Cisco Router Security Configuration Guide Part 1

การคอนฟิก Cisco Router เบื้องต้น
Router นั้นเป็นอุปกรณ์สำคัญตัวหนึ่งบนระบบเครือข่ายคอมพิวเตอร์ ทำหน้าที่รับ-ส่งข้อมูลระหว่างเครือข่ายต่างๆ Router นั้นมีการทำงานที่ซับซ้อนกว่าอุปกรณ์เครือข่ายอื่นๆ อย่าง Hub หรือ Switch และจะต้องมีการคอนฟิกระบบให้เหมาะสมกับระบบเครือข่ายก่อนจึงจะสามารถทำงานได้

สำหรับบทความนี้เป็นตอนที่ 1 จาก 2 ตอน ซึ่งจะอธิบายถึงคำแนะนำในการปรับแต่งค่าคอนฟิก Router ของ Cisco เพื่อให้มีความปลอดภัยจากการใช้งาน โดยคำสั่งต่างๆ นั้น จะอ้างอิงจากชุดคำสั่งของ Cisco อย่างไรก็ตาม ท่านสามารถนำคำแนะนำต่างๆ เหล่านี้ไปประยุกต์ใช้ให้เหมาะสมกับระบบเครือข่าย (รวมถึง Router ยี่ห้ออื่นๆ)

คำแนะนำโดยทั่วไปเกี่ยวกับการคอนฟิก Router
1. ควรสร้างนโยบายความปลอดภัยของ Router และปรับแต่งให้เหมาะสมอยู่เสมอ โดยในนโยบายนั้น ควรทำการระบุว่าผู้ใดบ้างได้รับอนุญาตให้เข้าใช้งาน Router และผู้ใดบ้างได้รับอนุญาตให้ปรับแต่งแก้ไขและอัพเดตการทำงานของ Router รวมทั้งเก็บบันทึกค่าการเข้าใช้งานและการปรับแต่งค่าทั้งหมดที่เกิดขึ้นจริงกับ Router

2. ให้คำอธิบายและเก็บบันทึกไฟล์ ที่ใช้กำหนดคอนฟิกของ Router การกระทำดังกล่าวนี้อาจจะดูเหมือนเป็นสิ่งง่ายเมื่อเปรียบเทียบกับความ ปลอดภัยที่จะได้รับ นอกจากนั้น ควรเก็บสำเนาคอนฟิกของ Router ทั้งหมดที่เหมือนกับคอนฟิกจริงที่ใช้งานไว้ตลอดเวลา (หากมีการแก้ไขคอนฟิกที่ Router ก็จะต้องแก้ไขค่าที่เก็บสำเนาไว้ด้วย) การกระทำดังกล่าวนี้จะช่วยให้สามารถตรวจสอบความเปลี่ยนแปลงที่เกิดขึ้นเมื่อ ถูกบุกรุก หรือใช้กู้คืนค่าดังกล่าวมาใช้งานเมื่อเกิดความเสียหายได้

3. สร้าง Access List เพื่อควบคุมการผ่านเข้าออกเครือข่าย โดยอนุญาตให้เฉพาะโปรโตคอล (Protocol) และบริการ (Service) ที่ผู้ใช้งานเครือข่ายจำเป็นต้องใช้เท่านั้น นอกเหนือจากนั้นจะไม่อนุญาตให้ผ่านเครือข่ายทั้งหมด

4. อัพเดท IOS ให้เป็นเวอร์ชันล่าสุดที่เป็นไปได้อยู่เสมอ โดยสอบถามข้อมูลเวอร์ชันที่เหมาะสมได้จากผู้แทนจำหน่ายหรือจากเว็บไซต์ของ Cisco (http://www.cisco.com)

5. ทดสอบความปลอดภัยโดยทั่วไปของ Router อยู่เสมอ โดยเฉพาะอย่างยิ่งเมื่อมีการเปลี่ยนแปลงคอนฟิกที่สำคัญของ Router

คำแนะนำเกี่ยวกับการเข้าถึง Router
1. ปิดความสามารถในการทำงานต่างๆ ของ Router ที่ไม่จำเป็นต้องใช้งาน เพื่อประหยัดพื้นที่หน่วยความจำและลดการทำงานของโปรเซสเซอร์ของ Router วิธีการดูว่ามีโปรเซสอะไรกำลังทำงานอยู่บ้างทำได้โดยการใช้คำสั่ง show proc ที่ Router แล้วสั่งปิดบริการทั้งหมดที่แน่ใจว่าไม่จำเป็นต้องใช้งาน โดยทั่วไป การทำงานของ Router ที่สามารถปิดการทำงานได้ ได้แก่

• Small services        ปิดการทำงานด้วคำสั่ง no service tcp-small-servers
(echo, discard, chargen, etc.)      ปิดการทำงานด้วคำสั่ง no service udp-small-servers

• BOOTP      ปิดการทำงานด้วยคำสั่ง no ip bootp server

• Finger       ปิดการทำงานด้วยคำสั่ง no service finger

• HTTP      ปิดการทำงานด้วยคำสั่ง no ip http server

• Identd      ปิดการทำงานด้วยคำสั่ง no ip identd (เฉพาะบางเวอร์ชันของ IOS)

• SNMP      ปิดการทำงานด้วยคำสั่ง no snmp-server

2. ปิดการให้บริการต่างๆ ของ Router ที่ไม่จำเป็นต้องใช้ของ บริการเหล่านี้ใช้เพื่อการอนุญาตให้ส่งแพ็กเก็ตหลายชนิดผ่าน Router หรือส่งแพ็กเก็ตชนิดพิเศษบางชนิด หรือใช้เพื่อการปรับแต่งคอนฟิกของ Router จากแบบรีโมต โดยทั่วไป บริการของ Router ที่สามารถทำการปิดบริการได้ ได้แก่

• CDP       ปิดบริการด้วยคำสั่ง no cdp run

• Remote config       ปิดบริการด้วยคำสั่ง no service config

• Source routing       ปิดบริการด้วยคำสั่ง no ip source-route

3. เพิ่มความปลอดภัยให้กับอินเทอร์เฟซของ Router โดยการใช้คำสั่งดังต่อไปนี้กำหนดไว้ที่ทุกอินเทอร์เฟซ (จะต้องทำที่โหมดของการกำหนดค่าให้อินเทอร์เฟซ)

• Unused interfaces       ให้รันคำสั่ง shutdown

• No Smurf attacks       ให้รันคำสั่ง no ip directed-broadcast

• Ad-hoc routing       ให้รันคำสั่ง no ip proxy-arp

4. เพิ่มความปลอดภัยให้กับการติดต่อกับ Console line, Auxiliary line และ Virtual terminal line ของ Router มีความปลอดภัยมากขึ้นได้โดยการใช้คำสั่งดังต่อไปนี้ กำหนดไว้ที่ Console line และ Virtual terminal line (ดังตัวอย่างด้านล่าง) ส่วน auxiliary line หากไม่มีการใช้งานควรถูกปิด ตามตัวอย่างด้านล่าง

• Console Line
      line con 0
      exec-timeout 5 0
      login
      transport input telnet

• Auxiliary Line
      line aux 0
      no exec
      exec-timeout 0 10
      transport input telnet

• VTY lines
      line vty 0 4
      exec-timeout 5 0
      login
      transport input telnet

5. ควรเลือกใช้รหัสให้มีความปลอดภัยมากที่สุดเท่าที่จะทำได้ โดยเปิดใช้การตั้งค่ารหัสผ่านแบบ Enable Secret ซึ่งเป็นการเข้ารหัสของรหัสผ่านด้วยอัลกอริทึม MD-5 นอกจากนี้ ควรตั้งรหัสผ่านไว้สำหรับการเชื่อมต่อผ่านทาง Console line, Auxiliary line และ virtual terminal line ด้วย โดยค่ารหัสผ่านที่ตั้งให้กับแต่ละ Line นี้ควรได้รับการปกป้องในเบื้องต้นโดยการเรียกใช้คำสั่ง service password-encryption เพื่อให้เกิดการเข้ารหัสสำหรับรหัสผ่านทั้งหมด รายละเอียดดังตัวอย่างด้านล่าง

• Enable secret        enable secret 0 2manyRt3s

• Console Line
      line con 0
      password Soda-4-jimmY

• Auxiliary Line
      line aux 0
      password Popcorn-4-sara

• VTY Lines
      line vty 0 4
      password Dots-4-grorg3

• Basic protection
      service password-encryption

6. เก็บค่าคอนฟิก Router เป็นความลับเฉพาะผู้ที่มีส่วนเกี่ยวข้องหรือได้รับมอบหมาย ไม่ทำการเปิดเผยรายละเอียดการคอนฟิกและไฟล์คอนฟิกแก่ผู้ที่ไม่ได้รับอนุญาตโดยเด็ดขาด

ลิงก์ที่เกี่ยวข้อง
• Cisco Router Security Configuration Guide Part 2
• Configuring IP Access Lists in Cisco Router

ที่มา
• http://www.thaicert.nectec.or.th/paper/basic/Router_guide.php