Báo cáo kết quả thực tập tốt nghiệp đề tài nghiên cứu và triển khai bảo mật hệ thống mạng với ACL trên ROUTER

Khả năng điều khiển truy nhập Access ControlTrong một hệ thống mạng được coi là bảo mật, an toàn thì người quản trị viênphải điều khiển được truy cập ra vào của hệ thống mạng, có thể ch

KHOA CÔNG NGHỆ THÔNG TIN

-oOo -BÁO CÁO KẾT QUẢ THỰC TẬP TỐT NGHIỆP

ĐỀ TÀI : NGHIÊN CỨU VÀ TRIỂN KHAI BẢO MẬT HỆ THỐNG MẠNG VỚI ACL TRÊN ROUTER

SVTH: Trần Thanh Tại

Trần Minh Bằng

Đặng Anh Thoại Phạm Văn Hải

Để viết hoàn thành được một đề tài không phải là dễ đối với em vì em khôngphải là người giỏi trong việc viết lách Trong quá trình thực hiện đề tài thì em cũng đãgặp rất nhiều khó khăn nhưng đã được sự giúp đỡ và lời động viên chân thành củanhiều người để em có thể hoàn thành tốt đề tài này.

Người đầu tiên em muốn gởi lời cảm ơn đến là thầy Nguyễn Kim Việt đã giúp emrất nhiều trong việc góp ý cũng như chỉ ra hướng đi của đề tài Và em cũng xin cảm ơnđến các thầy cô trong khoa c ô n g n g h ệ t h ô n g t i n đã dẫn dắt em lúc vào trường,truyền đạt những kiến thức quý báu cho em trong quá trình học tập và giải đáp những

gì mà em thắc mắc không chỉ riêng trong đề tài này mà có thể nói là tất cả Điều cuốicùng em muốn nói là cảm ơn đến ban giám hiệu trường cao đẳng kinh tế - công nghệTP.HCM đã tạo nhiều điều kiện cho em để có thể hoàn thành tốt đề tài này và xin cảm

ơn đến các bạn sinh viên đã góp ý cho mình rất nhiều

Để đáp lại, em sẽ cố gắng hoàn thành tốt đề tài tốt nghiệp nhằm ra trường gópmột phần sức lực nhỏ bé cho xã hội Xin chân thành cảm ơn!

Hồ Minh Lộc

đã được thành lập với mục tiêu hướng tới người tiêu dung có thu nhập thấp Mong muốn của mọi người đều tiếp cận thông tin, nắm giữ thông tin theo kịp sự phát triển chung của

xã hội: công ty đã đầu tư và phát triển các mặt hàng vi tính giá rẻ mà vẫn đảm bảo được chất lượng và đáp ứng nhu cầu sử dụng của người tiêu dùng Sau 15 năm hoạt động, song song với sự tiến bộ của ngành công nghệ thông tin là sự tin tưởng và tín nhiệm của người tiêu dùng đối với công ty Kỷ Nguyên

Công ty Kỷ Nguyên được thành lập 30/4/1998 do sở kế hoạch và đầu tư cấp giấy phép kinh doanh số: 4102004450 với tổng số vốn điều lệ là 1 tỷ đồng do ông: Trần Viết Ý đứng ra sang lập

Trụ sở công ty đặt tại số: 153 Lê Thị Riêng, P.Bến Thành, Q.1,TP.Hồ Chí Minh

1.2 Mục đích và phạm vi hoạt động.

Trong quá trình hội nhập vào đời sống kinh tế, xã hội mà xu thế chuyển biến đến một nền kinh tế thông tin, một xã hội thông tin đang được khẳng định Thích ứng với yêu cầu và sự phát triển chung của một xã hội, ngành công nghệ thông tin Việt Nam hiện

quan tâm nhất là phát huy hết khả năng, đề cao quyền lợi của người tiêu dùng, nâng cao chất lượng của sản phẩm ngành nghề và uy tín của công ty cũng như bảo hành chu đáo.

 Mục đích hoạt động: hoạt động trong lĩnh vực kinh doanh thương mại và dịch

vụ với các ngành nghề

 Kinh doanh các mặt hàng máy vi tính mới và cũ

 Hợp đồng cung cấp các dịch vụ và thiết kế, trang bị các hệ thống mạng…

 Sủa chữa, bảo hành, bảo trì các thiết bị tin học máy tinh, máy in, máy fax, mànhình, máy scaner, ups…

 Tư vấn miễn phí cho khách hàng có nhu cầu mua sắm, học tập và tiếp cận vớinghành tin học

 Phạm vi trong nước

II Cơ cấu tổ chức công ty.

- Bộ máy tổ chức quảng lý của công ty được tổ chức theo cơ cấu trực tiếp, vớichức năng của cơ cấu này giúp phòng ban có thể hổ trợ giám đốc điều hành tốt hơn

- Tổng số cán bộ nhân viên tính đến ngày 15/4/2013 là 25 người gồm có:

+ Giám đốc: 1 người+ Các trưởng phòng và nhân viên :24 người

2.1 Sơ đồ quản lý bộ máy công ty

- Giám đốc: là người đại diện của công ty trước pháp luật có trách nhiệm vàquyền hạn.

 Trách nhiệm: chịu trách nhiệm trước hội đồng thành viên và trước pháp luật vềmọi hoạt động sản xuất kinh doanh của công ty

 Quyền hạn: định hướng kế hoạch tổ chức kinh doanh của công ty nói chung ,

tổ chức bộ máy điều hành, thành lập hoạc giải thể công ty, bổ nhiệm đều động bộ phậnnhân sự trong công ty, quyết định việc hợp tác đầu tư, liên doanh liên kết chuyển nhượngmua bán, cầm cố các loại tài sản và vấn đề liên quan đến kinh tế khác của công ty

2.3 Các phòng ban

- Phòng kế toán: có chức năng tham mưu cho giám đốc về việc quản lý vốn ,bảo tồn sử dụng và phát triển vốn, xác định việc sử dụng vốn hiệu quả, đồng thời tham giagiám sát quản lý và sát hạch toàn bộ hoạt động của công ty, chấp hành nghĩ vụ pháp lệnhngân sách và các chế độ chính sách nhà nước ban hành

- Phòng kinh doanh: là bộ phận trợ giúp cho công ty kinh doanh về lĩnh vựckinh doanh mà công ty đã đăng ký, giúp công ty tiếp cận khách hàng để giới thiệu sảnphảm và tìm kiếm thị trường mới, thực hiện các hợp đồng mua bán trong nước đối với cácsản phảm do công ty thiết kế

- Phòng kỹ thuật: thực hiện công việc bảo trì nâng cấp sữa chữa máy móc thiết

bị máy tính và các thiết bị mạng…

- Phòng máy in và monitor: thực hiện công việc sữa chữa và bảo trì các loại máy

in, photocopy và màn hình máy tính…

- Phòng BV và PCCC: thực hiện công tác an ninh, bảo vệ thiết bị vật tư tài sản,

an toàn PCCC và các quy định ra vào công ty tuần tra canh gác

III Những thuận lợi và khó khăn của công ty hiện nay

4.1 Thuận lợi.

Do công ty biết giữ chữ tín với khách hàng nên mặc dù có nhiều sự cạnh tranh caonhưng công ty vẫn có nhiều đối tác, ký hợp đồng ổn định, thu hút được nhiều khách hàngmới

Việc tổ chức thiết kế, sản xuất được trang bị hệ thống hiện đại thường xuyên kiểmtra nâng cấp, các nhân viên không ngừng học hỏi trao dồi kinh nghiệm trong công tác quản

kinh doanh nghiệp tập trung về day kinh doanh mua bán, ngày nay với thời đại thông tinngày càng phát triển mạnh internet là một lợi thế để tiếp xúc với thông tin đây là một trongnhững điểm thuận lợi nhất của công ty.

4.2 Khó khăn

Ngày nay cơ chế thị trường hình thành và phát triển ngày càng mạnh mẽ Vấn

đề cạnh tranh trở nên gay gắt, hoạt động công ty chủ yếu dựa vào hợp đồng đặt hàng củakhách hàng nên công ty không thể chủ động về mẫu mã của công ty mình

LỜI CẢM ƠN i

MỤC LỤC .ii

DANH MỤC CÁC TỪ VIẾT TẮT iv

DANH MỤC HÌNH VẼ .v

DANH MỤC B ẢNG vi i i MỞ ĐẦU 1

CHƯƠNG 1: TỔNG QUAN VỀ AN NINH MẠNG .3

1.1 GIỚI THIỆU VỀ AN NINH MẠNG 3

1.1.1 An ninh mạng là gì ? 3

1.1.2 Kẻ tấn công là ai ? 4

1.1.3 Lỗ hổng bảo mật 5

1.2 ĐÁNH GIÁ VẤN ĐỀ AN TOÀN, BẢO MẬT HỆ THỐNG MẠNG 6

1.2.1 Phương diện vật lý 6

1.2.2 Phương diện logic 6

CHƯƠNG 2: TỔNG QUAN VỀ ACL 9

2.1 GIỚI THIỆU ACL 9

2.1.1 Standard Access Control List 10

2.1.2 Extended Access Control List 15

2.1.3 Một số loại ACL khác 21

2.2 NGUYÊN LÝ HOẠT ĐỘNG CỦA ACL 24

2.2.1 Inbound 24

2.2.2 Outbound 25

2.2.3 Giới thiệu Wildcard Mask 26

2.2.4 So sánh giữa Subnet Mask và Wildcard Mask 27

CHƯƠNG 3: XÂY DỰNG MÔ HÌNH HỆ THỐNG VÀ TRIỂN KHAI CẤU HÌNH ACL 28

3.1 TỔNG QUAN MÔ HÌNH HỆ THỐNG 28

3.4 CẤU HÌNH EXTENDED ACCESS CONTROL LIST 39

3.5 CẤU HÌNH ACCESS CONTROL LIST TRÊN VLAN 48

3.6 TỔNG KẾT 55

3.6.1 Đánh Giá Mô Hình Hệ Thống 55

3.6.2 So Sánh Standard ACL Và Extended ACL 56

3.6.3 So Sánh ACL Trên Router Và ACL Firewall (ISA/ TMG) 57

KẾT LUẬN 59

NHỮNG VẤN ĐỀ ĐẠT ĐƯỢC QUA Đ Ề TÀI 59

HẠN CHẾ 59

HƯỚNG PHÁT TRIỂN ĐỀ TÀI 60

TÀI LIỆU THAM KHẢO

NHẬN XÉT CỦA CÁN BỘ HƯỚNG DẪN

Core Certification

Tổ chức thước đo chuẩn quốc

tế về thành thạo máy tính

Protocol

Giao thức điều khiển lớp giao vận

Số hi ệu hì nh vẽ Tên hì nh vẽ Trang

Hình 3.18 Cấu hình Standard ACL tại Router Hà Nội 38

VLAN 4

Số hi ệu bảng Tên bảng Trang

MỞ ĐẦU

Để có thể hiểu rõ về đề tài này hơn thì dưới đây là các mục cơ bản nhất giúp ta cóthể biết được mục tiêu cũng như phương hướng đi của đề tài

Lý do chọn đề tài

Nói đến bảo mật thì người ta phân thành 2 thành phần bảo vệ: bảo mật lớp thấp

và bảo mật lớp cao Trong mô hình OSI lớp thấp bao gồm: lớp vật lý, lớp liên kết dữliệu và lớp mạng Lớp cao bao gồm: lớp vận chuyển, lớp phiên, lớp trình diễn và cuốicùng là lớp ứng dụng

Hiện nay, các doanh nghiệp chỉ chú trọng bảo mật ở lớp cao và không quan tâmđến việc bảo mật ở các lớp thấp Mà đa số các cuộc tấn công phổ biến thì lại rơi vào ởlớp thấp nên hệ thống mạng chưa được bảo mật tốt Chính vì yếu tố này nên em đãchọn đề tài tốt nghiệp về ACL để bảo mật hệ thống mạng một cách hoàn chỉnh nhất

Mục đích nghiên cứu

Nắm rõ nguyên lý hoạt động chung của ACL và các lệnh cấu hình cơ bản Từđấy mới mở rộng dần dần ra, có thể hiểu được nguyên lý hoạt động của một firewall

và quy tắc chung khi thiết kế một hệ thống mạng

Đối tượng và phạm vi nghiên cứu

 Đối tượng: Các doanh nghiệp và công ty

 Phạm vi nghiên cứu: Mô hình giả lập

Phương pháp nghiên cứu

Thu thập thông tin và phân tích các tài liệu, thông tin liên quan đến ACL

 Chắc lọc các thông tin cần thiết

 Từ đấy mới so sánh ACL trên Router và Firewall (mềm)

 Xây dụng mô hình hệ thống tổng quan và demo cấu hình ACL

 Kiểm tra thử, đánh giá và rút ra kết luận

Ý nghĩa khoa học và thực tiễn của đề tài

 Ý nghĩa khoa học: Tìm hiểu về ACL dựa trên những tài liệu đã được chuẩn hóa thẩm định

 Thực tiễn: Áp dụng rộng rãi với các doanh nghiệp và công ty Với ACL thì

nó có thể ngăn chặn được rất nhiều cuộc tấn công từ bên trong mạng Đấy

là mối nguy hiểm tiềm tàng mà rất ít doanh nghiệp hay công ty biết đến đểphòng tránh

Đấy là những gì cô đọng nhất trong đề tài này muốn đề cập đến

CHƯƠNG 1: TỔNG QUAN VỀ AN NINH MẠNG

1.1 GIỚI THIỆU VỀ AN NINH MẠNG

1.1.1 An ninh mạng l à gì ?

An ninh mạng là một trong những lĩnh vực mà hiện nay giới công nghệ thông tinkhá quan tâm Một khi internet ra đời và phát triển, nhu cầu trao đổi thông tin trở nêncần thiết Mục đích của việc kết nối mạng là làm cho mọi người có thể sử dụng chungtài nguyên mạng từ những vị trí địa lý khác nhau Chính vì vậy mà các tài nguyên dễdàng bị phân tán, hiển nhiên một điều là chúng ta dễ bị xâm phạm, gây mất mát dữliệu cũng như các thông tin có giá trị Kết nối càng rộng thì càng dễ bị tấn công, đó làmột quy luật tất yếu Từ đó, vấn đề bảo vệ thông tin cũng đồng thời xuất hiện và nhưthế là an ninh mạng ra đời

Ví dụ: User A gởi một tập tin cho User B trong phạm vi là nước Việt Nam thì nókhác xa so với việc User A gởi tập tin cho User C ở Mỹ Ở trường hợp đầu thì dữ liệu

có thể mất mát với phạm vi nhỏ là trong nước nhưng trường hợp sau thì việc mất mát

dữ liệu với phạm vi rất rộng là cả thế giới

Một lỗ hổng trên mạng đều là mối nguy hiểm tiềm tàng Từ một lổ hổng bảo mậtnhỏ của hệ thống, nhưng nếu biết khai thác và lợi dụng kỹ thuật hac k điêu luyện thìcũng có thể trở thành mối đe dọa lớn

Theo thống kê của tổ chức IC 3 thì số tội phạm internet ngày càng gia tăng nhanhchóng chỉ trong vòng 8 năm từ năm 2001 đến năm 2009 số lượng tội phạm đã tăng gầngấp 20 lần và dự đoán trong tương lai con số này con tăng lên nhiều

Hình 1.1: Thống kê tội phạm internet của tổ chức IC3.

Như vậy, số lượng tội phạm tăng sẽ dẫn đến tình trạng các cuộc tấn công tăng đếnchóng mặt Điều này cũng dễ hiểu, vì một thực thể luôn tồn tại hai mặt đối lập nhau Sựphát triển mạnh mẽ của công nghệ thông tin và kỹ thuật sẽ là miếng mồi béo bở của cácHacker bùng phát mạnh mẽ

Tóm lại, internet là một nơi không an toàn Mà không chỉ là internet các loại mạngkhác, như mạng LAN, đến một hệ thống máy tính cũng có thể bị xâm phạm Thậm chí,mạng điện thoại, mạng di động c ũng không nằm ngoài cuộc Vì vậy chúng ta nói rằng,phạm vi của bảo mật rất lớn, nói không còn gói gọn trong một máy tính một cơ quan mà làtoàn cầu

1.1.2 Kẻ tấn công l à ai ?

Kẻ tấn công người ta thường gọi là Hacker Là những kẻ tấn công vào hệ thống mạngvới nhiều mục đích khác nhau Trước đây Hacker được chia làm 2 loại nhưng hiện nay thìđược chia thành 3 loại:

Hacker mũ đen

Đây là tên trộm chính hiệu, với những Hacker có kinh nghiệm thì đặc biệt nguy hiểm

Hacker mũ trắng

Họ là những nhà bảo mật và bảo vệ hệ thống Họ cũng xâm nhập vào hệ thống,mục đích là tìm ra những kẽ hở, những lổ hổng chết người và sau đó tìm cách vá lạichúng Tất nhiên, Hacker mũ trắng cũng có khả năng xâm nhập và cũng có thể trởthành Hacker mũ đen.

Hacker mũ xám

Loại này được sự kết hợp giữa hai loại trên Thông thường họ là những ngườicòn trẻ, muốn thể hiện mình Trong một thời điểm, họ đột nhập vào hệ thống để pháphách Nhưng trong thời điểm khác họ có thể gửi đến nhà quản trị những thông tin về

lổ hổng bảo mật và đề xuất cách vá lỗi

Ranh giới phân biệt các Hacker rất mong manh Một kẻ tấn công là Hacker mũtrắng trong thời điểm này nhưng ở thời điểm khác họ lại là một tên trộm chuyênnghiệp

1.1.3 Lỗ hổng bảo mật.

Các lỗ hổng bảo mật trên một hệ thống là các điểm yếu có thể tạo ra sự ngưng trệcủa dịch vụ, thêm quyền đối với người sử dụng hoặc cho phép các truy nhập khônghợp pháp vào hệ thống Các lỗ hổng cũng có thể xuất hiện ngay trong hạ tầng mạnghoặc nằm ngay trên các dịch vụ cung cấp như Sendmail, Web, Ftp, Ngoài ra các lỗhổng còn tồn tại ngay chính các hệ điều hành như: Windows XP, 7, Ubuntu, hoặctrong các ứng dụng mà người sử dụng thường xuyên sử dụng như: Office, trìnhduyệt,

Theo bộ quốc phòng Mỹ, các lỗ hổng bảo mật một hệ thống được chia như sau:

Lỗ hổng loại C

Các lỗ hổng loại này cho phép thực hiện các phương thức tấn công theo DoS.Mức độ nguy hiểm thấp, chỉ ảnh hưởng tới chất lượng dịch vụ, có thể làm ngưng trệ,gián đoạn hệ thống; không làm phá hỏng dữ liệu hoặc được quyền truy nhập bất hợppháp

1.2 ĐÁNH GIÁ VẤN ĐỀ AN TOÀN, BẢO MẬT HỆ THỐNG MẠNG

Để đảm bảo an ninh cho hệ thống mạng, cần phải xây dựng một số tiêu chuẩnđánh giá mức độ an ninh, an toàn cho hệ thống mạng Một số tiêu chuẩn đã được thừanhận là thước đo mức độ an ninh của hệ thống mạng

1.2.1 Phương diện vật l ý

Có thiết bị dự phòng nóng cho các tình huống hỏng đột ngột Có khả năng thaythế nóng từng phần hoặc toàn phần (hot-plug, hot-swap)

Bảo mật an ninh nơi lưu trữ các máy chủ

Khả năng cập nhật, nâng cấp, bổ xung phần cứng và phần mềm

Yêu cầu nguồn điện, có dự phòng trong tình huống mất điện đột ngột

Các yêu cầu phù hợp với môi trường xung quanh: độ ẩm, nhiệt độ, chống sét,phòng chống cháy nổ,…

1.2.2 Phương diện l ogi c

Tính bí mật (Confidentiality)

Là giới hạn các đối tượng được quyền truy xuất đến thông tin Đối tượng truyxuất thông tin có thể là con người, máy tính và phần mềm Tùy theo tính chất củathông tin mà mức độ bí mật của chúng có thể khác nhau

Ví dụ: User A gởi email cho User B thì email đó chỉ có User A và User B mớibiết được nội dung của lá mail, còn những User khác không thể biết được Giả sử cóUser thứ 3 biết được nội dung lá mail thì lúc này tính bí mật của email đó không cònnữa

Tính xác thực (Authentication)

Liên quan tới việc đảm bảo rằng một cuộc trao đổi thô ng tin là đáng tin cậy giữa

người gởi và người nhận.

Trong trường hợp một tương tác đang xảy ra, ví dụ kế t nối của một đầu cuối đếnmáy chủ, có hai vấn đề sau: thứ nhất tại thời điểm khởi tạo kết nối, dịch vụ đảm bảorằng hai thực thể là đáng tin Mỗi chúng là một thực thể được xác nhận Thứ hai, dịch

vụ cần phải đảm bảo rằng kết nối là không bị gây nhiễu do một thực thể thứ ba có thểgiả mạo là một trong hai thực thể hợp pháp để truyền tin hoặc nhận tin không đượccho phép

Tính toàn vẹn (Integrity)

Tính toàn vẹn đảm bảo sự tồn tại nguyên vẹn của thông tin, loại trừ mọi sự thayđổi thông tin có chủ đích hoặc do hư hỏng, mất mát thông tin vì sự cố thiết bị hoặcphần mềm

Ví dụ: User A gởi email cho User B, User A gởi nội dung như thế nào thì User Bchắc chắn sẽ nhận được đúng y nội dung như vậy có nghĩa là User A gởi gì thì User Bnhận y như vậy không có sự thay đổi

Tính không thể phủ nhận (Non repudiation)

Tính không thể phủ nhận bảo đảm rằng người gửi và người nhận không thể chối

bỏ một bản tin đã được truyền Vì vậy, khi một bản tin được gửi đi, bên nhận có thểchứng minh được rằng bản tin đó thật sự được gửi từ người gửi hợp pháp Hoàn toàntương tự, khi một bản tin được nhận, bên gửi có thể chứng minh được bản tin đó đúngthật được nhận bởi người nhận hợp lệ

Ví dụ: User A gởi email cho User B thì User A không thể từ chối rằng A khônggởi mail cho B

Tính sẵn sàng (Availability)

Một hệ thống đảm bảo tính sẵn sàng có nghĩa là có thể truy nhập dữ liệu bất cứlúc nào mong muốn trong vòng một khoảng thời gian cho phép Các cuộc tấn côngkhác nhau có thể tạo ra sự mất mát hoặc thiếu về sự sẵn sàng của dịch vụ Tí nh khảdụng của dịch vụ thể hiện khả năng ngăn chặn và khôi phục những tổn thất của hệthống do các cuộc tấn công gây ra

Ví dụ: Server web là hoạt động hàng ngày để phục vụ cho web client nghĩa là bất

cứ khi nào, ở đâu Server web cũng sẵn sàng để phục vụ cho web client

Khả năng điều khiển truy nhập (Access Control)

Trong một hệ thống mạng được coi là bảo mật, an toàn thì người quản trị viênphải điều khiển được truy cập ra vào của hệ thống mạng, có thể cho phép hay ngănchặn một truy cập nào đấy trong hệ thống

Ví dụ: Trong công ty có các phòng ban, để bảo mật thông tin nội bộ của công ty,người quản trị viên có thể ngăn chặn một số phòng ban gởi thông tin ra ngoài và từngoài vào trong

CHƯƠNG 2: TỔNG QUAN VỀ ACL 2.1 GIỚI THIỆU ACL.

Ngày nay cùng với sự tiến bộ của khoa học và công nghệ Hệ thống mạng là mộtgiải pháp được lựa chọn hàng đầu cho việc truyền tải dữ liệu và vì vậy bảo mật trong

hệ thống mạng là một vấn đề đang được quan tâm Một trong những công cụ rất quantrọng trong Router được dùng trong lĩnh vực bảo mật là Access Control List (ACL).Đây là một tính năng giúp bạn có thể cấu hình trực tiếp trên Router để tạo ra một danhsách các địa chỉ mà bạn có thể cho phép hay ngăn chặn việc truy cập vào một địa chỉnào đó

ACL lọc các gói tin bằng cách kiểm tra các gói tin nếu gói tin được phép thìchuyển tiếp gói tin đó cho qua còn nếu không được phép thì chặn ngay các gói tinngay cổng vào của Router ACL có thể kiểm tra bằng các điều kiện sau: địa chỉ nguồn,địa chỉ đích, giao thức và số hiệu port ở lớp trên

Trước đây thì tính năng ACL chỉ có trong các Router đắt tiền như Router Ci sco

1841, 2811, nhưng giờ đây thì tính năng ACL được tích hợp với các ADSL hayRouter Wireless Tính năng ACL trên ADSL hay Router Wireless được cấu hình trêngiao diện đồ họa và số lượng các Rule cũng bị giới hạn

Một số nguyên nhân chính tạo ACL

Giới hạn lưu lượng mạng để tăng hiệu xuất hoạt động của mạng Ví dụ: Công tythuê đường truyền internet không cao chỉ đủ hoạt đ ộng các công việc kinh doanhnhưng tại một số phòng ban lại download truyền tải tập tin video khiến hệ thống mạngcủa công ty hoạt động chậm chạp Với ACL bằng cách giới hạn lưu lượng truyềnVideo, ACL đã làm giảm tải đáng kể cho hệ thống mạng và làm tăng năng suất củamạng cũng như hiệu suất công việc trong công ty

Cung cấp chế độ bảo mật cơ bản ACL có thể cho phép một host truy cập vàomột phần nào đó của hệ thống mạng và ngăn không cho các host khác truy cập vàokhu vực đó Ví dụ: Trong công ty có phòng ban IT và người admin muốn là chỉ có địachỉ IP của người admin mới có quyền telnet lên phòng Server được, còn tất cả các địachỉ IP khác thì không được quyền Với ACL ta có thể làm được điều này

Quyết định loại lưu lượng được phép cho qua hay chặn lại trên các cổng của

Router Ví dụ: Cho phép các lưu lượng Email được lưu thông nhưng chặn lưu lượngvideo.

Cho phép người quản trị mạng điều khiển được các phạm vi mà các Client đượcquyền truy cập vào trong hệ thống mạng Ví dụ: Vì lý do bảo mật thông tin, phòng ban

IT không được quyền truy cập vào phòng ban kế toán nhưng ngược lại thì được

Access List có 2 loại chính là Standard Access List và Extended Access List

2.1.1 Standard Access Control Li st

Đây được coi là danh sách đơn giản nhất, nó chỉ lọc địa chỉ nguồn trong headercủa IP packet vì thế chúng hoạt động tại lớp 3 t rong mô hình OSI hay lớp Internettrong mô hình TCP/IP Standard ACL có thể đặt theo chiều Inbound hoặc Outbound,tuy nhiên Standard ACL nên đặt gần đích và thường theo chiều Outbound vì StandardACL chỉ kiểm tra địa chỉ IP nguồn Vị trí đặt ACL rất quan t rọng nó có thể cho phép

hệ thống mạng hoạt động tối ưu nhất hoặc là hệ thống mạng sẽ bị trì trệ nếu chúng tađặt ACL không đúng cách để hiểu rõ được vấn đề này cần thông qua ví dụ sau

Ví dụ: Cấm network A truy cập đến network B theo như mô hình trên Như vậynetwork A là nguồn còn network B là đích vậy ta sẽ có các trường hợp đặt StandardACL như sau:

+ Trường hợp 1: Đặt Standard ACL tại Router A thì network A không thể truycập đến network B được đúng hoàn toàn nhưng network A cũng sẽ không truy cập đếnnetwork C được vì các gói tin từ network A gởi đi đều bị Router A chặn lại (do kiểmtra theo địa chỉ nguồn)

+ Trường hợp 2: Đặt Standard ACL tại Router C cũng như trường hợp 1 network

A không thể truy cập đến network B và network A cũng không thể truy cập đến Router

D được như vậy thì trường hợp này cũng không ổn

+ Trường hợp 3: Đặt Standard ACL tại Router B vậy thì nếu như Router B nhậnđược gói tin từ network A nó sẽ chặn ngay lập tức Ngoài ra network A còn có thể truycập đến network C và Router D được nữa Đây là trường hợp ổn thõa nhất

Qua ví dụ nho nhỏ trên ta thấy được tầm quan trọng của ACL cũng như sự hiểubiết của người quản trị viên về nguyên lý hoạt động của ACL

Nguyên lý hoạt động của Standard ACL

Có phải gói tin này

là IP packet ? Đúng

Địa chỉ nguồn có phù hợp với ACL không ?

Đúng

Cho phép hoặc chặn so với điều kiện ? Đúng

IP đích có trong bảng định tuyến hay không ?

Cho phép

Gởi dữ liệu ra interface này

Gói tin đi vào

Hủy gói tin Đúng

Có danh sách ACL hoạt động trên interface này không ?

Hình 2.2: Nguyên lý hoạt động của Standard ACL.

Nguyên lý hoạt động của Standard ACL được mô tả rất chi tiết như hình trên vàlần lượt các bước thực hiện như sau:

(1) Router sẽ kiểm tra xem thử gói tin đi vào có phải là gói tin IP hay không nếu

là gói tin IP thì tiếp tục chuyển xuống bước tiếp theo (2) còn nếu không phải thìchuyển xuống bước (5)

(2) Kiểm tra Interface này có mở tính năng ACL lên hay không nếu có chuyểnxuống bước tiếp theo (3) còn không mở thì chuyển xuống bước (5)

địa chỉ nguồn nếu như địa chỉ nguồn trùng với địa chỉ trong danh sách ACL thì chuyểntiếp xuống bước (4) ngược lại không có thì chuyển sang bước (6).

(6) Kiểm tra xem thử có phải là danh sách ACL cuối cùng hay chưa vì khi cấuhình ACL ta cấu hình nguyên danh sách địa chỉ cho phép hoặc là cấm nên cần phải sosánh cho hết danh sách đó Nếu là mục cuối cùng thì chuyển đến (8) ngược lại thìchuyển sang (7)

(7) Quay lại bước (3) để so sánh

(4) Kiểm tra xem thử với IP đi vào như vậy thì có được phép đi qua router haykhông (do người quản trị viên cấu hình) nếu cho phép chuyển xuống bước (5) ngượclại chuyển đến bước (8)

(5) Tại bước này Router sẽ kiểm tra IP có trong bảng định t uyến của nó haykhông nếu có thì chuyển đến bước (10), không có thì chuyển đến (8)

(8) Hủy các gói tin bị chặn hoặc là không có trong bảng định tuyến của Router,chuyển tiếp (9)

(9) Hiện ra thông báo là không tìm thấy đích đến

(10) Dữ liệu được gởi đi qua Interface này

[source]: địa chỉ IP nguồn của gói tin

[source-wildcard]: thông số nhằm xác định chính xác một địa chỉ IP nào đó

Ví dụ:

Cấu hình chặn IP 192.168.10.1, cho phép mạng 192.168.10.0, chặn mạng192.168.0.0, cho phép mạng 192.0.0.0

Router(config): accesslist 10 permit 192.0.0.0 0.255.255.255

Sau khi cấu hình hoàn thành thì khi gặp IP có nguồn là từ mạng 192.168.0.0/16thì Router sẽ chặn IP mạng này lại và hủy bỏ gói tin không cho đi qua Router là hoàntoàn đúng Trường hợp khác, IP có nguồn là từ mạng 10.10.10.0/24 đi vào thì bịRouter nó chặn lại và hủy bỏ gói tin mất mặc dù người quản trị viên không cấu hìnhchặn mạng đấy vì tính bảo mật của ACL khi mở tính năng ACL thì Router sẽ chặn tất

cả các IP (mặc định chạy ngầm) cũng giống như firewall mềm vậy khi vừa cài lên thì

nó sẽ chặn các port lại người quản trị viên cần dùng dịch vụ nào thì mở port đấy lênnhư vậy sẽ bảo mật hơn rất là nhiều Có thể xem hình minh họa bên dưới để hiểu rõhơn

Theo ví dụ hình 2.3 mô tả thì có thể giải thích như sau Ở Rule đầu tiên Router sẽkiểm tra IP nguồn của gói tin đi đến là 192.168.10.1 so có khớp với IP trong các Rulecấu hình Standard ACL hay không nếu trùng thì gói tin sẽ bị deny còn không trùng nó

sẽ được chuyển tiếp đến các Rule tiếp theo Ở Rule thứ 2 nó tiếp tục kiểm tra xem thử IP

có khớp với Rule của ACL hay không nếu có thì gói tin sẽ được phép permit cònkhông nó sẽ tiếp tục chuyển đến các Rule khác để đối chiếu Giả sử đã đến Rule cuốicùng rồi mà vẫn không tìm thấy Rule nào khớp với IP nguồn của gói tin đi đến thì góitin này sẽ bị deny hay gọi cách khác là deny ngầm nhằm với mục đích bảo mật hơn

2.1.2 Extended Access Control Li st

Đây là loại danh sách mở rộng truy cập, cho phép lọc đa dạng với nhiều tínhnăng hơn so với Standard ACL nên được sử dụng nhiều hơn Exte nded ACL quan tâmđến các yếu tố như IP nguồn, IP đích, giao thức, port và nhiều tùy chọn khác Chính vìvậy mà Extended ACL có thể hoạt động ở lớp 3 và lớp 4 trong mô hình OSI nhưnghoạt động ở lớp 4 cũng rất hạn chế, nó chỉ đọc thông tin ở phần header ở lớp giao vận

hợp lý sẽ dẫn đến tình trạng hao tốn băng thông và độ trễ, để hiểu rõ hơn về vấn đề đó

ta xét ví dụ bên dưới

Hình 2.4: Mô hình ví dụ Extended ACL

Ví dụ: Chặn network A không được truy cập giao thứ FTP với địa chỉ222.255.128.147 Phân tích như sau: IP nguồn: network A, IP đích: 222.255.128.147,giao thức: FTP, port 21 Vấn đề là đặt ACL ở đâu là hợp lý nhất, chúng ta khảo sát cáctrường hợp sau để tìm ra câu trả lời

+ Trường hợp 1: Đặt ACL tại Router B thì Router B hoàn toàn có thể chặn đượcnetwork A truy cập giao thức FTP với IP là 222.255.128.147 nhưng liệu đặt ở B đã tối

ưu hệ thống chưa Gói tin chạy từ Router A đến Router B và bị chặn bởi Router B nhưvậy thì sẽ tốn băng thông đoạn từ A đến B Ở ví dụ này là đang xét hệ thống mạng nhỏnên chưa thấy được tầm quan trọng của việc tốn băng thông nhưng đối với hệ thốnglớn việc để gói tin chạy “lòng vòng” trên mạng rồi bị chặn lại bởi Router sẽ làm cho hệthống mạng chạy chậm và độ trễ cũng sẽ tăng lên nhiều khi hệ thống mạng còn bị

toàn được và đặt ở A cũng làm cho hệ thống mạng tối ưu nhất vì gói tin từ network Alên Router A sẽ bị chặn ngay không cho các gói tin chạy “lang thang” trên mạng dẫnđến là đỡ tốn băng thông và giảm độ trễ của hệ thống mạng.

Nguyên lý hoạt động của Extended AC

Có danh sách ACL hoạt động trên Interface này không ?

(1) Gói tin đi vào

Nguồn có phù hợp với các mục trong ACL không ?

Kiểm tra giao thức và Port

Đích đến có phù hợp với các mục trong ACL không ?

Kiểm tra giao thức và Port

Cho phép hoặc chặn so với điều kiện ?

Hủy gói tin

(10) Gởi thông báo không

tìm thấy đích (11)

Di chuyển đến danh sách tiếp theo

Nguyên lý làm việc của Extended ACL cũng giống như Standard ACL nhưng nó phức tạp hơn nhiề

(1) Router có mở tính năng ACL lên hay không nếu có chuyển xuống bước (2)còn không thì chuyển đến bước (9)

(2) Kiểm tra IP nguồn có phù hợp với ACL đầu tiên hay không nếu có thì chuyểnđến (3) còn không có thì chuyển đến bước (6) để lặp lại quá trình kiểm duyệt với cácRule tiếp theo

(3) Tại đây nó kiểm tra giao thức của đích đến có được Rule trên ACL này choqua hay không nếu đồng ý thì chuyển đến bước (4) thường là TCP hay IP ngược lại thìchuyển đến bước (6)

(4) Kiểm tra IP đích có phù hợp với các Rule trong ACL hay không, giả sử có thìchuyển xuống bước (5) và ngược lại thì sẽ chuyển đến bước (6)

(5) Tại bước này thì ACL sẽ so sánh chính xác giao thức và port của đích cần đếnthường thì là các giao thức trong TCP thì có FTP, TELNET, HTTP, Nếu Rule hợp lệthì chuyển đến bước (8) và ngược lại chuyển đến bước (6) để kiểm tra lại các Rule cònlại

(6) Tại đây nó xem thử có phải đã là Rule cuối cùng hay chưa nếu chưa phải thìtiếp tục xét các Rule còn lại là chuyển đến (7) Nếu đây là Rule cuối cùng rồi thìchuyển sang bước (10)

(8) Tại bước này cho phép hoặc không cho phép gó i tin đi qua Nếu là cho phépthì sẽ chuyển đến bước (9) ngược lại thì chuyển đến (10)

(9) Trong bảng Routing table có địa chỉ IP đích đến hay không nếu có thì chuyểnsang bước (12) ngược lại thì chuyển đến (10)

(10) Hủy gói tin và bước (11) là hiện thị thống báo không tìm thấy đích đến

(12) Gói tin được phép đi qua cổng interface này

Lệnh cấu hình

Cấu hình Extended ACL phức tạp hơn Standard ACL nhiều, có nhiều tham sốtrong câu lệnh

[source]: Địa chỉ IP nguồn của gói tin.

[source-wildcard]: Ký tự bit đại diện cho nguồn Nó gần giống với Subnet maskphần sau sẽ tìm hiểu kỹ hơn

[destination]: Địa chỉ IP đích của gói tin

[destination-wildcard]: Ký tự bit đại diện cho đích

[operator port]: So sánh các cổng nguồn và đích có thể bao gồm lt (nhỏ hơn), gt(lớn hơn), eq (bằng), neq (không bằng) và ta có thể nhập một khoảng phạm vi vàonhưng phải lớn hơn 0 và nhỏ hơn 65535

[established]: Đối với giao thức TCP thì chỉ ra kết nối được thiết lập

[log]: Ghi lại các thông tin về những gói tin phù hợp với danh sách ACL

 Ví dụ: Cấm bất kì IP nào có thể telnet vào mạng 10.10.10.0/24 (inbound) vàcho phép mạng 10.10.10.0/24 truy cập ftp với địa chỉ là 222.255.128.147(outbound) trên Interface s0/0/0

 Cấm bất kì IP nào telnet vào mạng 10.10 10.0/24

Phân tích: IP nguồn: là bất kì IP nào, wildcard của nguồn: 0.0.0.0, IP đích:10.10.10.0/24, wildcard của đích: 0.0.0.255, giao thức TCP, port 23, theo chiều đi vào

Router(config)# access-list 150 deny tcp any 10.10.10.0 0.0.0.255 eq 23

Router(config)#interface s0/0/0

Router(config-if)#ip access-group 150 in

 Cho phép mạng 10.10.10.0/24 truy cập vào ftp với địa chỉ 222.255.128.147 Phân tích: IP nguồn: 10.10.10.0/24, wildcard của nguồn: 0.0.0.255, IP đích:222.255.128.147, wildcard của đích: 0.0.0.0 , giao thức TCP, port 20, 21, theo chiều đi

Router(config)#access-list 110 permit tcp 10.10.10.0 0.0.0.255 222.255.128.147 eq 21

Router(config)#access-list 110 permit tcp 10.10.10.0 0.0.0.255 222.255.128.147 eq 20

Dynamic ACL chỉ hoạt động với Extended ACL và đưa ra 2 yêu cầu người dùng

là truy cập telnet và xác thực Dynamic ACL có thể cấu hình inbound hay outbound làtùy vào mục đích sử dụng của người quản trị viên Để hiểu rõ hơn về Dynamic ACLthì thông qua ví dụ sau Trong công ty, có nhiều nhân viên đi công tác xa nhưng lại cónhu cầu vào bên trọng hệ thống mạng nội bộ của công ty Nếu không cấu hình ACL thì

hệ thống nội bộ của công ty sẽ không còn được bảo mật còn nếu cấu hình ACL thìphải mở dãy IP cho phép đi qua Router để vào được mạng cục bộ bên trong công tynhưng làm như vậy cũng chưa ổn vì bất kì ai có dãy IP cho phép là có thể vào bêntrong mạng cục bộ công ty Vậy giải pháp đặt ra ở đây là cấu hình Dynamic ACL làcần phải xác thực và sau khi người dùng xác thực có thể tạo ra một phiên telnet tạmthời có thời gian do người quản trị viên thiết lập Qua ví dụ trên thấy được là DynamicACL linh hoạt hơn nhiều so với Standard ACL và Extended ACL

Hình 2.6: Mô hình hoạt động Dynamic ACL

Interface trên router biên được cấu hình Dynamic ACL (R3)

Khi người dùng yêu cầu phiên làm việc telnet đến Router, IOS sẽ mở một phiênlàm việc, yêu cầu người dùng nhập thông tin xác thực vào Nếu nhập thông tin chínhxác người dùng có thể đi qua Router còn các trường hợp người lại sẽ bị hủy bỏ Quátrình chứng thực được thực hiện bởi Router hoặc AAA hay TACACS+ Server

Sau khi chứng thưc thành công người dùng sẽ thoát khỏi phiên telnet, một entrytạm thời trên Dynamic ACL mở ra và bạn có thể trao đổi dữ liệu

Sau một thời gian time out cho phép, entry tạm thời sẽ tự động ngắt hoặc ngườiquản trị viên phải ngắt thủ công Có 2 khoảng thời gian time out và absolute time out,time out là idle time out nếu người dùng không sử dụng phiên trong khoảng thời gianthì sẽ bị ngắt và absolute time out các entry sẽ bị xóa bất kể thế nào sau khoảng thờigian này

Reflexive Access Control List

 Giới thiệu

Reflexive ACL cho phép các gói tin IP được lọc dựa trên thông tin lớp giao vậnnhư thông số giao thức hay số hiệu port Chúng thường được sử dụng để cho phép lưuthông ra ngoài mạng và hạn chế lưu lượng vào trong mạng Reflexive ACL chứa các

công ty có nhu cầu là bên trong công ty tham gia vào internet thì được nhưng từinternet thì không thể xâm nhập vào nộ i bộ bên trong của công ty Vậy giải pháp đặt ra

là sao đây, nếu chúng ta cấu hình Standard hay Ext ended ACL trên Router thì cótrường hợp lỗi phát sinh là nội bộ công ty đi internet thì được nhưng gói tin từ internet đi

về thì lại bị ACL chặn mất, vậy thì cũng không được rồi Giờ trên Router cấu hìnhReflexive ACL thì giải quyết được vấn đề này Sau khi cấu hình xong thì nội bộ công

ty đi internet được vì khi cấu hình Reflexive ACL cho phép đi internet thì nó tạo ra cácbảng ghi để lưu các địa chỉ IP mà mạng nội bộ cần truy cập nên lúc gói tin đi về nócho phép đi qua và khi nào hoàn tất truy cập thì sẽ đóng kết nối lại Vậy với ReflexiveACL thì người bên ngoài internet không thể nào truy cập được vào bên trong nộ i bộcủa công ty nhưng bên trong thì có thể truy cập được

Hình 2.7: Ví dụ về Reflexive ACL

 Nguyên lý hoạt động

Với mỗi kết nối TCP được thiết lập, Reflexive ACL sẽ tự động tạo ra một entrytạm thời trong ACL, entry này chỉ cho phép dữ liệu trao đổi trong chính kết nối đó và

việc bắt tay 3 bước trong kết nối TCP.

Reflexive ACL không hoạt động trên UDP vì UDP là giao thức không hướng kếtnối nên không thể lọc phiên UDP được, gói tin UDP cũng không có gói FIN để thôngbáo kết thúc mạng, trong một số trường hợp với kết nối TCP cũng có thể đóng màchưa trao đổi gói FIN vì Reflexive ACL cũng đưa ra khoảng thời gian timeout -interval

để đóng phiên lại nếu không có traffic trao đổi qua Router để ngăn chặn việc xử lýchậm chạp của Router

Time-base Access Control List

Time-base ACL có thể coi như là một Extended ACL mà có thêm chức năngquản lý truy cập theo thời gian trong ngày hoặc các ngày t rong tuần Time-base ACLlọc 2 thông tin sau: header gói tin và thời gian cấu hình trong Router system clock

Timerange là khoảng thời gian admin định nghĩa sẵn trên Router, bắt buộc time range phải được gán tên Số lượng time -range không giới hạn

-Ví dụ: Trong công ty thời gian làm việc từ 7h00 đến 17h00, chính sách của công

ty là sau thời gian làm việc thì chặn các truy cập từ trong ra ngoài cũng như từ ngoàivào trong để thông tin trong công ty có thể được bảo mật Vậy thì người quản trị viênchỉ việc cấu hình Time-base ACL và đặt trong khoảng thời gian làm việc thì mới đượctrao đổi dữ liệu qua Router còn sau thời gian đó thì sẽ chặn hết

2.2 NGUYÊN LÝ HOẠT ĐỘNG CỦA ACL