NGHIÊN CỨU VÀ TRIỂ N KHAI BẢ O MẬT HỆ THỐNG MẠ NG VỚI ACCESS CONTROL LIST TRÊN ROUTER 3900

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.84 MB, 40 trang )

Trang 1<div class="page_container" data-page="1">

LỜI CẢM ƠN

Trên thực tế để đạt được thành công thường gắn liền với những sự hỗ trợ, giúp đỡ dù trực tiếp hay gián tiếp của người khác. Trong suốt thời gian từ khi bắt đầu học tập đến nay, em đã nhận được rất nhiều sự quan tâm, giúp đỡ của quý Thầy Cơ, gia đình và bạn bè.

Với lòng biết ơn sâu sắc nhất, em xin gửi đến quý Thầy Cô ở Khoa Khoa Học Máy Tính – Trường Cao Đẳng Cơng Nghệ Thông Tin Hữu Nghị Việt-Hàn đã dùng tri thức và tâm huyết của mình để truyền đạt vốn kiến thức quý báu cho chúng em trong suốt thời gian học tập tại trường.

Đặc biệt, em xin gửi lời cảm ơn chân thành tới cô giáo Dương Thị Thu Hiền, là người hướng dẫn, động viên và giúp đỡ em hoàn thành khóa luận tốt nghiệp này. Nếu khơng có những lời hướng dẫn, giúp đỡ của Cơ thì em nghĩ bài thu hoạch này của em rất khó có thể hồn thành được. Một lần nữa, em xin chân thành cảm ơn cô.

Mặc dù hết sức nổ lực và cố gắng, nhưng do kiến thức và kinh nghiệm còn hạn hẹp nên đề tài không tránh khỏi thiếu sót, rất mong nhận được sự chỉ dạy đóng góp ý kiến từ các thầy cô giáo và các bạn để đề tài được hoàn thiện hơn.

Đà Nẵng, tháng 5 năm 2015

Sinh viên thực hiện Lê Anh Quốc

</div>Trang 2<div class="page_container" data-page="2">

MỤC LỤC

LỜI CẢM ƠN ...i

MỤC LỤC ... ii

DANH MỤC TỪ VIẾT TẮT ...iv

DANH MỤC BẢNG BIỂU ... v

DANH MỤC HÌNH ẢNH ...vi

LỜI MỞ ĐẦU ... 1

CHƯƠNG I TỔNG QUAN VỀ AN NINH MẠNG ... 2

1.1Giới thiệu An Ninh Mạng ... 2

1.2.2 Phương diện logic... 5

CHƯƠNG II TỔNG QUAN VỀ ACCESS CONTROL LIST ... 7

2.1 Giới thiệu về ACL ... 7

2.2 Công dụng của ACL ... 7

2.3 Nguyên lý hoạt động ... 7

2.3.1 Inbound ... 7

2.3.2 Outbound ... 8

2.3.3 Giới thiệu Wildcard Mask ... 9

2.4 Phân loại ACL ... 11

2.4.1 Standard Access Control List ... 11

2.4.2 Extended Access Control List ... 16

CHƯƠNG III XÂY DỰNG MƠ HÌNH HỆ THỐNG VÀ TRIỂN KHAI CẤU HÌNH ACL ... 20

3.1 Mơ hình hệ thớng mạng ... 20

3.2 Cấu hình Standard Access Control List ... 21

3.3 Cấu hình Extended Access Control List ... 24

3.4 Tổng Kết ... 29

3.4.1 Đánh giá mô hình hệ thống ... 29

</div>Trang 3<div class="page_container" data-page="3">

3.4.3 So sánh ACL trên Router và ACL Firewall (ISA/TMG) ... 29

KẾT LUẬN ... 31

TÀI LIỆU THAM KHẢO ... vii

NHẬN XÉT CỦA CÁN BỘ HƯỚNG DẪN ... viii

</div>Trang 4<div class="page_container" data-page="4">

DANH MỤC TỪ VIẾT TẮT

Subscriber Line

Đường thuê bao số bất đối xứng

Protocol

Giao thức điều khiển lớp giao vận

Protocol/Internet Protocol Chồng giao thức TCP/IP

</div>Trang 5<div class="page_container" data-page="5">

DANH MỤC BẢNG BIỂU

</div>Trang 6<div class="page_container" data-page="6">

DANH MỤC HÌNH ẢNH

Hình 3.11 Cấu hình chặn gói ping từ site Branch1 đến các máy chủ. 25

</div>Trang 8<div class="page_container" data-page="8">

LỜI MỞ ĐẦU

 Lý do chọn đề tài

Bảo mật là một trong những lĩnh vực mà hiện nay giới công nghệ thông tin khá quan tâm. Nói đến bảo mật thì người ta phân thành 2 thành phần bảo vệ: bảo mật lớp thấp và bảo mật lớp cao. Trong mơ hình OSI lớp thấp bao gồm: lớp vật lý, lớp liên kết dữ liệu và lớp mạng. Lớp cao bao gồm: lớp vận chuyển, lớp phiên, lớp trình diễn và cuối cùng là lớp ứng dụng.

Hiện nay, các doanh nghiệp chỉ chú trọng bảo mật ở lớp cao như bảo vệ thông tin kiểm duyệt web, bảo mật internet, bảo mật http, bảo mật trên các hệ thống thanh toán điện tử và giao dịch trực tuyến….. Mà đa số các cuộc tấn công chủ yếu vào các lớp thấp nên hệ thống mạng chưa được bảo mật tốt nhất. Chính vì yếu tố này nên em đã chọn đề tài tốt nghiệp về Access Control List để bảo mật hệ thống mạng một cách hồn chỉnh nhất.

 Mục đích nghiên cứu

Nắm rõ nguyên lý hoạt động chung của ACL và các lệnh cấu hình cơ bản. Nghiên cứu thêm nguyên lý hoạt động của một firewall và quy tắc chung khi thiết kế một hệ thống mạng.

 Đối tượng và phạm vi nghiên cứu

 Đối tượng: Các doanh nghiệp, công ty, trường học….

 Phạm vi nghiên cứu: Mơ hình giả lập và phòng LAB trường CĐ CNTT Hữu

Nghị Việt – Hàn.  Phương pháp nghiên cứu

 Thu thập và phân tích tài liệu liên quan tới ACL.

 So sánh ACL với Firewall.

 Xây dựng hệ thống mạng và demo cấu hình ACL.

 Kiểm tra đánh giá và rút ra kết luận.  Ý nghĩa khoa học và thực tiễn

 Ý nghĩa khoa học: Có thể nghiên cứu và tìm hiểu lý thuyết bảo mật nhằm

vận dụng được trong thực tế

 Ý nghĩa thực tiễn: Hiểu được cơ chế hoạt động, áp dụng rộng rãi cho các

doanh nghiệp và cơng ty. Góp phần ngăn chặn các cuộc tấn công của hacker.

</div>Trang 9<div class="page_container" data-page="9">

CHƯƠNG I TỔNG QUAN VỀ AN NINH MẠNG

1.1 Giới thiệu An Ninh Mạng

An ninh mạng là một trong những lĩnh vực mà hiện nay giới công nghệ thông tin khá quan tâm. Một khi internet ra đời và phát triển, nhu cầu trao đổi thông tin trở nên cần thiết. Mục đích của việc kết nối mạng là làm cho mọi người có thể sử dụng chung tài nguyên mạng từ những vị trí địa lý khác nhau. Chính vì vậy mà các tài nguyên dễ dàng bị phân tán, xâm phạm, gây mất mát dữ liệu cũng như các thơng tin có giá trị. Kết nối càng rợng thì càng dễ bị tấn cơng, đó là một quy luật tất yếu. Từ đó, vấn đề bảo vệ thông tin xuất hiện và an ninh mạng ra đời.

Mỗi nguy cơ trên mạng đều là mối nguy hiểm tiềm tàng. Từ một lỗ hổng bảo mật nhỏ của hệ thống, nhưng nếu biết khai thác và lợi dụng với tầng suất cao có thể trở thành tai họa.

Theo thống kê Công ty an ninh mạng SecurityDaily, tổng cộng 1039 website của Việt Nam đã bị tấn công chỉ trong nửa đầu tháng 9/2014. Trong hơn 1.000 website lần này, có đến 30 website của các cơ quan chính phủ (gov.vn) và 69 website của các cơ quan giáo dục Việt Nam (edu.vn).

Hình 1.1 Thống kê tội phạm mạng của SecurityDaily

</div>Trang 10<div class="page_container" data-page="10">

Hình 1.2 Tỉ lệ các quốc gia tấn công Internet

Như vậy, số vụ tấn cơng ngày càng tăng lên với mức đợ chóng mặt. Điều này cũng dễ hiểu, vì mợt thực thể luôn tồn tại hai mặt đối lập nhau. Qua đó ta thấy phạm vi của bảo mật rất lớn, nó khơng cịn gói gọn trong mợt máy tính mợt cơ quan… mà là tồn cầu.

Kẻ tấn công người ta thường gọi là hacker, ngay bản thân kẻ tấn cơng cũng tự gọi mình như thế. Ngoài ra người ta còn gọi chúng là kẻ tấn công (attracker) hay những kẻ xâm nhập (intruder). Trước đây Hacker được chia làm 2 loại nhưng hiện nay

thì được chia thành 3 loại:  Hacker mũ đen

Đây là tên trợm chính hiệu mục tiêu của chúng là đợt nhập vào hệ thống máy tính của đối tượng để lấy cấp thông tin, nhằm mục đích bất chính. Hacker mũ đen là những tội phạm cần sự trừng trị của pháp luật.

 Hacker mũ trắng

Họ là những nhà bảo mật và bảo vệ hệ thống mạng. Họ cũng xâm nhập vào hệ thống, tìm ra những kẽ hở, những lỗ hởng chết người, và sau đó tìm cách vá lại chúng. Tất nhiên, hacker mũ trắng cũng có khả năng xâm nhập và cũng có thể trở thành hacker mũ đen.

</div>Trang 11<div class="page_container" data-page="11">

 Hacker mũ xám

Lọai này được kết hợp giữa hai loại trên. Thông thường họ là những người cịn trẻ, muốn thể hiện mình. Trong mợt thời điểm, họ đột nhập vào hệ thống để phá phách. Nhưng trong thời điểm khác họ có thể gửi đến nhà quản trị những thông tin về lỗ hổng bảo mật và đề xuất cách vá lỗi.

Ranh giới phân biệt các hacker rất mong manh. Một kẻ tấn công là hacker mũ trắng trong thời điểm này, nhưng ở thời điểm khác họ lại là một tên trộm chuyên nghiệp.

Các lỗ hổng bảo mật trên một hệ thống là các điểm yếu có thể tạo ra sự ngưng trệ của dịch vụ, thêm quyền đối với người sử dụng hoặc cho phép các truy cập không hợp pháp vào hệ thống. Có nhiều tở chức khác nhau tiến hành phân loại các dạng lỗ hổng đặc biêt. Theo cách phân loại của Bợ quốc phịng Mỹ, các loại lỗ hổng bảo mật trên một hệ thống được chia như sau:

 Lỗ hổng loại C

Các lỗ hổng loại này cho phép thực hiện các phương thức tấn công theo DoS (Dinal of Services – Từ chối dịch vụ). Mức độ nguy hiểm thấp, chỉ ảnh hưởng tới chất lượng dịch vụ, có thể làm ngưng trệ, gián đoạn hệ thống; không làm phá hỏng dữ liệu hoặc đạt được quyền truy cập bất hợp pháp.

 Lỗ hổng loại B

Các lỗ hổng cho phép người sử dụng có thêm các quyền trên hệ thống mà không cần thực hiện kiểm tra tính hợp lệ. Mức đợ nguy hiểm trung bình những lỗ hởng này thường có trong các ứng dụng trên hệ thống; có thể dẫn đến mất hoặc lộ thông tin yêu cầu bảo mật.

 Lỗ hổng loại A

Các lỗ hởng này cho phép người sử dụng ở ngồi có thể truy cập vào hệ thống bất hợp pháp. Lỗ hởng rất nguy hiểm, có thể làm phá hủy tồn bợ hệ thống.

1.2 Đánh giá vấn đề an toàn, bảo mật hệ thống mạng

1.2.1 Phương diện vật lý

 Bảo mật an ninh nơi lưu trữ các máy chủ.

 Khả năng cập nhật, nâng cấp, bổ xung phần cứng và phần mềm.  u cầu nguồn điện, có dự phịng trong tình huống mất điện đột ngột.

</div>Trang 12<div class="page_container" data-page="12">

 Các yêu cầu phù hợp với môi trường xung quanh: đợ ẩm, nhiệt đợ, chống sét, phịng chống cháy nở,…

1.2.2 Phương diện logic

 Tính bí mật (Confidentiality)

Là giới hạn các đối tượng được quyền truy xuất đến thông tin. Đối tượng truy xuất thơng tin có thể là con người, máy tính và phần mềm. Tùy theo tính chất của thông tin mà mức độ bí mật của chúng có thể khác nhau.

Ví dụ: User A gởi email cho User B thì email đó chỉ có User A và User B mới biết được nợi dung, cịn những User khác khơng thể biết được. Giả sử có User thứ 3 biết được nợi dung mail thì lúc này tính bí mật của email đó khơng còn nữa.

 Tính tồn vẹn (Integrity)

Tính tồn vẹn đảm bảo sự tồn tại ngun vẹn của thông tin, loại trừ mọi sự thay đởi thơng tin có chủ đích hoặc do hư hỏng, mất mát thơng tin vì sự cố thiết bị hoặc phần mềm.

 Tính sẵn sàng (Availability)

Mợt hệ thống đảm bảo tính sẵn sàng có nghĩa là có thể truy nhập dữ liệu bất cứ lúc nào mong muốn trong vòng một khoảng thời gian cho phép. Các cuộc tấn công khác nhau có thể tạo ra sự mất mát hoặc thiếu về sự sẵn sàng của dịch vụ.

 Tính xác thực (Authentication)

Đảm bảo rằng một cuộc trao đổi thông tin là đáng tin cậy giữa người gởi và người nhận.

Trong trường hợp một tương tác đang xảy ra, ví dụ kết nối của mợt đầu cuối đến máy chủ, có hai vấn đề sau: thứ nhất tại thời điểm khởi tạo kết nối, dịch vụ đảm bảo rằng hai thực thể là đáng tin. Thứ hai, dịch vụ cần phải đảm bảo rằng kết nối không bị gây nhiễu do một thực thể thứ ba và thực thể này có thể giả mạo là mợt trong hai thực thể hợp pháp để truyền tin hoặc nhận tin khơng được cho phép.

 Tính khơng thể phủ nhận (Non repudiation)

Tính khơng thể phủ nhận bảo đảm rằng người gửi và người nhận không thể chối bỏ một bản tin đã được truyền. Khi một bản tin được gửi đi, bên nhận có thể chứng minh được rằng bản tin đó thật sự được gửi từ người gửi hợp pháp. Hoàn toàn tương tự, khi mợt bản tin được nhận, bên gửi có thể chứng minh được bản tin đó đúng thật được nhận bởi người nhận hợp lệ.

</div>Trang 13<div class="page_container" data-page="13">

 Khả năng điều khiển truy nhập (Access Control)

Trong một hệ thống mạng được coi là bảo mật, an toàn thì người quản trị viên phải điều khiển được truy cập ra vào của hệ thống mạng, có thể cho phép hay ngăn chặn một truy cập nào đấy trong hệ thống.

</div>Trang 14<div class="page_container" data-page="14">

CHƯƠNG II TỔNG QUAN VỀ ACCESS CONTROL LIST

2.1 Giới thiệu về ACL

Bảo mật một vấn đề đặt lên hàng đầu cho việc truyền tải dữ liệu trong hệ thống mạng. Một trong những tính năng giải quyết vấn đề đó chính là Access Control List (ACL) được tích hợp sẵn trong các thiết bị Router.

Access control list (ACL), đúng như tên gọi của nó là mợt danh sách các câu lệnh được áp đặt vào các cổng (interface) của router. Danh sách này chỉ ra cho router biết loại packet nào được chấp nhận (allow) và loại packet nào bị hủy bỏ (deny). Sự chấp nhận và huỷ bỏ này có thể dựa vào địa chỉ nguồn, địa chỉ đích hoặc chỉ số port.

2.2 Công dụng của ACL

Access – list thường được sử dụng cho hai mục đích:  Lọc lưu lượng (traffic filtering)

Điều này được thực hiện bằng cách đặt access – list lên một cổng của router theo chiều in hoặc chiều out. Nếu đặt theo chiều in, ACL sẽ thực hiện lọc lưu lượng đi vào cổng và nếu đặt theo chiều out, ACL sẽ lọc lưu lượng đi ra khỏi cổng. Việc lọc bỏ hay cho qua lưu lượng trên một acces – list sẽ được căn cứ vào các từ khóa permit hoặc deny.

 Phân loại dữ liệu (data classification)

Trong trường hợp này, ACL sẽ được cấu hình để chỉ ra những đối tượng nào được tham gia và những đối tượng nào không được tham gia vào một tiến trình hay mợt hoạt đợng nào đấy của router (Ví dụ: distribute – list, NAT, VPN,…).

2.3 Nguyên lý hoạt đợng

ACL sẽ được thực hiện theo trình tự của các câu lệnh trong danh sách cấu hình khi tạo access-list. Nếu có mợt điều kiện được so khớp (matched) trong danh sách thì nó sẽ thực hiện, và các câu lệnh cịn lại sẽ khơng được kiểm tra nữa.Trường hợp tất cả các câu lệnh trong danh sách đều khơng khớp (unmatched) thì mợt câu lệnh mặc định “deny any” được thực hiện.

2.3.1 Inbound

Quản lý chiều đi vào (Inbound): Khi packet đi vào một interface, router sẽ kiểm tra xem có ACL trong inbound interface hay khơng, nếu có packet sẽ được kiểm tra đối chiếu với những điều kiện trong danh sách. Nếu packet đó được cho phép (allow)

</div>Trang 15<div class="page_container" data-page="15">

nó sẽ tiếp tục được kiểm tra trong bảng routing để quyết định chọn interface để đi đến đích và nếu khơng (deny) thì sẽ bỏ gói tin.

Hình 2.1 Ngun lý hoạt động Inbound.

Hình 2.1 mơ tả ngun lý hoạt đợng inbound, các gói dữ liệu đi vào interface và được kiểm tra tại đây nếu các gói tin đi vào trùng với các điều kiện mà rule đầu tiên đặt ra thì nó sẽ không cần kiểm tra các rule tiếp theo nữa mà chuyển đến bước là cho phép hay chặn gói tin; nếu cho phép thì gói tin sẽ được đẩy ra interface này đi đến đích còn nếu khơng cho phép thì gói tin sẽ bị hủy. Giả sử gói tin đi vào không trùng với các điều kiện mà rule đầu tiên đặt ra thì gói tin sẽ chuyển tiếp đến các rule tiếp theo và cũng kiểm tra gói tin có trùng với các điều kiện hay khơng. Quá trình này được lặp đi lặp lại khi gói tin đến rule cuối cùng mà vẫn khơng tìm được các điều kiện phù hợp thì gói tin sẽ bị hủy vì trong ACL ln ln có mợt rule mặc định là chặn tất cả (deny any) các gói tin khi đi qua nó.

2.3.2 Outbound

Về nguyên lý hoạt động của outbound và inbound là giống nhau, nhưng ở inbound khi các gói tin đi vào kiểm tra ACL xong rồi mới kiểm tra bảng định tuyến cịn outbound thì kiểm tra bảng định tuyến trước rồi mới kiểm tra đến ACL. Mục đích của outbound kiểm tra bảng định tuyến trước là đỡ tốn thời gian và năng lực xử lý của Router.

</div>Trang 16<div class="page_container" data-page="16">

Hình 2.2 Ngun lý hoạt động Outbound.

Hình 2.2 mơ tả nguyên lý hoạt động outbound. Các gói tin đi vào Router trên các interface thì router lấy địa chỉ đích của gói tin so sánh với bảng định tuyến nếu khơng có thì gói tin lập tức sẽ bị hủy cịn nếu có trong bảng định tuyến thì nó tiếp tục chuyển đến bước kế tiếp. Tiếp đến router xem thử có cấu hình ACL hay khơng nếu khơng có thì gói tin lập tức được chuyển ra interface này và chủn đến đích ngược lại nếu có cấu hình ACL thì router sẽ so sánh gói tin có trùng hợp với các rule của ACL đặt ra hay khơng và có quyền được đi qua hay khơng. Nếu được đi qua thì các gói tin chuyển tiếp ra interface này và đi đến đích còn ngược lại thì gói tin sẽ bị hủy.

2.3.3 Giới thiệu Wildcard Mask

Hình 2.3 Mơ tả Wildcard Mask.

Wildcard mask là một chuỗi 32 bit được chia thành 4 octet tương tự như subnet mask, trong đó có các giá trị 0 và 1. Với bit 0 thì sẽ kiểm tra bit của địa chỉ cùng vị trí

</div>Trang 17<div class="page_container" data-page="17">

còn khi bit 1 được bật lên thì khơng kiểm tra. Wildcard mask được dùng chính ở trong ACL và OSPF, EIGRP. Nói tóm lại là wildcard mask dùng để xác định chính xác mợt host, một dãy địa chỉ hay một mạng đây cũng chính là ưu điểm vượt trội của wildcard mask so với subnet mask.

Các ví dụ sau sẽ giúp hiểu rõ hơn về wildcard mask:  Wildcard mask mợt subnet: mạng 192.168.1.0/24

Cách tính: lấy 255.255.255.255 – subnet mask mạng 192.168.1.0/24

Kết quả: Wildcard mask 192.168.1.0/24 là 0.0.0.255 Wildcard mask của tất cả địa chỉ IP

Cách tính: Với nguyên tắt là bit 0 thì kiểm tra còn bit 1 là không kiểm tra vậy thì cho phép tất cả IP có nghĩa là khơng cần kiểm tra.

Kết quả: 255.255.255.255. Trong ACL thay vì ghi 255.255.255.255 thì chỉ cần từ “any” là được.

Wildcard mask của mợt IP: 192.168.1.1/24

Cách tính: Vì là địa chỉ IP cho một host nên cần phải kiểm tra tất cả các bit Kết quả: 0.0.0.0. Trong ACL thay vì ghi 0.0.0.0 thì chỉ cần ghi “host” để thay thế.

 So sánh giữa Subnet Mask và Wildcard Mask

Subnet mask và wildcard mask khác nhau hoàn toàn về nguyên tắc cũng như chức năng. Subnet mask có một chuỗi bit 1 kéo từ trái sang phải để xác định phần host và phần network của một địa chỉ IP tương ứng. Trong khi đó wildcard mask được

dùng để lọc địa chỉ IP, lớp mạng hay một dãy địa địa chỉ IP.

Bảng 1: So sánh subnet mask và wildcard mask.

Cấu trúc - dài 32 bit hoặc 4 octet. - dài 32 bit hoặc 4 octet.

Mục đích - phân biệt net ID và host ID. - lọc chính xác IP hoặc lớp mạng hay dãy

</div>Trang 18<div class="page_container" data-page="18">

dụng static.

2.4 Phân loại ACL

ACLs được phân làm các loại sau: Standard ACLs, Extended ACLs, Dynamic ACLs (Lock and Key), Reflexive ACLs, Time-based ACLs. Tuy nhiên ta chỉ tìm hiểu hai loại đó là Standard ACL và Extended ACLs.

ACLs có thể được tạo ra bằng hai cách là dùng Numbered ACLs hay Name ACLs.

 Numbered ACL: Ta gán một số dưa trên các giao thức để lọc gói tin.

 1-99 và 1300-1999: Standard IP ACL.

 100-199 và 2000-2699: Extended IP ACL.

 Named ACL: Ta cũng có thể sử dụng tên để gán cho ACL.

 Tên có thể chứa các ký tự chữ và số.

 Nên đặt tên bằng chữ in hoa.

 Tên khơng thể có khoảng cách hoặc dấu chấm câu và phải bắt đầu bằng chữ cái.

 Ta có thể them hoặc xóa các lệnh.

2.4.1 Standard Access Control List

Loại ACL này chỉ đề cập đến source IP của gói tin IP, không đề cập thêm bất cứ thông tin nào khác của gói tin. Standard ACL có thể đặt theo chiều Inbound hoặc Outbound; Standard ACL nên đặt gần đích và đặt theo chiều Outbound vì Standard ACL chỉ kiểm tra địa chỉ IP nguồn.

Vị trí đặt ACL rất quan trọng nó có thể cho phép hệ thống mạng hoạt động tối ưu nhất hoặc là hệ thống mạng sẽ bị trì trệ nếu chúng ta đặt ACL khơng đúng cách.

</div>Trang 19<div class="page_container" data-page="19">

Hình 2.4 Mơ hình ví dụ Standard ACL.

Ví dụ: Cấm Branch1 truy cập đến Server theo như mô hình trên. Như vậy Branch1 là nguồn còn Server là đích vậy ta sẽ có các trường hợp đặt Standard ACL như sau:

- Trường hợp 1: Đặt Standard ACL tại Router Branch1 thì các host khơng thể

truy cập đến server được đúng hoàn toàn nhưng host cũng sẽ không truy cập đến các miền mạng khác được vì các gói tin từ host gởi đi đều bị Router Branch1 chặn lại (do kiểm tra theo địa chỉ nguồn).

- Trường hợp 2: Đặt Standard ACL tại Router HQ khi Router HQ nhận được gói

tin từ host nó sẽ chặn ngay lập tức. Ngồi ra host cịn có thể truy cập ra các mạng khác. Đây là trường hợp tối ưu nhất.

Qua ví dụ nho nhỏ trên ta thấy được tầm quan trọng của ACL cũng như sự hiểu biết của người quản trị viên về nguyên lý hoạt động của ACL.

2.4.1.1 Nguyên lý hoạt động của Standard ACL

Nguyên lý hoạt động của Standard ACL được mô tả rất chi tiết như hình trên và lần lượt các bước thực hiện như sau:

</div>Trang 20<div class="page_container" data-page="20">

Có phải gói tin này là IP packet ?

Địa chỉ nguồn có phù hợp với ACL không ?

Cho phép hoặc chặn so với điều kiện ?

IP đích có trong bảng định tuyến hay không ?

Đây có phải là mục cuối cùng của ACL chưa ?Gởi thơng báo

khơng tìm thấy đích

Có danh sách ACL hoạt động trên interface này

không ?

Hình 2.5 Nguyên lý hoạt động của Standard ACL.

(1) Router sẽ kiểm tra xem thử gói tin đi vào có phải là gói tin IP hay khơng nếu là gói tin IP thì tiếp tục chuyển xuống bước tiếp theo (2) còn nếu khơng phải thì chủn xuống bước (5).

(2) Kiểm tra Interface này có mở tính năng ACL lên hay khơng nếu có chủn xuống bước tiếp theo (3) cịn khơng mở thì chủn xuống bước (5).

(3) Kiểm tra địa chỉ nguồn của gói tin đi vào vì Standard ACL chỉ quan tâm đến địa chỉ nguồn nếu như địa chỉ nguồn trùng với địa chỉ trong danh sách ACL thì chuyển tiếp xuống bước (4) ngược lại khơng có thì chủn sang bước (6).

(6) Kiểm tra xem thử có phải là danh sách ACL cuối cùng hay chưa vì khi cấu hình ACL ta cấu hình nguyên danh sách địa chỉ cho phép hoặc là cấm nên cần phải so sánh cho hết danh sách đó. Nếu là mục cuối cùng thì chuyển đến (8) ngược lại thì chuyển sang (7).s

</div>