Luận Văn Nghiên cứu và triển khai bảo mật hệ thống mạng với ACL trên Router

MỤC LỤC
LỜI CẢM ƠN i
MỤC LỤC ii
DANH MỤC CÈC TỪ VIẾT TẮT iv
DANH MỤC HÌNH VẼ v
DANH MỤC B ẢNG viii
MỞ ĐẦU 1
CHƯƠNG 1: TỔNG QUAN VỀ AN NINH MẠNG 3
1.1 GIỚI THIỆU VỀ AN NINH MẠNG 3
1.1.1 An ninh mạng là gì ? 3
1.1.2 Kẻ tấn công là ai ? 4
1.1.3 Lỗ hổng bảo mật 5
1.2 ĐÈNH GIÈ VẤN ĐỀ AN TOÀN, BẢO MẬT HỆ THỐNG MẠNG 6
1.2.1 Phương diện vật lê 6
1.2.2 Phương diện logic 6
CHƯƠNG 2: TỔNG QUAN VỀ ACL 9
2.1 GIỚI THIỆU ACL 9
2.1.1 Standard Access Control List 10
2.1.2 Extended Access Control List 15
2.1.3 Một số loại ACL khác 21
2.2 NGUYÊN LÝ HOẠT ĐỘNG CỦA ACL 24
2.2.1 Inbound 24
2.2.2 Outbound 25
2.2.3 Giới thiệu Wildcard Mask 26
2.2.4 So sánh giữa Subnet Mask và Wildcard Mask 28
CHƯƠNG 3: XÂY DỰNG MÔ HÌNH HỆ THỐNG VÀ TRIỂN KHAI CẤU
HÌNH ACL 29
3.1 TỔNG QUAN MÔ HÌNH HỆ THỐNG 29
3.2 PHÂN TÍCH MÔ HÌNH HỆ THỐNG 29
Trang ii








3.3 CẤU HÌNH STANDARD ACCESS CONTROL LIST 30
3.4 CẤU HÌNH EXTENDED ACCESS CONTROL LIST 39
3.5 CẤU HÌNH ACCESS CONTROL LIST TRÊN VLAN 49
3.6 TỔNG KẾT 55
3.6.1 Đánh Giá Mô Hình Hệ Thống 55
3.6.2 So Sánh Standard ACL Và Extended ACL 56
3.6.3 So Sánh ACL Trên Router Và ACL Firewall (ISA/TMG) 57
KẾT LUẬN 59
NHỮNG VẤN ĐỀ ĐẠT ĐƯỢC QUA ĐỀ T¬I 59
HẠN CHẾ 59
HƯỚNG PHÁT TRIỂN ĐỀ T¬I 60
T¬I LIỆU THAM KHẢO
NHẬN XÉT CỦA CÁN BỘ HƯỚNG DẪN
Trang iii








DANH MỤC CÈC TỪ VIẾT TẮT
Viết tắt Tiếng anh Tiếng việt
ACL Access Control List Danh sách điều khiển truy cập
AD Active Directory
Asymmetric Digital Đường thuê bao số bất đối
ADSL
Subscriber Line xứng
DOS Denial Of Services Từ chối dịch vụ
Enhanced Interior Getway
EIGRP Giao thức định tuyến EIGRP
Routing Protocol
FTP File Transfer Protocol Giao thức truyền file
Hyper Text Transfer
HTTP Giao thức truyền siêu văn bản
Protocol
Internet and Computing Tổ chức thước đo chuẩn quốc
IC3
Core Certification tế về thành thạo máy tính
Internet Control Message
ICMP Giao thức ICMP
Protocol
IP Internet Protocol Giao thức IP
LAN Local Area Network Mạng cục bộ
Open Systems
OSI M{ hunh tham chiếu OSI
Interconnection
OSPF Open Shortest Path First Giao thức định tuyến OSPF
Transmission Control Giao thức điều khiển lớp giao
TCP
Protocol vận
Transmission Control
TCP/IP Chồng giao thức TCP/IP
Protocol/Internet Protocol
UDP User Datagram Protocol Giao thức UDP
VLAN Virtual Local Area Network Mạng LAN ảo
Trang iv








DANH MỤC HÌNH VẼ
Số hiệu hình vẽ Tên hình vẽ Trang
Hình 1.1 Thống kê tội phạm Internet của tổ chức IC3 4
Hình 2.1 M{ hunh ví dụ Standard ACL 10
Hình 2.2 Nguyên lê hoạt động của Standard ACL 12
Hình 2.3 M{ tả ví dụ Standard ACL 15
Hình 2.4 M{ hunh ví dụ Extended ACL 16
Hình 2.5 Nguyên lê hoạt động của Extended ACL 18
Hình 2.6 M{ hunh hoạt động Dynamic ACL 22
Hình 2.7 Ví dụ về Reflexive ACL 23
Hình 2.8 Nguyên lê hoạt động Inbound 25
Hình 2.9 Nguyên lê hoạt động Outbound 26
Hình 2.10 M{ tả Wildcard Mask 27
Hình 3.1 M{ hunh tổng quan về hệ thống mạng 29
Hình 3.2 M{ hunh cấu hunh Standard ACL 30
Hình 3.3 Gói tin xuất phát từ máy Admin ip 192.168.3.10 31
Gói tin được gởi đến Router Sài Gòn và ACL
Hình 3.4 31
đang kiểm tra
Hình 3.5 Gói tin đã qua được Router Sài Gòn thành c{ng 32
Hình 3.6 Gói tin xuất phát từ May06 với ip 192.168.3.20 32
Hình 3.7 Gói tin đã bị chặn bởi cổng Fa0/0 33
Hình 3.8 Gói tin chặn đã được th{ng báo lại cho May06 33
Hình 3.9 Gói tin xuất phát từ máy Admin 34
Hình 3.10 Gói tin được cho phép vào Router Hà Nội 34
Hình 3.11 Gói tin đến máy chủ FTP thành c{ng 35
Hình 3.12 Gói tin xuất phát từ May06 35
Hình 3.13 Gói tin bị chặn tại Router Hà Nội 36
Hình 3.14 Gói tin th{ng báo bị chặn được gởi đến May06 36
Hình 3.15 Gói tin xuất phát từ May06 37
Hình 3.16 Gói tin đến Router Đà Nẵng 37
Trang v








Hình 3.17 Gói tin đã đến được đích thành c{ng 37
Hình 3.18 Cấu hunh Standard ACL tại Router Hà Nội 38
Hình 3.19 Xem thông tin ACL đã cấu hunh 38
Hình 3.20 Kiểm tra tại máy Admin 39
Hình 3.21 M{ hunh cấu hunh Extended ACL 39
Hình 3.22 Gói tin xuất phát từ site Sài Gòn 40
Hình 3.23 Gói tin bị Router Hà Nội chặn lại 41
Hình 3.24 Gói tin bị chặn được th{ng báo lại 41
Hình 3.25 Gói tin xuất phát từ May06 42
Hình 3.26 Gói tin lên đến Router Sài Gòn thu bị chặn lại 42
Hình 3.27 Gói tin th{ng báo bị chặn 43
Hình 3.28 Cấu hunh Extended ACL với Named 43
Cấu hunh chặn gói ping từ site Sài Gòn đến các
Hình 3.29 44
máy chủ
Hình 3.30 Show cấu hunh Extended ACL 45
Ping kh{ng thành c{ng từ Site Sài Gòn đến máy
Hình 3.31 45
chủ WEB
Hình 3.32 Site Sài Gòn truy cập WEB kh{ng được 46
Hình 3.33 Cấu hunh thêm một Rule cho phép truy cập WEB 47
Hình 3.34 Show cấu hunh ACL Extended 47
Hình 3.35 Site Sài Gòn đã truy cập thành c{ng 48
Hình 3.36 M{ hunh cấu hunh ACL trên VLAN 49
Hình 3.37 Kiểm tra th{ng tin VLAN tại Switch 3560 50
Hình 3.38 Ping từ VLAN 1 đến VLAN 2 50
Hình 3.39 Cấu hunh Extended ACL 51
Hình 3.40 Show cấu hunh ACL 51
Hình 3.41 Kiểm tra VLAN 1 ping đến VLAN 2 và VLAN 3 52
Cấu hunh cho phép VLAN 1 truy cập máy chủ
Hình 3.42 52
WEB tại VLAN 3
Hình 3.43 Kết quả khi VLAN 1 truy cập đến VLAN 3 53
Hình 3.44 VLAN 1 truy cập máy chủ FTP thành c{ng 53
Trang vi








Cấu hunh chặn VLAN 1 truy cập máy chủ FTP tại
Hình 3.45 54
VLAN 4
Kết quả VLAN 1 kh{ng thể truy cập máy chủ
Hình 3.46 54
FTP tại VLAN 4
Hình 3.47 Kết quả ping đến VLAN 4 và VLAN 3 55
Hình 3.48 Kết quả ping đến VLAN 2 và VLAN 1 55
Trang vii








DANH MỤC BẢNG
Số hiệu bảng Tên bảng Trang
1 So sánh subnet mask và wildcard mask 28
2 So sánh giữa Standard ACL và Extended ACL 56
3 So sánh giữa ACL Router và ACL Firewall mềm 57
Trang viii








Nghiên cứu và triển khai bảo mật hệ thống mạng với ACL trên Router
MỞ ĐẦU
Để có thể hiểu rõ về đề tài này hơn thu dưới đky là các mục cơ bản nhất giúp ta có
thể biết được mục tiêu cũng như phương hướng đi của đề tài.
 Lê do chọn đề tài
Nói đến bảo mật thu người ta phkn thành 2 thành phần bảo vệ: bảo mật lớp thấp
và bảo mật lớp cao. Trong m{ hunh OSI lớp thấp bao gồm: lớp vật lê, lớp liên kết dữ
liệu và lớp mạng. Lớp cao bao gồm: lớp vận chuyển, lớp phiên, lớp trunh diễn và cuối
c ng là lớp ứng dụng.
Hiện nay, các doanh nghiệp chỉ chú trọng bảo mật ở lớp cao và kh{ng quan tkm
đến việc bảo mật ở các lớp thấp. Mà đa số các cuộc tấn c{ng phổ biến thu lại rơi vào ở
lớp thấp nên hệ thống mạng chưa được bảo mật tốt. Chính vu yếu tố này nên em đã
chọn đề tài tốt nghiệp về ACL để bảo mật hệ thống mạng một cách hoàn chỉnh nhất.
 Mục đích nghiên cứu
Nắm rõ nguyên lê hoạt động chung của ACL và các lệnh cấu hunh cơ bản. Từ
đấy mới mở rộng dần dần ra, có thể hiểu được nguyên lê hoạt động của một firewall
và quy tắc chung khi thiết kế một hệ thống mạng.
 Đối tượng và phạm vi nghiên cứu
 Đối tượng: Các doanh nghiệp và c{ng ty.
 Phạm vi nghiên cứu: M{ hunh giả lập.
 Phương pháp nghiên cứu
 Thu thập th{ng tin và phkn tích các tài liệu, th{ng tin liên quan đến ACL.
 Chắc lọc các th{ng tin cần thiết.
 Từ đấy mới so sánh ACL trên Router và Firewall (mềm).
 Xky dụng m{ hunh hệ thống tổng quan và demo cấu hunh ACL.
 Kiểm tra thử, đánh giá và rút ra kết luận.
 Ý nghĩa khoa học và thực tiễn của đề tài
 Ý nghĩa khoa học: Tum hiểu về ACL dựa trên những tài liệu đã được chuẩn
hóa thẩm định.
Đặng Hữu Quốc Nhkn - CCMM03A Trang 1










 Thực tiễn: Áp dụng rộng rãi với các doanh nghiệp và c{ng ty. Với ACL thu
nó có thể ngăn chặn được rất nhiều cuộc tấn c{ng từ bên trong mạng. Đấy
là mối nguy hiểm tiềm tàng mà rất ít doanh nghiệp hay c{ng ty biết đến để
phòng tránh.
Đấy là những gu c{ đọng nhất trong đề tài này muốn đề cập đến.