Trường ĐH Công Nghệ Thông Tin Router & Access Control Lists Mục Lục A. Tổng quan an ninh mạng Cisco 1. Xác thực và chứng thực Để có được quyền truy cập và kiểm soát router thì phải có được sự chứng thực và cấp phép: o Chứng thực là xác định người dùng, cho phép hoặc từ chối đăng nhập o Cấp phép là xác định quyền truy cập Router cisco có 2 loại xác thực chính là AAA và non-AAA, AAA là viết tắt của (authentication, authorization, accounting) o Bạn đã được giới thiệu về các phương pháp truy cập là console, auxiliary, VTY, nó được xem là phương pháp truy cập non-AAA. Nói cách khác non-AAA được gọi là thiết bị truy cập điều khiển hệ thông điều khiển truy cập hay gọi tắt là TACACS sử dụng username và password để xác thực o AAA gồm RADIUS và Kerberos. Là phương pháp cung cấp đầy đủ các yêu cầu của viêc xác thực, chứng thực và ủy quyền 2. Cấu hình mật khẩu truy cập Bởi vì có nhiều phương thức truy cập vào router, để bảo mật bạn phải tạo các khóa tại các điểm truy cập. Dòng đầu tiên của việc bảo vệ là cung cấp mật khẩu cho các hình thức truy cập Thiết lập password cho console mode: Bởi vì kết nối qua cổng console là truy cập trực tiếp, nên phải có mật khẩu mạnh mẽ. nó thường được tạo ra trong quá trình cài đặt router. Để thiết lập password cho cổng console bạn cần nhập cấu hình ở chế độ Terminal và sau đó nhập dòng lệnh console 0 Router#config terminal Router(config)#line console 0 Router(config-line)#login Router(config-line)#password l3tm3!n Router(config-line)#^Z Router# Thiết lập password cho enable mode: Cũng tương tự như thiết lập password cho console mode, có 2 điểm khác nhau là chuẩn enable password và enable secret password. Enable secret password được ưu tiên hơn vì enable secret password được mã hóa và không được đọc trong router Nhóm 10 Trang 1 Trường ĐH Công Nghệ Thông Tin Router & Access Control Lists Router#config terminal Router(config)#enable secret p@55w0rd Router(config)#login Router(config)#^Z Router# Thiết lập password cho VTY mode: Cũng tương tự như console password, nhưng VTY có 5 cổng nên khi thiết lập password bạn phải chỉ rõ là thiết lập password cho 1 cổng hay cho tất cả. Thiết lập cho cổng VTY đầu tiên Router#config terminal Router(config)#line vty 0 Router(config-line)#login Router(config-line)#password l3tm3!n Router(config-line)#^Z Router Thiết lập password cho tất cả các cổng VTY Router#config terminal Router(config)#line vty 0 4 Router(config-line)#login Router(config-line)#password l3tm3!n Router(config-line)#^Z Router Cấu hình password : thiết lập cho console password là ACC3$$, VTY password là +3ln3+. 3. Tạo tài khoản người dùng Thông thường không nên tạo tài khoản sử dụng cho từng cá nhân trên router, vì khi bạn tạo thêm một tài khoản thì tài khoản sẽ được cấp cho mức độ khác về điều khiển và truy cập router: Router#configure terminal Router(config)#line console 0 Router(config-line)#login Router(config-line)#password ACC3$$ Router(config-line)#^Z Nhóm 10 Trang 2 Trường ĐH Công Nghệ Thông Tin Router & Access Control Lists Router# Router#configure terminal Router(config)#line vty 0 4 Router(config-line)#login Router(config-line)#password +3ln3+ Router(config-line)#^Z Router# Tạo tài khoản cho nhiều người quản lý router : Router#configure terminal Router(conf)#username Auser password u$3r1 Router(conf)#username Buser password u$3r2 Router(conf)#username Cuser password u$3r3 Router(conf)#username Duser password u$3r4 Router(conf)#^Z Router# 4. Tạo tiêu đề Để có password riêng trên router, bạn phải tạo tiêu đề cảnh báo. Tiêu đề cảnh báo có 4 chức năng: o Không cung cấp thông tin hoặc kỹ thuật cho kẻ tấn công sử dụng o Hệ thống thông báo chấp dứt đăng nhập o Xác định người dùng không được ủy quyền của hệ thống o Ngăn chặn và bảo vệ người quản trị thiết bị Warning!!! This system is designed solely for the authorized users of Company X on official business. Users of this system understand that there is no expectation of privacy, and that use of the system may be monitored and recorded. Use of this system is consent to said monitoring and recording. Users of this system acknowledge that if monitoring finds evidence of misuse, abuse, and/or criminal activity, that system operators may provide monitoring and recording data to law enforcement officials. Tạo tiêu đề cisco Nhóm 10 Trang 3 Trường ĐH Công Nghệ Thông Tin Router & Access Control Lists Router Cisco có sẵn một số tiêu để: o Tiêu đề MOTD dùng để cài đặt thông thông điệp cho ngày, bạn không muốn cài đặt tiêu đề cảnh báo mỗi ngày và lo ngại về việc quên một ngày thì MOTD được dùng để gửi thông báo cho người dùng, chẳng hạn như hệ thống tắt để update o Tiêu đề login là tiêu đề đặt khi đăng nhập, tiêu đề này được thiết lập trong cấu hình Terminal mode, và được phân cách bởi một ký tự ở lúc bắt đầu và lúc kết thúc, ví dụ dùng chữ C là dấu phân cách cho login banner Router#configure terminal Router(config)#banner login C Warning!!! This system is designed solely for the authorized users of Company X on official business. Users of this system understand that there is no expectation of privacy, and that use of the system may be monitored and recorded. Use of this system is consent to said monitoring and recording. Users of this system acknowledge that if monitoring finds evidence of misuse, abuse, and/or criminal activity, that system operators may provide monitoring and recording data to law enforcement officials. C Router(config)#^Z Router# o Tiêu đề EXEC sử dụng thông báo cho người dùng nhập EXEC hoặc là chế độ đặc quyền. bạn có thể tao một tiêu đề mới là một tiêu đề cảnh báo hoặc bất cứ gì mà bạn thích. Cách thiết lập giống như là tiêu đề login nhưng chỉ khác lệnh banner EXEC so với banner login. Ví dụ tạo tiêu đề EXEC với dấu phân cách là # Router#configure terminal Router(config)#banner exec # Reminder!!! When you logged into this system, you acknowledged that you are an authorized user of Company X systems. You also acknowledged that your use of this system may be monitored and recorded. Finally, you agreed that if misuse, abuse, and/or criminal activity are found while monitoring, that law enforcement officials may be contacted. Router(config)#^Z Nhóm 10 Trang 4 Trường ĐH Công Nghệ Thông Tin Router & Access Control Lists Router# 5. SSH Mặc dù nhiều người quản trị thường dùng Telnet nhưng về bảo mật thì nó không thật sự mạnh mẽ vì nó không được mã hóa, tất cả lệnh và câu trả lời được đọc ở dạng cleartext bằng cách bắt gói tin SSH là vỏ bọc an toàn cung cấp mức độ cao hơn về bảo mật cho việc truy cập router từ xa, sử dụng mã khóa thông dụng RSA, SSH thiết lập kênh mã hóa cho thông tin giữa client và server Những IOS của Cisco phiên bản cũ không hỗ trợ SSH như là 11.2, 11.3 nhưng phiên bản 12.0(5) với IPSEC và hỗ trợ cả SSH, chỉ phiên bản nào có IPSEC thì mới hỗ trợ SSH Để thiết lập SSH phải chuẩn bị một số thứ như là router phải xác định được username, hostname và phải thiết lập domainame 6. Cấu hình SSH cho Router Sử dung ACL điều khiển truy cập VTY, ACL được dùng để điều chỉnh truy cập của các đối tượng trên router Ví dụ dưới đây, ACL 23 sử dụng để xác định host nó được phép truy cập router dưới quyền một nhà quản trị, hostname đơn giản là router, domainname là scp.mil, usename là SSHUser và password là No+3ln3+. Router#configure terminal Router(config)#ip domain-name scp.mil Router(config)#access-list 23 permit 192.168.51.45 Router(config)#line vty 0 4 Router(config-line)#access-class 23 in Router(config-line)#exit Router(config)#username SSHUser password No+3ln3+ Router(config)#line vty 0 4 Router(config-line)#login local Router(config-line)#exit Router(config)# Cấu hình router được đóng lại để kết thúc nhưng bạn phải mở RSA để nhận cặp khóa và sử dụng, cần một ít thời gian để tạo ra cặp khóa. Ví dụ dòng lệnh tạo ra một cặp mã khóa RSA với 1024 bit Router#configure terminal Router(config)#crypto key generate rsa The name for the keys will be: Router.scp.mil Choose the size of the key modulus in the range of 360 to 2048 Nhóm 10 Trang 5 Trường ĐH Công Nghệ Thông Tin Router & Access Control Lists for your General Purpose Keys. Choosing a key modulus greater than 512 may take a few minutes. How many bits in the modulus [512]: 1024 Generating RSA keys [OK] Router(config)# Giờ thì có thể cho SSH chạy trên router được rồi, bạn cần cấu hình cho những client sử dụng SSH Sau đây là cấu hình xác định thời gian chờ, server sẽ chờ để client cung cấp password, mặc định là 120 giây và thời gian đề nghị của cisco là 90 giây, trong ví dụ này ta thay nó còn 45 giây Router#configure terminal Router(config)#ip ssh timeout 45 Router(config)#^Z Router# Tiếp theo là xác định số thử lại cho tước khi ngắt kết nối router. Mặc định thiết lập là 3 tối đa là 5, thiết lập này hiếm khi thay đổi nhưng dưới đây ta thay nó thành 2, sau khi thử xong thì kết nối sẽ ngắt Router#configure terminal Router(config)#ip ssh authentication-retries 2 Router(config)#^Z Router# Cuối cùng là cấu hình VTY trên router cho phép hoạt động cả telnet và SSH. Nếu bạn muốn chỉ sử dụng SSH thì không nhập chử telnet trong lệnh Router#configure terminal Router(config)#line vty 0 4 Router(config-line)#transport input ssh telnet Router(config-line)#^Z Router# Kiểm tra Trên router, bạn muốn chạy một số lệnh để tìm ra người kết nối và kết nối như thế nào, các lệnh đó sẽ hiển thị trạng thái kết nối SSH của bạn, có nhiều khác nhau giữa các phiên bản IOS, làm theo các bước sau Nhóm 10 Trang 6 Trường ĐH Công Nghệ Thông Tin Router & Access Control Lists Nếu bạn chạy IOS 12.1, bạn muốn thấy trạng thái kết nối SSH và user kết nối, dùng lệnh show ip ssh Router#show ip ssh Connection Version Encryption State Username 0 1.5 3DES 4 SSHUser Router# Nếu bạn chạy IOS 12.2, có 2 lệnh để xem thông tin SSH. Một là sử dụng Show ip ssh nó sẽ hiển thị danh sách chi tiết về thời gian chờ và phiên bản. Thứ 2 là dùng lệnh Show ssh hiển thị tên user. Router#show ip ssh SSH Enabled - version 1.5 Authentication timeout: 45 secs; Authentication retries: 2 Router#show ssh Connection Version Encryption State Username 0 1.5 3DES Session S tarted SSHUser Router# 7. Cấu hình SSH cho Client Cần cấu hình SSH ở cả server và client, cấu hình ở client không phức tạp. nói chung là bạn phải cài đặt và cấu hình để sử dụng ứng dụng này trên router. Có nhiều chương trình sử dụng để cài dặt SSH client. Trong ví dụ này dùng chương trình PuTTY. Nhóm 10 Trang 7 Trường ĐH Công Nghệ Thông Tin Router & Access Control Lists Khi cấu hình, bạn phải cho biết mã hóa mình sử dụng, bạn chọn RSA. Bổ sung thêm, bạn cần cho biết username và password. Bạn đã có được bảo mật và hoạt động của nó cũng không khác gì Telnet. B. Nguyên tắc định tuyến 1. Tiến trình ARP Mọi người đã nhận thấy chức năng của router ở tầng NETWORK, router còn hoạt động tốt trên tầng DATA LINK Mô hình OSI là nền tảng cho mô hình mạng, router cũng như các thiết bị khác, chức năng chính là ở tầng Network. Toàn bộ nội dung được chứa ở tầng Network nhưng vẫn có nhiều phần quan trọng ở tầng Data Link Địa chỉ MAC được chia làm 2 phần, mỗi phần chứa 6 số hệ thập lục phân. Phần thứ nhất là 6 số đại điện cho mã nhà cung cấp hay là OUI (Organization Unique identifier), phần thứ 2 là 6 số bên trái định nghĩa bởi nhà cung cấp sử dụng làm số serial. ARP(RFC 826) dùng tạo kết nối giữa tầng 2 và tầng 3 trong mô hình OSI, ví dụ sau dữ liệu di chuyển từ host tới máy khách. Ví dụ dữ liệu đi từ Node1 tới Node2 trên phân đoạn mạng đi qua các bước: - Node1 gửi broadcast trên mạng gửi địa chỉ tầng Data Link cho Node2 Nhóm 10 Trang 8 Trường ĐH Công Nghệ Thông Tin Router & Access Control Lists - Khi Node1 gửi 1 broadcast thì các Node khác trên mạng đều nhân được và sẽ loại bỏ khi biết là không phải gửi cho mình - Node2 nhân thông báo yêu cầu địa chỉ MAC và gửi địa chỉ MAC ở địa chỉ tầng Data Link . node2 lưu lại địa chỉ MAC của Node1 - Node1 nhận được gói từ địa chỉ tầng Data Link của Node2 2. quá trình định tuyến Lan-to-Lan Quá trình truyền dữ liệu từ máy chủ đến các máy khác trong mang Lan-to- Lan thì không quá phức tạp, ví dụ sau một router kết nối 2 mạng, xác địn 2 host trên mạng sử dụng Tcp/IP Nhóm 10 Trang 9 Trường ĐH Công Nghệ Thông Tin Router & Access Control Lists Trong ví dụ trên ta thấy 2 mạng cùng kết nối qua 1 router, đã cho sẵn giao diện Ethernet và địa chỉ IP. Node7 muốn có được một gói tín từ Node10, định tuyến từ router - Node7 có IP nguồn là 10.0.10.115 và địa chỉ MAC là node7 điểm đến có địa chỉ IP là 20.0.20.207 và điểm đến địa chỉ MAC vẫn chưa biết - Khi router nghe được yêu cầu cho địa chỉ MAC từ host 20.0.20.207, nó sẽ trả lời cho node7 địa chỉ MAC , sau đó node7 sẽ gửi gói tin qua router điểm đến của địa chỉ IP là 20.0.20.207 và địa chỉ MAC của giao diện E0 cho router - Mỗi lần router nhận được gói tin, nó sẽ gửi broadcast cho địa chỉ MAC của 20.0.20.207 từ địa chỉ IP là 10.0.10.115 với địa chỉ MAC nguồn của router và điểm đến địa chỉ MAC là node10. Node10 nhận gói tin và trả lời như bước trên. 3. quá trình định tuyến Lan-to-Wan Nhóm 10 Trang 10 [...]... trên mạng nhỏ Nhóm 10 Trang 13 Trường ĐH Công Nghệ Thông Tin Router & Access Control Lists - Giảm băng thông - Giảm tải router vì không cần tính toán tìm đường đi Cấu hình định tuyến như hình trên : MarketingRouter#config terminal MarketingRouter(config)#ip route 10.0.10.0 255.255.255.0 20.0.20.1 MarketingRouter(config-line)#^Z MarketingRouter# FinanceRouter#config terminal FinanceRouter(config)#ip route... Server o IdentD protocol Nhóm 10 Trang 31 Trường ĐH Công Nghệ Thông Tin Router & Access Control Lists o Network Time Protocol (NTP) o Packet Assembler and Disassembler (PAD) o Source Routing o Small Servers (both TCP and UDP) D Access Control Lists Access Control Lists (ACL) là một danh sách các câu lệnh được đặt vào các cổng (interface) của router Danh sách này chỉ ra cho router biết loại packet nào được... Nghệ Thông Tin Router & Access Control Lists Để các router có thể trao đổi dữ liệu thì phải có sự liên lạc với nhau, các router kết nối với nhau bằng địa chỉ logic, router phải có cách xác định mạng để truyền dữ liệu, dùng broadcast để việc truyền dữ liệu được nhanh hơn Router sẽ sử dụng thông tin kết nối gồm loại mạng và băng thông để xác định định tuyến như ví dụ trên router nói là để gói tin đi từ... router A và router B sẽ chia sẽ bảng định tuyến trên phân đoạn mạng giữa chúng Ra giao diện E2 của router A và giao diện E0 của router B Khi router nhận được cập nhật sẽ thêm thông tin mới vào router Thuật toán thêm một hop đến số lượng hop của mỗi hop phải đi qua để đến đích Hình 3-11 trình bày bảng định tuyến căn bản bao gồm các hop Nhóm 10 Trang 18 Trường ĐH Công Nghệ Thông Tin Router & Access Control. .. lệnh là Distance Vector và Link-State Bất kể sử dụng loại giao thức định tuyến nào thì nó đều là định tuyến động và tồn tại 2 chức năng: - Cập nhập router và bảng định tuyến phù hợp Nhóm 10 Trang 16 Trường ĐH Công Nghệ Thông Tin - Router & Access Control Lists Dự kiến cập nhật giữa các router Để thực hiện 2 tiến trình quan trọng đó thì phải theo các nguyên tắc sau: - Tần số cập nhật giữa các router -... Node7 tạo gói tin đi từ ip nguồn là 10.0.10.115 và điểm đến có địa chỉ ip là 50.0.50.150 và địa chỉ nguồn MAC của Node7 tới địa chỉ MAC của router mới nhận được Nhóm 10 Trang 11 Trường ĐH Công Nghệ Thông Tin Router & Access Control Lists 4 Router nhận được gói tin này sẽ không thay đổi địa chỉ ip nguồn và ip nhận, nó sẽ đóng gói gói tin thay đổi phù hợp như PPP hoặc Fram reply như ví dụ 5 Router đó tiếp... trợ Nhóm 10 Trang 25 Trường ĐH Công Nghệ Thông Tin Router & Access Control Lists Bước 4: Kiểm tra lại bảng CDP của routerA bằng lệnh show cdp neighbor hiện tại sẽ không thấy gì Bước 5: Tiến hành flood bảng CDP của routerA ,trên phần mềm yersinia nhấn phím x và chọn 1 để bắt đầu flood Nhóm 10 Trang 26 Trường ĐH Công Nghệ Thông Tin Router & Access Control Lists Quá trình flood bắt đầu diễn ra ,ta sẽ thấy... thay đổi và cấn được nâng cấp sự linh hoạt đó làm cho giao thức định tuyến động được yêu thích Nếu router đi đến một mạng nào đó thì các router còn lại sẽ cấu hình lại và tìm đường để dữ liệu này có thể đi đến mạng đó Như ví dụ sau: Nhóm 10 Trang 15 Trường ĐH Công Nghệ Thông Tin Router & Access Control Lists Trong trường hợp trên không tìm thấy hoạt động của 2 Finance router và router có sử dụng định... đề liên quan đến Rip, Ripv2 thì được giới thiệu như một giao thức định tuyến một lợi thế an ninh là có thể yêu cầu sử dụng xác thực cho cập nhật Rip, Nhóm 10 Trang 22 Trường ĐH Công Nghệ Thông Tin Router & Access Control Lists từ một quan điểm mạng cấu hình tương tự như Ripv1, như ví dụ trước sau đây là đoạn cấu hình trên 3 router sử dụng Ripv2 thay vì Ripv1 Sử dụng xác thực như là khóa và MD5 Sau... của các router gần nhau trên cùng một mạng việc thông qua các bảng định tuyến gọi là cập nhật đường đi giữa các router, trong trưởng hợp có sự thay đổi cấu trúc như là một router không hoạt động, thì cập nhật sẽ thông báo ngay cho các router khác biết Nhóm 10 Trang 17 Trường ĐH Công Nghệ Thông Tin Router & Access Control Lists Trong định tuyến vector khoảng cách, bảng định tuyến thông qua các router . Nghệ Thông Tin Router & Access Control Lists Mục Lục A. Tổng quan an ninh mạng Cisco 1. Xác thực và chứng thực Để có được quyền truy cập và kiểm soát router thì phải có được sự chứng thực và. Router & Access Control Lists Trong trường hợp trên không tìm thấy hoạt động của 2 Finance router và router có sử dụng định tuyến động. các router khác cấu hình lại và tìm đến các Finance router, . của router và điểm đến địa chỉ MAC là node10. Node10 nhận gói tin và trả lời như bước trên. 3. quá trình định tuyến Lan-to-Wan Nhóm 10 Trang 10 Trường ĐH Công Nghệ Thông Tin Router & Access