ỨNG DỤNG TRUYỀN THÔNG & AN NINH THÔNG TIN
Phần 1 Tổng quan về An ninh mạng
Cisco

An ninh Mạng là gì?
An ninh Mạng bảo vệ mạng của bạn trước việc đánh cắp và
sử dụng sai mục đích thông tin kinh doanh bí mật và chống lại tấn
công bằng mã độc từ vi rút và sâu máy tính trên mạng Internet.
An ninh hoạt động như thế nào

Bảo vệ chống lại những tấn công mạng từ bên trong
và bên ngoài .

Đảm bảo tính riêng tư của tất cả các liên lạc, ở bất
cứ đâu và vào bất cứ lúc nào .

Kiểm soát truy cập thông tin bằng cách xác định
chính xác người dùng và hệ thống của họ .

Giúp bạn trở nên tin cậy hơn .
Lợi ích khi sử dụng An ninh mạng đối với Doanh nghiệp

Lòng tin của khách hàng
Tính riêng tư được đảm bảo
Cộng tác được khuyến khích

Tính di động
Bảo vệ truy cập di động
Nâng cao năng suất khi đang ở ngoài văn phòng

Năng suất cao hơn

Ít lãng phí thời gian do spam hơn
Đạo đức và cộng tác tốt hơn giữa các nhân viên

Giảm chi phí
Tránh được gián đoạn dịch vụ
Các dịch vụ tiên tiến được phát triển an toàn
Phần 2 - Định tuyến

Định tuyến là cách thức mà Router (bộ định tuyến) hay PC (hoặc thiết bị
mạng khác) sử dụng để truyền phát các gói tin tới địa chỉ đích trên mạng.
Nguyên tắc định tuyến

Khám phá động một topo mạng.

Xây dựng các đường ngắn nhất.

Kiểm soát tóm tắt thông tin về các mạng bên ngoài, có thể sử
dụng các metric khác nhau trong mạng cục bộ.

Phản ứng nhanh với sự thay đổi topo mạng và cập nhật các
cây đường ngắn nhất.

Làm tất cả các điều trên theo định kỳ thời gian.
Nguyên tắc định tuyến tĩnh

Định tuyến tĩnh được sử dung trong các trường hợp:

Khi không cần thiết có thông tin cập nhật định tuyến động, được
chuyển tiếp qua các liên kết băng thông chậm, như DialUp.


Khi người quản trị cần toàn quyền kiểm soát các tuyến đường
được sử dụng bởi Router.

Khi cần thiết có 1 bản backup tự động các tuyến đường được xác
định

Khi cần sử dụng mạng stub network (mạng chY có một con
đường để đi ra bên ngoài)

Khi một bộ định tuyến là không đủ mạnh và không có tài nguyên
CPU hoặc bộ nhớ cần thiết để xử lý một giao thức định tuyến
động.

Khi tuyến đường xuất hiện trên Router như là 1 mạng kết nối
trực tiếp.
Cấu hình định tuyến tĩnh

Router(config)#ip route {destination network} {subnet mask}
{nexthop ip address | outgoing interface} [distance]
<administrative distance>
Nguyên tắc định tuyến động
Định tuyến động cho phép mạng có thể tự điều chỉnh tự động
khi có sự thay đổi trong cấu trúc mạng, mà không cần sự can
thiệp của người quản trị.

Người quản trị sẽ cấu hình giao thức định tuyến trên mỗi Router.

Các router trao đổi thông tin các về mạng được truy cập và
trạng thái của mỗi mạng.


Các router trao đổi thông tin với các router có cùng giao thức.

Khi có sự thay đổi về cấu trúc mạng, thông tin mới sẽ được lan
truyền trên toàn mạng, và các router cập nhật nó vào bảng định
tuyến để ánh xạ cho sự thay đổi đó.

Một số giao thức định tuyến: RIP, IGRP, EIGRP, OSPF, IS-IS
và BGP
Phần 3 : Removing protocol & services

Extended Access List cho phép hoặc loại bỏ (permit / deny) traffic theo
protocol và service port:
Router(config)#access-list {access-list-number} {deny|permit} {protocol} [source
address] [destination address] {service port|eq service}

access-list-number: Với Extended Access list, chY số này nằm trong khoảng 100-
199, 2000-2069 .
Protocol:

0 – 255 IP protocol number hoặc các protocol phổ biến sau:

ahp Authentication Header Protocol

eigrp Cisco’s EIGRP routing protocol

esp Encapsulation Security Payload

gre Cisco’s GRE tunneling

icmp Internet Control Message Protocol


ip Any Internet Protocol

ospf OSPF routing protocol

tcp Transmission Control Protocol

udp User Datagram Protocol
Services và port number tương ứng:

Well-known ports: 0–1023

Tham khảo đầy đủ tại
/> />_ports:_1024.E2.80.9349151 hoặc một số port thông dụng:

21: File Transfer Protocol (FTP)

22: Secure Shell (SSH)

23: Telnet remote login service

25: Simple Mail Transfer Protocol (SMTP)

53: Domain Name System service

80: Hypertext Transfer Protocol (HTTP) used in the World Wide Web

110: Post Office Protocol (POP)

119: Network News Transfer Protocol (NNTP)


161: Simple Network Management Protocol (SNMP)

443: HTTPs with Transport Layer Security or Secure Sockets Layer

Registered ports: 1024–49151

Tham khảo đầy đủ tại
/> />egistered_ports:_1024.E2.80.9349151 hoặc một số port thông dụng:

1080 TCP SOCKS proxy

1167 UDP phone, conference calling

1194 TCP UDP OpenVPN

1220 TCP QuickTime Streaming Server administration

1234 UDP VLC media player Default port for UDP/RTP stream

1293 TCP UDP IPSec (Internet Protocol Security)

1352 TCP IBM Lotus Notes/Domino
[36]
(RPC) protocol

1470 TCP Solarwinds Kiwi Log Server

1503 TCP UDP Windows Live Messenger (Whiteboard and
Application Sharing)


1512 TCP UDP Microsoft Windows Internet Name Service (WINS)

1513 TCP UDP Garena Garena Gaming Client

Dynamic, private or ephemeral ports: 49152–65535
Gồm các port được sử dụng mà không cần đăng kí với IANA,
sử dụng trong các dịch vụ chạy trong mạng nội bộ, hoặc các
dịch
vụ phát triển riêng.
4. Creating Access Control Lists
Các loại ACLs:
Có 2 loại Access lists là: Standard Access Lists, Extended Access lists
Standard ACLs: Lọc (Filter) địa chY ip nguồn (Source) vào trong
mạng – đặt gần đích (Destination).
Extended ACLs: Lọc địa chY ip nguồn và đích của 1 gói tin
(packet), giao thức tầng “Network layer header” như TCP, UDP,
ICMP…, và port numbers trong tầng “Transport layer header”. Nên
đặt gần nguồn (source).
Standard Access lists.
Standard ACLs sử dụng số từ 1 -> 99 hay 1300 -> 1999.
Có 2 bước để tạo ACLs:
+ Định nghĩa danh sách ACLs để đặt vào interface.
router(config)#access-list [#] [permit deny] [source address]
[wildcard mask] [log]
Hoặc là :
router(config)#access-list [#] [permit deny] [host any] [source
address] Thường thì ta dùng lệnh này
+ Sau đó đặt danh sách(ACLs) vào interface trên router mà ta
muốn chặn gói tin ngay tại đó.

router(config)#interface [interface-number]
router(config-if)#ip access-group [#] [in out] - interface access
control
Extended Access lists.
Extanded ACLs sử dụng số từ 100 -> 199 hay 2000 -> 2699.
Cũng giống standard ACL và thêm một số cách lọc gói tin như:
+ Source and destination IP address (Địa chỉ nguồn địa chỉ đích)
+ IP protocol – TCP, UDP, ICMP, and so on( cấm giao thức)
+ Port information (WWW, DNS, FTP, TELNET, etc)( cấm các dịch
vụ thông qua các cổng hoạt động của nó)
Các lệnh cấu hình:
Ta cũng thực hiện 2 bước giống như Standard ACLs
Tạo accesslist tại global config mode:
router(config)#access-list [#] [permit deny] [protocol] [source address]
[wildcard mask] [operator source port] [destination address] [wildcard mask]
[operator destination port] [log]
hoặc:
router(config)#access-list [#] [permit deny] [protocol] [host] [source address]
[host] [destination address][ lt, gt, neq, eq, range] [port number]
„p access-list vào cổng.
router(config)#interface [interface-number]
router(config-if)#ip access-group [#] [in out] - interface access control
5. Implementing Access Control Lists
Cách đặt ACLs.
Inbound ACLs.
+ Inbound: nói nôm na là 1 cái cổng vào(theo chiều đi vào của gói
tin) trên Router những gói tin sẽ được xử lý thông qua ACL trước khi
được định tuyến ra ngoài (outbound interface). Tại đây những gói tin
sẽ “dropped” nếu không trùng với bảng định tuyến (routing table), nếu
gói tin (packet) được chấp nhận nó sẽ được xử lý trước khi chuyển giao

(transmission).
Outbound ACLs.
+ Outbound: là cổng đi ra của gói tin trên Router, những gói tin
sẽ được định tuyến đến outbound interface và xử lý thông qua ACLs,
trước khi đưa đến ngoài hàng đợi (outbound queue).
Hoạt động của ACLs.
ACL sẽ được thực hiện theo trình tự của các câu lệnh trong danh
sách cấu hình khi tạo access-list. Nếu có một điều kiện được so khớp
(matched) trong danh sách thì nó sẽ thực hiện, và các câu lệnh còn lại
sẽ không được kiểm tra nữa.Trường hợp tất cả các câu lệnh trong
danh sách đều không khớp (unmatched) thì một câu lệnh mặc định
“deny any” được thực hiện. Cuối access-list mặc định sẽ là lệnh loại bỏ
tất cả (deny all). Vì vậy, trong access-list cần phải có ít nhất một câu
lệnh permit.
Khi packet đi vào một interface, router sẽ kiểm tra xem có một
ACL trong inbound interface hay không, nếu có packet sẽ được kiểm
tra đối chiếu với những điều kiện trong danh sách.
Nếu packet đó được cho phép (allow) nó sẽ tiếp tục được kiểm tra
trong bảng routing để quyết định chọn interface để đi đến đích.
Tiếp đó, router sẽ kiểm tra xem outbound interface có ACL hay
không. Nếu không thì packet có thể sẽ được gửi tới mạng đích. Nếu có
ACL ở outbound interface, nó sẽ kiểm tra đối chiếu với những điều
kiện trong danh sách ACL đó.
Quản lý các ACLs.
Hiển thị tất cả ACLs đang sử dụng. Router(config)#show running-config
Xem ACLs hoạt động trên interface nào đó. Router(config)#show interface [ # ]
Xem việc đặt và hướng đi của ip ACLs: Router(config)#show ip interfaces [ # ]
Xem những câu lệnh ACLs: Router(config)#show access-list [ # ]
Hiển thị tất cả ip ACLs: Router#show ip access-list
Hiển thị ip ACL 100: Router#show ip access-list 100

Xóa bộ đếm (to clear the counters use):
router(config)#show access-list [ # ]
router(config)#clear access-list counter [ # ]
Xóa Access list
router(config)#no ip access-list [standard-extended][#]
router(config)#interface [interface-number]
(config-if)#no access-list [#] [permit deny] [source address] [wildcard mask]
Chú ý:
ChY có thể thiết lập 1 ACL trên giao thức cho mỗi hướng trên mỗi
interface. Một interface có thể có nhiều ACL.
Router không thể lọc traffic mà bắt đầu từ chính nó.
Câu lệnh nào đặt trước thì xử lý trước. Khi 1 câu lệnh mới thêm vào
danh sách, nó sẽ đặt cuối danh sách.
Standard ACLs: Nên đặt gần đích của traffic.
Extended ACLs: Nên đặt gần nguồn của traffic.
Mặc định cả hai lệnh “the Access-Group” hay “the Access-Class” theo
chiều “OUT”
PHẦN 6 : LOGGING CONCEPTS

1. Syslog là gì?
Đó là một công cụ (Kiwi-Syslog ) sử dụng để lưu trữ các sự kiện xảy ra
trên một thiết bị, hệ thống phục vụ cho công tác quản trị, phát hiện các
xâm nhập trái phép Syslog được xây dựng dựa trên các Trap (tức là
phân loại các sự kiện ) có tất cả khoảng 7 Trap. Nhưng thông thường
thì chY dùng Trap Information với Trap Debugging .
Câu lệnh để cấu hình :
Router(config)#logging <địa chY IP của máy cài phần mềm Syslog>
Router(config)#logging trap debugging (có thể thay thế debugging là 7).
Chú ý: có thể logging nhiều IP cùng 1 lúc cũng được, lúc này các thông
tin log tới tất cả IP mà bạn khai báo trong danh sách đó. Trong router

vào system maintance -> syslog ( enable syslog, gõ địa chY ip cua máy cài
syslog theo dõi ) . Như thế thì PC cài syslog mới thấy được thông tin .
1. Syslog ?

Syslog sử dụng User Datagram Protocol (UDP), cổng 514 mặc định để
truyền dữ liệu. Một gói tin syslog sẽ giới hạn trong 1024 bytes gồm 5 thông
tin sau :
+ Facility (1) : phân loại nguồn sinh ra syslog (ứng dụng,hệ điều hành,các
tiến trình ) Mặc định, thiết bị sử dụng Cisco IOS , CatOS switches, và
VPN 3000 Concentrators sử dụng facility là local7 , trong khi đó Cisco PIX
Firewalls sử dụng local4 trong thông tin syslog.
+ Severity (2) : Mức độ phát sinh ra các thông tin syslog được phân chia ra
0 Emergency: System is unusable.
1 Alert: Action must be taken immediately.
2 Critical: Critical conditions.
3 Error: Error conditions.
4 Warning: Warning conditions.
5 Notice: Normal but significant condition.
6 Informational: Informational messages.
7 Debug: Debug-level messages.

Thiết bị Cisco sử dụng mức Emergency đến Warning để thông báo các
vấn đề liên quan các vấn đề về phần mềm và phần cứng. Tiến trình
khởi động lại ,cổng up/down thì được gởi với mức Notice. Hệ thống
khởi động lại là mức Informational. Kết quả của lệnh debug là mức
Debug .
+ Hostname (3): Có thể là tên hoặc Ip của thiết bị sinh ra syslog .
+ Timestamp(4) :Thời gian sinh ra syslog theo định dạng MMM DD
HH:MM:SS .Thời gian sinh ra syslog phải chính xác nên khi triển khai
dịch vụ này ta thường kết hợp với giao thức NTP(Network Time

Protocol) để đồng bộ thông tin về thời gian trên tất cả thiết bị .
+ Message (5): Nội dung Syslog .
2. Set up
3. Cấu Hình:
R0(config)#int fastEthernet 0/0
R0(config-if)#ip add 192.168.3.10 255.255.255.0
R0(config-if)#no shutdown
R0#ping 192.168.3.2 ( Ping kiểm tra đến máy cài Kiwi-Syslog server.)
R0(config)#logging 192.168.3.2 ( IP của Syslog Server, để Router ghi log)
R0(config)#logging trap 7
R0(config)#end
R0(config)#logging buffered 4096(Khai báo logging buffer -tính bytes)
R0(config)#end
R0#show logging