1.1. GIỚI THIỆU NFP
Cisco network foundation protection – NFP cung cấp các kịch bản để bảo vệ cơ sở hạ tầng mạng thông qua việc sử dụng các tính năng bảo mật của Cisco IOS Security.
Cisco chia cơ sở hạ tầng mạng thành 03 mặt (planes ) như sau :
- Data plane: đại diện cho khả năng forward data của mạng. Cụ thể là dò tìm các sự khác thường trong traffic và có những cách phản ứng chống lại các cuộc tấn công theo thời gian thực. Các kỹ thuật bảo vệ Data plane bao gồm: NetFlow, IP Source tracker, ACLs, uRPF, Remotely triggered black hole – RTBH, QoS
- Control plane: đại diện cho khả năng routing của mạng. Các kỹ thuật bảo vệ Control plane bao gồm: AutoSecure, Receive ACLs, Control plane policing, routing protection, CPU/ Memory threshold
- Management plane: đại diện cho khả năng quản lý mạng. Các kỹ thuật bảo vệ Management plane: MPP, SSH, Role-base views, vty ACL
1.2. BẢO MẬT CHO CONTROL PLANE
Control plane được xem như là bộ não của Router nên việc bảo vệ cho control plane là rất cần thiết trong việc bảo vệ cơ sở hạ tầng mạng. Phần này sẽ giới thiệu việc bảo vệ control plane bằng các công cụ CoPP (Control plane policing) và CPPr (Control plance protection). CoPP cho phép nhà quản trị cấu hình dịch vụ QoS tạo ra bộ lọc để quản lý luồng dữ liệu đi vào Control plane từ đó giúp ngăn chăn các cuộc tấn công reconnaissance và DoS vào control plane của Router hay Switch. CPPr cho phép mở rộng tính năng bảo vệ của CoPP bằng các công cụ như Port
1.2.1. Control plane Interface và SubInterface
CoPP (control plane policing) đưa ra các khái niệm giới hạn sớm các traffic của các giao thức xác định trước khi chúng được đưa vào CPU bằng cách gán các chính sách QoS vào các interface kết hợp của control plane. CPPr (Control plane protection) mở rộng chức năng này bằng cách định nghĩa thêm 03 subinterface bên dưới control plane interface. Mỗi subinterface nhận và xử lý các loại control plance traffic riêng biệt.
- Control plane host subinterface: nhận tất cả các traffic gửi đến một trong các interface của Router ( có thể xem router là một host cung cấp các dịch vụ mạng như quản lý ( telnet, SSH, Web), routing traffic, tunnel termination, …). Hầu hết các tính năng bảo vệ cho control plane đều được thực hiện trên host subinterface vì các dịch vụ quan trọng của router (như là dịch vụ routing) đều được nhận bởi host subinterface. Các tính năng như CoPP, port-fintering và per-protocol queue thresholding protection đều có thể được triển khai trên host subinterface. Chú ý: các giao thức non-IP based layer2 như ARP, CDP không được đưa vào host subinterface, các giao thức này được đưa vào subinterface thứ 3 là Control-plance CEF-excception subinterface.
- Control plane transit subinterface: nhận các traffic cần được routing bằng software do CEF đưa lên routing processor. Nói cách khác subinterface này không nhận các traffic gửi đến router thôi mà chỉ nhận các traffic gửi đi qua Router. Các tính năng của CoPP được phép triển khai trên subinterface này.
- Control-plane CEF-exception subinterface: nhận các traffic do được tính năng CEF input redirect vào route processor hay là được đưa trực tiếp vào hàng đợi của control plane input bởi trình điều khiển interface (ví dụ như các giao thức ARP, L2 keepalives và Non-IP host traffic). Các tính năng của CoPP được phép triển khai trên subinterface này.
Các chính sách QoS được gán trên control plane interface và subinterface hoạt động ở mức interrupt trước khi các gói tin được xếp vào hàng đợi và gửi đến route processor.
Transit và CEF-exception subinterface tồn tại song song với host subinterface. Tính năng port-filtering và per-protocol queue thresholding không hoạt động trên 2 subinterface này.
Tất cả các tính năng bảo vệ control plane được triển khai dưới dạng các chính sách MQC (Modular QoS CLI) sử dụng control plance class-maps và policy-maps.
- Port-filtering: Bảo vệ control plane bằng cách sớm phát hiện và drop các gói tin nhắm đến các port TCP/UDP bị đóng hoặc không lắng nghe trên Router. Tính năng port-filtering chỉ được hỗ trợ trên host subinterface. Port-filtering duy trì một database chứ các port TCP/UDP được mở trên Router bao gồm cả các port mở tạm thời bởi các ứng dụng trên Router. Một MQC class-map định nghĩa danh sách các open ports và một policy-map dùng để drop tất cả các gói tin nhắm đến các closed/nonlistened ports.
- Queue thresholding: Bảo vệ control plane bằng cách giới hạn các gói tin của một protocol chưa được xử lý trước khi đưa vào route processor. Tính năng này chỉ áp dụng cho host subinterface. Mục đích của tính năng này là ngăn ngừa hàng đợi input bị tràn bởi traffic của một protocol nào đó. Chỉ một tập con các giao thức của TCP/UDP được hỗ trợ hoạt động với queue thresholding. Các giao thức được hỗ trợ bao gồm : BGP, DNS, FTP, HTTP, IGMP, SNMP, SSH, SysLog, Telnet, TFTP, host-protocol : là tập hợp các ports được mở trên router.
1.2.2. Cấu hình Control plance protection
Các bước cấu hình Control plane protection bao gồm: Cấu hình CoPP, cấu hình port-filter policy (tùy chọn), cấu hình queue threshold policy (tùy chọn).
- Cấu hình CoPP: bao gồm các bước sau:
- Cấu hình CP ACL để định nghĩa traffic
- Cấu hình CP class-map sử dụng CP ACL đã định nghĩa bên trên
- Cấu hình CP policy map như sau:
Trỏ đến class-map
Xác định policing rate
Xác định các action
- Gán CP policy map vào host subinterface
Ví dụ: Cấu hình sau cho phép PC người quản trị có IP là 10.10.10.2 được phép truy cập bằng telnet và HTTP đến router mà không bị giới hạn, trong khi đó tất cả các traffic telnet và HTTP khác đều bị giới hạn ở mức 50.000 packets/sec (pps).
· Cấu hình Port-filtering: bao gồm các bước sau:
- Định nghĩa class-map xác định các port cần filter
- Định nghĩa port-filter service policy
- Gán port-filter service policy vào host subinterface
Ví dụ: Cấu hình sau sẽ drop tất cả các traffic gửi đến các closed/nonlistened ports
· Cấu hình Queue thresholding: bao gồm các bước sau:
- Định nghĩa class-map xác định các traffic bi giới hạn tại hàng đợi
- Định nghĩa queue threshold service policy
- Gán queue threshold service policy vào host subinterface
Ví dụ: Cấu hình sau giới giạn các gói tin của giao thức BGP ở mức 100
Tài liệu tham khảo thêm về cấu hình Control plane protection:
http://www.cisco.com/en/US/docs/ios/12_4t/12_4t4/htcpp.pdf
1.3. BẢO MẬT CHO MANAGEMENT PLANE
Management plane thực thi tất cả các chức năng quản lý thiết bị và các chức năng kết hợp của control và data plane. Các giao thức quản lý thiết bị hoạt động ở Management plane bao gồm: Telnet, SNMP, SSH, HTTP, HTTPS. Các công cụ bảo vệ Management plane Cisco cung cấp bao gồm: Cisco MPP (IOS 12.4(6)T), dùng SSH thay cho telnet, tạo ACLs gán vào vty ports, Cisco IOS login enhancement, Role-based CLI views.
1.3.1. Tính năng Cisco MPP (Management plane protection)
MPP cho phép người quản trị giới hạn các interface dùng để quản trị thiết bị. MPP cho phép chỉ định một hay nhiều interface là management interface. Các traffic của các giao thức quản trị thiết bị chỉ được phép gửi đến Router qua các interface này còn các interface còn lại sẽ drop tất cả các traffic của các protocol quản lý thiết bị. Ta có thể thay thế tính năng này bằng cách tạo ACLs deny các traffic của các giao thức quản trị thiết bị và gán vào các interface không được phép nhận các traffic này. Nhưng việc này sẽ trở nên khó khăn và mất thời gian nếu Router có khá nhiều interfaces. Trong trường hợp này thì MPP cho phép ta cấu hình nhanh chóng và dễ dàng hơn.
Ví dụ sau cho phép giao thức quản trị thiết bị ssh và snmp gửi đến router qua interface FastEthernet 0/0 còn tất cả các interface còn lại đều không cho phép bất cứ các giao thức quản trị thiết bị nào gửi đến ( bao gồm ssh, snmp, telnet, http, https).
1.3.2. Tính năng Role-based CLI views
Tính năng này cho phép nhà quản trị tạo ra nhiều Router views ứng với các user khác nhau. Views định nghĩa mỗi user chỉ được sử dụng những commands nào và chỉ được phép xem các thông tin cấu hình nào. Chức năng này tương tự như việc phân quyền quản trị thiết bị cho các user. Có user chỉ được phép dùng các lệnh show để xem trạng thái hoạt động của một số tính năng trên Router, có user thì được phép thay đổi cấu hinh nhưng chỉ ở một vài chức năng nhất định, … Cụ thể là password enable không công bố cho tất cả các user mà chỉ do một người quản trị cấp cao quản lý. Các user còn lại sau khi vào chế độ user mode sẽ vào tiếp chế độ role-based view bằng cách gõ lệnh enable view-name và nhập password của view. Các bước cấu hình role-based view được mô tả như hình sau:
Dưới đây là một ví dụ về cách tạo views
1.4. BẢO MẬT CHO DATA PLANE
Các cuộc tấn công vào data plane gồm có các dạng tấn công phổ biến với các mã nhận dạng cụ thể (một số field trong gói tin IP chứa các giá trị đặc biệt). Một số dạng tấn công vào data plane là: Code red, Nimda, Nachi, SQL Slammer, Blaster, SYN floods, Frag attacks. Các dạng tấn công này làm quá tải CPU của Router hay switch nằm trên đường đi của chúng. Để ngăn chạn các dạng tấn công này, các tính năng phòng chống phải hết sức linh họat, cả trong việc phân nhóm và khả năng chống đỡ. Các công cụ Cisco cung cấp trong IOS Security để bảo vệ cho Data plane bao gồm: Flexible packet matching, uRPF (unicast Reverse path forwarding) để chống spoofing, QoS.
Posts
No comments:
Post a Comment