dangquangminh
08-04-2008, 11:30 PM
Cấu hình CBAC
Các bước sau minh họa việc cấu hình CBAC:
Bước 1: lựa chọn cổng
Bước 2: cấu hình IP ACL tại cổng
Bước 3: Cấu hình các giá trị time-out và các giá trị ngưỡng
Bước 4: Định nghĩa các luật dùng trong CBAC.
Bước 5: Áp dụng các luật này vào 1 cổng
Bước 6: cấu hình logging để cảnh báo khi có các tấn công xảy ra.
Lựa chọn cổng của router để cấu hình CBAC
Bước này là bước người quản trị lên kế hoạch cho các cấu hình CBAC của bạn. Đầu tiên bạn phải xác định trên cổng nào của router (internal hay external) mà bạn muốn cấu hình CBAC. Cấu hình CBAC trên cả 2 hướng khi các hệ thống ở cả 2 phía cần sự bảo vệ và cho các bảo vệ với các tấn công từ chối dịch vụ.
Cấu hình IP ACL trên cổng
Việc cấu hình ACL đúng rất quan trọng cho CBAC làm việc chính xác. Dùng 2 luật đánh giá tổng quát này khi bạn muốn đánh giá các IP ACL của mình trên Cisco IOS firewall.
- Traffic được CBAC cho phép rời khỏi hệ thống mạng thông qua Cisco IOS firewall
- Dùng Extended ACL nhằm từ chối các traffic đi vào hệ thống mạng của bạn thông qua Cisco IOS firewall.
Bước này hơi khó khăn để hình dung. Một cách tổng quát, bạn sẽ dùng access list để từ chối một cách tường minh các traffic X nào đó, mà traffic X này thật ra về sau sẽ được cho phép đi vào hệ thống mạng thông qua tính năng firewall nếu X xuất phát từ bên trong. Như phần trước có trình bày, những traffic được kiểm duyệt bởi firewall sẽ được firewall tạm thời mở ra những session. Chính những session này sẽ tạm thời mở cổng cho các traffic đi vào, bất chấp các ACL bạn đã cấu hình. Nếu X xuất phát từ bên ngoài, trafffic X sẽ bị loại bỏ bởi ACL mà ta cấu hình.
Cấu hình các giá trị time-out và các giá trị ngưỡng của phiên TCP
Các giá trị timeout và các giá trị ngưỡng giúp CBAC xác định thời gian quản lý các thông tin trạng thái cho 1 session và giúp loại bỏ những sesssion không hoàn tất kết nối của mình, các giá trị có thể có.
Định nghĩa luật để giám sát (inspect)
Các luật dùng trong xem xét định nghĩa IP traffic được giám sát bởi CBAC. Câu lệnh này cho phép bạn định nghĩa một số luật dùng trong xem xét:
ip inspect name inspection-name protocol [alert {on | off}]
[audit-trail {on | off}] [timeout seconds]
no ip inspect name [inspection-name protocol]
Thông thường, một luật xem xét được định nghĩa cho mỗi cổng giao tiếp. Tuy nhiên, có lúc bạn cũng có thể cấu hình cùng một luật cho cả 2 hướng trên cùng một cổng trên firewall. Trong những tình huống này, bạn nên cấu hình 2 luật riêng biệt cho mỗi hướng trên router. Luật xem xét chứa đựng một chuỗi các câu phát biểu chứa các thông tin về giao thức có cùng tên.
Cấu hình những luật xem xét TCP và UDP tổng quát
Để cấu hình luật xem xét CBAC cho các packet TCP và UDP, dùng 2 câu lệnh sau:
• ip inspect name inspection-name tcp [timeout seconds]
• ip inspect name inspection-name udp [timeout seconds]
Với việc giám sát TCP và UDP, các packet đi vào hệ thống mạng phải tương ứng với các packet trước đó xuất phát từ hệ thống đi ra. Các giá trị cần so trùng của packet là địa chỉ IP nguồn và đích cùng với port nguồn và đích (theo hướng ngược lại), nếu khác nhau, các packet đi vào sẽ bị chặn.
Với luật giám sát UDP, các packet đáp ứng chỉ được cho phép qua firewall nếu chúng đến trong khoảng thời gian do bạn định sẵn từ lúc packet cuối cùng được gửi ra ngoài. (cấu hình thời gian này dùng lệnh: ip inspect udp idle-time).
Áp dụng các luật xem xét lên cổng giao tiếp:
Để áp dụng một luật xem xét lên cổng giao tiếp sử dụng câu lệnh: ip inspect inspection-name {in | out} lên cổng tương ứng.
Router(config)#interface Ethernet0
Router(config-int)#ip inspect test1 in
Kiểm tra và debug CBAC
Câu lệnh
show ip access-lists Hiển thị nội dung của tất cả các access-list hiện tại
show ip inspect name inspection-name Xem một luật xem xét
show ip inspect config Xem toàn bột cấu hình xem xét CBAC
show ip inspect session [detail] Xem những session đang được theo dõi và xem xét bởi CBAC
show ip inspect interfaces Xem những cấu hình liên quan đến các luật xem xét và access-list trên cổng giao tiếp
show ip inspect all Xem tất cả những cấu hình CBAC và tất cả các session hiện tại đang bị theo dõi và xem xét bởi CBAC
Debug CBAC
Có 3 loại debug cho CBAC
- Các câu lệnh debug tổng quát
- Các câu lệnh debug ở tầng transport
- Các câu lệnh debug ở tầng ứng dụng
Bạn có thể bật chế độ hiển thị các thông điệp lưu dấu vết kiểm tra lên console sau khi session CBAC nào đó kết thúc. Dùng câu lệnh sau: ip inspect audit trail.
Những câu lệnh debug tổng quát
debug ip inspect function-trace Displays messages about software functions called by CBAC.
Hiển thị các thông điệp về các chức năng được gọi bởi CBAC
debug ip inspect object-creation Hiển thị các thông điệp về các đối tượng được tạo ra bởi CBAC. Việc tạo ra các đối tượng tương ứng với quá trình bắt đầu các session xem xét của CBAC.
debug ip inspect object-deletion Hiển thị các thông điệp về các đối tượng bị xóa bởi CBAC. Việc xóa các đối tượng này tương ứng với quá trình đóng các session đang xem xét.
debug ip inspect events Hiển thị các thông điệp về các sự kiện của CBAC, bao gồm thông tin về việc xử lý gói của CBAC
debug ip inspect timers Hiển thị các thông điệp về các sự kiện thời gian, như khi đạt đến thời gian idle time-out.
debug ip inspect detailed Cho phép debug các tuỳ chọn chi tiết, có thể dùng kết hợp với các tùy chọn khác để lấy thêm thông tin.
Các câu lệnh debug ở mức độ tầng transport của TCP/UDP
Để giám sát và xử lý các cấu hình CBAC cho TCP và UDP, dùng các câu lệnh debug sau:
- debug ip inspect tcp - Hiển thị những thông điệp về các sự kiện TCP được xem xét bởi CBAC, chứa các thông tin chi tiết về các gói TCP.
- debug ip inspect udp - Hiển thị những thông điệp về các sự kiện UDP được xem xét bởi CBAC, chứa các thông tin chi tiết về các gói UDP.
Các bước sau minh họa việc cấu hình CBAC:
Bước 1: lựa chọn cổng
Bước 2: cấu hình IP ACL tại cổng
Bước 3: Cấu hình các giá trị time-out và các giá trị ngưỡng
Bước 4: Định nghĩa các luật dùng trong CBAC.
Bước 5: Áp dụng các luật này vào 1 cổng
Bước 6: cấu hình logging để cảnh báo khi có các tấn công xảy ra.
Lựa chọn cổng của router để cấu hình CBAC
Bước này là bước người quản trị lên kế hoạch cho các cấu hình CBAC của bạn. Đầu tiên bạn phải xác định trên cổng nào của router (internal hay external) mà bạn muốn cấu hình CBAC. Cấu hình CBAC trên cả 2 hướng khi các hệ thống ở cả 2 phía cần sự bảo vệ và cho các bảo vệ với các tấn công từ chối dịch vụ.
Cấu hình IP ACL trên cổng
Việc cấu hình ACL đúng rất quan trọng cho CBAC làm việc chính xác. Dùng 2 luật đánh giá tổng quát này khi bạn muốn đánh giá các IP ACL của mình trên Cisco IOS firewall.
- Traffic được CBAC cho phép rời khỏi hệ thống mạng thông qua Cisco IOS firewall
- Dùng Extended ACL nhằm từ chối các traffic đi vào hệ thống mạng của bạn thông qua Cisco IOS firewall.
Bước này hơi khó khăn để hình dung. Một cách tổng quát, bạn sẽ dùng access list để từ chối một cách tường minh các traffic X nào đó, mà traffic X này thật ra về sau sẽ được cho phép đi vào hệ thống mạng thông qua tính năng firewall nếu X xuất phát từ bên trong. Như phần trước có trình bày, những traffic được kiểm duyệt bởi firewall sẽ được firewall tạm thời mở ra những session. Chính những session này sẽ tạm thời mở cổng cho các traffic đi vào, bất chấp các ACL bạn đã cấu hình. Nếu X xuất phát từ bên ngoài, trafffic X sẽ bị loại bỏ bởi ACL mà ta cấu hình.
Cấu hình các giá trị time-out và các giá trị ngưỡng của phiên TCP
Các giá trị timeout và các giá trị ngưỡng giúp CBAC xác định thời gian quản lý các thông tin trạng thái cho 1 session và giúp loại bỏ những sesssion không hoàn tất kết nối của mình, các giá trị có thể có.
Định nghĩa luật để giám sát (inspect)
Các luật dùng trong xem xét định nghĩa IP traffic được giám sát bởi CBAC. Câu lệnh này cho phép bạn định nghĩa một số luật dùng trong xem xét:
ip inspect name inspection-name protocol [alert {on | off}]
[audit-trail {on | off}] [timeout seconds]
no ip inspect name [inspection-name protocol]
Thông thường, một luật xem xét được định nghĩa cho mỗi cổng giao tiếp. Tuy nhiên, có lúc bạn cũng có thể cấu hình cùng một luật cho cả 2 hướng trên cùng một cổng trên firewall. Trong những tình huống này, bạn nên cấu hình 2 luật riêng biệt cho mỗi hướng trên router. Luật xem xét chứa đựng một chuỗi các câu phát biểu chứa các thông tin về giao thức có cùng tên.
Cấu hình những luật xem xét TCP và UDP tổng quát
Để cấu hình luật xem xét CBAC cho các packet TCP và UDP, dùng 2 câu lệnh sau:
• ip inspect name inspection-name tcp [timeout seconds]
• ip inspect name inspection-name udp [timeout seconds]
Với việc giám sát TCP và UDP, các packet đi vào hệ thống mạng phải tương ứng với các packet trước đó xuất phát từ hệ thống đi ra. Các giá trị cần so trùng của packet là địa chỉ IP nguồn và đích cùng với port nguồn và đích (theo hướng ngược lại), nếu khác nhau, các packet đi vào sẽ bị chặn.
Với luật giám sát UDP, các packet đáp ứng chỉ được cho phép qua firewall nếu chúng đến trong khoảng thời gian do bạn định sẵn từ lúc packet cuối cùng được gửi ra ngoài. (cấu hình thời gian này dùng lệnh: ip inspect udp idle-time).
Áp dụng các luật xem xét lên cổng giao tiếp:
Để áp dụng một luật xem xét lên cổng giao tiếp sử dụng câu lệnh: ip inspect inspection-name {in | out} lên cổng tương ứng.
Router(config)#interface Ethernet0
Router(config-int)#ip inspect test1 in
Kiểm tra và debug CBAC
Câu lệnh
show ip access-lists Hiển thị nội dung của tất cả các access-list hiện tại
show ip inspect name inspection-name Xem một luật xem xét
show ip inspect config Xem toàn bột cấu hình xem xét CBAC
show ip inspect session [detail] Xem những session đang được theo dõi và xem xét bởi CBAC
show ip inspect interfaces Xem những cấu hình liên quan đến các luật xem xét và access-list trên cổng giao tiếp
show ip inspect all Xem tất cả những cấu hình CBAC và tất cả các session hiện tại đang bị theo dõi và xem xét bởi CBAC
Debug CBAC
Có 3 loại debug cho CBAC
- Các câu lệnh debug tổng quát
- Các câu lệnh debug ở tầng transport
- Các câu lệnh debug ở tầng ứng dụng
Bạn có thể bật chế độ hiển thị các thông điệp lưu dấu vết kiểm tra lên console sau khi session CBAC nào đó kết thúc. Dùng câu lệnh sau: ip inspect audit trail.
Những câu lệnh debug tổng quát
debug ip inspect function-trace Displays messages about software functions called by CBAC.
Hiển thị các thông điệp về các chức năng được gọi bởi CBAC
debug ip inspect object-creation Hiển thị các thông điệp về các đối tượng được tạo ra bởi CBAC. Việc tạo ra các đối tượng tương ứng với quá trình bắt đầu các session xem xét của CBAC.
debug ip inspect object-deletion Hiển thị các thông điệp về các đối tượng bị xóa bởi CBAC. Việc xóa các đối tượng này tương ứng với quá trình đóng các session đang xem xét.
debug ip inspect events Hiển thị các thông điệp về các sự kiện của CBAC, bao gồm thông tin về việc xử lý gói của CBAC
debug ip inspect timers Hiển thị các thông điệp về các sự kiện thời gian, như khi đạt đến thời gian idle time-out.
debug ip inspect detailed Cho phép debug các tuỳ chọn chi tiết, có thể dùng kết hợp với các tùy chọn khác để lấy thêm thông tin.
Các câu lệnh debug ở mức độ tầng transport của TCP/UDP
Để giám sát và xử lý các cấu hình CBAC cho TCP và UDP, dùng các câu lệnh debug sau:
- debug ip inspect tcp - Hiển thị những thông điệp về các sự kiện TCP được xem xét bởi CBAC, chứa các thông tin chi tiết về các gói TCP.
- debug ip inspect udp - Hiển thị những thông điệp về các sự kiện UDP được xem xét bởi CBAC, chứa các thông tin chi tiết về các gói UDP.