TRƯỜNG ĐẠI HỌC NGUYỄN TẤT THÀNH
KHOA CÔNG NGHỆ THÔNG TIN

Chuyên đề tốt nghiệp MMT & TT #1
Chủ đề: BẢO MẬT MẠNG VÀ THIẾT BỊ

Bài 2:

BẢO MẬT TRUY CẬP THIẾT BỊ MẠNG

Số tín chỉ: 3
Tổng số tiết: 60 tiết
(30 LT + 30 TH)

Biên soạn: ThS. Nguyễn Văn Thành
Email :

Bài 2: Bảo mật truy cập thiết bị
Tổng quan về bảo mật mạng.
Truy cập quản trị thiết bị.
Các nguy cơ truy cập thiết bị.
Bảo mật truy cập bằng mật khẩu
Quy tắc bảo mật AAA

2

1


Tổng quan về Bảo mật mạng
Nguyên tắc bảo mật CIA:

Confidentiality
Integrity
Availability of systems

3

Tổng quan về Bảo mật mạng
Một vài thuật ngữ:
Asset: t6at1 cả mọi thứ có giá trị trong cơng ty / tổ chức.
Vulnerability: những lỗ hổng bảo mật của hệ thống vật lý, phần
mềm, hệ điều hành…. có thể bị khai thác bởi Threat nào đó.
Threat (mối đe dọa) là một tác nhân (chắc chắn) có thể gây tổn
hại đến một tổ chức mục tiêu.
Risk: là rủi ro mà tổ chức gặp phải nếu các Vulnerability bị khai
thác (Exploited) bởi kẻ tấn công..
Exploit: tấn công khai thác điểm yếu.
Countermeasure (safeguard) là biện pháp bảo vệ nhằm giảm
thiểu rủi ro có thể xảy ra.

4

2


Tổng quan về Bảo mật mạng
Bảo mật mạng:
Mục tiêu: chống lại / hạn chế các nguy cơ / rủi ro.
Reduce: giảm rủi ro.
Limitation/avoidance: hạn chế / né tránh rủi ro.
Detection: phát hiện rủi ro.

Recovery: khôi phục rủi ro.

Đối thủ của bảo mật mạng:
Government agencies (tổ chức chính phủ).
Terrorists (tổ chức khủng bố) / Criminals (tội phạm).
Hackers (tin tặc).
Corporate competitors (đối thủ cạnh tranh).
Disgruntled employees (nhân viên bất mãn).

5

Tổng quan về Bảo mật mạng
Bảo mật mạng:
Phương thức tấn công thông dụng:
Bước 1: lần theo dấu vết (Footprinting) và điều tra (Enumeration)
Bước 2: nhận dạng các ứng dụng và hệ điều hành.
Bước 3: tìm cách để users có được quyền truy cập.
Bước 4: tìm cách nâng đặc quyền.
Bước 5: thu thập mật khẩu và dữ liệu.
Bước 6: đặt backdoor.

Bước 7: tận dụng hệ thống bị xâm nhập.

6

3


Tổng quan về Bảo mật mạng
Bảo mật mạng:

Phân loại các kiểu tấn công:
Enumeration and fingerprinting
Spoofing and impersonation
Man-in-the-middle
Confidentiality
Password attacks
Blended threats and malware
Exploitation of privilege and trust
Denial of service (DoS)
Botnet
Availability attacks
Physical security attacks
Forces of nature.
7

Truy cập quản lý thiết bị mạng
Kết nối truy cập thiết bị qua cổng Console:
Thiết bị: cổng Console RJ-45  Máy tính cổng: USB to COM (DB-9p)
Thiết bị: cổng Console RJ-45  Máy tính cổng: USB
Thiết bị: cổng Console mini-USB  Máy tính cổng: USB

-8-

4


Truy cập quản lý thiết bị mạng
Kết nối truy cập thiết bị từ xa qua mạng:
Giao thức: Telnet hoặc SSH.


-9-

Truy cập quản lý thiết bị mạng
Các cơng cụ cấu hình:
Terminal: cấu hình qua cổng COM.
Putty, Secure-CRT… : cấu hình qua cổng COM, Telnet, SSH…
Web console: cấu hình bằng trình duyệt Web.
Device Application: cấu hình bằng ứng dung của nhà cung cấp
thiết bị.

- 10
-

5


Truy cập quản lý thiết bị mạng
Giao diện dòng lệnh (CLI) của Cisco IOS:
Command Line Interface (CLI) là giao diện quản trị và cấu hình
thiết bị hãng Cisco.
Truy cập vào CLI của thiết bị: qua cổng Console hoặc qua đường
mạng (Telnet hoặc SSH).
Các chế độ dòng lệnh của Cisco IOS:
UserEXEC Mode (dấu nhắc: Device-name >_ ): chế độ chỉ cho phép
thực thi một số câu lệnh hiển thị các thông tin cơ bản của thiết bị.
Privileged Mode (dấu nhắc: Device-name #_ ): chế độ cho phép thực
hiện tất cả các câu lệnh của thiết bị.
Global Configuration Mode (dấu nhắc: Device-name (config)#_ ):
chế độ tiếp nhận và thực thi các lệnh cấu hình thiết bị.


Truy cập quản lý thiết bị mạng
Các lệnh chuyển đổi chế độ:

6


Các nguy cơ truy cập thiết bị mạng
Nguy cơ khi kẻ gian truy cập được vào thiết bị:
Xóa tồn bộ thơng tin cấu hình => thiết bị khơng hoạt động đúng.
Sửa đổi cấu hình:
Mở port (port forwarding): cho phép bên ngồi xâm nhập vào máy
tính trong mạng nội bộ.
Chuyển hướng truy cập: chuyển các yêu cầu truy cập của mạng nội
bộ về Server giả mạo.
Chuyển hướng dữ liệu: định tuyến lại các luồng dữ liệu đi về nơi
khác (kẻ tấn cơng có thể lợi dụng).
Thay đổi các cấu hình bảo mật => tạo điều kiện tấn công dễ dàng hơn

Nguy cơ khi truy cập thiết bị từ xa:
Tài khoản (user/pass) bị đánh cắp trên đường truyền.
Thơng tin cấu hình bị đánh cắp.
13

Bảo mật truy cập bằng Password
Các hình thức yêu cầu mật khẩu khi truy cập CLI:
Console password: yêu cầu mật khẩu khi truy cập CLI của thiết bị
qua cổng Console.
Virtual Tele-Type (VTY) password: yêu cầu mật khẩu khi truy cập
CLI qua kết nối từ xa (Telnet hay SSH).
Enable password: yêu cầu mật khẩu khi truy cập vào Privilege

mode của CLI trên thiết bị. Mật khẩu này lưu trữ dạng Text.
Secret password: tương tự như Enable password nhưng mật khẩu
được bảo mật bằng cách lưu trữ dạng mã hóa.
Ngoại trừ Secret password, tất cả mật khẩu cấu hình trong CLI
đều lưu dạng Text.
Do vậy, nhằm tăng tính bảo mật, lệnh: service password-encrypt sẽ
thực hiên mã hóa (băm) tất cả mật khẩu dạng MD5

7


Bảo mật truy cập bằng Password
Lệnh đặt mật khẩu cho thiết bị Cisco:

Quy tắc bảo mật AAA
AAA (Authentication – Authorization – Accounting):
AAA là bộ quy tắc bảo mật truy cập đáp ứng 3 yếu tố:
Authentication (yếu tố chứng thực):
Áp đặt mọi cuộc truy cập vào thiết bị Cisco đều phải chứng thực.
Phương thức chứng thực: password only hoặc user/password.

Authorization (yếu tố phân quyền / ủy quyền):
Mỗi người dùng truy cập vào thiết bị sẽ có những quyền hạn thao tác
thiết bị theo các mức độ (level) khác nhau.

Cisco IOS định nghĩa 16 privileged levels.

Accounting (yếu tố ghi nhận / kiểm toán):
Tất cả các hoạt động của người dùng trên thiết bị đều phải được ghi
nhận (logging).

Dữ liệu logs đáp ứng cho việc kiểm soát, điều tra sau này khi cần.
16

8


Quy tắc bảo mật AAA
Các phương thức chứng thực (Authentication) cơ bản:
Password-Only: Phương thức chứng thực chỉ dùng mật khẩu
(không có username).
Đây là phương thức yếu trong bảo mật.

Local database: chứng thực bằng tài khoản (user và password)
được tạo ngay tại nội bộ thiết bị (local users).
Server database: Phương thức chứng thực bằng tài khoản tạo
trên Server khác như RADIUS Server, TACACS Server.

17

Quy tắc bảo mật AAA
Authorization (ủy quyền):
Quyền thực thi lệnh của người dùng trên thiết bị Cisco lệ thuộc
cấp độ (Privilege level) mà người dùng đó kích hoạt (enable).

Cisco IOS định nghĩa 16 level, từ level 0 đến level 15.
Có 3 level mặc định (Default Privilege Levels):
Level 0 (Privilege-zero): chỉ cho phép thực thi 5 lệnh: logout, enable,
disable, help, và exit.
Level 1 (User level): cho phép thực thi các lệnh dạng read-only, khơng
cho xóa, sửa, cấu hình trên thiết bị và cũng khơng cho xem các cấu

hình đang chạy (running-config).
Level 15 (Full Privilege level): có đầy đủ các quyền trên thiết bị.

Các level từ 2 đến 14 mặc định có sẵn các quyền thực thi lệnh
của level 1.
18

9


Quy tắc bảo mật AAA
Authorization (ủy quyền):
Người dùng truy cập được vào User-EXEC mode: quyền mặc định
tại đây là level 1.
Lệnh enable dùng chuyển vào Privilege level từ level 2 -> 15:
Lệnh R> enable (không tham số): sẽ chuyển vào Privilege level 15.
Lệnh R> enable <number> sẽ chuyển vào Privilege level <number>
tương ứng.

Kích hoạt cho một Privilege level trong thiết bị bằng cách đặt
password cho level đó:
Lệnh R(config)# enable secret level <number> password

19

Quy tắc bảo mật AAA
Authorization (ủy quyền):
Các Privileged level từ 2 đến 14 mặc định có sẵn các quyền thực
thi lệnh của level 1.
Người quản trị có thể cấp phát thêm các quyền thực thi cho level.

Có 2 loại quyền:
execute: các lệnh thực thi tại Privileged mode.
configure: các quyền cấu hình thiết bị, thực thi tại Configured mode.

Cú pháp chung của lệnh cấp thêm quyền cho Privilege level:
Lệnh R(config)# privilege exec [all] level <num> <command>
Lệnh R(config)# privilege configure [all] level <num> <command>

20

10


Quy tắc bảo mật AAA
Accounting:
Kiểm toán (ghi nhận lại) hoạt động của user khi đăng nhập và
thao tác trên thiết bị.
Lưu trữ thơng tin kiểm tốn:
Cisco khơng lưu trữ thơng tin kiểm toán tại thiết bị.
Chỉ được lưu trữ vào TACACS Server hay RADIUS server.
Thơng thường, thơng tin kiểm tốn được gởi về Server vào cuối phiên
đăng nhập (từ khóa: stop-only).

21

11