C, Lớp 3
4. Phát hiện và phòng chống sniffer trong mạng LAN
4.1. Vô hiệu hóa NetBIOS
Hiện nay, khi người dùng sử dụng các dịch vụ web yêu cầu phải đăng nhập ID như mail, tài khoản diễn đàn. Trong hệ thống mạng LAN hay
wirelessLAN việc bị kẻ xấu sử dụng các chương trình như cain&Abel, wireShark hay Ethereal để capture, thì việc bị lộ ID là điều làm nhiều người đau đầu. Những cách sau đây phần nào hạn chế được vấn đề này.
Thứ nhất: các chương trình thuộc dạng này ban đầu phải quét các địa chỉ IP trong mạng, khi đã có IP rồi thì hacker mới tiến hành sniffer! Do đó cách đầu tiên là vô hiệu hóa Netbios name nhằm ngăn cản sự dò tìm IP của các chương trình này.
4.2 . Khóa cứng bảng ARP
Thứ hai: về mặt cơ cấu thì các chương trình này làm việc dựa trên phương thức thay đổi bảng ARP và tấn công theo kiểu “Man in the midle”. Cách khắc phục: khóa cứng bảng ARP và chọn dạng ARP startic, có thể làm việc này trên từng Client, hay có thể config trực tiếp trên Router. Để tự bảo vệ mình thì có thể khóa cứng ARP trên máy để tránh bị sniffer.
Thiết lập ARP static cho máy user như sau:
User trên có địa chỉ ip dynamic (động) là : 192.168.0.106 và địa chỉ MAC là :
E0-CB-4E-3E-24-7E.
Kết quả là :
Trạng thái của user đã chuyển sang static.
5. Demo cấu hình bảo mật cho mạng LAN bằng phương pháp static cho router
Em xin trình bày demo phương pháp cấu hình static cho router trong mạng LAN nhỏ.
Chi tiết quá trình thiết kế và cấu hình mạng LAN mô phỏng em ghi trong đĩa CD.
Ở đây em chỉ xin trình bày tóm tắt phương pháp này như sau:
Phần 1 : Thiết kế mô hình mạng LAN mô phỏng qua phần mềm Packet Tracer
Ở đây em demo một nhánh mạng LAN nhỏ (gồm 2 router) trong hệ thống mạng trên thực tế (gồm nhiều router khác…). Nhưng tính chất thì không có gì thay đổi.
Hệ thống mạng gồm :
• 2 router kết nối với nhau qua cổng seria1/0 (172.16.1.0)
o Router0 kết nối với router1 qua cổng serial có địa chỉ IP là 172.16.1.1
o Router1 kết nối với router0 qua cổng serial có địa chỉ IP là 172.16.1.2
• Mỗi router nối với một nhánh mạng gồm 1 switch và 2 PC • Router0 :
o Router0 kết nối với switch0 qua FastEthernet0/0 có địa chỉ IP là 192.168.1.1
o PC0 kết nối với switch0 qua FastEthernet có địa chỉ IP là 192.168.1.2
o PC1 kết nối với switch0 qua FastEthernet có địa chỉ IP là 192.168.1.3
• Router1 :
o Router1 kết nối với switch1 qua FastEthernet0/0 có địa chỉ IP là 192.168.2.1
o PC2 kết nối với switch1 qua FastEthernet có địa chỉ IP là 192.168.2.2
o PC3 kết nối với switch1 qua FastEthernet có địa chỉ IP là 192.168.2.3
A.Cấu hình cho các router trong mạng LAN Em cấu hình cho router0 như sau :
Router> Router>ena Router#conf ter
Router(config)#int f0/0 /* cấu hình cho interface fastethernet0/0 */
Router(config-if)#ip add 192.168.1.1 255.255.255.0 Router(config-if)#no shut
Router(config-if)#exit
Router(config)#int se1/0 /* cấu hình cho interface serial1/0 */ Router(config-if)#ip add 172.16.1.1 255.255.255.0
Router(config-if)#no shut Router(config-if)#
Router#copy running-config startup-config /*lưu cấu hình router0*/ Với router1 tiến hành cấu hình tương tự :
Router> Router>ena Router#conf ter
Router(config)#int f0/0 /* cấu hình cho interface fastethernet0/0 */
Router(config-if)#ip add 192.168.2.1 255.255.255.0 Router(config-if)#no shut
Router(config-if)#exit
Router(config)#int se1/0 /* cấu hình cho interface serial1/0 */ Router(config-if)#ip add 172.16.1.2 255.255.255.0
Router(config-if)#no shut Router(config-if)#
B. Cấu hình địa chỉ IP cho các PC trong mạng LAN
Sau đó em tiếp tục đặt địa chỉ IP cho các PC theo lớp mạng tương ứng. Ví dụ với PC0 : IP address là : 192.168.1.2
Với PC1 : 192.168.1.3
Phần 2. Cấu hình statics cho các router trong mạng LAN
Ta tiến hành cấu hình statics cho router theo cấu trúc :
Router0(config) ip route “destinationvnetwork” “subnetmask” “gateway” Với cấu trúc trên ta có câu lệnh cấu hình cho router0 là :
Router0(config) ip route 192.168.2.0 255.255.255.0 172.16.1.2 Ta kiểm tra lại kết quả bằng lệnh :
Router0(config)show ip route Và kết quả nhận được là :
Thực hiện ping thành công giữa router0 và PC2 (thuộc nhánh mạng của router1) có địa chỉ IP là 192.168.2.2.
KẾT LUẬN
Để đảm bảo sự an toàn thông tin trên mạng cần phải thực hiện nhiều lớp bảo vệ khác nhau, mỗi lớp có những mặt hạn chế và cũng có những ưu điểm riêng. Tuỳ vào yêu cầu cụ thể của công việc mà ta cần lựa chọn những biện pháp sao cho thích hợp để đáp ứng được nhu cầu đảm bảo an toàn thông tin cho hệ thống.
Hiện nay để triển khai một hệ thống mạng an toàn có rất nhiều phương pháp có thể áp dụng, trong đó việc sử dụng các thiết bị mạng cũng là một phương pháp rất quan trọng. Những thiết bị được sử dụng là rất nhiều nhưng để phát huy hết những khả năng của chúng thì người quản trị cần phải có những hiểu biết tương đối sâu về những thiết bị đó.
Trên thực tế hiện nay, tất cả các công ty hay tổ chức đều cần xây dựng một hệ thống mạng cho riêng mình, mỗi hệ thống mạng đều có những yêu cầu về an ninh mạng tuỳ theo mức độ quan trọng của thông tin. Việc thực hiện đề tài đã phần nào đáp ứng được các yêu cầu đó. Đề tài hoàn toàn có thể đem áp dụng để xây dựng một hệ thống mạng thực tế. Có thể quy mô mạng lớn hơn và có những yêu cầu an ninh cao hơn, khi đó sẽ kết hợp nhiều biện pháp khác để đảm bảo an toàn cho mạng. Đề tài có nhiều điểm tích cực nhưng cũng còn những hạn chế, các vấn đề được nêu ra mới chỉ dừng lại ở mức cơ bản, chưa thực sự đi sâu vào một vấn đề nào. Vì thời gian thực hiện đề tài không dài, thiết bị dùng để thực hiện là có hạn, việc thực hiện cấu hình trên các thiết bị không được nhiều do đó còn nhiều hạn chế để thực hiện được nhiều biện pháp đảm bảo an ninh mạng trên các thiết bị. Nếu có điều kiện về thiết bị cũng như thời gian thì đề tài chắc chắn sẽ mang tính thực tế nhiều hơn, giúp cho người đọc dễ dàng hiểu được một hệ thống mạng thực sự bao gồm những gì và chúng hoạt động thế nào.
Thông qua quá trình thực hiện đề tài này em cũng đã may mắn được tiếp xúc với các thiết bị của một hệ thống mạng máy tính, biết được chúng hoạt động thế nào, điều đó giúp em mở mang thêm rất nhiều kiến thức.
Việc kết hợp giữa lý thuyết học trên ghế nhà trường với những kiến thức thực tế sẽ tạo rất nhiều thuận lợi cho công tác của em sau này.
Trang web tham khảo : 1.http://07ct112.info/ 1. http://forum.uitstudent.vn/ 2. http://ktmt.byethost8.com/ 3. http:// tailieu.athena.edu.vn / 4. http://hoitu.tk / 5. http://www.itprofes.com/ 6. http://rootbiez.blogspot.com/ 7. http://www.vn-seo.com/
Tài liệu tham khảo :
1. Nguyễn Thúc Hải – “Mạng máy tính và các hệ thống mở” – NXB Giáo dục
2. Khương Anh – “Giáo trình hệ thống mạng máy tính CCNA” – NXB Lao động – Xã hội