12. Logging and Debugging
12.1 Tính dễ bị tổn thương.
Một cấu hình và sự kiểm tra nghèo cho logging và debugging
trên một Switch có thể dẫn tới việc thiếu thông tin khi có một cuộc tấn công
xảy ra chống lại Switch hoặc những mạng kết nối đến nó. Những vấn đề có
thể xảy ra nếu việc logging được cho phép nhưng quản lí không đúng mức.
Những file log xác định trên Switch là những sự mạo hiểm nó cho phép ghi
đè khi có một không gian của bản than nó để luư trữ thông tin logging. Đồng
thời những log trên Switch có thể tuỳ thuộc vào sự xoá hoặc thoả hiệp bởi kẻ
tấn công.
Thông tin log hệ thống cần được trình bày chi tiết cho một người quản
trị. Nếu logging được cấu hình ở một mức không hợp lệ thì người quản trị
không thể có thông tin cần thiết để nhận dạng một biến cố trên hệ thống
hoặc trên một mạng. logging mà không được điều hướng dung cách thì có
thể làm người quản trị bị lấn át bởi việc cung cấp thông tin thừa thãi. Cuối
cùng, thông điệp log và debug mà không có timestaps hoặc có một nguồn
thời gian không đáng tin cậy có thể gây ra sự lỗn lộn cho người quản trị khi
những sự kiện tấn công cùng đến.
12.2 Giải Pháp.
Phần này bao gồm cho Switch cả hai cấu hình cài đặt logging và
debugging và việc chuẩn doán9 tình trạng cho logging và debugging.
12.2.1 Cấu hình Loggings
Bật tính năng Logging trên mỗi Switch bằng dòng lệnh sau:
Switch(config)# logging on
Những logs từ mổi Switch đến ít nhất một log host cần phải dành một hệ
thống mạng bảo vệ. Tiêu biểu, log host có một dịch vụ syslog được phép
nhận những logs. Trên log host vô hiệu hóa tất cả TCP hoặc những dịch vụ
UDP không cần thiết. Đồng thời loại bỏ những tài khoản người dung không
cần thiết. Nếu có thể, cấu hình ruleset trên mỗi log host để làm sau cho: Cho
phép duy nhất những mạng hệ thống gửi những logs đến log host và cho
phép duy nhất những hệ thống quản trị truy cập đến những logs host. Cuối

cùng, tập trung những logs host là một cơ chế tốt để tổng quan các cuộc tấn
công ngang qua mạng máy tính. Lệnh sau sẽ cho thấy làm thế nào để định
hướng những logs đến log host. Chú ý, IOS có thể hỗ trợ nhiều logs host;
người quản trị cần sử dụng dòng lệnh logging <ip address> cho mổi log
host trên mạng.
Switch(config)# logging 10.1.6.89
Cho mối access-list trên Switch, đặt một từ khóa log cho mỗi access-list đề
từ chối traffic mạng đi qua Switch hoặc cho phép hoặc từ chối cho sự truy
cập đến Switch. Câu lệnh sau để đặt từ khóa log cho access-list.
Switch(config)# access-list 101 deny ip any any log
Người quản trị cần cấu hình level trap cho syslog trên mỗi Switch để xác
định những logs được gửi đến logs host nào. Sau đây là dòng lệnh dùng để
đặt level trap.
Switch(config)# logging trap level
Sau đây là 8 level syslog.
Number Keyword Message Examples
0 Emergencies System is unusable
1 Alerts Immediate action needed
2 Critical Critical conditions
3 Errors Error conditions
4 Warnings Warning conditions
5 Notifications Exit global configuration mode
6 Informational Access-list statement match
7 Debugging Debugging messages
Đặt level trap cho syslog trên mỗi Switch ít nhất là mức informational.
Điều này cần thiết vì thông điệp log cho mỗi access-list có từ khóa log phát
sinh ở mức informational. Khi một mức được cấu hình logging thì tất cả các
thông điệp ở mức đó và ở mức thấp hơn sẽ bị log.
Đây là những cách khác để gửi log. Ví dụ, giao tiếp console cho Switch có
thể nhận những log, nhưng làm thế nào để xác định những logs console nào

cần phải nhận. Nếu console output đang được bắt thì nhiều logging có thể
phù hợp. Ở tại minimum, đặt level trap cho console tới Critical dùng lệnh
sau:
Switch(config)# logging console critical
Teminal lines có thể nhận những thông tin logging. Tại minimum, đặt level
trap cho teminal line tới Critical dùng lệnh sau:
Switch(config)# logging monitor critical
Người quản trị có dùng dòng lệnh sau để xem thông tin logging và
debugging cuối và session.
Switch# terminal monitor
Mỗi thông điệp log được gửi từ Switch đến log host có thể có địa chỉ nguồn
được đặt cùng giá trị. Điều này có ích vì người quản trị có phân biệt log host
trên bất cứ Switch nào mà gửi log. Đồng thời người quản trị có thể tạo
access-lis cho phép duy nhất một địa chỉ nguồn hướng vào Switch để gửi
những logs. Lệnh sau đặt địa chỉ nguồn dùng một trong những interface cùa
Switch. Như vậy, interface này phải được cấu hình với một địa chỉ IP để
thiết lập này thành công. Cổng Loopback 0 là sự chọn lựa tốt nhất cho địa
chỉ IP nguồn.
Switch(config)# logging source-interface type number
Type: kiều interface .
Number: Số interface.
Syslog facility cũng có thể là những tập hợp trên Switch. Dòng lệnh sau làm
điều đó.
Switch(config)# logging facility facility-type
facility-type là một trong những từ sau:
local0 local3 local6
local1 local4 local7 (default)
local2 local5 syslog
Mỗi thông điệp vể tình trạng logged trong hệ thống xử lí logging có một số
tham khảo nối tiếp được áp dụng. Lệnh sau tạo một số nối tiếp cho mỗi

thông điệp bởi việc trình bày số với thông báo.
Switch(config)# service sequence-numbers
12.2.2Time information.
Cấu hình trên mỗi Switch và trên mỗi log host để trỏ vào ít nhất hai
timeserver đáng tin cậy để đảm bảo cho sự chính xác và tính sẵn sang của
time information và đảm bảo chống lại tấn công từ chối dịch vụ trên
timeserver đơn. Mỗi timeserver tiêu biểu được phép có một Network Time
Protocol (NTP) server. NTP đồng bộ hóa những hệ thống tới một nguồn thời
gian có căn cứ. Thời gian chính xác quan trọng cho thông điệp logging và
debugging. Việc đồng bộ hóa thời gian giúp cho những khảo sát toàn mạng
kéo theo nhiều nguồn logging. Lệnh sau dể chỉ định những địa chỉ
timeserver và interface cho địa chỉ nguồn sử dụng trong những thông điệp
NTP được gửi từ Switch đến timeserver.
Switch(config)# ntp server 10.1.200.94 source Loopback0 prefer
Các Switch của Cisco đề xuất hỗ trợ chứng thực NTP để ngăn ngừa việc
ngẫu nhiên hoặc cố ý thay đổi đồng hồ hệ thống. Những lệnh sau cho phép
sự chứng thực NTP, tạo ra một chìa khóa chứng thực liên quan dến số chìa
khóa chứng thực, xác định số chìa khóa đó được yêu cầu trong chứng thực
và cấu hình cho NTP server với khóa liên hệ.
Switch(config)# ntp authenticate
Switch(config)# ntp authentication-key 42 md5 aGr8key!
Switch(config)# ntp trusted-key 42
Switch(config)# ntp server 10.1.200.94 key 42 prefer
Chú ý rằng khi một Switch được cấu hình để sử dụng NTP cho việc đồng bộ
hóa thời gian, thì Switch cũng trở thành một NTP server. Trừ khi Switch có
ý nghĩa như một server trên mạng, NTP cần được vô hiệu hóa trên tất cả các
interface mà không chuyển qua NTP traffic.
Switch(config-if)# ntp disable
Ngoài xem xét timeservers, thì Switch cần phải bao gồm ngày thàng và thời
gian khi một thông điệp log và debug được gửi. Để dối chiếu ngày tháng và

thời gian của những thông điệp này thì timestramps cần đặt trên mỗi Switch.
Dòng lệnh sau dùng để cấu hình timestramps cho logging và debugging.
Switch(config)# service timestamp log datetime msec
localtime show-timezone
Switch(config)# service timestamp debug datetime msec
localtime show-timezone
Datetime : cung cấp ngày tháng và thời gian.
Msec: thời gian tính bằng mili giây.
Locatime: cho thấy thời gian ở dạng giời địa phương.
Show-timezone: khu vực thời gian.
Nếu Switch được quản lí bên trong nhiều timezones, sử dụng Greenwich
Mean Time (GMT) cho tất cả các timezone cho tất cả Switch. Cách khác hãy
sử dụng timezone địa phương trên Switch. Dòng lệnh sau dùng để đặt thời
gian chuẩn phương đông và được đặt tự động trên Switch.
Switch(config)# clock timezone EST –5
Switch(config)# clock summer-time EDT recurring