 13.6


รป ท 13.6 จะ แสดง หนาการตรวจสอบกบรายการทงหมดของสงทตรวจสอบในระหวางการตรวจสอบประสทธภาพ. คณ สามารถเลอกไดวาจะบนทกรายงานหรอปดไป. เมอคณเลอกแลว, หนาการแกจะถกเปดขน แสดงใน รป ท 13.7

นเปนการแสดงรายการเดยวกนจากหนาตรวจสอบประสทธภาพ.แตตอนนคณมโอกาสเลอกสงทคณตองการจะแกไข

หากคณคลกทปม Fix All .wizard จะแกไจตามรายการทงหมด.หนาตางจะปรากฏขนและคณสามารถตงคาไดตามตองการ เชน รหส ผาน.

รปท 13.5 Wizard Interface Configuration

รปท 13.6 Security Audit Page



รปท 13.7 Fix It Page

สำาหรบทางเลอกอน, คณสามารถเลอกจำานวนของแตละรายการจากรายการการแกไขใด ๆได

หากคณคลก hyperlinks , คณจะไดรบขอมลเพมเตมเกยวกบสงทเลอก.ระวง จะ ไม ลอค ตว เอง ออก จาก เรา เตอร. แตควรระมดระวงไมใหเราเตอรหยดการทำางาน

คลกทปม Fix All เพอดขนตอนท Wizard จะทำาใหเราเตอรของคณปลอดภยโดยสมบรณ .รป ท 13.8 แสดงขนตอนแรก


รปท 13.8 Enable Secret and Login Banner

ขนตอนแรก Wizard จะใหคณเพมและเปดการใชงาน Secret Password .คณสามารถเหนหนาตางนไดจากรปท 13.8. Password นควรผสมตวอกษรลงไปดวยเพอใหยากแกการคาดเดา. อาจะใชตวอกษรเลกใหญ,ตวเลข,และอกษรพเศษอนๆปะปนกน เพอทำาให Password ของคณเดาไดยากมากขน

การตงคาตอไปในหนาน คอ login banner อยในรปท 13.8 .จากทกลาวไปแลวในการตงคา Autosecure. Banner ควรจะไมมคำาเชญชวนใดๆหรอประกอบไปดวยคำาวา “Welcome” . ใหคณเพม Password และขอความ Banner จากนนคลก Next เพอเปดหนาตางการตงคา User


รปท 13.9 User for Secure Access

บญชผใชสามารถถกใชไดจากผดแลระบบเพอเขาถงเราเตอรผาน Telnet หรอ SSH. เพอความปลอดภยทางดานการเขาระบบ, User แตละคนควรจะสามารถเขาถงอปกรณไดในแบบ sepa-rate account. ในการเพม User ใหมเขาในฐานขอมลใหคลก Add. รปท 13.10 แสดงภาพหนาตาง the Add Telnet/SSH Accountรปท 13.10 Add User Screen


หนาตางนจะอนญาตใหคณตงคาตวเลอกของ User ใหม.เปนตวเลอกงายๆคอ Username และ Password. หลงจากเพม User เสรจแลว,คลก OK .User ทเพมเขาไปใหมจะแสดงอยในรายชอในฐานขอมลดงรป 13.11


รปท 13.11 User Added to Local Database

ตอนนคณสามารถตรวจสอบวา User ใหมทคณเพงสรางไปแลวอยในฐานขอมลจรง. ถาคณตองการเพมผใชเพมเตมในฐานขอมล, ใหเลอกปม Add อกครงและทำาซำาจนกวาจะครบผ ใชตามทคณตองการเพมในระบบฐานขอมล. เมอเสรจแลว, คลก Next เพอไปเปดระบบ Logging ดงรป ท 13.12.

รปท 13.12 Enable Logging


หนาจอนจะแสดงตวเลอกเพอตงคา logging สำาหรบเราเตอร. โดยปกตชอง CheckBox จะถกเชคเพอเปดระบบ Logging อยแลว. ผมไดเชคออกไปเพราะวาผมไมม syslog server ทจะสงขอมลไปให.แตในการใชงานบนเครอขายจรงคณจะตองมสถานทสงขอมล Logging ดวย. และนเปนตวเลอกแรกในหนาน; คณตองบอกเราเตอรเกยวกบ IP ของ syslog server ในเครอ ขายของคณเพอใชสง Logging Data. ตวเลอกทสองทางดานลางหนาจอจะชวยใหคณกำาหนดระดบ Logging สำาหรบเราเตอร. เมอ เสรจแลว, คลก Next เพอไปยงการตงคา IOS firewall แสดง ใน รป ท 13.13.

รปท 13.13 IOS Firewall Setup


ในจดน Security Audit Wizard จะเรมเปด Wizard ตวอน ซงกคอ IOS Firewall Wizard. ตอนนคณอยใน Advanced Firewall Wizard. ผมจะบอกวธการสนๆสำาหรบขนตอนน.โดยในบทท 15 "Cisco IOS Firewall" จะอธบายในเชงลกสำาหรบ วธการทำางานของ Firewall บน Router

ขนตอนแรกจากภาพจะบอกคณวาคณสมบตและขนตอนของไฟรวอลลทสามารถทำาได. เพยงคลก Next. คณจะเรมตนการตงคาบนหนาจอถดไป แสดง ใน รป ท 13.14.

หนาจอทสองของ Firewall Wizard จะชวยใหคณตงคาอนเตอรเฟสทนาเชอถอและไมนาเชอถอของ firewall. ทดานลาง ของหนาจอ, จะบอกใหวาคณสามารถตงคาอนเตอรเฟสท 3 เพอใชเปน DMZ. อกครง. คณจะไดเรยนรเกยวกบสงนในบทท 15. คลก Next เพอดำาเนนการตงคาตอ, แสดง ใน รป ท 13.15.

บนหนาจอน, คณจะไดตงคาระดบความปลอดภยของ firewall. ดานขวาบรเวณกลางหนาจอจะมแถบสไลดทคณสามารถ ตงระดบความปลอดภยจาก


หนง ใน สาม ระดบ. กลองขอความทางดานขวาของแถบสไลดจะใหคำาอธบายพนฐานของแตละระดบ.

เชนเดยวกน,คณสามารถตงคาระดบความปลอดภยของคณ โดยเลอกทจาก Custom Application Security Policy จากนนใหคลก Next. เมอคณคลก Next แลว.Wizard จะตงคา firewall แลวแสดงสรปขนตอนท Wizard จะทำาการตงคาบนเรา เตอร. รป ท 13.16 แสดงผลการทำางาน

รปท 13.14 การเลอกอนเตอรเฟซของ Firewall ( เกราะปองกน )


รปท 13.15 การเลอกระดบความปลอดภยของ Firewall ( เกราะปองกน )

รปท 13.16 สรปการตงคาของ Firewall ( เกราะปองกน )


คลกท Back หากตองการทำาการเปลยนแปลง คลก Finish หากตองการจบการตงคา

รป ท 13.17 เปนการแสดงหนาสรปทปรากฏขนเมอตวชวยสรางเสรจสมบรณ

รปท 13.17 หนา สรป


เมอแนใจวาทกอยางทคณทำาเสรจสมบรณใหทำาการคลก Finish การตงคาทงหมดจะถกบนทกท Router

ขนตอนแรกสำาหรบการลอค

ใหคณทำาการรโหลด Router ของคณเพอลบการกำาหนดคาทงหมดทมอยในปจจบนกลบไปสหนาการตรวจสอบความปลอดภย SDM แสดง ใน รป ท 13.3. แสดงขนตอนแรกของการลอก Wizard ทำาการคลกปม ลอคเตอนจะแสดงในรปท 13.18

รปท 13.18 การเตอนของ SDM

ณ จดน ถาคณเลอก Yes ตวชวยสรางอตโนมตจะผานไปและการตงคาทงหมดจะเปนการตงคาความ ปลอดภยทแนะนำา และเมอทำาการเลอก Yes. การตรวจสอบกลองโตตอบจะแสดงใน รป ท 13.19

รปท 13.19 หนายนยน


ณ จดท Router มการตงคาทงหมดจะมรายละเอยดทกสงทไปเพมลงไปใน Router คณจะเหนตวเลอก เดยวทคณมคอ การสงคำาสงให Router ใหคลก OK เพอทำาการสงกลองขอมลการจดสงจะแสดงในรป ท 13.20

รปท 13.20 หนาจอการสง

ทจดทมการกำาหนดคาทมการทำางานทงหมดของคำาสงนทเพมใน Wizard และเมอ Router วางเปลาจะมค ำาสง 65 หรอ 66 คำาสง และนคอรายการทงหมดของสงทถกตรวจสอบและสงทดำาเนนการไดในตวชวยสราง

- ไมมบรการเกยวกบ Finger- ไมมบรการเกยวกบ PAD- ไมมบรการเกยวกบ TCP Small Servers- ไมมบรการเกยวกบ UDP Small Servers- ไมมบรการเกยวกบ IP Boot Server- ไมมบรการเกยวกบ IP Identification- ไมมบรการเกยวกบ CDP- ไมมบรการเกยวกบ IP Source Route- มบรการใชรหสผานและการเขารหส- มบรการ TCP Keepalives สำาหรบชวงขาเขาของ Telnet


- มบรการ TCP Keepalives สำาหรบชวงขาออกของ Telnet- มบรการ ใชหมายเลขลำาดบทและเวลาแสตมปใน Debugs- มบรการ IP CEF- ไมมบรการ Gratuitous ARPs- มการตงรหสผานขนตำาทนอยกวา 6 ตว อกษร- มการกำาหนดอตราลมเหลวในการตรวจสอบใหนอยกวา 3 ครง- มการตงเวลาสำาหรบรอคอย TCP- มการตงคาแบนเนอร- มการเปดการเขาใชงาน- มรหสผานตดตงใชงานลบ- ไมม SNMP- มการตงคาของตารางเวลา- มการตงคาการจดสรรตารางเวลา- มการตงคาของผใช- มการตงคาการใชงาน Telnet- มการสลบการใช NetFlow- ไมมการเปลยนเสนทางของ IP- ไมม IP Proxy ARP- ไมม IP Directed Broadcast- ไมมบรการ MOP- ไมม IP Unreachable- ไมมการอบกลบของ IP ทซอน- ปด IP ทวางบนอนเตอรเฟซ- เปด Unicast RPF ในอนเตอรเฟซนอก- มการเปด Firewall ทก Interface นอก- มการตงคาการเขาถงบรการของ HTTP


- มการตงคาการเขาถง VTY- มการเปด SSH สำาหรบการเขาถง Router

AAAAAA ยอมาจาก การตรวจสอบ,การอนมต และบญช คณลกษณะ AAA

ซงสนบสนนเกอบทก อปกรณเครอขายของ Cisco ทมอยในตลาดทชวยใหจดการภาพรวมของคณสมบตตางๆในเครอขายทงหมดการอธบายทง 3 คณลกษณะมดงน

การตรวจสอบ คอ ตรวจสอบความถกตองของผใชและผดแลระบบเพอพสจนวาพวกเขามอยจรง ในการตรวจสอบนนจะใชชอของผใชและรหสผานในการตรวจสอบ

การอนมต คอ หลงจากทมการตรวจสอบผใชและผดแล ระบบบรการจะมการอนมตหรอการ ตดสนใจใหใชทรพยากรซง ผใชและผดแลทไดรบอนญาตใหเขาใชและดำาเนนงานจะเขาใชงานได


การอนมตสำาหรบงานอน ๆ

- พารามเตอรทมการระบ เชน ทอย และ รายการควบคมการเขา ใช (ACLs) เพอเชอมตอกบผใช งาน

- ระบสทธของผใชงานทใหมการ Exec- ควบคมการใชงานคำาสง Exec เฉพาะ

บญช และ การตรวจสอบบญช คอ บญชทบนทกสงทผใชและผดแลทำาหรอสงทพวกเขาเขาถงและ ระยะเวลาทพวกเขาเขาถงสำาหรบบญชและการตรวจสอบมวตถประสงคคอ ตดตามการใชทรพยากรเครอขาย

AAA ม 2 วตถประสงคหลกคอ

1. ตรวจสอบผใชระยะไกลทพยายามเขาถงเครอขายหรอองคกรผานวธการแบบระยะไกล เชน dial-in หรอ การเชอมตออนเทอรเนต

2. ตรวจสอบผ ใช และผ ด แลท พยายามเข าถ ง Router ผ านทาง console port, port aux,หรอ พอรต VTY


Cisco มสามแนวทางทใชในการบรการ ประเมน เพอใชกบ Router Cisco และเครอขายเซรฟเวอร การเขาถ ง (NASs), concentrators VPN, Firewall และอปกรณ Switch จะแสดงใน รป ท 13.21

รปท 13.21 การตดตงและการใช AAA เบองตน

แนวคดเกยวกบการทำางานโดยมากกจะใหผดแลระบบจดการเพอรกษาหรอแยกฐานขอมลในแตละ อปกรณเขามาจากอนเทอรเนต ถาฐานขอมลเปนแบบเฉพาะ ทกครงรหสผานของผใชตองถกตงใหม หรอ ทำาการปรบปรงและจะตองปรบปรงฐานขอมลเฉพาะของแตละอปกรณ เชน กนวามเพยง ACS server เดยวทตองใช ในเครอขาย ตารางตอไปนจะแสดงตวเลอกการใชงานทแตกตางกนวาคณมคณสมบตอยางไร

AAA in Dubaiใน สำานกงานของ ดไบ จะมอปกรณหลายรปแบบททำาใหใหผใชสามารถเขา

ถงเครอขายระยะไกล โดย AAA จะทำาการแยกใชเซรฟเวอรตามปกต เชน อปกรณหนงประเภทสามารถใชเซรฟเวอรในเครอขายภายในประเภท ของเซรฟเวอร AAA นจะใชเพอใหมสถานทเดยวทใชสำาหรบการรกษาความปลอดภย และ การขอเขา ใชหรอสงขอมล และ ฐานขอมลเฉพาะทอปกรณเชอมเขาหากนไมได

ตาราง 13.3 แสดง บรการ ของ AAA ทมใน Cisco


ตาราง 13.3 การบรการ AAA ของ Cisco

บรการ ลกษณะการบรการ

- บรการทมในตวเองของ AAA บรการทตนเองมใน Router เอง นเรยก วา การ ตรวจ สอบ ภายใน

- ความปลอดภยทอยบนตววนโดว เปนการควบคมความปลอดภยในการเขาถงเซรฟเวอรสำาหรบผใช

และการตรวจสอบดแล

-บรการความปลดภยของอปกรณCisco AAA บรการบน Router หรอ NAS ตดตอกบอปกรณ Cisco ภายนอก

Secure Solution ACS สำาหรบ ผใชและการตรวจสอบดแล.

ประเภทของการสนบสนนโปรโตคอล AAA ทใชกนอยางแพรหลายทสดคอ TACACS+ และ RADIUS.TACACS ซงมาแทนทรนเดมคอ TACACS และ XTACACS ซง TACACS+ และ RADIUS ไดมคณสมบตอนเพมเขามาททำาใหเหมาะสำาหรบการใชงานทแตกตางกน

RADIUS เปนมาตรฐานทใชโปรโตคอลทถกสรางขนโดย Internet Engineering Task Force (IETF) TACACS + ซ ง เ ป น เ จ า ข อ งเทคโนโลยระบบ Cisco วาขอมล encrypts. อนแตกตางทส ำาค ญ ค อ TACACS + ทำางานใน TCP ขณะ RADIUS ทำางานใน (UDP).

TACACS + ม ประโยชนมากสำาหรบการกำาหนดคาอปกรณ Cisco ทจะใช AAA ในการจดการและการ บรการสำาหรบปลายทาง และ TACACS + สามารถควบคมระดบการอนมตของผใชในขณะท RADIUS ไม สามารถควบคมไดนอกจากน เนองจาก TACACS + แยกการตรวจสอบและอนมตนนเปนไป


ไดทจะใช TACACS + ในการอนมต และ บญชขณะทใชวธการอนการตรวจสอบ เชน Kerberos.

RADIUSเปนการแสดงขนตอนการตรวจสอบกบขอบเขตโปรโตคอล รป ท 13.22

แสดงขนตอนตาม กระบวนการ ในขนตอนนนเครองไคลเอนตกำาลงพยายามทจะทำาการเชอมตอไปยงเครอขาย.

RADIUS ในดไบ

อปกรณของลกขายจะเขาถงเครอขายภายใน ดไบ ไดจากตำาแหนงทอยระยะไกล เปนการดำาเนนการคนหาเสนทางทจะไปยงเครอขายของสำานกงานดไบภายใต RADIUS ของ AAA โปรโตคอล

รป ท 13.22 ขอบเขตการเชอมตอกบ Client

1. ลกขายรองขอการตดตอ2. Router แจงลกขายกรอกขอมลชอผใช3. ลกขายแจงชอผใชไปยง Router


4. Router แจงใหผใชกรอกขอมลพาสเวรด5. ลกขายแจงพาสเวรดไปยง Router6. Router สงตอขอมลทเกยวกบชอผใชและรหสผานไปยง Server

RADIUS ใชสทธการเขาถงขอมล

7. หาก ขอมลผใชนนถกตองแลว server จะทำาการตอบตกลงกลบมาและยงมจะมการสงคาพารามเตอร IP กลบมา

หากขอมลผใชไมถกตองจะมขอความปฏเสธตอบกลบและ Router จะสนสดการเชอมตอ

ตาราง 13.4 แสดงขอความคำาอธบาย RADIUS ทงสตาราง 13.4 ประเภทขอความของ RADIUS

ประเภทขอความ คำาอธบาย

1 Access-Request ขอความนถกจะถกสงโดย router หรออปกรณอนๆทมคณลกษณะแบบ (AV-pair) สำาหรบช อผใชและรหสผานจะเปนขอมลเฉพาะทมการเขารหส และ เพมเตมขอมล เชน พอรต Router

2 Access-Challenge จะสงโดย RADIUS Server เพ อตอบกลบของ Access-Request Message เมอตองการขอมลเพมเตม ทจ ำาเป นเพอด ำาเน นการตรวจ


สอบหรออนมต เป น Message ท RADIUS Client ต อ ง ต อ บ ก ล บ Access-Challenge Message ปกตจะเปนการตรวจสอบกลบเมอต ร ว จ ส อ บ ข อ ม ล ป ร ะ จ ำา ต ว ข อ ง Client

3 Access-Accept จะสงโดย RADIUS Server ใชในก า ร ต อ บ ก ล บ ข อ ง Access-Request Message เ พ อ บ อ ก RADIUS Client ถ ง ส ท ธ ใ น ก า รเ ช อ ม ต อ Access-Accept สามารถกำาหนดคาและขอมลในการเชอมตอได

4 Access-Reject จะสงโดย RADIUS Server ใชในการตอบกลบของ Access-Request Message เพอบอก RADIUS Client ถงการปฏเสธ การเชอมตอ RADIUS Server จะสงขอความนหากสทธในการเชอมตอไมเปนจรงหรอไมมสทธในการเชอมตอ

ขอความทมอยใน AV- pairs เปนขอมลจรงทชวยใหอปกรณในเครอขายทำาการตรวจสอบ อนมต และ บญช สำาหรบ โฮสต. ตวอยางทใช RADIUS AV-pairs ทวไป คอ


- ชอผใช- ผใช - รหสผาน (เฉพาะองคกรณทเขารหสใน RADIUS)- รหสผาน CHAP- NAS-IP-Address- NAS-Port- ประเภทของบรการ- กรอบของ IP Address

มการกำาหนดประมาณ 50 AV-pairs ใหม Internet Engineering Task Force (มาตรฐาน IETF) และ Cisco ไดเพม คณลกษณะผผลตเฉพาะในฝงเซรฟเวอร


อปกรณ Cisco IOS โดยปกตมกจะใช Cisco AV-pairs แตสามารถถกกำาหนดคาใหใชคณลกษณะ เฉพาะของมาตรฐาน IETF สำาหรบการทำางานรวมกน

การนำา RADIUS ของ Cisco เปนมาตรฐาน (IETF). คณลกษณะนมเฉพาะผผลต (VSA) สำาหรบ Cisco. ใชขออนมต VSA โดยระบใน TACACS + ขอกำาหนดจะถกสงไป ยงอปกรณเพอเขาใชงานผาน RADIUS

ปจจยททำาใหเกดขอจำากด RADIUS

- คณสมบตการรกษาความปลอดภยของรหสผานเฉพาะจะถกเขารหส- การอนมตสามารถทำารวมกบการตรวจสอบได

ขอมลบญชและขอความพเศษจะถกสงภายใน RADIUS

TACACS+TACACS + ใน โปรโตคอล Cisco ม ความยดหย นมากส ำาหร บ

RADIUS โปรโตคอล TACACS + Server สามารถใชในการสนทนากบลกคาเพอไดรบขอมลทเพยงพอสำาหรบผใชทไดรบสทธ คณสามารถ กำาหนดคาการสนทนารวมกบรายชออนๆหรอขอมลสวนบคคลทควรรจก เชน ค ำาถามความปลอดภยเมอทานเขาสเวบไซตของธนาคาร

TACACS + เปนโปรโตคอลหลกสำาหรบ implementations Cisco เพอสนบสนน IOS Router , สวตช และ PIX / ASA Firewall

TACACS + ใช TCP พอรต 49 เปนชนของการขนสงเร มตน โดยปกตในแตละรายการจะใชการเชอม ตอ TCP เฉพาะ ซงสามารถจดตงขนเพอใหโหลดในเซรฟเวอรนอยลงและการตรวจสอบในการสอสารดขน อปกรณเครอขายสามารถทำางานไดตราบใดท Server ดำาเนนการอย


ร ป ท 13.23 แสดงข นตอนการตรวจสอบโดยใช TACACS + protocol. คลายกบตวอยาง RADIUS ท ตอนนคณมลกคาพยายามเขาไปในสำานกงาน ดไบ Router จะทำาการสอสารไปยงเซรฟเวอรทใช TACACS +

1. ลกคารองขอสทธหรอโอกาสในการใชงาน2. Router รองขอชอผใชจาก TACACS + server3. TACACS + server ทำาการแจงชอผใชกลบไป4. Router แจงตอบกลบไปยงผใช5. ลกขายแจงชอผใชงาน6. Router ทำาการสงตอไปยง TACACS + server.7. Router รองขอรหสผานจาก TACACS + server8. TACACS + server ทำาการแจงรหสผานให


9. Router แจงรหสผานใหลกขาย10. ลกขายทำาการสงรหสผานกลบไป11. Router สงตอรหสผานไปยง TACACS + server12. TACACS + server ทำาการตอบรบ หรอ ปฏเสธ ผ ใช

รป ท 13.23 Client เชอมตอกบ TACACS +

Router ไดรบการตอบสนองอยางใดอยางหนงตอไปนจาก TACACS + server

- ACCEPT คอ ผใชมสทธและการบรการอาจจะเรมขนถา Router มการกำาหนดการอนมตไดถกตอง


- REJECT คอ ผใชเกดความลมเหลวในการตรวจสอบ ผใชอาจถกปฏเสธการเขาถงเพมเตม หรออาจ มการแจงใหเขาสระบบตามลำาดบอกครงขนอยกบ TACACS +

- ERROR เกดขอผดพลาดในเวลาระหวางการตรวจสอบนสามารถเกดขนทงในเซรฟเวอรหรอใน การเชอมตอเครอขายระหวางเซรฟเวอรและ Router ถาเกดขอผดพลาด Router มกจะพยายาม ใช วธอนในการตรวจสอบผ ใช

- CONTINUE ผใชทำาการแจงขอมลสำาหรบการตรวจสอบเพมเตม

การตรวจสอบผใชจะตองมการรบอนมตเพมเตมหากมการอนมตใหมการเปดการใชงานของ Router ผ ใชครงแรกแลวจงจะเสรจสมบรณซง TACACS + จะทำาการตรวจสอบกอนการดำาเนนการอนมต TACACS + ตอไป

ซงถา TACACS + อนมตกจะทำาการตดตอกบ TACACS + server อกครงและจะทำาการตอบ ยอมรบ หรอปฏเสธการอนมต ถาตอบยอมรบจะมขอมลในรปของคณลกษณะทใชโดยตรงหรอการ EXEC ของงานในเครอขายสำาหรบผใชทมการกำาหนดบรการใหสามารถเขาถงไดซงการบรการประกอบดวยสงตางๆดงน

- Telnet- rlogin- PPP- Serial Line Internet Protocol (SLIP)- EXEC Services- Parameter และ เชอม ตอรวมถงโฮสตหรอลกขาย ACL และผ ใช

หมดเวลาของการใชงาน


กระบวนการอนมตของ TACACS + จะเรมหลงจากทผใชมสทธในการเชอมตอกบ ACL ผใชสามารถ อปโหลดไปยง Router และสามารถใช TACACS + สำาหรบ การอปโหลดหลายพารามเตอร ซงขอมลตอไปนจะเกยวของกบปญหาในการแลกเปลยขอมลของ Router

1. ปญหาท Router ขออนมตสำาหรบการเขาใชเครอขาย TACACS + server

2. TACACS + server อนญาตใหเขา denies. ถามการอนมตพารามเตอรทถกสงไปยง Router ทจะนำา ไปใชในการเชอมตอกบผใช

ผใชทำาการควบคมการกำาหนดคาชวยลดความซบซอนของโครงสรางพนฐานความปลอดภยในเครอ ขายขององคกรขนาดใหญ สทธของผใชสามารถกำาหนดคาได ใน ACS ซงจะชวยลดความยงยากในการกำาหนด คาของอปกรณเครอขายและจำากดผบรหารขนอยกบหนาทการทำางาน

ตวอยางของ TACACS + และแอตทรบวตทใชบอยสำาหรบการตรวจสอบและอนมต ดงทแสดงและ อธบายไวใน ตาราง ท 13.5

ตาราง 13.5 คณสมบตการใชงาน TACACS +

ลกษณะ คำาอธบาย

ACL (EXEC authorization)

หมายเลขของบรรทดมผลกบการเชอมตอ

ADDR (SLIP, PPP/IP authorization)

การระบทอย IP ของ โฮสตระยะไกล ควรระบ เมอใช SLIP หรอ PPP / IP ในการเชอมตอ

CMD (EXEC) AV-pairs ใชสำาหรบการเรมตนขออนมตจาก EXEC


Priv-lvl (EXEC authorization)

การระบระดบสทธปจจบนในการอนมต คำาสงหมายเลข 0-15

ตาราง 13.5 คณสมบตการใช TACACS + (ตอ)

ลกษณะ คำาอธบาย

Route (PPP/IP, SLIPauthorization)

ทำาการระบเสนทางทจะนำาไป ใชในการอนเตอรเฟซ


InACL (PPP/IP, SLIPauthorization)

มการการ เชอมตอ IP ACL เขากบ SLIP หรอ PPP / IP

OutACL ม IP ACL สำาหรบ SLIP หรอ PPP / IP

Addr-pool ตงชอเฉพาะกลมของ host ทอยระยะไกล

Autocmd ระบคำาสงทจะรนโดยอตโนมต ใน EXEC

คณลกษณะอนๆทรองรบการประยกตเครอขายรวมถง dial-in โซลชน, proxy ตรวจสอบใน Firewall หรอการอนมตคำาสงสำาหรบอปกรณ Cisco

Configuring AAAในสวนนจะแสดงคำาสงทคณตงคาแตละสวนหนาท ของ AAA คำาสงแรก

เปนคำาสงททวโลกตองมการ กำาหนดคาไมวางานคณอาจกำาหนดคาบนเครองใด

การประเมนคำาสงตองเปดการใชงานทกฟงกชนใน Router ซงจะมผลใน Router หรอ Switch

DubRtr1(config)#aaa new-modelRouter หรอ อปกรณทเซรฟเวอรทำาการประเมนวาเปนวาประเภท ของ

เซรฟเวอร AAA (Cisco Secure ACS, Microsoft IAS หรอ อน ๆ) คณตองบอกอปกรณเครอขายซงในเครอขายเซรฟเวอรไปถงคำาสง RADIUS แรกแลวจะสงคำาสงไปยง TACACS +

การตงคาการสอสารใหกบ RADIUS Server

คำาสงม RADIUS Server ทโฮสตคอ XXXX ซง X เปนคำาสงระบทอย IP ของเซรฟเวอร


DubRtr1(config)#radius-server host 1.1.1.1คำาสงตอไปเปนระบการเขารหสทสำาคญทจะใชเมอมการสอสารกบ

RADIUS server คยนจะถก กำาหนดคาบนเซรฟเวอร RADIUS เอง

radius-server มคำาสงทเปนกญแจสำาคญ ในการระบคยของสตรงทใชสำาหรบการ เขารหสและตองตรงกบชด กญแจบนเซรฟเวอร


DubRtr1(config)#radius-server key abcd1234จะเปนการชคณสมบตทจะชวยใหคณลดความฟมเฟอยและมความ

ปลอดภยในเครอขาย เชน ทกสงในโลก น ควรจะมมากกวาหนงสงของทกสงจะประเมนไมแตกตางกนซงการทำางานจะแยกกนซงในการตงคาเซรฟเวอรทงสองจะตองใชคยเดยวกน เนองจากคณสามารถใช RADIUS server คยคำาสงไดเพยงครงเดยวซงจะมวธใหการรกษาความปลอดภยทดกวาสำาหรบเครอขายและเซรฟเวอรของคณเองคณสามารถกำาหนดคาท สำาคญ แยกกนสำาหรบแตละ เซรฟเวอรและใหใชคาตอไปนแทนคำาสงของทงสองคำาสงจะกำาหนดคาสองเซรฟเวอร คณ สามารถดวธการทำางานน

DubRtr1(config)#radius-server host 1.1.1.1 key abcd1234DubRtr1(config)#radius-server host 2.2.2.2 key wxyz5678การตงคาการสอสารใหกบ TACACS + Server

คำาสงสำาหรบ TACACS + server คลายคลงกนมากซงคณจะตองระบโปรโตคอลในคำาสงทแตกตางกน คำาสงใหมทยงคงตองระบในการกำาหนด TACACS + protocol การ กำาหนด คา อปกรณ เครอ ขาย เมอ ม ตำาแหนงของ TACACS + server คำา สง เปน TACACS + Server โฮสต XXXX เดยวตอ.Xs อกครงเปนทอยของ IP เซรฟเวอร ตวเลอกการเชอมตอเดยวเปนคณลกษณะของ TACACS + TCP ใชในการเชอมตอระหวางอปกรณ เครอขาย และเซรฟเวอร ถาคณระบตวเลอกของการเชอมตอเดยวเพยงหนงการเช อมตอจะเปนการรกษา กรเช อมตอระหวางสองอปกรณ นใหต ดตอทม ประสทธภาพมากยงขน

DubRtr1(config)#tacacs-server host 1.1.1.1 single-connection

คณตองระบคยในการเขารหสเฉพาะสำาหรบ TACACS + server ซง tacacs server จะคำาสงหลกทสำาคญ


DubRtr1(config)#tacacs-server key abcd1234ดวยเหตผลเดยวกนกบ RADIUS คณสามารถกำาหนดคาตวเลอกท

สำาคญใหกบ tacacs server โฮสต ซงจะชวย ใหคณกำาหนดคาไดมากกวาหนงเซรฟเวอรและแตละเซรฟเวอรทใชคยตวเองสำาหรบการเขารหส

DubRtr1(config)#tacacs-server host 1.1.1.1 key abcd1234DubRtr1(config)#tacacs-server host 2.2.2.2 key wxyz5678กระบวนการในการตรวจสอบ

สงถดไปทคณควรมเพอใหเปนกระบวนการตรวจสอบคำาสงวาคณ ใช RADIUS หรอ TACACS เพอใหมนใจวาคณ กำาหนดตวเลอกทถกตอง

การตรวจสอบจะกระทำาโดยใช aaa ในการตรวจสอบคำาสง login ซงมกจะหมายถงรายการตรวจสอบ เพราะมรายการของวธการหรอคำาสงทงหมดมการตรวจสอบการลอกอน [default | list-name] group [group-name | radius | tacacs+] [method2 method3 method4]

ตวเลอกแรกคอประเภทของรายการทคณจะสรางตวเลอกรายการเรมตน ถาคณใชตวเลอกเรมตน รายการทคณสรางแบบอตโนมตในอปกรณกจะสามารถใชไดกบอนเตอรเฟซ ทกประเภท หากคณใชตวเลอกรายชอรายชอทเลอกจะเปนรายชอถดไป

หากคณกำาหนดคามากกวาหนงรายการ เชน รายการ เรม ตนและราย ชอ นนรายการเรมตนจะใชกบ ชอรายการหนงในบรรทด รายการชอจะยกเลกการใชรายการคาเรมตนในบรรทดท

ตวเลอกสดทายหรอตวเลอกจะมวธการอนเพอทำาการตรวจสอบลำาดบวธตามทระบหากมขอผดพลาด กอน เชน การ หยด พก ชวคราว

หากวธกอนหนานไมรบรองความถกตองจำาเปนตองใชวธอน เนองจากไมสามารถใชการตรวจสอบลม เหลว ตาราง 13.6 เปนวธการทวไปในสามารถกำาหนดคา


ตาราง ท 13.6 วธการตรวจสอบ

วธ คำาอธบาย

enable เปดการตรวจสอบในการใชรหสผาน

group ใชงานแบบกลม

krb5 ใช Kerberos เวอรชน 5 สำาหรบการตรวจสอบ

line ใชรหสผานแบบเสนในการตรวจสอบ

local ใชชอผใชเฉพาะและฐานขอมลรหสผานสำาหรบการ ตรวจสอบ

local-case ใชในกรณการตรวจสอบชอผใชเฉพาะ

none ใชการตรวจสอบไมได


รายการตรวจสอบลกษณะทงสองมลกษณอยางไร

DubRtr1(config)#aaa authentication login default group tacacs+ localDubRtr1(config)#aaa authentication login pats_list group tacacs+

การใชชอรายการทบรรทดทคณตองใชทำาการตรวจสอบสทธการเขา ชอคำาสงในอยทรายชอของรายการบน console port ของ Router

DubRtr1(config)#line console 0DubRtr1(config-line)#login authentication pats_listกระบวนการอนมต

การดำาเนนการอนมตและกำาหนดคา โดยทวไปเปนรายการเดยวกบกระบวนการการตรวจสอบเปน จำาเปนตองกำาหนดคาหลงจากขนตอน AAA ซงทวโลกมการใชคำาสงในการตงคาคาอปกรณและการอนญาตให ใช AAA [network | exec | commands level | config-commands | reverse-access] [default | list-name] [method2 method3 method4] ตาราง 13.7 รายละเอยดของตวเลอกทคณสามารถใชในคำาสงไดตาราง 13.7 aaa อนมตตวเลอกคำาสง


ตวเลอก คำาอธบาย

network บรการทงหมดของเครอขายรวมไปถง Serial Line Internet Protocol(SLIP), PPP และ AppleTalk Remote Access Protocol (ARAProtocol)

exec กระบวนการ exec

commands level ทกคำาสงจะ EXEC ในระดบ (0-15) ตามทระบ

config-commands โหมดคำาสงในการกำาหนดคา

reverse-access ใชสำาหรบการเชอมตอ Telnet reverse

if-authenticated สทธของผใชในการใชงาน

local ใชฐานขอมลเฉพาะในการอนมต (พรอมชอผใชหรอ รหสผาน)

none ไมใหสทธ

group radius ใชสทธ RADIUS

group tacacs+ ใชสทธ TACACS +


ตวอยางของคำาสงและวธการทจะใช

DubRtr1(config)#aaa authorization exec default group tacacs+ localDubRtr1(config)#aaa authorization exec pats_list group tacacs+กระบวนการบญช

การกำาหนดคาบญชโดยทวไปเปนรายการเดยวกบการตรวจสอบและกระบวนการอนมตเปนตอง กำาหนดคาหลงจากขนตอน AAA ซงทวโลกไดเปดใชคำาสงเพอกำาหนดคาของอปกรณสำาหรบการเชอมตอเปน บญช AAA [commands level | connection | exec | network | system] [default | list-name] [start-stop | stop-only |


wait_start]group [tacacs+ | radius] ตาราง 13.8 เปนรายละเอยดของตวเลอกทคณสามารถใชคำาสงไดตาราง 13.8 AAA ตวเลอกคำาสงเกยวกบบญช

ตวเลอก คำาอธบาย

commands level คำาสงตรวจสอบทกระดบสทธตงแต (0-15)

Connection ตรวจสอบทกการเชอมตอตางๆ เชน Telnet และ rlogin

Exec ตรวจสอบการ EXEC

Network ตรวจสอบทกคำาขอบรการของเครอขาย เชน SLIP, PPP และ ARAP

System ตรวจสอบระบบทงหมดทกระดบ ทมการบรรจใหม

start-stop ทำาการสงบญชแจงการเรมตนดำาเนนการและแจง บญช หยดเมอสนสดกระบวนการ การบนทกบญชถกสงภาย หลงกระบวนการท ผใชตองการจะเรมตนและแจง บญชเรมใชงานได

stop-only แจงการหยดบญชของผใชงาน

wait-start เรมหยดสงและหยดบญชและแจงไปยงเซรฟเวอร เพอทำาการรอ ผใชบรการจะไมเรมตนการทำางานจนกวา บญชจะยอมรบ


group tacacs+ or radius ใช TACACS + สำาหรบ บญชหรอใช RADIUS สำาหรบบญช.

ตวอยางของคำาสงและวธการทใช

DubRtr1(config)#aaa accounting exec default start-stop group tacacs+


DubRtr1(config)#aaa accounting exec pats_list start-stop group tacacs+หนาทและการจดการความปลอดภย

โปรโตคอลการจดการเครอขายนนมหลายบรการดงตอไปน

- Simple Network Management P NN rotocol (SNMP)- Syslog- Trivial File Transfer Protocol (TFTP)- Network Time Protocol (NTP)

SNMP

SNMP ยอมาจาก Simple Network Management Protocol ซงเปนโปรโตคอลทอยระดบบนในชนการประยกต และเปนสวนหนงของชดโปรโตคอล TCP/IP ในการบรการและจดการเครอขายตองใชอปกรณตาง ๆ มสวนของการทำางานรวมกบระบบจดการเครอขาย ซ งเราเรยกวา เอเจนต (Agent) เอเจนตเปนสวนของซอฟตแวรทอยในอปกรณตาง ๆ ทเชอมอยในเครอขายโดยมคอมพวเตอรหลกในระบบหนงเคร องเปนตวจดการและบรหาร เครอขายหรอเรยกวา NMS-Network Management System คำาอธบายเหลานเปนคำาแนะนำาสำาหรบการใชงานทถกตองของเครองมอ SNMP

- SNMP อานคาสตรงเพยงอยางเดยว - การตงคาเขาใชการควบคมในอปกรณทคณตองการจดการผาน

SNMP เพอใหเขาถงการจดการท เหมาะสม.- SNMP มการใชงาน 3 เวอรชนและมการเขาถงอปกรณทปลอดภยการ

ผสมผสานของการตรวจ สอบและการเขารหสแพกเกจโดยการจดการผานเครอขาย

Syslog


โปรโตคอล Syslog ถก ออกแบบมาเพอด ำาเนนการกำาหนดคาจากอปกรณเพอเขาสเซรฟเวอร Syslog ท เกบรวบรวมขอมลขอความทถกสงขอความระหวางอปกรณทมการจดการและ Syslog ยงม แพคเกตททำาการตรวจสอบเพอใหแนใจวาเนอหาของแพคเกตไมไดถกแกไขในระหวางการขนสงขอมลและเพอเปนการดแลระบบเครอขายไมใหสบสนในระหวางการสง


เปนไปไดควรปฏบตตามแนวทางบรหารการจดการ

- เขารหส syslog ภายในตาม IPSec- ใช RFC 3,704 กรองท Router เมอมการอนญาตใหเขาใช syslog

จากอปกรณทอยนอก Firewall- ใช ACLs ใน Firewall เพอใหโฮสตเขาถงการจดการอปกรณ

syslog - เมอเปนไปไดใหเขารหส TFTP ภายใน IPSec เพอลดโอกาสเกด

interceptionTFTP

TFTP เปนกระบวนการรบสงไฟลทเรยบงายกวา FTP ทวไป โดยใชกลไกการสอสารแบบ UDP (User Datagram Protocol) ซงเปนโปรโตคอลททำางานแบบ Connectionless ซงผใชไมจำาเปนตองใสรหสหรอ Password แตจะทำาไดเพยงโอนขอมลทจดเตรยมไวแลวเทานน แตจะไมมฟงกชนอนๆ เชน การแสดงรายชอไฟล , การเปลยนไดเรคทอร เปนตน

กลไกการทำางานของ FTP จะกำาหนดขนาดของบลอคขอมลทโอนยายไวคงท และมขนาดของการรบสงขอมลทโตตอบคงทเชนกน การรบสงขอมลในแตละบลอค ผสงจะตองรอใหผรบยนยนความถกตองของขอมลบลอคทไดรบกอน จงจะสามารถสงขอมลบลอคตอไปได กรณทไมมกายนยนความถกตองของขอมลในเวลาทกำาหนด(timeout) จะถอวาไมมผรบขอมลดงกลาว และจะตองสงขอมลหรอยนยนความถกตองใหมอกคร งหนง(retransmit) แตถาหากเกดปญหาขนในระหวางการรบสงขอมลการทำางานจะถกยกเลกและ TFTP กไมสามารถจะรบสงขอมลตอจากสวนเดมได

NTP

NTP ( Network Time Protocol ) เปนโปรโตคอลทใชในการซงโครไนซ ( Synchornous ) เวลาของเคร องบนเครอขาย โดยมกลไกรกษาและ


ควบคมเวลาไดในระดบมลลวนาท เวลาท NTP สงออกไปจะเปนเวลามาตรฐาน Universal Time Coordinate ( ซ ง เป น เ ว ลา เด ย ว ก บ Greenwich Mean Time ) เคร องทไดรบขอมลไปจะตองปรบคาของเวลาตาม Time Zone, Daylight Saving Time ห ร อ ร ป แ บ บ อ น ๆ ท ต น เ อ ง ใ ช เ อ ง โปรโตคอล จะกำาหนดคาใหกบเครองแตละเครองโดยแบงเปน 16 ระดบ เครองทเป นระด บ 1 จะสามารถเขาถ งเวลาไดในระดบสญญาณนาฬกา เคร องคอมพวเตอรทมคาระดบสงกวาจะสอบถามเวลาทเซรฟเวอรทมคาระดบตำากวา โดยไคลเอนทสามารถขอใชบรการเซรฟเวอรไดหลายเครองทงนกเพอประโยชนในการตรวจสอบ โดยอาศยความซ ำาซอน ( Redundancy ) และเพอความคงทน ( Robust ) ของระบบ โปรโตคอล NTP รนหนงมชอวา Simplified NTP ( SNTP ) พฒนาขนในป 1995 เพอใชในเครอง PC ซงกอนหนานนไดมการกำาหนด NTP ไวแลว 3 เวอรชน คอ NTP เวอรชน 1 ,NTP เวอรชน 2 , NTP เวอรช น 3 ซงโปรโตคอล NTP ถกพฒนาใหมท งบนระบบปฏบตการ Unix และ Windows

คำา แนะนำาตอไปนเปนคำาแนะนำาเมอใช NTP

- การประสานงานกบเครอขายโดยใชสญญาณนาฬกาแบบ synchronization

- ใช NTP version 3 หรอสงกวาเพราะรนนสนบสนนการตรวจสอบ Cryptographic กลไกระหวาง peers. NTP V3 เปนงานโดยผคาสวนใหญรวมถง Cisco. รน 4 ลาสดไมกำาหนดโดย RFC ใดจงไมไดรบการสนบสนนอยางกวางขวาง

- ใช ACLs ในการระบอปกรณเครอขายทไดรบสทธใหประสานงานกบอปกรณอน ๆในเครอขาย

สรป


ตอนนคณมสะดวกสบายมากขนเนองจากความสามารถในการเขาถงเครอขายโดยอปกรณของคณ เชน Router ในบทนจะบอกคณเกยวกบ บรการ และ รายการทสามารถโจมตในเครอขายทงหมด

คณไดเรยนรวธการใหม ๆ บางประการททำาใหมความมนใจ และปลอดภยของบรการเหลาน และ อนเตอรเฟซอปกรณ Router กบเครอขาย

คณสมบตแรกทอธบายไดอธบายถงการ AutoSecure ใหดำาเนนการเพอรกษาความปลอดภยโดย Router ในเครอขาย

คณสมบตทสองไดมการเพมตวชวยสรางใน interface SDM คอ การตรวจสอบความปลอดภยแบบ Wizard สงดเกยวกบกระบวนการนคอ คณจะไปดรายการผดของการตงคา Router ท Wizard แลวคณสามารถเลอกทจะ แกไขหรอไมแกไข ตวชวยทสอง ขนตอนแรกคอ ลอค Wizard ใหคณเลอกทสงคณใช ในขนตอนแรกลอค Wizard และทำาการลอกในขนตอนถดไป

เมอคณผานขนตอนในการกำาหนดคา AAA ในอปกรณเครอขายของคณนจะเปนคณลกษณะทดเพราะ จะชวยใหคณสามารถควบคมสวนกลางการเขาใชอปกรณ และเครอ ขาย

สดทายนคณควรดวธทปลอดภยทเขากบการจดการจราจรทในไหลเครอขายของคณวาเปนอยางไร จำาเปนหรอสำาคญเทาใด เพอใหการจราจรทมาจากความผดพลาดหามเขามาใชประโยชนจากเครอขายของคณหากพวกเขาสามารถเขาถงการจราจรหรอการจดการกจะเกดความเสยหายตอระบบเครอขายเชนกน

Documents

cpe.rmutt.ac.thcpe.rmutt.ac.th/comnet/PRESENTRATIONS/2552-2/Sec1-Monday... · Web viewอธ บายการต งค าหร อกำหนดค า IOS ค ณสมบ