Nghiên cứu và triển khai bảo mật hệ thống mạng với acl và post security

Các lỗ hổng cũng có thể xuất hiện ngay trong hạ tầng mạng hoặc nằm ngay trên các dịch vụ cung cấp như sendmail, wed, fpt… Ngoài ra các lỗ hổng còn tồn tại ngay chính các hệ điều hành như

KHOA CÔNG NGHỆ THÔNG TIN

KHOA CÔNG NGHỆ THÔNG TIN

Giáo viên hướng dẫn: ThS Phạm Thị Thu Hiền

Sinh viên thực hiện: Hoàng Anh Tài

Mã số SV: 0851070236

Nghệ An, tháng 12 năm 2012

LỜI CẢM ƠN

Em xin gửi lời cảm ơn chân thành tới quý thầy, cô giáo khoa Công nghệ Thông tin, trường Đại Học Vinh đã tận tâm, nhiệt tình hướng dẫn và tạo điều

kiện cho em trong suốt quá trình học tại trường

Em xin chân thành cảm ơn cô giáo ThS Phạm Thị Thu Hiền và thầy giáo Nguyễn Thanh Sơn đã giúp em rất nhiều trong việc góp ý cũng như chỉ ra

hướng đi của đề tài

Lời cảm ơn chân thành và sâu sắc, em xin gửi đến gia đình và bạn bè đã luôn sát cánh và động viên em trong những giai đoạn khó khăn nhất

Mặc dù em đã cố gắng hoàn thành đề tài với tất cả nỗ lực của bản thân nhưng chắc chắn sẽ không tránh khỏi những thiếu sót Em kính mong nhận được

sự cảm thông và nhận được sự đóng góp của quý thầy cô và các bạn

Em xin chân thành cảm ơn!

Vinh, tháng 12 năm 2012

Sinh viên thực hiện

Hoàng Anh Tài

MỤC LỤC

MỞ ĐẦU 2

CHƯƠNG 1: TỔNG QUAN VỀ AN NINH MẠNG 3

1.1 Giới thiệu về an ninh mạng 3

1.1.1 An ninh mạng là gì ? 3

1.1.2 Lỗ hổng bảo mật 4

1.2 Đánh giá vấn đề an toàn, bảo mật hệ thống mạng 4

1.2.1 Phương diện vật lý 5

1.2.2 Phương diện logic 5

CHƯƠNG 2: TRIỂN KHAI ACESS CONTROL LIST TRÊN ROUTER 7

2.1 Giới thiệu về ACL 7

2.1.1 Standard Access Control List 8

2.1.2 Extended Access Control List 10

2.1.3 Một số loại ACL khác 12

2.2 Nguyên lý hoạt động của ACL 15

2.2.1 Inbound 15

2.2.2 Outbound 16

2.2.3 Giới thiệu Wildcard Mask 16

2.2.4 So sánh giữa Subnet Mask và Wildcard Mask 18

2.3 Xây dựng mô hình hệ thống và triển khai cấu hình ACL 18

2.3.1 Tổng quan mô hình hệ thống 18

2.3.2 Phân tích mô hình hệ thống 19

2.3.3 Cấu hình Standard Access Control List 19

2.3.4 Cấu hình Extended Access Control List 24

2.3.5 Cấu hình Access Control List trên Vlan 28

2.3.6 So sánh ACL trên Router và ACL Firewall (ISA/TMG) 29

CHƯƠNG 3: BẢO MẬT SWITCH VỚI PORT SECURITY 30

3.1 Giới thiệu Port Security 30

3.2 Các bước cấu hình Port Security trên Switch 31

3.3 Khôi phục port về trạng thái bình thường khi bị lỗi 32

3.4 Triển khai cấu hình Port Security trên Switch 33

KẾT LUẬN 37

TÀI LIỆU THAM KHẢO 39

MỞ ĐẦU

 Lý do chọn đề tài

Nói đến bảo mật thì người ta phân thành 2 phần bảo vệ: bảo mật lớp thấp và bảo

vệ lớp cao Trong mô hình OSI lớp thấp nhất bao gồm: lớp vật lý, lớp liên kết dữ liệu

và lớp mạng Lớp cao bao gồm: lớp vận chuyển, lớp phiên, lớp trình diễn và cuối cùng

là lớp ứng dụng

Hiện nay, các doanh nghiệp chỉ chú trọng bảo mật ở lớp cao và không quan tâm đến việc bảo mật ở các lớp thấp Mà đa số các cuộc tấn công phổ biến lại rơi vào ở lớp thấp nên hệ thống mạng chưa được bảo mật tốt Chính vì yếu tố này nên em đã chọn

đề tài tốt nghiệp về Access Control List và Port Security để bảo mật một cách hoàn chỉnh nhất

 Mục đích nghiên cứu

Nắm rõ nguyên lý hoạt động chung của Access Control List, Port Seurity và các lệnh cấu hình cơ bản Từ đấy mở rộng dần dần ra, có thể hiểu được nguyên lý hoạt động của firewall và quy tắc chung khi thiết kế một hệ thống mạng

 Đối tượng và phạm vi nghiên cứu

▪ Đối tượng: Các doanh nghiệp và công ty

▪ Phạm vi nghiên cứu: Mô hình giả lập

 Phương pháp nghiên cứu

▪ Thu thập thông tin và phân tích các tài liệu, thông tin liên quan đên Access Control List và Port Security

▪ Xây dựng mô hình hệ thống tổng quan và demo cấu hình Access Control List

và Port Security

▪ Kiểm tra thử, đánh giá và rút ra kết luận

 Ý nghĩa khoa học và thực tiễn của đề tài

▪ Ý nghĩa khoa học: Tìm hiểu về Access Control List và Port Security dựa trên

những tài liệu đã được chuẩn hóa thẩm định

▪ Thực tiễn: Áp dụng rộng rãi với các doanh nghiệp và công ty Với Access

Control List và Port Security thì nó có thể ngăn chặn được rất nhiều cuộc tấn công từ bên trong mạng

CHƯƠNG 1: TỔNG QUAN VỀ AN NINH MẠNG

1.1 Giới thiệu về an ninh mạng

1.1.1 An ninh mạng là gì ?

An ninh mạng là một trong những lĩnh vực mà hiện nay giới công nghệ thông tin khá quan tâm Một khi internet ra đời và phát triển, nhu cầu trao đổi thông tin trở nên cần thiết Mục đích của việc kết nối mạng là làm cho mọi người có thể sử dụng chung tài nguyên mạng từ những vị trí địa lý khác nhau Chính vì vậy mà các tài nguyên dễ dàng bị phân tán, hiển nhiên một điều là chúng ta dễ bị xâm phạm gây mất mát dữ liệu cũng như các thông tin có giá trị Kết nối càng rộng thì càng dễ bị tấn công, đó là một quy luật tất yếu Từ đó, vấn đề bảo vệ thông tin cũng đồng thời xuất hiện và an ninh mạng ra đời

Ví dụ: User A gửi một tập tin cho User B trong phạm vi là nước Việt Nam thì có khác xa so với việc User A gửi một tập tin chi User C tại Mỹ Ở trường hợp đầu thì dữ liệu có thể mất mát với phạm vi nhỏ là trong nước nhưng trường hợp sau thì việc mất mát dữ liệu với phạm vi rất rộng là cả thế giới

Một lỗ hổng trên mạng đều là mối nguy hiểm tiềm tàng Từ một lỗ hổng bảo mật nhỏ của hệ thống, nhưng nếu biết khai thác và lợi dụng kĩ thuật hack điêu luyện thì cũng có thể trở thành mối đe dọa lớn

Theo thống kê của tổ chức IC3 thì số tội phạm internet ngày càng tăng nhanh chóng chỉ trong vòng 8 năm từ 2001 đến 2009 số lượng tội phạm đã tăng gần 20 lần và

dự đoán trong tương lai con số này còn tăng lên nhiều

Hình 1.1: Thống kê tội phạm internet theo tổ chức IC3

Như vậy, số lượng tội phạm tăng sẽ dẫn đến tình trạng các cuộc tấn công tăng đến chóng mặt Điều này cũng dễ hiểu, vì một thực tế luôn tồn tại hai mặt đối lập nhau Sự phát triển mạnh mẽ của công nghệ thông tin và kĩ thuật sẽ là miếng mồi béo bở của hacker bùng phát mạnh mẽ

Tóm lại, internet là một nơi không an toàn Mà không chỉ là internet các loại mạng khác như mạng LAN, đến một hệ thống máy tính cũng có thể bị xâm phạm Thậm chí, mạng điện thoại, mạng di động cũng không nằm ngoài cuộc Vì vậy chúng ta nói rằng, phạm vi của bảo mật rất lớn, nói không còn gói gọn trong một máy tính một cơ quan

mà là toàn cầu

1.1.2 Lỗ hổng bảo mật

Các lỗ hổng bảo mật trên một hệ thống là các điểm yếu có thể tạo ra sự ngưng trệ của dịch vụ, thêm quyền đối với người sử dụng hoặc cho phép các truy cập không hợp pháp vào hệ thống Các lỗ hổng cũng có thể xuất hiện ngay trong hạ tầng mạng hoặc nằm ngay trên các dịch vụ cung cấp như sendmail, wed, fpt… Ngoài ra các lỗ hổng còn tồn tại ngay chính các hệ điều hành như windows XP, windowns 7, Ubuntu… hoặc trong các ứng dụng mà người sử dụng thường xuyên sử dụng như: Office, trình duyệt, …

Theo bộ quốc phòng Mỹ, các lỗ hổng bảo mật một hệ thống được chia như sau:

 Lỗ hổng loại A: Các lỗ hổng này cho phép người sử dụng ở ngoài có thể truy cập vào hệ thống bất hợp pháp Lỗ hổng này rất nguy hiểm, có thể phá hủy toàn bộ hệ thống

 Lỗ hổng loại B: Các lỗ hổng này cho phép người sử dụng thêm các quyền trên

hệ thống mà không cần kiểm tra tính hợp lệ Mức độ nguy hiểm trung bình Những lỗ hổng này thường có trong các ứng dụng trên hệ thống, có thể dẫn đến mất hoặc lộ thông tin dữ liệu

 Lỗ hổng loại C: Các lỗ hổng loại này cho phép thực hiện các phương thức tấn công theo DoS Mức nguy hiểm thấp, chỉ ảnh hưởng tới chất lượng dịch vụ, có thể làm ngưng trệ, gián đoạn hệ thống, không làm phá hỏng dữ liệu quyền truy cập bất hợp pháp

1.2 Đánh giá vấn đề an toàn, bảo mật hệ thống mạng

Để đảm bảo an ninh cho hệ thống mạng, cần phải xây dựng một số tiêu chuẩn đánh giá mức độ an ninh, an toàn cho hệ thống mạng Một số tiêu chuẩn đã được thừa nhận

là thước đo độ an ninh của hệ thống mạng

1.2.1 Phương diện vật lý

 Có thiết bị dự phòng nóng cho các tình huống hỏng đột ngột Có khả năng thay thế nóng từng phần hoặc toàn phần ( hot-plug, hot-swap)

 Bảo mật an ninh nơi lưu trữ các máy chủ

 Khả năng cập nhật, nâng cấp bổ sung phần cứng và phần mềm

 Yêu cầu nguồn điện, có dự phòng trong tình huống mất điện đột ngột

 Các yêu cầu phù hợp với môi trường xung quanh: độ ẩm, nhiệt độ, chống sét, phòng chống cháy nổ …

1.2.2 Phương diện logic

 Tính bí mật (Confidentiality)

Là giới hạn các đối tượng được quyền truy xuất đến thông tin Đối tượng truy xuất thông tin có thể là con người, máy tính và phần mềm Tùy theo tính chất của thông tin mà mức độ bí mật của chúng ta có thể khác nhau

Ví dụ: User A gửi email cho User B thì email đó chỉ có User A và User B mới biết được nội dung của mail, còn các User khác không thể biết được Giả sử có User thứ 3 biết được nội dung lá mail thì lúc này bí mật của mail đó không còn nữa

 Tính toàn vẹn (Integrity)

Tính toàn vẹn đảm bảo sự tồn tại nguyên vẹn của thông tin, loại trừ mọi sự thay đổi thông tin có chủ đích hoặc do hư hỏng, mất mát thông tin vì sự cố thiết bị hoặc phần mềm

Ví dụ User A gửi email cho User B, User A gửi nội dung như thế nào thì User B nhận được y như vậy không có sự thay đổi

 Tính không thể phủ nhận ( Non repudiation)

Tính không thể phủ nhận bảo đảm rằng người gửi và người nhận không thể chối

bỏ một bản tin đã được truyền Vì vậy, khi một bản tin được gửi đi, bên nhận có thể chứng minh được rằng bản tin đó thật sự được gửi từ người gửi hợp pháp Hoàn toàn tương tự, khi một bản tin được nhận, bên gửi có thể chứng minh được bản tin đó đúng thật được nhận bởi người nhận hợp lệ

Ví dụ: User A gửi email cho User B thì User A không thể từ chối được rằng A không gửi mail cho B

 Tính sẵn sàng (Availability)

Một hệ thống đảm bảo tính sẵn sàng có nghĩa là có thể truy nhập dữ liệu bất cứ lúc nào mong muốn trong vòng một khoảng thời gian cho phép Các cuộc tấn công khác nhau có thể tạo ra sự mất mát hoặc thiếu về sự sẵn sàng của dịch vụ Tính khả dụng của dịch vụ thể hiện khả năng ngăn chặn và khôi phục những tổn thất của hệ thống do các cuộc tấn công gây ra

Ví dụ: Server web là hoạt động hàng ngày để phục vụ cho web client nghĩa là bất cứ khi nào, ở đâu Server web cũng sẵn sàng để phục vụ cho web client

 Khả năng điều khiển truy nhập (Access Control)

Trong một hệ thống mạng được coi là bảo mật, an toàn thì người quản trị viên phải điều khiển được truy cập ra vào của hệ thống mạng, có thể cho phép hay ngăn chặn một truy cập nào đấy trong hệ thống

Ví dụ: Trong công ty có các phòng ban, để bảo mật thông tin nội bộ của công ty, người quản trị viên có thể ngăn chặn một số phòng ban gửi thông tin ra ngoài và từ ngoài vào trong

CHƯƠNG 2: TRIỂN KHAI ACESS CONTROL LIST TRÊN ROUTER

2.1 Giới thiệu về ACL

Ngày nay cùng với sự tiến bộ của khoa học và công nghệ Hệ thống mạng là một giải pháp được lựa chọn hàng đầu cho việc truyền tải dữ liệu và vì vậy bảo mật trong

hệ thống mạng là một vấn đề đang được quan tâm Một trong những công cụ rất quan trọng trong Router được dùng trong trong lĩnh vực bảo mật là Access Control List (ACL) Đây là một tính năng giúp ta có thể cấu hình trực tiếp trên Router để tạo ra một danh sách các địa chỉ mà ta có thể cho phép hay ngăn chặn việc truy cập vào một địa chỉ nào đó

ACL lọc các gói tin bằng cách kiểm tra các gói tin nếu gói tin được phép thì chuyển tiếp gói tin đó cho qua còn nếu không được phép thì chặn ngay các gói tin ở cổng vào của Router ACL có thể kiểm tra bằng các điều kiện sau: địa chỉ nguồn, địa chỉ đích, giao thức và số hiệu port ở lớp trên

 Một số nguyên nhân chính tạo ACL

Giới hạn lưu lượng mạng để tăng hiệu xuất hoạt động của mạng Ví dụ công ty thuê đường truyền internet không cao chỉ đủ hoạt động của các công việc kinh doanh nhưng tại một số phòng ban lại download truyền tải tập tin video khiến hoạt động của công ty hoạt động chậm chạp Với ACL bằng cách giới hạn lưu lượng truyền video, ACL đã làm giảm tải đáng kể cho hệ thống mạng và làm tăng năng suất của mạng cũng như hiệu suất của công việc trong công ty

Cung cấp chế độ bảo mật cơ bản, ACL có thể cho phép một host truy cập vào một phần nào đó của hệ thống mạng và ngăn chặn không cho các host khác truy cập vào khu vực đó Ví dụ: Trong công ty có phòng ban IT và người admin muốn là chỉ có địa chỉ IP của người admin mới có quyền telnet lên phòng Server được, còn tất cả các địa chỉ IP khác thì không được quyền Với ACL ta có thể làm được điều này

Quyết định loại lưu lượng được cho phép cho hay chặn lại trên các cổng của Router Ví dụ: Cho phép lưu lượng email được lưu thông nhưng chặn lưu lượng video Cho phép người quản trị mạng điều khiển được các phạm vi mà các client được quyền truy cập vào hệ thống mạng Ví dụ: Vì lý do bảo mật thông tin, phòng ban IT không được quyền truy nhập vào phòng ban kế toán nhưng ngược lại thì được

 Access Control List có hai loại chính là Standard Access Control List và Extended Access Control List

2.1.1 Standard Access Control List

Đây được coi là danh sách đơn giản nhất, nó chỉ lọc địa chỉ nguồn trong header của

IP packet vì thế chúng hoạt động ở lớp 3 trong mô hình OSI hay lớp Internet trong mô hình TCP/IP Standard ACL có thể đặt theo chiều Inbound hoặc Outbound, tuy nhiên Standard ACL nên đặt gần đích và thường theo chiều Outbound vì Standard ACL chỉ kiểm tra IP nguồn Vị trí đặt ACL rất quan trọng nó có thể cho phép hệ thống hoạt động tối ưu nhất hoặc hệ thống mạng bị trì trệ nếu chúng ta đặt ACL không đúng cách

để hiều rõ được vấn đề này ta thông qua ví dụ sau:

Hình 2.1: Mô hình ví dụ Standard ACL

Ví dụ: Cấm network A truy cập đến network B theo mô hình trên Như vậy network A là nguồn còn network B là đích Ta có thể đặt Standard ACL tại Router A, router B, router C

- Đặt Standard ACL tại router A thì network A không thể truy cập đến network B được đúng hoàn toàn nhưng network A cũng không thể truy cập đến network C được

vì các gói tin từ network A gửi đi đều bị router A chặn lại do kiểm tra theo địa chỉ nguồn

- Đặt Standard ACL tại router C cũng như trường hợp trên network

A không thể truy cập đến network B được nhưng network A cũng không thể truy cập đến router D được như vậy thì trường hợp này cũng không ổn

- Đặt Standard ACL tại router B vậy thì nếu như router B vậy thì nếu như router nhận được gói tin từ network A nó sẽ chặn ngay lập tức Ngoài ra network A còn có thể truy cập đến network C và router D nữa Đây là trường hợp ổn thõa nhất

Qua ví dụ trên ta thấy được tầm quan trọng của ACL cũng như sự hiểu biết của người quản trị viên về nguyên lý hoạt động của ACL

 Lệnh cấu hình Stacdard Access Control List

Standard ACL với lệnh cấu hình cơ bản nhất, rất đơn giản và phải mode config của router mới được cấu hình

Router(config)# access list [list number] [permit/deny/remark] [source] wildcard] [log]

[source-[list number]: đánh số thứ tự cho Standard ACL từ 1 - 99 và phần mở rộng 1300 –

1999

[permit/deny/remark]: cho phép hoặc không cho phép gói tin đi qua, ghi chú hoặc

mô tả thêm thông tin cho ACL cấu hình

[source]: địa chỉ IP nguồn của gói tin

[source-wildmask]: thông số nhằm xác định chính xác một địa chỉ IP nào đó [log]: ghi lại các thông tin về những gói tin phù hợp với danh sách ACL

 Ví dụ: Cấu hình chặn IP 192.168.10.1, cho phép mạng 192.168.10.0, chặn mạng 192.168.0.0, cho phép mạng 192.0.0.0

Sau khi hoàn thành cấu hình thì khi gặp IP có nguồn là từ mạng 192.168.0.0/16 thì router sẽ chặn IP mạng này lại và hủy bỏ gói tin không cho đi qua router là hoàn toàn đúng Trường hợp khác, IP có nguồn là từ mạng 10.10.10.0/24 đi vào thì bị router chặn lại và hủy bỏ gói tin mặc dù người quản trị viên không cấu hình chặn mạng đấy vì tính bảo mật của ACL khi mở tính năng ACL thì router sẽ chặn tất cả các IP cũng giống như firewall mềm vậy khi vừa cài lên thì nó sẽ chặn port lại người quản trị viên cần dùng dịch vụ nào thì mở port đó lên như vậy bảo mật hơn rất nhiều Có thể xem hình minh họa bên dưới để hiểu rõ hơn

Hình 2.2: Mô tả ví dụ Standard ACL

Theo ví dụ hình 2.2 mô tả thì có thể giải thích như sau Ở rule đầu tiên router sẽ kiểm tra IP nguồn của gói tin đi đến là 192.168.10.1 so có khớp với IP trong các rule cấu hình Standard ACL hay không nếu trùng thì gói tin sẽ bị deny còn không trùng nó

sẽ được chuyển tiếp đến các rule tiếp theo Ở rule thứ hai nó sẽ tiếp tục kiểm tra xem thử IP có khớp với rule của ACL hay không nếu có thì gói tin sẽ được phép permit còn không nó sẽ tiếp tục chuyển đến các rule khác để đối chiếu Giả sử đã đến rule cuối cùng rồi mà vẫn không tìm thấy rule nào khớp với IP nguồn của gói tin đi đến thì gói tin này sẽ bị deny hay gọi cách khác là deny ngầm định nhằm với mục đích bảo vệ hơn

2.1.2 Extended Access Control List

Đây là loại danh sách mở rộng truy cập, cho phép lọc đa dạng với nhiều tính năng hơn so với Standard ACL nên sử dụng nhiều hơn Extended ACL quan tâm đến các yếu tố như IP nguồn, IP đích, giao thức, port và nhiều tùy chọn khác Chính vì vậy mà Extended ACL có thể hoạt động ở lớp 3 và lớp 4 trong mô hình OSI nhưng hoạt động lớp 4 cũng rất hạn chế, nó chỉ đọc thông tin ở phần header ở lớp giao vận Extended ACL cũng có thể cấu hình Inbound hay Outbound tuy nhiên vị trí đặt không hợp lí sẽ dẫn đến tình trạng hao tốn băng thông và độ trễ, để hiểu rõ hơn vấn đề đó ta xét ví dụ bên dưới:

Hình 2.3: Mô hình ví dụ Extended ACL

Ví dụ: Chặn network A không truy cập giao thức FTP với địa chỉ 222.225.128.10 Phân tích như sau: IP nguồn: network A, IP đích 222.255.128.10, giao thức FPT port

21 Vấn đề đặt ra ACL là ở đâu hợp lý nhất, chúng ta khảo sát các trường hợp để tìm câu trả lời

- Đặt ACL tại router B thì router B hoàn toàn chặn có thể chặn được network A truy cập giao thức FTP với địa chỉ IP là 222.225.128.10 nhưng đặt ở B đã tối ưu chưa Gói tin chạy từ router A đến router B và bị chặn bởi router B như vậy thì tốn băng thông đoạn từ A đến B Ở ví dụ này là đang xét hệ thống mạng nhỏ nên chưa thấy được tầm quan trọng của việc tốn băng thông nhưng đối với hệ thống lớn việc để gói tin chạy “lòng vòng” trên mạng rồi bị chặn lại bởi router sẽ làm cho hệ thống mạng chạy chậm và độ trễ cũng sẽ tăng lên nhiều khi hệ thống mạng còn bị nghẽn.Vì vậy trường hợp này không ổn

- Đặt ACL tại router A thì việc chặn gói tin từ network A là hoàn toàn được và đặt

ở A cũng làm cho hệ thống mạng tối ưu nhất vì gói tin từ network A lên router A sẽ bị chặn ngay không cho các gói tin chạy “lòng vòng” trên mạng dẫn đến đỡ tốn băng thông và giảm độ trễ của hệ thống mạng

 Lệnh cấu hình Extended ACL

Cấu hình Extended ACL phức tạp hơn Standard ACL nhiều, có nhiều tham số trong câu lệnh

Router(config)# access-list [list number] [deny/permit/remark] [protocol] [source] [source-wildcard] [destination] [destination-wildcard] [operator port] [established] [log]

[list number]: đánh số thứ tự cho Extended ACL 100 đến 199 và phần mở rộng

[source]: địa chỉ IP nguồn của gói tin

[source-wildcard]: kí tự bit đại diện cho nguồn Nó gần giống với subnet mask phần sau sẽ tìm hiểu nhiều hơn

[destination]: địa chỉ IP đích của gói tin

[destination-wildcard]: kí tự bit đại diện cho đích

[operator port]: so sánh các cổng nguồn và đích có thể bao gồm lt (nhỏ hơn), gt (lớn hơn), eq (bằng), neq (không bằng) và ta có thể nhập một khoảng phạm vi vào nhưng phải lớn hơn 0 và nhỏ hơn 65535

[established]: đối với giao thức TCP thì chỉ ra kết nối được thiết lập

[log]: ghi lại các thông tin về những gói tin phù hợp với danh sách ACL

 Ví dụ: Cấm bất kì IP nào có thể telnet vào mạng 10.10.10.0/24 (inbound) và cho phép mạng 10.10.10.0/24 truy cập ftp với địa chỉ là 192.168.10.2 (outbound) trên interface s0/0/0

▪ Cấm bất kì IP nào telnet vào mạng 10.10.10.0/24

Phân tích: IP nguồn là bất kì IP nào, wildcard của nguồn: 0.0.0.0, IP đích 10.10.10.0/24, wildcard của đích 0.0.0.255, giao thức TCP, port 23, theo chiều vào

Router(config)#access-list 150 deny tcp any 10.10.10.0 0.0.0.255 eq 23

Router(config)#interface s0/0/0

Router(config-if)#ip access-group 150 in

▪ Cho phép mạng 10.10.10.0/24 truy cập vào ftp với địa chỉ 192.168.10.2

Phân tích: IP nguồn 10.10.10.0/24, wildcard của nguồn 0.0.0.255, IP đích 192.168.10.2, wildcard của đích 0.0.0.0, giao thức TCP,port 20,21, theo chiều đi ra

 Dynamic Access Control List

Dynamic ACL chỉ hoạt động với Extended ACL và đưa ra hai yêu cầu người dùng là truy cập telnet và xác thực Dynamic ACL có thể cấu hình inbound hay outbound là tùy thuộc vào mục đích sử dụng của người quản trị viên Để hiểu rõ hơn

về Dynamic ACL thì thông qua ví dụ sau Trong công ty có nhiều nhân viên đi công tác xa nhưng lại có nhu cầu vào bên trong hệ thống mạng nội bộ của công ty Nếu không cấu hình ACL thì phải mở dãy IP cho phép đi qua router để vào được mạng cục

bộ bên trong công ty nhưng làm như vậy cũng chưa ổn vì bất kì ai có dãy IP cho phép

là có thể vào bên trong mạng cục bộ của công ty Vậy giải pháp đặt ra ở đây là cấu hình Dynamic ACL là cần phải xác thực và sau khi người dùng xác thực có thể tạo ra một phiên telnet tạm thời có thời gian do người quản trị viên thiết lập Qua ví dụ trên

ta thấy được là Dynamic ACL linh hoạt hơn nhiều so với Standard ACL và Extended ACL

▪ Nguyên lý hoạt động của Dynamic ACL

Hình 2.4: Nguyên lý hoạt động của Dynamic ACL

- Interface trên router R3 được cấu hình Dynamic ACL

Khi người dùng yêu cầu phiên làm việc telnet đến router, IOS sẽ mở một phiên làm việc, yêu cầu người sử dụng nhập thông tin xác thực vào Nếu nhập thông tin chính xác người dùng có thể đi qua router còn các trường hợp không chính xác sẽ bị hủy bỏ Quá trình chứng thực được thực hiện bởi router hoặc AAA hay TACS+ Server Sau khi chứng thực thành công người dùng sẽ thoát khỏi phiên telnet, một entry tạm thời trên Dynamic ACL mở ra và ta có thể trao đổi dữ liệu

Sau một thời gian time out cho phép, entry tạm thời sẽ tự động ngắt hoặc người quản trị viên phải ngắt thủ công Có hai khoảng thời gian time out và absolute time out, time out là thời gian idle time out nếu người dùng không sử dụng phiên trong khoảng thời gian thì bị ngắt và absolute time out các entry sẽ bị xóa bất kể thế nào sau khoảng thời gian này

 Reflexive Access Control List

Reflexive ACL cho phép các gói tin IP được lọc dựa trên thông tin lớp giao vận như thông số giao thức hay số hiệu port Chúng thường được sử dụng để cho phép lưu thông ra mạng ngoài và hạn chế lưu lượng vào trong mạng Refexive ACL chứa các bảng ghi tạm thời, các bảng ghi này được gọi ra khi một phiên kết nối trực tiếp và sẽ tự động xóa đi khi phiên đó kết thúc Ví dụ sau để hiểu rõ hơn về Reflexive ACL, trong công ty có nhu cầu là bên trong công ty tham gia vào internet thì được nhưng từ internet thì không thể xâm nhập vào nội bộ bên trong của công ty Nếu chúng ta cấu hình Standard ACL hay Extended ACL trên router thì có trường hợp lỗi phát sinh là

nội bộ công ty đi ra ngoài internet thì được nhưng gói tin nhưng gói tin từ internet đi

về lại bị ACL chặn mất, vậy thì cũng không được Giờ trên router cấu hình Refexive ACL sẽ giải quyết được vấn đề này Sau khi cấu hình xong thì toàn bộ công ty đi internet được vì khi cấu hình Refexive ACL cho phép đi internet thì nó tạo ra các bảng ghi để lưu các địa chỉ IP mà mạng nội bộ cần truy cập nên lúc gói tin đi về nó cho phép đi qua và khi nào hoàn tất truy cập thì nó sẽ đóng kết nối lại Vậy với Reflexive ACL thì người bên ngoài internet không thể nào truy cập vào mạng nội bộ của công ty nhưng bên trong có thể truy cập được ra ngoài internet

Hình 2.5: Ví dụ về Reflexive ACL

▪ Nguyên lý hoạt động của Reflexive ACL

Với mỗi kết nối TCP được thiết lập, Refexive ACL sẽ tự động tạo ra một entry tạm thời trong ACL, entry này chỉ cho phép dữ liệu trao đổi trong chính kết nối đó và

sẽ bị xóa ngay khi kết nối đóng Điều này ngăn chặn việc bất kì segment nào có ACK cũng được đi qua mà bắt buộc phiên phải được khởi tạo từ người dùng thông qua việc bắt tay 3 bước trong kết nối TCP

Reflexive ACL không hoạt động trên UDP vì UDP là giao thức không hướng kết nối nên không thể chọn lọc phiên UDP được, gói tin UDP cũng không có gói FIN để thông báo kết thúc mạng, trong một số trường hợp với kết nối TCP cũng có thể đóng

mà chưa trao đổi gói FIN vì Reflexive ACL cũng đưa ra khoảng thời gian interval để đóng phiên lại nếu không có traffic trao đổi qua router để ngăn chặn việc

timeout-xử lý chậm chạp của router

 Time-base Access Control List

Time-base ACL có thể coi như là một Extended ACL mà có thêm chức năng quản lý truy cập theo thời gian trong ngày hoặc các ngày trong tuần Time-base ACL

lọc hai thông tin: header gói tin và thời gian cấu hình trong router system clock range là khoảng thời gian admin định nghĩa sẵn trên router, bắt buộc time-range phải được gán tên Số lượng time-range không giới hạn

Time-▪ Ví dụ: Trong công ty thời gian làm việc từ 7h00 đến 17h00, chính sách của công ty là sau thời gian làm việc thì chặn các truy cập từ trong ra ngoài cũng như từ ngoài vào trong để thông tin trong công ty có thể được bảo mật Vậy thì người quản trị viên chỉ việc cấu hình Time-base ACL và đặt trong khoảng thời gian làm việc thì mới trao đổi dữ liệu qua router còn sau thời gian đó thì sẽ chặn hết

2.2 Nguyên lý hoạt động của ACL

Hình 2.6: Nguyên lý hoạt động Inbound

Hình 2.6 mô tả nguyên lý hoạt động Inbound, các gói dữ liệu đi vào Interface và được kiểm tra tại đây nếu các gói tin đi vào trùng với các điều kiện mà rule đầu tiên đặt ra thì nó sẽ không cần kiểm tra các rule tiếp theo nữa mà chuyển đến bước là cho phép hay chặn gói tin này lại nếu cho phép thì gói tin sẽ được đẩy ra Interface này đi đến đích còn nếu không cho phép thì gói tin sẽ bị hủy Giả sử gói tin đi vào không trùng với các điều kiện mà rule đầu tiên đặt ra thì gói tin sẽ chuyển tiếp đến các rule tiếp theo và cũng kiểm tra gói tin có trùng với các điều kiện hay không Quá trình này được lặp đi lặp lại khi gói tin đến rule cuối cùng mà vẫn không tìm được các điều kiện

phù hợp thì gói tin sẽ bị hủy vì trong ACL luôn luôn có một rule mặc định hay là ẩn chặn tất cả các gói tin khi đi qua nó

2.2.2 Outbound

Về nguyên lý hoạt động thì inbound và outbound là giống nhau nhưng outbound thì ngược lại so với inbound Intbound thì các gói tin đi vào kiểm tra ACL xong rồi mới kiểm tra bảng định tuyến còn outbound thì kiểm tra bảng định tuyến trước rồi mới kiểm tra đến ACL Mục đích của outbound kiểm tra bảng định tuyến trước là đỡ tốn thời gian và năng lực xử lý của router

Hình 2.7: Nguyên lý hoạt động outbound

Hình 2.7 mô tả hoạt động của outbound Các gói tin đi vào router trên các interface thì router lấy địa chỉ đích của gói tin so sánh với bảng định tuyến của nó, nếu không có gói tin sẽ lập tức bị hủy còn nếu có trong bảng định tuyến thì nó tiếp tục chuyển đến bước kế tiếp Tại bước này router xem thử đang outbound cho interface nào, cái này

do người quản trị viên khai báo outbound của interface trên router Tiếp đến router xem thử có cấu hình ACL hay không nếu không có thì gói tin lập tức được chuyển ra interface này và chuyển đến đích ngược lại nếu có cấu hình ACL thì router sẽ so sánh gói tin có trùng với các rule của ACL đặt ra hay không và có quyền được đi qua hay không Nếu được đi qua thì các gói tin chuyển tiếp ra interface này và đi đến đích còn ngược lại thì gói tin sẽ bị hủy

2.2.3 Giới thiệu Wildcard Mask

Wildcard mask là một chuỗi 32 bit được chia làm 4 octet tương tự như subnet mask, trong đó có các giá trị 0,1 Với bit 0 thì sẽ kiểm tra của địa chỉ cùng vị trí còn bit

1 được bật lên thì không kiểm tra Wildcard mask được dùng chính ở trong ACL và OSPF Nói tóm lại là wildcard mask dùng để xác định chính xác một host hay một giải địa chỉ hay một một mạng đây cũng chính là ưu điểm vượt trội của wildcard mask so với subnet mask

Hình 2.8: Mô tả Wildcard Mask

▪ Wildcard mask một subnet mask mạng 192.168.1.0/24

Cách tính: lấy 255.255.255.255- subnet mask mạng 192.168.1.0/24

255.255.255.255

-

0 0 0 255

Kết quả: Wildcard mask 192.168.1.0/24 là 0.0.0.255

Ý nghĩa: 3 octet đầu tiên là 0 thì sẽ kiểm tra địa chỉ mạng và octet cuối tất cả các bit bật lên 1 là không kiểm tra có nghĩa là bất kì host nào cũng được

▪ Wildcard mask của tất cả địa chỉ IP

Cách tính: Với nguyên tắc là bit 0 thì kiểm tra còn bit 1 là không kiểm tra vậy thì cho phép tất cả IP có nghĩa là không cần kiểm tra gì nữa vậy mở tất cả các bit 1 lên Kết quả: 255.255.255.255 Trong ACL thay vì ghi 255.255.255.255 thì chỉ cần

từ “any” là được

Ý nghĩa: Chấp nhận tất cả các IP

▪ Wildcard mask của một IP: 192.168.1.192/24

Cách tính: Vì là một địa chỉ IP nên cần phải kiểm tra tất cả các bit nên sẽ là bit 0 Kết quả: 0.0.0.0 Trong ACL thay vì 0.0.0.0 thì chỉ cần ghi “host” để thay thế

Ý nghĩa: Nó sẽ kiểm tra tất cả các bit địa chỉ so phải khớp Nghĩa là chỉ có IP 192.168.1.192 mới khớp thôi

2.2.4 So sánh giữa Subnet Mask và Wildcard Mask

Subnet Mask và Wildcard Mask khác nhau hoàn toàn về nguyên tắc cũng như chức năng Subnet mask có một chuỗi bit 1 kéo dài từ trái sang phải để xác định phần host

và phần network của một địa chỉ IP tương ứng Trong khi đó wildcard mask được dùng để lọc địa chỉ IP hoặc lớp mạng hay một dãy địa chỉ IP

Bảng 1: So sánh subnet mask và wildcard mask

Cấu trúc - Dài 32 bit hoặc 4 octet - Dài 32 bit hoặc 4 octet

Mục đích - Phân biệt net ID và host ID - Lọc chính xác IP hoặc lớp mạng

hay dãy IP

Ứng dụng - Trong giao thức RIP và static - Trong giao thức OSPF hay ACL

2.3 Xây dựng mô hình hệ thống và triển khai cấu hình ACL

2.3.1 Tổng quan mô hình hệ thống

Hình 2.9: Mô hình tổng quan về hệ thống mạng