Tải bản đầy đủ (.pdf) (40 trang)

NGHIÊN CỨU VÀ TRIỂ N KHAI BẢ O MẬT HỆ THỐNG MẠ NG VỚI ACCESS CONTROL LIST TRÊN ROUTER 3900

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.84 MB, 40 trang )

<span class="text_page_counter">Trang 1</span><div class="page_container" data-page="1">

<b>LỜI CẢM ƠN </b>

Trên thực tế để đạt được thành công thường gắn liền với những sự hỗ trợ, giúp đỡ dù trực tiếp hay gián tiếp của người khác. Trong suốt thời gian từ khi bắt đầu học tập đến nay, em đã nhận được rất nhiều sự quan tâm, giúp đỡ của quý Thầy Cơ, gia đình và bạn bè.

Với lòng biết ơn sâu sắc nhất, em xin gửi đến quý Thầy Cô ở Khoa Khoa Học Máy Tính – Trường Cao Đẳng Cơng Nghệ Thông Tin Hữu Nghị Việt-Hàn đã dùng tri thức và tâm huyết của mình để truyền đạt vốn kiến thức quý báu cho chúng em trong suốt thời gian học tập tại trường.

Đặc biệt, em xin gửi lời cảm ơn chân thành tới cô giáo Dương Thị Thu Hiền, là người hướng dẫn, động viên và giúp đỡ em hoàn thành khóa luận tốt nghiệp này. Nếu khơng có những lời hướng dẫn, giúp đỡ của Cơ thì em nghĩ bài thu hoạch này của em rất khó có thể hồn thành được. Một lần nữa, em xin chân thành cảm ơn cô.

Mặc dù hết sức nổ lực và cố gắng, nhưng do kiến thức và kinh nghiệm còn hạn hẹp nên đề tài không tránh khỏi thiếu sót, rất mong nhận được sự chỉ dạy đóng góp ý kiến từ các thầy cô giáo và các bạn để đề tài được hoàn thiện hơn.

<i>Đà Nẵng, tháng 5 năm 2015 </i>

Sinh viên thực hiện Lê Anh Quốc

</div><span class="text_page_counter">Trang 2</span><div class="page_container" data-page="2">

<b>MỤC LỤC </b>

<b>LỜI CẢM ƠN ...i</b>

<b>MỤC LỤC ... ii</b>

<b>DANH MỤC TỪ VIẾT TẮT ...iv</b>

<b>DANH MỤC BẢNG BIỂU ... v</b>

<b>DANH MỤC HÌNH ẢNH ...vi</b>

<b>LỜI MỞ ĐẦU ... 1</b>

<b>CHƯƠNG I TỔNG QUAN VỀ AN NINH MẠNG ... 2</b>

<b>1.1Giới thiệu An Ninh Mạng ... 2</b>

<i><b>1.2.2 Phương diện logic... 5</b></i>

<b>CHƯƠNG II TỔNG QUAN VỀ ACCESS CONTROL LIST ... 7</b>

<b>2.1 Giới thiệu về ACL ... 7</b>

<b>2.2 Công dụng của ACL ... 7</b>

<b>2.3 Nguyên lý hoạt động ... 7</b>

<i><b>2.3.1 Inbound ... 7</b></i>

<i><b>2.3.2 Outbound ... 8</b></i>

<i><b>2.3.3 Giới thiệu Wildcard Mask ... 9</b></i>

<b>2.4 Phân loại ACL ... 11</b>

<i><b>2.4.1 Standard Access Control List ... 11</b></i>

<i><b>2.4.2 Extended Access Control List ... 16</b></i>

<b>CHƯƠNG III XÂY DỰNG MƠ HÌNH HỆ THỐNG VÀ TRIỂN KHAI CẤU HÌNH ACL ... 20</b>

<b>3.1 Mơ hình hệ thớng mạng ... 20</b>

<b>3.2 Cấu hình Standard Access Control List ... 21</b>

<b>3.3 Cấu hình Extended Access Control List ... 24</b>

<b>3.4 Tổng Kết ... 29</b>

<i><b>3.4.1 Đánh giá mô hình hệ thống ... 29</b></i>

</div><span class="text_page_counter">Trang 3</span><div class="page_container" data-page="3">

<i><b>3.4.3 So sánh ACL trên Router và ACL Firewall (ISA/TMG) ... 29</b></i>

<b>KẾT LUẬN ... 31</b>

<b>TÀI LIỆU THAM KHẢO ... vii</b>

<b>NHẬN XÉT CỦA CÁN BỘ HƯỚNG DẪN ... viii</b>

</div><span class="text_page_counter">Trang 4</span><div class="page_container" data-page="4">

<b>DANH MỤC TỪ VIẾT TẮT </b>

Subscriber Line

Đường thuê bao số bất đối xứng

Protocol

Giao thức điều khiển lớp giao vận

Protocol/Internet Protocol Chồng giao thức TCP/IP

</div><span class="text_page_counter">Trang 5</span><div class="page_container" data-page="5">

<b>DANH MỤC BẢNG BIỂU </b>

<b> </b>

</div><span class="text_page_counter">Trang 6</span><div class="page_container" data-page="6">

<b>DANH MỤC HÌNH ẢNH </b>

Hình 3.11 Cấu hình chặn gói ping từ site Branch1 đến các máy chủ. 25

</div><span class="text_page_counter">Trang 8</span><div class="page_container" data-page="8">

<b>LỜI MỞ ĐẦU </b>

 Lý do chọn đề tài

Bảo mật là một trong những lĩnh vực mà hiện nay giới công nghệ thông tin khá quan tâm. Nói đến bảo mật thì người ta phân thành 2 thành phần bảo vệ: bảo mật lớp thấp và bảo mật lớp cao. Trong mơ hình OSI lớp thấp bao gồm: lớp vật lý, lớp liên kết dữ liệu và lớp mạng. Lớp cao bao gồm: lớp vận chuyển, lớp phiên, lớp trình diễn và cuối cùng là lớp ứng dụng.

Hiện nay, các doanh nghiệp chỉ chú trọng bảo mật ở lớp cao như bảo vệ thông tin kiểm duyệt web, bảo mật internet, bảo mật http, bảo mật trên các hệ thống thanh toán điện tử và giao dịch trực tuyến….. Mà đa số các cuộc tấn công chủ yếu vào các lớp thấp nên hệ thống mạng chưa được bảo mật tốt nhất. Chính vì yếu tố này nên em đã chọn đề tài tốt nghiệp về Access Control List để bảo mật hệ thống mạng một cách hồn chỉnh nhất.

 Mục đích nghiên cứu

Nắm rõ nguyên lý hoạt động chung của ACL và các lệnh cấu hình cơ bản. Nghiên cứu thêm nguyên lý hoạt động của một firewall và quy tắc chung khi thiết kế một hệ thống mạng.

 Đối tượng và phạm vi nghiên cứu

<i> Đối tượng: Các doanh nghiệp, công ty, trường học…. </i>

<i> Phạm vi nghiên cứu: Mơ hình giả lập và phòng LAB trường CĐ CNTT Hữu </i>

Nghị Việt – Hàn.  Phương pháp nghiên cứu

 Thu thập và phân tích tài liệu liên quan tới ACL.

 So sánh ACL với Firewall.

 Xây dựng hệ thống mạng và demo cấu hình ACL.

 Kiểm tra đánh giá và rút ra kết luận. <i><b> Ý nghĩa khoa học và thực tiễn </b></i>

<i> Ý nghĩa khoa học: Có thể nghiên cứu và tìm hiểu lý thuyết bảo mật nhằm </i>

vận dụng được trong thực tế

<i> Ý nghĩa thực tiễn: Hiểu được cơ chế hoạt động, áp dụng rộng rãi cho các </i>

doanh nghiệp và cơng ty. Góp phần ngăn chặn các cuộc tấn công của hacker.

</div><span class="text_page_counter">Trang 9</span><div class="page_container" data-page="9">

<b>CHƯƠNG I TỔNG QUAN VỀ AN NINH MẠNG </b>

<b>1.1 Giới thiệu An Ninh Mạng </b>

An ninh mạng là một trong những lĩnh vực mà hiện nay giới công nghệ thông tin khá quan tâm. Một khi internet ra đời và phát triển, nhu cầu trao đổi thông tin trở nên cần thiết. Mục đích của việc kết nối mạng là làm cho mọi người có thể sử dụng chung tài nguyên mạng từ những vị trí địa lý khác nhau. Chính vì vậy mà các tài nguyên dễ dàng bị phân tán, xâm phạm, gây mất mát dữ liệu cũng như các thơng tin có giá trị. Kết nối càng rợng thì càng dễ bị tấn cơng, đó là một quy luật tất yếu. Từ đó, vấn đề bảo vệ thông tin xuất hiện và an ninh mạng ra đời.

Mỗi nguy cơ trên mạng đều là mối nguy hiểm tiềm tàng. Từ một lỗ hổng bảo mật nhỏ của hệ thống, nhưng nếu biết khai thác và lợi dụng với tầng suất cao có thể trở thành tai họa.

Theo thống kê Công ty an ninh mạng SecurityDaily, tổng cộng 1039 website của Việt Nam đã bị tấn công chỉ trong nửa đầu tháng 9/2014. Trong hơn 1.000 website lần này, có đến 30 website của các cơ quan chính phủ (gov.vn) và 69 website của các cơ quan giáo dục Việt Nam (edu.vn).

<i>Hình 1.1 Thống kê tội phạm mạng của SecurityDaily </i>

</div><span class="text_page_counter">Trang 10</span><div class="page_container" data-page="10">

<i>Hình 1.2 Tỉ lệ các quốc gia tấn công Internet </i>

Như vậy, số vụ tấn cơng ngày càng tăng lên với mức đợ chóng mặt. Điều này cũng dễ hiểu, vì mợt thực thể luôn tồn tại hai mặt đối lập nhau. Qua đó ta thấy phạm vi của bảo mật rất lớn, nó khơng cịn gói gọn trong mợt máy tính mợt cơ quan… mà là tồn cầu.

<i>Kẻ tấn công người ta thường gọi là hacker, ngay bản thân kẻ tấn cơng cũng tự gọi mình như thế. Ngoài ra người ta còn gọi chúng là kẻ tấn công (attracker) hay những kẻ xâm nhập (intruder). Trước đây Hacker được chia làm 2 loại nhưng hiện nay </i>

thì được chia thành 3 loại:  Hacker mũ đen

Đây là tên trợm chính hiệu mục tiêu của chúng là đợt nhập vào hệ thống máy tính của đối tượng để lấy cấp thông tin, nhằm mục đích bất chính. Hacker mũ đen là những tội phạm cần sự trừng trị của pháp luật.

 Hacker mũ trắng

Họ là những nhà bảo mật và bảo vệ hệ thống mạng. Họ cũng xâm nhập vào hệ thống, tìm ra những kẽ hở, những lỗ hởng chết người, và sau đó tìm cách vá lại chúng. Tất nhiên, hacker mũ trắng cũng có khả năng xâm nhập và cũng có thể trở thành hacker mũ đen.

</div><span class="text_page_counter">Trang 11</span><div class="page_container" data-page="11">

 Hacker mũ xám

Lọai này được kết hợp giữa hai loại trên. Thông thường họ là những người cịn trẻ, muốn thể hiện mình. Trong mợt thời điểm, họ đột nhập vào hệ thống để phá phách. Nhưng trong thời điểm khác họ có thể gửi đến nhà quản trị những thông tin về lỗ hổng bảo mật và đề xuất cách vá lỗi.

Ranh giới phân biệt các hacker rất mong manh. Một kẻ tấn công là hacker mũ trắng trong thời điểm này, nhưng ở thời điểm khác họ lại là một tên trộm chuyên nghiệp.

Các lỗ hổng bảo mật trên một hệ thống là các điểm yếu có thể tạo ra sự ngưng trệ của dịch vụ, thêm quyền đối với người sử dụng hoặc cho phép các truy cập không hợp pháp vào hệ thống. Có nhiều tở chức khác nhau tiến hành phân loại các dạng lỗ hổng đặc biêt. Theo cách phân loại của Bợ quốc phịng Mỹ, các loại lỗ hổng bảo mật trên một hệ thống được chia như sau:

 Lỗ hổng loại C

Các lỗ hổng loại này cho phép thực hiện các phương thức tấn công theo DoS (Dinal of Services – Từ chối dịch vụ). Mức độ nguy hiểm thấp, chỉ ảnh hưởng tới chất lượng dịch vụ, có thể làm ngưng trệ, gián đoạn hệ thống; không làm phá hỏng dữ liệu hoặc đạt được quyền truy cập bất hợp pháp.

 Lỗ hổng loại B

Các lỗ hổng cho phép người sử dụng có thêm các quyền trên hệ thống mà không cần thực hiện kiểm tra tính hợp lệ. Mức đợ nguy hiểm trung bình những lỗ hởng này thường có trong các ứng dụng trên hệ thống; có thể dẫn đến mất hoặc lộ thông tin yêu cầu bảo mật.

 Lỗ hổng loại A

Các lỗ hởng này cho phép người sử dụng ở ngồi có thể truy cập vào hệ thống bất hợp pháp. Lỗ hởng rất nguy hiểm, có thể làm phá hủy tồn bợ hệ thống.

<b>1.2 Đánh giá vấn đề an toàn, bảo mật hệ thống mạng </b>

<i><b>1.2.1 Phương diện vật lý </b></i>

 Bảo mật an ninh nơi lưu trữ các máy chủ.

 Khả năng cập nhật, nâng cấp, bổ xung phần cứng và phần mềm.  u cầu nguồn điện, có dự phịng trong tình huống mất điện đột ngột.

</div><span class="text_page_counter">Trang 12</span><div class="page_container" data-page="12">

 Các yêu cầu phù hợp với môi trường xung quanh: đợ ẩm, nhiệt đợ, chống sét, phịng chống cháy nở,…

<i><b>1.2.2 Phương diện logic </b></i>

 Tính bí mật (Confidentiality)

Là giới hạn các đối tượng được quyền truy xuất đến thông tin. Đối tượng truy xuất thơng tin có thể là con người, máy tính và phần mềm. Tùy theo tính chất của thông tin mà mức độ bí mật của chúng có thể khác nhau.

Ví dụ: User A gởi email cho User B thì email đó chỉ có User A và User B mới biết được nợi dung, cịn những User khác khơng thể biết được. Giả sử có User thứ 3 biết được nợi dung mail thì lúc này tính bí mật của email đó khơng còn nữa.

 Tính tồn vẹn (Integrity)

Tính tồn vẹn đảm bảo sự tồn tại ngun vẹn của thông tin, loại trừ mọi sự thay đởi thơng tin có chủ đích hoặc do hư hỏng, mất mát thơng tin vì sự cố thiết bị hoặc phần mềm.

 Tính sẵn sàng (Availability)

Mợt hệ thống đảm bảo tính sẵn sàng có nghĩa là có thể truy nhập dữ liệu bất cứ lúc nào mong muốn trong vòng một khoảng thời gian cho phép. Các cuộc tấn công khác nhau có thể tạo ra sự mất mát hoặc thiếu về sự sẵn sàng của dịch vụ.

 Tính xác thực (Authentication)

Đảm bảo rằng một cuộc trao đổi thông tin là đáng tin cậy giữa người gởi và người nhận.

Trong trường hợp một tương tác đang xảy ra, ví dụ kết nối của mợt đầu cuối đến máy chủ, có hai vấn đề sau: thứ nhất tại thời điểm khởi tạo kết nối, dịch vụ đảm bảo rằng hai thực thể là đáng tin. Thứ hai, dịch vụ cần phải đảm bảo rằng kết nối không bị gây nhiễu do một thực thể thứ ba và thực thể này có thể giả mạo là mợt trong hai thực thể hợp pháp để truyền tin hoặc nhận tin khơng được cho phép.

 Tính khơng thể phủ nhận (Non repudiation)

Tính khơng thể phủ nhận bảo đảm rằng người gửi và người nhận không thể chối bỏ một bản tin đã được truyền. Khi một bản tin được gửi đi, bên nhận có thể chứng minh được rằng bản tin đó thật sự được gửi từ người gửi hợp pháp. Hoàn toàn tương tự, khi mợt bản tin được nhận, bên gửi có thể chứng minh được bản tin đó đúng thật được nhận bởi người nhận hợp lệ.

</div><span class="text_page_counter">Trang 13</span><div class="page_container" data-page="13">

 Khả năng điều khiển truy nhập (Access Control)

Trong một hệ thống mạng được coi là bảo mật, an toàn thì người quản trị viên phải điều khiển được truy cập ra vào của hệ thống mạng, có thể cho phép hay ngăn chặn một truy cập nào đấy trong hệ thống.

</div><span class="text_page_counter">Trang 14</span><div class="page_container" data-page="14">

<b>CHƯƠNG II TỔNG QUAN VỀ ACCESS CONTROL LIST </b>

<b>2.1 Giới thiệu về ACL </b>

Bảo mật một vấn đề đặt lên hàng đầu cho việc truyền tải dữ liệu trong hệ thống mạng. Một trong những tính năng giải quyết vấn đề đó chính là Access Control List (ACL) được tích hợp sẵn trong các thiết bị Router.

Access control list (ACL), đúng như tên gọi của nó là mợt danh sách các câu lệnh được áp đặt vào các cổng (interface) của router. Danh sách này chỉ ra cho router biết loại packet nào được chấp nhận (allow) và loại packet nào bị hủy bỏ (deny). Sự chấp nhận và huỷ bỏ này có thể dựa vào địa chỉ nguồn, địa chỉ đích hoặc chỉ số port.

<b>2.2 Công dụng của ACL </b>

Access – list thường được sử dụng cho hai mục đích:  Lọc lưu lượng (traffic filtering)

Điều này được thực hiện bằng cách đặt access – list lên một cổng của router theo chiều in hoặc chiều out. Nếu đặt theo chiều in, ACL sẽ thực hiện lọc lưu lượng đi vào cổng và nếu đặt theo chiều out, ACL sẽ lọc lưu lượng đi ra khỏi cổng. Việc lọc bỏ hay cho qua lưu lượng trên một acces – list sẽ được căn cứ vào các từ khóa permit hoặc deny.

 Phân loại dữ liệu (data classification)

Trong trường hợp này, ACL sẽ được cấu hình để chỉ ra những đối tượng nào được tham gia và những đối tượng nào không được tham gia vào một tiến trình hay mợt hoạt đợng nào đấy của router (Ví dụ: distribute – list, NAT, VPN,…).

<b>2.3 Nguyên lý hoạt đợng </b>

ACL sẽ được thực hiện theo trình tự của các câu lệnh trong danh sách cấu hình khi tạo access-list. Nếu có mợt điều kiện được so khớp (matched) trong danh sách thì nó sẽ thực hiện, và các câu lệnh cịn lại sẽ khơng được kiểm tra nữa.Trường hợp tất cả các câu lệnh trong danh sách đều khơng khớp (unmatched) thì mợt câu lệnh mặc định “deny any” được thực hiện.

<i><b>2.3.1 Inbound </b></i>

Quản lý chiều đi vào (Inbound): Khi packet đi vào một interface, router sẽ kiểm tra xem có ACL trong inbound interface hay khơng, nếu có packet sẽ được kiểm tra đối chiếu với những điều kiện trong danh sách. Nếu packet đó được cho phép (allow)

</div><span class="text_page_counter">Trang 15</span><div class="page_container" data-page="15">

nó sẽ tiếp tục được kiểm tra trong bảng routing để quyết định chọn interface để đi đến đích và nếu khơng (deny) thì sẽ bỏ gói tin.

<i>Hình 2.1 Ngun lý hoạt động Inbound. </i>

Hình 2.1 mơ tả ngun lý hoạt đợng inbound, các gói dữ liệu đi vào interface và được kiểm tra tại đây nếu các gói tin đi vào trùng với các điều kiện mà rule đầu tiên đặt ra thì nó sẽ không cần kiểm tra các rule tiếp theo nữa mà chuyển đến bước là cho phép hay chặn gói tin; nếu cho phép thì gói tin sẽ được đẩy ra interface này đi đến đích còn nếu khơng cho phép thì gói tin sẽ bị hủy. Giả sử gói tin đi vào không trùng với các điều kiện mà rule đầu tiên đặt ra thì gói tin sẽ chuyển tiếp đến các rule tiếp theo và cũng kiểm tra gói tin có trùng với các điều kiện hay khơng. Quá trình này được lặp đi lặp lại khi gói tin đến rule cuối cùng mà vẫn khơng tìm được các điều kiện phù hợp thì gói tin sẽ bị hủy vì trong ACL ln ln có mợt rule mặc định là chặn tất cả (deny any) các gói tin khi đi qua nó.

<i><b>2.3.2 Outbound </b></i>

Về nguyên lý hoạt động của outbound và inbound là giống nhau, nhưng ở inbound khi các gói tin đi vào kiểm tra ACL xong rồi mới kiểm tra bảng định tuyến cịn outbound thì kiểm tra bảng định tuyến trước rồi mới kiểm tra đến ACL. Mục đích của outbound kiểm tra bảng định tuyến trước là đỡ tốn thời gian và năng lực xử lý của Router.

</div><span class="text_page_counter">Trang 16</span><div class="page_container" data-page="16">

<i>Hình 2.2 Ngun lý hoạt động Outbound. </i>

Hình 2.2 mơ tả nguyên lý hoạt động outbound. Các gói tin đi vào Router trên các interface thì router lấy địa chỉ đích của gói tin so sánh với bảng định tuyến nếu khơng có thì gói tin lập tức sẽ bị hủy cịn nếu có trong bảng định tuyến thì nó tiếp tục chuyển đến bước kế tiếp. Tiếp đến router xem thử có cấu hình ACL hay khơng nếu khơng có thì gói tin lập tức được chuyển ra interface này và chủn đến đích ngược lại nếu có cấu hình ACL thì router sẽ so sánh gói tin có trùng hợp với các rule của ACL đặt ra hay khơng và có quyền được đi qua hay khơng. Nếu được đi qua thì các gói tin chuyển tiếp ra interface này và đi đến đích còn ngược lại thì gói tin sẽ bị hủy.

<i><b>2.3.3 Giới thiệu Wildcard Mask </b></i>

<i>Hình 2.3 Mơ tả Wildcard Mask. </i>

Wildcard mask là một chuỗi 32 bit được chia thành 4 octet tương tự như subnet mask, trong đó có các giá trị 0 và 1. Với bit 0 thì sẽ kiểm tra bit của địa chỉ cùng vị trí

</div><span class="text_page_counter">Trang 17</span><div class="page_container" data-page="17">

còn khi bit 1 được bật lên thì khơng kiểm tra. Wildcard mask được dùng chính ở trong ACL và OSPF, EIGRP. Nói tóm lại là wildcard mask dùng để xác định chính xác mợt host, một dãy địa chỉ hay một mạng đây cũng chính là ưu điểm vượt trội của wildcard mask so với subnet mask.

Các ví dụ sau sẽ giúp hiểu rõ hơn về wildcard mask:  Wildcard mask mợt subnet: mạng 192.168.1.0/24

Cách tính: lấy 255.255.255.255 – subnet mask mạng 192.168.1.0/24

Kết quả: Wildcard mask 192.168.1.0/24 là 0.0.0.255 Wildcard mask của tất cả địa chỉ IP

Cách tính: Với nguyên tắt là bit 0 thì kiểm tra còn bit 1 là không kiểm tra vậy thì cho phép tất cả IP có nghĩa là khơng cần kiểm tra.

Kết quả: 255.255.255.255. Trong ACL thay vì ghi 255.255.255.255 thì chỉ cần từ “any” là được.

Wildcard mask của mợt IP: 192.168.1.1/24

Cách tính: Vì là địa chỉ IP cho một host nên cần phải kiểm tra tất cả các bit Kết quả: 0.0.0.0. Trong ACL thay vì ghi 0.0.0.0 thì chỉ cần ghi “host” để thay thế.

 So sánh giữa Subnet Mask và Wildcard Mask

Subnet mask và wildcard mask khác nhau hoàn toàn về nguyên tắc cũng như chức năng. Subnet mask có một chuỗi bit 1 kéo từ trái sang phải để xác định phần host và phần network của một địa chỉ IP tương ứng. Trong khi đó wildcard mask được

<b>dùng để lọc địa chỉ IP, lớp mạng hay một dãy địa địa chỉ IP. </b>

<i>Bảng 1: So sánh subnet mask và wildcard mask. </i>

Cấu trúc - dài 32 bit hoặc 4 octet. - dài 32 bit hoặc 4 octet.

Mục đích - phân biệt net ID và host ID. <sup>- lọc chính xác IP hoặc lớp mạng hay dãy </sup>

</div><span class="text_page_counter">Trang 18</span><div class="page_container" data-page="18">

dụng static.

<b>2.4 Phân loại ACL </b>

ACLs được phân làm các loại sau: Standard ACLs, Extended ACLs, Dynamic ACLs (Lock and Key), Reflexive ACLs, Time-based ACLs. Tuy nhiên ta chỉ tìm hiểu hai loại đó là Standard ACL và Extended ACLs.

ACLs có thể được tạo ra bằng hai cách là dùng Numbered ACLs hay Name ACLs.

 Numbered ACL: Ta gán một số dưa trên các giao thức để lọc gói tin.

 1-99 và 1300-1999: Standard IP ACL.

 100-199 và 2000-2699: Extended IP ACL.

 Named ACL: Ta cũng có thể sử dụng tên để gán cho ACL.

 Tên có thể chứa các ký tự chữ và số.

 Nên đặt tên bằng chữ in hoa.

 Tên khơng thể có khoảng cách hoặc dấu chấm câu và phải bắt đầu bằng chữ cái.

 Ta có thể them hoặc xóa các lệnh.

<i><b>2.4.1 Standard Access Control List </b></i>

Loại ACL này chỉ đề cập đến source IP của gói tin IP, không đề cập thêm bất cứ thông tin nào khác của gói tin. Standard ACL có thể đặt theo chiều Inbound hoặc Outbound; Standard ACL nên đặt gần đích và đặt theo chiều Outbound vì Standard ACL chỉ kiểm tra địa chỉ IP nguồn.

Vị trí đặt ACL rất quan trọng nó có thể cho phép hệ thống mạng hoạt động tối ưu nhất hoặc là hệ thống mạng sẽ bị trì trệ nếu chúng ta đặt ACL khơng đúng cách.

</div><span class="text_page_counter">Trang 19</span><div class="page_container" data-page="19">

<i>Hình 2.4 Mơ hình ví dụ Standard ACL. </i>

Ví dụ: Cấm Branch1 truy cập đến Server theo như mô hình trên. Như vậy Branch1 là nguồn còn Server là đích vậy ta sẽ có các trường hợp đặt Standard ACL như sau:

<i><b>- Trường hợp 1: Đặt Standard ACL tại Router Branch1 thì các host khơng thể </b></i>

truy cập đến server được đúng hoàn toàn nhưng host cũng sẽ không truy cập đến các miền mạng khác được vì các gói tin từ host gởi đi đều bị Router Branch1 chặn lại (do kiểm tra theo địa chỉ nguồn).

<i><b>- Trường hợp 2: Đặt Standard ACL tại Router HQ khi Router HQ nhận được gói </b></i>

tin từ host nó sẽ chặn ngay lập tức. Ngồi ra host cịn có thể truy cập ra các mạng khác. Đây là trường hợp tối ưu nhất.

Qua ví dụ nho nhỏ trên ta thấy được tầm quan trọng của ACL cũng như sự hiểu biết của người quản trị viên về nguyên lý hoạt động của ACL.

<b>2.4.1.1 Nguyên lý hoạt động của Standard ACL </b>

Nguyên lý hoạt động của Standard ACL được mô tả rất chi tiết như hình trên và lần lượt các bước thực hiện như sau:

</div><span class="text_page_counter">Trang 20</span><div class="page_container" data-page="20">

<small>Có phải gói tin này là IP packet ?</small>

<small>Địa chỉ nguồn có phù hợp với ACL không ?</small>

<small>Cho phép hoặc chặn so với điều kiện ?</small>

<small>IP đích có trong bảng định tuyến hay không ?</small>

<small>Đây có phải là mục cuối cùng của ACL chưa ?Gởi thơng báo </small>

<small>khơng tìm thấy đích</small>

<small>Có danh sách ACL hoạt động trên interface này </small>

<small>không ?</small>

<i>Hình 2.5 Nguyên lý hoạt động của Standard ACL. </i>

(1) Router sẽ kiểm tra xem thử gói tin đi vào có phải là gói tin IP hay khơng nếu là gói tin IP thì tiếp tục chuyển xuống bước tiếp theo (2) còn nếu khơng phải thì chủn xuống bước (5).

(2) Kiểm tra Interface này có mở tính năng ACL lên hay khơng nếu có chủn xuống bước tiếp theo (3) cịn khơng mở thì chủn xuống bước (5).

(3) Kiểm tra địa chỉ nguồn của gói tin đi vào vì Standard ACL chỉ quan tâm đến địa chỉ nguồn nếu như địa chỉ nguồn trùng với địa chỉ trong danh sách ACL thì chuyển tiếp xuống bước (4) ngược lại khơng có thì chủn sang bước (6).

(6) Kiểm tra xem thử có phải là danh sách ACL cuối cùng hay chưa vì khi cấu hình ACL ta cấu hình nguyên danh sách địa chỉ cho phép hoặc là cấm nên cần phải so sánh cho hết danh sách đó. Nếu là mục cuối cùng thì chuyển đến (8) ngược lại thì chuyển sang (7).s

</div>

×