1.Giới thiệu :
Switch hướng dẫn và điều khiển nhiều dòng dữ liệu đi ngang qua mạng máy tính. Sự hướng dẫn này cung cấp công nghệ giúp nhà quản trị mạng tối ưu hệ thống mạng. Sử dụng những thông tin được trình bày ở đây để cấu hình Switch điều khiển truy xuất, hạn chế tấn công, tấm chắn bảo vệ cho những hệ thống mạng khác, và bảo vệ tính toàn vẹn và tính bảo mật của lưu thông mạng. Sự hướng dẫn này cũng có thể giúp cung cấp thông tin bảo mật bằng cách miêu tả những vấn đề bảo mật liên quan đến tình trạng mạng(Switch) mà nó là 1 phần của mạng máy tính.
Sự hướng dẫn này cũng đáp lại 1 lượng lớn câu hỏi và yêu cầu từ The System and Network Attacks Centrer(SNAC). Những chủ đề này được thảo luận và chọn lựa dựa trên những quan tâm cơ bản của khách hàng và những vấn đề ở SNAC về bảo mật mạng. Nhiệm vụ chính của sự hướng dẫn này là làm tối ưu sự bảo mật trong Switch sử dụng mô hình mạng hoạt động Department Defense.
Sự hướng dẫn này trình bày bảo mật mạng ở tầng 2(Data Link) của mô hình tham chiếu OSI. Một mạng phân cấp được giới thiệu mà giải thích về những loại Switch được sử dụng trong 1 mạng máy tính. Sau đó là tính dễ bị tổn thương và sự đối phó tương ứng được miêu tả theo những topic sau: operation system; password; management port; network service; port security; system avaleblity; virtual local area network; spanning tree protocol; access control list; logging and debugging; authentication, authorization and accounting. Những chủ đề cao hơn được khai báo cho công việc tương lai trong hướng dẫn này. Những file cấu hình ví dụ cho 2 mẫu Switch của Cisco mà nó phối hợp nhiều sự đối phó nhất. Và cuối cùng 1 danh sách kiểm tra tóm lược lại những sự đối phó đó.
2 Mạng phân cấp:
Trong một mạng phân cấp rõ ràng, có 3 lớp được khai báo: access, distribution, core. Trong 1 mạng doanh nghiệp, mối tầng cung cấp 1 chức năng khác nhau. Bởi vì những tầng đó không phải lúc nào cũng nhận biết được tên truyền thống của mình, những cái tên được tham chiếu đến như: access hay workgroup, distribution hay policy, và core hay backbone.
Tầng access hay workgroup thì kết nối đến người dùng. Chức năng khác của tầng này là được chia sẽ băng thông, Switched bandwith, lọc địa chỉ Media Access control(MAC) và phân đoạn. Local Area Network tồn tại hầu hết phổ biến trong tầng access.
Distribution hay policy thực thi sự phức tạp và những tính toán xử lý chuyên sâu như: lọc, định tuyến liên Vlan, sự duy tri cây multicast, khai báo vung multicast và broadcast và địa chỉ , tổng các vùng. Tâng này cũng bao gồm Server cục bộ. Router, Lan Switch, Switched với khả năng định tuyến tâp trung trong tầng Distribution.
Tầng Core hay Backbone là xương sống của mạng. Nó có tốc độ cao và liên quan đến việc chuyển mạch nhanh traffic. Nó thì không bao gồm sự thao tác gói tin ở phạm vi rộng. Những Server trung tâm cũng cần phải được gắn vào phần high-speed backbone trong tầng Core. Switch routers, high-speed routers, và đôi khi là Switch LAN có thể được tìm thấy trong tầng này.
Sơ đồ mạng sau đây phục vụ như là 1 điểm tham chiếu cho sự hướng dẫn. Hai Switch 3550 của Cisco nằm trên đỉnh của sơ đồ hoạt động ở tầng Access. Hai Switch 6500 của Cisco cung cấp khả năng phối hợp chức năng cho tầng Distribution và Core. Tất cả những yêu cầu bảo mật trong sự hướng dẫn này đều tham chiếu đến sơ đồ này. Sơ đồ này chỉ đại diện kiến trúc mạng được khuyến cáo; có rất nhiều kiến trúc khác nhau mà có thể sử dụng được .
3. Hệ Điều Hành
3.1. Tính Nguy Hiểm:
Nếu một hệ thống không tiếptục hoạt động thì Switch dễ bị ảnh hưởng bở những thông tin tập trung tấn công mạng. Những kẻ tấn công tìm điểm yếu trong những phiên bản IOS hiện tại. Những tính năng bảo mật mới được thêm vào trong các phiên bản ISO mới. IOS của cisco cũng tương tự như những IOS khác với sự mong đợi là chịu đựng những điểm yếu đó.
3.2. Giải Pháp:
Cài đặt phiên bản IOS mới nhất cho mỗi Switch. Cisco luon đưa ra những IOS mới, một sự nâng cấp đem lại lợi ích cho việc bảo mật nhưng nếu điều này thực hiện không chính xác thì nó sẽ làm Switch bị tổn thương. Nó thật quan trọng để ghi nhớ rằng việc nâng cấp IOS mới chỉ được hoàn thành bằng việc thay thế IOS hiện hành trên Switch. Nó thì không có khả năng cải thiện hoặc vá lỗi IOS đã cài đặt.
Cập nhật một IOS có thể đụng chạm đến 1 Switch và khả năng hoạt động của mạng. Ví dụ như hiệu năng của Switch có thể bị ảnh hưởng để làm giảm thời gian chết cho việ nâng cấp hoặc những đặc tính mà nó hoạt động không đúng chức năng sau khi nâng cấp. Nó thật quan trọng để đọc và hiểu các ghi chú cho những phiên bản IOS 1 cách tổng hợp trước khi cài đặt nó phải chắc chắn rằng phiên bản này hỗ trợ đầy đủ những tính năng mà Switch cần trong mạng. Để chuẩn bị cho việc nâng cấp nếu hiệu năng của Switch hay bảo mật bị tổn thương, nếu điều này xảy ra thì thay thế 1 Switch bằng 1 Switch dự phòng để thực thi việc nâng cấp offline mà không làm mạng bị gián đoạn. Trong mạng với nhưng Switch dự phòng, nâng cấp Switch dự phòng từng phần và xác minh lại sự thành công trước khi nâng cấp phần khác.
3.2.1 Những phiên bản IOS thu được.
Cisco tạo ra những phiên bản IOS mới để tạo nên sự đa dạng của những cơ chế và dễ dàng bảo trì. Nếu người quản trị có một thoả thuận có trung tâm bảo trì của Cisco thì người quản trị có thể tải phiên từ trung tâm phần mền trên website của Cisco. Sau khi tải xuống hãy kiểm tra kích thước của phiên bản. Trong lúc lựa chọn phiên bản IOS và trình tự download trên website của Cisco, người quản trị sẽ được đưa cho chiều dài của phiên bản trong những bytes. In trang web tóm lượt bao gồm chiều dài và MD5 checksum cho phiên bản IOS mong muốn. Luôn so sánh MD5 checksum phiên bản được tải và MD5 checksum phiên bản trên trang web. Nếu checksum không phù hợp thì huỷ phiên bản đó và tải nó xuống một lần nữa. Xác định phiên bản nào cần cho Switch thì người quàn trị cần xem xét các nhân tố sau: Tính năng sẵn sang, tình trạng phiên bản, giá, số lượng required memory và bug history. Để biết chi tiết về các phiên bản hãy tham chiếu những tran Web sau của Cisco:
http://www.cisco.com/en/US/products/...gory_home.html
http://www.cisco.com/warp/public/732...ses/packaging/
3.2.2 Trước khi cài đặt phiên bản mới
Sau đây là danh sách kiểm tra trước khi cài đặt IOS phiên bản mới cho mỗi Switch.
Xác định số lượng bộ nhớ.
Những loại Switch của Cisco có hai loại bộ nhớ cơ bản: Ramdom Access Memmory(RAM) và Flash. Những phiên bản IOS của Cisco yêu cầu cấn có một bộ nhớ tối thiểu. Đừng cài đặt phiên bản mới trừ khi Switch cần được nâng cấp để phù hợp yêu cầu về bộ nhớ cho cả hai RAM và Flash.( Thông thường một phiên bản mới thì tốn nhiều bộ nhớ hơn). Dùng lệnh show version dể9 kiểm tra bộ nhớ và phiên bản nào đang chạy trên Switch
Switch> show version
Cisco Internetwork Operating System Software
IOS (tm) c6sup2_rp Software (c6sup2_rp-PSV-M), Version 12.1(13)E6, EARLY DEPLOYMENT RELEASE SOFTWARE (fc1)
System image file is "sup-bootflash:c6sup22-psv-mz.121-13.E6.bin"
cisco Catalyst 6000 (R7000) processor with 112640K/18432K bytes of memory. 381K bytes of non-volatile configuration memory.
32768K bytes of Flash internal SIMM (Sector size 512K).
Configuration register is 0x2102
Những phần gạch chân của ví dụ trên là phiên bản IOS, model Switch, dung lượng của RAM và Flash. Để tính toán tổng dung lượng cùa RAM đơn giản chỉ thêm hai phần bắt buộc vào kích cờ của RAM. Ví dụ trên cho thấy Switch có bộ nhớ Ram là 128M. Thật quan trọng để biết kích thước của Switch Model và dung lượng của bộ nhớ trước khi thử một phiên bản IOS mới.
Kiểm tra file cấu hình chuyển giao trên Switch.
Tải những phiên bản IOS mới cho Switch bằng việc sử dụng TFTP hoặc FTP(sẵn có chỉ trong phiên bản ISO 12.0 hoặc những phiên bản về sau). Phải chắc chắn rằng server TFTP và FTP được thiết lập cho phép upload và download dữ liệu. Và cũng chắc chắn Switch phải kết được với server. Copy phiên bản mới vào trong thư muc download của sever. Nếu có sẵn FTP thì hãy sử dụng FTP vì FTP cung cấp chứng thực trong khi TFTP thì không. Mặt dù TFTP được hỗ trợ bởi tất cả các phiên bản IOS nhưng nó không phải là một dịch vụ an toàn và bình thường không cần chạy trên bất kì hệ thống an toàn nào. Nếu không có sẵn FTP thì sử dụng TFTP cho việc nâng cấp và ngay sau đó vô hiệu hóa nó một lần nữa. Nếu có thể, thì nên kết nối TFTP server với Switch qua một mạng riêng biệt, không nên kết nối qua một mạng dùng chung. Việc này cũng có thể sử dụng VLAN.
Schedule Switch downtime
Thiết lập một sự nâng cấp tới Switch lợi dụng downtime. Nếu sự nâng cấp diễn ra tốt thỉ thời gian downtime có thể là 30 phút hoặc ít hơn. Tuy nhiên, nếu sự nâng cấp không tốt hoặc người quản trị ra ngoài thì downtime có thể là vài giời. Hoạch định thời gian nâng cấp và thong tin người dùng khi cần.
Đọc quá trình sau cho việc nâng cấp phiên bản mới.
Xem lại toàn bộ quá trình trước khi cài đặt IOS. Kèm theo phải thuộc tất cả các lệnh IOS .....
3.2.3 Quá trình cài đặt
Phần này giới thiệu cách cài đặt phiên bản IOS mới của Cisco. Quá trình này thì duy trì. Nếu làm theo quá trình thì người quản trị có thể tránh được rủi ro và có thể khôi phục lại phiên bản cũ nếu cần thiết. Quá trình cài đặt theo ba bước sau: Backup, load và test. Giai đoạn backup, các bước 1-3, bao gồm việc sao chép, chạy và cấu hình phiên bản IOS lên FTP và TFTP server cho safekeeping. Giai đoạn cài đặt, bước 4 bao gồm việc tải phiên bản IOS mới. Giai đoạn kiểm tra, bước 5 bao gồm việc kiểm tra phiên bản mới và chạy thành công trên cấu hình cũ. Những bước mô tả bên dưới bao gồm những ví dụ thích hợp.
Log vào cổng console Switch
Nó tốt nhất thì cho việc cài đặt phiên bản mói từ system console đúng hơn từ một mạng login vào. Console sẽ cho thấy những thong điệp về tình trạng quan trọng về những bước đi cùa việc cài đặt đó thì không rõ ràng. Nâng lên đặt quyền sử dụng.
Backup phiên bản IOS hiện thời.
Sao chép phiên bản hiện thời sử dụng một trong những ví dụ thích hợp sau:
Dùng FTP:
Switch#archive upload-sw ftp://netwadmin:G00dpa55@10.1.6.1/IOS- images/c3550-i9k212q3-tar.121-11.EA1a.tar
Trong đó netwadmin là username, G00dpa55 là password, IOS-images là thư mục trên FTP server, c3550-i9k212q3-tar.121-11.EA1a.tar là file images.
Dùng TFTP:
Switch# copy flash tftp
Switch sẽ nhằc nhở địa chì IP của TFTP server. Nếu bước này thất bại thì nó sẽ không thực hiện, hủy bỏ việc nâng cấp và kiểm tra cấu hình server trước khi thử lại một lầ nữa.
Backup cấu hình hiện đang chạy.
Sao chép cấu hình hiện đang chạy sử dụng thích hợp một trong những ví dụ sau:
Dùng FTP:
Switch# copy system:running-config ftp://netwadmin:G00dpa55@10.1.6.1/configs/switch-confg
Trong đó netwadmin là username, G00dpa55 là password, IOS-images là thư mục trên FTP server, c3550-i9k212q3-tar.121-11.EA1a.tar là file images.
Dùng TFTP:
Switch# copy running-config tftp
Switch sẽ nhằc nhở địa chì IP của TFTP server. Nếu bước này thất bại thì nó sẽ không thực hiện, hủy bỏ việc nâng cấp và kiểm tra cấu hình server trước khi thử lại một lầ nữa.
Tải phiên bàn TOS mới.
Sao chép phiên bản IOS mới sử dụng thích hợp các ví dụ dưới đây. Hầu hết các Switch của Cisco tự động flash trong bước này. Còn nếu có hỏi có xóa flash không thì câu trả lời là có
Dùng FTP:
Switch# archive download-sw /imageonly /overwrite ftp://netwadmin:G00dpa55@10.1.6.1/IO...3550-i9k212q3- tar.121-13.EA1a.tar
Dùng TFTP:
Switch# copy flash tftp
Switch sẽ nhằc nhở địa chì IP của TFTP server.
Sao chép không thì Switch sẽ tự động reboot, nếu không thì reboot lbình thường sử dụng lệnh reload. Nếu việc cài đặt mới qua một mạng kết nối thì kết nối sẽ bị đức tại thời điểm này.
Switch# reload
Proceed with reload? [confirm] y
Xác định phiên bản IOS mới và khời động images.
Khi sử dụng console, đổng hồ và khởi động thong điệp trên Switch để xác nhận phiên bản IOS và khởi dộng images. Sử dụng một kết nối mạng, lập lại kết nối tại điểm này. Kiểm tra phiên bản ISO và khởi động images bằng dòng lệnh show version. Xác nhận tình trạng cấu hình bằng lệnh show running-config .Kiểm tra tình trạng interface bằng dòng lệnh show interface brief.
Phụ thuộc vào tốc độ mạng và switch model, thủ tục này có thể mất từ 5-20 phút. Chú ý rẳng, vài switch model của Cisco cũ, thì nhửng bứơc chuyên biệt vè phần cứng thì cần thiết.
3.2.4 Khôi phục cài đặt.
Nếu kiểm tra thấy vấn để trên Switch sau nâng cấp thì người quản trị có thể khôi phục lại phiên bản trước đây. Đơn giản theo thủ tục được mô tả ở trên, khởi động bước 3. Trong bước 3, sử dụng một tên khác cho việc đang chạy câu hình hơn sử dụng thòi gian thủ tục nâng cấp. Trong bước 4, tải sao chép file backup phiên bản IOS cũ. Chú ý nếu người quản trị nâng cấp từ một phiên bản chính thì hoặc tương tự thì cất giữ cấu hình có thề không làm việc chính xác khi người quản trị trả lại phiên bản trước đây. Trong trường hợp đó hãy khôi phục cấu hình trong bước 3.
3.2.5 Bổ sung sự an toàn liên quan.
Trước hết việc sử dụng TFTP server trong việc cài đặt được mô tả trước đó là một mối quan tâm vì TFTp không cung cấp sự an toàn. Như vậy thật là phê bình khi người quản trị bảo vệ giao dịch TFTP và server khỏi những cuộc tấn công. Có vài cách để tiếp cận việc làm này, nhưng đơn giản nhất là chằc chắn traffic TFTP không đi ngang qua những mạng thù địch. Luôn không bật dịch vụ TFTP trên server và vô hiệu hóa nó sau khi quá trình cài đặt kết thúc.
Thứ hai, bất cứ nơi nào làm bất kì loại sao chép backup nào trên một Switch người quản trị có thể làm lộ password mã hóa. Cách đơn giản nhất để giảm nhẹ nó là sử dụng enable setrec sau khi cài đặt.
Thứ ba, nhiều mặc định khác nhau đặt giữa nhiều phiên bản IOS. Vài sự thiết đặt này có thể ảnh hưởng đến sự an toàn của Switch. Trong những phiên bản mới nó đề nghị các dịch vụ không giới thiệu những phiên bản cũ hơn. Như vậy thật quan trọng khi đọc và đi theo những ghi chú cho một phiên bản IOS mới......
4. Passwords
4.1 Tính dễ bị tổn thương
Các IOS Switch của Cisco có 2 cấp độ mặc định để truy xuất: user(level 1) và privileged(level 15). Cấp độ User được truy xuất 1 cách điển hình bởi kết nối Telnet hay SSH bằng dây Console đến Switch. Cấp Privileged được truy xuất sau khi cấp User được thiết lập. Mỗi cấp thường được cấu hình password. Ở cấp privileged có thể cấu hình với câu lệnh “enable” password, hay “enable secret” password. Câu lệnh “enable secret” password thì được bảo vệ cao hơn “enable” password , sử dụng chức năng dựa trên kỹ thuật băm MD5. Chi tiết về tính năng dễ bị tổn thương liên quan phần password bao gồm những phần sau:
Mặc định, 1 Switch của Cisco biễu diễn password ở dạng Plaintext khi sử dụng câu lệnh “enable” password. Nếu 1 kẻ tấn công có thể tập hợp những thông tin cấu hình của Switch từ mạng sử dụng 1 người phân tích mạng, sau đó kẻ tấn công có thể sử dụng password đó để truy xuất vào hệ thống này.
Nếu câu lệnh “enable secret” password không được cài đặt hay cài đặt 1 password yếu, khi đó 1 kẻ tấn công có thể giành được quyền truy cập ở cấp privileged để lấy hoặc thay đổi thông tin trên Switch.Cũng vậy việc cài đặt cùng password cho các Switch khi dùng câu lệnh “enable secret” password cung cấp 1 điểm đơn lẻ không thích hợp bởi vì 1 Switch bị thoả hiệp sẽ gây nguy hiểm cho những Switch khác. Và cuối cùng, việc sử dụng cùng 1 password cho nhiều Switch khi sử dụng câu lệnh “enable secret” password thì cho phép 1 sự thoả hiệp tiềm tàng; Bởi vì việc đặt password có thể ở dạng Plaintext và khi đó có thể bị thu thập trên mạng mà có 1 nhà phân tích mạng. Một kẻ tấn công người mà có thể thu thập password của Switch có thể giành được quyền truy xuất ở cấp privileged cho lần sau.
4.2 Giải pháp
Giải pháp sau đây sẽ giới hạn tính dễ bị tổn thương về phần Password trong Switch của Cisco. Giải pháp được miêu tả cho dây Console, dây virtual terminal và Username trong phần Management Port và Network Services
Sự mã hoá cơ bản được cung cấp cho việc cấu hình bằng câu lệnh “enable” password . Sử dụng câu lện sau đây:
Switch(config)# service password-encryption
Cấu hình “enable secret” password trên mỗi Switch của Cisco. Không được cấu hình bất kỳ câu lệnh “enable” password nào trên bất kỳ Switch của Cisco. Trừ khi nó cần được thiết lập cho nhiều cấp độ truy xuất ngoại trừ cấp độ mặc định. Sử dụng những dòng hướng dẫn sau để tạo password an toàn: password ít nhất là 8 ký tự; không là những từ cơ bản; và thêm vào ít nhẩt 1 ký tự đặc biệt hay số như:!@#$%^&*()|+_...; thay đổi password ít nhất là 3 tháng 1 lần; Sử dụng 1 password duy nhất cho câu lệnh “enable secret” password trên mỗi Switch.
Và cũng sử dụng những password khác nhau cho mỗi cài đặt khác nhau trên cùng 1 Switch(telnet,..). Sử dụng câu lệnh sau đây để bật tính năng “enable secret” password(r3a117-GOOD -psw 6)
Switch(config)# enable secret r3a117-GOOD -psw 6
5. Tính sẵn sàn của hệ thống.
5.1. Tính Hiểm Họa.
Nhiều cuộc tấn tại và ngày càng được tạo ra nhiều là nguyên nhân của từ chối dịch vụ một cách từng phần hoặc hoàn toàn đến hệ thống hay mạng, Những Switch thì dễ bị tổn thương bởi những cuộc tấn công đó. Những cuộc tấn công này tập trung vào những tài nguyên quan trọng(hệ thống xử lí hoặc băng thông) mà không sẵn sàng. Sự tổn thương chi tiết liên kết tới hệ thống sẵn sàng bao gồm những cái sau đây:
ðVài sự tấn công phát tán nhanh chống có thể là nguyên nhân của hệ thống xử lí của Switch không sẵn sàng cho sự truy cập vào quản lí.
ð802.3x Flow Control cho phép nhận những port của những gói tin duy chuyển đang tạm dừng từ người gửi trong suốt thời gian tắt nghẽn. Nếu đặt tính được bật lên, một frame đang tạm dừng có thể đựoc nhận, dừng chuyển gói tin dữ liệu. Flow Control tạm dừng frames sử dụng trong tấn công từ chối dịch vụ.
ðMột vài cuộc tấn công hoạt động và chằc chắn lỗi có thể là nguyên nhân của viec phát tán gói tin cùa những port trên Switch.
ðMột kết nối trực tiếp đến Switch chạy giao thức Unidirectional Link Detection (UDLD) có thể được phân tích nếu một đường link không trực tiép tồn tại giữa chúng. Nếu một cái bị phát hiện thì đường link sẽ bị shutdown mãi cho đến khi nó phục hồi lại bằng tay. Thông điệp UDLD có thể được sử dụng tấn công từ chối dịch vụ.
ðTấn công bằng SYN Flood gửi yêu cầu kết nối lập lại mà không có sự chấp nhận ACK để yêu cầu kết nối. Cuộc tân công này có thể làm tràn bộ đệm kết nối của Switch hoặc disable Switch.
Mạng hội tụ có thể mang đến cả hai traffic dữ liệu và âm thanh (e.g., Voice over IP (VoIP)) . Nếu không được cấu hình chính xác, thì mạng đó cho phép traffic âm thanh.
5.2 Giải Pháp.
Sau đây là những giải pháp sẽ lảm hạn chế tính dễ bị tổn thương của hệ thống sẵn sàng trên mỗi Switch.
=> Để chống lại sự tấn công phát tán nhanh và đảm bảo rẳng thậm chí những quá trình ưu tiên nhỏ nhát có bộ xử lí thời gian sử dụng câu lệnh scheduler interval. Ví dụ sau đặt thời gian tối đa trừoc khi chạy tiến trình xử lí ưu tiên thấp nhất là 500 milli giây.
Switch(config)# scheduler interval 500
Một cách khác bảo đảm thời gian xử lí cho tiến trình là việc sử dụng câu lệnh scheduler allocate. Lệnh này để cài đặt thời gian ngẳt và thời gian xử lí. Thời gian ngắt là con số tối đa của micro giây để sử dụng trên những chuyển mạch nhanh trong vòng bất kì hoàn cảnh mạng nào. Thời gian xử lí số tối thiểu của miro giây để dùng cho tiến trình phân cấp khi mạng đột nhiên bị hỏng.
Ví dụ sau lấy 10% của xử lí có sẵn với khoảng thời gian là 4000 micro giây và thời gian 400 micro giây.
Switch(config)# scheduler allocate 4000 400
=> Sử dụng lệnh sau để tắt Flow Control trên mỗi interface
Switch(config)# flowcontrol receive off
=> UDLD nên được tắt toàn cục và trên mà nó không được yêu cầu.
Dòng lệnh UDLD sử dụng trên toàn cục:
Switch(config)# no udld enable
Để tằt UDLD trên mỗi interface sử dụng một trong những dòng lệnh sau đây, phụ thuộc vào loại Switch và phiên bản IOS
Switch(config-if)# no udld port
Switch(config-if)# udld disabled
=> Để giúp chống lại tấn công SYN Flood người quản trị cần phải cài đặt một khoảng thời gian Switch sẽ đợi trong khi cố gắng thiết lập một kết nối TCP. Sau đây là dòng lệnh xét thời gian chờ là 10 giây
Switch(config)# ip tcp synwait-time 10
=> Để cho traffic voice có dộ ưu tiên đẻ vượt qua mạng nó phải được dễ dàng phân tích gói tin nào là voice thậm chí nếu tính hiệu voice hoặc dữ liệu bị mã hóa. Tuy nhiên, bất kì cái nào đối một ngừơi phân tích mạng cũng có thể dễ dàng bắt được traffic voice. Sự thêm vào nguy hiểm phải được xem xét dể quyết định thông số chất lượng dich vụ (QoS) sẽ được cấu hình cho traffic voice. QoS có thể được xem xét dể có thể chấp nhận cho sự thực thi VoIP. Sự sắp xếp gói tin là bứoc đẩu tiên trong viec thiết lập thông lượng ưu tiên của mạng và nên được thực hiện tại diểm sẵn sàng đầu tiên. Những Switch có thể chính xác phân loại gói tin cho mục đích QoS. Một vài ví dụ sau dây chỉ ra làm thế nào để thực thi trong một khả năng QoS của Switch.
Câu lệnh sau để bật tính năng QoS.
Switch(config)# mls qos
Câu lệnh sau đây sẽ áp đặt sự ưu tiên tốt nhất cho hệ thống không tin tưởng
Switch(config-if)# mls qos cos 0
Switch(config-if)# mls qos cos override
Câu lệnh sau sẽ chấp nhận độ ưu tiên được gán bởi một thống tin tường ( voice gateway).
Switch(config-if)# mls qos trust dscp
Câu lệnh sau sẽ chấp nhận độ ưu tiên được gán bời một IP Phone nhưng sẽ áp đặt sự ưu tiên tốt nhất cho bất kì máy tính nào gắn vào.
Switch(config-if)# mls qos trust dscp
Switch(config-if)# mls qos trust device cisco-phone
Switch(config-if)# switchport priority extend cos 0
Việc ngăn cách voice traffic trong một mạng con sử dụng Vlan và điều khiển sự tác động lẫn nhau giữa mạng voice và dữ liệu. Xem phần Access Control List để biết chi tiết và việc diều khiển truy cập trên mạng voice và mạng dữ liệu. Theo dõi Switch và sử dụng mạng như thay đổi sự phân phối mạng VoIP, voice codec hoặc thêm vào hệ thống diện thoại VoIP có thể được yêu cầu để xừa sai cho mạng bị phát tán hoặc Switch .......
6. Dịch vụ mạng.
6.1. Tính dễ bị tổn thương
Những IOS Switch của Cisco có thể có một số dịch vụ mong đợi được phép. Nhiều những dịch vụ tiêu biểu này không cần thiết cho một thao tác bình thường cho sự chuyển đổi; tuy nhiên nếu những dịch vụ này được bật len trên Switch thì nó dễ bị ảnh hưởng dến những thông tin tập trung hoặc những cuộc tấn công mạng. Những đặc tính hoặc cấu hình không đầy đủ cho những dịch vụ mạng trên Switch có thể dẫn dắt đến những thỏa hiệp. Hầu hết những dịch vụ này sử dụng một trong những cơ chế stranport tại lớp 4 trong mô hình OSI RM: TCP, UDP. Những tính dễ bị tổn thương liên quan đến những dịch vụ mạng sau:
+ Những kết nối tới những dịch vụ trên Switch thì không được mã hóa, vì vậy những kẻ tấn công có thể tập hợp traffic mạng liên quan dến những dịch vụ mạng để phân tích một mạng. Traffic này có thể chứa usermane, password hoặc thông tin cấu hính trên Switch.
+ Một Switch với những dịch vụ sử dụng tài khoàn mặc định cho phép những kẻ tấn công tạo và sử dụng một kết nối hoặc hơn tài khoàn mặc định những tài khoàn nổi tiếng như(administrator, root, security).
+ Nếu một Switch có một dịch vụ mạng không đặt password, password mặc định hoặc password đơn giản , thì kẻ tấn công có thể đoán password hoặc hack nó và truy lục dữ liệu hoặc thay đổi cấu hình trên Switch. Đồng thời, việc dặt cùng mật khẩu cho những dịch vụ trên nhiểu Switch là một diểm yếu ( điểm thất bại). Những người tấn công có thể thỏa hiệp trên một Switch và dựa vào nó để thỏa hiệp đến những Switch khác.
+ Sự truy cập dịch vụ mạng trên Switch là cho Switch dễ bị tổn thương để tấn công. Phương pháp truy cập đó vào tất cả các hệ thống hoặc những hệ thốnt lớn hơn có thể kết nối đến Switch.
+ Nếu một kết nối tới dịch vụ hệ thống mạng mà không đặt thời gian timeout hoặc có thời gian timeout quá lớn (lớn hơn 9 phút), thì những kết nối có sẵn sẽ thuận tiện cho những kẻ tấn công tấn công chúng.
6.2. Giải Pháp.
Nếu có thể thay vào đó việc sử dụng dịch vụ mạng (telnet) để thực hiện việc quản lí bên in-band cúa một Switch, sử dụng quản lí out-of-band (via the console port) trên mổi S
Chúc bạn Thành Công !!!!!
Đăng nhận xét