Tìm hiểu và demo các ACL trên các router cisco

CHƯƠNG I:Access Control List 4 I.ACL là gì? 4 1.Hoạt Động Của ACL 4 2.Một vài đặc điểm ACL? 4 II.Các loại ACL cơ bản: 5 1.Standard ACL 5 2.Extended ACL 6 3.Turbo ACL 7 III.Named Access Control List 8 1.Cấu hình named ACL 8 2.Wildcard Mask 8 CHƯƠNG II :Complex ACL 13 I.Dynamic ACL: 13 1.Ý tưởng của Dynamic ACL: 13 II. Reflexive ACL: 15 1.Ý tưởng của Reflexive ACL: 16 2.Cấu hình Reflexive ACL : 16 III. Timebased ACL: 18 1.Cấu hình Timebased ACL 18 CHƯƠNG III:Ứng dụng ACL vào các bài toán bảo mật 20 I.Các quy trình triển khai ACL vào hệ thống 20 1. Access Control 20 2. SNMP: 21 3. Routing Advertisement filtering: 22 4. Defend IP Spoofing 22 5. Defend DOS 23

HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA AN TOÀN THÔNG TIN

Đề tài : Tìm hiểu và demo các ACL trên các router cisco

Nhóm sinh viên thực hiện:

Lớp : L01

Lời nói đầu

Bảo mật mạng là công việc vô cùng quan trọng trong các hệ thống mạng Các nhà thiết kế mạng sử dụng tường lửa (firewall) để bảo vệ mạng từ người dùng không xác thực Tường lửa có thể là giải pháp phần cứng hoặc giải pháp phần mền để thi hành chính sách bảo mật Trên thiết bị Router Cisco, chúng ta có thể cấu hình tường lửa đơn giản cung cấp lọc gói tin sử dụng ACLs (access control lists) Với ACLs, người quạn trị mạng có thể cho phép hoặc từ chối các gói tin đi vào hoặc ra ngoài mạng

MỤC LỤC

CHƯƠNG I:Access Control List

I.ACL là gì?

-ACL là một danh sách các câu lệnh được áp đặt vào các cổng (interface) của router Danh sách này chỉ ra cho router biết loại packet nào được chấp nhận(allow) và loại packet nào bị hủy bỏ (deny) Sự chấp nhận và hủy bỏ này có thể dựa vào điạ chỉ nguồn, địa chỉ đích hoặc chỉ số port

1.Hoạt Động Của ACL

*ACL hoạt động theo hai cách:

-Quản lí chiều vào (Inbound ACL)

-Quản lí chiều ra (Outbound ACL)

2.Một vài đặc điểm ACL?

Các entry trong ACL đc xử lý theo thứ tự

Cơ chế lọc bằng cách kiểm tra các thông số trong header gói tin

ACL có nhiều ứng dụng, và cần phải được đặt lên interface, line, giao thức hoặc dịch vụ hỗ trợ ACL

Mỗi interface, line, giao thức hoặc dịch vụ hỗ trợ có thể sử dụng 1 hoặc nhiều ACL

Hỗ trợ hầu như tất cả giao thức nhưng mỗi giao thức nên có riêng một ACLCuối mỗi ACL luôn có 1 explicit entry [deny all] => cần phải cẩn thận

Không thể xóa,sửa entry trong numbered ACL

Có nhiều cách để phân loại ACL, dựa theo tên gọi ACL được chia làm number ACL và named ACL, hoặc dựa trên cơ chế lọc thì ACL đc chia thành Standard ACL và extend ACL; hay dựa trên độ linh hoạt thì ACL có thể chia thành static ACL và complex ACL

II.Các loại ACL cơ bản:

Standard ACLExtended ACL Turbo ACL

1.Standard ACL

Standard ACL là những bản tin ACL đơn giản nhất Chúng được đánh số từ 1-99 nếu là number ACL Standard ACL chỉ lọc địa chỉ nguồn trong header của IP packet, vì thế chúng hoạt động tại lớp 3 trong mô hình OSI hay lớp internet trong

mô hình TCP/IP

Standard ACL có thể được đặt theo chiều inbound (vào) hoặc outbound (ra) trên router(ta hiểu rằng vào hay ra là chiều tương đối đối với mỗi interface), tuy nhiên bản tin Standard ACL nên được đặt càng gần destination, và thường theo chiều outbound Vì Standard ACL chỉ kiểm tra địa chỉ IP nguồn, nên vị trí đặt cần chỉ ra chính xác chiều gói tin sẽ được cho phép qua hoặc không được cho phép qua

Cấu hình Standard ACL

Format Standard ACL

Router(config)#access-list [list number] [permit / deny] [source IP add]

[wildcardmask]Trong đó:

[list number] đánh số cho Standard ACL từ 1-99

[permit / deny]: cho phép hoặc không cho phép gói tin qua router

[source IP add]: địa chỉ IP nguồn của gói tin

[wildcard mask]: wildcard mask của địa chỉ IP

Đặt Standard ACL lên interface:

[list number] đánh số cho Standard ACL từ 1-99

[permit / deny]: cho phép hoặc không cho phép gói tin qua router

[source IP add]: địa chỉ IP nguồn của gói tin

[wildcard mask]: wildcard mask của địa chỉ IP

Trong đó:

[list number] số của ACL đã xác định trưốc

[in / out]: Chọn hướng inbound hoặc outbound

source-Extended ACL cũng thể được cấu hình inbound hoặc outbound trên

interface, tuy nhiên vì extended ACL lọc chính xác source/destination IP Address nên vị trí đặt cần tránh tình trạng hao tổn băng thông mạng không cần thiết khi gói tin bị discard “lang thang” trước khi bị deny Người ta thường thực hiện điều này bằng cách đặt ACL gần source Extended ACL được sử dụng nhiều để thiết lập các routing policy trên router Các entry trong Extended ACL rất đa dạng, và có khả năng tùy biến cao, hỗ trợ phòng chống nhiều kiểu tấn công

Cấu hình Extended ACL

Format Standard ACL:

Router(config)#access-list [list number] [permit / deny] [protocol] [source

specification] [destination specification] [protocol qualification] [logging]

Trong đó:

[list number] đánh số cho standard ACL từ 1-99

[permit / deny]: cho phép hoặc không cho phép gói tin qua router

[protocol]: Giao thức (từ lóp 3 trở lên) của gói tin (lóp 3: “ospf”, “eigrp”, ; lớp 4:

“tcp”,“udp”; “icmp”; “ip” đại diện bất kỳ giao thức nào)

[source specification]: Là một chuỗi entry bao gồm [source IP add] [wildcard mask]

[source port number (vói protocol là TCP hoặc UDP)]

[destination specification]: Là một chuỗi entry bao gồm [des IP add] [wildcard mask]

[des port number (vói protocol là TCP hoặc UDP)]

[protocol qualification]: Các tùy chọn hỗ trợ phụ thuộc vào entry [protocol], tăng cường tính năng bảo mật hoặc thực hiện những tác vụ lọc dữ liệu đặc biệt

Nếu [protocol] là TCP hoặc UDP thì [protocol qualification] = [optional port] [port number]

Trong đó:

[optional port] chỉ ra khoảng port cần được kiểm tra

[port number] chỉ ra chính xác port làm mốc cho [optional port]

Nếu [protocol] là ip: router sẽ match tất cả giao thức

Nếu [protocol] là giao thức định tuyển (ospf, eigrp, ) ???

[logging]: Ghi lại thông tin về những gói tin match các entry trong ACL

Inbound hay Outbound

Khi nhắc tới lọc theo chiều nào (inbound hoặc outbound) phải gắn liền với mỗi interface trên router, trên mỗi interface cho phép nhiều ACL nên cho phép lọc nhiều chiều tùy vào

mỗi ACL

-> Inbound: Các bản tin hướng vào interface

-> Outbound: Các bản tin hưóng ra từ interface

Lọc inbound sẽ tiêu tốn ít tài nguyên CPU hơn, do gói tin được lọc trưốc khiđược forward; ngược lại, lọc outbound sẽ tốn nhiều thời gian hơn vì gói tin được lọc sau khi forward Tuy nhiên chiều lọc rất quan trọng và đặt chính xác là yêu cầu

Để giải quyết tình huống này, router CISCO dòng 7200, 7500,12000 đưa vàomột cấu hình dòng lệnh cho phép router biên dịch (compile) statement trong ACL thành file BIN,sau đó lưu vào RAM Như vậy router sẽ xử lý gói tin trong lookup table, độc lập với ACL,và điều này sẽ giảm bớt thòi gian tải trên CPU.

Cầu hình turbo ACL:

Router(config)#access-list compiled

III.Named Access Control List

Có thể là Standard ACL hoặc extended ACL nhutig đưỢc đặt tên bằng ký tự (vì thế,trong nhiều trường hợp named ACL giúp admin quản lý danh sách ACL hiệu quả hơn)

Vì thế nên không giới hạn số iượng ACL

Cho phép xóa sửa entry trong ACL, entry mới sẽ đặt ỏ cuối

Một vài dạng ACL (reflexive ACL) yêu cầu cấu hình với named ACL

1.Cấu hình named ACL

Router(config)ip access-list [Standard / extended] [name]

Router(config-std-nacl)#[permit / deny]

Trong đó:

[Standard / extended] là loại ACLs

[name] là tên đặt cho ACLs[permit / deny] là cấu hình entry cho named ACLs: Hoàn toàn Tương tự cấu hình

Standard / extended ACLs kể từ entry [permit /deny]

2.Wild-card Mask

Wildcard Mask là một chuỗi nhị phân 32 bit được chia làm 4 octet Mỗi một wildcard mask đi k-> m vối một địa chỉ IP Các bit 0 và 1 được định nghĩa để xác định cách xử lý các bit tương ứng trong đia chỉ IP theo quy tắc: 0 kiểm tra - 1 bỏ qua Nghĩa là bit tương ứng với bit 0 trong wildcard mask sẽ được kiểm tra, còn tương ứng vói bit 1 sẽ được bỏ qua không cần kiểm tra

Phân biệt wildcard mask và subnet mask

Wildcard mask và subnet mask khác nhau hoàn toàn về nguyên tắc cũng nhưchức năng Subnet mask có chuỗi bit 1 kéo dài từ trái sang phải để xác định phần host và phần Network trong 1 địa chỉ IP tương ứng Trong khi wildcard mask được dùng để lọc một hoặc một nhóm địa chì IP cụ thể

Trong các bài toán tính wildcard mask, thật sai lầm khi cho rằng để tính wildcard mask ta lấy dải 255.255.255.255 trừ đi tương ứng subnet mask Tuy nhiênvậy tại sao lại sử dụng wildcard mask trong giao thức định tuyến OSPF (và

EIGRP)?

Subnet mask cho phép xác định một dải IP liên tục, trong khi mục đích của wildcard mask là lọc ra một dải IP có tính chất giống nhau (có thể liên tục hoặc ko liên tục), và chỉ ra router cần quan tâm đến những địa chỉ IP nào

i.e Liệu 1.1.1.0/24 và 1.1.1.0 0.0.0.255 có tương đương nhau ko? Chính xác là không, vì

1.1.1.0 0.0.0.255 bao gồm 1.1.1.0/24; 1.1.1.0/25^; 1.1.1.0/26 đến 1.1.1.0/32

Đối vối giao thức định tuyến Link State như OSPF (hoặc EIGRP) vối cơ chếtrigger update wildcard mask hiệu quả hơn subnet mask, điều này mang đến 2 cái lợi: giảm tốc độ xử lý CPU router và giảm dung lượng file cấu hình:

i.e Trên router cần quảng bá OSPF trên 2 interface:

Quá trình kiểm tra wildcard mask:

Trong quá trình lọc ACL, địa chỉ IP trong mỗi statement được kết hỢp với wildcard mask để tính ra một giá trị chuẩn: giá trị chuẩn đó có thể là một địa chỉ host, 1 subnet, 1khoảng địa chỉ IP(liên tục hoặc không liên tục) hoặc là tất cả các địa chỉ IP Gói tin khi tối interface đặt ACL sẽ được kiểm tra địa chỉ IP, địa chỉ IP này được so sánh vối giá trị chuẩn ỏ trên: Nếu 2 giá trị này giống nhau thì điều kiện đã thỏa mãn và router thực hiện các lệnh trên ACL

Các bài toán tính wildcard mask:

1 Wildcard mask match 1 host

1.e: Tính wildcard mask match host 192.168.1.1

Theo nguyên tắc: bit 0 kiểm tra - bit 1 bỏ qua

IP Address: 192.168.1.1 0 0.0.0 hoặc từ khóa “host”

2 Wildcard mask match tất cả địa chỉ IP

l.e: Tính wildcard mask match tất cả địa chỉ IP

Theo nguyên tắc: bit 0 kiểm tra - bit 1 bỏ qua

D ® IP Address: 192.168.1.1 255.255.255.255 hoặc từ khóa “any”

3 Wildcard mask match 1 subnet

i.e: Tính wildcard mask match subnet 192.168.1.0/24

Cách tính: Lấv 255.255.255.255 trừ đi subnet mask của subnet

D ® IP Address: 192.168.1.1 0.0.0.255

4 Tính Wildcard mask match range địa chỉ IP liên tục

i.e: Tính wildcard mask match range từ 192.168.2.0 đến 192.168.4.255

Cách tính: Lấv địa chỉ cuối trừ địa chỉ đầu

D® IP Address: 192.168.2.0 0.0.2.255

5 Tính widcard mask match 1 số IP add đầu tiên

i.e: Cho địa chỉ IP 192.168.1.0, tính wildcard mask match X host đầu tiên

-> Dải địa chỉ cần match: 192.168.1.0 - > 192.168.1 X

-> wildcard mask: o.o.o.x (lấy địa chỉ cuối trừ địa chỉ đầu)

-> Dải địa chỉ nửa trên: 192.168.1.0 - > 192.168.1.127

-> wildcard mask: 0.0.0.127 (lấy địa chỉ cuối trừ địa chỉ đầu)

-> Địa chỉ IP: 192.168.1.0 0.0.0.127

-> Dải địa chỉ nửa dưới: 192.168.1.128 - > 192.168.1.255

-> wildcard mask: 0.0.0.127 (lấy địa chỉ cuối trừ địa chỉ đầu)

-> Địa chỉ IP: 192.168.1.128 0.0.0.127

7 Tính wildcard mask match IP lẻ, hoặc IP chẵn

1 địa chỉ Ip lẻ / chẳn là địa chỉ có octet cuối cùng dạng thập phân là số lẻ / chẳnl.e: IP lẻ - 192.168.1.1

IP chẵn-192.168.1.2

Nhân xét: bit cuối cùng của IP lẻ luôn là bit 1, bit cuối cùng của IP chẵn luôn là bit

wildcard mask phải là bit 0

-> I.e1: Cho địa chỉ IP: 192.168.1.0, tính wildcard mask match tất cả IP chẵn:

-> wildcard mask: 0.0.0.254 (dạng nhị phân:

00000000.00000000.00000000.11111110)

-> Địa chỉ IP: 192.168.1.0 0.0.0.254 (IP chẵn có bit cuối luôn bằng 0)

-> Ị.e2: Cho địa chỉ IP: 192.168.1.0, tính wildcard mask match tất cả IP lẻ

-> wildcard mask: 0.0.0.254 (dạng nhị phân:

00000000.00000000.00000000.11111110)

-> Địa chỉ IP: 192.168.1.1 0.0.0.254 (IP lẻ có bit cuối luôn bằng 1)

8 Tính wildcard mask match 1 range IP address không liên tục

Đây là dạng toán tính wildcard mask phức tạp nhất vì admin không có cách nào sửdụng 1 wildcard mask để tạo thành địa chỉ IP match tất cả dải IP ban đầu:

l.e: Tính wildcard mask match dải: 192.168.1.15 - > 192.168.1.75Nhân xét: Đâv là một dải IP không liên tục , không có 1 wildcard mask nào có thể thỏa

mãn dải không liên tục Tuy nhiên đối vối những dải IP liên tục thì luôn có

wildcard mask

thỏa mãn

Giải pháp: Chia dải IP ban đầu thành những dải nhỏ mà trong đó luôn tìm được 1

wildcard mask thỏa mãn mỗi dải Vậy cách chia như thế nào? Nhắc lại: mỗi bit trong octet phần host đại diện cho một nhóm các host gọi là một block size Bit cuối cùng là block size 1 vì nó thể hiện 1 host, tương tự bit đầu tiên là block size

128 Và, mỗi block size luôn tìm được 1 wildcard mask thỏa mãn

Chia dải thành các block size:

- 192.168.1.15(1)

- 192.168.1.16 - > 192.168.1.31 (2)

- 192.168.1.32 - > 192.168.1.63 (3)

CHƯƠNG II :Complex ACL

Complex ACL là những dạng ứng dụng mở rộng của Standard ACL và extended ACL

Complex ACL cung cấp thêm nhiều tính năng có tính bảo mật cao hơn, complex ACL gồm 3 loại: Dynamic ACL hay lock-and-key ACL; Reflexive ACL, và time-based ACL

1.Ý tưởng của Dynamic ACL:

Thiết lập ACL trên 1 interface của router có thể giói hạn quyền truy cập qua router; có thể inbound hoặc outbound; tuy nhiên trong một vài trường hỢp, admin cần phải cho phép 1 host hoặc một nhóm host có dải IP trong ACL trên có thể truy nhập/ xuất qua router Để thực hiện điều này, admin buộc phải thay đổi statement trong ACL, hoặc phải mở một “cánh cửa tạm thòi” cho phép các PC thỏa mãn đc điều kiện do admin đặt ra đi qua

Điều kiện cần phải thõa mãn chính là yêu cầu xác thực (authentication), liệu sau khi người dùng xác thực chính xác, có thể tạo một phiên telnet (session) tạm thòi, mà trong đó ACL ban đầu đã được cấu hình lại để traffic của họ có thể đi qua router trong một khoảng thòi gian định sẵn?

a.Cơ chề Hoạt động Dynamic ACL:

1 Interface trên router biên đã được cấu hình lock-and-key

2 Người dùng telnet tới router, khi đó lOS sẽ mở một phiên làm việc telnet, yêu cầu người dùng nhập thông tin xác thực Nếu thông tin xác thực chính xác người dùng có thể vượt qua ACL trên router để truy nhập hoặc truy xuất Quá trình chứngthực đc thực hiện bởi router hoặc AAA hay TACACS+ server

3 Sau khi chứng thực thành công, người dùng sẽ thoát khỏi phiên telnet, một entrytạm thời trên dynamic ACL mở ra và bạn có thể trao đổi dữ liệu

4 Sau một khoảng thòi gian time-out cho phép, entry tạm thòi sẽ bị tự động xóa hoặc admin sẽ xóa bằng tay Có 2 khoảng thời gian time-out là idle time-out: nếu sau idle time-out người dùng không sử dụng phiên, entry sẽ bị xóa; và absolute time-out: entry sẽ bị xóa bất kể thế nào sau khoảng thòi gian này

b.Khi nào sử dụng dynamic ACL

Lock-and-Key cho phép 2 chiều: inbound và outbound

Admin muốn cho phép một người dùng ỏ xa có thể truy cập vào hệ thống mạng qua Internet Lock-and-key sẽ chứng thực và cho phép truy cập có giới hạn vào 1 host hoặc một subnet trong 1 khoảng thòi gian định sẵn

Khi admin hoặc host trong hệ thống mạng muốn truy xuất tới một remote host từ xa được bảo vệ bởi ACL trên router Các host này được yêu cầu chứng thựcqua TACACS+server trưóc khi đc cho phép truy xuất

Lock-and-key sau khi được kích hoạt ,người dùng sau khi xác thực thành công ,nghĩa là trên ACL đã xuât hiện một “khe” cho phép IP xác thực thành công

có thể trao đổi dữ liệu qua router Hacker hoàn toàn có thể tìm và thực hiện IP spoofing để lấy quyền xâm nhập hệ thống mạng trong khoảng thòi gian định sẵn

Configure dynamic ACL:

S0/0 được cấu hình ACL ngăn không cho những truy cập trái phép ngoài internet tói hệ thống mạng LAN

-> ĐỊnh nghĩa user name và password để xác thực:

[Standard / extended] là loại ACLs

[name] là tên đặt cho ACLs

[permit / deny] là cấu hình entry cho named ACLs: Hoàn toàn Tương tự cấu hìnhStandard / extended ACLs kể từ entry [permit /deny]

-> Thiết lập ACL đặt chiều inbound interface s0/0

1 Cho phép telnet tử remote user tói router

Router(config)#access-list 101 permit tcp any host 1.1.1.1 eq 23 log

2 Tạo dynamic ACL tên TEMP ACCESS

Router(config)#access-list 101 TEMP_ACCESS permit tcp host 3.3.3 1 host 1.1.1.1 eq 23

3 Áp dung vào interface

Router(config)#interface s0/0

Router(config)#ip access-group 101 in

-> Cấu hình trên line vty

Router(config)#line vty 0 4