Tắt nhiên mục tiêu của bỏa mật không chỉ nằm gói gọn trong lĩnh vực bảo vệ thông tin mà còn nhiều phạm trù khác nhau như là kiểm duyệt web, bảo mật internet, bao vé http, bảo mật trên cá
Trang 1BO GIAO DUC VA DAO TAO TRUONG DAI HOC NGUYEN TAT THANH KHOA CONG NGHE THONG TIN
NGUYEN TAT THANH
BAO CAO DO AN CHUYEN DE KTMT 1 TRIEN KHAI TRUY CAP BAO MAT HA TANG MANG
Giảng viên hướng dẫn: NGUYÊN VĂN THÀNH |
Sinh viên thực hiện: NGUYEN LE ANH NGUYEN
Trang 2BO GIAO DUC VA DAO TAO TRUONG DAI HOC NGUYEN TAT THANH KHOA CONG NGHE THONG TIN
NGUYEN TAT THANH
BAO CAO DO AN CHUYEN DE KTMT 1 TRIEN KHAI TRUY CAP BAO MAT HA TANG MANG
Giảng viên hướng dẫn: NGUYÊN VĂN THÀNH |
Sinh viên thực hiện: NGUYEN LE ANH NGUYEN
Trang 3LOI CAM ON
Trong thời gian làm thực hiện đỗ án, em đã nhận được nhiều sự giúp đỡ, đóng góp
ý kiến và chỉ bảo nhiệt tình của thầy cô và bạn bè
Em xin bày tỏ lòng kính trọng và biết ơn sâu sắc đến thầy Th.s NGUYÊN VĂN THÀNH, trong thời gian học tập, vì đã có những nhắc nhở, chí dạy hằng tuần, hướng
dẫn về những chuẩn trong báo cáo và tài liệu học tập
Em cũng xin chân thành cảm ơn các thầy cô trong trường Đại Học Nguyễn Tất Thành nói chung, các thầy cô trong Khoa Công Nghệ Thông Tín nói riêng đã dạy đỗ cho
em kiến thức về các môn đại cương đã giúp em được cơ sở lý thuyết vững vàng và tạo điều kiện giúp đỡ em trong suốt quá trình học tập
Vì còn thiểu kinh nghiệm cho nên em còn nhiều sai sót trong quá trình học tập,em kính mong quý thây cô có thê bỏ qua và chia sẻ thêm đề em hoàn thành được kỹ năng
bản thân tốt hơn
Em xin chân thành cảm ơn!
Trang 4LOI MO DAU
Cùng với sự phát trién nhanh chong cua nén kinh tế Vấn đề ứng dụng hệ thống, mạng thông tin vào hệ điều hành và sản xuất trong doanh nghiệp ngày càng được đây mạnh Nhà quản lý mong muốn doanh nghiệp sẽ có một hệ thống an toàn mạng Tránh các cuộc tấn công, các rủi ro về mạng, hạn chế các nguy cơ vẻ an toàn thông tin và bao mật cho doanh nghiệp
Đề đáp ứng nhu cầu và sự phát triển của doanh nghiệp thì hệ thống bảo mật an toàn mạng là điều không thể thiêu Qua bài báo cáo chúng ta sẽ tìm hiểu về bảo mật mạng và một số biện pháp phòng tránh an toàn mạng
Trang 5NHAN XET CUA GIAO VIEN
Diém gidng vién hurdng dAni cccccsscssssssssessssssessssssesssssseescesssssaceasesseeeseacesees
Điểm giảng viên chấm VOng 2: sssssecssessesssessessscsnecsssssesescaseaceacsssaseacsasesesneases
Tp.HCM, Ngày tháng năm 2022 Giáo viên chấm vòng 2 Giáo viên hướng dẫn
1H
Trang 6LỜI CẢM ƠN 0.20122122112212 21212211121 e i LOL MG DAU coe cesccsscesssesssesssessssssessressvesssessresssesasissrssiissiessasssestatesseesitsssneeestereees ii NHẬN XÉT CỦA GIÁO VIỂN 222211 2211212122121112212.1212 re Hi
Mục ỦỤC TQ Q01 ST ng ng g1 KHE TS 1 0 5055155111 Tá 1 1111 kế IV
DANH MỤC BẢNG - 5-25 21 2122212212221211221121121111212221211222 vu vi DANH MỤC HÌNH 552 22 211221122112211211122112111221122112121 10012 re Vii CHUGNG 1: TONG QUAN VE BAO MAT HA TANG ceccesscessessseesstessetsnessees 1 1.1 Giới thiệu vé bao mt MAN cece cece ess eeceseeeseseeeesseseceessvsecsesstseceveeeeees 1
1.2 Nhimg tai nguyén can dupe bao Mat cece eecseseeeesvsseeeestsseesseseseeeees 2
CHƯƠNG 2: CÁC PHƯƠNG PHÁP BẢO MẬT MẠNG 52-2 2c 3
2.1 Một số kiêu tắng công mạng: - ST E1 1112112121121 1E re 3 2.1.1 Tân công trực tiẾp: 5c t2 11 1212121 tre re 3 2.1.2 Kỹ thuật đánh lừa: Social Engineerinh cà ncc 22222 esey 4
2.1.3 Kỹ thuật tắn công vùng ấn nh nh HH HH He nu He 5
2.2 Một số phương pháp bảo mật mạng - 2-1 SE E121 E1121111 11x re 6
2.2.1 Bảo mật truy cập thiết bị THẠN Q0 1220212111211 221 1125111550111 1 8c 6
2.2.2 Quy tắc bảo mật AAA (Authenticattion — Authorization — Accounting) .6
2.2.3 Access Control List trong bảo mật mạng ce cece teens 10
CHƯƠNG 3: TRIÊỄN KHAI MỘT SỐ PHƯƠNG PHÁP BẢO MẬT TRUY CẬP THIET BI HA TÂNG MẠNG -Á 1S 1252121151151 1155 111521 1 E2 TH HH HH He 14 3.1 Bảo mật truy cập thiết bị - - S21 2E E11 1E 110121211 treo 14
Trang 73.1.2 Bảo mật truy cập Telnet và SSŠH - 2 222112 ye 22
3.1.3 Quy tắc bảo mật AAA cc c2 1 H211 ngư ờg 24
3.1.4 Dùng máy Domain Controller làm RADIUS Server - - 28
CHƯƠNG 4: KẾT LUẬN - 2s 2222211221121512211221127112211221.211211.1 xe 33 3.1 Về lý thuyẾt c1 TT n1 H11 12H11 HH n1 ngưng 33 3.2 Về thực hành - - 5s 5 221 2122212212712112112112121212212221212 re 33 3.3 Hướng phát triỀn - 5c s c S T1 E1 111211 111101122111 0121 11 1E grree 33 TÀI LIỆU THAM KHẢO 22-22 22222212251121122711211121112112211112210.12121 1e 34
DANH MỤC BẢNG
Trang 8Bang 3 1 Bang quy hoach IP
Trang 9DANH MUC HIN
1 Tam cOmg mang ccccccccccscssceseessessessessessesseseeesvesesstsetsevsvsevevsevevseveess 3
2 Access Controll LÌS( - 2Á n1 SH TH ng HH HH hư 10
1 Mô hình công ty ABC Q Q20 cece HH HH Ha rẻ 14
3 Truy cập vào web abc.vn Q0 nọ HS 2n ng nhờ 16
4 Mô hình mẫu - 552 22 t2E2EE tre ờe 17
Š Mở terminal c1 12t n* nh TT n HT ng ng nh Hư nhện 17
6 Test xóa cấu hình 222 2222221222221 18
7 Lỗi pỉng - n nnn HnnHHH t1 11121 ng re 19
8 Cấu hình mật khẩu cho kết nối Console và Enable 20
9 Yêu cầu mật khẩu - 2 1t E2E1221211211 E12 tt rrrrrrerrye 21
10 M6 hinh thém admin cece ce cence eeteeseeeetseeeesas 22
17 Cấu hình local AAA Authenfication SSH 5S 26
18 Kiểm tra trên PC-A 222cc 2t nn1rrrrre 27
19 User aCCOUHL LH HH TH HH nh nh nhớt 27
21 Line console Á ÁAÁ LH HH HH HH HH Tnhh 27
22 Login - - - 0000211111121 1112211 1121111011111 1111111 K1 HE g0 1111 HE nH 21111111 Eeg 28 PIN g.\ ) 28
24 Xác thực AAA và line consoÌe 2 112221122 này 28
Trang 1026 Cài đặt RADIUS Server Tnhh HH he ne 29
27 Cài đặt RADIUS Server nh He no 29
28 Cài đặt RADIUS Server Tnhh HH ghe no 30
29 cài đặt RADIUS Server Q nn nh 12 ke 31
31 Giao diện RADIUS Server Q0 02.12122221 ườ 32
vill
Trang 11CHUONG 1: TONG QUAN VE BAO MAT HA TANG
1.1 Giới thiệu về bảo mật mạng
Bảo mật là một trong những lĩnh vực rất được quan tâm trong cộng đồng công nghệ thông tin hiện nay Một khi Internet bùng nô, nhu cầu trao đôi thông tin trở nên cần thiết Mục tiêu của web là cho phép mọi người sử dụng các tài nguyên giống nhau từ các vị trí địa lý khác nhau Do đó, các nguồn tài nguyên cũng dễ bị phân tán và xâm nhập, dẫn đến mắt đữ liệu và thông tin có giá trị Càng giao tiếp, bạn càng dễ bị tấn công, đó là một quy
luật
Từ đó, vấn đề bảo mật thông tin cũng đồng thời được xuất hiện và bảo mật ra đời Tắt nhiên mục tiêu của bỏa mật không chỉ nằm gói gọn trong lĩnh vực bảo vệ thông tin
mà còn nhiều phạm trù khác nhau như là kiểm duyệt web, bảo mật internet, bao vé http,
bảo mật trên các hệ thông thanh toán điện tử và giao dịch trực tuyến Mỗi nguy cơ trên
mạng đều là mối nguy hiêm tiềm tàng Từ một lỗ hông bảo mật nhỏ của hệ thống, những nếu biết vận dụng và khai thác với tầng suất cao và kỹ thuật hack điêu luyện thì cũng có thê trở thành tai họa theo thống kê của tô chức bảo mật néi tiéng CERT (Computer Emegancy Response Team) thi số vụ tắn công an ninh mạng ngày cảng tăng lên Cụ thê
năm 1989 có khoản 200 vụ, đến năm 1991 có 400 vụ, đến năm 1994 con số này còn tăng
đáng kể tới mức 1330 vụ và sẽ còn tăng mạnh hơn nữa trong thời gian tới Như vậy, số
vụ tầng công ngày càng tăng lên với mức độ chóng mặt Điều này cũng dễ hiểu thôi vì mọi thử đều tồn tịa song song hai mặt đối lập
Sự phát triển mạnh mẽ của công nghệ thông tin và kỹ thuật sẽ làm cho van nan tan
công và ăn cắp, phá hoại trên mạng internet bùng phát mạnh mẽ Internet là một nơi cực
kì hỗn loạn Mọi thông tin mà bạn thực hiện truyền dẫn đề có nguy cơ bị xâm phạm Thập chí là công khai, bạn có thể hình dung mạng internet là một phòng họp, những gì được trao đổi trong phòng họp đều được người khác nghe thấy Với internet thì những
Trang 12người này không thấy mặt nhau, và việc nghe thấy thông tin này có thê hợp phát hoặc là không hợp pháp, như mạng LAN đến một hệ thống máy tính cũng có thể xâm phạm 1.2 Những tài nguyên cần được bảo mật
Tài nguyên quan trọng nhất chính là dữ liệu, đề bảo mật được dữ liệu chúng ta cần
chú ý dén các yêu tô sau:
- Tinh bao mật: Thông tin không được tiết lộ cho các cá nhân, tổ chức không được phép Hay nói cách khác những người muốn truy cập thông tin phải được phân quyền
- - Tính toàn vẹn dữ liệu: Duy trì tính chính xác và hoàn chỉnh của thông tin Điều này có nghĩa là thông tin không thê được chỉnh sửa một cách trai phép Thông tin chỉ khi được phân quyền mới được phép chỉnh sữa
- _ Tính khả dụng: Việc bảo mật dữ liệu phải có sẵn khi cần thiết Truy cập khi
có yêu cầu ở bắt kì đâu
Tài nguyên thứ hai là những tài nguyên còn lại: Hệ thông mạng, bộ nhớ, hệ thong 6 đĩa và các tài nguyên khác trên hệ thông máy tính Dữ liệu cá nhân cũng là một điều cần
thiết bảo vệ
Các lỗ hổng bảo mật trên một hệ thống cũng là các điểm yêu có thê tạo ra sự chậm trễ của các địch vụ Thêm quyền đôi với người dùng hoặc cho phép các quyền truy cập trái phép vào hệ thống mạng, các lỗ hồng cũng có thể nằm ngay trên các dịch vụ được cung câp như: sendmail, web, tin nhăn rác,
Trang 13CHUONG 2: CAC PHUONG PHAP BAO MAT MANG
2.1 Một số kiểu tắng công mạng:
Hacker luôn có nhiều kiểu tấn công khác nhau, từ những tấn công kiều đơn giãn mà
ai cũng có thể biết đến những kiều tấn công phức tạp tinh vi gây ra hậu quả nghiêm trọng Một trong những kiêu tấn công phôt biến hiện nay như là kỹ thuật đánh lừa, kỹ thuật tấn công từ chối dịch vụ, kỹ thuật tấn công vào vùng ẫn
1 Hình 2 1 Tân công mạng 2.1.1 Tân công trực tiếp:
Sử dụng một máy tính dé tan công vào máy tính khác mục đích dé đò tìm mật mã, tên tài khoản Họ có thê sử dụng một số chương trình có thé giải mã file chứa
password trên hệ thông máy tính của nạn nhân Do đó các mật khâu ngắn đơn giản rất dễ
bị phát hiện
Ngoài ra Hacker có thể tấn công trực tiếp thông qua các lỗi chương trình hay hệ
điều hành làm cho hệ thống tê liệt hoặc hư hỏng Trong một số trường hợp Hacker còn
đoạt được quyền của người quản trị hệ thông
Trang 142.1.2 Kỹ thuật đánh lừa: Social Engineerinh
Đây là kỹ thuật được nhiều Hacker sử dụng cho các cuộc tấn công thâm nhập vào
hệ thông mạng và máy tính bởi vì tính đơn giản và hiệu quả của nó Thường được sử dụng đề lây cấp mật khẩu, thông tin va tấn công phá hủy hệ thông
Người quản trị mạng nên chú ý dè chừng trước những email, messengers, những cú điện thoại khai báo thông tin, những mối quan hệ cá nhân hay những cuộc tiếp xúc đều
là một mối nguy hiểm tiềm tàng
Các hình thức tấn công Social Engineering:
Phishing là hình thức tấn công Social Engineering được sử dụng nhiều nhất
hiện nay Trong đó, tin tặc tạo ra các email hoặc website giả mạo các tô
chức, doanh nghiệp uy tín để dụ người dùng cung cấp thông tin hoặc chuyên tiền Một hình thức tấn công tương tự Phishing là Spear Phishing Diém
khác là Spear Phishing được thiết kế riêng cho một cá nhân hoặc một tô chức cụ thể
Baiting là hình thức tấn công sử dụng mỗi câu đề dụ đỗ nạn nhân sập bấy Vi
du, tin tac lập một website cung cấp một dịch vụ miễn phí nào đó Tuy nhiên, để sử dụng dịch vụ này người đùng cần phải cung cấp thông tin cá nhân của họ Trong trường hợp này, địch vụ miễn phí là môi câu đề tin tặc lấy được thông tin của người ding
Vishing laf sy kết hợp giữa hai từ “voice” và “phishing” Hình thức tấn công này còn được gọi là hình thức lừa đảo bằng giọng nó Thay vì sử đụng email hoặc các trang web gia mao nhu phishing thì vishing sử dụng dịch vụ điện thoai internet (VoIP) dé thu thập thông tin cá nhân và thông tin tài chính từ
nạn nhân
Pretexting la hình thức tấn công trong đó tin tặc tạo ra một kịch bản hoặc
một lý do hợp lý đề lây cắp thông tin của nạn nhân Đề đánh lừa nạn nhân, tin tặc thường mạo danh cảnh sát hoặc phóng viên và tiếp cận qua dịch dụ viên thông Trong cuộc nói chuyện, tin tặc sẽ yêu câu nạn nhân cung câp
Trang 15một số thông tin nhất định để xác định danh tính
- _ Scareware là một chương trình độc hại được tin tặc “ngụy trang” dưới một
ứng dụng hợp pháp Đề thực hiện tấn công scareware, tin tặc sẽ đánh lừa người dùng rằng máy tính của họ bị nhiễm phần mềm độc Sau đó tin tặc đề xuất nạn nhân cài đặt phần mềm scareware để khắc phục vấn đề Thông thường, scareware thường “ngụy trang” dưới cái mác là phần mềm antivirus
- _ Water Holing là hình thức tấn công có chủ đích vào các tô chức/ doanh nghiệp thông qua việc lừa các thành viên truy cập vào các trang web chứa
mã độc Tin tặc thường nhắm đến các trrang web có nhiều người truy cập web đen hoặc tạo ra các trang web riêng đề lừa người dùng Sau đó, tin tặc chèn vào website đó các mã khai thác liên quan đến các lỗ hông trình duyệt Nếu truy cập vào website này, mã độc này sẽ được thực thi và lây nhiễm vào máy tính của người dùng
- Diversion theft trong hinh thir tan công này, tin tặc sẽ lừa một công ty giao
hàng hoặc chuyển phát nhanh nhận hoặc giao sai vị trí Do đó, chúng có thé ngăn chặn các giao dịch được thực hiện
- Honey trap day la hình thức tấn công trong đó tin tặc giá vờ mình là một người “hấp dẫn” Qua đó, chúng tiếp cận vaf tương tác với một người trực tuyến nhằm thu thập thông tin của người đó
- _ Tấn công tailgating còn được gọi là piggybacking Hình thức tân công này
được thực hiện khi tin tặc giá danh làm một nhân viên và lừa người có thâm
quyền đề đột nhập vào công ty Qua đó, chúng có đủ thời gian để vận dụng
và khai thác triệt đề các thông tin quan trọng cần thiết hoặc thiết lập thiết bi
vào hệ thông dé tiếp tục theo dõi và thực hiện âm mưu tân công của mình
- Rogue là một loại phân mềm độc hại Chúng lừa các mục tiêu thanh toán dé loại bỏ những phần mềm độc hại gia mạo
2.1.3 Kỹ thuật tắn công vùng ấn
Những phân bị giấu đi của một website thường chứa những thông tin về các phiên làm việc cua cac client Cac phién làm việc này thường được ghi lại ở máy khách chứ
Trang 16không được tổ chức trên máy chủ Người tấn công có thê sử dụng chiêu thức View Source của trình đuyệt đề đọc phần đầu đi và từ đó có thê tìm ra các sơ hở của trang Web
mà họ muôn tan công
2.2 Một số phương pháp bảo mật mạng
Đi đôi với những phương pháp tấn công mạng thì sẽ có những phương pháp bảo mật mạng đem lại sự an toàn bảo mật mạng cho người dùng
2.2.1 Bảo mật truy cập thiết bị mạng
Bảo mật truy cập bằng password
Các hình thức yêu cầu mật khẩu khi truy cap CLI:
> Console password: yêu cầu mật khâu khi yêu cầu CLI của thiết bi qua cong Console
> Virtual Tele-Typer(VTY) password: yeu cầu mật khâu khi truy cập CLI qua kết nói từ xa (Telnet hay SSH)
> Enable password: yéu cau mat khau khi truy cập vào provolege mode của
CLI trên thiết bị
> Secret password: tương tự như Enable password nhưng mật khâu được bảo mật bằng cách lưu trữ ở dạng mã hóa
Ngoại trừ Secret password, tất cả mật khâu cầu hình trong CLI đều đưới dạng Text
Do đó, đề tăng tính bảo mật lệnh : service password-encrypt sẽ thực hiện mã hóa
(bam) tat cả mat khau MDS
2.2.2 Quy tac bao mat AAA (Authenticattion — Authorization — Accounting) AAA cho phép nhà quản trị mạng biết được các thông tin quan trọng về tình hình cung như mức độ an toàn trong mạng Nó cung cấp việc xác thực (authentication) người
dùng nhằm bảo đảm có thê nhận dạng đúng người dùng Một khi đã nhận dạng người
dùng, ta có thê giới hạn thâm quyền (authorization)mà người dùng có thê làm Khi người dùng sử dụng mạng ta cũng có thể giám sát tat cả những gì họ làm
Trang 17AAA là một bộ quy tắt bảo mật đáp ứng 3 yếu tố:
® - Authentication (Yếu tố xác thực):
oO Ap đặt mọi cuộc truy cập vào thiếc bị Cisco đều phải chứng thực
o Phuong pháp chứng thực: Password only hoặc User/Password
® - Authorization (Yếu tô phân quyền/ủy quyền):
o_ Mỗi người dùng truy cập vào thiết bị sẽ có quyền hạn thao tác theo mức
độ khác nhau
o Cisco IOS dinh nghĩa 16 privileged levels
® Accounting (Yếu tô ghi nhận/Kiểm toán):
o_ Tất cả các hoạt động của người dùng trên thiết bị đều phải được ghi
nhận (Logging)
o_ Dữ liệu logs đáp ứng việc kiểm soát, điều tra khi cần
2.2.2.1 Xác thực người dùng (Authenficafion user):
Xác thực dùng để định danh, nhận dạng (identify user) người dùng Trong suốt quá trình xác thực, username và password của người dùng được kiểm tra và đối chiếu với cơ
sở dữ liệu lưu trong AAA Server hoặc external database Tất nhiên, tùy thuộc vào giao thức mà AAA hỗ trợ mã hóa đến đâu, ít nhất thì cũng mã hóa username và password Xác thực sẽ xác định người dùng là ai
2.2.2.2 Phân quyền ngwoi dung (Authorization user) :
Authorization cho phép nha quan trị điều khiển việc cấp quyền trong một khoảng thời gian, hay trên từng thiết bị, từng nhóm, từng người dùng cụ thê hay trên từng giao
thức AAA cho phép nhà quản trị tạo ra các thuộc tính mô tả các chức năng của người
dùng được phép làm Do đó, người đùng phải được xác thực trước khi cấp quyền cho người đó
Trang 182.2.2.3 Tính cước người dùng
Accounting cho phép nhà quản trị có thé thu thập thông tin như thời gian bắt đầu, thời gian kết thúc người dùng truy cập vào hệ thông, các câu lệnh đã thực thi, thống kê lưu lượng, việc sử dụng tài nguyên và sau đó lưu trữ thông tin trong hệ thống cơ sở đữ liệu quan hệ Nói cách khác, accounting cho phép giám sát dịch vụ và tài nguyên được người dùng sử dụng
2.2.2.4 Giao thức bảo mật AAA
Có hai giao thức bảo mật dùng trong dịch vụ AAA đó là TACACS (Termmal
Access Controller Access Control System) va RADIUS (Remote Authentication Dial-In User Service) Ca hai giao thức đều có phiên bản và thuộc tính riêng Chăng hạn như phiên bản riêng của TACACS là TACACS~, tương thích hoàn toàn với TACACS RADIUS cũng có sự mở rộng khi cho phép khách hàng thêm thông tin xác định được mang bởi RADIUS
2.2.2.4.1 TACACS (Terminal Access Controller Access Control System) TACACS là giao thức sử dụng giao thức hướng kết nối (connection - oriented) là TCP trén port 49
TACACS có các ưu điểm sau:
©_ Với khả năng nhận gói reset (RST) trong TCP, một thiết bi co thé lập tức báo
cho đầu cuối khác biết rằng đã có hỏng hóc trong quá trình truyền
¢ TCP la giao thức mở rộng vì có khả năng xây dựng cơ chế phục hỏi lỗi Nó có thê tương thích để phát triển cũng như làm tắc nghẽn mạng với việc sử dụng sequence number dé truyén lai
¢ Toan bé payload duoc ma hoa voi TACACS+ bang cach str dung mét khoa bi mật chung (shared secret key) TACACS+ danh dau mét truong trong header
đề xác định xem thử có mã hóa hay không
® TACACS+ mã hóa toàn bộ gói bằng việc sử dụng khóa bí mật chung nhưng
bỏ qua header TACACS chuẩn Cùng với header là một trường xác định body
Trang 19có được mã hóa hay không Thường thì trong toàn bộ thao tác, body của một gói được mã hóa hoàn toàn đề truyền thông an toàn
® TACACS+ được chia làm ba phần: xác thực (authentication), cấp quyền (authorization) và tính cước (accounting) Với cách tiếp cận theo module, ta
có thể sử dụng các dang khác của xác thực và vẫn sử dung TACACS+ dé cap
quyền và tính cước Chăng hạn như, việc sử dụng phương thức xác thực Kerberos cùng với việc cấp quyền và tính cước bằng TACACS~+ là rất pho
biến
® _ Với TACACS"+, ta có thê dùng hai phương pháp đề điều khiên việc cấp quyền
thực thi các dòng lệnh của một user hay một nhóm nhiều user:
o Phuong pháp thử nhất là tạo một mức phân quyền (privilege) với một số
câu lệnh giới hạn và user đã xác thực bởi router và TACACS server rồi
thì sẽ được cấp cho mức đặc quyền xác định nói trên
o Phuong phap thứ hai đó là tạo một danh sách các dòng lệnh xác định trên TACACS+ server đề cho phép một user hay một nhóm sử dụng
® TACACS thường được dùng trong môi trường enterprise Nó có nhiều ưu điểm và làm việc tốt đáp ứng yêu cầu quản lý mạng hàng ngày
2.2.2.4.2 RADIUS (Remote Authentication Dial-In User Service)
RADIUS là giao thức bảo mật mạng dựa theo mô hình client-server Nó dùng giao
thức UDP RADIUS server thường chạy trên máy tính Client là các đạng thiết bị có thể truyền thông tin đến RADIUS server được chỉ định trước và sau đó đóng vai trò phúc đáp mà nó trả về Giao tiếp giữa client và RADIUS server được xác thực thông qua việc
sử dụng khóa bí mật chung không được truyền qua mạng
Một số ưu điểm của RADIUS là:
¢ RADIUS co phan overhead ít hơn so với TACACS vì nó sử dụng UDP, trong phần overhead không có địa chỉ đích, port đích
® - Với cách thức phân phối đạng source code, RADIUS là đạng giao thức hoàn
9
Trang 20toàn mở rộng Người dùng có thê thay đổi nó dé làm việc với bát kì hệ thống
bảo mật hiện có
® RADIUS yêu cầu chức năng tính cước (accounting) mở rộng
RADIUS thường được dùng đề tính cước dựa trên tài nguyên đã sử dụng Ví dụ như ISP sẽ tính cước cho người dùng về chỉ phí kết nối Ta có thé cai dat RADIUS Accounting ma khéng can str dung RADIUS dé xac thực và cấp quyền Với chức năng accounting mở rộng, RADIUS cho phép đữ liệu được gửi từ các thiết bị xuất phát cũng như là thiết bị đích, từ đó giúp ta theo dõi việc sử dụng tài nguyên (thời gian, số lượng các gói tin, số lượng byte, ) trong suốt phiên làm việc
2.2.3 Access Control List trong bao mat mang
AÁCL là danh sách chứa các điều kiện xét duyệt cho roufer truy vấn khi cần lọc hoặc
phân loại các gói tim đi ngang qua nó
10
Trang 212.2.3.2 Mục đích sử dụng ACL
® Lọc gói tin (Packet ñlter): các gói tin đi ngang qua Router € truy vẫn ACL € cho (permrf) hoặc hủy bỏ (drop/deny) gói tin đó
® Phân loại gói tin (Packet classification): các gói tin đi ngang qua Router
£ truy vấn ACL © xac dinh loại của gói tin như: GRE, NAT, OSPF, EIRGP
2.2.3.3 Phân loại ACL
® Standard ACL: chi dùng Source IP address của gói tin đi ngang qua Router làm tiêu chí xét duyệt
e Extended ACL: chon nhiéu thanh phan lam tiéu chi xet duyệt như giao thức, Source IP, Source Port, Destination IP, Destination Port
2.2.3.3.1 Standard ACL
Standard ACL la nhitng ban tin ACL đơn giản nhất Chúng được đánh số từ 1-99
néu la number ACL Standard ACL chi loc dia chi nguon trong header cua IP packet, vi
thé chúng hoạt động tại lớp 3 trong mô hình OSI hay lốp internet trong mé hinh TCP/IP Standard ACL co thé duc dat theo chiéu inbound (vao) hodc outbound (ra) trén router (ta hiểu rằng vào hay ra là chiều tương đối đối với mỗi interface), tuy nhién ban tin Standard ACL nên được đặt càng gần destination, và thường theo chiều outbound Vì
Standard ACL chỉ kiểm tra địa chỉ IP nguồn, nên vị trí đặt cần chỉ ra chính xác chiều gói
tin sẽ được cho phép qua hoặc không được cho phép qua
Cau hình Standard ACL
Format Standard ACL
Router(config)#access-list [list number] [permit / deny] [source IP add]
[wildcardmask |
Trong do:
[list number] danh sé cho Standard ACL từ 1-99
ll
Trang 22[permit / deny]: cho phép hoặc không cho phép gói tin qua router
[source IP add]: địa chỉ IP nguồn của gói tin
[wildcard mask]: wildcard mask cua dia chi IP
2.2.3.3.2 Extended ACL
Extended ACL cho phép port number (application), source-destination IP address,
protocol va nhiéu tùy chon Vi thé extended ACL hoat động tại lóp 3 và lớp 4 mô hình OSI Extended ACL citing thé duoc cau hinh inbound hoac outbound trén interface, tuy
nhién vi extended ACL lọc chính xac source/destination IP Address nén vi trí đặt cần tránh tinh trạng hao ton băng thông mạng không cần thiết khi gói tin bi discard “lang thang” trước khi bị đeny Người ta thường thực hiện điều này bằng cách đặt ACL gần
source Extended ACL được sử dụng nhiều đề thiết lap cac routing policy trén router
Cac entry trong Extended ACL rat da đạng, và có khả năng tùy biến cao, hỗ trợ phòng chông nhiêu kiêu tân công
Cau hinh Extended ACL:
Format Standard ACL:
Router(config)#access-list [list number] [permit / deny] [protocol] [source specification] [destination specification] [protocol qualification] [logging] Trong do:
[list number] danh s6 cho standard ACL tr 1-99
[permit / deny]: cho phép hoặc không cho phép gói tin qua route
[protocol]: Giao thức (từ lớp 3 trở lên) của gói tin (lóp 3: “ospf”, “eigrp”, ; lớp 4:
33c
“tcp „ udp”; “icmp”; “ip” đại diện bất kỳ giao thức nào) 33, ces 27, 66s oD
[source specifcation]: Là một chuỗi entry bao gồm [source IP add] [wildcard mask]
[source port number (vói profocol là TCP hoặc UDP)|
12