2.2.1 Inbound
Quản lý chiều đi vào (Inbound): Các gói dữ liệu được gởi vào một cổng xử lý trước khi chúng được chuyển đến cổng khác đi ra. Một inbound ACL có hiệu quả bởi vì nó giúp Router xử lý các gói tin hiệu quả hơn. Các gói tin đưa vào thì sẽ được kiểm tra bởi các danh sách lọc nếu vượt qua danh sách lọc thì mới được Router tra trong bảng định tuyến của nó, còn không thì sẽ bị chặn lại và hủy đi.
Hình 2.8 mô tả nguyên lý hoạt động Inbound, các gói dữ liệu đi vào Interface và được kiểm tra tại đây nếu các gói tin đi vào trùng với các điều kiện mà rule đầu tiên đặt ra thì nó sẽ không cần kiểm tra các rule tiếp theo nữa mà chuyển đến bước là cho phép hay chặn gói tin này lại nếu cho phép thì gói tin sẽ được đẩy ra Interface này đi đến đích còn nếu không cho phép thì gói tin sẽ bị hủy. Giả sử gói tin đi vào không trùng với các điều kiện mà rule đầu tiên đặt ra thì gói tin sẽ chuyển tiếp đến các rule tiếp theo và cũng kiểm tra gói tin có trùng với các điều kiện hay không. Quá trình này được lặp đi lặp lại khi gói tin đến rule cuối cùng mà vẫn không tìm được các điều kiện phù hợp thì gói tin sẽ bị hủy vì trong ACL luôn luôn có một rule mặc định hay là ẩn chặn tất cả các gói tin khi đi qua nó.
2.2.2 Outbound
Về nguyên lý hoạt động của outbound và inbound là giống nhau nhưng outbound thì ngược lại sao với inbound. Inbound thì các gói tin đi vào kiểm tra ACL xong rồi mới kiểm tra bảng định tuyến còn outbound thì kiểm tra bảng định tuyến trước rồi mới
Hình 2.9 mô tả nguyên lý hoạt động oubound. Các gói tin đi vào Router trên các Interface thì Router lấy địa chỉ đích của gói tin so sánh với bảng định tuyến của nó nếu không có thì gói tin lập tức sẽ bị hủy còn nếu c ó trong bảng định tuyến thì nó tiếp tục chuyển đến bước kế tiếp. Tại bước này Router xem thử đang outbound cho Interface nào cái này do người quản trị viên khai báo outbound của interface trên Router. Tiếp đến Router xem thử có cấu hình ACL hay không nếu không có thì gói tin lập tức được chuyển ra Interface này và chuyển đến đích ngược lại nếu có cấu hình ACL thì Router sẽ so sánh gói tin có trùng hợp với các Rule của ACL đặt ra hay không và có quyền được đi qua hay không. Nếu được đi qua thì các gói tin chuyển tiếp ra Interface này và đi đến đích còn ngược lại thì gói tin sẽ bị hủy.
2.2.3 Gi ới thiệu Wi l dcard Mask
Wildcard mask là một chuỗi 32 bit được chia thành 4 o ctet tương tự như subnet mask, trong đó có các giá trị 0 và 1. Với bit 0 thì sẽ kiểm tra bit của đị a chỉ cùng vị trí còn khi bit 1 được bật lên thì không kiểm tra. Wildcard mask được dùng chính ở trong ACL và OSPF. Nói tóm lại là wildcard mask dùng để xác định chính xác một host hay một dãi địa chỉ hay một mạng đây cũng chính là ưu điểm vượt trội của wi ldcard mask so với subnet mask.
Các ví dụ sau sẽ giúp hiểu rõ hơn về wildcard mask:
Wildcard mask một subnet: mạng 192.168.1.0/24
Cách tính: lấy 255.255.255.255 – subnet mask mạng 192.168.1.0/24 255.255.255.255
255.255.255.0
--- 0 . 0 . 0 .255
Kết quả: Wildcard mask 192.168.1.0/24 là 0.0.0.255
Ý nghĩa: 3 octet đầu tiên là 0 thì sẽ kiểm tra địa chỉ mạng và octet cuối tất cả các bit bật lên 1 là không kiểm tra có nghĩa là bất kì host nào cũng được.
Wildcard mask của tất cả địa chỉ IP
Cách tính: Với nguyên tắt là bit 0 thì kiểm tra còn bit 1 là không kiểm tra vậy thì cho phép tất cả IP có nghĩa là không cần kiểm tra gì nữa vậy mở tất cả các bit lên 1.
Kết quả: 255.255.255.255. Trong ACL thay vì ghi 255.255.255.255 thì chỉ cần từ “any” là được.
Cách tính: Vì là 1 địa chỉ IP nên cần phải kiểm tra tất cả các bit nên sẽ là bit 0
Kết quả: 0.0.0.0. Trong ACL thay vì ghi 0.0.0.0 thì chỉ cần ghi “host” để thay thế.
Ý nghĩa: Nó sẽ kiểm tra tất cả các bit địa chỉ so phải khớp. Nghĩa là chỉ có IP 192.168.1.192 mới khớp thôi.
2.2.4 So sánh gi ữa Subnet Mask và Wi l dcard Mask
Subnet mask và wildcard mask khác nhau hoàn toàn về nguyên tắc cũng như chức năng. Subnet mask có một chuỗi bit 1 kéo từ trái sang phải để xác định phần host và phần network của một địa chỉ IP tương ứng. Trong khi đó wildcard mask được dùng để lọc địa chỉ IP hoặc lớp mạng hay một dãy địa địa chỉ IP.
Bảng 1: So sánh subnet mask và wildcard mask.
Ti êu chí Subnet mask Wi l dcard mask
Cấu trúc - dài 32 bit hoặc 4 octet. - dài 32 bit hoặc 4 octet.
Mục đích - phân biệt net ID và host ID. - lọc chính xác IP hoặc lớp mạng hay dãy IP.
Ứng dụng - trong giao thức Rip và static. - trong giao thức OSPF hay ACL.
CẤU HÌNH ACL 3.1 TỔNG QUAN MÔ HÌNH HỆ THỐNG
Hình 3.1: Mô hình tổng quan về hệ thống mạng.
3.2 PHÂN TÍCH MÔ HÌNH HỆ THỐNG
Mô hình tổng quan ở đây thể hiện rõ 3 site đó là site Sài Gòn, Đà Nẵng, Hà Nội. Điều này cũng dễ hiểu vì công ty có phạm vi hoạt động trên cả nước nên phân thành các chi nhánh con như Sài Gòn, Đà Nẵng. Công ty mẹ thì đặt tại Hà Nội. Như vậy thì tất nhiên là Hà Nội phải đặt những máy chủ của công ty rồi. Có thể thấy trong mô hình có máy chủ WEB, máy chủ AD, máy chủ FTP,... Với mô hình này thì có thêm một tường lửa đặt ngay cửa của hệ thống mạng, nếu muốn đi ra ngoài mạng hay nói đúng hơn là mạng Internet hoặc là đi vào các máy chủ của hệ thống thì phải đi qua tường lửa này. Tường lửa này đóng vai trò kiểm soát mọi thông tin ra vào hệ thống mạng. Nó có thể cho phép người quản trị viên giám sát bất kì hoạt động nào của hệ thống. Tại hệ thống trung tâm là Hà Nội nối với đường truyền đi Internet cho cả hệ thống mạng có
nhu cầu của công ty cũng như cả hệ thống mạng.
Vậy thì cần phải có một chính sách bảo mật như thế nào mà chi nhánh Sài Gòn có thể lấy dữ liệu từ các máy chủ cũng như chặn một số quyền truy cập và chính sách đi Internet hợp lý. Ta sẽ xét các trường hợp cấu hình ACL với Router .
3.3 CẤU HÌNH STANDARD ACCESS CONTROL LIST
Hình 3.2: Mô hình cấu hình Standard ACL.
Hình 3.2 mô phỏng mô hình cấu hình với Standard ACL. Như mô hình thì không có firewall vì để tiện cho phần demo ACL thì ta không xét firewall vào, ở phần sau sẽ có đánh giá giữa ACL và firewall có ưu điểm và nhược điểm như thế nào.
Mô hình có 3 site. Chinh nhánh Đà Nẵng, Sài Gòn và trung tâm là Hà Nội. Các máy chủ thì được đặt tại Hà Nội.
Ví dụ 1: Vì một lý do bảo mật nào đấy thì công ty mới đưa ra chính sách là chặn site Sài Gòn truy cập FTP chỉ cho phép địa chỉ của Admin truy cập (192.168.3.10)
Để giải quyết được vấn đề trên ta cần phải phân tích như sau:
IP nguồn: 192.168.3.0/24
IP đích: 192.168.0.0/24 (không quan tâm)
Để hiểu rõ hơn vị trí đặt ACL thì sẽ thông qua ví dụ trên.
Vị trí đặt ACL tại Router Sài Gòn
Trên Router Sài Gòn ta cấu hình ACL với ví dụ đã cho trên, phần cấu hình sẽ nói rõ bên dưới sau. Đây là gói tin của admin (192.168.3.10) sẽ được phép qua Router Sài Gòn. Phân tích đường đi của gói tin như sau.
Như vậy với rule là cho phép ip 192.168.3.10 qua được router thì điều đấy là đúng nhưng còn các máy khác trong site Sài Gòn thì thế nào. Ta tiếp tục xét. Ở đây là lấy May06 với ip 192.168.3.20 xem thử có đi ra được ngoài mạng hay không.
Hình 3.8: Gói tin chặn đã được thông báo lại cho May06.
Vậy là đã đạt được mục tiêu của đề bài đặt ra là cấp site Sài Gòn không được phép truy cập đến máy chủ FTP nhưng nó vượt một cái nhược điểm chết người đấy là site Sài Gòn bây giờ không thể truy cập đến các site khác được nữa. Vì Standard ACL chỉ quan tâm đến địa chỉ nguồn của gói tin. Như vậy thì đã thấy được cách đặt ACL Router Sài Gòn là hoàn toàn sai lầm. Site Gòn đã hoàn toàn bị cô lập khỏi hệ thống mạng chỉ trừ máy Admin với ip 192.168.3.10. Để khắc phục được tình trạng này ta thử
không.
Vị trí đặt ACL tại Router Hà Nội
Cấu hình thì tương tự như Router ở Sài Gòn, bài toán được đặt ra như trên và giờ phân tích đường đi gói tin của máy Admin thì chắc chắn là được rồi .
Hình 3.9: Gói tin xuất phát từ máy Admin.
Bây giờ ta sẽ xét đến May06 truy xuất đến máy chủ FTP ra sao.
Hình 3.14: Gói tin thông báo bị chặn được gởi đến May06.
Như vậy thì có gì khác so với trường hợp cấu hình ở Router Sài Gòn. Điểm khác biệt rõ ràng nhất là site Sài Gòn chỉ bị chặn ở Router Hà Nội mà thôi. Như vậy thì site Sài Gòn có thể truy cập bất kì site nào khác trong mạng ví dụ như site Sài Gòn tr uy cập đến site Đà Nẵng thì chắc chắn là sẽ thông vì có đi đến Router Hà Nội đâu mà bị chặn. Để minh chứng điều này thì ta tiếp tục phân tích gói tin.
Hình 3.16: Gói tin đến Router Đà Nẵng.
Hình 3.17: Gói tin đã đến được đích thành công.
Qua demo trên ta thấy được tầm quan trọng của ACL chỉ cần đặt sai thì sẽ dẫn đến hệ thống mạng sẽ bị xáo trộn và hoạt động bất thường. Với Standard ACL thì việc lọc gói tin vẫn chưa được linh hoạt cho lắm và các gói tin bị chặn vẫn chạy lòng vòng
Vị trí đặt ACL đã nói rõ phần trên rồi và từ đấy thấy được tầm quan trọng của vị trí đặt ACL. Đặt ACL gần đích nhất vậy thì đặt tại Router Hà Nội và chúng ta cấu hình như sau.
Mặc dù không cấu hình chặn các site còn lại nhưng các site đấy không thể kết nối đến các máy chủ được vì trong ACL luôn luôn có một Rule là chặn tất cả các giao thức lại khi ACL được mở lên. Mục đích của việc này thì đã nói rõ ở phần trên.
3.4 CẤU HÌNH EXTENDED ACCESS CONTROL LIST
bảo mật hơn rất là nhiều.
Ví dụ: Chặn ping từ site Sài Gòn đến các máy chủ và tất cả các site còn lại có thể ping đến máy chủ. Ý thứ hai: Cho phép site Sài Gòn có thể truy cập vào trang WEB của công ty.
Với cấu hình Extended ACL ta sẽ phân tích kĩ càng hơn.
IP nguồn: 192.168.3.0/24 (site Sài Gòn)
IP đích: 192.168.0.0/24 (các máy chủ)
Giao thức: ICMP, HTTP.
Port: 80.
Vị trí đặt: tại Router Sài Gòn
Vị trí đặt ACL tại Router Hà Nội
Chặn các gói tin ICMP từ site Sài Gòn ping đến các máy chủ ta xem đường đi và phân tích.
Hình 3.24: Gói tin bị chặn được thông báo lại.
Như vậy gói tin trước khi bị chặn đã chạy qua Route r Sài Gòn, Đà Nẵng và mới bị chặn tại Router Hà Nội. Thế thì sẽ rất lãng phí băng thông cũng như thời gian gói tin chạy từ Rouer Sài Gòn đến Router Hà Nội. Vì vậy vị trí đặt tại Router Hà Nội đối với Extended ACL là chưa được hợp lý cho lắm. Tiếp tục xét t rường hợp kế tiếp.
Vị trí đặt ACL tại Router Sài Gòn
Cấu hình ACL tại Router Sài Gòn và phân tích đường đi của gói tin chạy đến Router Sài Gòn. Thử ping từ site Sài Gòn đến các máy chủ ở site Hà Nội .
Vậy là gói tin sẽ bị chặn ngay tại Router Sài Gòn nên nó sẽ đỡ tốn băng thông của hệ thống mạng cũng như là độ trễ thời gian của hệ thống. Ở đây là chặn gói ping nếu chúng ta muốn truy cập vào WEB thì mở lên rule nữa và cho phép giao thức HTTP có thể đi qua Router Sài Gòn và sẽ đến được đích. Vì Extended nó quan tâm đến IP nguồn, IP đích, Port, giao thức. Nói tóm lại là bây giờ muốn gói tin đi qua Router thì chỉ cần mở rule cho phép đi là được.
hình với Named. Thật ra thì cấu hình với Number hay Named gì cũng như nhau cả. Chỉ có điều là Named nó giúp người quản trị dễ dàng hơn trong việc quản lý các Rule và cũng có thể chỉnh sửa trong Rule đấy còn đối với Number thì rất là khó để biết được đấy là Rule gì và không được phép chỉnh sửa một Rule khi cấu hình sai mà chỉ có thể xóa đi rồi cấu hình lại.
mạng được hay nói cách khác là Site này đã bị cô lập. Vì ACL đã được bật lên và đã kích hoạt tính năng deny ngầm các gói tin. Thử truy cập máy chủ WEB.
Hình 3.32: Site Sài Gòn truy cập WEB không được.
Hình 3.34: Show cấu hình ACL Extended. Kiểm tra site Sài Gòn truy cập đến trang WEB trong công ty.
Tóm lại là cấu hình là khá dễ dàng, không nhớ lệnh ta chỉ cần nhấn „ ? ‟ để xem thông tin chi tiết tất cả các lệnh. Chỉ cần chúng ta nắm được nguyên tắc hoạt động của nó thì có thể ta không nhớ lệnh vẫn có thể làm được. Đấy chính là mấu chốt của vấn đề vì không có ai thiên tài mà nhớ hết được các tập lệnh cả.
Hình 3.36: Mô hình cấu hình ACL trên VLAN.
Mô hình 3.36 chỉ mang tính chất là demo minh họa. Trên thực tế thì nó phức tạp hơn nhiều không phải chỉ có một Switch Layer 3 hoạt động mà có rất nhiều Switch hoạt động ở Layer 2 được nối đến Switch Layer 3 và nhiều Switch Layer 3 được đấu nối với nhau nhằm mục đích trao đổi thông tin.
Ví dụ: Chặn VLAN 1 ping sang VLAN 2 và VLAN 1 có thể ping thông các VLAN khác. Cho phép VLAN 1 truy cập máy chủ WEB tại VLAN 3. Chặn VLAN 1 truy cập máy chủ FTP tại VLAN 4. Tại VLAN 5 ping đến các VLAN 1, 2, 3, 4.
Cấu hình Extended ACL trên VLAN nên ta sẽ phân tích như sau:
Nguồn: VLAN 1
Đích: VLAN 2, 3, 4
Giao thức: ICMP, HTTP, FTP
Port: HTTP (80), FTP (20,21)
Cấu hình Extended ACL trên VLAN
Trước tiên kiểm tra thông tin VLAN có hoạt động hay không ta dùng lệnh show vlan để kiểm tra.
Hình 3.37: Kiểm tra thông tin VLAN tại Switch 3560.
Tiếp theo ta ping từ VLAN 1 đến VLAN 2 xem thử có thông hay không. Giả sử như không thông thì cần phải kiểm tra lại các thông tin của VLAN.
Hình 3.38: Ping từ VLAN 1 đến VLAN 2.