Trịnh Quốc Huy 08520143 Phạm Thanh Tân 08520332 Nguyễn Kim Giáp 08520102 Lê Vũ Phương 07520441 Nhóm 10: Router & Access Control Lists GVHD :Tô Nguyễn Nhật Quang Router & ACCESS CONTROL LIST I. Tổng quan an ninh mạng Cisco II. Nguyên tắc định tuyến III. Removing Protocols and Services IV. ACCESS CONTROL LIST V. LOGGING CONCEPTS 2 I. Tổng quan an ninh mạng Cisco  Xác thực và chứng thực  Chứng thực là xác định người dùng, cho phép hoặc từ chối đăng nhập  Cấp phép là xác định quyền truy cập 3 I. Tổng quan an ninh mạng Cisco  Cấu hình SSH cho Router  Sử dung ACL điều khiển truy cập VTY, ACL được dùng để điều chỉnh truy cập của các đối tượng trên router  Cấu hình router được đóng lại để kết thúc nhưng bạn phải mở RSA để nhận cặp khóa và sử dụng, cần một ít thời gian để tạo ra cặp khóa. 4 I. Tổng quan an ninh mạng Cisco  Cấu hình SSH cho Client 5 II. Nguyên tắc định tuyến  Tiến trình ARP 6 II. Nguyên tắc định tuyến  định tuyến Lan-to-Lan 7 II. Nguyên tắc định tuyến  định tuyến Lan-to-Wan 8 II. Nguyên tắc định tuyến  định tuyến tĩnh 9 II. Nguyên tắc định tuyến  định tuyến động 10 [...]... ACLs o Anti-SYN ACLs Bình thường Bị tấn công 28 IV ACCESS CONTROL LIST  Chống lại các cuộc tấn công bằng ACLs o Anti-SYN ACLs Router# configure terminal Router( config) #access- list 170 permit tcp any 192.168.20.0 0.0.0.255 established Router( config) #access- list 170 deny ip any any Router( config)#interface Serial 0 Router( config-if)#ip access- group 170 in Router( config-if)#^Z Router# 29 IV ACCESS CONTROL. .. công bằng ACLs Anti-Land ACLs 30 IV ACCESS CONTROL LIST  Chống lại các cuộc tấn công bằng ACLs Anti-Land ACLs Router# configure terminal Router( config)#interface Serial 0 Router( config-if)#ip address 10.20.30.50 255.255.255.0 Router( config-if)#exit Router( config)# Router( config) #access- list 110 deny ip host 10.20.30.50 host 10.20.30.50 log Router( config) #access- list 110 permit ip any any Router( config)#interface... interface 24 III Removing Protocols and Services 3.3 Source Routing (Định tuyến nguồn) Cho phép client chỉ ra đường đi của 1 gói tin 1 cách cụ thể mà không phụ thuộc vào Routing Table của các Router điều này cho phép một kẻ tấn công vượt qua được hệ thống quan trọng, ví dụ tường lửa Trong hầu hết các trường hợp thì t không cần phải sử dụng tới Source Routing tại bất cứ Router nào Cách vô hiệu hóa dịch... III Removing Protocols and Services MỘT SỐ GIAO THỨC VÀ DỊCH VỤ KHÁC  Maintenance Operations Protocol (MOP) services  BootP  Finger  Small Servers (both TCP and UDP)  Packet Assembler and Disassembler (PAD)  IdentD protocol  Network Time Protocol (NTP) 26 IV ACCESS CONTROL LIST  Chống lại các cuộc tấn công bằng ACLs Sử dụng mô hình này cho việc cấu hình 27 IV ACCESS CONTROL LIST  Chống lại... nối(link-state routing) 12 III Removing Protocols and Services 3.1 CDP Mô tả CDP flood 13 III Removing Protocols and Services Bước 1: Kiểm tra kết nối giữa PC và RouterA tại địa chỉ 192.168.1.1 14 III Removing Protocols and Services Bước 2: Trên PC khởi động bằng đĩa Backtrack ,sử dụng lệnh yersinia -I từ console để chạy phần mềm CDP flood tên là Yersinia 15 III Removing Protocols and Services Bước... thiết bị Cisco : Router# config terminal Router( config)#interface Ethernet 0 Router( config-if)#no cdp enable hoặc tắt hẳn giao thức CDP Router( config)#no cdp run 22 III Removing Protocols and Services 3.2 ICMP (Internet Control Message Protocol) 23 III Removing Protocols and Services Đoạn cấu hình sau trình bày việc vô hiệu hóa ICMP directed broadcast trên cổng giao tiếp serial 1, serial 0 và Ethernet 0... Protocols and Services Bước 4: Kiểm tra lại bảng CDP của routerA bằng lệnh show cdp neighbor hiện tại sẽ không thấy gì 17 III Removing Protocols and Services Bước 5: Tiến hành flood bảng CDP của routerA ,trên phần mềm yersinia nhấn phím x và chọn 1 để bắt đầu flood 18 III Removing Protocols and Services Quá trình flood bắt đầu diễn ra ,ta sẽ thấy Yersinia tạo ra liên tục các gói CDP giả đẩy đến RouterA... Debugging Câu lệnh để cấu hình : Router( config)#logging Router( config)#logging trap debugging (có thể thay thế debugging là 7) Chú ý: có thể logging nhiều IP cùng 1 lúc cũng được V LOGGING CONCEPTS  Syslog sử dụng User Datagram Protocol (UDP), cổng 514 mặc định để truyền dữ liệu Một gói tin syslog sẽ giới hạn trong 1024 bytes gồm 5 thông tin sau : V LOGGING CONCEPTS... Router( config)#interface Serial 0 Router( config-if)#ip access- group 110 in Router( config-if)#^Z Router# 31 V LOGGING CONCEPTS 1 Syslog là gì? Đó là một công cụ (Kiwi-Syslog ) sử dụng để lưu trữ các sự kiện xảy ra trên một thiết bị, hệ thống phục vụ cho công tác quản trị, phát hiện các xâm nhập trái phép Syslog được xây dựng dựa trên các Trap (tức là phân loại các sự kiện ) có tất cả khoảng 7 Trap Nhưng thông thường thì... Yersinia tạo ra liên tục các gói CDP giả đẩy đến RouterA 19 III Removing Protocols and Services Kiểm tra lại bảng CDP của routerA trong qua trình tấn công,ta sẽ thấy số lương CDP entry tăng lên rất nhiều 20 III Removing Protocols and Services Sau một khoảng 1 thời gian ta sẽ thấy báo lỗi bộ nhớ trên router 21 III Removing Protocols and Services Phòng chống: Để phòng chống loại tấn công này ta có nên vô hiệu . 08520143 Phạm Thanh Tân 08520332 Nguyễn Kim Giáp 08520102 Lê Vũ Phương 07520441 Nhóm 10: Router & Access Control Lists GVHD :Tô Nguyễn Nhật Quang Router & ACCESS CONTROL LIST I. Tổng quan an ninh. định tuyến III. Removing Protocols and Services IV. ACCESS CONTROL LIST V. LOGGING CONCEPTS 2 I. Tổng quan an ninh mạng Cisco  Xác thực và chứng thực  Chứng thực là xác định người dùng, cho. cập 3 I. Tổng quan an ninh mạng Cisco  Cấu hình SSH cho Router  Sử dung ACL điều khiển truy cập VTY, ACL được dùng để điều chỉnh truy cập của các đối tượng trên router  Cấu hình router được đóng