TRƯỜNG CAO ĐẲNG KINH TẾ CÔNG NGHỆ
KHOA CÔNG NGHỆ THÔNG TIN
oOo
BÁO CÁO KẾT QUẢ
THỰC TẬP TỐT NGHIỆP
ĐỀ TÀI :
NGHIÊN CỨU VÀ TRIỂN KHAI BẢO MẬT HỆ
THỐNG MẠNG VỚI ACL TRÊN ROUTER
SVTH: Trần Thanh Tại
Trần Minh Bằng
Đặng Anh Thoại
Phạm Văn Hải
Hồ Minh Lộc
Lớp:
C6TH3
Ni
ên Khóa: 2010 –
2013.
GVHD: Nguyễn Kim Việt
TP.HCM, tháng 04 năm
2013
LỜI CẢM
ƠN
Để viết hoàn thành được một đề tài không phải là dễ đối với em vì em
không
phải là người giỏi trong việc viết lách. Trong quá trình thực hiện đề tài thì em cũng
đã
gặp rất nhiều khó khăn nhưng đã được sự giúp đỡ và lời động viên chân thành
của
nhiều người để em có thể hoàn thành tốt đề tài
này.

Người đầu tiên em muốn gởi lời cảm ơn đến là thầy Nguyễn Kim Việt đã giúp
em
rất nhiều trong việc góp ý cũng như chỉ ra hướng đi của đề tài. Và em cũng xin cảm
ơn
đến các thầy cô trong khoa công nghệ thông tin đã dẫn dắt em lúc vào trường,
truyền
đạt những kiến thức quý báu cho em trong quá trình học tập và giải đáp những
gì
mà
em thắc mắc không chỉ riêng trong đề tài này mà có thể nói là tất cả. Điều cuối
cùng
em muốn nói là cảm ơn đến ban giám hiệu trường cao đẳng kinh tế - công nghệ
TP.HCM đã tạo nhiều điều
kiện
cho em để có thể hoàn thành tốt đề tài này và xin cảm
ơn đến các bạn sinh viên đã
góp
ý cho mình rất
nhiều.
Để đáp lại, em sẽ cố gắng hoàn thành tốt đề tài tốt nghiệp nhằm ra trường
góp
một phần sức lực nhỏ bé cho xã hội. Xin chân thành cảm
ơn!
TP.HCM, Ngày 24 tháng 04 năm
2013
Sinh viên thực
hiện
Trần Thanh Tại
Trần Minh Bằng
Đặng Anh Thoại

Phạm Văn Hải
Hồ Minh Lộc
Trang
i
GIỚI THIỆU TỔNG QUÁT VỀ CÔNG TY CỔ PHẦN TIN HỌC KỸ
NGUYÊN
I. Giới thiệu chung về công ty Cổ phần tin học máy tính Kỷ Nguyên
1.1 Quá trình hình thành và phát triển
Nắm bắt được nhu cầu về sử dụng máy tính của người Việt Nam trong những
năm gần đây, bắt đầu từ khi nhận giá của mặt hàng còn sử dụng trong gia đình, nhất là gia
đình có thu nhập thấp, và thực tế cho thấy đôi khi các sinh viên dù theo ngành công nghệ
thông tin nhưng cũng không đủ khả năng mua máy tính để học, trong các trường học
không đủ kinh phí để trang trải cho vấn đề giáo dục… Công ty cổ phần tin học Kỷ Nguyên
đã được thành lập với mục tiêu hướng tới người tiêu dung có thu nhập thấp. Mong muốn
của mọi người đều tiếp cận thông tin, nắm giữ thông tin theo kịp sự phát triển chung của
xã hội: công ty đã đầu tư và phát triển các mặt hàng vi tính giá rẻ mà vẫn đảm bảo được
chất lượng và đáp ứng nhu cầu sử dụng của người tiêu dùng. Sau 15 năm hoạt động, song
song với sự tiến bộ của ngành công nghệ thông tin là sự tin tưởng và tín nhiệm của người
tiêu dùng đối với công ty Kỷ Nguyên.
Công ty Kỷ Nguyên được thành lập 30/4/1998 do sở kế hoạch và đầu tư cấp giấy
phép kinh doanh số: 4102004450 với tổng số vốn điều lệ là 1 tỷ đồng do ông: Trần Viết Ý
đứng ra sang lập.
Trụ sở công ty đặt tại số: 153 Lê Thị Riêng, P.Bến Thành, Q.1,TP.Hồ Chí
Minh.
Điện thoại: (08) 9253949 – 9253950 – 9293951.
Fax: (08) 8396851.
Mail:
Lúc đầu công ty lấy tên là công ty TNHH Ứng dụng và phát triển tin học Kỷ
Nguyên. Do nhu cầu kinh doanh đến ngày 20/07/2012 đổi tên thành công ty cổ phần tin
học Kỷ Nguyên.

1.2 Mục đích và phạm vi hoạt động.
Trong quá trình hội nhập vào đời sống kinh tế, xã hội mà xu thế chuyển biến
đến một nền kinh tế thông tin, một xã hội thông tin đang được khẳng định. Thích ứng với
yêu cầu và sự phát triển chung của một xã hội, ngành công nghệ thông tin Việt Nam hiện
nay đang bước vào giai đoạn phát triển khá mạnh. Kiến thức về tin học là yêu cầu tất yếu
của một nhà quản lý, một sinh viên có thể lả chủ của một gia đình…
Với phương châm: “Uy tín - chất lượng – nhanh chóng” vấn đề mà Kỷ Nguyên
quan tâm nhất là phát huy hết khả năng, đề cao quyền lợi của người tiêu dùng, nâng cao
chất lượng của sản phẩm ngành nghề và uy tín của công ty cũng như bảo hành chu đáo.
 Mục đích hoạt động: hoạt động trong lĩnh vực kinh doanh thương mại và dịch
vụ với các ngành nghề.
 Kinh doanh các mặt hàng máy vi tính mới và cũ.
 Hợp đồng cung cấp các dịch vụ và thiết kế, trang bị các hệ thống mạng…
 Sủa chữa, bảo hành, bảo trì các thiết bị tin học máy tinh, máy in, máy fax, màn
hình, máy scaner, ups…
 Tư vấn miễn phí cho khách hàng có nhu cầu mua sắm, học tập và tiếp cận với
nghành tin học.
 Phạm vi trong nước.
II. Cơ cấu tổ chức công ty.
- Bộ máy tổ chức quảng lý của công ty được tổ chức theo cơ cấu trực tiếp, với
chức năng của cơ cấu này giúp phòng ban có thể hổ trợ giám đốc điều hành tốt hơn.
- Tổng số cán bộ nhân viên tính đến ngày 15/4/2013 là 25 người gồm có:
+ Giám đốc: 1 người
+ Các trưởng phòng và nhân viên :24 người
2.1 Sơ đồ quản lý bộ máy công ty.
2.2 Chức năng và nhiệm vụ từng bộ phận:
- Giám đốc: là người đại diện của công ty trước pháp luật có trách nhiệm và
quyền hạn.
 Trách nhiệm: chịu trách nhiệm trước hội đồng thành viên và trước pháp luật về
mọi hoạt động sản xuất kinh doanh của công ty.

 Quyền hạn: định hướng kế hoạch tổ chức kinh doanh của công ty nói chung ,
tổ chức bộ máy điều hành, thành lập hoạc giải thể công ty, bổ nhiệm đều động bộ phận
nhân sự trong công ty, quyết định việc hợp tác đầu tư, liên doanh liên kết chuyển nhượng
mua bán, cầm cố các loại tài sản và vấn đề liên quan đến kinh tế khác của công ty.
2.3 Các phòng ban.
- Phòng kế toán: có chức năng tham mưu cho giám đốc về việc quản lý vốn ,
bảo tồn sử dụng và phát triển vốn, xác định việc sử dụng vốn hiệu quả, đồng thời tham gia
giám sát quản lý và sát hạch toàn bộ hoạt động của công ty, chấp hành nghĩ vụ pháp lệnh
ngân sách và các chế độ chính sách nhà nước ban hành.
- Phòng kinh doanh: là bộ phận trợ giúp cho công ty kinh doanh về lĩnh vực
kinh doanh mà công ty đã đăng ký, giúp công ty tiếp cận khách hàng để giới thiệu sản
phảm và tìm kiếm thị trường mới, thực hiện các hợp đồng mua bán trong nước đối với các
sản phảm do công ty thiết kế.
- Phòng kỹ thuật: thực hiện công việc bảo trì nâng cấp sữa chữa máy móc thiết
bị máy tính và các thiết bị mạng….
- Phòng máy in và monitor: thực hiện công việc sữa chữa và bảo trì các loại máy
in, photocopy và màn hình máy tính….
- Phòng BV và PCCC: thực hiện công tác an ninh, bảo vệ thiết bị vật tư tài sản,
an toàn PCCC và các quy định ra vào công ty tuần tra canh gác.
III. Những thuận lợi và khó khăn của công ty hiện nay
4.1 Thuận lợi.
Do công ty biết giữ chữ tín với khách hàng nên mặc dù có nhiều sự cạnh tranh cao
nhưng công ty vẫn có nhiều đối tác, ký hợp đồng ổn định, thu hút được nhiều khách hàng
mới.
Việc tổ chức thiết kế, sản xuất được trang bị hệ thống hiện đại thường xuyên kiểm
tra nâng cấp, các nhân viên không ngừng học hỏi trao dồi kinh nghiệm trong công tác quản
lý, ngoài ra công ty còn đội ngũ nhân viên với tay nghề cao và nhiều kinh nghiệm.
Thành phố Hồ Chí Minh là trung tâm kinh tế lớn của nhà nước , phần lớn công ty
kinh doanh nghiệp tập trung về day kinh doanh mua bán, ngày nay với thời đại thông tin
ngày càng phát triển mạnh internet là một lợi thế để tiếp xúc với thông tin đây là một trong

những điểm thuận lợi nhất của công ty.
4.2 Khó khăn.
Ngày nay cơ chế thị trường hình thành và phát triển ngày càng mạnh mẽ. Vấn
đề cạnh tranh trở nên gay gắt, hoạt động công ty chủ yếu dựa vào hợp đồng đặt hàng của
khách hàng nên công ty không thể chủ động về mẫu mã của công ty mình.
MỤC
LỤC
LỜI CẢM ƠN
i
MỤC LỤC
ii
DANH MỤC CÁC TỪ VIẾT
TẮT

iv
DANH MỤC HÌNH VẼ
v
DANH MỤC
B

ẢNG vi

i

i
MỞ ĐẦU
1
CHƯƠNG
1: TỔNG QUAN VỀ AN NINH MẠNG
3

1.1 GIỚI THIỆU VỀ AN NINH MẠNG
3
1.1.1 An ninh mạng là gì
?

3
1.1.2 Kẻ tấn công là ai
? 4
1.1.3 Lỗ hổng bảo
mật

5
1.2 ĐÁNH GIÁ VẤN ĐỀ AN TOÀN, BẢO MẬT HỆ THỐNG MẠNG
6
1.2.1 Phương diện vật
lý 6
1.2.2 Phương diện logic
6
CHƯƠNG
2: TỔNG QUAN VỀ ACL
9
2.1 GIỚI THIỆU ACL
9
2.1.1 Standard Access Control
List

10
2.1.2 Extended Access Control List
15
2.1.3 Một số loại ACL

khác 21
2.2 NGUYÊN LÝ HOẠT ĐỘNG CỦA ACL
24
2.2.1 Inbound
24
2.2.2 Outbound
25
2.2.3 Giới thiệu Wildcard Mask
26
2.2.4 So sánh giữa Subnet Mask và Wildcard
Mask

27
CHƯƠNG
3: XÂY DỰNG MÔ HÌNH HỆ THỐNG VÀ TRIỂN KHAI
CẤU
HÌNH
ACL 28
3.1 TỔNG QUAN MÔ HÌNH HỆ THỐNG
28
3.2 PHÂN TÍCH MÔ HÌNH HỆ THỐNG
29
Trang
ii
3.3 CẤU HÌNH STANDARD ACCESS CONTROL LIST
29
3.4 CẤU HÌNH EXTENDED ACCESS CONTROL
LIST

39

3.5 CẤU HÌNH ACCESS CONTROL LIST TRÊN
VLAN

48
3.6 TỔNG KẾT
55
3.6.1 Đánh Giá Mô Hình Hệ Thống
55
3.6.2 So Sánh Standard ACL Và Extended ACL
56
3.6.3 So Sánh ACL Trên Router Và ACL Firewall
(ISA/
TMG)
57
KẾT LUẬN
59
NHỮNG VẤN ĐỀ ĐẠT ĐƯỢC QUA
Đ
Ề TÀI
59
HẠN CHẾ
59
HƯỚNG PHÁT TRIỂN ĐỀ TÀI
60
TÀI LIỆU THAM KHẢO

NHẬN XÉT CỦA CÁN BỘ HƯỚNG DẪN

Trang
ii

DANH MỤC CÁC TỪ VIẾT
TẮT
Vi
ết
tắt Ti
ếng
Anh
Ti
ếng
vi

ệt
ACL
Access Control
List
Danh sách điều khiển truy
cập
AD
Active
Directory
ADSL
Asymmetric
Digital
Subscriber
Line
Đường thuê bao số bất
đối
xứng
DOS
Denial Of

Services
Từ chối dịch
vụ
EIGRP
Enhanced Interior
Getway
Routing
Protocol
Giao thức định tuyến
EIGRP
FTP
File Transfer
Protocol
Giao thức truyền
file
HTTP
Hyper Text
Transfer
Protocol
Giao thức truyền siêu văn
bản
IC3
Internet and
Computing
Core
Certification
Tổ chức thước đo chuẩn
quốc
tế về thành thạo máy
tính

ICMP
Internet Control
Message
Protocol
Giao thức
ICMP
IP
Internet
Protocol
Giao thức
IP
LAN
Local Area
Network
Mạng cục
bộ
OSI
Open
Systems
Interconnection
Mô hình tham chiếu
OSI
OSPF
Open Shortest Path
First
Giao thức định tuyến
OSPF
TCP
Transmission
Control

Protocol
Giao thức điều khiển lớp
giao
vận
TCP/IP
Transmission
Control
Protocol/Internet
Protocol
Chồng giao thức
TCP/IP
UDP
User Datagram
Protocol
Giao thức
UDP
VLAN
Virtual Local Area
Network
Mạng LAN
ảo
Trang
iv
DANH MỤC HÌNH
VẼ
Số
hi
ệu
hì
nh

vẽ
Tên
hì
nh
vẽ Trang
Hình
1.1
Thống kê tội phạm Internet của tổ chức
IC3 4
Hình
2.1
Mô hình ví dụ Standard
ACL 10
Hình
2.2
Nguyên lý hoạt động của Standard
ACL 12
Hình
2.3
Mô tả ví dụ Standard
ACL 15
Hình
2.4
Mô hình ví dụ Extended
ACL 16
Hình
2.5
Nguyên lý hoạt động của Extended
ACL 18
Hình

2.6
Mô hình hoạt động Dynamic
ACL 22
Hình
2.7
Ví dụ về Reflexive
ACL 23
Hình
2.8
Nguyên lý hoạt động
Inbound 25
Hình
2.9
Nguyên lý hoạt động
Outbound 26
Hình
2.10
Mô tả Wildcard
Mask 27
Hình
3.1
Mô hình tổng quan về hệ thống
mạng 29
Hình
3.2
Mô hình cấu hình Standard
ACL 30
Hình
3.3
Gói tin xuất phát từ máy Admin ip

192.168.3.10 31
Hình
3.4
Gói tin được gởi đến Router Sài Gòn và
ACL
đang kiểm
tra
31
Hình
3.5
Gói tin đã qua được Router Sài Gòn thành
công 32
Hình
3.6
Gói tin xuất phát từ May06 với ip
192.168.3.20 32
Hình
3.7
Gói tin đã bị chặn bởi cổng
Fa0/0 33
Hình
3.8
Gói tin chặn đã được thông báo lại cho
May06 33
Hình
3.9
Gói tin xuất phát từ máy
Admin 34
Hình
3.10

Gói tin được cho phép vào Router Hà
Nội 34
Hình
3.11
Gói tin đến máy chủ FTP thành
công 35
Hình
3.12
Gói tin xuất phát từ
May06 35
Hình
3.13
Gói tin bị chặn tại Router Hà
Nội 36
Hình
3.14
Gói tin thông báo bị chặn được gởi đến
May06 36
Hình
3.15
Gói tin xuất phát từ
May06 37
Hình
3.16
Gói tin đến Router Đà
Nẵng 37
Trang
v
Hình
3.17

Gói tin đã đến được đích thành
công 37
Hình
3.18
Cấu hình Standard ACL tại Router Hà
Nội 38
Hình
3.19
Xem thông tin ACL đã cấu
hình 38
Hình
3.20
Kiểm tra tại máy
Admin 39
Hình
3.21
Mô hình cấu hình Extended
ACL 39
Hình
3.22
Gói tin xuất phát từ site Sài
Gòn 40
Hình
3.23
Gói tin bị Router Hà Nội chặn
lại 41
Hình
3.24
Gói tin bị chặn được thông báo
lại 41

Hình
3.25
Gói tin xuất phát từ
May06 42
Hình
3.26
Gói tin lên đến Router Sài Gòn thì bị chặn
lại 42
Hình
3.27
Gói tin thông báo bị
chặn 43
Hình
3.28
Cấu hình Extended ACL với
Named 43
Hình
3.29
Cấu hình chặn gói ping từ site Sài Gòn đến
các
máy
chủ
44
Hình
3.30
Show cấu hình Extended
ACL 45
Hình
3.31
Ping không thành công từ Site Sài Gòn đến

máy
chủ
WEB
45
Hình
3.32
Site Sài Gòn truy cập WEB không
được 46
Hình
3.33
Cấu hình thêm một Rule cho phép truy cập
WEB 47
Hình
3.34
Show cấu hình ACL
Extended 47
Hình
3.35
Site Sài Gòn đã truy cập thành
công 48
Hình
3.36
Mô hình cấu hình ACL trên
VLAN 49
Hình
3.37
Kiểm tra thông tin VLAN tại Switch
3560 50
Hình
3.38

Ping từ VLAN 1 đến VLAN
2 50
Hình
3.39
Cấu hình Extended
ACL 51
Hình
3.40
Show cấu hình
ACL 51
Hình
3.41
Kiểm tra VLAN 1 ping đến VLAN 2 và VLAN
3 52
Hình
3.42
Cấu hình cho phép VLAN 1 truy cập máy
chủ
WEB tại VLAN
3
52
Hình
3.43
Kết quả khi VLAN 1 truy cập đến VLAN
3 53
Hình
3.44
VLAN 1 truy cập máy chủ FTP thành
công 53
Trang

vi
Hình
3.45
Cấu hình chặn VLAN 1 truy cập máy chủ FTP
tại
VLAN
4
54
Hình
3.46
Kết quả VLAN 1 không thể truy cập máy
chủ
FTP tại VLAN
4
54
Hình
3.47
Kết quả ping đến VLAN 4 và VLAN
3 55
Hình
3.48
Kết quả ping đến VLAN 2 và VLAN
1 55
Trang
vii
DANH MỤC
BẢNG
Số
hi
ệu

bảng
Tên
bảng Trang
1
So sánh subnet mask và wildcard
mask 28
2
So sánh giữa Standard ACL và Extended
ACL 56
3
So sánh giữa ACL Router và ACL Firewall
mềm 57
Trang
viii
Nghiên cứu và triển
k
hai bảo mật hệ thống mạng với ACL trên
Router GVHD:Nguyễn Kim Việt
Trường Cao Đẳng Kinh Tế - Công Nghệ TP.HCM Trang
1
MỞ
ĐẦU
Để có thể hiểu rõ về đề tài này hơn thì dưới đây là các mục cơ bản nhất giúp ta
có
thể biết được mục tiêu cũng như phương hướng đi của đề
tài.

Lý do chọn đề
tài
Nói đến bảo mật thì người ta phân thành 2 thành phần bảo vệ: bảo mật lớp

thấp
và bảo mật lớp cao. Trong mô hình OSI lớp thấp bao gồm: lớp vật lý, lớp liên kết
dữ
liệu và lớp mạng. Lớp cao bao gồm: lớp vận chuyển, lớp phiên, lớp trình diễn và
cuối
cùng là lớp ứng
dụng.
Hiện nay, các doanh nghiệp chỉ chú trọng bảo mật ở lớp cao và không quan
tâm
đến việc bảo mật ở các lớp thấp. Mà đa số các cuộc tấn công phổ biến thì lại rơi vào
ở
lớp thấp nên hệ thống mạng chưa được bảo mật tốt. Chính vì yếu tố này nên em
đã
chọn đề tài tốt nghiệp về ACL để bảo mật hệ thống mạng một cách hoàn chỉnh
nhất.

Mục đích nghiên
cứu
Nắm rõ nguyên lý hoạt động chung của ACL và các lệnh cấu hình cơ bản.
Từ
đấy mới mở rộng dần dần ra, có thể hiểu được nguyên lý hoạt động của một
firewall
và quy tắc chung khi thiết kế một hệ thống
mạng.

Đối tượng và phạm vi nghiên
cứu
 Đối tượng: Các doanh nghiệp và công
ty.
 Phạm vi nghiên cứu: Mô hình giả

lập.

Phương pháp nghiên
cứu
Thu thập thông tin và phân tích các tài liệu, thông tin liên quan đến
ACL.
 Chắc lọc các thông tin cần
thiết.
 Từ đấy mới so sánh ACL trên Router và Firewall
(mềm).
 Xây dụng mô hình hệ thống tổng quan và demo cấu hình
ACL.
 Kiểm tra thử, đánh giá và rút ra kết
luận.

Ý nghĩa khoa học và thực tiễn của đề
tài
 Ý nghĩa khoa học: Tìm hiểu về ACL dựa trên những tài liệu đã
được

chuẩn
hóa thẩm
định.
Trường Cao Đẳng Kinh Tế - Công Nghệ TP.HCM Trang
2
Nghiên cứu và triển
k
hai bảo mật hệ thống mạng với ACL trên
Router GVHD:Nguyễn Kim Việt
 Thực tiễn: Áp dụng rộng rãi với các doanh nghiệp và công ty. Với

ACL

thì
nó có thể ngăn chặn được rất nhiều cuộc tấn công từ bên trong mạng.
Đấy
là mối nguy hiểm tiềm tàng mà rất ít doanh nghiệp hay công ty biết đến
để
phòng
tránh.
Đấy là những gì cô đọng nhất trong đề tài này muốn đề cập
đến.
Trường Cao Đẳng Kinh Tế - Công Nghệ TP.HCM Trang
3
Nghiên cứu và triển
k
hai bảo mật hệ thống mạng với ACL trên
Router GVHD:Nguyễn Kim Việt
CHƯƠNG
1: TỔNG QUAN VỀ AN NINH
MẠNG
1.1 GIỚI THIỆU VỀ AN NINH
MẠNG
1.1.1 An
ni
nh mạng
l
à gì
?
An ninh mạng là một trong những lĩnh vực mà hiện nay giới công nghệ thông
tin

khá quan tâm. Một khi internet ra đời và phát triển, nhu cầu trao đổi thông tin trở
nên
cần thiết. Mục đích của việc kết nối mạng là làm cho mọi người có thể sử dụng
chung
tài nguyên mạng từ những vị trí địa lý khác nhau. Chính vì vậy mà các tài nguyên
dễ
dàng bị phân tán, hiển nhiên một điều là chúng ta dễ bị xâm phạm, gây mất mát
dữ
liệu cũng như các thông tin có giá trị. Kết nối càng rộng thì càng dễ bị tấn công, đó
là
một quy luật tất yếu. Từ đó, vấn đề bảo vệ thông tin cũng đồng thời xuất hiện và
như
thế là an ninh mạng ra
đời.
Ví dụ: User A gởi một tập tin cho User B trong phạm vi là nước Việt Nam thì
nó
khác xa so với việc User A gởi tập tin cho User C ở Mỹ. Ở trường hợp đầu thì dữ
liệu
có thể mất mát với phạm vi nhỏ là trong nước nhưng trường hợp sau thì việc mất
mát
dữ liệu với phạm vi rất rộng là cả thế
giới.
Một lỗ hổng trên mạng đều là mối nguy hiểm tiềm tàng. Từ một lổ hổng bảo
mật
nhỏ của hệ thống, nhưng nếu biết khai thác và lợi dụng kỹ thuật
hac
k điêu luyện
thì
cũng có thể trở thành mối đe dọa
lớn.

Theo thống kê của tổ chức IC 3 thì số tội phạm internet ngày càng gia tăng
nhanh
chóng chỉ trong vòng 8 năm từ năm 2001 đến năm 2009 số lượng tội phạm đã tăng
gần
gấp 20 lần và dự đoán trong tương lai con số này con tăng lên
nhiều.
Trường Cao Đẳng Kinh Tế - Công Nghệ TP.HCM Trang
4
Nghiên cứu và triển
k
hai bảo mật hệ thống mạng với ACL trên
Router GVHD:Nguyễn Kim Việt
Hình 1.1: Thống kê tội phạm internet của tổ chức
IC3.
Như vậy, số lượng tội phạm tăng sẽ dẫn đến tình trạng các cuộc tấn công
tăng
đến
chóng mặt. Điều này cũng dễ hiểu, vì một thực thể luôn tồn tại hai mặt đối
lập
nhau. Sự
phát triển mạnh mẽ của công nghệ thông tin và kỹ thuật sẽ là miếng mồi
béo
bở của các
Hacker bùng phát mạnh
mẽ.
Tóm lại, internet là một nơi không an toàn. Mà không chỉ là internet các
loại
mạng
khác, như mạng LAN, đến một hệ thống máy tính cũng có thể bị xâm
phạm.

Thậm chí,
mạng điện thoại, mạng di động
c
ũng không nằm ngoài cuộc. Vì vậy
chúng
ta nói rằng,
phạm vi của bảo mật rất lớn, nói không còn gói gọn trong một máy
tính
một cơ quan mà là
toàn
cầu.
1.1.2 Kẻ tấn công
l
à ai
?
Kẻ tấn công người ta thường gọi là Hacker. Là những kẻ tấn công vào hệ
thống
mạng
với nhiều mục đích khác nhau. Trước đây Hacker được chia làm 2 loại
nhưng
hiện nay thì
được chia thành 3
loại:

Hacker mũ
đen
Đây là tên trộm chính hiệu, với những Hacker có kinh nghiệm thì đặc biệt
nguy
hiểm
đối với hệ thống mạng. Mục tiêu của chúng là đột nhập vào hệ thống mạng

của
đối tượng
để lấy cấp thông tin, nhằm mục đích bất chính. Hacker mũ đen là những
tội
phạm thật sự cần
Trường Cao Đẳng Kinh Tế - Công Nghệ TP.HCM Trang
5
Nghiên cứu và triển
k
hai bảo mật hệ thống mạng với ACL trên
Router GVHD:Nguyễn Kim Việt
sự trừng trị của pháp
luật.

Hacker mũ
trắng
Trường Cao Đẳng Kinh Tế - Công Nghệ TP.HCM Trang
6
Nghiên cứu và triển
k
hai bảo mật hệ thống mạng với ACL trên
Router GVHD:Nguyễn Kim Việt
Họ là những nhà bảo mật và bảo vệ hệ thống. Họ cũng xâm nhập vào hệ
thống,
mục đích là tìm ra những kẽ hở, những lổ hổng chết người và sau đó tìm cách vá
lại
chúng. Tất nhiên, Hacker mũ trắng cũng có khả năng xâm nhập và cũng có thể
trở
thành Hacker mũ
đen.


Hacker mũ
xám
Loại này được sự kết hợp giữa hai loại trên. Thông thường họ là những
người
còn trẻ, muốn thể hiện mình. Trong một thời điểm, họ đột nhập vào hệ thống để
phá
phách. Nhưng trong thời điểm khác họ có thể gửi đến nhà quản trị những thông tin
về
lổ hổng bảo mật và đề xuất cách vá
lỗi.
Ranh giới phân biệt các Hacker rất mong manh. Một kẻ tấn công là Hacker
mũ
trắng trong thời điểm này nhưng ở thời điểm khác họ lại là một tên trộm
chuyên
nghiệp.
1.1.3 Lỗ hổng bảo
mật.
Các lỗ hổng bảo mật trên một hệ thống là các điểm yếu có thể tạo ra sự ngưng
trệ
của dịch vụ, thêm quyền đối với người sử dụng hoặc cho phép các truy nhập
không
hợp pháp vào hệ thống. Các lỗ hổng cũng có thể xuất hiện ngay trong hạ tầng
mạng
hoặc nằm ngay trên các dịch vụ cung cấp như Sendmail, Web, Ftp, Ngoài ra các
lỗ
hổng còn tồn tại ngay chính các hệ điều hành như: Windows XP, 7, Ubuntu,
hoặc
trong các ứng dụng mà người sử dụng thường xuyên sử dụng như: Office,
trình

duyệt,
Theo bộ quốc phòng Mỹ, các lỗ hổng bảo mật một hệ thống được chia như
sau:

Lỗ hổng loại
A
Các lỗ hổng này cho phép người sử dụng ở ngoài có thể truy nhập vào hệ
thống
bất hợp pháp. Lỗ hổng này rất nguy hiểm, có thể phá hủy toàn bộ hệ
thống.

Lỗ hổng loại
B
Các lỗ hổng này cho phép người sử dụng thêm các quyền trên hệ thống
mà
không cần thực hiện kiểm tra tính hợp lệ. Mức độ nguy hiểm trung bình. Những
lỗ
hổng này thường có trong các ứng dụng trên hệ thống, có thể dẫn đến mất hoặc
lộ
thông tin dữ
liệu.
Trường Cao Đẳng Kinh Tế - Công Nghệ TP.HCM Trang
7
Nghiên cứu và triển
k
hai bảo mật hệ thống mạng với ACL trên
Router GVHD:Nguyễn Kim Việt

Lỗ hổng loại
C

Các lỗ hổng loại này cho phép thực hiện các phương thức tấn công theo
DoS.
Mức độ nguy hiểm thấp, chỉ ảnh hưởng tới chất lượng dịch vụ, có thể làm ngưng
trệ,
gián đoạn hệ thống; không làm phá hỏng dữ liệu hoặc được quyền truy nhập bất
hợp
pháp.
1.2 ĐÁNH GIÁ VẤN ĐỀ AN TOÀN, BẢO MẬT HỆ THỐNG
MẠNG
Để đảm bảo an ninh cho hệ thống mạng, cần phải xây dựng một số tiêu
chuẩn
đánh giá mức độ an ninh, an toàn cho hệ thống mạng. Một số tiêu chuẩn đã được
thừa
nhận là thước đo mức độ an ninh của hệ thống
mạng.
1.2.1
Phương

di
ện vật
l

ý

Có thiết bị dự phòng nóng cho các tình huống hỏng đột ngột. Có khả năng
thay
thế nóng từng phần hoặc toàn phần (hot-plug,
hot-swap).

Bảo mật an ninh nơi lưu trữ các máy

chủ.

Khả năng cập nhật, nâng cấp, bổ xung phần cứng và phần
mềm.

Yêu cầu nguồn điện, có dự phòng trong tình huống mất điện đột
ngột.

Các yêu cầu phù hợp với môi trường xung quanh: độ ẩm, nhiệt độ, chống
sét,
phòng chống cháy
nổ,…
1.2.2
Phương

diện

l

ogi

c

Tính bí mật
(Confidentiality)
Là giới hạn các đối tượng được quyền truy xuất đến thông tin. Đối tượng
truy
xuất thông tin có thể là con người, máy tính và phần mềm. Tùy theo tính chất
của
thông tin mà mức độ bí mật của chúng có thể khác

nhau.
Ví dụ: User A gởi email cho User B thì email đó chỉ có User A và User B
mới
biết được nội dung của lá mail, còn những User khác không thể biết được. Giả sử
có
User thứ 3 biết được nội dung lá mail thì lúc này tính bí mật của email đó không
còn
nữa.

Tính xác thực
(Authentication)
Liên quan tới việc đảm bảo rằng một cuộc trao đổi
thô
ng tin là đáng tin cậy
giữa
Trường Cao Đẳng Kinh Tế - Công Nghệ TP.HCM Trang
8
Nghiên cứu và triển
k
hai bảo mật hệ thống mạng với ACL trên
Router GVHD:Nguyễn Kim Việt
người gởi và người
nhận.
Trong trường hợp một tương tác đang xảy ra, ví dụ
kế
t nối của một đầu cuối
đến
máy chủ, có hai vấn đề sau: thứ nhất tại thời điểm khởi tạo kết nối, dịch vụ đảm
bảo
rằng hai thực thể là đáng tin. Mỗi chúng là một thực thể được xác nhận. Thứ hai,

dịch
vụ cần phải đảm bảo rằng kết nối là không bị gây nhiễu do một thực thể thứ ba có
thể
giả mạo là một trong hai thực thể hợp pháp để truyền tin hoặc nhận tin không
được
cho
phép.

Tính toàn vẹn
(Integrity)
Tính toàn vẹn đảm bảo sự tồn tại nguyên vẹn của thông tin, loại trừ mọi sự
thay
đổi thông tin có chủ đích hoặc do hư hỏng, mất mát thông tin vì sự cố thiết bị
hoặc
phần
mềm.
Ví dụ: User A gởi email cho User B, User A gởi nội dung như thế nào thì User
B
chắc chắn sẽ nhận được đúng y nội dung như vậy có nghĩa là User A gởi gì thì User
B
nhận y như vậy không có sự thay
đổi.

Tính không thể phủ nhận (Non
repudiation)
Tính không thể phủ nhận bảo đảm rằng người gửi và người nhận không thể
chối
bỏ một bản tin đã được truyền. Vì vậy, khi một bản tin được gửi đi, bên nhận có
thể
chứng minh được rằng bản tin đó thật sự được gửi từ người gửi hợp pháp. Hoàn

toàn
tương tự, khi một bản tin được nhận, bên gửi có thể chứng minh được bản tin đó
đúng
thật được nhận bởi người nhận hợp
lệ.
Ví dụ: User A gởi email cho User B thì User A không thể từ chối rằng A
không
gởi mail cho
B.

Tính sẵn sàng
(Availability)
Một hệ thống đảm bảo tính sẵn sàng có nghĩa là có thể truy nhập dữ liệu bất
cứ
lúc nào mong muốn trong vòng một khoảng thời gian cho phép. Các cuộc tấn
công
khác nhau có thể tạo ra sự mất mát hoặc thiếu về sự sẵn sàng của dịch vụ.
Tí
nh
khả
dụng của dịch vụ thể hiện khả năng ngăn chặn và khôi phục những tổn thất của
hệ
thống do các cuộc tấn công gây
ra.
Ví dụ: Server web là hoạt động hàng ngày để phục vụ cho web client nghĩa là
bất
cứ khi nào, ở đâu Server web cũng sẵn sàng để phục vụ cho web
client.
Trường Cao Đẳng Kinh Tế - Công Nghệ TP.HCM Trang
9

Nghiên cứu và triển
k
hai bảo mật hệ thống mạng với ACL trên
Router GVHD:Nguyễn Kim Việt

Khả năng điều khiển truy nhập (Access
Control)
Trong một hệ thống mạng được coi là bảo mật, an toàn thì người quản trị
viên
phải điều khiển được truy cập ra vào của hệ thống mạng, có thể cho phép hay
ngăn
chặn một truy cập nào đấy trong hệ
thống.
Ví dụ: Trong công ty có các phòng ban, để bảo mật thông tin nội bộ của công
ty,
người quản trị viên có thể ngăn chặn một số phòng ban gởi thông tin ra ngoài và
từ
ngoài vào
trong.
Trường Cao Đẳng Kinh Tế - Công Nghệ TP.HCM Trang
10
Nghiên cứu và triển
k
hai bảo mật hệ thống mạng với ACL trên
Router GVHD:Nguyễn Kim Việt
CHƯƠNG
2: TỔNG QUAN VỀ
ACL
2.1 GIỚI THIỆU
ACL.

Ngày nay cùng với sự tiến bộ của khoa học và công nghệ. Hệ thống mạng là
một
giải pháp được lựa chọn hàng đầu cho việc truyền tải dữ liệu và vì vậy bảo mật
trong
hệ thống mạng là một vấn đề đang được quan tâm. Một trong những công cụ rất
quan
trọng trong Router được dùng trong lĩnh vực bảo mật là Access Control List
(ACL).
Đây là một tính năng giúp bạn có thể cấu hình trực tiếp trên Router để tạo ra một
danh
sách các địa chỉ mà bạn có thể cho phép hay ngăn chặn việc truy cập vào một địa
chỉ
nào
đó.
ACL lọc các gói tin bằng cách kiểm tra các gói tin nếu gói tin được phép
thì
chuyển tiếp gói tin đó cho qua còn nếu không được phép thì chặn ngay các gói
tin
ngay cổng vào của Router. ACL có thể kiểm tra bằng các điều kiện sau: địa chỉ
nguồn,
địa chỉ đích, giao thức và số hiệu port ở lớp
trên.
Trước đây thì tính năng ACL chỉ có trong các Router đắt tiền như Router
Ci

sco
1841, 2811, nhưng giờ đây thì tính năng ACL được tích hợp với các ADSL
hay
Router Wireless. Tính năng ACL trên ADSL hay Router Wireless được cấu hình
trên

giao diện đồ họa và số lượng các Rule cũng bị giới
hạn.

Một số nguyên nhân chính tạo
ACL
Giới hạn lưu lượng mạng để tăng hiệu xuất hoạt động của mạng. Ví dụ: Công
ty
thuê đường truyền internet không cao chỉ đủ hoạt
đ
ộng các công việc kinh
doanh
nhưng tại một số phòng ban lại download truyền tải tập tin video khiến hệ thống
mạng
của công ty hoạt động chậm chạp. Với ACL bằng cách giới hạn lưu lượng
truyền
Video, ACL đã làm giảm tải đáng kể cho hệ thống mạng và làm tăng năng suất
của
mạng cũng như hiệu suất công việc trong công
ty.
Cung cấp chế độ bảo mật cơ bản. ACL có thể cho phép một host truy cập
vào
một phần nào đó của hệ thống mạng và ngăn không cho các host khác truy cập
vào
khu vực đó. Ví dụ: Trong công ty có phòng ban IT và người admin muốn là chỉ có
địa
chỉ IP của người admin mới có quyền telnet lên phòng Server được, còn tất cả các
địa
chỉ IP khác thì không được quyền. Với ACL ta có thể làm được điều
này.
Quyết định loại lưu lượng được phép cho qua hay chặn lại trên các cổng

của
Trường Cao Đẳng Kinh Tế - Công Nghệ TP.HCM Trang
11
Nghiên cứu và triển
k
hai bảo mật hệ thống mạng với ACL trên
Router GVHD:Nguyễn Kim Việt
Router. Ví dụ: Cho phép các lưu lượng Email được lưu thông nhưng chặn lưu
lượng
video.
Cho phép người quản trị mạng điều khiển được các phạm vi mà các Client
được
quyền truy cập vào trong hệ thống mạng. Ví dụ: Vì lý do bảo mật thông tin, phòng
ban
IT không được quyền truy cập vào phòng ban kế toán nhưng ngược lại thì
được.

Access List có 2 loại chính là Standard Access List và Extended Access
List.
2.1.1 Standard Access Control
Li

st
Đây được coi là danh sách đơn giản nhất, nó chỉ lọc địa chỉ nguồn trong
header
của IP packet vì thế chúng hoạt động tại lớp 3
t
rong mô hình OSI hay lớp
Internet
trong mô hình TCP/IP. Standard ACL có thể đặt theo chiều Inbound hoặc

Outbound,
tuy nhiên Standard ACL nên đặt gần đích và thường theo chiều Outbound vì
Standard
ACL chỉ kiểm tra địa chỉ IP nguồn. Vị trí đặt ACL rất quan
t
rọng nó có thể cho
phép
hệ thống mạng hoạt động tối ưu nhất hoặc là hệ thống mạng sẽ bị trì trệ nếu chúng
ta
đặt ACL không đúng cách để hiểu rõ được vấn đề này cần thông qua ví dụ
sau.
Hình 2.1: Mô hình ví dụ Standard
ACL.
Trường Cao Đẳng Kinh Tế - Công Nghệ TP.HCM Trang
12
Nghiên cứu và triển
k
hai bảo mật hệ thống mạng với ACL trên
Router GVHD:Nguyễn Kim Việt
Ví dụ: Cấm network A truy cập đến network B theo như mô hình trên. Như
vậy
network A là nguồn còn network B là đích vậy ta sẽ có các trường hợp đặt
Standard
ACL như
sau:
+ Trường hợp 1: Đặt Standard ACL tại Router A thì network A không thể
truy
cập đến network B được đúng hoàn toàn nhưng network A cũng sẽ không truy cập
đến
network C được vì các gói tin từ network A gởi đi đều bị Router A chặn lại (do

kiểm
tra theo địa chỉ
nguồn).
+ Trường hợp 2: Đặt Standard ACL tại Router C cũng như trường hợp 1
network
A không thể truy cập đến network B và network A cũng không thể truy cập đến
Router
D được như vậy thì trường hợp này cũng không
ổn.
+ Trường hợp 3: Đặt Standard ACL tại Router B vậy thì nếu như Router B
nhận
được gói tin từ network A nó sẽ chặn ngay lập
tức
. Ngoài ra network A còn có thể
truy
cập đến network C và Router D được nữa. Đây là trường hợp ổn thõa
nhất.
Qua ví dụ nho nhỏ trên ta thấy được tầm quan trọng của ACL cũng như sự
hiểu
biết của người quản trị viên về nguyên lý hoạt động của
ACL.

Nguyên lý hoạt động của Standard
ACL