การคอนฟิก Cisco Router เบื้องต้น
Router นั้นเป็นอุปกรณ์สำคัญตัวหนึ่งบนระบบเครือข่ายคอมพิวเตอร์ ทำหน้าที่รับ-ส่งข้อมูลระหว่างเครือข่ายต่างๆ Router นั้นมีการทำงานที่ซับซ้อนกว่าอุปกรณ์เครือข่ายอื่นๆ อย่าง Hub หรือ Switch และจะต้องมีการคอนฟิกระบบให้เหมาะสมกับระบบเครือข่ายก่อนจึงจะสามารถทำงานได้
สำหรับบทความนี้เป็นตอนที่ 1 จาก 2 ตอน ซึ่งจะอธิบายถึงคำแนะนำในการปรับแต่งค่าคอนฟิก Router ของ Cisco เพื่อให้มีความปลอดภัยจากการใช้งาน โดยคำสั่งต่างๆ นั้น จะอ้างอิงจากชุดคำสั่งของ Cisco อย่างไรก็ตาม ท่านสามารถนำคำแนะนำต่างๆ เหล่านี้ไปประยุกต์ใช้ให้เหมาะสมกับระบบเครือข่าย (รวมถึง Router ยี่ห้ออื่นๆ)
คำแนะนำโดยทั่วไปเกี่ยวกับการคอนฟิก Router
1. ควรสร้างนโยบายความปลอดภัยของ Router และปรับแต่งให้เหมาะสมอยู่เสมอ โดยในนโยบายนั้น ควรทำการระบุว่าผู้ใดบ้างได้รับอนุญาตให้เข้าใช้งาน Router และผู้ใดบ้างได้รับอนุญาตให้ปรับแต่งแก้ไขและอัพเดตการทำงานของ Router รวมทั้งเก็บบันทึกค่าการเข้าใช้งานและการปรับแต่งค่าทั้งหมดที่เกิดขึ้นจริงกับ Router
2. ให้คำอธิบายและเก็บบันทึกไฟล์ ที่ใช้กำหนดคอนฟิกของ Router การกระทำดังกล่าวนี้อาจจะดูเหมือนเป็นสิ่งง่ายเมื่อเปรียบเทียบกับความ ปลอดภัยที่จะได้รับ นอกจากนั้น ควรเก็บสำเนาคอนฟิกของ Router ทั้งหมดที่เหมือนกับคอนฟิกจริงที่ใช้งานไว้ตลอดเวลา (หากมีการแก้ไขคอนฟิกที่ Router ก็จะต้องแก้ไขค่าที่เก็บสำเนาไว้ด้วย) การกระทำดังกล่าวนี้จะช่วยให้สามารถตรวจสอบความเปลี่ยนแปลงที่เกิดขึ้นเมื่อ ถูกบุกรุก หรือใช้กู้คืนค่าดังกล่าวมาใช้งานเมื่อเกิดความเสียหายได้
3. สร้าง Access List เพื่อควบคุมการผ่านเข้าออกเครือข่าย โดยอนุญาตให้เฉพาะโปรโตคอล (Protocol) และบริการ (Service) ที่ผู้ใช้งานเครือข่ายจำเป็นต้องใช้เท่านั้น นอกเหนือจากนั้นจะไม่อนุญาตให้ผ่านเครือข่ายทั้งหมด
4. อัพเดท IOS ให้เป็นเวอร์ชันล่าสุดที่เป็นไปได้อยู่เสมอ โดยสอบถามข้อมูลเวอร์ชันที่เหมาะสมได้จากผู้แทนจำหน่ายหรือจากเว็บไซต์ของ Cisco (http://www.cisco.com)
5. ทดสอบความปลอดภัยโดยทั่วไปของ Router อยู่เสมอ โดยเฉพาะอย่างยิ่งเมื่อมีการเปลี่ยนแปลงคอนฟิกที่สำคัญของ Router
คำแนะนำเกี่ยวกับการเข้าถึง Router
1. ปิดความสามารถในการทำงานต่างๆ ของ Router ที่ไม่จำเป็นต้องใช้งาน เพื่อประหยัดพื้นที่หน่วยความจำและลดการทำงานของโปรเซสเซอร์ของ Router วิธีการดูว่ามีโปรเซสอะไรกำลังทำงานอยู่บ้างทำได้โดยการใช้คำสั่ง show proc ที่ Router แล้วสั่งปิดบริการทั้งหมดที่แน่ใจว่าไม่จำเป็นต้องใช้งาน โดยทั่วไป การทำงานของ Router ที่สามารถปิดการทำงานได้ ได้แก่
• Small services ปิดการทำงานด้วคำสั่ง no service tcp-small-servers
(echo, discard, chargen, etc.) ปิดการทำงานด้วคำสั่ง no service udp-small-servers
• BOOTP ปิดการทำงานด้วยคำสั่ง no ip bootp server
• Finger ปิดการทำงานด้วยคำสั่ง no service finger
• HTTP ปิดการทำงานด้วยคำสั่ง no ip http server
• Identd ปิดการทำงานด้วยคำสั่ง no ip identd (เฉพาะบางเวอร์ชันของ IOS)
• SNMP ปิดการทำงานด้วยคำสั่ง no snmp-server
2. ปิดการให้บริการต่างๆ ของ Router ที่ไม่จำเป็นต้องใช้ของ บริการเหล่านี้ใช้เพื่อการอนุญาตให้ส่งแพ็กเก็ตหลายชนิดผ่าน Router หรือส่งแพ็กเก็ตชนิดพิเศษบางชนิด หรือใช้เพื่อการปรับแต่งคอนฟิกของ Router จากแบบรีโมต โดยทั่วไป บริการของ Router ที่สามารถทำการปิดบริการได้ ได้แก่
• CDP ปิดบริการด้วยคำสั่ง no cdp run
• Remote config ปิดบริการด้วยคำสั่ง no service config
• Source routing ปิดบริการด้วยคำสั่ง no ip source-route
3. เพิ่มความปลอดภัยให้กับอินเทอร์เฟซของ Router โดยการใช้คำสั่งดังต่อไปนี้กำหนดไว้ที่ทุกอินเทอร์เฟซ (จะต้องทำที่โหมดของการกำหนดค่าให้อินเทอร์เฟซ)
• Unused interfaces ให้รันคำสั่ง shutdown
• No Smurf attacks ให้รันคำสั่ง no ip directed-broadcast
• Ad-hoc routing ให้รันคำสั่ง no ip proxy-arp
4. เพิ่มความปลอดภัยให้กับการติดต่อกับ Console line, Auxiliary line และ Virtual terminal line ของ Router มีความปลอดภัยมากขึ้นได้โดยการใช้คำสั่งดังต่อไปนี้ กำหนดไว้ที่ Console line และ Virtual terminal line (ดังตัวอย่างด้านล่าง) ส่วน auxiliary line หากไม่มีการใช้งานควรถูกปิด ตามตัวอย่างด้านล่าง
• Console Line
line con 0
exec-timeout 5 0
login
transport input telnet
• Auxiliary Line
line aux 0
no exec
exec-timeout 0 10
transport input telnet
• VTY lines
line vty 0 4
exec-timeout 5 0
login
transport input telnet
5. ควรเลือกใช้รหัสให้มีความปลอดภัยมากที่สุดเท่าที่จะทำได้ โดยเปิดใช้การตั้งค่ารหัสผ่านแบบ Enable Secret ซึ่งเป็นการเข้ารหัสของรหัสผ่านด้วยอัลกอริทึม MD-5 นอกจากนี้ ควรตั้งรหัสผ่านไว้สำหรับการเชื่อมต่อผ่านทาง Console line, Auxiliary line และ virtual terminal line ด้วย โดยค่ารหัสผ่านที่ตั้งให้กับแต่ละ Line นี้ควรได้รับการปกป้องในเบื้องต้นโดยการเรียกใช้คำสั่ง service password-encryption เพื่อให้เกิดการเข้ารหัสสำหรับรหัสผ่านทั้งหมด รายละเอียดดังตัวอย่างด้านล่าง
• Enable secret enable secret 0 2manyRt3s
• Console Line
line con 0
password Soda-4-jimmY
• Auxiliary Line
line aux 0
password Popcorn-4-sara
• VTY Lines
line vty 0 4
password Dots-4-grorg3
• Basic protection
service password-encryption
6. เก็บค่าคอนฟิก Router เป็นความลับเฉพาะผู้ที่มีส่วนเกี่ยวข้องหรือได้รับมอบหมาย ไม่ทำการเปิดเผยรายละเอียดการคอนฟิกและไฟล์คอนฟิกแก่ผู้ที่ไม่ได้รับอนุญาตโดยเด็ดขาด
ลิงก์ที่เกี่ยวข้อง
• Cisco Router Security Configuration Guide Part 2
• Configuring IP Access Lists in Cisco Router
ที่มา
• http://www.thaicert.nectec.or.th/paper/basic/Router_guide.php
Wednesday, February 21, 2007
Cisco Router Security Configuration Guide Part 1
Related Posts:
ไมโครซอฟท์ออกแพตช์ (MS13-008) แก้ช่องโหว่ Zero-Day ใน Internet Explorer 8 และเก่ากว่าแล้วไมโครซอฟท์ออกแพตซ์หรืออัปเดทหมายเลข MS13-008 เป็นกรณีเร่งด่วน (Out-of-Band) เพื่อแก้ช่องโหว่ความปลอดภัย Zero-Day ที่มีความรุนแรงวิกฤตใน Internet Explorer 6, Internet Explorer 7 และ Internet Explorer 8 ซึ่งสามารถใช้โจมตีระบบจา… Read More
ไมโครซอฟท์ออก Fix it สำหรับป้องกันการโจมตี Internet Explorer 9 และเก่ากว่า - ประยุกต์ใช้ทันทีเพื่อความปลอดภัยไมโครซอฟท์ออกเครื่องมือ Fix it สำหรับป้องกันการโจมตีผ่านช่องโหว่ความปลอดภัยแบบ Zero-Day ใน Internet Explorer แล้ว โดยช่องโหว่ความปลอดภัยดังกล่าวนี้มีผลกระทบกับ Internet Explorer 6, Internet Explorer 7, Internet Explorer 8 และ… Read More
ไมโครซอฟท์ออก Fix it สำหรับป้องกันการโจมตี Internet Explorer 8 และเก่ากว่า - ประยุกต์ใช้ทันทีเพื่อความปลอดภัย15 มกราคม 2556: ไมโครซอฟท์ออกอัปเดท MS13-008 แก้ช่องโหว่ 0-day ใน IE8 และเก่ากว่า แล้ว ไมโครซอฟท์ออกเครื่องมือ Fix it สำหรับป้องกันการโจมตีผ่านช่องโหว่ความปลอดภัยใน Internet Explorer 6, Internet Explorer 7 และ Internet Explo… Read More
Microsoft updated Windows to permanently revoke all certificates issued by DigiNotarไมโครซอฟท์ออกอัพเดท KB2607712 เพื่อยกเลิก Certificate ปลอมที่ออกโดย DigiNotar บน Windows ทุกเวอร์ชันแบบถาวรแล้ว สืบเนื่องจากปัญหาเซอร์ติฟิเคทปลอม (Fraudulent Certificate) ที่ออกโดย DigiNotar ซึ่งมีอยู่ใน Windows XP, Windows V… Read More
ไมโครซอฟท์จะออกแพตช์เพื่อแก้ช่องโหว่ Zero-Day ใน Internet Explorer 8 และเก่ากว่า ในวันที่ 14 มกราคม 255615 มกราคม 2556: ไมโครซอฟท์ออกอัปเดท MS13-008 แก้ช่องโหว่ 0-day ใน IE8 และเก่ากว่า แล้ว ไมโครซอฟท์ประกาศออกแพตช์ (Patch) เป็นกรณีเร่งด่วน (Out-of-Band) เพื่อแก้ช่องโหว่ความปลอดภัย Zero-Day ที่มีความรุนแรงวิกฤตในที่พบใน Intern… Read More
0 Comment:
Post a Comment