TRƯỜNG ĐẠI HỌC CƠNG THƯƠNG TP. HỒ CHÍ MINH
KHOA CÔNG NGHỆ THÔNG TIN
---------------------------
BÁO CÁO THỰC HÀNH
AN NINH HẠ TẦNG MẠNG
Thực hành 03 :
KIỂM THỬ GIẢI PHÁP AN NINH HẠ TẦNG
MẠNG CISCO
Nhóm thực hiện : Nhóm 03 GVHD: ThS Bùi Duy Cương
TP. Hồ Chí Minh, ngày … tháng … năm …
TRƯỜNG ĐẠI HỌC CƠNG THƯƠNG TP. HỒ CHÍ MINH
KHOA CÔNG NGHỆ THÔNG TIN
---------------------------
BÁO CÁO THỰC HÀNH
AN NINH HẠ TẦNG MẠNG
Thực hành 03 :
KIỂM THỬ GIẢI PHÁP AN NINH HẠ TẦNG
MẠNG CISCO
Nhóm thực hiện : Nhóm 03 GVHD: ThS Bùi Duy Cương
TP. Hồ Chí Minh, ngày … tháng … năm ….
MỤC LỤC
PHẦN 01 – CƠ SỞ LÝ THUYẾT...............................................................................................3
1.1. Tổng quan về Access Control List (ACL)..................................................................3
1.1.1. Khái niệm về Access Control List (ACL)................................................................3
1.1.2. Chức năng của Access Control List (ACL) :...........................................................3
1.1.3. Phân loại Access Control List (ACL) :....................................................................3
1.1.4. Chiều của lưu lượng được ACL kiểm soát :............................................................4
1.1.5. Cách thức hoạt động của Access Control List (ACL) :...........................................4
1.1.6. Cách thức cấu hình Access Control List (ACL) trên thiết bị Cisco :.......................5
1.1.7. Các lệnh quản lý Access Control List (ACL)..........................................................7
1.2. Tổng quan về tường lửa (Firewall).............................................................................8
1.2.1. Tổng quan về tường lửa...........................................................................................8
1.2.2. Các tính năng nổi bật :.............................................................................................8
1.2.3. Phân loại các dạng tường lửa...................................................................................8
1.2.4. Triển khai tường lửa trong hệ thống mạng :............................................................9
1.3. Tổng quan về chính sách theo vùng (Zone-based Firewall Policy)........................10
1.3.1. Tổng quan về Zone-Based Policy..........................................................................10
1.3.2. Các dạng hành động trong ZPF :...........................................................................11
1.3.3. Quá trình thiết lập Zone-Based Policy trên thiết bị Cisco.....................................11
1
PHẦN 02 – QUÁ TRÌNH THỰC NGHIỆM...........................................................................13
2.1. Mơ hình.......................................................................................................................13
2.2. Bảng địa chỉ.................................................................................................................14
2.3. Mục tiêu.......................................................................................................................15
2.4. Kịch bản......................................................................................................................15
2.5. Quá trình thực hiện....................................................................................................16
2.5.1. Xây dựng mơ hình :...............................................................................................16
2.5.2. Kiểm tra các kết nối và dịch vụ..............................................................................25
2.5.3. Tổ chức tấn công vào mơ hình khơng an tồn.......................................................27
2.5.4. Áp dụng các chính sách ACLs...............................................................................34
2.5.5. Tổ chức tấn công vào mô hình an tồn..................................................................36
2.6. Kết quả........................................................................................................................38
2.7. Video Demo thực nghiệm :........................................................................................39
2
1. PHẦN 01 – CƠ SỞ LÝ THUYẾT
1.1. Tổng quan về Access Control List (ACL)
1.1.1.Khái niệm về Access Control List (ACL)
ACL là một danh sách các câu lệnh được áp đặt vào các cổng (interface) của router. Danh sách
này chỉ ra cho router biết loại packet nào được chấp nhận (allow) và loại packet nào bị hủy bỏ
(deny). Sự chấp nhận và huỷ bỏ này có thể dựa vào địa chỉ nguồn, địa chỉ đích hoặc chỉ số port.
1.1.2.Chức năng của Access Control List (ACL) :
Các chức năng chính :
Quản lý các IP traffic
Hỗ trợ mức độ cơ bản về bảo mật cho các truy cập mạng, thể hiện ở tính năng lọc các
packet qua router
Xác định tuyến đường thích hợp cho DDR (dial-on-demand routing)
Thuận tiện cho việc lọc gói tin ip
Cung cấp tính sẵn sàn mạng cao
1.1.3.Phân loại Access Control List (ACL) :
Có 2 loại Access lists là: Standard Access lists và Extended Access lists
Standard (ACLs): Lọc (Filter) địa chỉ ip nguồn (Source) vào trong mạng – đặt gần đích
(Destination).
Extended (ACLs): Lọc địa chỉ ip nguồn và đích của 1 gói tin (packet), giao thức tầng
“Network layer header” như TCP, UDP, ICMP…, và port numbers trong tầng “Transport
layer header”. Nên đặt gần nguồn (source).
1.1.4.Chiều của lưu lượng được ACL kiểm soát :
3
Có 2 dạng chiều lưu lượng được áp dụng để kiểm sốt : Inbound (lưu lượng từ trong ra ngồi)
và Outbound (lưu lượng từ ngoài vào trong) :
Inbound ACLs. : nói nơm na là 1 cái cổng vào(theo chiều đi vào của gói tin) trên Router
những gói tin sẽ được xử lý thông qua ACL trước khi được định tuyến ra ngoài
(outbound interface). Tại đây những gói tin sẽ “dropped” nếu khơng trùng với bảng định
tuyến (routing table), nếu gói tin (packet) được chấp nhận nó sẽ được xử lý trước khi
chuyển giao (transmission).
Outbound ACLs : là cổng đi ra của gói tin trên Router, những gói tin sẽ được định tuyến
đến outbound interface và xử lý thơng qua ACLs, trước khi đưa đến ngồi hàng đợi
(outbound queue).
1.1.5.Cách thức hoạt động của Access Control List (ACL) :
ACL sẽ được thực hiện theo trình tự của các câu lệnh trong danh sách cấu hình khi tạo
access-list. Nếu có một điều kiện được so khớp (matched) trong danh sách thì nó sẽ thực hiện,
và các câu lệnh cịn lại sẽ khơng được kiểm tra nữa.Trường hợp tất cả các câu lệnh trong danh
sách đều khơng khớp (unmatched) thì một câu lệnh mặc định “deny any” được thực hiện. Cuối
access-list mặc định sẽ là lệnh loại bỏ tất cả (deny all). Vì vậy, trong access-list cần phải có ít
nhất một câu lệnh permit.
Khi packet đi vào một interface, router sẽ kiểm tra xem có một ACL trong inbound
interface hay khơng, nếu có packet sẽ được kiểm tra đối chiếu với những điều kiện trong
danh sách.
Nếu packet đó được cho phép (allow) nó sẽ tiếp tục được kiểm tra trong bảng routing để
quyết định chọn interface để đi đến đích.
Tiếp đó, router sẽ kiểm tra xem outbound interface có ACL hay khơng. Nếu khơng thì
packet có thể sẽ được gửi tới mạng đích. Nếu có ACL ở outbound interface, nó sẽ kiểm
tra đối chiếu với những điều kiện trong danh sách ACL đó.
4
1.1.6.Cách thức cấu hình Access Control List (ACL) trên thiết bị Cisco :
Đối với Standard ACLs (ACL tiêu chuẩn) :
sử dụng số từ 1 -> 99 hay 1300 -> 1999
Cấu trúc lệnh : router(config)#access-list [#] [permit deny] [wildcard mask] [log]
Đặt ACL vào interface mình muốn quản lý lưu lượng qua nó :
o router(config)#interface [interface-number]
o router(config-if)#ip access-group [#] [in out] – interface access control
Đối với Extended ACLs (ACL mở rộng) :
sử dụng số từ 100 -> 199 hay 2000 -> 2699.
Tạo ACL tại Global Config Mode :
o router(config)#access-list [#] [permit deny] [protocol] [wildcard mask] [operator
source port] [destination address] [wildcard mask] [operator destination port]
[log]
o router(config)#access-list [#] [permit deny] [protocol] [host] [host] [destination
address][ lt, gt, neq, eq, range] [port number]
Áp access-list vào cổng :
o router(config)#interface [interface-number]
o router(config-if)#ip access-group [#] [in out] – interface access control
5
Hình 1. Các vị trí đặt của ACl trong trường hợp muốn kiểm soát các traffic từ 192.168.10.0/24
đến 192.168.30.0/24
Hình 2. Các dãy được sử dụng cho số định danh của các giao thức.
6
1.1.7.Các lệnh quản lý Access Control List (ACL)
Bảng các câu lệnh dùng để quản lý Access Control List
Nội dung thực hiện Câu lệnh thực hiện
Hiển thị tất cả ACLs đang sử dụng Router(config)#show running-config
Xem ACLs hoạt động trên interface nhất định Router(config)#show interface [<inteface>]
Xem những câu lệnh ACLs: Router(config)#show access-list [<định-
danh>]
Hiển thị tất cả ip ACLs: Router#show ip access-list
Xóa bộ đếm (to clear the counters use) router(config)#show access-list [ # ]
router(config)#clear access-list counter [ # ]
router(config)#no ip access-list [standard-
extended][#]
Xóa Access list router(config)#interface [interface-number]
router(config-if)#no access-list [#] [permit
deny] [wildcard mask]
1.2. Tổng quan về tường lửa (Firewall)
1.2.1.Tổng quan về tường lửa
Một thiết bị giám sát và lọc các lưu lượng mạng đến (inconming) và ra (outcoming) dựa
trên các chính sách
Có thể là thiết bị vật lý, phần mềm, một SaaS, các dạng cloud (public hay private)
7
1.2.2.Các tính năng nổi bật :
Quản lý bảo mật tập trung, Ngăn chặn mối đe dọa
Phân tích dựa trên Application và danh tính
Các hỗ trợ Hybrid
Khả năng mở rộng nâng cao
1.2.3.Phân loại các dạng tường lửa
Proxy Firewalll
Stateful Inspection Firewall
Unified Thread Management (UTF) Firewall.
Next-generation Firewall (NGFW)
Threat-focused NGFW
Virtual Firewall
Cloud Native Firewal
1.2.4.Triển khai tường lửa trong hệ thống mạng :
Tường lửa được triển khai theo 3 dạng chính : dạng phân bổ thành mạng trong và ngoài; dạng
phân chia 1 nhóm mạng tách biệt (DMZ) và dạng phân chia thành các vùng (Zones).
8
Hình 3. Mạng được phân chia thành mạng trong (inside network) và mạng ngoài (outside
network).
Hình 4. Phân tách một lớp mạng khác độc lập (DMZ) với nhóm mạng nội bộ.
9
Hình 5. Phân loại theo chính sách dựa trên vùng (zone).
1.3. Tổng quan về chính sách theo vùng (Zone-based Firewall Policy)
1.3.1.Tổng quan về Zone-Based Policy
Zone là một nhóm các interface hoạt động cùng chức năng.
Thiết lập ranh giới bảo mật trong mạng.
Lưu lượng được kiểm soát bởi các chính sách khi đi qua vùng khác.
Chính sách kiểm tra (inspection policy) được áp dụng cho lưu lượng giữa các vùng
1.3.2.Các dạng hành động trong ZPF :
10
Được phân chia thành 3 dạng hành động chính : Drop, Pass và Inspect
Drop : dạng hành động mặc định, chặn các lưu lượng theo yêu cầu.
Pass : cho phép lưu lượng di chuyển giữa các Router, chỉ áp dụng cho 1 chiều.
Inspect : thiết lâp Cisco IOS Statefule packet inspections. Bộ định tuyến duy trì thơng tin
phiên cho lưu lượng TCP và UDP.
1.3.3.Quá trình thiết lập Zone-Based Policy trên thiết bị Cisco
Quá trình thực hiện bao gồm các bước như :
Tạo các vùng (Zones) theo yêu cầu.
Xác định các lưu lượng qua các vùng bằng class-map.
Thiết lập các hành động thực hiện với policy-map.
Xác định dạng zone-pair và gắn chúng vào một policy-map
Gán giá trị vùng cho các cổng mạng.
Các câu lệnh sử dụng để xác thực quá trình thiết lập ZPF :
show run | begin class-map
show policy-map type inspect zone-pair sessions
show class-map type inspect
show zone security
show zone-pair security
show policy-map type inspect
11
Hình 6. Quá trình thiết lập ZPF trên thiết bị Cisco.
12
2. PHẦN 02 – QUÁ TRÌNH THỰC NGHIỆM
2.1. Mơ hình
Hình 7. Mơ hình cho bài thực hành Lab -03 – Các kĩ thuật triển khai trên tường lửa.
Các thiết bị sử dụng trong bài thực hành đóng vai trị của các đối tượng : máy của kẻ tấn công
(Attacker hay Attack Machine, máy Kali Linux), máy của nạn nhân (Victim Machine, máy
Ubuntu Server) và các thiết bị khác như Router (tích hợp tính năng tường lửa) và máy giám sát
Zabbix Server
Các vai trò của các thiết bị
Máy Zabbix Server : cài đặt phần mềm Zabbix đóng vai trị giám sát máy Web Server
thông qua giao thức SNMP.
13
Máy Web Server : cài đặt hệ điều hành Ubuntu Server 22.04, đóng vai trị là nạn nhân với
dịch vụ dựng sẵn là Apache HTTP Server và truy cập từ xa SSH.
Máy Kali Linux : đóng vai trị là kẻ tấn cơng, thực hiện các hình thức tấn cơng vét cạn
(brute-force) và khai thác thông tin (enumeration).
Thiết bị router Cisco 3725 : đóng vai trị là bộ định tuyến và thiết lập chức năng tường
lửa là ACL để mô phỏng các giải pháp giảm thiểu rủi ro khi sử dụng Access Control List
(ACL).
2.2. Bảng địa chỉ
Thiết bị Giao diện Địa chỉ IP Subnet Mask Default Gateway
192.168.38.10 255.255.255.0
F0/0 192.168.131.10 255.255.255.0 192.168.38.10
R Cisco 3725 192.168.38.130 255.255.255.0 192.168.131.10
192.168.131.15 255.255.255.0 192.168.131.10
F0/1 192.168.131.20 255.255.255.0
Kali Linux NIC
Zabbix Server NIC
Web Server NIc
2.3. Mục tiêu
Bài thực hành được tổ chức và thực hiện các mục tiêu như :
Kiểm tra các kết nối giữa các thiết bị.
14
Tổ chức tấn công vét cạn và thu thập thơng tin (ping sweep, dị port và thu thập thông tin
từ SNMP)
Thiết lập các ACL để giảm nguy cơ các cuộc tấn công diễn ra.
Thử lại các hình thức tấn cơng đã nêu và kiểm tra kết quả.
2.4. Kịch bản
Đối với đề tài “Implementing Firewall Technologies”, tạm dịch là “Triển khai các công
nghệ trên tường lửa”, cơ sở lý thuyết được xây dựng xung quanh các vấn đề như tổng quan về
tường lửa và các cơng nghệ nâng cao tính bảo mật như áp dụng Access Control List (ACL) để
kiểm soát các lưu lượng đến từ các nguồn và các chính sách dựa trên việc phân vùng (Zone).
Do nội dung chính của việc phân vùng là dựa trên chính sách về ACL để áp dụng cho một
nhóm bao gồm nhiều các giao diện mạng nên nội dung bài thực nghiệm sẽ tập trung nhiều vào
việc thiết lập các ACL để giảm thiểu các nguy cơ bị tấn công.
Bài thực hành thiết lập một mơ hình đơn giản bao gồm cả 3 đối tượng : kẻ tấn công (máy
Kali Linux), máy nạn nhân (máy Ubuntu Server), Router Cisco 3725 tích hợp tính năng ACL.
Q trình thực hiện dựa trên cả 2 mơ hình lả mơ hình khi chưa triển khai giải pháp ACL (mơ
hình khơng an tồn) và mơ hình sau khi đã triển khai giải pháp ACL (mơ hình an tồn).
Đối với mơ hình khơng an tồn, Router Cisco sẽ khơng được thiết lập các ACL. Các bước thực
hiện bao gồm :
Kẻ tấn cơng tổ chức tấn cơng bằng hình thức khai thác thông tin bằng sử dụng Nmap.
Các thông tin khai thác được các cổng được mở : 22 (dịch vụ SSH), cổng 161 (sử dụng
UDP cho dịch vụ SNMP) và cổng 80 (dịch vụ Web Server).
Đối với cổng 22 bằng dịch vụ SSH, kẻ tấn cơng có thể sử dụng hình thức vét cạn để dò
tìm mật khẩu. Trong phạm vi của bài thực hành thì nội dung của từ điển có chứa mật
khẩu của tài khoản người dùng nên kẻ tấn cơng có thể chiếm quyền truy cập trái phép vào
máy chủ.
15
Kẻ tấn cơng cũng có thể sử dụng hình thức Ping Sweep, tức gửi các gói tin ICMP đến các
máy bên trong mạng để tìm kiếm sự tồn tại của các Host.
Đối với cổng 161 của dịch vụ SNMP, kẻ tấn cơng có thể giả dạng là một SNMP
Manager, yêu cầu thiết bị gửi các thộng tin về cho chính mình, thay vì là máy giám sát
trong hệ thống.
Sau khi thực hiện trên mơ hình khơng an tồn, người quản trị có thể thiết lập các ACL cần thiết
để ngăn chặn hoặc giảm mức độ rủi ro các hình thức tấn cơng như trên có thể xảy ra.
2.5. Q trình thực hiện
2.5.1.Xây dựng mơ hình :
Thiết lập các thiết bị từ GNS 3
Hình 8. Mơ hình xây dựng trên GNS3.
16
Hình 9. Xây dựng thiết bị Cloud kết nối cổng VMNET1 cho nhóm mạng 192.168.131.0/24
Hình 10. Xây dựng thiết bị Cloud kết nối với cổng NAT cho nhóm mạng 192.168.38.0/24
Các thiết bị Cloud sẽ kết Các thiết bị thực hiện được thêm vào GNS 3 với dạng Local, tức là
không sử dụng GNS3 VM để thực hiện cài đặt và sử dụng các tập tin ảnh (image) của thiết bị.
Các nội dung cần thực hiện cho mơ hình :
Kéo các thiết bị cần thiết như Router, Các cloud, trong đó : Router đóng vai trị là thiết bị
định tuyến và các Cloud đóng vai trị như những lớp mạng. Các card mạng trong Cloud
sẽ kết nối với các Card mạng ảo của Vmware để thực hiện kết nối giữa Vmware và
GNS3.
17
Thực hiện cài đặt máy chủ Web Server, chứa các dịch vụ như : SSH (sử dụng cổng 22),
dịch vụ Apache HTTP Server (cổng 80) và dịch vụ SNMPD (cổng 161, gói tin dạng
UDP).
Thực hiện cài đặt máy giám sát Zabbix dùng đế giám sát hiệu năng của máy chủ Web
Server. Các yếu tố giám sát bao gồm : các thông số về phần cứng, các thông số về hiệu
năng mạng.
Máy Kali Linux chuẩn bị các phần mềm cần thiết để tổ chức tấn công, bao gồm : Hydra
(sử dụng bản giao diện) để tấn công vét cạn mật khẩu của dịch vụ SSH, phần mềm nmap
để khai thác thông tin về cổng hay tấn công dạng Sweep Ping để tìm kiếm sự tồn tại của
các Host trong hệ thống, phần mềm Metaspolit để khai thác thơng tin từ dịch vụ SNMP.
Cấu hình địa chỉ IP cho Router :
Thực hiện chuyển qua chế độ config và thực hiện cấu hình IP.
Mô tả nội dung Câu lệnh thực hiện
Chọn giao diện mạng là fa0/0 inter fastEthernet 0/0
Thiết lập IP và Subnet Mask ip address 192.168.38.10 255.255.255.0
Chuyển chế độ kích hoạt cho giao diện no shutdown
Thốt khỏi cấu hình giao diện hiện tại exit
Chọn giao diện mạng là fa0/1 inter fastEthernet 0/1
Thiết lập IP và Subnet Mask ip address 192.168.131.10 255.255.255.0
Chuyển chế độ kích hoạt cho giao diện no shutdown
Thốt khỏi cấu hình giao diện hiện tại exit
Hiển thị các thiết lập IP cho từng giao diện show ip interface brief
18