Báo cáo tiểu luận KIỂM THỬ GIẢI PHÁP AN NINH HẠ TẦNG MẠNG CỦA CISCO tập trung vào vấn đề áp dụng các hình thức kiểm thử vào giải pháp triển khai ACL trên thiết bị Cisco. Nội dung thực hiện: tổng quan về ACL, tổng quan về Firewall, tổng quan về chính sách theo vùng (Zonebased Firewall Policy) và thiết lập Demo cho mô hình thực nghiệm.
CƠ SỞ LÝ THUYẾT
Tổng quan về Access Control List (ACL)
1.1.1.Khái niệm về Access Control List (ACL)
ACL là một danh sách các câu lệnh được áp đặt vào các cổng (interface) của router Danh sách này chỉ ra cho router biết loại packet nào được chấp nhận (allow) và loại packet nào bị hủy bỏ (deny) Sự chấp nhận và huỷ bỏ này có thể dựa vào địa chỉ nguồn, địa chỉ đích hoặc chỉ số port.
1.1.2.Chức năng của Access Control List (ACL) :
Quản lý các IP traffic
Hỗ trợ mức độ cơ bản về bảo mật cho các truy cập mạng, thể hiện ở tính năng lọc các packet qua router
Xác định tuyến đường thích hợp cho DDR (dial-on-demand routing)
Thuận tiện cho việc lọc gói tin ip
Cung cấp tính sẵn sàn mạng cao
1.1.3.Phân loại Access Control List (ACL) :
Có 2 loại Access lists là: Standard Access lists và Extended Access lists
Standard (ACLs): Lọc (Filter) địa chỉ ip nguồn (Source) vào trong mạng – đặt gần đích
Extended (ACLs): Lọc địa chỉ ip nguồn và đích của 1 gói tin (packet), giao thức tầng
“Network layer header” như TCP, UDP, ICMP…, và port numbers trong tầng “Transport layer header” Nên đặt gần nguồn (source).
1.1.4.Chiều của lưu lượng được ACL kiểm soát :
Có 2 dạng chiều lưu lượng được áp dụng để kiểm soát : Inbound (lưu lượng từ trong ra ngoài) và Outbound (lưu lượng từ ngoài vào trong) :
Inbound ACLs : nói nôm na là 1 cái cổng vào(theo chiều đi vào của gói tin) trên Router những gói tin sẽ được xử lý thông qua ACL trước khi được định tuyến ra ngoài (outbound interface) Tại đây những gói tin sẽ “dropped” nếu không trùng với bảng định tuyến (routing table), nếu gói tin (packet) được chấp nhận nó sẽ được xử lý trước khi chuyển giao (transmission).
Outbound ACLs : là cổng đi ra của gói tin trên Router, những gói tin sẽ được định tuyến đến outbound interface và xử lý thông qua ACLs, trước khi đưa đến ngoài hàng đợi (outbound queue).
1.1.5.Cách thức hoạt động của Access Control List (ACL) :
ACL sẽ được thực hiện theo trình tự của các câu lệnh trong danh sách cấu hình khi tạo access-list Nếu có một điều kiện được so khớp (matched) trong danh sách thì nó sẽ thực hiện, và các câu lệnh còn lại sẽ không được kiểm tra nữa.Trường hợp tất cả các câu lệnh trong danh sách đều không khớp (unmatched) thì một câu lệnh mặc định “deny any” được thực hiện Cuối access-list mặc định sẽ là lệnh loại bỏ tất cả (deny all) Vì vậy, trong access-list cần phải có ít nhất một câu lệnh permit.
Khi packet đi vào một interface, router sẽ kiểm tra xem có một ACL trong inbound interface hay không, nếu có packet sẽ được kiểm tra đối chiếu với những điều kiện trong danh sách.
Nếu packet đó được cho phép (allow) nó sẽ tiếp tục được kiểm tra trong bảng routing để quyết định chọn interface để đi đến đích.
Tiếp đó, router sẽ kiểm tra xem outbound interface có ACL hay không Nếu không thì packet có thể sẽ được gửi tới mạng đích Nếu có ACL ở outbound interface, nó sẽ kiểm
1.1.6.Cách thức cấu hình Access Control List (ACL) trên thiết bị Cisco : Đối với Standard ACLs (ACL tiêu chuẩn) :
sử dụng số từ 1 -> 99 hay 1300 -> 1999
Cấu trúc lệnh : router(config)#access-list [#] [permit deny] [wildcard mask] [log]
Đặt ACL vào interface mình muốn quản lý lưu lượng qua nó : o router(config)#interface [interface-number] o router(config-if)#ip access-group [#] [in out] – interface access control Đối với Extended ACLs (ACL mở rộng) :
sử dụng số từ 100 -> 199 hay 2000 -> 2699.
Tạo ACL tại Global Config Mode : o router(config)#access-list [#] [permit deny] [protocol] [wildcard mask] [operator source port] [destination address] [wildcard mask] [operator destination port] [log] o router(config)#access-list [#] [permit deny] [protocol] [host] [host] [destination address][ lt, gt, neq, eq, range] [port number]
Áp access-list vào cổng : o router(config)#interface [interface-number] o router(config-if)#ip access-group [#] [in out] – interface access control
Hình 1 Các vị trí đặt của ACl trong trường hợp muốn kiểm soát các traffic từ 192.168.10.0/24 đến 192.168.30.0/24
Hình 2 Các dãy được sử dụng cho số định danh của các giao thức.
1.1.7.Các lệnh quản lý Access Control List (ACL)
Bảng các câu lệnh dùng để quản lý Access Control List
Nội dung thực hiện Câu lệnh thực hiện
Hiển thị tất cả ACLs đang sử dụng Router(config)#show running-config
Xem ACLs hoạt động trên interface nhất định Router(config)#show interface []
Xem những câu lệnh ACLs: Router(config)#show access-list []
Hiển thị tất cả ip ACLs: Router#show ip access-list
Xóa bộ đếm (to clear the counters use) router(config)#show access-list [ # ] router(config)#clear access-list counter [ # ]
Xóa Access list router(config)#no ip access-list [standard- extended][#] router(config)#interface [interface-number] router(config-if)#no access-list [#] [permit deny] [wildcard mask]
Tổng quan về tường lửa (Firewall)
1.2.1.Tổng quan về tường lửa
Một thiết bị giám sát và lọc các lưu lượng mạng đến (inconming) và ra (outcoming) dựa trên các chính sách
Có thể là thiết bị vật lý, phần mềm, một SaaS, các dạng cloud (public hay private)
1.2.2.Các tính năng nổi bật :
Quản lý bảo mật tập trung, Ngăn chặn mối đe dọa
Phân tích dựa trên Application và danh tính
Khả năng mở rộng nâng cao
1.2.3.Phân loại các dạng tường lửa
Unified Thread Management (UTF) Firewall.
1.2.4.Triển khai tường lửa trong hệ thống mạng :
Tường lửa được triển khai theo 3 dạng chính : dạng phân bổ thành mạng trong và ngoài; dạng phân chia 1 nhóm mạng tách biệt (DMZ) và dạng phân chia thành các vùng (Zones).
Hình 3 Mạng được phân chia thành mạng trong (inside network) và mạng ngoài (outside network).
Hình 4 Phân tách một lớp mạng khác độc lập (DMZ) với nhóm mạng nội bộ.
Hình 5 Phân loại theo chính sách dựa trên vùng (zone).
Tổng quan về chính sách theo vùng (Zone-based Firewall Policy)
1.3.1.Tổng quan về Zone-Based Policy
Zone là một nhóm các interface hoạt động cùng chức năng.
Thiết lập ranh giới bảo mật trong mạng.
Lưu lượng được kiểm soát bởi các chính sách khi đi qua vùng khác.
Chính sách kiểm tra (inspection policy) được áp dụng cho lưu lượng giữa các vùng
1.3.2.Các dạng hành động trong ZPF : Được phân chia thành 3 dạng hành động chính : Drop, Pass và Inspect
Drop : dạng hành động mặc định, chặn các lưu lượng theo yêu cầu.
Pass : cho phép lưu lượng di chuyển giữa các Router, chỉ áp dụng cho 1 chiều.
Inspect : thiết lâp Cisco IOS Statefule packet inspections Bộ định tuyến duy trì thông tin phiên cho lưu lượng TCP và UDP.
1.3.3.Quá trình thiết lập Zone-Based Policy trên thiết bị Cisco
Quá trình thực hiện bao gồm các bước như :
Tạo các vùng (Zones) theo yêu cầu.
Xác định các lưu lượng qua các vùng bằng class-map.
Thiết lập các hành động thực hiện với policy-map.
Xác định dạng zone-pair và gắn chúng vào một policy-map
Gán giá trị vùng cho các cổng mạng
Các câu lệnh sử dụng để xác thực quá trình thiết lập ZPF :
show run | begin class-map
show policy-map type inspect zone-pair sessions
show class-map type inspect
show policy-map type inspect
Hình 6 Quá trình thiết lập ZPF trên thiết bị Cisco.
QUÁ TRÌNH THỰC NGHIỆM
Mô hình
Hình 7 Mô hình cho bài thực hành Lab -03 – Các kĩ thuật triển khai trên tường lửa.
Các thiết bị sử dụng trong bài thực hành đóng vai trò của các đối tượng : máy của kẻ tấn công (Attacker hay Attack Machine, máy Kali Linux), máy của nạn nhân (Victim Machine, máy Ubuntu Server) và các thiết bị khác như Router (tích hợp tính năng tường lửa) và máy giám sát Zabbix Server
Các vai trò của các thiết bị
Máy Zabbix Server : cài đặt phần mềm Zabbix đóng vai trò giám sát máy Web Server thông qua giao thức SNMP.
Máy Web Server : cài đặt hệ điều hành Ubuntu Server 22.04, đóng vai trò là nạn nhân với dịch vụ dựng sẵn là Apache HTTP Server và truy cập từ xa SSH.
Máy Kali Linux : đóng vai trò là kẻ tấn công, thực hiện các hình thức tấn công vét cạn (brute-force) và khai thác thông tin (enumeration).
Thiết bị router Cisco 3725 : đóng vai trò là bộ định tuyến và thiết lập chức năng tường lửa là ACL để mô phỏng các giải pháp giảm thiểu rủi ro khi sử dụng Access Control List(ACL).
Bảng địa chỉ
Thiết bị Giao diện Địa chỉ IP Subnet Mask Default Gateway
F0/0 192.168.38.10 255.255.255.0F0/1 192.168.131.10 255.255.255.0Kali Linux NIC 192.168.38.130 255.255.255.0 192.168.38.10Zabbix Server NIC 192.168.131.15 255.255.255.0 192.168.131.10Web Server NIc 192.168.131.20 255.255.255.0 192.168.131.10
Mục tiêu
Bài thực hành được tổ chức và thực hiện các mục tiêu như :
Kiểm tra các kết nối giữa các thiết bị.
Tổ chức tấn công vét cạn và thu thập thông tin (ping sweep, dò port và thu thập thông tin từ SNMP)
Thiết lập các ACL để giảm nguy cơ các cuộc tấn công diễn ra.
Thử lại các hình thức tấn công đã nêu và kiểm tra kết quả.
Kịch bản
Đối với đề tài “Implementing Firewall Technologies”, tạm dịch là “Triển khai các công nghệ trên tường lửa”, cơ sở lý thuyết được xây dựng xung quanh các vấn đề như tổng quan về tường lửa và các công nghệ nâng cao tính bảo mật như áp dụng Access Control List (ACL) để kiểm soát các lưu lượng đến từ các nguồn và các chính sách dựa trên việc phân vùng (Zone).
Do nội dung chính của việc phân vùng là dựa trên chính sách về ACL để áp dụng cho một nhóm bao gồm nhiều các giao diện mạng nên nội dung bài thực nghiệm sẽ tập trung nhiều vào việc thiết lập các ACL để giảm thiểu các nguy cơ bị tấn công.
Bài thực hành thiết lập một mô hình đơn giản bao gồm cả 3 đối tượng : kẻ tấn công (máy Kali Linux), máy nạn nhân (máy Ubuntu Server), Router Cisco 3725 tích hợp tính năng ACL. Quá trình thực hiện dựa trên cả 2 mô hình lả mô hình khi chưa triển khai giải pháp ACL (mô hình không an toàn) và mô hình sau khi đã triển khai giải pháp ACL (mô hình an toàn). Đối với mô hình không an toàn, Router Cisco sẽ không được thiết lập các ACL Các bước thực hiện bao gồm :
Kẻ tấn công tổ chức tấn công bằng hình thức khai thác thông tin bằng sử dụng Nmap. Các thông tin khai thác được các cổng được mở : 22 (dịch vụ SSH), cổng 161 (sử dụng UDP cho dịch vụ SNMP) và cổng 80 (dịch vụ Web Server).
Đối với cổng 22 bằng dịch vụ SSH, kẻ tấn công có thể sử dụng hình thức vét cạn để dò tìm mật khẩu Trong phạm vi của bài thực hành thì nội dung của từ điển có chứa mật khẩu của tài khoản người dùng nên kẻ tấn công có thể chiếm quyền truy cập trái phép vào
Kẻ tấn công cũng có thể sử dụng hình thức Ping Sweep, tức gửi các gói tin ICMP đến các máy bên trong mạng để tìm kiếm sự tồn tại của các Host.
Đối với cổng 161 của dịch vụ SNMP, kẻ tấn công có thể giả dạng là một SNMP Manager, yêu cầu thiết bị gửi các thộng tin về cho chính mình, thay vì là máy giám sát trong hệ thống.
Sau khi thực hiện trên mô hình không an toàn, người quản trị có thể thiết lập các ACL cần thiết để ngăn chặn hoặc giảm mức độ rủi ro các hình thức tấn công như trên có thể xảy ra.
Quá trình thực hiện
Thiết lập các thiết bị từ GNS 3
Hình 8 Mô hình xây dựng trên GNS3.
Hình 9 Xây dựng thiết bị Cloud kết nối cổng VMNET1 cho nhóm mạng 192.168.131.0/24
Hình 10 Xây dựng thiết bị Cloud kết nối với cổng NAT cho nhóm mạng 192.168.38.0/24
Các thiết bị Cloud sẽ kết Các thiết bị thực hiện được thêm vào GNS 3 với dạng Local, tức là không sử dụng GNS3 VM để thực hiện cài đặt và sử dụng các tập tin ảnh (image) của thiết bị. Các nội dung cần thực hiện cho mô hình :
Kéo các thiết bị cần thiết như Router, Các cloud, trong đó : Router đóng vai trò là thiết bị định tuyến và các Cloud đóng vai trò như những lớp mạng Các card mạng trong Cloud sẽ kết nối với các Card mạng ảo của Vmware để thực hiện kết nối giữa Vmware và
Thực hiện cài đặt máy chủ Web Server, chứa các dịch vụ như : SSH (sử dụng cổng 22), dịch vụ Apache HTTP Server (cổng 80) và dịch vụ SNMPD (cổng 161, gói tin dạng UDP).
Thực hiện cài đặt máy giám sát Zabbix dùng đế giám sát hiệu năng của máy chủ Web Server Các yếu tố giám sát bao gồm : các thông số về phần cứng, các thông số về hiệu năng mạng.
Máy Kali Linux chuẩn bị các phần mềm cần thiết để tổ chức tấn công, bao gồm : Hydra (sử dụng bản giao diện) để tấn công vét cạn mật khẩu của dịch vụ SSH, phần mềm nmap để khai thác thông tin về cổng hay tấn công dạng Sweep Ping để tìm kiếm sự tồn tại của các Host trong hệ thống, phần mềm Metaspolit để khai thác thông tin từ dịch vụ SNMP.
Cấu hình địa chỉ IP cho Router :
Thực hiện chuyển qua chế độ config và thực hiện cấu hình IP.
Mô tả nội dung Câu lệnh thực hiện
Chọn giao diện mạng là fa0/0 inter fastEthernet 0/0
Thiết lập IP và Subnet Mask ip address 192.168.38.10 255.255.255.0
Chuyển chế độ kích hoạt cho giao diện no shutdown
Thoát khỏi cấu hình giao diện hiện tại exit
Chọn giao diện mạng là fa0/1 inter fastEthernet 0/1
Thiết lập IP và Subnet Mask ip address 192.168.131.10 255.255.255.0 Chuyển chế độ kích hoạt cho giao diện no shutdown
Thoát khỏi cấu hình giao diện hiện tại exit
Hiển thị các thiết lập IP cho từng giao diện show ip interface brief
Hình 11 Thiết lập địa chỉ IP trên Router.
Hình 12 Sử dụng “show ip interfac brief” để xem các IP thiết lập cho từng giao diện mạng.
Thiết lập máy Web Server (192.168.131.20/24) :
Các nội dung thực hiện bao gồm : thiết lập IP tĩnh cho máy chủ Web Server ; cài đặt các chương trình cần thiết như Apache HTTP Server và SNMP.
Mô tả nội dung Câu lệnh thực hiện
Chỉnh sửa nội dung trong tập /etc/netplan/00- installer-config.yaml sudo nano /etc/netplan/00-installer- config.yaml Áp dụng các thiết lập cho IP tĩnh sudo netplan apply
Xem các thông tin về IP ip addr
Cập nhập các Repo cho chương trình apt sudo apt update
Cài đặt chương trình Apache HTTP Server sudo apt install apache2
Cài đặt chương trình SNMP sudo apt isntall snmpd
Khởi động lại dịch vụ apache2 sudo systemctl restart apcahe2
Xem trạng thái hoạt động của apache2 sudo systemctl status apache2
Khởi động lại dịch vụ snmpd sudo systemctl restart snmpd
Xem trạng thái hoạt động của snmpd sudo systemctl status snmpd Đối với dịch vụ Apache HTTP Server :
Vị trí tập tin cấu hình : /etc/apache2
Vị trí chứa tập tin trang web : /var/www/html Đối với dịch vụ snmpd, cấu hình ở mức độ cơ bản nhất
Vị trí tập tin cấu hình : /etc/snmpd/snmpd.conf
Hình 13 Thiết lập IP tĩnh cho máy Web Serve.
Hình 14 Kiểm tra trạng thái hoạt động của dịch vụ Apache2.
Hình 15 Truy cập bằng IP của máy Web Server để truy cập trang web.
Thiết lập SNMPD (dịch vụ SNMP để gửi thông tin giám sát đến thiết bị Zabbix) :
Các câu lệnh sử dụng :
Nội dung thực hiện Câu lệnh thực hiện
Cập nhập các chỉ mục với trình quản lý apt sudo apt update
Thực hiện cài đặt snmpd sudo apt install snmpd
Tùy chỉnh tập tin cấu hình tại đường dẫn /etc/ snmp/snmpd.conf sudo nano /etc/snmp/snmpd.conf
Thực hiện tùy chỉnh nội dung : agentaddress udp:161
Gán agentaddress thành udp:161, tức sẽ các thiết bị sẽ lấy thông tin bằng gói
Romcommunity gán thành lab- nhom03, như một tên định danh để sử dụng trao đổi thông tin romcomunity lab-nhom03
Khởi động lại dịch vụ snmpd.service sudo systemctl restart snmpd.service
Xem trạng thái hoạt động của snmpd.service sudo systemctl status snmpd.service
Hình 16 Thay đổi dòng này thành udp:161 đế mở giao tiếp qua cổng 161 với gói UDP.
Hình 17 Thực hiện gán romcommunity thành lab-nhom04 (cái này nhầm thành nhóm 04 thay vì nhóm 03 như thực tế).
Hình 18 Kiểm tra tình trạng hoạt động của dịch vụ sẽ hiển trạng thái đang hoạt động.
2.5.2.Kiểm tra các kết nối và dịch vụ
Quá trình kiểm tra các kết nối thực hiện tại máy Kali Linux (máy kẻ tấn công), cụ thể :
Máy Zabbix Server (máy giám sát ) có thể nhận Client là máy Ubuntu Server thông qua giao thức SNMP được cài đặt trên máy Ubuntu Web Server (thông qua service là snmpd.service).
Máy Kali sẽ kiểm tra kết nối bằng cách ping đến các thiết bị như máy Zabbix, máy Web Server và có thể truy cập dịch vụ trang web. Để Zabbix có thể thêm được client thì có thể sử dụng thanh công cụ :
Data Collection > Hosts > Create Host (Tạo một Host mới)
Quá trình thêm Host nên chú ý : chọn Template là “Linux by SNMP”, chọn interface là SNMP, chú ý SNMP community là gán tên romcoimmunity (trường hợp này lab- nhom03)
Đợi một lát để Server xử lý thông tin xác thực, thành công khi chữ SNMP trạng thái chuyển thành màu xanh
Hình 19 Thực hiện thêm máy ubuntu Web Server vào Zabbix để giám sát thông qua giao thức
Hình 20 Máy Kali Ping thành công đến máy Web Server (192.168.131.20/24)
Hình 21 Máy Kali ping thành công đến máy Zabbix (192.168.131.15/24)
Hình 22 Máy Kali truy cập thành công trang web được cung cấp bởi Web Server.
2.5.3.Tổ chức tấn công vào mô hình không an toàn
Tổ chức 3 hình thức tấn công bao gồm : hình thức tấn công khai thác thông tin về cổng sử dụng (sử dụng nmap), hình thức khai thác thông tin từ giao thức SNMP (lấy thông tin trái phép từ người dùng cung cấp dịch vụ SNMP), hình thức Ping Sweep để phát hiện các host trong mạng local và hình thức tấn công vét cạn bằng từ điển vào thông tin xác thực của giao thức SSH trên máy Web Server. Đối với hình thức khai thác thông tin bằng nmap
Sử dụng lệnh : nmap –p
Ý nghĩa: do tính chất tiết kiệm thời gian nên có thể bỏ qua công đoạn quét hết các port mà có thể đoán là các cổng được mở và dùng lệnh để kiểm chứng thông tin là xác thực.
Hình 23 Xác thực thông tin về cổng 80 đang mở, chứng minh bằng việc có thể truy cập trang web từ máy Kali Linux.
Hình 24 Xác thực thông tin về cổng mở 22 sử dụng cho giao thức SSH truy cập từ xa.
Hình 25 Xác thực thông tin về cổng 161 mở và áp dụng cho gói tin UDP. Đối với hình thức tấn công Ping Sweep (sử dụng nmap)
Nội dung : gửi các gói tin ICMP đến tất các Host trong quy định và đợi gói phản hồi, nếu có gói phản hồi từ Host thì xác nhận host đó tồn tại trong mạng Local.
Cú pháp : nmap -sP
ví dụ : nmap -sP 192.168.131.0-50 : gửi các gói tin ICMP đến các Host có IP từ192.168.131.0 đến 192.168.131.50
Hình 26 Sử dụng Ping Sweep trên nmap để phát hiện các Host đang hoạt động trong mạng
Local. Đối với hình thức khai thác thông tin SNMP trái phép :
Nội dung : sử dụng metasploit (một chương trình tổng hợp các framwork là các trình dùng cho việc pentest các lỗ hổng) và sử dụng framework là snmp-enum
Cú pháp : use auxiliary/scanner/snmp/snmp_enum
Thiết lập IP của nạn nhân và tên romcommuntiy (giả sử trường hợp nạn nhân sử dụng mặc định hoặc khai thác từ các hình thức khác) trong OPTIONS
Hình 27 Thiết lập các nội dung cần thiết cho quá trình thực hiện.
Hình 28 Quá trình khai thác thông tin hoàn tất, các thông tin thu thập được hiển thị trên
Hình 29 Các thông tin thu thập được có thể là các package được cài trên máy Ubuntu Server.
Hình 30 Các thông tin về phần cứng. Đối với hình thức tấn công vét cạn bằng từ điển (sử dụng Hydra) :
Nội dung : sử dụng Hydra để tấn công vét cạn thông tin về mật khẩu dựa vào một từ điển. Để đơn giản hóa thì người quản trị sử dụng mật khẩu đã bị tiết lộ nên từ điển sử dụng có thông tin về xác thực.
Sử dụng Hydra-Graphical để giao diện hóa quá trình tấn công
Kết quả thu được mật khẩu của tài khoản quản trị Kẻ tấn công sử dụng tài khoản ấy để đăng nhập trái phép vào hệ thống.
Hình 31 Chọn đối tượng và dịch vụ để tấn công vét cạn.
Hình 32 Chọn thông tin xác thực và từ điển để tấn công vét cạn.
Hình 33 Qáu trình tấn công đang diễn ra.
Hình 35 Sử dụng thông tin xác thực để truy cập trái phép vào máy Web Server.
2.5.4.Áp dụng các chính sách ACLs
Các chính sách ACLs được áp dụng bao gồm :
Nội dung thực hiện Câu lệnh thực hiện
Thiết lập ACL với định danh là 101 chặn các gói TCP đối với các host từ lớp mạng 192.168.38.0 đến lớp mạng
192.168.131.0 vào trên cổng 22 (dịch vụ SSH) access-list 101 deny tcp 192.168.38.0 0.0.0.255 192.168.131.0 0.0.0.255 eq 22 đối với các host từ lớp mạng 192.168.38.0 đến lớp mạng
Thiết lập ACL với định danh là 101 chặn các gói UDP đối với các host từ lớp mạng 192.168.38.0 đến lớp mạng
192.168.131.0 vào trên dịch vụ SNMP trap access-list 101 deny udp 192.168.38.0 0.0.0.255 192.168.131.0 0.0.0.255 eq snmptrap
Thiết lập ACL với định danh là 101 chặn các gói UDP đối với các host từ lớp mạng 192.168.38.0 đến lớp mạng
192.168.131.0 vào trên dịch vụ SNMP access-list 101 deny udp 192.168.38.0 0.0.0.255 192.168.131.0 0.0.0.255 eq snmp Áp dụng ACL lên cổng fastEthernet 0/0 và dành cho chiều lưu lượng từ ngoài vào trong inter f0/0
Hình 36 Các ACL được thiết lập trên thiết bị Cisco Router.
2.5.5.Tổ chức tấn công vào mô hình an toàn
Sau khi thiết lập các ACL thì đa phần các hình thức tấn công sẽ không còn hiểu quả, cụ thể :
Với hình thức vét cạn, chương trình phải gửi gói tin đến cổng 22 để xác thực nhưng các gói trùng với nội dung thiết lập sẽ bị chặn nên quá trình xác minh kết nối không thành công dẫn đến vét cạn thất bại
Với hình thức khai thác thông tin, đa phần đều giống nhau trên nmap và snmp-enum, các xác thực kết nối đều bị chặn bởi ACL nên không thể tiếp tục các tiến trình khác.
Với hình thức Ping Sweep thì các gói ICMP từ mạng phù hợp thiết lập sẽ bị ACLs chặn lại nhưng các kết nối khác đến từ mạng Local thì không bị chặn.
Hình 37 Thực hiện BruteForce thất bại do kết nối không thành công.
Hình 38 Kiểm tra tại ACL thì có các kết quả trùng với ACL được thiết lập.
Hình 39 Tấn công dạng Ping Sweep cũng thất bại do các gói ICMP được gửi đã bị chặn.
Hình 40 Kiểm tra các ACL thiết lập sẽ thấy các kết quả trùng.
Hình 41 Đối với hình thức khai thác thông tin SNMP cũng thất bại do các gói tin đã bị chặn bởi ACL trên cổng 161 với gói tin dạng UDP.
Hình 42 Các ACL trùng khớp với các hình thức tấn công diễn ra.
Kết quả
Bảng tiến độ hoàn thành theo mục tiêu :
Kiểm tra các kết nối giữa các thiết bị 100 %
Tổ chức tấn công vét cạn và thu thập thông tin (ping sweep, dò port và thu thập thông tin từ SNMP) 100 %
Thiết lập các ACL để giảm nguy cơ các cuộc tấn công diễn ra 100 % Thử lại các hình thức tấn công đã nêu và kiểm tra kết quả 100 %
Nhận xét về bài thực hành :
Các thiết lập về ACL có thể hỗ trợ trong việc hạn chế các hình thức tấn công điễn ra Nói là hạn chế vì các hình thức tấn công vẫn có thể vượt qua hàng rào về thiết lập ACL, mặt khác thì tính chất của ACL chỉ áp dụng cho một interface nên nếu muốn quản lý nhiều hơn sẽ gặp khó khăn.
Hình thức thay thế thì chỉ xem ACL như một giai pháp sử dụng kém, tức là sử dụng các các hình thức bảo mật khác kết hợp với ACL, cụ thể :
Có thể kết hợp ACL và Zone-Based Policy để quản lý nhiều interface khi tổng hợp thành các Zones.
Kết hợp với các biện pháp bảo mật khác như thay vì chặn gói liên quan đến SNMP thì có thể tùy chỉnh thiết lập bảo mật cho giao thức SNMP, gán vị trí máy giám sát thay vì máy nào cũng lấy được thông tin về SNMP, sử dụng các phiên bản mới có tích hợp mã hóa xác thực để tăng độ tin cậy
Và nhiều hình thức bảo mật kết hợp khác.