1.1Hiện Trạng: CCNA Security là bước đầu tiên ở cấp độ cơ bản trong lĩnh vực bảo mật của Cisco. CCNA Security cung cấp cho bạn kiến thức và kỹ năng cần thiết để phát triển một hệ thống hạ tầng an ninh, dự báo và phát hiện các lỗ hổng của hệ thống, giảm thiểu các mối đe dọa từ bên ngoài đối với hệ thống. 1.2Yêu Cầu: Tìm hiểu về các kỹ thuật mã hóa, cấu hình Password trên Router Cisco để nâng cao tính bảo mật của hệ thống mạng. Bên cạnh đó, cấu hình Access-List (Danh Sách Truy Cập), tìm hiểu toàn bộ khía cạnh bảo mật của Router thông qua chương trình học CCNA Security. Liên hệ: zthanhphatz95@gmail.com để lấy video vì video khá nặng
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ TPHCM KHOA CÔNG NGHỆ THÔNG TIN ***** ĐỒ ÁN CHUYÊN NGÀNH MẠNG MÁY TÍNH BẢO MẬT HỆ THỐNG MẠNG SỬ DỤNG ROUTER CISCO GVHD: Ths NGUYỄN QUANG ANH SVTH: ĐẶNG THÀNH PHÁT Tháng 04 – Năm 2016 1311060941 – 13DTHM02 Đồ Án Chuyên Ngành: Mạng Máy Tính MỤC LỤC HIỆN TRẠNG VÀ YÊU CẦU: 1.1 Hiện Trạng: 1.2 Yêu Cầu: KỸ THUẬT MÃ HÓA, CẤU HÌNH PASSWORD TRÊN ROUTER CISCO: 2.1 Mật Khẩu Console: 2.2 Mật Khẩu Telnet: 2.3 Mật Khẩu Chế Độ Enable: .5 2.4 Câu lệnh để mã hóa toàn password đặt: 2.5 Show kiểm tra kết quả: 2.6 Cấu Hình Passwords: .6 2.7 Mã Hóa Password: ACCESS CONTROL LIST: 3.1 Standard Access List: 10 3.2 Extended Access List: 22 3.3 Reflexive Access List: 38 3.4 Dynamic Access List: 51 3.5 Time Based Access List: 61 MỘT SỐ PHƯƠNG PHÁP KHÁC BẢO VỆ ROUTER CISCO: 73 THỰC HIỆN BẢO MẬT MẠNG SỬ DỤNG ROUTER CISCO: .73 5.1 Kỹ Thuật Mã Hóa, Cấu Hình Password Trên Router Cisco: .73 5.2 Cấu Hình Access-List (Danh Sách Truy Cập): 75 TỔNG KẾT: 87 6.1 Kết Quả Đạt Được: 87 6.2 Đánh Giá Ưu, Khuyết Điểm: .87 6.2.1 Ưu Điểm: .87 6.2.2 Khuyết Điểm: 87 6.3 Hướng Phát Triển Tương Lai: 87 Bảo Mật Hệ Thống Mạng Sử Dụng Router Cisco Trang Đồ Án Chuyên Ngành: Mạng Máy Tính HIỆN TRẠNG VÀ YÊU CẦU: 1.1 Hiện Trạng: CCNA Security bước cấp độ lĩnh vực bảo mật Cisco CCNA Security cung cấp cho bạn kiến thức kỹ cần thiết để phát triển hệ thống hạ tầng an ninh, dự báo phát lỗ hổng hệ thống, giảm thiểu mối đe dọa từ bên hệ thống 1.2 Yêu Cầu: Tìm hiểu kỹ thuật mã hóa, cấu hình Password Router Cisco để nâng cao tính bảo mật hệ thống mạng Bên cạnh đó, cấu hình Access-List (Danh Sách Truy Cập), tìm hiểu toàn khía cạnh bảo mật Router thông qua chương trình học CCNA Security KỸ THUẬT MÃ HÓA, CẤU HÌNH PASSWORD TRÊN ROUTER CISCO: 2.1 Mật Khẩu Console: Hình Cổng Console dùng trường hợp – Cấu hình lần – Recovery mật – Cài đặt, nâng cấp IOS Bảo Mật Hệ Thống Mạng Sử Dụng Router Cisco Trang Đồ Án Chuyên Ngành: Mạng Máy Tính Đặt mật truy cập cho cổng Console Router nhằm giới hạn người dùng truy xuất Router/switch qua cổng Các bước cấu hình: Router#configure terminal Enter configuration commands, one per line End with CNTL/Z Router(config)#line console Router(config-line)#password matkhau Router(config-line)#login Router(config-line)#end Sau reload lại router IOS yêu cầu nhập mật vừa đặt Press RETURN to get started User Access Verification Password: bạn nhập mật vừa đặt (Chú ý mật không hiển thị giao diện cả) Router# 2.2 Mật Khẩu Telnet: Dùng để bảo mật cho đăng nhập từ xa vào Router Ví dụ mô hình, bạn ngồi từ PC06 telnet đến Router/switch làm việc qua giao diện dòng lệnh (có thể mạng LAN mạng Internet, miễn bạn liên lạc với Router) Bạn tham khảo viết Cấu hình Telnet Switch cisco Hình Router#configure terminal Bảo Mật Hệ Thống Mạng Sử Dụng Router Cisco Trang Đồ Án Chuyên Ngành: Mạng Máy Tính Router(config)# Router(config)#line vty ← cho phép máy truy cập lúc Router(config-line)#password matkhauchotelnet Router(config-line)#login Router(config-line)#end Router#exit Tại máy tính mạng router khác, ta dùng công cụ có hỗ trợ dịch vụ telnet puty 2.3 Mật Khẩu Chế Độ Enable: Dùng để bảo mật cho đăng nhập vào “global configuration mode”, Có hai loại, mật khấu không mã hóa mật mã hóa, đặt hai loại mật lúc loại mật không mã hóa không hiệu lực thay vào mật dạng “enable secret”sẽ hỏi để quyền đăng nhập Router# Router#configure terminal Enter configuration commands, one per line End with CNTL/Z Router(config)#enable password matkhauenable Dạng Password không mã hóa Router(config)#enable secret matkhausecret Dạng Password mã hóa Router(config)#end %SYS-5-CONFIG_I: configured from console by console Router#exit Router con0 is now available Press RETURN to get started User Access Verification Password: “Nếu đặt lúc password password matkhausecret đăng nhập vào hệ thống ưu tiên” 2.4 Câu lệnh để mã hóa toàn password đặt: Router# Router#configure terminal Enter configuration commands, one per line End with CNTL/Z Router(config)#service password-encryption ← Dùng mã hóa toàn loại password 2.5 Show kiểm tra kết quả: Router#Show running-config Bảo Mật Hệ Thống Mạng Sử Dụng Router Cisco Trang Đồ Án Chuyên Ngành: Mạng Máy Tính Building configuration… Current configuration: 636 bytes Version 12.4 No service timestamps log datetime msec No service timestamps debug datetime msec Service password-encryption Hostname Router Enable secret $1$mERr$HilBmDz/DgPOrtK1yYqKJ0 Enable password 083243400E0F10101B0A1C05393833272131 Interface FastEthernet0/0 No ip address Duplex auto Speed auto Shutdown Interface FastEthernet0/1 No ip address Duplex auto Speed auto Interface Vlan1 No ip address Shutdown Ip classless Line Password 083243400E0F10101B0A Login Line vty Password 083243400E0F10101B0A18012625213C login 2.6 Cấu Hình Passwords: – Những câu lệnh sau phép thực thi thiết bị Router Switch Cisco Router(config)# enable password cisco Cấu hình enable password Router(config)# enable secret class Cấu hình password mã hóa chế độ enable Router(config)# line console 0Router(config-line)# password consoleRouter(config-line)#login Vào chế độ line console Cấu hình password cho line Cho phép kiểm tra password login vào Bảo Mật Hệ Thống Mạng Sử Dụng Router Cisco Trang Đồ Án Chuyên Ngành: Mạng Máy Tính router port console Router(config)# line vty 4Router(config-line)# password telnetRouter(config-line)#login Vào chế độ line vty phép telnet Cấu hình password phép telnet Cho phép kiểm tra password người dùng telnet vào router Router(config)# line aux 0Router(config-line)# password backdoorRouter(config-line)# login Vào chế độ line auxiliary Cấu hình password cho line aux Cho phép router kiểm tra password người dùng login vào router thông quaport AUX *Chú ý: enable secret password loại password mã hóa theo mặc định Enable password không mã hóa Với lý đó, Cisco khuyến khích bạn không nên sử dụng password enable để cấu hình Sử dụng câu lệnh enable secret password router switch để cấu hình 2.7 Mã Hóa Password: Router(config)# service passwordencryption Khi câu lệnh thực thi router switch tất loại password router switch mã hóa (Trừ enable secret password) Router(config)# enable password cisco Cấu hình enable password cisco Router(config)# line console 0Router(config-line)# password consoleRouter(config-line)# login Cấu hình password cho line console console …… ………… Router(config)# no service passwordencryption Tắt tính mã hóa password router switch ACCESS CONTROL LIST: Access Control List, thường gọi tắt Access – list, công cụ sử dụng rộng rãi Cisco IOS Access control list (ACL), tên gọi nó, danh sách điều khiển truy nhập Nếu không sử dụng kèm với thực thể khác, access – list Bảo Mật Hệ Thống Mạng Sử Dụng Router Cisco Trang Đồ Án Chuyên Ngành: Mạng Máy Tính vai trò Vì vậy, khai báo access – list, access – list phải áp vào thực thể phát huy tác dụng Ta điểm qua số đặc điểm access – list Công dụng access – list: Access – list thường sử dụng cho hai mục đích: • Lọc lưu lượng (traffic filtering): Điều thực cách áp access – list lên cổng router theo chiều in chiều out Nếu đặt theo chiều in, ACL thực lọc lưu lượng vào cổng, đặt theo chiều out, ACL lọc lưu lượng khỏi cổng Việc lọc bỏ hay cho qua lưu lượng access – list vào từ khóa permit deny dòng access – list • Phân loại liệu (data classification): Trong trường hợp này, ACL sử dụng để phân loại liệu ACL cấu hình để đối tượng tham gia đối tượng không tham gia vào tiến trình hay hoạt động router (ví dụ: distribute – list, NAT, VPN,…) Các loại access – list: Có hai loại access – list chính: Standard ACL Extended ACL • Standard ACL: Loại ACL đề cập đến source IP gói tin IP, không đề cập thêm thông tin khác gói tin • Extended ACL: Loại ACL đề cập đến không source IP mà destination IP, source port, destination port, giao thức (TCP, UDP, ICMP,…) số thông số khác gói tin IP • Các loại khác: Bên cạnh hai loại ACL nói đến trên, nhiều loại ACL khác sử dụng nhiều tình khác như: Reflexive ACL, Dynamic ACL, Timed based ACL,… Chúng ta khảo sát loại ACL thông qua ví dụ cấu hình Nguyên tắc hoạt động Access list Access – list danh sách gồm nhiều dòng Khi truy xuất, ACL đọc thi hành dòng từ xuống dưới, dòng chứa thông tin khớp với thông tin gói tin xem xét, dòng thi hành dòng lại bỏ qua Bảo Mật Hệ Thống Mạng Sử Dụng Router Cisco Trang Đồ Án Chuyên Ngành: Mạng Máy Tính Một nguyên tắc cần lưu ý dòng khai báo tự động thêm vào cuối ACL, nhiên dòng cuối thực ACL dòng ngầm định “deny” tất cả, có nghĩa gói tin không match dòng khai báo ACL, bị deny Numbered ACL Named ACL Một ACL định danh số hiệu (Numbered ACL) chuỗi ký tự (Named ACL) Numbered ACL Named ACL có nguyên tắc hoạt động cách sử dụng hoàn toàn giống Điểm khác biệt hai loại ACL Named ACL cho phép chèn, sửa, xóa dòng Numbered ACL không cho phép chèn, sửa, xóa dòng mà phải viết lại toàn ACL có sai sót Với Numbered ACL, standard ACL lấy số hiệu từ đến 99 1300 đến 1999, extended ACL lấy số hiệu từ 100 đến 199 2000 đến 2699 Như thường lệ, để nắm ý tưởng, khảo sát lab ví dụ: Sơ đồ: Hình – Sơ đồ lab ví dụ Mô tả: Trên sơ đồ hình phần mạng doanh nghiệp Phần gồm hai router R1 R2 đại diện cho hai chi nhánh doanh nghiệp R1 R2 đấu nối với đường leased – line qua cổng S0/0/0 hai router R1 kết nối vào hai VLAN 10 110 chi nhánh với quy hoạch IP hình cho VLAN R2 sử dụng cổng F0/0 đấu nối xuống VLAN 20 chi nhánh cổng F0/1 đấu nối với phần lại mạng doanh nghiệp Bảo Mật Hệ Thống Mạng Sử Dụng Router Cisco Trang Đồ Án Chuyên Ngành: Mạng Máy Tính 3.1 Standard Access List: Chúng ta sử dụng phân khúc mạng Hình để khảo sát cách thức cấu hình hoạt động Access – list sử dụng Standard ACL Đầu tiên chi nhánh công ty phải chạy hình thức định tuyến đảm bảo địa thấy Giả sử công ty sử dụng giao thức định tuyến EIGRP toàn hệ thống mạng, thực cấu hình đặt địa IP cổng chạy định tuyến EIGRP R1 R2: Trên R1: R1(config)#interface s0/0/0 R1(config-if)#no shutdown R1(config-if)#ip add 192.168.12.1 255.255.255.252 R1(config-if)#exit R1(config)#interface f0/0 R1(config-if)#no shutdown R1(config-if)#ip add 192.168.10.1 255.255.255.0 R1(config-if)#exit R1(config)#interface f0/1 R1(config-if)#no shutdown R1(config-if)#ip add 192.168.110.1 255.255.255.0 R1(config-if)#exit R1(config)#router eigrp 100 R1(config-router)#no auto-summary R1(config-router)#network 0.0.0.0 Trên R2: R2(config)#interface s0/0/0 R2(config-if)#no shutdown R2(config-if)#ip add 192.168.12.2 255.255.255.252 R2(config-if)#exit R2(config)#interface f0/0 R2(config-if)#no shutdown R2(config-if)#ip add 192.168.20.1 255.255.255.0 R2(config-if)#exit R2(config)#router eigrp 100 R2(config-router)#no auto-summary R2(config-router)#network 0.0.0.0 Ta kiểm tra R1 R2 thấy subnet bảng định tuyến: R1#show ip route 192.168.20.0 Routing entry for 192.168.20.0/24 Known via "eigrp 100", distance 90, metric 2172416, type internal Bảo Mật Hệ Thống Mạng Sử Dụng Router Cisco Trang 10 Đồ Án Chuyên Ngành: Mạng Máy Tính 20 permit tcp any any eq 443 time-range WEB_VLAN_10 (inactive) 30 permit udp any any eq domain time-range WEB_VLAN_10 (inactive) 40 permit tcp host 192.168.10.2 host 192.168.12.2 eq telnet time-range TELNET_VLAN_10 (inactive) (17 matches) 50 permit tcp any any range ftp-data ftp time-range FTP_VLAN_10 (active) (5 matches) Như vậy, hoàn tất việc cấu hình Time – based ACL router R1 để thực yêu cầu đặt MỘT SỐ PHƯƠNG PHÁP KHÁC BẢO VỆ ROUTER CISCO: Firewall: firewall ngăn chặn lọc lưu lượng không cần thiết Một firewall thiết bị riêng biệt thêm vào router Ví dụ, hầu hết SOHO router có sẵn firewall hay router tích hợp Cisco có tích hợp sẵn Cisco IOS Firewall IPS – hệ thống IPS không phát mà ngăn chặn công trực tiếp, công botnet, malware hình thức khác Có loại IPS NIPS HIPS, xem thêm Bảo mật kết nối VPN: thay trực tiếp kết nối đến router, bạn sử dụng VPN để bảo vệ kết nối cách sử dụng IPSec SSL Content filtering: lọc nội dung hạn chế truy cập trang web định cách giúp bạn bảo vệ router Điều giúp bạn ngăn chặn mã độc hại từ website Content filtering cài đặt server THỰC HIỆN BẢO MẬT MẠNG SỬ DỤNG ROUTER CISCO: 5.1 Kỹ Thuật Mã Hóa, Cấu Hình Password Trên Router Cisco: Bảo Mật Hệ Thống Mạng Sử Dụng Router Cisco Trang 73 Đồ Án Chuyên Ngành: Mạng Máy Tính Bảo Mật Hệ Thống Mạng Sử Dụng Router Cisco Trang 74 Đồ Án Chuyên Ngành: Mạng Máy Tính 5.2 Cấu Hình Access-List (Danh Sách Truy Cập): Bảo Mật Hệ Thống Mạng Sử Dụng Router Cisco Trang 75 Đồ Án Chuyên Ngành: Mạng Máy Tính Bảo Mật Hệ Thống Mạng Sử Dụng Router Cisco Trang 76 Đồ Án Chuyên Ngành: Mạng Máy Tính Bảo Mật Hệ Thống Mạng Sử Dụng Router Cisco Trang 77 Đồ Án Chuyên Ngành: Mạng Máy Tính Bảo Mật Hệ Thống Mạng Sử Dụng Router Cisco Trang 78 Đồ Án Chuyên Ngành: Mạng Máy Tính Bảo Mật Hệ Thống Mạng Sử Dụng Router Cisco Trang 79 Đồ Án Chuyên Ngành: Mạng Máy Tính Bảo Mật Hệ Thống Mạng Sử Dụng Router Cisco Trang 80 Đồ Án Chuyên Ngành: Mạng Máy Tính Bảo Mật Hệ Thống Mạng Sử Dụng Router Cisco Trang 81 Đồ Án Chuyên Ngành: Mạng Máy Tính Bảo Mật Hệ Thống Mạng Sử Dụng Router Cisco Trang 82 Đồ Án Chuyên Ngành: Mạng Máy Tính Bảo Mật Hệ Thống Mạng Sử Dụng Router Cisco Trang 83 Đồ Án Chuyên Ngành: Mạng Máy Tính Bảo Mật Hệ Thống Mạng Sử Dụng Router Cisco Trang 84 Đồ Án Chuyên Ngành: Mạng Máy Tính Bảo Mật Hệ Thống Mạng Sử Dụng Router Cisco Trang 85 Đồ Án Chuyên Ngành: Mạng Máy Tính Bảo Mật Hệ Thống Mạng Sử Dụng Router Cisco Trang 86 Đồ Án Chuyên Ngành: Mạng Máy Tính TỔNG KẾT: 6.1 Kết Quả Đạt Được: Đã tìm hiểu rõ vấn đề kỹ thuật mã hóa, cấu hình Password Router Cisco, hoàn thiện cấu hình Access-List (Danh Sách Truy Cập) có kỹ thuật mã hóa Password có Cấu hình Access-List (Danh Sách Truy Cập) 6.2 Đánh Giá Ưu, Khuyết Điểm: 6.2.1 Ưu Điểm: Hiểu mã hóa Password: Mật Console Mật Telnet Mật chế độ enable Hiểu cấu hình Access-List (Danh Sách Truy Cập): Standard Access List Extended Access List Reflexive Access List Dynamic Access List Time Based Access List 6.2.2 Khuyết Điểm: Còn chưa tìm hiểu phương pháp bảo mật Router Cisco Firewall, IPS , Bảo mật kết nối VPN, Content filtering số phương thức khác…, demo lựa chọn ACL quan trọng để làm lý thời gian dài clip, nên phần demo ACL lại sẻ thực đưa vào phần hình ảnh báo cáo 6.3 Hướng Phát Triển Tương Lai: Cố gắng tìm hiểu thêm việc bảo mật Router Cisco phương pháp khác tìm hiểu rõ bảo mật Firewall, IPS, Bảo mật kết nối VPN, Content filtering Bảo Mật Hệ Thống Mạng Sử Dụng Router Cisco Trang ... lệnh (có thể mạng LAN mạng Internet, miễn bạn liên lạc với Router) Bạn tham khảo viết Cấu hình Telnet Switch cisco Hình Router# configure terminal Bảo Mật Hệ Thống Mạng Sử Dụng Router Cisco Trang... Zone – transfer với truy nhập DNS Bảo Mật Hệ Thống Mạng Sử Dụng Router Cisco Trang 23 Đồ Án Chuyên Ngành: Mạng Máy Tính • Hệ thống mạng chạy định tuyến EIGRP Đảm bảo cấu hình R1 không làm ảnh hưởng... 87 Bảo Mật Hệ Thống Mạng Sử Dụng Router Cisco Trang Đồ Án Chuyên Ngành: Mạng Máy Tính HIỆN TRẠNG VÀ YÊU CẦU: 1.1 Hiện Trạng: CCNA Security bước cấp độ lĩnh vực bảo mật Cisco CCNA Security