Đang tải... (xem toàn văn)
Báo cáo tiểu luận KIỂM THỬ GIẢI PHÁP AN NINH HẠ TẦNG MẠNG CỦA CISCO tập trung vào vấn đề áp dụng các hình thức kiểm thử vào giải pháp triển khai ACL trên thiết bị Cisco. Nội dung thực hiện: tổng quan về ACL, tổng quan về Firewall, tổng quan về chính sách theo vùng (Zonebased Firewall Policy) và thiết lập Demo cho mô hình thực nghiệm.
TRƯỜNG ĐẠI HỌC CÔNG THƯƠNG TP HỒ CHÍ MINH KHOA CÔNG NGHỆ THÔNG TIN - BÁO CÁO THỰC HÀNH AN NINH HẠ TẦNG MẠNG Thực hành 03 : KIỂM THỬ GIẢI PHÁP AN NINH HẠ TẦNG MẠNG CISCO Nhóm thực hiện : Nhóm 03 GVHD: ThS Bùi Duy Cương TP Hồ Chí Minh, ngày … tháng … năm … TRƯỜNG ĐẠI HỌC CÔNG THƯƠNG TP HỒ CHÍ MINH KHOA CÔNG NGHỆ THÔNG TIN - BÁO CÁO THỰC HÀNH AN NINH HẠ TẦNG MẠNG Thực hành 03 : KIỂM THỬ GIẢI PHÁP AN NINH HẠ TẦNG MẠNG CISCO Nhóm thực hiện : Nhóm 03 GVHD: ThS Bùi Duy Cương TP Hồ Chí Minh, ngày … tháng … năm … MỤC LỤC PHẦN 01 – CƠ SỞ LÝ THUYẾT .3 1.1 Tổng quan về Access Control List (ACL) 3 1.1.1 Khái niệm về Access Control List (ACL) 3 1.1.2 Chức năng của Access Control List (ACL) : 3 1.1.3 Phân loại Access Control List (ACL) : 3 1.1.4 Chiều của lưu lượng được ACL kiểm soát : 4 1.1.5 Cách thức hoạt động của Access Control List (ACL) : 4 1.1.6 Cách thức cấu hình Access Control List (ACL) trên thiết bị Cisco : .5 1.1.7 Các lệnh quản lý Access Control List (ACL) 7 1.2 Tổng quan về tường lửa (Firewall) 8 1.2.1 Tổng quan về tường lửa 8 1.2.2 Các tính năng nổi bật : 8 1.2.3 Phân loại các dạng tường lửa 8 1.2.4 Triển khai tường lửa trong hệ thống mạng : 9 1.3 Tổng quan về chính sách theo vùng (Zone-based Firewall Policy) 10 1.3.1 Tổng quan về Zone-Based Policy 10 1.3.2 Các dạng hành động trong ZPF : 11 1.3.3 Quá trình thiết lập Zone-Based Policy trên thiết bị Cisco 11 1 PHẦN 02 – QUÁ TRÌNH THỰC NGHIỆM 13 2.1 Mô hình .13 2.2 Bảng địa chỉ .14 2.3 Mục tiêu .15 2.4 Kịch bản 15 2.5 Quá trình thực hiện 16 2.5.1 Xây dựng mô hình : .16 2.5.2 Kiểm tra các kết nối và dịch vụ 25 2.5.3 Tổ chức tấn công vào mô hình không an toàn .27 2.5.4 Áp dụng các chính sách ACLs .34 2.5.5 Tổ chức tấn công vào mô hình an toàn 36 2.6 Kết quả 38 2.7 Video Demo thực nghiệm : 39 2 1 PHẦN 01 – CƠ SỞ LÝ THUYẾT 1.1 Tổng quan về Access Control List (ACL) 1.1.1.Khái niệm về Access Control List (ACL) ACL là một danh sách các câu lệnh được áp đặt vào các cổng (interface) của router Danh sách này chỉ ra cho router biết loại packet nào được chấp nhận (allow) và loại packet nào bị hủy bỏ (deny) Sự chấp nhận và huỷ bỏ này có thể dựa vào địa chỉ nguồn, địa chỉ đích hoặc chỉ số port 1.1.2.Chức năng của Access Control List (ACL) : Các chức năng chính : Quản lý các IP traffic Hỗ trợ mức độ cơ bản về bảo mật cho các truy cập mạng, thể hiện ở tính năng lọc các packet qua router Xác định tuyến đường thích hợp cho DDR (dial-on-demand routing) Thuận tiện cho việc lọc gói tin ip Cung cấp tính sẵn sàn mạng cao 1.1.3.Phân loại Access Control List (ACL) : Có 2 loại Access lists là: Standard Access lists và Extended Access lists Standard (ACLs): Lọc (Filter) địa chỉ ip nguồn (Source) vào trong mạng – đặt gần đích (Destination) Extended (ACLs): Lọc địa chỉ ip nguồn và đích của 1 gói tin (packet), giao thức tầng “Network layer header” như TCP, UDP, ICMP…, và port numbers trong tầng “Transport layer header” Nên đặt gần nguồn (source) 1.1.4.Chiều của lưu lượng được ACL kiểm soát : 3 Có 2 dạng chiều lưu lượng được áp dụng để kiểm soát : Inbound (lưu lượng từ trong ra ngoài) và Outbound (lưu lượng từ ngoài vào trong) : Inbound ACLs : nói nôm na là 1 cái cổng vào(theo chiều đi vào của gói tin) trên Router những gói tin sẽ được xử lý thông qua ACL trước khi được định tuyến ra ngoài (outbound interface) Tại đây những gói tin sẽ “dropped” nếu không trùng với bảng định tuyến (routing table), nếu gói tin (packet) được chấp nhận nó sẽ được xử lý trước khi chuyển giao (transmission) Outbound ACLs : là cổng đi ra của gói tin trên Router, những gói tin sẽ được định tuyến đến outbound interface và xử lý thông qua ACLs, trước khi đưa đến ngoài hàng đợi (outbound queue) 1.1.5.Cách thức hoạt động của Access Control List (ACL) : ACL sẽ được thực hiện theo trình tự của các câu lệnh trong danh sách cấu hình khi tạo access-list Nếu có một điều kiện được so khớp (matched) trong danh sách thì nó sẽ thực hiện, và các câu lệnh còn lại sẽ không được kiểm tra nữa.Trường hợp tất cả các câu lệnh trong danh sách đều không khớp (unmatched) thì một câu lệnh mặc định “deny any” được thực hiện Cuối access-list mặc định sẽ là lệnh loại bỏ tất cả (deny all) Vì vậy, trong access-list cần phải có ít nhất một câu lệnh permit Khi packet đi vào một interface, router sẽ kiểm tra xem có một ACL trong inbound interface hay không, nếu có packet sẽ được kiểm tra đối chiếu với những điều kiện trong danh sách Nếu packet đó được cho phép (allow) nó sẽ tiếp tục được kiểm tra trong bảng routing để quyết định chọn interface để đi đến đích Tiếp đó, router sẽ kiểm tra xem outbound interface có ACL hay không Nếu không thì packet có thể sẽ được gửi tới mạng đích Nếu có ACL ở outbound interface, nó sẽ kiểm tra đối chiếu với những điều kiện trong danh sách ACL đó 4 1.1.6.Cách thức cấu hình Access Control List (ACL) trên thiết bị Cisco : Đối với Standard ACLs (ACL tiêu chuẩn) : sử dụng số từ 1 -> 99 hay 1300 -> 1999 Cấu trúc lệnh : router(config)#access-list [#] [permit deny] [wildcard mask] [log] Đặt ACL vào interface mình muốn quản lý lưu lượng qua nó : o router(config)#interface [interface-number] o router(config-if)#ip access-group [#] [in out] – interface access control Đối với Extended ACLs (ACL mở rộng) : sử dụng số từ 100 -> 199 hay 2000 -> 2699 Tạo ACL tại Global Config Mode : o router(config)#access-list [#] [permit deny] [protocol] [wildcard mask] [operator source port] [destination address] [wildcard mask] [operator destination port] [log] o router(config)#access-list [#] [permit deny] [protocol] [host] [host] [destination address][ lt, gt, neq, eq, range] [port number] Áp access-list vào cổng : o router(config)#interface [interface-number] o router(config-if)#ip access-group [#] [in out] – interface access control 5 Hình 1 Các vị trí đặt của ACl trong trường hợp muốn kiểm soát các traffic từ 192.168.10.0/24 đến 192.168.30.0/24 Hình 2 Các dãy được sử dụng cho số định danh của các giao thức 6 1.1.7.Các lệnh quản lý Access Control List (ACL) Bảng các câu lệnh dùng để quản lý Access Control List Nội dung thực hiện Câu lệnh thực hiện Hiển thị tất cả ACLs đang sử dụng Router(config)#show running-config Xem ACLs hoạt động trên interface nhất định Router(config)#show interface [] Xem những câu lệnh ACLs: Router(config)#show access-list [] Hiển thị tất cả ip ACLs: Router#show ip access-list Xóa bộ đếm (to clear the counters use) router(config)#show access-list [ # ] router(config)#clear access-list counter [ # ] router(config)#no ip access-list [standard- extended][#] Xóa Access list router(config)#interface [interface-number] router(config-if)#no access-list [#] [permit deny] [wildcard mask] 1.2 Tổng quan về tường lửa (Firewall) 1.2.1.Tổng quan về tường lửa Một thiết bị giám sát và lọc các lưu lượng mạng đến (inconming) và ra (outcoming) dựa trên các chính sách Có thể là thiết bị vật lý, phần mềm, một SaaS, các dạng cloud (public hay private) 7 1.2.2.Các tính năng nổi bật : Quản lý bảo mật tập trung, Ngăn chặn mối đe dọa Phân tích dựa trên Application và danh tính Các hỗ trợ Hybrid Khả năng mở rộng nâng cao 1.2.3.Phân loại các dạng tường lửa Proxy Firewalll Stateful Inspection Firewall Unified Thread Management (UTF) Firewall Next-generation Firewall (NGFW) Threat-focused NGFW Virtual Firewall Cloud Native Firewal 1.2.4.Triển khai tường lửa trong hệ thống mạng : Tường lửa được triển khai theo 3 dạng chính : dạng phân bổ thành mạng trong và ngoài; dạng phân chia 1 nhóm mạng tách biệt (DMZ) và dạng phân chia thành các vùng (Zones) 8