Chương 1: Lời mở đầuTrong thời đại mạng ng7y nay, sự kBt ni liên tục v7 quy mô ng7y c7ng lớn của mạng internet đã đặt ra những thách thức lớn đi với việc bo vệ an to7n thông tin v7 ng
Trang 1TRƯỜNG ĐẠI HỌC VĂN LANG
KHOA CÔNG NGHỆ THÔNG TIN
Phương Quốc Bảo – 207CT65523
Nguy>n Gia Ân – 207CT65518
HuBnh Nhâ Dt HEa – 207CT55053
Lê Hoàng Anh Vũ – 197CT10168
Nguy>n Sơn Lâm – 197CT22324
GVHD: ThS Ngô Quốc Huy
TP Hồ Chí Minh – năm 2023 - 2024
Trang 2Nhận xét của giảng viên hướng dẫn
Trang 3Mục lục
Chương 1: Lời mở đầu 1
1.1 Mục Tiêu Dự n:
1.2 Lý Do Chọn Đề Tài:
1.3 Cấu Trúc Dự n:
Chương 2: Tìm hiểu về Control List và IPv6: 2
2.1 Tìm hiểu về IPv6:
2.1.1 Một số loại địa chỉ IPv6: 2
2.1.2 Ưu điểm của IPv6: 2
2.2 Tìm hiểu về ACL:
2.2.1 Cec loại danh sech kiểm soet truy cập: 3
2.2.2 Cech triển khai ACL 4
2.3 Tìm hiểu về IPv6 ACL:
2.3.1 Cú phep ACL IPv6: 5
2.3.2 Thg tự quy tic: 6
Chương 3: Triển khai Access Control List trên IPv6: 7
3.1 Mục đích:
3.2 Giả định tình huống:
3.3 Triển khai:
3.4 Kiểm tra kjt quả:
3.5 Kjt Luâ Dn:
Chương 4: Tkng Kjt 15
Danh mục hình ảnh Hình 1: Gi đnh tình hung tn công 8
Hình 2: Tri&n khai 9
Hình 3: Cu hình IPv6 10
Hình 4: Chă 1 n quy4n truy câ 1 p v7 cho ph9p lưu lư<ng 11
Hình 5: Traffic Filter 12
Hình 6: KBt qu 13
Trang 5Chương 1: Lời mở đầu
Trong thời đại mạng ng7y nay, sự kBt ni liên tục v7 quy mô ng7y c7ng lớn của mạnginternet đã đặt ra những thách thức lớn đi với việc bo vệ an to7n thông tin v7 nguồnt7i nguyên mạng Trước bi cnh n7y, Access Control List (ACL) nổi lên như mộtcông cụ qun lý truy cập mạng không th& thiBu, giúp ki&m soát v7 hạn chB quy4n truycập v7o t7i nguyên mạng
Dự án n7y đặt mục tiêu tìm hi&u v7 tri&n khai ACL trên IPv6, một phiên bn tiên tiBncủa giao thức Internet Protocol (IP) Với việc IPv6 trở th7nh một phần quan trọng của
cơ sở hạ tầng mạng, việc hi&u rõ v7 tích h<p ACL v7o hệ thng l7 quan trọng đ& bo vệmạng trước những mi đe dọa ng7y c7ng phức tạp
1.1 Mục Tiêu Dự n:
Mục tiêu chính của dự án l7 khám phá cơ bn v4 ACL, áp dụng chúng trong môitrường IPv6, v7 đánh giá hiệu sut của chúng trong việc bo vệ t7i nguyên mạng.Chúng ta sẽ đ7o sâu v7o cu trúc của IPv6 ACL, đi4u n7y sẽ giúp chúng ta hi&u rõ cáchchúng tương tác v7 ứng dụng thực tB của chúng trong môi trường mạng
1.2 Lý Do Chọn Đề Tài:
Sự xut hiện của IPv6 không chỉ mang lại sự mở rộng của đa chỉ IP m7 còn đặt ranhi4u thách thức mới v4 an ninh mạng ACL, như một công cụ qun lý truy cập mạng,trở nên quan trọng đ& ki&m soát quy4n truy cập v7 ngăn chặn các mi đe dọa ti4m ẩn.Chúng ta mun nắm bắt cơ hội của IPv6 v7 tận dụng kh năng bo mật mạng cao hơn
1.3 Cấu Trúc Dự n:
Dự án sẽ đư<c phân chia th7nh các giai đoạn, bắt đầu từ n4n tng lý thuyBt v4 ACL,tiBp theo l7 quá trình tri&n khai trên môi trường thực tB IPv6, v7 kBt thúc bằng việcđánh giá nh hưởng của chúng đi với hiệu sut mạng Mỗi giai đoạn sẽ cung cp cáinhìn sâu sắc v7 to7n diện v4 ứng dụng của ACL trong môi trường IPv6
Hãy cùng bắt đầu h7nh trình n7y đ& khám phá cách ACL v7 IPv6 có th& cùng nhauđóng góp v7o sự an to7n v7 ổn đnh của hệ thng mạng
Trang 6Chương 2: Tìm hiểu về Control List và IPv6:
2.1 Tìm hiểu về IPv6:
IPv6 hoặc Giao thức Internet Phiên bn 6 l7 một giao thức tầng mạng cho ph9p truy4nthông diễn ra trên mạng IPv6 đư<c thiBt kB bởi Tổ chức Nhiệm vụ Kỹ thuật Internet(IETF) v7o tháng 12 năm 1998 với mục đích thay thB IPv4 do s lư<ng người sử dụngInternet to7n cầu tăng mạnh
2.1.1 Một số loại địa chỉ IPv6:
Địa chỉ Unicast: Nhận diện một nút duy nht trên mạng v7 thường chỉ áp dụng
cho một người gửi hoặc một người nhận duy nht
Địa chỉ Multicast: Đại diện cho một nhóm các thiBt b IP v7 chỉ có th& đư<c sử
dụng l7m đích của một datagram
Địa chỉ Anycast: Đư<c gán cho một tập h<p các giao diện thường thuộc v4 các
nút khác nhau
2.1.2 Ưu điểm của IPv6:
Độ tin cậy: IPv6 cung cp độ tin cậy cao hơn so với IPv4.
Tốc độ nhanh hơn: IPv6 hỗ tr< multicast thay vì broadcast trong IPv4 Đi4u
n7y cho ph9p dòng gói có lưu lư<ng băng thông cao (như luồng đa phương tiện)đư<c gửi đBn nhi4u đích cùng một lúc
Bảo mật mạnh mẽ: IPSecurity, cung cp tính bo mật, đư<c tích h<p v7o IPv6.
Hiệu suất định tuyjn: IPv6 cung cp hiệu sut đnh tuyBn tt hơn so với IPv4.
Giải phep cuối cùng cho sự phet triển của cec nút trong mạng toàn cầu:
IPv6 đư<c coi l7 gii pháp cui cùng cho việc mở rộng s lư<ng nút trong mạngto7n
2.2 Tìm hiểu về ACL:
Access control list (ACL) danh sách các quy tắc xác đnh người dùng hoặc hệ thngn7o đư<c cp quy4n hoặc từ chi quy4n truy cập v7o một đi tư<ng hoặc t7i nguyên hệthng cụ th& ACL cũng đư<c c7i đặt trong các bộ đnh tuyBn hoặc switch, nơi chúnghoạt động như bộ lọc, qun lý lưu lư<ng n7o có th& truy cập v7o mạng
Mỗi mô 1t t7i nguyên trên hệ thng có một thuộc tính bo mật xác đnh danh sách ki&msoát truy cập của nó Danh sách n7y bao gồm một mục cho mỗi người dùng có th& truycập hệ thng Các đặc quy4n phổ biBn nht cho ACL của hệ thng tệp tin bao gồm khnăng đọc một tệp tin hoặc tt c các tệp tin trong một thư mục, ghi v7o tệp tin hoặc các
Trang 7tệp tin, v7 thực thi tệp tin nBu nó l7 một tệp tin thực thi hoặc chương trình ACL cũngđư<c tích h<p v7o các giao diện mạng v7 hệ đi4u h7nh (OSes), bao gồm Linux v7Windows Trên mạng máy tính, danh sách ki&m soát truy cập đư<c sử dụng đ& ngănchặn hoặc cho ph9p các loại lưu lư<ng nht đnh truy cập v7o mạng Chúng thường lọclưu lư<ng dựa trên c nguồn v7 đích của nó
2.2.1 Cec loại danh sech kiểm soet truy cập:
Có hai loại ACL Cơ Bn
ACL Hệ Thống Tệp và Thư Mục:
Mô Tả: ACL hệ thng tệp v7 thư mục qun lý quy4n truy cập đi với các tệp tin v7
thư mục trong hệ thng Chúng cung cp hệ đi4u h7nh (OS) các hướng dẫn đ& xácđnh quy4n truy cập của người dùng v7 đặc quy4n khi họ truy cập v7o hệ thng
ACL Quản lý Truy Cập Mạng:
Mô Tả: ACL qun lý truy cập mạng bằng cách cung cp hướng dẫn cho các công
tắc mạng v7 bộ đnh tuyBn, xác đnh loại lưu lư<ng đư<c ph9p tương tác với mạng.ACL mạng cũng đặt quy4n truy cập cho người dùng khi họ đã truy cập v7o mạng.Chức Năng Chính:
Qun lý truy cập mạng: Xác đnh loại lưu lư<ng mạng đư<c ph9p hoặc b từ chi.Đặt quy4n người dùng trong mạng: Chỉ đnh quy4n truy cập cho người dùng sau khi
Trang 8Qun tr viên mạng có th& đnh rõ các quy tắc trước, tương tự như một tường lửa,đ& đm bo an to7n v7 hiệu sut của hệ thng mạng.
2.2.2 Cech triển khai ACL
Đ& tri&n khai ACL, qun tr viên mạng phi hi&u các loại lưu lư<ng truy cập v7o v7 rakhỏi mạng cũng như các loại t7i nguyên m7 họ đang c gắng bo vệ Qun tr viên nên
tổ chức v7 qun lý t7i sn CNTT theo cp bậc theo các danh mục riêng biệt v7 qun lýcác đặc quy4n khác nhau cho người dùng
Danh sách ACL tiêu chuẩn thường đư<c tri&n khai gần với đích m7 nó đang c gắngbo vệ Danh sách ki&m soát truy cập mở rộng thường đư<c tri&n khai gần nguồn ACL
mở rộng có th& đư<c cu hình bằng cách sử dụng tên danh sách truy cập thay vì sdanh sách truy cập
Cú pháp cơ bn đư<c sử dụng đ& tạo danh sách ki&m soát truy cập đư<c đánh s tiêuchuẩn trên bộ đnh tuyBn của Cisco như sau:
Router (config)# access-list (1300-1999) (permit | deny) addr (source-wildcard)
source-Các phần khác nhau có ý nghĩa như sau:
(1300-1999) chỉ đnh phạm vi s IP ACL Đi4u n7y đặt tên cho ACL v7 xácđnh loại ACL 1300-1999 biBn đây th7nh ACL tiêu chuẩn
(permit | deny) chỉ đnh gói cho ph9p hoặc từ chi
Source-addr chỉ đnh đa chỉ IP nguồn
Source-wildcard chỉ đnh wildcard mask đại diện
Wildcard mask đại diện cho bộ đnh tuyBn biBt các bit n7o của đa chỉ IP có sẵn đ&thiBt b mạng ki&m tra v7 xác đnh xem nó có khớp với danh sách truy cập hay không.Người dùng có th& nhập mã cu hình trên v7o dòng lệnh đ& tạo danh sách ki&m soáttruy cập N4n tng đám mây từ các nh7 cung cp, bao gồm Oracle v7 IBM, cũngthường cung cp tùy chọn tạo danh sách ki&m soát truy cập trong cổng đăng nhậpngười dùng của họ
Việc đặt quy4n của người dùng trong to7n bộ hệ thng máy tính có th& tẻ nhạt nhưng
có nhi4u cách đ& tự động hóa tập lệnh
Trang 9Danh sách ki&m soát truy cập phi đư<c cu hình khác nhau dựa trên sự khác biệt v4kiBn trúc mạng Đi4u n7y bao gồm sự khác biệt giữa mạng tại chỗ, mạng vật lý v7mạng đám mây Tìm hi&u những kiBn thức cơ bn v4 kiBn trúc mạng đám mây v7 qun
lý mạng
2.3 Tìm hiểu về IPv6 ACL:
ACL (Access Control List) IPv6 l7 một phương tiện đ& ki&m soát truy cập trong mạngIPv6 Cũng ging như IPv4, IPv6 cung cp ACL đ& xác đnh quy tắc cho việc chpnhận hoặc từ chi gói tin dựa trên các tiêu chí như đa chỉ nguồn v7 đích, cổng, v7nhi4u thông tin khác
Dưới đây l7 một s đi&m quan trọng khi nói v4 ACL IPv6:
2.3.1 Cú phep ACL IPv6:
ACL IPv6 sử dụng cú pháp khác với ACL IPv4 Thay vì sử dụng các dãy s v7wildcards, ACL IPv6 sử dụng các khi đa chỉ IPv6 v7 các quy tắc chi tiBt
Extended ACL:
Extended ACL IPv6 đư<c sử dụng đ& xác đnh các quy tắc chi tiBt hơn, có th& ki&msoát dựa trên nhi4u tiêu chí như đa chỉ nguồn v7 đích, cổng, loại giao thức, v7nhi4u thông tin khác
permit ipv6 SOURCE_ADDRESS SOURCE_WILDCARDDEST_ADDRESS DEST_WILDCARD [operator [port]]
deny ipv6 SOURCE_ADDRESS SOURCE_WILDCARD DEST_ADDRESSDEST_WILDCARD [operator [port]]
Ví dụ:
permit ipv6 2001:db8::/32 any
deny ipv6 any host 2001:db8::1
Standard ACL:
Standard ACL IPv6 dựa trên đa chỉ nguồn v7 chỉ ki&m soát dựa trên đa chỉ nguồn
permit ipv6 SOURCE_ADDRESS SOURCE_WILDCARD
deny ipv6 SOURCE_ADDRESS SOURCE_WILDCARD
Ví dụ:
Trang 10permit ipv6 2001:db8::/32
deny ipv6 2001:db8::1
Any và Host:
any đư<c sử dụng đ& đại diện cho mọi đa chỉ IPv6
host đư<c sử dụng đ& chỉ đnh một đa chỉ cụ th&
Đ& kích hoạt ghi log, bạn có th& sử dụng từ khóa log
permit ipv6 2001:db8::/32 any log
2.3.2 Thg tự quy tic:
Thứ tự quy tắc trong một ACL IPv6 l7 quan trọng, v7 quy đnh cách các quy tắc đư<c
áp dụng cho gói tin Khi một gói tin đi qua ACL, nó đư<c so sánh với các quy tắc từtrên xung dưới, v7 quy tắc đầu tiên m7 nó khớp sẽ đư<c áp dụng Dưới đây l7 một snguyên tắc quan trọng:
Thg tự từ trên xuống:
Các quy tắc đư<c áp dụng theo thứ tự từ trên xung Quy tắc ở đầu ACL đư<c ki&mtra trước, v7 nBu gói tin khớp với một quy tắc, các quy tắc phía dưới không đư<cxem x9t
Quy tic được ep dụng cho đjn khi c+ khớp:
Quy tắc đư<c áp dụng cho gói tin theo thứ tự cho đBn khi có một quy tắc m7 gói tinkhớp với Sau khi có một quy tắc khớp, các quy tắc phía dưới sẽ không đư<c xemx9t
Implicit Deny:
NBu không có quy tắc n7o khớp, có một quy tắc mặc đnh đư<c áp dụng, thường l7một quy tắc từ chi tt c không khớp (deny ipv6 any any)
Logging và Implicit Deny:
NBu bạn sử dụng quy tắc với logging, quy tắc logging thường nên đặt trước quy tắcmặc đnh từ chi, đ& có th& ghi log thông tin v4 gói tin trước khi chúng b từ chi
Trang 11 Ví dụ về một ACL IPv6 với thg tự quy tic:
permit ipv6 2001:db8::/32 any
permit tcp any any eq 80
deny ipv6 any any
Chương 3: Triển khai Access Control List trên IPv6:3.1 Mục đích:
Mục đích chính của dự án tri&n khai Access Control List (ACL) trên IPv6 l7 tăngcường bo mật mạng bằng cách ki&m soát quy4n truy cập v7o các t7i nguyên v7 dch
vụ trên mạng IPv6 ACL l7 một công cụ qun lý chính sách an ninh, giúp ngăn chặnhoặc cho ph9p gói tin dựa trên các tiêu chí nht đnh, như đa chỉ nguồn, đa chỉ đích,hoặc các thông s khác
Việc tri&n khai ACL trên IPv6 mang lại nhi4u l<i ích, bao gồm kh năng ki&m soátđường truy4n thông qua mạng, gim rủi ro từ các tn công mạng, v7 bo vệ các t7inguyên quan trọng khỏi sự truy cập trái ph9p ACL cũng cung cp kh năng tùy chỉnhchính sách an ninh theo yêu cầu cụ th& của hệ thng mạng, đồng thời ti ưu hóa hiệusut mạng bằng cách gim bớt lưu lư<ng không mong mun
Dự án cũng có th& tập trung v7o việc hiện thực hóa ACL thông qua việc xác đnh cácquy tắc cụ th&, qun lý danh sách ki&m soát, v7 đm bo tính linh hoạt trong qun lý anninh Bằng cách n7y, tri&n khai ACL trên IPv6 không chỉ giúp bo vệ mạng khỏi cácmi đe dọa mạng hiện tại m7 còn chuẩn b cho những thách thức an ninh mạng trongtương lai
Trang 123.2 Giả định tình huống:
Hình 1: Gi đnh nh hung tn công
PC3 (do hacker đi4u khi&n) đang liên tục gửi các yêu cầu kBt ni v7o máy chủ SRV0(hiê 1n đang l7 server của mô 1t website bán h7ng online) nhằm tạo ra mô 1t cuô 1c tn côngDoS (Denial of Service) với mục đích phá hoại viê 1c buôn bán của cửa h7ng Đây l7 mô 1t cuô 1c tn công DoS với phương thức l7 Resource Depletion attacks Phươngthức n7y sẽ l7m tiêu tn nguồn t7i nguyên của máy chủ như RAM, CPU, l7m tr7n băngthông với lưu lư<ng dữ liê 1u gian lâ 1n dẫn đBn tình trạng từ chi dch vụ v7 khiBn chomáy của khách h7ng không th& n7o truy câ 1p đư<c v7o trang web do server hoạt đô 1ngkhông ổn đnh Vì vâ 1y nên chúng ta cần phi thiBt lâ 1p ACL đ& chặn đa chỉ IP của máyPC3 nhằm bo vệ hệ thng mạng khỏi các mi đe dọa tn công v7 giữ cho server củawebsite đư<c hoạt đô 1ng mô 1t cách ổn đnh
Do máy chủ v7 Hacker cùng l7 IPv6 nên chúng ta sẽ thiBt lâ 1p ACL trên IPv6
Trang 133.3 Triển khai:
Chúng ta sẽ thiBt lâ 1p ACL trên router R1 vì máy PC3(Hacker) đang kBt ni với routerR1
Trang 14Hình 2: Trin khai
Cu hình IPv6 ACL trên cổng G0/2:
Trang 15Chă 1n quy4n truy câ 1p của PC3 v7 cho ph9p tt c các lưu lư<ng IPv6 khác thông qua
Trang 16Sau đó c7i đă 1t traffic filter trên cổng G0/1 nhằm ki&m soát v7 qun lý lưu lư<ng(traffic) IPv6 trên cổng:
Trang 173.4 Kiểm tra kjt quả:
Trang 18PC3 đã không còn có kh năng tn công v7o máy chủ của website đó nữa do đã b chă 1n
IP bởi ACL Hiê 1n tại website đã an to7n v7 có th& hoạt đô 1ng trở lại mô 1t cách ổn đnh
Hình 6: K1t qu
3.5 Kjt Luâ Dn:
Trang 19IPv6 ACL l7 mô 1t gii pháp quan trọng đ& bo vê 1 hê 1 thng mạng IPv6 ACL giúphạn chB hoă 1c ngăn chă 1n các tn công DoS từ các hacker, bă 1t buô 1c chỉ cho ph9p lưulư<ng truy câ 1p h<p lê 1 v7 giới hạn các IP hay máy tính không đư<c ph9p truy câ 1p v7o
hê 1 thng mạng
IPv6 ACL giúp đm bo bo mâ 1t hê 1 thng mạng bằng cách duyê 1t qua các gói tindựa trên đa chỉ IPv6 v7 các thông tin khác nhau như cổng giao tiBp, đa chỉ nguồn,đa chỉ đích, v7 các thuô 1c tính khác Đi4u n7y giúp ngăn chă 1n các cụm tn công phổbiBn v7 bo vê 1 hê 1 thng mạng
IPv6 ACL cũng giúp chúng ta qun lý truy câ 1p chính xác v7 tăng cao sự ổn đnh v7hiê 1u qu của server của website bán h7ng online Chúng ta có th& thiBt lâ 1p các luâ 1t lê 1truy câ 1p đ& chỉ cho ph9p các đi tư<ng xác đnh truy câ 1p v7 giới hạn các IP hay máytính không đư<c ph9p truy câ 1p v7o hê 1 thng mạng Đi4u n7y đm bo rằng serverhoạt đô 1ng ổn đnh v7 không b quá ti
Viê 1c tri&n khai IPv6 ACL nên đư<c kBt h<p với các gii pháp bo mâ 1t khác nhưbăng thông rô 1ng đủ lớn đ& chu đư<c tn công DoS, gii pháp chng tn công DDoS,ki&m soát truy câ 1p bằng load balancer, mạng riêng o (VPN), mạng riêng tư o(VLAN), v7 các biê 1n pháp bo mâ 1t mức ứng dụng
Ngo7i ra, cần có sự theo dõi, giám sát, v7 câ 1p nhâ 1t thông tin bo mâ 1t đ& phát hiê 1ncác mẫu tn công mới v7 áp dụng các biê 1n pháp phòng ngừa thích h<p
Vì vâ 1y, kBt qu của dự án l7 IPv6 ACL l7 mô 1t phần quan trọng của chiBn lư<c bo
mâ 1t, nhưng đ& đạt hiê 1u qu ti đa trong viê 1c ngăn chă 1n hacker tn công DoS, cầntri&n khai c những gii pháp bo mâ 1t khác v7 duy trì sự câ 1n th, theo dõi, v7 câ 1pnhâ 1t liên tục
Chương 4: Tkng Kjt