Đang tải... (xem toàn văn)
BÁO CÁO ĐỀ TÀI ROUTER VÀ ACCESS-LIST
Trang 1MỤC LỤC
PHẦN 1 : TỔNG QUAN VỀ AN NINH MẠNG CISCO 2
PHẦN 2 NGUYÊN TẮC ĐỊNH TUYẾN 7
PHẦN 3 REMOVING PROTOCOL VÀ SERVICES 16
PHẦN 4: ACCESS CONTROL LISTS (ACL) 19
PHẦN 5: ACCESS-LIST VÀ ROUTE-FILTERING 27
PHẦN 6 CấU HÌNH SYSLOG CHO ROUTER (LOGGING CONCEPTS) 34
Trang 2PHẦN 1 : TỔNG QUAN VỀ AN NINH MẠNG CISCO 1 An ninh Mạng là gì?
Có những lúc, ví dụ như khi bạn rời văn phòng về nhà khi kết thúc ngày làm việc, bạn sẽ bật hệ thống cảnh báo an ninh và đóng cửa để bảo vệ văn phòng và thiết bị Dường như bạn cũng sẽ có một ngăn chứa an toàn hoặc khóa tủ lưu trữ các tài liệu kinh doanh mật
Mạng máy tính của bạn cũng đỏi hỏi cùng một mức độ bảo vệ như vậy
Các công nghệ An ninh Mạng bảo vệ mạng của bạn trước việc đánh cắp và sử dụng sai mục đích thông tin kinh doanh bí mật và chống lại tấn công bằng mã độc từ vi rút và sâu máy tính trên mạng Internet Nếu không có An ninh Mạng được triển khai, công ty của bạn sẽ gặp rủi ro trước xâm nhập trái phép, sự ngừng trệ hoạt động của mạng, sự gián đoạn dịch vụ, sự không tuân thủ quy định và thậm chí là các hành động phạm pháp nữa
2 An ninh hoạt động như thế nào
An ninh Mạng không chỉ dựa vào một phương pháp mà sử dụng một tập hợp các rào cản để bảo vệ doanh nghiệp của bạn theo những cách khác nhau Ngay cả khi một giải pháp gặp sự cố thì giải pháp khác vẫn bảo vệ được công ty và dữ liệu của bạn trước đa dạng các loại tấn công mạng
Các thông tin an ninh trên mạng của bạn có nghĩa là thông tin có giá trị mà bạn dựa vào để tiến hành kinh doanh là luôn sẵn có đối với bạn và được bảo vệ trước các tấn công Cụ thể, An ninh Mạng là:
Bảo vệ chống lại những tấn công mạng từ bên trong và bên ngoài Các tấn
công có thể xuất phát từ cả hai phía, từ bên trong và từ bên ngoài tường lửa của doanh nghiệp của bạn Một hệ thống an ninh hiệu quả sẽ giám sát tất cả các hoạt động mạng, cảnh báo về những hành động vi phạm và thực hiện những phản ứng thích hợp
Đảm bảo tính riêng tư của tất cả các liên lạc, ở bất cứ đâu và vào bất cứ lúc
Trang 3đảm bảo rằng hoạt động truyền thông của họ vẫn được riêng tư và được bảo vệ
Kiểm soát truy cập thông tin bằng cách xác định chính xác người dùng và hệ thống của họ Các doanh nghiệp có thể đặt ra các quy tắc của riêng họ về
truy cập dữ liệu Phê duyệt hoặc từ chối có thể được cấp trên cơ sở danh tính người dùng, chức năng công việc hoặc các tiêu chí kinh doanh cụ thể khác
Giúp bạn trở nên tin cậy hơn Bởi vì các công nghệ an ninh cho phép hệ
thống của bạn ngăn chặn những dạng tấn công đã biết và thích ứng với những dạng tấn công mới, nhân viên, khách hàng và các doanh nghiệp có thể an tâm rằng dữ liệu của họ được an toàn
3 Các doanh nghiệp đang sử dụng các công nghệ an ninh như thế nào
An ninh Mạng đã trở thành một yêu cầu đối với doanh nghiệp, đặc biệt là những doanh nghiệp hoạt động trên mạng Internet Khách hàng, nhà cung cấp và đối tác kinh doanh của bạn kỳ vọng vào bạn để bảo vệ bất kỳ thông tin nào mà họ chia sẻ với bạn
Trong khi An ninh Mạng đã gần như trở thành một yêu cầu tiên quyết để vận hành một doanh nghiệp, nó cũng mang lại lợi ích theo nhiều cách khác nhau Dưới đây là những lợi ích mà các doanh nghiệp thu được từ một mạng được bảo vệ an toàn:
a Lòng tin của khách hàng
Tính riêng tư được đảm bảo Cộng tác được khuyến khích
Một hệ thống an ninh mạng đảm bảo với khách hàng rằng những thông tin nhạy cảm như là số thẻ tín dụng hoặc các chi tiết kinh doanh bí mật sẽ không bị truy cập và khai thác trái phép Các đối tác kinh doanh của bạn sẽ cảm thấy tự tin hơn khi chia sẻ dữ liệu như là dự báo doanh thu hoặc lên kế hoạch sản phẩm trước khi phát hành Ngoài ra, các công nghệ đó vừa ngăn chặn xâm nhập trái phép vừa cung cấp cho các đối tác của bạn truy cập an toàn đến thông tin trên mạng của bạn, giúp bạn cộng tác và làm việc cùng nhau một cách hiệu quả hơn
Trang 4b Di động
Bảo vệ truy cập di động
Nâng cao năng suất khi đang ở ngoài văn phòng
Giải pháp An ninh Mạng mạnh mẽ cho phép nhân viên của bạn truy cập an toàn trên đường đi hoặc từ nhà riêng mà không làm lây lan vi rút hoặc các dạng tấn công khác Truy cập mạng an toàn, thuận tiện có nghĩa là nhân viên có thể sử dụng thông tin quan trọng khi họ cần, giúp họ trở nên có năng suất cao hơn ngay cả khi họ không ngồi trước bàn làm việc
c Năng suất cao hơn
Ít lãng phí thời gian do spam hơn
Đạo đức và cộng tác tốt hơn giữa các nhân viên
Một hệ thống An ninh Mạng hiệu quả có thể nâng cao năng suất trên phạm vi toàn bộ tổ chức của bạn Nhân viên mất ít thời gian hơn vào những công việc không có năng suất như là chống spam và diệt vi rút Mạng và kết nối Internet của bạn luôn được an toàn, đảm bảo rằng bạn và nhân viên của mình có truy cập thường xuyên đến Internet và e-mail
d Giảm chi phí
Tránh được gián đoạn dịch vụ
Các dịch vụ tiên tiến được phát triển an toàn
Sự gián đoạn hoạt động của mạng gây thiệt hại lớn đối với mọi thể loại doanh nghiệp Bằng cách đảm bảo rằng mạng và kết nối Internet của bạn là an toàn và hoạt động liên tục, bạn có thể đảm bảo rằng khách hàng có thể tiếp cận bạn khi họ cần đến bạn An ninh hiệu quả cho phép doanh nghiệp của bạn bổ sung các dịch vụ và ứng dụng mới mà không làm ảnh hưởng đến hiệu năng mạng Sử dụng một khuynh hướng chủ động để bảo vệ dữ liệu của bạn sẽ đảm bảo rằng doanh nghiệp của bạn sẽ tồn tại và hoạt động theo yêu cầu
Trang 5Khi công ty của bạn tăng trưởng, nhu cầu về mạng cũng thay đổi Việc thiết lập một mạng an toàn, mạnh mẽ ngay từ hôm nay sẽ cho phép công ty bạn bổ sung những chức năng tiên tiến như là kết nối mạng không dây an toàn hoặc thoại và hội nghị
4 Bắt đầu với An ninh Mạng
Tùy theo nhu cầu của doanh nghiệp bạn với những công nghệ an ninh thích hợp là bước đầu tiên để bắt đầu một dự án an ninh mạng
Sử dụng danh sách những cân nhắc dưới đây để giúp bạn bắt đầu:
a Cấp độ an ninh hiện tại của bạn
Khám phá về những tính năng an ninh mà mạng của bạn đã có Danh sách này sẽ giúp xác định những thiếu hụt trong các phương pháp bảo vệ hiện tại của bạn
Mạng hiện tại có cung cấp tường lửa, mạng riêng ảo, ngăn chặn xâm nhập, chống vi rút, một mạng không dây an toàn, phát hiện bất thường và quản lý danh tính cũng như phê duyệt tuân thủ hay không?
Những tính năng này có giao tiếp với nhau không?
b Các tài sản của bạn
Xây dựng một danh mục về các tài sản của bạn để xác định xem sẽ cần bao nhiêu cấp độ, lớp bảo vệ mà hệ thống của bạn cần có
Bên trong doanh nghiệp cụ thể của bạn, những tài sản nào có vai trò quan trọng nhất đối với sự thành công?
Có phải việc bảo vệ thông tin nội bộ của bạn là quan trọng nhất không; hay là việc bảo vệ thông tin khách hàng của bạn là quan trọng nhất; hay là cả hai? Giá trị của những tài sản này lớn đến đâu?
Những tài sản này nằm ở đâu trong doanh nghiệp của bạn?
c Truyền tải thông tin
Trang 6Đánh giá xem thông tin đang được chia sẻ như thế nào ở bên trong và bên ngoài công ty của bạn
Nhân viên của bạn có cần truy cập nhanh đến thông tin nội bộ để thực hiện công việc của họ không?
Bạn có chia sẻ dữ liệu bên ngoài bốn bức tường của doanh nghiệp không? Bạn kiểm soát việc ai có thể truy cập đến thông tin này như thế nào?
Bạn có cung cấp những cấp độ khác nhau về truy cập cho những người dùng mạng khác nhau không?
d Các kế hoạch phát triển
Công ty bạn có đang lập kế hoạch bổ sung thêm các tính năng tiên tiến vào hệ thống của mình không? Hệ thống của bạn cần phải thích ứng và linh động đến đâu? Giải pháp an ninh của bạn cần phải có thể hỗ trợ được sự gia tăng lưu lượng mạng hoặc các ứng dụng tiên tiến mà không làm gián đoạn dịch vụ
e Đánh giá rủi ro
Xác định xem những hậu quả của một vụ tấn công an ninh có vượt khỏi phạm vi về tổn thất năng suất và gián đoạn dịch vụ không
Môi trường kinh doanh của bạn bị điều chỉnh về mặt pháp lý đến mức độ nào?
Rủi ro của việc không tuân thủ quy định là gì?
Doanh nghiệp của bạn có thể chấp nhận được mức độ gián đoạn thời gian hoạt động đến mức độ nào trước khi tổn thất về tài chính hoặc uy tín xảy ra?
f Dễ sử dụng
Một công nghệ an ninh tốt nhất cũng sẽ không mang lại cho bạn lợi ích nào cả nếu nó không được lắp đặt và sử dụng dễ dàng Hãy đảm bảo là bạn có các tài nguyên để quản lý hệ thống mà bạn đã lắp đặt
Trang 8:
Router(config)#ip route {destination network} {subnet mask} {nexthop ip address |
outgoing interface} <administrative distance>
Trang 9Router#show running-config Router#show ip route
Trang 10B DYNAMIC ROUTING
Routing Protocol (giao thức định tuyến)
Các loại giao thức định tuyến:
Distance Vector: RIP, IGRP Hoạt động theo nguyên tắt "hàng xóm", nghĩa là
mỗi router sẻ gửi bảng routing-table của chính mình cho tất cả các router được nối trực tiếp với mình Các router đó sau đo so sánh với bản routing-table mà mình hiện có và kiểm xem route của mình và route mới nhận được, route nào tốt hơn sẻ được cập nhất Các routing-update sẻ được gởi theo định kỳ (30 giây với RIP , 60 giây đối với RIP-novell, 90 giây đối với IGRP) Do đó, khi có sự thay đổi trong mạng, các router sẻ biết được khúc mạng nào down liền
Ưu điểm:
Dễ cấu hình, router không tốn nhiều tài nguyên để xử lí thông tin định tuyến
Nhược điểm:
Hệ thống metric quá đơn giản (như rip chỉ là hop-count) nên có thể xảy ra việc chọn đường đi tốt nhất (best route) không hoàn toàn chính xác
Do phải cập nhật định kỳ các routing-table, nên một lượng bandwidth đáng kể sẽ bị lãng phí, throughput giảm đi mặc dù mạng không có thay đổi Các Router hội tụ chậm, sẻ dẫn đến việc sai lệch trong bảng route, thiếu ổn
định (route flaping), Routing LOOP
Link-state: Linkstate không gởi routing-update, mà chỉ gởi tình trạng [state] của
các cái link trong linkstate-database của mình đi cho các router khác, để rồi tự mỗi router sẽ chạy giải thuật shortest path first (giao thức OSPF - open shortest path first), tự xây dựng bảng routing-table cho mình Sau đó khi mạng đả hội tụ, link-state protocol sẻ không gởi update định kỳ như Distance-vector, mà chỉ gởi khi nào có một sự thay đổi trong topology mạng (1 line bị down, cần sử dụng đường back-up)
Ưu điểm:
Trang 11Scalable: có thể thích nghi được với đa số hệ thống, cho phép người thiết kế có thễ thiết kế mạng linh hoạt, phản ứng nhanh với thay đổi sảy ra
Do không gởi interval-update, nên link state bảo đảm được băng thông cho các đưởng mạng
Khuyết điểm:
Do router phải sử lý nhiều, nên chiếm nhiều tài nguyên, giảm performance Một khuyết điểm nửa là: linkstate khá khó cấu hình để chạy tốt , những người
làm việc có kinh nghiệm lâu thì mới cấu hình tốt được, do đó các kỳ thi cao cấp của Cisco chú trọng khá kỷ đến linkstate
:
Routing Information Protocol (RIP)
Interior Gateway Routing Protocol (IGRP)
Enhanced Interior Gateway Routing Protocol (EIGRP) Open Shortest Path First (OSPF)
a RIP
Administrative distance là 120
2
RIP v1: classful (không gửi subnetmask)
(có kèm theo subnetmask), authentication
Trang 12Kiểm tra hoạt động
Show ip protocol Show ip route
Debug ip rip để quan sát việc RIP cập nhật bằng cách gửi và nhận trên router No debug ip rip hoặc undebug all để tắt chế độ debug
Show ip protocol để xem routing protocol timer
Show protocols xem các protocols nào được cấu hình trên các interface
b IGRP
Vector
ết hợp giữa băng thông (bandwidth) và độ trễ Administrative distance là 100
classful (không gửi subnetmask) Là giao thức riêng của Cisco
Cấu hình
: Router(config)#router igrp <AS>
:
Router(config-router)#network <network address>
(*) AS (Autonomous System): là một mạng được quản trị chung với các chính sách định tuyến chung Giao thức IGRP sử dụng AS để tạo các nhóm router cùng chia sẻ thông tin tìm đường với nhau
Kiểm tra hoạt động
Show ip protocol Show ip route
Debug ip igrp events để xem các cập nhật của IGRP được gửi và nhận trên router
Trang 13Show ip protocol để xem routing protocol timer
Show protocols xem các protocols nào được cấu hình trên các interface Debug ip igrp transactions để xem các sự IGRP events được xử lý trên router
leshoot: show ip route, show ip route eigrp, show ip eigrp neighbors, show ip eigrp topology
Trang 14Router(config)#router ospf <process ID>
Router(config-router)#network <network number><wildcard mask> area <area ID>
Trang 15: show ip route, show ip ospf, show ip ospf database, show ip ospf interface, show ip ospf neighbor
Trang 16PHẦN 3 REMOVING PROTOCOL VÀ SERVICES
Extended Access List cho phép hoặc loại bỏ (permit / deny) traffic theo protocol và service port:
Router(config)#access-list {access-list-number} {deny|permit} {protocol} [source
address] [destination address] {service port|eq service}
access-list-number: Với Extended Access list, chỉ số này nằm trong khoảng
100-199, 2000-2069
Protocol:
0 – 255 IP protocol number (tham khảo tại
hoặc các protocol phổ biến sau:
Ahp Authentication Header Protocol Eigrp Cisco's EIGRP routing protocol Esp Encapsulation Security Payload
Trang 17Icmp Internet Control Message Protocol Igmp Internet Gateway Message Protocol Ip Any Internet Protocol
Ipinip IP in IP tunneling
Nos KA9Q NOS compatible IP over IP tunneling ospf OSPF routing protocol
pcp Payload Compression Protocol pim Protocol Independent Multicast tcp Transmission Control Protocol udp User Datagram Protocol
Services và port number tương ứng: Well-known ports: 0–1023
Tham khảo đầy đủ tại
21: File Transfer Protocol (FTP) 22: Secure Shell (SSH)
23: Telnet remote login service
25: Simple Mail Transfer Protocol (SMTP) 53: Domain Name System service
80: Hypertext Transfer Protocol (HTTP) used in the World Wide Web 110: Post Office Protocol (POP)
Trang 18 119: Network News Transfer Protocol (NNTP)
161: Simple Network Management Protocol (SNMP)
443: HTTPs with Transport Layer Security or Secure Sockets Layer
1220 TCP QuickTime Streaming Server administration
1234 UDP VLC media player Default port for UDP/RTP stream 1293 TCP UDP IPSec (Internet Protocol Security)
1352 TCP IBM Lotus Notes/Domino[36]
(RPC) protocol 1470 TCP Solarwinds Kiwi Log Server
1503 TCP UDP Windows Live Messenger (Whiteboard and Application Sharing)
1512 TCP UDP Microsoft Windows Internet Name Service (WINS) 1513 TCP UDP Garena Garena Gaming Client
Dynamic, private or ephemeral ports: 49152–65535 Gồm các port được sử dụng
mà không cần đăng kí với IANA, sử dụng trong các dịch vụ chạy trong mạng nội bộ, hoặc các dịch vụ phát triển riêng
Trang 19PHẦN 4: ACCESS CONTROL LISTS (ACL) I Một số khái niệm về ACL
ACL là một danh sách các câu lệnh được áp đặt vào các cổng (interface) của router Danh sách này chỉ ra cho router biết loại packet nào được chấp nhận (allow) và loại packet nào bị hủy bỏ (deny) Sự chấp nhận và huỷ bỏ này có thể dựa vào địa chỉ nguồn, địa chỉ đích hoặc chỉ số port
1 Tại sao phải sữ dụng ACLs?
- Quản lý các IP traffic
- Hỗ trợ mức độ cơ bản về bảo mật cho các truy cập mạng, thể hiện ở tính năng lọc các packet qua router
• Chức năng:
+Xác định tuyến đường thích hợp cho DDR (dial-on-demand routing) + Thuận tiện cho việc lọc gói tin ip
+ Cung cấp tính sẵn sàng mạng cao
2 Các loại ACLs
Có 2 loại Access lists là: Standard Access lists và Extended Access lists
Standard ACLs: Lọc (Filter) địa chỉ ip nguồn (Source) vào trong mạng nên
được đặt gần đích (Destination)