BÁO CÁO ĐỀ TÀI ROUTER VÀ ACCESS-LIST

BÁO CÁO ĐỀ TÀI ROUTER VÀ ACCESS-LIST

MỤC LỤC

PHẦN 1 : TỔNG QUAN VỀ AN NINH MẠNG CISCO 2

PHẦN 2 NGUYÊN TẮC ĐỊNH TUYẾN 7

PHẦN 3 REMOVING PROTOCOL VÀ SERVICES 16

PHẦN 4: ACCESS CONTROL LISTS (ACL) 19

PHẦN 5: ACCESS-LIST VÀ ROUTE-FILTERING 27

PHẦN 6 CấU HÌNH SYSLOG CHO ROUTER (LOGGING CONCEPTS) 34

PHẦN 1 : TỔNG QUAN VỀ AN NINH MẠNG CISCO

1 An ninh Mạng là gì?

Có những lúc, ví dụ như khi bạn rời văn phòng về nhà khi kết thúc ngày làm việc, bạn sẽ bật hệ thống cảnh báo an ninh và đóng cửa để bảo vệ văn phòng và thiết bị Dường như bạn cũng sẽ có một ngăn chứa an toàn hoặc khóa tủ lưu trữ các tài liệu kinh doanh mật

Mạng máy tính của bạn cũng đỏi hỏi cùng một mức độ bảo vệ như vậy

Các công nghệ An ninh Mạng bảo vệ mạng của bạn trước việc đánh cắp và sử dụng sai mục đích thông tin kinh doanh bí mật và chống lại tấn công bằng mã độc từ

vi rút và sâu máy tính trên mạng Internet Nếu không có An ninh Mạng được triển khai, công ty của bạn sẽ gặp rủi ro trước xâm nhập trái phép, sự ngừng trệ hoạt động của mạng, sự gián đoạn dịch vụ, sự không tuân thủ quy định và thậm chí là các hành động phạm pháp nữa

2 An ninh hoạt động như thế nào

An ninh Mạng không chỉ dựa vào một phương pháp mà sử dụng một tập hợp các rào cản để bảo vệ doanh nghiệp của bạn theo những cách khác nhau Ngay cả khi một giải pháp gặp sự cố thì giải pháp khác vẫn bảo vệ được công ty và dữ liệu của bạn trước đa dạng các loại tấn công mạng

Các thông tin an ninh trên mạng của bạn có nghĩa là thông tin có giá trị mà bạn dựa vào để tiến hành kinh doanh là luôn sẵn có đối với bạn và được bảo vệ trước các tấn công Cụ thể, An ninh Mạng là:

Bảo vệ chống lại những tấn công mạng từ bên trong và bên ngoài Các tấn

công có thể xuất phát từ cả hai phía, từ bên trong và từ bên ngoài tường lửa của doanh nghiệp của bạn Một hệ thống an ninh hiệu quả sẽ giám sát tất cả các hoạt động mạng, cảnh báo về những hành động vi phạm và thực hiện những phản ứng thích hợp

Đảm bảo tính riêng tư của tất cả các liên lạc, ở bất cứ đâu và vào bất cứ lúc

đảm bảo rằng hoạt động truyền thông của họ vẫn được riêng tư và được bảo

Giúp bạn trở nên tin cậy hơn Bởi vì các công nghệ an ninh cho phép hệ

thống của bạn ngăn chặn những dạng tấn công đã biết và thích ứng với những dạng tấn công mới, nhân viên, khách hàng và các doanh nghiệp có thể an tâm rằng dữ liệu của họ được an toàn

3 Các doanh nghiệp đang sử dụng các công nghệ an ninh như thế nào

An ninh Mạng đã trở thành một yêu cầu đối với doanh nghiệp, đặc biệt là những doanh nghiệp hoạt động trên mạng Internet Khách hàng, nhà cung cấp và đối tác kinh doanh của bạn kỳ vọng vào bạn để bảo vệ bất kỳ thông tin nào mà họ chia sẻ với bạn

Trong khi An ninh Mạng đã gần như trở thành một yêu cầu tiên quyết để vận hành một doanh nghiệp, nó cũng mang lại lợi ích theo nhiều cách khác nhau Dưới đây là những lợi ích mà các doanh nghiệp thu được từ một mạng được bảo vệ an toàn:

b Di động

Bảo vệ truy cập di động

Nâng cao năng suất khi đang ở ngoài văn phòng

Giải pháp An ninh Mạng mạnh mẽ cho phép nhân viên của bạn truy cập an toàn trên đường đi hoặc từ nhà riêng mà không làm lây lan vi rút hoặc các dạng tấn công khác Truy cập mạng an toàn, thuận tiện có nghĩa là nhân viên có thể sử dụng thông tin quan trọng khi họ cần, giúp họ trở nên có năng suất cao hơn ngay cả khi họ không ngồi trước bàn làm việc

c Năng suất cao hơn

Ít lãng phí thời gian do spam hơn

Đạo đức và cộng tác tốt hơn giữa các nhân viên

Một hệ thống An ninh Mạng hiệu quả có thể nâng cao năng suất trên phạm vi toàn bộ tổ chức của bạn Nhân viên mất ít thời gian hơn vào những công việc không

có năng suất như là chống spam và diệt vi rút Mạng và kết nối Internet của bạn luôn được an toàn, đảm bảo rằng bạn và nhân viên của mình có truy cập thường xuyên đến Internet và e-mail

d Giảm chi phí

Tránh được gián đoạn dịch vụ

Các dịch vụ tiên tiến được phát triển an toàn

Sự gián đoạn hoạt động của mạng gây thiệt hại lớn đối với mọi thể loại doanh nghiệp Bằng cách đảm bảo rằng mạng và kết nối Internet của bạn là an toàn và hoạt động liên tục, bạn có thể đảm bảo rằng khách hàng có thể tiếp cận bạn khi họ cần đến bạn An ninh hiệu quả cho phép doanh nghiệp của bạn bổ sung các dịch vụ

và ứng dụng mới mà không làm ảnh hưởng đến hiệu năng mạng Sử dụng một khuynh hướng chủ động để bảo vệ dữ liệu của bạn sẽ đảm bảo rằng doanh nghiệp của bạn sẽ tồn tại và hoạt động theo yêu cầu

Khi công ty của bạn tăng trưởng, nhu cầu về mạng cũng thay đổi Việc thiết lập một mạng an toàn, mạnh mẽ ngay từ hôm nay sẽ cho phép công ty bạn bổ sung những chức năng tiên tiến như là kết nối mạng không dây an toàn hoặc thoại và hội nghị

4 Bắt đầu với An ninh Mạng

Tùy theo nhu cầu của doanh nghiệp bạn với những công nghệ an ninh thích hợp

là bước đầu tiên để bắt đầu một dự án an ninh mạng

Sử dụng danh sách những cân nhắc dưới đây để giúp bạn bắt đầu:

a Cấp độ an ninh hiện tại của bạn

Khám phá về những tính năng an ninh mà mạng của bạn đã có Danh sách này

sẽ giúp xác định những thiếu hụt trong các phương pháp bảo vệ hiện tại của bạn

Mạng hiện tại có cung cấp tường lửa, mạng riêng ảo, ngăn chặn xâm nhập, chống vi rút, một mạng không dây an toàn, phát hiện bất thường và quản lý danh tính cũng như phê duyệt tuân thủ hay không?

Những tính năng này có giao tiếp với nhau không?

Những tài sản này nằm ở đâu trong doanh nghiệp của bạn?

c Truyền tải thông tin

Đánh giá xem thông tin đang được chia sẻ như thế nào ở bên trong và bên ngoài công ty của bạn

Nhân viên của bạn có cần truy cập nhanh đến thông tin nội bộ để thực hiện công việc của họ không?

Bạn có chia sẻ dữ liệu bên ngoài bốn bức tường của doanh nghiệp không? Bạn kiểm soát việc ai có thể truy cập đến thông tin này như thế nào?

Bạn có cung cấp những cấp độ khác nhau về truy cập cho những người dùng mạng khác nhau không?

d Các kế hoạch phát triển

Công ty bạn có đang lập kế hoạch bổ sung thêm các tính năng tiên tiến vào hệ thống của mình không? Hệ thống của bạn cần phải thích ứng và linh động đến đâu? Giải pháp an ninh của bạn cần phải có thể hỗ trợ được sự gia tăng lưu lượng mạng hoặc các ứng dụng tiên tiến mà không làm gián đoạn dịch vụ

e Đánh giá rủi ro

Xác định xem những hậu quả của một vụ tấn công an ninh có vượt khỏi phạm vi

về tổn thất năng suất và gián đoạn dịch vụ không

Môi trường kinh doanh của bạn bị điều chỉnh về mặt pháp lý đến mức độ nào?

Rủi ro của việc không tuân thủ quy định là gì?

Doanh nghiệp của bạn có thể chấp nhận được mức độ gián đoạn thời gian hoạt động đến mức độ nào trước khi tổn thất về tài chính hoặc uy tín xảy ra?

f Dễ sử dụng

Một công nghệ an ninh tốt nhất cũng sẽ không mang lại cho bạn lợi ích nào cả nếu nó không được lắp đặt và sử dụng dễ dàng Hãy đảm bảo là bạn có các tài nguyên để quản lý hệ thống mà bạn đã lắp đặt

:

Router(config)#ip route {destination network} {subnet mask} {nexthop ip address |

outgoing interface} <administrative distance>

Router#show running-config

Router#show ip route

B DYNAMIC ROUTING

Routing Protocol (giao thức định tuyến)

Các loại giao thức định tuyến:

Distance Vector: RIP, IGRP Hoạt động theo nguyên tắt "hàng xóm", nghĩa là

mỗi router sẻ gửi bảng routing-table của chính mình cho tất cả các router được nối trực tiếp với mình Các router đó sau đo so sánh với bản routing-table mà mình hiện

có và kiểm xem route của mình và route mới nhận được, route nào tốt hơn sẻ được cập nhất Các routing-update sẻ được gởi theo định kỳ (30 giây với RIP , 60 giây đối với RIP-novell, 90 giây đối với IGRP) Do đó, khi có sự thay đổi trong mạng, các router sẻ biết được khúc mạng nào down liền

Do phải cập nhật định kỳ các routing-table, nên một lượng bandwidth đáng

kể sẽ bị lãng phí, throughput giảm đi mặc dù mạng không có thay đổi

Các Router hội tụ chậm, sẻ dẫn đến việc sai lệch trong bảng route, thiếu ổn định (route flaping), Routing LOOP

Link-state: Linkstate không gởi routing-update, mà chỉ gởi tình trạng [state] của

các cái link trong linkstate-database của mình đi cho các router khác, để rồi tự mỗi router sẽ chạy giải thuật shortest path first (giao thức OSPF - open shortest path first), tự xây dựng bảng routing-table cho mình Sau đó khi mạng đả hội tụ, link-state protocol sẻ không gởi update định kỳ như Distance-vector, mà chỉ gởi khi nào có một sự thay đổi trong topology mạng (1 line bị down, cần sử dụng đường back-up)

Ưu điểm:

Scalable: có thể thích nghi được với đa số hệ thống, cho phép người thiết kế

có thễ thiết kế mạng linh hoạt, phản ứng nhanh với thay đổi sảy ra

Do không gởi interval-update, nên link state bảo đảm được băng thông cho các đưởng mạng

Khuyết điểm:

Do router phải sử lý nhiều, nên chiếm nhiều tài nguyên, giảm performance Một khuyết điểm nửa là: linkstate khá khó cấu hình để chạy tốt , những người làm việc có kinh nghiệm lâu thì mới cấu hình tốt được, do đó các kỳ thi cao cấp của Cisco chú trọng khá kỷ đến linkstate

:

Routing Information Protocol (RIP)

Interior Gateway Routing Protocol (IGRP)

Enhanced Interior Gateway Routing Protocol (EIGRP)

Open Shortest Path First (OSPF)

a RIP

Administrative distance là 120

2 RIP v1: classful (không gửi subnetmask)

(có kèm theo subnetmask), authentication

Cấu hình

: Router(config)#router rip

: Router(config-router)#network <network address>

Kiểm tra hoạt động

Show ip protocol

Show ip route

Debug ip rip để quan sát việc RIP cập nhật bằng cách gửi và nhận trên router

No debug ip rip hoặc undebug all để tắt chế độ debug

Show ip protocol để xem routing protocol timer

Show protocols xem các protocols nào được cấu hình trên các interface

b IGRP

Vector

ết hợp giữa băng thông (bandwidth) và độ trễ

Administrative distance là 100

classful (không gửi subnetmask)

Là giao thức riêng của Cisco

Cấu hình

: Router(config)#router igrp <AS>

: Router(config-router)#network <network address>

(*) AS (Autonomous System): là một mạng được quản trị chung với các chính sách định tuyến chung Giao thức IGRP sử dụng AS để tạo các nhóm router cùng chia sẻ thông tin tìm đường với nhau

Kiểm tra hoạt động

Show ip protocol

Show ip route

Debug ip igrp events để xem các cập nhật của IGRP được gửi và nhận trên router

Show ip protocol để xem routing protocol timer

Show protocols xem các protocols nào được cấu hình trên các interface

Debug ip igrp transactions để xem các sự IGRP events được xử lý trên router

c EIGRP

) -vector

/CIDR

: bandwidth, delay, load, reliability

cost)

(unequal-90

mạng không liên tục

Cấu hình

: Router(config)# router eigrp <AS number>

/CIDR

, topology database

110

Cấu hình

Router(config)#router ospf <process ID>

Router(config-router)#network <network number><wildcard mask> area <area ID>

: show ip route, show ip ospf, show ip ospf database, show ip ospf interface, show ip ospf neighbor

PHẦN 3 REMOVING PROTOCOL VÀ SERVICES

Extended Access List cho phép hoặc loại bỏ (permit / deny) traffic theo protocol và service port:

Router(config)#access-list {access-list-number} {deny|permit} {protocol} [source

address] [destination address] {service port|eq service}

access-list-number: Với Extended Access list, chỉ số này nằm trong khoảng

100-199, 2000-2069

Protocol:

0 – 255 IP protocol number (tham khảo tại

hoặc các protocol phổ biến sau:

Ahp Authentication Header Protocol

Eigrp Cisco's EIGRP routing protocol

Esp Encapsulation Security Payload

Icmp Internet Control Message Protocol

Igmp Internet Gateway Message Protocol

Ip Any Internet Protocol

Ipinip IP in IP tunneling

Nos KA9Q NOS compatible IP over IP tunneling

ospf OSPF routing protocol

pcp Payload Compression Protocol

pim Protocol Independent Multicast

tcp Transmission Control Protocol

udp User Datagram Protocol

Services và port number tương ứng:

Well-known ports: 0–1023

 Tham khảo đầy đủ tại

http://www.iana.org/assignments/port-numbershttp://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers#Reg

 21: File Transfer Protocol (FTP)

 22: Secure Shell (SSH)

 23: Telnet remote login service

 25: Simple Mail Transfer Protocol (SMTP)

 53: Domain Name System service

 80: Hypertext Transfer Protocol (HTTP) used in the World Wide Web

 110: Post Office Protocol (POP)

 119: Network News Transfer Protocol (NNTP)

 161: Simple Network Management Protocol (SNMP)

 443: HTTPs with Transport Layer Security or Secure Sockets Layer

Registered ports: 1024–49151

 Tham khảo đầy đủ tại

http://www.iana.org/assignments/port-numbershttp://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers#Reg

 1080 TCP SOCKS proxy

 1167 UDP phone, conference calling

 1194 TCP UDP OpenVPN

 1220 TCP QuickTime Streaming Server administration

 1234 UDP VLC media player Default port for UDP/RTP stream

 1293 TCP UDP IPSec (Internet Protocol Security)

 1352 TCP IBM Lotus Notes/Domino[36]

(RPC) protocol

 1470 TCP Solarwinds Kiwi Log Server

 1503 TCP UDP Windows Live Messenger (Whiteboard and Application Sharing)

 1512 TCP UDP Microsoft Windows Internet Name Service (WINS)

 1513 TCP UDP Garena Garena Gaming Client

Dynamic, private or ephemeral ports: 49152–65535 Gồm các port được sử dụng

mà không cần đăng kí với IANA, sử dụng trong các dịch vụ chạy trong mạng nội bộ, hoặc các dịch vụ phát triển riêng

PHẦN 4: ACCESS CONTROL LISTS (ACL)

I Một số khái niệm về ACL

ACL là một danh sách các câu lệnh được áp đặt vào các cổng (interface) của router Danh sách này chỉ ra cho router biết loại packet nào được chấp nhận (allow) và loại packet nào bị hủy bỏ (deny) Sự chấp nhận và huỷ bỏ này có thể dựa vào địa chỉ nguồn, địa chỉ đích hoặc chỉ số port

1 Tại sao phải sữ dụng ACLs?

Có 2 loại Access lists là: Standard Access lists và Extended Access lists

Standard ACLs: Lọc (Filter) địa chỉ ip nguồn (Source) vào trong mạng nên

được đặt gần đích (Destination)

Extended ACLs: Lọc địa chỉ ip nguồn và đích của 1 gói tin (packet), giao thức

tầng “Network layer header” như TCP, UDP, ICMP…, và port numbers trong tầng

“Transport layer header” Nên đặt gần nguồn (source)

Complex ACLs: Ngoài ra còn có thêm các ACLs khác như: Dynamic ACLs,

Reflexive ACLs, Time-base ACLs

 Dynamic ACLs:

Lock and key cho phép lọc các ip tracffic động

Dùng ACLs extended trong việc tạo ra các ACLs bảo mật hơn

Sử dụng khi có host từ xa muốn truy cập đến localhost

 Reflexive ACLs:

Ngăn chặn những traffic lạ từ ngoài vào trong localhost Những tracffic từ trong ra ngoài thì được cho phép từ ngoài đi vào trong

4 Hoạt động của ACLs

- ACL sẽ được thực hiện theo trình tự của các câu lệnh trong danh sách cấu hình khi tạo access-list Nếu có một điều kiện được so khớp (matched) trong danh