Thông tin cấu hình trên các thiết bị

Một phần của tài liệu Đặc trưng hóa luồng lưu lượng và ứng dụng trong an ninh mạng đồ án tốt nghiệp khoa đào tạo chất lượng cao ngành công nghệ thông tin (Trang 109)

Trên Router Cisco 2691, chúng ta cấu hình các thông tin định tuyến như hình dưới:

Hình 5.3 Thông tin định tuyến cho Router Cisco 2691

Trên PC1 và PC2, chúng ta cấu hình các thông tin định tuyến như Hình 5.4 và Hình 5.5:

Hình 5.4 Thông tin định tuyến cho PC1

Hình 5.5 Thông tin định tuyến cho PC2

Hình 5.6 Đặt NetFlow Monitor Ingress ở Interface Fast Ethernet 0/1

Router> enable

Router# configure terminal

Router(config)# interface FastEthernet0/1

Router(config-if)# ip address 192.168.100.1 255.255.255.0 Router(config-if)# no shutdown

Router(config-if)# exit

Router(config)# interface FastEthernet1/0

Router(config-if)# ip address 192.168.101.1 255.255.255.0 Router(config-if)# no shutdown

Router(config-if)# exit

PC2> ip 192.168.101.2 255.255.255.0 192.168.101.1 Checking for duplicate address...

PC2 : 192.168.101.2 255.255.255.0 gateway 192.168.101.1

Router(config)# interface FastEthernet0/1 Router(config-if)# ip flow ingress

Router(config-if)# exit

PC1> ip 192.168.100.2 255.255.255.0 192.168.100.1 Checking for duplicate address...

Hình 5.7 Kiểm tra kết nối giữa 2 máy tính 5.1.3. Kết quả phân tích luồng lưu lượng

Hình 5.8 Thông tin của luồng lưu lượng được lưu trong Cache Flow

PC2> ping 192.168.100.2

84 bytes from 192.168.100.2 icmp_seq=1 ttl=63 time=22.559 ms 84 bytes from 192.168.100.2 icmp_seq=2 ttl=63 time=22.781 ms 84 bytes from 192.168.100.2 icmp_seq=3 ttl=63 time=17.085 ms 84 bytes from 192.168.100.2 icmp_seq=4 ttl=63 time=14.098 ms 84 bytes from 192.168.100.2 icmp_seq=5 ttl=63 time=21.068 ms

Router# sh ip cache flow

IP packet size distribution (5 total packets):

1-32 64 96 128 160 192 224 256 288 320 352 384 416 448 480 .000 .000 1.00 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 512 544 576 1024 1536 2048 2560 3072 3584 4096 4608

.000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 IP Flow Switching Cache, 278544 bytes

1 active, 4095 inactive, 1 added 12 ager polls, 0 flow alloc failures Active flows timeout in 30 minutes Inactive flows timeout in 15 seconds IP Sub Flow Cache, 25800 bytes

0 active, 1024 inactive, 0 added, 0 added to flow 0 alloc failures, 0 force free

1 chunk, 1 chunk added

last clearing of statistics never

Protocol Total Flows Packets Bytes Packets Active(Sec) Idle(Sec) --- Flows /Sec /Flow /Pkt /Sec /Flow /Flow SrcIf SrcIPaddress DstIf DstIPaddress Pr SrcP DstP Pkts Fa0/1 192.168.100.2 Fa1/0 192.168.101.2 01 0000 0800 5

Hình 5.9 Thông tin của luồng đã bị xóa khỏi NetFlow Cache

Các thông số trên Hình được liệt kệ ở Bảng 5.1

Bảng 5.1 Các trường giá trị NetFlow Trường giá trị Giải thích

bytes Số byte bộ nhớ được sử dụng bởi bộ đệm NetFlow.

active Số luồng đang hoạt động trong bộ đệm NetFlow tại thời điểm nhập lệnh này.

inactive Số lượng bộ đệm luồng được cấp phát trong bộ đệm NetFlow, nhưng hiện không được gán cho một luồng cụ thể tại thời điểm nhập lệnh này.

added Số luồng được tạo kể từ khi bắt đầu giai đoạn tóm tắt.

ager polls Số lần mã NetFlow nhìn vào bộ nhớ cache để khiến các mục nhập hết hạn (chỉ được Cisco sử dụng để chẩn đoán).

flow alloc failures Số lần mã NetFlow cố gắng phân bổ luồng nhưng không được. Router# sh ip cache flow

IP packet size distribution (5 total packets):

1-32 64 96 128 160 192 224 256 288 320 352 384 416 448 480 .000 .000 1.00 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 512 544 576 1024 1536 2048 2560 3072 3584 4096 4608

.000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 IP Flow Switching Cache, 278544 bytes

0 active, 4096 inactive, 1 added 21 ager polls, 0 flow alloc failures Active flows timeout in 30 minutes Inactive flows timeout in 15 seconds IP Sub Flow Cache, 25800 bytes

0 active, 1024 inactive, 0 added, 0 added to flow 0 alloc failures, 0 force free

1 chunk, 1 chunk added

last clearing of statistics never

Protocol Total Flows Packets Bytes Packets Active(Sec) Idle(Sec) --- Flows /Sec /Flow /Pkt /Sec /Flow /Flow ICMP 1 0.0 5 84 0.0 5.0 15.1 Total: 1 0.0 5 84 0.0 5.0 15.1 SrcIf SrcIPaddress DstIf DstIPaddress Pr SrcP DstP Pkts

exporting flows Địa chỉ IP và số cổng Giao thức dữ liệu người dùng (UDP) của máy trạm mà các luồng được xuất sang.

flows exported in udp datagrams

Tổng số luồng đã xuất và tổng số sơ đồ dữ liệu UDP được sử dụng để xuất luồng tới máy trạm.

failed Bộ định tuyến không thể xuất số luồng do giới hạn giao diện đầu ra.

last clearing of statistics

Đầu ra thời gian tiêu chuẩn (hh: mm: ss) kể từ khi lệnh EXEC đặc quyền của thống kê luồng ip rõ ràng được thực thi. Đầu ra thời gian này thay đổi thành giờ và ngày sau khi thời gian vượt quá 24 giờ.

Protocol Giao thức IP và số cổng đã biết.

Lưu ý: Chỉ một tập hợp con nhỏ của tất cả các giao thức được hiển thị.

Total Flows Số luồng trong bộ nhớ cache cho giao thức này kể từ lần cuối cùng thống kê được xóa.

Flows/Sec Số luồng trung bình cho giao thức này mỗi giây; bằng tổng các luồng chia cho số giây trong khoảng thời gian tóm tắt này. Packets/Flow Số gói trung bình cho các luồng cho giao thức này; bằng tổng

số gói cho giao thức này chia cho số luồng cho giao thức này trong khoảng thời gian tóm tắt này.

Bytes/Pkt Số byte trung bình cho các gói cho giao thức này; bằng tổng số byte cho giao thức này chia cho tổng số gói cho giao thức này trong khoảng thời gian tóm tắt này.

Packets/Sec Số gói trung bình cho giao thức này mỗi giây; bằng tổng số gói cho giao thức này chia cho tổng số giây cho khoảng thời gian tóm tắt này.

Active(Sec)/Flow Số giây từ gói đầu tiên đến gói cuối cùng của một luồng hết hạn chia cho tổng số luồng cho giao thức này trong khoảng thời gian tóm tắt này.

Idle(Sec)/Flow Số giây quan sát được từ gói cuối cùng trong mỗi luồng không hết hạn đối với giao thức này cho đến thời điểm mà lệnh show ip cache được nhập chia cho tổng số luồng cho giao thức trong khoảng thời gian tóm tắt này.

Các trường giá trị ở phần NetFlow Cache được thể hiện ở Bảng 5.2.

Bảng 5.2 Các trường giá trị ở phần NetFlow Cache Trường giá trị Giải thích

SrcIf Giao diện mà gói được nhận.

SrcIPaddress Địa chỉ IP của thiết bị đã truyền gói tin. DstIf Giao diện mà từ đó gói tin được truyền đi.

Lưu ý: Nếu dấu hoa thị (*) ngay sau trường DstIf, luồng đang được hiển thị là luồng đi ra.

DstIPaddress Địa chỉ IP của thiết bị đích.

Pr Số cổng đã biết của giao thức IP như được mô tả trong RFC 1340, được hiển thị ở định dạng thập lục phân.

SrcP Cổng của thiết bị gửi. DstP Cổng của thiết bị nhận.

Pkts Số lượng gói được chuyển qua luồng này.

Đối chiếu hình và bảng, ta có thể giải thích thông tin ở Hình 5.8 như sau:

Có một luồng giao thức ICMP đi qua router, mang 5 gói tin, mỗi gói tin chứa 84 bytes, xuất phát từ địa chỉ 192.168.100.2:0000 qua giao diện Fast Ethernet 0/1 đến địa chỉ 192.168.101.2:0800 qua giao diện Fast Ethernet 1/0.

Hình 5.10 Gửi 5 gói tin qua giao thức TCP

Thông tin về luồng hiển thị ở Hình 5.11.

Qua thực nghiệm trên, chúng ta thấy được rằng các luồng được tạo thành bởi 5 yếu tố: • Địa chỉ IP nguồn • Cổng nguồn • Địa chỉ IP đích • Cổng đích • Giao thức

Như trong phần này, giữa các luồng p2p phân biệt nhau bằng cổng và giao thức qua đó việc giám sát lưu lượng sẽ dựa trên 5 giá trị này và thêm một số thông số khác để cảnh báo các cuộc tấn công mạng sẽ được đề cập ở thực nghiệm sau.

PC1> ping 192.168.101.2 -3

Connect 7@192.168.101.2 seq=1 ttl=63 time=30.211 ms SendData 7@192.168.101.2 seq=1 ttl=63 time=12.470 ms Close 7@192.168.101.2 seq=1 ttl=63 time=22.593 ms Connect 7@192.168.101.2 seq=2 ttl=63 time=23.244 ms SendData 7@192.168.101.2 seq=2 ttl=63 time=18.022 ms Close 7@192.168.101.2 seq=2 ttl=63 time=29.159 ms Connect 7@192.168.101.2 seq=3 ttl=63 time=20.319 ms SendData 7@192.168.101.2 seq=3 ttl=63 time=18.821 ms Close 7@192.168.101.2 seq=3 ttl=63 time=28.900 ms Connect 7@192.168.101.2 seq=4 ttl=63 time=21.315 ms SendData 7@192.168.101.2 seq=4 ttl=63 time=17.765 ms Close 7@192.168.101.2 seq=4 ttl=63 time=29.570 ms Connect 7@192.168.101.2 seq=5 ttl=63 time=14.525 ms SendData 7@192.168.101.2 seq=5 ttl=63 time=22.164 ms Close 7@192.168.101.2 seq=5 ttl=63 time=33.504 ms

Hình 5.11 Thông tin NetFlow sau khi gửi 5 gói tin giao thức TCP

5.2.Phân tích luồng lưu lượng bằng NetFlow trong hệ thống an ninh mạng và giải pháp pháp

5.2.1. Tấn công từ chối dịch vụ (DoS) là gì?

Tấn công từ chối dịch vụ (DoS) là một kỹ thuật để làm quá tải máy hoặc mạng khiến nó không khả dụng. Những kẻ tấn công đạt được điều này bằng cách gửi nhiều lưu lượng truy cập hơn mức mà mục tiêu có thể xử lý, khiến nó bị lỗi - khiến nó không thể cung cấp dịch vụ cho người dùng bình thường. Ví dụ về các mục tiêu có thể bao gồm email, ngân hàng trực tuyến, trang web hoặc bất kỳ dịch vụ nào khác dựa trên mạng hoặc máy tính được nhắm mục tiêu.

Router# sh ip cache flow

IP packet size distribution (45 total packets):

1-32 64 96 128 160 192 224 256 288 320 352 384 416 448 480 .000 .444 .111 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 512 544 576 1024 1536 2048 2560 3072 3584 4096 4608

.000 .000 .000 .111 .333 .000 .000 .000 .000 .000 .000 IP Flow Switching Cache, 278544 bytes

0 active, 4096 inactive, 3 added 47 ager polls, 0 flow alloc failures Active flows timeout in 30 minutes Inactive flows timeout in 15 seconds IP Sub Flow Cache, 25800 bytes

0 active, 1024 inactive, 0 added, 0 added to flow 0 alloc failures, 0 force free

1 chunk, 1 chunk added

last clearing of statistics never

Protocol Total Flows Packets Bytes Packets Active(Sec) Idle(Sec) --- Flows /Sec /Flow /Pkt /Sec /Flow /Flow TCP-Frag 1 0.0 15 1204 0.0 4.3 15.5 TCP-other 1 0.0 25 343 0.0 4.4 1.4 ICMP 1 0.0 5 84 0.0 5.0 15.1 Total: 3 0.0 15 601 0.0 4.6 10.7 SrcIf SrcIPaddress DstIf DstIPaddress Pr SrcP DstP Pkts

Có nhiều kiểu tấn công DoS khác nhau như tấn công cạn kiệt tài nguyên và tấn công lũ lụt. Các cuộc tấn công cạn kiệt tài nguyên khiến cơ sở hạ tầng được nhắm mục tiêu sử dụng tất cả bộ nhớ hoặc tài nguyên lưu trữ có sẵn của nó, làm chậm hiệu suất của dịch vụ hoặc dừng nó hoàn toàn. Các cuộc tấn công lũ lụt gửi một số lượng lớn các gói vượt quá dung lượng máy chủ.

Từ chối dịch vụ phân tán (DDoS) là một kiểu tấn công DoS trong đó lưu lượng được sử dụng để áp đảo mục tiêu đến từ nhiều nguồn phân tán. Phương pháp này có nghĩa là không thể dừng cuộc tấn công chỉ bằng cách chặn nguồn lưu lượng truy cập.

Botnet thường được sử dụng cho các cuộc tấn công DDoS.

5.2.1.1. Các loại tấn công DDoS

Smurf Attack: Tấn công smurf là một cuộc tấn công DDoS gửi các gói tin giả mạo IP nguồn của nạn nhân. Khi các thiết bị trên mạng cố gắng phản hồi, lượng lưu lượng truy cập sẽ làm chậm thiết bị được nhắm mục tiêu đến mức không thể sử dụng được.

Syn Flood: Tấn công lũ lụt SYN mở ra nhiều kết nối với máy chủ mục tiêu mục tiêu và sau đó không bao giờ đóng chúng. Kẻ tấn công, đóng vai trò là khách hàng, gửi một thông điệp SYN. Khi máy chủ phản hồi bằng SYN-ACK, máy khách tấn công sẽ không bao giờ gửi thông báo ACK. Bằng cách này, máy chủ buộc phải giữ cho nhiều kết nối mở, đánh thuế tài nguyên của nó cho đến khi nó bị lỗi.

Layer 7 DDoS Attack: Tấn công DDoS Lớp 7 (hoặc tấn công ứng dụng) nhằm vào một dịch vụ cụ thể thay vì toàn bộ mạng. Chúng ngày càng trở nên phổ biến hơn so với các cuộc tấn công mạng rộng rãi.

5.2.1.2. Bảo vệ chống lại các cuộc tấn công từ chối dịch vụ

Trong khi các cuộc tấn công DoS ít thách thức hơn để ngăn chặn hoặc ngăn chặn, các cuộc tấn công DDoS vẫn có thể là một mối đe dọa nghiêm trọng.

Ngăn chặn giả mạo: Kiểm tra xem lưu lượng truy cập có địa chỉ nguồn phù hợp với tập hợp địa chỉ cho trang gốc đã nêu của nó hay không và sử dụng bộ lọc để ngăn các kết nối khỏi giả mạo.

Giới hạn phát sóng: Thông thường các cuộc tấn công sẽ gửi yêu cầu đến mọi thiết bị trên mạng, khuếch đại cuộc tấn công. Hạn chế hoặc tắt chuyển tiếp chương trình phát

sóng nếu có thể có thể làm gián đoạn các cuộc tấn công. Người dùng cũng có thể tắt các dịch vụ echo và chargen nếu có thể.

Hợp lý hóa phản ứng sự cố: Việc trau dồi phản ứng sự cố của chúng ta có thể giúp nhóm bảo mật của chúng ta phản ứng nhanh chóng khi phát hiện các cuộc tấn công DoS. Bảo vệ điểm cuối: Đảm bảo rằng tất cả các điểm cuối đều được vá để loại bỏ các lỗ hổng đã biết. Các điểm cuối có khả năng chạy tác nhân EDR nên được cài đặt chúng.

Vòng an toàn trong tường lửa: Đảm bảo tường lửa của chúng ta đang hạn chế lưu lượng truy cập vào và đi ra ngoài vòng bất cứ nơi nào có thể.

Giám sát mạng: Chúng ta càng biết nhiều về lưu lượng truy cập vào thông thường trông như thế nào, chúng ta càng nhanh chóng phát hiện ra điểm bắt đầu của một cuộc tấn công DDoS. Khả năng hiển thị theo thời gian thực với tính năng phát hiện và phản hồi mạng (NDR) là một cách hiệu quả và đáng tin cậy để duy trì hồ sơ về mạng của chúng ta trông như thế nào (sử dụng máy học) để chúng ta có thể phát hiện ra các xung đột đáng ngờ ngay lập tức.

5.2.2. Mô hình thực nghiệm

Hình 5.12 Mô hình thực nghiệm phân tích luồng trong hệ thống an ninh mạng 5.2.3. Thông tin cấu hình trên các thiết bị

Hình 5.13 Thông tin định tuyến cho Cisco ASAv

Cấu hình NAT cho phép hệ thống có thể giao tiếp với nhau qua các vùng như:

• INSIDE ra OUTSIDE

• INSIDE ra DMZ

• DMZ ra OUTSIDE và ngược lại

Hình 5.14 Thông tin cấu hình NAT cho Cisco ASAv

ciscoasa> enable

ciscoasa# configure terminal

ciscoasa(config)# interface GigabitEthernet0/0 ciscoasa(config-if)# nameif outside

ciscoasa(config-if)# security-level 0

ciscoasa(config-if)# ip address 192.168.80.10 255.255.255.0 ciscoasa(config-if)# no shutdown

ciscoasa(config-if)# exit

ciscoasa(config)# interface GigabitEthernet0/1 ciscoasa(config-if)# nameif inside

ciscoasa(config-if)# security-level 100

ciscoasa(config-if)# ip address 192.168.100.10 255.255.255.0 ciscoasa(config-if)# no shutdown

ciscoasa(config-if)# exit

ciscoasa(config)# interface GigabitEthernet0/2 ciscoasa(config-if)# nameif dmz

ciscoasa(config-if)# security-level 0

ciscoasa(config-if)# ip address 192.168.101.10 255.255.255.0 ciscoasa(config-if)# no shutdown

ciscoasa(config-if)# exit

ciscoasa(config)# object network inside-subnet

ciscoasa(config-network-object)# subnet 192.168.100.0 255.255.255.0 ciscoasa(config-network-object)# nat (inside,outside) dynamic interface ciscoasa(config)# object network dmz-subnet

ciscoasa(config-network-object)# subnet 192.168.101.0 255.255.255.0 ciscoasa(config-network-object)# nat (dmz,outside) dynamic interface ciscoasa(config)# object network webserver-external-ip

ciscoasa(config-network-object)# host 192.168.80.120 ciscoasa(config)# object network webserver

ciscoasa(config-network-object)# host 192.168.101.2

ciscoasa(config-network-object)# nat (dmz,outside) static webserver-external-ip service tcp www www

Thông tin cấu hình Netflow trên Firewall ASA:

Hình 5.15 Thông tin cấu hình NetFlow cho Cisco ASAv

Thông tin cấu hình SNMP gửi thông tin trạng thái thiết bị về Analyzer Server trên Firewall ASA:

Hình 5.16 Thông tin cấu hình SNMP cho Cisco ASAv

Cấu hình ACL trên Firewall ASA chỉ cho các lưu lượng từ OUTSIDE đi vào DMZ qua giao thức TCP/HTTP:

Hình 5.17 Thông tin cấu hình ACL cho Cisco ASAv

ciscoasa(config)# flow-export destination inside 192.168.100.2 9996 ciscoasa(config)# flow-export template timeout-rate 1

ciscoasa(config)# flow-export delay flow-create 15 ciscoasa(config)# logging flow-export-syslogs disable

ciscoasa(config)# access-list netflow-export extended permit ip any any ciscoasa(config)# class-map netflow-export-class

ciscoasa(config-cmap)# match access-list netflow-export ciscoasa(config-cmap)# policy-map global_policy

ciscoasa(config-pmap)# class netflow-export-class

ciscoasa(config-pmap-c)# flow-export event-type all destination 192.168.100.2 ciscoasa(config-pmap-c)# exit

ciscoasa(config)# snmp-server host inside 192.168.100.2 community ***** ciscoasa(config)# snmp-server enable traps ipsec start

ciscoasa(config)# snmp-server enable traps entity config-change ciscoasa(config)# snmp-server enable traps memory-threshold ciscoasa(config)# snmp-server enable traps interface-threshold

ciscoasa(config)# snmp-server enable traps remote-access session-threshold- exceeded

ciscoasa(config)# snmp-server enable traps connection-limit-reached ciscoasa(config)# snmp-server enable traps cpu threshold rising ciscoasa(config)# snmp-server enable traps ikev2 start

ciscoasa(config)# snmp-server enable traps nat packet-discard ciscoasa(config)# snmp-server enable traps config

ciscoasa(config)# access-list outside_acl extended permit tcp any object webserver eq www

Hình 5.18 Giao diện NetFlow Analyzer sau khi đã cấu hình

Một phần của tài liệu Đặc trưng hóa luồng lưu lượng và ứng dụng trong an ninh mạng đồ án tốt nghiệp khoa đào tạo chất lượng cao ngành công nghệ thông tin (Trang 109)

Tải bản đầy đủ (PDF)

(135 trang)