Danh sách truy cập chuẩn mạng TCP/IP Danh sách truy cập chuẩn mạng TCP/IP Bởi: Ngô Bá Hùng, Phạm Thế Phi Danh sách truy cập chuẩn mạng TCP/IP Kiểm tra gói tin với danh sách truy cập Để lọc gói tin TCP/IP, danh sách truy cập hệ điều hành liên mạng Cisco kiểm tra gói tin phần tiêu đề giao thức tầng Tiến trình bao gồm bước kiểm tra sau gói tin: • Kiểm tra địa nguồn danh sách truy cập chuẩn Nhận dạng danh sách truy cập số có giá trị từ đến 99 • Kiểm tra địa đích địa nguồn giao thức danh sách truy cập mở rộng Nhận dạng danh sách số có giá trị từ 100 dến 199 • Kiểm tra số hiệu cổng giao thức TCP UDP điều kiện danh sách truy cập mở rộng Các danh sách nhận dạng số có giá trị từ 100 đến 199 1/8 Danh sách truy cập chuẩn mạng TCP/IP Hình 7.5 – Ví dụ danh sách truy cập gói tin TCP/IP Đối với tất danh sách truy cập giao thức TCP/IP này, sau gói tin kiểm tra để khớp lệnh danh sách, bị từ chối cấp phép để sử dụng giao diện nhóm giao diện truy cập Một số lưu ý thiết lập danh sách truy cập: • Nhà quản trị mạng phải thận trọng đặc tả điều khiển truy cập thứ tự lệnh để thực điều khiển truy cập Chỉ rõ giao thức phép giao thức TCP/IP lại bị từ chối • Chỉ rõ giao thức IP cần kiểm tra Các giao thức IP lại không cần kiểm tra • Sử dụng ký tự đại diện (wildcard) để mô tả luật chọn lọc địa IP Sử dụng bit mặt nạ ký tự đại diện Mặt nạ ký tự đại (Wildcard mask) chuỗi 32 bits dùng để kết hợp với địa IP để xác định xem bit địa IP bỏ qua so sánh với địa IP khác Các mặt nạ ký tự đại diện mô tả xây dựng danh sách truy cập Ý nghĩa bits mặt nạ ký tự đại diện mô tả sau: • Một bits có giá trị mặt nạ đại diện có nghĩa « kiểm tra bit địa IP có vị trí tương ứng với bit » • Một bits có giá trị mặt nạ đại diện có nghĩa « đừng kiểm tra bit địa IP có vị trí tương ứng với bit » 2/8 Danh sách truy cập chuẩn mạng TCP/IP Bằng cách thiết lập mặt nạ ký tự đại diện, nhà quản trị mạng chọn lựa nhiều địa IP để kiểm tra cấp phép từ chối Xem ví dụ hình đây: Ví dụ: Cho địa mạng lớp B 172.16.0.0 Mạng chia thành 256 mạng cách sử dụng bit bytes thứ địa để làm số nhận dạng mạng Nhà quản trị muốn định kiểm tra địa IP mạng từ 172.16.16.0 đến 172.16.31 Các bước suy luận để đưa mặt nạ ký tự đại diện trường hợp sau: • Đầu tiên mặt nạ ký tự đại diện phải kiểm tra hai bytes địa (172.16) Như bits hai bytes mặt nạ ký tự đại diện phải Ta có 0000 0000.0000 0000.-.• Do không kiểm tra địa máy tính mạng nên bit bytes cuối bỏ qua Vì bits bytes cuối mặt nạ ký tự đại diện Ta có 0000 0000.0000 0000.-.1111 1111 • Trong byte thứ ba địa nơi mạng định nghĩa, mặt nạ ký tự đại diện kiểm tra bit vị trí có giá trị thứ 16 địa phải bật (giá trị 1) bits phần cao lại phải tắt (giá trị 0) Vì bits tương ứng mặt nạ ký tự đại diện phải • Bốn bits lại bytes thứ không cần kiểm tra để tạo nên giá trị từ 16 đến 31 Vì bits tương ứng mặt nạ ký tự đại diện tương ứng • Như mặt nạ ký tự đại diện đầy đủ là: 0000 0000.0000 0000.0000 1111.1111 1111 hay 0.0.15.255 Để đơn giản, số router, chẳng hạn CISCO, sử dụng số từ viết tắt để số mặt nạ thường sử dụng: • any: dùng để mặt nạ cho phép tất địa (255.255.255.255) cấm tất (0.0.0.0.) 3/8 Danh sách truy cập chuẩn mạng TCP/IP • host: đặt phía trước địa IP máy tính để kiểm tra tất bit địa Ví dụ: host 172.16.1.1 Cấu hình danh sách truy cập chuẩn cho giao thức IP Phần giới thiệu số lệnh hỗ trợ router Cisco Lệnh access list Lệnh dùng để tạo mục từ danh sách lọc chuẩn Cú pháp sau: access-list access-list-No {permit | deny } source {source-mask} Ý nghĩa tham số: • access-list-No: Là số nhận dạng danh sách truy cập, có giá trị từ đến 99 • permit | deny: Tùy chọn cho phép hay không cho phép giao thông khối địa mô tả phía sau • source: Là địa IP • source-mask: Là mặt nạ ký tự đại diện áp dụng lên khối địa source Lệnh ip access-group Lệnh dùng để liên kết danh sách truy cập tồn vào giao diện Cú pháp sau: ip access-group access-list-No {in/out} • access-list-no: số nhận dạng danh sách truy cập nối kết vào giao diện • in/out: xác định chiều giao thông muốn áp dụng vào hay Một số ví dụ • Tạo danh sách truy cập chuẩn 4/8 Danh sách truy cập chuẩn mạng TCP/IP Ví dụ Danh sách truy cập cho phép giao thông từ mạng nguồn 172.16.0.0 chuyển tiếp qua router Các giao thông mạng khác bị khóa Ví dụ Danh sách truy cập thiết kế để khóa giao thông từ địa IP 172.16.1.13 cho phép luồng giao thông khác chuyển tiếp qua giao diện Ethernet (E0 E1) 5/8 Danh sách truy cập chuẩn mạng TCP/IP Ví dụ Danh sách truy cập thiết kế để khóa luồng giao thông từ mạng 172.16.4.0 cho phép luồng giao thông khác chuyển tiếp Cấu hình danh sách truy cập mở rộng Để điều khiển việc lọc luồng giao thông xác ta sử dụng danh sách điều khiển truy cập mở rộng giao thức IP Các lệnh danh sách truy cập cho phép kiểm tra địa nguồn địa nhận Ngoài danh sách truy cập mở rộng cho phép đặc tả cổng giao thức TCP UDP Các danh sách truy cập mở rộng thường sử dụng số nhận dạng từ 100 đến 199 Phần mô tả lệnh danh sách truy cập mở rộng thường hỗ trợ router Lệnh access-list Lệnh sử dụng để tạo mục từ để diễn giải điều kiện lọc phức tạp Cú pháp sau: access-list access-list-no {permit|deny} protocol source source-mask destination destination-mask [operator operand] [established] • access-list-no: Số nhận dạng danh sách, có giá trị từ 100 đến 199 • permit|deny: định danh sách dùng để cấp phép hay từ chối khối địa theo sau 6/8 Danh sách truy cập chuẩn mạng TCP/IP • protocol: giá trị sau IP, TCP, UDP, ICMP, GRE, IGRP • source destination: Xác định địa IP gởi nhận • source-mask destination-mask: mặt nạ ký tự đại diện cho địa nguồn địa đích • operator operand: phép toán sau lt, gt, eq, neq (nhỏ hơn, lớn hơn, bằng, không bằng), số hiệu cổng • established: Cho phép giao thức TCP trì nối kết Lệnh ip access-group Nối kết danh sách điều khiển nối kết mở rộng với giao diện mạng ngỏ Chỉ cho phép danh sách điều khiển truy cập cổng giao thức Cú pháp sau: ip access-group access-list-no {in|out} • access-list-no: số nhận dạng danh sách điều khiển truy cập mở rộng • in|out: để xác định danh sách điều khiển truy cập áo dụng cho giao diện vào hay Một số ví dụ danh sách điều khiển truy cập mở rộng Ví dụ 1: Danh sách điều khiển truy cập thiết kế phép luồng giao thông từ mạng 172.16.4.0 chuyển đến mạng mạng khác thông qua giao diện E0 7/8 Danh sách truy cập chuẩn mạng TCP/IP Ví dụ 2: Danh sách điều khiển truy cập thiết kế để chi cho phép thư điện tử từ mạng 172.16.4.0 gởi qua giao diện E0 Các luồng giao thông từ mạng khác bị từ chối Nguyên tắc sử dụng danh sách điều khiển truy cập Như ta có hai loại danh sách điều khiển truy cập danh sách điều khiển truy cập chuẩn danh sách điều khiển truy cập mở rộng Danh sách điều khiển truy cập chuẩn gói tin dựa vào địa địa nguồn Chính mạng có nhiều router, cần thiết lập router nằm gần giới bên Ngược lại, danh sách điều khiển truy cập mở rộng cho phép lọc dựa đích đến gói tin, chúng thường đặt router gần máy nguồn để ngăn chặn sớm gói tin đến đích đến không phép 8/8 ... dụ • Tạo danh sách truy cập chuẩn 4/8 Danh sách truy cập chuẩn mạng TCP/IP Ví dụ Danh sách truy cập cho phép giao thông từ mạng nguồn 172.16.0.0 chuyển tiếp qua router Các giao thông mạng khác.. .Danh sách truy cập chuẩn mạng TCP/IP Hình 7.5 – Ví dụ danh sách truy cập gói tin TCP/IP Đối với tất danh sách truy cập giao thức TCP/IP này, sau gói tin kiểm tra để khớp lệnh danh sách, ... khiển truy cập thiết kế phép luồng giao thông từ mạng 172.16.4.0 chuyển đến mạng mạng khác thông qua giao diện E0 7/8 Danh sách truy cập chuẩn mạng TCP/IP Ví dụ 2: Danh sách điều khiển truy cập