1. Trang chủ
  2. » Giáo Dục - Đào Tạo

Tìm hiểu và triển khai access control list trên ipv6

21 3 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Tiêu đề Tìm Hiểu Và Triển Khai Access Control List Trên IPv6
Tác giả Phương Quốc Bảo – 207CT65523, Nguyễn Gia Ân – 207CT65518, Hồ Bính Nhật D HEa – 207CT55053, Lê Hoàng Anh Vũ – 197CT10168, Nguyễn Sơn Lâm – 197CT22324
Người hướng dẫn ThS. Ngô Quốc Huy
Trường học Trường Đại Học Văn Lang
Chuyên ngành Công Nghệ Thông Tin
Thể loại Đồ Án
Năm xuất bản 2023 - 2024
Thành phố TP. Hồ Chí Minh
Định dạng
Số trang 21
Dung lượng 2,31 MB

Nội dung

Chương 1: Lời mở đầuTrong thời đại mạng ng7y nay, sự kBt ni liên tục v7 quy mô ng7y c7ng lớn của mạng internet đã đặt ra những thách thức lớn đi với việc bo vệ an to7n thông tin v7 ng

Trang 1

TRƯỜNG ĐẠI HỌC VĂN LANG

KHOA CÔNG NGHỆ THÔNG TIN

 Phương Quốc Bảo – 207CT65523

 Nguy>n Gia Ân – 207CT65518

 HuBnh Nhâ Dt HEa – 207CT55053

 Lê Hoàng Anh Vũ – 197CT10168

 Nguy>n Sơn Lâm – 197CT22324

GVHD: ThS Ngô Quốc Huy

TP Hồ Chí Minh – năm 2023 - 2024

Trang 2

Nhận xét của giảng viên hướng dẫn

Trang 3

Mục lục

Chương 1: Lời mở đầu 1

1.1 Mục Tiêu Dự n:

1.2 Lý Do Chọn Đề Tài:

1.3 Cấu Trúc Dự n:

Chương 2: Tìm hiểu về Control List và IPv6: 2

2.1 Tìm hiểu về IPv6:

2.1.1 Một số loại địa chỉ IPv6: 2

2.1.2 Ưu điểm của IPv6: 2

2.2 Tìm hiểu về ACL:

2.2.1 Cec loại danh sech kiểm soet truy cập: 3

2.2.2 Cech triển khai ACL 4

2.3 Tìm hiểu về IPv6 ACL:

2.3.1 Cú phep ACL IPv6: 5

2.3.2 Thg tự quy tic: 6

Chương 3: Triển khai Access Control List trên IPv6: 7

3.1 Mục đích:

3.2 Giả định tình huống:

3.3 Triển khai:

3.4 Kiểm tra kjt quả:

3.5 Kjt Luâ Dn:

Chương 4: Tkng Kjt 15

Danh mục hình ảnh Hình 1: Gi đnh tình hung tn công 8

Hình 2: Tri&n khai 9

Hình 3: Cu hình IPv6 10

Hình 4: Chă 1 n quy4n truy câ 1 p v7 cho ph9p lưu lư<ng 11

Hình 5: Traffic Filter 12

Hình 6: KBt qu 13

Trang 5

Chương 1: Lời mở đầu

Trong thời đại mạng ng7y nay, sự kBt ni liên tục v7 quy mô ng7y c7ng lớn của mạnginternet đã đặt ra những thách thức lớn đi với việc bo vệ an to7n thông tin v7 nguồnt7i nguyên mạng Trước bi cnh n7y, Access Control List (ACL) nổi lên như mộtcông cụ qun lý truy cập mạng không th& thiBu, giúp ki&m soát v7 hạn chB quy4n truycập v7o t7i nguyên mạng

Dự án n7y đặt mục tiêu tìm hi&u v7 tri&n khai ACL trên IPv6, một phiên bn tiên tiBncủa giao thức Internet Protocol (IP) Với việc IPv6 trở th7nh một phần quan trọng của

cơ sở hạ tầng mạng, việc hi&u rõ v7 tích h<p ACL v7o hệ thng l7 quan trọng đ& bo vệmạng trước những mi đe dọa ng7y c7ng phức tạp

1.1 Mục Tiêu Dự n:

Mục tiêu chính của dự án l7 khám phá cơ bn v4 ACL, áp dụng chúng trong môitrường IPv6, v7 đánh giá hiệu sut của chúng trong việc bo vệ t7i nguyên mạng.Chúng ta sẽ đ7o sâu v7o cu trúc của IPv6 ACL, đi4u n7y sẽ giúp chúng ta hi&u rõ cáchchúng tương tác v7 ứng dụng thực tB của chúng trong môi trường mạng

1.2 Lý Do Chọn Đề Tài:

Sự xut hiện của IPv6 không chỉ mang lại sự mở rộng của đa chỉ IP m7 còn đặt ranhi4u thách thức mới v4 an ninh mạng ACL, như một công cụ qun lý truy cập mạng,trở nên quan trọng đ& ki&m soát quy4n truy cập v7 ngăn chặn các mi đe dọa ti4m ẩn.Chúng ta mun nắm bắt cơ hội của IPv6 v7 tận dụng kh năng bo mật mạng cao hơn

1.3 Cấu Trúc Dự n:

Dự án sẽ đư<c phân chia th7nh các giai đoạn, bắt đầu từ n4n tng lý thuyBt v4 ACL,tiBp theo l7 quá trình tri&n khai trên môi trường thực tB IPv6, v7 kBt thúc bằng việcđánh giá nh hưởng của chúng đi với hiệu sut mạng Mỗi giai đoạn sẽ cung cp cáinhìn sâu sắc v7 to7n diện v4 ứng dụng của ACL trong môi trường IPv6

Hãy cùng bắt đầu h7nh trình n7y đ& khám phá cách ACL v7 IPv6 có th& cùng nhauđóng góp v7o sự an to7n v7 ổn đnh của hệ thng mạng

Trang 6

Chương 2: Tìm hiểu về Control List và IPv6:

2.1 Tìm hiểu về IPv6:

IPv6 hoặc Giao thức Internet Phiên bn 6 l7 một giao thức tầng mạng cho ph9p truy4nthông diễn ra trên mạng IPv6 đư<c thiBt kB bởi Tổ chức Nhiệm vụ Kỹ thuật Internet(IETF) v7o tháng 12 năm 1998 với mục đích thay thB IPv4 do s lư<ng người sử dụngInternet to7n cầu tăng mạnh

2.1.1 Một số loại địa chỉ IPv6:

 Địa chỉ Unicast: Nhận diện một nút duy nht trên mạng v7 thường chỉ áp dụng

cho một người gửi hoặc một người nhận duy nht

 Địa chỉ Multicast: Đại diện cho một nhóm các thiBt b IP v7 chỉ có th& đư<c sử

dụng l7m đích của một datagram

 Địa chỉ Anycast: Đư<c gán cho một tập h<p các giao diện thường thuộc v4 các

nút khác nhau

2.1.2 Ưu điểm của IPv6:

 Độ tin cậy: IPv6 cung cp độ tin cậy cao hơn so với IPv4.

 Tốc độ nhanh hơn: IPv6 hỗ tr< multicast thay vì broadcast trong IPv4 Đi4u

n7y cho ph9p dòng gói có lưu lư<ng băng thông cao (như luồng đa phương tiện)đư<c gửi đBn nhi4u đích cùng một lúc

 Bảo mật mạnh mẽ: IPSecurity, cung cp tính bo mật, đư<c tích h<p v7o IPv6.

 Hiệu suất định tuyjn: IPv6 cung cp hiệu sut đnh tuyBn tt hơn so với IPv4.

 Giải phep cuối cùng cho sự phet triển của cec nút trong mạng toàn cầu:

IPv6 đư<c coi l7 gii pháp cui cùng cho việc mở rộng s lư<ng nút trong mạngto7n

2.2 Tìm hiểu về ACL:

Access control list (ACL) danh sách các quy tắc xác đnh người dùng hoặc hệ thngn7o đư<c cp quy4n hoặc từ chi quy4n truy cập v7o một đi tư<ng hoặc t7i nguyên hệthng cụ th& ACL cũng đư<c c7i đặt trong các bộ đnh tuyBn hoặc switch, nơi chúnghoạt động như bộ lọc, qun lý lưu lư<ng n7o có th& truy cập v7o mạng

Mỗi mô 1t t7i nguyên trên hệ thng có một thuộc tính bo mật xác đnh danh sách ki&msoát truy cập của nó Danh sách n7y bao gồm một mục cho mỗi người dùng có th& truycập hệ thng Các đặc quy4n phổ biBn nht cho ACL của hệ thng tệp tin bao gồm khnăng đọc một tệp tin hoặc tt c các tệp tin trong một thư mục, ghi v7o tệp tin hoặc các

Trang 7

tệp tin, v7 thực thi tệp tin nBu nó l7 một tệp tin thực thi hoặc chương trình ACL cũngđư<c tích h<p v7o các giao diện mạng v7 hệ đi4u h7nh (OSes), bao gồm Linux v7Windows Trên mạng máy tính, danh sách ki&m soát truy cập đư<c sử dụng đ& ngănchặn hoặc cho ph9p các loại lưu lư<ng nht đnh truy cập v7o mạng Chúng thường lọclưu lư<ng dựa trên c nguồn v7 đích của nó

2.2.1 Cec loại danh sech kiểm soet truy cập:

Có hai loại ACL Cơ Bn

 ACL Hệ Thống Tệp và Thư Mục:

Mô Tả: ACL hệ thng tệp v7 thư mục qun lý quy4n truy cập đi với các tệp tin v7

thư mục trong hệ thng Chúng cung cp hệ đi4u h7nh (OS) các hướng dẫn đ& xácđnh quy4n truy cập của người dùng v7 đặc quy4n khi họ truy cập v7o hệ thng

 ACL Quản lý Truy Cập Mạng:

Mô Tả: ACL qun lý truy cập mạng bằng cách cung cp hướng dẫn cho các công

tắc mạng v7 bộ đnh tuyBn, xác đnh loại lưu lư<ng đư<c ph9p tương tác với mạng.ACL mạng cũng đặt quy4n truy cập cho người dùng khi họ đã truy cập v7o mạng.Chức Năng Chính:

Qun lý truy cập mạng: Xác đnh loại lưu lư<ng mạng đư<c ph9p hoặc b từ chi.Đặt quy4n người dùng trong mạng: Chỉ đnh quy4n truy cập cho người dùng sau khi

Trang 8

Qun tr viên mạng có th& đnh rõ các quy tắc trước, tương tự như một tường lửa,đ& đm bo an to7n v7 hiệu sut của hệ thng mạng.

2.2.2 Cech triển khai ACL

Đ& tri&n khai ACL, qun tr viên mạng phi hi&u các loại lưu lư<ng truy cập v7o v7 rakhỏi mạng cũng như các loại t7i nguyên m7 họ đang c gắng bo vệ Qun tr viên nên

tổ chức v7 qun lý t7i sn CNTT theo cp bậc theo các danh mục riêng biệt v7 qun lýcác đặc quy4n khác nhau cho người dùng

Danh sách ACL tiêu chuẩn thường đư<c tri&n khai gần với đích m7 nó đang c gắngbo vệ Danh sách ki&m soát truy cập mở rộng thường đư<c tri&n khai gần nguồn ACL

mở rộng có th& đư<c cu hình bằng cách sử dụng tên danh sách truy cập thay vì sdanh sách truy cập

Cú pháp cơ bn đư<c sử dụng đ& tạo danh sách ki&m soát truy cập đư<c đánh s tiêuchuẩn trên bộ đnh tuyBn của Cisco như sau:

Router (config)# access-list (1300-1999) (permit | deny) addr (source-wildcard)

source-Các phần khác nhau có ý nghĩa như sau:

 (1300-1999) chỉ đnh phạm vi s IP ACL Đi4u n7y đặt tên cho ACL v7 xácđnh loại ACL 1300-1999 biBn đây th7nh ACL tiêu chuẩn

 (permit | deny) chỉ đnh gói cho ph9p hoặc từ chi

 Source-addr chỉ đnh đa chỉ IP nguồn

 Source-wildcard chỉ đnh wildcard mask đại diện

Wildcard mask đại diện cho bộ đnh tuyBn biBt các bit n7o của đa chỉ IP có sẵn đ&thiBt b mạng ki&m tra v7 xác đnh xem nó có khớp với danh sách truy cập hay không.Người dùng có th& nhập mã cu hình trên v7o dòng lệnh đ& tạo danh sách ki&m soáttruy cập N4n tng đám mây từ các nh7 cung cp, bao gồm Oracle v7 IBM, cũngthường cung cp tùy chọn tạo danh sách ki&m soát truy cập trong cổng đăng nhậpngười dùng của họ

Việc đặt quy4n của người dùng trong to7n bộ hệ thng máy tính có th& tẻ nhạt nhưng

có nhi4u cách đ& tự động hóa tập lệnh

Trang 9

Danh sách ki&m soát truy cập phi đư<c cu hình khác nhau dựa trên sự khác biệt v4kiBn trúc mạng Đi4u n7y bao gồm sự khác biệt giữa mạng tại chỗ, mạng vật lý v7mạng đám mây Tìm hi&u những kiBn thức cơ bn v4 kiBn trúc mạng đám mây v7 qun

lý mạng

2.3 Tìm hiểu về IPv6 ACL:

ACL (Access Control List) IPv6 l7 một phương tiện đ& ki&m soát truy cập trong mạngIPv6 Cũng ging như IPv4, IPv6 cung cp ACL đ& xác đnh quy tắc cho việc chpnhận hoặc từ chi gói tin dựa trên các tiêu chí như đa chỉ nguồn v7 đích, cổng, v7nhi4u thông tin khác

Dưới đây l7 một s đi&m quan trọng khi nói v4 ACL IPv6:

2.3.1 Cú phep ACL IPv6:

ACL IPv6 sử dụng cú pháp khác với ACL IPv4 Thay vì sử dụng các dãy s v7wildcards, ACL IPv6 sử dụng các khi đa chỉ IPv6 v7 các quy tắc chi tiBt

 Extended ACL:

Extended ACL IPv6 đư<c sử dụng đ& xác đnh các quy tắc chi tiBt hơn, có th& ki&msoát dựa trên nhi4u tiêu chí như đa chỉ nguồn v7 đích, cổng, loại giao thức, v7nhi4u thông tin khác

permit ipv6 SOURCE_ADDRESS SOURCE_WILDCARDDEST_ADDRESS DEST_WILDCARD [operator [port]]

deny ipv6 SOURCE_ADDRESS SOURCE_WILDCARD DEST_ADDRESSDEST_WILDCARD [operator [port]]

Ví dụ:

permit ipv6 2001:db8::/32 any

deny ipv6 any host 2001:db8::1

 Standard ACL:

Standard ACL IPv6 dựa trên đa chỉ nguồn v7 chỉ ki&m soát dựa trên đa chỉ nguồn

permit ipv6 SOURCE_ADDRESS SOURCE_WILDCARD

deny ipv6 SOURCE_ADDRESS SOURCE_WILDCARD

Ví dụ:

Trang 10

permit ipv6 2001:db8::/32

deny ipv6 2001:db8::1

 Any và Host:

any đư<c sử dụng đ& đại diện cho mọi đa chỉ IPv6

host đư<c sử dụng đ& chỉ đnh một đa chỉ cụ th&

Đ& kích hoạt ghi log, bạn có th& sử dụng từ khóa log

permit ipv6 2001:db8::/32 any log

2.3.2 Thg tự quy tic:

Thứ tự quy tắc trong một ACL IPv6 l7 quan trọng, v7 quy đnh cách các quy tắc đư<c

áp dụng cho gói tin Khi một gói tin đi qua ACL, nó đư<c so sánh với các quy tắc từtrên xung dưới, v7 quy tắc đầu tiên m7 nó khớp sẽ đư<c áp dụng Dưới đây l7 một snguyên tắc quan trọng:

 Thg tự từ trên xuống:

Các quy tắc đư<c áp dụng theo thứ tự từ trên xung Quy tắc ở đầu ACL đư<c ki&mtra trước, v7 nBu gói tin khớp với một quy tắc, các quy tắc phía dưới không đư<cxem x9t

 Quy tic được ep dụng cho đjn khi c+ khớp:

Quy tắc đư<c áp dụng cho gói tin theo thứ tự cho đBn khi có một quy tắc m7 gói tinkhớp với Sau khi có một quy tắc khớp, các quy tắc phía dưới sẽ không đư<c xemx9t

 Implicit Deny:

NBu không có quy tắc n7o khớp, có một quy tắc mặc đnh đư<c áp dụng, thường l7một quy tắc từ chi tt c không khớp (deny ipv6 any any)

 Logging và Implicit Deny:

NBu bạn sử dụng quy tắc với logging, quy tắc logging thường nên đặt trước quy tắcmặc đnh từ chi, đ& có th& ghi log thông tin v4 gói tin trước khi chúng b từ chi

Trang 11

 Ví dụ về một ACL IPv6 với thg tự quy tic:

permit ipv6 2001:db8::/32 any

permit tcp any any eq 80

deny ipv6 any any

Chương 3: Triển khai Access Control List trên IPv6:3.1 Mục đích:

Mục đích chính của dự án tri&n khai Access Control List (ACL) trên IPv6 l7 tăngcường bo mật mạng bằng cách ki&m soát quy4n truy cập v7o các t7i nguyên v7 dch

vụ trên mạng IPv6 ACL l7 một công cụ qun lý chính sách an ninh, giúp ngăn chặnhoặc cho ph9p gói tin dựa trên các tiêu chí nht đnh, như đa chỉ nguồn, đa chỉ đích,hoặc các thông s khác

Việc tri&n khai ACL trên IPv6 mang lại nhi4u l<i ích, bao gồm kh năng ki&m soátđường truy4n thông qua mạng, gim rủi ro từ các tn công mạng, v7 bo vệ các t7inguyên quan trọng khỏi sự truy cập trái ph9p ACL cũng cung cp kh năng tùy chỉnhchính sách an ninh theo yêu cầu cụ th& của hệ thng mạng, đồng thời ti ưu hóa hiệusut mạng bằng cách gim bớt lưu lư<ng không mong mun

Dự án cũng có th& tập trung v7o việc hiện thực hóa ACL thông qua việc xác đnh cácquy tắc cụ th&, qun lý danh sách ki&m soát, v7 đm bo tính linh hoạt trong qun lý anninh Bằng cách n7y, tri&n khai ACL trên IPv6 không chỉ giúp bo vệ mạng khỏi cácmi đe dọa mạng hiện tại m7 còn chuẩn b cho những thách thức an ninh mạng trongtương lai

Trang 12

3.2 Giả định tình huống:

Hình 1: Gi đnh nh hung tn công

PC3 (do hacker đi4u khi&n) đang liên tục gửi các yêu cầu kBt ni v7o máy chủ SRV0(hiê 1n đang l7 server của mô 1t website bán h7ng online) nhằm tạo ra mô 1t cuô 1c tn côngDoS (Denial of Service) với mục đích phá hoại viê 1c buôn bán của cửa h7ng Đây l7 mô 1t cuô 1c tn công DoS với phương thức l7 Resource Depletion attacks Phươngthức n7y sẽ l7m tiêu tn nguồn t7i nguyên của máy chủ như RAM, CPU, l7m tr7n băngthông với lưu lư<ng dữ liê 1u gian lâ 1n dẫn đBn tình trạng từ chi dch vụ v7 khiBn chomáy của khách h7ng không th& n7o truy câ 1p đư<c v7o trang web do server hoạt đô 1ngkhông ổn đnh Vì vâ 1y nên chúng ta cần phi thiBt lâ 1p ACL đ& chặn đa chỉ IP của máyPC3 nhằm bo vệ hệ thng mạng khỏi các mi đe dọa tn công v7 giữ cho server củawebsite đư<c hoạt đô 1ng mô 1t cách ổn đnh

Do máy chủ v7 Hacker cùng l7 IPv6 nên chúng ta sẽ thiBt lâ 1p ACL trên IPv6

Trang 13

3.3 Triển khai:

Chúng ta sẽ thiBt lâ 1p ACL trên router R1 vì máy PC3(Hacker) đang kBt ni với routerR1

Trang 14

Hình 2: Trin khai

Cu hình IPv6 ACL trên cổng G0/2:

Trang 15

Chă 1n quy4n truy câ 1p của PC3 v7 cho ph9p tt c các lưu lư<ng IPv6 khác thông qua

Trang 16

Sau đó c7i đă 1t traffic filter trên cổng G0/1 nhằm ki&m soát v7 qun lý lưu lư<ng(traffic) IPv6 trên cổng:

Trang 17

3.4 Kiểm tra kjt quả:

Trang 18

PC3 đã không còn có kh năng tn công v7o máy chủ của website đó nữa do đã b chă 1n

IP bởi ACL Hiê 1n tại website đã an to7n v7 có th& hoạt đô 1ng trở lại mô 1t cách ổn đnh

Hình 6: K1t qu

3.5 Kjt Luâ Dn:

Trang 19

IPv6 ACL l7 mô 1t gii pháp quan trọng đ& bo vê 1 hê 1 thng mạng IPv6 ACL giúphạn chB hoă 1c ngăn chă 1n các tn công DoS từ các hacker, bă 1t buô 1c chỉ cho ph9p lưulư<ng truy câ 1p h<p lê 1 v7 giới hạn các IP hay máy tính không đư<c ph9p truy câ 1p v7o

hê 1 thng mạng

IPv6 ACL giúp đm bo bo mâ 1t hê 1 thng mạng bằng cách duyê 1t qua các gói tindựa trên đa chỉ IPv6 v7 các thông tin khác nhau như cổng giao tiBp, đa chỉ nguồn,đa chỉ đích, v7 các thuô 1c tính khác Đi4u n7y giúp ngăn chă 1n các cụm tn công phổbiBn v7 bo vê 1 hê 1 thng mạng

IPv6 ACL cũng giúp chúng ta qun lý truy câ 1p chính xác v7 tăng cao sự ổn đnh v7hiê 1u qu của server của website bán h7ng online Chúng ta có th& thiBt lâ 1p các luâ 1t lê 1truy câ 1p đ& chỉ cho ph9p các đi tư<ng xác đnh truy câ 1p v7 giới hạn các IP hay máytính không đư<c ph9p truy câ 1p v7o hê 1 thng mạng Đi4u n7y đm bo rằng serverhoạt đô 1ng ổn đnh v7 không b quá ti

Viê 1c tri&n khai IPv6 ACL nên đư<c kBt h<p với các gii pháp bo mâ 1t khác nhưbăng thông rô 1ng đủ lớn đ& chu đư<c tn công DoS, gii pháp chng tn công DDoS,ki&m soát truy câ 1p bằng load balancer, mạng riêng o (VPN), mạng riêng tư o(VLAN), v7 các biê 1n pháp bo mâ 1t mức ứng dụng

Ngo7i ra, cần có sự theo dõi, giám sát, v7 câ 1p nhâ 1t thông tin bo mâ 1t đ& phát hiê 1ncác mẫu tn công mới v7 áp dụng các biê 1n pháp phòng ngừa thích h<p

Vì vâ 1y, kBt qu của dự án l7 IPv6 ACL l7 mô 1t phần quan trọng của chiBn lư<c bo

mâ 1t, nhưng đ& đạt hiê 1u qu ti đa trong viê 1c ngăn chă 1n hacker tn công DoS, cầntri&n khai c những gii pháp bo mâ 1t khác v7 duy trì sự câ 1n th, theo dõi, v7 câ 1pnhâ 1t liên tục

Chương 4: Tkng Kjt

Ngày đăng: 09/04/2024, 06:08

TỪ KHÓA LIÊN QUAN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w