Chương 2 ĐỊNH HƯỚNG LUỒNG VÀ CÁC MƠ HÌNH LUỒNG PHỔ BIẾN
5.2. Phân tích luồng lưu lượng bằng NetFlow trong hệ thống an ninh mạng và giả
5.2.2. Mơ hình thực nghiệm
Hình 5.12 Mơ hình thực nghiệm phân tích luồng trong hệ thống an ninh mạng 5.2.3.Thơng tin cấu hình trên các thiết bị 5.2.3.Thơng tin cấu hình trên các thiết bị
Hình 5.13 Thơng tin định tún cho Cisco ASAv
Cấu hình NAT cho phép hệ thống có thể giao tiếp với nhau qua các vùng như:
• INSIDE ra OUTSIDE
• INSIDE ra DMZ
• DMZ ra OUTSIDE và ngược lại
Hình 5.14 Thơng tin cấu hình NAT cho Cisco ASAv
ciscoasa> enable
ciscoasa# configure terminal
ciscoasa(config)# interface GigabitEthernet0/0 ciscoasa(config-if)# nameif outside
ciscoasa(config-if)# security-level 0
ciscoasa(config-if)# ip address 192.168.80.10 255.255.255.0 ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# exit
ciscoasa(config)# interface GigabitEthernet0/1 ciscoasa(config-if)# nameif inside
ciscoasa(config-if)# security-level 100
ciscoasa(config-if)# ip address 192.168.100.10 255.255.255.0 ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# exit
ciscoasa(config)# interface GigabitEthernet0/2 ciscoasa(config-if)# nameif dmz
ciscoasa(config-if)# security-level 0
ciscoasa(config-if)# ip address 192.168.101.10 255.255.255.0 ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# exit
ciscoasa(config)# object network inside-subnet
ciscoasa(config-network-object)# subnet 192.168.100.0 255.255.255.0 ciscoasa(config-network-object)# nat (inside,outside) dynamic interface ciscoasa(config)# object network dmz-subnet
ciscoasa(config-network-object)# subnet 192.168.101.0 255.255.255.0 ciscoasa(config-network-object)# nat (dmz,outside) dynamic interface ciscoasa(config)# object network webserver-external-ip
ciscoasa(config-network-object)# host 192.168.80.120 ciscoasa(config)# object network webserver
ciscoasa(config-network-object)# host 192.168.101.2
ciscoasa(config-network-object)# nat (dmz,outside) static webserver-external-ip service tcp www www
Thơng tin cấu hình Netflow trên Firewall ASA:
Hình 5.15 Thơng tin cấu hình NetFlow cho Cisco ASAv
Thơng tin cấu hình SNMP gửi thông tin trạng thái thiết bị về Analyzer Server trên Firewall ASA:
Hình 5.16 Thơng tin cấu hình SNMP cho Cisco ASAv
Cấu hình ACL trên Firewall ASA chỉ cho các lưu lượng từ OUTSIDE đi vào DMZ qua giao thức TCP/HTTP:
Hình 5.17 Thơng tin cấu hình ACL cho Cisco ASAv
ciscoasa(config)# flow-export destination inside 192.168.100.2 9996 ciscoasa(config)# flow-export template timeout-rate 1
ciscoasa(config)# flow-export delay flow-create 15 ciscoasa(config)# logging flow-export-syslogs disable
ciscoasa(config)# access-list netflow-export extended permit ip any any ciscoasa(config)# class-map netflow-export-class
ciscoasa(config-cmap)# match access-list netflow-export ciscoasa(config-cmap)# policy-map global_policy
ciscoasa(config-pmap)# class netflow-export-class
ciscoasa(config-pmap-c)# flow-export event-type all destination 192.168.100.2 ciscoasa(config-pmap-c)# exit
ciscoasa(config)# snmp-server host inside 192.168.100.2 community ***** ciscoasa(config)# snmp-server enable traps ipsec start
ciscoasa(config)# snmp-server enable traps entity config-change ciscoasa(config)# snmp-server enable traps memory-threshold ciscoasa(config)# snmp-server enable traps interface-threshold
ciscoasa(config)# snmp-server enable traps remote-access session-threshold- exceeded
ciscoasa(config)# snmp-server enable traps connection-limit-reached ciscoasa(config)# snmp-server enable traps cpu threshold rising ciscoasa(config)# snmp-server enable traps ikev2 start
ciscoasa(config)# snmp-server enable traps nat packet-discard ciscoasa(config)# snmp-server enable traps config
ciscoasa(config)# access-list outside_acl extended permit tcp any object webserver eq www
Hình 5.18 Giao diện NetFlow Analyzer sau khi đã cấu hình
Hình 5.19 Giao diện Cisco ASDM của Firewall Cisco ASA 5.2.4.Tấn công, cảnh báo và ngăn chặn 5.2.4.Tấn công, cảnh báo và ngăn chặn
Tạo lưu lượng truy cập WEB-Server ảo bằng cách ping giao thức TCP qua cổng 80 với kích thước mỗi gói tin là 1500 bytes trên 1 giây.
Hình 5.20 Lưu lượng người dùng hiện tại
Tấn công WEB-Server cũng bằng cách tạo lưu lượng ảo như trên, nhưng ta tang8 kích thước gói tin lên 35000 bytes và giảm thời gian gửi gói tin xuống 0,5 giây.
Hình 5.22 Các Interface của Firewall ASA
Qua hình ta thấy có luồng lưu lượng đi vào Interface OUTSIDE và đi ra Interface DMZ, qua đó ta xác định được hướng của luồng tấn cơng, từ đó tìm giải pháp khắc phục. Hình 5.23 cho thấy địa chỉ nguồn và đích của luồng tấn cơng và Hình 5.24 cho thấy giao thức của luồng tấn cơng.
Hình 5.23 Địa chỉ Nguồn và Đích của luồng DDoS
Sau khi xác định địa chỉ và giao thức tấn công DoS, chúng ta dùng ACL loại bỏ luồng tấn cơng.
Hình 5.25 Thơng tin cấu hình Policy loại bỏ luồng tấn cơng
Hình 5.26 Luồng tấn công đã bị firewall ASA loại bỏ
ciscoasa(config)# object network 192.168.80.2 ciscoasa(config-network-object)# host 192.168.80.2 ciscoasa(config-network-object)# exit
ciscoasa(config)# access-group outside_acl in interface outside ciscoasa(config)# service-policy outside-policy interface outside ciscoasa(config)# policy-map type inspect http DROP-HTTP
ciscoasa(config-pmap)# parameters
ciscoasa(config-pmap-p)# protocol-violation action drop-connection log ciscoasa(config-pmap)# class asdm_high_security_methods
ciscoasa(config-pmap-c)# drop-connection
ciscoasa(config-pmap)# match request header non-ascii ciscoasa(config-pmap-c)# drop-connection
ciscoasa(config)# policy-map outside-policy ciscoasa(config-pmap)# class outside-class ciscoasa(config-pmap-c)# inspect http DROP-HTTP
Chương 6.
KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN
6.1.Ưu điểm
Đề tài đã thực hiện được các yêu cầu sau:
- Tìm hiểu một cách tổng quát khái niệm, các loại luồng lưu lượng và các tham số của luồng lưu lượng trong mạng IP.
- Tìm hiểu về các đặc trưng của luồng lưu lượng mạng như: QoS, Priority, Schedule, Queuing, Policy nhằm ứng dụng trong an ninh mạng.
- Tìm hiểu và tự thực hành việc cấu hình các thiết bị định tuyến, tường lửa và các ứng dụng thu thập luồng lưu lượng mạng.
- Tìm hiểu kỹ thuật tấn công mạng, cụ thể là tấn cơng DoS để phân tích, sau đó có phương án bảo vệ mạng tránh bị tấn công.
- Sau khi tìm hiểu một cách tổng thể về các đặc trưng của luồng lưu lượng mạng và các công nghệ thu thập luồng lưu lượng, đồ án cịn phỏng mơ hình luồng p2p và ứng dụng trong an ninh mạng.
6.2.Nhược điểm
Đề tài gặp một số nhược điểm sau:
- Do dịch Covid-19 nên không mượn được các thiết bị cần thiết cho đề tài như Router Cisco 1841 hay Firewall Cisco ASA để mô phỏng hệ thống.
- Thời gian có hạn nên đề tài chỉ tập trung tìm hiểu về vấn đề đặc trưng của luồng lưu lượng và các mơ phỏng phân tích luồng, ứng dụng trong an ninh mạng thì chỉ tìm hiểu ở mức độ phòng chống các tấn cơng cơ bản như DoS. Chưa tìm hiểu về các cách phịng chống tấn công khác như Man in the Middle, Phishing, vv..
- Phần thực nghiệm trên hệ thống an ninh mạng chỉ kiểm soát được các ứng dụng của lớp thứ 4 – tức lớp vận chuyển, chưa kiểm soát được lớp thứ 7 – tức lớp ứng dụng.
6.3.Hướng phát triển của đề tài
Nếu có nhiều thời gian và mượn được thiết bị thì đề tài sẽ phát triển thêm: - Kiểm soát ứng dụng lớp thứ 7 – tức lớp ứng dụng trong luồng lưu lượng.
- Thực nghiệm nhiều loại tấn công mạng để đưa ra các giải pháp khắc phục và phòng chống trong tương lai.
- Đưa ra mô phỏng lớn hơn và phức tạp hơn trong an ninh mạng, để từ đó phát triển thêm các giải pháp phịng chống tấn cơng mạng.
TÀI LIỆU THAM KHẢO
Tiếng Anh
[1] James D. McCabe (2007), “Network Analysis, Architecture, and Design – THIRD EDITION”, Morgan Kaufmann.
[2] Omar Santos, Joseph Muniz (2017), “CCNA Cyber Ops SECOPS 210-255 Official Cert Guide”, Cisco Press.
[3] Magnus Mortensen (2016), “Basic ASA NAT Configuration: Web Server in the DMZ in ASA Version 8.3 and Later”, Cisco.
[4] Cisco (2021), “Cisco ASA Series General Operations CLI Configuration Guide, 9.8”, Cisco.
[5] Cisco (2021), “Cisco ASA Series Firewall CLI Configuration Guide, 9.8”, Cisco. [6] Cisco (2021), “Cisco ASA Series General Operations ASDM Configuration Guide, 7.8”, Cisco.
[7] Cisco (2021), “Cisco ASA Series Firewall ASDM Configuration Guide, 7.8”,
Cisco.
[8] NetFlow Logic (2018), “NetFlow-based DDoS Detection”, NetFlow Logic
Corporation.
[9] ExtraHop (2018), “Denial of service attacks and how to prevent them”, ExtraHop
Networks.
PHỤ LỤC
Cấu hình NetFlow v9
Tóm tắt các bước: 1. enable
2. configure terminal
3. ip flow-export destination {ip-address | hostname} udp-port 4. Lặp lại Bước 3 một lần để cấu hình đích xuất NetFlow thứ hai.
5. ip flow-export version 9
6. interface interface-type interface-number 7. ip flow {ingress | egress}
8. exit
9. Lặp lại các bước từ 6 đến 8 để bật NetFlow trên các giao diện khác. 10. end
Chi tiết các bước
Bước Lệnh Giải thích
1 enable
Ví dụ:
Router> enable
Bật chế độ EXEC.
Nhập mật khẩu nếu được nhắc.
2 configure terminal
Ví dụ:
Router# configure terminal
Vào chế độ cấu hình chung.
3 ip flow-export destination
{ip-address | hostname} udp-port
Ví dụ:
Router(config)# ip flow-export destination 172.16.10.2 9996
Địa chỉ IP hoặc tên máy chủ của máy trạm muốn gửi thông tin NetFlow và số cổng UDP mà máy trạm đang lắng nghe đầu vào này.
Máy trạm đang chạy một ứng dụng như NetFlow Collection Engine (NFC) được sử dụng để phân tích dữ liệu đã xuất. 4 Lặp lại Bước 3 một lần để cấu
hình đích xuất NetFlow thứ hai.
Có thể định cấu hình tối đa hai đích xuất cho NetFlow.
5 ip flow-export version 9
Ví dụ:
Router(config)# ip flow-export version 9
Cho phép xuất thông tin trong các mục nhập bộ đệm NetFlow. 6 interface interface-type interface-number Ví dụ: Router(config)# interface ethernet 0/0
Chỉ định giao diện muốn bật NetFlow và vào chế độ cấu hình giao diện.
7 ip flow {ingress | egress}
Ví dụ:
Router(config-if)# ip flow ingress
Bật NetFlow trên giao diện.
ingress - Ghi lại lưu lượng truy cập đang
được nhận bởi giao diện.
egress - Ghi lại lưu lượng đang được
truyền bởi giao diện.
8 exit
Ví dụ:
Router(config-if)# exit
Thốt chế độ cấu hình giao diện và quay lại chế độ cấu hình chung.
Ghi chú: chỉ cần sử dụng lệnh này nếu muốn bật NetFlow trên giao diện khác. 9 Lặp lại các bước từ 6 đến 8 để bật
NetFlow trên các giao diện khác 10 end
Ví dụ:
Router(config-if)# end
Thốt chế độ cấu hình hiện tại và trở về chế độ EXEC.
Kiểm tra NetFlow đang hoạt động và xem thống kê NetFlow
Tóm tắt các bước:
1. show ip flow interface 2. show ip cache flow
3. show ip cache verbose flow Chi tiết các bước:
Bước 1 show ip flow interface
Sử dụng lệnh này để hiển thị cấu hình NetFlow cho một giao diện. Sau đây là kết quả mẫu từ lệnh này:
Ví dụ:
Router# show ip flow interface Ethernet0/0 ip flow ingress
Bước 2 show ip cache flow
Sử dụng lệnh này để xác minh rằng NetFlow đang hoạt động và hiển thị bản tóm tắt thống kê NetFlow. Sau đây là kết quả mẫu từ lệnh này:
Router# show ip cache flow
IP packet size distribution (1103746 total packets):
1-32 64 96 128 160 192 224 256 288 320 352 384 416 448 480 .249 .694 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 512 544 576 1024 1536 2048 2560 3072 3584 4096 4608 .000 .000 .027 .000 .027 .000 .000 .000 .000 .000 .000 IP Flow Switching Cache, 278544 bytes
35 active, 4061 inactive, 980 added
2921778 ager polls, 0 flow alloc failures Active flows timeout in 30 minutes
Inactive flows timeout in 15 seconds IP Sub Flow Cache, 21640 bytes
0 active, 1024 inactive, 0 added, 0 added to flow 0 alloc failures, 0 force free
1 chunk, 1 chunk added
last clearing of statistics never
Protocol Total Flows Packets Bytes Packets Active(Sec) Idle(Sec)
-------- Flows /Sec /Flow /Pkt /Sec /Flow /Flow TCP-FTP 108 0.0 1133 40 2.4 1799.6 0.9 TCP-FTPD 108 0.0 1133 40 2.4 1799.6 0.9 TCP-WWW 54 0.0 1133 40 1.2 1799.6 0.8 TCP-SMTP 54 0.0 1133 40 1.2 1799.6 0.8 TCP-BGP 27 0.0 1133 40 0.6 1799.6 0.7 TCP-NNTP 27 0.0 1133 40 0.6 1799.6 0.7 TCP-other 297 0.0 1133 40 6.8 1799.7 0.8 UDP-TFTP 27 0.0 1133 28 0.6 1799.6 1.0 UDP-other 108 0.0 1417 28 3.1 1799.6 0.9 ICMP 135 0.0 1133 427 3.1 1799.6 0.8 Total: 945 0.0 1166 91 22.4 1799.6 0.8
SrcIf SrcIPaddress DstIf DstIPaddress Pr SrcP DstP Pkts Et0/0 192.168.67.6 Et1/0.1 172.16.10.200 01 0000 0C01 51 Et0/0 10.10.18.1 Null 172.16.11.5 11 0043 0043 51 Et0/0 10.10.18.1 Null 172.16.11.5 11 0045 0045 51 Et0/0 10.234.53.1 Et1/0.1 172.16.10.2 01 0000 0800 51 Et0/0 10.10.19.1 Null 172.16.11.6 11 0044 0044 51 Et0/0 10.10.19.1 Null 172.16.11.6 11 00A2 00A2 51 Et0/0 192.168.87.200 Et1/0.1 172.16.10.2 06 0014 0014 50 Et0/0 192.168.87.200 Et1/0.1 172.16.10.2 06 0015 0015 52 . . . Et0/0 172.16.1.84 Et1/0.1 172.16.10.19 06 0087 0087 50
Et0/0 172.16.1.84 Et1/0.1 172.16.10.19 06 0050 0050 51 Et0/0 172.16.1.85 Et1/0.1 172.16.10.20 06 0089 0089 49 Et0/0 172.16.1.85 Et1/0.1 172.16.10.20 06 0050 0050 50 Et0/0 10.251.10.1 Et1/0.1 172.16.10.2 01 0000 0800 51 Et0/0 10.162.37.71 Null 172.16.11.3 06 027C 027C 49
Bước 3 show ip cache verbose flow
Sử dụng lệnh này để xác minh rằng NetFlow đang hoạt động và hiển thị bản tóm tắt chi tiết về thống kê NetFlow. Sau đây là kết xuất mẫu từ lệnh này: Ví dụ:
Router# show ip cache verbose flow
IP packet size distribution (1130681 total packets):
1-32 64 96 128 160 192 224 256 288 320 352 384 416 448 480 .249 .694 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 512 544 576 1024 1536 2048 2560 3072 3584 4096 4608 .000 .000 .027 .000 .027 .000 .000 .000 .000 .000 .000 IP Flow Switching Cache, 278544 bytes
35 active, 4061 inactive, 980 added
2992518 ager polls, 0 flow alloc failures Active flows timeout in 30 minutes
Inactive flows timeout in 15 seconds IP Sub Flow Cache, 21640 bytes
0 active, 1024 inactive, 0 added, 0 added to flow 0 alloc failures, 0 force free
1 chunk, 1 chunk added
last clearing of statistics never
Protocol Total Flows Packets Bytes Packets Active(Sec) Idle(Sec)
-------- Flows /Sec /Flow /Pkt /Sec /Flow /Flow TCP-FTP 108 0.0 1133 40 2.4 1799.6 0.9 TCP-FTPD 108 0.0 1133 40 2.4 1799.6 0.9 TCP-WWW 54 0.0 1133 40 1.2 1799.6 0.8 TCP-SMTP 54 0.0 1133 40 1.2 1799.6 0.8
TCP-BGP 27 0.0 1133 40 0.6 1799.6 0.7 TCP-NNTP 27 0.0 1133 40 0.6 1799.6 0.7 TCP-other 297 0.0 1133 40 6.6 1799.7 0.8 UDP-TFTP 27 0.0 1133 28 0.6 1799.6 1.0 UDP-other 108 0.0 1417 28 3.0 1799.6 0.9 ICMP 135 0.0 1133 427 3.0 1799.6 0.8 Total: 945 0.0 1166 91 21.9 1799.6 0.8
SrcIf SrcIPaddress DstIf DstIPaddress Pr TOS Flgs Pkts
Port Msk AS Port Msk AS NextHop B/Pk Active Et0/0 192.168.67.6 Et1/0.1 172.16.10.200 01 00 10 799 0000 /0 0 0C01 /0 0 0.0.0.0 28 1258.1 Et0/0 10.10.18.1 Null 172.16.11.5 11 00 10 799 0043 /0 0 0043 /0 0 0.0.0.0 28 1258.0 Et0/0 10.10.18.1 Null 172.16.11.5 11 00 10 799 0045 /0 0 0045 /0 0 0.0.0.0 28 1258.0 Et0/0 10.234.53.1 Et1/0.1 172.16.10.2 01 00 10 799 0000 /0 0 0800 /0 0 0.0.0.0 28 1258.1 Et0/0 10.10.19.1 Null 172.16.11.6 11 00 10 799 0044 /0 0 0044 /0 0 0.0.0.0 28 1258.1 . . . Et0/0 172.16.1.84 Et1/0.1 172.16.10.19 06 00 00 799 0087 /0 0 0087 /0 0 0.0.0.0 40 1258.1 Et0/0 172.16.1.84 Et1/0.1 172.16.10.19 06 00 00 799
0050 /0 0 0050 /0 0 0.0.0.0 40 1258.0 Et0/0 172.16.1.85 Et1/0.1 172.16.10.20 06 00 00 798 0089 /0 0 0089 /0 0 0.0.0.0 40 1256.5 Et0/0 172.16.1.85 Et1/0.1 172.16.10.20 06 00 00 799 0050 /0 0 0050 /0 0 0.0.0.0 40 1258.0 Et0/0 10.251.10.1 Et1/0.1 172.16.10.2 01 00 10 799 0000 /0 0 0800 /0 0 0.0.0.0 1500 1258.1 Et0/0 10.162.37.71 Null 172.16.11.3 06 00 00 798 027C /0 0 027C /0 0 0.0.0.0 40 1256.4
Cấu hình SSH trên Cisco Router và Firewall ASA
Tóm tắt các bước: 1. enable
2. configure terminal
3. username <user name> password <pass word>
4. aaa authentication {telnet | ssh | serial} console LOCAL 5. crypto key generate rsa modulus <size>
6. ssh <network> <subnet> trust 7. exit
Chi tiết các bước:
Bước Lệnh Giải thích
1 enable
Ví dụ:
Cisco> enable
Bật chế độ EXEC.
Nhập mật khẩu nếu được nhắc.
2 configure terminal
Ví dụ:
Cisco# configure terminal
Vào chế độ cấu hình chung.
3 username <user name> password <pass word>
Ví dụ:
Cisco(config)# username admin password admin
Tạo tên người dùng với mật khẩu
4 aaa authentication {telnet | ssh |
serial} console LOCAL
Ví dụ:
Cisco(config)# aaa authentication ssh console LOCAL
Cấu hình tên người dùng cục bộ này để xác thực bằng SSH.
Ví dụ:
Cisco(config)# crypto key generate rsa modulus 1024
6 ssh <network> <subnet> trust
Ví dụ:
Cisco(config)# ssh 192.168.100.0 255.255.255.0 trust
Bây giờ chỉ chỉ định các máy chủ hoặc mạng cụ thể để kết nối với thiết bị bằng SSH.
7 exit
Ví dụ:
Cisco(config)# exit
Thốt chế độ cấu hình hiện tại và trở về chế độ EXEC.