TRƯỜNG CAO ĐẲNG KINH TẾ CÔNG NGHỆ
KHOA CÔNG NGHỆ THÔNG TIN
oOo
BÁO CÁO KẾT QUẢ
THỰC TẬP TỐT NGHIỆP
ĐỀ TÀI :
NGHIÊN CỨU VÀ TRIỂN KHAI BẢO MẬT HỆ
THỐNG MẠNG VỚI ACL TRÊN ROUTER
SVTH: Trần Thanh Tại
Trần Minh Bằng
Đặng Anh Thoại
Phạm Văn Hải
Hồ Minh Lộc
Lớp:
C6TH3
Ni
ên Khóa: 2010 –
2013.
GVHD: Nguyễn Kim Việt
TP.HCM, tháng 04 năm
2013
LỜI CẢM
ƠN
Để viết hoàn thành được một đề tài không phải là dễ đối với em vì em
không
phải là người giỏi trong việc viết lách. Trong quá trình thực hiện đề tài thì em cũng
đã
gặp rất nhiều khó khăn nhưng đã được sự giúp đỡ và lời động viên chân thành
của
nhiều người để em có thể hoàn thành tốt đề tài
này.

Phạm Văn Hải
Hồ Minh Lộc
Trang
i
GIỚI THIỆU TỔNG QUÁT VỀ CÔNG TY CỔ PHẦN TIN HỌC KỸ
NGUYÊN
I. Giới thiệu chung về công ty Cổ phần tin học máy tính Kỷ Nguyên
1.1 Quá trình hình thành và phát triển
Nắm bắt được nhu cầu về sử dụng máy tính của người Việt Nam trong những
năm gần đây, bắt đầu từ khi nhận giá của mặt hàng còn sử dụng trong gia đình, nhất là gia
đình có thu nhập thấp, và thực tế cho thấy đôi khi các sinh viên dù theo ngành công nghệ
thông tin nhưng cũng không đủ khả năng mua máy tính để học, trong các trường học
không đủ kinh phí để trang trải cho vấn đề giáo dục… Công ty cổ phần tin học Kỷ Nguyên
đã được thành lập với mục tiêu hướng tới người tiêu dung có thu nhập thấp. Mong muốn
của mọi người đều tiếp cận thông tin, nắm giữ thông tin theo kịp sự phát triển chung của
xã hội: công ty đã đầu tư và phát triển các mặt hàng vi tính giá rẻ mà vẫn đảm bảo được
chất lượng và đáp ứng nhu cầu sử dụng của người tiêu dùng. Sau 15 năm hoạt động, song
song với sự tiến bộ của ngành công nghệ thông tin là sự tin tưởng và tín nhiệm của người
tiêu dùng đối với công ty Kỷ Nguyên.
Công ty Kỷ Nguyên được thành lập 30/4/1998 do sở kế hoạch và đầu tư cấp giấy
phép kinh doanh số: 4102004450 với tổng số vốn điều lệ là 1 tỷ đồng do ông: Trần Viết Ý
đứng ra sang lập.
Trụ sở công ty đặt tại số: 153 Lê Thị Riêng, P.Bến Thành, Q.1,TP.Hồ Chí
Minh.
Điện thoại: (08) 9253949 – 9253950 – 9293951.
Fax: (08) 8396851.
Mail:
Lúc đầu công ty lấy tên là công ty TNHH Ứng dụng và phát triển tin học Kỷ
Nguyên. Do nhu cầu kinh doanh đến ngày 20/07/2012 đổi tên thành công ty cổ phần tin
học Kỷ Nguyên.

 Quyền hạn: định hướng kế hoạch tổ chức kinh doanh của công ty nói chung ,
tổ chức bộ máy điều hành, thành lập hoạc giải thể công ty, bổ nhiệm đều động bộ phận
nhân sự trong công ty, quyết định việc hợp tác đầu tư, liên doanh liên kết chuyển nhượng
mua bán, cầm cố các loại tài sản và vấn đề liên quan đến kinh tế khác của công ty.
2.3 Các phòng ban.
- Phòng kế toán: có chức năng tham mưu cho giám đốc về việc quản lý vốn ,
bảo tồn sử dụng và phát triển vốn, xác định việc sử dụng vốn hiệu quả, đồng thời tham gia
giám sát quản lý và sát hạch toàn bộ hoạt động của công ty, chấp hành nghĩ vụ pháp lệnh
ngân sách và các chế độ chính sách nhà nước ban hành.
- Phòng kinh doanh: là bộ phận trợ giúp cho công ty kinh doanh về lĩnh vực
kinh doanh mà công ty đã đăng ký, giúp công ty tiếp cận khách hàng để giới thiệu sản
phảm và tìm kiếm thị trường mới, thực hiện các hợp đồng mua bán trong nước đối với các
sản phảm do công ty thiết kế.
- Phòng kỹ thuật: thực hiện công việc bảo trì nâng cấp sữa chữa máy móc thiết
bị máy tính và các thiết bị mạng….
- Phòng máy in và monitor: thực hiện công việc sữa chữa và bảo trì các loại máy
in, photocopy và màn hình máy tính….
- Phòng BV và PCCC: thực hiện công tác an ninh, bảo vệ thiết bị vật tư tài sản,
an toàn PCCC và các quy định ra vào công ty tuần tra canh gác.
III. Những thuận lợi và khó khăn của công ty hiện nay
4.1 Thuận lợi.
Do công ty biết giữ chữ tín với khách hàng nên mặc dù có nhiều sự cạnh tranh cao
nhưng công ty vẫn có nhiều đối tác, ký hợp đồng ổn định, thu hút được nhiều khách hàng
mới.
Việc tổ chức thiết kế, sản xuất được trang bị hệ thống hiện đại thường xuyên kiểm
tra nâng cấp, các nhân viên không ngừng học hỏi trao dồi kinh nghiệm trong công tác quản
lý, ngoài ra công ty còn đội ngũ nhân viên với tay nghề cao và nhiều kinh nghiệm.
Thành phố Hồ Chí Minh là trung tâm kinh tế lớn của nhà nước , phần lớn công ty
kinh doanh nghiệp tập trung về day kinh doanh mua bán, ngày nay với thời đại thông tin
ngày càng phát triển mạnh internet là một lợi thế để tiếp xúc với thông tin đây là một trong

1.1 GIỚI THIỆU VỀ AN NINH MẠNG
3
1.1.1 An ninh mạng là gì
?

3
1.1.2 Kẻ tấn công là ai
? 4
1.1.3 Lỗ hổng bảo
mật

5
1.2 ĐÁNH GIÁ VẤN ĐỀ AN TOÀN, BẢO MẬT HỆ THỐNG MẠNG
6
1.2.1 Phương diện vật
lý 6
1.2.2 Phương diện logic
6
CHƯƠNG
2: TỔNG QUAN VỀ ACL
9
2.1 GIỚI THIỆU ACL
9
2.1.1 Standard Access Control
List

10
2.1.2 Extended Access Control List
15
2.1.3 Một số loại ACL

3.5 CẤU HÌNH ACCESS CONTROL LIST TRÊN
VLAN

48
3.6 TỔNG KẾT
55
3.6.1 Đánh Giá Mô Hình Hệ Thống
55
3.6.2 So Sánh Standard ACL Và Extended ACL
56
3.6.3 So Sánh ACL Trên Router Và ACL Firewall
(ISA/
TMG)
57
KẾT LUẬN
59
NHỮNG VẤN ĐỀ ĐẠT ĐƯỢC QUA
Đ
Ề TÀI
59
HẠN CHẾ
59
HƯỚNG PHÁT TRIỂN ĐỀ TÀI
60
TÀI LIỆU THAM KHẢO

NHẬN XÉT CỦA CÁN BỘ HƯỚNG DẪN

Trang
ii

Services
Từ chối dịch
vụ
EIGRP
Enhanced Interior
Getway
Routing
Protocol
Giao thức định tuyến
EIGRP
FTP
File Transfer
Protocol
Giao thức truyền
file
HTTP
Hyper Text
Transfer
Protocol
Giao thức truyền siêu văn
bản
IC3
Internet and
Computing
Core
Certification
Tổ chức thước đo chuẩn
quốc
tế về thành thạo máy
tính

Protocol
Giao thức điều khiển lớp
giao
vận
TCP/IP
Transmission
Control
Protocol/Internet
Protocol
Chồng giao thức
TCP/IP
UDP
User Datagram
Protocol
Giao thức
UDP
VLAN
Virtual Local Area
Network
Mạng LAN
ảo
Trang
iv
DANH MỤC HÌNH
VẼ
Số
hi
ệu
hì
nh

2.6
Mô hình hoạt động Dynamic
ACL 22
Hình
2.7
Ví dụ về Reflexive
ACL 23
Hình
2.8
Nguyên lý hoạt động
Inbound 25
Hình
2.9
Nguyên lý hoạt động
Outbound 26
Hình
2.10
Mô tả Wildcard
Mask 27
Hình
3.1
Mô hình tổng quan về hệ thống
mạng 29
Hình
3.2
Mô hình cấu hình Standard
ACL 30
Hình
3.3
Gói tin xuất phát từ máy Admin ip

Gói tin được cho phép vào Router Hà
Nội 34
Hình
3.11
Gói tin đến máy chủ FTP thành
công 35
Hình
3.12
Gói tin xuất phát từ
May06 35
Hình
3.13
Gói tin bị chặn tại Router Hà
Nội 36
Hình
3.14
Gói tin thông báo bị chặn được gởi đến
May06 36
Hình
3.15
Gói tin xuất phát từ
May06 37
Hình
3.16
Gói tin đến Router Đà
Nẵng 37
Trang
v
Hình
3.17

Hình
3.25
Gói tin xuất phát từ
May06 42
Hình
3.26
Gói tin lên đến Router Sài Gòn thì bị chặn
lại 42
Hình
3.27
Gói tin thông báo bị
chặn 43
Hình
3.28
Cấu hình Extended ACL với
Named 43
Hình
3.29
Cấu hình chặn gói ping từ site Sài Gòn đến
các
máy
chủ
44
Hình
3.30
Show cấu hình Extended
ACL 45
Hình
3.31
Ping không thành công từ Site Sài Gòn đến

Ping từ VLAN 1 đến VLAN
2 50
Hình
3.39
Cấu hình Extended
ACL 51
Hình
3.40
Show cấu hình
ACL 51
Hình
3.41
Kiểm tra VLAN 1 ping đến VLAN 2 và VLAN
3 52
Hình
3.42
Cấu hình cho phép VLAN 1 truy cập máy
chủ
WEB tại VLAN
3
52
Hình
3.43
Kết quả khi VLAN 1 truy cập đến VLAN
3 53
Hình
3.44
VLAN 1 truy cập máy chủ FTP thành
công 53
Trang

bảng
Tên
bảng Trang
1
So sánh subnet mask và wildcard
mask 28
2
So sánh giữa Standard ACL và Extended
ACL 56
3
So sánh giữa ACL Router và ACL Firewall
mềm 57
Trang
viii
Nghiên cứu và triển
k
hai bảo mật hệ thống mạng với ACL trên
Router GVHD:Nguyễn Kim Việt
Trường Cao Đẳng Kinh Tế - Công Nghệ TP.HCM Trang
1
MỞ
ĐẦU
Để có thể hiểu rõ về đề tài này hơn thì dưới đây là các mục cơ bản nhất giúp ta
có
thể biết được mục tiêu cũng như phương hướng đi của đề
tài.

Lý do chọn đề
tài
Nói đến bảo mật thì người ta phân thành 2 thành phần bảo vệ: bảo mật lớp

lập.

Phương pháp nghiên
cứu
Thu thập thông tin và phân tích các tài liệu, thông tin liên quan đến
ACL.
 Chắc lọc các thông tin cần
thiết.
 Từ đấy mới so sánh ACL trên Router và Firewall
(mềm).
 Xây dụng mô hình hệ thống tổng quan và demo cấu hình
ACL.
 Kiểm tra thử, đánh giá và rút ra kết
luận.

Ý nghĩa khoa học và thực tiễn của đề
tài
 Ý nghĩa khoa học: Tìm hiểu về ACL dựa trên những tài liệu đã
được

chuẩn
hóa thẩm
định.
Trường Cao Đẳng Kinh Tế - Công Nghệ TP.HCM Trang
2
Nghiên cứu và triển
k
hai bảo mật hệ thống mạng với ACL trên
Router GVHD:Nguyễn Kim Việt
 Thực tiễn: Áp dụng rộng rãi với các doanh nghiệp và công ty. Với

khá quan tâm. Một khi internet ra đời và phát triển, nhu cầu trao đổi thông tin trở
nên
cần thiết. Mục đích của việc kết nối mạng là làm cho mọi người có thể sử dụng
chung
tài nguyên mạng từ những vị trí địa lý khác nhau. Chính vì vậy mà các tài nguyên
dễ
dàng bị phân tán, hiển nhiên một điều là chúng ta dễ bị xâm phạm, gây mất mát
dữ
liệu cũng như các thông tin có giá trị. Kết nối càng rộng thì càng dễ bị tấn công, đó
là
một quy luật tất yếu. Từ đó, vấn đề bảo vệ thông tin cũng đồng thời xuất hiện và
như
thế là an ninh mạng ra
đời.
Ví dụ: User A gởi một tập tin cho User B trong phạm vi là nước Việt Nam thì
nó
khác xa so với việc User A gởi tập tin cho User C ở Mỹ. Ở trường hợp đầu thì dữ
liệu
có thể mất mát với phạm vi nhỏ là trong nước nhưng trường hợp sau thì việc mất
mát
dữ liệu với phạm vi rất rộng là cả thế
giới.
Một lỗ hổng trên mạng đều là mối nguy hiểm tiềm tàng. Từ một lổ hổng bảo
mật
nhỏ của hệ thống, nhưng nếu biết khai thác và lợi dụng kỹ thuật
hac
k điêu luyện
thì
cũng có thể trở thành mối đe dọa
lớn.

Thậm chí,
mạng điện thoại, mạng di động
c
ũng không nằm ngoài cuộc. Vì vậy
chúng
ta nói rằng,
phạm vi của bảo mật rất lớn, nói không còn gói gọn trong một máy
tính
một cơ quan mà là
toàn
cầu.
1.1.2 Kẻ tấn công
l
à ai
?
Kẻ tấn công người ta thường gọi là Hacker. Là những kẻ tấn công vào hệ
thống
mạng
với nhiều mục đích khác nhau. Trước đây Hacker được chia làm 2 loại
nhưng
hiện nay thì
được chia thành 3
loại:

Hacker mũ
đen
Đây là tên trộm chính hiệu, với những Hacker có kinh nghiệm thì đặc biệt
nguy
hiểm
đối với hệ thống mạng. Mục tiêu của chúng là đột nhập vào hệ thống mạng


Hacker mũ
xám
Loại này được sự kết hợp giữa hai loại trên. Thông thường họ là những
người
còn trẻ, muốn thể hiện mình. Trong một thời điểm, họ đột nhập vào hệ thống để
phá
phách. Nhưng trong thời điểm khác họ có thể gửi đến nhà quản trị những thông tin
về
lổ hổng bảo mật và đề xuất cách vá
lỗi.
Ranh giới phân biệt các Hacker rất mong manh. Một kẻ tấn công là Hacker
mũ
trắng trong thời điểm này nhưng ở thời điểm khác họ lại là một tên trộm
chuyên
nghiệp.
1.1.3 Lỗ hổng bảo
mật.
Các lỗ hổng bảo mật trên một hệ thống là các điểm yếu có thể tạo ra sự ngưng
trệ
của dịch vụ, thêm quyền đối với người sử dụng hoặc cho phép các truy nhập
không
hợp pháp vào hệ thống. Các lỗ hổng cũng có thể xuất hiện ngay trong hạ tầng
mạng
hoặc nằm ngay trên các dịch vụ cung cấp như Sendmail, Web, Ftp, Ngoài ra các
lỗ
hổng còn tồn tại ngay chính các hệ điều hành như: Windows XP, 7, Ubuntu,
hoặc
trong các ứng dụng mà người sử dụng thường xuyên sử dụng như: Office,
trình

Các lỗ hổng loại này cho phép thực hiện các phương thức tấn công theo
DoS.
Mức độ nguy hiểm thấp, chỉ ảnh hưởng tới chất lượng dịch vụ, có thể làm ngưng
trệ,
gián đoạn hệ thống; không làm phá hỏng dữ liệu hoặc được quyền truy nhập bất
hợp
pháp.
1.2 ĐÁNH GIÁ VẤN ĐỀ AN TOÀN, BẢO MẬT HỆ THỐNG
MẠNG
Để đảm bảo an ninh cho hệ thống mạng, cần phải xây dựng một số tiêu
chuẩn
đánh giá mức độ an ninh, an toàn cho hệ thống mạng. Một số tiêu chuẩn đã được
thừa
nhận là thước đo mức độ an ninh của hệ thống
mạng.
1.2.1
Phương

di
ện vật
l

ý

Có thiết bị dự phòng nóng cho các tình huống hỏng đột ngột. Có khả năng
thay
thế nóng từng phần hoặc toàn phần (hot-plug,
hot-swap).

Bảo mật an ninh nơi lưu trữ các máy

nhau.
Ví dụ: User A gởi email cho User B thì email đó chỉ có User A và User B
mới
biết được nội dung của lá mail, còn những User khác không thể biết được. Giả sử
có
User thứ 3 biết được nội dung lá mail thì lúc này tính bí mật của email đó không
còn
nữa.

Tính xác thực
(Authentication)
Liên quan tới việc đảm bảo rằng một cuộc trao đổi
thô
ng tin là đáng tin cậy
giữa
Trường Cao Đẳng Kinh Tế - Công Nghệ TP.HCM Trang
8
Nghiên cứu và triển
k
hai bảo mật hệ thống mạng với ACL trên
Router GVHD:Nguyễn Kim Việt
người gởi và người
nhận.
Trong trường hợp một tương tác đang xảy ra, ví dụ
kế
t nối của một đầu cuối
đến
máy chủ, có hai vấn đề sau: thứ nhất tại thời điểm khởi tạo kết nối, dịch vụ đảm
bảo
rằng hai thực thể là đáng tin. Mỗi chúng là một thực thể được xác nhận. Thứ hai,

toàn
tương tự, khi một bản tin được nhận, bên gửi có thể chứng minh được bản tin đó
đúng
thật được nhận bởi người nhận hợp
lệ.
Ví dụ: User A gởi email cho User B thì User A không thể từ chối rằng A
không
gởi mail cho
B.

Tính sẵn sàng
(Availability)
Một hệ thống đảm bảo tính sẵn sàng có nghĩa là có thể truy nhập dữ liệu bất
cứ
lúc nào mong muốn trong vòng một khoảng thời gian cho phép. Các cuộc tấn
công
khác nhau có thể tạo ra sự mất mát hoặc thiếu về sự sẵn sàng của dịch vụ.
Tí
nh
khả
dụng của dịch vụ thể hiện khả năng ngăn chặn và khôi phục những tổn thất của
hệ
thống do các cuộc tấn công gây
ra.
Ví dụ: Server web là hoạt động hàng ngày để phục vụ cho web client nghĩa là
bất
cứ khi nào, ở đâu Server web cũng sẵn sàng để phục vụ cho web
client.
Trường Cao Đẳng Kinh Tế - Công Nghệ TP.HCM Trang
9

Ngày nay cùng với sự tiến bộ của khoa học và công nghệ. Hệ thống mạng là
một
giải pháp được lựa chọn hàng đầu cho việc truyền tải dữ liệu và vì vậy bảo mật
trong
hệ thống mạng là một vấn đề đang được quan tâm. Một trong những công cụ rất
quan
trọng trong Router được dùng trong lĩnh vực bảo mật là Access Control List
(ACL).
Đây là một tính năng giúp bạn có thể cấu hình trực tiếp trên Router để tạo ra một
danh
sách các địa chỉ mà bạn có thể cho phép hay ngăn chặn việc truy cập vào một địa
chỉ
nào
đó.
ACL lọc các gói tin bằng cách kiểm tra các gói tin nếu gói tin được phép
thì
chuyển tiếp gói tin đó cho qua còn nếu không được phép thì chặn ngay các gói
tin
ngay cổng vào của Router. ACL có thể kiểm tra bằng các điều kiện sau: địa chỉ
nguồn,
địa chỉ đích, giao thức và số hiệu port ở lớp
trên.
Trước đây thì tính năng ACL chỉ có trong các Router đắt tiền như Router
Ci

sco
1841, 2811, nhưng giờ đây thì tính năng ACL được tích hợp với các ADSL
hay
Router Wireless. Tính năng ACL trên ADSL hay Router Wireless được cấu hình
trên

của
Trường Cao Đẳng Kinh Tế - Công Nghệ TP.HCM Trang
11
Nghiên cứu và triển
k
hai bảo mật hệ thống mạng với ACL trên
Router GVHD:Nguyễn Kim Việt
Router. Ví dụ: Cho phép các lưu lượng Email được lưu thông nhưng chặn lưu
lượng
video.
Cho phép người quản trị mạng điều khiển được các phạm vi mà các Client
được
quyền truy cập vào trong hệ thống mạng. Ví dụ: Vì lý do bảo mật thông tin, phòng
ban
IT không được quyền truy cập vào phòng ban kế toán nhưng ngược lại thì
được.

Access List có 2 loại chính là Standard Access List và Extended Access
List.
2.1.1 Standard Access Control
Li

st
Đây được coi là danh sách đơn giản nhất, nó chỉ lọc địa chỉ nguồn trong
header
của IP packet vì thế chúng hoạt động tại lớp 3
t
rong mô hình OSI hay lớp
Internet
trong mô hình TCP/IP. Standard ACL có thể đặt theo chiều Inbound hoặc

kiểm
tra theo địa chỉ
nguồn).
+ Trường hợp 2: Đặt Standard ACL tại Router C cũng như trường hợp 1
network
A không thể truy cập đến network B và network A cũng không thể truy cập đến
Router
D được như vậy thì trường hợp này cũng không
ổn.
+ Trường hợp 3: Đặt Standard ACL tại Router B vậy thì nếu như Router B
nhận
được gói tin từ network A nó sẽ chặn ngay lập
tức
. Ngoài ra network A còn có thể
truy
cập đến network C và Router D được nữa. Đây là trường hợp ổn thõa
nhất.
Qua ví dụ nho nhỏ trên ta thấy được tầm quan trọng của ACL cũng như sự
hiểu
biết của người quản trị viên về nguyên lý hoạt động của
ACL.

Nguyên lý hoạt động của Standard
ACL

Trích đoạn So sánh giữa Subnet Mask và Wildcard Mask So Sánh Standard ACL Và Extended ACL

---