MỤC LỤC
THUẬT NGỮ VIẾT TẮT 2
CHƯƠNG 1 GIỚI THIỆU CHUNG 3
1.1 CƠ SỞ QUẢN LÝ MẠNG 3
1.1.1 Chi phí ngắt dịch vụ 4
1.1.2 Kích cỡ và độ phức tạp của mạng 4
1.1.3 Giám sát hiệu suất 5
1.1.4 Đối phó với các trang thiết bị tinh xảo 5
1.2 QUÁ TRÌNH QUẢN LÝ MẠNG 5
1.2.1 Tổ chức OSI trong quản lý mạng 6
1.2.2 Các chức năng quản lý mạng lưới 11
1.3 CÔNG CỤ VÀ HỆ THỐNG 11
1.3.1 Các công cụ giám sát 13
1.3.2 Công cụ chẩn đoán 13
1.3.3 Hệ thống quản lý dựa trên máy vi tính 13
CHƯƠNG 2 AN NINH MẠNG TCP/IP 14
2.1 AN NINH ĐỊNH TUYẾN 14
2.1.1 Sự cần thiết an ninh truy cập 15
2.1.2 Truy cập định tuyến 16
2.1.3 Truy cập Telnet 16
2.1.4 Truy cập TFTP 18
2.1.5 Bảng điều khiển và đầu cuối ảo 19
2.1.6 Truyền file (tệp) 21
2.1.7 An ninh bên trong bộ định tuyến 21
2.1.8 Phạm vi phòng vệ bổ sung 23
2.2 DANH SÁCH TRUY CẬP BỘ ĐỊNH TUYẾN 23
2.2.1 Tổng quan 24
2.2.2 Xem xét giao thức TCP/IP 24
2.2.3 Sử dụng danh sách truy cập 26
2.3 SỬ DỤNG DỊCH VỤ BỨC TƯỜNG LỬA (PROXY) 34
2.3.1 Những giới hạn danh sách truy cập 34
2.3.2 Các dịch vụ proxy 36
2.3.3 Các dịch vụ proxy ICMP 37
2.3.4 Hạn chế 39
2.3.5 Ví dụ hoạt động 40
2.4 BIÊN DỊCH ĐỊA CHỈ MẠNG 46
2.4.1 Biên dịch các loại địa chỉ 47
48 trang |
Chia sẻ: netpro | Lượt xem: 2265 | Lượt tải: 1
Bạn đang xem trước 20 trang tài liệu Đồ án Nghiên cứu chung về quản lý mạng TCP-IP - An ninh mạng TCP-IP (security), để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
g qua World Wide Web. Điều này có nghĩa là hầu như không có giới hạn số người có khả năng để khám phá các mật khẩu mặc định cần thiết để truy cập vào một bộ định tuyến thông qua một kết nối Telnet. Nếu các bộ định tuyến mà quản trị viên không thể thay đổi mật khẩu mặc định truy cập Telnet hay không đặt thêm bất kỳ hạn chế khi truy cậpTelnet thì bất kỳ người nào có kiến thức về địa chỉ IP của giao tiếp bộ định tuyến có thể được truy cập vào thiết bị.
2.1.4 Truy cập TFTP
Hầu hết các bộ định tuyến có hai loại bộ nhớ: Bộ nhớ truy cập ngẫu nhiên (RAM) và bộ nhớ không bay hơi. Không giống như bộ nhớ RAM, nội dung của nó bị xoá hoàn toàn khi mất nguồn, nội dung của bộ nhớ không bay hơi không bị xóa. Khi cấu hình, bộ nhớ định tuyến không bay hơi thường được sử dụng để lưu trữ hình ảnh của bộ nhớ bộ định tuyến cũng như sao lưu dự phòng hoặc thay thế cấu hình định tuyến. Bởi vì bộ định tuyến không chứa đĩa mềm hoặc không có ổ đĩa cứng, khả năng của chúng lưu trữ nhiều hơn vài cấu hình thay đổi bị giới hạn. Điều này có nghĩa là các quản trị viên đòi hỏi khả năng lưu trữ dự phòng hoặc thay thế cấu hình bộ định tuyến vượt ra ngoài khả năng giới hạn bộ nhớ không bay hơi tiêu biểu của bộ định tuyến làm như vậy trên máy trạm và sử dụng chương trình TFTP (Trivial File Transfer Program) để tải và lưu các hình ảnh hệ thống bộ định tuyến và các tập tin cấu hình. Điều này cũng có nghĩa là nếu được phép truy cập TFTP, tùy theo cách thức hỗ trợ truy cập TFTP của bộ định tuyến, nó có thể cho phép cá nhân không được quyền tạo ra cấu hình dữ liệu khi sử dụng bộ định tuyến, dẫn đến vi phạm bảo mật hoặc không được định trước môi trường hoạt động.
Bây giờ chúng ta đánh giá các phương pháp chính có thể được sử dụng để truy cập vào bộ định tuyến, chúng ta quay về các phương pháp được sử dụng là bảo vệ truy cập hoặc khóa cửa ra vào dựa trên phương pháp truy cập. Điều này sẽ cung cấp cho chúng ta khả năng làm nó khó khăn đối với những người được phép truy cập bộ định tuyến và giành được khả năng xem và thay đổi các cấu hình thiết bị. Trong khi làm điều đó, chúng ta sẽ thảo luận về một số lệnh định tuyến các hệ thống Cisco.
Hình 2.1
Hình 2.1 Qua việc sử dụng máy khách Telnet bao gồm hàng triệu bản sao của Windows 95 và Windows 98, tin tặc có thể truy cập vào khả năng cấu hình định tuyến kết nối vào Internet.
2.1.5 Bảng điều khiển và đầu cuối ảo
Sau khi bạn mở gói bộ định tuyến và bắt đầu quá trình cài đặt của nó, điều này vô cùng quan trọng là xem xét cách thức truy cập vào cấu hình thiết bị. Nếu bạn cho phép thay đổi cấu hình từ một kết nối trực tiếp thiết bị đầu cuối, bạn cần đảm bảo Telnet và TFTP được phép truy cập. Trong môi trường định tuyến của Cisco, bạn có thể truy cập cấu hình từ bàn điều khiển và đầu cuối ảo thông qua việc sử dụng ‘dòng’ lệnh. Dòng lệnh này theo định dạng sau:
dòng [loại từ khoá]dòng đầu tiên [dòng cuối]
Ở đây thông tin trong dấu ngoặc đơn mô tả tùy chọn. Các loại từ khóa nhập vào có thể được nhập vào bảng điều khiển là 'aux' hoặc 'vty'. Bảng điều khiển nhập mô tả một đường dây đầu cuối và thiết bị nối cáp trực tiếp đến một cổng trên bộ định tuyến. So sánh, aux được sử dụng để chỉ thị đường dây phụ, cho phép bạn định rõ quyền truy cập thông qua một cổng trên bộ định tuyến được kết nối với một CSU, DSU hoặc modem, cho phép truyền thông nối tiếp từ xa. Tùy chọn thứ ba, vty, mô tả kết nối đầu cuối ảo với truy cập bảng điều khiển từ xa. Lưu ý rằng khi nhập dòng lệnh, dòng lệnh đầu tiên và cuối cùng mô tả một số áp dụng kề nhau đến thiết bị cụ thể và có thể được trình bà và liên kết với một đường dây.
Khi cấu hình truy cập thông qua việc sử dụng dòng lệnh. Điều đó rất quan trọng để xem xét liên kết một mật khẩu với thiết bị mà bạn cho phép truy cập. Thậm chí nếu bạn có kế hoạch cho phép truy cập vào một bộ định tuyến thông qua thiết bị đầu cuối kết nối cáp trực tiếp trong một trung tâm kiểm soát kỹ thuật an toàn, mỗi tình huống xảy ra sẽ chứng minh mật khẩu bảo vệ. Trong trường hợp mà người dùng là quen thuộc, một trung tâm kiểm soát kỹ thuật của mạng chính được một nhóm người theo dõi kết quả. phần còn lại của nhóm của trung tâm kiểm soát kỹ thuật giám sát tình trạng của mạng lưới bằng hình ảnh hiển thị, điều quan tâm bắt đầu với một cáp nối trực tiếp đầu cuối đến một bộ định tuyến và các chức năng bằng hộp thoại của bộ định tuyến. Không biết nhập vào cái gì, các nhóm theo dõi nhập vào một dấu hỏi (?), các kết quả đó được trong hiển thị các lệnh bộ định tuyến. Trong khoảng thời gian ngắn, người theo dõi này quản lý cấu hình bộ định tuyến, trong khi phần còn lại của nhóm nghe lời chỉ dẫn bởi người quản lý trung tâm. Không cần thiết để nói, nếu một mật khẩu trước đó đã được liên kết với đầu cuối truy cập, mất cấu hình bộ định tuyến trước và tàn phá kết quả nó tạo ra là không thể.
Trong môi trường bộ định tuyến của Cisco, bạn có thể kết hợp một mật khẩu với một phương pháp truy cập từ xa. Để làm được như vậy, bạn nên sử dụng mật khẩu lệnh. Ví dụ:
Dòng điều khiển
Mật khẩu Bugs4bny
Bảng điều khiển truy cập bị khóa cho đến khi người điều hành bảng điều khiển trả lời mật khẩu bugs4bny tại dấu nhắc bởi bộ định tuyến.
Mật khẩu của hãng Cisco có thể lên tới 80 ký tự. Các mật khẩu này thường được kết hợp bất kỳ của các chữ cái, chữ số và các khoảng trắng. Trong lúc này các quản trị viên định tuyến được quyền điều khiển và thay đổi các mật khẩu đó, đồng thời mật khẩu này giới hạn người sử dụng truy cập vào bộ định tuyến. Điều này bởi vì khi lựa chọn một mật khẩu thường dựa vào một số lượng lớn con số và chữ cái khác nhau đồng thời trộn lẫn chúng lại với nhau. Khi sử dụng mật khẩu loại này chắc chắn sẽ khó đoán và tránh được sự tấn công, đồng thời mật khẩu này cũng gây khó khăn cho quản trị viên định tuyến nhập mật khẩu vào không chính xác. Nếu nhập sai ba lần, bộ định tuyến của Cisco sẽ khóa. Vì vậy, khi lựa chọn một mật khẩu, điều quan trọng là phải ghi nhớ một số nguyên tắc mật khẩu. Trước tiên, mật khẩu phải sử dụng hỗn hợp các ký tự chữ và số để tránh bớt các nguy cơ tấn công . Thứ hai, khi xây dựng cấu trúc một mật khẩu hãy nhớ rằng càng mở rộng độ dài của mật khẩu thì càng làm tăng khả năng xảy ra lỗi khi nhập mật khẩu. Nói chung, mật khẩu dài từ 10 đến 15 ký tự là đủ nếu mật khẩu được cấu tạo từ liên kết giữa chữ viết tắt và một chuỗi các số.
2.1.6 Truyền file (tệp)
Chúng ta nhận thấy rằng, trước đây các giao thức truyền tệp thường (Trivial File Transfer Protocol) thường được hỗ trợ bởi bộ định tuyến như là một kỹ thuật cho phép hình ảnh hệ thống và các file cấu hình được lưu trữ trên trạm làm việc. Trong môi trường bộ định tuyến của Cisco, cho phép tải các file cấu hình mạng khi khởi động lại bộ định tuyến, chúng ta phải xác định lệnh dịch vụ cấu hình là mặc định và vô hiệu hoá khả năng này. Nếu khả năng này được kích hoạt, bộ định tuyến sẽ phát tín hiệu qua TFTP đọc một tin nhắn yêu cầu và trạm đầu tiên đáp ứng sẽ có file với một tên cụ thể dựa vào cấu hình của bộ định tuyến được truyền qua mạng.
2.1.7 An ninh bên trong bộ định tuyến
Một khi đã đạt được quyền truy cập vào một bộ định tuyến, hệ điều hành của thiết bị có thể cung cấp thêm khả năng bảo vệ, bạn có thể sử dụng thêm cho việc bảo mật truy cập bộ định tuyến. Trong bộ định tuyến của Cisco lệnh phiên dịch trong hệ điều hành được gọi tắt là Exec. Exec có hai mức truy cập: người dùng và đặc quyền.
Mức truy cập của người dùng cho phép người dùng sử dụng một số lệnh trong các lệnh bộ định tuyến, ví dụ như lệnh cho phép mở danh sách các kết nối bộ định tuyến, lệnh cung cấp tên đến một kết nối logic và lệnh hiển thị số liệu thống kê liên quan đến hoạt động của bộ định tuyến. Mức truy cập đặc quyền bao gồm tất cả các lệnh truy cập của người dùng cũng như các lệnh ảnh hưởng đến các hoạt động của bộ định tuyến, chẳng hạn như lệnh về cấu hình, lệnh này cho phép nhân viên quản trị mạng đặt lại cấu hình của bộ định tuyến, tải lại lệnh, lệnh tạm dừng hoạt động của thiết bị và tải lại cấu hình của thiết bị và các lệnh tương tự có liên quan thiết thực đến tình trạng làm việc của thiết bị.
Quyền của người được truy cập vào chế độ hoạt động đặc quyền của bộ định tuyến Cisco nhận được khả năng điều khiển trực tiếp các hoạt động bộ định tuyến, mức truy cập này có thể được bảo vệ bằng mật khẩu. Vì vậy, khi cài đặt bộ định tuyến của Cisco, điều quan trọng khi sử dụng lệnh về cấu hình của bộ định tuyến thường sử dụng mật khẩu. Ví dụ, để chỉ định mật khẩu power4you với mức lệnh đặc quyền, bạn nên sử dụng mật khẩu lệnh cho phép như sau:
cho phép mật khẩu power4you
Tương tự mật khẩu kết hợp với một dãy nối tiếp tại thiết bị đầu cuối, mật khẩu chỉ định đến lệnh đặc quyền là trường hợp nhạy cảm, mật khẩu có thể chứa bất kỳ hỗn hợp của ký tự chữ cái và chữ số, mật khẩu này tối đa đến 80 ký tự. Do đó, bằng cách đặt một mật khẩu trên cổng nối tiếp, hoặc trên bất kỳ các kết nối đầu cuối ảo cũng như trên các lệnh đặc quyền của bộ định tuyến, bạn bảo vệ cả hai truy cập vào các bộ định tuyến giống như việc sử dụng các lệnh truy cập đặc quyền.
Hình 2.2
Hình 2.2 minh họa cấu hình xử lý ban đầu của bộ định tuyến và chỉ định mật khẩu. Lưu ý rằng sau giao diện bộ định tuyến được hiển thị và một tên (BigMac) đã được nhập vào bộ định tuyến, bạn sẽ được nhắc nhở để nhập ba mật khẩu. Mật khẩu thứ nhất gọi tắt là cho phép bí mật, là một mật mã bí mật được sử dụng thay vì mật khẩu cho phép. Thứ hai là mật khẩu cho phép là mật khẩu được sử dụng nơi không cần bảo mật và khi sử dụng phần mềm cũ và một số hình ảnh khởi động. Thứ ba, mật khẩu là mật khẩu đầu cuối ảo. Sau khi các mật khẩu đã được nhập vào, bộ định tuyến sẽ nhắc bạn nhập dữ liệu cấu hình đặc trưng chỉ là một phần trong số đó được hiển thị trong hình 2.2. Việc nhập mật khẩu được hiển thị trong hình 2.2 là minh họa cho mục đích và phạm vi mô tả cấu tạo mật khẩu được đề cập trong phần này.
2.1.8 Phạm vi phòng vệ bổ sung
Nếu bạn cần cung cấp một hoặc cho nhiều người dùng trên một mạng với cấu hình của mạng gồm một hoặc nhiều bộ định tuyến, bạn có thể bổ sung thêm một lớp bảo vệ mật khẩu ngoài. Để làm như vậy, bạn có thể lập trình một hoặc nhiều danh sách truy cập bộ định tuyến. Mặc dù việc sử dụng danh sách truy cập vào định tuyến là được ẩn, chúng ta có thể tóm tắt một số lưu ý rằng mật khẩu ngoài đại diện cho các chọn lựa cho phép hoặc từ chối để áp dụng cho các địa chỉ Internet. Điều này có nghĩa là nếu bạn có thể xác định địa chỉ IP của các trạm, điều này sẽ cung cấp cấu hình hoạt động một hoặc nhiều bộ định tuyến thông qua việc nối mạng, bạn có thể sử dụng danh sách truy cập của bộ định tuyến để hạn chế truy cập Telnet cho mỗi bộ định tuyến đến một hoặc nhiều địa chỉ cụ thể IP. Điều này có nghĩa là không những nhà điều hành đầu cuối cần phải biết chính xác mật khẩu để truy cập vào bộ định tuyến thích hợp mà họ còn biết thêm vị trí xác định trước của bộ định tuyến trên mạng. Bằng cách kết hợp bảo vệ mật khẩu bộ định tuyến với mật khẩu bảo vệ đặc quyền của chế độ điều hành để hạn chế truy cập vào cấu hình của bộ định tuyến thông qua việc sử dụng một hoặc nhiều danh sách truy cập để khóa quyền truy cập vào bộ định tuyến.
2.2 DANH SÁCH TRUY CẬP BỘ ĐỊNH TUYẾN
Trong phần trước của chương này, chúng ta tập trung nghiên cứu đến khả năng truy cập cấu hình của bộ định tuyến. Trong phần đó chúng ta chú ý rằng một phương pháp truy cập đến bộ định tuyến thông qua việc sử dụng danh sách truy cập thích hợp. Tuy nhiên, khi truy cập sâu danh sách truy cập nó sẽ bị thoát ra ngoài để thực hiện chức năng bảo mật.
Trong phần này, chúng ta sẽ kiểm tra hoạt động, sử dụng, và hạn chế của danh sách truy cập. Mặc dù chúng ta sẽ thảo luận về danh sách truy cập trong thuật ngữ ứng dụng chung của nhiều sản phẩm được sản xuất bởi các nhà sản xuất khác nhau. Chúng ta cũng sẽ thảo luận các loại danh sách truy cập cụ thể và đề cập tới những ví dụ minh họa liên quan đến cách thức hoạt động của chúng. Đồng thời chúng ta sẽ đề cập đến danh sách truy cập được hỗ trợ bởi các bộ định tuyến của hệ thống Cisco, hiện tại nhà sản xuất này cung cấp trên khoảng 70% thiết bị trên thị trường. Mặc dù sử dụng danh sách truy cập trong phần này được định hướng theo sản phẩm của hệ thống Cisco, tuy nhiên cần lưu ý là bộ định tuyến của các hãng sản xuất khác cũng tính năng tương đương. Điều này có nghĩa là các ví dụ được trình bày trong phần này đều có liên quan đến các nhà cung cấp khác? Thông thường có sự thay đổi chút ít. Cũng lưu ý rằng vì có rất nhiều phiên bản bộ định tuyến của hệ thống Cisco dựa vào IOS nên khả năng thực tế và mã hóa danh sách truy cập tùy thuộc vào phiên bản IOS được sử dụng. Trong vấn đề này, chúng ta sẽ tập trung đến danh sách truy cập chính của các phiên bản khác nhau phổ biến của hệ thống Cisco đã qua vài năm sử dụng.
2.2.1 Tổng quan
Một danh sách truy cập mô tả một chuỗi chọn lựa cho phép và từ chối các điều kiện mà được áp dụng đến trường giá trị trong các gói tin chảy qua một giao diện bộ định tuyến.Chỉ một danh sách truy cập được cấu hình, nó được áp dụng đến một hoặc nhiều giao diện định tuyến, dẫn đến việc thực hiện một chính sách an ninh. Vì các gói thông qua một giao diện của bộ định tuyến, thiết bị so sánh dữ liệu trong một hoặc nhiều trường trong gói với những phát biểu trong danh sách truy cập kết hợp với giao diện. Dữ liệu trong trường lựa chọn của gói được so sánh từng phát biểu trong danh sách truy cập theo thứ tự mà những phát biểu được nhập vào tạo thành danh sách. Đầu tiên kết hợp giữa các nội dung hoặc điều kiện của phát biểu trong danh sách truy cập và một hoặc nhiều thành phần dữ liệu của trường trong mỗi gói xác định dù cho bộ định tuyến có cho phép gói ngang qua giao diện hay không. Nếu điều kiện gói chảy thông qua các bộ định tuyến không cho phép thì bộ định tuyến gởi gói đến thùng trong bầu trời qua hoạt động lọc.
Tại một số nhỏ nhất, danh sách truy cập định tuyến điều khiển dữ liệu theo lớp mạng. Bởi vì có rất nhiều loại giao thức lớp mạng, cũng có nhiều loại danh sách truy cập chẳng hạn như danh sách truy cập Novell NetWare IPX, danh sách truy cập giao tức Internet IP và danh sách truy cập Decnet. Bởi vì trọng tâm của cuốn sách này trên quản lý giao thức điều khiển truyền/giao thức Internet ( TCP/IP) và qui tắc quan trọng của giao thức Internet trong truy cập của chúng, chúng tôi sẽ thu hẹp xem xét danh sách truy cập của chúng tôi đến những hỗ trợ giao thức TCP / IP.
2.2.2 Xem xét giao thức TCP/IP
Để thu được một đánh giá cách thức hoạt động trong danh sách truy cập IP, một xem xét tóm tắt thứ tự một phần của giao thức TCP/IP. Tại lớp ứng dụng các nội dung dòng dữ liệu mô tả một liên quan ứng dụng trong giao thức, chẳng hạn như tệp vận chuyển phiên đầu cuối xa hoặc một thư điện tử được thông qua đến một trong hai lớp vận chuyển giao thức đã hỗ trợ bởi giao thức TCP/IP: giao thức điều khiển truyền TCP (Transmission Control Protocol) và giao thức chương trình dữ liệu người dùng UDP (User Datagram Protocol). Cả TCP và UDP là giao thức lớp 4 hoạt động tại lớp vận chuyển (theo tiêu chuẩn ISO) mô hình tham khảo hệ thống mở OSI. Bởi vì một máy tính chủ điều hành giao thức TCP/IP được hỗ trợ hoạt động nhiều ứng dụng đồng thời, một kỹ thuật được đòi hỏi để phân biệt một trong những ứng dụng khác nhau như ứng dụng dữ liệu được tạo thành trong TCP hay chương trình dữ liệu UDP. Kỹ thuật sử dụng để phân biệt một ứng dụng từ những ứng dụng khác là số cổng, với mỗi ứng dụng được hỗ trợ bởi giao thức TCP/IP có kết hợp với số cổng. Ví dụ, một máy chủ có thể truyền tải một gói có chứa một email theo bởi một gói có chứa một phần của một tệp vận chuyển, với số cổng khác nhau trong mỗi gói, xác định loại dữ liệu chứa trong mỗi gói. Thông qua việc sử dụng số cổng, các ứng dụng khác có thể được truyền đến một địa chỉ chung với địa chỉ đến sử dụng số cổng trong mỗi gói như là một kỹ thuật phân kênh từ một trong những ứng dụng khác nhau trong một dòng dữ liệu nhận được từ một địa chỉ nguồn. Số cổng được chỉ định bởi quyền chỉ định của Internet IANA (Internet Assigned Number Authority). IANA duy trì một danh sách chỉ định số cổng mà bất kỳ ai có quyền tuy cập Internet cũng có thể truy cập vào. TCP là một giao thức kết nối liên kết, nó cung cấp một kỹ thuật phân phối bảo đảm. Bởi vì khả năng trao đổi dữ liệu chỉ yêu cầu một khoảng thời gian ngắn để thiết lập một kết nối TCP . Nó không những vô cùng hiệu quả của ứng dụng truyền dẫn mà chỉ đòi hỏi nhỏ số lượng dữ liệu trao đổi, chẳng hạn một câu hỏi quản lý rằng có thể đơn giản lấy lại một tham số được lưu trữ từ máy dò phía xa. Công nhận rằng loại tình trạng mạng này đòi hỏi một phương thức truyền dẫn cao hơn kết quả là phát triển của UDP. UDP được phát triển bằng một kết nối không dây, nỗ lực tốt nhất của kỹ thuật phân phối. Điều này có nghĩa là khi một phiên UDP được bắt đầu, dữ liệu bắt đầu truyền ngay lập tức thay vì phải đợi cho đến khi một phiên kết nối được thiết lập. Điều này cũng có nghĩa là trên lớp ứng dụng trở thành trách nhiệm phải cài đặt một thời gian để cho phép một khoảng thời gian để kết thúc mà không nhận được phản hồi để xác định rằng một kết nối hoặc được thiết lập hoặc đã mất.
Mặc dù cả hai TCP và UDP khác nhau một trong những ứng dụng khác bằng việc sử dụng các giá trị số cổng, thực tế địa chỉ thiết bị trách nhiệm của IP, một giao thức lớp mạng hoạt động tại lớp 3 của tiêu chuẩn ISO, mô hình tham khảo của OSI. Một ứng dụng dữ liệu dưới giao thức TCP/IP hoặc một tiêu đề TCP hoặc một tiêu đề UDP được thêm dữ liệu, với kết quả đoạn dữ liệu chứa một số cổng thích hợp mà nhận dạng ứng dụng đang được vận chuyển. Tiếp theo, dữ liệu phía dưới giao thức, hoạt động trong lớp 3 dẫn đến một tiêu đề IP được thêm vào trước tiêu đề TCP hoặc UDP. Tiêu đề chứa địa chỉ IP đích và địa chỉ IP nguồn bằng 32-bit dưới chuẩn IPv4. Chúng tôi thường xuyên mã hóa địa chỉ IP khi cấu hình giao thức bằng bốn số thập phân tách rời nhau bởi dấu chấm. Dựa vào trước, có ba địa chỉ được sử dụng trong một danh sách truy cập IP mà cho phép hoặc không cho phép luồng gói tin thông qua giao diện bộ định tuyến: địa chỉ IP nguồn, địa chỉ IP đích và số cổng nhận dạng dữ liệu ứng dụng trong gói. Thực tế hệ thống Cisco và bộ định tuyến khác được sản xuất cũng hỗ trợ giao thức liên quan IP khác, chẳng hạn như giao thức tin nhắn điều khiển Internet ICMP (Internet Control Message Protocol) và giao thức mảng mở ngắn nhất đầu tiên OSPF (Open shortest Patch First) bằng một kỹ thuật cho phép hoặc không cho phép luồng của các loại tin nhắn lỗi xác định trước và các chất vấn, với một ví dụ trễ là một gói yêu cầu phản hồi và trả lời ICMP.
2.2.3 Sử dụng danh sách truy cập
Trong môi trường định tuyến của Cisco, có hai loại danh sách truy cập IP mà bạn có thể cấu hình: danh sách cấu hình chuẩn hoặc cơ sở và danh sách truy cập mở rộng. Một danh sách truy cập chuẩn cho phép lọc chỉ bằng địa chỉ nguồn. Điều này có nghĩa bạn chỉ có thể cho phép hoặc từ chối các gói tin thông qua một giao diện dựa vào địa chỉ nguồn IP trong gói. Do đó danh sách truy cập loại này được giới hạn trong các chức năng của nó. So sánh danh sách truy cập mở rộng cho phép lọc địa chỉ nguồn, địa chỉ đích và các tham số khác nhau kết hợp với các lớp phía trên trong giao thức, chẳng hạn như số cổng TCP và UDP.
Nguyên tắc cấu hình
Khi phát triển một danh sách truy cập định tuyến của Cisco, có một số nguyên tắc quan trọng cần lưu ý. Trước tiên danh sách truy cập của Cisco được đánh giá trong một kiểu liên tục bắt đầu với mục thứ nhất trong danh sách. Khi phù hợp, danh sách truy cập xử lý kết thúc và không có so sánh thêm xảy ra. Như vậy điều quan trọng của nó là đặt thêm chi tiết vào phía trên danh sách truy cập của bạn .Điều quan trọng thứ hai danh sách truy cập luôn luôn có ẩn một từ chối vào cuối danh sách truy cập. Điều này có nghĩa là nội dung của một gói không rõ ràng phù hợp với một trong các mục danh sách truy cập sẽ tự động bị từ chối. Bạn có thể đè lên từ chối ẩn bằng cách đặt một giấy phép rõ ràng ‘all’ vào mục cuối cùng trong danh sách của bạn.
Nguyên tắc thứ ba liên quan đến cấu hình danh sách truy cập là mối quan tâm bổ sung vào danh sách. Bất cứ mục danh sách truy cập mới sẽ được tự động thêm vào dưới cùng của danh sách. Đây thực sự là điều quan trọng cần lưu ý, đặc biệt khi cố gắng thực hiện một hoặc nhiều sửa đổi danh sách truy cập. Đây là vì những phát biểu thêm vào phía dưới cùng của một danh sách truy cập có thể không có kết quả trong danh sách có thể đáp ứng yêu cầu của tổ chức. Nhiều khi có thể cần phải xóa và tạo lại một danh sách truy cập thay vì thêm vào các mục dưới cùng của danh sách.
Nguyên tắc thứ tư liên quan đến các danh sách truy cập là chúng được áp dụng đến một giao diện. Một trong những lỗi phổ biến một số người cho là thích hợp để tạo ra một danh sách truy cập và quên để áp dụng nó đến một giao diện. Trong những tình huống danh sách truy cập đơn giản cư trú trong khu vực cấu hình bộ nhớ của bộ định tuyến nhưng sẽ không được sử dụng để kiểm tra luồng các gói dữ liệu thông qua bộ định tuyến, trong ảnh hưởng tương tự để lại cửa nhà kho khép hờ sau khi mất thời gian xây dựng một cấu trúc tốt. Bây giờ chúng tôi có một đánh giá của khóa (key) nguyên tắc cấu hình danh sách truy cập, chúng tôi hãy trở lại chú ý của chúng tôi đến sự tạo ra chuẩn và mở rộng danh sách truy cập bộ định tuyến của Cisco.
Danh sách truy cập chuẩn
Định dạng cơ bản của một danh sách truy cập chuẩn như sau:
Danh sách- truy cập số {cho phép /từ chối} [địa chỉ IP ] [mặt nạ]
Mỗi danh sách truy cập được chỉ định một số duy nhất để nhận dạng danh sách riêng biệt cũng như khai báo loại danh sách truy cập hệ điều hành của bộ định tuyến .
Chuẩn danh sách truy cập IP của Cisco được chỉ định một số nguyên từ 1 đến 99. Một phát hành mới của hệ điều hành định tuyến của Cisco cho phép định nghĩa tên danh sách truy cập . Tuy nhiên, vì đặt tên danh sách truy cập ngược lại thì không tương thích với các phiên bản hệ điều hành bộ định tuyến có trước, chúng tôi sẽ sử dụng danh sách số trong các ví dụ được trình bày trong phần này.
Bởi vì danh sách truy cập chuẩn chỉ hỗ trợ lọc địa chỉ nguồn, địa chỉ IP định dạng trong danh sách truy cập ở trên bị giới hạn mô tả khởi đầu của gói. Mặt nạ theo địa chỉ IP được định rõ trong một cách thức tương tự như cách thức mà trong đó một mặt nạ mạng định rõ khi che một địa chỉ IP. Tuy nhiên, khi dùng một danh sách truy cập, số nhị phân 0 trong mặt nạ được sử dụng như một phép 'so sánh', trong khi số nhị phân 1 được sử dụng như là số bắt buộc. Điều này là vấn đề ngược nhau về việc sử dụng các số nhị phân 1 và các số nhị phân 0 trong một mặt nạ mạng để che một địa chỉ IP. Một sự khác biệt là bộ định tuyến của Cisco thuật ngữ mặt nạ được sử dụng với một danh sách truy cập dựa vào là bằng một mặt nạ wildcard, không như mặt nạ mạng hoặc mặt nạ mạng con.
Để minh họa việc sử dụng một mặt nạ wildcard của bộ định tuyến Cisco chúng tôi cho rằng bộ định tuyến của tổ chức bạn được kết nối vào Internet và cấu hình mạng của bạn được minh họa trong hình 2.3. Với một World Wide Web server nằm ở sau bộ định tuyến. Chúng tôi tiếp tục giả định rằng bạn muốn cho phép tất cả các máy chủ trên lớp C mạng tại địa điểm khác có địa chỉ IP là 205.131.176.0 truy cập vào server. Nếu bạn đã sử dụng một network mask truyền thống thành phần của nó là 255.255.255.0. Viết mạng và mask dưới dạng nhị phân sẽ cho kết quả sau đây,ở đây ký tự x là điều kiện 'không quan tâm', số nhị phân 1 hoặc 0 có thể xảy ra trong vị trí bit thích hợp :
Địa chỉ mạng 205.131.176.0 =11001101.10000011.10100110.00000000
mask mạng 255.255.255.0 =11111111.11111111.11111111.00000000 =
--- - - - --- - - --- - - - --- - --
kết quả địa chỉ phù hợp
11001101.10000011.10100110.xxxxxxxx
Hình 2.3 Cấu hình mạng của Cisco
Lưu ý rằng số nhị phân 1 trong network mask mô tả một so sánh trong khi số nhị phân 0 mô tả một phù hợp không điều kiện. Khi làm việc với danh sách truy cập của Cisco, sử dụng các số nhị phân 1 và 0 trong wildcard mask là nghịch đảo. Tức là một số nhị phân 1 chỉ rõ một phù hợp không điều kiện trong khi một số nhị phân 0 chỉ rõ một điều kiện so sánh. Tuy nhiên, nếu bạn sử dụng cùng thành phần mask thay vì nghịch đảo thành phần của nó, bạn sẽ có nhiều khả năng đạt được một kết quả mà không cần các yêu cầu hoạt động của bạn. Điều này được minh họa bằng ví dụ sau, ở đây một wildcard mask được sử dụng thay vì một network mask:
Địa chỉ mạng 205.131.176.0 =11001101.10000011.10100110.00000000
Wildcard masks 255.255.255.0 =11111111.11111111.11111111.00000000
--- - - - --- - - --- - - - --- - - --
Kết quả địa chỉ phù hợp xxxxxxxx.xxxxxxxx.xxxxxxxx.00000000
Trong ví dụ trên bất kỳ giá trị trong ba vị trí nhóm tám thứ nhất được phép dài bằng giá trị nhóm tám cuối cùng (nhóm cuối cùng tất cả bằng 0). Điều này rõ ràng không phải là một giải pháp thỏa đáng đến đòi hỏi phục vụ Web không có thật trước đây của chúng tôi. Tuy nhiên, nếu chúng ta đặt các số 0 trong wildcard mask thì thông thường chúng tôi đặt các số nhị phân 1 trong network mask và ngược lại, chúng tôi sẽ định nghĩa đúng đắn wildcard mask. Sửa đổi hoạt động mặt nạ một lần nữa, chúng tôi thu được như sau: :
Địa chỉ mạng 205.131.176.0 =11001101.
Các file đính kèm theo tài liệu này:
- Nghiên cứu chung về quản lý mạng TCP-IP - An ninh mạng TCP-IP (security).doc