Chapter 13 อุปกรณ์ความปลอดภัย

Download Report

Transcript Chapter 13 อุปกรณ์ความปลอดภัย 

บทที่ 13
Device Security
จัดทำโดย
นำยวำทกำร อำตมประสังสำ รหัส 115030462035-6 sec.50346CPE
นำยเชำวฤทธิ์ สำสัตย์
รหัส 115030462047-1 sec.50346CPE
1
อุปกรณ์ควำมปลอดภัย
Why Secure Your Devices?
ทำไมถึงต้ องรักษำควำมปลอดภัยให้ กบั อุปกรณ์ ของคุณ?
เรำไม่สามารถบอกคุณได้วา่ มีคนกี่คนที่ถามเขามาว่า “เซอร์วิส
และโปรเซสไหนของเราเตอร์ที่ฉนั ควรจะปิ ด?”
2
อุปกรณ์ควำมปลอดภัย
CLI-Based AutoSecure
AutoSecure มีระบบทางาน 2 โหมด คือ
• interactive
• noninteractive
3
อุปกรณ์ควำมปลอดภัย
Lockdown Items
เป็ นคุณสมบัติ AutoSecure
จะเข้าถึงแต่ละแผนงานซึ่ ง
แตกต่างกันบนเร้าเตอร์เพื่อทาการ sys-tematically ล็อคดาวน์ และรักษา
ความปอดภัยของระบบทั้งหมด
4
อุปกรณ์ควำมปลอดภัย
Forwarding Plane
•
•
•
•
•
ระบบไฟร์วอล์สามารถอนุญาตให้คุณเปิ ดการใช้งาน Cisco IOS Firewall inspection
เพื่อใช้กบั โปรโตคอลและแอพพลิเคชัน่ ที่ใช้งานร่ วมกัน
ฟั งก์ชนั่ Login จะจัดการเกี่ยวกับ Password และการตั้งค่าเพื่อจัดการกับการโจมตีที่
ใช้การล๊อกอิน (failed login attempts)
ฟังก์ชนั่ NTP ทาหน้าที่ในการตั้งค่าการเชื่อมต่อแบบ NTP
ฟั งก์ชนั่ SSH ทาหน้าที่ต้ งั ค่า Hostname และ Domain name ถ้าหากยังไม่มีการตั้งค่า
ในส่ วนนี้ ก่อนการเปิ ดใช้งาน เร้ าเตอร์ จะทาการป้ องกันไม่ให้เข้าใช้งานฟั งก์ชั่น
SSH
ฟังก์ชนั่ TCP Intercept จะถูกเปิ ดใช้งานตามค่าปกติที่ได้ต้ งั ไว้
5
อุปกรณ์ควำมปลอดภัย
การตั้งค่ า AutoSecure สาหรับฟังก์ ชั่นและเซอร์ วสิ ทั้งหมด
1.
2.
3.
4.
5.
6.
ระบุ interfaces ภายนอก
ตั้งค่าความปลอดภัยให้กบั management plane
สร้าง Security Banner
ตั้งค่า passwords, AAA, และ SSH
ตั้งค่าความปลอดภัยให้กบั interface settings
ตั้งค่าความปลอดภัยให้กบั forwarding plane
6
อุปกรณ์ควำมปลอดภัย
SDM-Based Security Audit Wizard
Cisco SDM ประกอบไปด้วย Security Audit Wizard ที่ช่วยในการ
ตรวจสอบประสิ ทธิ ภาพความปลอดภัยของเร้ า เตอร์ โดยรวม เพื่อรั บรองความ
ถูกต้องโดยการเปรี ยบค่าที่ได้ต้ งั ไว้กบั ค่าเริ่ มต้นที่มีมา The Security Audit Wizard
จะเช็คช่ องโหว่ของเร้ าเตอร์ จากการตั้งค่าและแนะนาค่าความปลอดภัยของเร้ า
เตอร์ ที่ควรตั้งค่าให้ดว้ ย
7
อุปกรณ์ควำมปลอดภัย
SDM Security Audit
รู ปที่ 13.1 SDM Home Page
8
อุปกรณ์ควำมปลอดภัย
รู ปที่ 13.2 SDM Configure Page
9
อุปกรณ์ควำมปลอดภัย
รู ปที่ 13.3 SDM Security Audit Page
10
อุปกรณ์ควำมปลอดภัย
รู ปที่ 13.4 Security Audit Wizard Page
11
อุปกรณ์ควำมปลอดภัย
รู ปที่ 13.5 Wizard Interface Configuration
12
อุปกรณ์ควำมปลอดภัย
รู ปที่ 13.6 Security Audit Page
13
อุปกรณ์ควำมปลอดภัย
รู ปที่ 13.7 Fix It Page
14
อุปกรณ์ควำมปลอดภัย
รู ปที่ 13.8 Enable Secret and Login Banner
15
อุปกรณ์ควำมปลอดภัย
รู ปที่ 13.9 User for Secure Access
16
อุปกรณ์ควำมปลอดภัย
รู ปที่ 13.10 Add User Screen
17
อุปกรณ์ควำมปลอดภัย
รู ปที่ 13.11 User Added to Local Database
18
อุปกรณ์ควำมปลอดภัย
รู ปที่ 13.12 Enable Logging
19
อุปกรณ์ควำมปลอดภัย
รู ปที่ 13.13 IOS Firewall Setup
20
อุปกรณ์ควำมปลอดภัย
รู ปที่ 13.14 กำรเลือกอินเตอร์ เฟซของ Firewall
21
อุปกรณ์ควำมปลอดภัย
รู ปที่ 13.15 กำรเลือกระดับควำมปลอดภัยของ Firewall
22
อุปกรณ์ควำมปลอดภัย
รู ปที่ 13.16 สรุ ปกำรตั้งค่ำของ Firewall
23
อุปกรณ์ควำมปลอดภัย
รู ปที่ 13.17 หน้ำสรุ ปกำรติดตั้ง
24
อุปกรณ์ควำมปลอดภัย
รู ปที่ 13.18 กำรเตือนของ SDM
25
อุปกรณ์ควำมปลอดภัย
รู ปที่ 13.19 หน้ำยืนยัน
26
อุปกรณ์ควำมปลอดภัย
รูปที่ 13.20 หน้ าจอการส่ง
27
อุปกรณ์ควำมปลอดภัย
AAA
- Authentication
- Authorization
- Accounting and Auditing
28
อุปกรณ์ควำมปลอดภัย
RADIUS (Remote Authentication Dial-In User Service)
คือ วิธีกำรมำตรฐำนของกำรแลกเปลี่ยนข้อมูลระหว่ำงอุปกรณ์ที่
ควบคุมกำรใช้งำนเน็ตเวิร์ค(Network Access Server)กับผูใ้ ช้งำน (Access Clients) และอุปกรณ์ที่ทำหน้ำที่ตรวจสอบสิ ทธิ์ กำรใช้งำน (Radius Server)
รู ป ที่ 13.22 แสดงขั้นตอนตำม กระบวนกำร RADIUS
29
อุปกรณ์ควำมปลอดภัย
TACACS+ (Terminal Access Controller Access Control System +)
รู ป ที่ 13.23 Client เชื่อมต่อกับ TACACS +
30
อุปกรณ์ควำมปลอดภัย
Configuring AAA
กำรประเมินคำสัง่ ต้องเปิ ดกำรใช้งำนทุกฟังก์ชนั ใน Router ซึ่งจะมีผลใน Router
หรื อ Switch DubRtr1(config)#aaa new-model
รู ปตัวอย่ำง
31
อุปกรณ์ควำมปลอดภัย
Securing Management Functions
โปรโตคอลกำรจัดกำรเครื อข่ำยนั้นมีหลำยบริ กำรดังต่อไปนี้
- Simple Network Management Protocol (SNMP)
- Syslog
- Trivial File Transfer Protocol (TFTP)
- Network Time Protocol (NTP)
32
อุปกรณ์ควำมปลอดภัย
-
Simple Network Management Protocol (SNMP)
Syslog
Trivial File Transfer Protocol (TFTP)
Network Time Protocol (NTP)
33
อุปกรณ์ควำมปลอดภัย
- Simple Network Management P NN rotocol (SNMP)
- Syslog
- Trivial File Transfer Protocol (TFTP)
- Network Time Protocol (NTP)
34
อุปกรณ์ควำมปลอดภัย
- Simple Network Management P NN rotocol (SNMP)
- Syslog
- Trivial File Transfer Protocol (TFTP)
- Network Time Protocol (NTP)
35
อุปกรณ์ควำมปลอดภัย
- Simple Network Management P NN rotocol (SNMP)
- Syslog
- Trivial File Transfer Protocol (TFTP)
- Network Time Protocol (NTP)
36