Như đã mô tả ở chương 17, PPP cung cấp khả năng xác thực dùng PAP và CHAP. Cơ chế này đặc biệt hữu ích cho các ứng dụng quay số. Chương 17 chỉ dùng phương thức xác thực mặc định cho CHAP/PAP, dựa trên các tập hợp lệnh username và password khai báo mặc định.
IOS của Cisco hỗ trợ sử dụng xác thực AAA cho PPP dùng cùng tập hợp các lệnh như trong xác thực khi đăng nhập. Các bước cấu hình như sau:
- Bước 1: Cũng giống như trong xác thực đăng nhập, bạn hãy bật AAA bằng câu lệnh aaa new-model.
- Bước 2: Hãy cấu hình RADIUS và/hoặc TACACS+ dùng cùng các lệnh và cú pháp như trong cấu hình xác thực login hoặc xác thực enable.
- Bước 3: Tương tự như trong xác thực login, định nghĩa PPP để dùng một tập hợp mặc định của các phương thức xác thực bằng lệnh aaa authentication ppp default. Sự khác nhau duy nhất so với ví dụ trước là từ khóa ppp được dùng thay cho từ khóa login.
- Bước 4: Tương tự như xác thực trong login, hãy dùng lệnh aaa authentication ppp list-name method1 [method2] để tạo ra một nhóm của các phương thức có thể được dùng thay cho tập hợp các nhóm mặc định.
- Bước 5: Để dùng một nhóm các phương thức xác thực khác với tập hợp mặc định, hãy dùng lệnh ppp authentication {protocol1 [protocol2...]} list-name.
Ví dụ lệnh ppp authentication chap fred tham chiếu dến phương thức xác thực được định nghĩa bởi lệnh aaa authentication ppp fred.
I.BẢO MẬT LỚP 2
Tài liệu khuyến cáo về bảo mật của Cisco (có ở địa chỉ http://www.cisco.com/go/safe) đề nghị một số giải pháp sau cho bảo mật switch. Trong phần lớn các trường hợp, việc khuyến cáo phụ thuộc vào 1 trong 3 đặc điểm sau trên các cổng của switch.
- Các cổng không được dùng của switch: Là các cổng không kết nối đến bất kỳ thiết bị nào. Ví dụ như các switchport có thể được gắn cáp sẵn vào các ổ mạng trên tường.
- Các cổng của người dùng: Là các cổng gắn vào các thiết bị đầu cuối của người dùng cuối hoặc bất cứ cổng nào có gắn cáp dẫn đến một vài khu vực không được bảo vệ.
- Các cổng tin cậy hay các cổng dạng trung kế: Là các cổng kết nối đến những thiết bị tin cậy, chẳng hạn như các switch khác hoặc các switch đặt trong các khu vực có bảo mật vật lý tốt.
Danh sách dưới đây tóm tắt các khuyến cáo áp dụng cho các cổng đang dùng và chưa được dùng của switch. Các điểm chung của những kiểu cổng này là một người dùng có thể truy cập được đến switch sau khi họ đã đi vào bên trong toà nhà mà không cần đi vào phòng cáp hoặc trung tâm dữ liệu.
- Tắt các giao thức cần thiết như CDP hay DTP.
- Tắt các giao thức trung kế bằng cách cấu hình các cổng này như là cổng truy cập.
- Bật tính năng bảo vệ BPDU và bảo vệ Gốc để ngăn ngừa các kiểu tấn công STP và giữ một sơ đồ mạng STP ổn định.
- Dùng các tính năng như kiểm tra ARP động (Dynamic ARP Inspection - DAI) hoặc VLAN dùng riêng để ngăn ngừa nghe lén khung tin.
- Bật tính năng bảo mật cổng để giới hạn số địa chỉ MAC cho phép và để cho phép những MAC cụ thể nào đó.
- Dùng xác thực 802.1X.
- Dùng giám sát DHCP (DHCP snooping) và bảo vệ nguồn IP (IP Source Guard) để ngăn ngừa tấn công từ chối dịch vụ DHCP (DHCP DoS) và kiểu tấn công đứng giữa nghe lén (Man in the midle).
Bên cạnh các khuyến cáo trên, Cisco còn có thêm các khuyến cáo sau:
- Đối với bất cứ cổng nào (bao gồm cả cổng đã tin cậy - trusted port), hãy xem xét khả năng triển khai VLAN dùng riêng để bảo vệ mạng khỏi bị nghe lén, bao gồm cả việc ngăn ngừa các router hay các switch lớp 3 không định tuyến các gói tin giữa các thiết bị trong LAN dùng riêng.
- Cấu hình xác thực VTP ở chế độ toàn cục cho từng switch để ngăn ngừa kiểu tấn công DoS.
- Tắt bất cứ cổng nào không dùng của switch và đặt các cổng này vào trong các VLAN không dùng.
- Tránh sử dụng VLAN 1. Đối với các kết nối trung kế, không dùng VLAN Native.
Phần kế tiếp sẽ mô tả cách triển khai các đặc điểm trên.
1.Bảo mật cho switch trên các cổng đang dùng và chưa dùng
Ví dụ dưới đây mô tả một cấu hình trên Switch Cat 3560, với cách cấu hình từng đặc điểm được nêu ra. Trong ví dụ này, cổng F0/1 là cổng không được dùng. CDP đã được tắt trên các cổng nhưng CDP vẫn còn chạy ở chế độ toàn cục vì giả thuyết là một vài cổng vẫn còn cần dùng CDP. DTP đã được tắt, bảo vệ gốc STP (STP Root Guard) và bảo vệ BPDU (BPDU Guard) được bật.
Lệnh cdp run cho phép CDP vẫn chạy ở chế độ toàn cục nhưng CDP đã bị tắt trên cổng F0/1 là cổng không được sử dụng.
cdp run
int fa0/0
no cdp enable
Lệnh switchport mode access ngăn ngừa cổng không trở thành trung kế và lệnh switchport nonegotiate ngăn ngừa bất kỳ thông điệp nào của DTP được gửi hay nhận.
switchport mode access
switchport nonegotiate
Hai lệnh cuối cùng bật tính năng bảo vệ gốc (Root Guard) và bảo vệ BPDU (BPDU Guard) trên từng cổng. BPDU cũng có thể được bật trên tất cả các cổng bằng tính năng chuyển cổng nhanh (Port Fast). Tính năng này được cấu hình bằng lệnh ở chế độ toàn cục spanning-tree portfast bpduguard enable.
spanning-tree guard root
spanning-tree bpduguard enable
