1. Trang chủ
  2. Luận Văn - Báo Cáo

Nghiên cứu và triển khai bảo mật hệ thống mạng với acl và post security

42 16 0
Nghiên cứu và triển khai bảo mật hệ thống mạng với acl và post security

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

Thông tin tài liệu

TRƯỜNG ĐẠI HỌC VINH KHOA CÔNG NGHỆ THÔNG TIN HOÀNG ANH TÀI ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC Đề tài: NGHIÊN CỨU VÀ TRIỂN KHAI BẢO MẬT HỆ THỐNG MẠNG VỚI ACL VÀ PORT SECURITY NGHỆ AN - 2012 TRƯỜNG ĐẠI HỌC VINH KHOA CÔNG NGHỆ THÔNG TIN ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC Đề tài: NGHIÊN CỨU VÀ TRIỂN KHAI BẢO MẬT HỆ THỐNG MẠNG VỚI ACL VÀ PORT SECURITY Giáo viên hướng dẫn: Sinh viên thực hiện: Lớp: Mã số SV: ThS Phạm Thị Thu Hiền Hoàng Anh Tài 49K - CNTT 0851070236 Nghệ An, tháng 12 năm 2012 LỜI CẢM ƠN Em xin gửi lời cảm ơn chân thành tới quý thầy, cô giáo khoa Công nghệ Thông tin, trường Đại Học Vinh tận tâm, nhiệt tình hướng dẫn tạo điều kiện cho em suốt trình học trường Em xin chân thành cảm ơn cô giáo ThS Phạm Thị Thu Hiền thầy giáo Nguyễn Thanh Sơn giúp em nhiều việc góp ý hướng đề tài Lời cảm ơn chân thành sâu sắc, em xin gửi đến gia đình bạn bè ln sát cánh động viên em giai đoạn khó khăn Mặc dù em cố gắng hồn thành đề tài với tất nỗ lực thân chắn không tránh khỏi thiếu sót Em kính mong nhận cảm thơng nhận đóng góp q thầy bạn Em xin chân thành cảm ơn! Vinh, tháng 12 năm 2012 Sinh viên thực Hoàng Anh Tài ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC MỤC LỤC MỞ ĐẦU CHƯƠNG 1: TỔNG QUAN VỀ AN NINH MẠNG 1.1 Giới thiệu an ninh mạng 1.1.1 An ninh mạng ? 1.1.2 Lỗ hổng bảo mật 1.2 Đánh giá vấn đề an toàn, bảo mật hệ thống mạng 1.2.1 Phương diện vật lý 1.2.2 Phương diện logic .5 CHƯƠNG 2: TRIỂN KHAI ACESS CONTROL LIST TRÊN ROUTER 2.1 Giới thiệu ACL 2.1.1 Standard Access Control List 2.1.2 Extended Access Control List 10 2.1.3 Một số loại ACL khác .12 2.2 Nguyên lý hoạt động ACL 15 2.2.1 Inbound 15 2.2.2 Outbound 16 2.2.3 Giới thiệu Wildcard Mask .16 2.2.4 So sánh Subnet Mask Wildcard Mask .18 2.3 Xây dựng mơ hình hệ thống triển khai cấu hình ACL 18 2.3.1 Tổng quan mơ hình hệ thống 18 2.3.2 Phân tích mơ hình hệ thống .19 2.3.3 Cấu hình Standard Access Control List 19 2.3.4 Cấu hình Extended Access Control List 24 2.3.5 Cấu hình Access Control List Vlan 28 2.3.6 So sánh ACL Router ACL Firewall (ISA/TMG) 29 CHƯƠNG 3: BẢO MẬT SWITCH VỚI PORT SECURITY 30 3.1 Giới thiệu Port Security 30 3.2 Các bước cấu hình Port Security Switch 31 3.3 Khôi phục port trạng thái bình thường bị lỗi 32 3.4 Triển khai cấu hình Port Security Switch .33 KẾT LUẬN 37 TÀI LIỆU THAM KHẢO 39 HOÀNG ANH TÀI - LỚP 49K - KHOA CNTT ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC MỞ ĐẦU  Lý chọn đề tài Nói đến bảo mật người ta phân thành phần bảo vệ: bảo mật lớp thấp bảo vệ lớp cao Trong mô hình OSI lớp thấp bao gồm: lớp vật lý, lớp liên kết liệu lớp mạng Lớp cao bao gồm: lớp vận chuyển, lớp phiên, lớp trình diễn cuối lớp ứng dụng Hiện nay, doanh nghiệp trọng bảo mật lớp cao không quan tâm đến việc bảo mật lớp thấp Mà đa số công phổ biến lại rơi vào lớp thấp nên hệ thống mạng chưa bảo mật tốt Chính yếu tố nên em chọn đề tài tốt nghiệp Access Control List Port Security để bảo mật cách hồn chỉnh  Mục đích nghiên cứu Nắm rõ nguyên lý hoạt động chung Access Control List, Port Seurity lệnh cấu hình Từ mở rộng ra, hiểu nguyên lý hoạt động firewall quy tắc chung thiết kế hệ thống mạng  Đối tượng phạm vi nghiên cứu ▪ Đối tượng: Các doanh nghiệp công ty ▪ Phạm vi nghiên cứu: Mô hình giả lập  Phương pháp nghiên cứu ▪ Thu thập thơng tin phân tích tài liệu, thơng tin liên quan đên Access Control List Port Security ▪ Xây dựng mơ hình hệ thống tổng quan demo cấu hình Access Control List Port Security ▪ Kiểm tra thử, đánh giá rút kết luận  Ý nghĩa khoa học thực tiễn đề tài ▪ Ý nghĩa khoa học: Tìm hiểu Access Control List Port Security dựa tài liệu chuẩn hóa thẩm định ▪ Thực tiễn: Áp dụng rộng rãi với doanh nghiệp công ty Với Access Control List Port Security ngăn chặn nhiều công từ bên mạng HOÀNG ANH TÀI - LỚP 49K - KHOA CNTT ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC CHƯƠNG 1: TỔNG QUAN VỀ AN NINH MẠNG 1.1 Giới thiệu an ninh mạng 1.1.1 An ninh mạng ? An ninh mạng lĩnh vực mà giới công nghệ thông tin quan tâm Một internet đời phát triển, nhu cầu trao đổi thông tin trở nên cần thiết Mục đích việc kết nối mạng làm cho người sử dụng chung tài nguyên mạng từ vị trí địa lý khác Chính mà tài nguyên dễ dàng bị phân tán, hiển nhiên điều dễ bị xâm phạm gây mát liệu thông tin có giá trị Kết nối rộng dễ bị cơng, quy luật tất yếu Từ đó, vấn đề bảo vệ thơng tin đồng thời xuất an ninh mạng đời Ví dụ: User A gửi tập tin cho User B phạm vi nước Việt Nam có khác xa so với việc User A gửi tập tin chi User C Mỹ Ở trường hợp đầu liệu mát với phạm vi nhỏ nước trường hợp sau việc mát liệu với phạm vi rộng giới Một lỗ hổng mạng mối nguy hiểm tiềm tàng Từ lỗ hổng bảo mật nhỏ hệ thống, biết khai thác lợi dụng kĩ thuật hack điêu luyện trở thành mối đe dọa lớn Theo thống kê tổ chức IC3 số tội phạm internet ngày tăng nhanh chóng vịng năm từ 2001 đến 2009 số lượng tội phạm tăng gần 20 lần dự đoán tương lai số cịn tăng lên nhiều Hình 1.1: Thống kê tội phạm internet theo tổ chức IC3 HOÀNG ANH TÀI - LỚP 49K - KHOA CNTT ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC Như vậy, số lượng tội phạm tăng dẫn đến tình trạng cơng tăng đến chóng mặt Điều dễ hiểu, thực tế tồn hai mặt đối lập Sự phát triển mạnh mẽ công nghệ thông tin kĩ thuật miếng mồi béo bở hacker bùng phát mạnh mẽ Tóm lại, internet nơi khơng an tồn Mà khơng internet loại mạng khác mạng LAN, đến hệ thống máy tính bị xâm phạm Thậm chí, mạng điện thoại, mạng di động khơng nằm ngồi Vì nói rằng, phạm vi bảo mật lớn, nói khơng cịn gói gọn máy tính quan mà tồn cầu 1.1.2 Lỗ hổng bảo mật Các lỗ hổng bảo mật hệ thống điểm yếu tạo ngưng trệ dịch vụ, thêm quyền người sử dụng cho phép truy cập không hợp pháp vào hệ thống Các lỗ hổng xuất hạ tầng mạng nằm dịch vụ cung cấp sendmail, wed, fpt… Ngồi lỗ hổng cịn tồn hệ điều hành windows XP, windowns 7, Ubuntu… ứng dụng mà người sử dụng thường xuyên sử dụng như: Office, trình duyệt, … Theo quốc phòng Mỹ, lỗ hổng bảo mật hệ thống chia sau:  Lỗ hổng loại A: Các lỗ hổng cho phép người sử dụng ngồi truy cập vào hệ thống bất hợp pháp Lỗ hổng nguy hiểm, phá hủy toàn hệ thống  Lỗ hổng loại B: Các lỗ hổng cho phép người sử dụng thêm quyền hệ thống mà không cần kiểm tra tính hợp lệ Mức độ nguy hiểm trung bình Những lỗ hổng thường có ứng dụng hệ thống, dẫn đến lộ thông tin liệu  Lỗ hổng loại C: Các lỗ hổng loại cho phép thực phương thức công theo DoS Mức nguy hiểm thấp, ảnh hưởng tới chất lượng dịch vụ, làm ngưng trệ, gián đoạn hệ thống, không làm phá hỏng liệu quyền truy cập bất hợp pháp 1.2 Đánh giá vấn đề an toàn, bảo mật hệ thống mạng Để đảm bảo an ninh cho hệ thống mạng, cần phải xây dựng số tiêu chuẩn đánh giá mức độ an ninh, an toàn cho hệ thống mạng Một số tiêu chuẩn thừa nhận thước đo độ an ninh hệ thống mạng HOÀNG ANH TÀI - LỚP 49K - KHOA CNTT ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC 1.2.1 Phương diện vật lý  Có thiết bị dự phịng nóng cho tình hỏng đột ngột Có khả thay nóng phần toàn phần ( hot-plug, hot-swap)  Bảo mật an ninh nơi lưu trữ máy chủ  Khả cập nhật, nâng cấp bổ sung phần cứng phần mềm  Yêu cầu nguồn điện, có dự phịng tình điện đột ngột  Các yêu cầu phù hợp với môi trường xung quanh: độ ẩm, nhiệt độ, chống sét, phòng chống cháy nổ … 1.2.2 Phương diện logic  Tính bí mật (Confidentiality) Là giới hạn đối tượng quyền truy xuất đến thơng tin Đối tượng truy xuất thơng tin người, máy tính phần mềm Tùy theo tính chất thơng tin mà mức độ bí mật khác Ví dụ: User A gửi email cho User B email có User A User B biết nội dung mail, cịn User khác khơng thể biết Giả sử có User thứ biết nội dung mail lúc bí mật mail khơng cịn  Tính xác thực (Authentication) Liên quan tới việc đảm bảo trao đổi thông tin đáng tin cậy người gửi người nhận Trong trường hợp tương tác xảy ra, ví dụ kết nối đầu cuối đến máy chủ, có hai vấn đề sau: thứ thời điểm khởi tạo kết nối, dịch vụ đảm bảo hai thực thể đáng tin Mỗi thực thể xác nhận Thứ hai, dịch vụ cần bảo đảm kết nối không bị gây nhiễu thực thể thứ ba giả mạo hai thực thể hợp pháp để truyền tin nhận tin không cho phép  Tính tồn vẹn (Integrity) Tính tồn vẹn đảm bảo tồn nguyên vẹn thông tin, loại trừ thay đổi thơng tin có chủ đích hư hỏng, mát thơng tin cố thiết bị phần mềm Ví dụ User A gửi email cho User B, User A gửi nội dung User B nhận y khơng có thay đổi  Tính khơng thể phủ nhận ( Non repudiation) HOÀNG ANH TÀI - LỚP 49K - KHOA CNTT ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC Tính phủ nhận bảo đảm người gửi người nhận chối bỏ tin truyền Vì vậy, tin gửi đi, bên nhận chứng minh tin thật gửi từ người gửi hợp pháp Hoàn toàn tương tự, tin nhận, bên gửi chứng minh tin thật nhận người nhận hợp lệ Ví dụ: User A gửi email cho User B User A từ chối A không gửi mail cho B  Tính sẵn sàng (Availability) Một hệ thống đảm bảo tính sẵn sàng có nghĩa truy nhập liệu lúc mong muốn vòng khoảng thời gian cho phép Các cơng khác tạo mát thiếu sẵn sàng dịch vụ Tính khả dụng dịch vụ thể khả ngăn chặn khôi phục tổn thất hệ thống công gây Ví dụ: Server web hoạt động hàng ngày để phục vụ cho web client nghĩa nào, đâu Server web sẵn sàng để phục vụ cho web client  Khả điều khiển truy nhập (Access Control) Trong hệ thống mạng coi bảo mật, an tồn người quản trị viên phải điều khiển truy cập vào hệ thống mạng, cho phép hay ngăn chặn truy cập hệ thống Ví dụ: Trong cơng ty có phịng ban, để bảo mật thơng tin nội công ty, người quản trị viên ngăn chặn số phịng ban gửi thơng tin ngồi từ ngồi vào HỒNG ANH TÀI - LỚP 49K - KHOA CNTT ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC CHƯƠNG 2: TRIỂN KHAI ACESS CONTROL LIST TRÊN ROUTER 2.1 Giới thiệu ACL Ngày với tiến khoa học công nghệ Hệ thống mạng giải pháp lựa chọn hàng đầu cho việc truyền tải liệu bảo mật hệ thống mạng vấn đề quan tâm Một công cụ quan trọng Router dùng trong lĩnh vực bảo mật Access Control List (ACL) Đây tính giúp ta cấu hình trực tiếp Router để tạo danh sách địa mà ta cho phép hay ngăn chặn việc truy cập vào địa ACL lọc gói tin cách kiểm tra gói tin gói tin phép chuyển tiếp gói tin cho qua cịn khơng phép chặn gói tin cổng vào Router ACL kiểm tra điều kiện sau: địa nguồn, địa đích, giao thức số hiệu port lớp  Một số nguyên nhân tạo ACL Giới hạn lưu lượng mạng để tăng hiệu xuất hoạt động mạng Ví dụ công ty thuê đường truyền internet không cao đủ hoạt động công việc kinh doanh số phòng ban lại download truyền tải tập tin video khiến hoạt động công ty hoạt động chậm chạp Với ACL cách giới hạn lưu lượng truyền video, ACL làm giảm tải đáng kể cho hệ thống mạng làm tăng suất mạng hiệu suất công việc công ty Cung cấp chế độ bảo mật bản, ACL cho phép host truy cập vào phần hệ thống mạng ngăn chặn khơng cho host khác truy cập vào khu vực Ví dụ: Trong cơng ty có phịng ban IT người admin muốn có địa IP người admin có quyền telnet lên phịng Server được, cịn tất địa IP khác khơng quyền Với ACL ta làm điều Quyết định loại lưu lượng cho phép cho hay chặn lại cổng Router Ví dụ: Cho phép lưu lượng email lưu thông chặn lưu lượng video Cho phép người quản trị mạng điều khiển phạm vi mà client quyền truy cập vào hệ thống mạng Ví dụ: Vì lý bảo mật thơng tin, phịng ban IT khơng quyền truy nhập vào phịng ban kế tốn ngược lại  Access Control List có hai loại Standard Access Control List Extended Access Control List HOÀNG ANH TÀI - LỚP 49K - KHOA CNTT ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC ▪ Ví dụ: Chặn ping từ site Sài Gòn đến máy chủ tất site cịn lại ping tới máy chủ cho phép site Sài Gịn truy cập vào trang WEB công ty ▪ Với cấu hình Extended ACL ta phân tích kĩ - IP nguồn: 192.168.3.0 site Sài Gòn - IP đích: 192.168.0.0/24 máy chủ - Giao thức: ICMP, HTTP - Port: 80 - Vị trí đặt: Router Sài Gịn - Ta phân tích vị trí đặt ACL - Đặt ACL Router Hà Nội: Chặn gói tin ICMP từ site Sài Gòn ping đến máy chủ ta xem đường phân tích Hình 2.24: Gói tin bị Router Hà Nội chặn lại Hình 2.25: Gói tin bị chặn thơng báo lại Như gói tin trước bị chặn chạy chạy qua Router Sài Gòn, Đà Nẵng bị chặn Router Hà Nội Như lãng phí băng thơng thời gian gói tin chạy từ Router Sài Gịn đến Router Hà Nội Vì vị trí đặt Router Hà Nội Extended ACL chưa hợp lí Ta xét đến trường hợp đăt ACL Router Sài Gịn HỒNG ANH TÀI - LỚP 49K - KHOA CNTT 25 ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC Hình 2.26: Gói tin bị chặn Router Sài Gịn Vậy gói tin bị chặn lại Router Sài Gịn nên đỡ tốn băng thông hệ thống mạng độ trễ thời gian hệ thống Ở chặn gói ping muốn truy cập vào WEB mở lên rule cho phép giao thức HTTP qua Router Sài Gịn đến đích Vì Extended ACL quan tâm đến IP nguồn, IP đích, Port, giao thức ▪ Các lệnh cấu hình Router Sài Gịn: Hình 2.27: Cấu hình Extended với Named Ở Standard ACL demo cấu hình với Number cịn với Extended ACL cấu hình với Named Cấu hình với Named giúp người quản trị dễ dàng việc quản lý rule chỉnh sửa rule cịn với number khó để biết rule khơng chỉnh sửa rule cấu hình sai mà xóa cấu hình lại HỒNG ANH TÀI - LỚP 49K - KHOA CNTT 26 ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC Hình 2.28: Cấu hình gói tin chặn từ site Sài Gịn đến máy chủ Sau cấu site Sài Gịn khơng ping đến máy chủ site truy cập ta khỏi mạng ACL bật lên kích hoạt tính deny ngầm định Ta cấu hình site Sài Gịn phép truy cập đến máy chủ WEB Hình 2.29: Cấu hình thêm rule cho phép truy cập WEB Hình 2.30: Show cấu hình ACL Extended Sau cấu hình xong site Sài Gịn khơng thể ping đến máy chủ truy cập WEB HOÀNG ANH TÀI - LỚP 49K - KHOA CNTT 27 ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC 2.3.5 Cấu hình Access Control List Vlan Hình 2.31: Mơ hình cấu hình ACL VLAN Mơ hình 2.31 mang tính chất demo minh họa Trên thực tế phức tạp nhiều khơng phải có Switch Layer hoạt động mà có nhiều Switch hoạt động Layer nối đến Switch Layer nhiều Switch Layer kết nối với nhằm mục đích trao đổi thơng tin ▪ Ví dụ: Chặn VLAN ping sang VLAN VLAN ping đến VLAN khác Ta kiểm tra thơng tin VLAN có hoạt động hay không ta sử dụng lệnh show vlan để kiểm tra Hình 2.32: Kiểm tra thơng tin VLAN Switch 3560 Hình 2.33: Cấu hình Extended ACL VLAN HỒNG ANH TÀI - LỚP 49K - KHOA CNTT 28 ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC Vì cấu hình ACL VLAN nên ta vào VLAN để xét theo chiểu Inbound hay Outbound thay cấu bình thường phải vào interface fa, gig để xét 2.3.6 So sánh ACL Router ACL Firewall (ISA/TMG) ACL Router gần giống với firewall cứng, ta so sánh ACL với firewall mềm ISA hay TMG ACL Router có điểm khác so với firewall mềm sau: Bảng 2: So sánh ACL Router ACL Firewall mềm Tiêu chí ACL (Router) Giao diện CLI- giao diện dịng lệnh Hoạt động Chạy trực tiếp phần cứng Sử dụng Phụ thuộc Rule Linh hoạt Xử lý ACL (Firewall mềm) GUI- giao diện đồ họa Chạy gián tiếp qua phần mềm cài đặt Khó, địi hỏi phải hiểu rõ thuộc lệnh Khá dễ dàng, làm theo thuật sĩ Không có Phụ thuộc vào hệ điều hành Giới hạn rule Không giới hạn rule Kém làm việc với Linh động hơn, làm việc thiết bị phần cứng với Admin Xử lý nhanh hoạt động lớp Xử lý chậm gói tin phải đưa mơ hình OSI lên lớp ứng dụng để xử lý Tương đối Bảo mật tốt gói tin xét lớp ứng dụng Ứng dụng Thường ISP hay công ty lớn Công ty lớn vừa Cập nhật Khó nâng cấp Dễ dàng cập nhật, nâng cấp Bảo mật HOÀNG ANH TÀI - LỚP 49K - KHOA CNTT 29 ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC CHƯƠNG 3: BẢO MẬT SWITCH VỚI PORT SECURITY 3.1 Giới thiệu Port Security Những interface lớp Cisco hiểu Port Một Switch mà không cung cấp khả bảo vệ Port, cho phép kẻ xấu công công vào hệ thống không dùng đến, enable Port, thu thập thông tin công Một Switch cấu hình để hoạt động giống Hub Điều có nghĩa hệ thống kết nối đến Switch mộ cách tiềm tàng thấy tất traffic di chuyển qua Switch để tới hệ thống kết nối đến Switch Như kẻ cơng thu thập traffic chứa đựng thông tin như: Username, Password, thông tin cấu hình hệ thống mạng…  Chức Port Security Sử dụng tính Port Security để giới hạn đầu vào interface cách hạn chế xác định địa MAC máy trạm truy cập vào Khi định địa secure MAC đến cổng bảo mật, cổng không chuyển tiếp gói tin với địa nguồn bên ngồi nhóm địa xác xác định Nếu hạn chế số lượng địa secure MAC tới cổng, máy trạm thuộc port đảm bảo đầy đủ băng thông Nếu port secure với số lượng tối đa địa secure MAC đạt tới, địa MAC máy trạm lại cố gắng truy cập vào cổng mà khác với địa secure MAC xác định Switch quy định vi phạm bảo mật xảy ▪ Ví dụ: Trong hệ thống công ty ta muốn Switch để phục vụ cho công việc công ty cho phép PC công ty sử dụng Port Switch Không muốn cho thiết bị khác máy in hay PC khác kết nối vào hệ thống mạng cơng ty làm hệ thống mạng ổn định bị kẻ xấu lấy thông tin quan trọng nội công ty Port Security giúp giảm thiểu số nguy mạng bị công Attacker thực ARP Attack Nếu thiết bị khơng có quyền sử dụng cổng gửi frame tới, Switch loại bỏ frame đó, ghi lại log, shutdown cổng, loại bỏ tất frame muốn vào từ cổng tất thiết bị HOÀNG ANH TÀI - LỚP 49K - KHOA CNTT 30 ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC Hình 3.1: Mơ hình ví dụ Port Security Hai cổng Fa0/1 Fa0/2 Switch hình 3.1 cấu hình Port Security Cổng Fa0/1 cho phép địa MAC Address PC1 nên PC1 trao đổi liệu qua cổng Cổng Fa0/2 không cho phép MAC Address PC2 nên PC2 kết nối với cổng Fa0/2 gói tin PC2 gửi bị Switch chặn lại cổng Fa0/2 bị shutdown  Một số nguyên nhân tạo Port Security Port Security giới hạn số lượng MAC hợp lệ cho phép Port Tất port Switch interface nên đảm bảo trước triển khai Theo cách này, tính cài đặt gỡ bỏ yêu cầu để thêm vào làm dài thêm đặc tính cách ngẫu nhiên kết bảo mật vốn có sẵn Port Security có khả làm thay đổi phụ thuộc chế độ Switch phiên OSI Mỗi port hoạt động bị hạn chế số lượng tối đa địa MAC hành động lựa chọn cho vi phạm Những vi phạm làm drop gói tin drop gửi thơng điệp shutdown port hồn tồn 3.2 Các bước cấu hình Port Security Switch - Bước 1: Vào cổng muốn cấu hình Port Security Ví dụ muốn cấu hình cho cổng Fa0/1 ta dùng câu lệnh: Router(config)#interface f0/1 - Bước 2: Đưa port chế độ access, chế độ bắt buộc cho port cấu hình port security Router(config-if)#switchport mode access - Bước 3: Bật tính port security cổng Router(config-if)#switchport port-security HOÀNG ANH TÀI - LỚP 49K - KHOA CNTT 31 ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC - Bước 4: Chỉ định số lượng MAC Address thay đổi Đây thông số định số lần tối đa mà port chấp nhận thay đổi địa MAC Thay đổi địa MAC có nghĩa ta thay đổi host khác kết nối với switch Gọi số lần phép thay đổi k, gọi số lần ta thay đổi địa MAC n, port cho phép hoạt động n ≤ k điều quan trọng phải kết nối địa MAC ban đầu vào lại port Số lần thay đổi tối thiểu tối đa 1024, mặc định Router(config-if)#switchport port-security maximum number - Bước 5: Chỉ định địa MAC cần bảo mật interface Với động tác host có địa MAC tương ứng hoạt động bình thường kết nối vào Switch interface Nếu địa MAC host khác với địa định interface port vào trạng thái lỗi hiển nhiên khơng có chuyển tiếp gói tin port Router(config-if)#switchport port-security mac-address [mac-address/sticky] [mac-address]: cụ thể địa MAC host kết nối vào interface Để tìm MAC Address PC ta vào run gõ lệnh cmd Trong giao diện DOS gó lệnh C:\>ipconfig /all [sticky]: Switch tự động thêm MAC Address vào danh sách phép liên kết với cổng - Bước 6: Ta muốn Switch làm frame gửi tới cổng có source MAC Address khơng nằm danh sách cho phép: protect, restrict, shutdown Chọn hành động mặc định shutdown Switch(config-if)#switchport port-security violation [protect/restrict/shutdown] [protect]: loại bỏ frame cho phép frame khác qua cổng [restrict]: loại bỏ frame, hiển thị syslog cửa sổ console gửi thông điệp SNMP [shutdown]: loại bỏ frame, hiển thị syslog cửa sổ console, gửi thông điệp SNMP disable cổng từ chối tất traffic vào Tùy chọn shutdown đặt interface vào trạng thái error disable làm cho interface ngừng hoạt động hoàn toàn Để quan sát thay đổi port ta sử dụng lệnh: Switch# debug port-security 3.3 Khôi phục port trạng thái bình thường bị lỗi Để khơi phục port lại trạng thái bình thường ta phải can thiệp vào Switch  Có hai cách để khơi phục lại port bị lỗi HOÀNG ANH TÀI - LỚP 49K - KHOA CNTT 32 ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC ▪ Cách 1: Vào cổng port bị lỗi, shutdown port bật lại Ví dụ cổng Fa0/1 bị lỗi ta khôi phục lại sau: Switch(config)#interface Fa0/1 Switch(config-if)#shutdown Switch(config-if)#no shutdown ▪ Cách 2: Khôi phục tự động, thiết lập lệnh để switch tự động dị tìm lỗi khắc phục lỗi - Bước 1: Tìm lỗi port Switch(config)#errdisable detect cause [all/ cause-name] [all]: tìm tất lỗi xảy [cause-name]: tìm lỗi có tên cause-name - Bước 2: Cho switch khôi phục lại trạng thái Ở ta sử dụng lệnh khôi phục lại tất lỗi Switch(config)#errdisable recovrery cause all - Bước 3: Cài đặt thông số thời gian cho q trình khơi phục Mặc định port khôi phục sau 300 giây sau ta thực lệnh nhiên ta thay đổi thời gian cách sử dụng lệnh: Switch(config)#errdisable recorvery second Thơng số thời gian second có đơn vị giây Sau cấu hình xong cổng port swith bị lỗi sau khoảng thời gian mà ta cấu hình port tự hoạt động trở lại 3.4 Triển khai cấu hình Port Security Switch Hình 3.2: Mơ hình cấu hình Port Security Switch HOÀNG ANH TÀI - LỚP 49K - KHOA CNTT 33 ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC Ví dụ: Ta cấu hình cho interface Fa0/1 cho phép PC1 sử dụng interface Fa0/2 tự động học địa MAC Address PC kết nối với Các PC khác kết nối vào interface shutdown  Cấu hình Port Security cho cổng fa0/1 nhận MAC PC1 Ta sử dụng lệnh C:\>ipconfig /all DOS để tìm MAC Address PC1 Hình 3.3: Tìm MAC Address PC1 Hình 3.4: Cấu hình Port Security cổng fa0/1 Hình 3.5: Show cấu hình Port Security HỒNG ANH TÀI - LỚP 49K - KHOA CNTT 34 ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC Sau cấu hình xong lúc interface fa0/1 cho phép PC1 sử dụng interface Nếu có máy PC khác cắm vào cổng cổng shutdown lập tức.Bây ta lấy PC2 kết nối vào cổng fa0/1 để kiểm tra Hình 3.6: Ping từ PC2 đến địa 192.168.1.1 kết nối qua fa0/1 Kết cho thấy PC2 ping đến địa 192.168.1.1 VLAN Lúc tất PC khác kết nối tới cổng fa0/1 trao đổi liệu cổng fa0/1 shutdown Hình 3.7: Interface fa0/1 bị shutdown kết nối với PC2 Cấu hình Port Security cổng fa0/2 cho phép cổng nhận tự động địa MAC Address từ PC PC kết nối vào cổng Các cổng vi phạm Port Seurity cổng bị shutdown HOÀNG ANH TÀI - LỚP 49K - KHOA CNTT 35 ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC Hình 3.8: Cấu hình Port Security cổng fa0/2 Sau cấu hình Port Security cổng fa0/2 cổng tự động học địa Mac Address PC kết nối với cổng Từ PC thứ trở kết nối với cổng vi phạm Port shutdown Trong thực tế ta cấu hình Port Security theo cách nhiều theo cách ta khơng phải tìm địa Mac Address cho PC Khi interface bị lỗi để hoạt động trở lại bình thường ta phải khởi động lại interface cách Hình 3.9: Khôi phục lại interface bị lỗi Sau thực cấu hình interface fa0/1 khỏi trạng thái shutdown, hoạt động lại bình thường cấu hình Port Security cổng khơng thay đổi PC1 phép sử dụng cổng fa0/1 HOÀNG ANH TÀI - LỚP 49K - KHOA CNTT 36 ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC KẾT LUẬN  Những vấn đề đặt qua đề tài - Để hiểu rõ ACL Port Security cần nắm vững vấn đề như: Inbound, Outbound, nguyên lý hoạt động Standard ACL, Extended ACL nguyên lý hoạt động Port Security - Việc cấu hình ACL Router Port Security Switch đơn giản phải nắm nguyên lý hoạt động nó, để hiểu địi hỏi ta phải nghiên cứu sâu vào phần lý thuyết nắm rõ ACL Port Security Qua đề tài giúp em nắm phần sau: - Thứ nhất: mảng an ninh mạng với ACL Port Security phịng chống số hình thức cơng qua mạng LAN - Có thể tận dụng Router có chức firewall cứng dù không đầy đủ tính - Thứ hai: phần chuyển mạch định tuyến giúp em ôn lại câu lệnh cấu hình với Router Switch đặc biệt trao dồi thêm kiến thức thiết kế hệ thống mạng nắm rõ nguyên lý hoạt động ACL, từ mở rộng sang firewall từ có nhìn tổng qt hệ thống mạng hồn chỉnh - Về phần demo em làm ACL Port Security mơ hình giả lập với phần mềm Packet Tracer thiết bị thật trung tâm NewEPoch Và triển khai thành công ACL Port Security Router Switch  Hạn chế - Hạn chế lớn để tài triển khai với mơ hình giả lập nên chưa phát sinh nhiều lỗi, cần phải nghiên cứu triển khai thực tiễn áp dụng ACL Port Security cho công ty hay doanh nghiệp - Về phần demo mang tính chất minh họa sách truy cập công ty hay doanh nghiệp hoàn toàn khác nên phải dựa vào sách truy cập cơng ty hay doanh nghiệp để cấu hình triển khai ACL Port Security HOÀNG ANH TÀI - LỚP 49K - KHOA CNTT 37 ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC  Hướng phát triển đề tài ▪ Đây đề tài tốt nghiệp em, với mức độ đề tài vừa phải có tính thực tế cao Nếu phát triển đề tài sâu em thực số vấn đề sau: ▪ Thực áp dụng ACL Port Security ngồi thực tiễn ví dụ cho doanh nghiệp ▪ Tìm hiểu sâu phần ACL áp dụng cho Vlan để áp dụng cho doanh nghiệp ▪ Nghiên cứu phần xác thực AAA để kết hợp với ACL Port Security để hệ thống mạng bảo mật HOÀNG ANH TÀI - LỚP 49K - KHOA CNTT 38 ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC TÀI LIỆU THAM KHẢO [1] Lê Đức Phương, Bùi Hồng Long, Giáo trình CCNA, NXB Thông Tin Truyền Thông, 2011 [2] Nguyễn Hồng Sơn, Giáo trình hệ thống mạng máy tính, NXB Lao động Xã hội, 2008 [3] Đặng Quang Minh, Phan Đình Thông, Lê Đức Phương,CCNA Lappro, NXB Thông Tin Truyền Thơng, 2011 [4] Phan Hồng Gia Liêm, Hồ Vũ Anh Tuấn, Ơn thi CCNA, NXB Thơng Tin Truyền Thơng, 2012 [5] Botnet, Metasploit,Wireshark,CCNA Exploration v4.0, Học viện CNTT Bách Khoa, 2008 [6] Http://tailieu.vn [7] Http://www.vnpro.vn [8] Http://.sinhvienit.net [9] Http://cisco.com [10] Http://www.wikipedia.com HOÀNG ANH TÀI - LỚP 49K - KHOA CNTT 39 ...TRƯỜNG ĐẠI HỌC VINH KHOA CÔNG NGHỆ THÔNG TIN ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC Đề tài: NGHIÊN CỨU VÀ TRIỂN KHAI BẢO MẬT HỆ THỐNG MẠNG VỚI ACL VÀ PORT SECURITY Giáo viên hướng dẫn: Sinh... Trong hệ thống mạng coi bảo mật, an tồn người quản trị viên phải điều khiển truy cập vào hệ thống mạng, cho phép hay ngăn chặn truy cập hệ thống Ví dụ: Trong cơng ty có phịng ban, để bảo mật thơng... FTP,… Với mô hình có thêm tường lửa đặt cửa hệ thống mạng, muốn mạng hay nói mạng internet vào máy chủ hệ thống phải qua tường lửa Tường lửa đóng vai trị kiểm sốt thơng tin vào hệ thống mạng Nó

Ngày đăng: 16/09/2021, 16:11

Xem thêm:

Tài liệu cùng người dùng

Tài liệu liên quan