Cấu hình tính năng DoS Protection trên Aruba Instant On 1830 Switch

Phần mềm quản lý switch Aruba Instant On 1830 Switch Series bao gồm một tập hợp các tính năng bảo mật được tích hợp mạnh mẽ để truy cập an toàn vào giao diện quản lý switch và để bảo vệ mạng. Bài viết này sẽ hướng dẫn bạn cách cài đặt các tính năng DoS Protection (Denial of Service Protection) trên Aruba Instant On 1830 Switch. Cùng theo dõi nhé!

Tính năng DoS Protection (Từ chối dịch vụ) trên Aruba Instant On 1830 Switch

Trên các thiết bị chuyển mạch Aruba Instant On 1830 Switch Series sẽ bao gồm các tính năng DoS Protection và ICMP (ping) protection để giúp bảo vệ khỏi các tình huống lưu lượng truy cập khối lượng lớn hoặc bảo vệ khỏi các cuộc tấn công độc hại.

Một cuộc tấn công DoS sẽ làm bão hòa switch hoặc mạng, với các yêu cầu giao tiếp bên ngoài để ngăn switch hoặc mạng hoạt động hiệu quả. Bạn có thể bật DoS protection để ngăn chặn các loại tấn công DoS attack phổ biến.

Lưu ý: Đối với một số cài đặt, tính năng DoS không tạo thông báo (chẳng hạn như thông báo lỗi, thông báo SYSLOG hoặc SNMP traps) nếu xảy ra tấn công DoS attack. Switch sẽ chỉ đơn giản là thả các gói dữ liệu liên quan đến DoS.

Các tùy chọn bảo mật ICMP giúp ngăn chặn switch và mạng khỏi các cuộc tấn công liên quan đến các vấn đề với các gói yêu cầu phản hồi ICMP (ping) mà switch nhận được.

Để hiển thị ô Cài đặt chung, hãy bấm Security → Denial of Service Protection trong ngăn điều hướng.

Cài đặt chung tính năng DoS trên Aruba Instant On 1830 Switch

Các trường cài đặt chung DoS Protection trên Aruba bao gồm:

• Interface Level DoS Protection: Bật tùy chọn này để bật cài đặt DoS Protection cấp giao diện trên Aruba.
• Block SYN-FIN Packets: Bật tùy chọn này để thả gói TCP trên tất cả các giao diện trong đó cả SYN và FIN flags được đặt.
• SYN Protection Mode: Bật SYN Protection trên switch. SYN Protection sẽ phát hiện lưu lượng TCP SYN được gửi đến các địa chỉ IP của bộ chuyển mạch trên ngưỡng đã xác định và thực hiện hành động tương ứng.
• Giá trị có thể là:
  • Disabled  – Bảo vệ SYN bị tắt trên Switch. Đây là thiết lập mặc định.
  • Log – tính năng SYN Protection được bật trên Switch. Nếu tốc độ lưu lượng TCP SYN trên một giao diện nhất định cao hơn ngưỡng đã xác định, vi phạm sẽ được báo cáo thông qua Syslog.
  • Log and Block – SYN Protection được bật trên Switch. Nếu tốc độ lưu lượng TCP SYN trên một giao diện nhất định cao hơn ngưỡng đã xác định, vi phạm sẽ được báo cáo thông qua Syslog. Ngoài ra, tất cả lưu lượng TCP SYN trên giao diện sẽ bị loại bỏ trong khoảng thời gian được chỉ định.
• SYN Protection Threshold: Xác định ngưỡng được áp dụng cho giao diện để kích hoạt tính năng SYN Protection. Phạm vi hợp lệ là 20-200 gói tin mỗi giây. Mặc định là 80 gói tin mỗi giây.
• SYN Protection Period: Khoảng thời gian chờ (tính bằng giây) mà sau đó giao diện bị chặn bởi tính năng này được bỏ chặn. Cài đặt này chỉ khả dụng nếu chế độ SYN Protection được đặt thành Log and Block. Phạm vi là 10-600 giây, mặc định là 60 giây.

Lưu ý: Nếu một SYN attack vẫn còn hoạt động trên giao diện này, nó có thể bị chặn lại.

Nhấp vào APPLY để lưu bất kỳ thay đổi nào cho phiên khởi động hiện tại. Các thay đổi có hiệu lực ngay lập tức nhưng không được giữ lại khi reset Switch. Do đó bạn cần nhấn Save Configuration để lưu cấu hình.

Ô hiển thị Syn Attack Status/Interface Settings 

Để xem ô trạng thái SYN attack statu, hãy nhấp vào tab SYN Attack Status.

Để xem thông tin cài đặt Giao diện, hãy nhấp vào tab Interface Settings.

Tab SYN Attack Status

Tab SYN Attack Status hiển thị trạng thái TCP SYN Protection và SYN Attack cuối cùng trên mỗi giao diện. 

Các trường trạng thái SYN attack gồm:

• Interface: Bộ nhận dạng giao diện.
• Status: Trạng thái hiện tại của giao diện. Giá trị có thể là:
  • Normal – tính năng TCP SYN Protection không được kích hoạt hoặc giao diện không bị tấn công TCP SYN.
  • Attacked – Giao diện hiện đang bị tấn công TCP SYN.
• Last SYN Attack: Dấu thời gian cuối cùng mà Switch xác định một cuộc tấn công SYN attack trên giao diện này.

Tab Cài đặt Giao diện

Tab Interface Settings cho phép định cấu hình và cung cấp thông tin về cài đặt ICMP Attack Prevention và SYN Rate Protection cho các giao diện.

Lưu ý: Tab Interface Setting chỉ được bật nếu Interface Level Dos Protection (trạng thái Bảo vệ Dos Cấp Giao diện) được bật. Các cài đặt được định cấu hình trên giao diện chỉ hoạt động nếu cài đặt Interface Level Dos Protection được bật.

Các trường cài đặt giao diện bao gồm:

• Interface: nhận dạng giao diện.
• ICMP Attack Prevention: Enabled or Disabled. Nếu enabled, giao diện sẽ loại bỏ bất kỳ gói yêu cầu ICMP nào nhận được trên giao diện. Theo mặc định, tính năng ICMP Attack Prevention sẽ bị tắt.
• SYN Rate Protection: Enabled or Disabled. Nếu được enabled trên một giao diện, cài đặt này giới hạn việc xâm nhập các gói TCP có flag settings sau xuống 250 gói mỗi giây:
  • SYN = 1
  • ACK = 0
  • FIN = 0

Các gói cao hơn tỷ lệ sẽ bị loại bỏ. Theo mặc định, Syn Rate Protection sẽ bị tắt.

Để thay đổi cài đặt cho một hoặc nhiều giao diện, hãy chọn nó và nhấp vào Edit. Hoặc, nhấp vào Edit All để định cấu hình tất cả các giao diện cùng một lúc.

Khi hộp thoại Edit Interface Settings xuất hiện. Hãy đặt ICMP Attack Prevention và SYN Rate Protection theo yêu cầu, rồi nhấp vào APPLY.

HTTPS Certificate  

Secure HTTP (HTTPS) cho phép truyền kết nối HTTP qua Transport Layer Security (TLS). Sử dụng HTTPS đảm bảo rằng phiên quản lý dựa trên web được bảo vệ khỏi tình trạng trộm thông tin dữ liệu không mong muốn.

Mã hóa và giải mã thông tin được thực hiện bởi một cặp khóa công khai và khóa riêng (public and private keys).

• Dữ liệu được mã hóa bằng public key chỉ có thể được giải mã bằng private key.
• Public key được chia sẻ giữa máy chủ và máy khách còn private key thì không. 

Certificate (chứng chỉ) sử dụng cho các phiên HTTPS cũng được sử dụng để xác minh danh tính của server (switch) với máy khách (trạm quản lý). Chứng chỉ được cấp và ký bởi Certificate Authorities (CA) nổi tiếng được trạm quản lý tin cậy. Chứng chỉ đã ký sẽ lưu trữ dữ liệu về trang web (địa chỉ IP/URL, tên công ty, quốc gia,…). Trình duyệt sẽ kiểm tra chữ ký và chỉ khi chữ ký được xác minh chính xác thì chứng chỉ mới được tin cậy, nếu không nó sẽ thông báo cho người dùng rằng chứng chỉ chưa được ký bởi một cơ quan đáng tin cậy.

Switch hỗ trợ tạo một chứng chỉ duy nhất và xuất sang CA để ký và cho phép nhập chứng chỉ đã ký để Switch sử dụng cho các phiên HTTPS.

Để cho phép người dùng hưởng lợi từ kết nối an toàn mà không cần CA ký chứng chỉ, Switch cũng hỗ trợ sử dụng unsigned certificates (còn được gọi là chứng chỉ tự ký). Mặc dù không hữu ích để chứng minh switch nhận dạng cho trình duyệt, nhưng unsigned certificates cho phép bảo mật phiên quản lý bằng cách sử dụng public and private keys.

Certificate và key pairs được lưu trữ như một phần của tệp cấu hình Switch. Nếu thư mục startup switch không bao gồm certificate thì chứng chỉ tự ký sẽ được tạo tự động như một phần của trình tự khởi động switch.

Cài đặt HTTPS Certificate

Ô  HTTPS Certificate Settings hiển thị chi tiết chứng chỉ hiện tại và cung cấp một số nút ở cuối trang để thực hiện các cài đặt liên quan đến HTTPS Certificate Settings.

Các trường cài đặt HTTPS Certificate gồm:

• Common Name: Chỉ định địa chỉ IP hoặc URL switch đủ điều kiện.
• Valid Dates: Cài đặt ngày bắt đầu và ngày kết thúc của chứng chỉ.
• Source: Chỉ định xem chứng chỉ được tạo bởi hệ thống (tự động) hay do người dùng tự định nghĩa.

Sử dụng các nút ở cuối trang để thực hiện các hành động liên quan đến chứng nhận HTTPS:

Tạo Self-Signed Certificate 

Việc tạo chứng chỉ mới sẽ ghi đè bất kỳ chứng chỉ nào đã sử dụng trước đó. Bạn có thể xóa self-signed certificate (chứng chỉ tạo) mà bạn đã tạo. Trong trường hợp này, Switch sẽ tự động tạo self-signed certificate.

Để tạo self-signed certificate, hãy nhấp vào nút GENERATE CERTIFICATE để xem hộp thoại.

Nhập các trường sau:

• Common Name: Nhập địa chỉ IP hoặc URL chuyển đổi đủ điều kiện. Nếu không xác định, mặc định là địa chỉ IP thấp nhất của switch tại thời điểm tạo.
• Organization Unit: Nhập tên đơn vị tổ chức hoặc phòng ban. Nếu không được chỉ định, trường sẽ trống.
• Organization Name: Nhập tên tổ chức. Nếu không được chỉ định, trường sẽ trống.
• Location: Nhập vị trí hoặc tên thành phố. Nếu không được chỉ định, trường sẽ trống.
• State: Nhập tên tiểu bang hoặc tỉnh. Nếu không được chỉ định, trường sẽ trống.
• Country: Nhập tên viết tắt của quốc gia. Nếu không được chỉ định, trường sẽ trống.
• Duration: Nhập số ngày chứng chỉ có hiệu lực. Nếu không xác định, Durian (thời hạn) sẽ được đặt thành 365 ngày (1 năm).
• Regenerate RSA Key: Bật tính năng này để tạo một cặp khóa RSA. Nếu bị vô hiệu hóa, bộ khóa hiện có sẽ được sử dụng.
• RSA Key Length: Chọn độ dài khóa ưu tiên. Theo mặc định, độ dài khóa là 2048.

Sử dụng chứng chỉ do các tổ chức (Certificate Authority)

Để sử dụng chứng chỉ do Tổ chức Certificate Authority (CA) ký, bạn cần hoàn thành các bước sau:

1. Yêu cầu tạo 1 Certificate. Nhấp vào GENERATE CERTIFICATE REQUEST và nhập các trường như phần tạo self-signed certificate.

Lưu ý: Các trường Duration và RSA Key Regeneration không xuất hiện trong certificate request vì chúng không bắt buộc. Nếu cần khóa mới, bạn cần tạo self-signed certificate trước khi tạo certificate request..

2. Xuất chứng chỉ (Export Certificate). Trong hộp Certificate Request xuất hiện, nhấp vào COPY TO CLIPBOARD để sao chép Certificate Request đã tạo vào một tệp và gửi tệp đến CA để ký.
3. Sau khi Chứng chỉ được CA ký, hãy import chứng chỉ đó trở lại thiết bị. Chứng chỉ cần được nhập dưới dạng loại tệp/mã hóa PEM. Để import chứng chỉ đã ký: Nhấp vào IMPORT CERTIFICATE và sao chép chứng chỉ, tùy chọn các RSA keys và Public Key mà bạn nhận được từ CA vào các trường hộp thoại.

• Nếu các key được import cùng với certificate thì public key sẽ được tìm thấy trong certificate phải khớp với key được nhập.
• Nếu các key không được nhập cùng với certificate thì public key được tìm thấy trong chứng chỉ phải khớp với public key được lưu trữ trên Switch.

4. Sau khi sao chép các phím, hãy nhấp vào APPLY.

Import chứng chỉ có chữ ký của CA sẽ ghi đè chứng chỉ hiện được sử dụng trên Switch.

Hộp Import trường chứng chỉ gồm các trường:

• Certificate: Dán chứng chỉ đã ký vào hộp văn bản này.
• Import RSA Keys: Enable nếu bạn cần nhập khóa RSA.
• Public Key: Nếu Import RSA Keys được enabled, hãy dán public key vào hộp văn bản này.
• Private Key: Nếu Import RSA Keys được enabled, hãy dán private key vào hộp văn bản này.

Cách xem các chứng chỉ

Để xem chi tiết chứng chỉ hiện tại, hãy nhấp vào nút VIEW CERTIFICATE DETAILS.

Các trường chi tiết chứng chỉ bao gồm:

• Certificate: Hộp văn bản không thể chỉnh sửa với chứng chỉ.
• Public Key: Hộp văn bản không thể chỉnh sửa với public key.
• Private Key: Hộp văn bản không thể chỉnh sửa với private key.
• Fingerprint: Dấu vân tay public key.

Vừa rồi là hướng dẫn về cách cấu hình tính năng DoS Protection trên Aruba Instant On 1830 Switch. Mọi thắc mắc bạn có thể liên hệ giải đáp qua.

FPT – Thiết Bị Mạng

Hỗ Trợ Kỹ Thuật: 028-7300-2222

Số máy lẻ (Ext): 89777 Hoặc 8654