NGHIÊN CỨU VÀ TRIỂ N KHAI BẢ O MẬT HỆ THỐNG MẠ NG VỚI ACCESS CONTROL LIST TRÊN ROUTER 3900

Công Nghệ Thông Tin, it, phầm mềm, website, web, mobile app, trí tuệ nhân tạo, blockchain, AI, machine learning - Công Nghệ Thông Tin, it, phầm mềm, website, web, mobile app, trí tuệ nhân tạo, blockchain, AI, machine learning - Công nghệ thông tin i LỜI CẢM ƠN Trên thực tế để đạt được thành công thường gắn liền với những sự hỗ trợ , giúp đỡ dù trực tiếp hay gián tiếp của ngườ i khác. Trong su ốt thờ i gian từ khi bắt đầu họ c tập đến nay, em đã nhận đượ c rất nhiều sự quan tâm, giúp đỡ của quý Thầy Cô, gia đình và bạ n bè. Với lòng biết ơn sâu sắc nhất, em xin gửi đến quý Thầy Cô ở Khoa Khoa Họ c Máy Tính – Trườ ng Cao Đẳng Công Ngh ệ Thông Tin Hữu Nghị Việt -Hàn đã dùng tri thức và tâm huyết của mình để truyền đạ t vốn kiến thứ c quý báu cho chúng em trong suốt thờ i gian học tập tạ i trườ ng. Đặc biệt, em xin gửi lời cảm ơn chân thành tới cô giáo Dương Thị Thu Hiền, là người hướng dẫn, động viên và giúp đỡ em hoàn thành khóa luận tốt nghiệp này. N ếu không có những lờ i hướng dẫ n, giúp đỡ của Cô thì em nghĩ bài thu hoạ ch này củ a em rất khó có thể hoàn thành đượ c. Mộ t lần nữa, em xin chân thành cả m ơn cô. Mặc dù hết sức nổ lực và cố gắng, nhưng do kiến thức và kinh nghiệm còn hạn hẹp nên đề tài không tránh khỏ i thiếu sót , rất mong nhận được sự chỉ dạy đóng góp ý kiến từ các thầy cô giáo và các bạn để đề tài được hoàn thiện hơn. Đà Nẵng, tháng 5 năm 2015 Sinh viên thực hiện Lê Anh Quốc ii MỤC LỤC LỜI CẢM ƠN .................................................................................................................i MỤC LỤC ..................................................................................................................... ii DANH MỤC TỪ VIẾT TẮT .......................................................................................iv DANH MỤC BẢ NG BIỂU ...........................................................................................v DANH MỤC HÌNH Ả NH ............................................................................................vi LỜ I MỞ ĐẦU ................................................................................................................1 CHƯƠNG I TỔNG QUAN VỀ AN NINH MẠNG ....................................................2 1.1 Giới thiệu An Ninh Mạng ..................................................................................2 1.1.1 Khái niệm ......................................................................................................2 1.1.2 Kẻ tấn công hệ thống mạng .........................................................................3 1.1.3 Lỗ hổng bảo mật ...........................................................................................4 1.2 Đánh giá vấn đề an toàn, bảo mậ t hệ thống mạng ...........................................4 1.2.1 Phương diện vật lý .........................................................................................4 1.2.2 Phương diện logic..........................................................................................5 CHƯƠNG II TỔNG QUAN VỀ ACCESS CONTROL LIST ..................................7 2.1 Giới thiệu về ACL ................................................................................................7 2.2 Công dụng của ACL ............................................................................................7 2.3 Nguyên lý hoạt động ............................................................................................7 2.3.1 Inbound ..........................................................................................................7 2.3.2 Outbound .......................................................................................................8 2.3.3 Giới thiệu Wildcard Mask .............................................................................9 2.4 Phân loại ACL....................................................................................................11 2.4.1 Standard Access Control List ......................................................................11 2.4.2 Extended Access Control List .....................................................................16 CHƯƠNG III XÂY DỰNG MÔ HÌNH HỆ THỐNG VÀ TRIỂN KHAI CẤ U HÌNH ACL ...................................................................................................................20 3.1 Mô hình hệ thống mạng ....................................................................................20 3.2 Cấu hình Standard Access Control List ..........................................................21 3.3 Cấu hình Extended Access Control List ..........................................................24 3.4 Tổng Kết .............................................................................................................29 3.4.1 Đánh giá mô hình hệ thống ........................................................................29 iii 3.4.2 So sánh giữa Standard ACLs và Extended ACLs ......................................29 3.4.3 So sánh ACL trên Router và ACL Firewall (ISATMG) ...........................29 KẾT LUẬN ..................................................................................................................31 TÀI LIỆU THAM KHẢ O.......................................................................................... vii NHẬ N XÉT CỦA CÁN BỘ HƯỚNG DẪN ............................................................ viii iv DANH MỤC TỪ VIẾT TẮT Viết tắt Tiếng anh Tiếng việt ACL Access Control List Danh sách điều khiển truy cập ADSL Asymmetric Digital Subscriber Line Đường thuê bao số bất đối xứng DOS Denial Of Services Từ chối dịch vụ EIGRP Enhanced Interior Getway Routing Protocol Giao thức định tuyến EIGRP FTP File Transfer Protocol Giao thức truyền file HTTP Hyper Text Transfer Protocol Giao thức truyền siêu văn bản ICMP Internet Control Message Protocol Giao thức ICMP IP Internet Protocol Giao thức IP LAN Local Area Network Mạng cục bộ OSI Open Systems Interconnection Mô hình tham chiếu OSI OSPF Open Shortest Path First Giao thức định tuyến OSPF TCP Transmission Control Protocol Giao thức điều khiển lớp giao vận TCPIP Transmission Control ProtocolInternet Protocol Chồng giao thức TCPIP UDP User Datagram Protocol Giao thức UDP VLAN Virtual Local Area Network Mạng LAN ả o v DANH MỤC BẢNG BIỂU Số hiệu bả ng Tên bả ng Trang Bả ng 1 So sánh subnet mask và wildcard mask. 10 Bả ng 2 So sánh giữa Standard ACL và Extended ACL. 29 Bả ng 3 So sánh giữa ACL Router và ACL Firewall mềm. 30 vi DANH MỤC HÌNH Ả NH Số hiệu hình Tên hình Trang Hình 1.1 Thống kê tộ i phạ m mạ ng của SecurityDaily 2 Hình 1.2 Tỉ lệ các quốc gia tấn công Internet 3 Hình 2.1 Nguyên lý hoạ t độ ng Inbound. 8 Hình 2.2 Nguyên lý hoạ t độ ng Outbound. 9 Hình 2.3 Mô tả Wildcard Mask. 9 Hình 2.4 Mô hình ví dụ Standard ACL. 12 Hình 2.5 Nguyên lý hoạ t độ ng của Standard ACL. 13 Hình 2.6 Mô tả ví dụ Standard ACL. 15 Hình 2.7 Mô hình ví dụ Extended ACL. 16 Hình 2.8 Nguyên lý hoạ t độ ng của Extended ACL 17 Hình 2.9 Mô tả ví dụ về Extended ACLs 19 Hình 3.1 Mô hình tổ ng quan về hệ thống mạ ng. 20 Hình 3.2 Cisco Router 3900 20 Hình 3.3 Mô hình cấu hình Standard ACL. 21 Hình 3.4 Kiể m tra kết nối đến Server. 22 Hình 3.5 Cấu hình Standard ACL tạ i Router HQ 22 Hình 3.6 Xem thông tin ACL đã cấu hình. 22 Hình 3.7 Truy cập đến Web từ máy Admin 23 Hình 3.8 Kiể m tra kết nối đến Server từ các host khác. 23 Hình 3.9 Mô hình cấu hình Extended ACL. 24 Hình 3.10 Cấu hình Extended ACL với Named. 25 Hình 3.11 Cấu hình chặ n gói ping từ site Branch1 đến các máy chủ. 25 Hình 3.12 Show cấu hình Extended ACL. 26 Hình 3.13 Chặ n gói ping thành công. 26 Hình 3.14 Kiể m tra kết nối đến Web Server. 27 Hình 3.15 Cấu hình thêm mộ t Rule cho phép truy cập WEB. 27 Hình 3.16 Show cấu hình ACL Extended. 28 Hình 3.17 Site Branch1 đã truy cập thành công. 28 vii Nghiên cứu và triể n khai bả o mật hệ thống mạ ng với Access Control List trên Router 3900 SVTH: Lê Anh Quốc - Lớp: CCMM06C 1 LỜI MỞ ĐẦU  Lý do chọn đề tài Bả o mật là mộ t trong những lĩnh vực mà hiện nay giới công nghệ thông tin khá quan tâm. Nói đ ến bả o mật thì ngườ i ta phân thành 2 thành phần bả o vệ: bả o mật lớ p thấp và bả o mật lớp cao. Trong mô hình OSI lớp thấp bao gồm: lớp vật lý, lớp liên kế t dữ liệu và lớp mạ ng. Lớp cao bao gồm: lớp vận chuyể n, lớp phiên, lớp trình diễ n và cuối cùng là lớp ứng dụng. Hiện nay, các doanh nghiệp chỉ chú trọng bả o mật ở lớp cao như bả o vệ thông tin kiể m duyệt web, bả o mật internet, bả o mật http, bả o mật trên các hệ thống thanh toán đi ện tử và giao dị ch trực tuyến….. Mà đa s ố các cuộ c tấn công chủ yế u vào các lớp thấp nên hệ thống mạ ng chưa đượ c bả o mật tốt nhất. Chính vì yếu tố này nên em đã chọn đề tài tốt nghiệp về Access Control List để bả o mật hệ thống mạ ng mộ t cách hoàn chỉ nh nhất.  Mục đích nghiên cứu Nắm rõ nguyên lý hoạ t độ ng chung của ACL và các lệnh cấu hình cơ bả n. Nghiên cứu thêm nguyên lý hoạ t độ ng của mộ t firewall và quy tắc chung khi thiết kế mộ t hệ thống mạ ng.  Đố i tượng và phạ m vi nghiên cứu  Đối tượng: Các doanh nghiệp, công ty, trườ ng học….  Phạm vi nghiên cứu: Mô hình giả lập và phòng LAB trườ ng CĐ CNTT Hữ u Nghị Việt – Hàn.  Phương pháp nghiên c ứu  Thu thập và phân tích tài liệu liên quan tới ACL.  So sánh ACL với Firewall.  Xây dựng hệ thống mạ ng và demo cấu hình ACL.  Kiể m tra đánh giá và rút ra k ết luận.  Ý nghĩa khoa học và thực tiễn  Ý nghĩa khoa học: Có thể nghiên cứu và tìm hiể u lý thuyết bả o mật nhằ m vận dụng đượ c trong thực tế  Ý nghĩa thực tiễn: Hiể u đượ c cơ chế hoạ t độ ng, áp dụng rộ ng rãi cho các doanh nghiệp và công ty. Góp phần ngăn chặ n các cuộ c tấn công củ a hacker. Nghiên cứu và triể n khai bả o mật hệ thống mạ ng với Access Control List trên Router 3900 SVTH: Lê Anh Quốc - Lớp: CCMM06C 2 CHƯƠNG I TỔNG QUAN VỀ AN NINH MẠNG 1.1 Giới thiệu An Ninh Mạng 1.1.1 Khái niệm An ninh mạ ng là mộ t trong những lĩnh vực mà hiện nay giới công nghệ thông tin khá quan tâm. Mộ t khi internet ra đờ i và phát triể n, nhu cầu trao đổ i thông tin trở nên cần thiết. Mục đích c ủa việc kết nối mạ ng là làm cho mọi ngườ i có thể sử dụ ng chung tài nguyên mạ ng từ những vị trí đị a lý khác nhau. Chính vì vậ y mà các tài nguyên dễ dàng bị phân tán, xâm phạ m, gây mất mát dữ liệu cũng như các thông tin có giá trị . Kết nối càng rộ ng thì càng dễ bị tấn công, đó là mộ t quy luật tất yếu. Từ đó, vấn đề bả o vệ thông tin xuất hiện và an ninh mạ ng ra đờ i. Mỗi nguy cơ trên mạ ng đều là mối nguy hiểm tiềm tàng. Từ mộ t lỗ hổ ng bả o mật nhỏ của hệ thống, nhưng nếu biết khai thác và lợ i dụng với tầng suất cao có thể trở thành tai họa. Theo thống kê Công ty an ninh mạ ng SecurityDaily, tổ ng cộ ng 1039 website của Việt Nam đã bị tấn công chỉ trong nửa đầu tháng 92014. Trong hơn 1.000 website lần này, có đến 30 website của các cơ quan chính ph ủ (gov.vn) và 69 website của các cơ quan giáo d ục Việt Nam (edu.vn). Hình 1.1 Thống kê tội phạm mạng của SecurityDaily Nghiên cứu và triể n khai bả o mật hệ thống mạ ng với Access Control List trên Router 3900 SVTH: Lê Anh Quốc - Lớp: CCMM06C 3 Hình 1.2 Tỉ lệ các quốc gia tấn công Internet Như vậy, số vụ tấn công ngày càng tăng lê n với mức độ chóng mặ t. Điều này cũng dễ hiể u, vì mộ t thực thể luôn tồn tạ i hai mặ t đối lập nhau. Qua đó ta thấy phạ m vi của bả o mật rất lớn, nó không còn gói gọn trong mộ t máy tính mộ t cơ quan… mà là toàn cầu. 1.1.2 Kẻ tấn công hệ thống mạng Kẻ tấn công ngườ i ta thườ ng gọi là hacker, ngay bả n thân kẻ tấn công cũng tự gọi mình như thế. Ngoài ra ngườ i ta còn gọi chúng là kẻ tấn công (attracker ) hay những kẻ xâm nhập (intruder). Trước đây Hacker đượ c chia làm 2 loạ i nhưng hiện nay thì đượ c chia thành 3 loạ i:  Hacker mũ đen Đây là tên trộ m chính hiệu mục tiêu của chúng là độ t nhập vào hệ thố ng máy tính của đối tượ ng để lấy cấp thông tin, nhằm mục đích b ất chính. Hacker mũ đen là những tộ i phạ m cần sự trừng trị của pháp luật.  Hacker mũ trắng Họ là những nhà bả o mật và bả o vệ hệ thống mạng . Họ cũng xâm nhập vào hệ thống, tìm ra những kẽ hở, những lỗ hổng chết ngườ i, và sau đó tìm cách vá lạ i chúng. Tất nhiên, hacker mũ trắng cũng có khả năng xâm nhập và cũng có thể trở thành hacker mũ đen. Nghiên cứu và triể n khai bả o mật hệ thống mạ ng với Access Control List trên Router 3900 SVTH: Lê Anh Quốc - Lớp: CCMM06C 4  Hacker mũ xám Lọai này đượ c kết hợ p giữa hai loạ i trên. Thông thườ ng họ là những ngườ i còn trẻ, muốn thể hiện mình. Trong mộ t thờ i điể m, họ độ t nhập vào hệ thống để phá phách. Nhưng trong thờ i điể m khác họ có thể gửi đến nhà quả n trị những thông tin về lỗ hổng bả o mật và đ ề xuất cách vá lỗi. Ranh giới phân biệt các hacker rất mong manh. Mộ t kẻ tấn công là hacker mũ trắng trong thờ i điể m này, nhưng ở thờ i điể m khác họ lạ i là mộ t tên trộ m chuyên nghiệp. 1.1.3 Lỗ hổng bảo mật Các lỗ hổ ng bả o mật trên mộ t hệ thống là các điể m yếu có thể tạ o ra sự ngưng trệ của dị ch vụ, thêm quyền đối với ngườ i sử dụng hoặ c cho phép các truy cậ p không hợ p pháp vào hệ thống. Có nhiều tổ chức khác nhau tiến hành phân loạ i các dạ ng lỗ hổ ng đặ c biêt. Theo cách phân loạ i của Bộ quốc phòng Mỹ, các loạ i lỗ hổ ng bả o mậ t trên mộ t hệ thống đượ c chia như sau:  Lỗ hổng loại C Các lỗ hổ ng loạ i này cho phép thực hiện các phương th ức tấ n công theo DoS (Dinal of Services – Từ chối dị ch vụ). Mức độ nguy hiể m thấp, chỉ ả nh hưởng tới chất lượ ng dị ch vụ, có thể làm ngưng tr ệ, gián đoạ n hệ thống; không làm phá hỏ ng dữ liệ u hoặ c đạ t đượ c quyền truy cập bất hợ p pháp.  Lỗ hổng loại B Các lỗ hổ ng cho phép ngườ i sử dụng có thêm các quyền trên hệ thố ng mà không cần thực hiện kiể m tra tính hợ p lệ. Mức độ nguy hiể m trung bình những lỗ hổ ng này thườ ng có trong các ứng dụng trên hệ thống; có thể dẫ n đến mất hoặ c lộ thông tin yêu cầu bả o mật.  Lỗ hổng loại A Các lỗ hổ ng này cho phép ngườ i sử dụng ở ngoài có thể truy cập vào hệ thố ng bất hợ p pháp. Lỗ hổ ng rất nguy hiể m, có thể làm phá hủy toàn bộ hệ thống. 1.2 Đánh giá vấn đề an toàn, bảo mật hệ thống mạng 1.2.1 Phương diện vật lý  Bả o mật an ninh nơi lưu trữ các máy chủ.  Khả năng cập nhật, nâng cấp, bổ xung phần cứng và phần mềm.  Yêu cầu nguồn điện, có dự phòng trong tình huống mất điện độ t ngộ t. Nghiên cứu và triể n khai bả o mật hệ thống mạ ng với Access Control List trên Router 3900 SVTH: Lê Anh Quốc - Lớp: CCMM06C 5  Các yêu cầu phù hợ p với môi trườ ng xung quanh: độ ẩm, nhiệt độ , chố ng sét, phòng chống cháy nổ ,… 1.2.2 Phương diện logic  Tính bí mật (Confidentiality) Là giới hạ n các đ ối tượ ng đượ c quyền truy xuất đến thông tin. Đối tượ ng truy xuất thông tin có thể là con ngườ i, máy tính và phần mềm. Tùy theo tính chất củ a thông tin mà mức độ bí mật của chúng có thể khác nhau. Ví dụ: User A gởi email cho User B thì email đó chỉ có User A và User B mớ i biết đượ c nộ i dung, còn những User khác không thể biết đượ c. Giả sử có User thứ 3 biết đượ c nộ i dung mail thì lúc này tính bí mật của email đó không còn n ữa.  Tính toàn vẹn (Integrity) Tính toàn vẹ n đả m bả o sự tồn tạ i nguyên vẹ n của thông tin, loạ i trừ mọi sự thay đổ i thông tin có chủ đích hoặ c do hư hỏ ng, mất mát thông tin vì sự cố thiết bị hoặ c phần mềm.  Tính sẵ n sàng (Availability) Mộ t hệ thống đả m bả o tính sẵn sàng có nghĩa là có thể truy nhập dữ liệu bất cứ lúc nào mong muốn trong vòng mộ t khoả ng thờ i gian cho phép. Các cuộ c tấ n công khác nhau có thể tạ o ra sự mất mát hoặ c thiếu về sự sẵn sàng của dị ch vụ.  Tính xác thực (Authentication) Đả m bả o rằng mộ t cuộ c trao đổ i thông tin là đáng tin c ậy giữa ngườ i gởi và ngườ i nhận. Trong trườ ng hợ p mộ t tương tác đang xả y ra, ví dụ kết nối của mộ t đầu cuối đến máy chủ, có hai vấn đề sau: thứ nhất tạ i thờ i điể m khởi tạ o kết nối, dị ch vụ đả m bả o rằng hai thực thể là đáng tin. Th ứ hai, dị ch vụ cần phả i đả m bả o rằng kết nố i không bị gây nhiễu do mộ t thực thể thứ ba và thực thể này có thể giả mạ o là mộ t trong hai thực thể hợ p pháp để truyền tin hoặ c nhận tin không đượ c cho phép.  Tính không thể phủ nhận (Non repudiation) Tính không thể phủ nhận bả o đả m rằng ngườ i gửi và ngườ i nhận không thể chố i bỏ mộ t bả n tin đã đượ c truyền. Khi mộ t bả n tin đượ c gửi đi, bên nhận có thể chứng minh đượ c rằng bả n tin đó th ật sự đượ c gửi từ ngườ i gửi hợ p pháp. Hoàn toàn tương tự, khi mộ t bả n tin đượ c nhận, bên gửi có thể chứng minh đượ c bả n tin đó đúng th ật đượ c nhận bởi ngườ i nhận hợ p lệ. Nghiên cứu và triể n khai bả o mật hệ thống mạ ng với Access Control List trên Router 3900 SVTH: Lê Anh Quốc - Lớp: CCMM06C 6  Khả năng điều khiển truy nhập (Access Control) Trong mộ t hệ thống mạ ng đượ c coi là bả o mật, an toàn thì ngườ i quả n trị viên phả i điều khiể n đượ c truy cập ra vào của hệ thống mạ ng, có thể cho phép hay ngăn chặ n mộ t truy cập nào đ ấy trong hệ thống. Nghiên cứu và triể n khai bả o mật hệ thống mạ ng với Access Control List trên Router 3900 SVTH: Lê Anh Quốc - Lớp: CCMM06C 7 CHƯƠNG II TỔNG QUAN VỀ ACCESS CONTROL LIST 2.1 Giới thiệu về ACL Bảo mật một vấn đề đặt lên hàng đầu cho việc truyền tải dữ liệu trong hệ thống mạng. Một trong những tính năng giải quyết vấn đề đó chính là Access Control List (ACL) được tích hợp sẵn trong các thiết bị Router . Access control list (ACL), đúng như tên gọi của nó là mộ t danh sách các câu lệnh đượ c á p đặ t vào các cổ ng (interface) của router. Danh sách này chỉ ra cho router biết loạ i packet nào đượ c chấp nhận (allow) và loạ i packet nào bị hủy bỏ (deny). Sự chấp nhận và huỷ bỏ này có thể dựa vào đị a chỉ nguồn, đị a chỉ đích hoặ c chỉ số port. 2.2 Công dụng củ a ACL Access – list thườ ng đượ c sử dụng cho hai mục đích:  Lọc lưu lượng (traffic filtering) Điều này đượ c thực hiện bằng cách đặt access – list lên mộ t cổ ng củ a router theo chiều in hoặ c chiều out. Nếu đặ t theo chiều in, ACL sẽ thực hiện lọc lưu lượ ng đi vào cổ ng và nếu đặ t theo chiều out, ACL sẽ lọc lưu lượ ng đi ra khỏ i cổ ng. Việc lọc bỏ hay cho qua lưu lượ ng trên mộ t acces – list sẽ đượ c căn cứ vào các từ khóa permit hoặ c deny.  Phân loại dữ liệ u (data classification) Trong trườ ng hợ p này, ACL sẽ đượ c cấu hình để chỉ ra những đối tượ ng nào đượ c tham gia và những đối tượ ng nào không đượ c tham gia vào mộ t tiế n trình hay mộ t hoạ t độ ng nào đ ấy của router (Ví dụ: distribute – list, NAT, VPN,…). 2.3 Nguyên lý hoạt động ACL sẽ đượ c thực hiện theo trình tự của các câu lệnh trong danh sách cấ u hình khi tạ o access-list. Nếu có mộ t điều kiện đượ c so khớ p (matched) trong danh sách thì nó sẽ thực hiện, và các câu lệnh còn lạ i sẽ không đượ c kiể m tra nữa.Trườ ng hợ p tất cả các câu lệnh trong danh sách đ ều không khớp (unmatched) thì mộ t câu lệnh mặ c đị nh “deny any” đượ c thực hiện. 2.3.1 Inbound Quả n lý chiều đi vào (Inbound): Khi packet đi vào mộ t interface, router sẽ kiể m tra xem có ACL trong inbound interface hay không, nếu có packet sẽ đượ c kiể m tra đối chiếu với những điều kiện trong danh sách. Nếu packet đó đượ c cho phép (allow) Nghiên cứu và triể n khai bả o mật hệ thống mạ ng với Access Control List trên Router 3900 SVTH: Lê Anh Quốc - Lớp: CCMM06C 8 nó sẽ tiếp tục đượ c kiể m tra trong bả ng routing để quyết đị nh chọn interface để đi đến đích và nếu không (deny) thì sẽ bỏ gói tin. Hình 2.1 Nguyên lý ho ạt động Inbound. Hình 2.1 mô tả nguyên lý hoạ t độ ng inbound, các gói dữ liệu đi vào i nterface và đượ c kiể m tra tạ i đây nếu các gói tin đi vào trùng v ới các đi ều kiện mà rule đ ầu tiên đặ t ra thì nó sẽ không cần kiể m tra các rule tiếp theo nữa mà chuyể n đến bướ c là cho phép hay chặ n gói tin; nếu cho phép thì gói tin sẽ đượ c đẩy ra interface này đi đ ến đích còn nếu không cho phép thì gói tin sẽ bị hủy. Giả sử gói tin đi vào không trùng v ới các điều kiện mà rule đ ầu tiên đặ t ra thì gói tin sẽ chuyể n tiếp đến các rule tiếp theo và cũng kiể m tra gói tin có trùng với các đi ều kiện hay không. Quá trình này đượ c lặ p đi lặ p lạ i khi gói tin đ ến rule cuối cùng mà vẫ n không tìm đượ c các đi ều kiện phù hợ p thì gói tin sẽ bị hủy vì trong ACL luôn luôn có mộ t rule mặ c đị nh là chặ n tất cả (deny any) các gói tin khi đi qua nó. 2.3.2 Outbound Về nguyên lý hoạ t độ ng của outbound và inbound là giống nhau, nhưng ở inbound khi các gói tin đi vào kiể m tra ACL xong rồi mới kiể m tra bả ng đị nh tuyế n còn outbound thì kiể m tra bả ng đị nh tuyến trước rồi mới kiể m tra đến ACL. Mục đích của outbound kiể m tra bả ng đị nh tuyến trước là đ ỡ tốn thờ i gian và năng l ực xử lý củ a Router. Nghiên cứu và triể n khai bả o mật hệ thống mạ ng với Access Control List trên Router 3900 SVTH: Lê Anh Quốc - Lớp: CCMM06C 9 Hình 2.2 Nguyên lý ho ạt động Outbound. Hình 2.2 mô tả nguyên lý hoạ t độ ng outbound. Các gói tin đi vào Router trên các interface thì router lấy đị a chỉ đích c ủa gói tin so sánh với bả ng đị nh tuyến nế u không có thì gói tin lập tức sẽ bị hủy còn nếu có trong bả ng đị nh tuyến thì nó tiếp tụ c chuyể n đến bước kế tiếp. Tiếp đến router xem thử có cấu hình ACL hay không nế u không có thì gói tin lập tức đượ c chuyể n ra interface này và chuyể n đến đích ngượ c lạ i nếu có cấu hình ACL thì router sẽ so sánh gói tin có trùng hợ p với các rule của ACL đặ t ra hay không và có quyền đượ c đi qua hay không. Nếu đượ c đi qua thì các gói tin chuyể n tiếp ra interface này và đi đ ến đích còn ngượ c lạ i thì gói tin sẽ bị hủy. 2.3.3 Giới thiệu Wildcard Mask Hình 2.3 Mô tả Wildcard Mask. Wildcard mask là mộ t chuỗi 32 bit đượ c chia thành 4 octet tương t ự như subnet mask, trong đó có các giá trị 0 và 1. Với bit 0 thì sẽ kiể m tra bit của đị a chỉ cùng vị trí Nghiên cứu và triể n khai bả o mật hệ thống mạ ng với Access Control List trên Router 3900 SVTH: Lê Anh Quốc - Lớp: CCMM06C 10 còn khi bit 1 đượ c bật lên thì không kiể m tra. Wildcard mask đượ c dùng chính ở trong ACL và OSPF, EIGRP. Nói tóm lạ i là wildcard mask dùng để xác đị nh chính xác mộ t host, mộ t dãy đị a chỉ hay mộ t mạ ng đây cũng chính là ưu điể m vượ t trộ i củ a wildcard mask so với subnet mask. Các ví dụ sau sẽ giúp hiể u rõ hơn về wildcard mask:  Wildcard mask mộ t subnet: mạ ng 192.168.1.024 Cách tính: lấy 255.255.255.255 – subnet mask mạ ng 192.168.1.024 Kết quả: Wildcard mask 192.168.1.024 là 0.0.0.255 Wildcard mask của tất cả địa chỉ IP Cách tính: Với nguyên tắt là bit 0 thì kiểm tra còn bit 1 là không kiểm tr a vậy thì cho phép tất cả IP có nghĩa là không cần kiểm tra. Kết quả: 255.255.255.255. Trong ACL thay vì ghi 255.255.255.255 thì chỉ cần từ “any” là được. Wildcard mask của một IP: 192.168.1.124 Cách tính: Vì là địa chỉ IP cho một host nên cần phải kiểm t ra tất cả các bit Kết quả: 0.0.0.0. Trong ACL thay vì ghi 0.0.0.0 thì chỉ cần ghi “host” để thay thế.  So sánh giữa Subnet Mask và Wildcard Mask Subnet mask và wildcard mask khác nhau hoàn toàn về nguyên tắc cũng như chức năng. Subnet mask có một chuỗi bit 1 kéo từ trái sang phải để xác định phần host và phần network của một địa chỉ IP tương ứng. Trong khi đó wildcard m ask được dùng để lọc địa chỉ IP, lớp mạng hay một dãy địa địa chỉ IP. Bảng 1: So sánh subnet mask và wildcard mask. Tiêu chí Subnet mask Wildcard mask Cấu trúc - dài 32 bit hoặc 4 octet. - dài 32 bit hoặc 4 octet. Mục đích - phân biệt net ID và host ID. - lọc chính xác IP hoặc lớp mạng hay dãy IP. Ứng - trong giao thức Rip và - trong giao thức OSPF hay ACL. 255.255.255.255 255.255.255.0 0 . 0 . 0 .255 Nghiên cứu và triể n khai bả o mật hệ thống mạ ng với Access Control List trên Router 3900 SVTH: Lê Anh Quốc - Lớp: CCMM06C 11 dụng static. 2.4 Phân loại ACL ACLs đượ c phân làm các loạ i sau: Standard ACLs, Extended ACLs, Dynamic ACLs (Lock and Key), Reflexive ACLs, Time- based ACLs. Tuy nhiên ta chỉ tìm hiểu hai loại đó là Standard ACL và Extended ACLs. ACLs có thể đượ c tạ o ra bằ ng hai cách là dùng Numbered ACLs hay Name ACLs.  Numbered ACL: Ta gán mộ t số dưa trên các giao th ức để lọc gói tin.  1-99 và 1300-1999: Standard IP ACL.  100-199 và 2000-2699: Extended IP ACL.  Named ACL: Ta cũng có thể sử dụng tên để gán cho ACL.  Tên có thể chứa các ký tự chữ và số.  Nên đặ t tên bằng chữ in hoa.  Tên không thể có khoả ng cách hoặ c dấu chấm câu và phả i bắt đầu bằng chữ cái.  Ta có thể them hoặ c xóa các lệnh. 2.4.1 Standard Access Control List Loạ i ACL này chỉ đề cập đến source IP của gói tin IP, không đ ề cập thêm bấ t cứ thông tin nào khác của gói tin. Standard ACL có thể đặ t theo chiều Inbound hoặ c Outbound; Standard ACL nên đặ t gần đích và đặt theo chiều Outbound vì Standard ACL chỉ kiể m tra đị a chỉ IP nguồn. Vị trí đặ t ACL rất quan trọng nó có thể cho phép hệ thống mạ ng hoạ t độ ng tối ưu nhất hoặ c là hệ thống mạ ng sẽ bị trì trệ nếu chúng ta đặ t ACL không đúng cách . Nghiên cứu và triể n khai bả o mật hệ thống mạ ng với Access Control List trên Router 3900 SVTH: Lê Anh Quốc - Lớp: CCMM06C 12 Hình 2.4 Mô hình ví dụ Standard ACL. Ví dụ: Cấm Branch1 truy c...

LỜI CẢM ƠN

Trên thực tế để đạt được thành công thường gắn liền với những sự hỗ trợ, giúp đỡ dù trực tiếp hay gián tiếp của người khác Trong suốt thời gian từ khi bắt đầu học tập đến nay, em đã nhận được rất nhiều sự quan tâm, giúp đỡ của quý Thầy Cô, gia đình và bạn bè

Với lòng biết ơn sâu sắc nhất, em xin gửi đến quý Thầy Cô ở Khoa Khoa Học Máy Tính – Trường Cao Đẳng Công Nghệ Thông Tin Hữu Nghị Việt-Hàn đã dùng tri thức và tâm huyết của mình để truyền đạt vốn kiến thức quý báu cho chúng em trong suốt thời gian học tập tại trường

Đặc biệt, em xin gửi lời cảm ơn chân thành tới cô giáo Dương Thị Thu Hiền, là người hướng dẫn, động viên và giúp đỡ em hoàn thành khóa luận tốt nghiệp này Nếu không có những lời hướng dẫn, giúp đỡ của Cô thì em nghĩ bài thu hoạch này của em rất khó có thể hoàn thành được Một lần nữa, em xin chân thành cảm ơn cô

Mặc dù hết sức nổ lực và cố gắng, nhưng do kiến thức và kinh nghiệm còn hạn hẹp nên đề tài không tránh khỏi thiếu sót, rất mong nhận được sự chỉ dạy đóng góp ý kiến từ các thầy cô giáo và các bạn để đề tài được hoàn thiện hơn

Đà Nẵng, tháng 5 năm 2015

Sinh viên thực hiện Lê Anh Quốc

MỤC LỤC

LỜI CẢM ƠN i

MỤC LỤC ii

DANH MỤC TỪ VIẾT TẮT iv

DANH MỤC BẢNG BIỂU v

DANH MỤC HÌNH ẢNH vi

LỜI MỞ ĐẦU 1

CHƯƠNG I TỔNG QUAN VỀ AN NINH MẠNG 2

1.1Giới thiệu An Ninh Mạng 2

1.2.2 Phương diện logic 5

CHƯƠNG II TỔNG QUAN VỀ ACCESS CONTROL LIST 7

2.1 Giới thiệu về ACL 7

2.2 Công dụng của ACL 7

2.3 Nguyên lý hoạt động 7

2.3.1 Inbound 7

2.3.2 Outbound 8

2.3.3 Giới thiệu Wildcard Mask 9

2.4 Phân loại ACL 11

2.4.1 Standard Access Control List 11

2.4.2 Extended Access Control List 16

CHƯƠNG III XÂY DỰNG MÔ HÌNH HỆ THỐNG VÀ TRIỂN KHAI CẤU HÌNH ACL 20

3.1 Mô hình hệ thống mạng 20

3.2 Cấu hình Standard Access Control List 21

3.3 Cấu hình Extended Access Control List 24

3.4 Tổng Kết 29

3.4.1 Đánh giá mô hình hệ thống 29

3.4.3 So sánh ACL trên Router và ACL Firewall (ISA/TMG) 29

KẾT LUẬN 31

TÀI LIỆU THAM KHẢO vii

NHẬN XÉT CỦA CÁN BỘ HƯỚNG DẪN viii

DANH MỤC TỪ VIẾT TẮT

Subscriber Line

Đường thuê bao số bất đối xứng

Protocol

Giao thức điều khiển lớp giao vận

Protocol/Internet Protocol Chồng giao thức TCP/IP

DANH MỤC BẢNG BIỂU

DANH MỤC HÌNH ẢNH

Hình 3.11 Cấu hình chặn gói ping từ site Branch1 đến các máy chủ 25

LỜI MỞ ĐẦU

 Lý do chọn đề tài

Bảo mật là một trong những lĩnh vực mà hiện nay giới công nghệ thông tin khá quan tâm Nói đến bảo mật thì người ta phân thành 2 thành phần bảo vệ: bảo mật lớp thấp và bảo mật lớp cao Trong mô hình OSI lớp thấp bao gồm: lớp vật lý, lớp liên kết dữ liệu và lớp mạng Lớp cao bao gồm: lớp vận chuyển, lớp phiên, lớp trình diễn và cuối cùng là lớp ứng dụng

Hiện nay, các doanh nghiệp chỉ chú trọng bảo mật ở lớp cao như bảo vệ thông tin kiểm duyệt web, bảo mật internet, bảo mật http, bảo mật trên các hệ thống thanh toán điện tử và giao dịch trực tuyến… Mà đa số các cuộc tấn công chủ yếu vào các lớp thấp nên hệ thống mạng chưa được bảo mật tốt nhất Chính vì yếu tố này nên em đã chọn đề tài tốt nghiệp về Access Control List để bảo mật hệ thống mạng một cách hoàn chỉnh nhất

 Mục đích nghiên cứu

Nắm rõ nguyên lý hoạt động chung của ACL và các lệnh cấu hình cơ bản Nghiên cứu thêm nguyên lý hoạt động của một firewall và quy tắc chung khi thiết kế một hệ thống mạng

 Đối tượng và phạm vi nghiên cứu

 Đối tượng: Các doanh nghiệp, công ty, trường học…

 Phạm vi nghiên cứu: Mô hình giả lập và phòng LAB trường CĐ CNTT Hữu

Nghị Việt – Hàn  Phương pháp nghiên cứu

 Thu thập và phân tích tài liệu liên quan tới ACL

 So sánh ACL với Firewall

 Xây dựng hệ thống mạng và demo cấu hình ACL

 Kiểm tra đánh giá và rút ra kết luận  Ý nghĩa khoa học và thực tiễn

 Ý nghĩa khoa học: Có thể nghiên cứu và tìm hiểu lý thuyết bảo mật nhằm

vận dụng được trong thực tế

 Ý nghĩa thực tiễn: Hiểu được cơ chế hoạt động, áp dụng rộng rãi cho các

doanh nghiệp và công ty Góp phần ngăn chặn các cuộc tấn công của hacker

CHƯƠNG I TỔNG QUAN VỀ AN NINH MẠNG 1.1 Giới thiệu An Ninh Mạng

An ninh mạng là một trong những lĩnh vực mà hiện nay giới công nghệ thông tin khá quan tâm Một khi internet ra đời và phát triển, nhu cầu trao đổi thông tin trở nên cần thiết Mục đích của việc kết nối mạng là làm cho mọi người có thể sử dụng chung tài nguyên mạng từ những vị trí địa lý khác nhau Chính vì vậy mà các tài nguyên dễ dàng bị phân tán, xâm phạm, gây mất mát dữ liệu cũng như các thông tin có giá trị Kết nối càng rộng thì càng dễ bị tấn công, đó là một quy luật tất yếu Từ đó, vấn đề bảo vệ thông tin xuất hiện và an ninh mạng ra đời

Mỗi nguy cơ trên mạng đều là mối nguy hiểm tiềm tàng Từ một lỗ hổng bảo mật nhỏ của hệ thống, nhưng nếu biết khai thác và lợi dụng với tầng suất cao có thể trở thành tai họa

Theo thống kê Công ty an ninh mạng SecurityDaily, tổng cộng 1039 website của Việt Nam đã bị tấn công chỉ trong nửa đầu tháng 9/2014 Trong hơn 1.000 website lần này, có đến 30 website của các cơ quan chính phủ (gov.vn) và 69 website của các cơ quan giáo dục Việt Nam (edu.vn)

Hình 1.1 Thống kê tội phạm mạng của SecurityDaily

Hình 1.2 Tỉ lệ các quốc gia tấn công Internet

Như vậy, số vụ tấn công ngày càng tăng lên với mức độ chóng mặt Điều này cũng dễ hiểu, vì một thực thể luôn tồn tại hai mặt đối lập nhau Qua đó ta thấy phạm vi của bảo mật rất lớn, nó không còn gói gọn trong một máy tính một cơ quan… mà là toàn cầu

Kẻ tấn công người ta thường gọi là hacker, ngay bản thân kẻ tấn công cũng tự gọi mình như thế Ngoài ra người ta còn gọi chúng là kẻ tấn công (attracker) hay những kẻ xâm nhập (intruder) Trước đây Hacker được chia làm 2 loại nhưng hiện nay

thì được chia thành 3 loại:  Hacker mũ đen

Đây là tên trộm chính hiệu mục tiêu của chúng là đột nhập vào hệ thống máy tính của đối tượng để lấy cấp thông tin, nhằm mục đích bất chính Hacker mũ đen là những tội phạm cần sự trừng trị của pháp luật

 Hacker mũ trắng

Họ là những nhà bảo mật và bảo vệ hệ thống mạng Họ cũng xâm nhập vào hệ thống, tìm ra những kẽ hở, những lỗ hổng chết người, và sau đó tìm cách vá lại chúng Tất nhiên, hacker mũ trắng cũng có khả năng xâm nhập và cũng có thể trở thành hacker mũ đen

 Hacker mũ xám

Lọai này được kết hợp giữa hai loại trên Thông thường họ là những người còn trẻ, muốn thể hiện mình Trong một thời điểm, họ đột nhập vào hệ thống để phá phách Nhưng trong thời điểm khác họ có thể gửi đến nhà quản trị những thông tin về lỗ hổng bảo mật và đề xuất cách vá lỗi

Ranh giới phân biệt các hacker rất mong manh Một kẻ tấn công là hacker mũ trắng trong thời điểm này, nhưng ở thời điểm khác họ lại là một tên trộm chuyên nghiệp

Các lỗ hổng bảo mật trên một hệ thống là các điểm yếu có thể tạo ra sự ngưng trệ của dịch vụ, thêm quyền đối với người sử dụng hoặc cho phép các truy cập không hợp pháp vào hệ thống Có nhiều tổ chức khác nhau tiến hành phân loại các dạng lỗ hổng đặc biêt Theo cách phân loại của Bộ quốc phòng Mỹ, các loại lỗ hổng bảo mật trên một hệ thống được chia như sau:

 Lỗ hổng loại C

Các lỗ hổng loại này cho phép thực hiện các phương thức tấn công theo DoS (Dinal of Services – Từ chối dịch vụ) Mức độ nguy hiểm thấp, chỉ ảnh hưởng tới chất lượng dịch vụ, có thể làm ngưng trệ, gián đoạn hệ thống; không làm phá hỏng dữ liệu hoặc đạt được quyền truy cập bất hợp pháp

 Lỗ hổng loại B

Các lỗ hổng cho phép người sử dụng có thêm các quyền trên hệ thống mà không cần thực hiện kiểm tra tính hợp lệ Mức độ nguy hiểm trung bình những lỗ hổng này thường có trong các ứng dụng trên hệ thống; có thể dẫn đến mất hoặc lộ thông tin yêu cầu bảo mật

 Lỗ hổng loại A

Các lỗ hổng này cho phép người sử dụng ở ngoài có thể truy cập vào hệ thống bất hợp pháp Lỗ hổng rất nguy hiểm, có thể làm phá hủy toàn bộ hệ thống

1.2 Đánh giá vấn đề an toàn, bảo mật hệ thống mạng

1.2.1 Phương diện vật lý

 Bảo mật an ninh nơi lưu trữ các máy chủ

 Khả năng cập nhật, nâng cấp, bổ xung phần cứng và phần mềm  Yêu cầu nguồn điện, có dự phòng trong tình huống mất điện đột ngột

 Các yêu cầu phù hợp với môi trường xung quanh: độ ẩm, nhiệt độ, chống sét, phòng chống cháy nổ,…

1.2.2 Phương diện logic

 Tính bí mật (Confidentiality)

Là giới hạn các đối tượng được quyền truy xuất đến thông tin Đối tượng truy xuất thông tin có thể là con người, máy tính và phần mềm Tùy theo tính chất của thông tin mà mức độ bí mật của chúng có thể khác nhau

Ví dụ: User A gởi email cho User B thì email đó chỉ có User A và User B mới biết được nội dung, còn những User khác không thể biết được Giả sử có User thứ 3 biết được nội dung mail thì lúc này tính bí mật của email đó không còn nữa

 Tính toàn vẹn (Integrity)

Tính toàn vẹn đảm bảo sự tồn tại nguyên vẹn của thông tin, loại trừ mọi sự thay đổi thông tin có chủ đích hoặc do hư hỏng, mất mát thông tin vì sự cố thiết bị hoặc phần mềm

 Tính sẵn sàng (Availability)

Một hệ thống đảm bảo tính sẵn sàng có nghĩa là có thể truy nhập dữ liệu bất cứ lúc nào mong muốn trong vòng một khoảng thời gian cho phép Các cuộc tấn công khác nhau có thể tạo ra sự mất mát hoặc thiếu về sự sẵn sàng của dịch vụ

 Tính xác thực (Authentication)

Đảm bảo rằng một cuộc trao đổi thông tin là đáng tin cậy giữa người gởi và người nhận

Trong trường hợp một tương tác đang xảy ra, ví dụ kết nối của một đầu cuối đến máy chủ, có hai vấn đề sau: thứ nhất tại thời điểm khởi tạo kết nối, dịch vụ đảm bảo rằng hai thực thể là đáng tin Thứ hai, dịch vụ cần phải đảm bảo rằng kết nối không bị gây nhiễu do một thực thể thứ ba và thực thể này có thể giả mạo là một trong hai thực thể hợp pháp để truyền tin hoặc nhận tin không được cho phép

 Tính không thể phủ nhận (Non repudiation)

Tính không thể phủ nhận bảo đảm rằng người gửi và người nhận không thể chối bỏ một bản tin đã được truyền Khi một bản tin được gửi đi, bên nhận có thể chứng minh được rằng bản tin đó thật sự được gửi từ người gửi hợp pháp Hoàn toàn tương tự, khi một bản tin được nhận, bên gửi có thể chứng minh được bản tin đó đúng thật được nhận bởi người nhận hợp lệ

 Khả năng điều khiển truy nhập (Access Control)

Trong một hệ thống mạng được coi là bảo mật, an toàn thì người quản trị viên phải điều khiển được truy cập ra vào của hệ thống mạng, có thể cho phép hay ngăn chặn một truy cập nào đấy trong hệ thống

CHƯƠNG II TỔNG QUAN VỀ ACCESS CONTROL LIST 2.1 Giới thiệu về ACL

Bảo mật một vấn đề đặt lên hàng đầu cho việc truyền tải dữ liệu trong hệ thống mạng Một trong những tính năng giải quyết vấn đề đó chính là Access Control List (ACL) được tích hợp sẵn trong các thiết bị Router

Access control list (ACL), đúng như tên gọi của nó là một danh sách các câu lệnh được áp đặt vào các cổng (interface) của router Danh sách này chỉ ra cho router biết loại packet nào được chấp nhận (allow) và loại packet nào bị hủy bỏ (deny) Sự chấp nhận và huỷ bỏ này có thể dựa vào địa chỉ nguồn, địa chỉ đích hoặc chỉ số port

2.2 Công dụng của ACL

Access – list thường được sử dụng cho hai mục đích:  Lọc lưu lượng (traffic filtering)

Điều này được thực hiện bằng cách đặt access – list lên một cổng của router theo chiều in hoặc chiều out Nếu đặt theo chiều in, ACL sẽ thực hiện lọc lưu lượng đi vào cổng và nếu đặt theo chiều out, ACL sẽ lọc lưu lượng đi ra khỏi cổng Việc lọc bỏ hay cho qua lưu lượng trên một acces – list sẽ được căn cứ vào các từ khóa permit hoặc deny

 Phân loại dữ liệu (data classification)

Trong trường hợp này, ACL sẽ được cấu hình để chỉ ra những đối tượng nào được tham gia và những đối tượng nào không được tham gia vào một tiến trình hay một hoạt động nào đấy của router (Ví dụ: distribute – list, NAT, VPN,…)

2.3 Nguyên lý hoạt động

ACL sẽ được thực hiện theo trình tự của các câu lệnh trong danh sách cấu hình khi tạo access-list Nếu có một điều kiện được so khớp (matched) trong danh sách thì nó sẽ thực hiện, và các câu lệnh còn lại sẽ không được kiểm tra nữa.Trường hợp tất cả các câu lệnh trong danh sách đều không khớp (unmatched) thì một câu lệnh mặc định “deny any” được thực hiện

2.3.1 Inbound

Quản lý chiều đi vào (Inbound): Khi packet đi vào một interface, router sẽ kiểm tra xem có ACL trong inbound interface hay không, nếu có packet sẽ được kiểm tra đối chiếu với những điều kiện trong danh sách Nếu packet đó được cho phép (allow)

nó sẽ tiếp tục được kiểm tra trong bảng routing để quyết định chọn interface để đi đến đích và nếu không (deny) thì sẽ bỏ gói tin

Hình 2.1 Nguyên lý hoạt động Inbound

Hình 2.1 mô tả nguyên lý hoạt động inbound, các gói dữ liệu đi vào interface và được kiểm tra tại đây nếu các gói tin đi vào trùng với các điều kiện mà rule đầu tiên đặt ra thì nó sẽ không cần kiểm tra các rule tiếp theo nữa mà chuyển đến bước là cho phép hay chặn gói tin; nếu cho phép thì gói tin sẽ được đẩy ra interface này đi đến đích còn nếu không cho phép thì gói tin sẽ bị hủy Giả sử gói tin đi vào không trùng với các điều kiện mà rule đầu tiên đặt ra thì gói tin sẽ chuyển tiếp đến các rule tiếp theo và cũng kiểm tra gói tin có trùng với các điều kiện hay không Quá trình này được lặp đi lặp lại khi gói tin đến rule cuối cùng mà vẫn không tìm được các điều kiện phù hợp thì gói tin sẽ bị hủy vì trong ACL luôn luôn có một rule mặc định là chặn tất cả (deny any) các gói tin khi đi qua nó

2.3.2 Outbound

Về nguyên lý hoạt động của outbound và inbound là giống nhau, nhưng ở inbound khi các gói tin đi vào kiểm tra ACL xong rồi mới kiểm tra bảng định tuyến còn outbound thì kiểm tra bảng định tuyến trước rồi mới kiểm tra đến ACL Mục đích của outbound kiểm tra bảng định tuyến trước là đỡ tốn thời gian và năng lực xử lý của Router

Hình 2.2 Nguyên lý hoạt động Outbound

Hình 2.2 mô tả nguyên lý hoạt động outbound Các gói tin đi vào Router trên các interface thì router lấy địa chỉ đích của gói tin so sánh với bảng định tuyến nếu không có thì gói tin lập tức sẽ bị hủy còn nếu có trong bảng định tuyến thì nó tiếp tục chuyển đến bước kế tiếp Tiếp đến router xem thử có cấu hình ACL hay không nếu không có thì gói tin lập tức được chuyển ra interface này và chuyển đến đích ngược lại nếu có cấu hình ACL thì router sẽ so sánh gói tin có trùng hợp với các rule của ACL đặt ra hay không và có quyền được đi qua hay không Nếu được đi qua thì các gói tin chuyển tiếp ra interface này và đi đến đích còn ngược lại thì gói tin sẽ bị hủy

2.3.3 Giới thiệu Wildcard Mask

Hình 2.3 Mô tả Wildcard Mask

Wildcard mask là một chuỗi 32 bit được chia thành 4 octet tương tự như subnet mask, trong đó có các giá trị 0 và 1 Với bit 0 thì sẽ kiểm tra bit của địa chỉ cùng vị trí

còn khi bit 1 được bật lên thì không kiểm tra Wildcard mask được dùng chính ở trong ACL và OSPF, EIGRP Nói tóm lại là wildcard mask dùng để xác định chính xác một host, một dãy địa chỉ hay một mạng đây cũng chính là ưu điểm vượt trội của wildcard mask so với subnet mask

Các ví dụ sau sẽ giúp hiểu rõ hơn về wildcard mask:  Wildcard mask một subnet: mạng 192.168.1.0/24

Cách tính: lấy 255.255.255.255 – subnet mask mạng 192.168.1.0/24

Kết quả: Wildcard mask 192.168.1.0/24 là 0.0.0.255 Wildcard mask của tất cả địa chỉ IP

Cách tính: Với nguyên tắt là bit 0 thì kiểm tra còn bit 1 là không kiểm tra vậy thì cho phép tất cả IP có nghĩa là không cần kiểm tra

Kết quả: 255.255.255.255 Trong ACL thay vì ghi 255.255.255.255 thì chỉ cần từ “any” là được

Wildcard mask của một IP: 192.168.1.1/24

Cách tính: Vì là địa chỉ IP cho một host nên cần phải kiểm tra tất cả các bit Kết quả: 0.0.0.0 Trong ACL thay vì ghi 0.0.0.0 thì chỉ cần ghi “host” để thay thế

 So sánh giữa Subnet Mask và Wildcard Mask

Subnet mask và wildcard mask khác nhau hoàn toàn về nguyên tắc cũng như chức năng Subnet mask có một chuỗi bit 1 kéo từ trái sang phải để xác định phần host và phần network của một địa chỉ IP tương ứng Trong khi đó wildcard mask được

dùng để lọc địa chỉ IP, lớp mạng hay một dãy địa địa chỉ IP

Bảng 1: So sánh subnet mask và wildcard mask

Cấu trúc - dài 32 bit hoặc 4 octet - dài 32 bit hoặc 4 octet

Mục đích - phân biệt net ID và host ID - lọc chính xác IP hoặc lớp mạng hay dãy

dụng static

2.4 Phân loại ACL

ACLs được phân làm các loại sau: Standard ACLs, Extended ACLs, Dynamic ACLs (Lock and Key), Reflexive ACLs, Time-based ACLs Tuy nhiên ta chỉ tìm hiểu hai loại đó là Standard ACL và Extended ACLs

ACLs có thể được tạo ra bằng hai cách là dùng Numbered ACLs hay Name ACLs

 Numbered ACL: Ta gán một số dưa trên các giao thức để lọc gói tin

 1-99 và 1300-1999: Standard IP ACL

 100-199 và 2000-2699: Extended IP ACL

 Named ACL: Ta cũng có thể sử dụng tên để gán cho ACL

 Tên có thể chứa các ký tự chữ và số

 Nên đặt tên bằng chữ in hoa

 Tên không thể có khoảng cách hoặc dấu chấm câu và phải bắt đầu bằng chữ cái

 Ta có thể them hoặc xóa các lệnh

2.4.1 Standard Access Control List

Loại ACL này chỉ đề cập đến source IP của gói tin IP, không đề cập thêm bất cứ thông tin nào khác của gói tin Standard ACL có thể đặt theo chiều Inbound hoặc Outbound; Standard ACL nên đặt gần đích và đặt theo chiều Outbound vì Standard ACL chỉ kiểm tra địa chỉ IP nguồn

Vị trí đặt ACL rất quan trọng nó có thể cho phép hệ thống mạng hoạt động tối ưu nhất hoặc là hệ thống mạng sẽ bị trì trệ nếu chúng ta đặt ACL không đúng cách

Hình 2.4 Mô hình ví dụ Standard ACL

Ví dụ: Cấm Branch1 truy cập đến Server theo như mô hình trên Như vậy Branch1 là nguồn còn Server là đích vậy ta sẽ có các trường hợp đặt Standard ACL như sau:

- Trường hợp 1: Đặt Standard ACL tại Router Branch1 thì các host không thể

truy cập đến server được đúng hoàn toàn nhưng host cũng sẽ không truy cập đến các miền mạng khác được vì các gói tin từ host gởi đi đều bị Router Branch1 chặn lại (do kiểm tra theo địa chỉ nguồn)

- Trường hợp 2: Đặt Standard ACL tại Router HQ khi Router HQ nhận được gói

tin từ host nó sẽ chặn ngay lập tức Ngoài ra host còn có thể truy cập ra các mạng khác Đây là trường hợp tối ưu nhất

Qua ví dụ nho nhỏ trên ta thấy được tầm quan trọng của ACL cũng như sự hiểu biết của người quản trị viên về nguyên lý hoạt động của ACL

2.4.1.1 Nguyên lý hoạt động của Standard ACL

Nguyên lý hoạt động của Standard ACL được mô tả rất chi tiết như hình trên và lần lượt các bước thực hiện như sau:

Có phải gói tin này là IP packet ?

Địa chỉ nguồn có phù hợp với ACL không ?

Cho phép hoặc chặn so với điều kiện ?

IP đích có trong bảng định tuyến hay không ?

Đây có phải là mục cuối cùng của ACL chưa ?Gởi thông báo

không tìm thấy đích

Có danh sách ACL hoạt động trên interface này

không ?

Hình 2.5 Nguyên lý hoạt động của Standard ACL

(1) Router sẽ kiểm tra xem thử gói tin đi vào có phải là gói tin IP hay không nếu là gói tin IP thì tiếp tục chuyển xuống bước tiếp theo (2) còn nếu không phải thì chuyển xuống bước (5)

(2) Kiểm tra Interface này có mở tính năng ACL lên hay không nếu có chuyển xuống bước tiếp theo (3) còn không mở thì chuyển xuống bước (5)

(3) Kiểm tra địa chỉ nguồn của gói tin đi vào vì Standard ACL chỉ quan tâm đến địa chỉ nguồn nếu như địa chỉ nguồn trùng với địa chỉ trong danh sách ACL thì chuyển tiếp xuống bước (4) ngược lại không có thì chuyển sang bước (6)

(6) Kiểm tra xem thử có phải là danh sách ACL cuối cùng hay chưa vì khi cấu hình ACL ta cấu hình nguyên danh sách địa chỉ cho phép hoặc là cấm nên cần phải so sánh cho hết danh sách đó Nếu là mục cuối cùng thì chuyển đến (8) ngược lại thì chuyển sang (7).s