More Related Content
Similar to D.sa302 lab 1 (20)
More from Babaa Naya (20)
D.sa302 lab 1
- 1. D.SA302 Нууцлалын протоколууд
ЛАБОРАТОРИ-1: СҮЛЖЭЭНИЙ ТӨХӨӨРӨМЖҮҮДИЙН ЭРСДЭЛИЙН
УДИРДЛАГА
Зорилго
Энэхүү лабораторийн ажлаар байгууллагын сүлжээний дундын төхөөрөмжүүдийн
нууцлал хамгаалалтыг хэрхэн хангах талаар судлан, Cisco төхөөрөмжүүд дээр нууцлал
хамгаалалтын технологиудыг хэрэгжүүлэх талаар судлана.
Эзэмших, мэдлэг чадвар
Байгууллагын сүлжээний аюулгүй байдлын эрсдэлийн үнэлгээний талаар судлах
болон үнэлэх
Эрсдэлийн үнэлгээний үр дүн дээр үндэслэн, эрсдэлийг бууруулах тохиргоог
сүлжээний дундын төхөөрөмжүүд дээр тохируулах, турших
MAC flooding болон DHCP starvation, DHCP spoofing халдлагаас хамгаалах
тохиргоог Cisco свитч дээр тохируулах, ашиглах
Эрсдэлийг бууруулах тохиргоо хийсний дараа дахин эрсдэлийн үнэлгээ хийн
үлдэгдэл эрсдэлийг тодорхойлох
Шаардлагатай зүйлс
Рутер
Свитч
Компьютер
Үндсэн ойлголт
Байгууллагын тогтвортой, хэвийн үйл ажиллагаа, үр дүнтэй байдал нь тухайн
байгууллагын мэдээллийн аюулгүй байдал, тэр дундаа сүлжээний аюулгүй байдлаас
ихээхэн хамааралтай бөгөөд байгууллага өөрийн сүлжээний аюулгүй байдлын
эрсдэлийг үнэлэх, шийдвэрлэх нь ажил хэргийн тасралтгүй чанарыг хангах, бизнесийн
болоод учирч болох аюулуудаас урьдчилан сэргийлэх чухал асуудал юм. Мэдээллийн
аюулгүй байдлыг хангахдаа стандарт бодлогын хувьд, техник технологийн хувьд, мөн
хэрэглээний давхаргын хувьд хамгаалалтыг хэрэгжүүлдэг.
- 2. D.SA302 Нууцлалын протоколууд
Аюул
Аюул нь байгууллагын мэдээллийн системд хор хохирол учруулах боломжийг агуулж
байдаг. Аюулууд нь орчноос болон хүнээс гаралтай, түүний дотор санаатай болон
санамсаргүй байж болно.
Аюулыг ямар нэгэн эх сурвалжаас, янз бүрийн сэдлээр хор уршиг учруулж болно.
Аюулыг үнэлсэн үнэлгээнээс хамааран Их, Дунд, Бага хэмээн ангилдаг.
Эмзэг сул байдал
Аливаа аюулыг хэрэгжүүлэх, халдлага үйлдэхэд ашиглаж болох сул цоорхой байдлыг
эмзэг байдал гэнэ. Биет хамгаалалт, зохион байгуулалт, дэг жаяг, ажилтнууд, удирдлага,
захиргаа, тоног төхөөрөмж, техник хангамж, програм хангамж болон мэдээлэлд эмзэг
байдал байж болно. Эдгээр эмзэг сул байдлыг хэрэгжүүлж систем, сүлжээ, нөөцөд хор
- 3. D.SA302 Нууцлалын протоколууд
хохирол учруулдаг. Эмзэг сул байдал нь дангаараа хор хохирол учруулахгүй. Харин
аюулыг хэрэгжүүлэх нөхцөлийг бүрдүүлдэг. Эмзэг сул байдлын үнэлгээ нь тодорхой
аюулыг хэрэгжүүлэхэд ашиглаж болох цоорхой, сул байдал байгаа эсэхийг шинжлэх
ажиллагаа юм.
Үр дагавар, хор хохирол
Үр дагавар гэдэг нь хэрэгжүүлсэн аюулын улмаас бий болсон мэдээллийн аюулгүй
байдлын будлианы уршиг, үр дүн юм. Зарим өмч хөрөнгийг сүйтгэх, устгах, МХТ-ийн
системийг гэмтээх, нууцлал, бүрэн бүтэн байдал, хүртээмжтэй байдал, тасралтгүй
ажиллагаа, мөшгөн ажиглагдах шинж, жинхэнэ байх шинж болон найдвартай байдлыг
алдагдуулах нь үр дагавар, хор хохирлын жишээ юм. Үүнээс гадна санхүүгийн алдагдал
хүлээх, нэр хүндээ алдах, зах зээлд эзлэх байр сууриа алдах гэх мэт шууд бус хор
хохирол учирч болно. Үр дагавар, хор хохирлыг үнэлэх нь эрсдэлийг үнэлэх, аюулгүй
байдлын сөрөг арга хэмжээг сонгох ажиллагааны нэг салшгүй бүрдэл хэсэг байдаг.
Эрсдэл
Байгууллагад оршин буй эмзэг сул байдлыг ашиглан заналхийлж буй аюулууд хор
хохирол учруулж болох магадлалыг эрсдэл гэнэ. Аюулууд эмзэг сул байдлыг хэрхэн
ашиглаж, яаж хэрэгжиж болохыг эрсдэлийн зохиомжоор тодорхойлдог. Эрсдэл
боловсруулах багцад эрсдэлээс урьдчилан сэргийлэх, эрсдэлийг бууруулах, шилжүүлэх,
хүлээн зөвшөөрөхийг хамруулдаг. Хүлээн зөвшөөрсөн эрсдэлийг үлдэгдэл эрсдэл гэнэ.
MAC халдлага болон MAC халдлагаас хамгаалах арга/Port security/
MAC (Media Access Control) хаяг нь 12 тэмдэгт 48 битийн урттай үйлдвэрээс тавьж өгсөн
өөрчлөгдөшгүй хаяг боловч тус халдлага нь энэ хаягийг өөрчлөн халдах арга техник юм. MAC
халдлага нь олон хуурмаг хаяг үүсгээд свитчийн MAC хүснэгтийг дүүргэдэг. Халдлагад өртсөн
свитч нь “хаб” шиг ажиллаж эхлэх бөгөөд свитчний үүргээ биелүүлж чадахгүйд хүрж орж ирсэн
пакетуудыг өөрийнхөө бүх портоор гаргана.Port-security нь свитчийн интерфейс дээр мак
хаягийн хаязгаарыг тогтоож мак халдлагаас хамгаалдаг арга.
Сүлжээний дундын төхөөрөмжүүдийн эрсдэлийн үнэлгээ
Сүлжээний дундын төхөөрөмжүүдийн эрсдэлийн үнэлгээг олон улсын стандарт ISO/IEC
27001:2005, Монгол улсын стандарт “MNS ISO IEC 27001:2009 Мэдээллийн аюулгүй
байдлын удирдлагын тогтолцоо шаардлага” –н дагуу эрсдэлийн үнэлгээ хийх checklist.
- 4. D.SA302 Нууцлалын протоколууд
д/д Асуултууд
Одоогийн
байдал
ISO
27001
Control Байж болох стандарт/ хяналт
Тийм Үгүй
A.11.4.1
Шаардлагагүй үйлчилгээг хаах
1
CDP(Cisco Discovery Protocol)
үйлчилгээ рутер дээр хаасан эсэх
A.11.4.4
CDP протокол нь IP хаяг болоод хөрш Cisco
төхөөрөмжийн флатпормын төрлийн
мэдээллийг цуглуулахад хэрэглэгддэг.
A.12.6.1. Router(config)# no cdp run OR
Router(config-if)# no cdp enable
2
Нууц үг нь тохиргооны файлаас харах
боломжгүй шифрлэгдсэн эсэх
A.11.5.3
Нууц үг нь тохиргооны файлаас харах
боломжгүй нууцлагдсан байх хэрэгтэй
Router(config)#service password-encryption
3 enable secret идэвхжүүлсэн эсэх A.11.5.3
Энэхүү тохиргоо нь нууц үгийг MD5 хаш
алгоритмаар нууцалдаг
Router(config)#enable secret password
4
Сүлжээн дэх рутер бүрд ижил нууц үг
хэрэглэж байгаа эсэх
A.11.5.3
Хэрэв олон рутер хэрэглэж байгаа бол
Рутерийн хэсэг бүрд өөр өөр enable secret
password -ийг хэрэглэх хэрэгтэй.
5
Message of the Day (MOTD) буюу
banner мэссэж тодорхойлсон эсэх
A.11.5.1
Энэхүү баннер мэссэж нь зөвшөөрөгдөөгүй
хандалтанд сэрэмжлүүлэг болгох зорилгоор
хэрэглэх юм.
Доорх команд нь banner motd-ийг
идэвхжүүлэх юм.
Router# config t
Router(config)# banner motd ^
6
Доорх командууд нь консол
холболтонд тодорхойлсон эсэх
A.11.5.1 Эдгээр тохиргоо нь консол порт дээрх
зөвшөөрөгдөөгүй хандалтыг багасгах юм.
1. Exec-timeout A.11.3.1
2. Password Cisco(config)#line con 0
Cisco(config-line)#exec-timeout 5 0
Cisco(config-line)#password password
Cisco(config-line)#login
7 Aux порт хаасан эсэх A.11.4.4
Бизнесийн шаардлагаар aux портыг
хэрэглээгүй бол хаавал зохистой
Use the following command to disable the aux
port:
Router(config)#line aux 0
Router(config-line)#no exec
8
Доорх командууд нь VTY шугаманд
тодорхойлсон эсэх
A.11.5.1 Эдгээр тохиргоо нь зөвшөөрөгдөөгүй
хандалтыг багасгах юм.
1. Exec-timeout (Yes/No) A.11.3.1
2. Password Router(config)#line vty 0 4
Router(config-line)#exec timeout 5 0
Router(config-line)#password password
Router(config-line)#login
Router(config-line)#transport input protocol
9 A.11.4.3
- 5. D.SA302 Нууцлалын протоколууд
VTY шугам нь тодорхой IP хаягнаас
холболтыг зөвшөөрсөн эсэх
Доорх команд нь VTY шугамыг тодорхой IP
хаягнаас холболтыг зөвшөөрдөг болгоно.
Router(config)#access-list 50 permit 192.168.1.x
(x represents the IP address of the administrator’s
machine)
Router(config)#access-list 50 deny any log
Router(config)#line vty 0 4
Router(config-line)#access-class 50 in
10
Хэр ойрхон нууц үг болоод
хэрэглэгчийн нэрийг сольдог вэ?
A.11.5.3
Рутерийн нууц үгийг тогтмол сольж байх
хэрэгтэй бөгөөд энэ хугацаа нь 4-6 сар байвал
зохистой.
11
Рутерийн бодлогод тодорхойлсоны
дагуу нууц үг нь комплекс байгаа эсэх
A.11.3.1
Бүх нууц үг доорхын дагуу тодорхойлогдсон
байх
· Хамгийн багадаа 8 тэмдэгтийн урттай
· @#$% зэрэг онцгой тэмдэгтийг
оруулсан байх
- мөн нууц үгэнд байгууллагын нэр болоод
biograph мэдээлэл оруулахгүй байх
12 vty шугаманд SSH хэрэглэдэг эсэх A.12.3.1
SSH нь сүлжээгээр дамжиж байгаа VTY
холболт тогтсоноос хойш бүх өгөгдлийг
шифрлэнэ.
13
Менежмент зорилгоор (жишээ нь:
тохиргооны мэдээллийг нөөцлөх)
Telnet хэрэглэгдэг эсэх.
A.10.6.1
Telnet холболт нь ил бичвэрийг сүлжээгээр
дамжуулдаг бөгөөд энэ үед халдагч нь sniff
хийн нууц үгийг барьж авах боломжтой.
Асуудлыг шийдэх
· Хаанаас ч холбогдсон SSH хэрэглэх
· Тодорхой хаяганд зөвшөөрөх
· Хүчтэй нууц үг хэрэглэх
14
Рутерийн админ болгон өөрийгөө
илтгэх нэртэй байх
A.11.2.1
Доорх команд нь өөрийгөө төгсөөр
илэрхийлэх нэр олгох юм.
Router(config)#username username password
password
Router(config)#line vty 0 4
Router(config-line)#login local
15
Рутерийн удирдлагад http/https
хэрэглэдэг эсэх
A.10.6.1
энэхүү үйлчилгээ нь вэб хөтөчөөр тохиргоо
хийх боломжийг олгодог.
Хэрэв үүнийг хэрэглэдэггүй бол хаах
шаардлагатай
Router(config)#no ip http server
Router(config)#ip http access-class 22
Router(config)#access-list 22 permit host mgmt
ip
Router(config)#access-list 22 deny any log
16
зөвхөн админ холбогдож ACL ээр
зааж өгсөн хостоос системийн лог
мэссэжийг хүлээж авдаг эсэх
A.11.4.6
- 6. D.SA302 Нууцлалын протоколууд
17 NTP серверийг хэрэглэдэг эсэх A.10.10.6
Энэхүү үйлчилгээ нь анхнаасаа хаалттай
байдаг бөгөөд сүлжээдэх төхөөрөм хоорондын
синхрон үйл явцыг тохируулдаг.
18
Хэр ойрхон рутерийн тохиргоог
нөөцлөж авдаг вэ?
A.10.5.1
19
тохиргооны файл хадгалагдаж байгаа
систем дээр үйлдлийн системийн
аюулгүй байдлын механизм
хэрэгжүүлдэг эсэх
A.10.5.1
Зөвхөн зөвшөөрөлтэй хэрэглэгч файл серверт
хандах
20
рутерийн тохиргоо болон image
файлыг авах зорилгоор TFTP
протоколыг хэрэглэдэг үү?
A.10.6.1
TFTP протокол нь анхнаасаа хаалттай байдаг
бөгөөд ил бичвэрийг сүлжээгээр дамжуулдаг
учир тийм ч аюулгүй биш юм.
Хэрэв тийм бол,
· Яг тодорхой хаягнаас хандахыг
заасан уу?
· Хэрэглээгүй үедээ энэ
үйлчилгээг хаадаг уу?
21 syslog үйлчилгээ идэвхтэй байгаа эсэх
A.10.10.1
Энэхүү syslog нь хялбараар сүлжээг хянах,
засварлах зорилготой.
A.13.1.1 Доорх команд нь syslog -г идэвхжүүлнэ
Router(config)#logging syslog-ip-address
Router(config)#service timestamps log datetime
localtime msec show-timezone
22
Сүлжээний инжинер нь рутер дээр
шинээр гарч буй эмзэг сул байдлыг
мэдэж байх хэрэгтэй
A.6.1.7
Сүлжээний инжинер нь рутер дээр тогтмол
хугацаанд эмзэг байдлын шинэчлэлүүдыг
хийж байх.
23
MAC халдлагаас хамгаалах тохиргоо
хийгдсэн эсэх
MAC (Media Access Control) хаяг нь 12
тэмдэгт 48 битийн урттай үйлдвэрээс тавьж
өгсөн өөрчлөгдөшгүй хаяг боловч тус халдлага
нь энэ хаягийг өөрчлөн халдах арга техник юм.
MAC халдлага нь олон хуурмаг хаяг үүсгээд
свитчийн MAC хүснэгтийг дүүргэдэг.
Халдлагад өртсөн свитч нь “хаб” шиг ажиллаж
эхлэх бөгөөд свитчний үүргээ биелүүлж
чадахгүйд хүрж орж ирсэн пакетуудыг
өөрийнхөө бүх портоор гаргана.
24
DHCP starvation халдлагаас хамгаалах
тохиргоо хийгдсэн эсэх
DHCP (Dynamic Host Configuration Protocol)
starvation – энэ халдалага нь броадкастаар
дамжиж байгаа хуурмаг MAC хаягтай DHCP
хүсэлтийг хэлнэ. Ингэж клинтээс шинэ шинэ
DHCP хүсэлтүүд ирж DHCP серверийн
боломжит хаягийг дуусгадаг.
25
DHCP хуурах халдлагаас хамгаалах
арга хийгдсэн эсэх
Энэ халдлага нь хуурамч DHCP серверийг
үүсгээд клинт DHCP хүсэлт илгээхэд хуурамч
DHCP сервер түүнд хариу илгээнэ гэсэн үг юм.
Ингэснээр тухайн клинтийг интернэд хандах
боломжгүй болгодог.
Рутер болон свич дээр учирч болох эрсдэлүүдийг бууруулах үндсэн тохиргоонууд
Дундын төхөөрөмжүүдийн нууцлал хамгаалалтыг сайжруулан тохируулах жишээ:
Байгууллагын санхүүгийн албаны свич дээр.
1. CDP үйлчилгээг хаах
Branch1(config)#no cdp run
- 7. D.SA302 Нууцлалын протоколууд
2. Нууц үгүүдийг тохиргооны файлаас харах боломжгүй нууцлах
Branch1(config)# service password-encryption
3. Enable secret-г идэвхижүүлэх. Энэ тохиргоо нь нууц үгийг MD5 hash алгоритмаар
нууцалдаг.
Branch1(config)#enable secret password
4. Сүлжээн дэх дундын төхөөрөмж бүрд ижил нууц үг хэрэглэж байгаа эсэх
Хэрэв олон дундын төхөөрөмж хэрэглэж байгаа бол дундын төхөөрөмж бүрд өөр өөр
enable secret password -ийг хэрэглэх хэрэгтэй.
5. Message of the Day (MOTD) буюу banner мэссэж тодорхойлох. Энэхүү баннер мэссэж
нь зөвшөөрөгдөөгүй хандалтанд сэрэмжлүүлэг болгох зорилгоор хэрэглэх юм.
Branch1(config)#banner motd # This is secure system Authorized access only #
6. Консол холболтонд зөвшөөрөгдөөгүй холболтыг багасгах.
Branch1(config)#line console 0
Branch1(config-line)#exec-timeout 1 0
Branch1(config-line)#password password
7. Aux порт хаах. Бизнесийн шаардлагаар aux портыг хэрэглээгүй бол хаавал зохистой.
Branch1(config)#line aux 0
Branch1(config-line)#no exec
8. Vty шугаманд exec timed out болон нууц үг тодорхойлох
Branch1(config)#line vty 0 4
Branch1(config-line)#exec timedout 5 0
Branch1(config-line)#password password
Branch1(config-line)#login
Branch1(config-line)#transport input [telnet | ssh]
9. VTY шугам нь тодорхой IP хаягнаас холболтыг зөвшөөрөх. Доорх команд нь VTY
шугамыг тодорхой IP хаягнаас холболтыг зөвшөөрдөг болгоноVLAN 99-н
хэрэглэгчид төхөөрөмжүүд рүү холбогдох холболтыг зөвшөөрдөг болгох.
Branch1(config)# access-list 50 permit 192.168.0.0
Branch1(config-line)#line vty 0 4
Branch1(config-line)#access-class 50 in
10. Рөүтерийн нууц үгийг 4-6 сарын хугацаатай тогтмол сольж байх.
11. Бүх нууц үг доорх шаардлагын дагуу тодорхойлогдсон байх
Хамгийн багадаа 8 тэмдэгтийн урттай
@#$% зэрэг онцгой тэмдэгтийг оруулсан
Мөн нууц үгэн байгууллагын нэр болон biograph мэдээлэл оруулахгүй байх
12. Төхөөрөмжүүд рүү алсаас хандах хандалтандаа зөвхөн SSH протокол ашиглах.SSH
нь сүлжээгээр дамжиж байгаа VTY холболт тогтсоноос хойш бүх өгөгдлийг
шифрлэнэ.
13. Telnet протоколыг алсаас хандах хандалтандаа ашиглахгүй байх.
14. Рөүтерийн админ болгон өөрийгөө илтгэх нэртэй байх.
Branch1(config)#username username password password
Branch1(config)#line vty 0 4
Branch1(config-line)#login local
- 8. D.SA302 Нууцлалын протоколууд
15. Рөүтерийн удирдлагад http/https хэрэглэдэггүй бол энэ үйлчилгээг хаах. Энэхүү
үйлчилгээ нь вэб хөтөчөөр тохиргоо хийх боломжийг олгодог.
Branch1(config)# no ip http server
16. Зөвхөн админ холбогдож ACL ээр зааж өгсөн хостоос системийн лог мэссэжийг
хүлээж авдаг байх
17. NTP серверийг тохируулах. Энэхүү үйлчилгээ нь анхнаасаа хаалттай байдаг бөгөөд
сүлжээн дэх төхөөрөмж хоорондын синхрон үйл явцыг тохируулдаг.
Branch1(config)# ntp server ntp-server-ipaddress /Monitoring сервер дээр NTP серверийг
идэвхижүүлэн IP хаягийг бичнэ. Галт хана дээр NTP протоколыг нээж өгөх
шаардлагатай/
18. Дундын төхөөрөмжүүдийн тохиргооны файлыг өөрчлөх бүрдээ FTP сервер лүү
нөөцөлж авах.
Branch1(config)#ip ftp username username
Branch1(config)#ip ftp password password
Branch1# copy running-config ftp: /FTP серверийн IP хаяг /
19. Тохиргооны файл хадгалагдаж байгаа систем дээр үйлдлийн системийн аюулгүй
байдлын механизм хэрэгжүүлэх. Зөвхөн зөвшөөрөлтэй хэрэглэгч файл серверт
хандах.
20. TFTP сервер лүү дамжуулж байгаа өгөгдлүүд эх текстээрээ дамждаг учир сүлжээний
дундын төхөөрөмжүүдийн тохиргооны файл болон үйлдлийн системийг нөөцөлж
авахдаа TFTP серверийг ашиглахгүй байх.
21. Системийн логийн үйлчилгээг идэвхижүүлэх.
Branch1(config)#logging syslog-ip-address /Monitoring сервер дээр syslog
серверийг идэвхижүүлэн IP хаягийг бичнэ./
Branch1(config)# service timestamps log datetime msec
22. Дундын төхөөрөмжүүд дээр шинээр үүсч байгаа эмзэг сул байдлын талаар судалж,
эмзэг сул байдлуудыг бууруулах арга хэмжээнүүдийг хэрэгжүүлж байх.
23. MAC халдлагаас хамгаалах
Branch1(config)#switchport port-security /идэвхижүүлэх
Branch1(config)#switchport port-security mac-address [MAC хаяг] /порт дээр
холбогдох хэрэглэгчийг бүртгэх
Branch1(config)#switchport port-security maximum [тоо] /порт дээр холбогдох
максимум хэрэглэгчийн тоо
Branch1(config)#switchport port-security mac-address sticky
Branch1(config)#switchport port-security violation [protect|restrict|shutdown]
/Бүртгэлгүй хэрэглэгч порт дээр холбогдвол үзүүлэх хариу
24. DHCP starvation болон DHCP хуурах халдлагаас хамгаалах
Branch1(config)#ip dhcp snooping /dhcp starvation болон dhcp rogue халдлагаас
хамгаалах тлхиргоог идэвхижүүлэх
Branch1(config)#int G0/1 /DHCP сервер холбогдож байгаа портыг зааж өгөх
Branch1(config-if)#ip dhcp snooping trust /Энэ портоор DHCP серверээс хариу авна
гэдгийг тодорхойлж байна
DHCP клиентүүд холбогдсон портууд
Branch1(conf-if)#ip dhcp snooping limit rate <1-2048> /энэ портон дээрээс хамгийн
ихдээ хэдэн DHCP хүсэлт явж болохыг зааж өгнө
- 9. D.SA302 Нууцлалын протоколууд
Лабораторын ажилд ашиглагдах топологи
Даалгавар:
Дундын төхөөрөмжүүд дээр сүлжээний аюулгүй байдлын эрсдэлийн үнэлгээг ISO
27001-н дагуу хийн илрүүлсэн эмзэг байдлуудаа бууруулах арга хэмжээнүүдийг авна уу.
Дүгнэх хэлбэр:
Лабораторийн ажлыг бүрэн гүйцэтгэснээр 5 оноог авна. Лабораторийн ажлыг
дүгнүүлэхдээ тайлан бичих бөгөөд мөн симуляцын програм дээр хийсэн ажлаа хамт
үзүүлнэ.
Даалгаврыг гүйцэтгэвэл 3 оноо
Онолыг дэлгэрэнгүй яривал 1оноо
Ирц 1 оноо