FIT - Xay Dung He Thong an Ninh Mang - Firewall

TRƯỜNG CAO ĐẲNG NGHỀ iSPACE 240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM Website: www.ispace.edu.vn Email: [email protected]

ĐT: (08) 62.678.999 Fax: (08) 62.837.867

Khoa CNTT – MH/MĐ: Hệ thống an ninh mạng - firewall 1

KHOA CÔNG NGHỆ THÔNG TIN

BỘ MÔN KỸ THUẬT MẠNG – TRUYỀN THÔNG

Trưởng BM: NGUYỄN VĂN TIẾN

Giảng viên biên soạn: TRẦN ĐỨC MINH

VÕ TRẦN TRỌNG NGHĨA

TRẦN TRUNG KIÊN

MÔN HỌC/MÔĐUN: XÂY DỰNG HỆ THỐNG AN NINH MẠNG - FIREWALL

STT BÀI HỌC NỘI DUNG THỰC HÀNH ỨNG DỤNG

THỰC TẾ

1

BÀI HỌC 1

Kỹ năng đạt

được

Tắt các dịch vụ

mạng và các

Interface không

sử dụng.

Bảo mật truy

cập quản trị và

cài đặt Cisco

Router.

Giảm mối đe

BÀI TẬP 01

Tình huống 1

Mô tả nội dung: Anh/Chị là IT Administrator của công ty Thành Công. Trưởng phòng IT yêu cầu bạn xác định các rủi ro và mối

đoe doạ đối với hệ thống mạng của công ty.

Yêu cầu thực hiện:

Cài đặt một số phần mềm giám sát hoạt động của hệ thống

Download các phần mềm : Blues’s PortScanner , wireshark, Microsoft Baseline Security Analyzer, Nmap

Tìm hiểu sử dụng các tinh năng cơ bản.

Lập bảng báo cáo phân tich các nguy cơ bảo mật gặp phải của hệ thống.

ThưƲ c hiêƲ n:

Download http://www.securityconfig.com/software/specializedscanners/blues_port_scanner.html

…

…


ĐT: (08) 62.678.999 Fax: (08) 62.837.867



THỰC TẾ

dọa và tấn công

với ACL .

Bảo mật cho

tinh năng

Management và

Reporting.

Cấu hình AAA

trên Cisco

Router.

....................................................................................................................................................................................................

....................................................................................................................................................................................................

....................................................................................................................................................................................................

Download http://www.wireshark.org/download.html


ĐT: (08) 62.678.999 Fax: (08) 62.837.867



THỰC TẾ

....................................................................................................................................................................................................

....................................................................................................................................................................................................

....................................................................................................................................................................................................

Microsoft Baseline Security Analyzer


ĐT: (08) 62.678.999 Fax: (08) 62.837.867



THỰC TẾ

Nmap


ĐT: (08) 62.678.999 Fax: (08) 62.837.867



THỰC TẾ

……………………………………………………………………………………………………………………………………………..............................

………………………………………………………………………………………………………………………………………………………………………….

Tình huống 2:

Mô tả nội dung : Sử dụng SDM cấu hình Router giúp đơn giản hóa cấu hình và bảo mật thông qua trình thuật thông minh giúp

nhanh chóng và dễ dàng triển khai, cấu hình, và theo dõi một bộ định tuyến Cisco mà không đòi hỏi kiến thức của CLI

Mô hinh:

…

…


ĐT: (08) 62.678.999 Fax: (08) 62.837.867



THỰC TẾ


Cài đặt SDM trên máy tính Admin

Câƴu hi Ƴnh caƴc thông sôƴ cho caƴc interface vaƳ caƴc câƴu hi Ƴnh cơ baƱ n cho caƴc router .

Dùng SDM cấu hình Autosecure : One-step lockdown

Hướng dẫn thực hiện:

Cài đặt SDM trên máy tính Admin (tự thực hiện)

Cấu hình các thông số cơ bản:

o Cấu hinh router interface như sau

Router(config)# Interface FastEthernet 0/0:

Router(config-if)# ip address 192.168.10.1 255.255.255.0

Router(config-if)# no shutdown

Router(config-if)#exit

Router(Config)# ip http server

o Khởi động SDM nhập vào địa chỉ 192.168.10.1


ĐT: (08) 62.678.999 Fax: (08) 62.837.867



THỰC TẾ

o Xuất hiện cửa sổ chính.


ĐT: (08) 62.678.999 Fax: (08) 62.837.867



THỰC TẾ

Dùng SDM cấu hình Autosecure : One-step lockdown

o Phải chắc chắn rằng dòng Preview commands before delivering to router phải được check, và click OK

o Trên màn hình chính ta nhấp vào icon Config sau đó trên thanh Tasks Toolbar click vào biểu tượng Security

Audit , Click vào nút One-step lockdown

o Chọn Yes khi xuất hiện cửa sổ


ĐT: (08) 62.678.999 Fax: (08) 62.837.867



THỰC TẾ

o Sau khi phân tich , SDM đưa ra danh sách làm thay đổi cấu hình router của bạn, Click nút Deliver để SDM thêm

chúng vào Router của bạn.


ĐT: (08) 62.678.999 Fax: (08) 62.837.867



THỰC TẾ

o Trước khi thêm chúng vào thì sẽ xuất hiện cửa sổ cho chúng ta xem những lệnh đã được cấu hình mà SDM dự kiến

sẽ thực hiện

o Nhấp vào Deliver và OK là hoàn tất

Tình huống 3

Mô tả nội dung: Anh/Chị là nhân viên triển khai mạng của công ty Thành Công. Anh/chị đang triển khai thiết bị Cisco Router cho

công ty. Để tăng cường bảo mật cho thiết bị anh/chị cần tắt các dịch vụ không cần thiết mặc định đang hoạt động trên thiết bị.

Mô hinh logic:

…

…


ĐT: (08) 62.678.999 Fax: (08) 62.837.867



THỰC TẾ


Xác định và tắt các dịch vụ không cần thiết và không bảo mật trên Router

Hướng dẫn thực hiện “step by step”

Thiêƴt lâƲ p mô hi Ƴnh logic chỉ cần 1 router

Câƴu hi Ƴnh điƲ a chiƱ caƴc interface

Câƴu hi Ƴnh trên router R1:

o R1(config)#interface fastethernet 0/0

o R1(config-if)#ip addresss 192.168.10.1 255.255.255.0

o R1(config-if)#no shutdown

o R1(config-if)#no keepalive

Chắc chắn rằng các dịch vụ đã được tắt

o Một vài dịch vụ mặc định đã được tắt trên các phiên bản Cisco IOS gần đây , vi thế không nhất thiết chúng ta phải tắt

chúng . Tuy nhiên chúng ta cần biết về các lệnh để hỗ trợ khi chúng ta đang sử dụng những phiên bản đã cũ.


ĐT: (08) 62.678.999 Fax: (08) 62.837.867



THỰC TẾ

Lệnh no ip finger thay thế cho lệnh no service finger cả hai đểu vô hiệu hoá dịch vụ finger , cho phép

người dùng từ xa hoặc các hệ thống xác định người sử dụng kết nối với router hoặc những người đang

chạy tiến trình .

R1(config)# no ip finger

Tắt dịch vụ TCP và UDP small server : TCP and UDP small servers được kích hoạt ở các phiên bản Cisco IOS

11.2 và chúng bị tắt ở phiên bản 11.3 trở về sau, Khuyến cáo là không nên mở các dịch vụ này trừ những

trường hợp thật sự cần thiết vì các dịch vụ này có thể được khai thác gián tiếp để lấy thông tin về hệ

thống hoặc khai thác trực tiếp với một cuộc tấn công fraggle . Ngoài ra nếu gửi nhiều yêu cầu giả cho dịch

vụ UDP có thể tiêu thu tất các tài nguyên của CPU.

R1(config)# no service udp-small-servers

R1(config)# no service tcp-small-servers

Quản lý truy nhập Router : Các ứng dụng quản lý như telnet va ssh kết nối vào các cổng vty trên router.

Một router cisco có 5 cổng vty được đánh số từ 0 đến 4 truy cập vào giao diện dòng lệnh. Nếu tất cả các

cổng đều đang sử dụng người dùng không thể kết nối vào thiết bị. Kích hoạt TCP keep alives cho phép

phát hiện và huỷ các kết nối telnet bị hỏng , điều này giúp giải phóng các phiên telnet , làm cho router an

toàn hơn ngăn chặn các hacker khai thác telnet session

R1(config)# service tcp-keepalives-in

R1(config)# service tcp-keepalives-out

Disable CDP : CDP được sử dụng cho một số chức năng quản lý mạng nhưng nguy hiểm bởi vì nó cho phép

bất kì hệ thống trên một đoạn mạng kết nối trực tiếp để tìm hiểu rằng router là thiết bị Cisco, và để xác

định số mô hình và các Cisco IOS phiên bản phần mềm đang chạy . Thông tin này có thể được sử dụng để

thiết kế các cuộc tấn công chống lại router .

R1(config)# no cdp run

Tắt các dịch vụ khác chưa sử dụng

Packet assembler/disassembler (PAD) là dịch vụ dịch từ các gói tin sang ký tự dòng không cần dịch

vụ này ở hầu hết các mạng IP


ĐT: (08) 62.678.999 Fax: (08) 62.837.867



THỰC TẾ

R1(config)# no service pad

Các dịch vụ BOOTP được sử dụng trong các mạng tập trung triển khai phần mềm, các router có thể

tải hệ điều hành từ một router khác . Tuy nhiên các dịch vụ BOOTP ít khi sử dụng và sẽ cho hacker

một cơ hội ăn cắp Cisco IOS image. Do đó chúng ta phải vô hiệu hóa.

R1 (config) # no ip BOOTP server

Vô hiệu hoá ip http server : Các Cisco IOS gần đây đều có phát hành HTTP để hỗ trợ cho việc cấu hình từ

xa và giám sát , nhưng đây là sự lựa chọn tương đối nguy hiểm cho việc quản lý router trên mạng internet

R1 (config) # no ip http server

o Vô hiệu hóa các dịch vụ không cần thiết trên interface

Lệnh no ip redirect sẽ vô hiệu hoá việc chuyển hướng ip vì thế các router sẽ không chuyển các gói thông

điệp ICMP ra .

R1(config)# interface fastethernet0/0

R1(config-if)# no ip redirects

Lệnh no ip proxy-arp sẽ vô hiệu hoá tinh năng proxy ARP có nghĩa là router sẽ không trả lời gói tin ARP

request để trả về địa chỉ MAC

R1(config-if)# no ip proxy-arp

Lệnh no ip unreachables sẽ ngăn không cho router gửi gói tin ICMP thông báo không thể kết nối , Thông

thường đây là những tiện ích cho việc xử lý sự cố , tuy nhiên chúng cũng có thể tham gia vào quá trình

trinh sát .

R1(config-if)# no ip unreachables

Kiểm tra lại những thao tác đã thực hiện.

R1#show run

Tình huống 4

Mô tả nội dung: Anh/Chị là nhân viên triển khai mạng của công ty Thành Công. Anh/chị đang triển khai thiết bị Cisco Router cho

…

…


ĐT: (08) 62.678.999 Fax: (08) 62.837.867



THỰC TẾ

công ty.


Cải tiến cấu hinh đăng nhập Cisco IOS

Chiều dài mật khẩu tối thiểu

Sửa đổi lệnh cấp đặc quyền

Cấu hình một banner

Cấu hình router sử dụng SSH

Kích hoạt tinh năng mã hoá mật khẩu.

Cấu hình AAA trên Router Cisco


Chuẩn bị : Cấu hình các Interface


R1(config-if)# ip address 192.168.10.1 255.255.255.0

R1(config-if)# no shutdown





ĐT: (08) 62.678.999 Fax: (08) 62.837.867



THỰC TẾ

o Từ R2 telnet đến R1

R2# telnet 192.168.10.1

Trying 192.168.10.1 ... Open

Password required, but none set

[Connection to 192.168.10.1 closed by foreign host]

R2#

o R1 chấp nhận các kết nối telnet đến nhưng sau đó kết thúc bởi vì không có mật khẩu được thiết lập, điều này có

thể thiết lập chứng thực bằng user địa phương hoặc lựa chọn cấu hình giao tiếp đến một máy chủ RADIUS hoặc

TACACS +cho các dịch vụ AAA.

o Tạo Username và password

R1(config)# username cisco password cisco

o Cấu hình virtual teletype terminal (VTY)

R1(config)# line vty 0 4

R1(config-line)# login local

o Từ R2 telnet đến R1

R2# telnet 192.168.10.1

Trying 192.168.10.1 ... Open

User Access Verification

Username: cisco

Password: cisco

o Thiết lập password privileged exec mode

R1(config)# enable secret cisco

o Từ R2 telnet R1

R2# telnet 192.168.10.1


ĐT: (08) 62.678.999 Fax: (08) 62.837.867



THỰC TẾ

Trying 192.168.10.1 ... Open


Username: cisco

Password: cisco

R1> enable

Password: cisco

R1# exit

Cải tiến cấu hinh đăng nhập Cisco IOS

o Xem lại quá trinh đăng nhập.

R1# show login

No login delay has been applied.

No Quiet-Mode access list has been configured.

Router NOT enabled to watch for login Attacks

o Cấu hình R1 ngăn chặn tất cả đăng nhập sau 30giây sau nổ lực đăng nhập lần thứ 1 và 15 giây cho lần thứ 2 trở

đi

R1(config)# login block-for 30 attempts 2 within 15

o Dùng R2 để kiểm tra lại


ĐT: (08) 62.678.999 Fax: (08) 62.837.867



THỰC TẾ

o Khi Router đạt đến giới hạn đăng nhập sẽ vào chế độ Quiet , tuy nhiên ta vẫn có thể cấu hình cho phép một số

server đáng tin cậy truy cập vào router trong chế độ Quiet

R1(config)# login quiet-mode access-class 1

R1(config)# access-list 1 permit 192.168.20.0 0.0.0.255

o Cấu hình chậm trễ giữa những lần đăng nhập(mặc định 1giây).


ĐT: (08) 62.678.999 Fax: (08) 62.837.867



THỰC TẾ

R1(config)# login delay 3

R1(config)# login on-failure log

o Sử dụng R2 telnet đến R1 đăng nhập thất bại.Quan sát sự chậm trễ , sau đó dung R1 để kiểm tra lại quá trình

đăng nhập.

Cấu hình chiều dài tối thiểu của mật khẩu

o Thiết lập độ dài tố thiểu là 8 kí tự

R1(config)# security passwords min-length 8

R1(config)# username cisco2 password cis

% Password too short - must be at least 8 characters. Password configuration

failed

R1(config)# username cisco2 password ciscocisco

R1(config)# no username cisco2 password ciscocisco


ĐT: (08) 62.678.999 Fax: (08) 62.837.867



THỰC TẾ

R1(config)# no security passwords min-length 8

Sửa đổi lệnh cấp đặc quyền.

o Xem đặc quyền cấp mấy chế độ User .

R1> show privilege

Current privilege level is 1

o Xem đặc quyền cấp mấy chế độ Privilege .

R1> enable

Password: cisco

R1# show privilege


o Thiết lập password cho đặc quyền cấp 5 là “cisco5”

R1(config)# enable secret level 5 cisco5

R1> enable 5

Password: cisco5

R1# show privilege


o Thiết lập lệnh cho privilege cấp 5

R1(config)# privilege exec level 5 configure terminal

R1(config)# privilege configure level 5 interface

R1(config)# privilege interface level 5 shutdown

Thiết lập Banner

o Tạo Banner


ĐT: (08) 62.678.999 Fax: (08) 62.837.867



THỰC TẾ

Telnet đến R2

Cấu hình Router sử dụng SSH

o Thiết lập domain name “cisco.com”

R1(config)# ip domain-name cisco.com

o Tạo ra các khoá mã hoá rsa


ĐT: (08) 62.678.999 Fax: (08) 62.837.867



THỰC TẾ

o Xem lại mã khoá rsa

o Cấu hình line vty chỉ cho phép kết nối ssh

R1(config)# line vty 0 4

R1(config-line)# transport input ssh

o Trên R2 kết nối ssh đến R1


ĐT: (08) 62.678.999 Fax: (08) 62.837.867



THỰC TẾ

Mã hoá password

o Trước khi mã hoá

R1# show running-config | include username

username cisco password 0 cisco

o Sau khi mã hoá

R1(config)# service password-encryption

R1# show running-config | include username

username cisco password 7 070C285F4D06

Cấu hình AAA trên Router Cisco

R1(config)# username cisco password cisco

R1(config)# aaa new-model

R1(config)# aaa authentication login default local

Kiểm tra lại cấu hình.


ĐT: (08) 62.678.999 Fax: (08) 62.837.867



THỰC TẾ

o R1# show run

Tình huống 5: Cấu hình NTP

Anh/Chị là nhân viên triển khai mạng của công ty Thành Công. Anh/chị đang triển khai thiết bị Cisco Router cho công ty. Mô hi Ƴnh

mạng của công ty như sau:


Câƴu hi Ƴnh router như một NTP master server


ĐT: (08) 62.678.999 Fax: (08) 62.837.867



THỰC TẾ

Cấu hình NTP server trên một router

Cấu hình một NTP peer

Hướng dẫn thực hiện “step by step”:

o Câƴu hi Ƴnh các interface trên R1:

R1(config)# interface serial0/0/0


R1(config-if)# clockrate 64000


o Cấu hình các interface trên R2:




R2(config-if)# interface serial0/0/1


R2(config-if)# clockrate 64000





o Cài đặt NTP master

R1# show clock

*07:20:19.267 UTC Mon Feb 12 2007

R1# clock set 07:20:30 feb 12 2007


ĐT: (08) 62.678.999 Fax: (08) 62.837.867



THỰC TẾ

R1#

*Feb 12 07:20:30.000: %SYS-6-CLOCKUPDATE: System clock has been updated from

07:20:39 UTC Mon Feb 12 2007 to 07:20:30 UTC Mon Feb 12 2007, configured from

console by console.

R1(config)# ntp master 5

o Cấu hình NTP Client

R2(config)# ntp server 192.168.12.1

R2# show ntp associations

address ref clock st when poll reach delay offset disp

Điểm đánh giá:………………………………………...GVHD ký tên:…………………………………………………………………….…………


ĐT: (08) 62.678.999 Fax: (08) 62.837.867



THỰC TẾ

1

BÀI HỌC 2

Kỹ năng đạt

được

Triển khai cấu

hình Cisco IOS

Firewall.

Cấu hình Cisco

IOS Firewall:

Basic và

Advanced

Firewall bằng

CLI và Wizard.

BÀI TẬP 02

Tình huống 1: Cấu hình Cisco IOS Firewall bằng CLI

Mô tả nội dung : Cấu hình Cisco IOS Firewall với 3 interface

Yêu cầu thực hiện : cấu hình Cisco IOS Firewall 3 interface dùng CLI

Hướng dẫn thực hiện “step by step” :

Cấu hình:

Router#show run

…

…


ĐT: (08) 62.678.999 Fax: (08) 62.837.867



THỰC TẾ

!

interface FastEthernet0/0

ip inspect OUTSIDE in

ip access-group OUTSIDEACL in

!


ip inspect INSIDE in

ip access-group INSIDEACL in

!


ip access-group DMZACL in

!

ip inspect name INSIDE tcp

ip inspect name OUTSIDE tcp

!

ip access-list extended OUTSIDEACL

permit tcp any host 200.1.2.1 eq 25

permit tcp any host 200.1.2.2 eq 80

permit icmp any any packet-too-big

deny ip any any log

!

ip access-list extended INSIDEACL

permit tcp any any eq 80



ĐT: (08) 62.678.999 Fax: (08) 62.837.867



THỰC TẾ

deny ip any any log

!

ip access-list extended DMZACL


deny ip any any log

Tình huống 2: Cấu hình Cisco IOS Firewall dùng SDM

Mô tả nội dung: Sử dụng router Cisco để cấu hình làm Firewall cho hệ thống mạng.

Yêu cầu thực hiện: Cấu hình Firewall để kiểm soát và giám sát traffic ra vào hệ thống. Mô hỉnh cụ thể như sau:

…

…


ĐT: (08) 62.678.999 Fax: (08) 62.837.867



THỰC TẾ

Hướng dẫn thực hiện “step by step”: cấu hình theo các bước sau:

Bước 1: Cấu hình Interface Loopback và vật lý

Cấu hình interface loopback với địa chỉ trong mô hình.

INSIDE(config)# interface loopback0

INSIDE(config-if)# ip address 10.1.1.1 255.255.255.0

INSIDE(config-if)# interface fastethernet0/0

INSIDE(config-if)# ip address 10.1.12.1 255.255.255.0

INSIDE(config-if)# no shutdown

FW(config)# interface loopback0

FW(config-if)# ip address 172.16.2.1 255.255.255.0

FW(config-if)# interface fastethernet0/0

FW(config-if)# ip address 10.l.12.2 255.255.255.0

FW(config-if)# no shutdown

FW(config-if)# interface serial0/0/1


FW(config-if)# clockrate 64000


ISP(config)# interface loopback0

ISP(config-if)# ip address 192.168.3.1 255.255.255.0

ISP(config-if)# interface serial0/0/1

ISP(config-if)# ip address 192.168.23.3 255.255.255.0

ISP(config-if)# no shutdown

Bước 2: Cấu hình giao thức định tuyến

Network 10.0.0.0/8 là internal network Network giữa FW và ISP được route với nhau. Interface loopback trên FW router là interface trong vùng DMZ. Cấu hình EIGRP cho AS1 trên INSIDE và FW.


ĐT: (08) 62.678.999 Fax: (08) 62.837.867



THỰC TẾ

INSIDE(config)# router eigrp 1

INSIDE(config-router)# no auto-summary

INSIDE(config-router)# network 10.0.0.0

FW(config)# router eigrp 1

FW(config-router)# no auto-summary

FW(config-router)# network 10.0.0.0

FW(config-router)# network 172.16.0.0

FW(config-router)# passive-interface loopback0

Xác định mục đích và chức năng cũa firewall.

Bước 3: Cấu hình static route để kết nối Internet

FW(config)# ip route 0.0.0.0 0.0.0.0 192.168.23.3

FW(config)# router eigrp 1

FW(config-router)# redistribute static

Trên ISP, tạo static route để kết nối với mạng đích. Lưu ý network 172.16.0.0 là DMZ, 10.0.0.0 là internal.

ISP(config)# ip route 10.0.0.0 255.0.0.0 192.168.23.2

ISP(config)# ip route 172.16.0.0 255.255.0.0 192.168.23.2

Kiểm tra kết nối từ ISP đến khách hàng ISP# ping 10.1.1.1

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 10.1.1.1, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 112/112/112 ms

Bước 4: Kết nối FW sử dụng SDM


ĐT: (08) 62.678.999 Fax: (08) 62.837.867



THỰC TẾ

Cấu hình SSH và kết nối SDM qua HTTPs.

FW(config)# username ciscosdm privilege 15 password ciscosdm

FW(config)# ip http secure-server FW(config)# ip http

authentication local FW(config)# line vty 0 4

FW(config-line)# transport input telnet ssh

Kết nối FW sử dụng SDM.


ĐT: (08) 62.678.999 Fax: (08) 62.837.867



THỰC TẾ

Giao diện của Cisco Security Device Manager

Chọn Edit - > Preferences. Đảm bảo rằng mục Preview commands before delivering to router được check trước khi tiếp tục ok.

SDM User Preferences

Bước 5: Sử dụng SDM Advanced Firewall Wizard

Trongn SDM, khởi động mục Advanced Firewall Wizard bằng cách click Configure trên đầu tooolbar và Firewall and ACL.

Trên tab Create Firewall, chọn choose Advanced Firewall, và chọn Launch the selected task.


ĐT: (08) 62.678.999 Fax: (08) 62.837.867



THỰC TẾ

SDM Create Firewall Tab

Đọc thong tin của Advanced Firewall Configuration Wizard và click Next.


ĐT: (08) 62.678.999 Fax: (08) 62.837.867



THỰC TẾ

SDM Advanced Firewall Configuration Wizard

Chọn interface outside kết nối đến ISP và interfaces INSIDE cho nội bộ.


ĐT: (08) 62.678.999 Fax: (08) 62.837.867



THỰC TẾ

Không check inside và outside cho interface loopback. Chọn interface loopback như là interface DMZ. Bạn không cần cho phép truy cập secure SDM từ interface outside. Sau đó click Next.

SDM Firewall Wizard Interface Selection


ĐT: (08) 62.678.999 Fax: (08) 62.837.867



THỰC TẾ

Click OK to continue.

SDM Connectivity Warning

Bây giờ ta add DMZ services, bằng cách chọn button.


ĐT: (08) 62.678.999 Fax: (08) 62.837.867



THỰC TẾ

SDM Firewall Demilitarized Zone Configuration

Add range IP web server từ 172.16.2.10 to 172.16.2.20. Cấu hình service như “www”, với TCP port 80


ĐT: (08) 62.678.999 Fax: (08) 62.837.867



THỰC TẾ

SDM DMZ Service Configuration


ĐT: (08) 62.678.999 Fax: (08) 62.837.867



THỰC TẾ

SDM Firewall Demilitarized Zone Configuration with Changes Applied

Apply ACL tới các interface. Cấu hình CBAC.


ĐT: (08) 62.678.999 Fax: (08) 62.837.867



THỰC TẾ

Ta sẽ không dùng default application security policy, mà tự tạo chọn Use a custom Application Security Policy và click Create a new policy

SDM Firewall Security Policy Configuration


ĐT: (08) 62.678.999 Fax: (08) 62.837.867



THỰC TẾ

Trên Application Security, click HTTP, và check Enable HTTP inspection

SDM CBAC Configuration Window, HTTP Options


ĐT: (08) 62.678.999 Fax: (08) 62.837.867



THỰC TẾ

SDM CBAC Configuration Window, General Options


ĐT: (08) 62.678.999 Fax: (08) 62.837.867



THỰC TẾ

Applying New Custom Security Policy with SDM

Kiểm tra cấu hình tổng quát và click Finish.


ĐT: (08) 62.678.999 Fax: (08) 62.837.867



THỰC TẾ

SDM Firewall Configuration Summary


ĐT: (08) 62.678.999 Fax: (08) 62.837.867



THỰC TẾ

SDM Firewall Configuration Delivery Notification

Click Deliver -> OK


ĐT: (08) 62.678.999 Fax: (08) 62.837.867



THỰC TẾ

SDM Firewall Configuration Delivery Progress Indicator

SDM Successful Configuration Notification


ĐT: (08) 62.678.999 Fax: (08) 62.837.867



THỰC TẾ

Click OK và chọn Originating traffic

SDM Firewall Policy Summary for Originating Traffic


ĐT: (08) 62.678.999 Fax: (08) 62.837.867



THỰC TẾ

Bước 6: Thay đổi cấu hình Firewall

SDM Firewall Policy Summary for Returning Traffic


ĐT: (08) 62.678.999 Fax: (08) 62.837.867



THỰC TẾ

Deny Statement in ACL 102 for 192.168.0.0/16


ĐT: (08) 62.678.999 Fax: (08) 62.837.867



THỰC TẾ

Chọn access rule 192.168.0.0/16 và click Cut để xóa trạng thái. Sau đó chọn Apply Changes.

ACL 102 sau khi xóa entry Deny 192.168.0.0/16


ĐT: (08) 62.678.999 Fax: (08) 62.837.867



THỰC TẾ

Xem lại command mà SDM sẽ gửi đến router, và click Deliver -> OK

SDM Firewall Configuration Delivery Notification


ĐT: (08) 62.678.999 Fax: (08) 62.837.867



THỰC TẾ

SDM Firewall Configuration Delivery Progress Indicator

Bước 7: Giám sát hoạt động của Firewall

Trên router ISP, add password “cisco” cho telnet session

ISP(config)# line vty 0 4

ISP(config-line)# password cisco

ISP(config-line)# login

Trên router INSIDE, thiết lập 1 session Telnet đến các interface loopback của ISP

INSIDE# telnet 192.168.3.1

Trying 192.168.3.1 ... Open


ĐT: (08) 62.678.999 Fax: (08) 62.837.867



THỰC TẾ


Password: ISP>

Trong khi session Telnet được active, click tab SDM Monitor và Firewall Status. Click Update để lấy thong tin mới nhất từ firewall.

SDM Firewall Monitor


ĐT: (08) 62.678.999 Fax: (08) 62.837.867



THỰC TẾ

Sau khi hiển thị thông số của session Telnet session ta dùng lệnh exit để đóng session.

ISP> exit

[Connection to 192.168.3.1 closed by foreign host] INSIDE#

Từ router ISP, thiết lập session Telnet với interface loopback INSIDE. Không thiết lập password và test sẽ không thành công.

ISP# telnet 10.1.1.1

Trying 10.1.1.1 ...

% Destination unreachable; gateway or host down

ISP#

Xem và ghi nhận file log

FW#

*Feb 17 22:21:01.085: %SEC-6-IPACCESSLOGP: list 102 denied tcp

192.168.23.3(20650) -> 10.1.1.1(23), 1 packet

Xem cấu hình trên interface FW outside sử dụng lệnh show run

FW# show run interface serial0/0/1

Building configuration...

Current configuration : 168 bytes

!

interface Serial0/0/1

description $FW_OUTSIDE$

ip address 192.168.23.2 255.255.255.0

ip access-group 102 in

ip verify unicast reverse-path clock rate 64000

end

Từ lệnh show access-lists, bạn có thể thấy rằng phần log của access list được cho phép đi vào


ĐT: (08) 62.678.999 Fax: (08) 62.837.867



THỰC TẾ

từ interface outside.

FW# show access-lists 102

Extended IP access list 102

10 deny ip 172.16.2.0 0.0.0.255 any

20 deny ip 10.1.12.0 0.0.0.255 any

30 permit icmp any host 192.168.23.2 echo-reply

40 permit icmp any host 192.168.23.2 time-exceeded

50 permit icmp any host 192.168.23.2 unreachable

60 permit tcp any host 172.16.2.10 eq www











170 deny ip 10.0.0.0 0.255.255.255 any

180 deny ip 172.16.0.0 0.15.255.255 any

190 deny ip 127.0.0.0 0.255.255.255 any

200 deny ip host 255.255.255.255 any

210 deny ip host 0.0.0.0 any

220 deny ip any any log (1 match)

Kiểm tra kết quả cuối cùng:

ISP pings 10.1.1.1 ISP pings 172.16.23.2 ISP pings 172.16.2.1

Giả sử ISP ping đến 1 web server thật tại địa chỉ 172.16.2.10


ĐT: (08) 62.678.999 Fax: (08) 62.837.867



THỰC TẾ

Giả sử network kết nối đến ISP thiết lập 1 HTTP session với 1 web server tại địa chỉ 172.16.2.10

Cấu hình hoàn chỉnh

INSIDE# show run hostname INSIDE

!

interface Loopback0

ip address 10.1.1.1 255.255.255.0

!


ip address 10.1.12.1 255.255.255.0

no shutdown

!

router eigrp 1 network 10.0.0.0 no

auto-summary

!

end

FW# show run hostname FW

!

ip inspect name appfw_100 http

ip inspect name appfw_100 tcp ip

inspect name appfw_100 udp

ip inspect name dmzinspect tcp

ip inspect name dmzinspect udp

!

crypto pki trustpoint TP-self-signed-3043721146

enrollment selfsigned

subject-name cn=IOS-Self-Signed-Certificate-3043721146 revocation-check

none

rsakeypair TP-self-signed-3043721146

!

crypto pki certificate chain TP-self-signed-3043721146 certificate self-

signed 01

3082023A 308201A3 A0030201 02020101 300D0609 2A864886 F70D0101 04050030

31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274

69666963 6174652D 33303433 37323131 3436301E 170D3037 30323137 32313336

33375A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649


ĐT: (08) 62.678.999 Fax: (08) 62.837.867



THỰC TẾ

4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D33 30343337

32313134 3630819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281

8100EAE7 7D716529 0B5A56C3 C519EE38 AF5BB46C 20C2D045 8CF5E575 F31CB907

AD9EC6D2 25EBE142 6994982A EFF4565D B5C8DD3C 3FD64334 6F447CD9 3763FBB8

6D3A8583 C91C8F9E 9F69716F CD773448 52CA343E FE4CC690 F8D74D1C A8EAC14E AE30BFCF 9248BD02

908ADF7D 02F855BD 71269846 6CAFA205 9EDDD7C0 2F8A240D D6D50203 010001A3 62306030 0F060355

1D130101 FF040530 030101FF 300D0603

551D1104 06300482 02465730 1F060355 1D230418 30168014 1C974D6A 53CA1D26

96919DA4 9F55F630 6986CBAD 301D0603 551D0E04 1604141C 974D6A53 CA1D2696

919DA49F 55F63069 86CBAD30 0D06092A 864886F7 0D010104 05000381 81000566

95264590 A35B0A19 89F68CEC DEA11FF0 B27FD67A 577404A3 C8EEDD99 BDFCFF33

B05ACFE5 9EF70D3F 13B35864 35CA069F 9D4DB369 6E4262D6 E77683F2 CB3B36DC

13A5208C F85CA99B 4BB7E81F BF89C43D 1EC91E03 322EC2FA 28763141 C63E9AA3

45CE31B4 65B90AE6 D7EC8878 08CB30ED A4D24389 10B66C8E C7611D56 048D

quit

username ciscosdm privilege 15 password 0 ciscosdm

!

interface Loopback0 description $FW_DMZ$

ip address 172.16.2.1 255.255.255.0


ip inspect dmzinspect out

!


description $FW_INSIDE$

ip address 10.1.12.2 255.255.255.0


ip inspect appfw_100 in no shutdown

!


description $FW_OUTSIDE$

ip address 192.168.23.2 255.255.255.0


ip verify unicast reverse-path clock rate 64000

no shutdown

!

router eigrp 1 redistribute static

passive-interface Loopback0 network 10.0.0.0

network 172.16.0.0 no auto-summary

!


ĐT: (08) 62.678.999 Fax: (08) 62.837.867



THỰC TẾ

ip route 0.0.0.0 0.0.0.0 192.168.23.3

!

ip http server

ip http authentication local ip http secure-

server

!

access-list 100 remark auto generated by SDM firewall configuration

access-list 100 remark SDM_ACL Category=1

access-list 100 deny ip 172.16.2.0 0.0.0.255 any


access-list 100 deny ip host 255.255.255.255 any


access-list 100 permit ip any any



access-list 101 deny ip any any log





access-list 102 permit icmp any host 192.168.23.2 echo-reply

access-list 102 permit icmp any host 192.168.23.2 time-exceeded

access-list 102 permit icmp any host 192.168.23.2 unreachable

access-list 102 permit tcp any host 172.16.2.10 eq www

















ĐT: (08) 62.678.999 Fax: (08) 62.837.867



THỰC TẾ

access-list 102 deny ip any any log

!

line vty 0 4 login local

end

ISP# show run hostname ISP

!

interface Loopback0

ip address 192.168.3.1 255.255.255.0

!


ip address 192.168.23.3 255.255.255.0 no shutdown

!

ip route 10.0.0.0 255.0.0.0 192.168.23.2

ip route 172.16.0.0 255.255.0.0 192.168.23.2

!

line vty 0 4 password cisco login

end

Sinh viên ghi tóm tắt quá trình thực hiện:…………………………………………………………………………………………………….

…..……………………………………………………………………………………………………………………………………………………………

Điểm đánh giá:………………………………………...GVHD ký tên:…………………………………………………………………….………

3

BÀI HỌC 3

Kỹ năng đạt

được

Triển khai cấu

hình Cisco IOS

IPS.

Triển khai cấu

hình snort

BÀI TẬP 03

Tình huống 1: Cấu hình IPS với SDM

Mô tả nội dung: cấu hình IPS trên router Cisco IOS Firewall

Yêu cầu thực hiện: cấu hình IPS với SDM trên router Cisco IOS Firewall

• Cấu hình IPS sử dụng C isco Security Device Manager (SDM) IPS Wizard

• Thay đổi cấu hình default IPS

• Tạo 1 IPS signature

…

…


ĐT: (08) 62.678.999 Fax: (08) 62.837.867



THỰC TẾ

IDS/IPS.

Mô hình như sau:


Bước 1: Cấu hình interface vật lý

TRUSTED(config)# interface fastethernet0/0


ĐT: (08) 62.678.999 Fax: (08) 62.837.867



THỰC TẾ

TRUSTED(config-if)# ip address 192.168.12.1 255.255.255.0

TRUSTED(config-if)# no shutdown

FW(config)# interface fastethernet0/0



FW(config-if)# interface serial0/0/1


FW(config-if)# clockrate 64000


UNTRUSTED(config)# interface serial0/0/1

UNTRUSTED(config-if)# ip address 192.168.23.3 255.255.255.0

UNTRUSTED(config-if)# no shutdown

Bước 2: Cấu hình Static Default Routes

TRUSTED(config)# ip route 0.0.0.0 0.0.0.0 192.168.12.2

UNTRUSTED(config)# ip route 0.0.0.0 0.0.0.0 192.168.23.2

Step 3: Enable truy cập Telnet

Trên router TRUSTED, kích hoạt truy cập Telnet để chuẩn bị cho việc test IPS

TRUSTED(config)# line vty 0 4

TRUSTED(config-line)# password cisco

TRUSTED(config-line)# login

Bước 4: Kết nối tới FW sử dụng SDM

Cấu hình SSH và kết nối SDM qua HTTPS


ĐT: (08) 62.678.999 Fax: (08) 62.837.867



THỰC TẾ

Giao diện Cisco Security Device Manager


ĐT: (08) 62.678.999 Fax: (08) 62.837.867



THỰC TẾ

Trên menu Edit, ta chọn Preferences. Check vào box Preview commands before delivering to router và click OK.

SDM User Preferences

Bước 5: Sử dụng SDM IPS Rule Wizard

Trong SDM, chọn Configure -> IPS Rule Wizard , sau đó click Intrusion Prevention trên the Tasks toolbar,

and then click the Launch IPS Rule Wizard button.


ĐT: (08) 62.678.999 Fax: (08) 62.837.867



THỰC TẾ

Launching the SDM IPS Wizard


ĐT: (08) 62.678.999 Fax: (08) 62.837.867



THỰC TẾ

Hộp thoại nhắc nhở SDEE notification sẽ xuất hiện. SDEE là dịch vụ được sử dụng để ghi nhận các sự kiện bảo mật và kích hoạt cơ chế responses.

Notification của Enabling SDEE

Permission của Enabling SDEE

Login SDM dùng username và password khi cấu hình SDM lúc ban đầu.


ĐT: (08) 62.678.999 Fax: (08) 62.837.867



THỰC TẾ

SDM Login to FW Router

Đọc trang welcome và click Next.

SDM IPS Wizard


ĐT: (08) 62.678.999 Fax: (08) 62.837.867



THỰC TẾ

Cho inbound inspection, chọn checkbox cho interface UNTRUSTED, và click Next. Không chọn bất kỳ interface cho outbound inspection.

IPS Interface Selection


ĐT: (08) 62.678.999 Fax: (08) 62.837.867



THỰC TẾ

Signature definition files (SDF) là các file chứa đựng các định nghĩa dấu hiệu xâm nhập trái phép. Trong

thực tế bạn nên sử dụng them chức năng Add SDF locations, ở trong bài tập này ta sẽ làm đơn giản hơn

bằng cách chọn load basic signatures có sẵn trong Cisco IOS. Click Next để tiếp tục.

SDF Locations


ĐT: (08) 62.678.999 Fax: (08) 62.837.867



THỰC TẾ

Hộp thoại cảnh báo xuất hiện, ta chọn No

SDF File Detection

Sau k hi kiểm tra thay đổi SDM, ta click Finish để apply.


ĐT: (08) 62.678.999 Fax: (08) 62.837.867



THỰC TẾ

IPS Summary

Kiểm tra các command mà SDM sẽ sử dụng trên và click Deliver

IPS Configuration Summary

Khi cấu hình được add, bạn có thể xem bất kỳ thông điệp được ghi lại trên FW. Đây chỉ là


ĐT: (08) 62.678.999 Fax: (08) 62.837.867



THỰC TẾ

những thông điệp bình thường và chưa phải là cảnh báo.

FW#

*Feb 19 04:19:52.375: %IPS-6-BUILTIN_SIGS: Configured to load builtin signatures

*Feb 19 04:19:52.511: %IPS-6-SDF_LOAD_SUCCESS: SDF loaded successfully from builtin

*Feb 19 04:19:52.519: %IPS-6-ENGINE_BUILDING: OTHER - 3 signatures - 1 of 15 engines

*Feb 19 04:19:52.519: %IPS-6-ENGINE_READY: OTHER - 0 ms - packets for this

engine will be scanned

*Feb 19 04:19:52.519: %IPS-6-ENGINE_BUILDING: MULTI-STRING - 0 signatures - 2 of 15 engines

*Feb 19 04:19:52.519: %IPS-6-ENGINE_BUILD_SKIPPED: MULTI-STRING - there are no new signature

definitions for this engine

*Feb 19 04:19:52.519: %IPS-6-ENGINE_BUILDING: STRING.ICMP - 0 signatures - 3 of 15 engines

*Feb 19 04:19:52.519: %IPS-6-ENGINE_BUILD_SKIPPED: STRING.ICMP - there are no new signature

definitions for this engine

*Feb 19 04:19:52.519: %IPS-6-ENGINE_BUILDING: STRING.UDP - 1 signatures - 4 of

15 engines

*Feb 19 04:19:52.531: %IPS-6-ENGINE_READY: STRING.UDP - 12 ms - packets for this engine will be

scanned

*Feb 19 04:19:53.275: %IPS-6-ENGINE_READY: SERVICE.HTTP - 460 ms - packets for this engine will be

scanned

*Feb 19 04:19:53.275: %IPS-6-ENGINE_BUILDING: ATOMIC.TCP - 6 signatures - 11 of 15 engines

*Feb 19 04:19:53.279: %IPS-6-ENGINE_READY: ATOMIC.TCP - 4 ms - packets for this engine will be

scanned

*Feb 19 04:19:53.279: %IPS-6-ENGINE_BUILDING: ATOMIC.UDP - 7 signatures - 12 of 15 engines

*Feb 19 04:19:53.283: %IPS-6-ENGINE_READY: ATOMIC.UDP - 4 ms - packets for this engine will be

scanned

*Feb 19 04:19:53.283: %IPS-6-ENGINE_BUILDING: ATOMIC.ICMP - 14 signatures - 13 of 15 engines

*Feb 19 04:19:53.283: %IPS-7-UNSUPPORTED_PARAM: ATOMIC.ICMP 2000:0 IcmpType=0

- This parameter is not supported

*Feb 19 04:19:53.287: %IPS-6-ENGINE_READY: ATOMIC.ICMP - 4 ms - packets for this engine will be

scanned

*Feb 19 04:19:53.287: %IPS-6-ENGINE_BUILDING: ATOMIC.IPOPTIONS - 7 signatures

- 14 of 15 engines

*Feb 19 04:19:53.287: %IPS-6-ENGINE_READY: ATOMIC.IPOPTIONS - 0 ms - packets for this engine

will be scanned


ĐT: (08) 62.678.999 Fax: (08) 62.837.867



THỰC TẾ

IPS Command Delivery Progress Indicator

Sau khi chọn OK, SDM sẽ hiển thị tab Edit IPS trên SDM.


ĐT: (08) 62.678.999 Fax: (08) 62.837.867



THỰC TẾ

SDM Edit IPS Tab


ĐT: (08) 62.678.999 Fax: (08) 62.837.867



THỰC TẾ

Bây giờ FW sẽ kiểm tra mỗi gói tin qua FW.với Interface Serial 0/0/1. Lưu ý là những gói tin khác sẽ không bị kiểm tra.

Bước 6: Kiểm tra và thay đổi IPS Behavior

Trên router UNTRUSTED, ping router TRUSTED với số lần lặp 100

UNTRUSTED# ping 192.168.12.1 repeat 100



!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!


Ta xem thông điệp được ghi nhận tới console FW và thông điệp summary log

FW#

*Feb 19 06:55:05.603: %IPS-4-SIGNATURE: Sig:2004 Subsig:0 Sev:2 ICMP Echo Req

[192.168.23.3:0 -> 192.168.12.1:0]


[192.168.23.3:0 -> 192.168.12.1:0]


[192.168.23.3:0 -> 192.168.12.1:0]


[192.168.23.3:0 -> 192.168.12.1:0]


[192.168.23.3:0 -> 192.168.12.1:0]


[192.168.23.3:0 -> 192.168.12.1:0]


[192.168.23.3:0 -> 192.168.12.1:0]


[192.168.23.3:0 -> 192.168.12.1:0]


[192.168.23.3:0 -> 192.168.12.1:0]


ĐT: (08) 62.678.999 Fax: (08) 62.837.867



THỰC TẾ


[192.168.23.3:0 -> 192.168.12.1:0]


[192.168.23.3:0 -> 192.168.12.1:0]


[192.168.23.3:0 -> 192.168.12.1:0]


[192.168.23.3:0 -> 192.168.12.1:0]


[192.168.23.3:0 -> 192.168.12.1:0]


[192.168.23.3:0 -> 192.168.12.1:0]


[192.168.23.3:0 -> 192.168.12.1:0]


[192.168.23.3:0 -> 192.168.12.1:0]


[192.168.23.3:0 -> 192.168.12.1:0]


[192.168.23.3:0 -> 192.168.12.1:0]


[192.168.23.3:0 -> 192.168.12.1:0]


[192.168.23.3:0 -> 192.168.12.1:0]


[192.168.23.3:0 -> 192.168.12.1:0]


[192.168.23.3:0 -> 192.168.12.1:0]


[192.168.23.3:0 -> 192.168.12.1:0]


[192.168.23.3:0 -> 192.168.12.1:0]


[192.168.23.3:0 -> 192.168.12.1:0]


[192.168.23.3:0 -> 192.168.12.1:0]


[192.168.23.3:0 -> 192.168.12.1:0]


[192.168.23.3:0 -> 192.168.12.1:0]


ĐT: (08) 62.678.999 Fax: (08) 62.837.867



THỰC TẾ


[192.168.23.3:0 -> 192.168.12.1:0]


[192.168.23.3:0 -> 192.168.12.1:0]


[192.168.23.3:0 -> 192.168.12.1:0]


[192.168.23.3:0 -> 192.168.12.1:0]


[192.168.23.3:0 -> 192.168.12.1:0]


[192.168.23.3:0 -> 192.168.12.1:0]


[192.168.23.3:0 -> 192.168.12.1:0]


[192.168.23.3:0 -> 192.168.12.1:0]


[192.168.23.3:0 -> 192.168.12.1:0]


[192.168.23.3:0 -> 192.168.12.1:0]


[192.168.23.3:0 -> 192.168.12.1:0] FW#

*Feb 19 06:55:35.603: %IPS-4-SIG_SUMMARY: Sig:2004 Subsig:0 Global Summary:

100 alarms in this interval

Signature số 2004 được phát hiện là dùng ICMP attack. Để vô hiệu hóa signature này tao chọn Signatures


ĐT: (08) 62.678.999 Fax: (08) 62.837.867



THỰC TẾ

Edit IPS Signatures Tab


ĐT: (08) 62.678.999 Fax: (08) 62.837.867



THỰC TẾ

Chọn Service > General Service trên cây signature. Tìm và chọn signature 2004 trong list. Sau đó ta

disable signature này.

Figure 6-2: IPS ICMP Echo Request Signature, Currently Enable


ĐT: (08) 62.678.999 Fax: (08) 62.837.867



THỰC TẾ

The Enabled column should change its icon to reflect that it is now disabled. Click the Apply Changes button to deliver the changes to the router.

IPS ICMP Echo Request Signature đã được Disabled


ĐT: (08) 62.678.999 Fax: (08) 62.837.867



THỰC TẾ

Quá trình cập nhật SDF mới trên router.

IPS Signature Delivery Status

Lưu ý: ta có thể xóa các SDF trong CLI bằng cách sử dụng privileged EXEC command delete flash:sdmips.sdf.

Tiếp tục chọn Deliver


ĐT: (08) 62.678.999 Fax: (08) 62.837.867



THỰC TẾ

IPS Configuration Command Delivery Notification

Click OK avà xem các thong điệp log của IPS engine trên FW.

Command Delivery Progress Box

Lúc này khi ta thực hiện ping từ router UNTRUSTED tới router TRUSTED, thong điệp log sẽ không còn ghi nhận sự kiện.

UNTRUSTED# ping 192.168.12.1



!!!!!


ĐT: (08) 62.678.999 Fax: (08) 62.837.867



THỰC TẾ


Vậy ta thấy rằng việc disable 1 signature có thể làm IPS không phát hiện ra các trạng thái xâm nhập.

Trên FW, gõ lệnh show ip ips all để xem các thông số cấu hình IPS.

FW# show ip ips all

Configured SDF Locations:

flash://sdmips.sdf

Builtin signatures are enabled and loaded

Last successful SDF load time: 08:01:10 UTC Feb 19 2007

IPS fail closed is disabled Fastpath ips is

enabled Quick run mode is enabled

Event notification through syslog is enabled Event notification

through SDEE is enabled Total Active Signatures: 132

Total Inactive Signatures: 0

Signature 1107:0 disable

Signature 2004:0 disable

IPS Rule Configuration

IPS name sdm_ips_rule Interface

Configuration Interface Serial0/0/1

Inbound IPS rule is sdm_ips_rule

Outgoing IPS rule is not set

FW#

Lưu ý: Nếu ta muốn xóa cấu hình IPS, ta dùng lệnh delete flash:sdmips.sdf trong privileged EXEC mode.

Cách add a Signature

SDM cho phép ta tạo các custom IPS signature. Trong bài tập này, ta sẽ tạo 1 signature để dò tìm các chuỗi trong nội dung Telnet, nếu phát hiện hệ thống sẽ tự động ngắt kết nối.


ĐT: (08) 62.678.999 Fax: (08) 62.837.867



THỰC TẾ

Chọn All Categories level của cây signature, chọn Engine trong list View By, sau đó chọn STRING.TCP trong list Engine. Tiếp tục chọn Add icon

IPS STRING.TCP Signatures


ĐT: (08) 62.678.999 Fax: (08) 62.837.867



THỰC TẾ

IPS Add Signature Configuration Dialog


ĐT: (08) 62.678.999 Fax: (08) 62.837.867



THỰC TẾ

Figure 7-3: IPS Add Signature Regular Expression


ĐT: (08) 62.678.999 Fax: (08) 62.837.867



THỰC TẾ

Sauk hi signature mới xất hiện trong signature list cho STRING.TCP engine, click Apply Changes.

IPS STRING.TCP Signatures, với New Signature


ĐT: (08) 62.678.999 Fax: (08) 62.837.867



THỰC TẾ

SDM sẽ cập nhật SDM với signature mới.

IPS Signature Delivery Status

Signature mới đã được apply đến IPS.Các gói tin đi qua interface of Serial 0/0/1 sẽ được kiểm tra bởi IPS để phát hiện các tín hiệu xâm nhập.

IPS STRING.TCP Signatures, với Changes Applied


ĐT: (08) 62.678.999 Fax: (08) 62.837.867



THỰC TẾ

Từ router UNTRUSTED, telnet tới rourer TRUSTED và gõ 1 chuỗi, ví dụ “CCNP”. Khi bạn vừa gõ xong chữ P thì IPS sẽ lập tức đóng session Telnet.

UNTRUSTED# telnet 192.168.12.1

Trying 192.168.12.1 ... Open


Password: TRUSTED> CCN

[Connection to 192.168.12.1 closed by foreign host] UNTRUSTED# telnet

192.168.12.1

Trying 192.168.12.1 ... Open


Password: TRUSTED> CCCN

[Connection to 192.168.12.1 closed by foreign host] UNTRUSTED#

Sự kiện được ghi nhận trên FW.

FW#

*Feb 19 08:01:38.847: %IPS-4-SIGNATURE: Sig:20000 Subsig:0 Sev:4 CCNP_ATTACK [192.168.23.3:33186

-> 192.168.12.1:23]

FW#

*Feb 19 08:01:50.175: %IPS-4-SIGNATURE: Sig:20000 Subsig:0 Sev:4 CCNP_ATTACK [192.168.23.3:60904

-> 192.168.12.1:23]

Cấu hình hoàn thành

TRUSTED# show run

hostname TRUSTED

!


ip address 192.168.12.1 255.255.255.0 no shutdown

!

ip route 0.0.0.0 0.0.0.0 192.168.12.2

!


ĐT: (08) 62.678.999 Fax: (08) 62.837.867



THỰC TẾ

line vty 0 4 password cisco login

end

FW# show run

hostname FW

!

ip ips sdf location flash://sdmips.sdf ip ips notify SDEE

ip ips name sdm_ips_rule

!

crypto pki trustpoint TP-self-signed-3043721146 enrollment

selfsigned

subject-name cn=IOS-Self-Signed-Certificate-3043721146 revocation-check

none

rsakeypair TP-self-signed-3043721146

!

crypto pki certificate chain TP-self-signed-3043721146 certificate self-

signed 01

3082023A 308201A3 A0030201 02020101 300D0609 2A864886 F70D0101 04050030

31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274

69666963 6174652D 33303433 37323131 3436301E 170D3037 30323139 30373435

35365A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649

4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D33 30343337

32313134 3630819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281

8100B33E 12B524DF 69D1AD2F D55A1A8C 3F6E45A5 1595DDFA C8FB946B 1EE7449C

57BF61A2 5960CD54 816BFE11 411DFCDD DA159B9B 8CD34EA3 C92F0EE9 3B0251D8

F341689D CDCC9A90 28E813BF 9555BE16 F6C6FE03 2E68E3E9 64924766 4264C47E

939856EF 783FDE31 3DAB36EE 85D27B91 BF9EBC24 20854694 8ACDAD8A 955B77CF

014B0203 010001A3 62306030 0F060355 1D130101 FF040530 030101FF 300D0603

551D1104 06300482 02465730 1F060355 1D230418 30168014 BE06B151 CE3642B2

335FAC80 62110167 3FA5E761 301D0603 551D0E04 160414BE 06B151CE 3642B233

5FAC8062 1101673F A5E76130 0D06092A 864886F7 0D010104 05000381 810035BB

291CFD03 B6B65C69 96922357 4A1E19F6 B81D2533 E58FE0CE E73CC6D2 B610F5E1

08F10391 9303BCEE 3D587635 DE4546D6 AC86A980 B6412DF2 1FA73933 8BEEDAF2

5A6A4D25 E4B1F88E 2C41F2CD A2FE72D3 0DC048CC A7EBC057 C238E46D 4C848298

67059914 5D8743B1 E287C470 1EFB7CE0 98A833F4 D22E641D 4C3C0C05 E360 quit

username ciscosdm privilege 15 password 0 ciscosdm

!



ĐT: (08) 62.678.999 Fax: (08) 62.837.867



THỰC TẾ

ip address 192.168.12.2 255.255.255.0 ip virtual-

reassembly

no shutdown

!


ip address 192.168.23.2 255.255.255.0 ip ips sdm_ips_rule

in

ip virtual-reassembly clock rate 64000

no shutdown

!

ip http server

ip http authentication local ip http secure-

server

!

line vty 0 4 login local

end

UNTRUSTED# show run

hostname UNTRUSTED

!


ip address 192.168.23.3 255.255.255.0

no shutdown

!

ip route 0.0.0.0 0.0.0.0 192.168.23.2 end


…..……………………………………………………………………………………………………………………………………………………………

Tình huống 2: Tìm hiểu và sử dụng Snort để giám sát hệ thống


ĐT: (08) 62.678.999 Fax: (08) 62.837.867



THỰC TẾ

Mô tả nội dung: Sử dụng Snort trên Windows

Yêu cầu thực hiện: Cài đặt và cấu hình Snort trên Windows để giám sát hệ thống

Hướng dẫn thực hiện “step by step”:

CÀI ĐẶT SNORT NIDS TRÊN WINDOWS 2K/XP/2K3

1.Download Snort:

Download Snort ở trang web www.Snort.org

Trang chủ www.snort.org

Chọn thư mục binaries/ và thư mục tương ứng chứa Snort trên hệ điều hành windows

hay linux. Ở đây chúng ta triển khai Snort trên hệ thống Windows nên sẽ chọn win32/

http://www.snort.org/


ĐT: (08) 62.678.999 Fax: (08) 62.837.867



THỰC TẾ

Sau đó hãy trở ra trang chủ và chọn RULES => DOWNLOAD RULES và tải về tập các quy

tắc (rule) mới nhất.


ĐT: (08) 62.678.999 Fax: (08) 62.837.867



THỰC TẾ

Bây giờ ta đã có thể tiến hành cài đặt Snort trên hệ thống Windows Server 2k3 hay

Windows XP Pro.

2. Cài Đặt Snort:

Ta có thể tải winpcap từ www.iltiloi.com và Snort từ trang web www.Snort.org và chọn

bản cài trên Windows.Trước và cài luôn WinPcap khi được yêu cầu để bảo đảm tính tương

thích giữa winpcap và Snort.

Sau đó click vào tập tin chương trình Snort_Installer để bắt đầu tiến trình cài đặt. Trên

màn hình Installation Options có các cơ chế lưu trữ log file theo cơ sở dữ liệu SQL hay

Oracle, ta chỉ lưu trữ log trong Event Log nên sẽ chọn tùy chọn đầu tiên là “I do not plan

to log to a database, or I am planing to log to one of the databse listed above”

http://www.iltiloi.com/

http://www.snort.org/


ĐT: (08) 62.678.999 Fax: (08) 62.837.867



THỰC TẾ

Sau khi đã cài đặt Snort chúng ta cần phải thiết lập các tham số quan trọng như HOME_NET và

PATH_RULE mới có thể khởi động Snort và thực hiện các công việc tiếp theo. Đây là bước

thường làm cho quá trình cài đặt và sử dụng Snort bị lỗi do khai báo sai.

Lấy ví dụ, chúng ta triển khai Snort trên lớp mạng C với dãy địa chỉ 192.168.1.0/24, ta mở tập

tin snort.conf trong thư mục C:\Snort\etc\ và tìm đến các biến HOME_NET và thiết lập như sau:


ĐT: (08) 62.678.999 Fax: (08) 62.837.867



THỰC TẾ

Tiếp theo hãy khai báo đường dẫn đến nơi chứa các quy tắc snort rules và đặt

RULE_PATH C:\Snort\rules


ĐT: (08) 62.678.999 Fax: (08) 62.837.867



THỰC TẾ

Khai báo các biến include classification.config và reference.config như hình dưới (sữa

thành include C:\Snort\etc\classification.config và C:\Snort\etc\reference.config


ĐT: (08) 62.678.999 Fax: (08) 62.837.867



THỰC TẾ

Bây giờ ta có thể copy các rule được tạo sẳn (download từ net).Lưu ý chọn đúng phiên

bản snort được triển khai), hãy giải nén và copy thư mục rules vào thư mục cài đặt Snort

trên ổ C:\Snort

Copy thư mục rules vào C:\Snort. Như vậy quá trình chuẩn bị đã hoàn tất


ĐT: (08) 62.678.999 Fax: (08) 62.837.867



THỰC TẾ

3. SỬ DỤNG SNORT :

Sử Dụng Snort Để Sniffer Packet:

Để tiến hành sniffer ta cần chọn card mạng để snort đặt vào chế độ

promicous, nếu máy tính có nhiều card hãy sử lệnh snort –W để xác định:

Kết quả của snort –W cho chúng a xác định số hiệu card mạng

Vậy card mạng có số hiệu là 4 Các bạn có thể chạy lệnh snort –h ta sẽ

thấy để tiến hành sniffer packet dùng lệnh snort –v –ix (với x là số hiệu

của card mạng)


ĐT: (08) 62.678.999 Fax: (08) 62.837.867



THỰC TẾ


ĐT: (08) 62.678.999 Fax: (08) 62.837.867



THỰC TẾ

Cú pháp dòng lệnh sử dụng snort và các tùy chọn C:\Snort\bin\snort –v –i4

Với tùy chọn –v snort chỉ hiển thị IP và TCP/UDP/ICMP header, nếu muốn


ĐT: (08) 62.678.999 Fax: (08) 62.837.867



THỰC TẾ

xem kết quả truyền thông của các ứng dụng hãy sử dụng tùy chọ -vd: C:\Snort\bin\snort –vd –i4

Để hiển thị thêm các header của gói tin tại tầng Data Link hãy sử dụng

dòng lệnh: C:\Snort\bin\snort –vde –i4

Sau khi chạy dòng lệnh trên hãy mở cũa sổ mới và thử ping

http://kmasecurity.net rồi quan sát giao diện snort chúng ta sẽ thấy các

tín hiệu như hình sau:

http://kmasecurity.net/


ĐT: (08) 62.678.999 Fax: (08) 62.837.867



THỰC TẾ

Để dừng tiến trình sniffing hãy nhấn tổ hợp phím Ctrl-C, Snort sẽ trình bày bản

tóm tắt các gói tin bị bắt giữ theo từng giao thức như UDP, ICMP …


ĐT: (08) 62.678.999 Fax: (08) 62.837.867



THỰC TẾ


ĐT: (08) 62.678.999 Fax: (08) 62.837.867



THỰC TẾ

Như vậy ta đã tiến hành cài đặt và cấu hình snort để tiến hành bắt giữ các

gói tin, xem nội dung của chúng nhưng vẫn chưa biến snort thực sự trở

thành 1 hệ thống IDS – dò tìm xâm phạm trái phép. Vì một hệ thống như

vậy cần có các quy tắc (rule) cùng những hành động cảnh báo cho quản trị

hệ thống khi xảy ra sự trùng khớp của những quy tắc này. Trong phần tiếp

theo,chúng ta sẽ tiến hành cấu hình để xây dựng 1 network IDS với Snort.

Sử Dụng Snort Ở Chế Độ Network IDS:

Tất cả những hành động của Snort IDS đều họat động thông qua các rule,

vì vậy chúng ta cần phải tạo mới hay chỉnh sữa những rule đã được tạo

sẳn. Ở đây chúng ta sẽ tham khảo cả hai trường hợp này. Đầu tiên, các

bạn hãy tham khảo dòng lệnh sau để áp dụng Snort ở NIDS:

C:\Snort\bin\snort -dev -l \snort\log -c snort.conf

trong dòng lệnh này có một tùy chọn mới là –c với giá trị là snort.conf.

chúng ta đã biết snort.conf được lưu trữ trong thư mục C:\Snort\etc chứa

các thông số điều khiển và cấu hình Snort như các biến HOME_NET xác

định lớp mạng, biến RULE_PATH xác định đường dẫn đến nơi chứa các quy

tắc để Snort áp dụng.

Về các rule thì các bạn có thể tự tạo rule cho mình hoặc download các rule

trên mạng.

Để thuận tiện hơn trong quá trình quản lý và vận hành Snort Netwrok IDS

ta có thể cài đặt ứng dụng IDS Center, một ứng dụng miễn phí dùng để

quản lý và vận hành snort rất hiệu quả.

Chạy file setup.exe

Trên màn hình tiếp theo click Next


ĐT: (08) 62.678.999 Fax: (08) 62.837.867



THỰC TẾ

3.Chọn Yes trên màn hình License Agreement để chấp nhận các quy định:


ĐT: (08) 62.678.999 Fax: (08) 62.837.867



THỰC TẾ

4.Chọn thư mục cài đặt với giá trị mặc định là C:\Program Files\IDScenter và nhấn Next :


ĐT: (08) 62.678.999 Fax: (08) 62.837.867



THỰC TẾ

Sau đó chọn các giá trị mặc định và hòan tất tiến trinh cài đặt


ĐT: (08) 62.678.999 Fax: (08) 62.837.867



THỰC TẾ

Giao diện chính của chương trình:


ĐT: (08) 62.678.999 Fax: (08) 62.837.867



THỰC TẾ


…..……………………………………………………………………………………………………………………………………………………………

Điểm đánh giá:………………………………………...GVHD ký tên:…………………………………………………………………….…………


ĐT: (08) 62.678.999 Fax: (08) 62.837.867



THỰC TẾ

1

BÀI HỌC 4

Kỹ năng đạt

được

Triển khai cấu

hình Site-to-Site

IPSec VPN.

Triển khai cấu

hình Easy VPN

Server.

Triển khai cấu

hình Cisco VPN

Client.

BÀI TẬP 01

Tình huống 1

Mô tả nội dung : Công ty bạn có nhiều chi nhánh và bạn muốn kết nối giữa các chi nhánh với nhau. Xây dựng mô hình kết nối

dùng VPN IPSec giữa các chi nhánh với trung tâm hoặc các phòng ban đặt xa nhau trong một tổ chức thông qua mạng của nhà

cung cấp dịch vụ ISP.

Yêu cầu thực hiện : Hình thành đường hầm bảo mật IPSec giữa Site1 và Site2 để đảm bảo an toàn cho dữ liệu khi truyền qua các

mạng công cộng

Hướng dẫn thực hiện “step by step” :

Chuẩn bị mô hình giống như hình vẽ : gồm 3 Router

Router 1 : Site 1 , Router 2 : Site 2 , Router 3 : ISP

BƯỚC 1 : ĐẶT ĐỊA CHỈ IP CHO CÁC ROUTER :

…

…


ĐT: (08) 62.678.999 Fax: (08) 62.837.867



THỰC TẾ

Đặt địa chỉ ip cho Site1 như mô hình :

Đổi tên Site 1 :

Router>

Router>enable

Router#config terminal

Enter configuration commands, one per line. End with CNTL/Z.

Router(config)#hostname SITE1

Đặt địa chỉ IP cho Site 1 :

SITE1(config)#interface fastethernet 1/0

SITE1(config-if)#ip add 10.10.10.1 255.255.255.0

SITE1(config-if)#no shutdown

SITE1(config)#interfac loopback 0

SITE1(config-if)#ip add 192.168.1.1 255.255.255.0

SITE1(config-if)#no shutdown

Kiểm tra địa chỉ ip :

SITE1#show ip interface brief

FastEthernet1/0 10.10.10.1 YES manual up up

Loopback0 192.168.1.1 YES manual up up

Tương tự như vậy đặt địa chỉ IP cho router : ISP và SITE2 như hinh vẽ


ĐT: (08) 62.678.999 Fax: (08) 62.837.867



THỰC TẾ

BƯỚC 2 : CẤU HÌNH STATIC ROUTE CHO SITE1 VÀ SITE2 ĐƯỜNG MẠNG : 10.10.10.0 & 10.10.11.0

Trên Site1 :

SITE1(config)#ip route 0.0.0.0 0.0.0.0 fastethernet 1/0

Làm tương tự như vậy đối với Site2 và kiểm tra kết quả kết nối giữa 2 Site :

SITE2#ping 10.10.10.1



!!!!!

TẠO ACCESS CONTROL LIST XÁC ĐỊNH SUBNET ĐƯỢC BẢO MẬT :

Trên Site1 :

SITE1(config)#access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.10.0 0.0.0.255

Cấu hinh ACCESS CONTROL tương tự như vậy đối với Site2 : đổi lại vị tri các đường mạng cho phù hợp

BƯỚC 3 : CẤU HÌNH IPSEC-VPN

Tạo IKE Phase 1

Trên route 1 : Tạo IKE Phase 1

SITE1(config)#crypto isakmp policy 1

SITE1(config-isakmp)#authentication pre-share

SITE1(config-isakmp)#encryption des


ĐT: (08) 62.678.999 Fax: (08) 62.837.867



THỰC TẾ

SITE1(config-isakmp)#group 2

Tiếp theo khởi tạo khóa chung :

SITE1(config)#crypto isakmp key 123456 add 10.10.11.1

Trên route 2 : Tạo IKE Phase 1

Vì cấu hình giữa 2 Site đòi hỏi sự giống nhau hoàn toàn về các thông số nên có thể tham chiếu các câu lệnh này cho Site2, chỉ có

phần địa chỉ là xét cho Site1.

SITE2(config)#crypto isakmp key 123456 add 10.10.10.1

Tạo IKE Phase 2

Trên route 1 :

SITE1(config)#crypto ipsec transform-set detai ah-md5-hmac esp-des

SITE1(config)#crypto map vpn 10 ipsec-isakmp

% NOTE: This new crypto map will remain disabled until a peer

and a valid access list have been configured.

SITE1(config-crypto-map)#set peer 10.10.11.1

SITE1(config-crypto-map)#set transform-set detai

SITE1(config-crypto-map)#match address 101

Trên router 2 :


ĐT: (08) 62.678.999 Fax: (08) 62.837.867



THỰC TẾ

SITE2(config)#crypto ipsec transform-set detai ah-md5-hmac esp-des

SITE2(config)#crypto map vpn 10 ipsec-isakmp

SITE2(config-crypto-map)#set peer 10.10.10.1

SITE2(config-crypto-map)#set tran detai

SITE2(config-crypto-map)#match add 101

SITE2(config-crypto-map)#exit

Và cuối cùng : Áp dụng Crypto map cho interface dùng để tạo tunnel :

SITE1(config)#interface f1/0

SITE1(config-if)#cry

SITE1(config-if)#crypto map vpn

SITE2(config)#INTERFACE f1/0

SITE2(config-if)#cryp

SITE2(config-if)#crypto map vpn

BƯỚC 4 : KIỂM TRA KẾT NỐI IPSEC VPN SITE - TO - SITE

PING giữa hai SITE :

SITE1#ping 192.168.10.1 source 192.168.1.1




ĐT: (08) 62.678.999 Fax: (08) 62.837.867



THỰC TẾ

Packet sent with a source address of 192.168.1.1

!!!!!


Kết nối thành công !!!!

PING không dùng địa chỉ source :

SITE1#ping 192.168.10.1



.....

Success rate is 0 percent (0/5)

Kết nối không được : Chỉ có các mạng được kết nối VPN mới thấy được bằng dải địa chỉ IP khi cấu hình Access Control List

KIỂM TRA THÔNG SỐ ISAKMP :

TRÊN SITE 1 :

SITE1#show crypto isakmp policy

Global IKE policy

Protection suite of priority 1


ĐT: (08) 62.678.999 Fax: (08) 62.837.867



THỰC TẾ

encryption algorithm: DES - Data Encryption Standard (56 bit keys).

hash algorithm: Message Digest 5

authentication method: Pre-Shared Key

Diffie-Hellman group: #2 (1024 bit)

lifetime: 86400 seconds, no volume limit

Default protection suite


hash algorithm: Secure Hash Standard

authentication method: Rivest-Shamir-Adleman Signature


lifetime: 86400 seconds, no volume limi

TRÊN SITE 2 :

SITE2#show crypto isakmp policy

Global IKE policy

Protection suite of priority 1


hash algorithm: Message Digest 5

authentication method: Pre-Shared Key



Default protection suite



ĐT: (08) 62.678.999 Fax: (08) 62.837.867



THỰC TẾ

hash algorithm: Secure Hash Standard

authentication method: Rivest-Shamir-Adleman Signature



CÁC THÔNG SỐ GIỐNG NHAU .HOÀN THÀNH KẾT NỐI IPSEC – VPN SITE – TO – SITE !!!!!

Tình huống 2

Mô tả nội dung : Công ty có các thành viên làm việc di động ở bên ngoài công ty có nhu cầu kết nối để truy cập các dữ liệu một

cách bảo mật, hay những nhân viên làm việc tại nhà. Những nhân viện này có thể thông qua ISP kết nối về Site và làm việc, chia sẻ

cũng như nhận dữ liệu như khi có mặt tại công ty. Thực hiện mô hình kết nối Easy VPN sử dụng SDM.

…

…


ĐT: (08) 62.678.999 Fax: (08) 62.837.867



THỰC TẾ

Yêu cầu thực hiện : Các nhân viên đi làm việc bên ngoài có thể kết nối vào hệ thống công ty , đảm bảo tính bảo mật khi kết nối

Gợi ý thực hiện : Chuẩn bị mô hình giống như hinh trên : Với 2 Router và cài đặt phần mềm SDM

Thực hiện theo từng bước như sau :

BƯỚC 1 : CẤU HÌNH ĐỊA CHỈ IP THEO NHƯ MÔ HÌNH :

Cấu hinh địa chỉ IP cho các Interface trên ISP và VPNServer, định tuyến default route cho VPNSERVER trên interface fastEthernet

1/0 .Phần cấu hinh tương tự đã làm ở mô hình trên

Trên ISP đặt địa chỉ IP :

ISP#show ip interface brief



Trên VPNSERVER đặt địa chỉ IP :

VPNSERVER#show ip int bri




ĐT: (08) 62.678.999 Fax: (08) 62.837.867



THỰC TẾ

Định tuyến Default route cho VPNSERVER :

VPNSERVER(config)#ip route 0.0.0.0 0.0.0.0 fastethernet 1/0

BƯỚC 2 : CẤU HÌNH VPNSERVER CÓ THỂ GIAO TIẾP VỚI ROUTER BẰNG SDM :

Bật chức năng http và https của Router (SDM cho phép lực chọn giữa http và https), Router sẽ tự sinh ra khóa RSA 1024 bit để mã

hóa đồng thời việc xác thực này sẽ được thực hiện nội bộ, không có sự tham gia của bên thứ 3

VPNSERVER(config)#ip http server

VPNSERVER(config)#ip http secure-server

% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]

VPNSERVER(config)#ip http authentication local

VPNSERVER(config)#line vty 0 4

VPNSERVER(config-line)#login local

VPNSERVER(config-line)#privilege level 15

VPNSERVER(config-line)#transport input telnet

VPNSERVER(config-line)#transport input telnet ssh

VPNSERVER(config-line)#exit

Tạo username

VPNSERVER(config)#username ispace privilege 15 pass ispace

BƯỚC 3 : CẤU HÌNH EASY VPN TRÊN SDM :


ĐT: (08) 62.678.999 Fax: (08) 62.837.867



THỰC TẾ

Sử dụng 2 card ảo : VMNet 1 và VMNet 8 để kết nối SDM với Router . Trên máy thật có thể tạo những Card Loopback……

Khởi động giao diện SDM, nhập vào địa chỉ VPNServer, click Launch để khởi tạo kết nối.

Giao diện khởi động kết nối SDM

SDM sẽ tự khởi động trình duyệt Web mặc định trên máy tính yêu cầu nhập username và password xác thực với Router. Nhập

username và password đã tạo trong Router

Username : ispace

Password : ispace

click OK.


ĐT: (08) 62.678.999 Fax: (08) 62.837.867



THỰC TẾ

Sau khi đăng nhập, SDM sẽ lấy thông số Router cho hiển thị lên màn hình làm việc chinh như trên, người sử dụng có thể quan sát

thấy dòng sản phẩm, bộ nhớ…và nhiều hơn thế. Tại đây, click Configure ở thanh công cụ phía trên, sau đó chọn Tab VPN, click vào

Easy VPN Server

Do việc cấu hinh Easy VPN Server đòi hỏi Router chạy ở chế độ AAA (Authentication, Authorization, Accounting – Chế độ xác thực,

giới hạn quyền và theo dõi người sử dụng), click Enable AAA và chờ SDM khởi động AAA model tại Router. Tiếp theo click Launch

Easy VPN Server Wizard để thực hiện các bước chính cấu hình VPN Server.


ĐT: (08) 62.678.999 Fax: (08) 62.837.867



THỰC TẾ

Xác định interface thực hiện VPN Server và chọn chế độ xác thực :

Chính sách ISAKMP (ISAKMP policy) có thể sử dụng mặc định của SDM cũng có thể click Add để tạo chính sách riêng của người

quản trị về thuật toán mã hóa, độ ưu tiên, thuật toán băm., thuật toán xác thực, và chiều dài khóa…click OK để hoàn tất việc tạo

policy. Cuối cùng click Next.


ĐT: (08) 62.678.999 Fax: (08) 62.837.867



THỰC TẾ

Quá trình tạo Tranform-set diễn ra tương tự như tạo ISAKMP policy với các tùy chọn cho phép. Tạo xong click OK và Next


ĐT: (08) 62.678.999 Fax: (08) 62.837.867



THỰC TẾ

Xác định chính sách bảo mật cho một nhóm người truy cập VPN Server


ĐT: (08) 62.678.999 Fax: (08) 62.837.867



THỰC TẾ

Chọn xác thực người dùng và tim kiếm xác thực ngay trên Router

Người quản trị cũng có thể tạo thêm username và password trong phần Add User Credentials.

Click Add và SDM sẽ cung cấp cho người quản trị một cửa sổ nhiều Tab. Tab để xác định nhóm, mã xác thực cho nhóm (dùng để

chứng thực VPN) dải địa chỉ sẽ cung cấp cho người dùng cùng nhiều tùy chọn khác. Ngoài việc này, Router của Cisco cũng hỗ trợ

tab Split Tunneling trong SDM, click Add để thêm ACL, OK để hoàn thành.


ĐT: (08) 62.678.999 Fax: (08) 62.837.867



THỰC TẾ

Tạo ACL trong Split Tunneling

Sau khi cấu hinh xong các bước, SDM cho phép người quản trị xem lại các thông tin cấu hình, sau khi click OK, SDM sẽ tiến hành

đưa cấu hinh vào Router dưới dạng dòng lệnh, sau đó tiến hành kiểm tra lại cấu hinh mà người quản trị đã tạo có hợp lệ, có sai sót

không. Click Finish.


ĐT: (08) 62.678.999 Fax: (08) 62.837.867



THỰC TẾ

Hoàn tất quá trình kiểm tra


ĐT: (08) 62.678.999 Fax: (08) 62.837.867



THỰC TẾ

Disable NIC VMNet8 (NIC kết nối với 11.1.1.1 để cấu hình VPNServer).

Bây giờ tại Client, thực hiện chạy Cisco VPN Client.

Giao diện chinh của Cisco VPN Client

Tại giao diện chinh click New để tạo một kết nối VPN tới VPN Server, nhập vào các thông tin đã khởi tạo tại VPN Server. Click Save

để lưu thông tin, sau đó click đôi vào dòng thông tin vừa tạo để thực hiện kết nối.


ĐT: (08) 62.678.999 Fax: (08) 62.837.867



THỰC TẾ

Khi Client kết nối được tới Server, Server sẽ yêu cầu xác thực, nhập username và password đã cấu hình từ trước. Click OK.

Sau khi thiết lập kết nối thành công, NIC sẽ được cấp một địa chỉ nằm trong dải địa chỉ của VPN Server. Lúc này Client sẽ sử dụng

như các PC trong mang LAN của VPN Server.

HOÀN TẤT CẤU HÌNH EASY VPN !!!!

Sinh viên ghi tóm tắt quá trình thực hiện:…………………………………………………………………………………………………..

………………………………………………………………………………………………………………………………………………………………


ĐT: (08) 62.678.999 Fax: (08) 62.837.867



THỰC TẾ

ĐÁNH GIÁ KẾT QUẢ THỰC HÀNH CUỐI MH/MĐ: Điểm trung bình:………….. (Đạt: >=5) GV ký tên:………………………………..

........................., Ngày ... tháng ... năm ...................

Giảng viên giảng dạy

FIT - Xay Dung He Thong an Ninh Mang - Firewall

Documents

Transcript of FIT - Xay Dung He Thong an Ninh Mang - Firewall