xây dựng firewall asa và ips bảo vệ mạng
B Ộ GI Á O D Ụ C V À ĐÀO T Ạ O TR ƯỜ NG ĐẠ I H Ọ C HOA SEN KHOA KHOA H Ọ C V À CÔN G NGH Ệ X ÂY D Ự NG F IR EWALL AS A V À IPS B Ả O V Ệ M Ạ NG Gi ả ng vi ê n h ướ ng d ẫ n : T h ầ y Đ inh N g ọ c Luy ệ n Nh ó m s inh vi ê n t h ự c hi ệ n: Tr ầ n Kim P h ượ ng L ê Tr ung T í n L ớ p : VT071 T h á ng 12 / n ă m 2010 TR Í CH Y Ế U L U Ậ N Á N Tro ng t h ờ i g i a n t h ự c hi ệ n kh ó a l u ậ n t ố t n ghi ệ p, c h ú n g t ô i đã ng hi ê n c ứ u v ề nh ữ ng c ô ng ngh ệ b ả o m ậ t sa u: T ì m hi ể u c á c c ô ng ngh ệ c h u ng c ủ a t ườ ng l ử a t ạ i l ớ p Net w ork, Transpo r t v à A pp li cat i on. Ph â n t í c h c á c d ạ ng, ph ươ ng t h ứ c ho ạ t đ ộ ng v à g i a o t h ứ c c ũ ng nh ư t hu ậ t to á n t r ong VPN. Ph â n t í c h nguy ê n l ý ho ạ t đ ộ ng, c á ch ph á t hi ệ n t ấ n c ô ng tr ê n IDS/IPS . X â y d ự ng t ườ ng l ử a h ệ t h ố ng m ạ ng t r ườ n g Đạ i h ọ c Ho a Sen, t ri ể n kh a i VP N v à I DS/I PS. Nh ờ vi ệ c s ử d ụ ng t h à nh c ô ng ph ầ n m ề m m ô ph ỏ ng c á c t hi ế t b ị m ạ ng, nh ó m c h ú ng t ô i c ó t h ể t ự t a y x â y d ự ng h ệ t h ố ng m ạ ng t r ườ n g Đạ i H ọ c H o a Sen t ừ g i a i đ o ạ n ph â n t í c h y ê u c ầ u, x á c đ ị nh c á c t à i kho ả n n g ườ i d ù ng, t hi ế t k ế , ph á c t h ả o m ô h ì nh m ạ ng đế n k hi đ i v à o c ấ u h ì nh tr ê n c á c ph ầ n m ề m m ô ph ỏ ng. Qua đó , ch ú ng t ô i đã đạ t đượ c nh ữ ng k ế t qu ả đá n g kh í c h l ệ sau: H i ể u t h ê m v ề t ườ ng l ử a, k i ế n t r ú c c ũ ng nh ư c h ứ c n ă ng t ườn g l ử a. Ngo à i ra, ch ú ng t ô i c ò n đ i s â u ph â n t í c h c á c c ô ng ngh ệ c h u ng c ủ a t ườn g l ử a t ạ i l ớ p Netwo rk , Tr an spo r t v à A pp li cat i on t r ong m ô h ì nh OSI. Nghi ê n c ứ u v ề VPN, g i ao t h ứ c s ử d ụ n g t ro ng V PN đồ ng t h ờ i t ì m hi ể u c á ch t h ứ c ho ạ t độ ng VPN. T ì m hi ể u nguy ê n l ý ho ạ t đ ộ ng IDS/IPS, ph â n t í c h c á c ph ươn g t h ứ c ph á t hi ệ n t ấ n c ô ng, l ợ i í c h c ũ ng nh ư h ạ n c h ế t ừ n g ph ươ ng t h ứ c. H i ể u đượ c c á c b ư ớ c x â y d ự ng h ệ t h ố ng m ạ ng doanh ng hi ệ p, t ừ gi a i đ o ạ n ph â n t í c h y ê u c ầ u, t hi ế t k ế s ơ đồ m ạ ng đế n b ướ c t ri ể n kh a i c ấ u h ì nh đồ ng t h ờ i ứ ng d ụ n g g i ả i ph á p VP N v à h ệ t h ố ng I DS/I PS. Đ i s â u t ì m hi ể u m ộ t s ố c ô ng ngh ệ t ri ể n kha i t h ê m nh ằ m t ă n g t í nh b ả o m ậ t an to à n d ữ l i ệ u nh ằ m b ả o đả m h ệ t h ố ng m ạ ng l u ô n s ẵ n s à n g ho ạ t độ ng l i ê n t ụ c ng a y c ả k hi g ặ p s ự c ố , t ậ n d ụ n g t ố i đ a t à i nguy ê n h ệ t h ố ng c ũ ng nh ư ph â n c hi a t ả i m ạ ng c ho d ã y t ườ ng l ử a k i ể m tra nh ư L oad Bal a n c i ng, Fa i l o ver, HSRP…; x á c t h ự c n g ườ i d ù ng v ớ i k ỹ t hu ậ t IE EE 802.1x v à c ô ng ngh ệ VOIP nh ằ m cung c ấ p d ị c h v ụ t ho ạ i c ho n g ườ i d ù ng. i M Ụ C L Ụ C Tr ang Tr í c h y ế u l u ậ n á n i M ụ c l ụ c ii Danh s á c h h ì nh vi Danh s á c h b ả ng i x L ờ i c ả m ơ n x Nh ậ n x é t c ủ a gi ả ng vi ê n h ướ ng d ẫ n xi L ờ i m ở đầ u xii P h ầ n 1 : T ổ ng quan B á o C á o 1.1 M ụ c t i ê u ng hi ê n c ứ u 1 1.2 Ph ươn g ph á p ng hi ê n c ứ u 1 1.3 Gi ớ i h ạ n đề t à i 1 1.4 K ế t c ấ u l u ậ n v ă n 1 P h ầ n 2: C ô n g ng h ệ k ỹ t hu ậ t c hun g c ủ a t ườ ng l ử a t ạ i l ớ p Ne t wo r k, Tr an s p o rt v à App licat i on 2.1 T ầ m quan t r ọ ng c ủ a vi ệ c b ả o m ậ t v à an t o à n t h ô ng t i n 2 2.2 T ổ ng quan v ề t ườ ng l ử a 3 2.2.1 Gi ớ i t hi ệ u 3 2.2.2 Ch ứ c n ă ng 4 2.3 C ô ng ngh ệ k ỹ t hu ậ t ch u ng c ủ a t ườ ng l ử a t ạ i c á c l ớ p 5 2.3.1 L ớ p Network v à Transpo r t 5 2.3.1.1 Packet F i l ter i ng 5 2.3.1.2 NA T Fi rewa ll 7 2.3.1.3 St a t ef u l Packet Fi l ter i ng 8 2.3.2 L ớ p A pp l i cat i on 9 2.3.2.1 Proxy Fi re wa ll 9 2.3.2.2 St a t ef u l I n spe ct i on Fi rewa ll (SIF) 13 2.4 Tr i ể n kh a i t ườn g l ử a t r ong h ệ t h ố ng m ạ ng doanh nghi ệ p 14 2.4.1 Ba st i on Ho st 14 2.4.2 Screened Subnet 15 2.4.3 Dua l F i rewa ll 16 P h ầ n 3 : X â y d ự n g VP N gi ữ a h ai c ơ s ở c ủa đạ i h ọ c H o a Se n 3.1 S ự c ầ n t hi ế t c ủ a VPN t r ong doanh ng hi ệ p 18 3.1.1 T ạ i sao VP N ra đờ i 18 3.1.2 VPN t h ậ t s ự c ầ n t hi ế t 18 3.2 T ổ ng quan v ề VPN 19 3.2.1 Kh á i ni ệ m VPN 19 3.2.2 L ợ i í c h VP N 19 3.2.3 C ơ s ở h ạ t ầ n g k ỹ t hu ậ t x â y d ự ng VPN 20 3.2.3.1 K ỹ t hu ậ t m ậ t m ã 20 3.2.3.2 Publi c Ke y I nf ra st ruc t ure 22 3.2.4 C á c g i ao t h ứ c VPN 26 3.2.4.1 PPT P (Po i n t – to – Po i n t T un n e li ng Protoc o l ) 26 3.2.4.2 L 2TP (La y er 2 Tunn e li ng P rotoc o l ) 27 3.2.4.3 GRE 28 3.2.4.4 IP Sec (In t ern et Protoc o l Secur i t y ) 28 3.2.5 C á c l o ạ i VPN 45 3.2.5.1 Eas y VP N 45 3.2.5.2 S i te to Si te VPN 46 3.2.5.3 SSL VPN 47 P h ầ n 4 : X â y d ự n g IP S & I DS 4.1 T ổ ng quan I PS v à IDS 51 4.1.1 Gi ớ i t hi ệ u 51 4.1.2 L ị ch s ử h ì nh t h à nh 52 4.1.3 Ngu y ê n nh â n I PS ra đờ i v à t h a y t h ế I DS 52 4.2 Ph â n l o ạ i 53 4.2.1 Ho s t -b as ed I n t rus i on P rev e n t i on S y st e m (HI PS) 53 4.2.2 Net w o rk- b as ed I n t rusi on Pr e v e n t i on S y st e m (NIPS) 55 4.3 Ngu y ê n l ý ho ạ t đ ộ ng c ủ a h ệ t h ố ng 58 4.3.1 Ph â n t í c h lu ồ ng d ữ l i ệ u 59 4.3.2 Ph á t hi ệ n t ấ n c ô ng 59 4.3.2.1 D ấ u hi ệ u t ấ n c ô ng (Si gn at ure- b as ed Det ect i on ) 59 4.3.2.2 D ấ u hi ệ u b ấ t t h ườ ng (S t a t i st i ca l An o m a ly - b ased Det ect i on ) - 60 4.3.2.3 Gi ao t h ứ c 61 4.3.2.4 Ch í nh s á c h 62 4.3.3 Ph ả n ứ ng 62 4.4 M ộ t s ố t hu ậ t n g ữ 63 P h ầ n 5 : X â y d ự n g t ư ờ n g l ử a c ho h ệ t h ố n g m ạ n g tr ư ờ ng đạ i h ọ c H oa Se n 5.1 Gi ớ i t hi ệ u 64 5.2 Y ê u c ầ u 64 5.3 Tr i ể n kh a i 65 5.3.1 S ơ đồ h ệ t h ố ng m ạ ng t ạ i t r ụ s ở ch í nh 65 5.3.1.1 M ô h ì nh m ạ ng 65 5.3.1.2 X á c đ ị nh c á c nh ó m n g ườ i d ù ng 69 5.3.1.3 C á c quy đ ị nh k i ể m tra g ó i t i n t r ê n t ườ ng l ử a 71 5.3.2 X â y d ự ng c á c c h í nh s á ch 74 5.3.2.1 Sw i t ch La y er 2 74 5.3.2.2 Sw i t ch La y er 3 75 5.3.2.3 Fi r ewal l I n s i de 75 5.3.2.4 Fi r ewal l Out s i d e 83 5.3.2.5 Ro u ter b i ê n 89 5.3.3 C á c c ô ng ngh ệ s ử d ụ ng 89 5.4 M ộ t s ố c ô ng ngh ệ t ri ể n kh a i t h ê m 90 5.4.1 F a il ov er 90 5.4.2 HSRP ( H ot S t andby R edundan c y P rotoc o l ) 93 5.4.3 Fi r ewal l L oad Ba l a n c i ng 98 5.4.4 Ch ứ ng t h ứ c 802. 1x 101 5.4.5 H ệ t h ố ng VOI P 105 K ế t l u ậ n 107 T à i l i ệ u t h a m kh ả o 108 [...]... Nga) Việc xây dựng hệ thống an ninh mạng sao cho vừa đảm bảo an toàn, bảo mật thông tin vừa tận dụng hiệu năng mạng đang trở thành câu hỏi đau đầu đối với các tổ chức doanh nghiệp không những ở Việt Nam mà còn trên toàn thế giới Nhận thấy những nguy cơ đó, xuất phát từ niềm say mê nghiên cứu các kỹ thuật bảo mật mạng, nhóm chúng tôi quyết định chọn đề tài Xây dựng Firewall ASA và IPS bảo vệ mạng , với... quan VPN, thiết kế xây dựng hệ thống VPN Bên cạnh đó, để tăng cường bảo mật mạng, chúng tôi tìm hiểu IDS /IPS, nguyên lý hoạt động và các loại IDS /IPS sử dụng phổ biến ngày nay Cuối cùng, nhóm chúng tôi xây dựng thành công các kỹ thuật này trên hệ thống mạng Đại Học Hoa Sen 1.2 Giới hạn đề tài Do thời gian và chi phí đầu tư còn hạn chế, nhóm chúng tôi xây dựng, triển khai hệ thống mạng dựa trên phần mềm... nghệ kỹ thuật chung của tường lửa ở lớp Network, Transport và Application Phần 3: Xây dựng VPN giữa hai cơ sở của Đại Học Hoa Sen Phần 4: Xây dựng IDS /IPS Phần 5: Xây dựng tường lửa cho hệ thống mạng trường Đại Học Hoa Sen PHẦN 2: CÔNG NGHỆ KỸ THUẬT CHUNG CỦA TƯỜNG LỬA TẠI LỚP NETWORK, TRANSPORT VÀ APPLICATION 2.1 Tầm quan trọng của việc bảo mật và an toàn thông tin Thông tin đóng vai trò vô cùng quan... thống mạng các công ty lớn hay tổ chức chính phủ (Network Firewall) thì mục tiêu cuối cùng là xây dựng hệ thống mạng bền vững, chống lại sự xâm nhập trái phép đồng thời bảo đảm an toàn dữ liệu Hình 4 – Tường lửa trong hệ thống mạng (Network Firewall) Hình 5 – Tường lửa cá nhân (Personal Firewall hay Desktop Firewall) 2.2.2 Chức năng Kiểm soát và thiết lập cơ chế điều khiển luồng dữ liệu giữa mạng cục... rằng việc xây dựng hệ thống bảo mật thông tin là quá trình, đòi hỏi đầu tư nhiều thời gian và tiền bạc 2.2 Tổng quan về tường lửa 2.2.1 Giới thiệu Tường lửa là thiết bị được sử dụng nhằm hạn chế sự tấn công, bảo vệ các nguồn thông tin quan trọng bởi các chính sách an ninh do cá nhân, doanh nghiệp hay các tổ chức chính phủ đặt ra Hình 3 – Hệ thống tường lửa Đặt sau Router biên, giữa hai vùng mạng bảo đảm... việc lọc lưu lượng ra vào hệ thống mạng nhằm khóa luồng dữ liệu độc hại đi vào trong khi vẫn cho phép dữ liệu cần thiết đi qua Tường lửa đóng vai trò vô cùng quan trọng và cần thiết đối với hầu hết tổ chức doanh nghiệp ngày nay, nhất là khi các cuộc xâm nhập phá hoại hệ thống mạng ngày càng tăng Dù sử dụng bất kì kiến trúc nào từ tường lửa cá nhân (Personal Firewall) chuyên bảo vệ máy tính cá nhân đến... kết hợp sử dụng các phương pháp bàn giấy, phương pháp thực nghiệm – xây dựng các bài thực hành nghiên cứu tính năng của tường lửa và phương pháp tổng hợp phân tích dựa trên cơ sở lý thuyết bảo mật và các kết quả rút ra từ thực tế, chúng tôi đã hiểu thêm được nhiều các công nghệ tường lửa và các kỹ thuật bảo mật khác nhau trong hệ thống mạng 1.4 Cấu trúc trình bày Phần 1: Tổng quan bài báo cáo khóa luận... vào các tiêu chuẩn an toàn thông tin thì 40% doanh nghiệp Việt Nam không có hệ thống tường lửa, 70% không có quy trình xử lý sự cố an toàn thông tin và 85% không có chính sách về an ninh mạng Hơn nữa, theo phân tích của Kaspersky, năm 2010, Việt Nam đứng thứ 5 thế giới trong số những quốc gia chịu nhiều thiệt hại nhất do tấn công trên mạng (sau Ấn Độ và Mỹ, xếp đầu bảng là Trung Quốc và Nga) Việc xây. .. lửa Nếu phù hợp, luồng dữ liệu đó được định tuyến giữa các mạng, ngược lại bị hủy Ngoài ra, tường lửa còn quản lý việc truy cập từ bên ngoài vào nguồn tài nguyên mạng bên trong, ghi lại tất cả cố gắng xâm nhập mạng riêng và đưa ra cảnh báo nhanh chóng khi phát hiện tấn công Tường lửa còn lọc các gói dữ liệu dựa vào địa chỉ nguồn, địa chỉ đích và số cổng Hơn nữa, ở mức độ cao hơn, tường lửa còn lọc cả... nhằm tăng độ bảo mật tường lửa Hiện nay, dù tường lửa cứng hay mềm, đều được sản xuất dựa trên các công nghệ sau: Packet filtering NAT Firewall Stateful packet filtering Proxy firewalls (hay Application Layer Gateways) Stateful Inspection Firewall (SIF) Nhìn chung, các công nghệ này xây dựng trên mô hình OSI (Open Systems Interconnection Reference Model), bởi hầu hết giao thức mạng đều hoạt . X ÂY D Ự NG F IR EWALL AS A V À IPS B Ả O V Ệ M Ạ NG Gi ả ng vi ê n h ướ ng d ẫ n : T h ầ y . ho ạ t đ ộ ng, c á ch ph á t hi ệ n t ấ n c ô ng tr ê n IDS /IPS . X â y d ự ng t ườ ng l ử a h ệ t h ố ng m ạ ng t r ườ n g