Lỗi cấu hình an ninh trên thiết bị hạ tầng mạng: nguy cơ và giải pháp -P2 (khảo sát)

nktung

Super Moderator
Thành viên BQT
08/10/2013
401
989 bài viết
Lỗi cấu hình an ninh trên thiết bị hạ tầng mạng: nguy cơ và giải pháp -P2 (khảo sát)
Như ở phần 1, mình đã nêu tổng quan những nguy cơ có thể xảy ra do lỗi cấu hình an ninh trên thiết bị mạng doanh nghiệp. Vậy làm thế nào để có thể biết được trong một hệ thống mạng có những lỗi cấu hình nào, để từ đó khắc phục. Trong phần 2 này mình chia sẻ cách tiếp cận để giải quyết vấn đề trên như sau:
- Đầu tiên cần phải nắm được cấu trúc của một hệ thống mạng đang được sử dụng doanh nghiệp
- tiếp theo, phân tích những lỗi cấu hình thường gặp trên cấu trúc mạng doanh nghiệp đó
Mô hình hệ thống mạng doanh nghiệp
Dưới đây là mô hình thiết kế một mạng máy tính điển hình trong doanh nghiệp do Cisco đề xuất. Mô hình thiết kế này được sử dụng rộng rãi trong hệ thống mạng của các doanh nghiệp. Phạm vi của bài viết này là chỉ khảo sát hệ thống mạng là tại trụ sở chính của doanh nghiệp đó. Tức là không bao gồm hệ thống mạng diện rộng (WAN).
1489939952cisco 3 layer.png


Cấu trúc mạng thường được thiết kế theo mô hình 3 tầng như trên hình. Thiết kế này nếu tuân thủ sẽ đảm bảo cho hệ thống mạng có tính sẵn sàng, linh hoạt, an ninh, tính quản lý. Được phân thành các tầng:
  • Tầng truy nhập (Access layer): để kết nối các thiết bị đầu cuối của người dùng vào mạng. Thông thường tầng Access bao gồm các thiết bị chuyển mạch (switch lớp 2), thiết bị định tuyến không dây (wireless router). Các thiết bị chuyển mạch, thiết bị định tuyến không dây ở tầng này hiện nay có những tính năng an ninh để chống lại sự tấn công của hacker .
  • Tầng phân phối (Distribution layer): thực hiện gom lưu lượng từ tầng truy nhập và gửi tới tầng lõi để tầng lõi thực hiện định tuyến tới đích. Tầng phân phối có nhiều chức năng bao gồm định tuyến, chuyển mạch, thực hiện các chính sách truy nhập mạng, phân loại dịch vụ, đảm bảo tính dự phòng về mặt thiết bị và kết nối. Các thiết bị ở tầng này thường là bộ định tuyến (router) hoặc thiết bị chuyển mạch lớp 3. Các thiết bị này có những tính năng an ninh để đảm bảo xác thực thông tin định tuyến được gửi giữa các thiết bị
  • Tầng lõi: thực hiện gom lưu lượng từ tất cả các thiết bị ở tầng phân phối và chuyển tiếp lưu lượng này tới các trung tâm dữ liệu, trung tâm dịch vụ, hoặc ra mạng diện rộng. Thiết bị hoạt động ở tầng này là thiết bị chuyển mạch lớp 3 với khả năng chuyển mạch tốc độ cao.
Cũng theo Cisco, bên cạnh mô hình thiết kế 3 tầng, mạng doanh nghiệp còn có thể thiết kế kiểu 2 tầng như hình dưới.
1489939952cisco 2 layer.png


Ở mô hình 2 tầng, tầng phân phối và tầng lõi được gộp lại thành một tầng gọi là tầng lõi rút gọn (collapsed core). Lợi ích chính của kiểu thiết kế này là tiết kiệm chi phí mua thiết bị. Với những doanh nghiệp vừa và nhỏ, nơi không có sự tăng trưởng đột biến về quy mô, thì thiết kế này hoàn toàn đáp ứng được nhu cầu sử dụng, nhưng vẫn thỏa mãn các tính chất của một hệ thống mạng là tính sẵn sàng, khả năng mở rộng và tối đa hiệu năng hoạt động. Thiết bị ở tầng lõi thường là thiết bị chuyển mạch lớp 3.
 
Chỉnh sửa lần cuối:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Theo cách tiếp cận mô hình thiết kế mạng phân tầng như ở phần trên, chúng ta có thể chỉ ra những lỗi cấu hình an ninh trên thiết bị, thường gặp ở mỗi tầng.

1489939952Capture2.PNG


Hình. Dựa vào mô hình thiết kế mạng để chỉ ra lỗi cấu hình an ninh

Như ở hình trên, chúng ta sẽ chỉ ra những lỗi cấu hình an ninh trên:
- Thiết bị tầng truy nhập (Access Layer)
- Thiết bị tầng phân phối (Distribution Layer)
- Thiết bị tầng lõi (Core Layer)
- Lỗi cấu hình trong việc quản lý thiết bị, trong bài viết này sẽ gọi tắt là: lỗi cấu hình quản lý (Management). Mỗi thiết bị mạng khi đưa vào sử dụng cần phải được quản trị viên cấu hình những tham số để quản lý thiết bị đó, ví dụ như:
  • Giao thức truy cập từ xa (Telnet, SSH, HTTP...),
  • Cấu hình tài khoản truy cập,
  • Giao thức quản lý mạng SNMP,
  • Giao thức truyền file để (gửi/nhận) dữ liệu (đến/từ) thiết bị (FTP, TFTP,FTPS,...),
  • Cách thức lưu trữ file nhật ký hoạt động
Capture2.jpg
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Các lỗi liên quan đến cấu hình quản lý thiết bị

- Sử dụng giao thức TELNET để truy cập thiết bị từ xa: TELNET (viết tắt của TErminaL NETwork) là một giao thức mạng (network protocol) được dùng để truy cập từ xa đến một thiết bị mạng (switch, router, server...) để quản trị. TELNET là một giao thức giữa client-server, dựa trên một kết nối tin cậy. Giao thức này hoạt động ở tầng 7 và sử dụng giao thức TCP cổng 23. Tuy nhiên TELNET không an toàn vì theo mặc định, không mã hóa thông tin khi gửi trên đường truyền, và vì vậy có khả năng bị nghe trộm. TELNET là giao thức rất dễ bị tấn công bằng các kỹ thuật: Đánh hơi phiên TELNET (Telnet communication sniffing), tấn công vét cạn (Telnet brute force attack), tấn công từ chối dịch vụ (Telnet DoS – Denial of Service).
Chính vì lý do trên mà các tài liệu đều khuyến nghị sử dụng giao thức SSH (SecureShell) để truy cập tới thiết bị từ xa, thay thế cho TELNET (cần tắt giao thức TELNET trên thiết bị). SSH là giao thức thực hiện mã hóa thông tin trao đổi giữa máy tính của người quản trị và thiết bị. Do vậy khi sử dụng SSH sẽ đảm bảo tính bí mật cho thông tin được gửi đi. Ngoài ra SSH còn hỗ trợ cơ chế xác thực thông tin.
- Sử dụng giao thức HTTP để truy cập giao diện quản lý thiết bị: khi sử dụng HTTP, các thông tin trao đổi giữa máy tính của người quản trị và thiết bị sẽ ở dạng bản rõ. Kẻ tấn công có thể chặn bắt và xem được các thông tin này. Vì vậy, theo khuyến nghị, cần sử dụng giao thức HTTPS để truy cập vào thiết bị để quản lý thay cho giao thức HTTP (tắt giao thức HTTP trên thiết bị). Giao thức HTTPS sử dụng giao thức TLS/SSL(Transport Layer Security/Secure Socket Layer) để xác thực website, bảo đảm tính bí mật và tính toàn vẹn cho thông tin.
- Sử dụng giao thức truyền file TFTP: để copy các file cấu hình từ thiết bị đến máy chủ lưu trữ và ngược lại. Giao thức TFTP dựa trên giao thức UDP, ưu điểm là nhanh nhưng không có cơ chế báo nhận tin cậy, dẫn đến có thể xảy ra bị lỗi file cấu hình khi truyền. Khuyến nghị dùng giao thức FTP (sử dụng TCP) hoặc các giao thức an toàn như SSH-FTP để copy file cấu hình từ thiết bị đến máy chủ lưu trữ hoặc ngược lại.
- Không ngăn người dùng truy cập đến giao diện quản lý: Giao diện quản lý của thiết bị là một địa chỉ IP mà khi quản trị viên truy cập tới, sẽ cung cấp giao diện để quản lý thiết bị trên. Theo khuyến nghị thì chỉ có máy tính của quản trị viên mới được phép truy cập tới địa chỉ quản lý này. Bởi vì nếu bất kỳ một nhân viên nào đó có thể ngồi từ máy tính của mình và truy xuất đến giao diện quản lý của thiết bị, thì có thể xảy ra những tình huống tấn công vào giao diện quản lý, ví dụ như tấn công DoS. Để thực hiện việc ngăn chặn này, cần sử dụng kỹ thuật điều khiển truy cập, chỉ cho phép các máy tính của quản trị viên có thể truy xuất tới giao diện quản lý của thiết bị mà thôi.
1489939952giao dien quan ly.png

Hình. Cấu hình chỉ cho phép quản trị viên truy cập quản lý thiết bị
- Sử dụng giao thức quản trị mạng đơn giản SNMPv1 hoặc SNMPv2c: giao thức SNMP được sử dụng để quản lý các thiết bị mạng, cho phép người quản trị có thể xem thông tin trạng thái hoặc cấu hình trên thiết bị. Tuy nhiên nếu sử dụng SNMPv1 hoặc SNMPv2c, cả hai giao thức này đều không xác thực nguồn gốc thông tin được gửi từ máy quản lý đến. Bên cạnh đó, 2 giao thức trên cũng không hỗ trợ việc mã hóa thông tin. Do vậy hệ quả là các thông tin được truyền giữa máy của người quản lý và thiết bị có thể bị giả mạo bị xem trộm. Vì lý do đó theo khuyến nghị cần sử dụng giao thức SNMPv3. Giao thức SNMPv3 hỗ trợ mã hóa thông tin, xác thực nguồn gốc thông tin và đảm bảo tính toàn vẹn.
- Cài đặt mật khẩu xác thực cục bộ trên thiết bị: khi cài mật khẩu xác thực ngay trên thiết bị, thiết bị sẽ phải làm thêm công việc xác thực. Hơn nữa nếu trong mạng có nhiều thiết bị, sẽ khó quản lý tập trung. Khi xảy ra sự cố an ninh, sẽ rất khó khăn cho quản trị viên khi điều tra vì các thông tin nhật ký truy cập phân tán trên các thiết bị khác nhau. Vì vậy theo khuyến nghị cần thực hiện xác thực tập trung trên máy chủ AAA (Authenticatio - Authorization- Accounting). Máy chủ AAA sử dụng giao thức TACACS+ (Terminal Access Controller Access-Control System+) cung cấp chức năng xác thực tập trung cho các truy cập quản lý vào thiết bị. Tài khoản truy cập được lưu trên máy chủ AAA. Khi truy cập vào thiết bị, người quản trị nhập username và password. Thiết bị sẽ gửi thông tin này tới máy chủ AAA để yêu cầu xem xét. Nếu tài khoản trên tồn tại trên AAA thì AAA sẽ gửi thông tin phản hồi tới thiết bị để cho phép đăng nhập. Khi xác thực tập trung trên máy chủ AAA, bản thân thiết bị không phải thực hiện chức năng xác thực nữa. Bên cạnh đó, nhật ký truy nhập thiết bị được lưu trữ tập trung trên máy chủ AAA, hỗ trợ cho việc điều tra các sự cố an ninh.
1489939952AAA.png

Hình. Quá trình xác thực, cấp quyền và ghi nhật ký trên máy chủ AAA​
- Không mã hóa các mật khẩu lưu trên thiết bị: trên thiết bị mạng của hãng Cisco, một số dạng mật khẩu sau khi được cấu hình trên thiết bị mạng, sẽ lưu ở ở dạng bản rõ. Nếu người quản trị không thực hiện công việc mã hóa mật khẩu dạng bản rõ, kẻ tấn công có thể xem được mật khẩu nếu file cấu hình bị đánh cắp và xem.

- Không cấu hình đồng bộ về thời gian: trong một hệ thống mạng cần phải có máy chủ thời gian (NTP - Network Time Protocol Server). Các thiết bị mạng cần lấy đồng bộ thời gian theo máy chủ này. Như vậy các thiết bị trong mạng sẽ được đồng bộ về mặt thời gian. Khi cần truy vết những sự kiện an ninh, các mốc thời gian sẽ chính xác. Nếu không có NTP Server, đồng hồ cục bộ trên các thiết bị có thể bị sai lệch thời gian, dẫn đến sai lệch dấu thời gian trong các bản tin gửi ra từ thiết bị, gây khó khăn khi điều tra về an ninh.
- Không lưu nhật ký hoạt động (log): trong khi hoạt động, mỗi thiết bị đều gửi ra các cảnh báo hệ thống (syslog). Theo khuyến nghị cần cấu hình để thiết bị gửi các cảnh báo đến một máy chủ lưu syslog tập trung để phục vụ cho việc giám sát hệ thống mạng. Nếu không thực hiện công việc này thì sẽ không biết được trạng thái hệ thống đang hoạt động tại thời điểm hiện tại như thế nào.
Cấu hình chưa mã hóa mật khẩuCấu hình sau khi đã mã hóa mật khẩu
line con 0
!
line aux 0
!
line vty 0 4
password abcxyz123
login
line vty 5 15
password abcxyz123
login
!
!
line con 0
!
line aux 0
!
line vty 0 4
password 7 08204E4D11001F464058
login
line vty 5 15
password 7 08204E4D11001F464058
login
!
!

- Không cấu hình đồng bộ về thời gian: trong một hệ thống mạng cần phải có máy chủ thời gian (NTP - Network Time Protocol Server). Các thiết bị mạng cần lấy đồng bộ thời gian theo máy chủ này. Như vậy các thiết bị trong mạng sẽ được đồng bộ về mặt thời gian. Khi cần truy vết những sự kiện an ninh, các mốc thời gian sẽ chính xác. Nếu không có NTP Server, đồng hồ cục bộ trên các thiết bị có thể bị sai lệch thời gian, dẫn đến sai lệch dấu thời gian trong các bản tin gửi ra từ thiết bị, gây khó khăn khi điều tra về an ninh.
- Không lưu nhật ký hoạt động (log): trong khi hoạt động, mỗi thiết bị đều gửi ra các cảnh báo hệ thống (syslog). Theo khuyến nghị cần cấu hình để thiết bị gửi các cảnh báo đến một máy chủ lưu syslog tập trung để phục vụ cho việc giám sát hệ thống mạng. Nếu không thực hiện công việc này thì sẽ không biết được trạng thái hệ thống đang hoạt động tại thời điểm hiện tại như thế nào.
giao dien quan ly.png

AAA.png

AAA.png
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Các lỗi cấu hình trên thiết bị tầng truy nhập (Access Layer)

Như đã đề cập, vai trò của tầng truy nhập trong mô hình thiết kế 3 tầng là để kết nối các thiết bị đầu cuối của người dùng vào mạng. Thông thường các thiết bị tầng truy nhập là các thiết bị chuyển mạch (switch lớp 2), thiết bị định tuyến không dây (wireless router).
Lỗi cấu hình trên thiết bị switch lớp 2
Theo một thống kê cho thấy, phần lớn các thiết bị switch lớp 2 trong nội mạng bộ doanh nghiệp luôn luôn có các cổng mạng được mở vì thế bất kì laptop của bất kì nhân viên trong doanh nghiệp có thể truy cập hệ thống mạng. Bởi vì máy laptop của nhân viên trước đó có thể đã bị nhiễm mã độc và khi truy xuất vào mạng một cách tự do, mã độc sẽ có thể lây lan ra toàn bộ hệ thống.
Đối với thiết bị định tuyến không dây, lợi ích là đem đến sự tiện lợi cho việc kết nối các thiết bị di động của người sử dụng, nhưng mặt trái là những thiết bị này dễ bị “nhòm ngó” bởi những kẻ tấn công có chủ đích muốn xâm nhập vào hệ thống mạng qua kết nối không dây. Kẻ tấn công có thể ngồi ở gần mạng của doanh nghiệp và sử dụng những công cụ dò quét để lấy được thông tin về mạng không dây. Sau đó sử dụng các kỹ thuật tấn công như tấn công mật khẩu theo hình thức vét cạn; hoặc giả mạo điểm truy cập không dây có tên giống như tên mạng không dây của doanh nghiệp, sau đó lừa người dùng truy cập để lấy mật khẩu...
Thống kê cũng cho thấy sự gia tăng đáng kể từ các cuộc tấn công bên ngoài nhưng không làm giảm đi khả năng các vụ tấn công từ bên trong thậm chí các cuộc tấn công nội bộ còn mang tổn thất hiểm họa nghiêm trọng hơn rất nhiều so với từ bên ngoài. Hơn thế nữa nhiều quản trị viên dường như không quan tâm đến vấn đề an ninh từ bên trong vì họ nghĩ rằng bên trong họ “an toàn”.
Các thiết bị tầng truy nhập được thiết kế theo xu hướng "khuyến khích truyền thông". Khi thực hiện chức nǎng truyền thông lớp 2 là cố gắng mở các kết nối, điều này có thể tạo ra các lỗ hổng bảo mật để cho những hacker xâm nhập hệ thống dễ dàng. Vì thế luôn có những tính năng bảo mật bên trong các thiết bị. Quản trị viên khi cấu hình phải bật các tính năng này lên. Nhưng thông thường thì các tính nǎng này không được sử dụng, hoặc được sử dụng không đúng cách.
Dưới đây liệt kê những dạng tấn công có thể xảy ra nếu quản trị viên không thực hiện bật cấu hình các tính năng an ninh trên thiết bị switch lớp 2:
- Truy cập bất hợp pháp vào mạng vì quản trị viên không tắt các cổng switch mà đang không sử dụng: nếu không tắt các cổng trên switch đang không sử dụng, bất kỳ người nào cũng có thể cắm dây mạng vào những cổng đó và truy cập vào mạng. Điều này rất dễ xảy ra với những thiết bị switch được lắp đặt ở những nơi không an toàn. Nếu người đó có mục đích phát tán mã độc thông qua cổng đó hoặc chặn bắt thông tin gửi và nhận giữa các máy khác trên swich, thì sẽ rất khó để ngăn chặn. Vì vậy, theo khuyến nghị cần tắt những cổng đang không sử dụng trên swich.
- Giả mạo máy chủ DHCP: trong kiểu tấn công này, máy tính của hacker có thể giả mạo thành máy chủ DHCP. Đầu tiên máy của hacker sẽ gửi hàng loạt yêu cầu cấp phát địa chỉ IP tới máy chủ DHCP thật nhằm vét cạn toàn bộ pool địa chỉ IP. Sau khi máy chủ thật đã cạn kiệt IP, nó không thể cấp thêm IP mới khi máy client yêu cầu. Bước tiếp theo, hacker cài đặt dịch vụ DHCP Server trên máy của hắn và cấp phát thông tin về địa chỉ IP giả mạo cho các máy client có yêu cầu trong mạng LAN. Bằng cách này hacker có thể điều hướng truy cập các máy tính này theo ý đồ của hacker.
1489939952rouge DHCP.png

Hình. Tấn công giả mạo máy chủ DHCP

Để ngăn chặn hình thức tấn công này, theo khuyến nghị cần cài đặt chế độ giám sát các bản tin DHCP trên swich (DHCP Snooping). Với chế độ này, quản trị viên sẽ cấu hình cổng switch đấu nối với máy chủ thật là DHCP Trust Port (port cho phép gửi bản tin cấp phát địa chỉ IP là DHCP Offer đi qua), còn các cổng khác cấu hình là DHCP Untrust Port (Không cho phép gửi bản tin DHCP Offer đi qua). Với nguyên lý này, thiết bị máy tính của kẻ tấn công không thể cấp phát địa chỉ IP cho các máy tính khác trong mạng LAN.
1489939952SOLUTION FOR ROUGE DHCP.png


rouge DHCP.png

SOLUTION FOR ROUGE DHCP.png
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
- Tấn công giả mạo địa chỉ MAC: trong kiểu tấn công này, hacker sẽ giả mạo địa chỉ MAC của các máy trong mạng LAN khiến cho các máy tính gửi gói tin tới máy của hacker. Sở dĩ hacker có thể thực hiện được việc trên là do điểm yếu của giao thức phân giải địa chỉ IP thành địa chỉ MAC – Address Resolution Protocol (ARP). Giao thức ARP cung cấp cơ chế ánh xạ IP thành MAC và ngược lại, giúp cho các máy tính cũng như các thiết bị liên lạc được với nhau trong môi trường hoạt động mạng. Tuy nhiên ARP không có cơ chế giúp xác thực quá trình phân giải này, tức là nếu các bản tin ARP bị giả mạo thì máy nhận cũng không thể phát hiện được. Do đó hacker có thể tạo ra các bản tin ARP giả mạo địa chỉ MAC, để đánh lừa các máy tính khác. Khi đó các máy tính trên mạng LAN sẽ gửi thông tin tới máy của hacker.
1489939952gia mao mac.png

Theo khuyến nghị, cần bật tính năng DHCP Snooping, tính năng giám sát ARP trên switch. Với sự kết hợp của 2 tính năng này, các gói tin ARP sẽ được giám sát để đảm bảo rằng chúng không thể bị giả mạo.
- Tấn công làm tràn bảng MAC: trong kiểu tấn công này, hacker tạo ra rất nhiều gói tin có địa chỉ MAC nguồn và MAC đích giả mạo, sau đó gửi tới switch, làm cho switch bị tràn bảng địa chỉ MAC. Khi bị tràn bảng địa chỉ MAC, switch sẽ hoạt động theo phương thức quảng bá tất cả các gói tin mà nó nhận được. Do vậy thông tin trao đổi giữa hai máy bất kỳ trong mạng LAN có thể bị xem trộm bởi máy của hacker. Theo khuyến nghị cần bật tính năng an ninh cổng trên switch (Port security). Với tính năng này, kẻ tấn công sẽ không thể làm tràn bảng MAC của switch.
- Giả mạo địa chỉ IP: trong kiểu tấn công này, hacker có thể giả mạo địa chỉ IP nguồn để truy xuất vào những tài nguyên mà nếu sử dụng địa chỉ IP được cấp phát thì sẽ không thể truy xuất được; hoặc giả mạo IP nguồn để tấn công từ chối dịch vụ (DoS) theo kiểu gây mưa bão (smurf attack). Để chống lại hình thức tấn công này, cần bật tính năng bảo vệ IP nguồn trên cổng của swich.
- Tấn công IPv6 trên hạ tầng mạng truy nhập: các thiết bị định tuyến chạy giao thức IPv6 thường gửi các bản tin IPv6 RA (Router Advertisement) cho các thiết bị đầu cuối ở chế độ cấu hình địa chỉ IPv6 auto-config. Nếu kẻ tấn công giả mạo bản tin RA và gửi cho các máy tính khác, hắn có thể gây ra vụ tấn công từ chối dịch vụ hoặc giả danh làm kẻ đứng giữa để chặn bắt thông tin. Ngoài ra kẻ tấn công còn có thể giả mạo máy chủ DHCPv6 để gửi địa chỉ IPv6 giả mạo. Theo khuyến nghị cần bật tính năng bảo vệ địa chỉ IPV6 trên tầng truy nhập.
- Tấn công từ chối dịch vụ: Trong mạng chuyển mạch lớp 2, để bảo đảm cho các thiết bị swich khi đấu nối dạng topo mạch vòng sẽ không bị loop, cần cài đặt giao thức spanning-tree. Các cổng đấu nối với thiết bị đầu cuối người sử dụng thường được cấu hình là cổng PortFast. Để đảm bảo rằng các cổng PortFast không gây ra loop khi cắm nhầm một thiết bị swich khác vào cổng này, cần bật tính năng BPDU Guard. Nếu không bật tính năng này, hệ thống mạng chuyển mạch có thể bị loop và gây ra từ chối dịch vụgia mao mac.png
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Lỗi cấu hình trên thiết bị định tuyến không dây
Dưới đây liệt kê những dạng tấn công có thể xảy ra nếu quản trị viên không thực hiện bật cấu hình các tính năng an ninh trên thiết bị định tuyến không dây:
- Không ẩn tên mạng không dây: để tấn công một mạng không dây thì bước đầu tiên là phát hiện ra tên của mạng không dây đó. Nếu quản trị viên ẩn tên mạng (SSID) thì kẻ tấn công có thể không phát hiện ra. Nếu không ẩn tên, bất kỳ người nào với thiết bị không dây cũng có thể phát hiện ra sự tồn tại của mạng. Đây cũng là nấc thang để kẻ tấn công thực hiện kiểu tấn công kẻ sinh đôi ma quỷ (Evil twins). Đầu tiên kẻ tấn công giả mạo tên mạng không dây. Sau đó gây nhiễu mạng không dây của doanh nghiệp khiến cho các máy tính không thể truy nhập vào mạng thật, và người dùng có xu hướng kết nối với mạng không dây giả mạo của kẻ tấn công tạo ra. Sau khi đã kết nối, kẻ tấn công có thể lấy được các thông tin tài khoản truy cập mạng không dây thật, hoặc điều hướng truy cập người dùng đến một trang web giả mạo để đánh cắp thông tin (Facebook, Gmail, ngân hàng...)
- Đặt mật khẩu truy cập mạng không dây đơn giản: khi đặt mật khẩu truy cập vào mạng không dây, cần đặt mật khẩu mạnh. Nếu mật khẩu được đặt đơn giản (ví dụ: có trong từ điển, dễ đoán,...) thì kẻ tấn công sẽ sử dụng kỹ thuật tấn công từ điển để dò tìm mật khẩu.
- Không cấu hình lọc địa chỉ MAC: vì mật khẩu truy cập mạng không dây thường ở dạng pre-share (chia sẻ với những người muốn truy cập) nên bản thân nó không còn an toàn nữa. Để tăng thêm một lớp bảo mật, cần lọc địa chỉ MAC bằng cách chỉ cho phép những địa chỉ MAC tin cậy mới được phép truy cập vào mạng không dây, sau khi đã nhập đúng mật khẩu.
- Không đổi tài khoản quản trị mặc định: thông thường các thiết bị định tuyến không dây đều có một tài khoản quản trị mặc định để quản trị viên có thể sử dụng để truy cập vào cấu hình thiết bị. Tuy nhiên sau khi cấu hình xong, cần đổi tài khoản quản trị mặc định. Nếu không đổi thì kẻ tấn công có thể dò quét để lấy được thông tin này, sau đó truy cập vào thiết bị và thay đổi những tham số trên thiết bị, ví dụ DNS. Khi đó kẻ tấn công có thể điều hướng truy cập các máy nạn nhân qua máy tính của hắn, hoặc đến những máy chủ web giả mạo. Điều này gây hậu quả lộ lọt thông tin, mất mát thông tin.
 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Các lỗi cấu hình trên thiết bị tầng phân phối và tầng lõi

Vì các thiết bị ở tầng phân phối và tầng lõi đều thực hiện chức năng định tuyến nên thông thường được cài đặt các giao thức định tuyến động. Khi giao thức định tuyến động được cấu hình chạy trên thiết bị, các thiết bị sẽ thiết lập mối quan hệ láng giềng và trên cơ sở đó trao đổi thông tin định tuyến để từ đó tính toán tìm ra con đường tối ưu đi đến đích.

Kẻ tấn công thường ngắm tới việc phá hoại quá trình định tuyến này bằng cách cố gắng tạo ra những mối quan hệ láng giềng giả mạo. Sau đó gửi những thông tin định tuyến sai lệch tới các thiết bị đang hoạt động. Điều này phá vỡ hạ tầng định tuyến được xây dựng từ trước, gây ra cuộc tấn công từ chối dịch vụ. Hơn nữa những thông tin định tuyến giả mạo có thể dẫn đến việc điều hướng lưu lượng truy cập mạng đến những máy chủ giả mạo để đánh cắp tài khoản người dùng. Ví dụ các website giả mạo ngân hàng, cửa hàng trực tuyến...

Nếu người quản trị không thực hiện những bước cấu hình an ninh sau thì việc tấn công vào hạ tầng định tuyến có thể xảy ra:

- Không đặt các cổng kết nối với tầng truy nhập ở chế độ passive-interface: vì các thiết bị ở tầng truy nhập không chạy giao thức định tuyến nên cần đặt các cổng thiết bị ở tầng phân phối/core kết nối với tầng truy nhập ở chế độ passive-interface. Trong chế độ này, thông tin định tuyến không được gửi qua các cổng nói trên. Nếu không thực hiện việc này, kẻ tấn công sử dụng máy tính có chạy phần mềm giả lập giao thức định tuyến động, có thể lấy được thông tin định tuyến được gửi ra từ các cổng này.
1489939952Passive int.PNG

Cần đặt các cổng Router nối với tầng Access là Passive interface

- Không thực hiện cấu hình xác thực nguồn gốc thông tin định tuyến: các router chạy giao thức định tuyến động phải gửi các thông tin định tuyến cho nhau. Kẻ tấn công có thể tạo ra các bản tin định tuyến (routing information message) giả mạo và gửi tới các Router. Vì các thông tin định tuyến này là giả mạo, cho nên nếu Router tin tưởng và lưu vào bảng định tuyến để sử dụng, hệ thống mạng có thể gặp sự cố. Sự cố thường gặp là hệ thống mạng bị loop (làm cho các gói tin chạy lòng vòng không đi đến đích), hoặc điều hướng lưu lượng theo ý đồ của kẻ tấn công. Để phòng tránh, theo khuyến nghị cần xác thực thông tin định tuyến là được gửi từ nguồn tin cậy. Khi đó nếu hacker không thể chứng minh được thông tin hắn gửi là tin cậy thì các Router sẽ không chấp nhận các thông tin đó. Kỹ thuật thường được sử dụng để xác thực thông tin định tuyến là MD5. Nếu quản trị viên không cấu hình xác thực nguồn gốc thông tin định tuyến trên các thiết bị thì có thể sẽ bị tấn công dạng này.
1489939952Routing Authentication.PNG


Routing Authentication.PNG

Passive int.PNG
 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Hỏi anh NKTUNG về cấu trúc mạng High Availability.
Hiện tại em đang muốn định cấu trúc mạng HA trong một building như hình dưới:
HA MODEL.png

Hỏi 1: Cho em hỏi là với cấu trúc hình trên có thực hiện được không, có cải tiến nào giảm thiểu chi phí hơn không.
Hỏi 2: Cấu trúc như hình dưới của anh thì mỗi ONU bên dưới Layer "Collapsed core layer" phải có 2 đầu vào quang: 1 duty 1 standy thiết bị này có sẵn không?
Hỏi 3: Cấu trúc bên hình dưới của 2 phải dùng 2 đường quang tới ONU?
1489939952cisco%202%20layer[1].png

Tks anh NKTUNG.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Về mặt kiến trúc, mình thấy có thiết bị SWICH CORE chưa có backup bạn ơi. Vậy có phải là HA không?
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Bên trên