CHƯƠNG I:Access Control List 4 I.ACL là gì? 4 1.Hoạt Động Của ACL 4 2.Một vài đặc điểm ACL? 4 II.Các loại ACL cơ bản: 5 1.Standard ACL 5 2.Extended ACL 6 3.Turbo ACL 7 III.Named Access Control List 8 1.Cấu hình named ACL 8 2.Wildcard Mask 8 CHƯƠNG II :Complex ACL 13 I.Dynamic ACL: 13 1.Ý tưởng của Dynamic ACL: 13 II. Reflexive ACL: 15 1.Ý tưởng của Reflexive ACL: 16 2.Cấu hình Reflexive ACL : 16 III. Timebased ACL: 18 1.Cấu hình Timebased ACL 18 CHƯƠNG III:Ứng dụng ACL vào các bài toán bảo mật 20 I.Các quy trình triển khai ACL vào hệ thống 20 1. Access Control 20 2. SNMP: 21 3. Routing Advertisement filtering: 22 4. Defend IP Spoofing 22 5. Defend DOS 23
HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA AN TỒN THƠNG TIN Đề tài : Tìm hiểu demo ACL router cisco Nhóm sinh viên thực hiện: Lớp : L01 Lời nói đầu Bảo mật mạng công việc vô quan trọng hệ thống mạng Các nhà thiết kế mạng sử dụng tường lửa (firewall) để bảo vệ mạng từ người dùng không xác thực Tường lửa giải pháp phần cứng giải pháp phần mền để thi hành sách bảo mật Trên thiết bị Router Cisco, cấu hình tường lửa đơn giản cung cấp lọc gói tin sử dụng ACLs (access control lists) Với ACLs, người quạn trị mạng cho phép từ chối gói tin vào ngồi mạng MỤC LỤC CHƯƠNG I:Access Control List I.ACL gì? -ACL danh sách câu lệnh áp đặt vào cổng (interface) router Danh sách cho router biết loại packet chấp nhận (allow) loại packet bị hủy bỏ (deny) Sự chấp nhận hủy bỏ dựa vào điạ nguồn, địa đích số port 1.Hoạt Động Của ACL *ACL hoạt động theo hai cách: -Quản lí chiều vào (Inbound ACL) -Quản lí chiều (Outbound ACL) 2.Một vài đặc điểm ACL? Các entry ACL đc xử lý theo thứ tự Cơ chế lọc cách kiểm tra thông số header gói tin ACL có nhiều ứng dụng, cần phải đặt lên interface, line, giao thức dịch vụ hỗ trợ ACL Mỗi interface, line, giao thức dịch vụ hỗ trợ sử dụng nhiều ACL Hỗ trợ tất giao thức giao thức nên có riêng ACL Cuối ACL ln có explicit entry [deny all] => cần phải cẩn thận Khơng thể xóa,sửa entry numbered ACL Có nhiều cách để phân loại ACL, dựa theo tên gọi ACL chia làm number ACL named ACL, dựa chế lọc ACL đc chia thành Standard ACL extend ACL; hay dựa độ linh hoạt ACL chia thành static ACL complex ACL II.Các loại ACL bản: Standard ACL Extended ACL Turbo ACL 1.Standard ACL Standard ACL tin ACL đơn giản Chúng đánh số từ 1-99 number ACL Standard ACL lọc địa nguồn header IP packet, chúng hoạt động lớp mơ hình OSI hay lớp internet mơ hình TCP/IP Standard ACL đặt theo chiều inbound (vào) outbound (ra) router(ta hiểu vào hay chiều tương đối interface), nhiên tin Standard ACL nên đặt gần destination, thường theo chiều outbound Vì Standard ACL kiểm tra địa IP nguồn, nên vị trí đặt cần xác chiều gói tin cho phép qua khơng cho phép qua Cấu hình Standard ACL Format Standard ACL Router(config)#access-list [list number] [permit / deny] [source IP add] [wildcardmask]Trong đó: [list number] đánh số cho Standard ACL từ 1-99 [permit / deny]: cho phép khơng cho phép gói tin qua router [source IP add]: địa IP nguồn gói tin [wildcard mask]: wildcard mask địa IP Đặt Standard ACL lên interface: [list number] đánh số cho Standard ACL từ 1-99 [permit / deny]: cho phép không cho phép gói tin qua router [source IP add]: địa IP nguồn gói tin [wildcard mask]: wildcard mask địa IP Trong đó: [list number] số ACL xác định trưốc [in / out]: Chọn hướng inbound outbound 2.Extended ACL Extended ACL tin ACL mỏ rộng, cho phép lọc đa dạng so với Standard ACL nên thường sử dụng nhiều Extended ACL đánh số từ 100 đến 199, extended ACL cho phép port number (application), sourcedestination IP address , protocol nhiều tùy chọn Vì extended ACL hoạt động lóp lớp mơ hình OSI Extended ACL thể cấu hình inbound outbound interface, nhiên extended ACL lọc xác source/destination IP Address nên vị trí đặt cần tránh tình trạng hao tổn băng thông mạng không cần thiết gói tin bị discard “lang thang” trước bị deny Người ta thường thực điều cách đặt ACL gần source Extended ACL sử dụng nhiều để thiết lập routing policy router Các entry Extended ACL đa dạng, có khả tùy biến cao, hỗ trợ phòng chống nhiều kiểu cơng Cấu hình Extended ACL Format Standard ACL: Router(config)#access-list [list number] [permit / deny] [protocol] [source specification] [destination specification] [protocol qualification] [logging] Trong đó: [list number] đánh số cho standard ACL từ 1-99 [permit / deny]: cho phép không cho phép gói tin qua router [protocol]: Giao thức (từ lóp trở lên) gói tin (lóp 3: “ospf”, “eigrp”, ; lớp 4: “tcp”,“udp”; “icmp”; “ip” đại diện giao thức nào) [source specification]: Là chuỗi entry bao gồm [source IP add] [wildcard mask] [source port number (vói protocol TCP UDP)] [destination specification]: Là chuỗi entry bao gồm [des IP add] [wildcard mask] [des port number (vói protocol TCP UDP)] [protocol qualification]: Các tùy chọn hỗ trợ phụ thuộc vào entry [protocol], tăng cường tính bảo mật thực tác vụ lọc liệu đặc biệt Nếu [protocol] TCP UDP [protocol qualification] = [optional port] [port number] Trong đó: [optional port] khoảng port cần kiểm tra [port number] xác port làm mốc cho [optional port] Nếu [protocol] ip: router match tất giao thức Nếu [protocol] giao thức định tuyển (ospf, eigrp, ) ??? [logging]: Ghi lại thơng tin gói tin match entry ACL Inbound hay Outbound Khi nhắc tới lọc theo chiều (inbound outbound) phải gắn liền với interface router, interface cho phép nhiều ACL nên cho phép lọc nhiều chiều tùy vào ACL -> Inbound: Các tin hướng vào interface -> Outbound: Các tin hưóng từ interface Lọc inbound tiêu tốn tài ngun CPU hơn, gói tin lọc trưốc forward; ngược lại, lọc outbound tốn nhiều thời gian gói tin lọc sau forward Tuy nhiên chiều lọc quan trọng đặt xác yêu cầu 3.Turbo ACL Đối vói vấn đề sử dụng tài nguyên xử lý router, mạng doanh nghiệp khiến cho việc xử lý router ngày chậm chạp, với ACL có nhiều statement, vấn đề chế router: kiểm tra ACL đồng thời vối forwarding điều lặp lặp lại với gói tin Để giải tình này, router CISCO dòng 7200, 7500,12000 đưa vào cấu hình dòng lệnh cho phép router biên dịch (compile) statement ACL thành file BIN,sau lưu vào RAM Như router xử lý gói tin lookup table, độc lập với ACL,và điều giảm bớt thòi gian tải CPU Cầu hình turbo ACL: Router(config)#access-list compiled III.Named Access Control List Có thể Standard ACL extended ACL nhutig đưỢc đặt tên ký tự (vì thế,trong nhiều trường hợp named ACL giúp admin quản lý danh sách ACL hiệu hơn) Vì nên khơng giới hạn số iượng ACL Cho phép xóa sửa entry ACL, entry đặt ỏ cuối Một vài dạng ACL (reflexive ACL) yêu cầu cấu hình với named ACL 1.Cấu hình named ACL Router(config)ip access-list [Standard / extended] [name] Router(config-std-nacl)#[permit / deny] Trong đó: [Standard / extended] loại ACLs [name] tên đặt cho ACLs[permit / deny] cấu hình entry cho named ACLs: Hồn tồn Tương tự cấu hình Standard / extended ACLs kể từ entry [permit /deny] 2.Wild-card Mask Wildcard Mask chuỗi nhị phân 32 bit chia làm octet Mỗi wildcard mask k-> m vối địa IP Các bit định nghĩa để xác định cách xử lý bit tương ứng đia IP theo quy tắc: kiểm tra - bỏ qua Nghĩa bit tương ứng với bit wildcard mask kiểm tra, tương ứng vói bit bỏ qua không cần kiểm tra Phân biệt wildcard mask subnet mask Wildcard mask subnet mask khác hoàn toàn nguyên tắc chức Subnet mask có chuỗi bit kéo dài từ trái sang phải để xác định phần host phần Network địa IP tương ứng Trong wildcard mask dùng để lọc một nhóm địa chì IP cụ thể Trong tốn tính wildcard mask, thật sai lầm cho để tính wildcard mask ta lấy dải 255.255.255.255 trừ tương ứng subnet mask Tuy nhiên lại sử dụng wildcard mask giao thức định tuyến OSPF (và EIGRP)? Subnet mask cho phép xác định dải IP liên tục, mục đích wildcard mask lọc dải IP có tính chất giống (có thể liên tục ko liên tục), router cần quan tâm đến địa IP i.e Liệu 1.1.1.0/24 1.1.1.0 0.0.0.255 có tương đương ko? Chính xác khơng, 1.1.1.0 0.0.0.255 bao gồm 1.1.1.0/24; 1.1.1.0/25^; 1.1.1.0/26 đến 1.1.1.0/32 Đối vối giao thức định tuyến Link State OSPF (hoặc EIGRP) vối chế trigger update wildcard mask hiệu subnet mask, điều mang đến lợi: giảm tốc độ xử lý CPU router giảm dung lượng file cấu hình: i.e Trên router cần quảng bá OSPF interface: SO/0: 192.168.0.1/24 SO/1: 192.168.1.1/24 Thay dòng lệnh sử dụng subnet mask, admin cấu hình vối wildcard mask: Router(config-router)#net 192.168.0.0 0.0.1.255 area Quá trình kiểm tra wildcard mask: Trong trình lọc ACL, địa IP statement kết hỢp với wildcard mask để tính giá trị chuẩn: giá trị chuẩn địa host, subnet, 1khoảng địa IP(liên tục không liên tục) tất địa IP Gói tin tối interface đặt ACL kiểm tra địa IP, địa IP so sánh vối giá trị chuẩn ỏ trên: Nếu giá trị giống điều kiện thỏa mãn router thực lệnh ACL Các tốn tính wildcard mask: Wildcard mask match host 1.e: Tính wildcard mask match host 192.168.1.1 Theo nguyên tắc: bit kiểm tra - bit bỏ qua IP Address: 192.168.1.1 0.0.0 từ khóa “host” Wildcard mask match tất địa IP l.e: Tính wildcard mask match tất địa IP Theo nguyên tắc: bit kiểm tra - bit bỏ qua D ® IP Address: 192.168.1.1 255.255.255.255 từ khóa “any” Wildcard mask match subnet i.e: Tính wildcard mask match subnet 192.168.1.0/24 Cách tính: Lấv 255.255.255.255 trừ subnet mask subnet D ® IP Address: 192.168.1.1 0.0.0.255 Tính Wildcard mask match range địa IP liên tục i.e: Tính wildcard mask match range từ 192.168.2.0 đến 192.168.4.255 Cách tính: Lấv địa cuối trừ địa đầu D® IP Address: 192.168.2.0 0.0.2.255 Tính widcard mask match số IP add i.e: Cho địa IP 192.168.1.0, tính wildcard mask match X host -> Dải địa cần match: 192.168.1.0 - > 192.168.1 X -> wildcard mask: o.o.o.x (lấy địa cuối trừ địa đầu) -> IP Address: 192.168.1.0 0.0.0 X Tính wildcard mask nửa (upper half) nửa (lower half) dải mạng: i.e: Cho địa IP 192.168.1.0, tính wildcard mask match nửa dải IP phía dưới: -> Dải địa nửa trên: 192.168.1.0 - > 192.168.1.127 -> wildcard mask: 0.0.0.127 (lấy địa cuối trừ địa đầu) -> Địa IP: 192.168.1.0 0.0.0.127 -> Dải địa nửa dưới: 192.168.1.128 - > 192.168.1.255 -> wildcard mask: 0.0.0.127 (lấy địa cuối trừ địa đầu) -> Địa IP: 192.168.1.128 0.0.0.127 Tính wildcard mask match IP lẻ, IP chẵn địa Ip lẻ / chẳn địa có octet cuối dạng thập phân số lẻ / chẳn l.e: IP lẻ - 192.168.1.1 IP chẵn-192.168.1.2 10 CHƯƠNG II :Complex ACL Complex ACL dạng ứng dụng mở rộng Standard ACL extended ACL Complex ACL cung cấp thêm nhiều tính có tính bảo mật cao hơn, complex ACL gồm loại: Dynamic ACL hay lock-and-key ACL; Reflexive ACL, timebased ACL I.Dynamic ACL: Dynamic ACL hay gọi lock-and-key ACL, ứng dụng hỗ trợ lọc IP traffic Dynamic ACL hoạt động với extended ACL, dynamic ACL đưa yêu cầu bước người dùng truy cập telnet xác thưc (authentication) 1.Ý tưởng Dynamic ACL: Thiết lập ACL interface router giói hạn quyền truy cập qua router; inbound outbound; nhiên vài trường hỢp, admin cần phải cho phép host nhóm host có dải IP ACL truy nhập/ xuất qua router Để thực điều này, admin buộc phải thay đổi statement ACL, phải mở “cánh cửa tạm thòi” cho phép PC thỏa mãn đc điều kiện admin đặt qua Điều kiện cần phải thõa mãn yêu cầu xác thực (authentication), liệu sau người dùng xác thực xác, tạo phiên telnet (session) tạm thòi, mà ACL ban đầu cấu hình lại để traffic họ qua router khoảng thòi gian định sẵn? a.Cơ chề Hoạt động Dynamic ACL: Interface router biên cấu hình lock-and-key Người dùng telnet tới router, lOS mở phiên làm việc telnet, yêu cầu người dùng nhập thông tin xác thực Nếu thơng tin xác thực xác người dùng vượt qua ACL router để truy nhập truy xuất Quá trình chứng thực đc thực router AAA hay TACACS+ server Sau chứng thực thành cơng, người dùng khỏi phiên telnet, entry tạm thời dynamic ACL mở bạn trao đổi liệu Sau khoảng thòi gian time-out cho phép, entry tạm thòi bị tự động xóa admin xóa tay Có khoảng thời gian time-out idle time-out: sau idle time-out người dùng không sử dụng phiên, entry bị xóa; absolute time-out: entry bị xóa sau khoảng thòi gian 13 b.Khi sử dụng dynamic ACL Lock-and-Key cho phép chiều: inbound outbound Admin muốn cho phép người dùng ỏ xa truy cập vào hệ thống mạng qua Internet Lock-and-key chứng thực cho phép truy cập có giới hạn vào host subnet khoảng thòi gian định sẵn Khi admin host hệ thống mạng muốn truy xuất tới remote host từ xa bảo vệ ACL router Các host yêu cầu chứng thực qua TACACS+server trưóc đc cho phép truy xuất Lock-and-key sau kích hoạt ,người dùng sau xác thực thành công ,nghĩa ACL xuât “khe” cho phép IP xác thực thành cơng trao đổi liệu qua router Hacker hoàn toàn tìm thực IP spoofing để lấy quyền xâm nhập hệ thống mạng khoảng thòi gian định sẵn Configure dynamic ACL: S0/0 cấu hình ACL ngăn khơng cho truy cập trái phép ngồi internet tói hệ thống mạng LAN -> ĐỊnh nghĩa user name password để xác thực: [Standard / extended] loại ACLs [name] tên đặt cho ACLs [permit / deny] cấu hình entry cho named ACLs: Hồn tồn Tương tự cấu hình Standard / extended ACLs kể từ entry [permit /deny] -> Thiết lập ACL đặt chiều inbound interface s0/0 Cho phép telnet tử remote user tói router Router(config)#access-list 101 permit tcp any host 1.1.1.1 eq 23 log Tạo dynamic ACL tên TEMP ACCESS Router(config)#access-list 101 TEMP_ACCESS permit tcp host 3.3.3 host 1.1.1.1 eq 23 Áp dung vào interface Router(config)#interface s0/0 Router(config)#ip access-group 101 in -> Cấu hình line vty Router(config)#line vty 14 Router(config)#login local Router(config)#autocommand access-enable host timeout [#] Trong đó: - Autocommand: cho phép tạo câu lệnh định sẵn có người dùng login vào - Access-enable: cho phép tạo entry tạm thời dynamic ACL- Host: cho phép host telnet đến router chứng thực truy cập Nếu khơng có entry router cho phép địa IP subnet vối host telnet vào - Timeout [#]: xác định khoảng thời gian idle - timeout -> Admin xóa entry tạm thời dynamic ACL: Router#clear access-template 101 TEMP_ACCESS host 3.3.3.1 host 1.1.1.1 II Reflexive ACL: Reflexive ACL coi extended named ACL “mở rộng”, hỗ trợ lọc phiên(session) Reflexive ACL chứa ghi tạm thời, ghi gọi phiên kết nối thiết lập tự động xóa phiên kết nối kết thúc Bài tốn bảo mât: Có PC nối với thông qua router, admin muốn PC telnet tối PC khơng muốn PC telnet tối PC 1, đặt ACL interface router, admin cho phép PC liên lạc vói PC ngăn chiều ngược lại Nhưng vấn đề PC gửi tin trả lòi lại PC Điều admin cần router hoạt động firewall, từ chối request từ PC cho phép reply PC Giải pháp : -Nếu admin quan tâm PC ping PC để kiểm tra, vối extended ACL cấu hình “echo” “echo-reply” cho phép tin ICMP qua -Nếu admin muốn PC trao đổi với PC số cổng cho phép thỏa mãn toán bảo mật, với extended ACL cấu hình “established” l.e: Router(config)#access-list [num] permit tcp [source add] [destination add] [optional port] [ports] established -> Khi gói tin ACK RST lọc, điều đảm bảo PC khơng phải PC khởi tạo phiên (vì ACK không nằm segment đầu tiên),như cho phép kết nối PC 15 -> Tuy nhiên vấn đề hacker (bằng phương pháp đó) đặt giá trị ACK header gói tin hồn tồn xâm nhập vào hệ thống mạng.Chưa kể thiết lập “established” hoạt động vối giao thức TCP -Các vấn đề giải vối Reflexive ACL 1.Ý tưởng Reflexive ACL: Với kết nối TCP thiết lập, Reflexive ACL tự động tạo entry tạm thời ACL, entry cho phép liệu trao đổi kết nối bị xóa sau kết nối đóng Điều ngăn chặn việc segment có ACK qua mà bắt buộc phiên phải khởi tạo từ người dùng Entry “established” không hoạt động UDP UDP giảo thức khơng kết nối(connectionless protocol), “established” lọc phiên UDP cần chế ACL lọc phiên UDP, miễn người dùng Tuy UDP khơng có gói tin FIN để thông báo kết thúc mạng, vài trường hợp kết nối TCP đóng mà chưa trao đổi FIN - Reflexive ACL đưa khoảng timeout-interval mà phiên đóng sau khoảng thòi gian khơng có traffic trao đổi qua router -> Câu hình time-interval: l.e: Router(config)#ip reflexive-list timeout 300 ->timeout interval = 300s Để ngăn chặn việc chồng chất nhớ làm chậm q trình xử lý, Reflexive ACL khơng phải tin ACL ròi rạc mà “cài” vào extended ACL, kích hoạt có phiên thiết lập Đây chế tự động vô hiệu Reflexive ACL bảo vệ người dùng từ q trình truy cập người dùng - entry reflexive ACL dùng cho kết nối 2.Cấu hình Reflexive ACL : Bài tốn: cấu hình Reflexive ACL: cho phép PC A telnet tối PC B, không cho tin request từ PC B qua router Bước 1: Thiết lập named extended ACL bắt gói tin khỏi tạo phiên từ mạng 1.1.1.0/24 Router(config)#ip access-list extended Telnet_Out Router(config-ext-nacl)#permit tcp host 1.1.1.10 host 2.2.2.20 eq telnet reflex TEMP_ENTRY Router(config-ext-nacl)#deny ip any any 16 - > Mọi thứ giống cấu hình extended ACL ngoai trừ entry “reflex TEMP_ENTRY”: TEMP_ENTRY ià tên reflexive ACL tạo entry gói tin từ PC tới PC dùng để thiết lập telnet; “reflex” yêu cầu entry tạm thời TEM_ENTRY kiểm tra header gói tin phản hồi từ PC PC PC1 Bưóc 2: Thiết lập named extended ACL kiểm tra traffic từ PC tới Router(config)#ip access-list extended Telnet_lnRouter(config-ext-nacl)#evaluate TEMP_ENTRY Router(config-ext-nacl)#deny ip any any -> Trong named extended ACL khơng có entry “permit”, thay vào entry “evaluate” yêu cầu gói tin từ PC kiểm tra reflexive ACL TEMP_ENTRY Bưóc 3: Đặt named extended ACL vào interface Router(config)#interface fO/1 Router(config-if)#ip access-group Telnet_ln in Router(config-if)# ip access-group Telnet_Out out Kiểm tra cấu hình: -Admin dùng lệnh show access-list để kiểm tra trước PC telnet Router(config)#interface fO/1 Router(config-if)#ip access-group Telnet_ln in Router(config-if)# ip access-group Telnet_Out out -> Tất traffic telnet từ PC bị chặn outbound interface fO/1 -> Chưa có entry khởi tạo từ reflexive ACL TEMP_ENTRY Admin dùng lệnh show access-Êist ăể kiểm tra sau PC telnet Router(config)#interface fO/1 Router(config-if)#ip access-group Telnet_ln in Router(config-if)# ip access-group Telnet_Out out -> Một entry “permit” tạo reflexive ACL TEMP_ENTRY -> Lưu ý: 17 + Entry tạm thòi tạo reflexive ACL ln entry “permit” phiên + Entry tạm thời sử dụng giao thức lớp vối gói tin mở + Entry tạm thời đặt địa IP nguồn đích ngược vối gói tin mở phiên + Entry tạm thòi sử dụng port đích - nguồn ngược với port gói tin mở phiên, chúng phải đồng III Time-based ACL: Time-based ACL coi extended ACL “mở rộng”-cho phép quản lý truy cập dựa vào thời gian ngày, ngày tuần Time-based ACL lọc thơng tin: header gói tin thời gian cấu hình router system clock Time range Time-based ACL: Time-range khoảng thời gian admin định nghĩa sẵn router, bắt buộc time-range phải gán tên số lượng time-range không giới hạn Time-range đưa vào extended ACL để tạo thành time-based ACL, sau gán vào interface ACL bắt đầu active đến thòi điểm timerange 1.Cấu hình Time-based ACL a Cấu hình time-range: Router2#configure terminal Enter configuration commands, one per line End with CNTƯZ Router2(config)#time-range [name] — > i.e: WORKING_TIME Router2(config-time-range)#periodic [time] monday 9:00\o 17:00 “Periodic” từ khóa để định nghĩa time-range, ngồi sử dụng từ khóa“absolute” “Absolute” cho phép admin cấu hình time-range thật cụ thể Trên time-range sử dụng đồng thời “periodic” “absolute” “absolute” ưu tiên Ngồi cấu hình nhiều lệnh “periodic” cho phép “absolute” cho time-range Router2#configure terminal Enter configuration commands, one per line End with CNTƯZ Router2(config)#time-range [name] — > i.e: WORKING_TIME_DETAILED Router2(config-time-range)#absolute [time] - > i.e: start 9:00 October 18 1988 end 18:00 31 December 1988 Router2(config-time-range)#periodic monday 9:00 to 18:00 b Áp dụng time-range vào ACL: Router2(config)#access-list [number] [permit/ deny] [protocol] [source IP] [destination IP] [port optional] time-range [name] — >i.e: access-list 101 deny tcp any any eq WWWtime-range WORKING_TIME Hoặc Router2(config)#ip access-list extended [name] Router2(config-ext-nací)# [permit / deny] tcp [protocol] [source IP] [destination IP][port optional] time-range [name] - Gán ACL vào interface: Router2(config)#interface [#] Router2(config-if)# IP access-group [num] [in/out] 19 CHƯƠNG III:Ứng dụng ACL vào toán bảo mật Vấn đề bảo mật hệ thống mạng, đặc biệt mạng doanh nghiệp ngày trở nên quan trọng; thủ thuật hacker ngày tinh vi công cụ hỗ trợ phá hoại ngày phong phú tràn lan mạng Tuy nhiên, chất cơng trao đổi gói tin qua router, theo nhiều cách khác nhau; phòng thủ, chất lọc gói tin ấy, phân biệt gói tin tin cậy, gói tin khơng tin cậy; trường hợp phân biệt được, hạn chế chúng Bản chất Access Control List, quản lý, lọc gói tin qua router -cho phép, hay không cho phép, điều tùy thuộc vào cấu hình người quản trị; đối vối người quản trị, phòng thủ hiệu đặt sách bảo mật cách chặt chẽ, đề phòng trường hợp gây hại, cấu hình xác Đó lý hacker trưóc cơng cố gắng xâm nhập vào hệ thống nhằm phát vị trí “gót chân Asin”, để xác định nên công phương pháp nào, vào đâu I.Các quy trình triển khai ACL vào hệ thống -Đánh giá toàn hệ thống mạng -Thiết lập sách an ninh (network Security) -Lên danh sách ACL -Triển khai hệ thống mạng -Kiểm tra xác nhận Các kiểu công thường gặp giải pháp phòng thủ: Access Control Line vty cho phép người dùng từ xa telnet vào hệ thống, telnet vào hệ thống, “mọi thứ rõ mồn một”; quyền telnet nên giới hạn cho một nhóm host tin cậy: -Cầu hình vói Standard ACL (đối vói SSH) Router(config)#access-list permit host 1.1.1.200 log Router(config)#access-list deny any log Router(config)#line vty Router(config-line)#login authentication vty -sysadmin Router(config-line)#transport input ssh Router(config-line)#access-class in 20 -Cầu hình vói extended ACL telnet) Router(config)#access-list permit host 1.1.1.200 log Router(config)#access-list deny any log Router(config)#line vty Router(config-line)#login authentication vty -sysadmin Router(config-line)#transport input ssh Router(config-line)#access-class in Ngồi để tăng cường tính bảo mật sử dụng dynamic ACL: nhằm yêu cầu xác thực giới hạn absolute time-out SNMP: SNMP (Simple Network Management) giao thức quản lý mạng, truy cập tới router Một hệ thống SNMP bao gồm server SNMP đóng vai trò trạm quản lý mạng NMS (Network management Stations) SNMP agent cài đặt sẵn lOS router CISO sở liệu MIB Với SNMP, ngưòi dùng thu thập thơng tin hay cấu hình router cách từ NMS gửi truy vấn getrequest set-request tới router Tuy với SNMP v1, trình xác thực NMS SNMP agent lại đơn giản, cần đồng community string, password dạng cleartext Bất kỳ lấy gói tin đó, chẳng hạn server host “chơi trò” man-in themiddle, tìm chuỗi xâm nhập vào hệ thống.Như thế, với ACL, admin giới hạn xác định cho router địa IP SNMP server, công nhận địa IP SNMP server qua để xác thực -Cầu hình với Standard ACL: Trường hợp, hacker đánh lừa hệ thống “tôi SNMP server, xác thực nào” để giành quyền xác thực Sau xác thực, router coi PC hacker SNMP server Router(config)#access-list permit host 1.1.1.200 log Router(config)#access-list deny any log Router(config)#line vty Router(config-line)#login authentication vty -sysadmin Router(config-line)#transport input ssh Router(config-line)#access-class in 21 Ngồi sử dụng extended ACL để tăng sách bảo mật Routing Advertisement filtering: Bản tin quảng bá mang thông định tuyến, sử dụng ACL để ngăn thông tin định tuyến quảng bá ngồi (???) -Cầu hình với Standard ACL: Router(config)#access-list deny 1.1.1.0 0.0.0.255 Router(config)#access-list permit any Router(config)#router [routing protocol specification] Router(config-router)#distribute-list out -Cấu hình với extended ACL (đối với giao thức định tuyến) -> RIP sử dụng UDP port 520 Router(config)#access-list 101 deny udp 1.1.1.0 0.0.0.255 any eq 520 -> IGRP sử dụng giao thức riêng IGRP Router(config)#access-list 101 deny igrp 1.1.1.0 0.0.0.255 any -> EIGRP sử dụng giao thức riêng EIGRP quảng bá định tuyển tin multicast hello Router(config)#access-list 101 deny eigrp 1.1.1.0 0.0.0.255 224.0.0.10 Router(config)#access-list 101 deny eigrp 1.1.1.0 0.0.0.255 any -> OSPF sử dụng giao thức riêng EIGRP quảng bá định tuyển tin multicast hello Router(config)#access-list 101 deny ospf 1.1.1.0 0.0.0.255 224.0.0.10 Router(config)#access-list 101 deny ospf 1.1.1.0 0.0.0.255 any -> Apply vào interface Router(config)#interface s0/0 Router(config-if)#ip access-group 101 out Defend IP Spoofing IP spoof kỹ thuật giả địa chỉ, hacker kẻ muốn xâm nhập hệ thống mạng, tìm cách đánh lừa router host tin cậy Bằng sử dụng sock proxy(đổi IP add) IP source routing (kỹ thuật định tuyến không phụ thuộc routing table) hacker xâm nhập vào hệ thống mạng, lấy sequence 22 number segment, để chiếm quyền điều khiển.Theo đó, vấn đề ngăn gói tin từ ngồi vào mà địa IP nằm dải mạng: -Cầu hình vái Standard ACL: -> Lọc địa IP inside từ outside Router(config)# access-list 101 deny ip 1.1.1.0 0.0.0.255 1.1.1.0 0.0.0.255 log -> Lọc địa private (vì địa private khơng tham gia traffic WAN) Router(config)# access-list 101 deny ip 10.0.0.0 0.255.255.255 1.1.1.0 0.0.0.255 log Router(config)# access-list 101 deny ip 172.16.0.0 0.0.255.255 1.1.1.0 0.0.0.255 log Router(config)# access-list 101 deny ip 192.168.0.0 0.0.255.255 1.1.1.0 0.0.0.255 log Router(config)# access-list 101 deny ip 127.0.0.0 0.255.255.255 1.1.1.0 0.0.0.255 log Router(config)# access-list 101 deny ip 169.254.0.0 0.0.255.255 1.1.1.0 0.0.0.255 log Router(config)# access-list 101 permit ip any anyRouter(config)#interface sO/0 Router(config-if)#ip access-group 101 in Defend DOS Tấn công DoS kiểu công mà hacker làm ngập hệ thống, liên tục gửi lượng lớn truy vấn đến server khoảng thòi gian ngắn, khiến hệ thống bị tải,không thể xử lý số lệnh mà yêu cầu giải quyết, server nhanh chóngbị ngừng hoạt động.“Vũ khí” sử dụng cơng DoS gói tin TCP/SYN,ICMP, ICMP-reply Vậy vấn đề lọc, thiết lập giới hạn truy cập gói tin đó: a) DoSTCP/SYN: Đây kiểu công DoS làm ngập hệ thống cách gửi tới segment chứa cò SYN nhằm yêu cầu router trả lòi vối TCP SYN ACK Vậy giải pháp thiết lập ACL từ chối phiên kết nối TCP từ bên vào 23 hệ thống, cho phép phiên khỏi tạo bên ACL cần phải lọc cò ACK: -Cầu hình vái extended ACL: Flags: ACK Flags: SYN Flags: SYN, ACK Router(config)#access-list permit tcp any host 2.2.2.1 established router(config)#interface sO/0 router(config-if)#ip access-group in Môt giải pháp sử dung reflexive ACL b) DoS Smurf Đây kiểu công DoS “gắp lửa bỏ tay người” làm ngập hệ thống gói tin ICMP Hacker spoof địa IP victim, dùng địa gửi tối hệ thống mạng khác tin broadcast ICMP echo, để làm ngập victim vô số tin ICMP echo-reply - Đứng vị trí hệ thống mạng nhận gói tin broadcast ICMP echo, giải pháp ngăn chặn gói tin ICMP broadcast -Cầu hình vói extended ACL: S0/0 S0/0 S0/0 amplifier(config)#acceess-list 101 deny ip any host 2.2.2.255 log amplifier(config)#acceess-list 101 deny ip any host 2.2.2.0 log amplifier(config)#acceess-list 101 permit ip any any amplifier(config)#interface sO/0 amplifier(config-if)#ip access-group 101 in - Đứng Ỏ vị trí victim, admin khơng thể phòng thủ lũ ICMP echo-reply gửi tới, phần hạn chế tác hại 24 smurf sớm phát shutdown interface xây dựng ACL lọc traffic từ địa gửi ICMP echo-reply -Xác nhân nauv cớ DoS Smurf: victim(config)#acceess-list 102 permit icmp any 3.3.3.0 0.0.0.255 echo log victim(config)#acceess-list 102 permit icmp any 3.3.3.0 0.0.0.255 echoreply log victim(config)# -> Kiểm tra lệnh “show access list” victim(config)#do show access-list Extended IP access list 102 Permit icmp any 3.3.3.0 0.0.0.255 echo (15 matches) Permit icmp any 3.3.3.0 0.0.0.255 echo-reply (21354 matches) ->Có chênh lớn tin echo gửi echo-reply nhận về, dấu hiệu bị cơng DoS cần đóng traffic từ 2.2.2.0/24 -Xây dựng extended ACL bảo vê: victim(config)#acceess-list 103 deny ip 2.2.2.0 0.0.0.255 3.3.3.0 0.0.0.255 echo-reply log victim(config)#i interface sO/0victim(config)#ip access-group 103 in c) DoS ICMP ICMP giao thức phổ biến cho phép kiểm tra xác định lỗi Layer mơ hình TCP/IP cách định nghĩa loại thơng điệp sử dụng để xác định xem mạng truyền gói tin hay khơng ICMP hỗ trợ nhiều loại tin, nhằm hỗ trỢ traffic mạng cách hiệu nhất; ngược lại gói tin ICMP trở thành cơng cụ đắc lực cho hacker tiến hành công DoS Hacker sử dụng ICMP để làm ngập hệ thống tin request “đốt” băng thông mạng tin reply Giải pháp đơn giản thiết lập tin ACL chiều inbound outbound interface 25 router, tin ACL “có tiềm năng” gây DoS lọc : -> Lọc inbound: Lọc tin ICMP redirect: Router(config)#access-list 101 deny icmp any any redirect log Lọc tin ICMP mask-request Router(config)#access-list 101 deny icmp any any mask-request log Apply Interface inbound Router(config)#interface [#] Router(config-if)#ip access-group 101 inbound -> Lọc outbound: Lọc tin ICMP echo-reply ICMP unreachable - cho phép tin reply để kiểm tra hệ thống mạng phía xa Router(config)#access-list 102 permit icmp any any echo-reply Router(config)#access-list 102 permit icmp any any unreachable Lọc tin ICMP time-exceeded - hỗ trợ traceroute Router(config)#access-list 102 permit icmp any any time-exceeded Lọc tin ICMP parameter-problem, ICMP packet-too-big ICMP sourcequench - hỗ trợ giới hạn MTU, ngăn công DoS Teardrop Router(config)#access-list 102 permit icmp any any parameter-problem Router(config)#access-list 102 permit icmp any any packet-too-big Router(config)#access-list 102 permit icmp any any source-quench Apply Interface outbound Router(config)#interface [#] Router(config-if)#ip access-group 102 outbound -> Chú ý tin ACL 101 ACL 102 đặt chiều interface, nên sử dụng interface biên 26 Danh Mục Tài Liệu Tham Khảo [1] Tài liệu Tổng quan ACL [2] Diễn đàn Athena mục Cisco [3] http://www.cisco.com 27 ... numbered ACL Có nhiều cách để phân loại ACL, dựa theo tên gọi ACL chia làm number ACL named ACL, dựa chế lọc ACL đc chia thành Standard ACL extend ACL; hay dựa độ linh hoạt ACL chia thành static ACL. .. thành static ACL complex ACL II .Các loại ACL bản: Standard ACL Extended ACL Turbo ACL 1.Standard ACL Standard ACL tin ACL đơn giản Chúng đánh số từ 1-99 number ACL Standard ACL lọc địa nguồn header... theo hai cách: -Quản lí chiều vào (Inbound ACL) -Quản lí chiều (Outbound ACL) 2.Một vài đặc điểm ACL? Các entry ACL đc xử lý theo thứ tự Cơ chế lọc cách kiểm tra thơng số header gói tin ACL có