Bảo mật cho thiết bị Router – Bảo vệ hệ thống mạng của bạn

Estimated read time 5 min read
Spread the love

Trong quá trình bảo mật hệ thống mạng sử dụng router và switch, việc bảo vệ quyền truy cập vào CLI (Command Line Interface) của chúng là một trong những bước đầu tiên cần làm. Cisco cung cấp nhiều cơ chế và tính năng để đảm bảo an toàn cho các thiết bị trong môi trường thực tế. Đồng thời, các tính năng xác thực cũng có thể được sử dụng để kiểm tra người dùng sử dụng PPP (Point-to-Point Protocol). Trong phần đầu của bài viết này, chúng ta sẽ tìm hiểu vấn đề này.

Có thể bạn quan tâm

    1. Bảo vệ truy cập CLI bằng mật khẩu đơn giản

    Hình 21.1 mô tả ba phương thức cơ bản để truy cập chế độ người dùng (user mode) trên một router. Cách này cũng áp dụng cho các switch Cisco chạy IOS, trừ một chi tiết là các Switch Cisco không có cổng auxiliary. Trên IOS của Cisco, chúng ta có thể cấu hình sử dụng mật khẩu đơn giản để bảo vệ. Để thực hiện điều này, lệnh login trong chế độ line sẽ yêu cầu nhập mật khẩu và lệnh password sẽ định nghĩa mật khẩu đó. Chế độ ứng dụng các lệnh này cũng xác định phương thức truy cập yêu cầu mật khẩu.

    Hình 21.1: Ba phương thức truy cập

    Lưu ý rằng khi sử dụng lệnh service password-encryption ở chế độ toàn cục (global config mode), mật khẩu sẽ được mã hóa. Lệnh này sẽ mã hóa tất cả các mật khẩu trong cấu hình. Số “7” trong lệnh password có nghĩa là giá trị sau đó đã bị mã hóa bởi service password-encryption.

    line con 0
    login
    password 7 05080F1C2243
    login
    
    line vty 0 4
    login
    password 7 00071A150754
    login

    Lưu ý rằng khi thêm lệnh service password-encryption vào cấu hình, mật khẩu không được mã hóa sẽ tự động được mã hóa. Mật khẩu trong tập tin startup-config sẽ không thay đổi cho đến khi lệnh copy running-config startup-config được sử dụng để lưu cấu hình. Ngoài ra, sau khi tắt cơ chế mã hóa mật khẩu này bằng lệnh no service password-encryption, các mật khẩu sẽ không được tự động giải mã, thay vào đó, IOS của Cisco sẽ yêu cầu một mật khẩu mới trước khi hiển thị dưới dạng không mã hóa.

    Lưu ý rằng thuật toán mã hóa được sử dụng bởi lệnh service password-encryption là rất yếu. Có các công cụ trên mạng có thể giải mã dễ dàng. Tuy nhiên, thuật toán mã hóa này hữu ích để ngăn chặn những người tò mò cố gắng truy cập vào router và switch. Tuy nhiên, nó không ngăn chặn hacker truy cập vào hệ thống.

    2. Cách bảo vệ tốt hơn cho mật khẩu enable và mật khẩu người dùng

    Mật khẩu được sử dụng cho lệnh enable có thể được định nghĩa bằng hai cách: enable password pw hoặc enable secret pw. Nếu cấu hình cả hai lệnh, chỉ mật khẩu định nghĩa bởi lệnh enable secret được chấp nhận bởi enable exec mode.

    Mật khẩu trong lệnh enable password tuân theo cùng một quy tắc như mật khẩu đăng nhập, nghĩa là chỉ bị mã hóa nếu lệnh service password-encryption được cấu hình. Mặt khác, lệnh enable secret không bị ảnh hưởng bởi lệnh service password-encryption. Thay vào đó, nó luôn được lưu dưới dạng MD5, giúp khó bị giải mã. Dưới đây là một ví dụ mô tả cách IOS của Cisco lưu trữ mật khẩu theo hai cách khác nhau.

    service password-encryption
    
    enable secret 5 $1$GvDM$ux/PhTwSscDNOyNIyr5Be/
    enable password 7 070C285F4D064B

    Lệnh username name password password có tính chất tương tự như lệnh enable secret. Lệnh service password-encryption sẽ mã hóa tất cả các mật khẩu liệt kê trong câu lệnh username name password password. Tuy nhiên, lệnh username name secret password sử dụng cùng thuật toán băm MD5 như lệnh enable secret để bảo vệ mật khẩu tốt hơn. Số 5 được liệt kê trong câu lệnh cũng được lưu trữ trong cấu hình.

    Ví dụ: username barney secret 5 $1$oMnb$EGf1zE5QPip4UW7TTqQTR.

    More From Author