Switch5_Bao mat Switch



Bảo mật switch

Nội dung
- Cấu hình switch
- Bảo mật cổng truyền dữ liệu (dynamic port)
- Kiểm tra bảo mật cổng truyền dữ liệu
- Bảo mật các cổng không sử dụng đến
Hướng dẫn
- Đọc thêm các bài viết Switch1, Switch2
Bài tập
Bảng địa chỉ
Thiết bị
Interface
Địa chỉ IP
Subnet Mask
S1
VLAN99
172.17.99.11
255.255.255.0
PC1
NIC
172.17.99.21
255.255.255.0
PC2
NIC
172.17.99.32
255.255.255.0
Sơ đồ mạng

1. Cấu hình switch
- B1. Sử dụng cáp console, nối cổng RS232 của máy tính PC1 với cổng console của switch S1. (mô hình mạng ở trên đã thực hiện bước này)
- B2. Chọn PC1, chọn thẻ Desktop, chọn Terminal, để mặc định các thiết lập, bấm OK.
- B3. Bạn đã thực hiện kết nối tới S1, gõ phím Enter để xuất hiện dấu nhắc nhập lệnh cho S1.
- B4. Chuyển sang chế độ privileged EXEC
[đọc thêm bài Switch1_basic để biết thêm về các chế độ cấu hình một switch]
Gõ lệnh enable để chuyển sang chế độ privileged EXEC, dấu nhắc sẽ chuyển từ > sang #
Switch>enable
Switch#
Để ý thấy là hệ thống không yêu cầu nhập mật khẩu để vào chế độ cấu hình privileged EXEC.
- B5. Gõ lệnh configure terminal để chuyển sang chế độ global configuration, sau đó sử dụng lệnh enable secret để thiết lập mật khẩu cho phép vào chế độ cấu hình privileged EXEC (mật khẩu là class).
S1#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
S1(config)#enable secret class
S1(config)#
B6. Trở về chế độ User (gõ lệnh exit hai lần), sau đó vào lại chế độ cấu hình privileged EXEC để kiểm tra, sẽ thấy việc đặt mật khẩu đã thành công.
S1>
S1>en
Password:
S1#
B7. Đặt mật khẩu cho kết nối console và kết nối virtual terminal (truy cập từ xa), yêu cầu người dùng phải nhập mật khẩu để truy cập tới switch.
- Vào chế độ cấu hình cho đường console, sử dụng lệnh line console 0
- Sử dụng lệnh password để cấu hình mật khẩu cho đường console và vty (mật khẩu là cisco)
- Gõ lệnh login để yêu cầu người dùng phải nhập mật khẩu khi truy cập vào chế độ User
- Sử dụng lệnh line vty 0 15 để vào cấu hình cho đường virtual terminal
- Sử dụng lệnh exit để trở về chế độ cấu hình global
S1(config)#line console 0
S1(config-line)#password cisco
S1(config-line)#login
S1(config-line)#line vty 0 15
S1(config-line)#password cisco
S1(config-line)#login
S1(config-line)#exit
S1(config)#
B8. Mã hóa mật khẩu.
- Mật khẩu để vào chế độ privileged EXEC đã được mã hóa. Bạn cần thực hiện mã hóa hai mật khẩu vừa đặt ở bước trên. Sử dụng lệnh service password-encryption.
S1(config)#service password-encryption
S1(config)#
B9. Cấu hình và kiểm tra câu thông báo (MOTD banner)
- MOTD(message-of-the-day) là câu thông báo, xuất hiện khi bạn truy cập tới thiết bị.
- Câu thông báo sẽ được thiết lập là Authorized Access Only
- Sử dụng lệnh banner motd, và hai dấu && để thiết lập câu thông báo
- Sau đó đăng nhập lại vào switch để kiểm tra kết quả
S1(config)#banner motd &Authorized Access Only&
S1(config)#exit
S1#
S1#exit
Press RETURN to get started!
Authorized Access Only
User Access Verification
Password:
- Chú ý: mật khẩu để truy cập vào switch là cisco và mật khẩu để vào chế độ privileged EXEC là class, khi gõ mật khẩu, trên màn hình sẽ không hiện bất kì dấu hiệu nào.
2. Cấu hình bảo mật cổng truyền dữ liệu (dynamic port)
- B1. bật VLAN99
S1(config)#int vlan 99
S1(config-if)#no shutdown
S1(config-if)#
- B2. Bật chế độ port security cho cổng Fa0/18
S1(config-if)#int fa0/18
S1(config-if)#switchport port-security
- B3. Thiết lập giới hạn địa chỉ MAC cho port
Cấu hình cho phép một port chỉ gắn với một MAC duy nhất, đặt giá trị maximum là 1.
S1(config-if)#switchport port-security maximum 1
B4. Cấu hình để lưu địa chỉ MAC vào running configuration
S1(config-if)#switchport port-security mac-address sticky
B5. Cấu hình cho phép một port tự tắt, khi chính sách bảo mật trên port bị vi phạm.
S1(config-if)#switchport port-security violation shutdown
B6. Kiểm tra quá trình switch S1 học địa chỉ MAC của PC1.
Thực hiện ping từ PC1 tới S1.
PC>ping 172.17.99.11
Pinging 172.17.99.11 with 32 bytes of data:

Reply from 172.17.99.11: bytes=32 time=0ms TTL=255
Reply from 172.17.99.11: bytes=32 time=0ms TTL=255
Reply from 172.17.99.11: bytes=32 time=0ms TTL=255
Reply from 172.17.99.11: bytes=32 time=0ms TTL=255

Ping statistics for 172.17.99.11:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 0ms, Maximum = 0ms, Average = 0ms
Kiểm tra trong bảng địa chỉ MAC của S1. Xem đã có một hàng cho địa chỉ MAC của PC1 với kiểu là static hay chưa?
S1#show mac-address-table
          Mac Address Table
-------------------------------------------
Vlan    Mac Address       Type        Ports
----    -----------       --------    -----
  99    0060.5c5b.cd23    STATIC      Fa0/18
Địa chỉ MAC bây giờ đã được lưu vào trong running configuration.
S1#show running-config
...
interface FastEthernet0/18
 switchport access vlan 99
 switchport mode access
 switchport port-security
 switchport port-security mac-address sticky
 switchport port-security mac-address sticky 0060.5C5B.CD23
...
3. Kiểm tra bảo mật cổng truyền dữ liệu
B1. Gỡ bỏ kết nối giữa PC1 và S1, thực hiện kết nối PC2 với S1
- Để kiểm tra xem việc cấu hình bảo mật trên cổng Fa0/18 có thành công hay không. Thực hiện xóa kết nối Ethernet giữa PC1 và S1.
- Kết nối PC2 với cổng Fa0/18. Đợi cho đèn sáng (màu xanh). Thực hiện ping PC2 tới S1. Cổng đã được cấu hình bảo mật sẽ tự động tắt (hai đèn chuyển sang màu đỏ).
B2. Kiểm tra cổng đã bị tắt hay chưa?
S1#show interface fa0/18
FastEthernet0/18 is down, line protocol is down (err-disabled)
Hardware is Lance, address is 0090.213e.5712 (bia 0090.213e.5712)
...
Cũng có thể kiểm tra bằng lệnh show port-security interface fa0/18.
S1#show port-security interface fa0/18
Port Security              : Enabled
Port Status                : Secure-shutdown
Violation Mode             : Shutdown
Aging Time                 : 0 mins
Aging Type                 : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses      : 1
Total MAC Addresses        : 1
Configured MAC Addresses   : 0
Sticky MAC Addresses       : 1
Last Source Address:Vlan   : 00E0.F7B0.086E:99
Security Violation Count   : 1
Để ý sẽ thấy Port Status là Secure-shutdown (Bị tắt vì lý do an toàn), và Security Violation Count có giá trị 1 (số lần vi phạm liên quan đến bảo mật là 1).
B3. Thực hiện kết nối lại PC1 vào S1 và khôi phục lại cổng truyền dữ liệu của S1.
Gỡ bỏ kết nối giữa PC2 và S1. Kết nối lại PC1 vào cổng Fa0/18 của S1.
Chú ý là cổng Fa0/18 vẫn ở trạng thái tắt (down), mặc dù PC1 đã được cấu hình từ trước là được phép kết nối tới cổng Fa0/18. Lý do là một cổng bị khóa do vi phạm về bảo mật phải được kích hoạt lại bằng tay. Vì vậy hãy tắt cổng đó đi bằng lệnh shutdown và bật lại bằng lệnh no shutdown.
S1#config t
Enter configuration commands, one per line.  End with CNTL/Z.
S1(config)#interface fa0/18
S1(config-if)#shutdown
%LINK-5-CHANGED: Interface FastEthernet0/18, changed state to administratively down
S1(config-if)#no shutdown
S1(config-if)#
%LINK-5-CHANGED: Interface FastEthernet0/18, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/18, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan99, changed state to up
S1(config-if)#exit
S1(config)#
B4. Kiểm tra kết nối bằng lệnh ping từ PC1 tới S1. Kết quả ping thành công là được. (bạn đã hoàn thành được 70% công việc của bài thực hành).
4. Bảo mật các cổng không sử dụng
Một phương pháp đơn giản được nhiều nhà quản trị áp dụng để bảo vệ các cổng không sử dụng đến là khóa lại (vô hiệu).
B1. Khóa cổng Fa0/17 trên S1
Vào chế độ interface configuration cho FastEthernet 0/17, và tắt cổng này.
S1(config)#interface fa0/17
S1(config-if)#shutdown
B2. Kết nối thử PC2 tới cổng Fa0/17 của S1 để kiểm tra.
Sử dụng cáp thẳng, kết nối PC2 tới cổng Fa0/17 của S1. Đèn báo sẽ có màu đỏ. PC2 không thể truy cập vào switch.
S3. Kiểm tra kết quả thực hiện bài thực hành.
Nếu bạn thực hiện đúng các thao tác, kết quả bài thực hành sẽ là 100%. Nếu không, bạn hãy bấm nút Check Results để kiểm tra lại những phần chưa thực hiện hoặc thực hiện chưa đúng.
-------------------------
Tham khảo: Activity 2.4.7: Configure Switch Security - Cisco
-------------------------------
Cập nhật 2014/2/25

Dia cung - 19 - NTFS - Siêu dữ liệu



Siêu dữ liệu (metadata)

Siêu dữ liệu là thông tin (dữ liệu) mô tả tập tin hoặc thư mục. Siêu dữ liệu được lưu trong các attribute. Tìm hiểu về siêu dữ liệu, cũng có nghĩa là tìm hiểu về các attribute của một tập tin hoặc thư mục. Ba attribute phổ biến của một tập tin là $STANDARD_INFORMATION, $FILE_NAME và $DATA. Hình sau minh họa ba attribute này.

Attribute $STANDARD_INFORMATION

Attribute $STANDARD_INFORMATION có trong tất cả các tập tin và thư mục, attribute này chứa một số thông tin quan trọng như: thời gian, ngày tháng, quyền sở hữu (ownership), phân quyền sử dụng (security), hạn ngạch đĩa (quota). Những thông tin này không cần thiết đối với việc lưu trữ tập tin, tuy nhiên Windows rất cần đến các thông tin này trong các ứng dụng của nó.
Mã loại (type ID) mặc định của attribute này là 16. Trong Windows 2000 và XP, attribute này có kích thước 72 byte, trong Windows NT là 48 byte.
Hệ thống Windows luôn sắp xếp các attribute trong một MFT entry theo thứ tự tăng dần của mã loại. Do mã loại attribute $STANDARD_INFORMATION có giá trị nhỏ nhất nên nó luôn nằm ở đầu mỗi MFT entry.
Attribute này có bốn thông tin về thời gian, gồm:
- Thời gian tạo tập tin (created).
- Thời gian thay đổi nội dung hai attribute $DATA hoặc $INDEX mới nhất (Modified Time).
- Thời gian thay đổi thông tin mô tả tập tin (metadata) mới nhất. Thời gian này không được hiển thị cho người dùng khi xem trong Windows (MFT Modified Time).
- Thời gian truy cập nội dung tập tin mới nhất (Accessed Time).
Attribute này cũng chứa “cờ báo” (flag) cho biết thông tin về kiểu của tập tin: chỉ đọc (read only), tập tin hệ thống (system), thông tin liên quan đến việc lưu dự phòng (archive).
Với các entry không phải là của tập tin hoặc thư mục, attribute $STANDARD_INFORMATION còn cung cấp thông tin về nén, tập tin “thưa” (sparse) hoặc mã hóa (encrypted). Nếu là entry của tập tin hoặc thư mục, các thông tin này sẽ được lưu trong header của entry.
Trong các hệ thống NTFS phiên bản 3.0 về sau (Windows 2000, XP…v.v), attribute này có chứa thêm bốn thông tin gồm:
- Thông tin về sở hữu (owner identity), được sử dụng trong việc tính hạn ngạch đĩa của mỗi người dùng.
- Thông tin cho biết dung lượng của tập tin được tính vào hạn ngạch đĩa của người dùng.
- Định danh bảo mật (Security ID), định danh này được sử dụng trong tập tin $Secure để xác định quyền truy cập tập tin.
- Giá trị USN (update sequence number), hỗ trợ trong việc tìm kiếm hàng loại các tập tin đã có thay đổi trong một khoảng thời gian nhất định.

Attribute $FILE_NAME

Mỗi tập tin hoặc thư mục luôn có ít nhất một attribute $FILE_NAME trong MFT entry của nó. Mỗi tập tin hoặc thư mục cũng có ít nhất một phiên bản khác của attribute $FILE_NAME trong thư mục cha (chứa nó), hai phiên bản không nhất thiết phải giống hệt nhau về nội dung.
Mã loại của attribute này là 48. Kích thước của attribute này không cố định, tùy thuộc vào chiều dài của tên tập tin. Cụ thể, kích thước của attribute là: 66 + chiều dài của tên.
Tên của tập tin là một chuỗi kí tự kiểu UTF-16 Unicode, được định dạng theo kiểu DOS 8.3, Win32 hoặc POSIX. Windows thường yêu cầu có hai định dạng tên: định dạng DOS và tên đầy đủ.
Attribute $FILE_NAME chứa địa chỉ entry (file reference) của thư mục cha trong MFT (thư mục chứa nó).
Attribute $FILE_NAME cũng chứa bốn thông tin về thời gian, tương tự như trong attribute $STANDARD_INFORMATION. Tuy nhiên, hệ thống Windows không cập nhật thông tin về thời gian thường xuyên như trong attribute $STANDARD_INFORMATION, thông thường nó chỉ được cập nhật khi tập tin được tạo ra, di chuyển hoặc khi đổi tên.
Trong attribute $FILE_NAME có trường cho biết kích thước của tập tin, tuy nhiên, giá trị trường này thường là 0.
Cuối cùng, attribute $FILE_NAME có chứa “cờ báo” cho biết entry này là: thư mục, tập tin chỉ đọc, tập tin hệ thống, nén, mã hóa…v.v.
Nói chung, attribute $FILE_NAME chứa rất nhiều các thông tin tương tự như trong attribute $STANDARD_INFORMATION. Có hai thông tin thực sự có ý nghĩa của attribute $FILE_NAME là tên của tập tin và địa chỉ của thư mục cha (giúp xác định đường dẫn).

Attribute $DATA

Attribute $DATA được sử dụng để lưu trữ tất cả các loại dữ liệu. Mã loại của attribute này là 128. Attribute $DATA không có kích thước cố định. Mỗi tập tin có thể gồm một hoặc nhiều attribute $DATA. Attribute $DATA đầu tiên không có tên, các attribute $DATA tiếp sau phải được đặt tên cụ thể.
Trong hệ thống Windows, attribute $DATA cũng được tạo thêm khi người dùng nhập thông tin vào mục “Summary” (chuột phải vào tập tin\ chọn properties\ Summary), hoặc do chương trình anti-virus, hoặc do chương trình lưu dự phòng tạo ra…v.v.
Attribute $DATA có thể được mã hóa để đảm bảo an toàn thông tin. Khi được mã hóa, “cờ báo” trong header của attribute sẽ được thiết lập, “khóa” của quá trình mã hóa được lưu trong attribute $LOGGED_UTILITY_STREAM.
Hình sau minh họa một tập tin với hai attribute $DATA đã được mã hóa.

----------------------


Tham khảo
[1] Brian Carrie, File System Forensic Analysis, Addison Wesley Professional, 2005
----------------------
Cập nhật: 2014/2/9