Phần 2 - Định tuyến Định tuyến là cách thức mà Router bộ định tuyến hay PC hoặc thiết bị mạng khác sử dụng để truyền phát các gói tin tới địa chỉ đích trên mạng... Nguyên tắc định tuyế
Trang 1ỨNG DỤNG TRUYỀN THÔNG & AN NINH THÔNG TIN
Trang 3An ninh hoạt động như thế nào
Bảo vệ chống lại những tấn công mạng từ bên trong và bên ngoài
Đảm bảo tính riêng tư của tất cả các liên lạc, ở bất cứ đâu và vào bất cứ lúc nào
Kiểm soát truy cập thông tin bằng cách xác định chính xác người dùng và hệ thống của họ
Giúp bạn trở nên tin cậy hơn
Trang 4Lợi ích khi sử dụng An ninh mạng đối với Doanh nghiệp
Nâng cao năng suất khi đang ở ngoài văn phòng
Năng suất cao hơn
Ít lãng phí thời gian do spam hơn
Đạo đức và cộng tác tốt hơn giữa các nhân viên
Giảm chi phí
Tránh được gián đoạn dịch vụ
Các dịch vụ tiên tiến được phát triển an toàn
Trang 5Phần 2 - Định tuyến
Định tuyến là cách thức mà Router (bộ định tuyến) hay
PC (hoặc thiết bị mạng khác) sử dụng để truyền phát các gói tin tới địa chỉ đích trên mạng
Trang 7Nguyên tắc định tuyến tĩnh
Định tuyến tĩnh được sử dung trong các trường hợp:
Khi không cần thiết có thông tin cập nhật định tuyến động, được
chuyển tiếp qua các liên kết băng thông chậm, như DialUp.
Khi người quản trị cần toàn quyền kiểm soát các tuyến đường được
sử dụng bởi Router.
Khi cần thiết có 1 bản backup tự động các tuyến đường được xác định
Khi cần sử dụng mạng stub network (mạng chỉ có một con đường để
đi ra bên ngoài)
Khi một bộ định tuyến là không đủ mạnh và không có tài nguyên CPU hoặc bộ nhớ cần thiết để xử lý một giao thức định tuyến động.
Khi tuyến đường xuất hiện trên Router như là 1 mạng kết nối trực tiếp.
Trang 8Cấu hình định tuyến tĩnh
Router(config)#ip route {destination network} {subnet mask}
{nexthop ip address | outgoing interface} [distance] <administrative distance>
Trang 9Nguyên tắc định tuyến động
Định tuyến động cho phép mạng có thể tự điều chỉnh tự động khi có sự thay đổi trong cấu trúc mạng, mà không cần sự can thiệp của người quản trị.
Người quản trị sẽ cấu hình giao thức định tuyến trên mỗi Router.
Các router trao đổi thông tin các về mạng được truy cập và trạng thái của mỗi mạng.
Các router trao đổi thông tin với các router có cùng giao thức.
Khi có sự thay đổi về cấu trúc mạng, thông tin mới sẽ được lan
truyền trên toàn mạng, và các router cập nhật nó vào bảng định tuyến
để ánh xạ cho sự thay đổi đó.
Một số giao thức định tuyến: RIP, IGRP, EIGRP, OSPF, IS-IS và BGP
Trang 10Phần 3 : Removing protocol & services
Extended Access List cho phép hoặc loại bỏ (permit / deny) traffic theo protocol và service port:
Router(config)#access-list {access-list-number} {deny|permit} {protocol} [source
address] [destination address] {service port|eq service}
access-list-number: Với Extended Access list, chỉ số này nằm trong khoảng
100-199, 2000-2069
Protocol:
0 – 255 IP protocol number hoặc các protocol phổ biến sau:
ahp Authentication Header Protocol
eigrp Cisco’s EIGRP routing protocol
esp Encapsulation Security Payload
gre Cisco’s GRE tunneling
icmp Internet Control Message Protocol
ip Any Internet Protocol
ospf OSPF routing protocol
tcp Transmission Control Protocol
udp User Datagram Protocol
Trang 11Services và port number tương ứng:
21: File Transfer Protocol (FTP)
22: Secure Shell (SSH)
23: Telnet remote login service
25: Simple Mail Transfer Protocol (SMTP)
53: Domain Name System service
80: Hypertext Transfer Protocol (HTTP) used in the World Wide Web
110: Post Office Protocol (POP)
119: Network News Transfer Protocol (NNTP)
161: Simple Network Management Protocol (SNMP)
443: HTTPs with Transport Layer Security or Secure Sockets Layer
Trang 121220 TCP QuickTime Streaming Server administration
1234 UDP VLC media player Default port for UDP/RTP stream
1293 TCP UDP IPSec (Internet Protocol Security)
1352 TCP IBM Lotus Notes/Domino[36] (RPC) protocol
1470 TCP Solarwinds Kiwi Log Server
1503 TCP UDP Windows Live Messenger (Whiteboard and Application
Sharing)
1512 TCP UDP Microsoft Windows Internet Name Service (WINS)
1513 TCP UDP Garena Garena Gaming Client
Trang 13 Dynamic, private or ephemeral ports: 49152–65535
Gồm các port được sử dụng mà không cần đăng kí với IANA,
sử dụng trong các dịch vụ chạy trong mạng nội bộ, hoặc các dịch
vụ phát triển riêng.
Trang 144 Creating Access Control Lists
Các loại ACLs:
Có 2 loại Access lists là: Standard Access Lists, Extended Access lists
Standard ACLs: Lọc (Filter) địa chỉ ip nguồn (Source) vào trong
mạng – đặt gần đích (Destination)
Extended ACLs: Lọc địa chỉ ip nguồn và đích của 1 gói tin
(packet), giao thức tầng “Network layer header” như TCP, UDP, ICMP…, và port numbers trong tầng “Transport layer header” Nên đặt gần nguồn (source)
Trang 15Standard Access lists.
Standard ACLs sử dụng số từ 1 -> 99 hay 1300 -> 1999.
Có 2 bước để tạo ACLs:
+ Định nghĩa danh sách ACLs để đặt vào interface
router(config)#access-list [#] [permit deny] [source address]
[wildcard mask] [log]
Trang 16Extended Access lists.
Extanded ACLs sử dụng số từ 100 -> 199 hay 2000 -> 2699.
Cũng giống standard ACL và thêm một số cách lọc gói tin như:
+ Source and destination IP address (Địa chỉ nguồn địa chỉ đích) + IP protocol – TCP, UDP, ICMP, and so on( cấm giao thức) + Port information (WWW, DNS, FTP, TELNET, etc)( cấm các dịch
vụ thông qua các cổng hoạt động của nó) Các lệnh cấu hình:
Ta cũng thực hiện 2 bước giống như Standard ACLs
Tạo accesslist tại global config mode:
router(config)#access-list [#] [permit deny] [protocol] [source address] [wildcard mask] [operator source port] [destination address] [wildcard mask] [operator destination port] [log]
Trang 175 Implementing Access Control Lists
Cách đặt ACLs.
Inbound ACLs.
+ Inbound: nói nôm na là 1 cái cổng vào(theo chiều đi vào của gói tin) trên Router những gói tin sẽ được xử lý thông qua ACL trước khi được định tuyến ra ngoài (outbound interface) Tại đây những gói tin sẽ
“dropped” nếu không trùng với bảng định tuyến (routing table), nếu gói tin (packet) được chấp nhận nó sẽ được xử lý trước khi chuyển giao
(transmission)
Outbound ACLs.
+ Outbound: là cổng đi ra của gói tin trên Router, những gói tin sẽ được định tuyến đến outbound interface và xử lý thông qua ACLs, trước khi đưa đến ngoài hàng đợi (outbound queue)
Trang 18Hoạt động của ACLs.
ACL sẽ được thực hiện theo trình tự của các câu lệnh trong danh sách cấu hình khi tạo access-list Nếu có một điều kiện được so khớp (matched) trong danh sách thì nó sẽ thực hiện, và các câu lệnh còn lại sẽ không được kiểm tra nữa.Trường hợp tất cả các câu lệnh trong danh sách đều không
khớp (unmatched) thì một câu lệnh mặc định “deny any” được thực hiện
Cuối access-list mặc định sẽ là lệnh loại bỏ tất cả (deny all) Vì vậy, trong access-list cần phải có ít nhất một câu lệnh permit.
Khi packet đi vào một interface, router sẽ kiểm tra xem có một ACL trong inbound interface hay không, nếu có packet sẽ được kiểm tra đối
chiếu với những điều kiện trong danh sách
Nếu packet đó được cho phép (allow) nó sẽ tiếp tục được kiểm tra trong bảng routing để quyết định chọn interface để đi đến đích
Tiếp đó, router sẽ kiểm tra xem outbound interface có ACL hay
không Nếu không thì packet có thể sẽ được gửi tới mạng đích Nếu có
ACL ở outbound interface, nó sẽ kiểm tra đối chiếu với những điều kiện trong danh sách ACL đó
Trang 19Quản lý các ACLs.
Hiển thị tất cả ACLs đang sử dụng Router(config)#show running-config
Xem ACLs hoạt động trên interface nào đó Router(config)#show interface [ # ] Xem việc đặt và hướng đi của ip ACLs: Router(config)#show ip interfaces [ # ] Xem những câu lệnh ACLs: Router(config)#show access-list [ # ]
Hiển thị tất cả ip ACLs: Router#show ip access-list
Hiển thị ip ACL 100: Router#show ip access-list 100
Xóa bộ đếm (to clear the counters use):
router(config)#show access-list [ # ]
router(config)#clear access-list counter [ # ]
Xóa Access list
router(config)#no ip access-list [standard-extended][#]
router(config)#interface [interface-number]
(config-if)#no access-list [#] [permit deny] [source address] [wildcard mask]
Trang 20Chú ý:
Chỉ có thể thiết lập 1 ACL trên giao thức cho mỗi hướng trên mỗi interface Một interface có thể có nhiều ACL
Router không thể lọc traffic mà bắt đầu từ chính nó
Câu lệnh nào đặt trước thì xử lý trước Khi 1 câu lệnh mới thêm vào danh sách, nó sẽ đặt cuối danh sách
Standard ACLs: Nên đặt gần đích của traffic
Extended ACLs: Nên đặt gần nguồn của traffic
Mặc định cả hai lệnh “the Access-Group” hay “the Access-Class” theo
chiều “OUT”
Trang 21PHẦN 6 : LOGGING CONCEPTS
1 Syslog là gì?
Đó là một công cụ (Kiwi-Syslog ) sử dụng để lưu trữ các sự kiện xảy ra
trên một thiết bị, hệ thống phục vụ cho công tác quản trị, phát hiện các xâm nhập trái phép Syslog được xây dựng dựa trên các Trap (tức là phân loại các sự kiện ) có tất cả khoảng 7 Trap Nhưng thông thường thì chỉ dùng
Trap Information với Trap Debugging
Câu lệnh để cấu hình :
Router(config)#logging <địa chỉ IP của máy cài phần mềm Syslog>
Router(config)#logging trap debugging (có thể thay thế debugging là 7).
Chú ý: có thể logging nhiều IP cùng 1 lúc cũng được, lúc này các thông tin
log tới tất cả IP mà bạn khai báo trong danh sách đó Trong router vào
system maintance -> syslog ( enable syslog, gõ địa chỉ ip cua máy cài
syslog theo dõi ) Như thế thì PC cài syslog mới thấy được thông tin
Trang 221 Syslog ?
Syslog sử dụng User Datagram Protocol (UDP), cổng 514 mặc định để truyền
dữ liệu Một gói tin syslog sẽ giới hạn trong 1024 bytes gồm 5 thông tin sau :
+ Facility (1) : phân loại nguồn sinh ra syslog (ứng dụng,hệ điều hành,các
tiến trình ) Mặc định, thiết bị sử dụng Cisco IOS , CatOS switches, và VPN
3000 Concentrators sử dụng facility là local7 , trong khi đó Cisco PIX
Firewalls sử dụng local4 trong thông tin syslog
+ Severity (2) : Mức độ phát sinh ra các thông tin syslog được phân chia ra
0 Emergency: System is unusable.
1 Alert: Action must be taken immediately
2 Critical: Critical conditions
3 Error: Error conditions
4 Warning: Warning conditions
5 Notice: Normal but significant condition
6 Informational: Informational messages
7 Debug: Debug-level messages
Trang 23 Thiết bị Cisco sử dụng mức Emergency đến Warning để thông báo các
vấn đề liên quan các vấn đề về phần mềm và phần cứng Tiến trình khởi động lại ,cổng up/down thì được gởi với mức Notice Hệ thống khởi động lại là mức Informational Kết quả của lệnh debug là mức Debug
+ Hostname (3): Có thể là tên hoặc Ip của thiết bị sinh ra syslog
+ Timestamp(4) :Thời gian sinh ra syslog theo định dạng MMM DD
HH:MM:SS Thời gian sinh ra syslog phải chính xác nên khi triển khai dịch
vụ này ta thường kết hợp với giao thức NTP(Network Time Protocol) để đồng bộ thông tin về thời gian trên tất cả thiết bị
+ Message (5): Nội dung Syslog
Trang 242 Set up
Trang 253 Cấu Hình:
R0(config)#int fastEthernet 0/0
R0(config-if)#ip add 192.168.3.10 255.255.255.0
R0(config-if)#no shutdown
R0#ping 192.168.3.2 ( Ping kiểm tra đến máy cài Kiwi-Syslog server.)
R0(config)#logging 192.168.3.2 ( IP của Syslog Server, để Router ghi log)R0(config)#logging trap 7
R0(config)#end
R0(config)#logging buffered 4096(Khai báo logging buffer -tính bytes) R0(config)#end
R0#show logging