Bài giảng Xây dựng hệ thống Firewall - Bài 1: Các nguyên tắc bảo mật mạng

@Email: fit@ispace.edu.vn
MÔN HỌC: XÂY DỰNG HỆ THỐNG 
FIREWALL
1
Trường Cao đẳng Nghề CNTT iSPACE
Khoa Mạng Và An Ninh Thông Tin
fit@ispace.edu.vn
@Email: fit@ispace.edu.vn
Bài 1: CÁC NGUYÊN TẮC BẢO MẬT MẠNG. 
Bài 2: BẢO MẬT MẠNG SỬ DỤNG CISCO IOS FIREWALL 
Bài 3: BẢO MẬT MẠNG SỬ DỤNG CISCO IPS
Bài 4: BẢO MẬT LAYER 2
Bài 5: TRIỂN KHAI HỆ THỐNG VPN TRÊN CISCO IOS
MÔN HỌC: XÂY DỰNG HỆ THỐNG 
FIREWALL
2
@Email: fit@ispace.edu.vn
BÀI 1: CÁC NGUYÊN TẮC BẢO MẬT MẠNG
Suy nghĩ như một Hacker
Giảm nguy cơ bị tấn công mạng
Tắt các dịch vụ mạng và các
Interface không sử dụng
Bảo mật truy cập quản trị và cấu
hình Cisco Router
Giảm mối đe dọa và tấn công với
ACL
Bảo mật cho tính năng
Management và Reporting
Câu hỏi & bài tập
Cấu hình cho thiết bị các tính năng tự bảo mật, giảm nguy cơ bị 
tấn công, truy cập thiết bị trái phép.
3
@Email: fit@ispace.edu.vn
MỤC TIÊU BÀI HỌC
Nhận biết được các nguy cơ bị tấn công của hệ thống mạng.
Giải thích được các bước để hack một hệ thống mạng.
Trình bày được các loại tấn công vào hệ thống mạng.
Cấu hình giảm nguy cơ bị tấn công mạng trên Cisco Router.
Cấu hình bảo mật cho tính năng management và reporting
trên Cisco Routers.
Cấu hình được tính năng AAA trên Cisco Routers.
Cấu hình bảo mật được cho Cisco Routers sử dụng tính năng
AutoSecure.
4
@Email: fit@ispace.edu.vn
Suy Nghĩ Như Một Hacker
7 bước để tấn công một hệ thống mạng:
B1: Thực hiện phân tích các dấu vết hay các
thông tin ban đầu.
B2: Chi tiết thông tin.
B3: Ghi nhận các thao tác người dùng truy cập.
B4: Chiếm dụng những quyền hạn cao hơn.(leo
thang đặc quyền).
B5: Bổ sung mật khẩu và thu thập bí mật.
B6: Cài đặt back doors.
B7: Tận dụng hệ thống bị xâm nhập.
Luôn luôn đóng vai tro ̀ như một Hacker để tìm ra các phương thức phòng
vê ̣ va ̀ bảo mật cho hê ̣ thống.
5
@Email: fit@ispace.edu.vn
Suy Nghĩ Như Một Hacker
Các gợi ý bảo vệ mạng chống lại các hacker
Cập nhật các bản vá lỗi .
Đóng các dịch vụ không cần thiết và các port.
Sử dụng mật khẩu (đủ phức tạp) và thường xuyên thay đổi
chúng .
Kiểm soát truy cập vào hệ thống vật lý.
Cắt giảm đầu vào không cần thiết.
Thực hiện sao lưu hệ thống và kiểm tra chúng một cách
thường xuyên .
Cảnh báo mọi người về social engineering.
Mã hóa và mật khẩu bảo vệ dữ liệu nhạy cảm
Sử dụng thích hợp bảo mật phần cứng và phần mềm
Phát triển một chính sách an ninh bằng văn bản cho công ty
6
@Email: fit@ispace.edu.vn
Giảm Nguy Cơ Hệ Thống Mạng
Bị Tấn Công
Các loại tấn công mạng:
Minimal Intelligence:
Reconnaissance
Access attacks
DoS and DDoS
Tìm hiểu các phương thức tấn công va ̀ cách phòng chống, làm giảm nguy
cơ hê ̣ thống mạng bị tấn công
7
@Email: fit@ispace.edu.vn
Giảm Nguy Cơ Hệ Thống Mạng
Bị Tấn Công
Reconnaissance Attacks và cách phòng chống:
Reconnaissance: là khám phá trái phép và lập bản đồ của các hệ
thống, dịch vụ, hoặc các lỗ hổng.
Reconnaissance: còn được gọi là thu thập thông tin, và trong hầu
hết trường hợp, đứng trước một cuộc tấn công truy cập hay DoS.
Các cuộc tấn công Reconnaissance có thể bao gồm: 
Packet sniffers
o Một Packet sniffer là phần mềm ứng dụng sử dụng card 
mạng trong chế đô promiscuous để bắt những tất cả các gói
tin trong mạng.
o Khai thác thông tin dạng Plaintext , các giao thức sử dụng
Plaintext như : Telnet, FTP, SNMP, POP và HTTP
o Phải nằm trên cùng một colision domain
o Có thể sử dụng hợp pháp hoặc được thiết kế đặc biệt để tấn
công
8
@Email: fit@ispace.edu.vn
Giảm Nguy Cơ Hệ Thống Mạng
Bị Tấn Công
Reconnaissance Attacks và cách phòng chống:
Giảm nguy cơ và phòng chống Packet sniffers: 
Dùng các kỹ thuật va ̀ các công cụ bao gồm:
o Chứng thực (Authentication).
o Mật mã (Cryptography).
o Các công cụ Antisniffer.
o Thay đổi cơ sở hạ tầng (Switched infrastructure).
9
@Email: fit@ispace.edu.vn
Giảm Nguy Cơ Hệ Thống Mạng
Bị Tấn Công
Reconnaissance Attacks và cách phòng chống:
Các cuộc tấn công Reconnaissance có thể bao gồm: 
Port scans va ̀ Ping sweeps
o Một hacker sử dụng các công cụ để scan các port va ̀ ping 
quét dò xét qua Internet.
o Là công cụ hợp pháp dùng để scan port va ̀ ping quét các
ứng dụng trên các máy chủ hay các thiết bị để xác định các
dịch vụ dê ̃ bị tổn thương.
o Thông tin được thu thập bằng cách kiểm tra địa chỉ IP va ̀ 
port của ứng dụng chạy trên ca ̉ UDP hay TCP.
10
@Email: fit@ispace.edu.vn
Giảm Nguy Cơ Hệ Thống Mạng
Bị Tấn Công
Reconnaissance Attacks và cách phòng chống:
Các cuộc tấn công Reconnaissance có thể bao gồm: 
Port scans va ̀ Ping sweeps
11
@Email: fit@ispace.edu.vn
Giảm Nguy Cơ Hệ Thống Mạng
Bị Tấn Công
Reconnaissance Attacks và cách phòng chống:
Giảm nguy cơ và phòng chống Port scans và Ping sweeps: 
Dùng các kỹ thuật va ̀ các công cụ bao gồm:
o Network-based IPS (NIPS) và Host-based IPS (HIPS) thường
có thể thông báo cho bạn biết khi có một cuộc tấn công
reconnaissance.
o IPS so sánh lưu lượng truy cập đến hệ thống phát hiện xâm
nhập (IDS) hoặc dấu hiệu nhận dạng tấn công (signatures) 
trong cơ sở dữ liệu IPS.
o Một dấu hiệu nhận dạng, như "một số gói tin đến các port 
đích khác nhau từ cùng một nguồn địa chỉ trong một thời
gian ngắn có thể được dùng để phát hiện scan port." 
12
@Email: fit@ispace.edu.vn
Giảm Nguy Cơ Hệ Thống Mạng
Bị Tấn Công
Reconnaissance Attacks và cách phòng chống:
Giảm nguy cơ và phòng chống Port scans và Ping sweeps: 
13
@Email: fit@ispace.edu.vn
Giảm Nguy Cơ Hệ Thống Mạng
Bị Tấn Công
Access Attacks và cách phòng chống:
Access attacks: 
Man-in-middle attacks:
o Các kẻ tấn công đứng ở giữa lắng nghe thông tin giữa người
gửi va ̀ người nhận, thậm chí sửa đổi các dữ liệu trước khi gửi
đến hai bên.
Buffer overflow:
o Một chương trình ghi dữ liệu vượt quá giới hạn kết thúc của
bô ̣ đệm trong bô ̣ nhớ.
o Việc tràn bô ̣ đệm có thể dẫn đến dữ liệu hợp lê ̣ bị ghi đè.
14
@Email: fit@ispace.edu.vn
Giảm Nguy Cơ Hệ Thống Mạng
Bị Tấn Công
DoS, DDoS attacks và cách phòng chống:
DoS và DDoS attacks: 
Ví dụ DDoS:
15
@Email: fit@ispace.edu.vn
Giảm Nguy Cơ Hệ Thống Mạng
Bị Tấn Công
DoS, DDoS attacks và cách phòng chống:
IP Spoofing trong DoS và DDoS attacks: 
Giả mạo địa chỉ IP là một kỹ thuật hacker sử dụng để truy cập
trái phép vào máy tính.
o Giả mạo địa chỉ IP xảy ra khi một hacker bên trong hay bên
ngoài mạng đóng vai tro ̀ như máy tính tin cậy đang liên lạc.
o Giả mạo địa chỉ bao gồm:
 Thêm những dữ liệu độc hại hoặc các lệnh va ̀ luồng dữ
liệu hiện có
 Thay đổi bảng định tuyến.
o Giả mạo địa chỉ là một một trong các bước cơ bản trong kiểu
tấn công DoS hay DDoS.
16
@Email: fit@ispace.edu.vn
Giảm Nguy Cơ Hệ Thống Mạng
Bị Tấn Công
DoS, DDoS attacks và cách phòng chống:
Các phòng chống DoS va ̀ DDoS attacks:
Anti-spoof: một bô ̣ lọc chứa danh sách truy cập thích hợp với
tính năng unicast reverse path forwarding nhằm dựa vào bảng
định tuyến để xác định gói tin giả mạo, vô hiệu hoá các tuỳ chọn
con đường nguồn.
Anti-DoS: tính năng này giới hạn số lượng half-open các kết nối
TCP mà hê ̣ thống cho phép ở bất kỳ thời điểm nào.
Hạn chế tỉ số traffic: mọi tổ chức có thể thực hiện hạn chế tỉ số
giao tiếp với ISP.
17
@Email: fit@ispace.edu.vn
Giảm Nguy Cơ Hệ Thống Mạng
Bị Tấn Công
Các loại tấn công mạng:
Intelligence:
18
@Email: fit@ispace.edu.vn
Giảm Nguy Cơ Hệ Thống Mạng
Bị Tấn Công
Worm, Virus, Trojan Horse Attacks và cách phòng chống:
Worm, Virus và Trojan attacks: 
Các loại worm, virus hay trojan horse dựa vào các lỗ hổng để
chúng xâm nhập va ̀ tự cài đặt vào hê ̣ thống.
Sau khi tiếp cận được mục tiêu chúng chuyển hướng dò tìm các
mục tiêu mới theo điều khiển của hacker.
Khi hacker đã đạt được mục tiêu cũng là lúc hacker đã chiếm
được đặc quyền truy cập va ̀ khai thác hê ̣ thống.
19
@Email: fit@ispace.edu.vn
Giảm Nguy Cơ Hệ Thống Mạng
Bị Tấn Công
Worm, Virus, Trojan Horse Attacks và cách phòng chống:
Giảm nguy cơ Worm, Virus và Trojan attacks: 
Sử dụng các phần mềm Anti-Virus.
Cập nhật các bản va ́ lỗi mới nhất của phần mềm, ứng dụng va ̀ kể
cả hê ̣ điều hành.
Triển khai hê ̣ thống chống xâm nhập trên các host (ví dụ: Cisco 
Security Agent).
Cập nhật kiến thức những phát triển mới nhất vê ̀ các phương
pháp tấn công dựa vào Worm, Virus hay Trojan Horse.
Ngăn chặn sự lây lan của Worm hay Virus trong hê ̣ thống mạng, 
thực hiện cách ly để kiểm dịch, quét sạch các worm hay virus 
thậm chí là cài đặt lại hê ̣ thống.
20
@Email: fit@ispace.edu.vn
Giảm Nguy Cơ Hệ Thống Mạng
Bị Tấn Công
Application Layer Attacks va ̀ cách phòng chống:
Application Layer attacks có các đặc điểm như sau: 
Khai thác các ứng dụng như: mail, http va ̀ ftp,...
Thường sử dụng các port được phép đi qua các tường lửa (ví dụ: 
TCP port 80 được dùng trong tấn công máy chủ Web đằng sau
một tường lửa).
Loại tấn công này thường kho ́ loại bỏ hoàn toàn vì nó luôn dò 
tìm sử dụng lô ̃ hổng mới.
21
@Email: fit@ispace.edu.vn
Giảm Nguy Cơ Hệ Thống Mạng
Bị Tấn Công
Application Layer Attacks và cách phòng chống:
Một công cụ điển hình trong Application Layer attacks. 
Netcat: là công cụ mà đọc hoặc ghi dữ liệu trên bất kỳ kết nối 
TCP/UDP, chuyển tiếp các kết nối TCP và có thể hành động như 
một máy chủ TCP/UDP.
#nc -h
connect to somewhere: nc [-options] hostname port[s] [ports] ...
listen for inbound: nc -l -p port [-options] [hostname] [port]
options:
-g gateway source-routing hop point[s], up to 8
-G num source-routing pointer: 4, 8, 12, ...
-i secs delay interval for lines sent, ports scanned
-l listen mode, for inbound connects
-n numeric-only IP addresses, no DNS
-o file hex dump of traffic
-p port local port number
-r randomize local and remote ports
-s addr local source address
-u UDP mode
-v verbose [use twice to be more verbose]
port numbers can be individual or ranges: lo-hi [inclusive]
22
@Email: fit@ispace.edu.vn
Giảm Nguy Cơ Hệ Thống Mạng
Bị Tấn Công
Application Layer Attacks va ̀ cách phòng chống:
Ví dụ về Netcat:
23
@Email: fit@ispace.edu.vn
Giảm Nguy Cơ Hệ Thống Mạng
Bị Tấn Công
Application Layer Attacks va ̀ cách phòng chống:
Cách giảm nguy cơ Application Layer attacks: 
Tìm hiểu hệ điều hành mạng va ̀ các tập tin đăng nhập mạng.
Cập nhật các bản va ́ lỗi mới nhất cho các ứng dụng va ̀ kể cả hệ
điều hành.
Sử dụng hê ̣ thống IPS/IDS để theo dõi, phát hiện va ̀ ngăn chặn
các cuộc tấn công.
24
@Email: fit@ispace.edu.vn
Giảm Nguy Cơ Hệ Thống Mạng
Bị Tấn Công
Nguy cơ từ các giao thức quản trị mạng (Management 
Protocols):
Các giao thức quản trị mạng có thể là nguy cơ cho các cuộc
tấn công như: SNMP, Syslog, NTP, TFTP. 
SNMP: sử dụng cơ chế xác thực đơn giản, gửi dữ liệu dạng chữ
thô (plaintext).
Syslog: dữ liệu được gửi dưới dạng chữ thô giữa các thiết bị 
quản lý va ̀ các host.
TFTP: Dữ liệu được gửi dưới dạng chữ thô giữa các máy chủ yêu
cầu va ̀ máy chủ TFTP.
NTP: Với giao thức đồng bô ̣ thời gian, các máy chủ trên Internet 
không cần sự chứng thực của các máy ngang hàng.
25
@Email: fit@ispace.edu.vn
Giảm Nguy Cơ Hệ Thống Mạng
Bị Tấn Công
Nguy cơ từ các giao thức quản trị mạng (Management 
Protocols):
Cách giảm nguy cơ từ các giao thức quản trị mạng:
Cấu hình quản trị mạng sử dụng cơ chế SSL/SSH.
Sử dụng ACL để xác định danh sách truy cập đến máy chủ quản
lý, va ̀ chỉ cho phép truy cập đến các máy chủ quản lý thông qua 
SSH hay HTTPS,
Sử dụng các giao thức quản trị an toàn va ̀ bảo vệ dữ liệu với
IPSec.
Thực hiện RFC 3.704 lọc tại router để làm giảm cơ hội của các
hacker từ bên ngoài giả mạo các địa chỉ quản lý của các máy
chủ. 
26
@Email: fit@ispace.edu.vn
Giảm Nguy Cơ Hệ Thống Mạng
Bị Tấn Công
Xác định rủi ro và mối đe doa ̣:
Có một số công cụ và kỹ thuật mà có thể được sử dụng để
tìm các lỗ hổng trong mạng.
Sau khi xác định được lô ̃ hổng hay các nguy cơ, chúng ta 
luôn có thể tìm ra cách bảo vệ và phòng tránh nguy cơ bị tấn
công mạng.
Một số công cụ phô ̉ biến hiện nay như: 
Blue’s PortScanner.
Wireshark (trước đây là Ethereal)
Microsoft Baseline Security Analyzer
NMap
27
@Email: fit@ispace.edu.vn
Giảm Nguy Cơ Hệ Thống Mạng
Bị Tấn Công
Xác định rủi ro và mối đe doa ̣:
Blue’s PortScanner:
Là công cụ quét mạng kha ́ nhanh, 
có thể quét hơn 300 port trong
một giây.
Cung cấp tính năng quét
TCP/UDP với Anti-flood va ̀ Ping 
check. 
28
@Email: fit@ispace.edu.vn
Giảm Nguy Cơ Hệ Thống Mạng
Bị Tấn Công
Xác định rủi ro và mối đe doa ̣:
Wireshark: công cụ quét va ̀ phân tích traffic hàng đầu. 
29
@Email: fit@ispace.edu.vn
Giảm Nguy Cơ Hệ Thống Mạng
Bị Tấn Công
Xác định rủi ro và mối đe doa ̣:
Microsoft Baseline Security Analyzer. 
30
@Email: fit@ispace.edu.vn
Giảm Nguy Cơ Hệ Thống Mạng
Bị Tấn Công
Xác định rủi ro và mối đe doa ̣:
Nmap:
31
@Email: fit@ispace.edu.vn
Tắt Các Dịch Vụ Mạng & Các 
Interface Không Được Sử Dụng
Các rủi ro của Router Service và Interface:
Router Cisco có thể được sử dụng như: thiết bị Edge Firewall 
hay router nội bộ. Các lô ̃ hổng có thể được khai thác bất kỳ ở 
router nào, không phu ̣ thuộc vào vị trí của router đó.
Lỗ hổng có thể từ các dịch vụ không được bảo mật trên
router hay các interface của router không được sử dụng.
Các dịch vụ trên Router có thê ̉ tạo ra các lô ̃ hổng cho tấn công như: 
BOOTP, CDP, FTP, TFTP, NTP, Finger, SNMP, Source IP va ̀ Proxy ARP
32
@Email: fit@ispace.edu.vn
Tắt Các Dịch Vụ Mạng & Các 
Interface Không Được Sử Dụng
Locking Down Routers với AutoSecure:
Tính năng AutoSecure được tích hợp từ dòng Cisco IOS 
phiên bản 12.3 trở về sau này.
AutoSecure là công cụ built-in cho phép loại bỏ các mối hiểm
hoạ tồn tại trên router một cách nhanh chóng và dễ dàng.
AutoSecure hoạt động ở hai chế độ:
Interactive mode: dựa vào những câu hỏi, trả lời tương tác để
các bạn lựa chọn cấu hình các dịch vụ trên router va ̀ các tính
năng liên quan đến bảo mật.
None-interactive mode: cấu hình bảo mật cho thiết bị chỉ dựa
vào những thông sô ́ mặc định của cisco IOS mà không có sự 
thay đổi chỉnh sửa nào.
33
@Email: fit@ispace.edu.vn
Tắt Các Dịch Vụ Mạng & Các 
Interface Không Được Sử Dụng
Locking Down Routers với AutoSecure:
Các tính năng của AutoSecure:
Management Plane: 
o Finger, PAD, UDP and TCP small servers, password 
encryption, TCP keepalive, CDP, BOOTP, HTTP, source 
routing, gratuitous ARP, proxy ARP, ICMP, direct broadcast, 
MOP, banner.
o Cung cấp password security va ̀ SSH.
Forwarding Plane: CEF, bô ̣ lọc với ACL.
Firewall: Kiểm tra ngữ cảnh truy cập (CBAC)
Quản lý quá trình login.
SSH Access
Kiểm soát các dịch vụ truyền thông qua TCP.
34
@Email: fit@ispace.edu.vn
Tắt Các Dịch Vụ Mạng & Các 
Interface Không Được Sử Dụng
Locking Down Routers với AutoSecure:
AutoSecure Failure Senarios:
Trường hợp cấu hình AutoSecure hoạt động ổn định, thì cấ ... 
Community Strings:
SNMPv1 và SNMPv2 sử dụng community string để router truy
cập các SNMP agent.
SNMP community string hoạt động như là password, SNMP
community string là một chuỗi văn bản được sử dụng để xác
thực thông điệp giữa một trạm quản lý và một SNMP engine.
Nếu người quản lý gửi một community string chính xác với thuộc
tính read-only, thì người quản lý có thể nhận được thông tin,
nhưng không thiết lập được thông tin trong agent.
Nếu người quản lý gửi một community string chính xác với thuộc
tính read-write, người quản lý có thể nhận được thông tin và có
thể thiết lập thông tin agent.
65
@Email: fit@ispace.edu.vn
Bảo Mật Cho Tính Năng
Management Và Reporting
SNMP Version 3:
Community Strings:
SNMP Community Strings được dùng để xác nhận các thông tin 
gửi đi giữa manager và agent. 
Chỉ khi manager gửi thông điệp với community string đúng thì
agent mới trả lời. 
Mặc định, hầu hết các hệ thống sử dụng SNMP community string 
đều public.
SNMP community strings được gửi ở dạng cleartext gọi là MIB. 
Do đó, bất cứ ai cũng có khả năng lấy bắt được gói tin MIB nào
đó có thể sẽ tìm ra chuỗi này, có thể giả mạo người dùng sửa
đổi cấu hình các router qua SNMP.
66
@Email: fit@ispace.edu.vn
Bảo Mật Cho Tính Năng
Management Và Reporting
SNMP Version 3:
Mô hình va ̀ các cấp độ bảo mật SNMP:
Security Model: chiến lược an ninh sử dụng cho các SNMP agent. 
Security Level: mức giới hạn cho phép về an ninh trong một
security model.
67
@Email: fit@ispace.edu.vn
Bảo Mật Cho Tính Năng
Management Và Reporting
SNMP Version 3:
SNMPv3 Operational Model:
68
@Email: fit@ispace.edu.vn
Bảo Mật Cho Tính Năng
Management Và Reporting
SNMP Version 3:
Tính năng va ̀ lợi ích của SNMPv3:
Tính năng:
o Toàn vẹn message: đảm bảo rằng một gói tin không bị giả
mạo.
o Authentication: xác thực message đó xuất phát từ một
nguồn hợp lê ̣.
o Encryption: mã hoa ́ nội dung của gói tin để tránh các gói tin 
bị xem trái phép.
Lợi ích:
o Dữ liệu có thể được thu thập từ các thiết bị SNMP an toàn
mà không sợ dữ liệu bị giả mạo hay bị hư hỏng.
o Thông tin bí mật vì được mã hoa ́ do SNMPv3 để tránh có nội
dung bị hé lộ trên mạng.
69
@Email: fit@ispace.edu.vn
Bảo Mật Cho Tính Năng
Management Và Reporting
Cấu hình SNMP Managed Node:
Cấu hình SNMP-Server Engine ID:
Để cấu hình một tên cho một trong hai engine SNMP cục bộ hay 
từ xa trên router, sử dụng lệnh snmp-server engineID trong
chế độ cấu hình toàn cục global config mode. 
Các SNMP engine ID là một chuỗi duy nhất được sử dụng để xác
định các thiết bị cho các mục đích quản trị. 
Nếu một ID nào đó không đủ 24 ký tự của engine ID thì ID sẽ
được thêm vào những số 0.
o Ví dụ: cấu hình vê ̀ SNMP-Server Engine ID là 
123400000000000000000000, xác định snmp-server engine 
ID local là 1234000000.
70
@Email: fit@ispace.edu.vn
Bảo Mật Cho Tính Năng
Management Và Reporting
Cấu hình SNMP Managed Node:
Cấu hình Remode Engine ID:
Một remote engine phải được tạo ra khi có một SNMP V3 inform 
được cấu hình.
Các remote engine ID được sử dụng để tính toán phân loại bảo
mật để xác thực và mã hoá các gói tin được gửi đến một người
sử dụng trên các máy từ xa.
o Các inform sẽ được xác nhận , khi manager nhận được từ
agent sẽ gửi phản hồi lại agent, đảm bảo truyền đến đích.
71
@Email: fit@ispace.edu.vn
Bảo Mật Cho Tính Năng
Management Và Reporting
Cấu hình SNMP Managed Node:
Cấu hình SNMP-Server Group Names:
Để cấu hình một group SNMP mới, hoặc một table mà ánh xạ
SNMP người sử dụng đến SNMP view, sử dụng các lệnh snmp-
server group cấu hình toàn cục global config mode.
Một SNMP view là một ánh xạ giữa những đối tượng SNMP và
các quyền truy cập có sẵn. 
Một đối tượng có thể có quyền truy cập khác nhau trong từng
view.
Quyền truy cập cho biết đối tượng có thể truy cập bằng một
community string hoặc một người sử dụng.
72
@Email: fit@ispace.edu.vn
Bảo Mật Cho Tính Năng
Management Và Reporting
Cấu hình SNMP Managed Node:
Cấu hình SNMP-Server Group Names:
Router(config)#
snmp-server group groupname {v1 | v2c | v3 {auth
| noauth | priv}} [read readview] [write 
writeview] [notify notifyview] [access access-
list]
Ví dụ: 
Xác định một nhóm ispacegroup cho SNMP v3 nhưng không sử
dụng chứng thực nhưng không mã hóa.
Xác định một nhóm ispacegroup cho SNMP v3 nhưng không sử
dụng chứng thực và mã hóa.
Router1(config)#snmp-server group ispacegroup v3 auth
Router1(config)#snmp-server group icaregroup v3 auth priv
73
@Email: fit@ispace.edu.vn
Bảo Mật Cho Tính Năng
Management Và Reporting
Cấu hình SNMP Managed Node:
Cấu hình SNMP-Server Users:
Router(config)#
snmp-server user username groupname [remote ip-
address [udp-port port]] {v1 | v2c | v3 
[encrypted] [auth {md5 | sha} auth-password [priv
des56 priv-password]]} [access access-list]
Ví dụ: 
Router1(config)#snmp-server user Bill ispacegroup v3 auth md5 john2passwd 
Router1(config)#snmp-server user John iscaregroup v3 auth md5 bill3passwd 
des56 password2
Router1(config)#snmp-server group ispacegroup v3 auth 
Router1(config)#snmp-server group iscaregroup v3 auth priv 
74
@Email: fit@ispace.edu.vn
Bảo Mật Cho Tính Năng
Management Và Reporting
Cấu hình SNMP Managed Node:
Cấu hình SNMP-Server Hosts:
Để xác định máy nhận message SNMP ta sử dụng lệnh snmp-
server host cấu hình toàn cục (global config mode).
Router(config)#
snmp-server host host-address [traps | informs] 
[version {1 | 2c | 3 [auth | noauth | priv]}] 
community-string [udp-port port] [notification-
type]
Message SNMP có thể được gửi như trap hoặc inform requests. 
Một thực thể SNMP nhận message inform request acknowledges 
bên trong SNMP response PDU
Ít nhất một lệnh snmp-server host phải được nhập vào.
75
@Email: fit@ispace.edu.vn
Bảo Mật Cho Tính Năng
Management Và Reporting
Cấu hình SNMP Managed Node:
Cấu hình SNMP-Server Hosts:
Để có thể gửi một “inform", thực hiện các bước sau:
o Cấu hình một engine ID từ xa.
o Cấu hình một user từ xa.
o Cấu hình một nhóm trên một thiết bị từ xa.
o Enable traps trên thiết bị từ xa.
o Enable SNMP manager.
76
@Email: fit@ispace.edu.vn
Bảo Mật Cho Tính Năng
Management Và Reporting
Cấu hình SNMP Managed Node:
Cấu hình SNMP-Server Hosts:
Cấu hình người nhận SNMP Trap Operation:
Router(config)#
snmp-server host host-address [traps | informs] 
[version {1 | 2c | 3 [auth | noauth | priv]}] 
community-string [udp-port port] [notification-
type]
Ví dụ: 
Router1(config)#snmp-server engineID remote 10.1.1.1 1234
Router1(config)#snmp-server user bill icaregroup remote 10.1.1.1 v3
Router1(config)#snmp-server group icaregroup v3 noauth
Router1(config)#snmp-server enable traps 
Router1(config)#snmp-server host 10.1.1.1 inform version 3 noauth bill
Router1(config)#snmp-server manager
77
@Email: fit@ispace.edu.vn
Bảo Mật Cho Tính Năng
Management Và Reporting
Cấu hình SNMP Managed Node:
Ví dụ cấu hình SNMPv3:
Trap_sender(config)#snmp-server group snmpgroup v3 auth 
Trap_sender(config)#snmp-server group snmpgroup v3 priv
Trap_sender(config)#snmp-server user snmpuser snmpgroup v3 auth md5 authpassword priv 
des56 encryptpassword 
Trap_sender(config)#snmp-server enable traps cpu 
Trap_sender(config)#snmp-server enable traps config
Trap_sender(config)#snmp-server enable traps snmp
Trap_sender(config)#snmp-server host 172.16.1.1 traps version 3 priv snmpuser
Trap_sender(config)#snmp-server source-interface traps loopback 0
Walked_device(config)#snmp-server group snmpgroup v3 auth 
Walked_device(config)#snmp-server group snmpgroup v3 priv
Walked_device(config)#snmp-server user snmpuser snmpgroup v3 auth md5 authpassword 
priv des56 encrypt password
78
@Email: fit@ispace.edu.vn
Bảo Mật Cho Tính Năng
Management Và Reporting
Cấu hình NTP Client:
Giao thức NTP (Network Time Protocol): Giao thức đồng bộ
thời gian.
Là một giao thức để đồng bộ đồng hồ của các hệ thống máy tính 
thông qua mạng dữ liệu chuyển mạch gói với độ trễ biến đổi.
NTP được thiết kế đầu tiên bởi Dave Mills tại trường đại học 
Delaware, hiện ông vẫn còn quản lý nó cùng với một nhóm 
người tình nguyện. (trước năm 1985)
NTPv4 đảm bảo độ chính xác trong khoảng 10 mili giây (1/100 s) 
trên mạng Internet, và có thể đạt đến độ chính xác 200 micro 
giây (1/5000 s) trong môi trường mạng LAN.
NTP Client: là phần mềm sử dụng giao thức NTP để đồng bộ thời
gian với NTP Server.
79
@Email: fit@ispace.edu.vn
Bảo Mật Cho Tính Năng
Management Và Reporting
Ví dụ cấu hình NTP:
Source(config)#ntp master 5
Source(config)#ntp authentication-key 1 md5 secretsource
Source(config)#ntp peer 172.16.0.2 key 1
Source(config)#ntp source loopback 0
Intermediate(config)#ntp authentication-key 1 md5 secretsource
Intermediate(config)#ntp authentication-key 2 md5 secretclient
Intermediate(config)#ntp trusted-key 1
Intermediate(config)#ntp server 172.16.0.1 
Intermediate(config)#ntp source loopback 0
Intermediate(config)#interface Fastethernet0/0
Intermediate(config-int)#ntp broadcast
Client(config)#ntp authentication-key 1 md5 secretclient
Client(config)#ntp trusted-key 1
Client(config)#interface Fastethernet0/1
Client(config-int)#ntp broadcast client 
80
@Email: fit@ispace.edu.vn
Cấu Hình AAA Trên Cisco Router
Giới thiệu về AAA:
Quản trị bảo mật truy cập mạng trong môi trường Cisco dựa
trên một kiến trúc module có ba thành phần chức năng:
Authentication
Authorization
Accounting
Những dịch vụ AAA cung cấp một mức độ cao hơn về khả
năng mở rộng hơn line-level, chứng thực-EXEC privileged 
cho các thành phần mạng. 
Sử dụng một Cisco AAA cho phép kiến trúc phù hợp, bảo mật
truy cập hệ thống và khả năng mở rộng.
Để tăng cường bảo mật cho thiết bị chúng ta cần cấu hình tính năng
Authentication, Authorization va ̀ Accounting trên thiết bị Cisco Routers. 
81
@Email: fit@ispace.edu.vn
Cấu Hình AAA Trên Cisco Router
Giới thiệu về AAA:
Authentication: 
Cung cấp các phương pháp xác định người sử dụng, bao gồm cả
tên đăng nhập va ̀ mật khẩu va ̀ ca ́ tuỳ chọn giao thức bảo mật, 
mã hoa ́.
Authorization: 
Cung cấp phương pháp để kiểm soát truy cập từ xa, bao gồm tài
khoản ủy quyền hay dịch vụ ủy quyền.
Accounting: 
Cung cấp các phương pháp thu thập va ̀ gửi thông tin bảo mật
đến máy chủ để thanh toán, kiểm toán va ̀ báo cáo. Chẳng hạn
như kiểm toán danh tính người dùng, số lần bắt đầu, kết thúc 
82
@Email: fit@ispace.edu.vn
Cấu Hình AAA Trên Cisco Router
Giới thiệu về AAA:
Administrative access: Console, Telnet va ̀ AUX access.
Remote user network access: Dialup hoặc VPN access.
83
@Email: fit@ispace.edu.vn
Cấu Hình AAA Trên Cisco Router
Router access modes:
Tất cả các lệnh AAA (ngoại trừ hệ thống accounting) đều áp
dụng character mode hay packet mode.
Character mode: cho phép một quản trị viên hệ thống với số
lượng lớn các router trong một mạng xác thực tài khoản người dùng
một lần, sau đó truy cập được vào các router khác được cấu hình
bằng phương pháp này.
84
@Email: fit@ispace.edu.vn
Cấu Hình AAA Trên Cisco Router
AAA protocols: RADIUS và TACASC+
RADIUS Authentication và Authorization:
Ví dụ dưới đây cho thấy cách trao đổi RADIUS giữa client, Router 
va ̀ ACS (ACS sở hữu của tên người dùng và mật khẩu).
Các ACS có thể trả lời với tin nhắn Access-Accept khi xác thực
thành công, hoặc Access-Reject nếu xác thực không thành công.
85
@Email: fit@ispace.edu.vn
Cấu Hình AAA Trên Cisco Router
AAA protocols: RADIUS và TACASC+
RADIUS messages:
Có bốn loại thông điệp tham gia vào việc trao đổi xác thực
RADIUS: Access-Request, Access-Accept, Access-Reject va ̀ 
Access-Challenge
86
@Email: fit@ispace.edu.vn
Cấu Hình AAA Trên Cisco Router
AAA protocols: RADIUS và TACASC+
RADIUS attributes:
RADIUS là một tiêu chuẩn giao thức IETF - RFC 2865 .
Thuộc tính Standard có thể được tăng cường bởi các thuộc tính
độc quyền.
Sử dụng UDP trên port chuẩn (Microsoft RADIUS UDP Port 1812 
cho Authentication, Port 1813 cho Accounting; Cisco RADIUS 
UDP Port 1645 cho Authetication va ̀ Port 1646 cho
Authorization).
Bao gồm chỉ có hai tính năng bảo mật
o Mật mã của pasword (MD5)
o Xác thực của gói tin (MD5 fingerpriting)
Authorization chỉ là một phần của Authentication.
87
@Email: fit@ispace.edu.vn
Cấu Hình AAA Trên Cisco Router
AAA protocols: RADIUS và TACASC+
TACACS+ Authentication:
88
@Email: fit@ispace.edu.vn
Cấu Hình AAA Trên Cisco Router
AAA protocols: RADIUS và TACASC+
TACACS+ Network Authorization:
89
@Email: fit@ispace.edu.vn
Cấu Hình AAA Trên Cisco Router
AAA protocols: RADIUS và TACASC+
TACACS+ Command Authorization:
90
@Email: fit@ispace.edu.vn
Cấu Hình AAA Trên Cisco Router
AAA protocols: RADIUS và TACASC+
TACACS+ Attributes và Features:
TACACS+ là giao thức linh hoạt hơn nhiều so với giao thức
RADIUS. 
TACACS+ server cho phép giao thức TACACS+ sử dụng các hộp
thoại ảo để thu thập đủ thông tin cho đến khi người dùng được
chứng thực.
TACACS+ messages chứa AV-pairs, ADDR, CMD, Interface-
config, Priv-Lvl, Route
TACACS+ sử dụng TCP port 49 
TACACS+ thiết lập một phiên làm việc TCP dành riêng cho mỗi
hoạt động AAA.
Cisco Secure ACS có thể sử dụng một phiên liên tục TCP cho tất
cả các hoạt động.
Giao thức bảo mật bao gồm chứng thực và mã hóa của tất cả
các datagrams TACACS+
91
@Email: fit@ispace.edu.vn
Cấu Hình AAA Trên Cisco Router
AAA protocols: RADIUS và TACASC+
Cấu hình AAA Servers:
Các bước trong cấu hình Network Access Server (NAS):
o Tại chế độ global configuration ta enable AAA để sử dụng tất
cả các thành phần AAA. Bước này là một điều kiện tiên quyết
cho tất cả các lệnh AAA khác.
o Chỉ định Cisco Secure ACS sẽ cung cấp các dịch vụ AAA cho
network access server.
o Cấu hình khoá, mật mã sẽ được sử dụng để mã hóa việc
chuyển dữ liệu giữa các NAS và Cisco Secure ACS.
92
@Email: fit@ispace.edu.vn
Câu hỏi bài tập
Có các nguy cơ tấn công của hệ thống mạng nào?
Có mấy bước để hack một hệ thống mạng? Nếu các bước để 
hack một hệ thống mạng.
Bạn hãy liệt kê các loại tấn công vào hệ thống mạng.
Những cấu hình nào có thể làm giảm nguy cơ bị tấn công 
mạng trên Cisco Router.
Thực hiện cấu hình bảo mật cho tính năng management và 
reporting trên Cisco Routers.
93
@Email: fit@ispace.edu.vn
TÓM LƯỢC BÀI HỌC
Tiến hành khảo sát, dò tìm lỗ hổng trong hệ thống mạng để 
khắc phục, giảm nguy cơ hê thống mạng bị tấn công.
Các lỗ hổng bảo mật có thể ở các giao thức thuộc tính năng 
Management và Reporting Cấu hình bảo mật các tính năng 
Management và Reporting.
Cấu hình chứng thực AAA để tăng cường bảo mật cho hệ 
thống giảm rủi ro và nguy cơ tấn công do truy cập trái phép.
Kết luận:
Bài học này rất hay giúp ta hình dung tổng quan về hệ thống an ninh.
Ứng dụng bài học vào thực tiễn xây dựng cơ chế tăng cường bảo mật 
cho thiết bị ở DN.
94
@Email: fit@ispace.edu.vn 95