FIT - Xay Dung He Thong an Ninh Mang - Firewall
Transcript of FIT - Xay Dung He Thong an Ninh Mang - Firewall
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: [email protected]
ĐT: (08) 62.678.999 Fax: (08) 62.837.867
Khoa CNTT – MH/MĐ: Hệ thống an ninh mạng - firewall 1
KHOA CÔNG NGHỆ THÔNG TIN
BỘ MÔN KỸ THUẬT MẠNG – TRUYỀN THÔNG
Trưởng BM: NGUYỄN VĂN TIẾN
Giảng viên biên soạn: TRẦN ĐỨC MINH
VÕ TRẦN TRỌNG NGHĨA
TRẦN TRUNG KIÊN
MÔN HỌC/MÔĐUN: XÂY DỰNG HỆ THỐNG AN NINH MẠNG - FIREWALL
STT BÀI HỌC NỘI DUNG THỰC HÀNH ỨNG DỤNG
THỰC TẾ
1
BÀI HỌC 1
Kỹ năng đạt
được
Tắt các dịch vụ
mạng và các
Interface không
sử dụng.
Bảo mật truy
cập quản trị và
cài đặt Cisco
Router.
Giảm mối đe
BÀI TẬP 01
Tình huống 1
Mô tả nội dung: Anh/Chị là IT Administrator của công ty Thành Công. Trưởng phòng IT yêu cầu bạn xác định các rủi ro và mối
đoe doạ đối với hệ thống mạng của công ty.
Yêu cầu thực hiện:
Cài đặt một số phần mềm giám sát hoạt động của hệ thống
Download các phần mềm : Blues’s PortScanner , wireshark, Microsoft Baseline Security Analyzer, Nmap
Tìm hiểu sử dụng các tinh năng cơ bản.
Lập bảng báo cáo phân tich các nguy cơ bảo mật gặp phải của hệ thống.
ThưƲ c hiêƲ n:
Download http://www.securityconfig.com/software/specializedscanners/blues_port_scanner.html
…
…
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: [email protected]
ĐT: (08) 62.678.999 Fax: (08) 62.837.867
Khoa CNTT – MH/MĐ: Hệ thống an ninh mạng - firewall 2
STT BÀI HỌC NỘI DUNG THỰC HÀNH ỨNG DỤNG
THỰC TẾ
dọa và tấn công
với ACL .
Bảo mật cho
tinh năng
Management và
Reporting.
Cấu hình AAA
trên Cisco
Router.
....................................................................................................................................................................................................
....................................................................................................................................................................................................
....................................................................................................................................................................................................
Download http://www.wireshark.org/download.html
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: [email protected]
ĐT: (08) 62.678.999 Fax: (08) 62.837.867
Khoa CNTT – MH/MĐ: Hệ thống an ninh mạng - firewall 3
STT BÀI HỌC NỘI DUNG THỰC HÀNH ỨNG DỤNG
THỰC TẾ
....................................................................................................................................................................................................
....................................................................................................................................................................................................
....................................................................................................................................................................................................
Microsoft Baseline Security Analyzer
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: [email protected]
ĐT: (08) 62.678.999 Fax: (08) 62.837.867
Khoa CNTT – MH/MĐ: Hệ thống an ninh mạng - firewall 4
STT BÀI HỌC NỘI DUNG THỰC HÀNH ỨNG DỤNG
THỰC TẾ
Nmap
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: [email protected]
ĐT: (08) 62.678.999 Fax: (08) 62.837.867
Khoa CNTT – MH/MĐ: Hệ thống an ninh mạng - firewall 5
STT BÀI HỌC NỘI DUNG THỰC HÀNH ỨNG DỤNG
THỰC TẾ
……………………………………………………………………………………………………………………………………………..............................
………………………………………………………………………………………………………………………………………………………………………….
Tình huống 2:
Mô tả nội dung : Sử dụng SDM cấu hình Router giúp đơn giản hóa cấu hình và bảo mật thông qua trình thuật thông minh giúp
nhanh chóng và dễ dàng triển khai, cấu hình, và theo dõi một bộ định tuyến Cisco mà không đòi hỏi kiến thức của CLI
Mô hinh:
…
…
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: [email protected]
ĐT: (08) 62.678.999 Fax: (08) 62.837.867
Khoa CNTT – MH/MĐ: Hệ thống an ninh mạng - firewall 6
STT BÀI HỌC NỘI DUNG THỰC HÀNH ỨNG DỤNG
THỰC TẾ
Yêu cầu thực hiện:
Cài đặt SDM trên máy tính Admin
Câƴu hi Ƴnh caƴc thông sôƴ cho caƴc interface vaƳ caƴc câƴu hi Ƴnh cơ baƱ n cho caƴc router .
Dùng SDM cấu hình Autosecure : One-step lockdown
Hướng dẫn thực hiện:
Cài đặt SDM trên máy tính Admin (tự thực hiện)
Cấu hình các thông số cơ bản:
o Cấu hinh router interface như sau
Router(config)# Interface FastEthernet 0/0:
Router(config-if)# ip address 192.168.10.1 255.255.255.0
Router(config-if)# no shutdown
Router(config-if)#exit
Router(Config)# ip http server
o Khởi động SDM nhập vào địa chỉ 192.168.10.1
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: [email protected]
ĐT: (08) 62.678.999 Fax: (08) 62.837.867
Khoa CNTT – MH/MĐ: Hệ thống an ninh mạng - firewall 7
STT BÀI HỌC NỘI DUNG THỰC HÀNH ỨNG DỤNG
THỰC TẾ
o Xuất hiện cửa sổ chính.
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: [email protected]
ĐT: (08) 62.678.999 Fax: (08) 62.837.867
Khoa CNTT – MH/MĐ: Hệ thống an ninh mạng - firewall 8
STT BÀI HỌC NỘI DUNG THỰC HÀNH ỨNG DỤNG
THỰC TẾ
Dùng SDM cấu hình Autosecure : One-step lockdown
o Phải chắc chắn rằng dòng Preview commands before delivering to router phải được check, và click OK
o Trên màn hình chính ta nhấp vào icon Config sau đó trên thanh Tasks Toolbar click vào biểu tượng Security
Audit , Click vào nút One-step lockdown
o Chọn Yes khi xuất hiện cửa sổ
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: [email protected]
ĐT: (08) 62.678.999 Fax: (08) 62.837.867
Khoa CNTT – MH/MĐ: Hệ thống an ninh mạng - firewall 9
STT BÀI HỌC NỘI DUNG THỰC HÀNH ỨNG DỤNG
THỰC TẾ
o Sau khi phân tich , SDM đưa ra danh sách làm thay đổi cấu hình router của bạn, Click nút Deliver để SDM thêm
chúng vào Router của bạn.
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: [email protected]
ĐT: (08) 62.678.999 Fax: (08) 62.837.867
Khoa CNTT – MH/MĐ: Hệ thống an ninh mạng - firewall 10
STT BÀI HỌC NỘI DUNG THỰC HÀNH ỨNG DỤNG
THỰC TẾ
o Trước khi thêm chúng vào thì sẽ xuất hiện cửa sổ cho chúng ta xem những lệnh đã được cấu hình mà SDM dự kiến
sẽ thực hiện
o Nhấp vào Deliver và OK là hoàn tất
Tình huống 3
Mô tả nội dung: Anh/Chị là nhân viên triển khai mạng của công ty Thành Công. Anh/chị đang triển khai thiết bị Cisco Router cho
công ty. Để tăng cường bảo mật cho thiết bị anh/chị cần tắt các dịch vụ không cần thiết mặc định đang hoạt động trên thiết bị.
Mô hinh logic:
…
…
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: [email protected]
ĐT: (08) 62.678.999 Fax: (08) 62.837.867
Khoa CNTT – MH/MĐ: Hệ thống an ninh mạng - firewall 11
STT BÀI HỌC NỘI DUNG THỰC HÀNH ỨNG DỤNG
THỰC TẾ
Yêu cầu thực hiện:
Xác định và tắt các dịch vụ không cần thiết và không bảo mật trên Router
Hướng dẫn thực hiện “step by step”
Thiêƴt lâƲ p mô hi Ƴnh logic chỉ cần 1 router
Câƴu hi Ƴnh điƲ a chiƱ caƴc interface
Câƴu hi Ƴnh trên router R1:
o R1(config)#interface fastethernet 0/0
o R1(config-if)#ip addresss 192.168.10.1 255.255.255.0
o R1(config-if)#no shutdown
o R1(config-if)#no keepalive
Chắc chắn rằng các dịch vụ đã được tắt
o Một vài dịch vụ mặc định đã được tắt trên các phiên bản Cisco IOS gần đây , vi thế không nhất thiết chúng ta phải tắt
chúng . Tuy nhiên chúng ta cần biết về các lệnh để hỗ trợ khi chúng ta đang sử dụng những phiên bản đã cũ.
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: [email protected]
ĐT: (08) 62.678.999 Fax: (08) 62.837.867
Khoa CNTT – MH/MĐ: Hệ thống an ninh mạng - firewall 12
STT BÀI HỌC NỘI DUNG THỰC HÀNH ỨNG DỤNG
THỰC TẾ
Lệnh no ip finger thay thế cho lệnh no service finger cả hai đểu vô hiệu hoá dịch vụ finger , cho phép
người dùng từ xa hoặc các hệ thống xác định người sử dụng kết nối với router hoặc những người đang
chạy tiến trình .
R1(config)# no ip finger
Tắt dịch vụ TCP và UDP small server : TCP and UDP small servers được kích hoạt ở các phiên bản Cisco IOS
11.2 và chúng bị tắt ở phiên bản 11.3 trở về sau, Khuyến cáo là không nên mở các dịch vụ này trừ những
trường hợp thật sự cần thiết vì các dịch vụ này có thể được khai thác gián tiếp để lấy thông tin về hệ
thống hoặc khai thác trực tiếp với một cuộc tấn công fraggle . Ngoài ra nếu gửi nhiều yêu cầu giả cho dịch
vụ UDP có thể tiêu thu tất các tài nguyên của CPU.
R1(config)# no service udp-small-servers
R1(config)# no service tcp-small-servers
Quản lý truy nhập Router : Các ứng dụng quản lý như telnet va ssh kết nối vào các cổng vty trên router.
Một router cisco có 5 cổng vty được đánh số từ 0 đến 4 truy cập vào giao diện dòng lệnh. Nếu tất cả các
cổng đều đang sử dụng người dùng không thể kết nối vào thiết bị. Kích hoạt TCP keep alives cho phép
phát hiện và huỷ các kết nối telnet bị hỏng , điều này giúp giải phóng các phiên telnet , làm cho router an
toàn hơn ngăn chặn các hacker khai thác telnet session
R1(config)# service tcp-keepalives-in
R1(config)# service tcp-keepalives-out
Disable CDP : CDP được sử dụng cho một số chức năng quản lý mạng nhưng nguy hiểm bởi vì nó cho phép
bất kì hệ thống trên một đoạn mạng kết nối trực tiếp để tìm hiểu rằng router là thiết bị Cisco, và để xác
định số mô hình và các Cisco IOS phiên bản phần mềm đang chạy . Thông tin này có thể được sử dụng để
thiết kế các cuộc tấn công chống lại router .
R1(config)# no cdp run
Tắt các dịch vụ khác chưa sử dụng
Packet assembler/disassembler (PAD) là dịch vụ dịch từ các gói tin sang ký tự dòng không cần dịch
vụ này ở hầu hết các mạng IP
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: [email protected]
ĐT: (08) 62.678.999 Fax: (08) 62.837.867
Khoa CNTT – MH/MĐ: Hệ thống an ninh mạng - firewall 13
STT BÀI HỌC NỘI DUNG THỰC HÀNH ỨNG DỤNG
THỰC TẾ
R1(config)# no service pad
Các dịch vụ BOOTP được sử dụng trong các mạng tập trung triển khai phần mềm, các router có thể
tải hệ điều hành từ một router khác . Tuy nhiên các dịch vụ BOOTP ít khi sử dụng và sẽ cho hacker
một cơ hội ăn cắp Cisco IOS image. Do đó chúng ta phải vô hiệu hóa.
R1 (config) # no ip BOOTP server
Vô hiệu hoá ip http server : Các Cisco IOS gần đây đều có phát hành HTTP để hỗ trợ cho việc cấu hình từ
xa và giám sát , nhưng đây là sự lựa chọn tương đối nguy hiểm cho việc quản lý router trên mạng internet
R1 (config) # no ip http server
o Vô hiệu hóa các dịch vụ không cần thiết trên interface
Lệnh no ip redirect sẽ vô hiệu hoá việc chuyển hướng ip vì thế các router sẽ không chuyển các gói thông
điệp ICMP ra .
R1(config)# interface fastethernet0/0
R1(config-if)# no ip redirects
Lệnh no ip proxy-arp sẽ vô hiệu hoá tinh năng proxy ARP có nghĩa là router sẽ không trả lời gói tin ARP
request để trả về địa chỉ MAC
R1(config-if)# no ip proxy-arp
Lệnh no ip unreachables sẽ ngăn không cho router gửi gói tin ICMP thông báo không thể kết nối , Thông
thường đây là những tiện ích cho việc xử lý sự cố , tuy nhiên chúng cũng có thể tham gia vào quá trình
trinh sát .
R1(config-if)# no ip unreachables
Kiểm tra lại những thao tác đã thực hiện.
R1#show run
Tình huống 4
Mô tả nội dung: Anh/Chị là nhân viên triển khai mạng của công ty Thành Công. Anh/chị đang triển khai thiết bị Cisco Router cho
…
…
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: [email protected]
ĐT: (08) 62.678.999 Fax: (08) 62.837.867
Khoa CNTT – MH/MĐ: Hệ thống an ninh mạng - firewall 14
STT BÀI HỌC NỘI DUNG THỰC HÀNH ỨNG DỤNG
THỰC TẾ
công ty.
Yêu cầu thực hiện:
Cải tiến cấu hinh đăng nhập Cisco IOS
Chiều dài mật khẩu tối thiểu
Sửa đổi lệnh cấp đặc quyền
Cấu hình một banner
Cấu hình router sử dụng SSH
Kích hoạt tinh năng mã hoá mật khẩu.
Cấu hình AAA trên Router Cisco
Hướng dẫn thực hiện “step by step”
Chuẩn bị : Cấu hình các Interface
R1(config)# interface fastethernet0/0
R1(config-if)# ip address 192.168.10.1 255.255.255.0
R1(config-if)# no shutdown
R2(config)# interface fastethernet0/0
R2(config-if)# ip address 192.168.10.2 255.255.255.0
R2(config-if)# no shutdown
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: [email protected]
ĐT: (08) 62.678.999 Fax: (08) 62.837.867
Khoa CNTT – MH/MĐ: Hệ thống an ninh mạng - firewall 15
STT BÀI HỌC NỘI DUNG THỰC HÀNH ỨNG DỤNG
THỰC TẾ
o Từ R2 telnet đến R1
R2# telnet 192.168.10.1
Trying 192.168.10.1 ... Open
Password required, but none set
[Connection to 192.168.10.1 closed by foreign host]
R2#
o R1 chấp nhận các kết nối telnet đến nhưng sau đó kết thúc bởi vì không có mật khẩu được thiết lập, điều này có
thể thiết lập chứng thực bằng user địa phương hoặc lựa chọn cấu hình giao tiếp đến một máy chủ RADIUS hoặc
TACACS +cho các dịch vụ AAA.
o Tạo Username và password
R1(config)# username cisco password cisco
o Cấu hình virtual teletype terminal (VTY)
R1(config)# line vty 0 4
R1(config-line)# login local
o Từ R2 telnet đến R1
R2# telnet 192.168.10.1
Trying 192.168.10.1 ... Open
User Access Verification
Username: cisco
Password: cisco
o Thiết lập password privileged exec mode
R1(config)# enable secret cisco
o Từ R2 telnet R1
R2# telnet 192.168.10.1
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: [email protected]
ĐT: (08) 62.678.999 Fax: (08) 62.837.867
Khoa CNTT – MH/MĐ: Hệ thống an ninh mạng - firewall 16
STT BÀI HỌC NỘI DUNG THỰC HÀNH ỨNG DỤNG
THỰC TẾ
Trying 192.168.10.1 ... Open
User Access Verification
Username: cisco
Password: cisco
R1> enable
Password: cisco
R1# exit
Cải tiến cấu hinh đăng nhập Cisco IOS
o Xem lại quá trinh đăng nhập.
R1# show login
No login delay has been applied.
No Quiet-Mode access list has been configured.
Router NOT enabled to watch for login Attacks
o Cấu hình R1 ngăn chặn tất cả đăng nhập sau 30giây sau nổ lực đăng nhập lần thứ 1 và 15 giây cho lần thứ 2 trở
đi
R1(config)# login block-for 30 attempts 2 within 15
o Dùng R2 để kiểm tra lại
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: [email protected]
ĐT: (08) 62.678.999 Fax: (08) 62.837.867
Khoa CNTT – MH/MĐ: Hệ thống an ninh mạng - firewall 17
STT BÀI HỌC NỘI DUNG THỰC HÀNH ỨNG DỤNG
THỰC TẾ
o Khi Router đạt đến giới hạn đăng nhập sẽ vào chế độ Quiet , tuy nhiên ta vẫn có thể cấu hình cho phép một số
server đáng tin cậy truy cập vào router trong chế độ Quiet
R1(config)# login quiet-mode access-class 1
R1(config)# access-list 1 permit 192.168.20.0 0.0.0.255
o Cấu hình chậm trễ giữa những lần đăng nhập(mặc định 1giây).
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: [email protected]
ĐT: (08) 62.678.999 Fax: (08) 62.837.867
Khoa CNTT – MH/MĐ: Hệ thống an ninh mạng - firewall 18
STT BÀI HỌC NỘI DUNG THỰC HÀNH ỨNG DỤNG
THỰC TẾ
R1(config)# login delay 3
R1(config)# login on-failure log
o Sử dụng R2 telnet đến R1 đăng nhập thất bại.Quan sát sự chậm trễ , sau đó dung R1 để kiểm tra lại quá trình
đăng nhập.
Cấu hình chiều dài tối thiểu của mật khẩu
o Thiết lập độ dài tố thiểu là 8 kí tự
R1(config)# security passwords min-length 8
R1(config)# username cisco2 password cis
% Password too short - must be at least 8 characters. Password configuration
failed
R1(config)# username cisco2 password ciscocisco
R1(config)# no username cisco2 password ciscocisco
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: [email protected]
ĐT: (08) 62.678.999 Fax: (08) 62.837.867
Khoa CNTT – MH/MĐ: Hệ thống an ninh mạng - firewall 19
STT BÀI HỌC NỘI DUNG THỰC HÀNH ỨNG DỤNG
THỰC TẾ
R1(config)# no security passwords min-length 8
Sửa đổi lệnh cấp đặc quyền.
o Xem đặc quyền cấp mấy chế độ User .
R1> show privilege
Current privilege level is 1
o Xem đặc quyền cấp mấy chế độ Privilege .
R1> enable
Password: cisco
R1# show privilege
Current privilege level is 15
o Thiết lập password cho đặc quyền cấp 5 là “cisco5”
R1(config)# enable secret level 5 cisco5
R1> enable 5
Password: cisco5
R1# show privilege
Current privilege level is 5
o Thiết lập lệnh cho privilege cấp 5
R1(config)# privilege exec level 5 configure terminal
R1(config)# privilege configure level 5 interface
R1(config)# privilege interface level 5 shutdown
Thiết lập Banner
o Tạo Banner
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: [email protected]
ĐT: (08) 62.678.999 Fax: (08) 62.837.867
Khoa CNTT – MH/MĐ: Hệ thống an ninh mạng - firewall 20
STT BÀI HỌC NỘI DUNG THỰC HÀNH ỨNG DỤNG
THỰC TẾ
Telnet đến R2
Cấu hình Router sử dụng SSH
o Thiết lập domain name “cisco.com”
R1(config)# ip domain-name cisco.com
o Tạo ra các khoá mã hoá rsa
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: [email protected]
ĐT: (08) 62.678.999 Fax: (08) 62.837.867
Khoa CNTT – MH/MĐ: Hệ thống an ninh mạng - firewall 21
STT BÀI HỌC NỘI DUNG THỰC HÀNH ỨNG DỤNG
THỰC TẾ
o Xem lại mã khoá rsa
o Cấu hình line vty chỉ cho phép kết nối ssh
R1(config)# line vty 0 4
R1(config-line)# transport input ssh
o Trên R2 kết nối ssh đến R1
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: [email protected]
ĐT: (08) 62.678.999 Fax: (08) 62.837.867
Khoa CNTT – MH/MĐ: Hệ thống an ninh mạng - firewall 22
STT BÀI HỌC NỘI DUNG THỰC HÀNH ỨNG DỤNG
THỰC TẾ
Mã hoá password
o Trước khi mã hoá
R1# show running-config | include username
username cisco password 0 cisco
o Sau khi mã hoá
R1(config)# service password-encryption
R1# show running-config | include username
username cisco password 7 070C285F4D06
Cấu hình AAA trên Router Cisco
R1(config)# username cisco password cisco
R1(config)# aaa new-model
R1(config)# aaa authentication login default local
Kiểm tra lại cấu hình.
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: [email protected]
ĐT: (08) 62.678.999 Fax: (08) 62.837.867
Khoa CNTT – MH/MĐ: Hệ thống an ninh mạng - firewall 23
STT BÀI HỌC NỘI DUNG THỰC HÀNH ỨNG DỤNG
THỰC TẾ
o R1# show run
Tình huống 5: Cấu hình NTP
Anh/Chị là nhân viên triển khai mạng của công ty Thành Công. Anh/chị đang triển khai thiết bị Cisco Router cho công ty. Mô hi Ƴnh
mạng của công ty như sau:
Yêu cầu thực hiện:
Câƴu hi Ƴnh router như một NTP master server
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: [email protected]
ĐT: (08) 62.678.999 Fax: (08) 62.837.867
Khoa CNTT – MH/MĐ: Hệ thống an ninh mạng - firewall 24
STT BÀI HỌC NỘI DUNG THỰC HÀNH ỨNG DỤNG
THỰC TẾ
Cấu hình NTP server trên một router
Cấu hình một NTP peer
Hướng dẫn thực hiện “step by step”:
o Câƴu hi Ƴnh các interface trên R1:
R1(config)# interface serial0/0/0
R1(config-if)# ip address 192.168.12.1 255.255.255.0
R1(config-if)# clockrate 64000
R1(config-if)# no shutdown
o Cấu hình các interface trên R2:
R2(config)# interface serial0/0/0
R2(config-if)# ip address 192.168.12.2 255.255.255.0
R2(config-if)# no shutdown
R2(config-if)# interface serial0/0/1
R2(config-if)# ip address 192.168.23.2 255.255.255.0
R2(config-if)# clockrate 64000
R2(config-if)# no shutdown
R3(config)# interface serial0/0/1
R3(config-if)# ip address 192.168.23.3 255.255.255.0
R3(config-if)# no shutdown
o Cài đặt NTP master
R1# show clock
*07:20:19.267 UTC Mon Feb 12 2007
R1# clock set 07:20:30 feb 12 2007
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: [email protected]
ĐT: (08) 62.678.999 Fax: (08) 62.837.867
Khoa CNTT – MH/MĐ: Hệ thống an ninh mạng - firewall 25
STT BÀI HỌC NỘI DUNG THỰC HÀNH ỨNG DỤNG
THỰC TẾ
R1#
*Feb 12 07:20:30.000: %SYS-6-CLOCKUPDATE: System clock has been updated from
07:20:39 UTC Mon Feb 12 2007 to 07:20:30 UTC Mon Feb 12 2007, configured from
console by console.
R1(config)# ntp master 5
o Cấu hình NTP Client
R2(config)# ntp server 192.168.12.1
R2# show ntp associations
address ref clock st when poll reach delay offset disp
Điểm đánh giá:………………………………………...GVHD ký tên:…………………………………………………………………….…………
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: [email protected]
ĐT: (08) 62.678.999 Fax: (08) 62.837.867
Khoa CNTT – MH/MĐ: Hệ thống an ninh mạng - firewall 26
STT BÀI HỌC NỘI DUNG THỰC HÀNH ỨNG DỤNG
THỰC TẾ
1
BÀI HỌC 2
Kỹ năng đạt
được
Triển khai cấu
hình Cisco IOS
Firewall.
Cấu hình Cisco
IOS Firewall:
Basic và
Advanced
Firewall bằng
CLI và Wizard.
BÀI TẬP 02
Tình huống 1: Cấu hình Cisco IOS Firewall bằng CLI
Mô tả nội dung : Cấu hình Cisco IOS Firewall với 3 interface
Yêu cầu thực hiện : cấu hình Cisco IOS Firewall 3 interface dùng CLI
Hướng dẫn thực hiện “step by step” :
Cấu hình:
Router#show run
…
…
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: [email protected]
ĐT: (08) 62.678.999 Fax: (08) 62.837.867
Khoa CNTT – MH/MĐ: Hệ thống an ninh mạng - firewall 27
STT BÀI HỌC NỘI DUNG THỰC HÀNH ỨNG DỤNG
THỰC TẾ
!
interface FastEthernet0/0
ip inspect OUTSIDE in
ip access-group OUTSIDEACL in
!
interface FastEthernet0/1
ip inspect INSIDE in
ip access-group INSIDEACL in
!
interface FastEthernet0/2
ip access-group DMZACL in
!
ip inspect name INSIDE tcp
ip inspect name OUTSIDE tcp
!
ip access-list extended OUTSIDEACL
permit tcp any host 200.1.2.1 eq 25
permit tcp any host 200.1.2.2 eq 80
permit icmp any any packet-too-big
deny ip any any log
!
ip access-list extended INSIDEACL
permit tcp any any eq 80
permit icmp any any packet-too-big
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: [email protected]
ĐT: (08) 62.678.999 Fax: (08) 62.837.867
Khoa CNTT – MH/MĐ: Hệ thống an ninh mạng - firewall 28
STT BÀI HỌC NỘI DUNG THỰC HÀNH ỨNG DỤNG
THỰC TẾ
deny ip any any log
!
ip access-list extended DMZACL
permit icmp any any packet-too-big
deny ip any any log
Tình huống 2: Cấu hình Cisco IOS Firewall dùng SDM
Mô tả nội dung: Sử dụng router Cisco để cấu hình làm Firewall cho hệ thống mạng.
Yêu cầu thực hiện: Cấu hình Firewall để kiểm soát và giám sát traffic ra vào hệ thống. Mô hỉnh cụ thể như sau:
…
…
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: [email protected]
ĐT: (08) 62.678.999 Fax: (08) 62.837.867
Khoa CNTT – MH/MĐ: Hệ thống an ninh mạng - firewall 29
STT BÀI HỌC NỘI DUNG THỰC HÀNH ỨNG DỤNG
THỰC TẾ
Hướng dẫn thực hiện “step by step”: cấu hình theo các bước sau:
Bước 1: Cấu hình Interface Loopback và vật lý
Cấu hình interface loopback với địa chỉ trong mô hình.
INSIDE(config)# interface loopback0
INSIDE(config-if)# ip address 10.1.1.1 255.255.255.0
INSIDE(config-if)# interface fastethernet0/0
INSIDE(config-if)# ip address 10.1.12.1 255.255.255.0
INSIDE(config-if)# no shutdown
FW(config)# interface loopback0
FW(config-if)# ip address 172.16.2.1 255.255.255.0
FW(config-if)# interface fastethernet0/0
FW(config-if)# ip address 10.l.12.2 255.255.255.0
FW(config-if)# no shutdown
FW(config-if)# interface serial0/0/1
FW(config-if)# ip address 192.168.23.2 255.255.255.0
FW(config-if)# clockrate 64000
FW(config-if)# no shutdown
ISP(config)# interface loopback0
ISP(config-if)# ip address 192.168.3.1 255.255.255.0
ISP(config-if)# interface serial0/0/1
ISP(config-if)# ip address 192.168.23.3 255.255.255.0
ISP(config-if)# no shutdown
Bước 2: Cấu hình giao thức định tuyến
Network 10.0.0.0/8 là internal network Network giữa FW và ISP được route với nhau. Interface loopback trên FW router là interface trong vùng DMZ. Cấu hình EIGRP cho AS1 trên INSIDE và FW.
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: [email protected]
ĐT: (08) 62.678.999 Fax: (08) 62.837.867
Khoa CNTT – MH/MĐ: Hệ thống an ninh mạng - firewall 30
STT BÀI HỌC NỘI DUNG THỰC HÀNH ỨNG DỤNG
THỰC TẾ
INSIDE(config)# router eigrp 1
INSIDE(config-router)# no auto-summary
INSIDE(config-router)# network 10.0.0.0
FW(config)# router eigrp 1
FW(config-router)# no auto-summary
FW(config-router)# network 10.0.0.0
FW(config-router)# network 172.16.0.0
FW(config-router)# passive-interface loopback0
Xác định mục đích và chức năng cũa firewall.
Bước 3: Cấu hình static route để kết nối Internet
FW(config)# ip route 0.0.0.0 0.0.0.0 192.168.23.3
FW(config)# router eigrp 1
FW(config-router)# redistribute static
Trên ISP, tạo static route để kết nối với mạng đích. Lưu ý network 172.16.0.0 là DMZ, 10.0.0.0 là internal.
ISP(config)# ip route 10.0.0.0 255.0.0.0 192.168.23.2
ISP(config)# ip route 172.16.0.0 255.255.0.0 192.168.23.2
Kiểm tra kết nối từ ISP đến khách hàng ISP# ping 10.1.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.1.1.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 112/112/112 ms
Bước 4: Kết nối FW sử dụng SDM
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: [email protected]
ĐT: (08) 62.678.999 Fax: (08) 62.837.867
Khoa CNTT – MH/MĐ: Hệ thống an ninh mạng - firewall 31
STT BÀI HỌC NỘI DUNG THỰC HÀNH ỨNG DỤNG
THỰC TẾ
Cấu hình SSH và kết nối SDM qua HTTPs.
FW(config)# username ciscosdm privilege 15 password ciscosdm
FW(config)# ip http secure-server FW(config)# ip http
authentication local FW(config)# line vty 0 4
FW(config-line)# transport input telnet ssh
Kết nối FW sử dụng SDM.
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: [email protected]
ĐT: (08) 62.678.999 Fax: (08) 62.837.867
Khoa CNTT – MH/MĐ: Hệ thống an ninh mạng - firewall 32
STT BÀI HỌC NỘI DUNG THỰC HÀNH ỨNG DỤNG
THỰC TẾ
Giao diện của Cisco Security Device Manager
Chọn Edit - > Preferences. Đảm bảo rằng mục Preview commands before delivering to router được check trước khi tiếp tục ok.
SDM User Preferences
Bước 5: Sử dụng SDM Advanced Firewall Wizard
Trongn SDM, khởi động mục Advanced Firewall Wizard bằng cách click Configure trên đầu tooolbar và Firewall and ACL.
Trên tab Create Firewall, chọn choose Advanced Firewall, và chọn Launch the selected task.
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: [email protected]
ĐT: (08) 62.678.999 Fax: (08) 62.837.867
Khoa CNTT – MH/MĐ: Hệ thống an ninh mạng - firewall 33
STT BÀI HỌC NỘI DUNG THỰC HÀNH ỨNG DỤNG
THỰC TẾ
SDM Create Firewall Tab
Đọc thong tin của Advanced Firewall Configuration Wizard và click Next.
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: [email protected]
ĐT: (08) 62.678.999 Fax: (08) 62.837.867
Khoa CNTT – MH/MĐ: Hệ thống an ninh mạng - firewall 34
STT BÀI HỌC NỘI DUNG THỰC HÀNH ỨNG DỤNG
THỰC TẾ
SDM Advanced Firewall Configuration Wizard
Chọn interface outside kết nối đến ISP và interfaces INSIDE cho nội bộ.
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: [email protected]
ĐT: (08) 62.678.999 Fax: (08) 62.837.867
Khoa CNTT – MH/MĐ: Hệ thống an ninh mạng - firewall 35
STT BÀI HỌC NỘI DUNG THỰC HÀNH ỨNG DỤNG
THỰC TẾ
Không check inside và outside cho interface loopback. Chọn interface loopback như là interface DMZ. Bạn không cần cho phép truy cập secure SDM từ interface outside. Sau đó click Next.
SDM Firewall Wizard Interface Selection
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: [email protected]
ĐT: (08) 62.678.999 Fax: (08) 62.837.867
Khoa CNTT – MH/MĐ: Hệ thống an ninh mạng - firewall 36
STT BÀI HỌC NỘI DUNG THỰC HÀNH ỨNG DỤNG
THỰC TẾ
Click OK to continue.
SDM Connectivity Warning
Bây giờ ta add DMZ services, bằng cách chọn button.
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: [email protected]
ĐT: (08) 62.678.999 Fax: (08) 62.837.867
Khoa CNTT – MH/MĐ: Hệ thống an ninh mạng - firewall 37
STT BÀI HỌC NỘI DUNG THỰC HÀNH ỨNG DỤNG
THỰC TẾ
SDM Firewall Demilitarized Zone Configuration
Add range IP web server từ 172.16.2.10 to 172.16.2.20. Cấu hình service như “www”, với TCP port 80
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: [email protected]
ĐT: (08) 62.678.999 Fax: (08) 62.837.867
Khoa CNTT – MH/MĐ: Hệ thống an ninh mạng - firewall 38
STT BÀI HỌC NỘI DUNG THỰC HÀNH ỨNG DỤNG
THỰC TẾ
SDM DMZ Service Configuration
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: [email protected]
ĐT: (08) 62.678.999 Fax: (08) 62.837.867
Khoa CNTT – MH/MĐ: Hệ thống an ninh mạng - firewall 39
STT BÀI HỌC NỘI DUNG THỰC HÀNH ỨNG DỤNG
THỰC TẾ
SDM Firewall Demilitarized Zone Configuration with Changes Applied
Apply ACL tới các interface. Cấu hình CBAC.
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: [email protected]
ĐT: (08) 62.678.999 Fax: (08) 62.837.867
Khoa CNTT – MH/MĐ: Hệ thống an ninh mạng - firewall 40
STT BÀI HỌC NỘI DUNG THỰC HÀNH ỨNG DỤNG
THỰC TẾ
Ta sẽ không dùng default application security policy, mà tự tạo chọn Use a custom Application Security Policy và click Create a new policy
SDM Firewall Security Policy Configuration
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: [email protected]
ĐT: (08) 62.678.999 Fax: (08) 62.837.867
Khoa CNTT – MH/MĐ: Hệ thống an ninh mạng - firewall 41
STT BÀI HỌC NỘI DUNG THỰC HÀNH ỨNG DỤNG
THỰC TẾ
Trên Application Security, click HTTP, và check Enable HTTP inspection
SDM CBAC Configuration Window, HTTP Options
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: [email protected]
ĐT: (08) 62.678.999 Fax: (08) 62.837.867
Khoa CNTT – MH/MĐ: Hệ thống an ninh mạng - firewall 42
STT BÀI HỌC NỘI DUNG THỰC HÀNH ỨNG DỤNG
THỰC TẾ
SDM CBAC Configuration Window, General Options
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: [email protected]
ĐT: (08) 62.678.999 Fax: (08) 62.837.867
Khoa CNTT – MH/MĐ: Hệ thống an ninh mạng - firewall 43
STT BÀI HỌC NỘI DUNG THỰC HÀNH ỨNG DỤNG
THỰC TẾ
Applying New Custom Security Policy with SDM
Kiểm tra cấu hình tổng quát và click Finish.
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: [email protected]
ĐT: (08) 62.678.999 Fax: (08) 62.837.867
Khoa CNTT – MH/MĐ: Hệ thống an ninh mạng - firewall 44
STT BÀI HỌC NỘI DUNG THỰC HÀNH ỨNG DỤNG
THỰC TẾ
SDM Firewall Configuration Summary
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: [email protected]
ĐT: (08) 62.678.999 Fax: (08) 62.837.867
Khoa CNTT – MH/MĐ: Hệ thống an ninh mạng - firewall 45
STT BÀI HỌC NỘI DUNG THỰC HÀNH ỨNG DỤNG
THỰC TẾ
SDM Firewall Configuration Delivery Notification
Click Deliver -> OK
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: [email protected]
ĐT: (08) 62.678.999 Fax: (08) 62.837.867
Khoa CNTT – MH/MĐ: Hệ thống an ninh mạng - firewall 46
STT BÀI HỌC NỘI DUNG THỰC HÀNH ỨNG DỤNG
THỰC TẾ
SDM Firewall Configuration Delivery Progress Indicator
SDM Successful Configuration Notification
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: [email protected]
ĐT: (08) 62.678.999 Fax: (08) 62.837.867
Khoa CNTT – MH/MĐ: Hệ thống an ninh mạng - firewall 47
STT BÀI HỌC NỘI DUNG THỰC HÀNH ỨNG DỤNG
THỰC TẾ
Click OK và chọn Originating traffic
SDM Firewall Policy Summary for Originating Traffic
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: [email protected]
ĐT: (08) 62.678.999 Fax: (08) 62.837.867
Khoa CNTT – MH/MĐ: Hệ thống an ninh mạng - firewall 48
STT BÀI HỌC NỘI DUNG THỰC HÀNH ỨNG DỤNG
THỰC TẾ
Bước 6: Thay đổi cấu hình Firewall
SDM Firewall Policy Summary for Returning Traffic
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: [email protected]
ĐT: (08) 62.678.999 Fax: (08) 62.837.867
Khoa CNTT – MH/MĐ: Hệ thống an ninh mạng - firewall 49
STT BÀI HỌC NỘI DUNG THỰC HÀNH ỨNG DỤNG
THỰC TẾ
Deny Statement in ACL 102 for 192.168.0.0/16
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: [email protected]
ĐT: (08) 62.678.999 Fax: (08) 62.837.867
Khoa CNTT – MH/MĐ: Hệ thống an ninh mạng - firewall 50
STT BÀI HỌC NỘI DUNG THỰC HÀNH ỨNG DỤNG
THỰC TẾ
Chọn access rule 192.168.0.0/16 và click Cut để xóa trạng thái. Sau đó chọn Apply Changes.
ACL 102 sau khi xóa entry Deny 192.168.0.0/16
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: [email protected]
ĐT: (08) 62.678.999 Fax: (08) 62.837.867
Khoa CNTT – MH/MĐ: Hệ thống an ninh mạng - firewall 51
STT BÀI HỌC NỘI DUNG THỰC HÀNH ỨNG DỤNG
THỰC TẾ
Xem lại command mà SDM sẽ gửi đến router, và click Deliver -> OK
SDM Firewall Configuration Delivery Notification
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: [email protected]
ĐT: (08) 62.678.999 Fax: (08) 62.837.867
Khoa CNTT – MH/MĐ: Hệ thống an ninh mạng - firewall 52
STT BÀI HỌC NỘI DUNG THỰC HÀNH ỨNG DỤNG
THỰC TẾ
SDM Firewall Configuration Delivery Progress Indicator
Bước 7: Giám sát hoạt động của Firewall
Trên router ISP, add password “cisco” cho telnet session
ISP(config)# line vty 0 4
ISP(config-line)# password cisco
ISP(config-line)# login
Trên router INSIDE, thiết lập 1 session Telnet đến các interface loopback của ISP
INSIDE# telnet 192.168.3.1
Trying 192.168.3.1 ... Open
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: [email protected]
ĐT: (08) 62.678.999 Fax: (08) 62.837.867
Khoa CNTT – MH/MĐ: Hệ thống an ninh mạng - firewall 53
STT BÀI HỌC NỘI DUNG THỰC HÀNH ỨNG DỤNG
THỰC TẾ
User Access Verification
Password: ISP>
Trong khi session Telnet được active, click tab SDM Monitor và Firewall Status. Click Update để lấy thong tin mới nhất từ firewall.
SDM Firewall Monitor
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: [email protected]
ĐT: (08) 62.678.999 Fax: (08) 62.837.867
Khoa CNTT – MH/MĐ: Hệ thống an ninh mạng - firewall 54
STT BÀI HỌC NỘI DUNG THỰC HÀNH ỨNG DỤNG
THỰC TẾ
Sau khi hiển thị thông số của session Telnet session ta dùng lệnh exit để đóng session.
ISP> exit
[Connection to 192.168.3.1 closed by foreign host] INSIDE#
Từ router ISP, thiết lập session Telnet với interface loopback INSIDE. Không thiết lập password và test sẽ không thành công.
ISP# telnet 10.1.1.1
Trying 10.1.1.1 ...
% Destination unreachable; gateway or host down
ISP#
Xem và ghi nhận file log
FW#
*Feb 17 22:21:01.085: %SEC-6-IPACCESSLOGP: list 102 denied tcp
192.168.23.3(20650) -> 10.1.1.1(23), 1 packet
Xem cấu hình trên interface FW outside sử dụng lệnh show run
FW# show run interface serial0/0/1
Building configuration...
Current configuration : 168 bytes
!
interface Serial0/0/1
description $FW_OUTSIDE$
ip address 192.168.23.2 255.255.255.0
ip access-group 102 in
ip verify unicast reverse-path clock rate 64000
end
Từ lệnh show access-lists, bạn có thể thấy rằng phần log của access list được cho phép đi vào
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: [email protected]
ĐT: (08) 62.678.999 Fax: (08) 62.837.867
Khoa CNTT – MH/MĐ: Hệ thống an ninh mạng - firewall 55
STT BÀI HỌC NỘI DUNG THỰC HÀNH ỨNG DỤNG
THỰC TẾ
từ interface outside.
FW# show access-lists 102
Extended IP access list 102
10 deny ip 172.16.2.0 0.0.0.255 any
20 deny ip 10.1.12.0 0.0.0.255 any
30 permit icmp any host 192.168.23.2 echo-reply
40 permit icmp any host 192.168.23.2 time-exceeded
50 permit icmp any host 192.168.23.2 unreachable
60 permit tcp any host 172.16.2.10 eq www
70 permit tcp any host 172.16.2.11 eq www
80 permit tcp any host 172.16.2.12 eq www
90 permit tcp any host 172.16.2.13 eq www
100 permit tcp any host 172.16.2.14 eq www
110 permit tcp any host 172.16.2.15 eq www
120 permit tcp any host 172.16.2.16 eq www
130 permit tcp any host 172.16.2.17 eq www
140 permit tcp any host 172.16.2.18 eq www
150 permit tcp any host 172.16.2.19 eq www
160 permit tcp any host 172.16.2.20 eq www
170 deny ip 10.0.0.0 0.255.255.255 any
180 deny ip 172.16.0.0 0.15.255.255 any
190 deny ip 127.0.0.0 0.255.255.255 any
200 deny ip host 255.255.255.255 any
210 deny ip host 0.0.0.0 any
220 deny ip any any log (1 match)
Kiểm tra kết quả cuối cùng:
ISP pings 10.1.1.1 ISP pings 172.16.23.2 ISP pings 172.16.2.1
Giả sử ISP ping đến 1 web server thật tại địa chỉ 172.16.2.10
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: [email protected]
ĐT: (08) 62.678.999 Fax: (08) 62.837.867
Khoa CNTT – MH/MĐ: Hệ thống an ninh mạng - firewall 56
STT BÀI HỌC NỘI DUNG THỰC HÀNH ỨNG DỤNG
THỰC TẾ
Giả sử network kết nối đến ISP thiết lập 1 HTTP session với 1 web server tại địa chỉ 172.16.2.10
Cấu hình hoàn chỉnh
INSIDE# show run hostname INSIDE
!
interface Loopback0
ip address 10.1.1.1 255.255.255.0
!
interface FastEthernet0/0
ip address 10.1.12.1 255.255.255.0
no shutdown
!
router eigrp 1 network 10.0.0.0 no
auto-summary
!
end
FW# show run hostname FW
!
ip inspect name appfw_100 http
ip inspect name appfw_100 tcp ip
inspect name appfw_100 udp
ip inspect name dmzinspect tcp
ip inspect name dmzinspect udp
!
crypto pki trustpoint TP-self-signed-3043721146
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-3043721146 revocation-check
none
rsakeypair TP-self-signed-3043721146
!
crypto pki certificate chain TP-self-signed-3043721146 certificate self-
signed 01
3082023A 308201A3 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
69666963 6174652D 33303433 37323131 3436301E 170D3037 30323137 32313336
33375A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: [email protected]
ĐT: (08) 62.678.999 Fax: (08) 62.837.867
Khoa CNTT – MH/MĐ: Hệ thống an ninh mạng - firewall 57
STT BÀI HỌC NỘI DUNG THỰC HÀNH ỨNG DỤNG
THỰC TẾ
4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D33 30343337
32313134 3630819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
8100EAE7 7D716529 0B5A56C3 C519EE38 AF5BB46C 20C2D045 8CF5E575 F31CB907
AD9EC6D2 25EBE142 6994982A EFF4565D B5C8DD3C 3FD64334 6F447CD9 3763FBB8
6D3A8583 C91C8F9E 9F69716F CD773448 52CA343E FE4CC690 F8D74D1C A8EAC14E AE30BFCF 9248BD02
908ADF7D 02F855BD 71269846 6CAFA205 9EDDD7C0 2F8A240D D6D50203 010001A3 62306030 0F060355
1D130101 FF040530 030101FF 300D0603
551D1104 06300482 02465730 1F060355 1D230418 30168014 1C974D6A 53CA1D26
96919DA4 9F55F630 6986CBAD 301D0603 551D0E04 1604141C 974D6A53 CA1D2696
919DA49F 55F63069 86CBAD30 0D06092A 864886F7 0D010104 05000381 81000566
95264590 A35B0A19 89F68CEC DEA11FF0 B27FD67A 577404A3 C8EEDD99 BDFCFF33
B05ACFE5 9EF70D3F 13B35864 35CA069F 9D4DB369 6E4262D6 E77683F2 CB3B36DC
13A5208C F85CA99B 4BB7E81F BF89C43D 1EC91E03 322EC2FA 28763141 C63E9AA3
45CE31B4 65B90AE6 D7EC8878 08CB30ED A4D24389 10B66C8E C7611D56 048D
quit
username ciscosdm privilege 15 password 0 ciscosdm
!
interface Loopback0 description $FW_DMZ$
ip address 172.16.2.1 255.255.255.0
ip access-group 101 in
ip inspect dmzinspect out
!
interface FastEthernet0/0
description $FW_INSIDE$
ip address 10.1.12.2 255.255.255.0
ip access-group 100 in
ip inspect appfw_100 in no shutdown
!
interface Serial0/0/1
description $FW_OUTSIDE$
ip address 192.168.23.2 255.255.255.0
ip access-group 102 in
ip verify unicast reverse-path clock rate 64000
no shutdown
!
router eigrp 1 redistribute static
passive-interface Loopback0 network 10.0.0.0
network 172.16.0.0 no auto-summary
!
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: [email protected]
ĐT: (08) 62.678.999 Fax: (08) 62.837.867
Khoa CNTT – MH/MĐ: Hệ thống an ninh mạng - firewall 58
STT BÀI HỌC NỘI DUNG THỰC HÀNH ỨNG DỤNG
THỰC TẾ
ip route 0.0.0.0 0.0.0.0 192.168.23.3
!
ip http server
ip http authentication local ip http secure-
server
!
access-list 100 remark auto generated by SDM firewall configuration
access-list 100 remark SDM_ACL Category=1
access-list 100 deny ip 172.16.2.0 0.0.0.255 any
access-list 100 deny ip 192.168.23.0 0.0.0.255 any
access-list 100 deny ip host 255.255.255.255 any
access-list 100 deny ip 127.0.0.0 0.255.255.255 any
access-list 100 permit ip any any
access-list 101 remark auto generated by SDM firewall configuration
access-list 101 remark SDM_ACL Category=1
access-list 101 deny ip any any log
access-list 102 remark auto generated by SDM firewall configuration
access-list 102 remark SDM_ACL Category=1
access-list 102 deny ip 172.16.2.0 0.0.0.255 any
access-list 102 deny ip 10.1.12.0 0.0.0.255 any
access-list 102 permit icmp any host 192.168.23.2 echo-reply
access-list 102 permit icmp any host 192.168.23.2 time-exceeded
access-list 102 permit icmp any host 192.168.23.2 unreachable
access-list 102 permit tcp any host 172.16.2.10 eq www
access-list 102 permit tcp any host 172.16.2.11 eq www
access-list 102 permit tcp any host 172.16.2.12 eq www
access-list 102 permit tcp any host 172.16.2.13 eq www
access-list 102 permit tcp any host 172.16.2.14 eq www
access-list 102 permit tcp any host 172.16.2.15 eq www
access-list 102 permit tcp any host 172.16.2.16 eq www
access-list 102 permit tcp any host 172.16.2.17 eq www
access-list 102 permit tcp any host 172.16.2.18 eq www
access-list 102 permit tcp any host 172.16.2.19 eq www
access-list 102 permit tcp any host 172.16.2.20 eq www
access-list 102 deny ip 10.0.0.0 0.255.255.255 any
access-list 102 deny ip 172.16.0.0 0.15.255.255 any
access-list 102 deny ip 127.0.0.0 0.255.255.255 any
access-list 102 deny ip host 255.255.255.255 any
access-list 102 deny ip host 0.0.0.0 any
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: [email protected]
ĐT: (08) 62.678.999 Fax: (08) 62.837.867
Khoa CNTT – MH/MĐ: Hệ thống an ninh mạng - firewall 59
STT BÀI HỌC NỘI DUNG THỰC HÀNH ỨNG DỤNG
THỰC TẾ
access-list 102 deny ip any any log
!
line vty 0 4 login local
end
ISP# show run hostname ISP
!
interface Loopback0
ip address 192.168.3.1 255.255.255.0
!
interface Serial0/0/1
ip address 192.168.23.3 255.255.255.0 no shutdown
!
ip route 10.0.0.0 255.0.0.0 192.168.23.2
ip route 172.16.0.0 255.255.0.0 192.168.23.2
!
line vty 0 4 password cisco login
end
Sinh viên ghi tóm tắt quá trình thực hiện:…………………………………………………………………………………………………….
…..……………………………………………………………………………………………………………………………………………………………
Điểm đánh giá:………………………………………...GVHD ký tên:…………………………………………………………………….………
3
BÀI HỌC 3
Kỹ năng đạt
được
Triển khai cấu
hình Cisco IOS
IPS.
Triển khai cấu
hình snort
BÀI TẬP 03
Tình huống 1: Cấu hình IPS với SDM
Mô tả nội dung: cấu hình IPS trên router Cisco IOS Firewall
Yêu cầu thực hiện: cấu hình IPS với SDM trên router Cisco IOS Firewall
• Cấu hình IPS sử dụng C isco Security Device Manager (SDM) IPS Wizard
• Thay đổi cấu hình default IPS
• Tạo 1 IPS signature
…
…
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: [email protected]
ĐT: (08) 62.678.999 Fax: (08) 62.837.867
Khoa CNTT – MH/MĐ: Hệ thống an ninh mạng - firewall 60
STT BÀI HỌC NỘI DUNG THỰC HÀNH ỨNG DỤNG
THỰC TẾ
IDS/IPS.
Mô hình như sau:
Hướng dẫn thực hiện “step by step”
Bước 1: Cấu hình interface vật lý
TRUSTED(config)# interface fastethernet0/0
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: [email protected]
ĐT: (08) 62.678.999 Fax: (08) 62.837.867
Khoa CNTT – MH/MĐ: Hệ thống an ninh mạng - firewall 61
STT BÀI HỌC NỘI DUNG THỰC HÀNH ỨNG DỤNG
THỰC TẾ
TRUSTED(config-if)# ip address 192.168.12.1 255.255.255.0
TRUSTED(config-if)# no shutdown
FW(config)# interface fastethernet0/0
FW(config-if)# ip address 192.168.12.2 255.255.255.0
FW(config-if)# no shutdown
FW(config-if)# interface serial0/0/1
FW(config-if)# ip address 192.168.23.2 255.255.255.0
FW(config-if)# clockrate 64000
FW(config-if)# no shutdown
UNTRUSTED(config)# interface serial0/0/1
UNTRUSTED(config-if)# ip address 192.168.23.3 255.255.255.0
UNTRUSTED(config-if)# no shutdown
Bước 2: Cấu hình Static Default Routes
TRUSTED(config)# ip route 0.0.0.0 0.0.0.0 192.168.12.2
UNTRUSTED(config)# ip route 0.0.0.0 0.0.0.0 192.168.23.2
Step 3: Enable truy cập Telnet
Trên router TRUSTED, kích hoạt truy cập Telnet để chuẩn bị cho việc test IPS
TRUSTED(config)# line vty 0 4
TRUSTED(config-line)# password cisco
TRUSTED(config-line)# login
Bước 4: Kết nối tới FW sử dụng SDM
Cấu hình SSH và kết nối SDM qua HTTPS
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: [email protected]
ĐT: (08) 62.678.999 Fax: (08) 62.837.867
Khoa CNTT – MH/MĐ: Hệ thống an ninh mạng - firewall 62
STT BÀI HỌC NỘI DUNG THỰC HÀNH ỨNG DỤNG
THỰC TẾ
Giao diện Cisco Security Device Manager
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: [email protected]
ĐT: (08) 62.678.999 Fax: (08) 62.837.867
Khoa CNTT – MH/MĐ: Hệ thống an ninh mạng - firewall 63
STT BÀI HỌC NỘI DUNG THỰC HÀNH ỨNG DỤNG
THỰC TẾ
Trên menu Edit, ta chọn Preferences. Check vào box Preview commands before delivering to router và click OK.
SDM User Preferences
Bước 5: Sử dụng SDM IPS Rule Wizard
Trong SDM, chọn Configure -> IPS Rule Wizard , sau đó click Intrusion Prevention trên the Tasks toolbar,
and then click the Launch IPS Rule Wizard button.
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: [email protected]
ĐT: (08) 62.678.999 Fax: (08) 62.837.867
Khoa CNTT – MH/MĐ: Hệ thống an ninh mạng - firewall 64
STT BÀI HỌC NỘI DUNG THỰC HÀNH ỨNG DỤNG
THỰC TẾ
Launching the SDM IPS Wizard
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: [email protected]
ĐT: (08) 62.678.999 Fax: (08) 62.837.867
Khoa CNTT – MH/MĐ: Hệ thống an ninh mạng - firewall 65
STT BÀI HỌC NỘI DUNG THỰC HÀNH ỨNG DỤNG
THỰC TẾ
Hộp thoại nhắc nhở SDEE notification sẽ xuất hiện. SDEE là dịch vụ được sử dụng để ghi nhận các sự kiện bảo mật và kích hoạt cơ chế responses.
Notification của Enabling SDEE
Permission của Enabling SDEE
Login SDM dùng username và password khi cấu hình SDM lúc ban đầu.
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: [email protected]
ĐT: (08) 62.678.999 Fax: (08) 62.837.867
Khoa CNTT – MH/MĐ: Hệ thống an ninh mạng - firewall 66
STT BÀI HỌC NỘI DUNG THỰC HÀNH ỨNG DỤNG
THỰC TẾ
SDM Login to FW Router
Đọc trang welcome và click Next.
SDM IPS Wizard
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: [email protected]
ĐT: (08) 62.678.999 Fax: (08) 62.837.867
Khoa CNTT – MH/MĐ: Hệ thống an ninh mạng - firewall 67
STT BÀI HỌC NỘI DUNG THỰC HÀNH ỨNG DỤNG
THỰC TẾ
Cho inbound inspection, chọn checkbox cho interface UNTRUSTED, và click Next. Không chọn bất kỳ interface cho outbound inspection.
IPS Interface Selection
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: [email protected]
ĐT: (08) 62.678.999 Fax: (08) 62.837.867
Khoa CNTT – MH/MĐ: Hệ thống an ninh mạng - firewall 68
STT BÀI HỌC NỘI DUNG THỰC HÀNH ỨNG DỤNG
THỰC TẾ
Signature definition files (SDF) là các file chứa đựng các định nghĩa dấu hiệu xâm nhập trái phép. Trong
thực tế bạn nên sử dụng them chức năng Add SDF locations, ở trong bài tập này ta sẽ làm đơn giản hơn
bằng cách chọn load basic signatures có sẵn trong Cisco IOS. Click Next để tiếp tục.
SDF Locations
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: [email protected]
ĐT: (08) 62.678.999 Fax: (08) 62.837.867
Khoa CNTT – MH/MĐ: Hệ thống an ninh mạng - firewall 69
STT BÀI HỌC NỘI DUNG THỰC HÀNH ỨNG DỤNG
THỰC TẾ
Hộp thoại cảnh báo xuất hiện, ta chọn No
SDF File Detection
Sau k hi kiểm tra thay đổi SDM, ta click Finish để apply.
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: [email protected]
ĐT: (08) 62.678.999 Fax: (08) 62.837.867
Khoa CNTT – MH/MĐ: Hệ thống an ninh mạng - firewall 70
STT BÀI HỌC NỘI DUNG THỰC HÀNH ỨNG DỤNG
THỰC TẾ
IPS Summary
Kiểm tra các command mà SDM sẽ sử dụng trên và click Deliver
IPS Configuration Summary
Khi cấu hình được add, bạn có thể xem bất kỳ thông điệp được ghi lại trên FW. Đây chỉ là
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: [email protected]
ĐT: (08) 62.678.999 Fax: (08) 62.837.867
Khoa CNTT – MH/MĐ: Hệ thống an ninh mạng - firewall 71
STT BÀI HỌC NỘI DUNG THỰC HÀNH ỨNG DỤNG
THỰC TẾ
những thông điệp bình thường và chưa phải là cảnh báo.
FW#
*Feb 19 04:19:52.375: %IPS-6-BUILTIN_SIGS: Configured to load builtin signatures
*Feb 19 04:19:52.511: %IPS-6-SDF_LOAD_SUCCESS: SDF loaded successfully from builtin
*Feb 19 04:19:52.519: %IPS-6-ENGINE_BUILDING: OTHER - 3 signatures - 1 of 15 engines
*Feb 19 04:19:52.519: %IPS-6-ENGINE_READY: OTHER - 0 ms - packets for this
engine will be scanned
*Feb 19 04:19:52.519: %IPS-6-ENGINE_BUILDING: MULTI-STRING - 0 signatures - 2 of 15 engines
*Feb 19 04:19:52.519: %IPS-6-ENGINE_BUILD_SKIPPED: MULTI-STRING - there are no new signature
definitions for this engine
*Feb 19 04:19:52.519: %IPS-6-ENGINE_BUILDING: STRING.ICMP - 0 signatures - 3 of 15 engines
*Feb 19 04:19:52.519: %IPS-6-ENGINE_BUILD_SKIPPED: STRING.ICMP - there are no new signature
definitions for this engine
*Feb 19 04:19:52.519: %IPS-6-ENGINE_BUILDING: STRING.UDP - 1 signatures - 4 of
15 engines
*Feb 19 04:19:52.531: %IPS-6-ENGINE_READY: STRING.UDP - 12 ms - packets for this engine will be
scanned
*Feb 19 04:19:53.275: %IPS-6-ENGINE_READY: SERVICE.HTTP - 460 ms - packets for this engine will be
scanned
*Feb 19 04:19:53.275: %IPS-6-ENGINE_BUILDING: ATOMIC.TCP - 6 signatures - 11 of 15 engines
*Feb 19 04:19:53.279: %IPS-6-ENGINE_READY: ATOMIC.TCP - 4 ms - packets for this engine will be
scanned
*Feb 19 04:19:53.279: %IPS-6-ENGINE_BUILDING: ATOMIC.UDP - 7 signatures - 12 of 15 engines
*Feb 19 04:19:53.283: %IPS-6-ENGINE_READY: ATOMIC.UDP - 4 ms - packets for this engine will be
scanned
*Feb 19 04:19:53.283: %IPS-6-ENGINE_BUILDING: ATOMIC.ICMP - 14 signatures - 13 of 15 engines
*Feb 19 04:19:53.283: %IPS-7-UNSUPPORTED_PARAM: ATOMIC.ICMP 2000:0 IcmpType=0
- This parameter is not supported
*Feb 19 04:19:53.287: %IPS-6-ENGINE_READY: ATOMIC.ICMP - 4 ms - packets for this engine will be
scanned
*Feb 19 04:19:53.287: %IPS-6-ENGINE_BUILDING: ATOMIC.IPOPTIONS - 7 signatures
- 14 of 15 engines
*Feb 19 04:19:53.287: %IPS-6-ENGINE_READY: ATOMIC.IPOPTIONS - 0 ms - packets for this engine
will be scanned
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: [email protected]
ĐT: (08) 62.678.999 Fax: (08) 62.837.867
Khoa CNTT – MH/MĐ: Hệ thống an ninh mạng - firewall 72
STT BÀI HỌC NỘI DUNG THỰC HÀNH ỨNG DỤNG
THỰC TẾ
IPS Command Delivery Progress Indicator
Sau khi chọn OK, SDM sẽ hiển thị tab Edit IPS trên SDM.
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: [email protected]
ĐT: (08) 62.678.999 Fax: (08) 62.837.867
Khoa CNTT – MH/MĐ: Hệ thống an ninh mạng - firewall 73
STT BÀI HỌC NỘI DUNG THỰC HÀNH ỨNG DỤNG
THỰC TẾ
SDM Edit IPS Tab
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: [email protected]
ĐT: (08) 62.678.999 Fax: (08) 62.837.867
Khoa CNTT – MH/MĐ: Hệ thống an ninh mạng - firewall 74
STT BÀI HỌC NỘI DUNG THỰC HÀNH ỨNG DỤNG
THỰC TẾ
Bây giờ FW sẽ kiểm tra mỗi gói tin qua FW.với Interface Serial 0/0/1. Lưu ý là những gói tin khác sẽ không bị kiểm tra.
Bước 6: Kiểm tra và thay đổi IPS Behavior
Trên router UNTRUSTED, ping router TRUSTED với số lần lặp 100
UNTRUSTED# ping 192.168.12.1 repeat 100
Type escape sequence to abort.
Sending 100, 100-byte ICMP Echos to 192.168.12.1, timeout is 2 seconds:
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Success rate is 100 percent (100/100), round-trip min/avg/max = 28/29/32 ms
Ta xem thông điệp được ghi nhận tới console FW và thông điệp summary log
FW#
*Feb 19 06:55:05.603: %IPS-4-SIGNATURE: Sig:2004 Subsig:0 Sev:2 ICMP Echo Req
[192.168.23.3:0 -> 192.168.12.1:0]
*Feb 19 06:55:05.635: %IPS-4-SIGNATURE: Sig:2004 Subsig:0 Sev:2 ICMP Echo Req
[192.168.23.3:0 -> 192.168.12.1:0]
*Feb 19 06:55:05.663: %IPS-4-SIGNATURE: Sig:2004 Subsig:0 Sev:2 ICMP Echo Req
[192.168.23.3:0 -> 192.168.12.1:0]
*Feb 19 06:55:05.695: %IPS-4-SIGNATURE: Sig:2004 Subsig:0 Sev:2 ICMP Echo Req
[192.168.23.3:0 -> 192.168.12.1:0]
*Feb 19 06:55:05.723: %IPS-4-SIGNATURE: Sig:2004 Subsig:0 Sev:2 ICMP Echo Req
[192.168.23.3:0 -> 192.168.12.1:0]
*Feb 19 06:55:05.751: %IPS-4-SIGNATURE: Sig:2004 Subsig:0 Sev:2 ICMP Echo Req
[192.168.23.3:0 -> 192.168.12.1:0]
*Feb 19 06:55:05.783: %IPS-4-SIGNATURE: Sig:2004 Subsig:0 Sev:2 ICMP Echo Req
[192.168.23.3:0 -> 192.168.12.1:0]
*Feb 19 06:55:05.811: %IPS-4-SIGNATURE: Sig:2004 Subsig:0 Sev:2 ICMP Echo Req
[192.168.23.3:0 -> 192.168.12.1:0]
*Feb 19 06:55:05.843: %IPS-4-SIGNATURE: Sig:2004 Subsig:0 Sev:2 ICMP Echo Req
[192.168.23.3:0 -> 192.168.12.1:0]
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: [email protected]
ĐT: (08) 62.678.999 Fax: (08) 62.837.867
Khoa CNTT – MH/MĐ: Hệ thống an ninh mạng - firewall 75
STT BÀI HỌC NỘI DUNG THỰC HÀNH ỨNG DỤNG
THỰC TẾ
*Feb 19 06:55:05.871: %IPS-4-SIGNATURE: Sig:2004 Subsig:0 Sev:2 ICMP Echo Req
[192.168.23.3:0 -> 192.168.12.1:0]
*Feb 19 06:55:05.899: %IPS-4-SIGNATURE: Sig:2004 Subsig:0 Sev:2 ICMP Echo Req
[192.168.23.3:0 -> 192.168.12.1:0]
*Feb 19 06:55:05.931: %IPS-4-SIGNATURE: Sig:2004 Subsig:0 Sev:2 ICMP Echo Req
[192.168.23.3:0 -> 192.168.12.1:0]
*Feb 19 06:55:05.959: %IPS-4-SIGNATURE: Sig:2004 Subsig:0 Sev:2 ICMP Echo Req
[192.168.23.3:0 -> 192.168.12.1:0]
*Feb 19 06:55:05.991: %IPS-4-SIGNATURE: Sig:2004 Subsig:0 Sev:2 ICMP Echo Req
[192.168.23.3:0 -> 192.168.12.1:0]
*Feb 19 06:55:06.019: %IPS-4-SIGNATURE: Sig:2004 Subsig:0 Sev:2 ICMP Echo Req
[192.168.23.3:0 -> 192.168.12.1:0]
*Feb 19 06:55:06.047: %IPS-4-SIGNATURE: Sig:2004 Subsig:0 Sev:2 ICMP Echo Req
[192.168.23.3:0 -> 192.168.12.1:0]
*Feb 19 06:55:06.079: %IPS-4-SIGNATURE: Sig:2004 Subsig:0 Sev:2 ICMP Echo Req
[192.168.23.3:0 -> 192.168.12.1:0]
*Feb 19 06:55:06.107: %IPS-4-SIGNATURE: Sig:2004 Subsig:0 Sev:2 ICMP Echo Req
[192.168.23.3:0 -> 192.168.12.1:0]
*Feb 19 06:55:06.139: %IPS-4-SIGNATURE: Sig:2004 Subsig:0 Sev:2 ICMP Echo Req
[192.168.23.3:0 -> 192.168.12.1:0]
*Feb 19 06:55:06.167: %IPS-4-SIGNATURE: Sig:2004 Subsig:0 Sev:2 ICMP Echo Req
[192.168.23.3:0 -> 192.168.12.1:0]
*Feb 19 06:55:06.907: %IPS-4-SIGNATURE: Sig:2004 Subsig:0 Sev:2 ICMP Echo Req
[192.168.23.3:0 -> 192.168.12.1:0]
*Feb 19 06:55:06.935: %IPS-4-SIGNATURE: Sig:2004 Subsig:0 Sev:2 ICMP Echo Req
[192.168.23.3:0 -> 192.168.12.1:0]
*Feb 19 06:55:06.967: %IPS-4-SIGNATURE: Sig:2004 Subsig:0 Sev:2 ICMP Echo Req
[192.168.23.3:0 -> 192.168.12.1:0]
*Feb 19 06:55:06.995: %IPS-4-SIGNATURE: Sig:2004 Subsig:0 Sev:2 ICMP Echo Req
[192.168.23.3:0 -> 192.168.12.1:0]
*Feb 19 06:55:07.023: %IPS-4-SIGNATURE: Sig:2004 Subsig:0 Sev:2 ICMP Echo Req
[192.168.23.3:0 -> 192.168.12.1:0]
*Feb 19 06:55:07.055: %IPS-4-SIGNATURE: Sig:2004 Subsig:0 Sev:2 ICMP Echo Req
[192.168.23.3:0 -> 192.168.12.1:0]
*Feb 19 06:55:07.083: %IPS-4-SIGNATURE: Sig:2004 Subsig:0 Sev:2 ICMP Echo Req
[192.168.23.3:0 -> 192.168.12.1:0]
*Feb 19 06:55:07.115: %IPS-4-SIGNATURE: Sig:2004 Subsig:0 Sev:2 ICMP Echo Req
[192.168.23.3:0 -> 192.168.12.1:0]
*Feb 19 06:55:07.143: %IPS-4-SIGNATURE: Sig:2004 Subsig:0 Sev:2 ICMP Echo Req
[192.168.23.3:0 -> 192.168.12.1:0]
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: [email protected]
ĐT: (08) 62.678.999 Fax: (08) 62.837.867
Khoa CNTT – MH/MĐ: Hệ thống an ninh mạng - firewall 76
STT BÀI HỌC NỘI DUNG THỰC HÀNH ỨNG DỤNG
THỰC TẾ
*Feb 19 06:55:07.171: %IPS-4-SIGNATURE: Sig:2004 Subsig:0 Sev:2 ICMP Echo Req
[192.168.23.3:0 -> 192.168.12.1:0]
*Feb 19 06:55:07.883: %IPS-4-SIGNATURE: Sig:2004 Subsig:0 Sev:2 ICMP Echo Req
[192.168.23.3:0 -> 192.168.12.1:0]
*Feb 19 06:55:07.915: %IPS-4-SIGNATURE: Sig:2004 Subsig:0 Sev:2 ICMP Echo Req
[192.168.23.3:0 -> 192.168.12.1:0]
*Feb 19 06:55:07.943: %IPS-4-SIGNATURE: Sig:2004 Subsig:0 Sev:2 ICMP Echo Req
[192.168.23.3:0 -> 192.168.12.1:0]
*Feb 19 06:55:07.971: %IPS-4-SIGNATURE: Sig:2004 Subsig:0 Sev:2 ICMP Echo Req
[192.168.23.3:0 -> 192.168.12.1:0]
*Feb 19 06:55:08.003: %IPS-4-SIGNATURE: Sig:2004 Subsig:0 Sev:2 ICMP Echo Req
[192.168.23.3:0 -> 192.168.12.1:0]
*Feb 19 06:55:08.031: %IPS-4-SIGNATURE: Sig:2004 Subsig:0 Sev:2 ICMP Echo Req
[192.168.23.3:0 -> 192.168.12.1:0]
*Feb 19 06:55:08.063: %IPS-4-SIGNATURE: Sig:2004 Subsig:0 Sev:2 ICMP Echo Req
[192.168.23.3:0 -> 192.168.12.1:0]
*Feb 19 06:55:08.091: %IPS-4-SIGNATURE: Sig:2004 Subsig:0 Sev:2 ICMP Echo Req
[192.168.23.3:0 -> 192.168.12.1:0]
*Feb 19 06:55:08.119: %IPS-4-SIGNATURE: Sig:2004 Subsig:0 Sev:2 ICMP Echo Req
[192.168.23.3:0 -> 192.168.12.1:0]
*Feb 19 06:55:08.151: %IPS-4-SIGNATURE: Sig:2004 Subsig:0 Sev:2 ICMP Echo Req
[192.168.23.3:0 -> 192.168.12.1:0] FW#
*Feb 19 06:55:35.603: %IPS-4-SIG_SUMMARY: Sig:2004 Subsig:0 Global Summary:
100 alarms in this interval
Signature số 2004 được phát hiện là dùng ICMP attack. Để vô hiệu hóa signature này tao chọn Signatures
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: [email protected]
ĐT: (08) 62.678.999 Fax: (08) 62.837.867
Khoa CNTT – MH/MĐ: Hệ thống an ninh mạng - firewall 77
STT BÀI HỌC NỘI DUNG THỰC HÀNH ỨNG DỤNG
THỰC TẾ
Edit IPS Signatures Tab
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: [email protected]
ĐT: (08) 62.678.999 Fax: (08) 62.837.867
Khoa CNTT – MH/MĐ: Hệ thống an ninh mạng - firewall 78
STT BÀI HỌC NỘI DUNG THỰC HÀNH ỨNG DỤNG
THỰC TẾ
Chọn Service > General Service trên cây signature. Tìm và chọn signature 2004 trong list. Sau đó ta
disable signature này.
Figure 6-2: IPS ICMP Echo Request Signature, Currently Enable
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: [email protected]
ĐT: (08) 62.678.999 Fax: (08) 62.837.867
Khoa CNTT – MH/MĐ: Hệ thống an ninh mạng - firewall 79
STT BÀI HỌC NỘI DUNG THỰC HÀNH ỨNG DỤNG
THỰC TẾ
The Enabled column should change its icon to reflect that it is now disabled. Click the Apply Changes button to deliver the changes to the router.
IPS ICMP Echo Request Signature đã được Disabled
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: [email protected]
ĐT: (08) 62.678.999 Fax: (08) 62.837.867
Khoa CNTT – MH/MĐ: Hệ thống an ninh mạng - firewall 80
STT BÀI HỌC NỘI DUNG THỰC HÀNH ỨNG DỤNG
THỰC TẾ
Quá trình cập nhật SDF mới trên router.
IPS Signature Delivery Status
Lưu ý: ta có thể xóa các SDF trong CLI bằng cách sử dụng privileged EXEC command delete flash:sdmips.sdf.
Tiếp tục chọn Deliver
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: [email protected]
ĐT: (08) 62.678.999 Fax: (08) 62.837.867
Khoa CNTT – MH/MĐ: Hệ thống an ninh mạng - firewall 81
STT BÀI HỌC NỘI DUNG THỰC HÀNH ỨNG DỤNG
THỰC TẾ
IPS Configuration Command Delivery Notification
Click OK avà xem các thong điệp log của IPS engine trên FW.
Command Delivery Progress Box
Lúc này khi ta thực hiện ping từ router UNTRUSTED tới router TRUSTED, thong điệp log sẽ không còn ghi nhận sự kiện.
UNTRUSTED# ping 192.168.12.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.12.1, timeout is 2 seconds:
!!!!!
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: [email protected]
ĐT: (08) 62.678.999 Fax: (08) 62.837.867
Khoa CNTT – MH/MĐ: Hệ thống an ninh mạng - firewall 82
STT BÀI HỌC NỘI DUNG THỰC HÀNH ỨNG DỤNG
THỰC TẾ
Success rate is 100 percent (5/5), round-trip min/avg/max = 28/29/32 ms
Vậy ta thấy rằng việc disable 1 signature có thể làm IPS không phát hiện ra các trạng thái xâm nhập.
Trên FW, gõ lệnh show ip ips all để xem các thông số cấu hình IPS.
FW# show ip ips all
Configured SDF Locations:
flash://sdmips.sdf
Builtin signatures are enabled and loaded
Last successful SDF load time: 08:01:10 UTC Feb 19 2007
IPS fail closed is disabled Fastpath ips is
enabled Quick run mode is enabled
Event notification through syslog is enabled Event notification
through SDEE is enabled Total Active Signatures: 132
Total Inactive Signatures: 0
Signature 1107:0 disable
Signature 2004:0 disable
IPS Rule Configuration
IPS name sdm_ips_rule Interface
Configuration Interface Serial0/0/1
Inbound IPS rule is sdm_ips_rule
Outgoing IPS rule is not set
FW#
Lưu ý: Nếu ta muốn xóa cấu hình IPS, ta dùng lệnh delete flash:sdmips.sdf trong privileged EXEC mode.
Cách add a Signature
SDM cho phép ta tạo các custom IPS signature. Trong bài tập này, ta sẽ tạo 1 signature để dò tìm các chuỗi trong nội dung Telnet, nếu phát hiện hệ thống sẽ tự động ngắt kết nối.
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: [email protected]
ĐT: (08) 62.678.999 Fax: (08) 62.837.867
Khoa CNTT – MH/MĐ: Hệ thống an ninh mạng - firewall 83
STT BÀI HỌC NỘI DUNG THỰC HÀNH ỨNG DỤNG
THỰC TẾ
Chọn All Categories level của cây signature, chọn Engine trong list View By, sau đó chọn STRING.TCP trong list Engine. Tiếp tục chọn Add icon
IPS STRING.TCP Signatures
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: [email protected]
ĐT: (08) 62.678.999 Fax: (08) 62.837.867
Khoa CNTT – MH/MĐ: Hệ thống an ninh mạng - firewall 84
STT BÀI HỌC NỘI DUNG THỰC HÀNH ỨNG DỤNG
THỰC TẾ
IPS Add Signature Configuration Dialog
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: [email protected]
ĐT: (08) 62.678.999 Fax: (08) 62.837.867
Khoa CNTT – MH/MĐ: Hệ thống an ninh mạng - firewall 85
STT BÀI HỌC NỘI DUNG THỰC HÀNH ỨNG DỤNG
THỰC TẾ
Figure 7-3: IPS Add Signature Regular Expression
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: [email protected]
ĐT: (08) 62.678.999 Fax: (08) 62.837.867
Khoa CNTT – MH/MĐ: Hệ thống an ninh mạng - firewall 86
STT BÀI HỌC NỘI DUNG THỰC HÀNH ỨNG DỤNG
THỰC TẾ
Sauk hi signature mới xất hiện trong signature list cho STRING.TCP engine, click Apply Changes.
IPS STRING.TCP Signatures, với New Signature
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: [email protected]
ĐT: (08) 62.678.999 Fax: (08) 62.837.867
Khoa CNTT – MH/MĐ: Hệ thống an ninh mạng - firewall 87
STT BÀI HỌC NỘI DUNG THỰC HÀNH ỨNG DỤNG
THỰC TẾ
SDM sẽ cập nhật SDM với signature mới.
IPS Signature Delivery Status
Signature mới đã được apply đến IPS.Các gói tin đi qua interface of Serial 0/0/1 sẽ được kiểm tra bởi IPS để phát hiện các tín hiệu xâm nhập.
IPS STRING.TCP Signatures, với Changes Applied
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: [email protected]
ĐT: (08) 62.678.999 Fax: (08) 62.837.867
Khoa CNTT – MH/MĐ: Hệ thống an ninh mạng - firewall 88
STT BÀI HỌC NỘI DUNG THỰC HÀNH ỨNG DỤNG
THỰC TẾ
Từ router UNTRUSTED, telnet tới rourer TRUSTED và gõ 1 chuỗi, ví dụ “CCNP”. Khi bạn vừa gõ xong chữ P thì IPS sẽ lập tức đóng session Telnet.
UNTRUSTED# telnet 192.168.12.1
Trying 192.168.12.1 ... Open
User Access Verification
Password: TRUSTED> CCN
[Connection to 192.168.12.1 closed by foreign host] UNTRUSTED# telnet
192.168.12.1
Trying 192.168.12.1 ... Open
User Access Verification
Password: TRUSTED> CCCN
[Connection to 192.168.12.1 closed by foreign host] UNTRUSTED#
Sự kiện được ghi nhận trên FW.
FW#
*Feb 19 08:01:38.847: %IPS-4-SIGNATURE: Sig:20000 Subsig:0 Sev:4 CCNP_ATTACK [192.168.23.3:33186
-> 192.168.12.1:23]
FW#
*Feb 19 08:01:50.175: %IPS-4-SIGNATURE: Sig:20000 Subsig:0 Sev:4 CCNP_ATTACK [192.168.23.3:60904
-> 192.168.12.1:23]
Cấu hình hoàn thành
TRUSTED# show run
hostname TRUSTED
!
interface FastEthernet0/0
ip address 192.168.12.1 255.255.255.0 no shutdown
!
ip route 0.0.0.0 0.0.0.0 192.168.12.2
!
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: [email protected]
ĐT: (08) 62.678.999 Fax: (08) 62.837.867
Khoa CNTT – MH/MĐ: Hệ thống an ninh mạng - firewall 89
STT BÀI HỌC NỘI DUNG THỰC HÀNH ỨNG DỤNG
THỰC TẾ
line vty 0 4 password cisco login
end
FW# show run
hostname FW
!
ip ips sdf location flash://sdmips.sdf ip ips notify SDEE
ip ips name sdm_ips_rule
!
crypto pki trustpoint TP-self-signed-3043721146 enrollment
selfsigned
subject-name cn=IOS-Self-Signed-Certificate-3043721146 revocation-check
none
rsakeypair TP-self-signed-3043721146
!
crypto pki certificate chain TP-self-signed-3043721146 certificate self-
signed 01
3082023A 308201A3 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
69666963 6174652D 33303433 37323131 3436301E 170D3037 30323139 30373435
35365A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D33 30343337
32313134 3630819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
8100B33E 12B524DF 69D1AD2F D55A1A8C 3F6E45A5 1595DDFA C8FB946B 1EE7449C
57BF61A2 5960CD54 816BFE11 411DFCDD DA159B9B 8CD34EA3 C92F0EE9 3B0251D8
F341689D CDCC9A90 28E813BF 9555BE16 F6C6FE03 2E68E3E9 64924766 4264C47E
939856EF 783FDE31 3DAB36EE 85D27B91 BF9EBC24 20854694 8ACDAD8A 955B77CF
014B0203 010001A3 62306030 0F060355 1D130101 FF040530 030101FF 300D0603
551D1104 06300482 02465730 1F060355 1D230418 30168014 BE06B151 CE3642B2
335FAC80 62110167 3FA5E761 301D0603 551D0E04 160414BE 06B151CE 3642B233
5FAC8062 1101673F A5E76130 0D06092A 864886F7 0D010104 05000381 810035BB
291CFD03 B6B65C69 96922357 4A1E19F6 B81D2533 E58FE0CE E73CC6D2 B610F5E1
08F10391 9303BCEE 3D587635 DE4546D6 AC86A980 B6412DF2 1FA73933 8BEEDAF2
5A6A4D25 E4B1F88E 2C41F2CD A2FE72D3 0DC048CC A7EBC057 C238E46D 4C848298
67059914 5D8743B1 E287C470 1EFB7CE0 98A833F4 D22E641D 4C3C0C05 E360 quit
username ciscosdm privilege 15 password 0 ciscosdm
!
interface FastEthernet0/0
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: [email protected]
ĐT: (08) 62.678.999 Fax: (08) 62.837.867
Khoa CNTT – MH/MĐ: Hệ thống an ninh mạng - firewall 90
STT BÀI HỌC NỘI DUNG THỰC HÀNH ỨNG DỤNG
THỰC TẾ
ip address 192.168.12.2 255.255.255.0 ip virtual-
reassembly
no shutdown
!
interface Serial0/0/1
ip address 192.168.23.2 255.255.255.0 ip ips sdm_ips_rule
in
ip virtual-reassembly clock rate 64000
no shutdown
!
ip http server
ip http authentication local ip http secure-
server
!
line vty 0 4 login local
end
UNTRUSTED# show run
hostname UNTRUSTED
!
interface Serial0/0/1
ip address 192.168.23.3 255.255.255.0
no shutdown
!
ip route 0.0.0.0 0.0.0.0 192.168.23.2 end
Sinh viên ghi tóm tắt quá trình thực hiện:…………………………………………………………………………………………………….
…..……………………………………………………………………………………………………………………………………………………………
Tình huống 2: Tìm hiểu và sử dụng Snort để giám sát hệ thống
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: [email protected]
ĐT: (08) 62.678.999 Fax: (08) 62.837.867
Khoa CNTT – MH/MĐ: Hệ thống an ninh mạng - firewall 91
STT BÀI HỌC NỘI DUNG THỰC HÀNH ỨNG DỤNG
THỰC TẾ
Mô tả nội dung: Sử dụng Snort trên Windows
Yêu cầu thực hiện: Cài đặt và cấu hình Snort trên Windows để giám sát hệ thống
Hướng dẫn thực hiện “step by step”:
CÀI ĐẶT SNORT NIDS TRÊN WINDOWS 2K/XP/2K3
1.Download Snort:
Download Snort ở trang web www.Snort.org
Trang chủ www.snort.org
Chọn thư mục binaries/ và thư mục tương ứng chứa Snort trên hệ điều hành windows
hay linux. Ở đây chúng ta triển khai Snort trên hệ thống Windows nên sẽ chọn win32/
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: [email protected]
ĐT: (08) 62.678.999 Fax: (08) 62.837.867
Khoa CNTT – MH/MĐ: Hệ thống an ninh mạng - firewall 92
STT BÀI HỌC NỘI DUNG THỰC HÀNH ỨNG DỤNG
THỰC TẾ
Sau đó hãy trở ra trang chủ và chọn RULES => DOWNLOAD RULES và tải về tập các quy
tắc (rule) mới nhất.
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: [email protected]
ĐT: (08) 62.678.999 Fax: (08) 62.837.867
Khoa CNTT – MH/MĐ: Hệ thống an ninh mạng - firewall 93
STT BÀI HỌC NỘI DUNG THỰC HÀNH ỨNG DỤNG
THỰC TẾ
Bây giờ ta đã có thể tiến hành cài đặt Snort trên hệ thống Windows Server 2k3 hay
Windows XP Pro.
2. Cài Đặt Snort:
Ta có thể tải winpcap từ www.iltiloi.com và Snort từ trang web www.Snort.org và chọn
bản cài trên Windows.Trước và cài luôn WinPcap khi được yêu cầu để bảo đảm tính tương
thích giữa winpcap và Snort.
Sau đó click vào tập tin chương trình Snort_Installer để bắt đầu tiến trình cài đặt. Trên
màn hình Installation Options có các cơ chế lưu trữ log file theo cơ sở dữ liệu SQL hay
Oracle, ta chỉ lưu trữ log trong Event Log nên sẽ chọn tùy chọn đầu tiên là “I do not plan
to log to a database, or I am planing to log to one of the databse listed above”
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: [email protected]
ĐT: (08) 62.678.999 Fax: (08) 62.837.867
Khoa CNTT – MH/MĐ: Hệ thống an ninh mạng - firewall 94
STT BÀI HỌC NỘI DUNG THỰC HÀNH ỨNG DỤNG
THỰC TẾ
Sau khi đã cài đặt Snort chúng ta cần phải thiết lập các tham số quan trọng như HOME_NET và
PATH_RULE mới có thể khởi động Snort và thực hiện các công việc tiếp theo. Đây là bước
thường làm cho quá trình cài đặt và sử dụng Snort bị lỗi do khai báo sai.
Lấy ví dụ, chúng ta triển khai Snort trên lớp mạng C với dãy địa chỉ 192.168.1.0/24, ta mở tập
tin snort.conf trong thư mục C:\Snort\etc\ và tìm đến các biến HOME_NET và thiết lập như sau:
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: [email protected]
ĐT: (08) 62.678.999 Fax: (08) 62.837.867
Khoa CNTT – MH/MĐ: Hệ thống an ninh mạng - firewall 95
STT BÀI HỌC NỘI DUNG THỰC HÀNH ỨNG DỤNG
THỰC TẾ
Tiếp theo hãy khai báo đường dẫn đến nơi chứa các quy tắc snort rules và đặt
RULE_PATH C:\Snort\rules
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: [email protected]
ĐT: (08) 62.678.999 Fax: (08) 62.837.867
Khoa CNTT – MH/MĐ: Hệ thống an ninh mạng - firewall 96
STT BÀI HỌC NỘI DUNG THỰC HÀNH ỨNG DỤNG
THỰC TẾ
Khai báo các biến include classification.config và reference.config như hình dưới (sữa
thành include C:\Snort\etc\classification.config và C:\Snort\etc\reference.config
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: [email protected]
ĐT: (08) 62.678.999 Fax: (08) 62.837.867
Khoa CNTT – MH/MĐ: Hệ thống an ninh mạng - firewall 97
STT BÀI HỌC NỘI DUNG THỰC HÀNH ỨNG DỤNG
THỰC TẾ
Bây giờ ta có thể copy các rule được tạo sẳn (download từ net).Lưu ý chọn đúng phiên
bản snort được triển khai), hãy giải nén và copy thư mục rules vào thư mục cài đặt Snort
trên ổ C:\Snort
Copy thư mục rules vào C:\Snort. Như vậy quá trình chuẩn bị đã hoàn tất
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: [email protected]
ĐT: (08) 62.678.999 Fax: (08) 62.837.867
Khoa CNTT – MH/MĐ: Hệ thống an ninh mạng - firewall 98
STT BÀI HỌC NỘI DUNG THỰC HÀNH ỨNG DỤNG
THỰC TẾ
3. SỬ DỤNG SNORT :
Sử Dụng Snort Để Sniffer Packet:
Để tiến hành sniffer ta cần chọn card mạng để snort đặt vào chế độ
promicous, nếu máy tính có nhiều card hãy sử lệnh snort –W để xác định:
Kết quả của snort –W cho chúng a xác định số hiệu card mạng
Vậy card mạng có số hiệu là 4 Các bạn có thể chạy lệnh snort –h ta sẽ
thấy để tiến hành sniffer packet dùng lệnh snort –v –ix (với x là số hiệu
của card mạng)
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: [email protected]
ĐT: (08) 62.678.999 Fax: (08) 62.837.867
Khoa CNTT – MH/MĐ: Hệ thống an ninh mạng - firewall 99
STT BÀI HỌC NỘI DUNG THỰC HÀNH ỨNG DỤNG
THỰC TẾ
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: [email protected]
ĐT: (08) 62.678.999 Fax: (08) 62.837.867
Khoa CNTT – MH/MĐ: Hệ thống an ninh mạng - firewall 100
STT BÀI HỌC NỘI DUNG THỰC HÀNH ỨNG DỤNG
THỰC TẾ
Cú pháp dòng lệnh sử dụng snort và các tùy chọn C:\Snort\bin\snort –v –i4
Với tùy chọn –v snort chỉ hiển thị IP và TCP/UDP/ICMP header, nếu muốn
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: [email protected]
ĐT: (08) 62.678.999 Fax: (08) 62.837.867
Khoa CNTT – MH/MĐ: Hệ thống an ninh mạng - firewall 101
STT BÀI HỌC NỘI DUNG THỰC HÀNH ỨNG DỤNG
THỰC TẾ
xem kết quả truyền thông của các ứng dụng hãy sử dụng tùy chọ -vd: C:\Snort\bin\snort –vd –i4
Để hiển thị thêm các header của gói tin tại tầng Data Link hãy sử dụng
dòng lệnh: C:\Snort\bin\snort –vde –i4
Sau khi chạy dòng lệnh trên hãy mở cũa sổ mới và thử ping
http://kmasecurity.net rồi quan sát giao diện snort chúng ta sẽ thấy các
tín hiệu như hình sau:
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: [email protected]
ĐT: (08) 62.678.999 Fax: (08) 62.837.867
Khoa CNTT – MH/MĐ: Hệ thống an ninh mạng - firewall 102
STT BÀI HỌC NỘI DUNG THỰC HÀNH ỨNG DỤNG
THỰC TẾ
Để dừng tiến trình sniffing hãy nhấn tổ hợp phím Ctrl-C, Snort sẽ trình bày bản
tóm tắt các gói tin bị bắt giữ theo từng giao thức như UDP, ICMP …
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: [email protected]
ĐT: (08) 62.678.999 Fax: (08) 62.837.867
Khoa CNTT – MH/MĐ: Hệ thống an ninh mạng - firewall 103
STT BÀI HỌC NỘI DUNG THỰC HÀNH ỨNG DỤNG
THỰC TẾ
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: [email protected]
ĐT: (08) 62.678.999 Fax: (08) 62.837.867
Khoa CNTT – MH/MĐ: Hệ thống an ninh mạng - firewall 104
STT BÀI HỌC NỘI DUNG THỰC HÀNH ỨNG DỤNG
THỰC TẾ
Như vậy ta đã tiến hành cài đặt và cấu hình snort để tiến hành bắt giữ các
gói tin, xem nội dung của chúng nhưng vẫn chưa biến snort thực sự trở
thành 1 hệ thống IDS – dò tìm xâm phạm trái phép. Vì một hệ thống như
vậy cần có các quy tắc (rule) cùng những hành động cảnh báo cho quản trị
hệ thống khi xảy ra sự trùng khớp của những quy tắc này. Trong phần tiếp
theo,chúng ta sẽ tiến hành cấu hình để xây dựng 1 network IDS với Snort.
Sử Dụng Snort Ở Chế Độ Network IDS:
Tất cả những hành động của Snort IDS đều họat động thông qua các rule,
vì vậy chúng ta cần phải tạo mới hay chỉnh sữa những rule đã được tạo
sẳn. Ở đây chúng ta sẽ tham khảo cả hai trường hợp này. Đầu tiên, các
bạn hãy tham khảo dòng lệnh sau để áp dụng Snort ở NIDS:
C:\Snort\bin\snort -dev -l \snort\log -c snort.conf
trong dòng lệnh này có một tùy chọn mới là –c với giá trị là snort.conf.
chúng ta đã biết snort.conf được lưu trữ trong thư mục C:\Snort\etc chứa
các thông số điều khiển và cấu hình Snort như các biến HOME_NET xác
định lớp mạng, biến RULE_PATH xác định đường dẫn đến nơi chứa các quy
tắc để Snort áp dụng.
Về các rule thì các bạn có thể tự tạo rule cho mình hoặc download các rule
trên mạng.
Để thuận tiện hơn trong quá trình quản lý và vận hành Snort Netwrok IDS
ta có thể cài đặt ứng dụng IDS Center, một ứng dụng miễn phí dùng để
quản lý và vận hành snort rất hiệu quả.
Chạy file setup.exe
Trên màn hình tiếp theo click Next
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: [email protected]
ĐT: (08) 62.678.999 Fax: (08) 62.837.867
Khoa CNTT – MH/MĐ: Hệ thống an ninh mạng - firewall 105
STT BÀI HỌC NỘI DUNG THỰC HÀNH ỨNG DỤNG
THỰC TẾ
3.Chọn Yes trên màn hình License Agreement để chấp nhận các quy định:
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: [email protected]
ĐT: (08) 62.678.999 Fax: (08) 62.837.867
Khoa CNTT – MH/MĐ: Hệ thống an ninh mạng - firewall 106
STT BÀI HỌC NỘI DUNG THỰC HÀNH ỨNG DỤNG
THỰC TẾ
4.Chọn thư mục cài đặt với giá trị mặc định là C:\Program Files\IDScenter và nhấn Next :
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: [email protected]
ĐT: (08) 62.678.999 Fax: (08) 62.837.867
Khoa CNTT – MH/MĐ: Hệ thống an ninh mạng - firewall 107
STT BÀI HỌC NỘI DUNG THỰC HÀNH ỨNG DỤNG
THỰC TẾ
Sau đó chọn các giá trị mặc định và hòan tất tiến trinh cài đặt
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: [email protected]
ĐT: (08) 62.678.999 Fax: (08) 62.837.867
Khoa CNTT – MH/MĐ: Hệ thống an ninh mạng - firewall 108
STT BÀI HỌC NỘI DUNG THỰC HÀNH ỨNG DỤNG
THỰC TẾ
Giao diện chính của chương trình:
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: [email protected]
ĐT: (08) 62.678.999 Fax: (08) 62.837.867
Khoa CNTT – MH/MĐ: Hệ thống an ninh mạng - firewall 109
STT BÀI HỌC NỘI DUNG THỰC HÀNH ỨNG DỤNG
THỰC TẾ
Sinh viên ghi tóm tắt quá trình thực hiện:…………………………………………………………………………………………………….
…..……………………………………………………………………………………………………………………………………………………………
Điểm đánh giá:………………………………………...GVHD ký tên:…………………………………………………………………….…………
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: [email protected]
ĐT: (08) 62.678.999 Fax: (08) 62.837.867
Khoa CNTT – MH/MĐ: Hệ thống an ninh mạng - firewall 110
STT BÀI HỌC NỘI DUNG THỰC HÀNH ỨNG DỤNG
THỰC TẾ
1
BÀI HỌC 4
Kỹ năng đạt
được
Triển khai cấu
hình Site-to-Site
IPSec VPN.
Triển khai cấu
hình Easy VPN
Server.
Triển khai cấu
hình Cisco VPN
Client.
BÀI TẬP 01
Tình huống 1
Mô tả nội dung : Công ty bạn có nhiều chi nhánh và bạn muốn kết nối giữa các chi nhánh với nhau. Xây dựng mô hình kết nối
dùng VPN IPSec giữa các chi nhánh với trung tâm hoặc các phòng ban đặt xa nhau trong một tổ chức thông qua mạng của nhà
cung cấp dịch vụ ISP.
Yêu cầu thực hiện : Hình thành đường hầm bảo mật IPSec giữa Site1 và Site2 để đảm bảo an toàn cho dữ liệu khi truyền qua các
mạng công cộng
Hướng dẫn thực hiện “step by step” :
Chuẩn bị mô hình giống như hình vẽ : gồm 3 Router
Router 1 : Site 1 , Router 2 : Site 2 , Router 3 : ISP
BƯỚC 1 : ĐẶT ĐỊA CHỈ IP CHO CÁC ROUTER :
…
…
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: [email protected]
ĐT: (08) 62.678.999 Fax: (08) 62.837.867
Khoa CNTT – MH/MĐ: Hệ thống an ninh mạng - firewall 111
STT BÀI HỌC NỘI DUNG THỰC HÀNH ỨNG DỤNG
THỰC TẾ
Đặt địa chỉ ip cho Site1 như mô hình :
Đổi tên Site 1 :
Router>
Router>enable
Router#config terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#hostname SITE1
Đặt địa chỉ IP cho Site 1 :
SITE1(config)#interface fastethernet 1/0
SITE1(config-if)#ip add 10.10.10.1 255.255.255.0
SITE1(config-if)#no shutdown
SITE1(config)#interfac loopback 0
SITE1(config-if)#ip add 192.168.1.1 255.255.255.0
SITE1(config-if)#no shutdown
Kiểm tra địa chỉ ip :
SITE1#show ip interface brief
FastEthernet1/0 10.10.10.1 YES manual up up
Loopback0 192.168.1.1 YES manual up up
Tương tự như vậy đặt địa chỉ IP cho router : ISP và SITE2 như hinh vẽ
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: [email protected]
ĐT: (08) 62.678.999 Fax: (08) 62.837.867
Khoa CNTT – MH/MĐ: Hệ thống an ninh mạng - firewall 112
STT BÀI HỌC NỘI DUNG THỰC HÀNH ỨNG DỤNG
THỰC TẾ
BƯỚC 2 : CẤU HÌNH STATIC ROUTE CHO SITE1 VÀ SITE2 ĐƯỜNG MẠNG : 10.10.10.0 & 10.10.11.0
Trên Site1 :
SITE1(config)#ip route 0.0.0.0 0.0.0.0 fastethernet 1/0
Làm tương tự như vậy đối với Site2 và kiểm tra kết quả kết nối giữa 2 Site :
SITE2#ping 10.10.10.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.10.10.1, timeout is 2 seconds:
!!!!!
TẠO ACCESS CONTROL LIST XÁC ĐỊNH SUBNET ĐƯỢC BẢO MẬT :
Trên Site1 :
SITE1(config)#access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.10.0 0.0.0.255
Cấu hinh ACCESS CONTROL tương tự như vậy đối với Site2 : đổi lại vị tri các đường mạng cho phù hợp
BƯỚC 3 : CẤU HÌNH IPSEC-VPN
Tạo IKE Phase 1
Trên route 1 : Tạo IKE Phase 1
SITE1(config)#crypto isakmp policy 1
SITE1(config-isakmp)#authentication pre-share
SITE1(config-isakmp)#encryption des
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: [email protected]
ĐT: (08) 62.678.999 Fax: (08) 62.837.867
Khoa CNTT – MH/MĐ: Hệ thống an ninh mạng - firewall 113
STT BÀI HỌC NỘI DUNG THỰC HÀNH ỨNG DỤNG
THỰC TẾ
SITE1(config-isakmp)#group 2
Tiếp theo khởi tạo khóa chung :
SITE1(config)#crypto isakmp key 123456 add 10.10.11.1
Trên route 2 : Tạo IKE Phase 1
Vì cấu hình giữa 2 Site đòi hỏi sự giống nhau hoàn toàn về các thông số nên có thể tham chiếu các câu lệnh này cho Site2, chỉ có
phần địa chỉ là xét cho Site1.
SITE2(config)#crypto isakmp key 123456 add 10.10.10.1
Tạo IKE Phase 2
Trên route 1 :
SITE1(config)#crypto ipsec transform-set detai ah-md5-hmac esp-des
SITE1(config)#crypto map vpn 10 ipsec-isakmp
% NOTE: This new crypto map will remain disabled until a peer
and a valid access list have been configured.
SITE1(config-crypto-map)#set peer 10.10.11.1
SITE1(config-crypto-map)#set transform-set detai
SITE1(config-crypto-map)#match address 101
Trên router 2 :
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: [email protected]
ĐT: (08) 62.678.999 Fax: (08) 62.837.867
Khoa CNTT – MH/MĐ: Hệ thống an ninh mạng - firewall 114
STT BÀI HỌC NỘI DUNG THỰC HÀNH ỨNG DỤNG
THỰC TẾ
SITE2(config)#crypto ipsec transform-set detai ah-md5-hmac esp-des
SITE2(config)#crypto map vpn 10 ipsec-isakmp
SITE2(config-crypto-map)#set peer 10.10.10.1
SITE2(config-crypto-map)#set tran detai
SITE2(config-crypto-map)#match add 101
SITE2(config-crypto-map)#exit
Và cuối cùng : Áp dụng Crypto map cho interface dùng để tạo tunnel :
SITE1(config)#interface f1/0
SITE1(config-if)#cry
SITE1(config-if)#crypto map vpn
SITE2(config)#INTERFACE f1/0
SITE2(config-if)#cryp
SITE2(config-if)#crypto map vpn
BƯỚC 4 : KIỂM TRA KẾT NỐI IPSEC VPN SITE - TO - SITE
PING giữa hai SITE :
SITE1#ping 192.168.10.1 source 192.168.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.10.1, timeout is 2 seconds:
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: [email protected]
ĐT: (08) 62.678.999 Fax: (08) 62.837.867
Khoa CNTT – MH/MĐ: Hệ thống an ninh mạng - firewall 115
STT BÀI HỌC NỘI DUNG THỰC HÀNH ỨNG DỤNG
THỰC TẾ
Packet sent with a source address of 192.168.1.1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 8/53/96 ms
Kết nối thành công !!!!
PING không dùng địa chỉ source :
SITE1#ping 192.168.10.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.10.1, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)
Kết nối không được : Chỉ có các mạng được kết nối VPN mới thấy được bằng dải địa chỉ IP khi cấu hình Access Control List
KIỂM TRA THÔNG SỐ ISAKMP :
TRÊN SITE 1 :
SITE1#show crypto isakmp policy
Global IKE policy
Protection suite of priority 1
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: [email protected]
ĐT: (08) 62.678.999 Fax: (08) 62.837.867
Khoa CNTT – MH/MĐ: Hệ thống an ninh mạng - firewall 116
STT BÀI HỌC NỘI DUNG THỰC HÀNH ỨNG DỤNG
THỰC TẾ
encryption algorithm: DES - Data Encryption Standard (56 bit keys).
hash algorithm: Message Digest 5
authentication method: Pre-Shared Key
Diffie-Hellman group: #2 (1024 bit)
lifetime: 86400 seconds, no volume limit
Default protection suite
encryption algorithm: DES - Data Encryption Standard (56 bit keys).
hash algorithm: Secure Hash Standard
authentication method: Rivest-Shamir-Adleman Signature
Diffie-Hellman group: #1 (768 bit)
lifetime: 86400 seconds, no volume limi
TRÊN SITE 2 :
SITE2#show crypto isakmp policy
Global IKE policy
Protection suite of priority 1
encryption algorithm: DES - Data Encryption Standard (56 bit keys).
hash algorithm: Message Digest 5
authentication method: Pre-Shared Key
Diffie-Hellman group: #2 (1024 bit)
lifetime: 86400 seconds, no volume limit
Default protection suite
encryption algorithm: DES - Data Encryption Standard (56 bit keys).
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: [email protected]
ĐT: (08) 62.678.999 Fax: (08) 62.837.867
Khoa CNTT – MH/MĐ: Hệ thống an ninh mạng - firewall 117
STT BÀI HỌC NỘI DUNG THỰC HÀNH ỨNG DỤNG
THỰC TẾ
hash algorithm: Secure Hash Standard
authentication method: Rivest-Shamir-Adleman Signature
Diffie-Hellman group: #1 (768 bit)
lifetime: 86400 seconds, no volume limit
CÁC THÔNG SỐ GIỐNG NHAU .HOÀN THÀNH KẾT NỐI IPSEC – VPN SITE – TO – SITE !!!!!
Tình huống 2
Mô tả nội dung : Công ty có các thành viên làm việc di động ở bên ngoài công ty có nhu cầu kết nối để truy cập các dữ liệu một
cách bảo mật, hay những nhân viên làm việc tại nhà. Những nhân viện này có thể thông qua ISP kết nối về Site và làm việc, chia sẻ
cũng như nhận dữ liệu như khi có mặt tại công ty. Thực hiện mô hình kết nối Easy VPN sử dụng SDM.
…
…
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: [email protected]
ĐT: (08) 62.678.999 Fax: (08) 62.837.867
Khoa CNTT – MH/MĐ: Hệ thống an ninh mạng - firewall 118
STT BÀI HỌC NỘI DUNG THỰC HÀNH ỨNG DỤNG
THỰC TẾ
Yêu cầu thực hiện : Các nhân viên đi làm việc bên ngoài có thể kết nối vào hệ thống công ty , đảm bảo tính bảo mật khi kết nối
Gợi ý thực hiện : Chuẩn bị mô hình giống như hinh trên : Với 2 Router và cài đặt phần mềm SDM
Thực hiện theo từng bước như sau :
BƯỚC 1 : CẤU HÌNH ĐỊA CHỈ IP THEO NHƯ MÔ HÌNH :
Cấu hinh địa chỉ IP cho các Interface trên ISP và VPNServer, định tuyến default route cho VPNSERVER trên interface fastEthernet
1/0 .Phần cấu hinh tương tự đã làm ở mô hình trên
Trên ISP đặt địa chỉ IP :
ISP#show ip interface brief
FastEthernet1/0 12.1.1.1 YES manual up up
FastEthernet1/1 10.1.1.1 YES manual up up
Trên VPNSERVER đặt địa chỉ IP :
VPNSERVER#show ip int bri
FastEthernet1/0 12.1.1.2 YES manual up up
FastEthernet1/1 11.1.1.1 YES manual up up
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: [email protected]
ĐT: (08) 62.678.999 Fax: (08) 62.837.867
Khoa CNTT – MH/MĐ: Hệ thống an ninh mạng - firewall 119
STT BÀI HỌC NỘI DUNG THỰC HÀNH ỨNG DỤNG
THỰC TẾ
Định tuyến Default route cho VPNSERVER :
VPNSERVER(config)#ip route 0.0.0.0 0.0.0.0 fastethernet 1/0
BƯỚC 2 : CẤU HÌNH VPNSERVER CÓ THỂ GIAO TIẾP VỚI ROUTER BẰNG SDM :
Bật chức năng http và https của Router (SDM cho phép lực chọn giữa http và https), Router sẽ tự sinh ra khóa RSA 1024 bit để mã
hóa đồng thời việc xác thực này sẽ được thực hiện nội bộ, không có sự tham gia của bên thứ 3
VPNSERVER(config)#ip http server
VPNSERVER(config)#ip http secure-server
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
VPNSERVER(config)#ip http authentication local
VPNSERVER(config)#line vty 0 4
VPNSERVER(config-line)#login local
VPNSERVER(config-line)#privilege level 15
VPNSERVER(config-line)#transport input telnet
VPNSERVER(config-line)#transport input telnet ssh
VPNSERVER(config-line)#exit
Tạo username
VPNSERVER(config)#username ispace privilege 15 pass ispace
BƯỚC 3 : CẤU HÌNH EASY VPN TRÊN SDM :
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: [email protected]
ĐT: (08) 62.678.999 Fax: (08) 62.837.867
Khoa CNTT – MH/MĐ: Hệ thống an ninh mạng - firewall 120
STT BÀI HỌC NỘI DUNG THỰC HÀNH ỨNG DỤNG
THỰC TẾ
Sử dụng 2 card ảo : VMNet 1 và VMNet 8 để kết nối SDM với Router . Trên máy thật có thể tạo những Card Loopback……
Khởi động giao diện SDM, nhập vào địa chỉ VPNServer, click Launch để khởi tạo kết nối.
Giao diện khởi động kết nối SDM
SDM sẽ tự khởi động trình duyệt Web mặc định trên máy tính yêu cầu nhập username và password xác thực với Router. Nhập
username và password đã tạo trong Router
Username : ispace
Password : ispace
click OK.
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: [email protected]
ĐT: (08) 62.678.999 Fax: (08) 62.837.867
Khoa CNTT – MH/MĐ: Hệ thống an ninh mạng - firewall 121
STT BÀI HỌC NỘI DUNG THỰC HÀNH ỨNG DỤNG
THỰC TẾ
Sau khi đăng nhập, SDM sẽ lấy thông số Router cho hiển thị lên màn hình làm việc chinh như trên, người sử dụng có thể quan sát
thấy dòng sản phẩm, bộ nhớ…và nhiều hơn thế. Tại đây, click Configure ở thanh công cụ phía trên, sau đó chọn Tab VPN, click vào
Easy VPN Server
Do việc cấu hinh Easy VPN Server đòi hỏi Router chạy ở chế độ AAA (Authentication, Authorization, Accounting – Chế độ xác thực,
giới hạn quyền và theo dõi người sử dụng), click Enable AAA và chờ SDM khởi động AAA model tại Router. Tiếp theo click Launch
Easy VPN Server Wizard để thực hiện các bước chính cấu hình VPN Server.
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: [email protected]
ĐT: (08) 62.678.999 Fax: (08) 62.837.867
Khoa CNTT – MH/MĐ: Hệ thống an ninh mạng - firewall 122
STT BÀI HỌC NỘI DUNG THỰC HÀNH ỨNG DỤNG
THỰC TẾ
Xác định interface thực hiện VPN Server và chọn chế độ xác thực :
Chính sách ISAKMP (ISAKMP policy) có thể sử dụng mặc định của SDM cũng có thể click Add để tạo chính sách riêng của người
quản trị về thuật toán mã hóa, độ ưu tiên, thuật toán băm., thuật toán xác thực, và chiều dài khóa…click OK để hoàn tất việc tạo
policy. Cuối cùng click Next.
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: [email protected]
ĐT: (08) 62.678.999 Fax: (08) 62.837.867
Khoa CNTT – MH/MĐ: Hệ thống an ninh mạng - firewall 123
STT BÀI HỌC NỘI DUNG THỰC HÀNH ỨNG DỤNG
THỰC TẾ
Quá trình tạo Tranform-set diễn ra tương tự như tạo ISAKMP policy với các tùy chọn cho phép. Tạo xong click OK và Next
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: [email protected]
ĐT: (08) 62.678.999 Fax: (08) 62.837.867
Khoa CNTT – MH/MĐ: Hệ thống an ninh mạng - firewall 124
STT BÀI HỌC NỘI DUNG THỰC HÀNH ỨNG DỤNG
THỰC TẾ
Xác định chính sách bảo mật cho một nhóm người truy cập VPN Server
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: [email protected]
ĐT: (08) 62.678.999 Fax: (08) 62.837.867
Khoa CNTT – MH/MĐ: Hệ thống an ninh mạng - firewall 125
STT BÀI HỌC NỘI DUNG THỰC HÀNH ỨNG DỤNG
THỰC TẾ
Chọn xác thực người dùng và tim kiếm xác thực ngay trên Router
Người quản trị cũng có thể tạo thêm username và password trong phần Add User Credentials.
Click Add và SDM sẽ cung cấp cho người quản trị một cửa sổ nhiều Tab. Tab để xác định nhóm, mã xác thực cho nhóm (dùng để
chứng thực VPN) dải địa chỉ sẽ cung cấp cho người dùng cùng nhiều tùy chọn khác. Ngoài việc này, Router của Cisco cũng hỗ trợ
tab Split Tunneling trong SDM, click Add để thêm ACL, OK để hoàn thành.
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: [email protected]
ĐT: (08) 62.678.999 Fax: (08) 62.837.867
Khoa CNTT – MH/MĐ: Hệ thống an ninh mạng - firewall 126
STT BÀI HỌC NỘI DUNG THỰC HÀNH ỨNG DỤNG
THỰC TẾ
Tạo ACL trong Split Tunneling
Sau khi cấu hinh xong các bước, SDM cho phép người quản trị xem lại các thông tin cấu hình, sau khi click OK, SDM sẽ tiến hành
đưa cấu hinh vào Router dưới dạng dòng lệnh, sau đó tiến hành kiểm tra lại cấu hinh mà người quản trị đã tạo có hợp lệ, có sai sót
không. Click Finish.
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: [email protected]
ĐT: (08) 62.678.999 Fax: (08) 62.837.867
Khoa CNTT – MH/MĐ: Hệ thống an ninh mạng - firewall 127
STT BÀI HỌC NỘI DUNG THỰC HÀNH ỨNG DỤNG
THỰC TẾ
Hoàn tất quá trình kiểm tra
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: [email protected]
ĐT: (08) 62.678.999 Fax: (08) 62.837.867
Khoa CNTT – MH/MĐ: Hệ thống an ninh mạng - firewall 128
STT BÀI HỌC NỘI DUNG THỰC HÀNH ỨNG DỤNG
THỰC TẾ
Disable NIC VMNet8 (NIC kết nối với 11.1.1.1 để cấu hình VPNServer).
Bây giờ tại Client, thực hiện chạy Cisco VPN Client.
Giao diện chinh của Cisco VPN Client
Tại giao diện chinh click New để tạo một kết nối VPN tới VPN Server, nhập vào các thông tin đã khởi tạo tại VPN Server. Click Save
để lưu thông tin, sau đó click đôi vào dòng thông tin vừa tạo để thực hiện kết nối.
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: [email protected]
ĐT: (08) 62.678.999 Fax: (08) 62.837.867
Khoa CNTT – MH/MĐ: Hệ thống an ninh mạng - firewall 129
STT BÀI HỌC NỘI DUNG THỰC HÀNH ỨNG DỤNG
THỰC TẾ
Khi Client kết nối được tới Server, Server sẽ yêu cầu xác thực, nhập username và password đã cấu hình từ trước. Click OK.
Sau khi thiết lập kết nối thành công, NIC sẽ được cấp một địa chỉ nằm trong dải địa chỉ của VPN Server. Lúc này Client sẽ sử dụng
như các PC trong mang LAN của VPN Server.
HOÀN TẤT CẤU HÌNH EASY VPN !!!!
Sinh viên ghi tóm tắt quá trình thực hiện:…………………………………………………………………………………………………..
………………………………………………………………………………………………………………………………………………………………
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: [email protected]
ĐT: (08) 62.678.999 Fax: (08) 62.837.867
Khoa CNTT – MH/MĐ: Hệ thống an ninh mạng - firewall 130
STT BÀI HỌC NỘI DUNG THỰC HÀNH ỨNG DỤNG
THỰC TẾ
ĐÁNH GIÁ KẾT QUẢ THỰC HÀNH CUỐI MH/MĐ: Điểm trung bình:………….. (Đạt: >=5) GV ký tên:………………………………..
........................., Ngày ... tháng ... năm ...................
Giảng viên giảng dạy