TRƯỜNG ĐẠI HỌC KỸ THUẬT CÔNG NGHỆ CẦN THƠ KHOA CÔNG NGHỆ THÔNG TIN LỚP HỆ THỐNG THÔNG TIN K1  Đề tài: AN TỒN CHO ROUTER MƠN HỌC: AN TỒN CÁC HỆ THỐNG THƠNG TIN GVHD: TS Nguyễn Thanh Bình Sinh viên thực hiện: Tăng Văn Út Tới - MSSV: 1350250 Nguyễn Thúy Anh- MSSV:1350189 Đào Thị Anh Thư- MSSV: 1350253 Cần Thơ, tháng 10 năm 2015 MỤC LỤC Trang I Giới thiệu Router 2 Tấn công Router Bảo vệ Router .3 II Các biện pháp an toàn Router 1.Password truy nhập Access List .6 2.1 Giới thiệu 2.2 Cấu hình Standard ACL Secure Shell 3.1 Giới thiệu 3.2 Cách thức làm việc đặc điểm 3.3 Cấu hình SSH .9 III Tám bước để bảo vệ Router 12 Tài Liệu Tham Khảo 13 I GIỚI THIỆU: Router: Router thiết bị định tuyến hay định tuyến hoạt động tầng thứ mơ hình OSI-tầng mạng Router giúp tìm đường tốt cho gói tin từ trạm gửi thuộc mạng đầu đến trạm nhận thuộc trạm cuối Router dùng liên mạng có nhiều vùng vùng có giao thức riêng biệt xác định đường an toàn tốt mạng nên độ an tồn thơng tin đảm bảo Trong mạng phức hợp gói tin luân chuyển đường gây nên tình trạng tắc nghẽn mạng, Router cài đặt phương thức nhằm tránh tắc nghẽn Cisco Router Tấn công Router: Ngày với phát triển công nghệ thông tin mạng Internet, hình thức cơng vào thiết bị modem, router ngày phổ biến tinh vi Router mục tiêu công sau đây: - DoS (Denial of Service) công từ chối dịch vụ hay DDoS (Distributed Denial of Service) công dịch vụ phân tán: nỗ lực làm cho người dùng sử dụng tài nguyên máy tính Mặc dù phương tiện để tiến hành, động cơ, mục tiêu công từ chối dịch vụ khác nhau, nói chung gồm có phối hợp, cố gắng ác ý người hay nhiều người để trang, hay hệ thống mạng sử dụng, làm gián đoạn, làm cho hệ thống chậm cách đáng kể với người dùng bình thường, cách làm tải tài nguyên hệ thống Tấn công DDos - - Malware-các phần mềm độc hại: loại phần mềm máy tính tin tặc hacker cài vào nhằm gây hại cho máy tính để dễ dàng lấy tài nguyên, thông tin bạn, tin tặc thơng qua Router để đưa Malware vào máy tính bạn Ngồi ra, Router cịn phải chịu cơng theo dạng như: bẻ khóa password, sniffing… Bảo vệ Router: - - II Router xác định đường an toàn tốt mạng nên độ an tồn thơng tin đảm bảo thiết bị khác, router cài đặt phương thức nhằm tránh tắc nghẽn Chính nên Router sử dụng phổ biến hộ gia đình, cơng ty hay tập đồn… Ngày nay, cạnh tranh tập đoàn trở nên khắc nghiệt hơn, để giành lợi ích kinh tế, trị, đối thủ “khơng từ thủ đoạn” công nhằm biết thông tin mật Tương tự, tính chủ quan mà hộ gia đình, tin tặc cơng để lấy thông tin quan trọng bạn nhằm tống tiền, trục lợi Chính vậy, bảo vệ thiết bị kết nối vô cần thiết để đảm bảo thông tin bạn ln an tồn bảo mật CÁC BIỆN PHÁP AN TOÀN ROUTER: Password truy nhập: Router có hai chế độ để truy nhập: chế độ người dùng (user mode) chế độ đặc quyền (privileged mode) Với user mode mode kết nối với Router, kiểm tra kết nối khơng có quyền thay đổi cấu hình thiết bị Cịn với Privileged mode cho người dùng tồn quyền thay đổi cấu hình cho Router Với truy cập qua cổng console Telnet, bạn thiết lập loại password Loại thứ password đăng nhập, cho phép user mode Sau truy cập vào Router, người dùng chuyển sang chế độ privileged cách nhập password phù hợp - Truy cập Console: Console thiết bị đầu cuối gắn trực tiếp với router qua cổng console Việc bảo mật áp dụng với console cách buộc người dùng xác nhận thân qua password Theo mặc định, khơng có password kèm với console access Bạn thiết lập password cho chế độ nonprivileged cách đánh dòng lệnh sau vào file cấu hìnhcủa router Password phân biệt chữ hoa, chữ thường + Lệnh đặt password chế độ người dùng : Ví dụ: + chế độ privileged : - Lệnh đặt password + Tất password router xem lệnh xem cấu hình router chế độ pri vileged Nếu bạn có quyền truy cập chế độ privileged, bạn xem tất password dạng cleartext, theo mặc định Có cách để giấu cleartext password Lệnh password-encryption lưu password dạng mã hóa.Tuy nhiên, bạn quên password, để lấy lại quyền truy cập, bạn phải có quyền truy cập trực tiếp (physical access) router Lệnh mã hóa password router: Router(config)#service password-ecription Truy cập Telnet: Giống với Console, bảo mật với Telnet có người dùng xác nhận thân password cổng Telnet router coi thiệt bị đầu cuối "ảo" ( virtual terminal ) Có tối đa cổng dành cho virtual terminal (VTY) router , cho phép phiên làm việc Telnet đồng thời + Lệnh đặt password chế độ người dùng : Router (config-line)#line vty Router (config-line)#password cisco Router (config-line)#login + Lệnh đặt password chế độ privileged : Router (config)#enable password cisco - + Hạn chế truy cập Telnet địa IP cụ thể bạn muốn IP định dùng Telnet truy cập router, bạn phải dùng lệnh access-class nn in để xác định danh sách truy cập (từ đến 99) Truy cập Simple Network Management Protocol (SNMP) + SNMP phương pháp khác dùng truy cập router Với SNMP, bạn thu thập thơng tin hay cấu hình routers Thu thập thông tin với thông điệp get-request getnext-request, cấu hình routers với thơng điệp setrequest + Chuỗi SNMP dùng để xác nhận thông tin gửi manager agent + Chế độ User mode: Dùng từ khóa RO lệnh snmp-server community để cung cấp truy cập user mode tới Router qua SNMP Lệnh cấu hình sau làm agent Router cho phép thông điệp SNMP get-request get-next-request, gửi với community string "public" : snmp-server community pubic RO Ví dụ : hosts 1.1.1.1 2.2.2.2 phép truy cập user mode tới router qua SNMP: Router (config-line)#access-list permit 1.1.1.1 Router (config-line)#access-list permit 2.2.2.2 Router (config-line)#snmp-server community public RO + Chế độ Privileged mode: Sử dụng từ khóa RW lệnh snmp-server community để cung cấp truy cập privileged tới router qua SNMP Lệnh sau khiến agent router cho phép thông điệp SNMP set-request, gửi với community string "private" : snmp-server community private RW ví dụ: có hosts 5.5.5.5 6.6.6.6 phép truy cập privileged tới router qua SNMP : Router (config-line)#access-list permit 5.5.5.5 Router (config-line)#access-list permit 6.6.6.6 Router (config-line)#snmp-server community private RW Danh sách điều khiển truy nhập- Access List(ACL): 2.1 Giới thiệu: - Một phương pháp bảo vệ áp dụng phổ biến Router ACL ACL cho phép hay ngăn chặn địa IP qua router Chức ACL tích hợp sẵn Router, kích hoạt hoạt động tường lửa Sử dụng ACL giúp quản lý traffic qua cổng Router hỗ trợ mức độ bảo mật cho truy cập mạng thể việc lọc gói tin qua Router - ACL có loại chính: Standard ACL Extented ACL • Standard ACL: loại ACL đơn giản nhất, hoạt động lọc gói tin dựa vào địa nguồn gói tin • Extented ACL: hoạt động lọc gói tin ngồi dựa vào địa nguồn cịn dựa vào địa đích, số cổng nguồn, số cổng đích Vì Extented ACL lọc gói tin linh hoạt 2.2 Cấu hình Standard ACL: cách sử dụng cơng cụ Cisco Packet Tracer • Bước 1: chuẩn bị mơ hình Router hình vẽ với cấu hình địa IP 192.168.1.X 192.168.2.X Ta cấu hình ACL để cấm PC1 qua PC2 • Bước 2: Dùng lệnh Access-List gọi chọn chế độ IP Standard access list, chọn số từ đến 99 tùy ý • Bước 3: Sau chọn số, xổ danh sách gồm lựa chọn, deny,permit remark Trong đó: + Deny permit: gói tin thỏa mãn điều kiện ACL gói tin bị hủy hay cho phép qua + Remark: dùng để miêu tả, thích cho ACL Ở ta chặn khơng cho PC1 đến PC0, sau dùng lệnh permit any PC lại phép qua PC0 • Bước 4: Cấu hình interface cho cổng Out hay In tùy theo hướng PC Ở đây, đặt tên cho access-list • Bước 5: Kiểm tra lại cách gửi đoạn thông điệp, ta thấy, Router cho phép PC2 đến PC0, cịn PC1 khơng đến PC0 Secure Shell-SSH: 3.1Giới thiệu: - - Secure Shell –SSH chương trình tương tác máy chủ Server máy khách Client có sử dụng chế mã hóa đủ mạnh nhằm ngăn chặn tượng nghe trộm, đánh cắp thông tin đường truyền SSH biện pháp hữu hiệu bảo mật liệu đường truyền từ hệ thống sang hệ thống khác SSH hoạt động tốt có tính bảo mật cao Khi thiết lập kênh đường truyền mã hóa máy tính với Router, kẻ đánh khó cơng SSH cài đặt Router kiểm soát truy cập vào mạng đến máy tính hay laptop Đối với Router có tích hợp chế độ phát Wifi, thiết lập SSH, bạn truy cập an toàn vào Internet đâu quán cà phê, trường học… 3.2 Cách thức làm việc đặc điểm: - - SSH làm việc thông qua bước: + Định danh host: xác định định danh hệ thống tham gia phiên làm việc SSH + Mã hóa: thiết lập kênh làm việc mã hóa + Chứng thực: xác thực người sử dụng có quyền đăng nhập hệ thống (user/pass) Đặc điểm SSH: + Tính bí mật liệu thơng qua việc mã hóa mạnh mẽ + Tính tồn vẹn thơng tin truyền, đảm bảo chúng không bị biến đổi + Chứng minh xác thực chứng để nhận dạng bên gửi bên nhận + Giấy phép dùng để điều khiển truy cập đến tài khoản + Kiểm tra truy cập đến Router 3.3 Cấu hình SSH Router Cisco :bằng cách sử dụng cơng cụ Cisco Packet Tracer: Ta có mơ hình Router đơn giản đây: Cấu hình SSH thực qua bước • Bước 1: đặt tên cho Router 10 • Bước 2: đặt Domain name, để đảm bảo khu vực router khơng thể bị trùng Domain name • 3: tạo User name Password Ở bạn nên chọn secret cho user bạn an tồn • Bước 4: Tạo Crypto Key, sau chọn Crypto Key Generate rsa 11 Bước Crypto key hỏi bạn cần bits để mã hóa, số nhiều độ an toàn cao CPU hoạt động nhiều,ở chọn 1024 • Bước 5: Input SSH 12  III Chạy SSH: Tám bước để bảo vệ Router: Điều khiển việc truy cập đến router: Việc áp dụng vài quy tắc để hạn chế tất việc truy cập từ bên đến số cổng router Bạn khóa tất cổng để chống lại công thăm dò Hạn chế truy nhập Telnet: 13 Telnet giao thức an tồn, việc truyền thơng tin khơng mã hóa thực bạn muốn dùng hạn chế tất việc truy cập đến Bạn nên thay Telnet cách sử dụng SSH, thơng tin mã hóa an tồn Khóa gói tin xấu Hạn chế hay vơ hiệu hóa SNMP SNMP (Simple Network Management Protocol) tập hợp giao thức dùng đề quản lý trao đổi thông tin thiết bị mạng Ở chế độ user mode, thông điệp SNMP để lấy thơng tin Router bạn Cịn Privileged mode cho phép người dùng gửi thông điệp SNMP để thay đổi cấu hình trạng thái hoạt động router Mã hóa tất mật Vô hiệu loại bỏ ứng dụng không dùng đến: để tránh cho tin tặc lợi dụng lỗ hỏng xâm nhập vào Router Thêm vài tùy chọn bảo mật: - Disable source routing - Disable Proxy Arp - Disable ICMP redirects - Disable Multicast route Caching - Disable CDP - Disable direct broadcast (protect against Smurf attacks) Ghi nhớ thứ: bạn cần ghi lại thứ Log Server bên theo dõi thường xuyên cập nhật chúng TÀI LIỆU THAM KHẢO http://luanvan.net.vn/luan-van/do-an-mang-lan-va-cac-phuong-phap-bao-mat2 28156/ http://www.slideshare.net/NamPhmHoi1/cu-hnh-router-c-bncisco http://www.netone.com.vn/Trangchu/Hotrokythuat/Kienthuccanban/tabid/366/arid /1380/Default.aspx https://www.youtube.com/watch?v=r4u_uV315M4 https://www.youtube.com/watch?v=2khdWphBB4A 14 ...Trang I Giới thiệu Router 2 Tấn công Router Bảo vệ Router .3 II Các biện pháp an toàn Router 1.Password truy nhập Access... III Tám bước để bảo vệ Router 12 Tài Liệu Tham Khảo 13 I GIỚI THIỆU: Router: Router thiết bị định tuyến hay định tuyến hoạt động tầng thứ mơ hình OSI-tầng mạng Router giúp tìm đường... nghẽn mạng, Router cài đặt phương thức nhằm tránh tắc nghẽn Cisco Router Tấn công Router: Ngày với phát triển công nghệ thông tin mạng Internet, hình thức cơng vào thiết bị modem, router ngày