การคอนฟิก Cisco Router เบื้องต้น
Router นั้นเป็นอุปกรณ์สำคัญตัวหนึ่งบนระบบเครือข่ายคอมพิวเตอร์ ทำหน้าที่รับ-ส่งข้อมูลระหว่างเครือข่ายต่างๆ Router นั้นมีการทำงานที่ซับซ้อนกว่าอุปกรณ์เครือข่ายอื่นๆ อย่าง Hub หรือ Switch และจะต้องมีการคอนฟิกระบบให้เหมาะสมกับระบบเครือข่ายก่อนจึงจะสามารถทำงานได้
สำหรับบทความนี้เป็นตอนที่ 1 จาก 2 ตอน ซึ่งจะอธิบายถึงคำแนะนำในการปรับแต่งค่าคอนฟิก Router ของ Cisco เพื่อให้มีความปลอดภัยจากการใช้งาน โดยคำสั่งต่างๆ นั้น จะอ้างอิงจากชุดคำสั่งของ Cisco อย่างไรก็ตาม ท่านสามารถนำคำแนะนำต่างๆ เหล่านี้ไปประยุกต์ใช้ให้เหมาะสมกับระบบเครือข่าย (รวมถึง Router ยี่ห้ออื่นๆ)
คำแนะนำโดยทั่วไปเกี่ยวกับการคอนฟิก Router
1. ควรสร้างนโยบายความปลอดภัยของ Router และปรับแต่งให้เหมาะสมอยู่เสมอ โดยในนโยบายนั้น ควรทำการระบุว่าผู้ใดบ้างได้รับอนุญาตให้เข้าใช้งาน Router และผู้ใดบ้างได้รับอนุญาตให้ปรับแต่งแก้ไขและอัพเดตการทำงานของ Router รวมทั้งเก็บบันทึกค่าการเข้าใช้งานและการปรับแต่งค่าทั้งหมดที่เกิดขึ้นจริงกับ Router
2. ให้คำอธิบายและเก็บบันทึกไฟล์ ที่ใช้กำหนดคอนฟิกของ Router การกระทำดังกล่าวนี้อาจจะดูเหมือนเป็นสิ่งง่ายเมื่อเปรียบเทียบกับความ ปลอดภัยที่จะได้รับ นอกจากนั้น ควรเก็บสำเนาคอนฟิกของ Router ทั้งหมดที่เหมือนกับคอนฟิกจริงที่ใช้งานไว้ตลอดเวลา (หากมีการแก้ไขคอนฟิกที่ Router ก็จะต้องแก้ไขค่าที่เก็บสำเนาไว้ด้วย) การกระทำดังกล่าวนี้จะช่วยให้สามารถตรวจสอบความเปลี่ยนแปลงที่เกิดขึ้นเมื่อ ถูกบุกรุก หรือใช้กู้คืนค่าดังกล่าวมาใช้งานเมื่อเกิดความเสียหายได้
3. สร้าง Access List เพื่อควบคุมการผ่านเข้าออกเครือข่าย โดยอนุญาตให้เฉพาะโปรโตคอล (Protocol) และบริการ (Service) ที่ผู้ใช้งานเครือข่ายจำเป็นต้องใช้เท่านั้น นอกเหนือจากนั้นจะไม่อนุญาตให้ผ่านเครือข่ายทั้งหมด
4. อัพเดท IOS ให้เป็นเวอร์ชันล่าสุดที่เป็นไปได้อยู่เสมอ โดยสอบถามข้อมูลเวอร์ชันที่เหมาะสมได้จากผู้แทนจำหน่ายหรือจากเว็บไซต์ของ Cisco (http://www.cisco.com)
5. ทดสอบความปลอดภัยโดยทั่วไปของ Router อยู่เสมอ โดยเฉพาะอย่างยิ่งเมื่อมีการเปลี่ยนแปลงคอนฟิกที่สำคัญของ Router
คำแนะนำเกี่ยวกับการเข้าถึง Router
1. ปิดความสามารถในการทำงานต่างๆ ของ Router ที่ไม่จำเป็นต้องใช้งาน เพื่อประหยัดพื้นที่หน่วยความจำและลดการทำงานของโปรเซสเซอร์ของ Router วิธีการดูว่ามีโปรเซสอะไรกำลังทำงานอยู่บ้างทำได้โดยการใช้คำสั่ง show proc ที่ Router แล้วสั่งปิดบริการทั้งหมดที่แน่ใจว่าไม่จำเป็นต้องใช้งาน โดยทั่วไป การทำงานของ Router ที่สามารถปิดการทำงานได้ ได้แก่
• Small services ปิดการทำงานด้วคำสั่ง no service tcp-small-servers
(echo, discard, chargen, etc.) ปิดการทำงานด้วคำสั่ง no service udp-small-servers
• BOOTP ปิดการทำงานด้วยคำสั่ง no ip bootp server
• Finger ปิดการทำงานด้วยคำสั่ง no service finger
• HTTP ปิดการทำงานด้วยคำสั่ง no ip http server
• Identd ปิดการทำงานด้วยคำสั่ง no ip identd (เฉพาะบางเวอร์ชันของ IOS)
• SNMP ปิดการทำงานด้วยคำสั่ง no snmp-server
2. ปิดการให้บริการต่างๆ ของ Router ที่ไม่จำเป็นต้องใช้ของ บริการเหล่านี้ใช้เพื่อการอนุญาตให้ส่งแพ็กเก็ตหลายชนิดผ่าน Router หรือส่งแพ็กเก็ตชนิดพิเศษบางชนิด หรือใช้เพื่อการปรับแต่งคอนฟิกของ Router จากแบบรีโมต โดยทั่วไป บริการของ Router ที่สามารถทำการปิดบริการได้ ได้แก่
• CDP ปิดบริการด้วยคำสั่ง no cdp run
• Remote config ปิดบริการด้วยคำสั่ง no service config
• Source routing ปิดบริการด้วยคำสั่ง no ip source-route
3. เพิ่มความปลอดภัยให้กับอินเทอร์เฟซของ Router โดยการใช้คำสั่งดังต่อไปนี้กำหนดไว้ที่ทุกอินเทอร์เฟซ (จะต้องทำที่โหมดของการกำหนดค่าให้อินเทอร์เฟซ)
• Unused interfaces ให้รันคำสั่ง shutdown
• No Smurf attacks ให้รันคำสั่ง no ip directed-broadcast
• Ad-hoc routing ให้รันคำสั่ง no ip proxy-arp
4. เพิ่มความปลอดภัยให้กับการติดต่อกับ Console line, Auxiliary line และ Virtual terminal line ของ Router มีความปลอดภัยมากขึ้นได้โดยการใช้คำสั่งดังต่อไปนี้ กำหนดไว้ที่ Console line และ Virtual terminal line (ดังตัวอย่างด้านล่าง) ส่วน auxiliary line หากไม่มีการใช้งานควรถูกปิด ตามตัวอย่างด้านล่าง
• Console Line
line con 0
exec-timeout 5 0
login
transport input telnet
• Auxiliary Line
line aux 0
no exec
exec-timeout 0 10
transport input telnet
• VTY lines
line vty 0 4
exec-timeout 5 0
login
transport input telnet
5. ควรเลือกใช้รหัสให้มีความปลอดภัยมากที่สุดเท่าที่จะทำได้ โดยเปิดใช้การตั้งค่ารหัสผ่านแบบ Enable Secret ซึ่งเป็นการเข้ารหัสของรหัสผ่านด้วยอัลกอริทึม MD-5 นอกจากนี้ ควรตั้งรหัสผ่านไว้สำหรับการเชื่อมต่อผ่านทาง Console line, Auxiliary line และ virtual terminal line ด้วย โดยค่ารหัสผ่านที่ตั้งให้กับแต่ละ Line นี้ควรได้รับการปกป้องในเบื้องต้นโดยการเรียกใช้คำสั่ง service password-encryption เพื่อให้เกิดการเข้ารหัสสำหรับรหัสผ่านทั้งหมด รายละเอียดดังตัวอย่างด้านล่าง
• Enable secret enable secret 0 2manyRt3s
• Console Line
line con 0
password Soda-4-jimmY
• Auxiliary Line
line aux 0
password Popcorn-4-sara
• VTY Lines
line vty 0 4
password Dots-4-grorg3
• Basic protection
service password-encryption
6. เก็บค่าคอนฟิก Router เป็นความลับเฉพาะผู้ที่มีส่วนเกี่ยวข้องหรือได้รับมอบหมาย ไม่ทำการเปิดเผยรายละเอียดการคอนฟิกและไฟล์คอนฟิกแก่ผู้ที่ไม่ได้รับอนุญาตโดยเด็ดขาด
ลิงก์ที่เกี่ยวข้อง
• Cisco Router Security Configuration Guide Part 2
• Configuring IP Access Lists in Cisco Router
ที่มา
• http://www.thaicert.nectec.or.th/paper/basic/Router_guide.php
No comments:
Post a Comment
เชิญแลกเปลี่ยนความคิดเห็น ขอสงวนสิทธิ์ในการเผยแพร่ข้อความ HTML