การคอนฟิก Logging & Debugging บน Cisco Router
1. เปิดใช้งานความสามารถในการเก็บบันทึกค่าการทำงานของ Router เพื่อใช้เก็บบันทึกค่าการทำงานและความผิดพลาดต่างๆ ที่เกิดขึ้น และส่งแพ็กเก็ตไปยังเครื่องคอมพิวเตอร์ที่ใช้ในการเก็บ Syslog บนในเครือข่ายที่น่าเชื่อถือ โดยจะต้องแน่ใจว่าเส้นทางที่ส่งข้อมูลเป็นเครือข่ายที่น่าเชื่อถือ
วิธีการเปิดใช้งานบน Cisco Router มีวิธีการดังต่อไปนี้
Cisco_Router1 (config) # logging on
Cisco_Router1 (config) # logging 10.1.1.200
Cisco_Router1 (config) # logging buffered
Cisco_Router1 (config) # logging console critical
Cisco_Router1 (config) # logging trap debugging
Cisco_Router1 (config) # logging facility local1
2. กำหนดค่าการทำงานของ Router โดยให้เก็บค่าเวลาลงในบันทึกการทำงานลงในล็อกด้วย โดยการตั้งค่าเวลาจากเครื่องเซิร์ฟเวอร์ NTP ที่แตกต่างกันอย่างน้อย 2 เครื่อง เพื่อให้ค่าที่ได้มีความถูกต้อง ซึ่งจะช่วยให้ผู้ดูแลระบบติดตามเหตุการณ์การบุกรุกเครือข่ายได้สะดวกแม่นยำ มีวิธีการดังตัวอย่างด้านล่าง
service timestamps log datetime localtime show-timezone
clock timezone EST -5
clock summer-time EDT recurring
ntp source Ethernet 0/1
ntp server 192.5.41.40
ntp server 192.5.41.41
3. หากมีการใช้งาน SNMP ใช้เลือกใช้ SNMP community string ที่ยากต่อการเดา คำสั่งที่ได้แสดงไว้ดังตัวอย่างด้านล่างแสดงให้เห็นถึงวิธีการในการลบค่าดีฟอลท์ Community string ของ Router และควรกำหนดให้ Community string เป็นแบบอ่านอย่างเดียว
Cisco_Router1 (config) # no snmp community public
Cisco_Router1 (config) # no snmp community private
Cisco_Router1 (config) # snmp community SEC>Ever1
Checklist ความปลอดภัย
Checklist ความปลอดภัยต่อไปนี้ออกแบบขึ้นมาเพื่อเป็นเครื่องช่วยในการตรวจสอบความปลอดภัยในการกำหนดค่าการทำงานให้กับ Router และช่วยทบทวนถึงรายละเอียดความปลอดภัยทั้งหมดที่เกี่ยวข้อง
• มีการเขียน ตรวจสอบรับรอง และประกาศใช้งานนโยบายความปลอดภัยของ Router
• ตรวจสอบเวอร์ชันของ IOS ของตัว Router ว่ามีความทันสมัยหรือไม่
• ตรวจสอบค่าคอนฟิกของ Router ที่ใช้งานว่ามีความถูกต้องชัดเจน มีการแบ็กอัพ และถูกจำกัดการเข้าถึง หรือไม่
• ตรวจสอบว่ามีการกำหนดรายละเอียดของค่าการทำงานของ Router ไว้อย่างชัดเจน มีคำอธิบายที่ครบถ้วนหรือไม่
• มีการกำหนดผู้รับผิดชอบ และมีการดูแลตรวจสอบรายชื่อผู้ใช้ Router และรหัสผ่านหรือไม่
• กำหนดรหัสผ่านที่ยากต่อการเดา และจำกัดจำนวนผู้ที่ทราบค่ารหัสผ่าน
• จำกัดการเข้าถึง Router โดยการควบคุมที่ Console, Aux และ VTY
• ยกเลิกหรือปิดบริการทุกอย่างของเครือข่ายที่ไม่จำเป็นต้องใช้งาน
• ปิดอินเทอร์เฟซทั้งหมดที่ไม่มีการใช้งาน
• ยกเลิกหรือปิดบริการที่มีความเสี่ยงที่อินเทอร์เฟซ
• กำหนดพอร์ตและโปรโตคอลที่จำเป็นต้องใช้งานในเครือข่ายให้ชัดเจน พร้อมทั้งทำการตรวจสอบด้านความปลอดภัยให้แน่ใจก่อนเปิดใช้งาน
• ใช้ Access List จำกัดความหนาแน่นในการใช้งานเครือข่าย โดยกำหนดตามพอร์ตและโปรโตคอลที่ใช้
• ใช้ Access List เพื่อสกัดกั้นการใช้หมายเลขไอพีที่สำรองไว้หรือหมายเลขไอพีที่ไม่เหมาะสม
• ใช้งานการตั้งค่าการเลือกเส้นทางแบบ Static หากจำเป็น
• โปรโตคอลที่ใช้ในการเลือกเส้นทางจะต้องถูกกำหนดให้ถูกต้องตามวิธีการที่ใช้
• เปิดใช้งานการบันทึกค่าการทำงานลงในล็อก และกำหนดเครื่องที่ใช้ในการรับและเก็บล็อก (ต้องได้รับการตั้งค่าให้ถูกต้อง)
• ตรวจสอบค่าเวลาของ Router ให้มีความถูกต้องเที่ยงตรง และควรได้รับการจัดการผ่านทาง NTP
• บันทึกค่าการทำงานลงในล็อก โดยกำหนดให้รวมข้อมูลของเวลาที่เกิดเหตุการณ์ต่างๆ ไว้ด้วย
• ตรวจสอบ พิจารณาและเก็บบันทึกการทำงานที่เกิดขึ้นในล็อกคามความเหมาะสม (ตามที่ระะบุไว้ในนโยบาย)
• ยกเลิกการใช้งาน SNMP หรือใช้งานโดยทำการตั้งค่า Community string ให้ยากต่อการเดา
ลิงก์ที่เกี่ยวข้อง
• Cisco Router Security Configuration Guide Part 1
ที่มา
• http://www.thaicert.nectec.or.th/paper/basic/router_guide.php
1. เปิดใช้งานความสามารถในการเก็บบันทึกค่าการทำงานของ Router เพื่อใช้เก็บบันทึกค่าการทำงานและความผิดพลาดต่างๆ ที่เกิดขึ้น และส่งแพ็กเก็ตไปยังเครื่องคอมพิวเตอร์ที่ใช้ในการเก็บ Syslog บนในเครือข่ายที่น่าเชื่อถือ โดยจะต้องแน่ใจว่าเส้นทางที่ส่งข้อมูลเป็นเครือข่ายที่น่าเชื่อถือ
วิธีการเปิดใช้งานบน Cisco Router มีวิธีการดังต่อไปนี้
Cisco_Router1 (config) # logging on
Cisco_Router1 (config) # logging 10.1.1.200
Cisco_Router1 (config) # logging buffered
Cisco_Router1 (config) # logging console critical
Cisco_Router1 (config) # logging trap debugging
Cisco_Router1 (config) # logging facility local1
2. กำหนดค่าการทำงานของ Router โดยให้เก็บค่าเวลาลงในบันทึกการทำงานลงในล็อกด้วย โดยการตั้งค่าเวลาจากเครื่องเซิร์ฟเวอร์ NTP ที่แตกต่างกันอย่างน้อย 2 เครื่อง เพื่อให้ค่าที่ได้มีความถูกต้อง ซึ่งจะช่วยให้ผู้ดูแลระบบติดตามเหตุการณ์การบุกรุกเครือข่ายได้สะดวกแม่นยำ มีวิธีการดังตัวอย่างด้านล่าง
service timestamps log datetime localtime show-timezone
clock timezone EST -5
clock summer-time EDT recurring
ntp source Ethernet 0/1
ntp server 192.5.41.40
ntp server 192.5.41.41
3. หากมีการใช้งาน SNMP ใช้เลือกใช้ SNMP community string ที่ยากต่อการเดา คำสั่งที่ได้แสดงไว้ดังตัวอย่างด้านล่างแสดงให้เห็นถึงวิธีการในการลบค่าดีฟอลท์ Community string ของ Router และควรกำหนดให้ Community string เป็นแบบอ่านอย่างเดียว
Cisco_Router1 (config) # no snmp community public
Cisco_Router1 (config) # no snmp community private
Cisco_Router1 (config) # snmp community SEC>Ever1
Checklist ความปลอดภัย
Checklist ความปลอดภัยต่อไปนี้ออกแบบขึ้นมาเพื่อเป็นเครื่องช่วยในการตรวจสอบความปลอดภัยในการกำหนดค่าการทำงานให้กับ Router และช่วยทบทวนถึงรายละเอียดความปลอดภัยทั้งหมดที่เกี่ยวข้อง
• มีการเขียน ตรวจสอบรับรอง และประกาศใช้งานนโยบายความปลอดภัยของ Router
• ตรวจสอบเวอร์ชันของ IOS ของตัว Router ว่ามีความทันสมัยหรือไม่
• ตรวจสอบค่าคอนฟิกของ Router ที่ใช้งานว่ามีความถูกต้องชัดเจน มีการแบ็กอัพ และถูกจำกัดการเข้าถึง หรือไม่
• ตรวจสอบว่ามีการกำหนดรายละเอียดของค่าการทำงานของ Router ไว้อย่างชัดเจน มีคำอธิบายที่ครบถ้วนหรือไม่
• มีการกำหนดผู้รับผิดชอบ และมีการดูแลตรวจสอบรายชื่อผู้ใช้ Router และรหัสผ่านหรือไม่
• กำหนดรหัสผ่านที่ยากต่อการเดา และจำกัดจำนวนผู้ที่ทราบค่ารหัสผ่าน
• จำกัดการเข้าถึง Router โดยการควบคุมที่ Console, Aux และ VTY
• ยกเลิกหรือปิดบริการทุกอย่างของเครือข่ายที่ไม่จำเป็นต้องใช้งาน
• ปิดอินเทอร์เฟซทั้งหมดที่ไม่มีการใช้งาน
• ยกเลิกหรือปิดบริการที่มีความเสี่ยงที่อินเทอร์เฟซ
• กำหนดพอร์ตและโปรโตคอลที่จำเป็นต้องใช้งานในเครือข่ายให้ชัดเจน พร้อมทั้งทำการตรวจสอบด้านความปลอดภัยให้แน่ใจก่อนเปิดใช้งาน
• ใช้ Access List จำกัดความหนาแน่นในการใช้งานเครือข่าย โดยกำหนดตามพอร์ตและโปรโตคอลที่ใช้
• ใช้ Access List เพื่อสกัดกั้นการใช้หมายเลขไอพีที่สำรองไว้หรือหมายเลขไอพีที่ไม่เหมาะสม
• ใช้งานการตั้งค่าการเลือกเส้นทางแบบ Static หากจำเป็น
• โปรโตคอลที่ใช้ในการเลือกเส้นทางจะต้องถูกกำหนดให้ถูกต้องตามวิธีการที่ใช้
• เปิดใช้งานการบันทึกค่าการทำงานลงในล็อก และกำหนดเครื่องที่ใช้ในการรับและเก็บล็อก (ต้องได้รับการตั้งค่าให้ถูกต้อง)
• ตรวจสอบค่าเวลาของ Router ให้มีความถูกต้องเที่ยงตรง และควรได้รับการจัดการผ่านทาง NTP
• บันทึกค่าการทำงานลงในล็อก โดยกำหนดให้รวมข้อมูลของเวลาที่เกิดเหตุการณ์ต่างๆ ไว้ด้วย
• ตรวจสอบ พิจารณาและเก็บบันทึกการทำงานที่เกิดขึ้นในล็อกคามความเหมาะสม (ตามที่ระะบุไว้ในนโยบาย)
• ยกเลิกการใช้งาน SNMP หรือใช้งานโดยทำการตั้งค่า Community string ให้ยากต่อการเดา
ลิงก์ที่เกี่ยวข้อง
• Cisco Router Security Configuration Guide Part 1
ที่มา
• http://www.thaicert.nectec.or.th/paper/basic/router_guide.php