TRƢỜNG ĐẠI HỌC VINH 005.8 KHOA CÔNG NGHỆ THÔNG TIN LÊ CÔNG HUY ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC Đề tài: An ninh mạng bảo mật Switch với Port Security Nghệ An, tháng 12 năm 2014 TRƢỜNG ĐẠI HỌC VINH KHOA CÔNG NGHỆ THÔNG TIN ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC Đề tài: An ninh mạng bảo mật Switch với Port Security Sinh viên thực : Lê Công Huy Mã sinh viên : 1051070482 Lớp : 51K2 – CNTT Giáo viên hướng dẫn : ThS Đặng Hồng Lĩnh Nghệ An, tháng 12 năm 2014 Đồ án tốt nghiệp đại học LỜI CẢM ƠN Chúng em xin cảm ơn Khoa CNTT đem lại cho chúng em nguồn kiến thức vơ q giá để chúng em có đủ kiến thức hoàn thành báo cáo nhƣ làm hành trang bƣớc vào đời Bƣớc đầu vào thực tế, tìm hiểu chuyên sâu lĩnh vực chuyên ngành kiến thức em hạn chế nhiều bỡ ngỡ Do vậy, khơng tránh khỏi thiếu sót ,em mong nhận đƣợc ý kiến đóng góp quý báu quý Thầy Cô bạn học lớp để kiến thức em lĩnh vực đƣợc hoàn thiện Em xin cảm ơn thầy thuộc mơn Kĩ Thuật Máy Tính, đặc biệt thầy giáo ThS Đặng Hồng Lĩnh - giáo viên hƣớng dẫn chúng em tận tình hƣớng dẫn giúp đỡ chúng em chúng em có khó khăn q trình học tập nhƣ trình làm Một lần nữa, em xin cảm ơn tất người Vinh, tháng 12 năm 2014 Sinh viên thực Lê Công Huy 1051070482 Lê Công Huy – Lớp 51K2 – Khoa CNTT Đồ án tốt nghiệp đại học MỤC LỤC MỞ ĐẦU CHƢƠNG 1: TỔNG QUAN VỀ AN NINH MẠNG 1.1 Giới thiệu an ninh mạng 1.1.1 An ninh mạng ? 1.1.2 Lỗ hổng bảo mật 1.2 Đánh giá vấn đề an toàn, bảo mật hệ thống mạng 1.2.1 Phƣơng diện vật lý 1.2.2 Phƣơng diện logic .5 CHƢƠNG 2: TRIỂN KHAI ACESS CONTROL LIST TRÊN ROUTER 2.1 Giới thiệu ACL 2.1.1 Standard Access Control List 2.1.2 Extended Access Control List 10 2.1.3 Một số loại ACL khác .12 2.2 Nguyên lý hoạt động ACL 15 2.2.1 Inbound 15 2.2.2 Outbound 16 2.2.3 Giới thiệu Wildcard Mask .16 2.2.4 So sánh Subnet Mask Wildcard Mask .18 2.3 Xây dựng mơ hình hệ thống triển khai cấu hình ACL 18 2.3.1 Tổng quan mơ hình hệ thống 18 2.3.2 Phân tích mơ hình hệ thống .19 2.3.3 Cấu hình Standard Access Control List 19 2.3.4 Cấu hình Extended Access Control List 24 2.3.5 Cấu hình Access Control List Vlan 28 2.3.6 So sánh ACL Router ACL Firewall (ISA/TMG) 29 CHƢƠNG 3: BẢO MẬT SWITCH VỚI PORT SECURITY 30 3.1 Giới thiệu Port Security 30 3.2 Các bƣớc cấu hình Port Security Switch 31 3.3 Khôi phục port trạng thái bình thƣờng bị lỗi 32 3.4 Triển khai cấu hình Port Security Switch .33 KẾT LUẬN 37 TÀI LIỆU THAM KHẢO 39 Lê Công Huy – Lớp 51K2 – Khoa CNTT Đồ án tốt nghiệp đại học MỞ ĐẦU  Lý chọn đề tài Nói đến bảo mật ngƣời ta phân thành phần bảo vệ: bảo mật lớp thấp bảo vệ lớp cao Trong mơ hình OSI lớp thấp bao gồm: lớp vật lý, lớp liên kết liệu lớp mạng Lớp cao bao gồm: lớp vận chuyển, lớp phiên, lớp trình diễn cuối lớp ứng dụng Hiện nay, doanh nghiệp trọng bảo mật lớp cao không quan tâm đến việc bảo mật lớp thấp Mà đa số công phổ biến lại rơi vào lớp thấp nên hệ thống mạng chƣa đƣợc bảo mật tốt Chính yếu tố nên em chọn đề tài tốt nghiệp Access Control List Port Security để bảo mật cách hồn chỉnh  Mục đích nghiên cứu Nắm rõ nguyên lý hoạt động chung Access Control List, Port Seurity lệnh cấu hình Từ mở rộng ra, hiểu đƣợc nguyên lý hoạt động firewall quy tắc chung thiết kế hệ thống mạng  Đối tƣợng phạm vi nghiên cứu ▪ Đối tƣợng: Các doanh nghiệp công ty ▪ Phạm vi nghiên cứu: Mơ hình giả lập  Phƣơng pháp nghiên cứu ▪ Thu thập thơng tin phân tích tài liệu, thông tin liên quan đên Access Control List Port Security ▪ Xây dựng mơ hình hệ thống tổng quan demo cấu hình Access Control List Port Security ▪ Kiểm tra thử, đánh giá rút kết luận  Ý nghĩa khoa học thực tiễn đề tài ▪ Ý nghĩa khoa học: Tìm hiểu Access Control List Port Security dựa tài liệu đƣợc chuẩn hóa thẩm định ▪ Thực tiễn: Áp dụng rộng rãi với doanh nghiệp công ty Với Access Control List Port Security ngăn chặn đƣợc nhiều công từ bên mạng Lê Công Huy – Lớp 51K2 – Khoa CNTT Đồ án tốt nghiệp đại học CHƢƠNG 1: TỔNG QUAN VỀ AN NINH MẠNG 1.1 Giới thiệu an ninh mạng 1.1.1 An ninh mạng ? An ninh mạng lĩnh vực mà giới công nghệ thông tin quan tâm Một internet đời phát triển, nhu cầu trao đổi thông tin trở nên cần thiết Mục đích việc kết nối mạng làm cho ngƣời sử dụng chung tài nguyên mạng từ vị trí địa lý khác Chính mà tài ngun dễ dàng bị phân tán, hiển nhiên điều dễ bị xâm phạm gây mát liệu nhƣ thơng tin có giá trị Kết nối rộng dễ bị cơng, quy luật tất yếu Từ đó, vấn đề bảo vệ thơng tin đồng thời xuất an ninh mạng đời Ví dụ: User A gửi tập tin cho User B phạm vi nƣớc Việt Nam có khác xa so với việc User A gửi tập tin chi User C Mỹ Ở trƣờng hợp đầu liệu mát với phạm vi nhỏ nƣớc nhƣng trƣờng hợp sau việc mát liệu với phạm vi rộng giới Một lỗ hổng mạng mối nguy hiểm tiềm tàng Từ lỗ hổng bảo mật nhỏ hệ thống, nhƣng biết khai thác lợi dụng kĩ thuật hack điêu luyện trở thành mối đe dọa lớn Theo thống kê tổ chức IC3 số tội phạm internet ngày tăng nhanh chóng vịng năm từ 2001 đến 2009 số lƣợng tội phạm tăng gần 20 lần dự đoán tƣơng lai số cịn tăng lên nhiều Hình 1.1: Thống kê tội phạm internet theo tổ chức IC3 Lê Công Huy – Lớp 51K2 – Khoa CNTT Đồ án tốt nghiệp đại học Nhƣ vậy, số lƣợng tội phạm tăng dẫn đến tình trạng cơng tăng đến chóng mặt Điều dễ hiểu, thực tế ln tồn hai mặt đối lập Sự phát triển mạnh mẽ công nghệ thông tin kĩ thuật miếng mồi béo bở hacker bùng phát mạnh mẽ Tóm lại, internet nơi khơng an tồn Mà khơng internet loại mạng khác nhƣ mạng LAN, đến hệ thống máy tính bị xâm phạm Thậm chí, mạng điện thoại, mạng di động khơng nằm ngồi Vì nói rằng, phạm vi bảo mật lớn, nói khơng cịn gói gọn máy tính quan mà toàn cầu 1.1.2 Lỗ hổng bảo mật Các lỗ hổng bảo mật hệ thống điểm yếu tạo ngƣng trệ dịch vụ, thêm quyền ngƣời sử dụng cho phép truy cập không hợp pháp vào hệ thống Các lỗ hổng xuất hạ tầng mạng nằm dịch vụ cung cấp nhƣ sendmail, wed, fpt… Ngoài lỗ hổng cịn tồn hệ điều hành nhƣ windows XP, windowns 7, Ubuntu… ứng dụng mà ngƣời sử dụng thƣờng xuyên sử dụng nhƣ: Office, trình duyệt, … Theo quốc phịng Mỹ, lỗ hổng bảo mật hệ thống đƣợc chia nhƣ sau:  Lỗ hổng loại A: Các lỗ hổng cho phép ngƣời sử dụng ngồi truy cập vào hệ thống bất hợp pháp Lỗ hổng nguy hiểm, phá hủy tồn hệ thống  Lỗ hổng loại B: Các lỗ hổng cho phép ngƣời sử dụng thêm quyền hệ thống mà khơng cần kiểm tra tính hợp lệ Mức độ nguy hiểm trung bình Những lỗ hổng thƣờng có ứng dụng hệ thống, dẫn đến lộ thông tin liệu  Lỗ hổng loại C: Các lỗ hổng loại cho phép thực phƣơng thức công theo DoS Mức nguy hiểm thấp, ảnh hƣởng tới chất lƣợng dịch vụ, làm ngƣng trệ, gián đoạn hệ thống, không làm phá hỏng liệu quyền truy cập bất hợp pháp 1.2 Đánh giá vấn đề an toàn, bảo mật hệ thống mạng Để đảm bảo an ninh cho hệ thống mạng, cần phải xây dựng số tiêu chuẩn đánh giá mức độ an ninh, an toàn cho hệ thống mạng Một số tiêu chuẩn đƣợc thừa nhận thƣớc đo độ an ninh hệ thống mạng Lê Công Huy – Lớp 51K2 – Khoa CNTT Đồ án tốt nghiệp đại học 1.2.1 Phƣơng diện vật lý  Có thiết bị dự phịng nóng cho tình hỏng đột ngột Có khả thay nóng phần tồn phần ( hot-plug, hot-swap)  Bảo mật an ninh nơi lƣu trữ máy chủ  Khả cập nhật, nâng cấp bổ sung phần cứng phần mềm  Yêu cầu nguồn điện, có dự phịng tình điện đột ngột  Các yêu cầu phù hợp với môi trƣờng xung quanh: độ ẩm, nhiệt độ, chống sét, phòng chống cháy nổ, … 1.2.2 Phƣơng diện logic  Tính bí mật (Confidentiality) Là giới hạn đối tƣợng đƣợc quyền truy xuất đến thông tin Đối tƣợng truy xuất thông tin ngƣời, máy tính phần mềm Tùy theo tính chất thơng tin mà mức độ bí mật khác Ví dụ: User A gửi email cho User B email có User A User B biết đƣợc nội dung mail, User khác khơng thể biết đƣợc Giả sử có User thứ biết đƣợc nội dung mail lúc bí mật mail khơng cịn  Tính xác thực (Authentication) Liên quan tới việc đảm bảo trao đổi thông tin đáng tin cậy ngƣời gửi ngƣời nhận Trong trƣờng hợp tƣơng tác xảy ra, ví dụ kết nối đầu cuối đến máy chủ, có hai vấn đề sau: thứ thời điểm khởi tạo kết nối, dịch vụ đảm bảo hai thực thể đáng tin Mỗi thực thể đƣợc xác nhận Thứ hai, dịch vụ cần bảo đảm kết nối không bị gây nhiễu thực thể thứ ba giả mạo hai thực thể hợp pháp để truyền tin nhận tin không đƣợc cho phép  Tính tồn vẹn (Integrity) Tính tồn vẹn đảm bảo tồn nguyên vẹn thông tin, loại trừ thay đổi thơng tin có chủ đích hƣ hỏng, mát thơng tin cố thiết bị phần mềm Ví dụ User A gửi email cho User B, User A gửi nội dung nhƣ User B nhận đƣợc y nhƣ khơng có thay đổi  Tính khơng thể phủ nhận ( Non repudiation) Lê Công Huy – Lớp 51K2 – Khoa CNTT Đồ án tốt nghiệp đại học Tính khơng thể phủ nhận bảo đảm ngƣời gửi ngƣời nhận chối bỏ tin đƣợc truyền Vì vậy, tin đƣợc gửi đi, bên nhận chứng minh đƣợc tin thật đƣợc gửi từ ngƣời gửi hợp pháp Hoàn toàn tƣơng tự, tin đƣợc nhận, bên gửi chứng minh đƣợc tin thật đƣợc nhận ngƣời nhận hợp lệ Ví dụ: User A gửi email cho User B User A khơng thể từ chối đƣợc A khơng gửi mail cho B  Tính sẵn sàng (Availability) Một hệ thống đảm bảo tính sẵn sàng có nghĩa truy nhập liệu lúc mong muốn vòng khoảng thời gian cho phép Các cơng khác tạo mát thiếu sẵn sàng dịch vụ Tính khả dụng dịch vụ thể khả ngăn chặn khôi phục tổn thất hệ thống cơng gây Ví dụ: Server web hoạt động hàng ngày để phục vụ cho web client nghĩa nào, đâu Server web sẵn sàng để phục vụ cho web client  Khả điều khiển truy nhập (Access Control) Trong hệ thống mạng đƣợc coi bảo mật, an tồn ngƣời quản trị viên phải điều khiển đƣợc truy cập vào hệ thống mạng, cho phép hay ngăn chặn truy cập hệ thống Ví dụ: Trong cơng ty có phịng ban, để bảo mật thông tin nội công ty, ngƣời quản trị viên ngăn chặn số phịng ban gửi thơng tin ngồi từ ngồi vào Lê Công Huy – Lớp 51K2 – Khoa CNTT Đồ án tốt nghiệp đại học CHƢƠNG 2: TRIỂN KHAI ACCESS CONTROL LIST TRÊN ROUTER 2.1 Giới thiệu ACL Ngày với tiến khoa học công nghệ Hệ thống mạng giải pháp đƣợc lựa chọn hàng đầu cho việc truyền tải liệu bảo mật hệ thống mạng vấn đề đƣợc quan tâm Một công cụ quan trọng Router đƣợc dùng trong lĩnh vực bảo mật Access Control List (ACL) Đây tính giúp ta cấu hình trực tiếp Router để tạo danh sách địa mà ta cho phép hay ngăn chặn việc truy cập vào địa ACL lọc gói tin cách kiểm tra gói tin gói tin đƣợc phép chuyển tiếp gói tin cho qua cịn khơng đƣợc phép chặn gói tin cổng vào Router ACL kiểm tra điều kiện sau: địa nguồn, địa đích, giao thức số hiệu port lớp  Một số nguyên nhân tạo ACL Giới hạn lƣu lƣợng mạng để tăng hiệu xuất hoạt động mạng Ví dụ cơng ty th đƣờng truyền internet khơng cao đủ hoạt động công việc kinh doanh nhƣng số phòng ban lại download truyền tải tập tin video khiến hoạt động công ty hoạt động chậm chạp Với ACL cách giới hạn lƣu lƣợng truyền video, ACL làm giảm tải đáng kể cho hệ thống mạng làm tăng suất mạng nhƣ hiệu suất công việc công ty Cung cấp chế độ bảo mật bản, ACL cho phép host truy cập vào phần hệ thống mạng ngăn chặn không cho host khác truy cập vào khu vực Ví dụ: Trong cơng ty có phịng ban IT ngƣời admin muốn có địa IP ngƣời admin có quyền telnet lên phịng Server đƣợc, tất địa IP khác khơng đƣợc quyền Với ACL ta làm đƣợc điều Quyết định loại lƣu lƣợng đƣợc cho phép cho hay chặn lại cổng Router Ví dụ: Cho phép lƣu lƣợng email đƣợc lƣu thơng nhƣng chặn lƣu lƣợng video Cho phép ngƣời quản trị mạng điều khiển đƣợc phạm vi mà client đƣợc quyền truy cập vào hệ thống mạng Ví dụ: Vì lý bảo mật thơng tin, phịng ban IT khơng đƣợc quyền truy nhập vào phịng ban kế tốn nhƣng ngƣợc lại đƣợc  Access Control List có hai loại Standard Access Control List Extended Access Control List Lê Công Huy – Lớp 51K2 – Khoa CNTT Đồ án tốt nghiệp đại học ▪ Ví dụ: Chặn ping từ site Sài Gịn đến máy chủ nhƣng tất site cịn lại ping tới máy chủ cho phép site Sài Gịn truy cập vào trang WEB cơng ty ▪ Với cấu hình Extended ACL ta phân tích kĩ - IP nguồn: 192.168.3.0 site Sài Gịn - IP đích: 192.168.0.0/24 máy chủ - Giao thức: ICMP, HTTP - Port: 80 - Vị trí đặt: Router Sài Gịn - Ta phân tích vị trí đặt ACL - Đặt ACL Router Hà Nội: Chặn gói tin ICMP từ site Sài Gịn ping đến máy chủ ta xem đƣờng phân tích Hình 2.24: Gói tin bị Router Hà Nội chặn lại Hình 2.25: Gói tin bị chặn thơng báo lại Nhƣ gói tin trƣớc bị chặn chạy chạy qua Router Sài Gòn, Đà Nẵng bị chặn Router Hà Nội Nhƣ lãng phí băng thơng nhƣ thời gian gói tin chạy từ Router Sài Gòn đến Router Hà Nội Vì vị trí đặt Router Hà Nội Extended ACL chƣa hợp lí Ta xét đến trƣờng hợp đăt ACL Router Sài Gịn Lê Cơng Huy – Lớp 51K2 – Khoa CNTT 25 Đồ án tốt nghiệp đại học Hình 2.26: Gói tin bị chặn Router Sài Gịn Vậy gói tin bị chặn lại Router Sài Gịn nên đỡ tốn băng thông hệ thống mạng nhƣ độ trễ thời gian hệ thống Ở chặn gói ping muốn truy cập vào WEB mở lên rule cho phép giao thức HTTP qua Router Sài Gịn đến đƣợc đích Vì Extended ACL quan tâm đến IP nguồn, IP đích, Port, giao thức ▪ Các lệnh cấu hình Router Sài Gịn: Hình 2.27: Cấu hình Extended với Named Ở Standard ACL demo cấu hình với Number cịn với Extended ACL cấu hình với Named Cấu hình với Named giúp ngƣời quản trị dễ dàng việc quản lý rule chỉnh sửa rule cịn với number khó để biết đƣợc rule khơng đƣợc chỉnh sửa rule cấu hình sai mà xóa cấu hình lại Lê Cơng Huy – Lớp 51K2 – Khoa CNTT 26 Đồ án tốt nghiệp đại học Hình 2.28: Cấu hình gói tin chặn từ site Sài Gòn đến máy chủ Sau cấu hình nhƣ site Sài Gịn không ping đƣợc đến máy chủ site truy cập ta khỏi mạng đƣợc ACL đƣợc bật lên kích hoạt tính deny ngầm định Ta cấu hình site Sài Gòn đƣợc phép truy cập đến máy chủ WEB Hình 2.29: Cấu hình thêm rule cho phép truy cập WEB Hình 2.30: Show cấu hình ACL Extended Sau cấu hình xong site Sài Gịn ping đƣợc đến máy chủ nhƣng truy cập đƣợc WEB Lê Cơng Huy – Lớp 51K2 – Khoa CNTT 27 Đồ án tốt nghiệp đại học 2.3.5 Cấu hình Access Control List Vlan Hình 2.30: Mơ hình cấu hình ACL VLAN Mơ hình 2.31 mang tính chất demo minh họa Trên thực tế phức tạp nhiều khơng phải có Switch Layer hoạt động mà có nhiều Switch hoạt động Layer đƣợc nối đến Switch Layer nhiều Switch Layer đƣợc kết nối với nhằm mục đích trao đổi thơng tin ▪ Ví dụ: Chặn VLAN ping sang VLAN nhƣng VLAN ping đến VLAN khác Ta kiểm tra thơng tin VLAN có hoạt động hay không ta sử dụng lệnh show vlan để kiểm tra Hình 2.31: Kiểm tra thơng tin VLAN Switch 3560 Hình 2.32: Cấu hình Extended ACL VLAN Lê Công Huy – Lớp 51K2 – Khoa CNTT 28 Đồ án tốt nghiệp đại học Vì cấu hình ACL VLAN nên ta vào VLAN để xét theo chiểu Inbound hay Outbound thay cấu hình nhƣ bình thƣờng phải vào interface nhƣ fa, gig để xét 2.3.6 So sánh ACL Router ACL Firewall (ISA/TMG) ACL Router gần giống nhƣ với firewall cứng, ta so sánh ACL với firewall mềm ISA hay TMG ACL Router có điểm khác so với firewall mềm sau: Bảng 2: So sánh ACL Router ACL Firewall mềm Tiêu chí ACL (Router) Giao diện CLI- giao diện dòng lệnh Hoạt động Chạy trực tiếp phần cứng Sử dụng Phụ thuộc Rule Linh hoạt Xử lý ACL (Firewall mềm) GUI- giao diện đồ họa Chạy gián tiếp qua phần mềm cài đặt Khó, địi hỏi phải hiểu rõ thuộc lệnh Khá dễ dàng, làm theo thuật sĩ Khơng có Phụ thuộc vào hệ điều hành Giới hạn rule Không giới hạn rule Kém làm việc với thiết bị phần cứng Linh động hơn, làm việc đƣợc với Admin Xử lý nhanh hoạt động lớp Xử lý chậm gói tin phải đƣa mơ hình OSI lên lớp ứng dụng để xử lý Tƣơng đối Bảo mật tốt gói tin đƣợc xét lớp ứng dụng Ứng dụng Thƣờng ISP hay công ty lớn Công ty lớn vừa Cập nhật Khó nâng cấp Dễ dàng cập nhật, nâng cấp Bảo mật Lê Công Huy – Lớp 51K2 – Khoa CNTT 29 Đồ án tốt nghiệp đại học CHƢƠNG 3: BẢO MẬT SWITCH VỚI PORT SECURITY 3.1 Giới thiệu Port Security Những interface lớp Cisco đƣợc hiểu nhƣ Port Một Switch mà khơng cung cấp khả bảo vệ Port, cho phép kẻ xấu công công vào hệ thống không dùng đến, enable Port, thu thập thông tin cơng Một Switch cấu hình để hoạt động giống nhƣ Hub Điều có nghĩa hệ thống kết nối đến Switch mộ cách tiềm tàng thấy tất traffic di chuyển qua Switch để tới hệ thống kết nối đến Switch Nhƣ kẻ cơng thu thập traffic chứa đựng thông tin nhƣ: Username, Password, thơng tin cấu hình hệ thống mạng…  Chức Port Security Sử dụng tính Port Security để giới hạn đầu vào interface cách hạn chế xác định địa MAC máy trạm đƣợc truy cập vào Khi định địa secure MAC đến cổng bảo mật, cổng không chuyển tiếp gói tin với địa nguồn bên ngồi nhóm địa xác xác định Nếu hạn chế số lƣợng địa secure MAC tới cổng, máy trạm thuộc port đƣợc đảm bảo đầy đủ băng thông Nếu port secure với số lƣợng tối đa địa secure MAC đƣợc đạt tới, địa MAC máy trạm lại cố gắng truy cập vào cổng mà khác với địa secure MAC xác định Switch quy định vi phạm bảo mật xảy ▪ Ví dụ: Trong hệ thống cơng ty ta muốn Switch để phục vụ cho công việc công ty cho phép PC công ty sử dụng đƣợc Port Switch Không muốn cho thiết bị khác nhƣ máy in hay PC khác kết nối vào hệ thống mạng công ty làm hệ thống mạng ổn định bị kẻ xấu lấy thông tin quan trọng nội công ty Port Security giúp giảm thiểu số nguy mạng bị công Attacker thực ARP Attack Nếu thiết bị khơng có quyền sử dụng cổng gửi frame tới, Switch loại bỏ frame đó, ghi lại log, shutdown cổng, loại bỏ tất frame muốn vào từ cổng tất thiết bị Lê Công Huy – Lớp 51K2 – Khoa CNTT 30 Đồ án tốt nghiệp đại học Hình 3.1: Mơ hình ví dụ Port Security Hai cổng Fa0/1 Fa0/2 Switch hình 3.1 đƣợc cấu hình Port Security Cổng Fa0/1 cho phép địa MAC Address PC1 nên PC1 trao đổi liệu qua cổng Cổng Fa0/2 không cho phép MAC Address PC2 nên PC2 kết nối với cổng Fa0/2 gói tin PC2 gửi bị Switch chặn lại cổng Fa0/2 bị shutdown  Một số nguyên nhân tạo Port Security Port Security giới hạn số lƣợng MAC hợp lệ cho phép Port Tất port Switch interface nên đƣợc đảm bảo trƣớc triển khai Theo cách này, tính đƣợc cài đặt gỡ bỏ nhƣ yêu cầu để thêm vào làm dài thêm đặc tính cách ngẫu nhiên kết bảo mật vốn có sẵn Port Security có khả làm thay đổi phụ thuộc chế độ Switch phiên OSI Mỗi port hoạt động bị hạn chế số lƣợng tối đa địa MAC hành động lựa chọn cho vi phạm Những vi phạm làm drop gói tin drop gửi thơng điệp shutdown port hồn tồn 3.2 Các bƣớc cấu hình Port Security Switch - Bước 1: Vào cổng muốn cấu hình Port Security Ví dụ muốn cấu hình cho cổng Fa0/1 ta dùng câu lệnh: Router(config)#interface f0/1 - Bước 2: Đƣa port chế độ access, chế độ bắt buộc cho port cấu hình port security Router(config-if)#switchport mode access - Bước 3: Bật tính port security cổng Router(config-if)#switchport port-security Lê Công Huy – Lớp 51K2 – Khoa CNTT 31 Đồ án tốt nghiệp đại học - Bước 4: Chỉ định số lƣợng MAC Address đƣợc thay đổi Đây thông số định số lần tối đa mà port chấp nhận thay đổi địa MAC Thay đổi địa MAC có nghĩa ta thay đổi host khác kết nối với switch Gọi số lần đƣợc phép thay đổi k, gọi số lần ta thay đổi địa MAC n, port cho phép hoạt động nhƣ n ≤ k điều quan trọng phải kết nối địa MAC ban đầu vào lại port Số lần đƣợc thay đổi tối thiểu tối đa 1024, mặc định Router(config-if)#switchport port-security maximum number - Bước 5: Chỉ định địa MAC cần đƣợc bảo mật interface Với động tác host có địa MAC tƣơng ứng hoạt động bình thƣờng kết nối vào Switch interface Nếu địa MAC host khác với địa đƣợc định interface port vào trạng thái lỗi hiển nhiên khơng có chuyển tiếp gói tin port Router(config-if)#switchport port-security mac-address [mac-address/sticky] [mac-address]: cụ thể địa MAC host kết nối vào interface Để tìm MAC Address PC ta vào run gõ lệnh cmd Trong giao diện DOS gó lệnh C:\>ipconfig /all [sticky]: Switch tự động thêm MAC Address vào danh sách đƣợc phép liên kết với cổng - Bước 6: Ta muốn Switch làm frame gửi tới cổng có source MAC Address không nằm danh sách cho phép: protect, restrict, shutdown Chọn hành động mặc định shutdown Switch(config-if)#switchport port-security violation [protect/restrict/shutdown] [protect]: loại bỏ frame nhƣng cho phép frame khác qua cổng [restrict]: loại bỏ frame, hiển thị syslog cửa sổ console gửi thông điệp SNMP [shutdown]: loại bỏ frame, hiển thị syslog cửa sổ console, gửi thông điệp SNMP disable cổng từ chối tất traffic vào Tùy chọn shutdown đặt interface vào trạng thái error disable làm cho interface ngừng hoạt động hoàn toàn Để quan sát thay đổi port ta sử dụng lệnh: Switch# debug port-security 3.3 Khôi phục port trạng thái bình thƣờng bị lỗi Để khơi phục port lại trạng thái bình thƣờng ta phải can thiệp vào Switch  Có hai cách để khôi phục lại port bị lỗi Lê Công Huy – Lớp 51K2 – Khoa CNTT 32 Đồ án tốt nghiệp đại học ▪ Cách 1: Vào cổng port bị lỗi, shutdown port bật lại Ví dụ cổng Fa0/1 bị lỗi ta khôi phục lại nhƣ sau: Switch(config)#interface Fa0/1 Switch(config-if)#shutdown Switch(config-if)#no shutdown ▪ Cách 2: Khôi phục tự động, thiết lập lệnh để switch tự động dò tìm lỗi khắc phục lỗi - Bước 1: Tìm lỗi port Switch(config)#errdisable detect cause [all/ cause-name] [all]: tìm tất lỗi xảy [cause-name]: tìm lỗi có tên cause-name - Bước 2: Cho switch khôi phục lại trạng thái Ở ta sử dụng lệnh khôi phục lại tất lỗi Switch(config)#errdisable recovrery cause all - Bước 3: Cài đặt thơng số thời gian cho q trình khơi phục Mặc định port đƣợc khôi phục sau 300 giây sau ta thực lệnh nhiên ta thay đổi thời gian cách sử dụng lệnh: Switch(config)#errdisable recorvery second Thơng số thời gian second có đơn vị giây Sau cấu hình xong cổng port swith bị lỗi sau khoảng thời gian mà ta cấu hình port tự hoạt động trở lại 3.4 Triển khai cấu hình Port Security Switch Hình 3.2: Mơ hình cấu hình Port Security Switch Lê Cơng Huy – Lớp 51K2 – Khoa CNTT 33 Đồ án tốt nghiệp đại học Ví dụ: Ta cấu hình cho interface Fa0/1 cho phép PC1 sử dụng interface Fa0/2 tự động học địa MAC Address PC kết nối với Các PC khác kết nối vào interface shutdown  Cấu hình Port Security cho cổng fa0/1 nhận MAC PC1 Ta sử dụng lệnh C:\>ipconfig /all DOS để tìm MAC Address PC1 Hình 3.3: Tìm MAC Address PC1 Hình 3.4: Cấu hình Port Security cổng fa0/1 Hình 3.5: Show cấu hình Port Security Lê Cơng Huy – Lớp 51K2 – Khoa CNTT 34 Đồ án tốt nghiệp đại học Sau cấu hình xong lúc interface fa0/1 cho phép PC1 sử dụng interface Nếu có máy PC khác cắm vào cổng cổng shutdown lập tức.Bây ta lấy PC2 kết nối vào cổng fa0/1 để kiểm tra Hình 3.6: Ping từ PC2 đến địa 192.168.1.1 kết nối qua fa0/1 Kết cho thấy PC2 ping đến địa 192.168.1.1 VLAN đƣợc Lúc tất PC khác kết nối tới cổng fa0/1 trao đổi liệu đƣợc cổng fa0/1 shutdown Hình 3.7: Interface fa0/1 bị shutdown kết nối với PC2 Cấu hình Port Security cổng fa0/2 cho phép cổng nhận tự động địa MAC Address từ PC PC kết nối vào cổng Các cổng vi phạm Port Seurity cổng bị shutdown Lê Công Huy – Lớp 51K2 – Khoa CNTT 35 Đồ án tốt nghiệp đại học Hình 3.8: Cấu hình Port Security cổng fa0/2 Sau cấu hình Port Security cổng fa0/2 cổng tự động học địa Mac Address PC kết nối với cổng Từ PC thứ trở kết nối với cổng vi phạm Port shutdown Trong thực tế ta cấu hình Port Security theo cách nhiều theo cách ta khơng phải tìm địa Mac Address cho PC Khi interface bị lỗi để hoạt động trở lại bình thƣờng ta phải khởi động lại interface cách Hình 3.9: Khơi phục lại interface bị lỗi Sau thực cấu hình interface fa0/1 khỏi trạng thái shutdown, hoạt động lại bình thƣờng nhƣng cấu hình Port Security cổng khơng thay đổi PC1 đƣợc phép sử dụng đƣợc cổng fa0/1 Lê Công Huy – Lớp 51K2 – Khoa CNTT 36 Đồ án tốt nghiệp đại học KẾT LUẬN  Những vấn đề đạt đƣợc qua đề tài - Để hiểu rõ ACL Port Security cần nắm vững vấn đề nhƣ: Inbound, Outbound, nguyên lý hoạt động Standard ACL, Extended ACL nguyên lý hoạt động Port Security - Việc cấu hình ACL Router Port Security Switch đơn giản nhƣng phải nắm đƣợc nguyên lý hoạt động nó, để hiểu đƣợc đòi hỏi ta phải nghiên cứu sâu vào phần lý thuyết nhƣ nắm rõ ACL Port Security Qua đề tài giúp em nắm đƣợc phần sau: - Thứ nhất: mảng an ninh mạng với ACL Port Security phịng chống số hình thức cơng qua mạng LAN - Có thể tận dụng Router có chức nhƣ firewall cứng dù khơng đầy đủ tính - Thứ hai: phần chuyển mạch định tuyến giúp em ôn lại câu lệnh cấu hình với Router Switch đặc biệt đƣợc trao dồi thêm kiến thức thiết kế hệ thống mạng nhƣ nhƣ nắm rõ nguyên lý hoạt động ACL, từ mở rộng sang firewall từ có nhìn tổng qt hệ thống mạng hoàn chỉnh - Về phần demo em làm đƣợc ACL Port Security mơ hình giả lập với phần mềm Packet Tracer nhƣ thiết bị thật Công Ty CP Đào Tạo Giải Pháp CNTT IPEXPERT Và triển khai thành công ACL Port Security Router Switch  Hạn chế - Hạn chế lớn để tài triển khai đƣợc với mơ hình giả lập nên chƣa phát sinh nhiều lỗi, cần phải nghiên cứu triển khai thực tiễn áp dụng ACL Port Security cho công ty hay doanh nghiệp - Về phần demo mang tính chất minh họa sách truy cập công ty hay doanh nghiệp hoàn toàn khác nên phải dựa vào sách truy cập cơng ty hay doanh nghiệp để cấu hình triển khai ACL Port Security Lê Công Huy – Lớp 51K2 – Khoa CNTT 37 Đồ án tốt nghiệp đại học  Hƣớng phát triển đề tài ▪ Đây đề tài tốt nghiệp em, với mức độ đề tài vừa phải có tính thực tế cao Nếu phát triển đề tài sâu em thực số vấn đề sau: ▪ Thực áp dụng ACL Port Security ngồi thực tiễn ví dụ nhƣ cho doanh nghiệp ▪ Tìm hiểu sâu phần ACL đƣợc áp dụng cho Vlan để áp dụng cho doanh nghiệp ▪ Nghiên cứu phần xác thực AAA để kết hợp với ACL Port Security để hệ thống mạng đƣợc bảo mật Lê Công Huy – Lớp 51K2 – Khoa CNTT 38 Đồ án tốt nghiệp đại học TÀI LIỆU THAM KHẢO [1] Lê Đức Phƣơng, Bùi Hồng Long, Giáo trình CCNA, NXB Thông Tin Truyền Thông, 2011 [2] Nguyễn Hồng Sơn, Giáo trình hệ thống mạng máy tính, NXB Lao động Xã hội, 2008 [3] Đặng Quang Minh, Phan Đình Thông, Lê Đức Phƣơng,CCNA Lappro, NXB Thông Tin Truyền Thơng, 2011 [4] Phan Hồng Gia Liêm, Hồ Vũ Anh Tuấn, Ơn thi CCNA, NXB Thơng Tin Truyền Thơng, 2012 [5] Botnet, Metasploit,Wireshark,CCNA Exploration v4.0, Học viện CNTT Bách Khoa, 2008 [6] Http://tailieu.vn [7] Http://www.vnpro.vn [8] Http://.sinhvienit.net [9] Http://cisco.com [10] Http://www.wikipedia.com Lê Công Huy – Lớp 51K2 – Khoa CNTT 39 ... 1: TỔNG QUAN VỀ AN NINH MẠNG 1.1 Giới thiệu an ninh mạng 1.1.1 An ninh mạng ? 1.1.2 Lỗ hổng bảo mật 1.2 Đánh giá vấn đề an toàn, bảo mật hệ thống mạng ... tốt nghiệp đại học CHƢƠNG 1: TỔNG QUAN VỀ AN NINH MẠNG 1.1 Giới thiệu an ninh mạng 1.1.1 An ninh mạng ? An ninh mạng lĩnh vực mà giới công nghệ thông tin quan tâm Một internet đời phát triển,... CHƢƠNG 3: BẢO MẬT SWITCH VỚI PORT SECURITY 3.1 Giới thiệu Port Security Những interface lớp Cisco đƣợc hiểu nhƣ Port Một Switch mà không cung cấp khả bảo vệ Port, cho phép kẻ xấu công công vào hệ