Professional Documents
Culture Documents
Kali Linux
I. Cain & Abel
1. Giới thiệu
Cain & Abel là một công cụ dùng để phục hồi password trong hệ thống
Windows. Công cụ này cho phép người quản trị, hacker, … Có thể lấy được
password thông qua việc sniffing hệ thống mạng, crack các password được mã
hóa (bằng cách sử dụng các thuật toán như dictionay, brute-force và phân tích
mã), ghi lại các cuộc hội thoại VoIP, …
2. Cấu hình
Click vào Menu Configure để thực hiện các bước cấu hình cơ bản của Cain.
Dùng để thiết lập các thông số của của card mạng cho các chức năng sniffer
và APR (ARP Poison Routing) của Cain.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
• Start Sniffer on Startup: Cain sẽ chạy chức năng sniffer khi khởi động.
• Start ARP on startup: Cain sẽ chạy chức năng ARP khi khởi động.
• Don’t use Promiscucos mode: Cain sẽ Kích hoạt APR Poisoning trên
mạng không dây nhưng không thể sử dụng tính năng giả mạo MAC.
Đây là tab dùng để cấu hình APR (ARP Poison Routing). Khi chức năng này
được khởi động Cain sẽ tạo ra 1 thread mới và gửi các gói tin ARP Poison đển
nạn nhân mỗi 30 giây, người dùng có thể điều chỉnh lại thời gian gửi gói tin
(Nếu thời gian quá nhỏ sẽ tạo ra nhiều traffic ARP, nếu thời gian quá lớn có thể
tạo ra một số lỗi trong quá trình thực hiện hijacking traffic).
CuuDuongThanCong.com https://fb.com/tailieudientucntt
Phần cấu hình spoofing sẽ chỉ ra địa chỉ MAC và IP mà cain sẽ ghi vào
header Ethernet và ARP của gói tin ARP Poison, điều này cho phép chúng ta
thực hiện cuộc tấn công ARP Poison hoàn toàn vô danh. Nhưng khi cấu hình tùy
chọn này cần phải chú ý các vấn đề sau:
Spoofing Ethernet Address: Thực hiện được khi các máy nối tới một
hub hoặc một switch không chạy chức năng port security
MAC address Spoofing: Phải sử dụng địa chỉ MAC không có trong
subnet.
Đây là nơi cho phép có thể enable/disbale sniffer filter trên một số port, chỉ
có những port nào enbale thì cain mới bắt thông tin. Cain chỉ bắt những thông
tin về việc auhentication chứ không bắt toàn bộ gón tin, nếu bạn muốn có được
thông tin của toàn bộ gói tin thì có thể sử dụng các chương trình khác như
wireshark.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
3. Sử dụng Cain để thực hiện ARP Poison Routing.
b. Cài đặt dịch vụ HTTP trên Server (xác thực username, password trước khi
sử dụng).
CuuDuongThanCong.com https://fb.com/tailieudientucntt
c. Sử dụng công cụ Cain&Abel phiên bản 4.9.56 trên máy attacker, sniffer
username và password dịch vụ HTTP khi máy Victim sử dụng dịch vụ này
trên máy server.
+ Server:
+ Victim:
+ Attacker:
+ HTTP:
CuuDuongThanCong.com https://fb.com/tailieudientucntt
Vào start setting control panel add or remove program
Add/Remove windows components
Chọn Next để tiếp tục quá trình cài đặt, sau khi cài đặt xong chọn finish để
hoàn thành.
- Vào my computer c:\ inetpub wwwroot, tạo file index.htm với nội
dung bất kỳ (Trong bài thực hành này tạo nội dung “Chao ban den voi
website!”).
++Cấu hình xác thực username, password khi truy cập dịch vụ HTTP
- Tạo username: u1, password: 123 được sử dụng để xác thực trước khi
truy cập vào website:
Vào start run cmd gõ lệnh: net user u1 123 /add để tạo username u1,
password 123.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
- Vào start programs addministrative tools Internet Information
Services (IIS) Manager
Nhấp chuột phải vào Default website chọn properties như hình bên dưới
Chọn tab Directory security, nhấn vào nút edit trong mục Authentication and
access control
CuuDuongThanCong.com https://fb.com/tailieudientucntt
Nhấn vào nút browse... trong mục use the following windows user account
for anonymous access: gõ u1 và nhấn nút check names, sau đó nhấn OK
Trở lại hộp thoại Authentication Methods, bỏ dấu tick ở mục Enable
anonymous access. Đồng thời đánh dấu tick vào mục Basic
authentication(password is sent in clear text), bỏ chọn các dấu tick còn lại và
nhấn ok như hình bên dưới.
- Test: Trên máy client, mở trình duyệt web (Internet explorer, google
chrome, firefox,…) truy cập vào website trên máy server. Lúc này sẽ yêu
cầu username, password trước khi xem được nội dung trang web.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
Nhập vào username: u1, password: 123 để xem được nội dung trang web
trên máy server.
c. Sử dụng công cụ Cain&Abel phiên bản 4.9.56 trên máy attacker, sniffer
username và password dịch vụ HTTP khi máy Victim sử dụng dịch vụ này
trên máy server.
- Cài đặt công cụ Cain&Abel phiên bản 4.9.56 trên máy attacker
- Sniffer username, password dịch vụ HTTP khi máy Victim sử dụng dịch vụ
này trên máy server.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
B1: Chạy phần mềm Cain&Abel, trên thanh công cụ menu tab chọn tab
Configure, chọn vào card mạng sử dụng để sniffer (ở đây card mạng có địa chỉ
IP 10.0.0.2), sau đó nhấn OK.
Trở về giao diện phần mềm Cain, start sniffer bằng cách nhấn vào nút (hình
card mạng) trên thanh công cụ, như hình bên dưới.
B2: Quét địa chỉ mac trong hệ thống mạng vừa thiết lập
Chuyển qua tab sniffer trên thanh công cụ, sau đó nhấn vào nút hình chữ
thập màu xanh (như hình bên dưới).
CuuDuongThanCong.com https://fb.com/tailieudientucntt
Chọn vào nút range, sửa lại dãy địa chỉ IP muốn quét địa chỉ mac từ 10.0.0.1
đến 10.0.0.254, sau đó nhấn OK để tiến hành quét địa chỉ mac.
Kết quả: phần mềm Cain sẽ quét được 2 địa chỉ mac trong hệ thống mạng
vừa thiết lập, để xem hostname chọn vào từng địa chỉ mac hoặc chọn tất cả địa
chỉ mac, nhấn chuột phải chọn Resolve host name.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
B3: Thực hiện quá trình APR
Chuyển qua tab APR ở phía dưới cùng của thanh công cụ, sau đó nhấn vào
nút hình chữ thập màu xanh(như hình bên dưới) để mở hộp thoại New ARP
Poison Routing
Hộp thoại New ARP Poison Routing xuất hiện, ở cửa sổ bên trái chọn máy
victim(địa chỉ IP 10.0.0.1), ở cửa sổ bên phải chọn máy server (địa chỉ IP
10.0.0.254) sau đó nhấn OK.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
Để thực hiện quá trình APR, nhấn vào nút hình tròn màu vàng trên thanh
công cộng ở giao diện phần mềm Cain(xem hình bên dưới).
B4: Sniffer username, password dịch vụ HTTP khi máy victim truy cập vào
website trên máy server
Máy victim tiến hành truy cập vào website trên máy server, lúc này sẽ bắt
được username, password truy cập vào dịch vụ HTTP ở máy attacker.
Để xem username, password bắt được này. Trên giao diện phần mềm cain,
chuyển qua tab passwords trên thanh công cụ và chọn vào dịch vụ HTTP bên
phía trái (xem hình bên dưới).
CuuDuongThanCong.com https://fb.com/tailieudientucntt
4. Bài tập mở rộng
Cài đặt dịch vụ FTP, TELNET trên máy server và tiến hành sniffer username,
password trên máy attacker.
Kali Linux là một bản phân phối của Linux dựa trên nền tảng Debian nhằm
nâng cao kiểm tra thâm nhập và an ninh kiểm toán. Kali chứa vài trăm công cụ
nhằm mục đích nhiệm vụ an ninh thông tin khác nhau, chẳng hạn như kiểm tra
thâm nhập, điều tra và dịch ngược. Kali linux được phát triển, tài trợ và duy trì
bởi Offensive Security, một công ty đào tạo bảo mật thông tin hàng đầu.
Kali Linux được phát hành vào ngày 13 tháng 3 năm 2013 như là một nền
tảng hoàn hảo, từ trên xuống dưới xây dựng lại của BackTrack Linux, tôn trọng
hoàn toàn các tiêu chuẩn phát triển của Debian.
2. Bài tập
CDP là một giao thức độc quyền lớp Data Link được phát triển bởi Cisco
Systems. CDP được sử dụng để chia sẻ thông tin về các thiết bị Cisco kết nối
CuuDuongThanCong.com https://fb.com/tailieudientucntt
trực tiếp khác, chẳng hạn như phiên bản hệ điều hành và các địa chỉ IP. CDP
cũng có thể được sử dụng cho On-Demand Routing, là một phương pháp bao
gồm thông tin định tuyến trong thông báo CDP để các giao thức định tuyến
động không cần phải sử dụng trong các mạng đơn giản.
Lợi dụng giao thức này, Attacker sẽ sử dụng chương trình làm giả các gói tin
CDP để làm Router/Switch tốn tài nguyên để xử lý. Một trong những công cụ
thực hiện được chức năng này là Yersinia, công cụ có sẵn trên Kali Linux.
Yersinia là một chương trình khung để thực hiện các cuộc tấn công lớp 2.
Yersinia được thiết kế để tận dụng lợi thế một số yếu điểm trong các giao thức
mạng khác nhau. Yersinia giả vờ là một chương trình khung vững chắc cho việc
phân tích và thử nghiệm các mạng và hệ thống được triển khai. Các cuộc tấn
công vào các giao thức mạng như:
802.1q
802.1x
CuuDuongThanCong.com https://fb.com/tailieudientucntt
Yêu cầu:
b. Kích hoạt interface và CDP trên cổng f0/0 của router R1.
c. Thực hiện tấn công cdp flooding vào router R1 sử dụng công cụ Yersinia
0.7.3 có sẵn trên hệ điều hành Kali Linux phiên bản 1.0.6 hoặc tương
đương.
Triển khai mô hình trên phần mềm GNS3, router R1 sử dụng IOS router
Cisco c3640 phiên bản 12.4 hoặc tương đương, máy Kali Linux phiên bản 1.0.6
hoặc tương đương chạy trên phần mềm VMWARE.
b. Kích hoạt interface và CDP trên cổng f0/0 của router R1.
Trên Router R1, kích hoạt interface f0/0 đang ở chế độ disable, bằng cách
vào interface này, gõ lệnh no shutdown.
R1(config)#interface f0/0
R1(config-if)#no shutdown
Mặc định CDP đã được kích hoạt trên các interface của router cisco, nếu chưa
được kích hoạt gõ lệnh cdp enable để kích hoạt CDP.
R1(config)#interface f0/0
R1(config-if)#cdp enable
kiểm tra CDP neighbor, traffic, CPU cho quá trình xử lý gói tin CDP.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
c. Thực hiện tấn công cdp flooding vào router R1 sử dụng công cụ
Yersinia 0.7.3 có sẵn trên hệ điều hành Kali Linux phiên bản 1.0.6
hoặc tương đương.
Trên cửa sổ Terminal của Kali Linux truy cập vào chương trình Yersinia bằng
câu lệnh:
root@kali:~#yersinia –G
Trên giao diện chương trình Yersinia có rất nhiều cách tấn công như: CDP,
DHCP, 802.1Q,… trong bài tập này sẽ thực hiện quá trình tấn công CDP
flooding.
Để thực hiện quá trình tấn công, trên thanh công cụ của chương trình
Yersinia nhấn vào nút Launch Attack, hộp thoại xuất hiện, chọn flooding CDP
table OK.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
Lúc này Yersinia sẽ tạo ra hàng nghìn gói tin CDP(xem hình bên dưới):
Trên Router R1, thực hiện thao tác rất chậm, gõ lệnh thì bị delay khá lâu.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
- Show cdp traffic: Sử dụng để kiểm tra traffic
- Show cdp neighbor: Hiển thị chi tiết thông tin về các thiết bị lân cận phát
hiện sử dụng CDP.
Để dừng quá trình flooding CDP, trên thanh công cụ của chương trình
Yersinia nhấn vào nút List attacks Cancel all attacks.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
d. Đưa ra biện pháp phòng chống tấn công cdp flooding.
Vô hiệu hóa CDP trên các interface f0/0 của router R1, bằng cách truy cập
vào interface f0/0 và gõ lệnh no cdp enable.
R1(config)#interface f0/0
R1(config-if)#no cdp enable
Tấn công DHCP starvation attack hoạt động bằng cách yêu cầu DHCP gửi các
gói tin broadcast với địa chỉ MAC giả mạo. Điều này có thể dễ dàng đạt được với
các công cụ tấn công như "Gobbler" (một công cụ được thiết kế để kiểm toán
các khía cạnh khác nhau của mạng DHCP, từ việc phát hiện nếu DHCP được
chạy trên một mạng để thực hiện tấn công từ chối dịch vụ). Nếu đủ yêu cầu
được gửi đi, những kẻ tấn công mạng có thể làm cạn kiệt không gian địa chỉ có
sẵn trên các máy chủ DHCP trong một khoảng thời gian. Đây là cuộc tấn công
làm thiếu tài nguyên đơn giản như tấn công flood SYN. Sau đó những kẻ tấn
CuuDuongThanCong.com https://fb.com/tailieudientucntt
công mạng thiết lập một máy chủ DHCP giả mạo trên hệ thống và đáp ứng các
yêu cầu DHCP từ client trên mạng.
Trong hệ thống mạng, khi Client xin địa chỉ IP từ DHCP Server sẽ trải qua 4
bước bằng cách lần lượt trao đổi 4 gói tin giữa DHCP client và Server gồm:
Discover, Offer, Request, Ack.
Yêu cầu:
b. Đặt địa chỉ IP tĩnh cho router R1 như hình vẽ, cấu hình DHCP Server trên
router R1 cấp mạng 192.169.10.0/24 cho các PC trong mạng và tiến hành
xin IP trên máy Client.
c. Xóa bỏ IP trên máy Client và thực hiện tấn công DHCP Starvation Attack
trên máy Kali Linux vào DHCP Server. Sau đó tiến hành xin lại IP trên
máy client, cho biết kết quả?
d. Đưa ra biện pháp phòng chống tấn công DHCP Starvation Attack.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
2.2.3 Quá trình thực hiện
Triển khai mô hình trên phần mềm GNS3, router R1 sử dụng IOS router
Cisco c3640 phiên bản 12.4 hoặc tương đương, sử dụng phần mềm VMWARE giả
lập máy Kali Linux sử dụng phiên bản 1.0.6 và máy client sử dụng hệ điều hành
Windows client (xp,7,8,…).
b. Đặt địa chỉ IP và cấu hình DHCP server trên router R1.
R1(config)#interface f0/0
R1(config-if)#no shutdown
R1(config-if)#ip address 192.169.10.1 255.255.255.0
- Cấu hình DHCP Server cấp mạng 192.169.10.0/24 cho các PC trong hệ
thống, trừ ra địa chỉ IP 192.169.10.1 do đã cấp cho router R1 (sử dụng
lệnh ip dhcp excluded-address 192.169.10.1)
Trên máy Client tiến hành xin IP, tại cửa sổ cmd, gõ lệnh ipconfig /renew
Trước khi có tấn công DHCP Starvation attack, quá trình xin IP từ DHCP
Server thành công.
c. Thực hiện tấn công DHCP Starvation Attack vào DHCP Server
CuuDuongThanCong.com https://fb.com/tailieudientucntt
Như đã giới thiệu ở bài trước, trên Kali Linux có sẵn công cụ Yersinia, có tính
năng thực hiện tấn công DHCP Starvation attack.
root@kali:~#yersinia –G
Hộp thoại chương trình Yersinia xuất hiện, chọn tab DHCP, để khởi động quá
trình tấn công DHCP Starvation, chọn vào nút Launch attack như hình bên dưới:
Hộp thoại hiện ra chọn tab DHCP và chọn sending DISCOVER packet
OK
CuuDuongThanCong.com https://fb.com/tailieudientucntt
Lúc này, chương trình Yersinia tạo ra rất nhiều gói Discover giả mạo để tìm
kiếm và gửi đến DHCP server.
Trên Router R1 lúc này xử lý rất chậm, CPU dành cho việc xử lý gói tin
Discover chiếm hầu hết hiệu suất.
Kiểm tra các tiến trình và khả năng xử lý của CPU sử dụng lệnh show
process.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
Trên máy Client, tiến hành xóa IP cũ (sử dụng lệnh ipconfig /release tại dấu
nhăc lệnh trong cửa sổ cmd) và xin cấp phát lại địa chỉ IP từ DHCP Server
nhưng không thành công. Xuất hiện thông báo không thể liên hệ với DHCP
server (xem hình bên dưới).
Để ngừng tấn công, nhấn vào nút List attacks Cancel all attacks.
Trên router R1, gõ lệnh show ip dhcp binding sẽ có rất nhiều địa chỉ IP mà
DHCP đã Offer do quá trình tấn công DHCP Starvation đã gửi nhiều gói tin
Discover liên tục tới router R1.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
Sử dụng lệnh show ip dhcp server statistics để xem DHCP Server đã
thống kê các gói tin DHCP nhận được và gửi đi.
Từ các lệnh kiểm tra trên cho thấy rằng, khi máy Kali Linux thực hiện tấn
công DHCP Starvation chỉ gửi gói tin DHCP Discover, khi Server gửi lại gói DHCP
Offer thì quá trình tấn công không gửi lại gói DHCP Request, nên Sever vẫn để
CuuDuongThanCong.com https://fb.com/tailieudientucntt
dành những địa chỉ đã Offer đó (đã thấy ở lệnh show ip dhcp binding ở trên),
sau một khoảng thời gian không nhận được gói DHCP Request thì DHCP Server
mới xóa những entry này trong database.
Để ngăn chặn kiểu tấn công này, trên thiết bị Switch(SW) bạn phải cấu hình
những tính năng sau:
- Port security
Giới hạn MAC học trên mỗi cổng bằng cách sử dụng câu lệnh switchport
port-security maximum.
Trong bài tập này, cấu hình port-security trên interface e0/0 và e0/2 của
switch SW, giới hạn địa chỉ MAC học được là 2.
- DHCP Snooping
Cấu hình tính năng này để chống giả mạo DHCP Server, sau khi cấu hình
tính năng này interface nối với DHCP server sẽ trở thành interface tin cậy
(trust), các interface còn lại nối với Client sẽ trở thành interface không tin
cậy(untrust). Các interface untrust chỉ nhận gói tin DHCP DISCOVER, DHCP
REQUEST hay DHCP RELEASE. Các interface trust sẽ cho phép nhận gói tin
DHCP OFFER. Nếu một DHCP server giả gắn vào switch được cấu hình tính năng
snooping và gửi DHCP OFFER thì switch sẽ loại bỏ gói tin này.
Trong bài tập này, cấu hình tính năng DHCP snooping trên interface e0/1 của
switch SW (cổng nối với DHCP Server).
CuuDuongThanCong.com https://fb.com/tailieudientucntt
SW(config)#no ip dhcp snooping information option
Sử dụng các lệnh show để monitor các pool, các tiến trình và quá trình xử lý
của DHCP Server:
R1#show process: Để xem các tiến trình và hiệu suất xử lý của CPU.
R1#show ip dhcp pool: Để xem các pool tạo trên DHCP Server, tổng số địa
chỉ IP cấp, địa chỉ IP hiện tại đang cấp và số lượng địa chỉ IP đã cấp.
Lưu ý: Để cấu hình được tính năng này trên switch sử dụng phần
mềm gns3, yêu cầu thiết bị switch phải sử dụng Cisco IOU Switch để giả
lập.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
II. Bài tập thực hành
Trong bài thực hành này, xây dựng một mạng lưới nhiều router và cấu hình
các router và host. Sử dụng các lệnh CLI khác nhau để cấu hình các router với
xác thực cục bộ cơ bản và xác thực cục bộ sử dụng AAA. Cài đặt phần mềm
RADIUS trên một máy tính bên ngoài và sử dụng AAA để xác thực người dùng
với RADIUS server.
Yêu cầu
CuuDuongThanCong.com https://fb.com/tailieudientucntt
Phần 1: Cấu hình thiết bị mạng cơ bản
-Cấu hình các thiết lập cơ bản như host name, địa chi IP cho cổng và mật
khẩu truy cập.
-Cấu hình một cơ sở dữ liệu người dùng cục bộ và truy cập cục bộ cho các
đường console và vty.
Phần 4: Cấu hình xác thực tập trung sử dụng AAA và RADIUS trên R1
-Cấu hình dịch vụ AAA trên R1 để truy cập đến RADIUS server để xác
thực.
-3 router (Cisco IOS C3725 , phiên bản 12.4(20)T hoặc tương đương)
-PC-A: Windows XP, Vista, hoặc Windows Server với phần mềm RADIUS
server có sẵn
CuuDuongThanCong.com https://fb.com/tailieudientucntt
Hướng dẫn cấu hình
Router R1
R1#configure terminal
R1(config)# interface f0/0
R1(config-if)# no shutdown
R1(config-if)# ip address 192.168.1.1 255.255.255.0
R1(config)# exit
R1(config)# interface s0/0
R1(config-if)# no shutdown
R1(config-if)# ip address 10.1.1.1 255.255.255.252
Router R2
R2#configure terminal
R2(config)# interface s0/0
R2(config-if)# no shutdown
R2(config-if)# ip address 10.1.1.2 255.255.255.252
R2(config)# exit
R2(config)# interface s0/1
R2(config-if)# no shutdown
R2(config-if)# ip address 10.2.2.2 255.255.255.252
Router R3
R3#configure terminal
R3(config)# interface f0/0
R3(config-if)# no shutdown
R3(config-if)# ip address 192.168.3.1 255.255.255.0
R3(config)# exit
R3(config)# interface s0/0
R3(config-if)# no shutdown
R3(config-if)# ip address 10.2.2.1 255.255.255.252
CuuDuongThanCong.com https://fb.com/tailieudientucntt
PC-A
PC-C
- Cấu hình định tuyến tĩnh trên R2, default route trên R1, R3:
Router R1
R1(config)# ip route 0.0.0.0 0.0.0.0 10.1.1.2
Router R2
R2(config)# ip route 192.168.1.0 255.255.255.0 10.1.1.1
R2(config)# ip route 192.168.3.0 255.255.255.0 10.2.2.1
Router R3
R3(config)# ip route 0.0.0.0 0.0.0.0 10.2.2.2
CuuDuongThanCong.com https://fb.com/tailieudientucntt
- Cấu hình và mã hóa mật khẩu trên R1 và R3
Bước 1: Sử dụng lệnh security passwords để thiết lập chiều dài mật khẩu tối
thiểu 10 ký tự:
Router(config)#service password-encryption
Bước 3: Cấu hình password secret sử dụng lệnh enable secret password:
Bước 3: Cấu hình cơ bản cổng console và các đường truy cập ảo (telnet)
- Password console. Trong đó, lệnh exec-timeout gây ra các dòng log sau 5
phút không hoạt động và lệnh logging synchronous ngăn chặn các
message console làm gián đoạn lệnh nhập vào:
CuuDuongThanCong.com https://fb.com/tailieudientucntt
- Cấu hình một biểu ngữ cảnh báo đăng nhập:
Sử dụng lệnh banner motd để cấu hình. Khi một người sử dụng kết nối đến
một trong những router, banner motd xuất hiện trước dấu nhắc đăng nhập, các
dấu đô la ($) được sử dụng để bắt đầu và kết thúc thông điệp.
Router(config)# banner motd $Truy cap trai phep deu bi nghiem cam$
Phần 2: Cấu hình xác thực cục bộ (thực hiện trên R1 và R3):
Tạo một tài khoản cục bộ với hàm băm MD5 để mã hóa mật khẩu.
- Cấu hình xác thực cục bộ cho đường console và đăng nhập:
Thiết lập đường console để sử dụng tên người dùng đăng nhập và mật khẩu
xác định tại cục bộ.
Router(config)#line console 0
Router(config-line)#login local
Thoát ra màn hình ban đầu của router (sử dụng lệnh exit) hiển thị: R1 con0
is now available, Press RETURN to get started.
Đăng nhập bằng cách sử dụng tài khoản user01 và mật khẩu được định
nghĩa trước đó, để vào chế độ privileged EXEC sử dụng lệnh enable và nhập
password secret là cisco12345.
Thiết lập các đường vty để sử dụng các tài khoản được xác định cục bộ.
Router(config)#line vty 0 4
Router(config-line)#login local
Từ PC-A telnet đến R1, đăng nhập với tài khoản user01 và mật khẩu là
user01pass. Trong khi telnet đến R1, truy vào chế độ privileged EXEC với lệnh
enable, sử dụng mật khẩu secret là cisco12345.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
Lưu cấu hình
Phần 3: Cấu hình xác thực cục bộ sử dụng AAA trên R3:
Cấu hình một tài khoản người dùng cục bộ với hàm băm MD5 để mã hóa mật
khẩu.
R3(config)#aaa new-model
Triển khai dịch vụ AAA cho việc truy cập console sử dụng cơ sở dữ liệu cục
bộ:
Tạo một danh sách xác thực đăng nhập mặc định bằng cách ban hành lệnh
aaa authentication login default method1[method2][method3] với một danh
sách phương pháp sử dụng local và none keywords.
Thoát ra màn hình router ban đầu (sử dụng lệnh exit) hiển thị: R3 con0 is
now available, Press RETURN to get started.
Đăng nhập vào console với tài khoản người dùng Admin01 và mật khẩu
Admin01pass.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
Thoát ra màn hình ban đầu hiển thị: R3 con0 is now available, Press RETURN
to get started.
Cố gắng đăng nhập đến console với người dùng bất kỳ (ở đây là baduser).
Nếu người dùng không tìm thấy trong cơ sở dữ liệu cục bộ, tùy chọn none
trên lệnh aaa authentication login default local none yêu cầu không xác thực,
cho nên vẫn có thể đăng nhập với người dùng bất kỳ đến cổng console.
Tạo một danh sách xác thực duy nhất cho Telnet truy cập đến router. Chỉ
định tên một danh sách TELNET_LINES và áp dụng nó đến các đường vty.
Xác minh rằng hồ sơ chứng thực này được sử dụng bằng cách mở một phiên
Telnet từ PC-C đến R3, đăng nhập với tài khoản Admin01, mật khẩu
Admin01pass.
Thoát phiên Telnet với lệnh exit, và telnet đến R1 một lần nữa. Cố gắng để
đăng nhập với người dùng và mật khẩu bất kỳ (ở đây sử dụng người dùng
baduser, mật khẩu 123).
CuuDuongThanCong.com https://fb.com/tailieudientucntt
Nếu người dùng không được tìm thấy trong cơ sở dữ liệu cục bộ, không có
phương pháp dự phòng quy định trong danh sách chứng thực cho các đường vty
cho nên không thể thiết lập phiên telnet.
Sử dụng lệnh show clock để xác định thời gian hiện tại cho router. Để Thiết
lập thời gian từ chế độ privilged EXEC với lệnh clock set HH:MM:SS DD Month
YYYY.
Bắt đầu một phiên Telnet từ PC-C đến R3. Đăng nhập với người dùng
Admin01 và mật khẩu Admin01pass. Quan sát sự kiện chứng thực AAA trong
cửa sổ phiên console. Thông điệp debug tương tự như sau sẽ được hiển thị.
R3#
Dec 26 14:36:42.323: AAA/BIND(000000A5): Bind i/f
Dec 26 14:36:42.323: AAA/AUTHEN/LOGIN (000000A5): Pick method list
'default'
Từ cửa sổ Telnet, vào chế độ privileged EXEC. Sử dụng mật khẩu enable
secret là cisco12345. Các thông điệp debug tương tự như sau sẽ được hiển thị.
Trong thành phần thứ 3, lưu ý tên người dùng (Admin01), số cổng ảo (tty194),
và địa chỉ client telnet ở xa (192.168.3.3). Cũng lưu ý rằng thành phần trạng
thái cuối cùng là "PASS."
R3#
Dec 26 14:40:54.431: AAA: parse name=tty194 idb type=-1 tty=-1
CuuDuongThanCong.com https://fb.com/tailieudientucntt
Dec 26 14:40:54.431: AAA: name=tty194 flags=0x11 type=5 shelf=0 slot=0
adapter=0 port=194 channel=0
Dec 26 14:40:54.431: AAA/MEMORY: create_user (0x64BB5510)
user='Admin01' ruser=' NULL' ds0=0 port='tty194'
rem_addr='192.168.3.3' authen_type=ASCII service=ENABLE priv=15
initial_task_id='0', vrf= (id=0)
Dec 26 14:40:54.431: AAA/AUTHEN/START (2467624222): port='tty194'
list='' action=LOGIN service=ENABLE
Dec 26 14:40:54.431: AAA/AUTHEN/START (2467624222): non-console enable
– default to enable password
Dec 26 14:40:54.431: AAA/AUTHEN/START (2467624222): Method=ENABLE
R3#
Dec 26 14:40:54.435: AAA/AUTHEN(2467624222): Status=GETPASS
R3#
Dec 26 14:40:59.275: AAA/AUTHEN/CONT (2467624222): continue_login
(user='(undef)')
Dec 26 14:40:59.275: AAA/AUTHEN(2467624222): Status=GETPASS
Dec 26 14:40:59.275: AAA/AUTHEN/CONT (2467624222): Method=ENABLE
Dec 26 14:40:59.287: AAA/AUTHEN(2467624222): Status=PASS
Dec 26 14:40:59.287: AAA/MEMORY: free_user (0x64BB5510) user='NULL'
ruser='NULL' port='tty194' rem_addr='192.168.3.3' authen_type=ASCII
service=ENABLE priv=15 v
rf= (id=0)
Từ cửa sổ Telnet, thoát khỏi chế độ privileged EXEC sử dụng lệnh disable. Cố
gắng để vào chế độ privileged EXEC một lần nữa, nhưng sử dụng một mật khẩu
sai cho lần này. Quan sát lệnh đầu ra debug trên R3, lưu ý rằng trạng thái là
"FAIL" cho lần này.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
port='tty194' rem_addr='192.168.3.3' authen_type=ASCII service=ENABLE
priv=15 v
rf= (id=0)
Phần 4: Cấu hình chứng thực tập trung sử dụng AAA và RADIUS trên R1:
Trên gns3 xóa file cấu hình của R1 chứa trong thư mục configs của bài thực
hành (R1.cfg). Sau đó, tắt và chạy lại các router của bài thực hành để khôi phục
cấu hình mặc định của R1.
Khi khởi động lại router, khôi phục cấu hình cơ bản cho R1 như trong phần 1
và phần 2 của bài thực hành này.
Khởi động ứng dụng WinRadius.exe. WinRadius sử dụng cơ sở dữ liệu cục bộ,
trong đó nó lưu thông tin người dùng. khi ứng dụng được khởi động cho lần đầu
tiên, thông điệp sau đây được hiển thị.
Chọn Settings Database từ menu chính và màn hình sau đây được hiển
thị. Chọn nút Configure ODBC automatically và sau đó nhấn OK. Bạn sẽ thấy
rằng một thông báo ODBC được tạo thành công. Thoát WinRadius và khởi động
lại ứng dụng để thay đổi có hiệu lực.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
Thiết lập ODBC trên WinRadius
Khi WinRadius khởi động lại. Bạn sẽ nhìn thấy thông báo tương tự sau đây.
Từ menu chính, chọn Operation Add User. Nhập tên người sử dụng
RadUser, mật khẩu RadUserpass.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
Nhấn OK. Bạn sẽ thấy một thông báo trên màn hình thông báo log rằng
người dùng đã được tạo thành công.
- Kiểm tra người dùng mới được bổ sung sử dụng tiện ích test trên
WinRadius:
Khởi động ứng dụng RadiusTest, và nhập vào địa chỉ IP máy chủ RADIUS
(192.168.1.3), tên người dùng RadUser, mật khẩu RadUserpass như hình dưới.
Không thay đổi số cổng RADIUS mặc định là 1813 và mật khẩu RADIUS là
WinRadius.
Chọn Send và bạn sẽ thấy một thông báo Send Access_Request cho biết
máy chủ là 192.168.1.3, số cổng 1813, nhận được 44 ký tự thập lục phân. Hiển
thị trên màn hình log của WinRadius, Bạn cũng sẽ thấy một thông điệp chỉ ra
rằng người dùng RadUser được chứng thực thành công.
Sử dụng lệnh aaa new-model trong chế độ global config để kích hoạt AAA.
R1(config)#aaa new-model
Cấu hình danh sách chứng thực đăng nhập mặc định:
Cấu hình danh sách để đầu tiên sử dụng RADIUS cho dịch vụ chứng thực, và
sau đó là none. Nếu không có máy chủ RADIUS có thể đạt được và chứng thực
không thể được thực hiện, R1 cho phép truy cập mà không cần xác thực. Đây là
CuuDuongThanCong.com https://fb.com/tailieudientucntt
một biện pháp tự vệ trong trường hợp R1 khởi động mà không thể kết nối đến
một máy chủ RADIUS hoạt động.
Sử dụng lệnh radius-server host hostname key key để trỏ đến máy chủ
RADIUS. Tham số hostname chấp nhận hoặc là một tên máy chủ hoặc là một
địa chỉ IP. Sử dụng địa chỉ máy chủ RADIUS, PC-A (192.168.1.3). Key là một
mật khẩu secret được chia sẽ bí mật giữa máy chủ RADIUS và máy khách
RADIUS (R1 trong trường hợp này) và được sử dụng để chứng thực kết nối giữa
router và máy chủ trước khi quá trình xác thực người dùng diễn ra. Máy khách
RADIUS có thể là một máy chủ truy cập mạng (NAS), nhưng router R1 đóng vai
trò trong bài thực hành này.
Nếu khởi động lại máy chủ WinRadius, phải tạo lại người dùng RadUser với
một mật khẩu là RadUserpass bằng cách chọn Operation Add User.
Xóa các log trên máy chủ WinRadius bằng cách chọn Log Clear từ menu
chính.
Trên R1, thoát đến màn hình ban đầu hiển thị: R1 con0 is now available,
Press RETURN to get started.
Kiểm tra cấu hình AAA RADIUS bằng cách đăng nhập đến console trên R1 sử
dụng tên người dùng RadUser và mật khẩu RadUserpass. Có một sự chậm trễ
đáng kể.
Thoát đến màn hình ban đầu hiển thị: R1 con0 is now available, Press
RETURN to get started.
Kiểm tra cấu hình AAA RADIUS một lần nữa bằng cách đăng nhập vào cổng
console trên R1 sử dụng tên người dùng không tồn tại Userxxx và mật khẩu
Userxxxpass. Mặc dù một tên người dùng và mật khẩu không hợp lệ được cung
CuuDuongThanCong.com https://fb.com/tailieudientucntt
cấp, tham số none trên danh sách đăng nhập mặc định cho phép bất kỳ tên
người dùng truy cập.
Khi máy chủ RADIUS không có sẵn, các thông điệp tương tự sau thường được
hiển thị sau khi cố gắng đăng nhập.
Kiểm tra số cổng mặc định RADIUS UDP được sử dụng trên R1 với lệnh
radius-server host.
Mặc định R1 có số cổng UDP mặc định cho máy chủ RADIUS là 1645 và
1646.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
- Thay đổi số cổng RADIUS trên R1 để phù hợp với máy chủ WinRadius:
Ban hành lệnh radius-server host một lần nữa và lần này xác định số cổng
1812 và 1813, cùng với địa chỉ IP và khóa bí mật cho máy chủ RADIUS.
- Kiểm tra cấu hình AAA RADIUS bằng cách đăng nhập vào trong cổng
console trên R1:
Thoát đến màn hình ban đầu hiển thị: R1 con0 is now available, Press
RETURN to get started.
Đăng nhập một lần nữa với tên người dùng RadUser và mật khẩu là
RadUserpass. Có sự chậm trễ không đáng kể, R1 đã có thể truy cập máy chủ
RADIUS để xác nhận tên người dùng và mật khẩu.
Các thông báo sau sẽ hiển thị trên RADIUS server log.
Thoát đến màn hình ban đầu hiển thị: R1 con0 is now available, Press
RETURN to get started.
Đăng nhập một lần nữa sử dụng tên người dùng không xác định Userxxx và
mật khẩu Userxxxpass. R1 không thể truy cập máy chủ RADIUS và xác nhận
thất bại.
Các thông điệp sau đây sẽ hiển thị trên RADIUS server log.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
Thông báo log chứng thực người dùng thất bại
- Tạo một danh sách phương thức xác thực cho Telnet và thử nghiệm:
Tạo một danh sách xác thực duy nhất cho Telnet truy cập đến R1. Đặt tên
danh sách phương thức xác thực là TELNET_LINES.
Áp dụng danh sách đến các đường vty trên R1 sử dụng lệnh login
authentication.
R1(config)#line vty 0 4
R1(config-line)#login authentication TELNET_LINES
Telnet từ PC-A đến R1 và đăng nhập bằng tên người dùng RadUser và mật
khẩu RadUserpass. R1 liên lạc máy chủ Radius để xác thực người dùng và mật
khẩu thành công.
Thoát khỏi phiên Telnet và telnet từ PC-A đến R1 lần nữa. Đăng nhập với tên
người dùng Userxxx và mật khẩu Userxxxpass. R1 liên lạc với máy chủ RADIUS
cho xác thực người dùng và sự kết hợp tên người dùng/mật khẩu không được
định nghĩa trong cơ sở dữ liệu RADIUS, do đó truy cập bị từ chối.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
Phần 5: Bài tập mở rộng
a. Cài đặt một TACACS Server trên PC-A, sử dụng phần mềm Cisco-ACS
phiên bản 4.2.
d. Kiểm tra cấu hình TACACS: Trên PC-C mở phiên Telnet đến router R1,
sử dụng tài khoản vừa tạo trên TACACS Server để xác thực.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
Bài thực hành số 3: ACL
I. Giới thiệu ACL (Access Control List)
ACL là danh sách các điều kiện được áp dụng thông qua cổng của router,
firewall,... Các danh sách cho router, firewall biết loại gói tin được cho phép
hoặc từ chối. khả năng cho phép và từ chối dựa trên các điều kiện quy định.
ACL cho phép quản lý lưu lượng và truy cập an toàn đến và đi từ một mạng.
Phân loại ACL: ACL được chia thành các loại sau:
Standard ACL
Extended ACL
Reflexive ACL
Dynamic ACL
Time-Based ACL
CuuDuongThanCong.com https://fb.com/tailieudientucntt
Bảng địa chỉ IP
Yêu cầu
- Cấu hình telnet và mã hóa tất cả các mật khẩu (enable, console, vty) trên
tất cả router.
Thực hiện cấm tất cả các lưu lượng từ PC-B đến các PC trong mạng
172.16.1.0/24.
Chỉ cho phép PC-B truy cập vào R2 qua giao diện web.
-Lọc các gói tin sử dụng extended ACL. R1 cho phép tất cả các lưu lượng từ
PC-C đến PC-A và từ chối tất cả các lưu lượng từ PC-C đến PC-B.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
-Phần mềm GNS3
-2 router (Cisco IOS C3725 , phiên bản 12.4(20)T hoặc tương đương)
Router R1
R1#configure terminal
R1(config)# interface f0/0
R1(config-if)# no shutdown
R1(config-if)# ip address 192.168.1.1 255.255.255.0
R1(config)# exit
R1(config)# interface s0/0
R1(config-if)# no shutdown
R1(config-if)# ip address 203.162.1.1 255.255.255.0
R1(config-if)# clock rate 64000
Router R2
R2#configure terminal
R2(config)# interface f0/0
R2(config-if)# no shutdown
R2(config-if)# ip address 172.16.1.1 255.255.255.0
R2(config)# exit
R2(config)# interface s0/0
R2(config-if)# no shutdown
R2(config-if)# ip address 203.162.1.2 255.255.255.0
CuuDuongThanCong.com https://fb.com/tailieudientucntt
PC-A
PC-B
PC-C
- Cấu hình telnet và mã hóa tất cả các mật khẩu (enable, console,
vty) trên tất cả router:
Sử dụng lệnh password để đặt mật khẩu cho các đường truy cập ảo dùng để
telnet.
Cấu hình mật khẩu enable secret sử dụng lệnh enable secret <password>.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
Cấu hình cơ bản cổng console sử dụng lệnh password để đặt mặt khẩu cho
cổng console.
Router(config)#service password-encryption
Kiểm tra telnet từ PC-A đến R2 thành công, mật khẩu sử dụng là
ciscovtypass.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
Ping thành công từ PC-C đến PC-B
Thực hiện cấm tất cả các lưu lượng từ PC-B đến các PC trong
mạng 172.16.1.0/24
Bước 1: Tạo ACL 1 trên R2 cấm tất cả lưu lượng từ PC-B và cho phép các lưu
lượng còn lại đến các PC trong mạng 172.16.1.0/24:
Sử dụng lệnh ip access-group để áp dụng danh sách truy cập theo chiều ra lưu
lượng trên cổng f0/0.
R2(config)#interface f0/0
R2(config-if)# ip access-group 1 out
Bước 3: xác nhận lưu lượng từ PC-B vào các PC trong mạng 172.16.1.0/24 đã bị
loại bỏ và cho phép các lưu lượng còn lại:
CuuDuongThanCong.com https://fb.com/tailieudientucntt
Ping thành công từ PC-A vào PC-C
Bước 1: Tạo ACL 2 trên R2 chỉ cho phép PC-A truy cập từ xa (sử dụng telnet)
đến R2:
Bước 2: Áp dụng ACL 2 vào các đường vty theo chiều in:
Sử dụng lệnh access-class để áp dụng danh sách truy cập theo chiều vào lưu
lượng trên các đường vty.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
Chỉ cho phép PC-B truy cập vào R2 qua giao diện web.
Bước 1: Tạo ACL 3 trên R2 chỉ cho phép PC-B truy cập vào R2 qua giao diện
web:
Bước 2: Áp dụng ACL 3 vào http server để hạn chế truy cập vào giao diện
web trên R2:
Sử dụng lệnh ip http server để kích hoạt http trên R2 và ip http access-class
để áp dụng danh sách truy cập vào giao diện web trên R2 .
PC-A không thể truy cập vào giao diện web của R2
CuuDuongThanCong.com https://fb.com/tailieudientucntt
Truy cập http thành công
-Lọc các gói tin sử dụng extended ACL. R1 cho phép tất cả các lưu
lượng từ PC-C đến PC-A và từ chối tất cả các lưu lượng từ PC-C
đến PC-B.
Hủy bỏ ACL 1. Nếu không, tất cả lưu lượng từ PC-B sẽ bị từ chối cho phần sau.
Sử dụng lệnh no ip access-group để hủy bỏ danh sách truy cập từ cổng f0/0
R2(config)#interface f0/0
R2(config-if)#no ip access-group 1 out
Bước 2: Tạo ACL 100 trên R1 cho phép tất cả các lưu lượng từ PC-C đến PC-A và
từ chối tất cả các lưu lượng từ PC-C đến PC-B:
Bước 3: : Áp dụng ACL 100 vào cổng s0/0 theo chiều in:
Sử dụng lệnh ip access-group để áp dụng danh sách truy cập theo chiều vào lưu
lượng trên cổng s0/0.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
Ping thành công từ PC-C đến PC-A
-Yêu cầu:
a. Đặt địa chỉ IP như mô hình và cấu hình định tuyến EIGRP as 1 trên 2
router.
b. Cài đặt các dịch vụ HTTP, FTP, DNS trên máy server.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
c. Cấu hình Extended ACL, Reflexive ACL, Dynamic ACL và Time-
Based ACL trên các router với các yêu cầu sau:
Cấu hình Extended ACL trên router R2 sao cho, chỉ cho phép địa chỉ IP
lẻ và cấm địa chỉ IP chẵn thuộc lớp mạng 192.168.1.0/24 truy cập các
dịch vụ trên máy Server.
Cấu hình Reflexive ACL trên router R2, cho phép các gói tin ICMP và
TCP xuất phát từ mạng 192.168.2.0/24 (LAN) được phép truy cập ra bên
ngoài (router R1, máy client). Tất cả mọi loại dữ liệu từ bên ngoài đi vào
mạng LAN đều bị cấm, ngoại trừ các gói tin trả về cho các gói tin ICMP và
TCP đã đi ra trước đó.
Cấu hình Dynamic ACL trên router R1, thực hiện cấp quyền truy cập
dịch vụ HTTP trên máy Server cho máy client. Máy client muốn sử dụng
dịch vụ HTTP này, bắt buộc phải thực hiện telnet đến router R1, sử dụng
tài khoản username và password tạo trên router R1 (trong bài tập này,
tạo username là u1 và password là 123). Nếu đăng nhập thành công,
máy client được phép truy cập dịch vụ HTTP.
Cấu hình Time-based ACL trên router R1, chỉ cho phép các máy tính
thuộc mạng 192.168.1.0/24 được truy cập dịch vụ FTP ngoài giờ làm việc.
Giờ làm việc của công ty là từ 08g00 đến 12g00 và 13g30 đến 17g00 các
ngày trong tuần (từ thứ 2 đến thứ 6).
-Lưu ý:
Các câu lệnh cấu hình ACL(Extended ACL, Reflexive ACL, Dynamic
ACL và Time-Based ACL) không ảnh hưởng đến hoạt động định
tuyến EIGRP của router R1 và R2.
Khi cấu hình tới loại ACL nào, phải bỏ các cấu hình của loại ACL
trước đó. Ví dụ: Khi cấu hình Reflexive ACL, phải bỏ các câu lệnh
cấu hình Extended ACL trước đó.
-Gợi ý:
CuuDuongThanCong.com https://fb.com/tailieudientucntt
Extended ACL: Các dịch vụ trên máy Server gồm HTTP (sử dụng
giao thức: tcp, port:80); FTP(sử dụng giao thức: tcp, port:20,21);
DNS(sử dụng giao thức: tcp và udp, port: 53). Áp dụng extended
acl đã tạo tới cổng S0/0 của router R2 theo chiều in.
Reflexive ACL:
Để tạo ra gói tin ICMP xuất phát từ mạng LAN ra bên ngoài,
thực hiện lệnh ping từ máy server tới máy client, quá trình
ping thành công. Nhưng từ máy client không thể ping tới máy
server.
Để tạo ra gói tin TCP xuất phát từ mạng LAN ra bên ngoài,
trên router R1 cấu hình telnet. Sau đó máy server thực hiện
telnet tới router R1 thành công. Nhưng máy Client(bên ngoài)
không thể truy cập dịch HTTP trên máy server.
Dynamic ACL:
Nguyên tắc hoạt động của dòng Dynamic ALC: Trong điều
kiện bình thường, dòng acl này không phát huy tác dụng và
được bỏ qua. Chỉ khi một user truy cập vào router (sử dụng
telnet) thông qua cổng VTY và thực hiện lệnh "access-
anable", lúc này dòng Dynamic ACL mới được kích hoạt.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
Áp dụng ACL vừa tạo lên cổng f0/0 của router R1 theo chiều
in.
Sau khi cấu hình Dynamic ACL trên router R1, để máy client
có thể truy cập dịch vụ HTTP trên máy server, phải thực hiện
telnet tới router R1 trước khi truy cập dịch vụ này.
Time-based ACL:
Áp dụng khoảng thời gian được active(thời gian được truy cập
dịch vụ FTP ngoài giờ làm việc) lên ACL sử dụng time-range.
Kiểu time-range sử dụng là: periodic (định nghĩa khoảng thời
gian được lặp đi lặp lại mà một entry của ACL được active).
Áp dụng ACL vừa tạo lên cổng f0/0 của router R1 theo chiều
in.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
Bài thực hành số 4: Hệ thống phát hiện và
ngăn chặn xâm nhập IPS
I. Giới thiệu IPS (Intrusion Protection System)
IPS Là hệ thống ngăn chặn xâm nhập, có chức năng tự động theo dõi và
ngăn chặn các sự kiện xảy ra trong và ngoài hệ thống mạng, phân tích và
ngăn ngừa các vấn đề liên quan tới bảo mật và an ninh. Hệ thống ngăn chặn
xâm nhập giám sát các gói tin đi qua và đưa ra quyết định liệu đây có phải là
một cuộc tấn công hay một sự truy cập hợp pháp – sau đó thực hiện hành
động thích hợp để bảo vệ hệ thống mạng.
Mô hình minh họa hệ thống gồm mạng nội bộ và thiết bị Cisco IOS IPS, Cisco
IOS IPS ngoài chức năng Firewall nó còn có chức năng tìm kiếm, so sánh những
lưu lượng có dấu hiệu tấn công vào hệ thống, khi phát hiện có dấu hiệu tấn công
nó gửi cảnh báo đến hệ thống cảnh báo hoặc loại bỏ những gói tin mà nó so
sánh trùng với các dấu hiệu tấn công hoặc reset lại kết nối.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
Bảng địa chỉ IP
Yêu cầu
-Cấu hình định tuyến tĩnh trên R2, default route trên R1, R3.
-Phát hiện và ngăn chặn tấn công ping of death, scan port, denial of
service (dos) vào web server từ PC-3 (attacker).
-3 router (Cisco IOS C2691 , phiên bản 12.4(16)T hoặc tương đương)
CuuDuongThanCong.com https://fb.com/tailieudientucntt
-PC-1: Windows Server với web server
Router R1
Router R2
Router R3
CuuDuongThanCong.com https://fb.com/tailieudientucntt
R3(config-if)# no shutdown
R3(config-if)# exit
R3(config)# interface s0/0
R3(config-if)# ip address 192.168.23.1 255.255.255.0
R3(config-if)# no shutdown
PC-1
PC-2
PC-3
- Cấu hình định tuyến tĩnh trên R2, default route trên R1, R3:
Router R1
R1(config)# ip route 0.0.0.0 0.0.0.0 192.168.12.2
Router R2
R2(config)# ip route 192.168.1.0 255.255.255.0 192.168.12.1
R2(config)# ip route 192.168.2.0 255.255.255.0 192.168.23.1
Router R3
R3(config)# ip route 0.0.0.0 0.0.0.0 192.168.23.2
CuuDuongThanCong.com https://fb.com/tailieudientucntt
- Cài đặt web server trên PC-1:
Trong cửa sổ windows components wizard, chọn vào dòng application server
next.
Tạo trang web cho web server, vào my compurter ổ đĩa c inetpub
wwwroot. Tạo file index.htm, với nội dung tùy ý.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
Truy cập web server thành công từ bên ngoài internet (PC-3) hoặc bên trong
mạng nội bộ.
Tạo một tài khoản người dùng và kích hoạt HTTP server trên R2 trước khi truy
cập SDM:
Yêu cầu PC-2 đã cài đặt java-jre phiên bản 6 trở lên.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
Giải nén thư mục SDM v2.5 vừa tải về, chọn file “setup.exe” để bắt đầu cài
đặt, hộp thoại Ciso SDM xuất hiện chọn “next”, chấp nhận các điều khoản bản
quyền của SDM, chọn “i accept….”, trong hộp thoại “install option” chọn “this
computer” và nhấn “install” để cài đặt.
Chạy phần mềm Cisco SDM vừa cài đặt, nhập vào IP của R2 (192.168.12.2)
trong trường “Device IP Address or Hostname lauch”.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
- Menu Configure chọn Intrusion Prevention (bên trái) chọn “Launch IPS
Rule Wizard” để bắt đầu cài đặt các rule IPS lên R2.
- SDEE là một công nghệ để báo cáo những sự kiện bảo mật khi kích hoạt IPS
trong router, Cisco SDM yêu cầu thông báo sự kiện IPS qua SDEE để cấu
hình tính năng Cisco IOS IPS, theo mặc định, thông báo SDEE không được
kích hoạt. Cisco SDM sẽ nhắc nhở người dùng để cho phép thông báo sự kiện
IPS qua SDEE chọn ok.
Trong hộp thoại “IPS policies wizard” chọn “next”. Chọn cổng s0/0 theo chiều
inbound và nhấn “next” khi kết thúc việc lựa chọn.
Chọn vào “Use Built-In Signatures ( as backup)” sử dụng các signatures đã được
xây dựng trên Cisco IOS và chọn “next” “finish”. Hộp thoại “command
delivery status” xuất hiện chọn ok để nạp các signature lên R2.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
Các signature trên R2
Chọn edit IPS import from pc để import thêm signature mới từ file cài đặt
sdm.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
Các signature được import
- Phát hiện và ngăn chặn tấn công ping of death từ PC-3 (Attacker):
Phát hiện:
Trên PC-3 thực hiện tấn công ping of death vào PC-1(web server) với số kích
thước gói tin là 10000
R2 xuất hiện các log thông báo có tấn công ping of death từ PC-3 vào PC-1 với
sig id: 2151, name: Large ICMP
Ngăn chặn:
Chọn vào sig id: 2151 chọn “action” và lựa chọn hành động
CuuDuongThanCong.com https://fb.com/tailieudientucntt
Định nghĩa hành động cho dấu hiệu
Chọn vào hành động “alarm và denyAttackerInline” và nhấn ok. Để áp dụng
những thay đổi về hành động lên R2 chọn “apply changes”.
Lúc này PC-3 không thể ping of death vào PC-1, do rule chặn tấn công ping of
death trên R2 đã chặn hành động này.
Phát hiện:
Trên PC-3 chạy công cụ superscan. Trong tab IPs tiến hành thêm ip của PC-1
(192.168.1.254) vào mục hostname/IP và nhấn vào hình mũi tên tam giác để
tiến hành quét port trên PC-1.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
Các port đang mở trên PC-1
Thông báo log trên R2 phá hiện quá trình scan port từ PC-3
CuuDuongThanCong.com https://fb.com/tailieudientucntt
Quá trình scan port đã bị chặn
- Phát hiện và ngăn chặn tấn công denial of service (dos) vào web
server từ PC-3 (Attacker):
Phát hiện:
Trên PC-3 chạy công cụ doshttp phiên bản 2.5.1. Trong mục target URL, nhập
vào đường dẫn truy cập web server(http://192.168.1.254), với số socket là:
500, request: 25000. Sau đó nhấn start flood để tiến hành tấn công.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
Log thông báo tấn công từ chối dịch vụ vào web server
Ngăn chặn:
Chọn vào sig id: 3051, có subsigID là 1 chọn “action” và lựa chọn hành động
“alarm và denyAttackerInline” và nhấn ok. Để áp dụng những thay đổi về hành
động lên R2 chọn “apply changes”.
Lúc này PC-3 không thể tấn công từ chối dịch vụ vào web server, do rule chặn
tấn công từ chối dịch vụ vào web server trên R2 đã chặn hành động này.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
Bài thực hành số 5: SSH, NTP, SYSLOG,
AUTOSECURE
I. Giới thiệu SSH, NTP, SYSLOG, AUTOSECURE
- SSH(Secure Shell): Là một giao thức mạng dùng để thiết lập kết nối mạng
một cách an toàn. SSH cung cấp cho người dùng cách thức để thiết lập kết
nối mạng được mã hóa để tạo một kênh kết nối riêng.
- NTP(Network Time Protocol): Là giao thức đồng bộ thời gian của các hệ
thống máy tính thông qua mạng dữ liệu chuyển mạch gói với độ trễ biến đổi.
- SYSLOG: Là một cách cho các thiết bị mạng gửi thông báo sự kiện đến một
máy chủ logging - thường được biết đến như một máy chủ Syslog. Giao thức
Syslog được hỗ trợ bởi một loạt các thiết bị và có thể được sử dụng để log
các loại sự kiện khác nhau.
- AUTOSECURE: Là một tính năng an toàn cho router bằng cách sử dụng một
lệnh CLI duy nhất để vô hiệu hóa các dịch vụ IP phổ biến có thể được khai
thác để tấn công mạng, cho phép các dịch vụ IP và các tính năng có thể trợ
giúp trong việc bảo vệ mạng khi bị tấn công và đơn giản hóa, làm vững chắc
cấu hình an toàn của router.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
Trong bài thực hành này, xây dựng một mạng lưới nhiều router và cấu hình
các router và host. Sử dụng các công cụ CLI và SDM khác nhau để đảm bảo tiếp
cận cục bộ và từ xa đến router, phân tích các lỗ hổng tiềm năng và thực hiện
các bước để giảm thiểu chúng. Cũng cho phép các báo cáo quản lý để giám sát
router thay đổi cấu hình.
Yêu cầu
- Cấu hình định tuyến tĩnh trên R2, default route trên R1, R3.
Phần 2: Kiểm soát truy cập quản trị cho các router (thực hiện trên R1 và R3)
Phần 3: Cấu hình quản trị các roles (thực hiện trên R1 và R3)
CuuDuongThanCong.com https://fb.com/tailieudientucntt
- Tạo các view admin1, admin2, tech và phân quyền như sau:
View admin1 có thể sử dụng lệnh show, config và debug.
View admin2 chỉ có thể sử dụng lệnh show.
View tech chỉ được sử dụng lệnh show version, show interfaces, show
ip interface brief và show parser view.
- Cấu hình R2 như một nguồn đồng bộ thời gian cho R1 và R3 sử dụng NTP.
- Khóa các dịch vụ của R3 sử dụng AutoSecure và kiểm tra cấu hình.
- Sử dụng công cụ SDM Security Audit để xác định các lỗ hổng và khóa các
dịch vụ của R1.
Router R1
R1#configure terminal
R1(config)# interface f0/0
R1(config-if)# no shutdown
R1(config-if)# ip address 192.168.1.1 255.255.255.0
R1(config)# exit
CuuDuongThanCong.com https://fb.com/tailieudientucntt
R1(config)# interface s0/0
R1(config-if)# no shutdown
R1(config-if)# ip address 10.1.1.1 255.255.255.252
Router R2
R2#configure terminal
R2(config)# interface s0/0
R2(config-if)# no shutdown
R2(config-if)# ip address 10.1.1.2 255.255.255.252
R2(config)# exit
R2(config)# interface s0/1
R2(config-if)# no shutdown
R2(config-if)# ip address 10.2.2.2 255.255.255.252
Router R3
R3#configure terminal
R3(config)# interface f0/0
R3(config-if)# no shutdown
R3(config-if)# ip address 192.168.3.1 255.255.255.0
R3(config)# exit
R3(config)# interface s0/0
R3(config-if)# no shutdown
R3(config-if)# ip address 10.2.2.1 255.255.255.252
PC-A
PC-C
CuuDuongThanCong.com https://fb.com/tailieudientucntt
- Cấu hình định tuyến tĩnh trên R2, default route trên R1, R3:
Router R1
R1(config)# ip route 0.0.0.0 0.0.0.0 10.1.1.2
Router R2
R2(config)# ip route 192.168.1.0 255.255.255.0 10.1.1.1
R2(config)# ip route 192.168.3.0 255.255.255.0 10.2.2.1
Router R3
R3(config)# ip route 0.0.0.0 0.0.0.0 10.2.2.2
Phần 2: Kiểm soát truy cập quản trị cho các router (thực hiện trên R1 và
R3)
Bước 1: Sử dụng lệnh security passwords để thiết lập chiều dài mật khẩu tối
thiểu 10 ký tự:
CuuDuongThanCong.com https://fb.com/tailieudientucntt
Router(config)# security passwords min-length 10
Router(config)#service password-encryption
Bước 3: Cấu hình password secret sử dụng lệnh enable secret password:
Bước 4: Cấu hình cơ bản cổng console và các đường truy cập ảo (telnet)
- Password console. Trong đó, lệnh exec-timeout gây ra các dòng log sau 5
phút không hoạt động và lệnh logging synchronous ngăn chặn các
message console làm gián đoạn lệnh nhập vào:
Sử dụng lệnh banner motd để cấu hình. Khi một người sử dụng kết nối đến
một trong những router, banner motd xuất hiện trước dấu nhắc đăng nhập, các
dấu đô la ($) được sử dụng để bắt đầu và kết thúc thông điệp.
Router(config)# banner motd $Truy cap trai phep deu bi nghiem cam$
CuuDuongThanCong.com https://fb.com/tailieudientucntt
Để kiểm tra biểu ngữ có hoạt động hay không, thoát khỏi chế độ privileged
EXEC sử dụng lệnh exit và nhấn enter để bắt đầu. Một biểu ngữ xuất hiện trông
giống như những gì đã tạo.
Kiểm tra tài khoản mới bằng việc đăng nhập đến cổng console, thiết lập line
console để sử dụng các tài khoản đăng nhập được xác định tại local.
Router(config)#line console 0
Router(config-line)#login local
Router(config-line)#end
Router#exit
Đăng nhập bằng cách sử dụng tài khoản user01 và password được định
nghĩa trước, để vào chế độ privileged EXEC sử dụng lệnh enable và nhập
password secret là cisco12345.
Kiểm tra tài khoản người dùng mới bằng cách đăng nhập từ một phiên telnet.
Thiết lập các đường vty để sử dụng tài khoản đăng nhập xác định tại local.
Router(config)#line vty 0 4
Router(config)# login local
Từ PC-A telnet đến R1, đăng nhập với tài khoản user02 và password là
user02pass. Trong khi telnet đến R1, truy vào chế độ privileged EXEC với lệnh
enable, sử dụng password secret là cisco12345.
- Cấu hình nâng cao bảo mật các kết nối ảo:
CuuDuongThanCong.com https://fb.com/tailieudientucntt
Bước 1: Cấu hình router để xem các cuộc tấn công đăng nhập:
Sử dụng lệnh login block-for để cấu hình tắt đăng nhập sau 60 giây nếu hai
nỗ lực đăng nhập thất bại được thiết lập thực hiện trong vòng 30 giây.
Sử dụng lệnh show login để xem các thiết lập tấn công đăng nhập trên
router.
Bước 2: Cấu hình router cảnh báo các log cho hoạt động đăng nhập:
Các lệnh sau đây cảnh báo log mỗi đăng nhập thành công và các nỗ lực đăng
nhập thất bại sau mỗi lần đăng nhập thất bại thứ 2.
Kiểm tra cấu hình nâng cao bảo mật các kết nối ảo
Từ PC-A, thiết lập một phiên kết nối tới R1. Đăng nhập với user ID hoặc
password sai trong 2 lần. Thông điệp Connection to host lost hiển thị trên PC-A
sau hai lần nổ lực thất bại.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
Thông điệp hiển thị trên console router R1 sau khi nổ lực đăng nhập thất bại
lần thứ 2
Từ PC-A, cố gắng thiết lập một phiên telnet khác đến R1 trong vòng 60 giây.
Thông điệp hiển thị trên PC-A sau khi cố gắng kết nối telnet
Thông điệp hiển thị trên router R1 sau khi cố gắng kết nối telnet
Router#config t
Router(config)# ip domain-name ccnasecurity.com
Bước 2: Cấu hình một user với mức đặc quyền cao nhất và password secret
cho đăng nhập từ SSH client:
Router(config)#line vty 0 4
Router(config-line)#privilege level 15
Router(config-line)#login local
Router(config-line)#transport input ssh
Router(config-line)#exit
CuuDuongThanCong.com https://fb.com/tailieudientucntt
Cấu hình các key RSA với 1024 cho số bit modulus.
Bước 5: Cấu hình thời gian SSH timeout và các tham số xác thực:
- Cài đặt một SSH client và kiểm tra kết nối (thực hiện trên PC-A và
PC-C):
Nhập địa chỉ IP cổng f0/0 của R1 là: 192.168.1.1 trong mục Host Name (or
IP address) và kiểm tra radi button SSH được lựa chọn.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
Router# copy run start
Phần 3: Cấu hình quản trị các roles (thực hiện trên R1 và R3)
Router#config t
Router(config)#aaa new-model
Router(config)#exit
Router#enable view
password: cisco12345
*Dec 16 22:41:17.483: %PARSER-6-VIEW_SWITCH: successfully set to view
'root'.
Router(config-view)#secret admin1pass
Thêm tất cả các lệnh config, show, debug đến view admin1 và sau đó thoát
ra khỏi chế độ configuration.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
Router#enable view admin1
password: admin1pass
*Dec 16 22:56:46.971: %PARSER-6-VIEW_SWITCH: successfully set to view
'admin1'
Router#show parser view
Router#Current view is 'admin1'
Router#?
Exec commands:
configure Enter configuration mode
debug Debugging functions (see also 'undebug')
enable Turn on privileged commands
exit Exit from the EXEC
show Show running system information
Router# show ?
aaa Show AAA values
accounting Accounting data for active sessions
adjacency Adjacent nodes
alignment Show alignment information
appfw Application Firewall information
archive Archive of the running configuration information
arp ARP table
<output omitted>
Sủ dụng lệnh enable view để kích hoạt view root và nhập vào password
secret là cisco12345.
Router#enable view
password:cisco12345
CuuDuongThanCong.com https://fb.com/tailieudientucntt
Router(config)#parser view admin2
Router(config-view)#
*Dec 16 23:02:27.587: %PARSER-6-VIEW_CREATED: view 'admin2’
successfully created.
Thêm tất cả các lệnh show đến view và sau đó thoát khỏi chế độ
configuration
Router(config-view)#end
Router#enable view admin2
password:admin2pass
*Dec 16 23:05:46.971: %PARSER-6-VIEW_SWITCH: successfully set to view
'admin2'
Router#show parser view
Router#Curent view is 'admin2'
Router#?
Exec commands:
enable Turn on privileged commands
exit Exit from the EXEC
show Show running system information
Tạo View tech chỉ được sử dụng lệnh show version, show interfaces, show ip
interface brief và show parser view:
Sử dụng lệnh enable view để kích hoạt view root và nhập vào password
secret là cisco12345
Router#enable view
CuuDuongThanCong.com https://fb.com/tailieudientucntt
password:cisco12345
Router(config-view)#secret techpasswd
Thêm các lệnh show sau đây đến view và sau đó thoát khỏi chế độ
configuration của view
Router#?
Exec commands:
enable Turn on privileged commands
exit Exit from the EXEC
show Show running system information
CuuDuongThanCong.com https://fb.com/tailieudientucntt
Router#show ?
flash: display information about flash: file system
interfaces Interface status and configuration
ip IP information
parser Show parser commands
version System hardware and software status
- Cấu hình R2 như một nguồn đồng bộ thời gian cho R1 và R3 sử dụng
NTP:
Hiển thị thời gian hiện tại trên router sử dụng lệnh show clock.
R2#show clock
*01:19:02.331 UTC Mon Dec 15 2008
Để thiết lập thời gian trên router, sử dụng lệnh clock set time.
Cấu hình R2 như là NTP master sử dụng lệnh ntp master stratum-number
trong chế độ global configuration. Số stratum number chỉ ra khoảng cách từ
nguồn gốc. Đối với bài thực hành này, sử dụng số stratum number là 3 trên R2.
Khi một thiết bị học thời gian từ nguồn NTP, số stratum number của thiết bị trở
thành một số lớn hơn số number stratum nguồn của thiết bị này.
R2(config)#ntp master 3
CuuDuongThanCong.com https://fb.com/tailieudientucntt
Bước 2: Cấu hình R1 và R3 như là NTP client
R1 và R3 sẽ trở thành NTP client của R2. Để cấu hình R1, sử dụng lệnh ntp
server hostname ở mode global configuration. Hostname cũng có thể là một địa
chỉ IP.
Kiểm tra rằng R1 đã có một hiệp ước với R2 sử dụng lệnh show ntp
associations.
Kiểm tra thời gian trên R1 sau khi đã đồng bộ thời gian với R2.
R1#show clock
*20:12:24.859 UTC Wed Dec 17 2008
Trong bài thực hành này sử dụng Kiwi syslog server, tải phiên bản mới nhất
của kiwi từ đường dẫn http://www.kiwisyslog.com
R1(config)#logging 192.168.1.3
Sử dụng lệnh logging trap để thiết lập mức độ thông báo log cho R1, ở đây
sử dụng mức độ warnings.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
Bước 3: Start Kiwi syslog Server trên PC-A
Mở ứng dụng kiwi Syslog Daemon trên Desktop của bạn hoặc chọn nút Start
và chọn Programs Kiwi Enterprises Kiwi Syslog Daemon.
Gửi một thông điệp log kiểm tra đến kiwi syslog server bằng cách chọn File
Send test mesage to local host.
a. Tạo một thông điệp log bằng cách tắt interface s0/0 trên R1 hoặc R2 và
sau đó bật lại nó.
R1(config)#interface S0/0
R1(config-if)#shutdown
R1(config-if)#no shutdown
Màn hình kiwi syslog server trong giống như hình dưới đây.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
Từ mode global configuration của R1, kích hoạt logging là userinfo và thiết
lập lại mức độ trap là information.
R1(config)#logging userinfo
R1(config)#logging trap informational
Trên Kiwi Syslog Daemon, chọn View Clear Display để xóa log hiển thị.
Thoát khỏi màn hình đăng nhập và kích hoạt view admin1 đã tạo trong phần
3 của bài thực hành. Nhập vào password là admin1pass.
Thoát khỏa màn hình đăng nhập một lần nữa và kích hoạt view admin1. Lần
này nhập vào password không chính xác.
Log thông báo trạng thái chứng thực người dùng thất bại
Phần 5: Cấu hình tính năng tự động bảo mật
- Khóa các dịch vụ của R3 sử dụng AutoSecure và kiểm tra cấu hình:
CuuDuongThanCong.com https://fb.com/tailieudientucntt
Trên gns3 xóa file cấu hình của R3 chứa trong thư mục configs của bài thực
hành (R3.cfg). Sau đó, tắt và chạy lại các router của bài thực hành để khôi phục
cấu hình mặc định của R3.
Khi khởi động lại router, khôi phục cấu hình cơ bản cho R3 như trong phần 1
của bài thực hành này.
Bước 2: Sử dụng tính năng AutoSecure để đảm bảo an toàn trên R3:
Tính năng AutoSecure cho phép bạn vô hiệu hóa các dịch vụ IP phổ biến mà
có thể được khai thác cho các tấn công mạng và kích hoạt các dịch vụ IP và các
tính năng mà có thể trợ giúp trong bảo vệ một mạng khi bị tấn công.
AutoSecure đơn giản hóa cấu hình bảo mật của router và đông cứng lại cấu hình
router.
R3#auto secure
--- AutoSecure Configuration ---
CuuDuongThanCong.com https://fb.com/tailieudientucntt
Use ctrl-c to abort this session at any prompt.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
Disabling gratuitous arp
CuuDuongThanCong.com https://fb.com/tailieudientucntt
Configure the following parameters
Blocking Period when Login Attack detected: 60 {chu kỳ block khi phát
hiện tấn công đăng nhập}
Maximum Login failures with the device: 2 {tối đa số lần đăng nhập
thất bại trên thiết bị}
Maximum time period for crossing the failed login attempts: 30 {chu kỳ
thời gian tối đa cho để xuyên qua các lần nổ lực đăng nhập thất bại}
Configure SSH server? [yes]: Nhấn enter để chấp nhận mặc định là yes
no ip redirects
no ip proxy-arp
no ip unreachables
no ip directed-broadcast
no ip mask-reply
Disabling mop on Ethernet interfaces
Enabling CEF (This might impact the memory requirements for your
platform)
Enabling unicast rpf on all interfaces connected
to internet
CuuDuongThanCong.com https://fb.com/tailieudientucntt
on the servers in the network. Create autosec_tcp_intercept_list
to form the list of servers to which the tcp traffic is to
be observed
Enable tcp intercept feature? [yes/no]: yes {kích hoạt tính năng tcp
intercept }
no service finger
no service pad
no service udp-small-servers
no service tcp-small-servers
service password-encryption
service tcp-keepalives-in
service tcp-keepalives-out
no cdp run
no ip bootp server
no ip http server
no ip finger
no ip source-route
no ip gratuitous-arps
no ip identd
banner motd ^C Unauthorized Access Prohibited ^C
security passwords min-length 6
security authentication failure rate 10 log
enable secret 5 $1$FmV1$.xZUegmNYFJwJv/oFwwvG1
enable password 7 045802150C2E181B5F
username admin password 7 01100F175804575D72
aaa new-model
aaa authentication login local_auth local
line con 0
login authentication local_auth
CuuDuongThanCong.com https://fb.com/tailieudientucntt
exec-timeout 5 0
transport output telnet
line aux 0
login authentication local_auth
exec-timeout 10 0
transport output telnet
line vty 0 4
login authentication local_auth
transport input telnet
line tty 1
login authentication local_auth
exec-timeout 15 0
login block-for 60 attempts 2 within 30
ip domain-name ccnasecurity.com
crypto key generate rsa general-keys modulus 1024
ip ssh time-out 60
ip ssh authentication-retries 2
line vty 0 4
transport input ssh telnet
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
logging facility local2
logging trap debugging
service sequence-numbers
logging console critical
logging buffered
interface FastEthernet0/0
no ip redirects
no ip proxy-arp
no ip unreachables
no ip directed-broadcast
no ip mask-reply
no mop enabled
interface FastEthernet0/1
CuuDuongThanCong.com https://fb.com/tailieudientucntt
no ip redirects
no ip proxy-arp
no ip unreachables
no ip directed-broadcast
no ip mask-reply
no mop enabled
interface Serial0/0/0
no ip redirects
no ip proxy-arp
no ip unreachables
no ip directed-broadcast
no ip mask-reply
interface Serial0/0/1
no ip redirects
no ip proxy-arp
no ip unreachables
no ip directed-broadcast
no ip mask-reply
interface Vlan1
no ip redirects
no ip proxy-arp
no ip unreachables
no ip directed-broadcast
no ip mask-reply
no mop enabled
ip cef
access-list 100 permit udp any any eq bootpc
interface Serial0/0/1
ip verify unicast source reachable-via rx allow-default 100
ip tcp intercept list autosec_tcp_intercept_list
ip tcp intercept drop-mode random
ip tcp intercept watch-timeout 15
ip tcp intercept connection-timeout 3600
ip tcp intercept max-incomplete low 450
CuuDuongThanCong.com https://fb.com/tailieudientucntt
ip tcp intercept max-incomplete high 550
!
end
R3#
000037: *Dec 19 21:18:52.495 UTC: %AUTOSEC-1-MODIFIED: AutoSecure
configuration has been Modified on this device
Bước 3: Thiết lập một kết nối SSH từ PC-C đến R3.
Chạy chương trình client PuTTy và đăng nhập với tài khoản admin và
password là cisco12345 được tạo khi AutoSecure chạy. Nhập vào địa chỉ IP của
cổng f0/0 R3 là 192.168.3.1.
no service finger
no service pad
no service udp-small-servers
no service tcp-small-servers
no cdp run
no ip bootp server
no ip http server
no ip finger
no ip source-route
no ip gratuitous-arps
no ip identd
CuuDuongThanCong.com https://fb.com/tailieudientucntt
Đối với mỗi interface, các dịch vụ sau bị vô hiệu hóa:
no ip redirects
no ip proxy-arp
no ip unreachables
no ip directed-broadcast
no ip mask-reply
- Sử dụng công cụ SDM Security Audit để xác định các lỗ hổng và khóa các
dịch vụ của R1:
Trên gns3 xóa file cấu hình của R1 chứa trong thư mục configs của bài thực
hành (R1.cfg). Sau đó, tắt và chạy lại các router của bài thực hành để khôi phục
cấu hình mặc định của R1.
Khi khởi động lại router, khôi phục cấu hình cơ bản cho R1 mà được tạo và
lưu trong phần 1 của bài thực hành.
Bước 2: Sử dụng công cụ SDM Security Audit trên R1 để xác định rủi ro an
ninh
Để sử dụng công cụ SDM Security Audit ta cần cài đặt SDM trên PC-A. Ở đây
sử dụng SDM phiên bản 2.5, trước hết ta cần cài đặt java-jre phiên bản 6 trở
lên lên PC-A, sau đó tiến hành cài đặt SDM-v2.5.
- Tạo một SDM user và kích hoạt HTTP, HTTPS trên R1:
CuuDuongThanCong.com https://fb.com/tailieudientucntt
Kích hoạt xác thực HTTP local trên R1.
- Chạy phần mềm SDM đã cài đặt trên PC-A, Đăng nhập với username và
password đã được cấu hình trước đó:
username: admin
password: cisco12345
CuuDuongThanCong.com https://fb.com/tailieudientucntt
Giao diện cài đặt Security Audit
- Trên cửa sổ Security Audit Interface Configuration, chỉ ra các interface mà
được hiển thị bên trong (trusted) và được đặt bên ngoài (untrusted). Đối
với interface f0/0, chọn Inside (trusted). Cho interface s0/0, chọn Outside
(untrusted).
- Chọn Next để kiểm tra cấu hình bảo mật. Bạn có thể xem quá trình kiểm
tra an ninh.
- Sau khi xem báo cáo Security Audit, nhấn Save Report. Lưu nó đến
desktop sử dụng tên SDMSecurityAuditReportCard.html.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
- Chọn Fix All và chọn Next để sửa chữa tất cả các vấn đề an ninh.
- Khi được nhắc, nhập vào một enable password secret là cisco12345 và
nhập lại password này để xác nhận.
- Nhập văn bản cho biểu ngữ đăng nhập là: Unauthorized Access
Prohibited. Nhấn Next.
- Thêm địa chỉ IP logging là: 192.168.1.3, và chấp nhận logging defaults.
Nhấn Next.
- Chấp nhận thiết lập an ninh mặc định cho cổng inside và outside và nhấn
Next.
- Bỏ lựa chọn URL Filter Server, và nhấn Next.
- Đối với mức độ bảo mật, chọn Low Security và nhấn Next.
- Tại Firewall Configuration Summary, xem lại cấu hình và nhấn Finish.
- Di chuyển thông qua màn hình Summary. Màn hình này cho thấy những
gì Security Audit sẽ cấu hình cho router.
- Nhấn Finish để xem lệnh thực tế mà được chuyển giao đến router. Di
chuyển để xem trước các lệnh.
- Hãy chắc rằng Save running config to router's startup config được lựa chọn, và
nhấn Deliver.
- Nhấn OK trong cửa sổ Commands Delivery Status để thoát công cụ
Security Audit.
- Ping thành công từ PC-A trên LAN R1 đến PC-C trên LAN router R3. Vì
tường lửa trên R1 cho phép lưu lượng mà bắt đầu từ host trên LAN R1 để
trả về.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
- Ping thành công từ router R3 đến router R2 cổng s0/0 (10.1.1.2). Vì
Không có tường lửa hoặc bảo mật khóa ping trên R2.
- Ping không thành công từ router R3 đến router R1 cổng s0/0 (10.1.1.1).
Vì SDM Security Audit cấu hình không cho phép R1 s0/0 trả lời.
- Ping Không thành công từ PC-C trên LAN R3 đến PC-A trên LAN R1. Vì
SDM Security Audit cấu hình không cho phép trên LAN R1 để trả lời yêu
cầu từ bên ngoài tường lửa.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
Bài thực hành số 6: SITE-TO-SITE VPN
I. Giới thiệu
Site-to-site VPN cho phép các văn phòng ở nhiều địa điểm cố định thiết lập
các kết nối an toàn qua một mạng công cộng như Internet. Site-to-site VPN mở
rộng mạng lưới của công ty, làm cho các tài nguyên máy tính từ một địa điểm
có sẵn cho nhân viên tại các địa điểm khác sử dụng . GRE, IPSec và MPLS VPN
là các giao thức thường được sử dụng trong kết nối site-to-site VPN.
Trong bài thực hành này, xây dựng một mạng lưới nhiều router và cấu hình
các router và host. Sử dụng Cisco IOS và SDM để cấu hình một VPN site-to-site.
Đường hầm IPsec VPN từ router R1 đến router R3 qua R2.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
Bảng địa chỉ IP
Yêu cầu
- Cấu hình cơ bản cho 3 router: host name, địa chỉ ip cho các cổng, mật
khẩu truy cập và giao thức định tuyến động EIGRP.
-Áp dụng cấu hình mirror đến R3 và kiểm tra cấu hình.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
Thiết bị và phần mềm hỗ trợ
-3 router (Cisco IOS C3725 , phiên bản 12.4(20)T hoặc tương đương)
-2 PC (Windows XP hoặc 7)
Router R1
Router R2
R2#configure terminal
Router(config# hostname R2
R2(config)# interface s0/0
R2(config-if)# no shutdown
R2(config-if)# ip address 10.1.1.2 255.255.255.252
R2(config)# exit
R2(config)# interface s0/1
R2(config-if)# no shutdown
R2(config-if)# ip address 10.2.2.2 255.255.255.252
CuuDuongThanCong.com https://fb.com/tailieudientucntt
Router R3
R3#configure terminal
Router(config# hostname R3
R3(config)# interface f0/0
R3(config-if)# no shutdown
R3(config-if)# ip address 192.168.3.1 255.255.255.0
R3(config)# exit
R3(config)# interface s0/0
R3(config-if)# no shutdown
R3(config-if)# ip address 10.2.2.1 255.255.255.252
Cấu hình một xung nhịp cho cổng serial của router (cổng s0/0 R1 và cổng
s0/1 R2) và vô hiệu hóa tra cứu DNS:
Router R1
R1(config)#interface S0/0
R1(config-if)#clock rate 64000
R1(config)#no ip domain-lookup
Router R2
R2(config)#interface S0/1
R2(config-if)#clock rate 64000
R2(config)#no ip domain-lookup
Router R3
R3(config)#no ip domain-lookup
Router R1
Router R2
CuuDuongThanCong.com https://fb.com/tailieudientucntt
R2(config-router)#network 10.2.2.0 0.0.0.3
R2(config-router)#no auto-summary
Router R3
Cấu hình độ dài mật khẩu tối thiểu là 10 ký tự, sử dụng lệnh security
passwords để thiết lập và mã hóa mật khẩu console, vty; sử dụng lệnh service
password-encryption:
- Cấu hình mật khẩu console. Để thêm an toàn, sử dụng lệnh exec-timeout
gây ra các dòng log sau 5 phút không hoạt động và lệnh logging
synchronous ngăn chặn thông điệp console làm gián đoạn nhập lệnh.
Router(config)#line console 0
Router(config-line)#password ciscoconpass
Router(config-line)#exec-timeout 5 0
Router(config-line)#login
Router(config-line)#logging synchronous
Router(config)#line vty 0 4
Router(config-line)#password ciscovtypass
Router(config-line)#exec-timeout 5 0
Router(config-line)#login
CuuDuongThanCong.com https://fb.com/tailieudientucntt
Cấu hình thiết lập IP cho host (PC-A và PC-C)
PC-A
PC-C
R1#ping 10.2.2.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.2.2.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 4/44/112
ms
CuuDuongThanCong.com https://fb.com/tailieudientucntt
Bước 1: Kích hoạt chính sách IKE:
Sử dụng lệnh crypto isakmp enable để xác minh rằng router IOS hỗ trợ IKE
và nó được kích hoạt.
b. Thiết lập chính sách Internet Security Association and Key Management
Protocol (ISAKMP):
Sử dụng lệnh cấu hình crypto isakmp policy number trên R1 và R3 cho policy
10.
Cấu hình một loại chứng thực khóa chia sẻ. Sử dụng mã hóa AES 256, SHA
như thuật toán băm, trao đổi khóa Diffie-Hellman nhóm 5 và thời gian sống
3600 giây cho chính sách IKE này.
R1(config-isakmp)#authentication pre-share
R1(config-isakmp)#encryption aes 256
R1(config-isakmp)#hash sha
R1(config-isakmp)#group 5
R1(config-isakmp)#lifetime 3600
R1(config-isakmp)#end
R3(config-isakmp)#authentication pre-share
R3(config-isakmp)#encryption aes 256
R3(config-isakmp)#hash sha
R3(config-isakmp)#group 5
R3(config-isakmp)#lifetime 3600
CuuDuongThanCong.com https://fb.com/tailieudientucntt
R3(config-isakmp)#end
Trên R1 và R3, Tạo một transform set với tag 50 và sử dụng giao thức
Encapsulating Security Protocol (ESP) với một thuật toán mã hóa AES 256 và
hàm băm SHA.
Trên R1 và R3, thiết lập thời gian sống IPsec security association đến 30
phút hoặc 1800 giây.
a. Cấu hình ACL quan tâm lưu lượng IPsec VPN trên R1.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
R1(config)#access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.3.0
0.0.0.255
b. Cấu hình ACL quan tâm lưu lượng IPsec VPN trên R3.
a. Tạo crypto map trên R1 và R3, tên CMAP và sử dụng số thứ tự là 10.
b. Sử dụng lệnh match address access-list để xác định danh sách truy cập
định nghĩa lưu lượng mã hóa.
c. Thiết lập một peer IP, để đặt nó đến R3/R1 cổng đầu cuối VPN ở xa sử
dụng lệnh set peer address.
d. Code cứng transform set để được sử dụng với peer này, sử dụng lệnh set
transform-set tag. Thiết lập các loại chuyển tiếp bí mật hoàn hảo sử dụng lệnh
set pfs type và cũng thay đổi mặc định thời gian sống IPsec security association
với lệnh set security-association lifetime seconds seconds.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
R3(config-crypto-map)#set pfs group5
R3(config-crypto-map)#set transform-set 50
R3(config-crypto-map)#set security-association lifetime seconds 900
R3(config-crypto-map)#exit
e. Áp dụng các crypto map đến cổng thích hợp trên R1 và R3.
R1(config)#interface S0/0
R1(config-if)#crypto map CMAP
R1(config)#end
R3(config)#interface S0/0
R3(config-if)#crypto map CMAP
R3(config)#end
a. Sử dụng lệnh show crypto ipsec transform-set hiển thị các chính sách cấu
hình IPsec trong hình thức của các transform set.
a. Sử dụng lệnh crypto map để hiển thị các crypto map mà sẽ được áp dụng
đến router.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
Current peer: 10.2.2.1
Security association lifetime: 4608000 kilobytes/900 seconds
PFS (Y/N): Y
DH group: group5
Transform sets={
50: { esp-256-aes esp-sha-hmac } ,
}
Interfaces using crypto map MYMAP: Serial0/0/0
Lệnh show crypto isakmp sa cho thấy rằng không có IKE SA tồn tại. Khi lưu
lượng quan tâm được gửi đi, đầu ra của lệnh này sẽ thay đổi.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
Bước 2: Hiển thị các IPsec security associations.
a. Lệnh show crypto ipsec sa cho thấy SA không được sử dụng giữa R1 và
R3.
interface: Serial0/0/0
Crypto map tag: CMAP, local addr 10.1.1.1
Bước 3: Tạo một vài lưu lượng kiểm tra và quan sát kết quả.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
R1#ping
Protocol [ip]:
Target IP address: 192.168.3.1
Repeat count [5]:
Datagram size [100]:
Timeout in seconds [2]:
Extended commands [n]: y
Source address or interface: 192.168.1.1
Type of service [0]:
Set DF bit in IP header? [no]:
Validate reply data? [no]:
Data pattern [0xABCD]:
Loose, Strict, Record, Timestamp, Verbose[none]:
Sweep range of sizes [n]:
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.3.1, timeout is 2 seconds:
IKE SA được tạo giữa R1 và R3 trong thời gian này. Các đầu cuối của đường
hầm IPsec VPN, nguồn: 10.1.1.1 (cổng S0/0 R1), đích: 10.2.2.1 (cổng S0/0
R3).
c. Sử dụng lệnh show crypto ipsec sa. Để xem số gói tin được chuyển đổi
giữa R1 và R3
CuuDuongThanCong.com https://fb.com/tailieudientucntt
interface: Serial0/0
Crypto map tag: CMAP, local addr 10.1.1.1
inbound ah sas:
outbound ah sas:
CuuDuongThanCong.com https://fb.com/tailieudientucntt
- Xóa và reload router:
Trên gns3 xóa file cấu hình của R1 và R3 chứa trong thư mục configs của bài
thực hành (R1.cfg, R3.cfg). Sau đó, tắt và chạy lại project của bài thực hành để
khôi phục cấu hình mặc định của R1 và R3.
Khi khởi động lại router, khôi phục cấu hình cơ bản cho R1 và R3 như trong
phần 1 của bài thực hành này.
Bước 1: Cấu hình mật khẩu enable secret và HTTP trước khi bắt đầu SDM.
Bước 2: Truy cập SDM và thiết lập tùy chọn gửi lệnh.
a. Chạy ứng dụng SDM trên PC-A và bắt đầu SDM bằng cách nhập địa chỉ IP
R1 192.168.1.1 trong trường địa chỉ.
b. Đăng nhập với không người dùng và mật khẩu enable secret là
cisco12345.
c. Trong hộp thoại Authentication Required, trường Username để trống và
nhập vào cisco12345 trong trường Password. Nhấn Yes.
d. Chọn Edit Preferences để cấu hình SDM cho phép xem trước các lệnh
trước khi gửi chúng đến router. Trong cửa sổ User Preferences, chọn Preview
commands before delivering to router và nhấn OK.
a. Chọn nút Configure ở trên cùng của màn hình SDM và sau đó nhấn nút
VPN. Chọn Site-to-Site VPN từ danh sách của các tùy chọn. Tùy chọn mặc định
là Create Site-to-Site VPN.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
Giao diện Create Site-to-Site VPN
b. Chọn nút Launch the selected task để bắt đầu SDM Site-to-Site VPN
wizard.
c. Từ cửa sổ Site-to-Site VPN wizard ban đầu, Chọn Step by Step wizard, và
sau đó chọn Next.
Bước 4: Cấu hình các thiết lập thông tin kết nối VPN cơ bản.
a. Từ cửa sổ VPN Connection Information, chọn cổng cho kết nối, nên là R1
serial0/0.
b. Trong phần Peer Identity, Chọn Peer with static address và nhập địa chỉ
IP của peer R3 ở xa cổng s0/0 (10.2.2.1).
c. Trong phần Authentication, Chọn Pre-shared keys và nhập vào khóa pre-
shared VPN là cisco12345. Nhập lại khóa để xác nhận và nhấn Next.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
Giao diện VPN Connection Information
Bước 5: Cấu hình các thông số chính sách IKE.
a. Cửa sổ IKE Proposals, một đề xuất chính sách mặc định được hiển thị.
Chọn nút Add để tạo một chính sách IKE mới.
b. Thiết lập chính sách an ninh như trong hộp thoại Add IKE Policy bên dưới.
Khi hoàn tất, nhấn OK để thêm chính sách. Sau đó nhấn Next.
a. Một SDM transform set mặc định được hiển thị. Chọn nút Add để tạo mới
một transform set.
b. Thiết lập transform set như hộp thoại Transform Set dưới đây. Khi hoàn
tất, nhấn OK để thêm transform set. Sau đó nhấn Next.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
Hộp thoại Add Transform Set
Bước 7: Xác định lưu lượng quan tâm.
Trong cửa sổ Traffic to protect, nhập thông tin như bên dưới. Khi hoàn tất,
nhấn Next.
a. Cửa sổ xem lại cấu hình tóm tắt Summary of the Configuration. Không
chọn vào mục Test VPN connectivity after configuring. Sau đó, chọn finish.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
Giao diện Summary of the Configuration
b. Trong cửa sổ Deliver Configuration to router window, chọn Save running
config to router’s startup config và nhấn nút Deliver. Sau khi các lệnh được giao
đến router, nhấn OK.
Bước 1: Sử dụng SDM trên R1 để tạo ra một cấu hình mirror cho R3.
a. Trên R1, Chọn VPN Site-to-Site VPN và chọn tab Edit Site-to-Site VPN.
b. Chọn chính sách VPN vừa cấu hình trên R1 và nhấn nút Generate Mirror
phía dưới bên phải của cửa sổ. Cửa sổ Generate Mirror hiển thị các lệnh cần
thiết để cấu hình R3 như một VPN peer.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
a. Chọn nút Save để tạo một file text.
b. Lưu các lệnh ra desktop hoặc vị trí khác và đặt tên nó là VPN-Mirror-Cfg-
for-R3.txt.
c. Chỉnh sửa tập tin để loại bỏ các text giải thích ở đầu và các mục sau mô
tả lệnh crypto map SDM_CMAP_1.
a. Trên R3, vào chế độ privileged EXEC và chế độ global config sau đó.
b. Sao chép các lệnh từ tập tin text vào CLI R3.
R3(config)#interface s0/0
R3(config-if)#crypto map SDM_CMAP_1
Bước 3: Kiểm tra cấu hình VPN trên R3 sử dụng Cisco IOS.
a. Trên R3, sử dụng lệnh show crypto isakmp policy để hiển thị cấu hình các
chính sách ISAKMP.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
authentication method: Pre-Shared Key
Diffie-Hellman group: #5 (1536 bit)
lifetime: 28800 seconds, no volume limit
b. Sử dụng lệnh show crypto ipsec transform-set để hiển thị các chính sách
IPsec cấu hình trong form của các transform set.
c. Sử dụng lệnh show crypto map để hiển thị các crypto map sẽ được áp
dụng đến R3.
a. Trên R1, sử dụng SDM để kiểm tra đường hầm IPsec VPN giữa hai router.
Chọn VPN > Site-to-Site VPN và chọn tab Edit Site-to-Site VPN.
b. Từ tab Edit Site to Site VPN, chọn VPN và kích chọn Test Tunnel.
c. Khi cửa sổ VPN Troubleshooting hiển thị, nhấn nút Start để SDM bắt đầu
Troubleshooting tunnel.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
d. Khi cửa sổ SDM Warning hiển thị chỉ ra rằng SDM sẽ cho phép router
debug và tạo ra một số lưu lượng đường hầm, chọn Yes để tiếp tục.
e. Trong cửa sổ VPN Troubleshooting tiếp theo, địa chỉ IP của R1 cổng fa0/0
trong source network được hiển thị bởi mặc định (192.168.1.1). Nhập địa chỉ IP
của R3 cổng fa0/1 trong trường destination network (192.168.3.1) và nhấn
Continue để bắt đầu quá trình debug.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
h. Ban hành lệnh show crypto isakmp sa trên R3 để xem security association
được tạo ra.
i. Sử dụng lệnh show crypto ipsec sa trên R3, để xem số gói tin được
chuyển đổi giữa R1 và R3.
interface: Serial0/0/1
Crypto map tag: SDM_CMAP_1, local addr 10.2.2.1
CuuDuongThanCong.com https://fb.com/tailieudientucntt
conn id: 2007, flow_id: FPGA:7, crypto map: SDM_CMAP_1
sa timing: remaining key lifetime (k/sec): (4558294/3037)
IV size: 16 bytes
replay detection support: Y
Status: ACTIVE
inbound ah sas:
outbound ah sas:
Bắt và phân tích gói tin ISAKMP và ESP trên wireshark, trả lời các câu hỏi
sau:
1. Có bao nhiêu loại exchange type trong các gói tin ISAKMP?
2. ISAKMP sử dụng dịch vụ UDP hay TCP ? Số hiệu cổng bao nhiêu?
3. Trong các loại Exchange Type, loại Exchange Type nào có chứa
Security Association (SA)?
CuuDuongThanCong.com https://fb.com/tailieudientucntt
4. Thuật toán mã hóa gì được sử dụng?
6. Người gửi và người nhận có địa chỉ IP gì? Giá trị SPI tương ứng? Giá trị
này dùng để làm gì?
CuuDuongThanCong.com https://fb.com/tailieudientucntt
Bài thực hành số 7: Remote-Access VPN
III. Giới thiệu
Remote-access VPN cho phép người dùng cá nhân truy cập an toàn vào các
nguồn tài nguyên của công ty bằng cách thiết lập một đường hầm được mã hóa
trên mạng Internet. Một số giao thức thường thường được sử dụng trong
remote-access VPN như: PPTP, L2TP, L2F, và IPSEC.
Trong bài thực hành này, xây dựng một mạng lưới nhiều router và cấu hình
các router và host. Cấu hình một remote access IPsec VPN giữa một máy client
(PC-A) và một mạng công ty mô phỏng (R3). Bắt đầu bằng cách sử dụng SDM
để cấu hình một zoned-based firewall (ZBF) để ngăn chặn các kết nối từ bên
ngoài mạng công ty. Cũng có thể sử dụng SDM để cấu hình Cisco Easy VPN
Server trên router R3. Tiếp theo, Cấu hình Cisco VPN Client trên PC-A và kết nối
đến R3 thông qua một router giả lập ISP (R2).
CuuDuongThanCong.com https://fb.com/tailieudientucntt
Bảng địa chỉ IP
Yêu cầu
- Cấu hình cơ bản cho 3 router: host name, địa chỉ ip cho các cổng, mật
khẩu truy cập và định tuyến tĩnh.
-Cấu hình Router R3 để hỗ trợ Cisco Easy VPN Server sử dụng SDM.
-Cấu hình Cisco VPN Client trên PC-A và kết nối đến R3.
-3 router (Cisco IOS C3725 , phiên bản 12.4(20)T hoặc tương đương)
CuuDuongThanCong.com https://fb.com/tailieudientucntt
Hướng dẫn cấu hình
Router R1
Router R2
R2#configure terminal
Router(config# hostname R2
R2(config)# interface s0/0
R2(config-if)# no shutdown
R2(config-if)# ip address 10.1.1.2 255.255.255.252
R2(config)# exit
R2(config)# interface s0/1
R2(config-if)# no shutdown
R2(config-if)# ip address 10.2.2.2 255.255.255.252
Router R3
R3#configure terminal
Router(config# hostname R3
R3(config)# interface f0/0
R3(config-if)# no shutdown
R3(config-if)# ip address 192.168.3.1 255.255.255.0
CuuDuongThanCong.com https://fb.com/tailieudientucntt
R3(config)# exit
R3(config)# interface s0/0
R3(config-if)# no shutdown
R3(config-if)# ip address 10.2.2.1 255.255.255.252
Cấu hình một xung nhịp cho cổng serial của router (cổng s0/0 R1 và cổng
s0/1 R2) và vô hiệu hóa tra cứu DNS:
Router R1
R1(config)#interface S0/0
R1(config-if)#clock rate 64000
R1(config)#no ip domain-lookup
Router R2
R2(config)#interface S0/1
R2(config-if)#clock rate 64000
R2(config)#no ip domain-lookup
Router R3
R3(config)#no ip domain-lookup
Cấu hình độ dài mật khẩu tối thiểu là 10 ký tự, sử dụng lệnh security
passwords để thiết lập và mã hóa mật khẩu console, vty; sử dụng lệnh service
password-encryption:
CuuDuongThanCong.com https://fb.com/tailieudientucntt
Cấu hình các đường console và vty cơ bản:
- Cấu hình mật khẩu console. Để thêm an toàn, sử dụng lệnh exec-timeout
gây ra các dòng log sau 5 phút không hoạt động và lệnh logging
synchronous ngăn chặn thông điệp console làm gián đoạn nhập lệnh
Router(config)#line console 0
Router(config-line)#password ciscoconpass
Router(config-line)#exec-timeout 5 0
Router(config-line)#login
Router(config-line)#logging synchronous
Router(config)#line vty 0 4
Router(config-line)#password ciscovtypass
Router(config-line)#exec-timeout 5 0
Router(config-line)#login
Cấu hình một biểu ngữ cảnh báo đăng nhập trên router R1 và R3
PC-A
PC-C
CuuDuongThanCong.com https://fb.com/tailieudientucntt
Kiểm tra kết nối giữa PC-A và R3
Từ PC-A, ping thành công R3 cổng s0/0 tại địa chỉ 10.2.2.1
Bước 1: Cấu hình HTTP truy cập router và một người dùng trước khi bắt đầu
SDM.
b. Tạo một tài khoản admin01 trên R3 với mức quyền 15 và một mật khẩu
admin01pass.
Bước 2: Truy cập SDM và thiết lập tùy chọn gửi lệnh.
a. Chạy ứng dụng SDM trên PC-C. Bắt đầu SDM bằng cách nhập địa chỉ IP
của R3 cổng fa0/0 192.168.3.1 trong trường địa chỉ.
b. Đăng nhập với không người dùng và kích hoạt mật khẩu enable secret là
cisco12345.
c. Trong hộp thoại Authentication Required, nhập cisco12345 trong trường
Password và nhấn OK.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
d. Nếu hộp thoại IOS IPS Login xuất hiện, nhập mật khẩu enable secret là
cisco12345.
e. Chọn Edit Preferences để cho phép xem trước các lệnh trước khi gửi
chúng đến router. Trong cửa sổ User Preferences, chọn Preview commands
before delivering to router và nhấn OK.
Bước 1: Sử dụng SDM Firewall wizard để cấu hình một zone-based firewall
(ZBF) trên R3.
a. Nhấn nút Configure ở trên cùng của màn hình SDM và sau đó nhấn vào
Firewall and ACL.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
Giao diện Basic Firewall Configuration wizard
d. Trong cửa sổ tiếp theo, Chọn Low Security cho mức bảo mật và nhấn
Next.
e. Trong cửa sổ Summary, chọn Finish.
f. Chọn Deliver để gửi các lệnh đến router. Nhấn OK trong cửa sổ
Commands Delivery Status. Nhấn OK trên cửa sổ Information. Bạn quay trở lại
tab Edit Firewall Policy như hình dưới đây.
a. Từ PC-C, ping thành công R2 cổng s0/1 tại địa chỉ IP 10.2.2.2.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
C:\Documents and Settings\Administrator>ping 10.2.2.2
b. Từ router R2 bên ngoài, Ping không thành công PC-C tại địa chỉ IP
192.168.3.3
R2#ping 192.168.3.3
Bước 1: Khởi động Easy VPN Server wizard và cấu hình dịch vụ AAA.
a. Nhấn nút Configure ở phía trên cùng của màn hình chính SDM. Nhấn nút
VPN để xem trang cấu hình VPN.
b. Chọn Easy VPN Server từ cửa sổ VPN chính, và sau đó nhấn Launch Easy
VPN Server Wizard.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
Giao diện Easy VPN Server
c. Easy VPN Server wizard kiểm tra cấu hình router để xem nếu AAA được
kích hoạt. Nếu AAA không được kích hoạt, cửa sổ Enable AAA hiển thị. AAA phải
được kích hoạt trên router trước khi bắt đầu cấu hình Easy VPN Server. Nhấn
Yes để tiếp tục với cấu hình.
d. Khi được nhắc để gửi cấu hình đến router, nhấn Deliver.
e. Trong cửa sổ Command Delivery Status, nhấn OK. Khi một thông điệp
“AAA has been successfully enabled on the router” hiển thị, nhấn OK.
f. Khi quay lại cửa sổ Easy VPN Server wizard, nhấn Next.
g. Bây giờ AAA đã được kích hoạt, có thể bắt đầu Easy VPN Server wizard
bằng cách nhấn nút Launch Easy VPN Server Wizard. Sau đó nhấn Next.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
Giao diện Easy VPN Server Wizard
Bước 2: Cấu hình cổng đường hầm ảo và xác thực.
a. Chọn cổng mà client kết nối. Nhấn vào nút Unnumbered to và chọn cổng
Serial0/0 từ menu thả xuống.
b. Chọn Pre-shared Keys cho loại xác thực và nhấn Next để tiếp tục.
a. Trong cửa sổ IKE Proposals, IKE Proposals mặc định được sử dụng cho
R3.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
Giao diện IKE Proposals
b. Nhấn Next để chấp nhận chính sách IKE mặc định.
a. Trong cửa sổ transform set, SDM transform set mặc định được sử dụng.
a. Trong cửa sổ Group Authorization and Group Policy Lookup, chọn tùy
chọn Local.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
Giao diện Group Authorization and Group Policy Lookup
b. Nhấn Next để tạo một danh sách phương pháp AAA mới cho group policy
lookup mà sử dụng cơ sở dữ liệu router cục bộ.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
c. Cửa sổ User Accounts, nhấn nút Add để thêm người dùng khác. Nhập tên
người dùng VPNuser1 với một mật khẩu VPNuser1pass. Chọn encrypting the
password using the MD5 hash algorithm. Chọn 1 trong mục privilege level.
a. Trong cửa sổ Group Authorization and User Group Policies, phải tạo ít
nhất một group policy cho VPN server.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
Giao diện group authorization and user group policies
b. Nhấn Add để tạo một group policy.
c. Trong cửa sổ Add Group Policy, nhập VPN-Access như tên của group này.
Nhập một pre-shared key mới là cisco12345 và sau đó nhập lại nó.
d. Chọn vào Pool Information và nhập địa chỉ bắt đầu 192.168.3.100 và địa
chỉ kết thúc 192.168.3.150 và subnet mask 255.255.255.0.
e. Nhập 50 cho dòng Maximum Connections Allowed.
f. Nhấn OK để chấp nhận các thành phần.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
g. Một thông điệp SDM warning xuất hiện chỉ ra rằng địa chỉ IP trong pool và
địa chỉ IP của cổng FastEthernet0/0 trong cùng một subnet. Nhấn Yes để tiếp
tục.
h. Khi quay lại cửa sổ Group Authorization, chọn Configure Idle Timer và
nhập vào 1 giờ. Điều này sẽ ngắt kết nối idle user nếu không có hoạt động
trong một giờ và cho phép những người khác kết nối. Nhấn Next để tiếp tục.
Giao diện group authorization and user group policies sau khi tạo group
i. Khi cửa sổ Cisco Tunneling Control Protocol (cTCP) xuất hiện, không cho
phép cTCP. Nhấn Next để tiếp tục.
j. Khi cửa sổ Easy VPN Server Passthrough Configuration xuất hiện, hãy
chắc rằng Action Modify đã được chọn. Nhấn OK để tiếp tục.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
Bước 8: Xem lại tóm tắt cấu hình và cung cấp các lệnh.
a. Di chuyển qua các lệnh mà SDM sẽ gửi đến router. Không chọn mục test
VPN. Nhấn Finish.
b. Khi được nhắc để cung cấp cấu hình cho router, nhấn Deliver.
a. Quay trở lại cửa sổ chính của VPN với tab Edit Easy VPN Server được
chọn. Nhấn nút Test VPN Server ở phía dưới bên phải của màn hình.
b. Trong cửa sổ VPN Troubleshooting, nhấn nút Start. Màn hình sẽ trông
giống như hình dưới đây. Nhấn OK để đóng cửa sổ information. Nhấn Close để
thoát cửa sổ VPN Troubleshooting.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
Giao diện VPN Troubleshooting
Sử dụng Cisco VPN Client để Test Remote Access VPN
Trong bài thực hành này sử dụng Cisco VPN Client 4.8.02.0010 cho Windows
XP. Giải nén tập tin .exe hoặc .zip và bắt đầu cài đặt. Chấp nhận giá trị mặc
định khi được nhắc. Nhấn Finish khi VPN Client được cài đặt thành công. Nhấn
Yes để khởi động lại máy tính để những thay đổi cấu hình có hiệu lực.
a. Bắt đầu Cisco VPN Client và chọn Connection Entries New hoặc nhấn
New icon với dấu cộng màu đỏ (+).
CuuDuongThanCong.com https://fb.com/tailieudientucntt
Giao diện chính VPN Client
b. Nhập thông tin sau đây để xác định các mục kết nối mới. Nhấn Save khi
hoàn thành.
- Connection Entry: VPN-R3
- Description: Kết nối đến mạng nội bộ R3
- Host: 10.2.2.1 (địa chỉ IP của R3 cổng s0/0)
- Group Authentication Name: VPN-Access
- Password: cisco12345
- Confirm Password: cisco12345
Từ PC-A, ping không thành công PC-C địa chỉ IP 192.168.3.3. Vì PC-A vẫn
được cấu hình địa chỉ IP (192.168.1.3) và bị chặn bởi tường lửa.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
Request timed out.
Request timed out.
Request timed out.
Request timed out.
a. Chọn kết nối VPN-R3 đã được tạo mới và nhấn biểu tượng Connect.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
Hộp thoại Statistics
Bước 4: Kiểm tra truy cập PC-A client sử dụng kết nối VPN.
a. Với kết nối VPN từ PC-A đến router R3 được kích hoạt, PC-A ping thành
công PC-C địa chỉ IP 192.168.3.3. PC-A có một địa chỉ IP (192.168.3.100 trong
trường hợp này) mà được gán bởi VPN server. PC-A có thể truy cập PC-C nội bộ
trên mạng 192.168.3.0/24 vì cả hai host cùng một subnet.
Bước 5: Kiểm tra thông điệp Cisco IOS trên R3 khi đường hầm được tạo.
Mở console R3 và vị trí thông điệp hiển thị chỉ ra rằng cổng ảo Virtual-
Access2 đã đưa ra khi VPN Client kết nối được thực hiện.
R3#
CuuDuongThanCong.com https://fb.com/tailieudientucntt
*Feb 20 12:09:08.907: %LINEPROTO-5-UPDOWN: Line protocol on Interface
Virtual-Access2, changed state to up
Bước 6: Kiểm tra thông tin kết nối VPN cho PC-A.
Từ dấu nhắc lệnh PC-A, sử dụng lệnh ipconfig/all để xem các kết nối mạng.
Windows IP Configuration
Ethernet adapter Local Area Connection:
CuuDuongThanCong.com https://fb.com/tailieudientucntt
Bài thực hành số 8: TỔNG HỢP
Sơ đồ mạng
Yêu cầu:
CuuDuongThanCong.com https://fb.com/tailieudientucntt
-Trên switch SW: Tạo vlan 10,20; gán interface vào vlan; cấu hình
trunking. Trên router R3: Định tuyến interVLAN routing đảm bảo các
PC (C3 và C4) thuộc 2 vlan thấy nhau.
+ Cấm máy C1 thực hiện lệnh ping nhưng cho phép truy cập web vào
máy C3 bằng địa chỉ IP (cấm truy cập web bằng tên miền).
+ Cho phép mạng 30.0.0.0/8 truy cập web trên máy C3 bằng tên
miền.
+ Cho phép các gói tin ICMP xuất phát từ VLAN10 được phép truy cập
ra bên ngoài (router R1, R2, máy C1 và C2). Tất cả mọi loại dữ liệu từ
bên ngoài đi vào VLAN10 đều bị cấm, ngoại trừ gói tin trả về cho gói tin
ICMP đã đi ra trước đó.
+ Cấu hình Radius Server trên máy C4 (sử dụng phần mềm Cisco-ACS
phiên bản 4.2 để cài đặt và cấu hình).
+ Mở phiên kết nối telnet từ máy C1 vào router R2 sử dụng tài khoản
tạo trên Radius Server để xác thực và truy cập.
R1
R1#conf t
R1(config)#int f0/0
R1(config-if)#ip add 10.0.0.36 255.0.0.0
CuuDuongThanCong.com https://fb.com/tailieudientucntt
R1(config-if)#no shut
R1(config)#int f0/1
R1(config-if)#ip add 30.0.0.36 255.0.0.0
R1(config-if)#no shut
R1(config-if)#exit
R1(config)#int s1/0
R1(config-if)#ip add 192.168.1.30 255.255.255.0
R1(config-if)#no shut
R2
R2#conf t
R2(config)#int s1/0
R2(config-if)#ip add 192.168.1.36 255.255.255.0
R2(config-if)#no shut
R2(config-if)#exit
R2(config)#int s1/1
R2(config-if)#ip add 192.168.2.30 255.255.255.0
R2(config-if)#no shut
R3
R3#conf t
R3(config)#int s1/0
R3(config-if)#ip add 192.168.2.36 255.255.255.0
R3(config)#no shut
C1:
C2:
CuuDuongThanCong.com https://fb.com/tailieudientucntt
C3:
C4:
- Tạo Vlan, gán vlan vào interface, cấu hình trunking trên switch sw
và định tuyến interVLAN routing trên router R3:
sw#vlan database
sw(vlan)#vlan 10
sw(vlan)#vlan 20
+ Gán vlan 10 vào interface f0/1, vlan 20 vào interface f0/2 trên switch sw:
Sw#config t
Sw(config)#interface f0/1
Sw(config-if)#switchport mode access
Sw(config-if)#switchport access vlan 10
Sw(config)#interface f0/2
Sw(config-if)#switchport mode access
CuuDuongThanCong.com https://fb.com/tailieudientucntt
Sw(config-if)#switchport access vlan 20
sw#config t
sw(config)# interface f0/0
sw(config-if)# switchport mode trunk
+ Cấu hình định tuyến interVLAN routing trên router R3, đảm bảo 2 máy tính
thuộc vlan 10 và 20 kết nối thành công.
R3#conf t
R3(config)#interface f0/0.10
R3(config-if)# encapsulation dot1Q 10
R3(config-if)#ip add 20.10.0.30 255.255.0.0
R3(config)#interface f0/0.20
R3(config-if)# encapsulation dot1Q 20
R3(config-if)#ip add 20.20.0.30 255.255.0.0
- Cấu hình định tuyến RIP version 2 trên R1, R2, R3:
R1
R1#conf t
R1(config)#router rip
R1(config)#version 2
R1(config-router)#network 192.168.1.0
R1(config-router)#network 10.0.0.0
R1(config-router)#network 30.0.0.0
R1(config-router)#no auto-summary
R2
R2#conf t
R2(config)#router rip
R2(config)#version 2
R2(config-router)#network 192.168.1.0
R2(config-router)#network 192.168.2.0
R2(config-router)#no auto-summary
CuuDuongThanCong.com https://fb.com/tailieudientucntt
R3
R3#conf t
R3(config)#router rip
R3(config)#version 2
R3(config-router)#network 192.168.2.0
R3(config-router)#network 20.10.0.0
R3(config-router)#network 20.20.0.0
R3(config-router)#no auto-summary
+ Kiểm tra định tuyến: Thực hiện lệnh Ping từ máy C1 đến máy C2, C3 và C4
CuuDuongThanCong.com https://fb.com/tailieudientucntt
Giao diện cấu hình DNS
+ Kết quả truy cập vào dịch vụ web bằng tên miền từ máy C1,C2,C4 vào máy
C3:
CuuDuongThanCong.com https://fb.com/tailieudientucntt