Professional Documents
Culture Documents
AN TOÀN MẠNG
Ấn bản 2014
MỤC LỤC I
MỤC LỤC
MỤC LỤC ...................................................................................................................I
HƯỚNG DẪN ............................................................................................................. V
BÀI 1: TỔNG QUAN VỀ AN TOÀN MẠNG ...................................................................... 1
1.1 GIỚI THIỆU ........................................................................................................ 1
1.1.1 Khái niệm an toàn mạng .................................................................................. 1
1.1.2 Tính bí mật ..................................................................................................... 2
1.1.3 Tính toàn vẹn ................................................................................................. 2
1.1.4 Tính khả dụng ................................................................................................. 3
1.2 CÁC MÔ HÌNH BẢO MẬT ...................................................................................... 3
1.2.1 Mô hình CIA (Confidentiality-Integrity-Availability) .............................................. 3
1.2.2 Mô hình PARKERIAN HEXAD.............................................................................. 4
1.2.3 Mô hình nguy cơ STRIDE .................................................................................. 4
1.3 CHIẾN LƯỢC AN NINH MẠNG AAA ....................................................................... 5
1.3.1 Điều khiển truy cập ......................................................................................... 5
1.3.2 Xác thực ........................................................................................................ 8
1.3.3 Kiểm tra ....................................................................................................... 10
1.4 CÁC NGUY CƠ MẤT AN NINH MẠNG ................................................................... 11
1.4.1 Phân loại ...................................................................................................... 11
1.4.2 Thách thức an ninh ........................................................................................ 11
1.5 TẤN CÔNG MẠNG .............................................................................................. 12
1.5.1 Các phương thức tấn công cơ bản .................................................................... 13
1.5.2 Các mục tiêu tấn công ................................................................................... 14
1.6 NGUYÊN TẮC XÂY DỰNG MỘT HỆ THỐNG BẢO MẬT ............................................ 15
1.6.1 Chính sách và cơ chế bảo mật ......................................................................... 15
1.6.2 Các mục tiêu của bảo mật hệ thống ................................................................. 16
TÓM TẮT ................................................................................................................ 17
CÂU HỎI ÔN TẬP .................................................................................................... 17
BÀI 2: CÁC KỸ THUẬT TẤN CÔNG THĂM DÒ ............................................................... 19
2.1 GIỚI THIỆU ...................................................................................................... 19
2.2 TRUY VẾT-FOOTPRINTING ............................................................................... 20
2.2.1 Khái niệm ..................................................................................................... 20
2.2.2 Thu thập thông tin tên miền ........................................................................... 20
2.2.3 Thu thập thông tin Email ................................................................................ 23
2.2.4 Thu thập thông tin sử dụng Traceroute ............................................................ 24
2.3 QUÉT-SCANNING .............................................................................................. 25
2.3.1 Giới thiệu ..................................................................................................... 25
2.3.2 Phân loại ...................................................................................................... 25
2.3.3 Các phương pháp quét ................................................................................... 26
2.4 LIỆT KÊ - ENUMERATION .................................................................................. 32
II MỤC LỤC
8.1.4 Lý thuyết mật mã hỗ trợ xây dựng ứng dụng bảo mật thông tin ......................... 150
8.2 CÁC GIAO THỨC BẢO MẬT MẠNG ..................................................................... 155
8.2.1 Tổng quan Kerberos ..................................................................................... 155
8.2.2 SSL ............................................................................................................ 158
8.2.3 IPSEC ......................................................................................................... 165
TÓM TẮT .............................................................................................................. 174
CÂU HỎI ÔN TẬP .................................................................................................. 174
BÀI 9: MẠNG RIÊNG ẢO - VPN ................................................................................. 175
9.1 TỔNG QUAN VPN ............................................................................................ 175
9.1.1 Định nghĩa .................................................................................................. 175
9.1.2 Các chức năng ............................................................................................. 175
9.1.3 Lợi ích của VPN ............................................................................................ 176
9.1.4 Phân loại ..................................................................................................... 177
9.2 CÁC GIAO THỨC CƠ BẢN TRONG VPN .............................................................. 182
9.2.1 Kiến trúc tổng quát các bước xử lý của VPN ..................................................... 182
9.2.2 Giao Thức PPTP ............................................................................................ 183
9.2.3 Giao thức PPP .............................................................................................. 186
9.3 MINH HỌA VPN............................................................................................... 192
TÓM TẮT .............................................................................................................. 211
CÂU HỎI ÔN TẬP .................................................................................................. 211
PHỤ LỤC: DANH SÁCH BÀI TẬP THỰC HÀNH .......................................................... 212
Bài thực hành số 1: SNIFFING-CAIN & ABEL ............................................................ 212
Bài thực hành số 2: AAA, RADIUS ........................................................................... 239
Bài thực hành số 3: ACL ........................................................................................ 256
Bài thực hành số 4: Hệ thống phát hiện và ngăn chặn xâm nhập IPS .......................... 269
Bài thực hành số 5: SSH, NTP, SYSLOG, AUTOSECURE ............................................. 282
Bài thực hành số 6: SITE-TO-SITE VPN ................................................................... 312
Bài thực hành số 7: Remote Access VPN .................................................................. 336
Bài thực hành số 8: TỔNG HỢP .............................................................................. 358
TÀI LIỆU THAM KHẢO ........................................................................................... 365
HƯỚNG DẪN V
HƯỚNG DẪN
MÔ TẢ MÔN HỌC
Do các ứng dụng trên mạng Internet ngày các phát triển và mở rộng, nên an toàn
thông tin trên mạng đã trở thành nhu cầu bắt buộc cho mọi hệ thống ứng dụng. Vì
vậy, An toàn mạng là môn học không thể thiếu của sinh viên ngành mạng. Mục đích
của môn học này là cung cấp cho sinh viên kiến thức về các vấn đề an ninh mạng
hiện nay và giải pháp tổng thể trong việc triển khai mạng an toàn.
Bài 2: Bài học cung cấp các khái niệm về footprinting, scanning, và enumeration,
các công cụ phần mềm hỗ trợ thực hiện và các giải pháp phòng tránh. Kỹ thuật
footprinting cho phép điều tra thông tin nạn nhân như các công nghệ Internet đang
VI HƯỚNG DẪN
được sử dụng, hệ điều hành, phần cứng, hoạt động địa chỉ IP, địa chỉ e-mail và số
điện thoại, và tập đoàn chính sách và thủ tục. Kỹ thuật scanning thu thập như tên
máy, địa chỉ ip, cấu hình máy tính, hệ điều hành, dịch vụ đang chạy, port đang mở.
Kỹ thuật enumeration là quá trình trích xuất tên người dùng, tên máy, tài nguyên
mạng, các chia sẻ, và cá dịch vụ từ một hệ thống. Kỹ thuật này được tiến hành trong
một môi trường mạng nội bộ.
Bài 3: Bài học cung cấp kiến thức tổng quan về các bước tấn công mạng của
Hacker. Các bước tấn công mạng gồm có: (1) Thu thập thông tin để giành quyền truy
cập; (2) Tạo ra user có đặt quyền trên hệ thống hoặc nâng quyền hạn của user đã
thu thập được; (3) Tạo và duy trì backdoor để truy cập; (4) Che dấu các tập tin độc
hại và (5) Xóa dấu vết. Để thu thập thông tin thi Hacker ta sử dụng các kỹ thuật của
bài học 2 (footprinting, scanning, enumeration). Khi có thông tin về đối tượng thì
Hacker sẽ tấn công mật khẩu để giành quyền truy cập hệ thống. Tăng đặc quyền
(Escalating Privileges) là thêm nhiều quyền hơn cho một tài khoản người dùng.
Hacker có tài khoản đặc quyền sẽ truy cập cấp quản trị viên để cài đặt chương trình.
Một khi Hacker đã có thể truy cập tài khoản với quyền quản trị, Hacker sẽ thực thi các
ứng dụng trên hệ thống đích. Mục đích của việc thực thi ứng dụng có thể cài đặt một
cửa sau trên hệ thống, cài đặt một keylogger để thu thập thông tin bí mật, sao chép
các tập tin, … Hacker cần che dấu các tập tin trên một hệ thống nhằm ngăn chặn bị
phát hiện.
Bài 4: Bài giảng cung cấp kiến thức cho sinh viên các khái niệm, mối đe dọa, cơ
chế hoạt động chung của tấn công nghe lén. Nghe lén là một tiến trình cho phép giám
sát cuộc gọi và cuộc hội thoại internet bởi thành phần thứ ba. Hacker để thiết bị lắng
nghe giữa mạng mang thông tin như hai thiết bị điện thoại hoặc hai thiết bị đầu cuối
trên internet. Các kỹ thuật nghe lén gồm có hai loại: nghe lén thụ động và nghe lén
chủ động. Nghe lén thụ động như là thực hiện nghe lén thông qua một Hub. Nghe lén
chủ động được thực hiện trên Switch. Các kỹ thuật nghe lén chủ động: tấn công MAC,
Tấn công DHCP, Tấn công đầu độc ARP, Tấn công đầu độc DNS. Các giải pháp ngăn
chặn nghe lén là kích hoạt bảo mật port (ví dụ DHCP Snooping).
Bài 5: Bài học cung cấp kiến thức về việc xây dựng một hệ thống mạng bảo mật
gồm có: (1) Các giải pháp và lộ trình xây dựng bảo mật hạ tầng mạng, (2) thiết kế
mô hình mạng an toàn, (3) chính sách an toàn mạng và (4) bảo mật cho thiết bị
HƯỚNG DẪN VII
router, switch. Để có thể xây dựng một hệ thống mạng đảm bảo tính an toàn cần
phải có lộ trình xây dựng hợp lý giữa yêu cầu và chi phí, để từ đó lựa chọn giải pháp
phù hợp. Giải pháp phù hợp nhất phải cân bằng được các yếu tố: yêu cầu, giá thành
giải pháp, tính năng, hiệu năng của hệ thống. Giải pháp an ninh hạ tầng mạng bao
gồm 4 mảng: (1) lý thuyết về Security, (2) kỹ năng tấn công, (3) kỹ năng cấu hình
phòng thủ, và (4) lập chính sách an toàn thông tin. Xây dựng chính sách an toàn
mạng là bước hoàn thiện một môi trường làm việc và hoạt động theo chuẩn bảo mật.
Hiện nay nước ta có rất nhiều đơn vị đang xây dựng chính sách bảo mật theo chuẩn
ISO 27001, sử dụng mô hình ISMS. Để kiểm soát dữ liệu, Routers sử dụng ACL và
Switch thi thực hiện chia Lan ảo.
Bài 6: Bài học này trình bày các khái niệm về tường lửa, các chức năng, nguyên lý
họa động, cách triển khai tường lừa trong mô hình mạng và các loại tường lửa hiện
nay trên mạng. Firewall là một kỹ thuật được tích hợp vào hệ thống mạng để chống
sự truy cập trái phép, nhằm bảo vệ các nguồn thông tin nội bộ và hạn chế sự xâm
nhâp không mong muốn vào hệ thống. Chức năng chính của Firewall là kiểm soát
luồng thông tin từ giữa Intranet và Internet. Thiết kế firewall phù hợp với hệ thống
mạng là rất quan trọng, dưới đây trình bày một số mô hình triển khai firewall: (1)
firewall làm chức năng Packet Filter, (2) firewall áp dụng cho vùng DMZ và (3) mô
hình mạng tích hợp. Bài học trình bày cách sử dụng một số tường lửa phổ biển hiện
nay trong việc triển khai các hệ thống mạng an toàn như IPtable, ASA và proxy
Server SQUID.
Bài 7: Bài học trình bày các khái niệm về hệ thống phát hiện xâm nhập, kiến trúc
hoạt động, phân loại IDS. Để minh họa hệ thống phát hiện xâm nhập bằng phần mềm
IDS snort, cách cài đặt, thiết lập rule cảnh báo, và giám sát hoạt động của nó. Hệ
thống phát hiện xâm nhập gồm có các thành phần chính như: thành phần phân tích
gói tin, thành phần phát hiện tấn công, và thành phần phản ứng. Hệ thống phát chặn
xâm nhập nhận biết tấn công và ngăn chăn thông qua các kỹ thuật như nhận biết qua
dấu hiệu, nhận biết qua sự bất thường về lưu lượng, nhập biết qua chính sách thiết
lập, nhân biết qua sự phân tích giao thức. Bài giảng trình bày hệ thống IPS của Cisco
hoạt động ở lớp mạng để minh họa tính năng hoạt động của hệ thống phát hiện xâm
nhập.
VIII HƯỚNG DẪN
Bài 8: Bài giảng cung cấp cho sinh viên kiến thức về vấn đề bảo mật thông tin: các
thách thức, kiến trúc an toàn thông tin OSI, và các thuật toán mật mã cho phép cài
đặt các dịch vụ của mô hình OSI. Kiến trúc an toàn OSI gồm có 5 dịch vụ bảo mật:
Xác thực các bên tham gia, Điều khiển truy cập, Bảo mật dữ liệu, kiểm tra tính toàn
vẹn, và chống chối bỏ. Các thuật toán mã hóa cần thiết để cài đặt các dịch vụ này là:
DES, 3DES, AES, RSA, DiffieHellman, Hàm băm MD5, SHA, Mã xác thực MAC. Giao
thức quản lý khóa và bảo mật dữ liệu trong mạng Domain: Kerberos. Giao thức bảo
mật dữ liệu đầu cuối SSL. Giao thức bảo mật gói dữ liệu IP: IPSEC.
Bài 9: Bài học trình bày tổng quan về mạng VPN bao gồm: định nghĩa, các chức
năng, và lợi ích của VPN. Mạng VPN có 3 loại cơ bản: mạng truy cập từ xa, mạng VPN
nội bộ và mạng VPN mở rộng. Hai giao thức cơ bản là giao thức tạo kết nối mạng
PPTP và giao thức liên kết dữ liệu cấp cao PPP. Giao thức PPP dùng để vận chuyển dữ
liệu với mạng nội bộ. Giao thức PPP hổ trợ giao thức con kiểm soát liên kết Link
Control Protocol (LCP), giao thức con kiểm soát mạng Network Control Protocol
(NCP), giao thức chứng thực như Challenge Handshake Authentication Protocol
(CHAP), Passwork Authentication Protocol (PAP), Extensible Authentication Protocol
(EAP). Ngoài ra, PPP còn hổ trợ giao thức mã hóa như Encryption Control Protocol
(ECP), Data Encryption Standard (DES), Advancde Encryption Standard (AES); Kiểm
soát băng thông: Bandwidth Allocation Control Protocol (BACP); Kiểm soát nén:
Compression Control Protocol; Có đủ khả năng phát hiện lỗi (CheckSum), tuy nhiên
không sữa lỗi; và giám sát chất lượng liên kết: Link Quality Report (LQR) và Link
Quality Monitoring(LQM).
Phụ lục: Danh sách các bài thực hành, gồm 8 bài thực hành. Bài thực hành số 1:
SNIFFING-CAIN & ABEL. Bài thực hành số 2: AAA, RADIUS. Bài thực hành số 3: ACL.
Bài thực hành số 4: Hệ thống phát hiện và ngăn chặn xâm nhập IPS. Bài thực hành
số 5: SSH, NTP, SYSLOG, AUTOSECURE. Bài thực hành số 6: SITE-TO-SITE VPN. Bài
thực hành số 7: Remote Access VPN. Bài thực hành số 8: TỔNG HỢP.
Điểm quá trình (30%) Điểm học thực hành trên phòng máy. Hình thức và nội dung
được đề cập trong giáo trình thực hành An toàn mạng.
Điểm thi (70%): Người học sẽ được phân công đồ án dưới sự hướng dẫn của Giảng
viên phụ trách môn học và vấn đáp nội dung của đồ án kết hợp với nội dung lý
thuyết trong các bài học.
BÀI 1: TỔNG QUAN VỀ AN TOÀN MẠNG 1
Bài giảng cung cấp các kiến thức tổng quan về an ninh mạng máy tính, trong đó
tập trung vào các nội dung sau:
- Người sử dụng.
Một hệ thống bảo mật là một hệ thống mà thông tin được xử lý trên nó phải đảm
bảo được ba đặc trưng sau: tính bí mật, tính toàn vẹn và tính khả dụng.
2 BÀI 1: TỔNG QUAN VỀ AN TOÀN MẠNG
- Các cơ chế và phương tiện vật lý như nơi lưu trữ, thiết bị lưu trữ, dịch vụ bảo vệ,..
- Kỹ thuật mật mã là công cụ bảo mật thông tin hữu hiệu nhất trong môi trường
máy tính.
- Kỹ thuật quản lý truy xuất được thiết lập để đảm bảo chỉ có những đối tượng được
cho phép mới có thể truy xuất thông tin.
Tính bí mật của thông tin phải được xem xét dưới hai yếu tố tách rời: (1) Bí mật về
nội dung của thông tin; (2) Bí mật về sự tồn tại của thông tin.
- Tính nguyên vẹn của nội dung thông tin: thông tin không bị thay đổi một cách
không hợp lệ trong quá trình trao đổi thông tin.
- Tính xác thực nguồn gốc của thông tin: nguồn phát thông tin phải được xác thực,
không giả danh.
Các cơ chế đảm bảo sự tồn tại nguyên vẹn của thông tin được chia thành hai loại
gồm cơ chế phát hiện và cơ chế ngăn chặn. Cơ chế phát hiện chỉ thực hiện chức năng
giám sát và thông báo khi có các thay đổi diễn ra trên thông tin bằng cách phân tích
các sự kiện diễn ra trên hệ thống mà không thực hiện chức năng ngăn chặn các hành
vi truy xuất trái phép đến thông tin. Cơ chế ngăn chặn có chức năng ngăn cản các
hành vi trái phép làm thay đổi nội dung và nguồn gốc của thông tin. Các hành vi này
bao gồm 2 nhóm: (1) Hành vi cố gắng thay đổi thông tin khi không được phép truy
xuất đến thông tin; (2) Hành vi thay đổi thông tin theo cách khác với cách đã được
cho phép.
BÀI 1: TỔNG QUAN VỀ AN TOÀN MẠNG 3
1.1.4 Tính khả dụng
Tính khả dụng của thông tin là tính sẵn sàng của thông tin cho các nhu cầu truy
cập hợp lệ của người dùng được cấp quyền. Nếu một hệ thống không khả dụng thì hai
đặc trưng còn lại sẽ vô nghĩa.
- Information Disclosure (bộ lọc thông tin) đối lập với Confidentiality.
Khi xây dựng hệ thống mạng an toàn cần chỉ ra các loại nguy cơ mà hệ thống cần
phòng trành và ngăn chặn.
BÀI 1: TỔNG QUAN VỀ AN TOÀN MẠNG 5
Mô hình điều khiển truy cập bắt buộc (MAC-Mandatory Access Control): người
quản trị điều khiển truy cập bằng cách dùng một tập luật chỉ định (chính sách bảo
mật), áp dụng bắt buộc đối với tất cả các đối tượng trong hệ thống, người dùng không
thể thay đổi được. Khi dùng MAC, hệ thống chỉ định một nhãn truy cập cho mỗi người
dùng, tiến trình hay tài nguyên hệ thống, dùng xác định các mức truy cập theo các
tập luật sau:
- Một người dùng chỉ được phép chạy các tiến trình gán nhãn cùng cấp hoặc thấp
hơn nhãn của người dùng.
- Một tiến trình chỉ được phép đọc từ các tài nguyên gán nhãn cùng cấp hoặc thấp
hơn nhãn của tiến trình.
- Một tiến trình chỉ được phép ghi vào các tài nguyên gán nhãn cùng cấp hoặc cao
hơn nhãn của tiến trình.
Một số hệ thống hỗ trợ MAC: AIX 4.3.2, Trusted Solaris 8, SELinux,… Đặc điểm của
mô hình này là được thiết lập cố định ở mức hệ thống, người sử dụng không thay đổi
tự do được. Người dùng và tài nguyên trong hệ thống được chia thành nhiều mức bảo
mật khác nhau, phản ánh độ quan trọng của tài nguyên và người dùng. Mô hình hoạt
động dựa trên cơ sở gán nhãn. Khi mô hình điều khiển bắt buộc đã được thiết lập, nó
được áp dụng với tất cả người dùng và tài nguyên trên hệ thống.
6 BÀI 1: TỔNG QUAN VỀ AN TOÀN MẠNG
- Mỗi tiến trình do người dùng chạy đều liên kết với một bản sao Access Token của
người dùng.
- Khi tiến trình thử truy cập một tài nguyên được bảo mật, tiến trình lấy thẻ dùng tài
nguyên và chỉ định tập quyền truy cập cần thiết trên tài nguyên.
BÀI 1: TỔNG QUAN VỀ AN TOÀN MẠNG 7
- Hệ thống sẽ truy cập Security Descriptor của tài nguyên và tìm trong các DACL
một ACE có SID trùng SID của Access Token liên kết tiến trình. Từ đó xác định
quyền truy cập của người dùng lên object.
Đây là mô hình được sử dụng phổ biến hiện nay, xuất hiện trong hầu hết các hệ
điều hành (Windows, Linux, Unix,…) để điều khiển truy cập đến hệ thống tập tin và
các loại tài nguyên khác. Đặc điểm của mô hình này là không được áp dụng mặc định
trên hệ thống. Người sở hữu tài nguyên thường là người tạo ra tài nguyên đó hoặc
người được gán quyền sở hữu. Người sở hữu có toàn quyền điều khiển việc truy cập
đến tài nguyên. Quyền truy cập trên một tài nguyên có thể được chuyển từ đối tượng
này sang đối tượng khác.
Hình 1.4: Thiết lập quyền người dùng trên hệ thống Microsoft (gpedit.msc).
Mô hình điều khiển truy cập theo vai trò (RBAC-Role-Based Access Control): tích
hợp phức hợp giữa MAC và DAC, tập trung quản lý nhóm thay vì quản lý người dùng.
Người quản trị gom các người dùng thành nhóm và gán quyền MAC trên cơ sở vai trò
của người dùng trong hệ thống. DAC được dùng bởi người dùng trong mỗi nhóm để
8 BÀI 1: TỔNG QUAN VỀ AN TOÀN MẠNG
quản lý các quyền mịn hơn. RBAC tập trung vào khái niệm gán vai trò. Mô hình này
được dùng trên hệ Solaris của Sun Microsystems. Đặc điểm của mô hình này là :
- Quyền truy cập được cấp dựa trên vai trò của người dùng trong hệ thống.
- Linh động hơn MAC, người quản trị bảo mật có thể cấu hình lại quyền truy cập cho
từng nhóm chức năng hoặc thay đổi thành viên giữa các nhóm.
- Đơn giản hơn DAC, không cần phải gán quyền truy cập trực tiếp đến từng người
dùng.
- Điều mà đối tượng biết (ví dụ: mật khẩu, mã PIN). Nếu một đối tượng có
smartcard truy cập một tài khoản, đối tượng đó là chủ sở hữu của tài khoản. Mật
khẩu có thể bị mất nên ghi ra giấy, cho người khác biết hoặc dễ đoán.
- Cái mà đối tượng có (ví dụ: key, smard, token). Nếu một đối tượng có smartcard
truy cấp một tài khoản, đối tượng đó là chủ sở hữu của tài khoản. Smartcard có
thể bị đánh cắp, bị sao chép.
- Đặc trưng của đối tượng: các đặc điểm nhận dạng sinh trắc học (ví dụ như vân
tay, mặt người,…)
Nhiều kỹ thuật được sử dụng phối hợp nhau để tăng độ tin cậy của cơ chế xác
thực. Có hai kiểu xác thực: xác thực một chiều và xác thực hai chiều. Xác thực một
chiều là chỉ cung cấp cơ chế để một đối tượng kiểm tra nhận dạng của đối tượng kia
mà không cung cấp cơ chế kiểm tra ngược lại. Xác thực hai chiều cho phép hai đối
tượng tham gia xác thực lẫn nhau, do đó tính chính xác của quá trình xác thực được
đảm bảo. Ví dụ giao thức bảo mật SSL cung cấp cơ chế xác thực hai chiều dùng
chứng chỉ số. Một số phương thức xác thực:
Kerberos dùng một server trung tâm (KDC – Key Distribution Center) để xác thực
hai chiều với người dùng, rồi phân phối các thẻ dịch vụ cho người dùng, cho phép họ
truy cập tài nguyên.
Xác thực dựa vào chứng chỉ số (Certificate): là phương thức xác thực rộng rãi trên
Internet. Phương thức này cung cấp khóa công khai dựa vào chứng chỉ số. Bên gửi sử
dụng khóa công khai để mã hóa dữ liệu. Chỉ có bên nhận có khóa riêng để giải mã dữ
liệu.
- Logger: ghi lại thông tin giám sát trên hệ thống trong các tập tin đặc biệt.
- Analyzer: cho phép hiển thị và phân tích kết quả kiểm tra, tức các audit log.
- Notifier: cảnh báo về tính an toàn của hệ thống dựa trên kết quả phân tích.
Việc kiểm tra hệ thống có thể thực hiện thường xuyên hoặc định kỳ, thủ công hoặc
tự động. Kiểm tra hệ thống là thực hiện các chức năng:
- Kiểm tra việc tuân thủ chính sách an toàn về mật khẩu.
- Kiểm tra phản ứng của hệ thống đối với các dấu hiệu có thể dẫn đến tấn công hoặc
sự cố hệ thống.
BÀI 1: TỔNG QUAN VỀ AN TOÀN MẠNG 11
Phần mềm: Việc lập trình phần mềm đã ẩn chứa sẵn các lỗ hổng. Theo ước tính cứ
1000 dòng mã sẽ có trung bình từ 5-15 lỗi, trong khi các hệ điều hành được xây dựng
từ hàng triệu dòng mã.
Chính sách: Đề ra các quy định không phù hợp, không đảm bảo an ninh, ví dụ như
chính sách về xác thực, qui định về nghĩa vụ và trách nhiệm người dùng trong hệ thống.
Sử dụng: Cho dù hệ thống được trang bị hiện đại đến đâu chăng nữa nhưng do con
người sử dụng và quản lý nên sự sai sót và bất cẩn của người dùng có thể gây ra
những lỗ hổng nghiêm trọng.
- Tội phạm mạng ngày càng gia tăng theo chiều hướng tinh vi hơn.
- Rò rỉ dữ liệu, thất thoát trong nội bộ và nhân viên làm việc xa.
- An ninh di động, xác thực và các phương tiện truyền thông xã hội.
- Tiếp cận với việc nhận dạng các chiến thuật và chu trình.
- Lừa đảo
- Chợ đen
- Zero-Day
- Vishing
- Di chuyển dữ liệu (usb, máy tính xách tay, băng sao lưu,...)
- Mạng xã hội
Trinh sát: Trinh sát đề cập đến giai đoạn chuẩn bị để một Hacker tìm kiếm để thu
thập thông tin về một mục tiêu trước khi tung ra một cuộc tấn công. Mục đích chính
là tìm hiểu một lượng lớn thông tin của mục tiêu để việc tấn công trong tương lai trở
BÀI 1: TỔNG QUAN VỀ AN TOÀN MẠNG 13
nên dễ dàng hơn. Phạm vi mục tiêu của trinh sát có thể bao gồm các khách hàng,
nhân viên, hoạt động, mạng, và hệ thống,.. Các loại trinh sát gồm có: (1) Trinh sát
thụ động là trinh sát mà không cần trực tiếp tương tác với mục tiêu, ví dụ như tìm
kiếm hồ sơ công khai hoặc các bản tin đã phát hành. (2) Trinh sát chủ động là trinh
sát cần phải trực tiếp tương tác với mục tiêu qua nhiều phương tiện, ví dụ như các
cuộc gọi để lấy thông tin kỹ thuật cá nhân.
Quét: Trước khi tấn công, trên cơ sở các thông tin thu thập được qua quá trình
trinh sát, Hacker quét mạng lưới thông tin của mục tiêu. Quét có thể bao gồm việc sử
dụng các trình quay số, máy quét cổng, lập bản đồ mạng, quét bao quát, quét lỗ
hổng,.. Hacker khai thác các thông tin như tên máy tinh, địa chỉ IP, và tài khoản
người dùng để bắt đầu tấn công.
Truy cập: Truy cập dùng để chỉ việc Hacker có được quyền truy cập vào hệ thống
điều hành hoặc ứng dụng mạng. Hacker có thể truy cập ở cấp hệ điều hành, cấp ứng
dụng hoặc cấp mạng. Hacker có thể nâng cấp quyền để có thể truy cập toàn bộ hệ
thống. Hacker đoạt được quyền kiểm soát hệ thống rồi mới khai thác thông tin. Ví dụ
như bẻ mật khẩu, tràn bộ đệm, từ chối dịch vụ, đánh cắp tài khoản,..
Duy trì truy cập: Duy trì truy cập nói đến việc Hacker cố gắng giữ lại quyền sở hữu
hệ thống. Hacker sử dụng các hệ thống đã chiếm được để bắt đầu các cuộc tấn công
tiếp theo. Hacker có thể giữ quyền sở hữu hệ thống của mình khỏi những Hacker khác
bằng backdoors, rootkits, hoặc trojan. Kẻ tấn có thể thực hiện tất cả các thao tác với
dữ liệu của hệ thống đang sở hữu.
Xóa dấu vết: Hacker tiến hành xóa các bản ghi trên máy chủ, hệ thống và các ứng
dụng để tránh bị nghi ngờ … Mục đích là để che giấu hành vi tấn công của Hacker.
Sau đó, Hacker tiếp tục truy cập vào hệ thống của nạn nhân (vì không bị chú ý và
phát hiện) để xóa bằng chứng liên quan đến bản thân.
Dictionary: Là phương thức tấn công tương tự Brute force nhưng thay vì thử lần
lượt mật khẩu, Hacker sử dụng bộ từ điển chứa mật khẩu cần thử.
Spoofing: Là dạng tấn công mà một cá nhân, một hệ thống thực hiện hành vi giả
mạo. Ví dụ như một người giả mạo địa chỉ email gửi đi mà không cần phải xác thực.
DoS: Là dạng tấn công mà một người hay một hệ thống làm cho một hệ thống khác
không thể truy cập hoặc bị chậm đi đáng kể bằng cách sử dụng hết các tài nguyên.
Man-in-the-middle: Hacker bằng một cách nào đó đứng giữa giao tiếp của hai máy
tính.
Replay: Ví dụ như khi một quá trình xác thực được thực hiện thành công và bị kẻ
tấn công capture được quá trình đó. Khi cần đăng nhập vào hệ thống, kẻ tấn công
phát lại luồng traffic đó để thực hiện xác thực.
Sesion Hijacking: Khi người dùng thực hiện thành công quá trình xác thực, Hacker
thực hiện tấn công cướp phiên giao tiếp.
Các loại tấn công vào hệ điều hành như: Nghe trộm; Giả mạo và ngắt kết nối; Tấn
công bằng gói SYN; Tấn công truyền lại; Tấn công sửa đổi dữ liệu; Tấn công DoS,
DDoS; Tấn công đoán mật khẩu; Tấn công ở giữa; Tấn công cửa sau; Tấn công thỏa
hiệp; Tấn công lớp ứng dụng; Tấn công vào hệ điều hành. Hacker tìm kiếm các lỗ
hổng của hệ điều hành và khai thác chúng để truy cập vào hệ thống mạng. Một số lỗ
hổng như Lỗ hổng tràn bộ đệm; Lỗi trong hệ điều hành; Hệ điều hành chưa vá lỗi.
Phần mềm ứng dụng đi kèm với nhiều chức năng nên dễ phát sinh lỗi. Phát hành
gấp rút nên thiếu thời gian thử nghiệm. Các loại tấn công lớp ứng dụng như: Tràn bộ
đệm; Hoạt động quá sức; Tấn công XSS, Tấn công từ chối dịch vụ SYN, Tấn công SQL
injection; Mã độc hại; Lừa đảo; Chiếm quyền điều khiển; Tấn công trung gian; Tấn
công giả mạo tham số; Tấn công cây thư mục; Tấn công vào cấu hình sai.
Khi một hệ thống bị lỗi cấu hình, như sự thay đổi trong quyền truy cập vào tập tin,
thì nó đã trở nên không an toàn. Các quản trị viên cần thiết lập các tham số cấu hình
BÀI 1: TỔNG QUAN VỀ AN TOÀN MẠNG 15
thiết bị trước khi triển khai trong mạng. Nếu không có những thiết lập mặc định này
thiết bị sẽ dễ dàng bị tấn công. Để tối ưu hóa cấu hình, người quản trị cần thực hiện
việc gỡ bỏ bất kỳ dịch vụ hoặc phần mềm không cần thiết.
Cơ chế bảo mật: hệ thống các phương pháp, công cụ, thủ tục,… dùng để thực thi
các quy định của chính sách bảo mật. Cơ chế bảo mật thường là: Các biện pháp kỹ
thuật như tường lửa, xác thực người dùng, cơ chế phân quyền sử dụng tập tin và thư
mục, kỹ thuật mã hóa để che giấu thông tin,.. hoặc các thủ tục: quy trình bảo mật
mà khi thực hiện nó thì chính sách bảo mật được an toàn.
Với một chính sách bảo mật cho trước, cơ chế bảo mật phải đáp ứng được ba yêu
cầu sau:
- Ngăn chặn các nguy cơ gây ra vi phạm chính sách bảo mật.
- Khắc phục hậu quả của rủi ro khi có vi phạm xảy ra.
Thông thường, việc xây dựng một hệ thống bảo mật dựa trên hai giả thiết sau:
- Chính sách bảo mật phân chia một cách rõ ràng các trạng thái của hệ thống thành
hai nhóm: an toàn và không an toàn. Nếu chính sách không liệt kê được các trạng
thái không an toàn của hệ thống thì chính sách không mô tả được một hệ thống
bảo mật thật sự.
- Cơ chế bảo mật có khả năng ngăn chặn hệ thống tiến vào trạng thái không an
toàn. Từng cơ chế riêng lẻ được thiết kế để bảo vệ một hoặc một số các quy định
trong chính sách. Tập hợp tất cả các cơ chế triển khai trên hệ thống phải đảm bảo
thực thi tất cả các quy định trong chính sách.
16 BÀI 1: TỔNG QUAN VỀ AN TOÀN MẠNG
Một hệ thống lý tưởng là hệ thống có chính sách bảo mật xác định một cách chính
xác và đầy đủ các trạng thái an toàn của hệ thống và có cơ chế thực thi đầy đủ và
hiệu quả các quy định trong chính sách.
Thực tế khó xây dựng được hệ thống như vậy do hạn chế về kỹ thuật, yếu tố con
người, chi phí thiết lập cơ chế cao hơn lợi ích mà hệ thống an toàn mạng lại. Do vậy,
khi xây dựng một hệ thống bảo mật, mục tiêu đặt ra cho việc thiết kế cơ chế bảo mật
được áp dụng phải bao gồm ba phần sau:
Ngăn chặn: mục tiêu thiết kế là ngăn chặn các hành vi đối với chính sách bảo mật.
Có nhiều sự kiện, hành vi dẫn đến vi phạm chính sách bảo mật. Các hành vi phạm
đơn giản như: để lộ mật khẩu, quên thoát khỏi hệ thống khi rời khỏi máy tính,…đến
các hành vi vi phạm phức tạp và có chủ đích như tấn công hệ thống bên ngoài.
Phát hiện: mục tiêu thiết kế tập trung vào các sự kiện vi phạm chính sách bảo mật
đã xảy ra trên hệ thống. Cơ chế này chủ yếu dựa vào việc theo dõi và phân tích các
thông tin trong nhật ký hệ thống và dữ liệu đang lưu thông trên mạng để tìm ra các
dấu hiệu của các vi phạm, các dấu hiệu này phải được nhận dạng trước và được mô tả
trong cơ sở dữ liệu của hệ thống.
Phục hồi: mục tiêu thiết kế bao gồm các cơ chế nhằm chặn đứng các vi phạm đang
diễn ra hoặc khắc phục hậu quả của vi phạm một cách nhanh chóng với mức độ thiệt
hại thấp nhất. Một phần quan trọng trong cơ chế phục hồi là việc nhận diện những sơ
hở của hệ thống và điều chỉnh các sơ hở đó, các sơ hở này có thể do chính sách bảo
mật chưa chặt chẽ hoặc cơ chế bảo mật có lỗi kỹ thuật, kém hiệu quả.
BÀI 1: TỔNG QUAN VỀ AN TOÀN MẠNG 17
TÓM TẮT
Bài học cung cấp kiến thức tổng quan về an ninh mạng như các khái niệm an ninh
mạng, các mô hình an ninh, chiếc lược bảo mật hệ thống AAA, các nguy cơ tấn công
mạng và nguyên tắc xây dựng hệ thống bảo mật.
Môi trường mạng hiên nay có rất nhiều nguy cơ ảnh hưởng đến sự an toàn của một
hệ thống thông tin. Các nguy cơ này có thể xuất phát từ các hành vi tấn công trái
phép bên ngoài hoặc từ bản thân các lỗ hổng bên trong hệ thống. Các nguy cơ tấn
công có nguồn gốc từ phần mềm, phần cứng và chính sách sử dụng. Có nhiều nguy
cơ đặt ra như: Trojans, đánh cắp thông tin, mạng ma Flux Botnet, Thất thoát giữ liệu,
vi phạm an ninh, các mối đe dọa an ninh trong nội bộ, tổ chức tội phạm mạng, lừa
đảo, gián điệp mạng, zero-Day, vishing, mối đe dọa từ web 2.0, … Do vậy, an ninh
mạng máy tính là tổng thể các giải pháp về mặt tổ chức và kỹ thuật nhằm ngăn cản
mọi nguy cơ tổn hại đến mạng. Một hệ thống bảo mật là một hệ thống mà thông tin
được xử lý trên nó phải đảm bảo được ba đặc trưng sau (mô hình CIA): (1) Tính bí
mật của hệ thống; (2) Tính toàn vẹn của thông tin; (3) Tính khả dụng của thông tin.
Chiến lược bảo mật hệ thống AAA là chiến lược nền tảng nhất để thực thi các chính
sách bảo mật trên một hệ thống theo mô hình CIA. Người quản trị hệ thống cần định
nghĩa các trạng thái an toàn của hệ thống thông qua chính sách bảo mật và cơ chế
bảo mật. Các mục tiêu cơ bản của việc thực hiện an ninh trên một mạng cần phải đạt
được là: (1) Xác định những gì cần bảo vệ; (2) Xác định bảo vệ trước cái gì; (3) Xác
định các nguy cơ; (4) Thực hiện các biện pháp để bảo vệ; và (5) Kiểm tra lại các tiến
trình một cách liên tiếp và thực hiện cải tiến với mỗi lần tìm ra điểm yếu.
Câu 2: Trình bày chiến lược an ninh mạng AAA? Minh họa?
Câu 3: Trình bày các nguy cơ trong an ninh mạng máy tính ?
Câu 7: Trình bày các đối tượng tấn công mạng là gì?
BÀI 2: CÁC KỸ THUẬT TẤN CÔNG THĂM DÒ 19
Sau khi học xong bài này, sinh viên có thể biết và hiểu được các kỹ thuật điều tra
thông tin mà Hacker thực hiện khi chuẩn bị tấn vào hệ thống mạng của nạn nhân:
- Kỹ thuật footprinting: thu thập thông tin máy chủ dựa vào tên miền;
- Kỹ thuật Scanning: quét các cổng đang hoạt động của máy chủ;
- Kỹ thuật Enumeration: lấy thông tin máy chủ dựa vào các giao thức mạng như:
NetBIOS, SNMP, LDAP, SMTP, DNS, …
Sinh viên hiểu và sử dụng các công cụ mạng liên quan để thực nghiệm, kiểm
chứng các kỹ thuật trên.
Yêu cầu trên cũng áp dụng cho một Hacker trên mạng. Chúng phải ra sức thu thập
càng nhiều thông tin càng tốt về mọi góc cạnh bảo mật của tổ chức. Kết quả thu được
sẽ giúp cuộc tấn công trót lọt hơn. Bằng cách dò theo dấu chân, những bộ lưu trữ
trên internet, truy cập từ xa, cùng với sự hiện diện của internet, Hacker có thể góp
nhặt một cách có hệ thống các thông tin từ nhiều nguồn khác nhau về một tổ chức
nào đó.
20 BÀI 2: CÁC KỸ THUẬT TẤN CÔNG THĂM DÒ
Hình 2.1: Bảy bước thực hiện tổng hợp thông tin
Nslookup là công cụ truy vấn những DNS server để tìm thông tin. Nó được cài đặt
trong Unix, Linux, và hệ đều hành Window. Công cụ hack Sam Spade bao gồm những
công cụ nslookup.
DNSwatch là một công cụ lấy thông tin DNS, địa chỉ website
http://www.dnswatch.info.
ARIN Lookups: ARIN là một cơ sở dữ liệu của thông tin bao gồm những thông tin
như chủ sở hữu của địa chỉ IP tĩnh. Cơ sở dữ liệu ARIN có thể được truy vấn việc sử
dụng công cụ Whois, ví dụ tại http://centralops.net/
Hình 2.4: ARIN cung cấp thông tin DNS của Hutech.
Các loại bảng ghi DNS thường gặp được sử dụng để xác định rõ chức năng máy
chủ.
- SOA (Start of Authoriy): Xác định bảng ghi thông tin của DNS Server.
- CNAME (canonical name): Cung cấp những tên biệt danh (alias) cho tên miền đang
có.
Hình 2.5: Công cụ tìm địa chỉ email của một tổ chức: 1st email address spider
Phần mềm “1st email address spider” được sử dụng để tìm kiếm thông tin email.
Hacker thường sử dụng phần mềm này để lọc ra email của các cá nhân liên quan.
Emailtracking là chương trình cho phép người gửi biết được những việc đã làm của
người nhận như reads, forwards, modifies, hay deletes. Hầu hết các chương trình E-
mailtracking hoạt động tại server của tên miền email. Một file đồ họa đơn bit được sử
24 BÀI 2: CÁC KỸ THUẬT TẤN CÔNG THĂM DÒ
dụng để đính kèm vào email gửi cho người nhận, nhưng file này sẽ không được đọc.
Khi một hành động tác động vảo email, file đính kèm đó sẽ gửi thông tin lại cho
server cho biết hành động của server. Bạn thường thấy những file này đính kèm vào
email với cái tên quen thuộc như noname, noread...
Một vấn đề lớn khi sử dụng Traceroute là hết thời gian đợi (time out), khi gói tin đi
qua tường lửa hoặc router có chức năng lọc gói tin. Mặc dù tường lửa sẽ chặn đứng
việc gói tin ICMP đi qua, nhưng nó vẫn gửi cho Hacker một thông báo cho biết sự hiện
diện này.
2.3 QUÉT-SCANNING
2.3.1 Giới thiệu
Quét là một bước tiếp theo của Footprinting trong tiến trình tấn công hệ thống.
Giai đoạn này giúp Hacker xác định được nhiều thông tin của mục tiêu cần tấn công.
Những thông tin cần thu thập như tên máy, địa chỉ ip, cấu hình máy tính, hệ điều
hành, dịch vụ đang chạy, port đang mở… Những thông tin này sẽ giúp cho Hacker có
kế hoạch tấn công hợp lý, cũng như việc chọn kỹ thuật tấn công nào. Quét giúp định
vị hệ thống còn hoạt động trên mạng hay không.
Quét port: là quá trình xác định cổng TCP/IP mở và có sẵn trên một hệ thống.
Công cụ quét Port cho phép Hacker tìm hiểu về các dịch vụ có sẵn trên một hệ thống
nhất định. Mỗi dịch vụ hay ứng dụng máy tính được kết hợp với một số cổng thông
dụng. Ví dụ: công cụ quét xác định cổng 80 mở cho biết một web sever đang chạy
trên đó.
Quét mạng: là quá trình xác định máy chủ đang hoạt động trên mạng. Máy chủ
được xác định bởi IP. Các công cụ này cố gắng xác định tất cả các máy chủ trực tiếp
hoặc trả lời trên mạng và địa chỉ IP tương ứng của chúng.
Quét nguy cơ: là quá trình chủ động xác định các lỗ hổng của hệ thống máy tính
trên mạng. Thông thường, một máy quét lỗ hổng đầu tiên xác định các hệ điều hành,
số phiên bản, các gói dịch vụ có thể được cài đặt. Sau đó, máy quét lỗ hổng xác định
26 BÀI 2: CÁC KỸ THUẬT TẤN CÔNG THĂM DÒ
các điểm yếu, lỗ hổng trong hệ điều hành. Trong giai đoạn tấn công sau đó, Hacker
có thể khai thác những điểm yếu để đạt được quyền truy cập vào hệ thống.
Quét ICMP: Bản chất của quá trình này là gửi một gói ICMP Echo Request đến máy
chủ đang muốn tấn công. Việc quét này rất hữu ích để định vị các thiết bị hoạt động
hoặc xác định hệ thống có tường lửa hay không
Ping Sweep: được sử dụng để xác định các máy chủ còn “sống” từ một loạt các địa
chỉ IP bằng cách gửi các gói ICMP Echo Request đến tất cả các IP đó. Nếu một máy
chủ còn “sống” nó sẽ trả lại một gói tin ICMP Reply.
Trong gói tin TCP, ý nghĩa việc thiết lập Flag được sử dụng để Scan Port như sau:
- Thông số SYN để yêu cầu kết nối giữa hai máy tính.
- Thông số ACK để trả lời kết nối giữa hai máy có thể bắt đầu được thực hiện.
- Thông số FIN để kết thúc quá trình kết nối giữa hai máy.
- Thông số RST từ Server để nói cho Client biết rằng giao tiếp này bị cấm (không
thể sử dụng).
- Thông số URG sử dụng để thiết lập độ ưu tiên cho gói tin này.
BÀI 2: CÁC KỸ THUẬT TẤN CÔNG THĂM DÒ 27
Bước II: Server trả lời tới Client một gói tin SYN/ACK.
Bước III: Khi Client nhận được gói tin SYN/ACK sẽ gửi lại server một gói ACK – và
quá trình trao đổi thông tin giữa hai máy bắt đầu.
Bước I: Client gửi đến Server một gói tin FIN ACK.
Bước II: Server gửi lại cho Client một gói tin ACK.
Bước III: Server lại gửi cho Client một gói FIN ACK.
28 BÀI 2: CÁC KỸ THUẬT TẤN CÔNG THĂM DÒ
Bước IV: Client gửi lại cho Server gói ACK và quá trình ngắt kết nối giữa Server và
Client được thực hiện.
TCP Scan: Trên gói TCP/UDP có 16 bit dành cho Port Number điều đó có nghĩa nó
có từ 1 – 65535 port. Không một Hacker nào lại scan toàn bộ các port trên hệ thống,
chúng chỉ scan những port hay sử dụng nhất thường chỉ sử dụng scan từ port 1 tới
port 1024 mà thôi. Dựa vào các nguyên tắc truyền thông tin của TCP, Hacker có thể
Scan Port nào mở trên hệ thống bằng nhưng phương thức sau đây:
- SYN Scan: Khi Client gửi gói SYN với một thông số Port nhất định tới Server nếu
server gửi về gói SYN/ACK thì Client biết Port đó trên Server được mở. Nếu Server
gửi về cho Client gói RST/SYN tôi biết port đó trên Server đóng.
- FIN Scan: Khi Client chưa có kết nối tới Server nhưng vẫn tạo ra gói FIN với số
port nhất định gửi tới Server cần Scan. Nếu Server gửi về gói ACK thì Client biết
Server mở port đó, nếu Server gửi về gói RST thì Client biết Server đóng port đó.
- NULL Scan Sure: Client sẽ gửi tới Server những gói TCP với số port cần Scan mà
không chứa thông số Flag nào, nếu Server gửi lại gói RST thì tôi biết port đó trên
Server bị đóng.
- XMAS Scan Sorry: Client sẽ gửi những gói TCP với số Port nhất định cần Scan chứa
nhiều thông số Flag như: FIN, URG, PSH. Nếu Server trả về gói RST tôi biết port
đó trên Server bị đóng.
- TCP Connect: Phương thức này rất thực tế nó gửi đến Server những gói tin yêu cầu
kết nối thực tế tới các port cụ thể trên server. Nếu server trả về gói SYN/ACK thì
Client biết port đó mở, nếu Server gửi về gói RST/ACK Client biết port đó trên
Server bị đóng.
BÀI 2: CÁC KỸ THUẬT TẤN CÔNG THĂM DÒ 29
- ACK Scan: dạng Scan này nhằm mục đích tìm những Access Controll List trên
Server. Client cố gắng kết nối tới Server bằng gói ICMP nếu nhận được gói tin là
Host Unreachable thì client sẽ hiểu port đó trên server đã bị lọc.
Có vài dạng Scan cho các dịch vụ điển hình dễ bị tấn công như:
- RPC Scan: Cố gắng kiểm tra xem hệ thống có mở port cho dịch vụ RPC không.
- Windows Scan tương tự như ACK Scan, nhưng nó có thể chỉ thực hiện trên một số
port nhất định.
- FTP Scan: Có thể sử dụng để xem dịch vụ FTP có được sử dụng trên Server hay
không
- IDLE: đây là dạng Passive Scan, sniffer và đưa ra kết luận máy tính mở port nào.
Phương thức này chính xác nhưng đôi khi không đầy đủ bởi có những port trên
máy tính mở nhưng không giao tiếp thì phương thức này cũng không scan được
UDP Scan: Nếu như gói tin truyền bằng TCP để đảm bảo sự toàn vẹn của gói tin sẽ
luôn được truyền tới đích. Gói tin truyền bằng UDP sẽ đáp ứng nhu cầu truyền tải dữ
liệu nhanh với các gói tin nhỏ. Với quá trình thực hiện truyền tin bằng TCP Hacker dễ
dàng Scan được hệ thống đang mở những port nào dựa trên các thông số Flag trên
gói TCP. Cấu tạo gói UDP hình 2-13.
Scan Port với Nmap: Nmap là một tool scan port rất mạnh và đã nổi danh từ lâu
được giới hacker tin dùng. Nó hỗ trợ toàn bộ các phương thức scan port, ngoài ra nó
còn hỗ trợ các phương thức scan hostname, service chạy trên hệ thống đó…. Nmap
hiện giờ có cả giao diện đồ hoạ và giao diện command line cho người dùng, chạy trên
cả môi trường .NIX và Windows. Phần mềm nmap miễn phí. Dưới đây là cách sử dụng
Nmap để scan:
C:\nmap-3.93>nmap -h
Nmap 3.93 Usage: nmap [Scan Type(s)] [Options] <host or net list>
Some Common Scan Types ('*' options require root privileges)
* -sS TCP SYN stealth port scan (default if privileged (root))
-sT TCP connect() port scan (default for unprivileged users)
* -sU UDP port scan
-sP ping scan (Find any reachable machines)
* -sF,-sX,-sN Stealth FIN, Xmas, or Null scan (experts only)
-sV Version scan probes open ports determining service and app
names/versions
-sR/-I RPC/Identd scan (use with other scan types)
Some Common Options (none are required, most can be combined):
* -O Use TCP/IP fingerprinting to guess remote operating system
-p <range> ports to scan. Example range: '1-1024,1080,6666,31337'
-F Only scans ports listed in nmap-services
-v Verbose. Its use is recommended Use twice for greater effect.
-P0 Don't ping hosts (needed to scan www.microsoft.com and others)
* -Ddecoy_host1,decoy2[,...] Hide scan using many decoys
-6 scans via IPv6 rather than IPv4
-T <Paranoid|Sneaky|Polite|Normal|Aggressive|Insane> General timing policy
-n/-R Never do DNS resolution/Always resolve [default: sometimes resolve]
-oN/-oX/-oG <logfile> Output normal/XML/grepable scan logs to <logfile>
-iL <inputfile> Get targets from file; Use '-' for stdin
* -S <your_IP>/-e <devicename> Specify source address or network interface
--interactive Go into interactive mode (then press h for help)
--win_help Windows-specific features
BÀI 2: CÁC KỸ THUẬT TẤN CÔNG THĂM DÒ 31
Example: nmap -v -sS -O www.my.com 192.168.0.0/16 '192.88-90.*.*'
SEE THE MAN PAGE FOR MANY MORE OPTIONS, DESCRIPTIONS, AND EXAMPLES
Đây là câu lệnh sử dụng phương thức TCP Scan từ Port 1 5000 cho phép
Fingerprint Services và OS, T5 là scan nhanh đến máy tính 192.168.0.211.
Các option cao cấp kết hợp với các dạng Scan trong Nmap.
- O: sử dụng để biết hệ điều hành chạy trên máy chủ ví như ta dùng Nmap sử dụng
phương thức scan là XMAS Scan và đoán biết hệ điều hành của: hutech ta dùng
câu lệnh: nmap –sX –o www.hutech.edu.vn.
- V: Sử dụng Scan hai lần nhằm tăng độ tin cậy và hiệu quả của phương thức scan
nào ta sử dụng.
- P0: không sử dụng ping để Scan nhằm mục đích giảm thiểu các quá trình quét
ngăn chặn scan trên các trang web hay máy chủ. Ví như tôi muốn Scan trang web
www.hutech.edu.vn bằng phương thức UDP Scan, số port sử dụng là từ 1 tới 1024
và sử dụng hai lần để nâng cao hiệu quả, khi scan sẽ không ping tới trang này:
Nmap –sU –P ‘1-1024’ –V –P0
Ngoài ra nmap còn hỗ trợ tính năng scan ẩn nhằm tránh những quá trình quét trên
server như sử dụng:
- 6: Scan IPv6
Ngoài ra nmap còn cho chúng ta những options để output kết quả ra nhiều định
dạng file khác nhau.
Nmap hỗ trợ Scan lỗ hổng bảo mật trên OS. Nmap có sử dụng tập Signature để
scan lỗ hổng bảo mật là Nmap Script Engine. Mỗi file Nmap Script Engine (.nse) sẽ
scan được một loại lỗ hổng bảo mật. Các bước Scan lỗ hổng bảo mật MS12-020 (lỗ
hổng cho phép tấn công DoS làm treo hệ thống máy tính Windows 7, 2008, Vista, XP,
2003) được trình bày tóm tắt như sau:
step 4: Scan sử dụng nmap với câu lệnh (File nse để trong ổ E thư mục hutech).
Step 5: Khi Nmap báo như sau thì có lỗ hổng bảo mật
Một proxy server là một máy tính hoạt động trung gian giữa Hacker và máy tính
đích. Sử dụng một proxy server có thể cho phép Hacker trở thành vô danh trên mạng.
Hacker trước tiên kết nối tới máy proxy server rồi yêu cầu kết nối tới máy đích thông
qua kết nối có sẵn đến proxy. Cơ bản, proxy yêu cầu truy cập đến mục tiêu mà không
phải là máy tính của Hacker.
Dựa vào NetBIOS, Hacker có được các liệt kê như: Danh sách máy tính thuộc một
miền mạng; Danh sách các chia sẻ của các máy tính trên một miền mạng và Các
chính sách và các mật khẩu.
Các công cụ liệt kê tài khoản người dùng: PsExec, PsFile, PsGetSid, PsKill, PsInfo,
PsList, PsLoggedOn, PsLogList.
- Phần mềm quản lý: Nhiệm vụ của chương trình quản lý mạng là truy vấn các
chương trình máy khách trên thiết bị được giám sát.
- Chương trình hỗ trợ giám sát chạy trên thiết bị mạng cần được quản lý. Chương
trình này có thể là riêng biệt (ví dụ như daemon trên Unix) hay được tích hợp vào
hệ điều hành, ví dụ như IOS (Internetwork Operation System) của Cisco. Nhiệm
vụ của chương trình này là cung cấp thông tin cho chương trình quản lý.
Hacker liệt kê SNMP để trích xuất thông tin về tài nguyên mạng chẳng hạn như:
máy chủ, bộ định truyến, bộ chuyển mạch, … Sử dụng tập hợp chuỗi mặc định để
trích xuất thông tin về một thiết bị sử dụng tập hợp chuỗi “public”. Ngoài ra còn có
thể liệt kê được MIB (cơ sở dữ liệu ảo chứa thông tin các đối tượng mạng).
Các công cụ liệt kê SNMP: OptUtils, Solarwinds, Getif SNMP MIB Browser,
iReasoning MIB Browser, LoriotPro, Nsauditor Network Security Auditor, OidView
SNMP MIB Browser, OpUtils Network Monitoring Toolset, SNMP SCANNER, SNScan,
SoftPerfect Network Scanner, Solarwind Engineer’s Toolset.
BÀI 2: CÁC KỸ THUẬT TẤN CÔNG THĂM DÒ 35
Khác với Windows, Linux được tạo thành bởi các modul hoạt động độc lập với
nhau, người dùng có thể tự xây dựng hệ điều hành riêng của mình bằng cách thêm
những modul cần thiết vào. Vì vậy hệ thống Linux có tính linh hoạt cao hơn Windows.
Thường Linux được sử dụng làm máy chủ nhiều hơn là làm máy trạm vì việc cấu hình
cho Linux phức tạp hơn nhiều vì thường phải dùng command line để cấu hình chứ
không có giao diện đồ hoạ như Windows.
Hệ thống chạy trên Linux thường nhanh hơn và ổn định hơn là chạy trên Windows.
Sở dĩ Linux chưa được dùng nhiều cho máy tính cá nhân vì nó hỗ trợ giao diện đồ hoạ
chưa tốt.
Lệnh sử dụng để liệt kê tài nguyên mạng của Unix gồm những lệnh sau:
- Showmount: dùng để tìm các thư mục chia sẻ trên máy tính.
- Finger: dùng để liệt kê về người dùng và máy chủ, cho phép xem thời gian đăng
nhập của người sử dụng thư mục, thời gian nhàn rỗi, vị trí văn phòng, và thời gian
cuối cùng cả hai đều nhận được hoặc đọc thư.
- Rpcclient: dùng để điều tra được tên người dùng trên Linux và OS X.
- Rpcinfo (RPC): dùng liệt kê giao thức RPC (gọi hàm từ xa), giao thức RPC cho phép
các ứng dụng giao tiếp với nhau qua mạng.
Các công cụ liệt kê NTP như NTP Server Scanner, PresenTense Time Server,
PresenTense Time Client, LAN Time Analyser, NTP Server Checker, Time Watch,
PresenTense NTP Auditor, NTP Time Server Monitor, AtomSync. Ngoài ra còn có các
lệnh để liệt kê NTP như ntpdate, ntptrace, ntpdc, ntpq.
DNS: Cấu hình máy chủ DNS không cho phép DNS zone transfer đến các máy chủ
không tin cậy. Đảm bảo các hồ sơ không xuất hiện tron tập tin DNS zone. Cung cấp
chi tiết và liên hệ với quản trị mạng trong cơ sở dữ liệu để ngăn chặn tấn công.
SMTP: Cấu hình máy chủ SMTP bỏ qua các tin nhắn từ địa chỉ không rõ người nhận
hoặc yêu cầu trả lời các thông tin sau: Chi tiết về hệ thống thư điện tử đang sử dụng
(chẳng hạn như Sendmail hoặc MS Exchange), địa chỉ IP nội bộ hoặc thông tin máy
chủ và bỏ qua email không rõ người nhận.
LDAP: Sử dụng NTLM hoặc chứng thực cơ bản để giới hạn truy cập, chỉ những
người dùng mình biết mới được truy cập. Mặc định, lưu lượng truy cập của LDAP được
truyền không đảm bảo nên sử dụng công nghệ SSL để mã hóa lưu lượng truy cập.
Khóa tài khoản đối với những tài khoản khác biệt và không biết. SMB: vô hiệu hóa
SMB như hình 2-28.
TÓM TẮT
Trong bài này sinh viên làm quen với các khái niệm về footprinting, scanning, và
enumeration, các công cụ phần mềm hỗ trợ thực hiện và các giải pháp phòng tránh.
Kỹ thuật footprinting cho phép điều tra thông tin nạn nhân như các công nghệ
Internet đang được sử dụng, hệ điều hành, phần cứng, hoạt động địa chỉ IP, địa chỉ e-
mail và số điện thoại, và tập đoàn chính sách và thủ tục.
Kỹ thuật scanning thu thập như tên máy, địa chỉ ip, cấu hình máy tính, hệ điều
hành, dịch vụ đang chạy, port đang mở. Các phần mềm thông dụng là Nmap,
AngryIPScanner, GFI LANguard.
Kỹ thuật enumeration là quá trình trích xuất tên người dùng, tên máy, tài nguyên
mạng, các chia sẻ, và cá dịch vụ từ một hệ thống. Kỹ thuật này được tiến hành trong
một môi trường mạng nội bộ. Các kỹ thuật liệt kê gồm có: Trích xuất tên người dùng
sử dụng ID thư điện tử; Trích xuất tên người dùng sử dụng SNMP; Trích xuất tên
người dùng từ Windows; Trích xuất thông tin sử dụng từ các mật khẩu mặc định;
Chiếm Active Directory và Trích xuất thông tin sử dụng vùng thuyên chuyển DNS.
Câu 2: Kỹ thuật Scanning làm gì? Cho biết các công cụ scanning phổ biến hiện nay và
thực hiện minh họa?
Câu 3: Trình bày ý nghĩa cú pháp từng câu lệnh của phần mềm nmap?
Câu 4: Tìm hiểu và thực nghiệm phần mềm Retina để quét lỗ hỏng máy chủ?
Câu 5: Kỹ thuật enumeration làm gì? Trình bày cách thức liệt kê của kỹ thuật này,
các công cụ mạng liên quan và thực nghiệm minh họa.
40 BÀI 2: CÁC KỸ THUẬT TẤN CÔNG THĂM DÒ
Câu 6: Dựng một server web trong mạng nội bộ, thực hiện các kỹ thuật Scanning và
enumeration?
BÀI 3: TẤN CÔNG HỆ THỐNG 41
Bài giảng cung cấp cho sinh viên các kiến thức về tổng quan về các bước tấn công
hệ thống mạng máy mà Hacker thường thực hiện. Các bước tấn công gồm có:
- Tạo ra user có đặt quyền trên hệ thống hoặc nâng quyền hạn của user đã thu thập
được;
Thông qua việc biết cách thức tấn công của Hacker, sinh viên hiểu sâu hơn các vấn
đề an ninh trong hệ thống mạng. Từ đó, sinh viên biết giải pháp bảo mật phù hợp cần
phải triển khai cho hệ thống mạng.
- Phải chứa các ký tự từ ít nhất ba trong số các loại sau: Có chứa các ký tự đặc biệt
‘/’ , chứa chữ số, chữ cái viết thường và chữ cái viết hoa.
Hacker dùng các cách tấn công khác nhau để tìm password để truy cập vào hệ
thống. Các kiểu tấn công password thường ở dạng sau:
Passive Online: Nghe trôm sự thay đổi mật khẩu trên mạng. Cuộc tấn công thụ
động trực tuyến bao gồm: sniffing, man-in-the-middle, và replay attacks (tấn công
dựa vào phản hồi). Một cuộc tấn công thụ động trực tuyến là đánh hơi (sniffing) để
tìm các dấu vết, các mật khẩu trên một mạng. Mật khẩu bị bắt (capture) trong quá
trình xác thực và sau đó có thể được so sánh với một từ điển (dictionary) hoặc danh
sách từ (word list). Tài khoản người dùng có mật khẩu thường được băm (hashed)
hoặc mã hóa (encrypted) trước khi gửi lên mạng để ngăn chặn truy cập trái phép và
sử dụng. Nếu mật khẩu được bảo vệ bằng cách trên, một số công cụ đặc biệt giúp
Hacker có thể phá vỡ các thuật toán mã hóa mật khẩu.
Để tăng tốc độ đoán của mật khẩu, hacker thường dùng công cụ tự động. Hacker
thường sử dụng cửa sổ lệnh dựa trên cú pháp chuẩn của lệnh NET USE. Để tạo ra một kịch
bản đơn giản cho việc đoán mật khẩu tự động, hacker thực hiện các bước sau đây:
- Tạo ra một tên người dùng đơn giản và tập tin mật khẩu bằng cách sử dụng các
cửa sổ notepad. Dùng các dòng lệnh để tạo ra danh sách các từ điển. Và sau đó
lưu vào các tập tin vào ổ đĩa C, với tên là credentials.txt
Gõ lệnh:
để sử dụng file credentials.txt cố gắng logon vào hệ thống chia sẽ ẩn trên hệ thống
mục tiêu.
Active Online: Đoán trước mật khẩu người quản trị. Các cuộc tấn công trực tuyến
bao gồm việc đoán password tự động. Cách dễ nhất để đạt được cấp độ truy cập của
BÀI 3: TẤN CÔNG HỆ THỐNG 43
một quản trị viên hệ thống là phải đoán từ đơn giản thông qua giả định là các quản trị
viên sử dụng một mật khẩu đơn giản. Mật khẩu đoán là để tấn công. Active Online
Attack dựa trên các yếu tố con người tham gia vào việc tạo ra mật khẩu và cách tấn
công này chỉ hữu dụng với những mật khẩu yếu.
Offline: Các kiểu tấn công như Dictionary, hybrid, và brute-force. Cuộc tấn công
Offline được thực hiện tại một vị trí khác hơn là hành động tại máy tính có chứa mật
khẩu hoặc nơi mật khẩu được sử dụng. Cuộc tấn công Offline yêu cầu phần cứng để
truy cập vật lý vào máy tính và sao chép các tập tin mật khẩu từ hệ thống lên phương
tiện di động. Hacker sau đó có file đó và tiếp tục khai thác lỗ hổng bảo mật. Bảng sau
minh họa vài loại hình tấn công offline.
Dictionary Attack là cách tấn công đơn giản và nhanh nhất trong các loại hình tấn
công. Nó được sử dụng để xác định một mật khẩu từ thực tế, và mật khẩu có thể
được tìm thấy trong từ điển. Thông thường nhất, cuộc tấn công sử dụng một tập tin
từ điển các từ có thể, sau đó sử dụng một thuật toán được sử dụng bởi quá trình xác
thực. Các hàm băm (hash) của các từ trong từ điển được so sánh với hàm băm của
mật khẩu người dùng đăng nhập vào, hoặc với các mật khẩu được lưu trữ trong một
tập tin trên máy chủ. Dictionary Attack chỉ làm việc nếu mật khẩu là một thực thể có
trong từ điển. Nhưng kiểu tấn công này có một số hạn chế là nó không thể được sử
dụng với các mật khẩu mạnh có chứa số hoặc ký hiệu khác .
Hybrid Attack là cấp độ tiếp theo của hacker, một nỗ lực nếu mật khẩu không thể
được tìm thấy bằng cách sử dụng Dictionary Attack. Các cuộc tấn công Hybrid bắt đầu
với một tập tin từ điển và thay thế các con số và các ký hiệu cho các ký tự trong mật
khẩu. Ví dụ, nhiều người sử dụng thêm số 1 vào cuối mật khẩu của họ để đáp ứng
yêu cầu mật khẩu mạnh. Hybrid được thiết kế để tìm những loại bất thường trong
mật khẩu.
44 BÀI 3: TẤN CÔNG HỆ THỐNG
Brute Force Attack là một cuộc tấn công bằng thuật toán brute-force, mà mọi cố
gắng kết hợp có thể có của chữ hoa và chữ thường, chữ cái, số, và biểu tượng. Một
cuộc tấn công bằng thuật toán brute-force là chậm nhất trong ba loại tấn công vì có
thể kết hợp nhiều ký tự trong mật khẩu. Tuy nhiên, cách này có hiệu quả, cần có đủ
thời gian và sức mạnh xử lý tất cả.
Non-Electronic: Các cuộc tấn công dựa vào yếu tố con người như Social
engineering, Phising… Các cuộc tấn công non-electronic là cuộc tấn công mà không sử
dụng bất kỳ kiến thức kỹ thuật nào. Loại tấn công có thể bao gồm các kỹ thuật như
social engineering, shoulder surfing, keyboard sniffing, dumpster diving.
Crack password thủ công liên quan đến việc cố gắng đăng nhập với một password
khác. Các bước mà hacker tiến hành:
- Tìm tài khoản người dùng (có thể là tài khoản administractor hoặc khách)
- Xếp hạng các mật khẩu có xác xuất từ cao xuống thấp
- Cố gắng làm đi làm lại cho đến khi nào bẻ password thành công
Một hướng khác để khám phá mật khẩu trên mạng là chuyển hướng đăng nhập
của máy chủ, chặn gửi tin nhắn đến máy khách, và gửi password đến cho hacker. Để
làm được điều này hacker phải gửi những phản hồi xác thực từ server và lừa nạn
nhập vào cửa sổ xác thực của Hacker. Một kỹ thuật phổ biến là gửi đến nạn nhân một
email với một liên kết lừa đảo, khi liên kết được click, thì người dùng vô tình đã gửi
thông tin của họ qua mạng.
Khi Hacker đã có một tài khoản có quyền truy cập cấp quản trị viên để cài đặt
chương trình.
Hacker cố gắng khai thác một lỗ hổng trong mã ứng dụng (Application). Về bản
chất, cuộc tấn công tràn bộ đệm gửi quá nhiều thông tin cho một biến nào đó trong
ứng dụng, có thể gây ra lỗi ứng dụng. Hầu hết các lần, ứng dụng không biết hành
động tiếp theo bởi vì nó được ghi đè bằng các dữ liệu bị tràn. Vì thế nó hoặc thực thi
các lệnh trong các dữ liệu bị tràn hoặc giảm trong một dấu nhắc lệnh để cho phép
người dùng nhập lệnh tiếp theo này. Dấu nhắc lệnh (command prompt hoặc shell) là
chìa khóa choHacker có thể được sử dụng để thực thi các ứng dụng khác.
3.1.3.2 Rootkits
Rootkit là một loại chương trình thường được sử dụng để che dấu các tiện ích trên
hệ thống bị xâm nhập. Rootkit bao gồm cái gọi là back doors, nó giúp cho Hacker đó
truy cập vào hệ thống sẽ dễ dàng hơn trong lần sau. Ví dụ, các rootkit có thể ẩn một
ứng dụng, ứng dụng này có thể sinh ra một lệnh kết nối vào một cổng mạng cụ thể
trên hệ thống. Back door cho phép các quá trình bắt đầu bởi một người không có đặc
46 BÀI 3: TẤN CÔNG HỆ THỐNG
quyên, dùng để thực hiện chức năng thường dành cho các quản trị viên. Rootkit
thường xuyên được sử dụng để cho phép lập trình viên ra rootkit có thể xem và truy
cập vào tên người dùng và thông tin đăng nhập trên các trang site có yêu cầu họ.
Keylogger là phần mềm gián điệp có dung lượng nhỏ, giúp kết nối các bàn phím
máy tính và lưu tất cả các thao tác phím vào một file. Hacker có thể cài thêm tính
năng là tự động gửi nội dung file đó đến máy chủ của hacker.
Đối vối kiểu keylogger cứng, có một thiết bị, giống usb, được gắn vào máy tính.
Quá trình thao tác phím được ghi lại trong usb đó. Để làm được điều này thì một
hacker phải có quyền truy cập vật lý vào hệ thống.
attrib +h [file/directory]
Cách thứ hai để ẩn một tập tin trong Windows là tạo luồng dữ liệu xen kẽ NTFS
(alternate data streaming - ADS).
NTFS sử dụng bởi Windows NT, 2000, và XP có một tính năng gọi là ADS cho phép
dữ liệu được lưu trữ trong các tập tin liên kết ẩn một cách bình thường, có thể nhìn
thấy được tập tin. Streams không giới hạn về kích thước, hơn nữa một stream có thể
liên kết đến một tập bình thường.
Ví dụ: tập tin hide.txt không nhìn thấy được nhưng tồn tại.
C:\>md stuff
C:\>cd stuff
C:\stuff>echo Hide stuff in stuff>:hide.txt
C:\stuff>dir
Volume in drive C has no label.
BÀI 3: TẤN CÔNG HỆ THỐNG 47
Volume Serial Number is 40CC-B506
Directory of C:\stuff
09/28/2004 10:19 AM <DIR> .
09/28/2004 10:19 AM <DIR> ..
0 File(s) 0 bytes
2 Dir(s) 12,253,208,576 bytes free
C:\stuff>notepad :hide.txt
Steganography là quá trình giấu dữ liệu trong các loại dữ liệu khác như hình ảnh
hay tập tin văn bản. Các phương pháp phổ biến nhất của dữ liệu ẩn trong các tập tin
là sử dụng hình ảnh đồ họa như là nơi để cất giấu. Hacker có thể nhúng các thông tin
trong một tập tin hình ảnh bằng cách sử dụng steganography. Các hacker có thể ẩn
các chỉ dẫn thực hiện một quả bom, số bí mật của tài khoản ngân hàng... Hành động
bất kỳ có thể được ẩn trong hình ảnh.
Những việc làm đầu tiên của kẻ xâm nhập sau khi giành được quyền quản trị là vô
hiệu hóa auditing. Auditing trong Windows ghi lại tất cả các sự kiện nhất định
(Windows Event Viewer: Control Panel->System and Maintenance->Administrative
Tools->Event Viewer). Sự kiện có thể bao gồm đăng nhập vào hệ thống, một ứng
dụng,... Một quản trị viên có thể chọn mức độ ghi nhật ký trên hệ thống. Hacker cần
xác định mức độ ghi nhật ký để xem liệu họ cần làm gì để xóa những dấu vết trên hệ
thống.
48 BÀI 3: TẤN CÔNG HỆ THỐNG
Những kẻ xâm nhập có thể dễ dàng xóa bỏ các bản ghi bảo mật trong Windows
Event Viewer. Một bản ghi sự kiện có chứa một hoặc một vài sự kiện là đáng ngờ bởi
vì nó thường cho thấy rằng các sự kiện khác đã bị xóa. Vẫn còn cần thiết để xóa các
bản ghi sự kiện sau khi tắt Auditing, bởi vì sử dụng công cụ AuditPol thì vẫn còn sự
kiện ghi nhận việc tắt tính năng Auditing.
Một viên quản trị hệ thống có thể thực hiện các biện pháp phòng ngừa bảo mật
sau để giảm những rủi do cho mật khẩu của người quản trị cũng như người dùng.
- Không nên dùng password liên quan tới tên host ,tên miền ,hoặc bất kỳ cái gì mà
hacker dễ đoán được.
- Không nên dùng password liên quan tới ngày kỳ nghỉ của bạn, vật nuôi, thân nhân
hoặc ngày sinh nhật.
Biện pháp đối phó khác là sử dụng thuật toán mã hóa MD5, checksum MD5 của
một tập tin là một giá trị 128-bit, nó giống như là dấu vân tay tập tin. Thuật toán này
được thiết kế để phát hiện sự thay đổi, ngay cả một chút trong tập tin dữ liệu, để
kiểm tra các nguyên nhân khác nhau. Thuật toán này có tính năng rất hữu ích để so
sánh các tập tin và đảm bảo tính toàn vẹn của nó. Một tính năng hay là kiểm tra
chiều dài cố định, bất kể kích thước của tập tin nguồn là như thế nào.
Việc tổng kiểm tra MD5 đảm bảo một file đã không thay đổi này có thể hữu ích
trong việc kiểm tra tính toàn vẹn file nếu rootkit đã được tìm thấy trên hệ thống. Các
công cụ như Tripwire được thực hiện để kiểm tra MD5, để xác định các tập tin có bị
ảnh hưởng bởi rootkit hay không.
Startup hay không; Hotkeys để ẩn và hiện chương trình. Phần Logging có tham số lấy
mật khẩu, nội dung chat, các button được nhấn, …
cũng có chức năng ẩn file. Để ẩn file thì đầu tiên chúng ta sẽ vào thanh start. Click
chuột phải vào chương trình và chọn Remote installation (hình 3-10).
Chọn chương trình cần ẩn vào và ấn next. Để chương trình tự xóa keyloger sau
bao nhiêu ngày sử dụng thì bạn đánh dấu tick vào Automatically uninstall remote
keylogger after … day of use. Sau đó, bạn chọn icon sẽ sử dụng cho chương trình và
nhấn finish để hoàn tất chương trình. Chương trình có keylog mặc định sẽ có đuôi
.exe. Khi victim chạy chạy chương trình thì máy victim đã bị nhiễm keylog. Bạn vào
mail hoặc FTP để kiểm tra để xem victim đã làm gì.
TÓM TẮT
Bài học cung cấp kiến thức tổng quan về các bước tấn công mạng của Hacker. Các
bước tấn công mạng gồm có: (1) Thu thập thông tin để giành quyền truy cập; (2) Tạo
ra user có đặt quyền trên hệ thống hoặc nâng quyền hạn của user đã thu thập được;
BÀI 3: TẤN CÔNG HỆ THỐNG 53
(3) Tạo và duy trì backdoor để truy cập; (4) Che dấu các tập tin độc hại và (5) Xóa
dấu vết.
Để thu thập thông tin thi Hacker ta sử dụng các kỹ thuật của bài học 2
(footprinting, scanning, enumeration). Khi có thông tin về đối tượng thì Hacker sẽ tấn
công mật khẩu để giành quyền truy cập hệ thống. Do vậy, đặt mật khẩu cần tuân thủ
qui tắc sau: không chứa tên tài khoản người dung, ngắn nhất phải 8 ký tự, phải chứa
các ký tự từ ít nhất ba trong số các loại như ký tự đặc biệt ‘/’ , chữ số, chữ cái viết
thường và chữ cái viết hoa.
Tăng đặc quyền (Escalating Privileges) là thêm nhiều quyền hơn cho một tài khoản
người dùng. Hacker tài khoản đặc quyền sẽ truy cập cấp quản trị viên để cài đặt
chương trình.
Một khi Hacker đã có thể truy cập tài khoản với quyền quản trị, Hacker sẽ thực thi
các ứng dụng trên hệ thống đích. Mục đích của việc thực thi ứng dụng có thể cài đặt
một cửa sau trên hệ thống, cài đặt một keylogger để thu thập thông tin bí mật, sao
chép các tập tin, hoặc chỉ gây thiệt hại cơ bản cho hệ thống, bất cứ điều gì Hacker
muốn làm trên hệ thống.
Hacker cần che dấu các tập tin trên một hệ thống nhằm ngăn chặn bị phát hiện.
Tập tin này có thể được dùng để khởi động một cuộc tấn công khác trên hệ thống. Có
hai cách để ẩn các tập tin trong Windows. Đầu tiên là sử dụng lệnh attrib. Cách thứ
hai để ẩn một tập tin trong Windows là tạo luồng dữ liệu xen kẽ NTFS (alternate data
streaming - ADS).
Khi Hacker xâm nhập thành công, có được quyền truy cập quản trị viên trên một
hệ thống, Hacker sẽ cố gắng để che dấu vết của chúng để ngăn chặn bị phát hiện.
Câu 2: Trình bày các kỹ thuật lấy mật khẩu hệ thống máy tính?
Câu 4: Trình bày các thức thực thi ứng dụng và dấu tin?
Câu 6: Thực nghiệm minh họa từng bước tấn công vào hệ thống mạng sử dụng
Keyloger?
BÀI 4: KỸ THUẬT NGHE LÉN VÀ PHÂN TÍCH GÓI TIN 55
Bài giảng cung cấp kiến thức cho sinh viên về:
- Các khái niệm, mối đe dọa, cơ chế hoạt động chung của tấn công nghe lén;
- Các kỹ thuật nghe lén chủ động: tấn công MAC, tấn công DHCP, tấn công đầu độc
ARP, tấn công đầu độc DNS;
- Các công cụ phân tích gói tin, hỗ trợ cho việc nghe lén dữ liệu.
Thông qua việc hiểu các kỹ thuật nghe lén này, sinh viên ý thức được các giải pháp
an ninh cần thực hiện khi quản lý một hệ thống mạng.
Nghe lén hợp pháp có nhiều lợi ích. Cho phép nhiều cơ quan quản lý thực thi việc
nghe lén trên cùng một mục tiêu mà các cơ quan này không biết đến nhau. Ẩn thông
tin về việc nghe lén trên tất cả phương tiện, chỉ user có quyền mới thực thi được. Hỗ
56 BÀI 4: KỸ THUẬT NGHE LÉN VÀ PHÂN TÍCH GÓI TIN
trợ việc nghe lén cả đầu vào lẫn đầu ra. Không hiệu quả cho các dịch vụ thuê bao trên
router. Hỗ trợ nghe lén thuê bao cá nhân, những người mà dùng chung đường truyền
vật lý. Không cần quản trị viên, cũng không cần các bên nhận thức được rằng các
cuộc gọi đang được khai thác. Cung cấp 2 phương pháp: (1) Thiết đặt việc nghe lén
một cách an toàn và (2) gửi thông tin về lưu lương cho cơ quan quản lý.
Các thành phần được sử dụng để nghe lén hợp pháp như: Thiết bị cung cấp thông
tin cho LI (Lawful Intercept), các thiết bị đa phương tiện được cung cấp bởi hãng thứ
ba mà được dùng để xử lý hầu hết các tiến trình của LI, và các chương trình dùng để
lưu trữ và xử lý lưu lượng mạng bởi nhà cung cấp dịch vụ.
Hiện nay, nghe trộm mạng được thực hiện rất dễ dàng, bởi có quá nhiều công cụ
giúp thực hiện như Cain&Able, Ettercap, Ethereal, Dsniff, TCPDump, Sniffit, … Các
công cụ này ngày càng được tối ưu hóa, để dễ sử dụng và tránh bị phát hiện khi được
thực thi. So với các kiểu tấn công khác, tấn công nghe lén cực kỳ nguy hiểm, bởi nó
có thể ghi lại toàn bộ thông tin được truyền dẫn trên mạng. Hơn nữa, người sử dụng
không thể phát hiện ra cuộc tấn công này vì máy tính vẫn hoạt động bình thường và
không có dấu hiệu bị xâm hại. Điều này dẫn đến việc phát hiện và phòng chống nghe
trộm rất khó, hầu như chỉ phát hiện được bị nghe trộm khi đang ở tình trạng bị nghe
trộm.
BÀI 4: KỸ THUẬT NGHE LÉN VÀ PHÂN TÍCH GÓI TIN 57
Hình 4.3: Quá trình xử lý của switch với bảng CAM [5]
Bảng CAM (Content Address Memory) có dung lượng hữu hạn. Bảng CAM lưu trữ
các địa chỉ MAC đang hoạt động trên Port cùng thông số VLAN tương ứng. Quá trình
tấn công tràn bảng MAC sẽ lây lan sang các Switch lân cận. Tấn công này làm tràn
bảng CAM của Switch bằng cách phát ra vô số các gói tin với MAC giả mạo, không có
thật. Lúc đó, Switch hành động như Hub, đẩy các Frame thông tin ra tất cả các Port
trừ Port nhận vào. Attacker có thể bắt gói dễ dàng.
BÀI 4: KỸ THUẬT NGHE LÉN VÀ PHÂN TÍCH GÓI TIN 59
Hình 4.4: Switch hoạt động như Hub khi CAM bị tràn [5]
Trong Linux, phần mềm macof hoặc Yersinia thực hiện tấn công tràn bảng CAM.
macof sẽ gửi ngẫu nhiên địa chỉ MAC nguồn và địa chỉ IP. Công cụ này sẽ làm ngập
lụt bảng CAM (131,000/phút) bằng cách gửi các địa chỉ MAC không có thật.
Ngăn chặn tấn công MAC bằng cách chỉ cho phép một địa chỉ MAC trên một port
của switch. Bảo mật port cho switch giúp làm giảm ngập lụt MAC và khóa cổng trên
switch. Các lệnh cấu hình bảo mật Switch của Cisco như sau:
switchport port-security
Hình 4.7: Quá trình cấp phát IP của máy chủ DHCP
DHCP Server cấp phát, quản lý thông tin cấu hình TCP/IP của các Client như địa
chỉ IP, Default Gateway, DNS Server, và khoảng thời gian được cấp phát. Các gói tin
DHCP gồm có:
- DHCP Discover: client gửi goái broadcast ra toàn miền mạng để tìm server cấp
phát.
- DHCP Offer: Server gửi phản hồi đến client với các tham số cấu hình.
BÀI 4: KỸ THUẬT NGHE LÉN VÀ PHÂN TÍCH GÓI TIN 61
- DHCP Request: client nhận được DHCP offer, nó sẽ gửi gói broadcast để chấp nhận
offer đó.
- DHCP Ack và Nak: DHCP server nhận được DHCP request sẽ trả lại DHCP client
một DHCP ACK hoặc NACK.
- DHCP Decline: client gửi đến server địa chỉ mạng đã được dung
- DHCP Release: Client gửi đến Server địa chỉ mạng và hủy thuê
- DHCP Inform: Client gửi đến Server các thông tin cấu hình cục bộ
Máy tấn công gửi dạng broadcast bản tin DHCP Request cho toàn bộ dải IP và cố
lấy tất cả các IP có thể cấp về mình. Đây là phương thức tấn công từ chối dịch vụ
(DoS) dựa trên bản tin DHCP.
Attacker giả mạo DHCP Server cấp thông tin cấu hình TCP/IP cho Client. Để ngăn
chặn tấn công tước quyền DHCP, chúng ta cần kích hoạt bảo mật port như phần
chống tấn công tràn bảng CAM. Kích hoạt DHCP Snooping để ngăn chặn giả mạo
DHCP Server. Lúc này, switch sẽ phân loại cổng tin cậy và không tin cậy. Các câu
lệnh cấu hình cho IOS của Switch như:
ip dhcp snooping
62 BÀI 4: KỸ THUẬT NGHE LÉN VÀ PHÂN TÍCH GÓI TIN
Hình 4.11: Hoạt động tấn công giả mạo ARP [5].
Tấn công đầu độc ARP là hình thức tấn công mà gói tin ARP có thể bị giả mạo để
gửi dữ liệu đến máy của Hacker. Hacker làm ngập lụt bộ nhớ cache chứa địa chỉ ARP
của máy mục tiêu bằng các địa chỉ ARP giả mạo, phương thức này còn được gọi là đầu
độc. Giả mạo ARP liên quan đến việc xây dựng một số lượng lớn ARP Request giả mạo
và gói ARP Reply liên tục được phản hồi dẫn đến tình trạng quá tải switch. Cuối cùng
sau khi bảng ARP bị đầy thì switch sẽ hoạt động ở chế độ forwarding, lúc này thì
Hacker có thể dễ dàng nghe lén mọi hoạt động trong mạng.
Các nguy cơ xuất phát từ ARP Spoofing: Bằng cách giả mạo các gói tin ARP,
Hacker có thể chuyển hướng tất cả các kết nối giữa hai thiết bị khiến toàn bộ traffic đi
về máy của mình để thực hiện các hành động như: Từ chối dịch vụ; Chặn dữ liệu;
Nghe lén cuộc gọi VoIP; Đánh cắp Password; Chỉnh sửa dữ liệu. Công cụ đầu độc
ARP: CAIN&ABLE, WinArpAttacker, Ufasoft sniff.
64 BÀI 4: KỸ THUẬT NGHE LÉN VÀ PHÂN TÍCH GÓI TIN
Hình 4.14: Kiểm tra và chặn tấn công đầu độc ARP.
BÀI 4: KỸ THUẬT NGHE LÉN VÀ PHÂN TÍCH GÓI TIN 65
Cấu hình DHCP snooping và Dynamic ARP Inspection trên switch của cisco như
sau:
Giả mạo MAC nhân đôi: Tấn công giả mạo địa chỉ MAC bằng cách chạy chương
trình nghe lén địa chỉ MAC của máy trạm, máy được liên kết với switch và dùng địa
chỉ MAC đó để truy cập mạng. Bằng cách lắng nghe lưu lượng đi qua trong mạng,
Hacker có thể ăn cắp và dùng địa chỉ MAC hợp pháp của nạn nhân để nhận tất cả lưu
lượng đi từ máy nạn nhân đến đích. Công cụ giả mạo MAC như SMAC.
66 BÀI 4: KỸ THUẬT NGHE LÉN VÀ PHÂN TÍCH GÓI TIN
Có 4 kiểu tấn công giả mạo DNS: tấn công giả mạo DNS Internet (hình 4-16), tấn
công giả mạo Intranet DNS (hình 4-17) và tấn công đầu đọc Proxy Server DNS (hình
4-18), và tấn công đầu đọc DNS Cache (hình 4-19). Trong tấn công đầu đọc DNS
Cache, Hacker làm thay đổi các Record lưu trữ của DNS Server. Do đó, DNS Server sẽ
query vào địa chỉ IP của một Website giả của Hacker. Nếu DNS Server không xác
minh lại các gói tin DNS Response, nó sẽ lưu trữ những Record với các IP sai lệch.
Hình 4.15: Minh họa tấn công giả mạo DNS Internet.
BÀI 4: KỸ THUẬT NGHE LÉN VÀ PHÂN TÍCH GÓI TIN 67
Hình 4.16: Minh họa tấn công giả mạo Intranet DNS
Hình 4.17: Minh họa tấn công đầu đọc Proxy Server DNS
68 BÀI 4: KỸ THUẬT NGHE LÉN VÀ PHÂN TÍCH GÓI TIN
Hình 4.18: Minh họa tấn công đầu đọc Cache DNS
Các công cụ bắt gói tin của Wireshark cung cấp các tính năng sau:
- Bắt từ các loại phần cứng khác nhau (Ethernet, Token Ring, ATM, …)
- Giải mã các gói tin trong khi vẫn tiếp tục chụp.
- Bộ lọc gói tin, làm giảm số lượng dữ liệu được ghi lại.
Hình 4.19: Hộp thoại chọn card mạng để bắt gói tin
Để bắt đầu chụp các gói tin với Wireshark, bạn kích vào biểu tượng đầu tiên trên
thanh công cụ chính sẽ xuất hiện hộp thoại (hình 4-20).
BÀI 4: KỸ THUẬT NGHE LÉN VÀ PHÂN TÍCH GÓI TIN 69
Kích vào biểu tượng thứ 2 trên thanh công cụ để thiết tham số cho việc bắt gói tin.
Hình 4.20: Thiết lập các tham số cho việc bắt gói tin.
Ý nghĩa các tham số phần bắt gói tin như sau (capture):
- IP address trình bày địa chỉ IP của giao diện được lựa chọn. Nếu không rõ địa chỉ
IP thì sẽ hiển thị là “unknown”
- Link-layer header type: Chọn kiểu giao thức lớp liên kết dữ liệu (nên để mặc định).
- Buffer size: Đây là kích thước của bộ đệm hạt nhân mà sẽ giữ các gói tin bị bắt
đến khi chúng được ghi vào đĩa.
- Capture packets in promiscuous mode: đánh dấu tick nếu muốn bắt tất cả các gói
tin trong mạng LAN của bạn, nếu không chỉ bắt được các gói tin đi và đến máy tính
của bạn.
70 BÀI 4: KỸ THUẬT NGHE LÉN VÀ PHÂN TÍCH GÓI TIN
- Limit each packet to n bytes: giới hạn kích thước của gói tin. Nên để mặc định giá
sẽ là 65535.
Ý nghĩa tham số phần tập tin lưu các gói tin (Capture files):
- Use multiple files: Thay vì sử dụng một tập tin duy nhất, Wireshark sẽ tự động
chuyển sang một hình mới,nếu một điều kiện gây ra cụ thể đạt được.
- Next file every n megabyte: Chuyển sang các file tiếp theo sau khi số các byte
(s)/kilobyte(s)/megabyte(s)/GB(s) đã bị bắt.
- Next file every n minute(s): Chuyển sang các file tiếp theo sau khi số lượng nhất
định thứ hai (s) / phút(s) / giờ(s) / ngày(s) đã trôi qua.
- Ring buffer with n files: Tạo thành một vòng đệm của các tập tin chụp, với số
lượng nhất định các tập tin.
- Stop capture after n file(s): Dừng thu sau khi chuyển đến tập tin tiếp theo số lần
nhất định
- after n packet(s): Dừng chụp sau khi số các gói tin đã bị bắt.
- after n megabytes(s): Dừng chụp sau khi số các byte(s) /kilobyte(s) /megabyte(s)
/GB(s) đã được bắt.Tùy chọn này chuyển sang màu xám,nếu "Sử dụng nhiều file"
được chọn.
- after n minute(s): Dừng chụp sau khi số lượng nhất định thứ hai (s) /phút(s)
/giờ(s) /ngày(s) đã trôi qua.
Ý nghĩa tham số phần trình bày các gói tin (Display Option)
- Update list of packets in real time: cập nhật danh sách gói tin theo thời gian thực.
- Enable MAC name resolution: tính năng dịch địa chỉ MAC thành tên
- Enable network name resolution: tính năng dịch địa chỉ mạng thành tên.
BÀI 4: KỸ THUẬT NGHE LÉN VÀ PHÂN TÍCH GÓI TIN 71
- Enable transport name resolution: tính năng dịch địa chỉ giao vận thành giao thức
Hình 4.22: Kết quả bắt một phiên giao tiếp Voip
TÓM TẮT
Bài giảng cung cấp kiến thức cho sinh viên các khái niệm, mối đe dọa, cơ chế hoạt
động chung của tấn công nghe lén.
Nghe lén là một tiến trình cho phép giám sát cuộc gọi và cuộc hội thoại internet
bởi thành phần thứ ba. Hacker để thiết bị lắng nghe giữa mạng mang thông tin như
hai thiết bị điện thoại hoặc hai thiết bị đầu cuối trên internet.
72 BÀI 4: KỸ THUẬT NGHE LÉN VÀ PHÂN TÍCH GÓI TIN
Các kỹ thuật nghe lén gồm có hai loại: nghe lén thụ động và nghe lén chủ động.
Nghe lén thụ động như là thực hiện nghe lén thông qua một Hub. Nghe lén chủ động
được thực hiện trên Switch. Các kỹ thuật nghe lén chủ động: tấn công MAC, Tấn công
DHCP, Tấn công đầu độc ARP, Tấn công đầu độc DNS. Các giải pháp ngăn chặn nghe
lén là kích hoạt bảo mật port (ví dụ DHCP Snooping).
Câu 8: Triển khai mô hình mạng Lan, min họa các kỹ thuật toán công nghe lén và
phân tích gói tin trao đổi trong quá trình nghe lén dữ liệu.
BÀI 5: AN NINH HẠ TẦNG MẠNG 73
- Các giải pháp và lộ trình xây dựng bảo mật hạ tầng mạng
Qua bài học này, sinh viên biết được giải pháp tổng thể để xây dựng một hệ thống
mạng an toàn. Từ đó, sinh viên biết được vai trò của từng công cụ bảo mật được tìm
hiểu trong các bài học tiếp theo.
- Yêu cầu
- Tính năng
Ví dụ 1: Chúng ta không thể xây dựng giải pháp hàng triệu $ để bảo vệ cho một
máy cá nhân không quan trọng.
Ví dụ 2: Chúng ta cần bảo vệ cho hệ thống web mà không cần những tính năng an
toàn phía máy khách.
Ví dụ 3: Chúng ta không thể chiếm 50% hiệu suất của hệ thống cho các chương
trình bảo vệ được.
74 BÀI 5: AN NINH HẠ TẦNG MẠNG
Bất kỳ doanh nghiệp hay tổ chức nào cũng không thể cùng một lúc có thể triển
khai toàn bộ các giải pháp bảo mật. Điều này đặt ra cần phải có lộ trình xây dựng rõ
ràng. Một lộ trình xây dựng cần phải đáp ứng tính phủ kín và tương thích giữa các giải
pháp với nhau tránh chồng chéo và xung đột. Một đơn vị có thể dựa vào lộ trình này
để có thể xây dựng được một hạ tầng Công nghệ thông tin đáp ứng tính bảo mật.
Dưới đây là lộ trình các bước cũng như giải pháp để xây dựng một hệ thống mạng
đảm bảo tính bảo mật cao.
- Module Internet gồm: Router, Proxy và tối ưu hóa băng thông, Firewall
- Module Core: Vùng Routing và Switching lõi của toàn bộ hệ thống, nơi thiết lập
Access Controll List cho các vùng.
- Module Server Farm: Nơi chưa các server quan trọng như máy chủ dữ liệu, core
banking được giám sát bởi thiết bị IDS
76 BÀI 5: AN NINH HẠ TẦNG MẠNG
- Module Management: Là vùng mạng an toàn để cắm các cổng quản trị của các
thiết bị và máy chủ
- Vùng User: Cung cấp mạng cho người dùng tại cơ quan
- Branch: Kết nối tới các mạng chi nhánh trên cả nước.
- Router và Switch Core thiết lập Access Controll List và đảm bảo tính HA cho toàn
bộ các kết nối
- Firewall có chức năng đóng mở port và public server cũng như cho các kết nối VPN
- IPS thiết bị giám sát, phát hiện và ngăn chặn các cuộc tấn công mạng
- Endpoint Security: Giải pháp Endpoint cho máy trạm máy chủ
- Lý thuyết về Security
Xây dựng chính sách an toàn mạng là bước hoàn thiện một môi trường làm việc và
hoạt động theo chuẩn bảo mật. Hiện nay nước ta có rất nhiều đơn vị đang xây dựng
chính sách bảo mật theo chuẩn ISO 27001, sử dụng mô hình ISMS.
5.3.1 Quy trình tổng quan xây dựng chính sách tổng quan
Lập kế hoạch:
BÀI 5: AN NINH HẠ TẦNG MẠNG 77
- Xác định mục tiêu
- Thiết kế hệ thống
Kiểm tra:
- Giám sát và kiểm toán hệ thống trong quá trình hoạt động
Duy trì:
- ISO/IEC 27008 - Hướng dẫn cho chuyên gia đánh giá về ISMS controls
- ISO/IEC 27013 - Hướng dẫn tích hợp triển khai ISO/IEC 20000-1 và ISO/IEC
27001
- ISO/IEC 27015 - Hướng dẫn ISM cho tài chính và bảo hiểm
- ISO/IEC 27031 - Hướng dẫn mức độ sẵn sàng ICT cho BCM
- ISO/IEC 27037 - Hướng dẫn xác định, thu thập và/hoặc thu nhận và bảo quản các
bằng chứng số.
Trong series này có một số tiêu chuẩn không được đề cập (ví dụ ISO27012 cho
egovernment) là do nguyên nhân các tiêu chuẩn này chưa định hình, hoặc chưa đủ
điều kiện để nâng cấp lên thành tiêu chuẩn do Uỷ ban kỹ thuật của ISO và IEC quyết
định. Ngoài ra hai tiêu chuẩn 27033 và 27034 có các tiêu chuẩn con tương ứng hay
còn gọi là các phần như 27033-1, 27034-5.
Làm ISMS phải bắt đầu từ việc học từ ngữ (ISO27000) sử dụng trong ISMS để
thống nhất cách hiểu, tư duy, diễn đạt và trình bày. Tránh trường hợp một từ bị diễn
giải thành nhiều nghĩa lệch lạc. Tuy nhiên, vì lý do thời gian, tiền bạc, và kể cả... kiêu
ngạo mà nhiều đơn vị thường bỏ qua bước này.
80 BÀI 5: AN NINH HẠ TẦNG MẠNG
Câu trả lời thông thường khi người tư vấn yêu cầu triển khai học về từ vựng là:
"Cái này dễ, để tự đọc là được rồi" nhưng thực tế không mấy ai đọc. Hơn nữa mục
đích chính không phải là hiểu từ vựng mà để cho toàn bộ nhân viên có cách hiểu
giống nhau. Chính vì vậy mà khi làm ISMS các đơn vị thường bị thất bại và có tính
hình thức vì quan điểm và cách hiểu của mỗi người, mỗi cấp trong tổ chức là khác
nhau. Những người mới vào cũng không được học nên dần dần khi mà turnover của
employee cao thì cách tư duy và định hướng không còn được như ban đầu.
ISMS không cần phải chứng nhận, không có chỗ nào trong bộ tiêu chuẩn quy định
phải chứng nhận ISMS cả. Việc chứng nhận ISMS là tự nguyện. Nhiều đơn vị đưa ra
chứng chỉ ISMS để "hù" người khác, nhưng thực tế người nắm rõ tiêu chuẩn thì thấy
chuyện đó rất hài hước.Vì ISMS chỉ thể hiện cam kết chứ không thể hiện giá trị.
ISMS nằm ở uy tín của tổ chức chứng nhận và chuyên gia đánh giá. Trong lãnh
vực này, có nhiều chuyên gia đánh giá có chuyên môn sâu còn kém hơn cả nhân viên
của đơn vị. Do đó 27006 - 27008 quy định về việc đánh giá. Cũng vì lý do đó mà
những tập đoàn công ty lớn không cần chứng nhận ISMS mà họ tự đánh giá nếu bản
thân họ có những chuyên gia giỏi.
Thông thường khi auditor đi đánh giá thường dựa vào 27001. Nếu triển khai ISMS
chỉ để đối phó thì chỉ cần tập trung vào 27001 là đủ và cũng chẳng cần học 27000
làm gì. Nếu thực sự triển khai thì tập trung vào 27002:
- Risk assessment
- Security policy
- Asset management
- Access control
BÀI 5: AN NINH HẠ TẦNG MẠNG 81
- Information systems acquisition, development and maintenance Information
security incident management
- Compliance
Triển khai 12 cái code of practice của 27002. Khi triển khai 27002 sẽ phải bắt đầu
chu kỳ lặp đi lặp lại của 12 điểm nói trên tức là 12 điểm trên phải được xây dựng đi
xây dựng lại. Việc xây dựng này dựa trên 27003:
- Introduction
- Scope
Nhìn bề ngoài thì đây dường như là chỉ là vấn đề quản lý, nhưng trên thực tế phần
Oganization Analysis vẫn còn thiếu các mắt xích quan trọng trong bộ tiêu chuẩn và
ISO/IEC đang xây dựng. Đó là lý do không ít người lầm tưởng ISMS chỉ thiên về quản lý.
Chức năng của Switch là thực hiện việc chuyển mạch các gói tin ở Layer 2. Bảo
mật trên Switch bằng cách chia VLAN. Chia VLAN là tạo ra nhiều mạng trên một
Switch, tránh được sự bùng nổ của Virus hay các dạng tấn công khác. Security Port là
82 BÀI 5: AN NINH HẠ TẦNG MẠNG
gán cố định một số địa chỉ MAC vào một port nhất định trên Switch, cho phép chặn
được các dạng tấn công như MAC Spoofing, ARP Spoofing.
Khi gói tin đi vào một cổng, router sẽ kiểm tra xem có một ACL trong cổng vào
hay không, nếu có gói tin sẽ được kiểm tra đối chiếu với những điều kiện trong danh
sách.
Nếu gói tin đó được cho phép nó sẽ tiếp tục được kiểm tra trong bảng định tuyến
để quyết định chọn cổng để đi đến đích.
Tiếp đó, router sẽ kiểm tra xem cổng ra có ACL hay không. Nếu không thì gói tin
có thể sẽ được gửi tới mạng đích. Nếu có ACL ở cổng ra, nó sẽ kiểm tra đối chiếu với
những điều kiện trong danh sách ACL đó.
Extended ACL nên được đặt trên router càng gần càng tốt đến các nguồn đang
được lọc. Nếu đặt quá xa nguồn được lọc, sử dụng không hiệu quả các nguồn tài
nguyên mạng.
- Standard ACL
- Extended ACL
- Reflexive ACL
- Dynamic ACL
- Time-Based ACL
1. Standard ACL
ACL mặc định từ chối tất cả, phải có ít nhất một câu lệnh cho phép gói tin đi qua.
Trong đó:
84 BÀI 5: AN NINH HẠ TẦNG MẠNG
- Permit | deny: ACL chỉ cho phép (permit) hoặc từ chối (deny)
2. Extended ACL
Trong đó:
- Permit | deny: ACL chỉ cho phép (permit) hoặc từ chối (deny)
3. Reflexive ACL
- Hoạt động giống như một dạng tường lửa đơn giản. Reflexive ACL kiểm soát
lưu lượng theo nguyên tắc chỉ cho phép lưu lượng từ bên ngoài mạng đi vào
bên trong mạng nếu như lưu lượng đó là lưu lượng trả về cho một luồng lưu
lượng xuất phát từ bên trong mạng đi ra ngoài trước đó.
Ví dụ: Cấu hình R1 để cho phép các gói tin ICMP, TCP và UDP xuất phát từ VLAN
10 được phép đi ra bên ngoài. Tất cả mọi loại dữ liệu từ bên ngoài đi vào VLAN 10 đều
bị cấm, ngoại trừ các gói tin trả về cho các gói tin ICMP, TCP và UDP đã đi ra trước đó
từ VLAN 10.
Mỗi dòng phản xạ được tạo ra nếu không được sử dụng, sẽ bị xóa sau một khoảng
thời gian inactive timeout. Giá trị mặc định của khoảng thời gian timeout này là 300s.
Ta có thể hiệu chỉnh khoảng thời gian này bằng câu lệnh:
Các ACL INBOUND và OUTBOUND sau khi được tạo ra sẽ được gán trên cổng đấu
nối của R1 ra bên ngoài. Trong ví dụ này là cổng S0/0/0.
R1(config)#interface s0/0/0
R1(config-if)#ip access-group OUTBOUND out
R1(config-if)#ip access-group INBOUND in
R1(config-if)#exit
4. Dynamic ACL
Cung cấp một cơ chế xác thực để cho phép tiến hành một loại hình trao đổi dữ liệu
nào đó.
Một host muốn thực hiện một phiên trao đổi dữ liệu (ví dụ: mở một kết nối Web –
HTTP), host này phải tiến hành xác thực bằng cách gửi một cặp username/password
đến router có cấu hình dynamic ACL. Nếu xác thực thành công, Dynamic ACL này sẽ
tự động tạo một dòng cho phép phiên này và như vậy dữ liệu của phiên có thể đi qua;
ngược lại, nếu xác thực không thành công, dòng cho phép không được tạo ra, phiên
sẽ bị cấm.
Bước 1: Mở kết nối Telnet hoặc SSH tới router và nhập username, password
5. Time-based ACL
Ví dụ các thông báo log dưới đây, cho phép địa chỉ nguồn 192.168.1.3 (cổng
nguồn: 1024) SSH (cổng đích: 22) trên nền TCP đến địa chỉ đích 192.168.2.1
TÓM TẮT
Bài học cung cấp kiến thức về việc xây dựng một hệ thống mạng bảo mật gồm có:
(1) Các giải pháp và lộ trình xây dựng bảo mật hạ tầng mạng, (2) thiết kế mô hình
mạng an toàn, (3) chính sách an toàn mạng và (4) bảo mật cho thiết bị router,
switch.
Để có thể xây dựng một hệ thống mạng đảm bảo tính an toàn cần phải có lộ trình
xây dựng hợp lý giữa yêu cầu và chi phí, để từ đó lựa chọn giải pháp phù hợp. Giải
pháp phù hợp nhất phải cân bằng được các yếu tố: yêu cầu, giá thành giải pháp, tính
năng, hiệu năng của hệ thống. Giải pháp an ninh hạ tầng mạng bao gồm 4 mảng: (1)
lý thuyết về Security, (2) kỹ năng tấn công, (3) kỹ năng cấu hình phòng thủ, và (4)
lập chính sách an toàn thông tin. Xây dựng chính sách an toàn mạng là bước hoàn
thiện một môi trường làm việc và hoạt động theo chuẩn bảo mật. Hiện nay nước ta có
rất nhiều đơn vị đang xây dựng chính sách bảo mật theo chuẩn ISO 27001, sử dụng
mô hình ISMS.
Để kiểm soát dữ liệu, Routers sử dụng ACL và Switch thi thực hiện chia Lan ảo.
Câu 1: Trình bày các giải pháp bảo mật thông tin cần thiết cho một hệ thông mạng
hiện nay là gì? Lộ trình thực hiện nó như thến nào?
Câu 3: Trình bày quy trình xây dựng chính sách bảo mật cho hệ thống mạng?
Câu 4: Trình bày các tiêu chuẩn an toàn khi xây dựng hệ thống mạng là gì?
Câu 5: Trình bày giải pháp bảo mật cho Router và Switch. Trình bày ACL là gì? cho ví
dụ minh họa?
BÀI 6: FIREWALL 91
BÀI 6: FIREWALL
Bài học này cung cấp cho sinh viên kiến thức:
- Các khái niệm tường lửa, nguyên lý hoạt động, phân loại và cách triển khai tường
lửa trong mô hình mạng.
- Các tính năng, cách thiết lập chính sách bảo mật và cách triển khải tường lửa này.
Sinh viên hiểu được vai trò lọc gói tin của tường lửa và biết cách áp dụng thích hợp
một số công cụ tường lửa vào xây dựng mô hình mạng an toàn.
Firewall có thể là thiết bị phần cứng hoặc chương trình phần mềm chạy trên host
bảo đảm hoặc kết hợp cả hai. Trong mọi trường hợp, nó phải có ít nhất hai giao tiếp
mạng, một cho mạng mà nó bảo vệ, một cho mạng bên ngoài. Firewall có thể là
gateway hoặc điểm nối liền giữa hai mạng, thường là một mạng riêng và một mạng
công cộng như là Internet. Các firewall đầu tiên là các router đơn giản.
92 BÀI 6: FIREWALL
- Cho phép hoặc cấm những dịch vụ từ ngoài truy cập vào trong.
- Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập
- Kiểm soát người sử dụng và việc truy cập của người sử dụng. Kiểm soát nội dung
thông tin lưu chuyển trên mạng.
Một firewall khảo sát tất cả các luồng lưu lượng giữa hai mạng để xem nó có đạt
chuẩn hay không. Nếu nó đạt, nó được định tuyến giữa các mạng, ngược lại nó bị
hủy. Một bộ lọc firewall lọc cả lưu lượng ra lẫn lưu lượng vào. Nó cũng có thể quản lý
việc truy cập từ bên ngoài vào nguồn tài nguyên mạng bên trong. Nó có thể được sử
dụng để ghi lại tất cả các cố gắng để vào mạng riêng và đưa ra cảnh báo nhanh
chóng khi kẻ thù hoặc kẻ không được phân quyền đột nhập. Firewall có thể lọc các gói
dựa vào địa chỉ nguồn, địa chỉ đích và số cổng của chúng. Điều này còn được gọi là
lọc địa chỉ. Firewall cũng có thể lọc các loại đặc biệt của lưu lượng mạng. Điều này
được gọi là lọc giao thức bởi vì việc ra quyết định cho chuyển tiếp hoặc từ chối lưu
lượng phụ thuộc vào giao thức được sử dụng, ví dụ HTTP, FTP hoặc Telnet. Firewall
cũng có thể lọc luồng lưu lượng thông qua thuộc tính và trạng thái của gói.
Một số firewall có chức năng thú vị và cao cấp, đánh lừa được những kẻ xâm nhập
rằng họ đã phá vỡ được hệ thống an toàn. Về cơ bản, nó phát hiện sự tấn công và
tiếp quản nó, dẫn dắt Hacker đi theo bằng tiếp cận “nhà phản chiếu” (hall of mirrors).
Nếu Hacker tin rằng họ đã vào được một phần của hệ thống và có thể truy cập xa
hơn, các hoạt động của Hacker có thể được ghi lại và theo dõi.
Nếu có thể giữ kẻ phá hoại trong một thời gian, người quản trị có thể lần theo dấu
vết của họ. Ví dụ, có thể dùng lệnh finger để theo vết Hacker hoặc tạo tập tin “bẫy
BÀI 6: FIREWALL 93
mồi” để họ phải mất thời gian truyền lâu, sau đó theo vết việc truyền tập tin về nơi
của kẻ tấn công qua kết nối Internet.
Bộ lọc packet cho phép hay từ chối mỗi packet mà nó nhận được. Nó kiểm tra toàn
bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thỏa mãn một trong số các luật
lệ của lọc packet hay không. Các luật lệ lọc packet này là dựa trên các thông tin ở đầu
mỗi packet (header), dùng để cho phép truyền các packet đó ở trên mạng. Bao gồm:
- Firewall có thể bóc tách dữ liệu trong gói tin Layer 6,7: Filetype, URL, Content,
Nếu phân loại theo nền tảng phần cứng và phần mềm thì có Hardware firewall và
software firewall. Software Firewall thường được cài đặt trên OS hoặc là hệ điều hành
Linux tích hợp firewall mềm. Hardware firewall được tối ưu hóa bằng việc xây dựng hệ
điều hành trên nền tảng phần cứng của hãng nên hiệu năng xử lý tốt hơn.
Nếu theo khả năng xử lý gói tin thì có Packet filter, Application filter, State full
filter, và UTM. Packet filter hoạt động ở Layer3 – 4 Mô hình OSI, cho phép lọc gói tin
ở hai lớp này, Firewall dạng này có thể coi như Acess Control List trên Router.
Application Filter hoạt động ở Layer 7, cho phép tạo ra các Rules hoạt động trên Layer
7 của mô hình mạng OSI như URL, Content, … State Full Filter hoạt động từ Layer 3 –
7, cho phép tạo rules phức tạo từ IP, Port, URL, Filetype, time, User, content,
Header,… UTM tích hợp giữa Firewall và UTM. Do nhiều tính năng nên hiệu năng xử lý
không được cao.
Khái niệm mới về một thế hệ mới Firewall được Gartner (tổ chức đánh giá các giải
pháp IT) định nghĩa là: Next Generation Firewall cần phải có các tính năng sau:
- Hỗ trợ hoạt động Inline trong hệ thống mạng (có thể hoạt động trong suốt từ
Layer 2)
- Có những tính năng Firewall cơ bản: Packet Filter, NAT, Statefull, VPN
- Hỗ trợ phát hiện hệ thống mạng (Host active, Service, Application, OS,
Vulnerability).
- Tích hợp IPS mức độ sâu (cho phép cấu hình, rule edit, Event Impact Flag…)
- Application Awareness: Cho phép phát hiện các dịch vụ hệ thống, đưa ra các policy
sâu như cấm được Skype, Yahoo Messager…
BÀI 6: FIREWALL 95
- Extrafirewall Inteligence: Ví dụ cho phép block một user nào đó đăng nhập vào
- Facebook còn các user còn lại vẫn truy cập được.
- Hỗ trợ update signature liên tục đảm bảo hệ thống luôn được bảo mật.
- Mô hình mạng tích hợp tại một đơn vị. Ví dụ 1 hình 6-3. Một ví dụ khác của mô
hình mạng tích hợp tại một đơn vị trong hình 6-4, trong mô hình này có thiết bị:
Firewall, Proxy chuyên dụng của BlueCoat, IPS Sourcefire, Cân bằng tải cho nhiều
đường internet, UTM Firewall cùng nhiều thiết bị và giải pháp bảo mật khác.
- Stateful failover
- Transparent firewalls
- Quản trị dựa trên giao diện web (sử dụng ASDM)
Việc sử dụng hệ điều hành riêng biệt loại trừ được các nguy cơ bảo mật khi sử
dụng chung với các hệ điều hành khác.
- Giải thuật kiểm tra gói tin - statefull packet inspection cung cấp các kết nối
bảo mật.
- Mặc định, giải thuật này cho phép kết nối từ máy vùng trong (cấp độ bảo
mật cao hơn) sang các vùng có cấp độ bảo mật thấp hơn và chặn các kết nối
98 BÀI 6: FIREWALL
từ máy vùng ngoài (cấp độ bảo mật thấp hơn ) sang các vùng có cấp độ bảo
cao hơn.
- Thiết bị bảo mật sẽ theo dõi quá trình kết nối này.
- Các port cần cho kết nối sẽ được mở một cách an toàn theo từng ứng dụng.
Như một quy luật chung, việc thiết lập các chính sách kiểm tra đòi hỏi 3 bước sau
đây:
Bước 1: Cấu hình các lớp lưu lượng (class-map) để định danh cho lưu lượng cần
quan tâm.
Bước 2: Tạo chính sách (policy-map) để khởi tạo hoạt động cho mỗi lưu lượng.
Bước 3: Kích hoạt các chính sách (service-policy) lên một cổng.
- Site-to-site VPN
- Remote-access VPN
Site-to-site VPN: Cho phép một công ty thiết lập kết nối giữa hai hay nhiều văn
phòng để họ có thể gửi lưu lượng qua lại bằng cách sử dụng một môi trường chia sẻ
như mạng internet. GRE, IPSec và MPLS VPN là các giao thức thường được sử dụng
trong kết nối site-to-site VPN.
Remote-access VPN: Có lợi cho một tổ chức bằng cách cho phép các người dùng
dùng di động (mobile users) làm việc từ các địa điểm từ xa như nhà, khách sạn,… có
kết nối internet. Một số giao thức thường thường được sử dụng trong remote-access
VPN như: PPTP, L2TP, L2F, và IPSEC.
100 BÀI 6: FIREWALL
Active/Active: Cả hai thiết bị đều chạy , chia tải và dự phòng lẫn nhau.
- Stateful failover: Duy trì trạng thái kết nối khi một thiết bị kết nối chính
hỏng.
BÀI 6: FIREWALL 101
6.2.2.8 Transparent Firewall
- Cho phép bảo mật từ layer 2 đến layer 7 và hoạt động như một thiết bị layer
2.
- Chạy đa nền.
- Được tải trước vào bộ nhớ flash với các dòng cisco ASA.
5 phiên kết nối ASDM đối với một thiết bị (single mode)
- Hoạt động trên các thiết bị bảo mật: Cisco ASA 5505, 5510, 5520, 5540, và
5550.
Thiết bị ASA cần đáp ứng các yêu cầu sau để chạy ASDM:
- Hỗ trợ java-plugin
- Hệ điều hành của ASA phải tương thích với ASDM sẽ cài đặt.
Để trình duyệt web có thể chạy được ASDM, cần những yêu cầu sau:
- Windows
- Sun Solaris
- Linux
Để sử dụng được ASDM, trên ASA cần có các thông số như sau:
- Thời gian
- Domain name
- Cho phép một địa chỉ máy chỉ định được truy nhập vào ASDM
- Hỗ trợ failover:
Active/standby
- Hỗ trợ VPNs:
Remote access
WebVPN
- Hỗ trợ thêm các module SSMs (Cisco ASA AIP SSM, Cisco ASA CSC SSM và
Gigabit Ethernet SSM loại 4 port).
- Hỗ trợ failover:
Active/standby
Active/active
- Hỗ trợ VPNs:
Remote access
WebVPN
- Hỗ trợ thêm các module SSMs (Cisco ASA AIP SSM, Cisco ASA CSC SSM và
Gigabit Ethernet SSM loại 4 port).
- Hỗ trợ failover:
106 BÀI 6: FIREWALL
Active/standby
Active/active
- Hỗ trợ VPNs:
Remote access
WebVPN
- Hỗ trợ thêm các module SSMs (Cisco ASA AIP SSM, Cisco ASA CSC SSM and
four-port Gigabit Ethernet SSM).
- Unprivileged ciscoasa>
- Privileged ciscoasa#
- Configuration ciscoasa(config)#
- Monitor monitor>
a. Chế độ Privileged
Dùng lệnh enable để cho phép truy nhập vào chế độ Priviledged
ciscoasa> enable
password:
ciscoasa#
b. Chế độ Configuration
Dùng lệnh exit dùng để thoát khỏi chế độ hiện tại, trở về chế độ trước đó
BÀI 6: FIREWALL 107
ciscoasa(config)# exit
ciscoasa# exit
ciscoasa>
Sử dụng lệnh show running-config để xem cấu hình đang chạy hoặc show startup-
config để xem cấu hình lúc khởi động
Sử dụng lệnh copy run start hoặc write memory để lưu cấu hình
Dùng lệnh reload để khởi động lại ASA, thiết bị sẽ tự động lấy lại cấu hình startup-
config copy vào running-config để chạy.
ciscoasa# reload
Proceed with reload?[confirm] y
Rebooting...
108 BÀI 6: FIREWALL
Mức độ bảo mật là một con số từ 0 đến 100 được gán vào cổng, nó xác định mức
độ tin cậy của 1 cổng bao gồm cả cổng con (subinterface). Mức độ bảo mật càng cao
thì mức độ tin cậy càng cao. Cổng có mức độ bảo mật cao hơn cổng có mức độ bảo
mật thấp hơn thì được phép truy cập đến, ngược lại thì không trừ khi được gán danh
sách truy cập (access-list) để cho phép luồng dữ liệu từ cổng có mức độ bảo mật thấp
đến cổng có mức độ bảo mật cao.
Mức độ bảo mật 100 thường được gán cho vùng mạng quan trọng, mức độ bảo
mật 50 thường được gán cho vùng DMZ, mức độ bảo mật 0 được gán cho vùng mạng
kết nối đến WAN. Ngoài ra ta có thể gán bất cứ Mức độ bảo mật nào từ 1-99, mặc
định khi đặt định danh cho cổng kết nối đến vùng mạng quan trọng, thường là mạng
bên trong (inside) thì ASA sẽ tự động gán mức độ bảo mật cho nó là 100, tương tự
cho vùng mạng kết nối với Wan nếu đặt định danh là outside thì mức độ bảo mật mặc
định là 0.
- Lệnh show run interface: kiểm tra các thông số interface đang chạy
- Lệnh show cpu usage: kiểm tra hiệu xuất cpu sử dụng
- Lệnh show run nat: hiển thị host hoặc một giải địa chỉ được NAT
- Lệnh show run global: hiển thị giải địa chỉ sẽ được map cho các host bên
trong
- Lệnh show xlate: hiển thị nội dung các khe dịch
Ví dụ: Hiển thị bảng thông tin định tuyến ở mô hình trên
- Lệnh ping:
Cấu trúc
BÀI 6: FIREWALL 113
ping [if_name] host [data pattern] [repeat count] [size bytes] [timeout
seconds] [validate]
Ví dụ: Kiểm tra sự tồn tại của host 10.0.1.11 trên mạng
- Lệnh traceroute:
Cấu trúc
Ví dụ: Kiểm tra đường đi của gói tin đến host 172.26.26.20
asa1#traceroute 172.26.26.20
ciscoasa(config)#hostname asa1
asa1(config)#
asa1(config-if)#
ciscoasa(config-if)#nameif if_name
Ví dụ: Cho phép dữ liệu giữa các interface cùng mức bảo mật
Ví dụ: Thiết lập tốc độ là 1000 và duplex là full cho interface GigabitEthernet0/0
Cấu trúc lệnh bật chức năng chỉ chấp nhận dữ liệu quản trị trên interface
ciscoasa(config-if)#management-only
Cấu trúc lệnh tắt chức năng chỉ chấp nhận dữ liệu quản trị trên interface
ciscoasa(config-if)#no management-only
Ví dụ: Tắt chức năng chỉ chấp nhận dữ liệu quản trị trên interface management0/0
asa1(config-if)# no shutdown
asa1(config)# nat-control
Ví dụ: Cho phép NAT vùng inside ra giải địa chỉ bất kỳ
Câu lệnh này kết hợp với câu lệnh nat để gán một giải địa chỉ public IP, map cho
các máy vùng inside, ví dụ: 192.168.0.20-192.168.0.254
Ví dụ: Cấu hình các địa chỉ IP của server tương ứng với các tên
asa1(config)# names
asa1(config)# name 172.16.1.2 bastionhost
asa1(config)# name 10.0.1.11 insidehost
f. Lệnh icmp
Cấu trúc cho phép hoặc không cho phép ping đến interface
ciscoasa(config)# icmp {permit | deny} {host sip | sip smask | any} [icmp-
type] if_name
Ví dụ: Cho phép ping từ bên ngoài vào interface outside của asa1
Cấu trúc cho phép cấu hình những host được phép telnet tới ASA
Cấu hình mật khẩu dùng cho việc telnet tới ASA
Ví dụ: Cho phép host 10.0.0.11 (thuộc vùng inside) telnet tới thiết bị asa1 với mật
khẩu telnetpass.
Hiển thị cấu hình các máy được cho phép telnet
Cho phép xem user nào đang có phiên telnet tới ASA
ciscoasa#who [local_ip]
ciscoasa#kill telnet_id
Bước 4: Cho phép những host chỉ định được phép kết nối ssh tới.
BÀI 6: FIREWALL 119
ciscoasa(config)#ssh {ip_address mask | ipv6_address/prefix} interface
Bước 5: Lượng thời gian idle trước khi kết nối bị ngắt
Ví dụ: Cho phép host 172.26.26.50 (thuộc vùng outside) kết nối SSH tới thiết bị
asa1 với domain-name cisco.com, thời gian timeout 30.
Một ACL chỉ cần mô tả được gói tin khởi tạo của ứng dụng, chiều trả về không cần
thiết phải có trong ACL.
Nếu không có ACL nào được cấu hình trên interface thì :
- Mặc định gói tin từ inside outside được cho qua (outbound).
Ví dụ: Tạo ACL ACLOUT cho phép host 192.168.1.9 (từ bên ngoài) được truy nhập
web server ở DMZ server
Bước 2: Áp dụng access-list lên interface mong muốn, sử dụng lệnh access-group
TÓM TẮT
Bài học này trình bày các khái niệm về tường lửa, các chức năng, nguyên lý hoạt
động, cách triển khai tường lừa trong mô hình mạng và tường lửa ASA sử dụng hiện
nay trên mạng. Firewall là một kỹ thuật được tích hợp vào hệ thống mạng để chống
sự truy cập trái phép, nhằm bảo vệ các nguồn thông tin nội bộ và hạn chế sự xâm
nhâp không mong muốn vào hệ thống. Chức năng chính của Firewall là kiểm soát
luồng thông tin từ giữa Intranet và Internet. Thiết kế firewall phù hợp với hệ thống
mạng là rất quan trọng, dưới đây trình bày một số mô hình triển khai firewall: (1)
firewall làm chức năng Packet Filter, (2) firewall áp dụng cho vùng DMZ và (3) mô
hình mạng tích hợp. Bài học trình bày cách sử dụng tường lửa ASA phổ biển hiện nay
trong việc triển khai các hệ thống mạng an toàn.
Câu 3: Trình bày các hệ thống bảo mật của tường lửa ASA?
Câu 4: Trình bày các loại tường lửa ASA và các tính năng?
Câu 5: Trình bày cách triển khai tường lửa ASA cho hạ tầng mạng?
122 BÀI 7: HỆ THỐNG NGĂN CHẶN XÂM NHẬP IPS
- Hiểu các khái niệm, kiến trúc xử lý, và nguyên lý hoạt động của hệ thống IPS.
- Quá trình triển khai hệ thống IPS bằng dòng lệnh và cách triển khai một hệ thống
IPS sử dụng SDM.
Hình 7.1: Kiến trúc chung của hệ thống ngăn chặn xâm nhập
Modul này có nhiệm vụ phân tích cấu trúc thông tin trong các gói tin khi các gói tin
này đi qua Card mạng của máy giám sát được đặt ở chế độ Promiscuous Mode thì
chúng đều được sao chép lại để xử lý và phân tích, bộ phân tích gói đọc thông tin
từng trường trong gói tin xác định chúng thuộc kiểu gói tin nào dịch vụ gì sau đó các
thông tin này được chuyển đến modul phát hiện tấn công.
Đây là modul quan trọng nhất trong hệ thống nó có một số phương pháp để phát
hiện các cuộc tấn công là dò tìm sự lạm dụng và dò sự không bình thường.
Phương pháp dò sự lạm dụng: Phương pháp này phân tích các hoạt động của hệ
thống tìm kiếm các sự kiện giống với các mẫu tấn công đã biết trước các mẫu này gọi
là các dấu hiệu tấn công, do vậy phương pháp này còn được gọi là phương pháp dò
dấu hiệu, chúng có ưu điểm là phát hiện các cuộc tấn công nhanh và chính xác,
không đưa ra các cảnh báo sai làm giảm khả nǎng hoạt động của mạng và giúp các
người quản trị xác định các lỗ hổng bảo mật trong hệ thống. Tuy nhiên, phương pháp
này có nhược điểm là không phát hiện được các cuộc tấn công không có trong cơ sở
dữ liệu hay các kiểu tấn công mới cho nên hệ thống luôn phải cập nhật các mẫu tấn
công thường xuyên.
Phương pháp dò sự không bình thường: Đây là kỹ thuật dò thông minh nhận
dạng các hành động không bình thường của mạng cơ chế hoạt động của phương pháp
124 BÀI 7: HỆ THỐNG NGĂN CHẶN XÂM NHẬP IPS
này là tìm sự khác nhau so với các hoạt động thông thường, ban đầu chúng lưu trữ
các mô tả sơ lược về các hoạt động bình thường của hệ thống các cuộc tấn công sẽ có
những hành động khác thường so với hành động bình thường và phương pháp dò này
có thể nhận dạng được chúng. Có một số kỹ thuật giúp thực hiện dò sự không bình
thường của các cuộc tấn công như dưới đây:
- Phát hiện mức ngưỡng: Kỹ thuật này đo đếm các hoạt động bình thường trên
mạng, nếu có sự bất thường nào đó như đǎng nhập với số lần quá quy định, số
lượng các tiến trình hoạt động trên CPU, số lượng một loại gói tin được gửi vượt
quá mức ... thì hệ thống có dấu hiệu bị tấn công.
- Phát hiện nhờ quá trình tự học: Kỹ thuật này bao gồm hai bước: Khi bắt đầu thiết
lập hệ thống phát hiện tấn công sẽ chạy ở chế độ tự học và tạo ra một hồ sơ, sau
thời gian khởi tạo hệ thống sẽ chạy ở chế độ làm việc tiến hành theo dõi phát hiện
các hoạt động bất thường của mạng bằng cách so sánh với hồ sơ đã thiết lập, chế
độ tự học này có thể chạy song song với chế độ làm việc để cập nhật hồ sơ của
mình nhưng nếu dò ra có tín hiệu tấn công thì chế độ tự học phải dừng lại cho tới
khi cuộc tấn công kết thúc.
- Phát hiện sự không bình thường của các giao thức: Kỹ thuật này cǎn cứ vào hoạt
động của các giao thức, các dịch vụ của hệ thống để tìm ra các gói tin không hợp
lệ, kỹ thuật này rất hiệu quả trong việc ngǎn chặn các hình thức quét mạng, quét
cổng để thu thập thông tin của các hacker. Phương pháp này rất hữu hiệu trong
việc phát hiện các cuộc tấn công kiểu từ chối dịch vụ, ưu điểm là có thể phát hiện
ra các kiểu tấn công mới, cung cấp các thông tin hữu ích bổ sung cho phương pháp
dò sự lạm dụng, tuy nhiên chúng có nhược điểm là thường tạo ra một số lượng các
cảnh báo sai làm giảm hiệu suất hoạt động của mạng.
Khi có dấu hiệu của sự tấn công modul phát hiện tấn công sẽ gửi tín hiệu báo hiệu
có sự tấn công đến modul phản ứng, lúc đó modul phản ứng sẽ kíck hoạt các dấu hiệu
thực hiện chức năng ngăn chặn cuộc tấn công. Ở modul này, nếu chỉ đưa ra các cảnh
báo tới các người quản trị và dừng lại ở đó thì hệ thống này được gọi là hệ thống
BÀI 7: HỆ THỐNG NGĂN CHẶN XÂM NHẬP IPS 125
phòng thủ bị động hay còn gọi là hệ thống phát hiện xâm nhập - IDS, modul phản
ứng này tùy theo hệ thống mà có các chức năng khác nhau, dưới đây là một số kỹ
thuật ngăn chặn:
Terminate Session: Cơ chế của kỹ thuật này là hệ thống IPS gửi gói tin Reset
thiết lập lại cuộc giao tiếp giữa Client và Server, kết quả cuộc giao tiếp sẽ được bắt
đầu lại các mục đích của hacker không đạt được và cuộc tấn công bị ngừng lại. Tuy
nhiên phương pháp này có một số nhược điểm như thời gian gửi gói tin reset đến đích
là quá lâu so với thời gian gói tin của hacker đến được Victim dẫn đến reset quá chậm
so với cuộc tấn công, phương pháp này không ứng với các giao thức hoạt động trên
UDP như DNS, ngoài ra gói Reset phải có trường Sequence number đúng với gói tin
trước đó từ Client thì Server mới chấp nhận, do vậy nếu hacker gửi các gói tin với tốc
độ nhanh và trường Sequence number thay đổi thì rất khó thực hiện được phương
pháp này.
Drop Attack: Kỹ thuật này dùng Firewall để hủy bỏ gói tin hoặc chặn đường một
gói tin, một phiên làm việc hoặc một luồng thông tin giữa Hacker và Victim, kiểu phản
ứng này là an toàn nhất nhưng lại có nhược điểm là dễ nhầm với các gói tin hợp lệ.
Modify Firewall Polices: Kỹ thuật này cho phép người quản trị cấu hình lại chính
sách bảo mật khi cuộc tấn công xảy ra, sự cấu hình lại là tạm thời thay đổi các chính
sách điều khiển truy cập bởi người dùng.
Real-time Alerting: Gửi các cảnh báo thời gian thực đến người quản trị để họ
nắm được chi tiết các cuộc tấn công, các đặc điểm và thông tin về chúng.
Log Packet: Các dữ liệu của gói tin sẽ được lưu trữ trong hệ thống các file log để
các người quản trị có thể theo dõi các luồng thông tin và là nguồn thông tin giúp cho
modul phát hiện tấn công hoạt động.
Ba modul trên hoạt động theo tuần tự tạo nên một hệ thống IPS hoàn chỉnh, với
các ưu điểm này hệ thống IPS dần trở thành không thể thiếu trong các hệ thống bảo
mật.
126 BÀI 7: HỆ THỐNG NGĂN CHẶN XÂM NHẬP IPS
- Preprocessors: Thực hiện một số kiểm tra gói tin trước khi Detecion Engine thực
hiện phát hiện các cuộc xâm nhập.
- Detection Engine: Đây là module cốt lõi thực hiện chức năng phát hiện các cuộc
xâm nhập trái phép.
- Respone Engine: Module thực hiện chức năng phản ứng và ngăn chặn khi phát
hiện có xâm nhập.
- Output modules: Đưa các thông tin cảnh báo ra một chương trình khác hoặc tới
các server log.
- Graphic Interface: Xây dựng các công cụ để phân tích và thống kê các dữ liệu
bằng giao diện đồ họa.
NBAS là hệ thống phát hiện tấn công dựa trên các luồng lưu lượng bất thường. Ví
dụ người dùng có thể truy cập hợp pháp vào các ứng dụng của hệ thống tại một thời
điểm nào đó nếu hệ thống phát hiện có sự truy cập một số lượng lớn thì chúng sẽ bị
nghi ngờ đó là một tấn công xâm nhập. Nếu một người dùng truy cập vào một tập tin
hay thư mục nào đó trong hệ thống và truy cập vào các loại thông tin khác khi đó hệ
thống ngăn chặn xâm nhập sẽ cảnh báo.
Sự khác biệt giữa Network Behavior và Network Base ở chổ là NBAS phân tích lưu
lượng mạng hoặc các thống kê trên lưu lượng mạng để nhận diện các luồng lưu lượng
128 BÀI 7: HỆ THỐNG NGĂN CHẶN XÂM NHẬP IPS
bất thường. Hệ thống Network Behavior có thể được triển khai dưới hai dạng là thụ
động và thẳng hàng. Với kiểu thụ động hệ thống ngăn chặn xâm nhập được triển khai
tại các vị trí cần giám sát như ranh giới mạng, các đoạn mạng quan trọng. Với kiểu
thẳng hàng, tương tự như Network Base có thể triển khai cùng với Firewall thường là
phía trước để giảm thiểu số lượng các tấn công đến có thể làm quá tải Firewall.
Host Based Intrusion Prevention System viết tắt HIPS là một phần mềm được triển
khai trên máy chủ quan trọng trong hệ thống như Public Servers, Sensitive Data
Servers, hoặc một dịch vụ quan trọng nào đó nhằm nhận diện các hoạt động khả
nghi. Host Based này có thể được sử dụng dựa trên các quy tắc định trước hoặc hành
vi tự học để ngăn chặn những hành động nguy hiểm, ngăn chặn Hacker, chỉnh sửa
registry hay viết lại thư viện liên kết động hoặc thông qua các phương tiện khác để
kiểm soát truy cập vào hệ thống. Host Based có khả năng kiểm tra và ghi lại các log
BÀI 7: HỆ THỐNG NGĂN CHẶN XÂM NHẬP IPS 129
files, file systems, ưu điểm là có thể theo dõi các tiến trình của hệ điều hành và bảo
vệ các tài nguyên quan trọng của hệ thống gồm cả các file chỉ tồn tại trên một host
cụ thể bằng cách là triển khai hệ thống logging trên một máy tính cụ thể.
cấp thêm lớp bảo mật để bảo vệ cho hệ thống Wireless. WIPS chống lại các mối đe
dọa không dây như giả mạo ARP, giám sát các tần số sóng, lỗi cấu hình của kiến trúc
WLAN... Hệ thống Wireless IPS giám sát toàn bộ WLAN chuyển tiếp lưu lượng đã được
tổng hợp và thu thập lưu lượng từ các bộ cảm biến sau đó phân tích lưu lượng đã thu
thập được nếu lưu lượng đã được phân tích có sự bất thường thì cảnh báo sẽ được
hiển thị.
Hệ thống sử dụng một tập những nguyên tắc để xác định những hoạt động xâm
nhập thông thường. Tuy nhiên, có ngày càng nhiều các cuộc tấn công và phương
pháp khác nhau, những nhà sản xuất thiết bị IPS phải cung cấp những bản cập nhật
như các phần mềm diệt virus.
Hệ thống hoạt động dựa vào các các định nghĩa sự kiện được cho là những hoạt
động bình thường. Người quản trị có thể định nghĩa những hoạt động bình thường
bằng cách tạo ra những bản mô tả sơ lược nhóm người dùng thể hiện ranh giới giữa
những hoạt động cũng như những lưu lượng mạng trên một nhóm người dùng cho
BÀI 7: HỆ THỐNG NGĂN CHẶN XÂM NHẬP IPS 131
trước. Nếu một người sử dụng vi phạm những gì đã định nghĩa trong mô tả thì hệ
thống ngăn chặn xâm nhập sẽ phát sinh cảnh báo.
Hệ thống dựa vào sự phân tích giao thức tương tự như dựa vào dấu hiệu nhưng nó
sẽ đi sâu hơn về việc phân tích các giao thức trong gói tin. Ví dụ một hacker bắt đầu
132 BÀI 7: HỆ THỐNG NGĂN CHẶN XÂM NHẬP IPS
chạy một chương trình tấn công tới một Server, trước tiên hacker phải gửi một gói tin
IP cùng với kiểu giao thức theo một RFC. Protocol Analysis Based dò kiểu tấn công
trên các giao thức:
- Kiểm tra giao thức để xác định gói tin đó có hợp pháp hay không.
- Thực hiện cảnh báo những giao thức không bình thường.
Tải các tập tin package signature IPS và khóa mã hóa công khai
Sử dụng lệnh mkdir để tạo thư mục và lệnh dir flash: để xem các thư mục của
flash
BÀI 7: HỆ THỐNG NGĂN CHẶN XÂM NHẬP IPS 133
Ví dụ: Tạo thư mục ips và kiểm tra các thư mục có trong flash
Ví dụ: Đổi tên thư mục ips thành thư mục ips_new
Bước 1: Sao chép nội dung chứa trong tập tin public key.
Router# conf t
Router(config)#
<Output omitted>
crypto key pubkey-chain rsa
named-key realm-cisco.pub signature
key-string
30820122 300D0609 2A864886 F70D0101 01050003 82010F00 3082010A 02820101
00C19E93 A8AF124A D6CC7A24 5097A975 206BE3A2 06FBA13F 6F12CB5B 4E441F16
17E630D5 C02AC252 912BE27F 37FDD9C8 11FC7AF7 DCDD81D9 43CDABC3 6007D128
B199ABCB D34ED0F9 085FADC1 359C189E F30AF10A C0EFB624 7E0764BF 3E53053E
5B2146A9 D7A5EDE3 0298AF03 DED7A5B8 9479039D 20F30663 9AC64B93 C0112A35
FE3F0C87 89BCB7BB 994AE74C FA9E481D F65875D6 85EAF974 6D9CC8E3 F0B08B85
50437722 FFBE85B9 5E4189FF CC189CB9 69C46F9C A84DFBA5 7A0AF99E AD768C36
006CF498 079F88F8 A3B3FB1F 9FB7B3CB 5539E1D1 9693CCBB 551F78D2 892356AE
2F56D826 8918EF3C 80CA4F4D 87BFCA3B BFF668E9 689782A5 CF31CB6E B4B094D3
F3020301 0001
<Output omitted>
Bước 6: Áp dụng các rule IPS theo hướng in hoặc hướng out hoặc cả 2 hướng lên
cổng mong muốn
Ví dụ 2: Áp dụng rule IPS theo chiều in và chiều out đến interface GigabitEthernet
0/1
Bước 2: Bắt đầu biên dịch signature ngay lập tức sau khi pakage signature được
nạp từ router.
Để xác định phương pháp thông báo sự kiện, sử dụng lệnh ip ips notify [log | sdee]
ở chế độ config.
Router# config t
Router(config)#logging 192.168.10.100
Router(config)# ip ips notify log
Router(config)# logging on
Router# config t
Router(config)# ips notify sdee
Router(config)# ip sdee events 500
138 BÀI 7: HỆ THỐNG NGĂN CHẶN XÂM NHẬP IPS
Ví du: Thay đổi hành động của signature để cảnh báo (alert), loại bỏ (drop), và
thiết lập lại (reset) cho signature 6130 với subsig ID 10.
Bước 6: Nhấn vào tùy chọn (dấu ba chấm) và điền vào nội dung thích hợp trong
text box
Bước 7: Nhấn nút donwload để tải về tập tin signature mới nhất
Bước 10: Mở khóa trong một trình soạn thảo văn bản và sao chép nội dung sau
cụm từ "named-key" vào trong trường Name
Bước 11: Sao chép nội dung giữa cụm từ "key-string" và từ "quit" vào trường Key
Tất cả các cổng trên router hiển thị cho thấy chúng được kích hoạt (enable) hoặc
vô hiệu hóa (disable):
Các signature khác nhau có các thông số khác nhau có thể được chỉnh sửa như:
- Signature ID
- Sub Signature ID
- Alert Severity
- Sig Description
- Engine
- Event Counter
- Alert Frequency
- Status
- Lệnh show ip ips all hiển thị tất cả dữ liệu cấu hình IPS.
- Lệnh show ip ips configuration hiển thị bổ sung dữ liệu cấu hình mà không hiển
thị với lệnh show running-config.
- Lệnh show ip ips interface hiển thị cổng cấu hình dữ liệu. Đầu ra từ lệnh này thể
hiện các rule inbound hoặc outbound áp dụng đến các cổng cụ thể.
- Lệnh show ip ips signature xác nhận cấu hình signature. Lệnh này cũng có thể
được sử dụng với từ khóa chi tiết để cung cấp đầu ra rõ ràng hơn.
- Lệnh show ip ips statistics hiển thị số lượng gói tin được thống kê và số lượng gói
tin cảnh báo được gửi. Tùy chọn reset với từ khóa reset ở đầu ra để phản ánh
các thống kê mới nhất.
Lệnh clear ip ips configuration để loại bỏ tất cả các mục cấu hình IPS và giải phóng
tài nguyên tự động.
Lệnh clear ip ips statistics thống kê các thiết lập lại các gói tin phân tích và cảnh
báo được gửi.
TÓM TẮT
Bài học trình bày các khái niệm về hệ thống ngăn chặn xâm nhập, kiến trúc hoạt
động, phân loại IPS. Hệ thống ngăn chặn xâm nhập gồm có các thành phần chính
như: thành phần phân tích gói tin, thành phần phát hiện tấn công, và thành phần
phản ứng. Hệ thống ngăn chặn xâm nhập nhận biết tấn công và ngăn chăn thông qua
các kỹ thuật như nhận biết qua dấu hiệu, nhận biết qua sự bất thường về lưu lượng,
nhập biết qua chính sách thiết lập, nhân biết qua sự phân tích giao thức. Bài giảng
trình bày hệ thống IPS của Cisco hoạt động ở lớp mạng để minh họa tính năng hoạt
động của hệ thống phát hiện xâm nhập.
146 BÀI 7: HỆ THỐNG NGĂN CHẶN XÂM NHẬP IPS
Câu 3: Trình bày các bước triển khai một hệ thống IPS của cisco bằng dòng lệnh và
sử dụng SDM?
BÀI 8: MẬT MÃ VÀ CÁC GIAO THỨC BẢO MẬT 147
- Kiến thức về vấn đề bảo mật thông tin: các thách thức, kiến trúc an toàn thông tin
OSI, và các thuật toán mật mã cho phép cài đặt các dịch vụ của mô hình OSI.
- Giao thức quản lý khóa và bảo mật dữ liệu trong mạng Domain: Kerberos.
Các phương thức tấn công thông qua mạng ngày càng tinh vi, phức tạp có thể dẫn
đến mất mát thông tin, thậm chí có thể làm sụp đổ hoàn toàn hệ thống thông tin của
doanh nghiệp. Vì vậy an toàn và bảo mật thông tin là nhiệm vụ rất nặng nề và khó
đoán trước được, nhưng tựu trung lại gồm ba hướng chính sau:
Nhu cầu thực tiến dẫn đến sự cần thiết có một phương pháp hệ thống xác định các
yêu cầu an ninh của tổ chức. Trong đó cần có tiếp cận tổng thể xét cả ba khía cạnh
của an toàn thông tin: bảo vệ tấn công, cơ chế an toàn và dịch vụ an toàn. Về mặt
logic, giải pháp bảo vệ thông tin được phân thành nhiều mức bảo vệ đối với tài
nguyên thông tin. Có 4 mức bảo vệ dữ liệu: mức vật lý, mức mạng, mức hệ điều
hành, và mức dữ liệu (hình 8-1). Trong các bài học trước, chúng ta đã làm quen với
các mức báo vệ: mức vật lý, mức mạng, mức hệ điều hành. Tuy nhiên, với sự tấn
công mạng phức tạp hiện nay (đặc biết là virus/Trojan) đã được trình bày trong phần
trước. Mức bảo vệ dữ liệu được giới thiệu trong bài học này.
Trong tài liệu các thuật ngữ chuẩn trên Internet RFC 2828 đã nêu định nghĩa cụ
thể hơn dich vụ an toàn là dịch vụ trao đổi và xử lý cung cấp cho hệ thống việc bảo
vệ đặc biệt cho các thông tin nguồn.Tài liệu X800 đưa ra định nghĩa dịch vụ theo 5
loại chính:
- Xác thực: tin tưởng là thực thể trao đổi đúng là cái đã tuyên bố. Người đang trao
đổi xưng tên với mình đúng là anh ta, không cho phép người khác mạo danh.
- Quyền truy cập: ngăn cấm việc sử dụng nguồn thông tin không đúng vai trò. Mỗi
đối tượng trong hệ thống được cung cấp các quyền hạn nhất định và chỉ được hành
động trong khuôn khổ các quyền hạn đó.
- Bảo mật dữ liệu: bảo vệ dữ liệu không bị khám phá bởi người không có quyền.
Chẳng hạn như dùng các ký hiệu khác để thay thế các ký hiệu trong bản tin, mà
chỉ người có bản quyền mới có thể khôi phục nguyên bản của nó.
- Toàn vẹn dữ liệu: tin tưởng là dữ liệu được gửi từ người có quyền. Nếu có thay đổi
như làm trì hoãn về mặt thời gian hay sửa đổi thông tin, thì xác thực sẽ cho cách
kiểm tra nhận biết là có các hiện tượng đó đã xảy ra.
- Không từ chối: chống lại việc chối bỏ của một trong các bên tham gia trao đổi.
Người gửi cũng không trối bỏ là mình đã gửi thông tin với nội dung như vậy và
người nhận không thể nói dối là tôi chưa nhận được thông tin đó. Điều này là rất
cần thiết trong việc trao đổi, thỏa thuận thông tin hàng ngày.
- Cơ chế an toàn chuyên dụng được cài đặt trong một giao thức của một tầng vận
chuyển nào đó: mã hoá, chữ ký điện tử, quyền truy cập, toàn vẹn dữ liệu, trao đổi
có phép, đệm truyền, kiểm soát định hướng, công chứng.
- Cơ chế an toàn phổ dụng không chỉ rõ được dùng cho giao thức trên tầng nào hoặc
dịch vụ an ninh cụ thể nào: chức năng tin cậy cho một tiêu chuẩn nào đó, nhãn an
toàn chứng tỏ đối tượng có tính chất nhất định, phát hiện sự kiện, vết theo dõi an
toàn, khôi phục an toàn.
150 BÀI 9: MẠNG RIÊNG ẢO - VPN
- Phát sinh các thông tin mật (khoá) được sử dụng bởi các thuật toán.
- Phát triển các phương pháp phân phối và chia sẻ các thông tin mật.
- Đặc tả giao thức cho các bên để sử dụng việc truyền và thông tin mật cho các dịch
vụ an toàn.
8.1.4 Lý thuyết mật mã hỗ trợ xây dựng ứng dụng bảo mật
thông tin
Một trong các dịch vụ quan trọng của phần mềm bảo mật là bảo mật dữ liệu. Hệ
mã đối xứng là cơ chế an ninh được sử dụng để triển khai dịch vụ này. Lý do là hệ mã
này an toàn với kích thước từ 128 bit trở lên và mã hóa dữ liệu tốc độ nhanh.
Các hệ mã đối xứng được sử dụng phổ biến hiện này là:
DES: (Data Encryption Standard) được công nhận chuẩn năm 1977. Phương thức
mã hóa được sử dụng rộng rãi nhất. Tên giải thuật là DEA (Data Encryption
BÀI 8: MẬT MÃ VÀ CÁC GIAO THỨC BẢO MẬT 151
Algorithm). Là một biến thể của hệ mã hóa Feistel, bổ xung thêm các hoán vị đầu và
cuối. Kích thước khối : 64 bit. Kích thước khóa : 56 bit. Số vòng : 16.
3DES: Sử dụng 3 khóa và chạy 3 lần giải thuật DES. Độ dài khóa thực tế là 168 bit
AES: (Advanced Encryption Standard) được công nhận chuẩn mới năm 2001. Tên
giải thuật là Rijndael (Rijmen + Daemen. An ninh hơn và nhanh hơn 3DES. Kích thước
khối : 128 bit. Kích thước khóa : 128/192/256 bit. Số vòng : 10/12/14. Cấu trúc
mạng S-P, nhưng không theo hệ Feistel. Không chia mỗi khối làm đôi
IDEA (International Data Encryption Algorithm): Khối 64 bit, khóa 128 bit, 8 vòng.
Theo cấu trúc mạng S-P, nhưng không theo hệ Feistel. Mỗi khối chia làm 4. Rất an
ninh. Bản quyền bởi Ascom nhưng dùng miễn phí.
Blowfish: Khối 64 bit, khóa 32-448 bit (ngầm định 128 bit), 16 vòng. Theo cấu
trúc hệ Feistel. An ninh, khá nhanh và gọn nhẹ. Tự do sử dụng.
RC5: Phát triển bởi Ron Rivest. Khối 32/64/128 bit, khóa 0-2040 bit, 0-255 vòng.
Đơn giản, thích hợp các bộ xử lý có độ rộng khác nhau. Theo cấu trúc hệ Feistel.
CAST-128: Phát triển bởi Carlisle Adams và Stafford Tavares. Khối 64 bit, khóa 40-
128 bit, 12/16 vòng. Có 3 loại hàm vòng dùng xen kẽ. Theo cấu trúc hệ Feistel. Bản
quyền bởi Entrust nhưng dùng miễn phí
Hệ mã bất đối xứng hay còn gọi là mật mã hai khóa. Các giải thuật khóa công khai
sử dụng 2 khóa. Một khóa công khai: Ai cũng có thể biết; Dùng để mã hóa thông báo
và thẩm tra chữ ký. Một khóa riêng: Chỉ nơi giữ được biết; Dùng để giải mã thông báo
và ký (tạo ra) chữ ký.
Hệ mã có tính bất đối xứng. Bên mã hóa không thể giải mã thông báo. Bên thẩm
tra không thể tạo chữ ký.
Hệ mã RSA: Đề xuất bởi Ron Rivest, Adi Shamir và Len Adleman (MIT) vào năm
1977. Hệ mã hóa khóa công khai phổ dụng nhất. Mã hóa khối với mỗi khối là một số
nguyên < n. Thường kích cỡ n là 1024 bit ≈ 309 chữ số thập phân. Đăng ký bản
152 BÀI 9: MẠNG RIÊNG ẢO - VPN
quyền năm 1983, hết hạn năm 2000. An ninh vì chi phí phân tích thừa số của một số
nguyên lớn là rất lớn.
Trong hệ mã này, mỗi bên tự tạo ra một cặp khóa công khai - khóa riêng theo các
bước sau :
- Tính n = pq
Để mã hóa 1 thông báo nguyên bản M, bên gửi lấy khóa công khai của bên nhận
KU = {e, n} và tính C = Me mod n.
Để giải mã bản mã C nhận được, bên nhận sử dụng khóa riêng KR = {d, n} và tính
M = Cd mod n. Lưu ý là thông báo M phải nhỏ hơn n. Phân thành nhiều khối nếu cần.
Hệ mã trao đổi khóa Diffie Hellman: Giải thuật mật mã khóa công khai đầu tiên Đề
xuất bởi Whitfield Diffie và Martin Hellman vào năm 1976. Malcolm Williamson (GCHQ
- Anh) phát hiện trước mấy năm nhưng đến năm 1997 mới công bố. Hệ mã này chỉ
dùng để trao đổi khóa bí mật một cách an ninh trên các kêch thông tin không an
ninh. Khóa bí mật được tính toán bởi cả hai bên. An ninh phụ thuộc vào độ phức tạp
của việc tính log rời rạc.
Thiết lập Diffie-Hellman, các bên thống nhất với nhau các tham số chung:
- α là một nguyên căn của q. α mod q, α2 mod q,..., αq-1 mod q là các số nguyên giao
hoán của các số từ 1 đến q – 1.
Bên A: Chọn ngẫu nhiên làm khóa riêng XA < q. Tính khóa công khai YA = αXA mod q.
BÀI 8: MẬT MÃ VÀ CÁC GIAO THỨC BẢO MẬT 153
Bên B: Chọn ngẫu nhiên làm khóa riêng XB < q. Tính khóa công khai YB = αXB mod
q.
- Bên A biết khóa riêng XA và khóa công khai YB. K = YBXA mod q
- Bên B biết khóa riêng XB và khóa công khai YA. K = YAXB mod q
Khối kích thước nhỏ cố định gắn vào thông báo tạo ra từ thông báo đó và khóa bí
mật chung. Bên nhận thực hiện cùng giải thuật trên thông báo và khóa để so xem
MAC có chính xác không. Giải thuật tạo MAC giống như giải thuật mã hóa nhưng
không cần nghịch được. Có thể nhiều thông báo cùng có chung MAC. Nhưng nếu biết
một thông báo và MAC của nó, rất khó tìm ra một thông báo khác có cùng MAC.
Tạo ra một giá trị băm có kích thước cố định từ thông báo đầu vào (không dùng
khóa): h = H(M). Hàm băm không cần giữ bí mật. Giá trị băm gắn kèm với thông báo
154 BÀI 9: MẠNG RIÊNG ẢO - VPN
dùng để kiểm tra tính toàn vẹn của thông báo. Bất kỳ sự thay đổi M nào dù nhỏ cũng
tạo ra một giá trị h khác.
Yêu cầu đối với hàm băm: Có thể áp dụng với thông báo M có độ dài bất kỳ. Tạo ra
giá trị băm h có độ dài cố định. H(M) dễ dàng tính được với bất kỳ M nào. Từ h rất
khó tìm được M sao cho H(M) = h. Tính một chiều: Từ M1 rất khó tìm được M2 sao
cho H(M2) = H(M1).
BÀI 8: MẬT MÃ VÀ CÁC GIAO THỨC BẢO MẬT 155
Giao thức Kerberos là sơ đồ xác thực dùng bên thứ ba cơ bản và có máy chủ xác
thực (AS – Authentication Server). Người dùng thỏa thuận với AS về danh tính của
mình, AS cung cấp sự tin cậy xác thực thông qua thẻ cấp thẻ TGT (Ticket Granting
Ticket) và máy chủ cung cấp thẻ (TGS – Ticket Granting Server). Người sử dụng
156 BÀI 9: MẠNG RIÊNG ẢO - VPN
thường xuyên yêu cầu TGS cho truy cập đến các dịch vụ khác dựa trên thẻ cấp thẻ
TGT của người sử dụng.
Người sử dụng nhận thẻ được cấp từ máy chủ xác thực AS, mỗi thẻ cho một phiên
làm việc và cũng nhận thẻ cấp dùng dịch vụ (service granting ticket) từ TGT. Mỗi thẻ
dùng cho một dịch vụ khác nhau được yêu cầu, thông qua việc trao đổi giữa máy
chủ/trạm để nhận được dịch vụ.
Kerberos sử dụng một đối tác tin cậy thứ ba để thực hiện quá trình chứng thực
được gọi là Trung tâm phân phối khóa bao gồm 2 phần riêng biệt: một máy chủ
chứng thực (AS) và một máy chủ cấp thẻ (TGS). Kerberos làm việc dựa trên các thẻ
để thực hiện quá trình chứng thực người dùng.
Kerberos duy trì một cơ sở dữ liệu chứa các khoá bí mật. Mỗi thực thể trên mạng
(máy trạm hoặc máy chủ) đều chia sẽ một khoá bí mật chỉ giữa bản thân nó với
Kerberos. Để thực hiện quá trình giao tiếp giữa 2 thực thể, Kerberos tạo ra một khoá
phiên. Khóa này dùng để bảo mật quá trình tương tác giữa các thực thể với nhau.
Quá trình hoạt động của giao thức (AS = Máy chủ xác thực, TGS = Máy chủ cấp
thẻ, C = Máy trạm, S = Dịch vụ):
1. Người dùng nhập vào tên truy cập và mật khẩu ở phía máy trạm.
2. Máy trạm thực hiện thuật toán băm một chiều trên mật khẩu được nhập vào và nó
trở thành khoá bí mật của máy trạm.
3. Máy trạm gởi một thông điệp dưới dạng bản rõ đến AS để yêu cầu dịch vụ. Không
có khoá bí mật cũng như mật khẩu nào được gởi đến AS.
4. AS kiểm tra xem có tồn tại người dùng C trong cở sở dữ liệu của nó hay không.
Nếu có, nó gởi ngược lại cho máy trạm 2 thông điệp:
BÀI 8: MẬT MÃ VÀ CÁC GIAO THỨC BẢO MẬT 157
- Thông điệp A: chứa khoá phiên Máy trạm/TGS được mã hóa bởi khoá bí mật của
người dùng.
- Thông điệp B: chứa Thẻ (bao gồm ID của máy trạm, địa chỉ mạng của máy trạm,
kỳ hạn thẻ có giá trị và một khoá phiên máy trạm/TGS) được mã hóa sử dụng
khoá bí mật của TGS.
5. Khi máy trạm nhận được thông điệp A và B, nó giải mã thông điệp A để lấy khoá
phiên máy trạm/TGS. Khoá phiên này được sử dụng cho quá trình giao đổi tiếp
theo với TGS. Ở đây máy trạm không thể giải mã thông điệp B bởi vì nó được mã
hóa bởi khoá bí mật của TGS.
6. Khi yêu cầu dịch vụ (S), máy trạm gởi 2 thông điệp sau đến TGS:
- Thông điệp C: Gồm thông điệp B và ID của dịch vụ được yêu cầu
- Thông điệp D: chứa Authenticator (gồm ID máy trạm và nhãn thời gian -
timestamp) được mã hóa bởi khoá phiên Máy trạm/TGS.
7. Khi nhận được thông điệp C và D, TGS giải mã thông điệp D sử dụng khoá phiên
máy trạm/TGS và gởi 2 thông điệp ngược lại cho máy trạm:
- Thông điệp E: chứa thẻ (máy trạm đến máy chủ) (bao gồm ID máy trạm, địa chỉ
mạng của máy trạm, kỳ hạn thẻ có giá trị và một khoá phiên máy trạm/dịch vụ)
được mã hóa bởi khoá bí mật của dịch vụ.
- Thông điệp F: chứa khoá phiên của máy trạm/máy chủ được mã hóa bởi khoá
phiên máy trạm/TGS.
8. Khi nhận được thông điệp E và F, máy trạm sau đó gởi một Authenticator mới và
một thẻ (máy trạm đến máy chủ) đến máy chủ chứa dịch vụ được yêu cầu.
- Thông điệp G: chứa thẻ (máy trạm đến máy chủ) được mã hóa sử dụng khoá bí
mật của máy chủ.
- Thông điệp H: một Authenticator mới chứa ID máy trạm, Timestamp và được mã
hóa sử dụng khoá phiên máy trạm/máy chủ.
158 BÀI 9: MẠNG RIÊNG ẢO - VPN
9. Sau đó, máy chủ giải mã thẻ sử dụng khoá bí mật của chính nó, và gởi một thông
điệp cho máy trạm để xác nhận tính hợp lệ thực sự của máy trạm và sự sẵn sàng
cung cấp dịch vụ cho máy trạm.
- Thông điệp I: chứa giá trị Timestamp trong Authenticator được gởi bởi máy trạm
sẽ được cộng thêm 1, được mã hóa bởi khoá phiên máy trạm/máy chủ.
10. Máy trạm sẽ giải mã sự xác nhận này sử dụng khóa chia sẽ giữa nó với máy chủ,
và kiểm tra xem giá trị timestamp có được cập nhật đúng hay không. Nếu đúng,
máy trạm có thể tin tưởng máy chủ và bắt đầu đưa ra các yêu cầu dịch vụ gởi đến
máy chủ.
11. Máy chủ cung cấp dịch vụ được yêu cầu đến máy trạm.
Kerberos thích hợp cho việc cung cấp các dịch vụ xác thực, phân quyền và bảo
đảm tính mật của thông tin trao đổi trong phạm vi một mạng hay một tập hợp nhỏ
các mạng. Tuy nhiên, nó không thật thích hợp cho một số chức năng khác, chẳng hạn
như ký điện tử (yêu cầu đáp ứng cả hai nhu cầu xác thực và bảo đảm không chối cãi
được). Một trong những giả thiết quan trọng của giao thức Kerberos là các máy chủ
trên mạng cần phải tin cậy được. Ngoài ra, nếu người dùng chọn những mật khẩu dễ
đoán thì hệ thống dễ bị mất an toàn trước kiểu tấn công từ điển, tức là Hacker sẽ sử
dụng phương thức đơn giản là thử nhiều mật khẩu khác nhau cho đến khi tìm được
giá trị đúng.
Do hệ thống hoàn toàn dựa trên mật khẩu để xác thực người dùng, nếu bản thân
các mật khẩu bị đánh cắp thì khả năng tấn công hệ thống là không có giới hạn. Điều
này dẫn đến một yêu cầu rất căn bản là Trung tâm phân phối khóa cần được bảo vệ
nghiêm ngặt. Nếu không thì toàn bộ hệ thống sẽ trở nên mất an toàn.
8.2.2 SSL
SSL (Security Socket Layer) là dịch vụ an toàn tầng vận chuyển, ban đầu được
phát triển bởi Netscape. Sau đó phiên bản 3 của nó được thiết kế cho đầu vào công
BÀI 8: MẬT MÃ VÀ CÁC GIAO THỨC BẢO MẬT 159
cộng và trở thành chuẩn Internet, được biết đến như an toàn tầng vận chuyển TLS
(Transport Layer Security).
SSL hỗ trợ các tính năng như chống nghe lén, thay đổi dữ liệu, và giả mạo các bên
tham gia. Giải pháp là mã hóa, kiểm tra toàn vẹn dữ liệu, xác thực các bên tham gia.
Lịch sử phát triển của SSL: Được hình thành và phát triển đầu tiên vào năm 1994
bởi nhóm nghiên cứu Netscape dẫn dắt bởi Elgammal. Cho đến nay SSL đã trải qua
các phiên bản: Phiên bản 1.0; Phiên bản 2.0, Phiên bản 3.0 (RFC 6101). Dựa trên
SSL 3.0 IETF đã phát triển TLS 1.0.
Các dịch vụ sử dụng SSL được trình bày trong bảng 8-1.
Dịch vụ Cổng Mô tả
Nsiiop 261 Dịch vụ tên iiOP trên SSL
HTTPS 443 HTTP trên SSL
SMTPS 465 SMTP trên SSL
NNTPS 563 NNTP trên SSL
LDAPS 636 LDAP trên SSL
FTPS data 989 FTP(dữ liệu)trên SSL
FTPs 990 FTP (điều khiển) trên SSL
Telnets 992 Telnet trên SSL
Imaps 994 Imap trên SSL
POPS 995 POP trên SSL
- SSL Change Cipher Spec: một message đơn 1 byte, cập nhật lại bộ mã hóa để sử
dụng trên kết nối này.
- SSL Alert được dùng để truyền cảnh báo liên kết SSL với đầu cuối bên kia
- SSL Handshake Protocol: Giao thức này cho phép server và client chứng thực với
nhau và thương lượng cơ chế mã hóa , thuật toán MAC và khóa mật mã được sử
dụng để bảo vệ dữ liệu được gửi trong SSL record
160 BÀI 9: MẠNG RIÊNG ẢO - VPN
Trong đó, mã xác thực được tạo ra như sau: MAC: hash(MAC_write_secret ||
pad_2 || hash(MAC_write_secret || pad_1 ||seq_num || SSLCompressed.type ||
SSLCompressed.length || SSLCompressed.fragment)).
Giao thức SSL Change Cipher Spec là giao thức đơn giản nhất trong ba giao thức
đặc trưng của SSL mà sử dụng giao thức SSL Record . Giao thức này bao gồm một
message đơn 1 byte giá trị là 1. Mục đích chính của message này là sinh ra trạng thái
tiếp theo để gán vào trạng thái hiện tại,và trạng thái hiện tại cập nhật lại bộ mã hóa
để sử dụng trên kết nối này.
Giao thức SSL Alert được dùng để truyền cảnh báo liên kết SSL với đầu cuối bên
kia.Như với những ứng dụng khác sử dụng SSL, alert messages được nén và mã hóa,
được chỉ định bởi trạng thái hiện tại.
Mỗi message trong giao thức này gồm 2 bytes .Byte đầu tiên giữ giá trị cảnh
báo(1) hoặc nguy hiểm(2) để thông báo độ nghiêm ngặt của message.Nếu mức độ là
BÀI 8: MẬT MÃ VÀ CÁC GIAO THỨC BẢO MẬT 161
nguy hiểm, SSL lập tức chấp dứt kết nối.Những kết nối cùng phiên khác vẫn có thể
tiếp tục nhưng sẽ không kết nối nào khác trên phiên này được khởi tạo thêm.Byte thứ
hai chứa một mã chỉ ra cảnh báo đặc trưng.Đầu tiên , chúng ta liệt kê những cảnh
báo đó mà luôn ở mức nguy hiểm ( được định nghĩa từ những thông số SSL):
- decompression_failure: việc giải nén nhận input không thích hợp(ví dụ như không
thể giải nén hoặc giải nén lớn hơn độ dài tối đa cho phép).
- handshake_failure: bên gửi không thể thương lượng một bộ chấp nhận được của
các thông số bảo mật được đưa ra từ những lựa chọn có sẵn.
- illegal_parameter: một trường trong một handshake message thì vượt khỏi dãy
hoặc trái với những trường khác
- close_notify: thông báo cho bên nhận rằng bên gửi sẽ không gửi thêm message
nào nữa trong kết nối này. Mỗi nhóm thì được yêu cầu gửi một close_notify cảnh
báo trước khi kết thúc phần ghi của một kết nối.
- no_certificate: có thể được gửi để trả lời cho một yêu cầu certificate nếu không
certificate thích hợp nào có sẵn.
- bad_certificate: certificate nhận được thì không hợp lệ(ví dụ như chứa một chữ ký
không xác minh).
- certificate_unknown: một số phát sinh không nói rõ xuất hiện trong quá trình xử
ký certificate làm cho nó không thể chấp nhận.
Giao thức này cho phép server và client chứng thực với nhau và thương lượng cơ
chế mã hóa , thuật toán MAC và khóa mật mã được sử dụng để bảo vệ dữ liệu được
162 BÀI 9: MẠNG RIÊNG ẢO - VPN
gửi trong SSL record. Giao thức SSL Handshake thường được sử dụng trước khi dữ
liệu của ứng dụng được truyền đi.
Giao thức SSL Handshake bao gồm một loạt những message trao đổi giữa client và
server. Mỗi message có ba trường:
- Content (>=0 bytes): tham số đi kèm với message này, được liệt kê trong bảng 8-
2.
Hình 8.6: Các giai đoạn bắt tay trao đổi thông tin xác thực và công cụ bảo
mật sẽ sử dụng chung.
Giao thức SSL hoạt động dựa trên hai nhóm con giao thức là giao thức “bắt tay” và
giao thức “bản ghi”. Giao thức bắt tay xác định các tham số giao dịch giữa hai đối
tượng có nhu cầu trao đổi thông tin hoặc dữ liệu, còn giao thức bản ghi xác định
khuôn dạng cho tiến hành mã hoá và truyền tin hai chiều giữa hai đối tượng đó.Giao
thức SSL “bắt tay” sẽ sử dụng SSL “bản ghi” để trao đổi một số thông tin giữa máy
chủ và máy trạm vào lần đầu tiên thiết lập kết nối SSL.
Một giao dịch SSL thường bắt đầu bởi quá trình “bắt tay” giữa hai bên. Các bước
trong quá trình “bắt tay” có thể như sau:
1. Máy trạm sẽ gửi cho máy chủ số phiên bản SSL đang dùng, các tham số của thuật
toán mã hoá, dữ liệu được tạo ra ngẫu nhiên (chữ ký số) và một số thông tin khác
mà máy chủ cần để thiết lập kết nối với máy trạm
2. Máy chủ gửi cho máy trạm số phiên bản SSL đang dùng, các tham số của thuật
toán mã hoá, dữ liệu được tạo ra ngẫu nhiên và một số thông tin khác mà máy
trạm cần để thiết lập kết nối với máy chủ. Ngoài ra máy chủ cũng gửi chứng chỉ
của nó đến máy trạm và yêu cầu chứng chỉ của máy trạm nếu cần.
164 BÀI 9: MẠNG RIÊNG ẢO - VPN
3. Máy trạm sử dụng một số thông tin mà máy chủ gửi đến để xác thực máy chủ.
Nếu như máy chủ không được xác thực thì người sử dụng sẽ được cảnh báo và kết
nối không được thiết lập. Còn nếu như xác thực được máy chủ thì phía máy trạm
sẽ thực hiện tiếp bước 4.
4. Sử dụng tất cả các thông tin được tạo ra trong giai đoạn bắt tay ở trên, máy trạm
(cùng với sự cộng tác của máy chủ và phụ thuộc vào thuật toán được sử dụng) sẽ
tạo ra premaster secret cho phiên làm việc, mã hoá bằng khoá công khai mà máy
chủ gửi đến trong chứng chỉ ở bước 2, và gửi đến máy chủ.
5. Nếu máy chủ có yêu cầu xác thực máy trạm, thì phía máy trạm sẽ đánh dấu vào
phần thông tin riêng chỉ liên quan đến quá trình “bắt tay” này mà hai bên đều biết.
Trong trường hợp này, máy trạm sẽ gửi cả thông tin được đánh dấu và chứng chỉ
của mình cùng với premaster secret đã được mã hoá tới máy chủ.
6. Máy chủ sẽ xác thực máy trạm. Trường hợp máy trạm không được xác thực, phiên
làm việc sẽ bị ngắt. Còn nếu máy trạm được xác thực thành công, máy chủ sẽ sử
dụng khoá bí mật để giải mã premaster secret, sau đó thực hiện một số bước để
tạo ra master secret.
7. Máy trạm và máy chủ sẽ sử dụng master secret để tạo ra các khoá phiên , đó
chính là các khoá đối xứng được sử dụng để mã hoá và giải mã các thông tin trong
phiên làm việc và kiểm tra tính toàn vẹn dữ liệu.
8. Máy trạm sẽ gửi một lời nhắn đến máy chủ thông báo rằng các thông điệp tiếp
theo sẽ được mã hoá bằng khoá phiên. Sau đó nó gửi một lời nhắn đã được mã
hoá để thông báo rằng phía máy trạm đã kết thúc giai đoạn “bắt tay”.
9. Máy chủ cũng gửi một lời nhắn đến máy trạm thông báo rằng các thông điệp tiếp
theo sẽ được mã hoá bằng khoá phiên. Sau đó nó gửi một lời nhắn đã được mã
hoá để thông báo rằng máy chủ đã kết thúc giai đoạn “bắt tay”.
10. Lúc này giai đoạn “bắt tay” đã hoàn thành, và phiên làm việc SSL bắt đầu. Cả
hai phía máy trạm và máy chủ sẽ sử dụng các khoá phiên để mã hoá và giải mã
thông tin trao đổi giữa hai bên, và kiểm tra tính toàn vẹn dữ liệu.
BÀI 8: MẬT MÃ VÀ CÁC GIAO THỨC BẢO MẬT 165
Hình 8.7: Chi tiết quá trình bắt tay của giao thức SSLHandShake đảm bảo trao
đổi thông tin bí mật.
8.2.3 IPSEC
IPSec là cơ chế an toàn IP tổng quan. Nó cung cấp: xác thực, bảo mật và quản trị
khoá. IPSec được dùng trên mạng LAN, mạng WAN riêng và chung và trên cả mạng
Internet.
IPSec trên bức tường lửa/router cung cấp an toàn mạnh cho mọi việc truyền qua
vành đai. Nó chống lại việc đi vòng qua bức tường lửa/router. IPSec nằm ở tầng vận
chuyển bên dưới nên trong suốt với mọi ứng dụng và có thể trong suốt với người sử
dụng đầu cuối. Nó có thể cung cấp an toàn cho người sử dụng riêng biệt và bảo vệ
kiến trúc rẽ nhánh.
Giao thức IPSEC hoạt động gồm có 2 giai đoạn xử lý cơ bản: Giai đoạn bắt tay
thỏa thuận các thông số bảo mật chung (như các thuật toán mã hóa, trao đổi chìa
166 BÀI 9: MẠNG RIÊNG ẢO - VPN
khóa, cơ chế xử lý dữ liệu), gọi là giao thức IKE (Internet Key Exchange) và giai đoạn
xử lý dữ liệu với một trong 2 giao thức là AH (Authentication Header) hoặc ESP
(Encapsulation Security Payload).
- Mã hoá đối xứng: DES (Data Encryption Standard) hoặc 3 DES (Triple DES)
- Xác thực toàn vẹn dữ liệu: các hàm băm HMAC (Hash – ased Message
Authentication Code) hoặc MD5 (Message Digest 5) hoặc SHA-1 (Secure Hash
Algorithm -1)
- Chứng thực đối tác (peer Authentication): Rivest, Shamir, and Adelman (RSA)
Digital Signatures, RSA Encrypted Nonces.
Bước 1: Lưu lương cần được bảo vệ khởi tạo quá trình IPSec. Ở đây, các thiết bị IPSec
sẽ nhận ra đâu là lưu lượng cần được bảo vệ chẳng hạn thông qua trường địa chỉ.
Bước 2: IKE Phase 1 – IKE xác thực các đối tác IPSec và một tập các dịch vụ bảo
mật được thoả thuận và công nhận (thoả thuận các kết hợp an ninh IKE SAs (Security
associations)). Trong phase này, thiết lập một kênh truyền thông an toàn để tiến
hành thoả thuận IPSec SA trong Phase 2.
Bước 3: IKE Phase 2 – IKE thoả thuận các tham số IPSec SA và thiết lập các IPSec
SA tương đương ở hai phía. Những thông số an ninh này được sử dụng để bảo vệ dữ
liệu và các bản tin trao đổi giữa các điểm đầu cuối. Kết quả cuối cùng của hai bước
IKE là một kênh thông tin bảo mật được tạo ra giữa hai phía.
Bước 4: Truyền dữ liệu – Dữ liệu được truyền giữa các đối tác IPSec dựa trên cơ sở
các thông số bảo mật và các khoá được lưu trữ trong cơ sở dữ liệu SA.
Bước 5: Kết thúc đường hầm IPSec – kết thúc các SA IPSec do bị xoá hoặc do hết
hạn (time out)
BÀI 8: MẬT MÃ VÀ CÁC GIAO THỨC BẢO MẬT 167
8.2.3.2 Giao thức IKE
IKE giúp các bên giao tiếp thống nhất các tham số bảo mật và khóa xác nhận
trước khi một phiên bảo mật IPSec được triển khai. Ngoài việc hòa hợp và thiết lập
các tham số bảo mật và khóa mã hóa, IKE cũng sửa đổi những tham số khi cần thiết
trong suốt phiên làm việc. IKE cũng đảm nhiệm việc xoá bỏ những SA và các khóa
sau khi một phiên giao dịch hoàn thành.
- Trao đổi thứ nhất – Các thuật toán mật mã và xác thực (sử dụng để bảo vệ các
trao đổi thông tin IKE) sẽ được thoả thuận giữa các đối tác.
- Trao đổi thứ hai – Sử dụng trao đổi DH để tạo các khoá bí mật chung (shared
secret keys), trao đổi các số ngẫu nhiên (nonces) để khẳng định nhận dạng của
mỗi đối tác. Khoá bí mật chung được sử dụng để tạo ra tất cả các khoá mật mã và
xác thực khác.
- Trao đổi thứ ba – xác minh nhận dạng của nhau (xác thực đối tác). Kết quả chính
của chế độ chính là một đường truyền thông an toàn cho các trao đổi tiếp theo của
hai đối tác.
168 BÀI 9: MẠNG RIÊNG ẢO - VPN
Chế độ nhanh thực hiện ít trao đổi hơn (tất nhiên là ít gói dữ liệu hơn). Hầu hết
mọi thứ đều được thực hiện trong trao đổi thứ nhất: Thoả thuận tập chính sách IKE;
tạo khoá công cộng DH; và một gói nhận dạng (identify packet), có thể sử dụng để
xác định nhận dạng thông qua một bên thứ ba (third party). Bên nhận gửi trở lại mọi
thứ cần thiết để hoàn thành (complete) việc trao đổi. cuối cùng bên khởi tạo khẳng
định (confirm) việc trao đổi.
- Thoả thuận các thông số bảo mật IPSec (IPSec security parameters), các tập
chuyển đổi IPSec (IPSec transform sets).
- Thiết lập các kết hợp an ninh IPSec (IPSec Security Associations).
- Định kỳ thoả thuận lại IPSec SAs để đảm bảo tính an toàn của đường hầm.
- Thực hiện một trao đổi DH bổ xung (khi đó các SA và các khoá mới được tạo ra,
làm tăng tính an toàn của đường hầm).
IKE Phase 2 chỉ có một chế độ được gọi là Quick Mode. Chế độ này diễn ra khi IKE
đã thiết lập được đường hầm an toàn ở IKE Phase 1. IKE Phase 2 thoả thuận một tập
chuyển đổi IPSec chung , tạo các khoá bí mật chung sủ dụng cho các thuật toán an
ninh IPSec và thiết lập các SA IPSec. Quick mode trao đổi các nonce mà được sử dụng
để tạo ra khoá mật mã chung mới và ngăn cản các tấn công “Replay” từ việc tạo ra
các SA khong có thật. Quick mode cũng được sử dụng để thoả thuận lại một SA IPSec
mới khi SA IPSec cũ đã hết hạn.
IPSec SA là thông số an ninh dùng chung của các bên tham gia như Thông tin này
bao gồm các thuật toán xác thức, mật mã; địa chỉ của đối tác, Chế độ truyền dẫn,
BÀI 8: MẬT MÃ VÀ CÁC GIAO THỨC BẢO MẬT 169
thồi gian sống của khoá .v.v. SA được đánh số bằng một số SPI (Security Parameter
Index – chỉ số thông số bảo mật).
- Next header (8bit): Xác định kiểu dữ liệu của phần Payload tiếp sau AH. Giá trị của
trường này được lựa chọn từ tập các giá trị số giao thức IP được định nghĩa bởi
IANA (TCP_6; UDP_ 17).
- Payload length (8bit): Xác định độ dài của AH theo đơn vị 32bit (4 Byte).
- Reserved (16 bit): trường này dùng để dự trữ sử dụng trong tương lai. Giá trị của
trường này có thể đặt bằng 0 và có tham gia trong việc tính Authentication Data.
- Security Parameter Index (SPI): SPI là một số 32 bit bất kỳ, cùng với địa chỉ IP
đích và giao thức an ninh ESP cho phép nhận dạng duy nhất SA cho gói dữ liệu
này. Các giá trị SPI từ 1÷255 được dành riêng để sử dụng trong tương lai. SPI
thường được lựa chọn bởi phía thu khi thiết lập SA. SPI là trường bắt buộc. Giá trị
SPI 0 được sử dụng cục bộ. Có thẻ sử dụng giá trị này để chỉ ra chưa có SA nào
tồn tại.
- Sequence number (SN): Trường 32 bit không dấu chứa một giá trị đếm tăng dần.
SN là trưòng bắt buộc cho dù phía thu không thực hiện dịch vụ chống trùng lặp
cho một SA cụ thể nào. việc xử lý SN tuỳ thuộc phía thu, nghĩa là phía phát luôn
phải truyền trường này, còn phía thu có thể không cần phải xử lý nó. Bộ đếm của
phía phát và phía thu đều được khởi tạo 0 khi một SA được thiết lập (gói đầu tiên
170 BÀI 9: MẠNG RIÊNG ẢO - VPN
được truyền đi sử dụng SA sẽ có SN=1). Nếu dịch vụ anti-replay được lựa chọn thì
được phát đi sẽ không được lặp lại (bằng cách thiết lập một SA mới, và do đó là
một khoá mới) trước khi truyền gói thứ 232 của một SA.
- Authentication Data: Trường này có độ dài biến đổi chứa một một giá trị kiểm tra
tính toàn vẹn ICV (integrity Check Value) cho gói tin. Độ dài của trường này bằng
số nguyên lần 32 bit (hay 4 Byte). Trường này có thể chứa một phần dữ liệu đệm
kiểu tường minh (Explicit padding) để đảm bảo độ dài của AH header là số nguyên
lần 32 bit (đối với IPv4) hoặc 64 bit (đối với IPv6).
- Security Parameter Index (SPI): SPI là một số 32 bit bất kỳ, cùng với địa chỉ IP
đích và giao thức an ninh ESP cho phép nhận dạng duy nhất SA cho gói dữ liệu
này. Các giá trị SPI từ 1÷255 được dành riêng để sử dụng trong tương lai. SPI
thường được lựa chọn bởi phía thu khi thiết lập SA. SPI là trường bắt buộc. Giá trị
SPI 0 được sử dụng cục bộ. Có thẻ sử dụng giá trị này để chỉ ra chưa có SA nào
tồn tại.
- Sequence number (SN): Trường 32 bit không dấu chứa một giá trị đếm tăng dần
(SN). SN là trưòng bắt buộc cho dù phía thu không thực hiện dịch vụ chống trùng
lặp cho một SA cụ thể nào. việc xử lý SN tuỳ thuộc phía thu, nghĩa là phía phát
BÀI 8: MẬT MÃ VÀ CÁC GIAO THỨC BẢO MẬT 171
luôn phải truyền trường này, còn phía thu có thể không cần phải xử lý nó. Bộ đếm
của phía phát và phía thu đều được khởi tạo 0 khi một SA được thiết lập (gói đầu
tiên được truyền đi sử dụng SA sẽ có SN=1). Nếu dịch vụ anti-replay được lựa
chọn thì được phát đi sẽ không được lặp lại (bằng cách thiết lập một SA mới, và do
đó là một khoá mới) trước khi truyền gói thứ 232 của một SA.
- Payload Data: Trường này có độ dài biến đổi chứa dữ liệu mô tả trong Next
header. Payload Data là trường bắt buộc và có độ dài bằng số nguyên lần Byte.
- Padding: Nếu thuật toán mật mã được sử dụng yêu cầu bản rõ (cleartext hay
plaintext) phải là số nguyên lần khối các Byte (trong mật mã khối) thì Padding
field được sử dụng để thêm vào Plaintext để có kích thước yêu cầu. Padding cần
thiết để đảm bảo phần dữ liệu mật mã sẽ kết thúc ở biên giới 4 Byte để phân biệt
rõ ràng với trường Authentication Data. Ngoài ra padding còn có thể được sử dụng
để che dấu độ dài thực của Payload, tuy nhiên mục dích này phải được cân nhắc vì
nó ảnh hưởng tói băng tần truyền dẫn. Bên gửi có thể thêm 0÷255 Padding Byte.
- Pad length: Trường này xác định số padding Byte đã thêm vào. Các giá trị hợp lệ
là 0÷255. Pad length là trường bắt buộc.
- Next header (8bit): Là một trường bắt buộc. Next header xác định kiểu dữ liệu
chứa trong Payload Data. Giá trị của trường này được lựa chọn từ tập cácgiá trị IP
Protocol Numbers định nghĩa bởi IANA..
- Authentication Data: Trường có độ dài biến đổi chứa một giá trị kiểm tra tính toàn
ven ICV (integrity Check Value) tính trên dữ liệu của toàn bộ gói ESP trừ trường
Authentication Data. Độ dài của trường phụ thuộc vào hàm xác thực được lựa
chọn. trường này là tuỳ chọn, và chỉ được thêm vào nếu dịch vụ authentication
được lựa chọn cho SA đang xét. Thuật toán xác thực phải chỉ ra độ dài của ICV và
các bước xử lý cũng như các luật so sánh cần thực hiện để kiểm tra tính toàn vẹn
của gói tin.
AH và ESP đều có thể được sử dụng cho các gói tin IP theo hai cách khác nhau
tương ứng với hai mode: Transport mode và Tunnel mode.
172 BÀI 9: MẠNG RIÊNG ẢO - VPN
Transport mode: Được sử dụng phổ biến cho những kết nối giữa các thiết bị đầu
cuối. Transport mode cho phép bảo vệ phần tải tin của gói dữ liệu, cung cấp cơ chế
bảo mật cho các giao thức ở lớp trên, nhưng không bảo vệ IP header vì phần IP
header luôn ở dạng “clear”. Trong Transport mode, AH được chèn vào sau tiêu đề IP
và trước các giao thức lớp trên (TCP, UDP) hoặc bất kỳ tiêu đề IPSec đã được chèn
vào trước đó.
Tunnel mode: Được sử dụng cho các kết nối giữa các bộ định tuyến.
Hình 8.12: Khuôn dạng gói tin IPv4 trước và sau khi xử lý AH
Hình 8.13: Khuôn dạng gói tin IPv6 trước và sau khi xử lý AH
BÀI 8: MẬT MÃ VÀ CÁC GIAO THỨC BẢO MẬT 173
Hình 8.14: Khuôn dạng gói tin IPv4 trước và sau khi xử lý ESP
Hình 8.15: Khuôn dạng gói tin IPv6 trước và sau khi xử lý ESP
174 BÀI 9: MẠNG RIÊNG ẢO - VPN
TÓM TẮT
Bài giảng cung cấp cho sinh viên kiến thức về vấn đề bảo mật thông tin: các thách
thức, kiến trúc an toàn thông tin OSI, và các thuật toán mật mã cho phép cài đặt các
dịch vụ của mô hình OSI. Kiến trúc an toàn OSI gồm có 5 dịch vụ bảo mật: Xác thực
các bên tham gia, Điều khiển truy cập, Bảo mật dữ liệu, kiểm tra tính toàn vẹn, và
chống chối bỏ. Các thuật toán mã hóa cần thiết để cài đặt các dịch vụ này là: DES,
3DES, AES, RSA, DiffieHellman, Hàm băm MD5, SHA, Mã xác thực MAC. Giao thức
quản lý khóa và bảo mật dữ liệu trong mạng Domain: Kerberos. Giao thức bảo mật
dữ liệu đầu cuối SSL. Giao thức bảo mật gói dữ liệu IP: IPSEC.
Câu 2: Trình bày các cơ chế an ninh để triển khai các dịch vụ bảo mật theo yêu cầu
của mô hình OSI.
Câu 3: Trình bày các thuật toán mật mã được sử dụng để xây dựng phần mềm bảo
mật mạng đáp ứng tiêu chuẩn OSI.
Câu 4: Trình bày kiến trúc các bước xử lý của giao thức Kerberos.
Câu 5: Trình bày kiến trúc các bước xử lý của giao thức SSL.
Câu 6: Trình bày kiến trúc các bước xử lý của giao thức IPSEC.
BÀI 9: MẠNG RIÊNG ẢO - VPN 175
- Các khái niệm liên quan đến công nghệ mạng riêng ảo. Các công nghệ hỗ trợ, nhu
cầu ứng dụng.
- Vai trò của giao thức kết nối PPTP và giao thức liên kết dữ liệu cấp cao PPP.
- Triển khai phần mềm VPN và phân tích gói tin để hiểu các bước xử lý của nó.
Sau khi học xong, sinh viên hiểu được nhu cầu sử dụng VPN, quy trình xử lý VPN
và biết cách triển khai mạng VPN.
Tính xác thực : Để thiết lập một kết nối VPN thì trước hết cả hai phía phải xác thực
lẫn nhau để khẳng định rằng mình đang trao đổi thông tin với người mình mong muốn
chứ không phải là một người khác.
176 BÀI 9: MẠNG RIÊNG ẢO - VPN
Tính toàn vẹn : Đảm bảo dữ liệu không bị thay đổi hay đảm bảo không có bất kỳ
sự xáo trộn nào trong quá trình truyền dẫn.
Tính bảo mật : Bên gửi có thể mã hoá các gói dữ liệu trước khi truyền qua mạng công
cộng và dữ liệu sẽ được giải mã ở bên thu. Như vậy, không một ai có thể truy nhập
thông tin mà không được phép. Thậm chí nếu có lấy được thì cũng không đọc được.
- Tiết kiệm chi phí: Chi phí cho VPN ít hơn rất nhiều so với các giải pháp truyền
thống dựa trên đường Lease-Line như Frame Relay, ATM hay ISDN. Bởi vì VPN loại
trừ được những yếu tố cần thiết cho các kết nối đường dài bằng cách thay thế
chúng bởi các kết nối cục bộ tới ISP hoặc điểm đại diện của ISP.
- Giảm được chi phí thuê nhân viên và quản trị: Giảm được chi phí truyền thông
đường dài. Tổ chức không cần thuê nhiều nhân viên mạng cao cấp.
- Tính linh hoạt: điểu chỉnh kiến trúc triển khai mạng và công nghệ mạng dễ dàng.
- Khả năng mở rộng: Do VPN được xây dựng dựa trên cơ sở hạ tầng mạng công
cộng (Internet), bất cứ ở nơi nào có mạng công cộng là đều có thể triển khai VPN.
- Giảm thiểu các hỗ trợ kỹ thuật: Các nhà cung cấp dịch vụ có trách nhiệm vụ hỗ trợ
hạ tầng mạng.
- Bảo mật các giao dịch: Dữ liệu truyền được bảo mật sử dụng công nghệ đường
hầm sử dụng các biện pháp bảo mật như: Mã hoá, xác thực và cấp quyền để bảo
đảm an toàn, tính tin cậy, tính xác thực của dữ liệu được truyền, Kết quả là VPN
mang lại mức độ bảo mật cao cho việc truyền tin.
- Sử dụng hiệu quả băng thông: giảm lãng phí băng thông của hạ tầng mạng.
Remote Access VPN còn gọi là mạng Dial-up riêng ảo (VPDN). RA-VPN là một dạng
Client-to-Site cho phép truy cập từ xa bất cứ lúc nào bằng thiết bị truyền thông
(Laptop, điện thoại). Do nhu cầu của một tổ chức, có nhiều nhân viên cần kết nối với
mạng riêng của mình khi đi làm việc ở xa hay làm việc tại nhà nên mô hình này được
sinh ra.
- Remote Access Server (RAS): nó được đặt ở trung tâm dùng để xác thực và kiểm
tra các uỷ quyền của các yêu cầu từ xa.
- Kết nối Dial-up: quay số kết nối đến trụ sở, giảm chi phí khi một yêu cầu ở quá xa
trụ sở.
- Việc thay thế Remote Access VPN thì hệ thống không cần phần RAS và các thành
phần modem liên quan mà thay vào đó là VPN server.
- Không cần sự hỗ trợ từ hệ thống do kết nối từ xa được thực hiện bởi dịch vụ cung
cấp mạng ISP.
- Kết nối quay số Dial-up từ khoảng cách xa cũng được loại bỏ, thay vào đó là các
kết nối cục bộ.
- Giảm giá thành chi phí khi kết nối ở khoảng cách xa.
- Chưa thực sự đảm bảo được chất lượng của dịch vụ.
- Khả năng bị mất dữ liệu cũng là khá cao, đồng thời gói tin chuyển đi có thể bị
phân mảnh, mất trật tự.
- Khi thực hiện truyền gói dữ liệu thông qua mạng công cộng thì sẽ gây ra nhiều khó
khăn với những gói dữ liệu lớn như là phim ảnh, âm thanh,…
BÀI 9: MẠNG RIÊNG ẢO - VPN 179
9.1.4.2 Mạng VPN nội bộ
Intranet VPN được sử dụng để kết nối các văn phòng chi nhánh của một công ty,
tổ chức với mạng Intranet trung tâm. Trước đây, trong mô hình Intranet không sử
dụng công nghệ VPN, mỗi site ở xa muốn kết nối đến Intranet trung tâm thì cần phải
sử dụng Campus Router tạo thành WAN Backbone. Điều này dẫn đến chi phí xây
dựng, vận hành, bảo trì và quản lý hệ thống sẽ rất là cao. Thay vì sử dụng WAN
Backbone đắt đỏ thì người dùng có thể sử dụng VPN thông qua mạng công cộng
internet. Để đảm bảo an toàn thì Intranel VPN cũng hoạt động dựa trên cơ chế bảo
mật sử dụng đường hầm Tunnel.
Ưu Điểm:
- Giảm được số nhân sự cần thiết để bảo trì, quản lý ở các trạm.
- Vì sử dụng mạng công cộng Internet làm trung gian nên dễ dàng trong việc thiết
lập các kết nối mạng ngang hàng Peer-to-Peer mới.
- Nhờ vào kết nối Dial-up cục bộ với ISP nên sự truy suất dữ liệu sẽ nhanh hơn và
tốt hơn, sự loại bỏ các kết nối đường dài sẽ giúp giảm đi chi phí vận hành Intranet.
Khuyết Điểm
- Về cơ bản thì Intranet VPN hoạt động trên nền mạng công cộng Internet nên mặc
dù dữ liệu truyền đi trong Tunnel nhưng vẫn tồn tại những nguy cơ về bảo mật.
- Khả năng mất gói dữ liệu khi truyền đi vẫn tồn tại rất cao.
- Nếu truyền tải các dữ liệu đa phương tiện sẽ gây ra tình trạng quá tải, gây ảnh
hưởng xấu đến hệ thống, tốc độ truyền cũng sẽ chậm lại do phụ thuộc vào mạng
công cộng.
180 BÀI 9: MẠNG RIÊNG ẢO - VPN
Thực tế, chúng ta xem xét về mô hình dưới đây khi không sử dụng công nghệ VPN
thì cũng thấy được sự tốn kém khi triển khai hệ thống do cần phải tạo ra các đường
BÀI 9: MẠNG RIÊNG ẢO - VPN 181
mạng riêng, các cơ sở hạ tầng mạng tách biệt nhau, đồng thời việc quản lý, vận hành
cũng như bảo trì cũng khá là khó khăn và phức tạp.
Trước những khuyết điểm của mô hình trên thì sự lựa chọn Extranet VPN là
phương pháp hiệu quả nhất để khắc phục những khó khăn về mặt kinh tế của
Extranet Non-VPN.
Ưu điểm
- Dễ cài đặt, bảo trì hay chỉnh sữa các thiết lập.
- Sử dụng trên nền mạng công cộng Internet nên có nhiều sự lựa chọn về dịch vụ.
- Chi phí vận hành của hệ thống cũng được giảm nhiều do các thành phần kết nối
Internet được bảo trì bởi ISP.
Khuyết điểm
- Do vẫn hoạt động dựa trên nền Internet nên yếu tố bảo mật vẫn không được đảm
bảo.
- Do không có sự xác thực từ bên ngoài nên càng làm tăng thêm nguy cơ bị xâm
phạm.
- Việc truyền tải những dữ liệu có kích thước lớn vẫn còn chậm và vẫn không đảm
bảo được tiêu chuẩn QoS.
182 BÀI 9: MẠNG RIÊNG ẢO - VPN
Máy Client sẽ gửi cho Server một gói tin yêu cầu khởi tạo một kết nối VPN sử dụng
PPTP được mở đầu bằng quá trình bắt tay 3 bước của giao thức TCP:
- Đầu tiên thì máy VPNClient sẽ gửi một yêu cầu kết nối tới port của VPN Server, ở
đây sử dụng PPTP nên port của nó sẽ là 1723.
- Khi nhận được gói tin yêu cầu tạo kết nối thì Server sẽ gửi lại cho Client một gói
tin đồng ý cho kết nối.
- Khi nhận được gói tin đồng ý kết nối từ Server thì Client sẽ gửi cho Server một gói
tin thông báo là đã nhận được gói tin Server gửi,l úc này thì kết nối đã được mở.
- Client sẽ tiến hành yêu cầu thiết lập một kết nối điều khiển qua giao thức PPTP gửi
đến Server.
- Server sẽ phản hồi cho Client khi nhận được yêu cầu thiết lập kết nối điều khiển
này.
- Trong quá trình này thì 2 bên sẽ tiến hành liên kết với nhau qua giao thức LCP của
PPP, 2 bên cũng sẽ tiến hành chứng thực, sau khi chứng thực thành công thì Client
sẽ được cấp phát IP ảo qua giao thức NCP, sau quá trình này thì dữ liệu sẽ được
trao đổi.
- Lúc ban đầu khởi tạo kết nối VPN thì trải qua quá trình bắt tay 3 bước, ở công
đoạn ngắt kết nối này thì ta cũng dùng giao thức TCP để yêu cầu ngắt kết nối.
PPTP được định nghĩa ở Layer 2 của mô hình OSI, được thiết lập với những chức
năng chính là thiết lập, duy trì và kết thúc các kết nối vật lý, xác thực người dùng và
tạo ra gói dữ liệu PPP.
Sau khi PPTP đã thực hiện kết nối xong, PPTP sẽ thừa kế các quy luật đóng gói của
PPP để đóng gói các gói tin truyền qua đường hầm. PPTP định nghĩa ra 2 loại gói là
gói dữ liệu (chứa dữ liệu người dùng) và gói điều khiển ( quản lý trạng thái kết nối).
Trong đó gói dữ liệu sẽ được phân luồng với giao thức IP và gói điều khiển được phân
luồng với giao thức TCP.
Giao thức PPTP được thiết lập bởi các gói điều khiển thông qua trạng thái kết nối
cổng TCP, với port 1723 được ưu tiên sử dụng trong máy Server và port cấp phát
động đối với máy Client.
184 BÀI 9: MẠNG RIÊNG ẢO - VPN
Trong sơ đồ quá trình thiết lập kết nối PPTP thì VPN Client sử dụng giao thức TCP
để gửi yêu cầu thiết lập kết nối đến port 1723 của VPN Server, gói tin chứa thông
điệp [Message: Connection establish request (SYN): server port pptp] . Cờ SYN được
mở với thông điệp kêu gọi kết nối.
Sau khi nhận được thông điệp từ VPN Client thì VPN Server sẽ gửi lại gói tin với
thông điệp [Message: connection establish acknowledge ( SYN+ACK): server port
pptp ] đã nhận được thông điệp và chấp nhận kết nối PPTP với VPN Client.
VPN Client khi đã nhận được hồi âm lại từ VPN Server sẽ trả lại gói tin với thông
điệp kết thúc quá trình bắt tay 3 bước TCP đã thành công.
Sau khi kết nối thành công, VPN Client sẽ gửi gói tin yêu cầu Start dịch vụ điều
khiển kết nối. Nhận được yêu cầu từ VPN Client, VPN Server sẽ thực hiện gửi gói tin
Reply lại với thông điệp chấp nhận thiết lập [Result code: Successful channel
establishment]
Tiếp theo phía VPN Client và VPN Server sẽ tiến hành thiết lập Call ID thông qua
gói tin Outgoing-Call-Request từ VPN Client và Outgoing-Call-Reply do VPN Server hồi
âm.
Kết thúc quá trình thiết lập kết nối là gói tin Set-Link-info thông báo cài đặt thông
tin kết nối thành công.
Trong việc duy trì kết nối đường hầm PPTP thì giao thức PPTP có cung cấp các
bảng tin Echo-Request và Echo-Reply với tác dụng phát hiện các lỗi kết nối từ 2 bên.
Dữ liệu đường hầm VPN sử dụng giao thức PPTP được đóng qua nhiều giai đoạn
bao gồm:
Đóng gói GRE: Sau khi gói tin GRE ( chứa dữ liệu PPP và GRE header) được tạo,
thông qua giao thức TCP/IP gói tin này sẽ được đóng gói thêm một lần với phần tiêu
đề là IP (IP header) chứa địa chỉ nguồn và địa chỉ đích của Client và Server.
Đóng gói DataLink Layer: Để có thể truyền dữ liệu đi ra môi trường ngoài thì gói
tin IP Header vừa được tạo sẽ được lớp DataLink đóng gói với phần DataLink Header
và DataLink Trailer. Tùy vào môi trường mạng mà các giá trị Header và Trailer sẽ
được gán phù hợp.
186 BÀI 9: MẠNG RIÊNG ẢO - VPN
Quy trình xử lý dữ liệu nhận được trong VPN-PPTP: Trong kết nối đường hầm
VPN bằng giao thưc PPTP thì Client hay Server nhận được gói tin sẽ thực hiện lần lượt
các bước đọc gói tin:
- Xử lý và loại bỏ IP header.
- Xử lý thông tin dữ liệu Payload vừa nhận được hoặc chuyển tiếp.
Phương pháp định khung Frame/Packet: kết nối Serial trên đường truyền cung cấp
chức năng truyền dữ liệu theo bit. Vì vậy phương pháp định khung sẽ là phương tiện
cần thiết cho việc tìm kiếm bắt đầu dựa trên các gói tin (Packets).
- Hổ trợ giao thức kiểm soát liên kết Link Control Protocol (LCP).
- Hổ trợ giao thức kiểm soát mạng Network Control Protocol (NCP).
- Hổ trợ giao thức chứng thực như Challenge Handshake Authentication Protocol
(CHAP), Passwork Authentication Protocol (PAP), Extensible Authentication
Protocol (EAP).
BÀI 9: MẠNG RIÊNG ẢO - VPN 187
- Hổ trợ giao thức mã hóa như Encryption Control Protocol (ECP), Data Encryption
Standard (DES), Advancde Encryption Standard (AES).
- Có đủ khả năng phát hiện lỗi (CheckSum), tuy nhiên không sữa lỗi.
- Giám sát chất lượng liên kết Link Quality Report (LQR) và Link Quality
Monitoring(LQM)
Cấu trúc khung đóng gói cơ bản của giao thức PPP (các trường được truyền từ trái
sang phải) với 3 trường chính.
lại giá trị trong khoảng “c***” đến “F***” được sử dụng cho các gói tin giao thức
kiểm soát liên kết lớp như là LCP.
Trường Information có độ dài là không hoặc nhiều byte. Trường Information chứa
các gói giao thức được quy định tại trường Protocol. Chiều dài tối đa cho trường
Information kể cả trường Padding nhưng loại trừ trường Protocol được gọi là Maximum
Receive Unit (MRU), mặc định là 1500byte.
Trường Padding (hay là flag), trên môi trường truyền dẫn, trường Information có
thể nhồi thêm một số byte để phân cách khung của PPP.
Cấu trúc khung gói tin PPP là một biến thể HDLC có 6 trường.
Trường Address (địa chỉ), vì là kiểu kết nói điểm-đến-điểm nên trong giao thức PPP
địa chỉ riêng cho từng nút có thể là không cần thiết mà nó được gán một địa chỉ
quảng bá Broadcast (11111111). Trường có độ dài là 1byte.
Trường Control (điều khiển), chứa chuỗi nhị phân 00000011 có độ dài là 1byte, nó
không làm gì ngoài việc giúp tránh nhầm lẫn trong việc xác định dữ liệu trong frame
bằng cách chỉ ra dữ liệu không nằm trong chuỗi giao thức của PPP.
Trường Protocol, có độ dài 1 byte hoặc 2 byte nó chỉ ra giao thức Tầng Mạng giúp
xác định các giao thức định nghĩa của dữ liệu được đóng gói trong trường Information.
Trường Information, là trường chứa thông tin hay dữ liệu thực được mang ở tầng
trên để trao đổi giữa 2 nút mạng nguồn và đích. Độ dài của trường là không giới hạn
với kích thước tối đa là 1500byte. Để đảm bảo tính trong suốt thì nó cho phép ta
thêm chuỗi nhị phân 01111110=Flag nếu bên nhận, nhận được 1 chuỗi nhị phân
01111110 thì nó sẽ bỏ chuỗi này đi và tiếp tục lấy dữ liệu ở chuỗi tiếp theo, ngược lại
BÀI 9: MẠNG RIÊNG ẢO - VPN 189
nếu là 2 chuỗi thì bên nhận sẽ bỏ chuỗi đầu tiên và xem chuỗi tiếp theo là dữ liệu mà
lấy dữ liệu nhưng bình thường.
Trường CheckSum, có độ dài là 2 byte hoặc 4 byte, có tác dụng chứa chuỗi kiểm
tra để giúp bên nhận có thể xác nhận được tính chính xác và toàn vẹn dữ liệu của bên
gửi gửi qua. Trong giao thức PPP có khả năng phát hiện lỗi nhưng không cung cấp cơ
chế sữa lỗi.
LCP (Link Control Protocol): Được sử dụng cho việc thiết lập, cấu hình và hủy bỏ
các liên kết. Cho phép sử dụng các tùy chọn liên kết (như xác thực giao thức được sử
dụng). Định kỳ kiểm tra các liên kết, kết thúc kết nối nếu không còn sử dụng. Cung
cấp 2 cơ chế chứng thực Password Authentication Protocol (PAP) và Challenge
Handshake Authentication Protocol (CHAP).
- PAP: đơn giản chỉ là cơ chế chứng thực đối xứng, quy trình chứng thực bắt tay 2
bước bằng cách gửi Username và Password của mình dưới dạng Clear Text. Vì vậy
cơ chế chứng thực PAP được xem là không an toàn. Trong liên kết Client-Server,
khi một kết nối PPP được yêu cầu từ một Client đến một Access Server sử dụng
chứng thực PAP của LCP thì lúc này Server sẽ yêu cầu Client gửi Username và
Password của mình cho Server chứng thực. Và tất cả những thông tin này đều
được gửi dưới dạng Clear Text đóng gói trong các gói dữ liệu của giao thức PPP mà
không được mã hóa. Lúc này Server sẽ quyết định cho phép kết nối hay không.
Đối với kết nối giữa 2 Router thì qua trình này sẽ diễn ra song song, 2 Router sẽ
tiến hành chứng thực cho nhau.
- CHAP: có thể xem là cơ chế chứng thực bất đối xứng. Hai bên chứng thực có trao
đổi bộ mật mã CHAP giống nhau và mỗi bên được gán một tên cục bộ Local Name
riêng. CHAP thực hiện chứng thực bắt tay 3 bước, 2 bên sẽ tiến hành trao đổi
Password chung và Local Name riêng. Khi nhận được yêu cầu kết nối, máy chủ
Sever sẽ tính toán đưa ra một giá trị ngẫu nhiên, Server Name cùng các thông tin
cần thiết trong gói Challenge cho bên cần kết nối. Bên cần kết nối nhận được sẽ
tiến hành tìm Password chung dựa vào Server Name, sau đó sử dụng phép toán
băm MD5 để băm Password chung, số sinh ngẫu nhiên nhận được cùng các thông
190 BÀI 9: MẠNG RIÊNG ẢO - VPN
tin từ Challenge tạo thành gói Respone gửi lại cho Server kiểm tra nếu phù hợp thì
mở kết nối.
Giao thức NCP (Network Control Protocol) cung cấp cơ chế cấp IP động, khi kết nối
kết thúc IP sẽ được thu hồi để cấp phát cho thiết bị kết nối sau. NCP đóng vai trò
thiết lậpđiều chỉnh cấu hình và hủy bỏ việc truyền dữ liệu của các giao thức của lớp
mạng như: IP, IPX, AppleTalk and DECnet.
Establish: giai đoạn khởi tạo LCP. LCP được sử dụng để thiết lặp các kết nối thông
qua việc trao đổi các gói tin Configure. Và giai đoạn khởi tạo hoàn tất khi cả 2 bên gửi
và nhận đều nhận được gói tin Configure-ACK, kết nối được mở quá trình sẽ chuyển
qua giai đoạn chứng thực Authenticate.
BÀI 9: MẠNG RIÊNG ẢO - VPN 191
Authentication: trên mặc định thì việc chứng thực là không bắt buộc, tuy nhiên để
đảm bảo tính an toàn và bảo mật của dữ liệu thì cần có cơ chế chứng thực trước khi
tiến hành truyền gói dữ liệu. Việc chứng thực nên diễn ra càng nhanh càng tốt nhưng
phải đảm bảo về mặt chất lượng bảo mật. Nếu giai đoạn chứng thực không thành thì
quá trình liên kết sẽ bị chấm dứt. Và ngược lại nó chuyển qua giai đoạn Network.
Trong giai đoạn này chỉ có gói LCP, giao thức chứng thực và giám sát chất lượng liên
kết dữ liệu được cho phép. Còn lại tất cả các gói nhận được trong giai đoạn này đều bị
âm thầm hủy bỏ.
Network: sau khi các giai đoạn trước đã hoàn thành, mỗi giao thức lớp Network
(như là IP, IPX, Appletalk…) sẽ được cấu hình riêng biệt bởi NCP thích hợp. Trong giai
đoạn này cơ chế truyền dữ liệu cho các lớp Network được hổ trợ sẽ được bắt đầu thiết
lặp. Mỗi NCP có thể đóng hoặc mở kết nối bất cứ lúc nào. Sau khi một NCP đã ở trạng
thái mở cửa thì PPP tiến hành trao đổi dữ liệu ở các gói có giao thức lớp mạng, còn lại
các gói khi nhận được mà NCP không ở trạng thái mở thì nó sẽ được âm thầm hủy bỏ.
Terminate: giai đoạn chấm dứt kết nối. Quá trình liên kết PPP có thể chấm dứt ở
bất kỳ thời điểm nào ví dụ như trường hợp: mất mát trong qúa trình vận chuyển,
chứng thực thất bại, không đạt tiêu chuẩn liên kết, bộ đếm thời gian nhàn rỗi bị hết
hạn, hoặc nhà quản trị đóng kết nối…khi liên kết đóng cửa thì PPP sẽ thông báo đến
các giao thức lớp mạng để chúng có hành động thích hợp.
Ví dụ ta có một VPN Server B và một Remote Access VPN là User A, khi User A mở
kết nối VPN bằng giao thức PPP thì từ bước thiết lập kết nối có thể được biểu diễn như
mô hình ví dụ dưới đây.
1. Thể hiện kết nối vật lý từ A đến B nếu là sẵn sàng thì bắt đầu thực hiện quá trình
liên kết PPP.
2. Quá trình tạo liên kết PPP giữa A và B bắt đầu diễn ra. Trong cấu trúc gói PPP sẽ
chứa các trường flag, control, address, protocol, information, cheksum.
3. Giai đoạn tạo kết nối LCP diễn ra ở layer2: Ví dụ A muốn kết nối đến B, A sẽ gửi
gói tin yêu cầu thành lập tùy chọn kiểu kết nối.
3.1 ví dụ ở đây A yêu cầu kết nối với giao thức nén Compression.
4. Giai đoạn Server B chứng thực sự kết nối hợp lệ của User A.
4.1 Server B sẻ gửi gói tin yêu cầu A cung cấp thông tin chứng thực.
4.2 ví dụ ở đây B sử dụng phương pháp chứng thực PAP thì A sẽ gửi thông tin về
User name kiemha.com + Password. Nếu B sử dụng chứng thực CHAP thì A sẽ nhận
được gói tin Challenge từ B và gửi lại gói tin Respoint cho B chứng thực.
5. Giai đoạn này khi đã chứng thực xong, trong PPP phần NCP sẽ tiếp nhận và khởi
tạo IP để tiến hành quá trình trao đổi dữ liệu. Ví dụ ở đay Server B cung cấp IP:
10.0.0.1 và DNS: 10.0.0.254, thì NCP sẽ tiếp nhận thiết lập cho IP.
6. Khi NCP mở kết nối thì quá trình truyền dữ liệu Tầng mạng giữ User A và VPN
Server B diễn ra.
- Bước 1:Tại máy Domain Server ta tiến hành tạo một user u2 để máy VPN Server
dùng để join Domain.
- Bước 2:Tại máy VPN Server tiến hành join Domain Server với user u2, sau khi join
Domain thì tiến hành vài đặt TMG
- Bước 3:Sau khi hoàn tất việc cài đặt TMG thì ta tiến hành triển khai VPN Server
trên phần mềm này
- Bước4: PcTest tiến hành quay VPN Remote Access đến VPN Server
Trong mô hình này, máy Client có IP: 192.168.30.4, máy Server có IP:
192.168.30.2. Sau khi VPN Client kết nối đến VPN Server và dùng phần mềm
Wireshark bắt và phân tích các gói tin. Hình 9-16 minh họa kết quả bắt tất cả các gói
tin VPN theo đúng trình tự giao tiếp.
Tiến trình tạo kết nối VPN sử dụng PPTP được mở đầu bằng tiến trình bắt tay 3
bước của giao thức TCP. Đầu tiên máy VPN Client sẽ mở portgửi gói tin TCP SYN đến
port pptp (1723) của VPN Server yêu cầu mở kết nối dịch vụ VPN PPTP.
194 BÀI 9: MẠNG RIÊNG ẢO - VPN
Hình 9.16: Sơ đồ thể hiện đầy đủ việc trao đổi gói tin của VPN.
Hình 9.17: Gói tin Client gửi đến Server yêu cầu mở Port kết nối
BÀI 9: MẠNG RIÊNG ẢO - VPN 195
Gói tin hình 9-16 cho ta thấy thông số của Source Port (VPN Client) và Destination
port (VPN Server). Lúc này chỉ có cờ SYN được bật bởi VPN Client với giá trị được gán
là 1, tham số Sequence Number được sinh ra là 0. Gói tin này gửi thông điệp yêu cầu
thành lập kết nối server port pptp [Message: Connection establish request (SYN):
server port pptp].
Sau khi nhận được yêu cầu mở kết nối dịch vụ thì phía VPN Server sẽ tiến hành gửi
lại gói tin TCP Acknowledge chấp nhận thiết lập kết nối.
Hình 9.18: Gói tin mở kết nối từ Server gửi vể cho Client.
Gói tin cho thấy cờ ACK và SYN được bật với tham số Sequence number được thiết
lập là 0, Acknowledgement number là 1 (là số thứ tự gói tin tiếp theo máy nhận có
thể nhận). Nội dung thông điệp gói tin: [Message: connection establish acknowledge (
SYN+ACK): server port pptp].
Sau khi nhận được gói tin đồng ý mở kết nối từ Server thì Client sẽ gửi cho Server
1 gói TCP ACK thông báo hoàn thành quá trình bắt tay 3 bước
196 BÀI 9: MẠNG RIÊNG ẢO - VPN
Thông tin gói tin chứa Call ID: 404, giúp cho quá trình thiết lập kết nối được đảm
bảo và chính xác. Phía VPN Server khi nhận được gói tinh yêu cầu từ VPN Client sẽ
Reply lại VPN Client một gói tin thông báo đã thành lập được kết nối được yêu cầu từ
VPN Client.
Hình 9.24: Gói tin thiết lập, kiểm tra liên kết
BÀI 9: MẠNG RIÊNG ẢO - VPN 199
Sau quá trình đó Client tiến hành đóng gói gói tin Configuration Request bằng giao
thức PPP LCP để mở đầu cho việc thành lập 1 liên kết với một cấu hình cụ thể.
Sau khi nhận được gói tin yêu cầu thành lập kết nối cụ thể với việc bổ sung thêm
Authention protocol, phía VPN Client thông qua Call ID sẽ gởi cho VPN Server gói tin
Configuration ACK thể hiện việc bắt tay đã thành công và chuẩn bị cho quá trình thiết
lập kết nối với cơ chế chứng thực CHAP, thuật toán MS-CHAP-V2.
BÀI 9: MẠNG RIÊNG ẢO - VPN 201
Hình 9.28: Gói tin cài đặt thông tin đường truyền Set-link-Info
Tại VPN Server sau khi đã nhận được hồi âm từ phía VPN Client sẽ gửi gói tin
Challenge chứa Server Name, chuỗi Challenge ngẫu nhiên và Session Indentifier cho
VPN Client.
202 BÀI 9: MẠNG RIÊNG ẢO - VPN
Hình 9.31: Gói tin Chứng Thực thành công gửi từ VPN Server
Nếu kết quả chứng thực không thành công Server sẽ gửi gói tin Failer chứa thông
điệp thông báo chứng thực thất bại.
Hình 9.32: Gói tin Chứng Thực thất bại gửi từ VPN Server.
Sau quá trình chứng thực thành công VPN Server sẽ tiến hành cấp phát IP cho VPN
Client. IP liên lạc giữa VPN Client và VPN Server sẽ trong phạm vi Range mà ta định
nghĩa trong quá trình cài đặt VPN Server. Trước tiên VPN Client sẽ nhận được địa chỉ
IP ảo VPN Server
204 BÀI 9: MẠNG RIÊNG ẢO - VPN
Hình 9.34: Gói tin yêu cầu IP ảo từ VPN Client gửi cho VPN Server
VPN Server thông qua PPP IPCP gửi gói tin với thông số IP của VPN Client.
BÀI 9: MẠNG RIÊNG ẢO - VPN 205
Hình 9.36: Gói tin đóng gói trao đổi dữ liệu từ Server
Hình 9.37: Gói tin đóng gói trao đổi dữ liệu từ Client
206 BÀI 9: MẠNG RIÊNG ẢO - VPN
Hai bên sẽ tiến hành trao đổi dữ liệu qua lại ,đến khi nào không trao đổi nữa hay
hoàn tất thì yêu cầu ngắt.
Hình 9.39: Gói tin trả lời của Server gửi đến Client
Sau đó là đến quá trình yêu cầu hủy Tunnel.
BÀI 9: MẠNG RIÊNG ẢO - VPN 207
Hình 9.42: Gói tin hủy kết nối điều khiển từ Client
Khi nhận được gói tin hủy kết nối điều khiển được gửi từ Client thì Server sẽ gửi lại
cho Client gói tin
208 BÀI 9: MẠNG RIÊNG ẢO - VPN
Sau quá trình này thì kết nối điều khiển giữa Client và Server đã không còn nữa.
Lúc bắt đầu khởi tạo PPTP ta có quá trình dùng giao thức TCP để tiến hành yêu cầu
tạo kết nối VPN, khi không còn nhu cầu sử dụng nữa thì ta thấy giao thức TCP lại
được sử dụng để hai bên yêu cầu kết thúc dịch vụ.
Hình 9.44: Gói tin đóng kết nối từ Server gửi cho Client
BÀI 9: MẠNG RIÊNG ẢO - VPN 209
Gói tin cho ta thấy cờ FIN và cờ ACK được bật ,với thông điệp Connection finish.
Sau khi nhận được gói FIN/ACK từ Server thì Client sẽ gữi phản hồi cho Server gói tin
sau:
Hình 9.46: Gói tin yêu cầu hủy kết nối từ Client
Gói tin trên thì ta thấy cờ FIN và cờ ACK được bật ,cũng với thông điệp là
Connection Finish. Khi nhận được yêu cầu này thì Server cũng sẽ phản hồi cho Client
gói ACK
210 BÀI 9: MẠNG RIÊNG ẢO - VPN
TÓM TẮT
Bài học trình bày tổng quan về mạng VPN bao gồm: định nghĩa, các chức năng, và
lợi ích của VPN. Mạng VPN có 3 loại cơ bản: mạng truy cập từ xa, mạng VPN nội bộ và
mạng VPN mở rộng. Hai giao thức cơ bản là giao thức tạo kết nối mạng PPTP và giao
thức liên kết dữ liệu cấp cao PPP. Giao thức PPP dùng để vận chuyển dữ liệu với mạng
nội bộ. Giao thức PPP hổ trợ giao thức con kiểm soát liên kết Link Control Protocol
(LCP), giao thức con kiểm soát mạng Network Control Protocol (NCP), giao thức
chứng thực như Challenge Handshake Authentication Protocol (CHAP), Passwork
Authentication Protocol (PAP), Extensible Authentication Protocol (EAP). Ngoài ra, PPP
còn hổ trợ giao thức mã hóa như Encryption Control Protocol (ECP), Data Encryption
Standard (DES), Advancde Encryption Standard (AES); Kiểm soát băng thông:
Bandwidth Allocation Control Protocol (BACP); Kiểm soát nén: Compression Control
Protocol; Có đủ khả năng phát hiện lỗi (CheckSum), tuy nhiên không sữa lỗi; và giám
sát chất lượng liên kết: Link Quality Report (LQR) và Link Quality Monitoring(LQM).
Câu 3: Trình bày kiến trúc các bước xử lý tổng quát của VPN?
Câu 4: Trình bày kiến trúc các bước lý chi tiết của PPTP?
Câu 5: Trình bày kiến trúc các bước xử lý chỉ tiết của PPP?
Câu 6: Triển khai mạng VPN, bắt gói tin, phân tích và hiểu kiến trúc các bước xử lý
của VPN?
212 PHỤ LỤC: DANH SÁCH BÀI TẬP THỰC HÀNH
1. Giới thiệu
Cain & Abel là một công cụ dùng để phục hồi password trong hệ thống
Windows. Công cụ này cho phép người quản trị, hacker, … Có thể lấy được password
thông qua việc sniffing hệ thống mạng, crack các password được mã hóa (bằng cách
sử dụng các thuật toán như dictionay, brute-force và phân tích mã), ghi lại các cuộc
hội thoại VoIP, …
2. Cấu hình
Click vào Menu Configure để thực hiện các bước cấu hình cơ bản của Cain.
Dùng để thiết lập các thông số của của card mạng cho các chức năng sniffer và
APR (ARP Poison Routing) của Cain.
TÀI LIỆU THAM KHẢO 213
• Start Sniffer on Startup: Cain sẽ chạy chức năng sniffer khi khởi động.
• Start ARP on startup: Cain sẽ chạy chức năng ARP khi khởi động.
• Don’t use Promiscucos mode: Cain sẽ Kích hoạt APR Poisoning trên mạng
không dây nhưng không thể sử dụng tính năng giả mạo MAC.
Đây là tab dùng để cấu hình APR (ARP Poison Routing). Khi chức năng này được
khởi động Cain sẽ tạo ra 1 thread mới và gửi các gói tin ARP Poison đển nạn nhân mỗi
30 giây, người dùng có thể điều chỉnh lại thời gian gửi gói tin (Nếu thời gian quá nhỏ
sẽ tạo ra nhiều traffic ARP, nếu thời gian quá lớn có thể tạo ra một số lỗi trong quá
trình thực hiện hijacking traffic).
214 PHỤ LỤC: DANH SÁCH BÀI TẬP THỰC HÀNH
Phần cấu hình spoofing sẽ chỉ ra địa chỉ MAC và IP mà cain sẽ ghi vào header
Ethernet và ARP của gói tin ARP Poison, điều này cho phép chúng ta thực hiện cuộc
tấn công ARP Poison hoàn toàn vô danh. Nhưng khi cấu hình tùy chọn này cần phải
chú ý các vấn đề sau:
Spoofing Ethernet Address: Thực hiện được khi các máy nối tới một hub
hoặc một switch không chạy chức năng port security
MAC address Spoofing: Phải sử dụng địa chỉ MAC không có trong subnet.
Đây là nơi cho phép có thể enable/disbale sniffer filter trên một số port, chỉ có
những port nào enbale thì cain mới bắt thông tin. Cain chỉ bắt những thông tin về việc
auhentication chứ không bắt toàn bộ gón tin, nếu bạn muốn có được thông tin của
toàn bộ gói tin thì có thể sử dụng các chương trình khác như wireshark.
TÀI LIỆU THAM KHẢO 215
b. Cài đặt dịch vụ HTTP trên Server (xác thực username, password trước khi sử
dụng).
216 PHỤ LỤC: DANH SÁCH BÀI TẬP THỰC HÀNH
c. Sử dụng công cụ Cain&Abel phiên bản 4.9.56 trên máy attacker, sniffer
username và password dịch vụ HTTP khi máy Victim sử dụng dịch vụ này trên
máy server.
Máy server sử dụng Windows server hoặc Linux server, 2 PC sử dụng Windows xp,
7,… (trong bài thực hành này, sử dụng Windows server 2003 làm server, 2 PC sử
dụng Windows xp).
+ Server:
+ Victim:
+ Attacker:
+ HTTP:
Chọn Next để tiếp tục quá trình cài đặt, sau khi cài đặt xong chọn finish để hoàn
thành.
- Vào my computer c:\ inetpub wwwroot, tạo file index.htm với nội dung
bất kỳ (Trong bài thực hành này tạo nội dung “Chao ban den voi website!”).
++Cấu hình xác thực username, password khi truy cập dịch vụ HTTP
- Tạo username: u1, password: 123 được sử dụng để xác thực trước khi truy cập
vào website:
Vào start run cmd gõ lệnh: net user u1 123 /add để tạo username u1,
password 123.
218 PHỤ LỤC: DANH SÁCH BÀI TẬP THỰC HÀNH
Nhấp chuột phải vào Default website chọn properties như hình bên dưới
Chọn tab Directory security, nhấn vào nút edit trong mục Authentication and
access control
TÀI LIỆU THAM KHẢO 219
Nhấn vào nút browse... trong mục use the following windows user account for
anonymous access: gõ u1 và nhấn nút check names, sau đó nhấn OK
Trở lại hộp thoại Authentication Methods, bỏ dấu tick ở mục Enable anonymous
access. Đồng thời đánh dấu tick vào mục Basic authentication(password is sent in
clear text), bỏ chọn các dấu tick còn lại và nhấn ok như hình bên dưới.
- Test: Trên máy client, mở trình duyệt web (Internet explorer, google chrome,
firefox,…) truy cập vào website trên máy server. Lúc này sẽ yêu cầu username,
password trước khi xem được nội dung trang web.
220 PHỤ LỤC: DANH SÁCH BÀI TẬP THỰC HÀNH
Nhập vào username: u1, password: 123 để xem được nội dung trang web trên
máy server.
c. Sử dụng công cụ Cain&Abel phiên bản 4.9.56 trên máy attacker, sniffer
username và password dịch vụ HTTP khi máy Victim sử dụng dịch vụ này trên
máy server.
- Cài đặt công cụ Cain&Abel phiên bản 4.9.56 trên máy attacker
- Sniffer username, password dịch vụ HTTP khi máy Victim sử dụng dịch vụ này
trên máy server.
TÀI LIỆU THAM KHẢO 221
B1: Chạy phần mềm Cain&Abel, trên thanh công cụ menu tab chọn tab Configure,
chọn vào card mạng sử dụng để sniffer (ở đây card mạng có địa chỉ IP 10.0.0.2), sau
đó nhấn OK.
Trở về giao diện phần mềm Cain, start sniffer bằng cách nhấn vào nút (hình card
mạng) trên thanh công cụ, như hình bên dưới.
B2: Quét địa chỉ mac trong hệ thống mạng vừa thiết lập
Chuyển qua tab sniffer trên thanh công cụ, sau đó nhấn vào nút hình chữ thập
màu xanh (như hình bên dưới).
222 PHỤ LỤC: DANH SÁCH BÀI TẬP THỰC HÀNH
Chọn vào nút range, sửa lại dãy địa chỉ IP muốn quét địa chỉ mac từ 10.0.0.1 đến
10.0.0.254, sau đó nhấn OK để tiến hành quét địa chỉ mac.
Kết quả: phần mềm Cain sẽ quét được 2 địa chỉ mac trong hệ thống mạng vừa
thiết lập, để xem hostname chọn vào từng địa chỉ mac hoặc chọn tất cả địa chỉ mac,
nhấn chuột phải chọn Resolve host name.
TÀI LIỆU THAM KHẢO 223
Chuyển qua tab APR ở phía dưới cùng của thanh công cụ, sau đó nhấn vào nút
hình chữ thập màu xanh(như hình bên dưới) để mở hộp thoại New ARP Poison
Routing
Hộp thoại New ARP Poison Routing xuất hiện, ở cửa sổ bên trái chọn máy
victim(địa chỉ IP 10.0.0.1), ở cửa sổ bên phải chọn máy server (địa chỉ IP 10.0.0.254)
sau đó nhấn OK.
224 PHỤ LỤC: DANH SÁCH BÀI TẬP THỰC HÀNH
Để thực hiện quá trình APR, nhấn vào nút hình tròn màu vàng trên thanh công
cộng ở giao diện phần mềm Cain(xem hình bên dưới).
B4: Sniffer username, password dịch vụ HTTP khi máy victim truy cập vào website
trên máy server
Máy victim tiến hành truy cập vào website trên máy server, lúc này sẽ bắt được
username, password truy cập vào dịch vụ HTTP ở máy attacker.
Để xem username, password bắt được này. Trên giao diện phần mềm cain, chuyển
qua tab passwords trên thanh công cụ và chọn vào dịch vụ HTTP bên phía trái (xem
hình bên dưới).
TÀI LIỆU THAM KHẢO 225
Cài đặt dịch vụ FTP, TELNET trên máy server và tiến hành sniffer username,
password trên máy attacker.
Kali Linux là một bản phân phối của Linux dựa trên nền tảng Debian nhằm nâng
cao kiểm tra thâm nhập và an ninh kiểm toán. Kali chứa vài trăm công cụ nhằm mục
đích nhiệm vụ an ninh thông tin khác nhau, chẳng hạn như kiểm tra thâm nhập, điều
tra và dịch ngược. Kali linux được phát triển, tài trợ và duy trì bởi Offensive Security,
một công ty đào tạo bảo mật thông tin hàng đầu.
Kali Linux được phát hành vào ngày 13 tháng 3 năm 2013 như là một nền tảng
hoàn hảo, từ trên xuống dưới xây dựng lại của BackTrack Linux, tôn trọng hoàn toàn
các tiêu chuẩn phát triển của Debian.
2. Bài tập
CDP là một giao thức độc quyền lớp Data Link được phát triển bởi Cisco Systems.
CDP được sử dụng để chia sẻ thông tin về các thiết bị Cisco kết nối trực tiếp khác,
226 PHỤ LỤC: DANH SÁCH BÀI TẬP THỰC HÀNH
chẳng hạn như phiên bản hệ điều hành và các địa chỉ IP. CDP cũng có thể được sử
dụng cho On-Demand Routing, là một phương pháp bao gồm thông tin định tuyến
trong thông báo CDP để các giao thức định tuyến động không cần phải sử dụng trong
các mạng đơn giản.
Lợi dụng giao thức này, Attacker sẽ sử dụng chương trình làm giả các gói tin CDP
để làm Router/Switch tốn tài nguyên để xử lý. Một trong những công cụ thực hiện
được chức năng này là Yersinia, công cụ có sẵn trên Kali Linux.
Yersinia là một chương trình khung để thực hiện các cuộc tấn công lớp 2. Yersinia
được thiết kế để tận dụng lợi thế một số yếu điểm trong các giao thức mạng khác
nhau. Yersinia giả vờ là một chương trình khung vững chắc cho việc phân tích và thử
nghiệm các mạng và hệ thống được triển khai. Các cuộc tấn công vào các giao thức
mạng như:
802.1q
802.1x
b. Kích hoạt interface và CDP trên cổng f0/0 của router R1.
c.Thực hiện tấn công cdp flooding vào router R1 sử dụng công cụ Yersinia 0.7.3 có
sẵn trên hệ điều hành Kali Linux phiên bản 1.0.6 hoặc tương đương.
Triển khai mô hình trên phần mềm GNS3, router R1 sử dụng IOS router Cisco
c3640 phiên bản 12.4 hoặc tương đương, máy Kali Linux phiên bản 1.0.6 hoặc tương
đương chạy trên phần mềm VMWARE.
b. Kích hoạt interface và CDP trên cổng f0/0 của router R1.
Trên Router R1, kích hoạt interface f0/0 đang ở chế độ disable, bằng cách vào
interface này, gõ lệnh no shutdown.
R1(config)#interface f0/0
R1(config-if)#no shutdown
Mặc định CDP đã được kích hoạt trên các interface của router cisco, nếu chưa được
kích hoạt gõ lệnh cdp enable để kích hoạt CDP.
R1(config)#interface f0/0
R1(config-if)#cdp enable
kiểm tra CDP neighbor, traffic, CPU cho quá trình xử lý gói tin CDP.
228 PHỤ LỤC: DANH SÁCH BÀI TẬP THỰC HÀNH
c. Thực hiện tấn công cdp flooding vào router R1 sử dụng công cụ
Yersinia 0.7.3 có sẵn trên hệ điều hành Kali Linux phiên bản 1.0.6 hoặc
tương đương.
Trên cửa sổ Terminal của Kali Linux truy cập vào chương trình Yersinia bằng câu
lệnh:
root@kali:~#yersinia –G
Trên giao diện chương trình Yersinia có rất nhiều cách tấn công như: CDP, DHCP,
802.1Q,… trong bài tập này sẽ thực hiện quá trình tấn công CDP flooding.
Để thực hiện quá trình tấn công, trên thanh công cụ của chương trình Yersinia
nhấn vào nút Launch Attack, hộp thoại xuất hiện, chọn flooding CDP table OK.
TÀI LIỆU THAM KHẢO 229
Lúc này Yersinia sẽ tạo ra hàng nghìn gói tin CDP(xem hình bên dưới):
Trên Router R1, thực hiện thao tác rất chậm, gõ lệnh thì bị delay khá lâu.
- Show process cpu sorted | incude CPU|PID runtime| CDP Protocol: Sử dụng để
kiểm tra hiệu xuất CPU và các tiến trình.
- Show cdp neighbor: Hiển thị chi tiết thông tin về các thiết bị lân cận phát hiện sử
dụng CDP.
Để dừng quá trình flooding CDP, trên thanh công cụ của chương trình Yersinia
nhấn vào nút List attacks Cancel all attacks.
TÀI LIỆU THAM KHẢO 231
Vô hiệu hóa CDP trên các interface f0/0 của router R1, bằng cách truy cập vào
interface f0/0 và gõ lệnh no cdp enable.
R1(config)#interface f0/0
R1(config-if)#no cdp enable
Tấn công DHCP starvation attack hoạt động bằng cách yêu cầu DHCP gửi các gói
tin broadcast với địa chỉ MAC giả mạo. Điều này có thể dễ dàng đạt được với các công
cụ tấn công như "Gobbler" (một công cụ được thiết kế để kiểm toán các khía cạnh
khác nhau của mạng DHCP, từ việc phát hiện nếu DHCP được chạy trên một mạng để
thực hiện tấn công từ chối dịch vụ). Nếu đủ yêu cầu được gửi đi, những kẻ tấn công
mạng có thể làm cạn kiệt không gian địa chỉ có sẵn trên các máy chủ DHCP trong một
khoảng thời gian. Đây là cuộc tấn công làm thiếu tài nguyên đơn giản như tấn công
232 PHỤ LỤC: DANH SÁCH BÀI TẬP THỰC HÀNH
flood SYN. Sau đó những kẻ tấn công mạng thiết lập một máy chủ DHCP giả mạo trên
hệ thống và đáp ứng các yêu cầu DHCP từ client trên mạng.
Trong hệ thống mạng, khi Client xin địa chỉ IP từ DHCP Server sẽ trải qua 4 bước
bằng cách lần lượt trao đổi 4 gói tin giữa DHCP client và Server gồm: Discover, Offer,
Request, Ack.
Yêu cầu:
b. Đặt địa chỉ IP tĩnh cho router R1 như hình vẽ, cấu hình DHCP Server trên router
R1 cấp mạng 192.169.10.0/24 cho các PC trong mạng và tiến hành xin IP trên
máy Client.
c. Xóa bỏ IP trên máy Client và thực hiện tấn công DHCP Starvation Attack trên
máy Kali Linux vào DHCP Server. Sau đó tiến hành xin lại IP trên máy client,
cho biết kết quả?
d. Đưa ra biện pháp phòng chống tấn công DHCP Starvation Attack.
TÀI LIỆU THAM KHẢO 233
2.2.3 Quá trình thực hiện
Triển khai mô hình trên phần mềm GNS3, router R1 sử dụng IOS router Cisco
c3640 phiên bản 12.4 hoặc tương đương, sử dụng phần mềm VMWARE giả lập máy
Kali Linux sử dụng phiên bản 1.0.6 và máy client sử dụng hệ điều hành Windows
client (xp,7,8,…).
b. Đặt địa chỉ IP và cấu hình DHCP server trên router R1.
R1(config)#interface f0/0
R1(config-if)#no shutdown
R1(config-if)#ip address 192.169.10.1 255.255.255.0
- Cấu hình DHCP Server cấp mạng 192.169.10.0/24 cho các PC trong hệ thống,
trừ ra địa chỉ IP 192.169.10.1 do đã cấp cho router R1 (sử dụng lệnh ip dhcp
excluded-address 192.169.10.1)
Trên máy Client tiến hành xin IP, tại cửa sổ cmd, gõ lệnh ipconfig /renew
Trước khi có tấn công DHCP Starvation attack, quá trình xin IP từ DHCP Server
thành công.
c. Thực hiện tấn công DHCP Starvation Attack vào DHCP Server
234 PHỤ LỤC: DANH SÁCH BÀI TẬP THỰC HÀNH
Như đã giới thiệu ở bài trước, trên Kali Linux có sẵn công cụ Yersinia, có tính năng
thực hiện tấn công DHCP Starvation attack.
Trên máy Kali Linux, ở cửa sổ termial gõ yersinia -G để mở giao diện Yersinia.
root@kali:~#yersinia –G
Hộp thoại chương trình Yersinia xuất hiện, chọn tab DHCP, để khởi động quá trình
tấn công DHCP Starvation, chọn vào nút Launch attack như hình bên dưới:
Hộp thoại hiện ra chọn tab DHCP và chọn sending DISCOVER packet OK
TÀI LIỆU THAM KHẢO 235
Lúc này, chương trình Yersinia tạo ra rất nhiều gói Discover giả mạo để tìm kiếm
và gửi đến DHCP server.
Trên Router R1 lúc này xử lý rất chậm, CPU dành cho việc xử lý gói tin Discover
chiếm hầu hết hiệu suất.
Kiểm tra các tiến trình và khả năng xử lý của CPU sử dụng lệnh show process.
Trên máy Client, tiến hành xóa IP cũ (sử dụng lệnh ipconfig /release tại dấu nhăc
lệnh trong cửa sổ cmd) và xin cấp phát lại địa chỉ IP từ DHCP Server nhưng không
236 PHỤ LỤC: DANH SÁCH BÀI TẬP THỰC HÀNH
thành công. Xuất hiện thông báo không thể liên hệ với DHCP server (xem hình bên
dưới).
Để ngừng tấn công, nhấn vào nút List attacks Cancel all attacks.
Trên router R1, gõ lệnh show ip dhcp binding sẽ có rất nhiều địa chỉ IP mà
DHCP đã Offer do quá trình tấn công DHCP Starvation đã gửi nhiều gói tin Discover
liên tục tới router R1.
Sử dụng lệnh show ip dhcp server statistics để xem DHCP Server đã thống kê
các gói tin DHCP nhận được và gửi đi.
TÀI LIỆU THAM KHẢO 237
Từ các lệnh kiểm tra trên cho thấy rằng, khi máy Kali Linux thực hiện tấn công
DHCP Starvation chỉ gửi gói tin DHCP Discover, khi Server gửi lại gói DHCP Offer thì
quá trình tấn công không gửi lại gói DHCP Request, nên Sever vẫn để dành những địa
chỉ đã Offer đó (đã thấy ở lệnh show ip dhcp binding ở trên), sau một khoảng thời
gian không nhận được gói DHCP Request thì DHCP Server mới xóa những entry này
trong database.
Để ngăn chặn kiểu tấn công này, trên thiết bị Switch(SW) bạn phải cấu hình những
tính năng sau:
- Port security
Giới hạn MAC học trên mỗi cổng bằng cách sử dụng câu lệnh switchport port-
security maximum.
Trong bài tập này, cấu hình port-security trên interface e0/0 và e0/2 của switch
SW, giới hạn địa chỉ MAC học được là 2.
- DHCP Snooping
238 PHỤ LỤC: DANH SÁCH BÀI TẬP THỰC HÀNH
Cấu hình tính năng này để chống giả mạo DHCP Server, sau khi cấu hình tính
năng này interface nối với DHCP server sẽ trở thành interface tin cậy (trust), các
interface còn lại nối với Client sẽ trở thành interface không tin cậy(untrust). Các
interface untrust chỉ nhận gói tin DHCP DISCOVER, DHCP REQUEST hay DHCP
RELEASE. Các interface trust sẽ cho phép nhận gói tin DHCP OFFER. Nếu một DHCP
server giả gắn vào switch được cấu hình tính năng snooping và gửi DHCP OFFER thì
switch sẽ loại bỏ gói tin này.
Trong bài tập này, cấu hình tính năng DHCP snooping trên interface e0/1 của
switch SW (cổng nối với DHCP Server).
Sử dụng các lệnh show để monitor các pool, các tiến trình và quá trình xử lý của
DHCP Server:
R1#show process: Để xem các tiến trình và hiệu suất xử lý của CPU.
R1#show ip dhcp pool: Để xem các pool tạo trên DHCP Server, tổng số địa chỉ IP
cấp, địa chỉ IP hiện tại đang cấp và số lượng địa chỉ IP đã cấp.
Lưu ý: Để cấu hình được tính năng này trên switch sử dụng phần mềm
gns3, yêu cầu thiết bị switch phải sử dụng Cisco IOU Switch để giả lập.
TÀI LIỆU THAM KHẢO 239
Trong bài thực hành này, xây dựng một mạng lưới nhiều router và cấu hình các
router và host. Sử dụng các lệnh CLI khác nhau để cấu hình các router với xác thực
cục bộ cơ bản và xác thực cục bộ sử dụng AAA. Cài đặt phần mềm RADIUS trên một
máy tính bên ngoài và sử dụng AAA để xác thực người dùng với RADIUS server.
240 PHỤ LỤC: DANH SÁCH BÀI TẬP THỰC HÀNH
Yêu cầu
- Cấu hình các thiết lập cơ bản như host name, địa chi IP cho cổng và mật
khẩu truy cập.
- Cấu hình một cơ sở dữ liệu người dùng cục bộ và truy cập cục bộ cho các
đường console và vty.
Phần 4: Cấu hình xác thực tập trung sử dụng AAA và RADIUS trên R1
- Cấu hình dịch vụ AAA trên R1 để truy cập đến RADIUS server để xác thực.
TÀI LIỆU THAM KHẢO 241
- Kiểm tra cấu hình AAA RADIUS.
- 3 router (Cisco IOS C3725 , phiên bản 12.4(20)T hoặc tương đương)
- PC-A: Windows XP, Vista, hoặc Windows Server với phần mềm RADIUS
server có sẵn
Router R1
R1#configure terminal
R1(config)# interface f0/0
R1(config-if)# no shutdown
R1(config-if)# ip address 192.168.1.1 255.255.255.0
R1(config)# exit
R1(config)# interface s0/0
R1(config-if)# no shutdown
R1(config-if)# ip address 10.1.1.1 255.255.255.252
Router R2
R2#configure terminal
R2(config)# interface s0/0
R2(config-if)# no shutdown
R2(config-if)# ip address 10.1.1.2 255.255.255.252
R2(config)# exit
R2(config)# interface s0/1
R2(config-if)# no shutdown
R2(config-if)# ip address 10.2.2.2 255.255.255.252
242 PHỤ LỤC: DANH SÁCH BÀI TẬP THỰC HÀNH
Router R3
R3#configure terminal
R3(config)# interface f0/0
R3(config-if)# no shutdown
R3(config-if)# ip address 192.168.3.1 255.255.255.0
R3(config)# exit
R3(config)# interface s0/0
R3(config-if)# no shutdown
R3(config-if)# ip address 10.2.2.1 255.255.255.252
PC-A
PC-C
- Cấu hình định tuyến tĩnh trên R2, default route trên R1, R3:
Router R1
R1(config)# ip route 0.0.0.0 0.0.0.0 10.1.1.2
Router R2
R2(config)# ip route 192.168.1.0 255.255.255.0 10.1.1.1
R2(config)# ip route 192.168.3.0 255.255.255.0 10.2.2.1
Router R3
R3(config)# ip route 0.0.0.0 0.0.0.0 10.2.2.2
Bước 1: Sử dụng lệnh security passwords để thiết lập chiều dài mật khẩu tối thiểu
10 ký tự:
Router(config)#service password-encryption
Bước 3: Cấu hình password secret sử dụng lệnh enable secret password:
Bước 3: Cấu hình cơ bản cổng console và các đường truy cập ảo (telnet)
- Password console. Trong đó, lệnh exec-timeout gây ra các dòng log sau 5 phút
không hoạt động và lệnh logging synchronous ngăn chặn các message console
làm gián đoạn lệnh nhập vào:
Sử dụng lệnh banner motd để cấu hình. Khi một người sử dụng kết nối đến một
trong những router, banner motd xuất hiện trước dấu nhắc đăng nhập, các dấu đô la
($) được sử dụng để bắt đầu và kết thúc thông điệp.
Router(config)# banner motd $Truy cap trai phep deu bi nghiem cam$
Phần 2: Cấu hình xác thực cục bộ (thực hiện trên R1 và R3):
Tạo một tài khoản cục bộ với hàm băm MD5 để mã hóa mật khẩu.
- Cấu hình xác thực cục bộ cho đường console và đăng nhập:
Thiết lập đường console để sử dụng tên người dùng đăng nhập và mật khẩu xác
định tại cục bộ.
Router(config)#line console 0
Router(config-line)#login local
Thoát ra màn hình ban đầu của router (sử dụng lệnh exit) hiển thị: R1 con0 is now
available, Press RETURN to get started.
Đăng nhập bằng cách sử dụng tài khoản user01 và mật khẩu được định nghĩa
trước đó, để vào chế độ privileged EXEC sử dụng lệnh enable và nhập password
secret là cisco12345.
Thiết lập các đường vty để sử dụng các tài khoản được xác định cục bộ.
Router(config)#line vty 0 4
Router(config-line)#login local
TÀI LIỆU THAM KHẢO 245
Từ PC-A telnet đến R1, đăng nhập với tài khoản user01 và mật khẩu là
user01pass. Trong khi telnet đến R1, truy vào chế độ privileged EXEC với lệnh enable,
sử dụng mật khẩu secret là cisco12345.
Phần 3: Cấu hình xác thực cục bộ sử dụng AAA trên R3:
Cấu hình một tài khoản người dùng cục bộ với hàm băm MD5 để mã hóa mật
khẩu.
R3(config)#aaa new-model
Triển khai dịch vụ AAA cho việc truy cập console sử dụng cơ sở dữ liệu cục bộ:
Tạo một danh sách xác thực đăng nhập mặc định bằng cách ban hành lệnh aaa
authentication login default method1[method2][method3] với một danh sách phương
pháp sử dụng local và none keywords.
Thoát ra màn hình router ban đầu (sử dụng lệnh exit) hiển thị: R3 con0 is now
available, Press RETURN to get started.
246 PHỤ LỤC: DANH SÁCH BÀI TẬP THỰC HÀNH
Đăng nhập vào console với tài khoản người dùng Admin01 và mật khẩu
Admin01pass.
Thoát ra màn hình ban đầu hiển thị: R3 con0 is now available, Press RETURN to
get started.
Cố gắng đăng nhập đến console với người dùng bất kỳ (ở đây là baduser).
Nếu người dùng không tìm thấy trong cơ sở dữ liệu cục bộ, tùy chọn none trên
lệnh aaa authentication login default local none yêu cầu không xác thực, cho nên vẫn
có thể đăng nhập với người dùng bất kỳ đến cổng console.
- Tạo một hồ sơ chứng thực AAA cho Telnet sử dụng cơ sở dữ liệu cục bộ:
Tạo một danh sách xác thực duy nhất cho Telnet truy cập đến router. Chỉ định tên
một danh sách TELNET_LINES và áp dụng nó đến các đường vty.
Xác minh rằng hồ sơ chứng thực này được sử dụng bằng cách mở một phiên Telnet
từ PC-C đến R3, đăng nhập với tài khoản Admin01, mật khẩu Admin01pass.
Thoát phiên Telnet với lệnh exit, và telnet đến R1 một lần nữa. Cố gắng để đăng
nhập với người dùng và mật khẩu bất kỳ (ở đây sử dụng người dùng baduser, mật
khẩu 123).
TÀI LIỆU THAM KHẢO 247
Nếu người dùng không được tìm thấy trong cơ sở dữ liệu cục bộ, không có phương
pháp dự phòng quy định trong danh sách chứng thực cho các đường vty cho nên
không thể thiết lập phiên telnet.
Sử dụng lệnh show clock để xác định thời gian hiện tại cho router. Để Thiết lập
thời gian từ chế độ privilged EXEC với lệnh clock set HH:MM:SS DD Month YYYY.
Bắt đầu một phiên Telnet từ PC-C đến R3. Đăng nhập với người dùng Admin01 và
mật khẩu Admin01pass. Quan sát sự kiện chứng thực AAA trong cửa sổ phiên
console. Thông điệp debug tương tự như sau sẽ được hiển thị.
R3#
Dec 26 14:36:42.323: AAA/BIND(000000A5): Bind i/f
Dec 26 14:36:42.323: AAA/AUTHEN/LOGIN (000000A5): Pick method list
'default'
Từ cửa sổ Telnet, vào chế độ privileged EXEC. Sử dụng mật khẩu enable secret là
cisco12345. Các thông điệp debug tương tự như sau sẽ được hiển thị. Trong thành
phần thứ 3, lưu ý tên người dùng (Admin01), số cổng ảo (tty194), và địa chỉ client
telnet ở xa (192.168.3.3). Cũng lưu ý rằng thành phần trạng thái cuối cùng là
"PASS."
R3#
Dec 26 14:40:54.431: AAA: parse name=tty194 idb type=-1 tty=-1
Dec 26 14:40:54.431: AAA: name=tty194 flags=0x11 type=5 shelf=0 slot=0
adapter=0 port=194 channel=0
248 PHỤ LỤC: DANH SÁCH BÀI TẬP THỰC HÀNH
Từ cửa sổ Telnet, thoát khỏi chế độ privileged EXEC sử dụng lệnh disable. Cố gắng
để vào chế độ privileged EXEC một lần nữa, nhưng sử dụng một mật khẩu sai cho lần
này. Quan sát lệnh đầu ra debug trên R3, lưu ý rằng trạng thái là "FAIL" cho lần này.
Phần 4: Cấu hình chứng thực tập trung sử dụng AAA và RADIUS trên R1:
TÀI LIỆU THAM KHẢO 249
Khôi phục R1 với cấu hình cơ bản:
Trên gns3 xóa file cấu hình của R1 chứa trong thư mục configs của bài thực hành
(R1.cfg). Sau đó, tắt và chạy lại các router của bài thực hành để khôi phục cấu hình
mặc định của R1.
Khi khởi động lại router, khôi phục cấu hình cơ bản cho R1 như trong phần 1 và
phần 2 của bài thực hành này.
Khởi động ứng dụng WinRadius.exe. WinRadius sử dụng cơ sở dữ liệu cục bộ, trong
đó nó lưu thông tin người dùng. khi ứng dụng được khởi động cho lần đầu tiên, thông
điệp sau đây được hiển thị.
Chọn Settings Database từ menu chính và màn hình sau đây được hiển thị.
Chọn nút Configure ODBC automatically và sau đó nhấn OK. Bạn sẽ thấy rằng một
thông báo ODBC được tạo thành công. Thoát WinRadius và khởi động lại ứng dụng để
thay đổi có hiệu lực.
250 PHỤ LỤC: DANH SÁCH BÀI TẬP THỰC HÀNH
Từ menu chính, chọn Operation Add User. Nhập tên người sử dụng RadUser,
mật khẩu RadUserpass.
- Kiểm tra người dùng mới được bổ sung sử dụng tiện ích test trên WinRadius:
Khởi động ứng dụng RadiusTest, và nhập vào địa chỉ IP máy chủ RADIUS
(192.168.1.3), tên người dùng RadUser, mật khẩu RadUserpass như hình dưới. Không
thay đổi số cổng RADIUS mặc định là 1813 và mật khẩu RADIUS là WinRadius.
Chọn Send và bạn sẽ thấy một thông báo Send Access_Request cho biết máy chủ
là 192.168.1.3, số cổng 1813, nhận được 44 ký tự thập lục phân. Hiển thị trên màn
hình log của WinRadius, Bạn cũng sẽ thấy một thông điệp chỉ ra rằng người dùng
RadUser được chứng thực thành công.
Sử dụng lệnh aaa new-model trong chế độ global config để kích hoạt AAA.
R1(config)#aaa new-model
Cấu hình danh sách chứng thực đăng nhập mặc định:
Cấu hình danh sách để đầu tiên sử dụng RADIUS cho dịch vụ chứng thực, và sau
đó là none. Nếu không có máy chủ RADIUS có thể đạt được và chứng thực không thể
được thực hiện, R1 cho phép truy cập mà không cần xác thực. Đây là một biện pháp
tự vệ trong trường hợp R1 khởi động mà không thể kết nối đến một máy chủ RADIUS
hoạt động.
252 PHỤ LỤC: DANH SÁCH BÀI TẬP THỰC HÀNH
Sử dụng lệnh radius-server host hostname key key để trỏ đến máy chủ RADIUS.
Tham số hostname chấp nhận hoặc là một tên máy chủ hoặc là một địa chỉ IP. Sử
dụng địa chỉ máy chủ RADIUS, PC-A (192.168.1.3). Key là một mật khẩu secret được
chia sẽ bí mật giữa máy chủ RADIUS và máy khách RADIUS (R1 trong trường hợp
này) và được sử dụng để chứng thực kết nối giữa router và máy chủ trước khi quá
trình xác thực người dùng diễn ra. Máy khách RADIUS có thể là một máy chủ truy cập
mạng (NAS), nhưng router R1 đóng vai trò trong bài thực hành này.
Nếu khởi động lại máy chủ WinRadius, phải tạo lại người dùng RadUser với một
mật khẩu là RadUserpass bằng cách chọn Operation Add User.
Xóa các log trên máy chủ WinRadius bằng cách chọn Log Clear từ menu chính.
Trên R1, thoát đến màn hình ban đầu hiển thị: R1 con0 is now available, Press
RETURN to get started.
Kiểm tra cấu hình AAA RADIUS bằng cách đăng nhập đến console trên R1 sử dụng
tên người dùng RadUser và mật khẩu RadUserpass. Có một sự chậm trễ đáng kể.
Thoát đến màn hình ban đầu hiển thị: R1 con0 is now available, Press RETURN to
get started.
Kiểm tra cấu hình AAA RADIUS một lần nữa bằng cách đăng nhập vào cổng
console trên R1 sử dụng tên người dùng không tồn tại Userxxx và mật khẩu
Userxxxpass. Mặc dù một tên người dùng và mật khẩu không hợp lệ được cung cấp,
tham số none trên danh sách đăng nhập mặc định cho phép bất kỳ tên người dùng
truy cập.
Khi máy chủ RADIUS không có sẵn, các thông điệp tương tự sau thường được hiển
thị sau khi cố gắng đăng nhập.
TÀI LIỆU THAM KHẢO 253
*Mar 1 00:20:25.739: %RADIUS-4-RADIUS_DEAD: RADIUS server
192.168.1.3:1645,1646 is not responding.
*Mar 1 00:20:25.743: %RADIUS-4-RADIUS_ALIVE: RADIUS server
192.168.1.3:1645,1646 is being marked alive.
Kiểm tra số cổng mặc định RADIUS UDP được sử dụng trên R1 với lệnh radius-
server host.
Mặc định R1 có số cổng UDP mặc định cho máy chủ RADIUS là 1645 và 1646.
- Thay đổi số cổng RADIUS trên R1 để phù hợp với máy chủ WinRadius:
Ban hành lệnh radius-server host một lần nữa và lần này xác định số cổng 1812 và
1813, cùng với địa chỉ IP và khóa bí mật cho máy chủ RADIUS.
254 PHỤ LỤC: DANH SÁCH BÀI TẬP THỰC HÀNH
- Kiểm tra cấu hình AAA RADIUS bằng cách đăng nhập vào trong cổng console
trên R1:
Thoát đến màn hình ban đầu hiển thị: R1 con0 is now available, Press RETURN to
get started.
Đăng nhập một lần nữa với tên người dùng RadUser và mật khẩu là RadUserpass.
Có sự chậm trễ không đáng kể, R1 đã có thể truy cập máy chủ RADIUS để xác nhận
tên người dùng và mật khẩu.
Các thông báo sau sẽ hiển thị trên RADIUS server log.
Thoát đến màn hình ban đầu hiển thị: R1 con0 is now available, Press RETURN to
get started.
Đăng nhập một lần nữa sử dụng tên người dùng không xác định Userxxx và mật
khẩu Userxxxpass. R1 không thể truy cập máy chủ RADIUS và xác nhận thất bại.
Các thông điệp sau đây sẽ hiển thị trên RADIUS server log.
Tạo một danh sách xác thực duy nhất cho Telnet truy cập đến R1. Đặt tên danh
sách phương thức xác thực là TELNET_LINES.
Áp dụng danh sách đến các đường vty trên R1 sử dụng lệnh login authentication.
TÀI LIỆU THAM KHẢO 255
R1(config)#line vty 0 4
R1(config-line)#login authentication TELNET_LINES
Telnet từ PC-A đến R1 và đăng nhập bằng tên người dùng RadUser và mật khẩu
RadUserpass. R1 liên lạc máy chủ Radius để xác thực người dùng và mật khẩu thành
công.
Thoát khỏi phiên Telnet và telnet từ PC-A đến R1 lần nữa. Đăng nhập với tên người
dùng Userxxx và mật khẩu Userxxxpass. R1 liên lạc với máy chủ RADIUS cho xác
thực người dùng và sự kết hợp tên người dùng/mật khẩu không được định nghĩa trong
cơ sở dữ liệu RADIUS, do đó truy cập bị từ chối.
a. Cài đặt một TACACS Server trên PC-A, sử dụng phần mềm Cisco-ACS phiên
bản 4.2.
d. Kiểm tra cấu hình TACACS: Trên PC-C mở phiên Telnet đến router R1, sử
dụng tài khoản vừa tạo trên TACACS Server để xác thực.
256 PHỤ LỤC: DANH SÁCH BÀI TẬP THỰC HÀNH
ACL là danh sách các điều kiện được áp dụng thông qua cổng của router,
firewall,... Các danh sách cho router, firewall biết loại gói tin được cho phép hoặc từ
chối. khả năng cho phép và từ chối dựa trên các điều kiện quy định. ACL cho phép
quản lý lưu lượng và truy cập an toàn đến và đi từ một mạng.
Phân loại ACL: ACL được chia thành các loại sau:
Standard ACL
Extended ACL
Reflexive ACL
Dynamic ACL
Time-Based ACL
Yêu cầu
- Cấu hình telnet và mã hóa tất cả các mật khẩu (enable, console, vty) trên tất cả
router.
Thực hiện cấm tất cả các lưu lượng từ PC-B đến các PC trong mạng
172.16.1.0/24.
Chỉ cho phép PC-B truy cập vào R2 qua giao diện web.
- Lọc các gói tin sử dụng extended ACL. R1 cho phép tất cả các lưu lượng từ
PC-C đến PC-A và từ chối tất cả các lưu lượng từ PC-C đến PC-B.
- 2 router (Cisco IOS C3725 , phiên bản 12.4(20)T hoặc tương đương)
Router R1
R1#configure terminal
R1(config)# interface f0/0
R1(config-if)# no shutdown
R1(config-if)# ip address 192.168.1.1 255.255.255.0
R1(config)# exit
R1(config)# interface s0/0
R1(config-if)# no shutdown
R1(config-if)# ip address 203.162.1.1 255.255.255.0
R1(config-if)# clock rate 64000
Router R2
R2#configure terminal
R2(config)# interface f0/0
R2(config-if)# no shutdown
R2(config-if)# ip address 172.16.1.1 255.255.255.0
R2(config)# exit
R2(config)# interface s0/0
R2(config-if)# no shutdown
R2(config-if)# ip address 203.162.1.2 255.255.255.0
TÀI LIỆU THAM KHẢO 259
PC-A
PC-B
PC-C
- Cấu hình telnet và mã hóa tất cả các mật khẩu (enable, console, vty)
trên tất cả router:
Sử dụng lệnh password để đặt mật khẩu cho các đường truy cập ảo dùng để
telnet.
Cấu hình mật khẩu enable secret sử dụng lệnh enable secret <password>.
Cấu hình cơ bản cổng console sử dụng lệnh password để đặt mặt khẩu cho cổng
console.
260 PHỤ LỤC: DANH SÁCH BÀI TẬP THỰC HÀNH
Router(config)#service password-encryption
Kiểm tra telnet từ PC-A đến R2 thành công, mật khẩu sử dụng là ciscovtypass.
Thực hiện cấm tất cả các lưu lượng từ PC-B đến các PC trong mạng
172.16.1.0/24
Bước 1: Tạo ACL 1 trên R2 cấm tất cả lưu lượng từ PC-B và cho phép các lưu lượng
còn lại đến các PC trong mạng 172.16.1.0/24:
Sử dụng lệnh ip access-group để áp dụng danh sách truy cập theo chiều ra lưu lượng
trên cổng f0/0.
R2(config)#interface f0/0
R2(config-if)# ip access-group 1 out
Bước 3: xác nhận lưu lượng từ PC-B vào các PC trong mạng 172.16.1.0/24 đã bị loại
bỏ và cho phép các lưu lượng còn lại:
Bước 1: Tạo ACL 2 trên R2 chỉ cho phép PC-A truy cập từ xa (sử dụng telnet) đến R2:
Bước 2: Áp dụng ACL 2 vào các đường vty theo chiều in:
Sử dụng lệnh access-class để áp dụng danh sách truy cập theo chiều vào lưu lượng
trên các đường vty.
Chỉ cho phép PC-B truy cập vào R2 qua giao diện web.
Bước 1: Tạo ACL 3 trên R2 chỉ cho phép PC-B truy cập vào R2 qua giao diện web:
TÀI LIỆU THAM KHẢO 263
Sử dụng lệnh access-list để tạo một ACL có số hiệu là 3.
Bước 2: Áp dụng ACL 3 vào http server để hạn chế truy cập vào giao diện web trên
R2:
Sử dụng lệnh ip http server để kích hoạt http trên R2 và ip http access-class để áp
dụng danh sách truy cập vào giao diện web trên R2 .
PC-A không thể truy cập vào giao diện web của R2
Hủy bỏ ACL 1. Nếu không, tất cả lưu lượng từ PC-B sẽ bị từ chối cho phần sau.
Sử dụng lệnh no ip access-group để hủy bỏ danh sách truy cập từ cổng f0/0
R2(config)#interface f0/0
R2(config-if)#no ip access-group 1 out
Bước 2: Tạo ACL 100 trên R1 cho phép tất cả các lưu lượng từ PC-C đến PC-A và từ
chối tất cả các lưu lượng từ PC-C đến PC-B:
Bước 3: : Áp dụng ACL 100 vào cổng s0/0 theo chiều in:
Sử dụng lệnh ip access-group để áp dụng danh sách truy cập theo chiều vào lưu
lượng trên cổng s0/0.
- Yêu cầu:
a. Đặt địa chỉ IP như mô hình và cấu hình định tuyến EIGRP as 1 trên 2 router.
b. Cài đặt các dịch vụ HTTP, FTP, DNS trên máy server.
c. Cấu hình Extended ACL, Reflexive ACL, Dynamic ACL và Time-Based ACL
trên các router với các yêu cầu sau:
266 PHỤ LỤC: DANH SÁCH BÀI TẬP THỰC HÀNH
Cấu hình Extended ACL trên router R2 sao cho, chỉ cho phép địa chỉ IP lẻ và
cấm địa chỉ IP chẵn thuộc lớp mạng 192.168.1.0/24 truy cập các dịch vụ trên
máy Server.
Cấu hình Reflexive ACL trên router R2, cho phép các gói tin ICMP và TCP xuất
phát từ mạng 192.168.2.0/24 (LAN) được phép truy cập ra bên ngoài (router
R1, máy client). Tất cả mọi loại dữ liệu từ bên ngoài đi vào mạng LAN đều bị
cấm, ngoại trừ các gói tin trả về cho các gói tin ICMP và TCP đã đi ra trước đó.
Cấu hình Dynamic ACL trên router R1, thực hiện cấp quyền truy cập dịch vụ
HTTP trên máy Server cho máy client. Máy client muốn sử dụng dịch vụ HTTP
này, bắt buộc phải thực hiện telnet đến router R1, sử dụng tài khoản username
và password tạo trên router R1 (trong bài tập này, tạo username là u1 và
password là 123). Nếu đăng nhập thành công, máy client được phép truy cập
dịch vụ HTTP.
Cấu hình Time-based ACL trên router R1, chỉ cho phép các máy tính thuộc
mạng 192.168.1.0/24 được truy cập dịch vụ FTP ngoài giờ làm việc. Giờ làm
việc của công ty là từ 08g00 đến 12g00 và 13g30 đến 17g00 các ngày trong
tuần (từ thứ 2 đến thứ 6).
- Lưu ý:
Các câu lệnh cấu hình ACL(Extended ACL, Reflexive ACL, Dynamic ACL và
Time-Based ACL) không ảnh hưởng đến hoạt động định tuyến EIGRP của
router R1 và R2.
Khi cấu hình tới loại ACL nào, phải bỏ các cấu hình của loại ACL trước đó.
Ví dụ: Khi cấu hình Reflexive ACL, phải bỏ các câu lệnh cấu hình
Extended ACL trước đó.
- Gợi ý:
Extended ACL: Các dịch vụ trên máy Server gồm HTTP (sử dụng giao
thức: tcp, port:80); FTP(sử dụng giao thức: tcp, port:20,21); DNS(sử
dụng giao thức: tcp và udp, port: 53). Áp dụng extended acl đã tạo tới
cổng S0/0 của router R2 theo chiều in.
TÀI LIỆU THAM KHẢO 267
Reflexive ACL:
Để tạo ra gói tin ICMP xuất phát từ mạng LAN ra bên ngoài, thực
hiện lệnh ping từ máy server tới máy client, quá trình ping thành
công. Nhưng từ máy client không thể ping tới máy server.
Để tạo ra gói tin TCP xuất phát từ mạng LAN ra bên ngoài, trên
router R1 cấu hình telnet. Sau đó máy server thực hiện telnet tới
router R1 thành công. Nhưng máy Client(bên ngoài) không thể truy
cập dịch HTTP trên máy server.
Dynamic ACL:
Nguyên tắc hoạt động của dòng Dynamic ALC: Trong điều kiện bình
thường, dòng acl này không phát huy tác dụng và được bỏ qua. Chỉ
khi một user truy cập vào router (sử dụng telnet) thông qua cổng
VTY và thực hiện lệnh "access-anable", lúc này dòng Dynamic ACL
mới được kích hoạt.
Áp dụng ACL vừa tạo lên cổng f0/0 của router R1 theo chiều in.
Sau khi cấu hình Dynamic ACL trên router R1, để máy client có thể
truy cập dịch vụ HTTP trên máy server, phải thực hiện telnet tới
router R1 trước khi truy cập dịch vụ này.
Time-based ACL:
268 PHỤ LỤC: DANH SÁCH BÀI TẬP THỰC HÀNH
Áp dụng khoảng thời gian được active(thời gian được truy cập dịch
vụ FTP ngoài giờ làm việc) lên ACL sử dụng time-range. Kiểu time-
range sử dụng là: periodic (định nghĩa khoảng thời gian được lặp đi
lặp lại mà một entry của ACL được active).
Áp dụng ACL vừa tạo lên cổng f0/0 của router R1 theo chiều in.
TÀI LIỆU THAM KHẢO 269
IPS Là hệ thống ngăn chặn xâm nhập, có chức năng tự động theo dõi và ngăn
chặn các sự kiện xảy ra trong và ngoài hệ thống mạng, phân tích và ngăn ngừa
các vấn đề liên quan tới bảo mật và an ninh. Hệ thống ngăn chặn xâm nhập giám
sát các gói tin đi qua và đưa ra quyết định liệu đây có phải là một cuộc tấn công
hay một sự truy cập hợp pháp – sau đó thực hiện hành động thích hợp để bảo vệ
hệ thống mạng.
Mô hình minh họa hệ thống gồm mạng nội bộ và thiết bị Cisco IOS IPS, Cisco IOS
IPS ngoài chức năng Firewall nó còn có chức năng tìm kiếm, so sánh những lưu lượng
có dấu hiệu tấn công vào hệ thống, khi phát hiện có dấu hiệu tấn công nó gửi cảnh
báo đến hệ thống cảnh báo hoặc loại bỏ những gói tin mà nó so sánh trùng với các
dấu hiệu tấn công hoặc reset lại kết nối.
270 PHỤ LỤC: DANH SÁCH BÀI TẬP THỰC HÀNH
Yêu cầu
- Cấu hình định tuyến tĩnh trên R2, default route trên R1, R3.
- Phát hiện và ngăn chặn tấn công ping of death, scan port, denial of service
(dos) vào web server từ PC-3 (attacker).
- 3 router (Cisco IOS C2691 , phiên bản 12.4(16)T hoặc tương đương)
Router R1
Router R2
Router R3
PC-1
PC-2
PC-3
- Cấu hình định tuyến tĩnh trên R2, default route trên R1, R3:
Router R1
R1(config)# ip route 0.0.0.0 0.0.0.0 192.168.12.2
Router R2
R2(config)# ip route 192.168.1.0 255.255.255.0 192.168.12.1
R2(config)# ip route 192.168.2.0 255.255.255.0 192.168.23.1
Router R3
R3(config)# ip route 0.0.0.0 0.0.0.0 192.168.23.2
Trong cửa sổ windows components wizard, chọn vào dòng application server next.
Tạo trang web cho web server, vào my compurter ổ đĩa c inetpub wwwroot.
Tạo file index.htm, với nội dung tùy ý.
Truy cập web server thành công từ bên ngoài internet (PC-3) hoặc bên trong mạng
nội bộ.
Tạo một tài khoản người dùng và kích hoạt HTTP server trên R2 trước khi truy cập
SDM:
Yêu cầu PC-2 đã cài đặt java-jre phiên bản 6 trở lên.
Giải nén thư mục SDM v2.5 vừa tải về, chọn file “setup.exe” để bắt đầu cài đặt,
hộp thoại Ciso SDM xuất hiện chọn “next”, chấp nhận các điều khoản bản quyền của
SDM, chọn “i accept….”, trong hộp thoại “install option” chọn “this computer” và nhấn
“install” để cài đặt.
TÀI LIỆU THAM KHẢO 275
Chạy phần mềm Cisco SDM vừa cài đặt, nhập vào IP của R2 (192.168.12.2) trong
trường “Device IP Address or Hostname lauch”.
- Menu Configure chọn Intrusion Prevention (bên trái) chọn “Launch IPS Rule
Wizard” để bắt đầu cài đặt các rule IPS lên R2.
- SDEE là một công nghệ để báo cáo những sự kiện bảo mật khi kích hoạt IPS trong
router, Cisco SDM yêu cầu thông báo sự kiện IPS qua SDEE để cấu hình tính năng
Cisco IOS IPS, theo mặc định, thông báo SDEE không được kích hoạt. Cisco SDM
sẽ nhắc nhở người dùng để cho phép thông báo sự kiện IPS qua SDEE chọn ok.
276 PHỤ LỤC: DANH SÁCH BÀI TẬP THỰC HÀNH
Trong hộp thoại “IPS policies wizard” chọn “next”. Chọn cổng s0/0 theo chiều inbound
và nhấn “next” khi kết thúc việc lựa chọn.
Chọn vào “Use Built-In Signatures ( as backup)” sử dụng các signatures đã được xây
dựng trên Cisco IOS và chọn “next” “finish”. Hộp thoại “command delivery status”
xuất hiện chọn ok để nạp các signature lên R2.
Phát hiện:
Trên PC-3 thực hiện tấn công ping of death vào PC-1(web server) với số kích thước
gói tin là 10000
278 PHỤ LỤC: DANH SÁCH BÀI TẬP THỰC HÀNH
R2 xuất hiện các log thông báo có tấn công ping of death từ PC-3 vào PC-1 với sig id:
2151, name: Large ICMP
Ngăn chặn:
Chọn vào sig id: 2151 chọn “action” và lựa chọn hành động
Lúc này PC-3 không thể ping of death vào PC-1, do rule chặn tấn công ping of death
trên R2 đã chặn hành động này.
Trên PC-3 chạy công cụ superscan. Trong tab IPs tiến hành thêm ip của PC-1
(192.168.1.254) vào mục hostname/IP và nhấn vào hình mũi tên tam giác để tiến
hành quét port trên PC-1.
Phát hiện:
Trên PC-3 chạy công cụ doshttp phiên bản 2.5.1. Trong mục target URL, nhập vào
đường dẫn truy cập web server(http://192.168.1.254), với số socket là: 500,
request: 25000. Sau đó nhấn start flood để tiến hành tấn công.
Chọn vào sig id: 3051, có subsigID là 1 chọn “action” và lựa chọn hành động
“alarm và denyAttackerInline” và nhấn ok. Để áp dụng những thay đổi về hành động
lên R2 chọn “apply changes”.
Lúc này PC-3 không thể tấn công từ chối dịch vụ vào web server, do rule chặn tấn
công từ chối dịch vụ vào web server trên R2 đã chặn hành động này.
- SSH(Secure Shell): Là một giao thức mạng dùng để thiết lập kết nối mạng một
cách an toàn. SSH cung cấp cho người dùng cách thức để thiết lập kết nối mạng
được mã hóa để tạo một kênh kết nối riêng.
- NTP(Network Time Protocol): Là giao thức đồng bộ thời gian của các hệ thống
máy tính thông qua mạng dữ liệu chuyển mạch gói với độ trễ biến đổi.
- SYSLOG: Là một cách cho các thiết bị mạng gửi thông báo sự kiện đến một máy
chủ logging - thường được biết đến như một máy chủ Syslog. Giao thức Syslog
được hỗ trợ bởi một loạt các thiết bị và có thể được sử dụng để log các loại sự kiện
khác nhau.
- AUTOSECURE: Là một tính năng an toàn cho router bằng cách sử dụng một lệnh
CLI duy nhất để vô hiệu hóa các dịch vụ IP phổ biến có thể được khai thác để tấn
công mạng, cho phép các dịch vụ IP và các tính năng có thể trợ giúp trong việc
bảo vệ mạng khi bị tấn công và đơn giản hóa, làm vững chắc cấu hình an toàn của
router.
Yêu cầu
- Cấu hình định tuyến tĩnh trên R2, default route trên R1, R3.
Phần 2: Kiểm soát truy cập quản trị cho các router (thực hiện trên R1 và R3)
Phần 3: Cấu hình quản trị các roles (thực hiện trên R1 và R3)
284 PHỤ LỤC: DANH SÁCH BÀI TẬP THỰC HÀNH
- Tạo các view admin1, admin2, tech và phân quyền như sau:
View admin1 có thể sử dụng lệnh show, config và debug.
View admin2 chỉ có thể sử dụng lệnh show.
View tech chỉ được sử dụng lệnh show version, show interfaces, show ip
interface brief và show parser view.
- Cấu hình R2 như một nguồn đồng bộ thời gian cho R1 và R3 sử dụng NTP.
- Khóa các dịch vụ của R3 sử dụng AutoSecure và kiểm tra cấu hình.
- Sử dụng công cụ SDM Security Audit để xác định các lỗ hổng và khóa các dịch vụ
của R1.
Router R1
R1#configure terminal
R1(config)# interface f0/0
R1(config-if)# no shutdown
R1(config-if)# ip address 192.168.1.1 255.255.255.0
R1(config)# exit
R1(config)# interface s0/0
TÀI LIỆU THAM KHẢO 285
R1(config-if)# no shutdown
R1(config-if)# ip address 10.1.1.1 255.255.255.252
Router R2
R2#configure terminal
R2(config)# interface s0/0
R2(config-if)# no shutdown
R2(config-if)# ip address 10.1.1.2 255.255.255.252
R2(config)# exit
R2(config)# interface s0/1
R2(config-if)# no shutdown
R2(config-if)# ip address 10.2.2.2 255.255.255.252
Router R3
R3#configure terminal
R3(config)# interface f0/0
R3(config-if)# no shutdown
R3(config-if)# ip address 192.168.3.1 255.255.255.0
R3(config)# exit
R3(config)# interface s0/0
R3(config-if)# no shutdown
R3(config-if)# ip address 10.2.2.1 255.255.255.252
PC-A
PC-C
286 PHỤ LỤC: DANH SÁCH BÀI TẬP THỰC HÀNH
- Cấu hình định tuyến tĩnh trên R2, default route trên R1, R3:
Router R1
R1(config)# ip route 0.0.0.0 0.0.0.0 10.1.1.2
Router R2
R2(config)# ip route 192.168.1.0 255.255.255.0 10.1.1.1
R2(config)# ip route 192.168.3.0 255.255.255.0 10.2.2.1
Router R3
R3(config)# ip route 0.0.0.0 0.0.0.0 10.2.2.2
Phần 2: Kiểm soát truy cập quản trị cho các router (thực hiện trên R1 và R3)
Bước 1: Sử dụng lệnh security passwords để thiết lập chiều dài mật khẩu tối thiểu
10 ký tự:
Router(config)#service password-encryption
Bước 3: Cấu hình password secret sử dụng lệnh enable secret password:
Bước 4: Cấu hình cơ bản cổng console và các đường truy cập ảo (telnet)
- Password console. Trong đó, lệnh exec-timeout gây ra các dòng log sau 5 phút
không hoạt động và lệnh logging synchronous ngăn chặn các message console
làm gián đoạn lệnh nhập vào:
Sử dụng lệnh banner motd để cấu hình. Khi một người sử dụng kết nối đến một
trong những router, banner motd xuất hiện trước dấu nhắc đăng nhập, các dấu đô la
($) được sử dụng để bắt đầu và kết thúc thông điệp.
Router(config)# banner motd $Truy cap trai phep deu bi nghiem cam$
288 PHỤ LỤC: DANH SÁCH BÀI TẬP THỰC HÀNH
Để kiểm tra biểu ngữ có hoạt động hay không, thoát khỏi chế độ privileged EXEC
sử dụng lệnh exit và nhấn enter để bắt đầu. Một biểu ngữ xuất hiện trông giống như
những gì đã tạo.
Do lệnh service password-encryption có hiệu lực nên không thể đọc password của
user01.
Kiểm tra tài khoản mới bằng việc đăng nhập đến cổng console, thiết lập line
console để sử dụng các tài khoản đăng nhập được xác định tại local.
Router(config)#line console 0
Router(config-line)#login local
Router(config-line)#end
Router#exit
Đăng nhập bằng cách sử dụng tài khoản user01 và password được định nghĩa
trước, để vào chế độ privileged EXEC sử dụng lệnh enable và nhập password secret là
cisco12345.
Kiểm tra tài khoản người dùng mới bằng cách đăng nhập từ một phiên telnet.
Thiết lập các đường vty để sử dụng tài khoản đăng nhập xác định tại local.
Router(config)#line vty 0 4
Router(config)# login local
Từ PC-A telnet đến R1, đăng nhập với tài khoản user02 và password là
user02pass. Trong khi telnet đến R1, truy vào chế độ privileged EXEC với lệnh enable,
sử dụng password secret là cisco12345.
- Cấu hình nâng cao bảo mật các kết nối ảo:
TÀI LIỆU THAM KHẢO 289
Bước 1: Cấu hình router để xem các cuộc tấn công đăng nhập:
Sử dụng lệnh login block-for để cấu hình tắt đăng nhập sau 60 giây nếu hai nỗ lực
đăng nhập thất bại được thiết lập thực hiện trong vòng 30 giây.
Sử dụng lệnh show login để xem các thiết lập tấn công đăng nhập trên router.
Bước 2: Cấu hình router cảnh báo các log cho hoạt động đăng nhập:
Các lệnh sau đây cảnh báo log mỗi đăng nhập thành công và các nỗ lực đăng nhập
thất bại sau mỗi lần đăng nhập thất bại thứ 2.
Kiểm tra cấu hình nâng cao bảo mật các kết nối ảo
Từ PC-A, thiết lập một phiên kết nối tới R1. Đăng nhập với user ID hoặc password
sai trong 2 lần. Thông điệp Connection to host lost hiển thị trên PC-A sau hai lần nổ
lực thất bại.
Thông điệp hiển thị trên console router R1 sau khi nổ lực đăng nhập thất bại lần
thứ 2
290 PHỤ LỤC: DANH SÁCH BÀI TẬP THỰC HÀNH
Từ PC-A, cố gắng thiết lập một phiên telnet khác đến R1 trong vòng 60 giây.
Thông điệp hiển thị trên PC-A sau khi cố gắng kết nối telnet
Thông điệp hiển thị trên router R1 sau khi cố gắng kết nối telnet
Router#config t
Router(config)# ip domain-name ccnasecurity.com
Bước 2: Cấu hình một user với mức đặc quyền cao nhất và password secret cho
đăng nhập từ SSH client:
Router(config)#line vty 0 4
Router(config-line)#privilege level 15
Router(config-line)#login local
Router(config-line)#transport input ssh
Router(config-line)#exit
Cấu hình các key RSA với 1024 cho số bit modulus.
- Cài đặt một SSH client và kiểm tra kết nối (thực hiện trên PC-A và PC-C):
Nhập địa chỉ IP cổng f0/0 của R1 là: 192.168.1.1 trong mục Host Name (or IP
address) và kiểm tra radi button SSH được lựa chọn.
Phần 3: Cấu hình quản trị các roles (thực hiện trên R1 và R3)
Router#config t
Router(config)#aaa new-model
Router(config)#exit
Router#enable view
password: cisco12345
*Dec 16 22:41:17.483: %PARSER-6-VIEW_SWITCH: successfully set to view
'root'.
Router(config-view)#secret admin1pass
Thêm tất cả các lệnh config, show, debug đến view admin1 và sau đó thoát ra khỏi
chế độ configuration.
Router#?
Exec commands:
configure Enter configuration mode
debug Debugging functions (see also 'undebug')
enable Turn on privileged commands
exit Exit from the EXEC
show Show running system information
Router# show ?
aaa Show AAA values
accounting Accounting data for active sessions
adjacency Adjacent nodes
alignment Show alignment information
appfw Application Firewall information
archive Archive of the running configuration information
arp ARP table
<output omitted>
Sủ dụng lệnh enable view để kích hoạt view root và nhập vào password secret là
cisco12345.
Router#enable view
password:cisco12345
Thêm tất cả các lệnh show đến view và sau đó thoát khỏi chế độ configuration
Router(config-view)#end
Router#enable view admin2
password:admin2pass
*Dec 16 23:05:46.971: %PARSER-6-VIEW_SWITCH: successfully set to view
'admin2'
Router#show parser view
Router#Curent view is 'admin2'
Router#?
Exec commands:
enable Turn on privileged commands
exit Exit from the EXEC
show Show running system information
Tạo View tech chỉ được sử dụng lệnh show version, show interfaces, show ip
interface brief và show parser view:
Sử dụng lệnh enable view để kích hoạt view root và nhập vào password secret là
cisco12345
Router#enable view
password:cisco12345
Router(config-view)#secret techpasswd
Thêm các lệnh show sau đây đến view và sau đó thoát khỏi chế độ configuration
của view
Router#?
Exec commands:
enable Turn on privileged commands
exit Exit from the EXEC
show Show running system information
Router#show ?
flash: display information about flash: file system
interfaces Interface status and configuration
ip IP information
parser Show parser commands
version System hardware and software status
- Cấu hình R2 như một nguồn đồng bộ thời gian cho R1 và R3 sử dụng NTP:
Hiển thị thời gian hiện tại trên router sử dụng lệnh show clock.
R2#show clock
*01:19:02.331 UTC Mon Dec 15 2008
Để thiết lập thời gian trên router, sử dụng lệnh clock set time.
Cấu hình R2 như là NTP master sử dụng lệnh ntp master stratum-number trong
chế độ global configuration. Số stratum number chỉ ra khoảng cách từ nguồn gốc. Đối
với bài thực hành này, sử dụng số stratum number là 3 trên R2. Khi một thiết bị học
thời gian từ nguồn NTP, số stratum number của thiết bị trở thành một số lớn hơn số
number stratum nguồn của thiết bị này.
R2(config)#ntp master 3
R1 và R3 sẽ trở thành NTP client của R2. Để cấu hình R1, sử dụng lệnh ntp server
hostname ở mode global configuration. Hostname cũng có thể là một địa chỉ IP.
Kiểm tra rằng R1 đã có một hiệp ước với R2 sử dụng lệnh show ntp associations.
Kiểm tra thời gian trên R1 sau khi đã đồng bộ thời gian với R2.
R1#show clock
*20:12:24.859 UTC Wed Dec 17 2008
Trong bài thực hành này sử dụng Kiwi syslog server, tải phiên bản mới nhất của
kiwi từ đường dẫn http://www.kiwisyslog.com
R1(config)#logging 192.168.1.3
Sử dụng lệnh logging trap để thiết lập mức độ thông báo log cho R1, ở đây sử
dụng mức độ warnings.
Mở ứng dụng kiwi Syslog Daemon trên Desktop của bạn hoặc chọn nút Start và
chọn Programs Kiwi Enterprises Kiwi Syslog Daemon.
Gửi một thông điệp log kiểm tra đến kiwi syslog server bằng cách chọn File Send
test mesage to local host.
a. Tạo một thông điệp log bằng cách tắt interface s0/0 trên R1 hoặc R2 và sau đó
bật lại nó.
R1(config)#interface S0/0
R1(config-if)#shutdown
R1(config-if)#no shutdown
Màn hình kiwi syslog server trong giống như hình dưới đây.
R1(config)#logging userinfo
R1(config)#logging trap informational
Trên Kiwi Syslog Daemon, chọn View Clear Display để xóa log hiển thị.
Thoát khỏi màn hình đăng nhập và kích hoạt view admin1 đã tạo trong phần 3 của
bài thực hành. Nhập vào password là admin1pass.
Thoát khỏa màn hình đăng nhập một lần nữa và kích hoạt view admin1. Lần này
nhập vào password không chính xác.
Log thông báo trạng thái chứng thực người dùng thất bại
Phần 5: Cấu hình tính năng tự động bảo mật
- Khóa các dịch vụ của R3 sử dụng AutoSecure và kiểm tra cấu hình:
Trên gns3 xóa file cấu hình của R3 chứa trong thư mục configs của bài thực hành
(R3.cfg). Sau đó, tắt và chạy lại các router của bài thực hành để khôi phục cấu hình
mặc định của R3.
Khi khởi động lại router, khôi phục cấu hình cơ bản cho R3 như trong phần 1 của
bài thực hành này.
Bước 2: Sử dụng tính năng AutoSecure để đảm bảo an toàn trên R3:
Tính năng AutoSecure cho phép bạn vô hiệu hóa các dịch vụ IP phổ biến mà có thể
được khai thác cho các tấn công mạng và kích hoạt các dịch vụ IP và các tính năng
mà có thể trợ giúp trong bảo vệ một mạng khi bị tấn công. AutoSecure đơn giản hóa
cấu hình bảo mật của router và đông cứng lại cấu hình router.
R3#auto secure
--- AutoSecure Configuration ---
Enter the interface name that is facing the internet: serial0/0 {interface
kết nối tới R2}
Blocking Period when Login Attack detected: 60 {chu kỳ block khi phát hiện
tấn công đăng nhập}
Maximum Login failures with the device: 2 {tối đa số lần đăng nhập thất bại
trên thiết bị}
Maximum time period for crossing the failed login attempts: 30 {chu kỳ thời
gian tối đa cho để xuyên qua các lần nổ lực đăng nhập thất bại}
Configure SSH server? [yes]: Nhấn enter để chấp nhận mặc định là yes
no ip redirects
no ip proxy-arp
no ip unreachables
no ip directed-broadcast
no ip mask-reply
Disabling mop on Ethernet interfaces
Enabling CEF (This might impact the memory requirements for your platform)
TÀI LIỆU THAM KHẢO 303
Enabling unicast rpf on all interfaces connected
to internet
Enable tcp intercept feature? [yes/no]: yes {kích hoạt tính năng tcp
intercept }
no service finger
no service pad
no service udp-small-servers
no service tcp-small-servers
service password-encryption
service tcp-keepalives-in
service tcp-keepalives-out
no cdp run
no ip bootp server
no ip http server
no ip finger
no ip source-route
no ip gratuitous-arps
no ip identd
banner motd ^C Unauthorized Access Prohibited ^C
security passwords min-length 6
security authentication failure rate 10 log
enable secret 5 $1$FmV1$.xZUegmNYFJwJv/oFwwvG1
enable password 7 045802150C2E181B5F
username admin password 7 01100F175804575D72
304 PHỤ LỤC: DANH SÁCH BÀI TẬP THỰC HÀNH
aaa new-model
aaa authentication login local_auth local
line con 0
login authentication local_auth
exec-timeout 5 0
transport output telnet
line aux 0
login authentication local_auth
exec-timeout 10 0
transport output telnet
line vty 0 4
login authentication local_auth
transport input telnet
line tty 1
login authentication local_auth
exec-timeout 15 0
login block-for 60 attempts 2 within 30
ip domain-name ccnasecurity.com
crypto key generate rsa general-keys modulus 1024
ip ssh time-out 60
ip ssh authentication-retries 2
line vty 0 4
transport input ssh telnet
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
logging facility local2
logging trap debugging
service sequence-numbers
logging console critical
logging buffered
interface FastEthernet0/0
no ip redirects
no ip proxy-arp
no ip unreachables
no ip directed-broadcast
TÀI LIỆU THAM KHẢO 305
no ip mask-reply
no mop enabled
interface FastEthernet0/1
no ip redirects
no ip proxy-arp
no ip unreachables
no ip directed-broadcast
no ip mask-reply
no mop enabled
interface Serial0/0/0
no ip redirects
no ip proxy-arp
no ip unreachables
no ip directed-broadcast
no ip mask-reply
interface Serial0/0/1
no ip redirects
no ip proxy-arp
no ip unreachables
no ip directed-broadcast
no ip mask-reply
interface Vlan1
no ip redirects
no ip proxy-arp
no ip unreachables
no ip directed-broadcast
no ip mask-reply
no mop enabled
ip cef
access-list 100 permit udp any any eq bootpc
interface Serial0/0/1
ip verify unicast source reachable-via rx allow-default 100
ip tcp intercept list autosec_tcp_intercept_list
ip tcp intercept drop-mode random
ip tcp intercept watch-timeout 15
306 PHỤ LỤC: DANH SÁCH BÀI TẬP THỰC HÀNH
R3#
000037: *Dec 19 21:18:52.495 UTC: %AUTOSEC-1-MODIFIED: AutoSecure
configuration has been Modified on this device
Bước 3: Thiết lập một kết nối SSH từ PC-C đến R3.
Chạy chương trình client PuTTy và đăng nhập với tài khoản admin và password là
cisco12345 được tạo khi AutoSecure chạy. Nhập vào địa chỉ IP của cổng f0/0 R3 là
192.168.3.1.
no service finger
no service pad
no service udp-small-servers
no service tcp-small-servers
no cdp run
no ip bootp server
no ip http server
no ip finger
no ip source-route
no ip gratuitous-arps
TÀI LIỆU THAM KHẢO 307
no ip identd
no ip redirects
no ip proxy-arp
no ip unreachables
no ip directed-broadcast
no ip mask-reply
- Sử dụng công cụ SDM Security Audit để xác định các lỗ hổng và khóa các dịch vụ
của R1:
Trên gns3 xóa file cấu hình của R1 chứa trong thư mục configs của bài thực hành
(R1.cfg). Sau đó, tắt và chạy lại các router của bài thực hành để khôi phục cấu hình
mặc định của R1.
Khi khởi động lại router, khôi phục cấu hình cơ bản cho R1 mà được tạo và lưu
trong phần 1 của bài thực hành.
Bước 2: Sử dụng công cụ SDM Security Audit trên R1 để xác định rủi ro an ninh
Để sử dụng công cụ SDM Security Audit ta cần cài đặt SDM trên PC-A. Ở đây sử
dụng SDM phiên bản 2.5, trước hết ta cần cài đặt java-jre phiên bản 6 trở lên lên PC-
A, sau đó tiến hành cài đặt SDM-v2.5.
- Tạo một SDM user và kích hoạt HTTP, HTTPS trên R1:
- Chạy phần mềm SDM đã cài đặt trên PC-A, Đăng nhập với username và
password đã được cấu hình trước đó:
username: admin
password: cisco12345
- Khi được nhắc, nhập vào một enable password secret là cisco12345 và nhập lại
password này để xác nhận.
- Nhập văn bản cho biểu ngữ đăng nhập là: Unauthorized Access Prohibited. Nhấn
Next.
- Thêm địa chỉ IP logging là: 192.168.1.3, và chấp nhận logging defaults. Nhấn
Next.
- Chấp nhận thiết lập an ninh mặc định cho cổng inside và outside và nhấn Next.
- Bỏ lựa chọn URL Filter Server, và nhấn Next.
- Đối với mức độ bảo mật, chọn Low Security và nhấn Next.
- Tại Firewall Configuration Summary, xem lại cấu hình và nhấn Finish.
- Di chuyển thông qua màn hình Summary. Màn hình này cho thấy những gì
Security Audit sẽ cấu hình cho router.
- Nhấn Finish để xem lệnh thực tế mà được chuyển giao đến router. Di chuyển để
xem trước các lệnh.
- Hãy chắc rằng Save running config to router's startup config được lựa chọn, và nhấn
Deliver.
- Nhấn OK trong cửa sổ Commands Delivery Status để thoát công cụ Security
Audit.
- Ping thành công từ router R1 đến router R3 cổng s0/0 (10.2.2.1). Vì AutoSecure
không thiết lập một tường lửa trên R3.
- Ping thành công từ PC-A trên LAN R1 đến PC-C trên LAN router R3. Vì tường lửa
trên R1 cho phép lưu lượng mà bắt đầu từ host trên LAN R1 để trả về.
TÀI LIỆU THAM KHẢO 311
- Ping thành công từ router R3 đến router R2 cổng s0/0 (10.1.1.2). Vì Không có
tường lửa hoặc bảo mật khóa ping trên R2.
- Ping không thành công từ router R3 đến router R1 cổng s0/0 (10.1.1.1). Vì SDM
Security Audit cấu hình không cho phép R1 s0/0 trả lời.
- Ping Không thành công từ PC-C trên LAN R3 đến PC-A trên LAN R1. Vì SDM
Security Audit cấu hình không cho phép trên LAN R1 để trả lời yêu cầu từ bên
ngoài tường lửa.
312 PHỤ LỤC: DANH SÁCH BÀI TẬP THỰC HÀNH
Site-to-site VPN cho phép các văn phòng ở nhiều địa điểm cố định thiết lập các kết
nối an toàn qua một mạng công cộng như Internet. Site-to-site VPN mở rộng mạng
lưới của công ty, làm cho các tài nguyên máy tính từ một địa điểm có sẵn cho nhân
viên tại các địa điểm khác sử dụng . GRE, IPSec và MPLS VPN là các giao thức thường
được sử dụng trong kết nối site-to-site VPN.
Trong bài thực hành này, xây dựng một mạng lưới nhiều router và cấu hình các
router và host. Sử dụng Cisco IOS và SDM để cấu hình một VPN site-to-site. Đường
hầm IPsec VPN từ router R1 đến router R3 qua R2.
TÀI LIỆU THAM KHẢO 313
Bảng địa chỉ IP
Yêu cầu
- Cấu hình cơ bản cho 3 router: host name, địa chỉ ip cho các cổng, mật khẩu
truy cập và giao thức định tuyến động EIGRP.
- 3 router (Cisco IOS C3725 , phiên bản 12.4(20)T hoặc tương đương)
- 2 PC (Windows XP hoặc 7)
Router R1
Router R2
R2#configure terminal
Router(config# hostname R2
R2(config)# interface s0/0
R2(config-if)# no shutdown
R2(config-if)# ip address 10.1.1.2 255.255.255.252
R2(config)# exit
R2(config)# interface s0/1
R2(config-if)# no shutdown
R2(config-if)# ip address 10.2.2.2 255.255.255.252
TÀI LIỆU THAM KHẢO 315
Router R3
R3#configure terminal
Router(config# hostname R3
R3(config)# interface f0/0
R3(config-if)# no shutdown
R3(config-if)# ip address 192.168.3.1 255.255.255.0
R3(config)# exit
R3(config)# interface s0/0
R3(config-if)# no shutdown
R3(config-if)# ip address 10.2.2.1 255.255.255.252
Cấu hình một xung nhịp cho cổng serial của router (cổng s0/0 R1 và cổng s0/1 R2)
và vô hiệu hóa tra cứu DNS:
Router R1
R1(config)#interface S0/0
R1(config-if)#clock rate 64000
R1(config)#no ip domain-lookup
Router R2
R2(config)#interface S0/1
R2(config-if)#clock rate 64000
R2(config)#no ip domain-lookup
Router R3
R3(config)#no ip domain-lookup
Router R1
Router R2
Router R3
Cấu hình độ dài mật khẩu tối thiểu là 10 ký tự, sử dụng lệnh security passwords để
thiết lập và mã hóa mật khẩu console, vty; sử dụng lệnh service password-
encryption:
- Cấu hình mật khẩu console. Để thêm an toàn, sử dụng lệnh exec-timeout gây ra
các dòng log sau 5 phút không hoạt động và lệnh logging synchronous ngăn
chặn thông điệp console làm gián đoạn nhập lệnh.
Router(config)#line console 0
Router(config-line)#password ciscoconpass
Router(config-line)#exec-timeout 5 0
Router(config-line)#login
Router(config-line)#logging synchronous
Router(config)#line vty 0 4
Router(config-line)#password ciscovtypass
Router(config-line)#exec-timeout 5 0
Router(config-line)#login
PC-C
R1#ping 10.2.2.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.2.2.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 4/44/112 ms
Sử dụng lệnh crypto isakmp enable để xác minh rằng router IOS hỗ trợ IKE và nó
được kích hoạt.
b. Thiết lập chính sách Internet Security Association and Key Management Protocol
(ISAKMP):
Sử dụng lệnh cấu hình crypto isakmp policy number trên R1 và R3 cho policy 10.
Cấu hình một loại chứng thực khóa chia sẻ. Sử dụng mã hóa AES 256, SHA như
thuật toán băm, trao đổi khóa Diffie-Hellman nhóm 5 và thời gian sống 3600 giây cho
chính sách IKE này.
R1(config-isakmp)#authentication pre-share
R1(config-isakmp)#encryption aes 256
R1(config-isakmp)#hash sha
R1(config-isakmp)#group 5
R1(config-isakmp)#lifetime 3600
R1(config-isakmp)#end
R3(config-isakmp)#authentication pre-share
R3(config-isakmp)#encryption aes 256
R3(config-isakmp)#hash sha
R3(config-isakmp)#group 5
R3(config-isakmp)#lifetime 3600
R3(config-isakmp)#end
Trên R1 và R3, Tạo một transform set với tag 50 và sử dụng giao thức
Encapsulating Security Protocol (ESP) với một thuật toán mã hóa AES 256 và hàm
băm SHA.
Trên R1 và R3, thiết lập thời gian sống IPsec security association đến 30 phút hoặc
1800 giây.
a. Cấu hình ACL quan tâm lưu lượng IPsec VPN trên R1.
b. Cấu hình ACL quan tâm lưu lượng IPsec VPN trên R3.
320 PHỤ LỤC: DANH SÁCH BÀI TẬP THỰC HÀNH
a. Tạo crypto map trên R1 và R3, tên CMAP và sử dụng số thứ tự là 10.
b. Sử dụng lệnh match address access-list để xác định danh sách truy cập định
nghĩa lưu lượng mã hóa.
c. Thiết lập một peer IP, để đặt nó đến R3/R1 cổng đầu cuối VPN ở xa sử dụng lệnh
set peer address.
d. Code cứng transform set để được sử dụng với peer này, sử dụng lệnh set
transform-set tag. Thiết lập các loại chuyển tiếp bí mật hoàn hảo sử dụng lệnh set pfs
type và cũng thay đổi mặc định thời gian sống IPsec security association với lệnh set
security-association lifetime seconds seconds.
R1(config)#interface S0/0
R1(config-if)#crypto map CMAP
R1(config)#end
R3(config)#interface S0/0
R3(config-if)#crypto map CMAP
R3(config)#end
a. Sử dụng lệnh show crypto ipsec transform-set hiển thị các chính sách cấu hình
IPsec trong hình thức của các transform set.
a. Sử dụng lệnh crypto map để hiển thị các crypto map mà sẽ được áp dụng đến
router.
Lệnh show crypto isakmp sa cho thấy rằng không có IKE SA tồn tại. Khi lưu lượng
quan tâm được gửi đi, đầu ra của lệnh này sẽ thay đổi.
a. Lệnh show crypto ipsec sa cho thấy SA không được sử dụng giữa R1 và R3.
interface: Serial0/0/0
Crypto map tag: CMAP, local addr 10.1.1.1
TÀI LIỆU THAM KHẢO 323
protected vrf: (none)
local ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (192.168.3.0/255.255.255.0/0/0)
current_peer 10.2.2.1 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
#pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0
Bước 3: Tạo một vài lưu lượng kiểm tra và quan sát kết quả.
R1#ping
Protocol [ip]:
Target IP address: 192.168.3.1
Repeat count [5]:
Datagram size [100]:
Timeout in seconds [2]:
Extended commands [n]: y
Source address or interface: 192.168.1.1
Type of service [0]:
Set DF bit in IP header? [no]:
324 PHỤ LỤC: DANH SÁCH BÀI TẬP THỰC HÀNH
IKE SA được tạo giữa R1 và R3 trong thời gian này. Các đầu cuối của đường hầm
IPsec VPN, nguồn: 10.1.1.1 (cổng S0/0 R1), đích: 10.2.2.1 (cổng S0/0 R3).
c. Sử dụng lệnh show crypto ipsec sa. Để xem số gói tin được chuyển đổi giữa R1
và R3
interface: Serial0/0
Crypto map tag: CMAP, local addr 10.1.1.1
inbound ah sas:
outbound ah sas:
Trên gns3 xóa file cấu hình của R1 và R3 chứa trong thư mục configs của bài thực
hành (R1.cfg, R3.cfg). Sau đó, tắt và chạy lại project của bài thực hành để khôi phục
cấu hình mặc định của R1 và R3.
Khi khởi động lại router, khôi phục cấu hình cơ bản cho R1 và R3 như trong phần 1
của bài thực hành này.
Bước 1: Cấu hình mật khẩu enable secret và HTTP trước khi bắt đầu SDM.
Bước 2: Truy cập SDM và thiết lập tùy chọn gửi lệnh.
a. Chạy ứng dụng SDM trên PC-A và bắt đầu SDM bằng cách nhập địa chỉ IP R1
192.168.1.1 trong trường địa chỉ.
b. Đăng nhập với không người dùng và mật khẩu enable secret là cisco12345.
c. Trong hộp thoại Authentication Required, trường Username để trống và nhập vào
cisco12345 trong trường Password. Nhấn Yes.
d. Chọn Edit Preferences để cấu hình SDM cho phép xem trước các lệnh trước khi
gửi chúng đến router. Trong cửa sổ User Preferences, chọn Preview commands before
delivering to router và nhấn OK.
a. Chọn nút Configure ở trên cùng của màn hình SDM và sau đó nhấn nút VPN.
Chọn Site-to-Site VPN từ danh sách của các tùy chọn. Tùy chọn mặc định là Create
Site-to-Site VPN.
Bước 4: Cấu hình các thiết lập thông tin kết nối VPN cơ bản.
TÀI LIỆU THAM KHẢO 327
a. Từ cửa sổ VPN Connection Information, chọn cổng cho kết nối, nên là R1
serial0/0.
b. Trong phần Peer Identity, Chọn Peer with static address và nhập địa chỉ IP của
peer R3 ở xa cổng s0/0 (10.2.2.1).
c. Trong phần Authentication, Chọn Pre-shared keys và nhập vào khóa pre-shared
VPN là cisco12345. Nhập lại khóa để xác nhận và nhấn Next.
a. Cửa sổ IKE Proposals, một đề xuất chính sách mặc định được hiển thị. Chọn nút
Add để tạo một chính sách IKE mới.
b. Thiết lập chính sách an ninh như trong hộp thoại Add IKE Policy bên dưới. Khi
hoàn tất, nhấn OK để thêm chính sách. Sau đó nhấn Next.
a. Một SDM transform set mặc định được hiển thị. Chọn nút Add để tạo mới một
transform set.
b. Thiết lập transform set như hộp thoại Transform Set dưới đây. Khi hoàn tất,
nhấn OK để thêm transform set. Sau đó nhấn Next.
Trong cửa sổ Traffic to protect, nhập thông tin như bên dưới. Khi hoàn tất, nhấn
Next.
a. Cửa sổ xem lại cấu hình tóm tắt Summary of the Configuration. Không chọn vào
mục Test VPN connectivity after configuring. Sau đó, chọn finish.
TÀI LIỆU THAM KHẢO 329
Bước 1: Sử dụng SDM trên R1 để tạo ra một cấu hình mirror cho R3.
a. Trên R1, Chọn VPN Site-to-Site VPN và chọn tab Edit Site-to-Site VPN.
b. Chọn chính sách VPN vừa cấu hình trên R1 và nhấn nút Generate Mirror phía
dưới bên phải của cửa sổ. Cửa sổ Generate Mirror hiển thị các lệnh cần thiết để cấu
hình R3 như một VPN peer.
a. Trên R3, vào chế độ privileged EXEC và chế độ global config sau đó.
b. Sao chép các lệnh từ tập tin text vào CLI R3.
R3(config)#interface s0/0
R3(config-if)#crypto map SDM_CMAP_1
Bước 3: Kiểm tra cấu hình VPN trên R3 sử dụng Cisco IOS.
a. Trên R3, sử dụng lệnh show crypto isakmp policy để hiển thị cấu hình các chính
sách ISAKMP.
b. Sử dụng lệnh show crypto ipsec transform-set để hiển thị các chính sách IPsec
cấu hình trong form của các transform set.
c. Sử dụng lệnh show crypto map để hiển thị các crypto map sẽ được áp dụng đến
R3.
a. Trên R1, sử dụng SDM để kiểm tra đường hầm IPsec VPN giữa hai router. Chọn
VPN > Site-to-Site VPN và chọn tab Edit Site-to-Site VPN.
b. Từ tab Edit Site to Site VPN, chọn VPN và kích chọn Test Tunnel.
c. Khi cửa sổ VPN Troubleshooting hiển thị, nhấn nút Start để SDM bắt đầu
Troubleshooting tunnel.
d. Khi cửa sổ SDM Warning hiển thị chỉ ra rằng SDM sẽ cho phép router debug và
tạo ra một số lưu lượng đường hầm, chọn Yes để tiếp tục.
332 PHỤ LỤC: DANH SÁCH BÀI TẬP THỰC HÀNH
e. Trong cửa sổ VPN Troubleshooting tiếp theo, địa chỉ IP của R1 cổng fa0/0 trong
source network được hiển thị bởi mặc định (192.168.1.1). Nhập địa chỉ IP của R3
cổng fa0/1 trong trường destination network (192.168.3.1) và nhấn Continue để bắt
đầu quá trình debug.
i. Sử dụng lệnh show crypto ipsec sa trên R3, để xem số gói tin được chuyển đổi
giữa R1 và R3.
interface: Serial0/0/1
Crypto map tag: SDM_CMAP_1, local addr 10.2.2.1
inbound ah sas:
outbound ah sas:
Bắt và phân tích gói tin ISAKMP và ESP trên wireshark, trả lời các câu hỏi sau:
1. Có bao nhiêu loại exchange type trong các gói tin ISAKMP?
2. ISAKMP sử dụng dịch vụ UDP hay TCP ? Số hiệu cổng bao nhiêu?
3. Trong các loại Exchange Type, loại Exchange Type nào có chứa Security
Association (SA)?
Remote-access VPN cho phép người dùng cá nhân truy cập an toàn vào các nguồn
tài nguyên của công ty bằng cách thiết lập một đường hầm được mã hóa trên mạng
Internet. Một số giao thức thường thường được sử dụng trong remote-access VPN
như: PPTP, L2TP, L2F, và IPSEC.
Trong bài thực hành này, xây dựng một mạng lưới nhiều router và cấu hình các
router và host. Cấu hình một remote access IPsec VPN giữa một máy client (PC-A) và
một mạng công ty mô phỏng (R3). Bắt đầu bằng cách sử dụng SDM để cấu hình một
zoned-based firewall (ZBF) để ngăn chặn các kết nối từ bên ngoài mạng công ty.
Cũng có thể sử dụng SDM để cấu hình Cisco Easy VPN Server trên router R3. Tiếp
theo, Cấu hình Cisco VPN Client trên PC-A và kết nối đến R3 thông qua một router giả
lập ISP (R2).
TÀI LIỆU THAM KHẢO 337
Bảng địa chỉ IP
Yêu cầu
- Cấu hình cơ bản cho 3 router: host name, địa chỉ ip cho các cổng, mật khẩu
truy cập và định tuyến tĩnh.
- Cấu hình Router R3 để hỗ trợ Cisco Easy VPN Server sử dụng SDM.
- Cấu hình Cisco VPN Client trên PC-A và kết nối đến R3.
- 3 router (Cisco IOS C3725 , phiên bản 12.4(20)T hoặc tương đương)
Router R1
Router R2
R2#configure terminal
Router(config# hostname R2
R2(config)# interface s0/0
R2(config-if)# no shutdown
R2(config-if)# ip address 10.1.1.2 255.255.255.252
R2(config)# exit
R2(config)# interface s0/1
R2(config-if)# no shutdown
R2(config-if)# ip address 10.2.2.2 255.255.255.252
Router R3
R3#configure terminal
Router(config# hostname R3
R3(config)# interface f0/0
R3(config-if)# no shutdown
R3(config-if)# ip address 192.168.3.1 255.255.255.0
R3(config)# exit
TÀI LIỆU THAM KHẢO 339
R3(config)# interface s0/0
R3(config-if)# no shutdown
R3(config-if)# ip address 10.2.2.1 255.255.255.252
Cấu hình một xung nhịp cho cổng serial của router (cổng s0/0 R1 và cổng s0/1 R2)
và vô hiệu hóa tra cứu DNS:
Router R1
R1(config)#interface S0/0
R1(config-if)#clock rate 64000
R1(config)#no ip domain-lookup
Router R2
R2(config)#interface S0/1
R2(config-if)#clock rate 64000
R2(config)#no ip domain-lookup
Router R3
R3(config)#no ip domain-lookup
Cấu hình độ dài mật khẩu tối thiểu là 10 ký tự, sử dụng lệnh security passwords để
thiết lập và mã hóa mật khẩu console, vty; sử dụng lệnh service password-
encryption:
- Cấu hình mật khẩu console. Để thêm an toàn, sử dụng lệnh exec-timeout gây ra
các dòng log sau 5 phút không hoạt động và lệnh logging synchronous ngăn
chặn thông điệp console làm gián đoạn nhập lệnh
Router(config)#line console 0
Router(config-line)#password ciscoconpass
Router(config-line)#exec-timeout 5 0
Router(config-line)#login
Router(config-line)#logging synchronous
Router(config)#line vty 0 4
Router(config-line)#password ciscovtypass
Router(config-line)#exec-timeout 5 0
Router(config-line)#login
Cấu hình một biểu ngữ cảnh báo đăng nhập trên router R1 và R3
PC-A
PC-C
TÀI LIỆU THAM KHẢO 341
Từ PC-A, ping thành công R3 cổng s0/0 tại địa chỉ 10.2.2.1
Bước 1: Cấu hình HTTP truy cập router và một người dùng trước khi bắt đầu SDM.
b. Tạo một tài khoản admin01 trên R3 với mức quyền 15 và một mật khẩu
admin01pass.
Bước 2: Truy cập SDM và thiết lập tùy chọn gửi lệnh.
a. Chạy ứng dụng SDM trên PC-C. Bắt đầu SDM bằng cách nhập địa chỉ IP của R3
cổng fa0/0 192.168.3.1 trong trường địa chỉ.
b. Đăng nhập với không người dùng và kích hoạt mật khẩu enable secret là
cisco12345.
c. Trong hộp thoại Authentication Required, nhập cisco12345 trong trường
Password và nhấn OK.
d. Nếu hộp thoại IOS IPS Login xuất hiện, nhập mật khẩu enable secret là
cisco12345.
342 PHỤ LỤC: DANH SÁCH BÀI TẬP THỰC HÀNH
e. Chọn Edit Preferences để cho phép xem trước các lệnh trước khi gửi chúng
đến router. Trong cửa sổ User Preferences, chọn Preview commands before delivering
to router và nhấn OK.
Bước 1: Sử dụng SDM Firewall wizard để cấu hình một zone-based firewall (ZBF)
trên R3.
a. Nhấn nút Configure ở trên cùng của màn hình SDM và sau đó nhấn vào Firewall
and ACL.
a. Từ PC-C, ping thành công R2 cổng s0/1 tại địa chỉ IP 10.2.2.2.
b. Từ router R2 bên ngoài, Ping không thành công PC-C tại địa chỉ IP 192.168.3.3
R2#ping 192.168.3.3
Bước 1: Khởi động Easy VPN Server wizard và cấu hình dịch vụ AAA.
a. Nhấn nút Configure ở phía trên cùng của màn hình chính SDM. Nhấn nút VPN để
xem trang cấu hình VPN.
b. Chọn Easy VPN Server từ cửa sổ VPN chính, và sau đó nhấn Launch Easy VPN
Server Wizard.
TÀI LIỆU THAM KHẢO 345
a. Chọn cổng mà client kết nối. Nhấn vào nút Unnumbered to và chọn cổng
Serial0/0 từ menu thả xuống.
b. Chọn Pre-shared Keys cho loại xác thực và nhấn Next để tiếp tục.
a. Trong cửa sổ IKE Proposals, IKE Proposals mặc định được sử dụng cho R3.
TÀI LIỆU THAM KHẢO 347
a. Trong cửa sổ transform set, SDM transform set mặc định được sử dụng.
a. Trong cửa sổ Group Authorization and Group Policy Lookup, chọn tùy chọn Local.
348 PHỤ LỤC: DANH SÁCH BÀI TẬP THỰC HÀNH
a. Trong cửa sổ Group Authorization and User Group Policies, phải tạo ít nhất một
group policy cho VPN server.
350 PHỤ LỤC: DANH SÁCH BÀI TẬP THỰC HÀNH
Giao diện group authorization and user group policies sau khi tạo group
i. Khi cửa sổ Cisco Tunneling Control Protocol (cTCP) xuất hiện, không cho phép
cTCP. Nhấn Next để tiếp tục.
j. Khi cửa sổ Easy VPN Server Passthrough Configuration xuất hiện, hãy chắc rằng
Action Modify đã được chọn. Nhấn OK để tiếp tục.
a. Di chuyển qua các lệnh mà SDM sẽ gửi đến router. Không chọn mục test VPN.
Nhấn Finish.
b. Khi được nhắc để cung cấp cấu hình cho router, nhấn Deliver.
a. Quay trở lại cửa sổ chính của VPN với tab Edit Easy VPN Server được chọn. Nhấn
nút Test VPN Server ở phía dưới bên phải của màn hình.
b. Trong cửa sổ VPN Troubleshooting, nhấn nút Start. Màn hình sẽ trông giống như
hình dưới đây. Nhấn OK để đóng cửa sổ information. Nhấn Close để thoát cửa sổ VPN
Troubleshooting.
TÀI LIỆU THAM KHẢO 353
Trong bài thực hành này sử dụng Cisco VPN Client 4.8.02.0010 cho Windows XP.
Giải nén tập tin .exe hoặc .zip và bắt đầu cài đặt. Chấp nhận giá trị mặc định khi được
nhắc. Nhấn Finish khi VPN Client được cài đặt thành công. Nhấn Yes để khởi động lại
máy tính để những thay đổi cấu hình có hiệu lực.
a. Bắt đầu Cisco VPN Client và chọn Connection Entries New hoặc nhấn New icon
với dấu cộng màu đỏ (+).
354 PHỤ LỤC: DANH SÁCH BÀI TẬP THỰC HÀNH
Từ PC-A, ping không thành công PC-C địa chỉ IP 192.168.3.3. Vì PC-A vẫn được
cấu hình địa chỉ IP (192.168.1.3) và bị chặn bởi tường lửa.
a. Chọn kết nối VPN-R3 đã được tạo mới và nhấn biểu tượng Connect.
a. Với kết nối VPN từ PC-A đến router R3 được kích hoạt, PC-A ping thành công PC-
C địa chỉ IP 192.168.3.3. PC-A có một địa chỉ IP (192.168.3.100 trong trường hợp
này) mà được gán bởi VPN server. PC-A có thể truy cập PC-C nội bộ trên mạng
192.168.3.0/24 vì cả hai host cùng một subnet.
Bước 5: Kiểm tra thông điệp Cisco IOS trên R3 khi đường hầm được tạo.
Mở console R3 và vị trí thông điệp hiển thị chỉ ra rằng cổng ảo Virtual-Access2 đã
đưa ra khi VPN Client kết nối được thực hiện.
R3#
*Feb 20 12:09:08.907: %LINEPROTO-5-UPDOWN: Line protocol on Interface
Virtual-Access2, changed state to up
Bước 6: Kiểm tra thông tin kết nối VPN cho PC-A.
Từ dấu nhắc lệnh PC-A, sử dụng lệnh ipconfig/all để xem các kết nối mạng.
Windows IP Configuration
Ethernet adapter Local Area Connection:
TÀI LIỆU THAM KHẢO 357
Yêu cầu:
+ Cấm máy C1 thực hiện lệnh ping nhưng cho phép truy cập web vào máy
C3 bằng địa chỉ IP (cấm truy cập web bằng tên miền).
+ Cho phép mạng 30.0.0.0/8 truy cập web trên máy C3 bằng tên miền.
+ Cho phép các gói tin ICMP xuất phát từ VLAN10 được phép truy cập ra bên
ngoài (router R1, R2, máy C1 và C2). Tất cả mọi loại dữ liệu từ bên ngoài đi
vào VLAN10 đều bị cấm, ngoại trừ gói tin trả về cho gói tin ICMP đã đi ra trước
đó.
+ Cấu hình Radius Server trên máy C4 (sử dụng phần mềm Cisco-ACS phiên
bản 4.2 để cài đặt và cấu hình).
+ Mở phiên kết nối telnet từ máy C1 vào router R2 sử dụng tài khoản tạo trên
Radius Server để xác thực và truy cập.
R1
R1#conf t
R1(config)#int f0/0
R1(config-if)#ip add 10.0.0.36 255.0.0.0
R1(config-if)#no shut
360 PHỤ LỤC: DANH SÁCH BÀI TẬP THỰC HÀNH
R1(config)#int f0/1
R1(config-if)#ip add 30.0.0.36 255.0.0.0
R1(config-if)#no shut
R1(config-if)#exit
R1(config)#int s1/0
R1(config-if)#ip add 192.168.1.30 255.255.255.0
R1(config-if)#no shut
R2
R2#conf t
R2(config)#int s1/0
R2(config-if)#ip add 192.168.1.36 255.255.255.0
R2(config-if)#no shut
R2(config-if)#exit
R2(config)#int s1/1
R2(config-if)#ip add 192.168.2.30 255.255.255.0
R2(config-if)#no shut
R3
R3#conf t
R3(config)#int s1/0
R3(config-if)#ip add 192.168.2.36 255.255.255.0
R3(config)#no shut
C1:
C2:
TÀI LIỆU THAM KHẢO 361
C3:
C4:
- Tạo Vlan, gán vlan vào interface, cấu hình trunking trên switch sw và
định tuyến interVLAN routing trên router R3:
sw#vlan database
sw(vlan)#vlan 10
sw(vlan)#vlan 20
+ Gán vlan 10 vào interface f0/1, vlan 20 vào interface f0/2 trên switch sw:
Sw#config t
Sw(config)#interface f0/1
Sw(config-if)#switchport mode access
Sw(config-if)#switchport access vlan 10
Sw(config)#interface f0/2
Sw(config-if)#switchport mode access
Sw(config-if)#switchport access vlan 20
362 PHỤ LỤC: DANH SÁCH BÀI TẬP THỰC HÀNH
sw#config t
sw(config)# interface f0/0
sw(config-if)# switchport mode trunk
+ Cấu hình định tuyến interVLAN routing trên router R3, đảm bảo 2 máy tính
thuộc vlan 10 và 20 kết nối thành công.
R3#conf t
R3(config)#interface f0/0.10
R3(config-if)# encapsulation dot1Q 10
R3(config-if)#ip add 20.10.0.30 255.255.0.0
R3(config)#interface f0/0.20
R3(config-if)# encapsulation dot1Q 20
R3(config-if)#ip add 20.20.0.30 255.255.0.0
- Cấu hình định tuyến RIP version 2 trên R1, R2, R3:
R1
R1#conf t
R1(config)#router rip
R1(config)#version 2
R1(config-router)#network 192.168.1.0
R1(config-router)#network 10.0.0.0
R1(config-router)#network 30.0.0.0
R1(config-router)#no auto-summary
R2
R2#conf t
R2(config)#router rip
R2(config)#version 2
R2(config-router)#network 192.168.1.0
R2(config-router)#network 192.168.2.0
R2(config-router)#no auto-summary
R3
TÀI LIỆU THAM KHẢO 363
R3#conf t
R3(config)#router rip
R3(config)#version 2
R3(config-router)#network 192.168.2.0
R3(config-router)#network 20.10.0.0
R3(config-router)#network 20.20.0.0
R3(config-router)#no auto-summary
+ Kiểm tra định tuyến: Thực hiện lệnh Ping từ máy C1 đến máy C2, C3 và C4
2. Sách: Bảo mật thông tin – mô hình và ứng dụng (Nguyễn Xuân Dũng).
3. Douglas Stinson, Cryptography: Theory and Practic, CRC Press, CRC Press LLC.
11. Comptia Security+, Deluxe study guide, Sybex, Wiley Publising, Inc.