Tìm hiểu và triển khai access control list trên ipv6

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (2.31 MB, 21 trang )

<span class="text_page_counter">Trang 1</span><div class="page_container" data-page="1">

TRƯỜNG ĐẠI HỌC VĂN LANG

<b>KHOA CÔNG NGHỆ THÔNG TIN</b>

<b> Phương Quốc Bảo – 207CT65523 Nguy>n Gia Ân – 207CT65518 HuBnh Nhâ Dt HEa – 207CT55053 Lê Hoàng Anh Vũ – 197CT10168 Nguy>n Sơn Lâm – 197CT22324</b>

</div><span class="text_page_counter">Trang 2</span><div class="page_container" data-page="2">

<b>Nhận xét của giảng viên hướng dẫn</b>

</div><span class="text_page_counter">Trang 3</span><div class="page_container" data-page="3">

<b><small>2.2.2.Cech triển khai ACL...4</small></b>

</div><span class="text_page_counter">Trang 5</span><div class="page_container" data-page="5">

<b>Chương 1: Lời mở đầu</b>

Trong thời đại mạng ng7y nay, sự kBt ni liên tục v7 quy mô ng7y c7ng lớn của mạng internet đã đặt ra những thách thức lớn đi với việc bo vệ an to7n thông tin v7 nguồn t7i nguyên mạng. Trước bi cnh n7y, Access Control List (ACL) nổi lên như một công cụ qun lý truy cập mạng khơng th& thiBu, giúp ki&m sốt v7 hạn chB quy4n truy cập v7o t7i nguyên mạng.

Dự án n7y đặt mục tiêu tìm hi&u v7 tri&n khai ACL trên IPv6, một phiên bn tiên tiBn của giao thức Internet Protocol (IP). Với việc IPv6 trở th7nh một phần quan trọng của cơ sở hạ tầng mạng, việc hi&u rõ v7 tích h<p ACL v7o hệ thng l7 quan trọng đ& bo vệ mạng trước những mi đe dọa ng7y c7ng phức tạp.

Mục tiêu chính của dự án l7 khám phá cơ bn v4 ACL, áp dụng chúng trong môi trường IPv6, v7 đánh giá hiệu sut của chúng trong việc bo vệ t7i nguyên mạng. Chúng ta sẽ đ7o sâu v7o cu trúc của IPv6 ACL, đi4u n7y sẽ giúp chúng ta hi&u rõ cách chúng tương tác v7 ứng dụng thực tB của chúng trong môi trường mạng.

Sự xut hiện của IPv6 không chỉ mang lại sự mở rộng của đa chỉ IP m7 còn đặt ra nhi4u thách thức mới v4 an ninh mạng. ACL, như một công cụ qun lý truy cập mạng, trở nên quan trọng đ& ki&m soát quy4n truy cập v7 ngăn chặn các mi đe dọa ti4m ẩn. Chúng ta mun nắm bắt cơ hội của IPv6 v7 tận dụng kh năng bo mật mạng cao hơn.

Dự án sẽ đư<c phân chia th7nh các giai đoạn, bắt đầu từ n4n tng lý thuyBt v4 ACL, tiBp theo l7 quá trình tri&n khai trên môi trường thực tB IPv6, v7 kBt thúc bằng việc đánh giá nh hưởng của chúng đi với hiệu sut mạng. Mỗi giai đoạn sẽ cung cp cái nhìn sâu sắc v7 to7n diện v4 ứng dụng của ACL trong môi trường IPv6.

Hãy cùng bắt đầu h7nh trình n7y đ& khám phá cách ACL v7 IPv6 có th& cùng nhau đóng góp v7o sự an to7n v7 ổn đnh của hệ thng mạng.

</div><span class="text_page_counter">Trang 6</span><div class="page_container" data-page="6">

<b>Chương 2: Tìm hiểu về Control List và IPv6:</b>

IPv6 hoặc Giao thức Internet Phiên bn 6 l7 một giao thức tầng mạng cho ph9p truy4n thông diễn ra trên mạng. IPv6 đư<c thiBt kB bởi Tổ chức Nhiệm vụ Kỹ thuật Internet (IETF) v7o tháng 12 năm 1998 với mục đích thay thB IPv4 do s lư<ng người sử dụng Internet to7n cầu tăng mạnh.

<b> Địa chỉ Unicast: Nhận diện một nút duy nht trên mạng v7 thường chỉ áp dụng</b>

cho một người gửi hoặc một người nhận duy nht.

<b> Địa chỉ Multicast: Đại diện cho một nhóm các thiBt b IP v7 chỉ có th& đư<c sử</b>

dụng l7m đích của một datagram.

<b> Địa chỉ Anycast: Đư<c gán cho một tập h<p các giao diện thường thuộc v4 các</b>

nút khác nhau.

<b> Tốc độ nhanh hơn: IPv6 hỗ tr< multicast thay vì broadcast trong IPv4. Đi4u</b>

n7y cho ph9p dịng gói có lưu lư<ng băng thông cao (như luồng đa phương tiện) đư<c gửi đBn nhi4u đích cùng một lúc.

<b> Bảo mật mạnh mẽ: IPSecurity, cung cp tính bo mật, đư<c tích h<p v7o IPv6. Hiệu suất định tuyjn: IPv6 cung cp hiệu sut đnh tuyBn tt hơn so với IPv4.</b>



<b>Giải phep cuối cùng cho sự phet triển của cec nút trong mạng toàn cầu:</b>

IPv6 đư<c coi l7 gii pháp cui cùng cho việc mở rộng s lư<ng nút trong mạng to7n.

Access control list (ACL) danh sách các quy tắc xác đnh người dùng hoặc hệ thng n7o đư<c cp quy4n hoặc từ chi quy4n truy cập v7o một đi tư<ng hoặc t7i nguyên hệ thng cụ th&. ACL cũng đư<c c7i đặt trong các bộ đnh tuyBn hoặc switch, nơi chúng hoạt động như bộ lọc, qun lý lưu lư<ng n7o có th& truy cập v7o mạng.

Mỗi mơ 1t t7i ngun trên hệ thng có một thuộc tính bo mật xác đnh danh sách ki&m soát truy cập của nó. Danh sách n7y bao gồm một mục cho mỗi người dùng có th& truy cập hệ thng. Các đặc quy4n phổ biBn nht cho ACL của hệ thng tệp tin bao gồm kh năng đọc một tệp tin hoặc tt c các tệp tin trong một thư mục, ghi v7o tệp tin hoặc các

</div><span class="text_page_counter">Trang 7</span><div class="page_container" data-page="7">

tệp tin, v7 thực thi tệp tin nBu nó l7 một tệp tin thực thi hoặc chương trình. ACL cũng đư<c tích h<p v7o các giao diện mạng v7 hệ đi4u h7nh (OSes), bao gồm Linux v7 Windows. Trên mạng máy tính, danh sách ki&m sốt truy cập đư<c sử dụng đ& ngăn chặn hoặc cho ph9p các loại lưu lư<ng nht đnh truy cập v7o mạng. Chúng thường lọc lưu lư<ng dựa trên c nguồn v7 đích của nó

Có hai loại ACL Cơ Bn.

<b> ACL Hệ Thống Tệp và Thư Mục:</b>

thư mục trong hệ thng. Chúng cung cp hệ đi4u h7nh (OS) các hướng dẫn đ& xác đnh quy4n truy cập của người dùng v7 đặc quy4n khi họ truy cập v7o hệ thng.

<i>Mô Tả: ACL qun lý truy cập mạng bằng cách cung cp hướng dẫn cho các công</i>

tắc mạng v7 bộ đnh tuyBn, xác đnh loại lưu lư<ng đư<c ph9p tương tác với mạng. ACL mạng cũng đặt quy4n truy cập cho người dùng khi họ đã truy cập v7o mạng. Chức Năng Chính:

Qun lý truy cập mạng: Xác đnh loại lưu lư<ng mạng đư<c ph9p hoặc b từ chi. Đặt quy4n người dùng trong mạng: Chỉ đnh quy4n truy cập cho người dùng sau khi họ đã kBt ni v7o mạng.

Hoạt động ging như tường lửa: Ngăn chặn lưu lư<ng không mong mun v7 bo vệ mạng.

Bằng cách n7y, ACL không chỉ giúp qun lý quy4n truy cập đi với tệp tin v7 thư mục m7 cịn đóng vai trị quan trọng trong việc ki&m soát v7 bo vệ mạng.

</div><span class="text_page_counter">Trang 8</span><div class="page_container" data-page="8">

Qun tr viên mạng có th& đnh rõ các quy tắc trước, tương tự như một tường lửa, đ& đm bo an to7n v7 hiệu sut của hệ thng mạng.

<b>2.2.2. Cech triển khai ACL</b>

Đ& tri&n khai ACL, qun tr viên mạng phi hi&u các loại lưu lư<ng truy cập v7o v7 ra khỏi mạng cũng như các loại t7i nguyên m7 họ đang c gắng bo vệ. Qun tr viên nên tổ chức v7 qun lý t7i sn CNTT theo cp bậc theo các danh mục riêng biệt v7 qun lý các đặc quy4n khác nhau cho người dùng.

Danh sách ACL tiêu chuẩn thường đư<c tri&n khai gần với đích m7 nó đang c gắng bo vệ. Danh sách ki&m soát truy cập mở rộng thường đư<c tri&n khai gần nguồn. ACL mở rộng có th& đư<c cu hình bằng cách sử dụng tên danh sách truy cập thay vì s danh sách truy cập.

Cú pháp cơ bn đư<c sử dụng đ& tạo danh sách ki&m soát truy cập đư<c đánh s tiêu chuẩn trên bộ đnh tuyBn của Cisco như sau:

Router (config)# access-list (1300-1999) (permit | deny) source-addr (source-wildcard)

Các phần khác nhau có ý nghĩa như sau:

 (1300-1999) chỉ đnh phạm vi s IP ACL. Đi4u n7y đặt tên cho ACL v7 xác đnh loại ACL. 1300-1999 biBn đây th7nh ACL tiêu chuẩn.

 (permit | deny) chỉ đnh gói cho ph9p hoặc từ chi.  Source-addr chỉ đnh đa chỉ IP nguồn.

 Source-wildcard chỉ đnh wildcard mask đại diện .

Wildcard mask đại diện cho bộ đnh tuyBn biBt các bit n7o của đa chỉ IP có sẵn đ& thiBt b mạng ki&m tra v7 xác đnh xem nó có khớp với danh sách truy cập hay khơng. Người dùng có th& nhập mã cu hình trên v7o dịng lệnh đ& tạo danh sách ki&m soát truy cập. N4n tng đám mây từ các nh7 cung cp, bao gồm Oracle v7 IBM, cũng thường cung cp tùy chọn tạo danh sách ki&m soát truy cập trong cổng đăng nhập người dùng của họ.

Việc đặt quy4n của người dùng trong to7n bộ hệ thng máy tính có th& tẻ nhạt nhưng có nhi4u cách đ& tự động hóa tập lệnh .

</div><span class="text_page_counter">Trang 9</span><div class="page_container" data-page="9">

Danh sách ki&m sốt truy cập phi đư<c cu hình khác nhau dựa trên sự khác biệt v4 kiBn trúc mạng. Đi4u n7y bao gồm sự khác biệt giữa mạng tại chỗ, mạng vật lý v7 mạng đám mây. Tìm hi&u những kiBn thức cơ bn v4 kiBn trúc mạng đám mây v7 qun lý mạng.

ACL (Access Control List) IPv6 l7 một phương tiện đ& ki&m soát truy cập trong mạng IPv6. Cũng ging như IPv4, IPv6 cung cp ACL đ& xác đnh quy tắc cho việc chp nhận hoặc từ chi gói tin dựa trên các tiêu chí như đa chỉ nguồn v7 đích, cổng, v7 nhi4u thông tin khác.

Dưới đây l7 một s đi&m quan trọng khi nói v4 ACL IPv6:

ACL IPv6 sử dụng cú pháp khác với ACL IPv4. Thay vì sử dụng các dãy s v7 wildcards, ACL IPv6 sử dụng các khi đa chỉ IPv6 v7 các quy tắc chi tiBt.

<b> Extended ACL:</b>

Extended ACL IPv6 đư<c sử dụng đ& xác đnh các quy tắc chi tiBt hơn, có th& ki&m sốt dựa trên nhi4u tiêu chí như đa chỉ nguồn v7 đích, cổng, loại giao thức, v7 nhi4u thơng tin khác.

permit ipv6 SOURCE_ADDRESS SOURCE_WILDCARD DEST_ADDRESS DEST_WILDCARD [operator [port]]

deny ipv6 SOURCE_ADDRESS SOURCE_WILDCARD DEST_ADDRESS DEST_WILDCARD [operator [port]]

permit ipv6 2001:db8::/32 any deny ipv6 any host 2001:db8::1

<b> Standard ACL:</b>

Standard ACL IPv6 dựa trên đa chỉ nguồn v7 chỉ ki&m soát dựa trên đa chỉ nguồn.

permit ipv6 SOURCE_ADDRESS SOURCE_WILDCARD deny ipv6 SOURCE_ADDRESS SOURCE_WILDCARD

</div><span class="text_page_counter">Trang 10</span><div class="page_container" data-page="10">

<b>permit ipv6 2001:db8::/32deny ipv6 2001:db8::1</b>

any đư<c sử dụng đ& đại diện cho mọi đa chỉ IPv6. host đư<c sử dụng đ& chỉ đnh một đa chỉ cụ th&.

Đ& kích hoạt ghi log, bạn có th& sử dụng từ khóa log.

<b>permit ipv6 2001:db8::/32 any log</b>

Thứ tự quy tắc trong một ACL IPv6 l7 quan trọng, v7 quy đnh cách các quy tắc đư<c áp dụng cho gói tin. Khi một gói tin đi qua ACL, nó đư<c so sánh với các quy tắc từ trên xung dưới, v7 quy tắc đầu tiên m7 nó khớp sẽ đư<c áp dụng. Dưới đây l7 một s nguyên tắc quan trọng:

<b> Thg tự từ trên xuống:</b>

Các quy tắc đư<c áp dụng theo thứ tự từ trên xung. Quy tắc ở đầu ACL đư<c ki&m tra trước, v7 nBu gói tin khớp với một quy tắc, các quy tắc phía dưới khơng đư<c xem x9t.

Quy tắc đư<c áp dụng cho gói tin theo thứ tự cho đBn khi có một quy tắc m7 gói tin khớp với. Sau khi có một quy tắc khớp, các quy tắc phía dưới sẽ khơng đư<c xem x9t.

<b> Implicit Deny:</b>

NBu khơng có quy tắc n7o khớp, có một quy tắc mặc đnh đư<c áp dụng, thường l7 một quy tắc từ chi tt c không khớp (deny ipv6 any any).

<b> Logging và Implicit Deny:</b>

NBu bạn sử dụng quy tắc với logging, quy tắc logging thường nên đặt trước quy tắc mặc đnh từ chi, đ& có th& ghi log thơng tin v4 gói tin trước khi chúng b từ chi.

</div><span class="text_page_counter">Trang 11</span><div class="page_container" data-page="11">

<b>permit ipv6 2001:db8::/32 anypermit tcp any any eq 80deny ipv6 any any</b>

<b>Chương 3: Triển khai Access Control List trên IPv6:</b>

Mục đích chính của dự án tri&n khai Access Control List (ACL) trên IPv6 l7 tăng cường bo mật mạng bằng cách ki&m soát quy4n truy cập v7o các t7i nguyên v7 dch vụ trên mạng IPv6. ACL l7 một cơng cụ qun lý chính sách an ninh, giúp ngăn chặn hoặc cho ph9p gói tin dựa trên các tiêu chí nht đnh, như đa chỉ nguồn, đa chỉ đích, hoặc các thơng s khác.

Việc tri&n khai ACL trên IPv6 mang lại nhi4u l<i ích, bao gồm kh năng ki&m sốt đường truy4n thơng qua mạng, gim rủi ro từ các tn công mạng, v7 bo vệ các t7i nguyên quan trọng khỏi sự truy cập trái ph9p. ACL cũng cung cp kh năng tùy chỉnh chính sách an ninh theo yêu cầu cụ th& của hệ thng mạng, đồng thời ti ưu hóa hiệu sut mạng bằng cách gim bớt lưu lư<ng không mong mun.

Dự án cũng có th& tập trung v7o việc hiện thực hóa ACL thơng qua việc xác đnh các quy tắc cụ th&, qun lý danh sách ki&m soát, v7 đm bo tính linh hoạt trong qun lý an ninh. Bằng cách n7y, tri&n khai ACL trên IPv6 không chỉ giúp bo vệ mạng khỏi các mi đe dọa mạng hiện tại m7 còn chuẩn b cho những thách thức an ninh mạng trong tương lai.

</div><span class="text_page_counter">Trang 12</span><div class="page_container" data-page="12">

<b>3.2.Giả định tình huống:</b>

PC3 (do hacker đi4u khi&n) đang liên tục gửi các yêu cầu kBt ni v7o máy chủ SRV0 (hiê 1n đang l7 server của mô 1t website bán h7ng online) nhằm tạo ra mô 1t cuô 1c tn công DoS (Denial of Service) với mục đích phá hoại viê 1c bn bán của cửa h7ng. Đây l7 mô 1t cuô 1c tn công DoS với phương thức l7 Resource Depletion attacks. Phương thức n7y sẽ l7m tiêu tn nguồn t7i nguyên của máy chủ như RAM, CPU, l7m tr7n băng thông với lưu lư<ng dữ liê 1u gian lâ 1n dẫn đBn tình trạng từ chi dch vụ v7 khiBn cho máy của khách h7ng không th& n7o truy câ 1p đư<c v7o trang web do server hoạt đô 1ng khơng ổn đnh. Vì vâ 1y nên chúng ta cần phi thiBt lâ 1p ACL đ& chặn đa chỉ IP của máy PC3 nhằm bo vệ hệ thng mạng khỏi các mi đe dọa tn công v7 giữ cho server của website đư<c hoạt đô 1ng mô 1t cách ổn đnh.

Do máy chủ v7 Hacker cùng l7 IPv6 nên chúng ta sẽ thiBt lâ 1p ACL trên IPv6.

</div><span class="text_page_counter">Trang 13</span><div class="page_container" data-page="13">

<b>3.3.Triển khai:</b>

Chúng ta sẽ thiBt lâ 1p ACL trên router R1 vì máy PC3(Hacker) đang kBt ni với router R1.

</div><span class="text_page_counter">Trang 14</span><div class="page_container" data-page="14">

Cu hình IPv6 ACL trên cổng G0/2:

</div><span class="text_page_counter">Trang 15</span><div class="page_container" data-page="15">

Chă 1n quy4n truy câ 1p của PC3 v7 cho ph9p tt c các lưu lư<ng IPv6 khác thông qua

</div><span class="text_page_counter">Trang 16</span><div class="page_container" data-page="16">

Sau đó c7i đă 1t traffic filter trên cổng G0/1 nhằm ki&m soát v7 qun lý lưu lư<ng (traffic) IPv6 trên cổng:

</div><span class="text_page_counter">Trang 17</span><div class="page_container" data-page="17">

</div><span class="text_page_counter">Trang 18</span><div class="page_container" data-page="18">

PC3 đã khơng cịn có kh năng tn cơng v7o máy chủ của website đó nữa do đã b chă 1n IP bởi ACL. Hiê 1n tại website đã an to7n v7 có th& hoạt đô 1ng trở lại mô 1t cách ổn đnh.

</div><span class="text_page_counter">Trang 19</span><div class="page_container" data-page="19">

IPv6 ACL l7 mô 1t gii pháp quan trọng đ& bo vê 1 hê 1 thng mạng. IPv6 ACL giúp hạn chB hoă 1c ngăn chă 1n các tn công DoS từ các hacker, bă 1t buô 1c chỉ cho ph9p lưu lư<ng truy câ 1p h<p lê 1 v7 giới hạn các IP hay máy tính khơng đư<c ph9p truy câ 1p v7o hê 1 thng mạng.

IPv6 ACL giúp đm bo bo mâ 1t hê 1 thng mạng bằng cách duyê 1t qua các gói tin dựa trên đa chỉ IPv6 v7 các thông tin khác nhau như cổng giao tiBp, đa chỉ nguồn, đa chỉ đích, v7 các th 1c tính khác. Đi4u n7y giúp ngăn chă 1n các cụm tn công phổ biBn v7 bo vê 1 hê 1 thng mạng.

IPv6 ACL cũng giúp chúng ta qun lý truy câ 1p chính xác v7 tăng cao sự ổn đnh v7 hiê 1u qu của server của website bán h7ng online. Chúng ta có th& thiBt lâ 1p các luâ 1t lê 1 truy câ 1p đ& chỉ cho ph9p các đi tư<ng xác đnh truy câ 1p v7 giới hạn các IP hay máy tính khơng đư<c ph9p truy câ 1p v7o hê 1 thng mạng. Đi4u n7y đm bo rằng server hoạt đô 1ng ổn đnh v7 không b quá ti.

Viê 1c tri&n khai IPv6 ACL nên đư<c kBt h<p với các gii pháp bo mâ 1t khác như băng thông rô 1ng đủ lớn đ& chu đư<c tn công DoS, gii pháp chng tn công DDoS, ki&m soát truy câ 1p bằng load balancer, mạng riêng o (VPN), mạng riêng tư o (VLAN), v7 các biê 1n pháp bo mâ 1t mức ứng dụng.

Ngo7i ra, cần có sự theo dõi, giám sát, v7 câ 1p nhâ 1t thông tin bo mâ 1t đ& phát hiê 1n các mẫu tn công mới v7 áp dụng các biê 1n pháp phịng ngừa thích h<p.

Vì vâ 1y, kBt qu của dự án l7 IPv6 ACL l7 mô 1t phần quan trọng của chiBn lư<c bo mâ 1t, nhưng đ& đạt hiê 1u qu ti đa trong viê 1c ngăn chă 1n hacker tn công DoS, cần tri&n khai c những gii pháp bo mâ 1t khác v7 duy trì sự câ 1n th, theo dõi, v7 câ 1p nhâ 1t liên tục.