Subnet mask và wildcard mask khác nhau hoàn toàn về nguyên tắc cũng như chức năng. Subnet mask có một chuỗi bit 1 kéo từ trái sang phải để xác định phần host và phần network của một địa chỉ IP tương ứng. Trong khi đó wildcard mask được dùng để lọc địa chỉ IP hoặc lớp mạng hay một dãy địa địa chỉ IP.
Bảng 1: So sánh subnet mask và wildcard mask.
Ti êu chí Subnet mask Wi l dcard mask
Cấu trúc - dài 32 bit hoặc 4 octet. - dài 32 bit hoặc 4 octet.
Mục đích - phân biệt net ID và host ID. - lọc chính xác IP hoặc lớp mạng hay dãy IP.
Ứng dụng - trong giao thức Rip và static. - trong giao thức OSPF hay ACL.
CẤU HÌNH ACL 3.1 TỔNG QUAN MÔ HÌNH HỆ THỐNG
Hình 3.1: Mô hình tổng quan về hệ thống mạng.
3.2 PHÂN TÍCH MÔ HÌNH HỆ THỐNG
Mô hình tổng quan ở đây thể hiện rõ 3 site đó là site Sài Gòn, Đà Nẵng, Hà Nội. Điều này cũng dễ hiểu vì công ty có phạm vi hoạt động trên cả nước nên phân thành các chi nhánh con như Sài Gòn, Đà Nẵng. Công ty mẹ thì đặt tại Hà Nội. Như vậy thì tất nhiên là Hà Nội phải đặt những máy chủ của công ty rồi. Có thể thấy trong mô hình có máy chủ WEB, máy chủ AD, máy chủ FTP,... Với mô hình này thì có thêm một tường lửa đặt ngay cửa của hệ thống mạng, nếu muốn đi ra ngoài mạng hay nói đúng hơn là mạng Internet hoặc là đi vào các máy chủ của hệ thống thì phải đi qua tường lửa này. Tường lửa này đóng vai trò kiểm soát mọi thông tin ra vào hệ thống mạng. Nó có thể cho phép người quản trị viên giám sát bất kì hoạt động nào của hệ thống. Tại hệ thống trung tâm là Hà Nội nối với đường truyền đi Internet cho cả hệ thống mạng có
nhu cầu của công ty cũng như cả hệ thống mạng.
Vậy thì cần phải có một chính sách bảo mật như thế nào mà chi nhánh Sài Gòn có thể lấy dữ liệu từ các máy chủ cũng như chặn một số quyền truy cập và chính sách đi Internet hợp lý. Ta sẽ xét các trường hợp cấu hình ACL với Router .
3.3 CẤU HÌNH STANDARD ACCESS CONTROL LIST
Hình 3.2: Mô hình cấu hình Standard ACL.
Hình 3.2 mô phỏng mô hình cấu hình với Standard ACL. Như mô hình thì không có firewall vì để tiện cho phần demo ACL thì ta không xét firewall vào, ở phần sau sẽ có đánh giá giữa ACL và firewall có ưu điểm và nhược điểm như thế nào.
Mô hình có 3 site. Chinh nhánh Đà Nẵng, Sài Gòn và trung tâm là Hà Nội. Các máy chủ thì được đặt tại Hà Nội.
Ví dụ 1: Vì một lý do bảo mật nào đấy thì công ty mới đưa ra chính sách là chặn site Sài Gòn truy cập FTP chỉ cho phép địa chỉ của Admin truy cập (192.168.3.10)
Để giải quyết được vấn đề trên ta cần phải phân tích như sau:
IP nguồn: 192.168.3.0/24
IP đích: 192.168.0.0/24 (không quan tâm)
Để hiểu rõ hơn vị trí đặt ACL thì sẽ thông qua ví dụ trên.
Vị trí đặt ACL tại Router Sài Gòn
Trên Router Sài Gòn ta cấu hình ACL với ví dụ đã cho trên, phần cấu hình sẽ nói rõ bên dưới sau. Đây là gói tin của admin (192.168.3.10) sẽ được phép qua Router Sài Gòn. Phân tích đường đi của gói tin như sau.
Như vậy với rule là cho phép ip 192.168.3.10 qua được router thì điều đấy là đúng nhưng còn các máy khác trong site Sài Gòn thì thế nào. Ta tiếp tục xét. Ở đây là lấy May06 với ip 192.168.3.20 xem thử có đi ra được ngoài mạng hay không.
Hình 3.8: Gói tin chặn đã được thông báo lại cho May06.
Vậy là đã đạt được mục tiêu của đề bài đặt ra là cấp site Sài Gòn không được phép truy cập đến máy chủ FTP nhưng nó vượt một cái nhược điểm chết người đấy là site Sài Gòn bây giờ không thể truy cập đến các site khác được nữa. Vì Standard ACL chỉ quan tâm đến địa chỉ nguồn của gói tin. Như vậy thì đã thấy được cách đặt ACL Router Sài Gòn là hoàn toàn sai lầm. Site Gòn đã hoàn toàn bị cô lập khỏi hệ thống mạng chỉ trừ máy Admin với ip 192.168.3.10. Để khắc phục được tình trạng này ta thử
không.
Vị trí đặt ACL tại Router Hà Nội
Cấu hình thì tương tự như Router ở Sài Gòn, bài toán được đặt ra như trên và giờ phân tích đường đi gói tin của máy Admin thì chắc chắn là được rồi .
Hình 3.9: Gói tin xuất phát từ máy Admin.
Bây giờ ta sẽ xét đến May06 truy xuất đến máy chủ FTP ra sao.
Hình 3.14: Gói tin thông báo bị chặn được gởi đến May06.
Như vậy thì có gì khác so với trường hợp cấu hình ở Router Sài Gòn. Điểm khác biệt rõ ràng nhất là site Sài Gòn chỉ bị chặn ở Router Hà Nội mà thôi. Như vậy thì site Sài Gòn có thể truy cập bất kì site nào khác trong mạng ví dụ như site Sài Gòn tr uy cập đến site Đà Nẵng thì chắc chắn là sẽ thông vì có đi đến Router Hà Nội đâu mà bị chặn. Để minh chứng điều này thì ta tiếp tục phân tích gói tin.
Hình 3.16: Gói tin đến Router Đà Nẵng.
Hình 3.17: Gói tin đã đến được đích thành công.
Qua demo trên ta thấy được tầm quan trọng của ACL chỉ cần đặt sai thì sẽ dẫn đến hệ thống mạng sẽ bị xáo trộn và hoạt động bất thường. Với Standard ACL thì việc lọc gói tin vẫn chưa được linh hoạt cho lắm và các gói tin bị chặn vẫn chạy lòng vòng
Vị trí đặt ACL đã nói rõ phần trên rồi và từ đấy thấy được tầm quan trọng của vị trí đặt ACL. Đặt ACL gần đích nhất vậy thì đặt tại Router Hà Nội và chúng ta cấu hình như sau.
Mặc dù không cấu hình chặn các site còn lại nhưng các site đấy không thể kết nối đến các máy chủ được vì trong ACL luôn luôn có một Rule là chặn tất cả các giao thức lại khi ACL được mở lên. Mục đích của việc này thì đã nói rõ ở phần trên.
3.4 CẤU HÌNH EXTENDED ACCESS CONTROL LIST
bảo mật hơn rất là nhiều.
Ví dụ: Chặn ping từ site Sài Gòn đến các máy chủ và tất cả các site còn lại có thể ping đến máy chủ. Ý thứ hai: Cho phép site Sài Gòn có thể truy cập vào trang WEB của công ty.
Với cấu hình Extended ACL ta sẽ phân tích kĩ càng hơn.
IP nguồn: 192.168.3.0/24 (site Sài Gòn)
IP đích: 192.168.0.0/24 (các máy chủ)
Giao thức: ICMP, HTTP.
Port: 80.
Vị trí đặt: tại Router Sài Gòn
Vị trí đặt ACL tại Router Hà Nội
Chặn các gói tin ICMP từ site Sài Gòn ping đến các máy chủ ta xem đường đi và phân tích.
Hình 3.24: Gói tin bị chặn được thông báo lại.
Như vậy gói tin trước khi bị chặn đã chạy qua Route r Sài Gòn, Đà Nẵng và mới bị chặn tại Router Hà Nội. Thế thì sẽ rất lãng phí băng thông cũng như thời gian gói tin chạy từ Rouer Sài Gòn đến Router Hà Nội. Vì vậy vị trí đặt tại Router Hà Nội đối với Extended ACL là chưa được hợp lý cho lắm. Tiếp tục xét t rường hợp kế tiếp.
Vị trí đặt ACL tại Router Sài Gòn
Cấu hình ACL tại Router Sài Gòn và phân tích đường đi của gói tin chạy đến Router Sài Gòn. Thử ping từ site Sài Gòn đến các máy chủ ở site Hà Nội .
Vậy là gói tin sẽ bị chặn ngay tại Router Sài Gòn nên nó sẽ đỡ tốn băng thông của hệ thống mạng cũng như là độ trễ thời gian của hệ thống. Ở đây là chặn gói ping nếu chúng ta muốn truy cập vào WEB thì mở lên rule nữa và cho phép giao thức HTTP có thể đi qua Router Sài Gòn và sẽ đến được đích. Vì Extended nó quan tâm đến IP nguồn, IP đích, Port, giao thức. Nói tóm lại là bây giờ muốn gói tin đi qua Router thì chỉ cần mở rule cho phép đi là được.
hình với Named. Thật ra thì cấu hình với Number hay Named gì cũng như nhau cả. Chỉ có điều là Named nó giúp người quản trị dễ dàng hơn trong việc quản lý các Rule và cũng có thể chỉnh sửa trong Rule đấy còn đối với Number thì rất là khó để biết được đấy là Rule gì và không được phép chỉnh sửa một Rule khi cấu hình sai mà chỉ có thể xóa đi rồi cấu hình lại.
mạng được hay nói cách khác là Site này đã bị cô lập. Vì ACL đã được bật lên và đã kích hoạt tính năng deny ngầm các gói tin. Thử truy cập máy chủ WEB.
Hình 3.32: Site Sài Gòn truy cập WEB không được.
Hình 3.34: Show cấu hình ACL Extended. Kiểm tra site Sài Gòn truy cập đến trang WEB trong công ty.
Tóm lại là cấu hình là khá dễ dàng, không nhớ lệnh ta chỉ cần nhấn „ ? ‟ để xem thông tin chi tiết tất cả các lệnh. Chỉ cần chúng ta nắm được nguyên tắc hoạt động của nó thì có thể ta không nhớ lệnh vẫn có thể làm được. Đấy chính là mấu chốt của vấn đề vì không có ai thiên tài mà nhớ hết được các tập lệnh cả.
Hình 3.36: Mô hình cấu hình ACL trên VLAN.
Mô hình 3.36 chỉ mang tính chất là demo minh họa. Trên thực tế thì nó phức tạp hơn nhiều không phải chỉ có một Switch Layer 3 hoạt động mà có rất nhiều Switch hoạt động ở Layer 2 được nối đến Switch Layer 3 và nhiều Switch Layer 3 được đấu nối với nhau nhằm mục đích trao đổi thông tin.
Ví dụ: Chặn VLAN 1 ping sang VLAN 2 và VLAN 1 có thể ping thông các VLAN khác. Cho phép VLAN 1 truy cập máy chủ WEB tại VLAN 3. Chặn VLAN 1 truy cập máy chủ FTP tại VLAN 4. Tại VLAN 5 ping đến các VLAN 1, 2, 3, 4.
Cấu hình Extended ACL trên VLAN nên ta sẽ phân tích như sau:
Nguồn: VLAN 1
Đích: VLAN 2, 3, 4
Giao thức: ICMP, HTTP, FTP
Port: HTTP (80), FTP (20,21)
Cấu hình Extended ACL trên VLAN
Trước tiên kiểm tra thông tin VLAN có hoạt động hay không ta dùng lệnh show vlan để kiểm tra.
Hình 3.37: Kiểm tra thông tin VLAN tại Switch 3560.
Tiếp theo ta ping từ VLAN 1 đến VLAN 2 xem thử có thông hay không. Giả sử như không thông thì cần phải kiểm tra lại các thông tin của VLAN.
Hình 3.38: Ping từ VLAN 1 đến VLAN 2.
Vì cấu hình ACL trên VLAN nên sẽ vào từng VLAN để xét là theo chiều Inbound hay Outbound thay vì cấu hình như bình thường là phải vào interface như fa, gig để xét.
Hình 3.40: Show cấu hình ACL.
Lấy một PC (192.168.1.10) ở VLAN 1 ping sang một PC khác (192.168.2.10) ở VLAN 2 và ping đến VLAN 3 để xem kết quả.
Ý thứ hai: Cho phép VLAN 1 truy cập máy chủ WEB tại VLAN 3. Tại Switch 3560 ta cấu hình như sau.
Hình 3.42: Cấu hình cho phép VLAN 1 truy cập máy chủ WEB tại VLAN 3. Sau khi cấu hình xong, ta thử kiểm tra VLAN 1 truy cập máy chủ WEB tại VLAN 3 thì sẽ thành công nhưng VLAN 1 bây giờ ping đến VLAN 3 sẽ không thông vì như đã nói ở trên ACL luôn luôn có một deny mặc định (chặn ngầm).
Ý thứ 3: Chặn VLAN 1 truy cập máy chủ FTP tại VLAN 4.
công.
Đầu tiên kiểm tra VLAN 1 truy cập máy chủ FTP tại VLAN 4 là hoàn toàn thành
Hình 3.44: VLAN 1 truy cập máy chủ FTP thành công.
Cấu hình đối với giao thức FTP thì cần lưu ý là phải chặn hai port lại là 20 và 21 vì giao thức FTP hoạt động dựa trên hai port này. Và show cấu hình ACL lên thì ta được như hình 3.45.
Kiểm tra kết quả thì tất nhiên VLAN 1 sẽ không truy cập được đến máy chủ FTP tại VLAN 4 rồi và không riêng gì giao thức FTP mà có thể nói là bất kì giao thức nào đi nữa thì cũng không thể truy cập đến VLAN 4 hay nói cách khác VLAN 4 bây giờ đã bị cô lập hoàn toàn.
Hình 3.46: Kết quả VLAN 1 không thể truy cập máy chủ FTP tại VLAN 4.
Ý thứ 4: Tại VLAN 5 ping đến các VLAN 1, 2, 3, 4.
VLAN 2, VLAN 3, VLAN 4 là các VLAN đã được cấu hình Extended ACL nên chắc chắn một điều là VLAN 5 ping đến các VLAN 2, 3, 4 sẽ không thông như hình
công đến VLAN 1.
Hình 3.47: Kết quả ping đến VLAN 4 và VLAN 3.
Hình 3.48: Kết quả ping đến VLAN 2 và VLAN 1.
Như vậy ACL còn có thể hỗ trợ cho VLAN và việc cấu hình ACL trên VLAN nhằm tăng tính năng bảo mật giữa các VLAN với nhau.
3.6.1 Đánh Gi á Mô Hì nh Hệ Thống
Mô hình hệ thống như hình 3.1 có thể nói là mô hình t ổng quan nhất của hệ thống mạng vì chỉ là mô phỏng nên các site Sài Gòn, Đà Nẵng chỉ có một lớp mạng, trên thực tế thì các site này còn nhiều lớp mạng nữa cũng như các chi nhánh con của site đấy. Mô hình này được khá nhiều công ty vừa và lớn áp dụng để phục vụ cho nhu cầu sử dụng của công ty. Có thể vừa cấu hình ACL trên router và Firewall để hệ thống bảo mật được tốt hơn. Đối với các công ty nhỏ không có điều kiện sắm các thiết bị cao cấp như firewall thì có thể mua con Router có chức năng là firewall được tích hợp trên đó như tính năng ACL. Nhìn chung hạ tầng hệ thống như vậy là ổn việc còn lại là của người thi công hạ tầng mạng như cấu hình với giao thức nào để hệ thống mạng chạy hiệu quả có thể là RIP hay OSPF,... Và quan trọng nhất là người quản trị viên phải biết giám sát mạng cũng như việc sử dụng ACL một cách hiệu quả để có thể tăng thêm hiệu suất mạng.
3.6.2 So Sánh Standard ACL Và Extended ACL
Sau khi đã được làm quen, phân tích, cấu hình Standard và Extended có một vài điểm giống và khác nhau. Vậy ở đây sẽ so sánh những điểm khác nhau cơ bản nhất.
Bảng 2: So sánh giữa Standard ACL và Extended ACL.
Ti êu chí Standard ACL Extended ACL
Đánh số 1-99, 1300-1999 100-199, 2000-2699
Cấu hình Đơn giản Phức tạp
Nguồn (IP) Có so sánh Có so sánh
Đích (IP) Bỏ qua Có so sánh
Giao thức Bỏ qua Có so sánh
Port Bỏ qua Có so sánh
Hoạt động Hoạt động ở lớp 3 (OSI) Hoạt động lớp 4 (OSI)
Linh hoạt Không có Có
Vị trí đặt Gần đích Gần nguồn
ACL trên Router nó cũng gần giống với firewall cứng rồi nên ở đây ta sẽ so sánh ACL với firewall mềm có thể là ISA hay TMG. ISA hay TMG thực chất là một chẳng qua nó có nhiều phiên bản, nói chung là không quan trọng chỉ cần nắm được cốt lõi của nó thì có phiên bản nào cũng hoạt động như nhau cả chỉ có điều là phiên bản mới có nhiều tính năng hơi khác so với phiên bản cũ bởi vậy chúng ta cần phải cập nhật