GVHD : TH.S HUỲNH NGUYÊN CHÍNH
SVTT : ĐÀO CAO THƯỢC – 11110265
TRẦN KIM PHÁT – 11110094
LỚP : 11110CLC
ĐỒ ÁN TỐT NGHIỆP
(BÁO CÁO 50% TIẾN ĐỘ)
AN NINH HẠ TẦNG MẠNG
Mục tiêu đề tài

Tìm hiểu tổng quan về an ninh mạng

Tìm hiểu về hệ thống mạng căn bản và khái niệm cơ bản
về tấn công mạng

Tìm hiểu về các chức năng của Router đối với hệ thống
mạng và cách thiết lập bảo mật cơ bản và nâng cao trên
Router.

Tìm hiểu về các chức năng của Switch đối với hệ thống
mạng và cách thiết lập bảo mật cơ bản và nâng cao trên
Switch.

Tìm hiểu về firewall và thiết lập firewall trên hệ thống
mạng
ĐỒ ÁN TỐT NGHIỆP
2
06/17/15
Khối lượng công việc đã thực hiện

Tìm hiểu về các chức năng của Router đối với hệ thống
mạng và cách thiết lập bảo mật cơ bản và nâng cao trên

Router.

Tìm hiểu về các chức năng của Switch đối với hệ thống
mạng và cách thiết lập bảo mật cơ bản và nâng cao trên
Switch.

Tìm hiểu về firewall và thiết lập firewall trên hệ thống mạng
ĐỒ ÁN TỐT NGHIỆP
3
06/17/15
Bảo mật trên layer 3
Định nghĩa và chức năng của Router

Router, hay còn gọi là thiết bị định tuyến hoặc bộ định tuyến,
là một thiết bị mạng máy tính dùng để chuyển các gói dữ liệu
qua một liên mạng và đến các đầu cuối, thông qua một tiến
trình được gọi là định tuyến.

Một router hoạt động như một liên kết giữa hai hoặc nhiều
mạng và chuyển các gói dữ liệu giữa chúng

Router đưa vào bảng định tuyến (routing table) để tìm đường đi cho
gói dữ liệu.

Phân cách các mạng máy tính thành các segment riêng biệt để giảm
hiện tượng đụng độ, giảm broadcast hay thực hiện chức năng bảo
mật.
ĐỒ ÁN TỐT NGHIỆP
4
06/17/15

Bảo mật trên layer 3
Thiết lập bảo mật cơ bản trên Router
ĐỒ ÁN TỐT NGHIỆP
5
06/17/15
Bảo mật trên layer 3
Thiết lập bảo mật cơ bản trên Router
ĐỒ ÁN TỐT NGHIỆP
6
06/17/15
Bảo mật trên layer 3
Thiết lập bảo mật cơ bản trên Router
ĐỒ ÁN TỐT NGHIỆP
7
06/17/15
Bảo mật trên layer 3
Thiết lập bảo mật cơ bản trên Router

Bảo vệ Source Routing

Dùng câu lệnh: no ip source-route

Chống Finger

Dùng câu lệnh :no service finger hoặc no ip finger

Tắt các dịch vụ không cần thiết

Tắt dịch vụ Bootp :no ip bootp server


Tắt dịch vụ CDP:no cdp run hoặc no cdp enable (trên từng cổng R)

Tắt cơ chế tự động load file cấu hình trên mạng

Tắt một số dịch vụ khác(DNS,HTTP,FTP…)

DNS :no ip domain lookup

HTTP :no ip http server

FTP : no ftp-server enable hoặc no ftp-server write-enable
ĐỒ ÁN TỐT NGHIỆP
8
06/17/15
Bảo mật trên layer 3
Thiết lập bảo mật nâng cao trên Router
ĐỒ ÁN TỐT NGHIỆP
9
06/17/15
Bảo mật trên layer 3
Thiết lập bảo mật nâng cao trên Router

Cấu hình IP ACL giảm thiểu tấn công mạng
ĐỒ ÁN TỐT NGHIỆP
10
06/17/15
Cấu hình ACL 10 để chặn tất cả các truy cập từ xa của router
trừ từ PC-C.
Bảo mật trên layer 3
Thiết lập bảo mật nâng cao trên Router


Định tuyến theo chính sách (PBR)

Định nghĩa
Định tuyến theo chính sách (PBR) cung cấp cho bạn một phương
tiện linh hoạt của các gói tin định tuyến, bằng cách cho phép cấu
hình một danh sách các chính sách quy định đối với các gói tin đi
qua Router.

Mục đích

Cung cấp một cơ chế để thực hiện chuyển tiếp/định tuyến các gói dữ
liệu dựa trên các quy định của các quản trị mạng

Giúp cho người quản trị mạng có thể can thiệp sâu hơn trong quá trình
định tuyến của các gói tin, thông qua đó giúp ta có thể khắc phục các
sự cố và nâng cao hiệu quả trong quá trình thông suốt mạng.
ĐỒ ÁN TỐT NGHIỆP
11
06/17/15
Bảo mật trên layer 3
Thiết lập bảo mật nâng cao trên Router

Định tuyến theo chính sách (PBR)

Ứng dụng của PBR

Sơ đồ mạng
.
ĐỒ ÁN TỐT NGHIỆP

12
06/17/15
Bảo mật trên layer 3
Thiết lập bảo mật nâng cao trên Router

Yêu cầu

Tất cả các cổng của router trong hệ thống mạng được cấu hình địa
chỉ IP.

Cấu hình định tuyến theo giao thức EIGRP cho toàn bộ hệ thống
mạng

Thực hiện thay đổi trên router R2 để traffic mạng 1.1.1.0 tới Router
R5 được gửi xuống serial link.

Thực hiện thay đổi trên router R2 để traffic từ địa chỉ 192.168.12.1
tới L3:33.33.33.33 được gửi xuống serial link.

Thực hiện thay đổi trên router R2 các packet có “length” lớn hơn 200
byte được gửi xuống serial link.

Thực hiện thay đổi trên router R2 để traffic từ 192.168.12.2 tới
L2:3.3.3.3 được gửi xuống serial link.
TIỂU LUẬN CHUYÊN NGÀNH
13
06/17/15
Bảo mật trên layer 2

Sự độc lập cho phép lớp này có khả nǎng liên kết và khả nǎng

kết nối rất mạnh.

Tuy nhiên, xét về phương diện an ninh, điều này lại tạo ra
những thách thức không nhỏ do bị thoả hiệp ngay lập tức.

Hệ thống an ninh của mạng chỉ mạnh khi layer 2, tuyến
phòng vệ yếu nhất này, cũng phải đủ mạnh.

Bộ phận an ninh mạng thường không quan tâm đến Layer 2
mà chỉ tập trung vào Layer 3 và các Layer cao hơn.

Sự khác biệt về quan điểm còn thể hiện ở chính các thiết bị
trên mạng.
TIỂU LUẬN CHUYÊN NGÀNH
14
06/17/15
Bảo mật trên layer 2

Firewall thường được thiết lập với cấu hình bảo mật cao nhất
khi chúng lần đầu được cài đặt.

Theo mặc định, cho đến khi chúng được điều chỉnh thì chúng
không cho phép trao đổi thông tin.

Các thiết bị chuyển mạch và các thiết bị định tuyến lại hoàn
toàn trái ngược.

Các switch và router thường tích hợp sẵn các tính nǎng bảo
mật bên trong.


Thông thường thì các tính nǎng này không được sử dụng, hoặc
được sử dụng không đúng cách.
TIỂU LUẬN CHUYÊN NGÀNH
15
06/17/15
Bảo mật trên layer 2
Switch

Định nghĩa và chức năng của Switch

Switch hoạt động ở Layer 2.

Switch làm nhiệm vụ truyền các frame theo các kênh được tạo nên
bởi phần mềm cài đặt bên trong switch.

Switch là một trong những thành phần cốt lỗi thực hiện việc truyền
thông trong VLAN.
TIỂU LUẬN CHUYÊN NGÀNH
16
06/17/15
Bảo mật trên layer 2
Ứng dụng

Cấu hình Port-Security
TIỂU LUẬN CHUYÊN NGÀNH
17
06/17/15
Ta sẽ cấu hình tính năng port-security lên Switch.
Trên các cổng Fa0/2 – 0/3 – 0/4 – 0/5 đều gắn với 1 PC cố định, ta sẽ cấu
hình sao cho khi các PC thay đổi cổng với nhau thì cổng đó sẽ mất tín

hiệu không kết nối được với Switch vì khác địa chỉ MAC trên mỗi PC.
Bảo mật trên layer 2
Ứng dụng

Cấu hình bảo mật trên VLAN.
TIỂU LUẬN CHUYÊN NGÀNH
18
06/17/15
Quản trị mạng muốn một PC-Manager(Quản lý) kết nối với SW-A. Các quản
trị viên muốn cho phép PC-Manager có thể kết nối tới tất cả các Switch và
Router, nhưng không muốn các thiết bị khác có thể kết nối với PC-Manager
Switch, Router. Các quản trị viên tạo ra VLAN 20 với mục đích quản lý.
Firewall

Khái niệm Firewall

Firewall là một kỹ thuật được tích hợp vào hệ thống mạng để chống
sự truy cập trái phép, nhằm bảo vệ các nguồn thông tin nội bộ và hạn
chế sự xâm nhâp không mong muốn vào hệ thống.

Các mạng riêng nối với Internet thường bị đe dọa bởi những kẻ tấn
công.

Để bảo vệ dữ liệu bên trong người ta thường dùng firewall

Firewall có thể là gateway hoặc điểm nối liền giữa hai mạng,
thường là một mạng riêng và một mạng công cộng như là
Internet.

Các firewall đầu tiên là các router đơn giản.


Chức năng chính của Firewall là kiểm soát luồng thông tin từ giữa
Intranet và Internet.
TIỂU LUẬN CHUYÊN NGÀNH
19
06/17/15
Firewall

Chức năng của Firewall

Thiết lập cơ chế điều khiển dòng thông tin giữa mạng bên trong
(Intranet) và mạng Internet.

Cho phép hoặc cấm những dịch vụ truy cập ra ngoài.

Cho phép hoặc cấm những dịch vụ từ ngoài truy cập vào trong.

Theo dõi luồng dữ liệu mạng giữa Internet và Intranet

Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập

Kiểm soát người sử dụng và việc truy cập của người sử dụng và
kiểm soát nội dung thông tin lưu chuyển trên mạng.
TIỂU LUẬN CHUYÊN NGÀNH
20
06/17/15
Firewall

Nguyên lý hoạt động của Firewall


Các rule của Firewall hoạt động tương tự như Access Control
List(ACL) của Router.

Rule của firewall có khả năng lọc gói tin sâu hơn ACL.

Firewall hoạt động chặt chẽ với giao thức TCP/IP.

Bộ lọc packet cho phép hay từ chối mỗi packet mà chúng nhận
được.

Bộ lọc kiểm tra toàn bộ đoạn dữ liệu để quyết định xem đoạn dữ
liệu đó có thỏa mãn một trong số các luật lệ của lọc packet hay
không.
TIỂU LUẬN CHUYÊN NGÀNH
21
06/17/15
Firewall

Các loại Firewall

Network Firewall: bảo vệ cho cả hệ thống mạng.

Host Firewall: Bảo vệ cho một máy tính được cài đặt (thường
được tích hợp trên OS hoặc các phần mềm bảo mật như Anti-
Virus, Endpoint Security).

Web Firewall: Có thể là Network Firewall hoặc Host Firewall
có chức năng bảo vệ dịch vụ web trước các dạng tấn công.

Software Firewall: Thường được cài đặt trên OS hoặc là hệ

điều hành Linux tích hợp firewall mềm.

Hardware Firewall: Được tối ưu hóa bằng việc xây dựng hệ
điều hành trên nền tảng phần cứng của hãng nên hiệu năng xử
lý tốt hơn.
TIỂU LUẬN CHUYÊN NGÀNH
22
06/17/15
Firewall

Cấu hình cơ bản về Firewall trên Packet Tracer
TIỂU LUẬN CHUYÊN NGÀNH
23
06/17/15
Ta sẽ thực hiện cấu hình Firewall trên Router R3. Với chức năng
các Sever bên ngoài không thể truy cập vào dữ liệu của các PC nội
bộ.
Cảm ơn thầy đã lắng nghe!
06/17/15 TIỂU LUẬN CHUYÊN NGÀNH
24