Đồ án tốt nghiệp đại học: BẢO MẬT MẠNG MÁY TÍNH & FIREWALL Luận văn: “Bảo Mật Mạng Máy Tính Tường Lửa” Sinh viên thực hiện: unname Lớp: Điện tử –K48 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Đồ án tốt nghiệp đại học: BẢO MẬT MẠNG MÁY TÍNH & FIREWALL LỜI NĨI ĐẦU Máy tính mạng máy tính có vai trò quan trọng sống ngày Ngày lĩnh vực cần đến máy tính, máy tính hữu ích với Chính nhờ có máy tính phát triển làm cho khoa học kỹ thuật phát triển vượt bậc, kinh tế phát triển nhanh chóng thần kỳ Cùng với đời phát triển máy tính mạng máy tính vấn đề bảo mật thông tin, ngăn chặn xâm phạm đánh cắp thơng tin máy tính thơng tin cá nhân mạng máy tính mà ngày có nhiều hacker xâm nhập phá huỷ liệu quan trọng làm thiệt hại đến kinh tế cơng ty nhà nước Được hướng dẫn nhiệt tình chu đáo giáo Đỗ Đình Hưng em tìm hiểu nghiên cứu đồ án tốt nghiệp: “Bảo mật mạng máy tính Firewall” Đồ án trình bày vấn đề tổng quan bảo mật mạng, firewall, giới thiệu IDS, IPS hai hệ thống bảo vệ mạng hiệu Do nội dung đồ án rộng bao gồm nhiều kiến thức mẻ, thời gian kiến thức hạn chế, việc nghiên cứu chủ yếu dựa lý thuyết nên chắn đề tài khơng tránh khởi thiếu sót Em mong nhận đóng góp ý kiến thầy giáo bạn bè Với lịng biết ơn sâu sắc, em xin chân thành cảm ơn thầy Đỗ Đình Hưng thầy cô giáo khoa Điện Tử - Viễn Thông trường Đại Học Bách Khoa Hà Nội anh phịng kỹ thuật cơng ty Cổ phần cơng nghệ Sao Bắc Đẩu nhiệt tình hướng dẫn giúp đỡ em hoàn thành đợt thực tập Cuối xin cảm ơn bạn bè, người thân bên tôi, kịp thời động viên giúp đỡ thời gian vừa qua Em xin chân thành cảm ơn ! Hà Nội, tháng năm 2008 Sinh viên Sinh viên thực hiện: unname Lớp: Điện tử –K48 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Đồ án tốt nghiệp đại học: BẢO MẬT MẠNG MÁY TÍNH & FIREWALL Trần Quang Dũng Tóm tắt đồ án Tên đồ án: Bảo mật mạng máy tính & Firewalls Với mục đích tìm hiểu mạng máy tính vấn đề bảo mật mạng, cách đảm bảo an ninh mạng Firewall, IDS, IPS Đồ án gồm hai phần chính: Phần I: Tổng quan mạng máy tính Phần II: Các sách bảo mật mạng Đồ án chia thành chương: Chương 1: Giới thiệu máy tính mạng máy tính Giới thiệu cấu trúc máy tính tổng quan mạng máy tính, đặc trưng, phân loại số mạng máy tính thơng dụng Chương 2: Chuẩn hóa mạng máy tính Giới thiệu cần chuẩn hóa mạng, mơ hình tham chiếu lớp OSI, giao thức mạng TCP/IP giới thiệu tổng quan mạng Internet Chương 3: Tổng quan bảo mật mạng Giới thiệu tổng quan bảo mật mạng, hình thức công, mức độ bảo mật, biện pháp bảo vệ kế hoạch thiết kế sách bảo mật mạng Chương 4: Tổng quan Firewall Giới thiệu tổng quan Firewall chức năng, phân loại firewall, kiểu kiến trúc thành phần firewall Chương 5: Tổng quan hệ thống IDS hệ thống IPS Giới thiệu tổng quan hai hệ thống pháp xâm nhập ngăn chặn xâm nhập, định nghĩa, chức năng,vai trò thành phần phân loại chúng Chương 6: Mô hệ thống Firewall Xây dựng hệ thống Firewall dùng rộng rãi thực tế Các phần mềm sử dụng cách thức tiến hành mô Sinh viên thực hiện: unname Lớp: Điện tử –K48 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Đồ án tốt nghiệp đại học: BẢO MẬT MẠNG MÁY TÍNH & FIREWALL Summary of final year project Final year project’name: Computer network security and firewall For learning purpose about computer network and issue of network security, protections of netowrk security such as Firewall, IDS(instrusion detection system) and IPS(Instrusion prevention system) Project include main part: Part I: Computer network overview Part II: Network security Prolicies This project is individed chapters: Chapter 1: Introduction to computer and computer network Introduction computer architechture and computer network overview, characters, indivision and some common computer network now Chapter 2: Standard computer network Introduction to why standard network is needed, 7layer OSI reference model, TCP/IP protocols, like introduction tion Internet network overview Chapter 3: Network security overview Network security overview, method of attracks, security levels, method of security and plan design network security prolicies Chapter 4: Firewall overview Introduction to characters of Firewall overview, division of Firewall, architectures mode and mebers of Firewall Chapter 5: IDS and IPS overview Introduction to IDS and IPS overview, definition, feature, role, element and indivision of them Chapter 6: Simulation Firewall System Build Firewall system that is use wide in fact Sofwares are use and methods proccess simulation Sinh viên thực hiện: unname Lớp: Điện tử –K48 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Đồ án tốt nghiệp đại học: BẢO MẬT MẠNG MÁY TÍNH & FIREWALL MỤC LỤC Nhiệm vụ đồ án tốt nghiệp 01 Bản nhận xét đồ án tốt nghiệp 02 Lời nói đầu 03 Tóm tắt đồ án 04 Mục lục 06 Các hình vẽ sử dụng đồ án 10 Các từ viết tắt sử dụng luận văn 12 PHẦN I: TỔNG QUAN VỀ MẠNG MÁY TÍNH CHƯƠNG 1: GIỚI THIỆU VỀ MÁY TÍNH VÀ MẠNG MÁY TÍNH 14 1.1 Lịch sử máy tính 14 1.1.1 Cấu trúc tổng quát máy tính 14 1.1.2 Chức máy tính 16 1.2 Mạng máy tính 18 1.2.1 Lịch sử phát triển mạng máy tính 18 1.2.2 Nhu cầu mục đích việc kết nối máy tính thành mạng 19 1.2.3 Đặc trưng kỹ thuật mạng máy tính 20 1.2.3.1 Đường truyền 20 1.2.3.2 Kiến trúc mạng 21 1.2.3.2.1 Hình trạng mạng 21 1.2.3.2.2 Giao thức mạng 22 1.2.3.3 Hệ điều hành mạng 22 1.2.4 Phân loại mạng máy tính 23 1.2.4.1 Phân loại mạng theo khoảng cách địa lý 23 1.2.4.1.1 Mạng toàn cầu (GAN – Global Area Network) 23 1.2.4.1.2 Mạng diện rộng (WAN – Wide Area Network) 24 1.2.4.1.3 Mạng đô thị (MAN – Metropolitan Area Network) 24 1.2.4.1.4 Mạng cục (LAN – Local Area Network) 24 1.2.4.2 Phân loại theo kỹ thuật chuyển mạch áp dụng mạng 24 1.2.4.3 Phân loại theo hình trạng mạng 24 1.2.4.3.1 Mạng hình 24 Sinh viên thực hiện: unname Lớp: Điện tử –K48 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Đồ án tốt nghiệp đại học: BẢO MẬT MẠNG MÁY TÍNH & FIREWALL 1.2.4.3.2 Mạng hình vịng 25 1.2.4.3.3 Mạng trục tuyến tính (Bus) 26 1.2.4.3.4 Mạng dạng vô tuyến – Satellite (Vệ tinh) Radio 27 1.2.4.3.5 Mạng kết nối hỗn hợp 27 1.2.4.4 Phân loại theo giao thức theo hệ điều hành mạng sử dụng 28 1.2.4.4.1 Mạng khách/chủ (Client – Server) 28 1.2.4.4.2 Mạng ngang hàng (Peer to Peer) 29 1.2.5 Một số mạng máy tính thơng dụng 29 1.2.5.1 Mạng cục (LAN) 29 1.2.5.2 Mạng diện rộng với kết nối LAN to LAN 30 1.2.5.3 Liên mạng Internet 30 1.2.5.4 Mạng Intranet 31 CHƯƠNG 2: CHUẨN HĨA MẠNG MÁY TÍNH 2.1 Vấn đề chuẩn hóa mạng máy tính tổ chức chuẩn hóa mạng 32 2.2 Mơ hình tham chiếu OSI lớp 32 2.2.1 Giới thiệu mơ hình OSI 32 2.2.2 Các lớp mơ hình OSI chức 33 2.2.3 Phương thức hoạt động mơ hình OSI 35 2.2.4 Q trình truyền liệu mơ hình OSI 36 2.3 TCP/IP mạng Internet 37 2.3.1 Họ giao thức TCP/IP 37 2.3.1.1 Giới thiệu họ giao thức TCP/IP 37 2.3.1.1.1 Giao thức IP 40 2.3.1.1.2 Địa IP 40 2.3.1.1.3.Cấu trúc gói IP 41 2.3.1.1.4 Định tuyến IP 44 2.3.2 Mạng Internet 44 2.3.2.1 Kiếm trúc mạng Internet 45 2.3.2.2 Các dịch vụ thông tin Internet 45 PHẦN II: CÁC CHÍNH SÁCH BẢO MẬT CHƯƠNG 3: TỔNG QUAN VỀ BẢO MÂT 3.1 Định nghĩa bảo mật mạng 47 3.1.1 Các yếu tố cần quan tâm phân tích bảo mật mạng 48 Sinh viên thực hiện: unname Lớp: Điện tử –K48 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Đồ án tốt nghiệp đại học: BẢO MẬT MẠNG MÁY TÍNH & FIREWALL 3.1.2 Các yếu tố cần bảo vệ 48 3.2 Các kiểu công mạng 49 3.3 Các mức độ bảo mật 50 3.4 Các biện pháp bảo vệ an toàn hệ thống 51 3.5 Các sách bảo mật 53 3.5.1 Kế hoạch sách bảo mật mạng 53 3.5.2.Chính sách bảo mật mạng nội 54 3.5.3 Phương thức thiết kế bảo mật mạng 54 3.5.4 Thiết kế sách bảo mật mạng 55 CHƯƠNG 4: TỔNG QUAN VỀ FIREWALL 4.1 Firewall 61 4.11 Khái niệm 61 4.1.2 Chức 62 4.2 Phân loại 62 4.3 Các kiểu kiến trúc 66 4.3.1 Kiến trúc Dual-homed host firewall 66 4.3.2 Kiến trúc Screened host firewall 68 4.3.3 Kiến trúc Screened-subnet host firewall 70 4.4 Các thành phần Firewall& chế hoạt động 72 4.4.1 Bộ lọc gói (packet filtering) 72 4.4.2 Cổng ứn dụng (Proxy server) 74 4.4.1.Cổng vòng (Circuit-level gateway) 76 4.5 Các loại Firewall thực tế 77 CHƯƠNG 5: TỔNG QUAN VỀ IDS & IPS 5.1 Hệ thống phát xâm nhập(IDS) 78 5.1.1 Các chức IDS 78 5.1.2 Vai trò IDS 79 5.1.3 Phân loại IDS 79 5.1.3.1 Network-based IDS 79 5.1.3.2 Host-based IDS 82 5.1.4 Các thành phần IDS 85 5.2 Hệ thống ngăn chăn xâm nhập(IPS) 85 5.2.1 Khái niệm IPS 85 Sinh viên thực hiện: unname Lớp: Điện tử –K48 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Đồ án tốt nghiệp đại học: BẢO MẬT MẠNG MÁY TÍNH & FIREWALL 5.2.2 Chức IPS 85 5.2.3 Phân loại IPS 88 5.2.3.1 Network-based IPS 88 5.2.3.2 Host-based IPS 90 CHƯƠNG 6: MƠ PHỎNG FIREWALL 6.1 Mục đích xây dựng mô 95 6.2 Nguyên lý dựng mô yêu cầu 95 6.3 Các bước tiến hành kết nối 95 6.4 Cấu hình cho thiết bị 95 6.4.1 Cấu hình file Pix.net 96 6.4.2 Cấu hình kết nối ASDM 96 6.4.3 Cấu hình Firewall đầy đủ 99 6.4.1 Kiểm tra kết mô 100 PHẦN III KẾT LUẬN 101 TÀI LIỆU THAM KHẢO 102 Sinh viên thực hiện: unname Lớp: Điện tử –K48 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Đồ án tốt nghiệp đại học: BẢO MẬT MẠNG MÁY TÍNH & FIREWALL CÁC HÌNH VẼ SỬ DỤNG TRONG ĐỒ ÁN Hình 1.1.1a: Cấu trúc tổng quát máy tính 14 Hình 1.1.1b: Bộ xử lý trung tâm máy tính (CPU) 15 Hình 1.1 1c: Đơn vị điều khiển CPU 16 Hình 1.2: Các chức máy tính 17 Hình 1.2 1: Mạng máy tính với tiền xử lý 18 Hình 1.2.4.3.1: Mạng hình (Star) 25 Hình 1.2.4.3.2: Mạng hình vịng (Ring) 26 Hình 1.2.4.3.3: Mạng trục tuyến tính (Bus) 26 Hình 1.2.4.3.4: Mạng vơ tuyến – Satellite (Vệ tinh) Radio 27 Hình 1.2.4.3.5: Mạng kết nối hỗn hợp 28 Hình 1.2.5.2: Mạng diện rộng với kết nối LAN to LAN 30 Hình 2.2.2: Mơ hình tham chiếu OSI lớp 33 Hình 2.4: Quá trình truyền liệu mơ hình OSI 36 Hình 2.3.1.1a: Mơ hình OSI mơ hình kiến trúc TCP/IP 38 Hình 2.3.1.1.b: Cấu trúc liệu lớp TCP/IP 39 Hình 2.3.1.2.1a: Cách đánh địa TCP/IP 40 Hình 2.3.1.2.1b: Bổ sung vùng subnetid 41 Hình 2.3.1.2a: Cấu trúc gói liệu TCP/IP 42 Hình 2.3.1.2.2c: Cổng truy nhập dịch vụ TCP 43 Hình 2.3.1.3: Dùng gateway để gửi gói liệu 44 Sinh viên thực hiện: unname Lớp: Điện tử –K48 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Đồ án tốt nghiệp đại học: BẢO MẬT MẠNG MÁY TÍNH & FIREWALL Hình 3.1 Sơ đồ mạng thông dụng 48 Hình 3.3 Các mức độ bảo mật mạng 50 Hình 4.2.a: Stateless Firewall 63 Hình 4.2.b: Stateful Firewall 64 Hình 4.2.c: Deep Packet Layer Firewall 64 Hình 4.2.1a: Giao diện PIX 65 Hình 4.2.1b: Bố trí NetScreen Firewall 66 Hình 4.3.1: Sơ đồ kiến trúc Dual–homed Host 67 Hình 4.3.2: Sơ đồ kiến trúc Screened Host 69 Hình 4.3.3: Sơ đồ kiến trúc Screened Subnet Host 70 Hình 4.4.1: Sơ đồ làm việc Packet Filtering 72 Hình 4.4.2: Kết nối người dùng (Client) với Server qua Proxy 74 Hình 4.4.3: Kết nối qua cổng vịng (Circuit–Level Gateway 77 Hình 5.1.3.1:ổng quan Network-Based IDS 80 Hình 5.1.3.1b: Kiến trúc Network-Based IDS 80 Hình 5.1.3.1c: Bố trí Network-Based IDS Sensor 81 Hình 5.1.3.2a: Cấu trúc Host Sensor Agent 83 Hình 5.1.3.2b: Triển khai Host IDS 84 Hình 5.2.3.1: Triển khai Intrusion Prevention Sensor 88 Hình 5.2.3.2 : Xử lý điều khiển truy nhập 93 Sinh viên thực hiện: unname Lớp: Điện tử –K48 10 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Đồ án tốt nghiệp đại học: BẢO MẬT MẠNG MÁY TÍNH & FIREWALL Tất công trạng thái dễ bị cơng cho phép chúng tình cờ xảy chứng minh tài liệu Ngoài ra, khác thường giao thức truyền thông từ mạng qua lớp ứng dụng khơng có chỗ cho loại lưu lượng hợp pháp nào, làm cho lỗi trở thành tự chọn lọc ngữ cảnh xác định 5.2.3 Phân loại IPS 5.2.3.1 NIPS: NIPS (Network-based IPS) loại IPS dùng để lắp đặt vào mạng để ngăn chặn xâm nhập từ mạng vào nội mạng Network IPS cung cấp thành phần thực trước mà có hiệu tồn diện toàn khung bảo mật mạng bạn Sự kết hợp NIPS với thành phần HIPS, IDS firewall vành đai cung cấp giải pháp bảo mật phòng ngừa chiều sâu mạnh mẽ 5.2.3.1a Các khả hệ thống xâm nhập mạng sở: Kỹ thuật ngăn chặn xâm nhập dừng đường truyền xâm nhập trước xâm nhập vào mạng việc đặt sensor lớp thiết bị forwading (Switch) mạng Hình 5.2.3.1a: Triển khai Intrusion Prevention Sensor NIPS hủy đường truyền theo cách sau :  Hủy gói tin: Kiểu đơn giản NIPS bao gồm việc xác định gói tin khả nghi hủy chúng Các gói tin xấu khơng tới hệ thống đích mạng bạn bảo vệ Tuy nhiên kẻ cơng gửi lại gói tin xấu Đối với Sinh viên thực hiện: unname Lớp: Điện tử –K48 87 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Đồ án tốt nghiệp đại học: BẢO MẬT MẠNG MÁY TÍNH & FIREWALL gói tin IPS cần phân tích gói tin mạng nơi mà đường truyền cho qua hay từ chối, chi phối tài nguyên thiết bị IPS  Hủy tất gói tin kết nối: Thay hủy gói tin một, hệ thống IPS hủy tồn gói tin kết nối đặc biệt cấu hình theo chu kỳ thời gian Sự kết nối xác định tính tốn thành phần: - Địa nguồn - Địa đích - Cổng đích - Cổng nguồn (khơng bắt buộc) Ưu điểm ngắt kết nối gói tin đến sau tính tốn kết nối ngắt tự động mà khơng cần phân tích Về mặt hạn chê, nhiên kẻ cơng có khả gửi đường truyền mà khơng cần tính tốn kết nối ngắt  Hủy tất đường truyền từ địa nguồn: Cơ chế ngắt cuối ngắt tất đường truyền từ địa nguồn đặc biệt Trong số trường hợp, gói tin khả nghi phát hiện, ngắt, với tất đường truyền tương ứng với địa nguồn cấu hình chu kỳ thời gian Bởi tất đường truyền từ host cơng bị ngắt vài phiên.Thiết bị IPS sử dụng tài ngun Hạn chế kẻ cơng giả mạo địa nguồn giả vờ hệ thống quan trọng phần thương mại, bắt đầu đăng ký khả lỗi đường truyền từ chối mạng bạn Lợi ích việc sử dụng NIPS ngăn chặn công đảm bảo đường truyền bình thường thực thi sách bảo mật có hiệu 5.2.3.1b Các thành phần hệ thống ngăn chặn xâm nhập mạng sở NIPS: Sản phẩm ngăn chặn xâm nhập mạng sở dùng sensor để phân tích đường truyền mạng số vị trí thơng qua mạng Các sensor phát triển từ kiểu nhân tố như:  Các thiết bị sensor độc lập (Standalone appliance sensors): Các thiết bị sensor độc lập cung cấp tính linh hoạt phát tiển sensor IPS mạng Các sensor triển khai nhiều vị trí mạng Yếu điểm thiết bị sensor phải tạo khoảng trống việc đặt sensor Sensor 4200 series minh chứng - Blade-based sensors: tạo ưu thiết bị hạ tầng tồn triển khai thiết bị IPS Blade-based sensors không cần khoảng trống lớn để đặt có Sinh viên thực hiện: unname Lớp: Điện tử –K48 88 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Đồ án tốt nghiệp đại học: BẢO MẬT MẠNG MÁY TÍNH & FIREWALL nhiều ưu hướng đường truyền nhận từ đường thiết bị hạ tầng nơi mà triển khai Một yếu điểm Blade-based sensors có giá tồn thiết bị hạ tầngtrong mạng Prevention Security Service Module (AIP-SSM) mềm Intrusion Prevention System (IPS) tích hợp hệ điều hành (OS) thiết bị hạ tầng: Khi mà phần mềm IPS tích hợp thiết bị hệ tầng  Phần tồn tại.Các chức cung cấp thường so sánh với Blade-based sensors thiết bị hạ tầng mang lại nhiều tránh nhiệm đáp ứng Sự phụ thuộc vào mơi trường mạng làm giảm nhiều chức vấn đề Không quan tâm đến tác nhân mạng, sensor phải nhận đường truyền mạng mà cần phân tích Việc bắt đường truyền biến đổi phụ thuôc vào nơi mà bạn sử dụng mode inline hay mode ngẫu nhiên Sau bắt đường truyền, sensor phân tích đường truyền phân theo kiểu đường chữ ký sử dụng đường truyền mạng Kết phân tích đường truyền thực sensors IPS dùng để kiểm tra thơng qua bảng hiển thị kiểm sốt Giống ứng dụng kiểm sốt cấu hình có hiệu số lượng lớn sensors IPS mạng Việc quản lý sensor IPS thông qua hai kiểu: Triển khai sensor nhỏ triển khai sensor rộng lớn 5.2.3.2 HIPS: Hệ thống phát xâm nhập HIPS loại kỹ thuật tương đối thị trường bảo mật Ngay từ ngày đầu, có nhiều lợi ích chấp thuận sử dụng dự đốn phát triển nhanh chóng tương lai Mặc dù có lợi đó, song loại thiết bị không xác định rõ ràng kỹ thuật thiết lập firewall antivirus Các tài liệu kỹ thuật mơ hồ, thuật ngữ mơ hồ phát triển sản phẩm nhanh chóng làm đảo lộn thị trường tới điểm mà thật khó để xác định sản phẩm thực hệ thống phát xâm nhập HIPS (Host Intrusion Prevention Systems) Sinh viên thực hiện: unname Lớp: Điện tử –K48 89 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Đồ án tốt nghiệp đại học: BẢO MẬT MẠNG MÁY TÍNH & FIREWALL 5.2.3.2.a Các khả hệ thống ngăn chặn xâm nhập từ máy chủ(HIPS):  Ngăn chặn tác động có hại: Một HIPS phải có khả làm nhiều việc cảnh báo hay tác động vào đoạn mã nguy hiểm công tới host Nó phải có hành động ngắt tác động đoạn mã nguy hiểm Nếu hành động ngăn chặn công thất bại HIPS giữ việc truy nhập có khả cảnh báo mà người dùng biết HIPS làm với yêu cầu khác làm cho HIPS có khả mang lại tác động  Không phá vỡ hoạt động bình thường: Một cách khác bảo vệ host gỡ khỏi mạng Khơng kết nối với mạng tạo bảo vệ tốt host lại lấy đáp ứng dịch vụ thương mại mạng Ngắt kết nối cách bảo mật thường dùng ngắt hoạt động bình thường  Phân biệt trạng thái công trạng thái bình thường: Sản phẩm HIPS phải đủ xác thực để xác định đắn đâu trạng thái bị cơng đâu trạng thái bình thường để từ phát lỗi hay công kịp thời ngăn chặn  Dừng công công không biết: Với nguy hại công bạn phải cần update hay xử lý cấu hình lại Sản phẩm HIPS phải có khả dừng cơng công mà không cần cấu hình lại hay update cách mà sản phẩm HIPS dừng công  Bảo vệ ngăn chặn lỗ hổng ứng dụng cho phép: Bằng vài dấu hiệu, HIPS phải không cho phép ứng dụng cho phép bị làm hại kẻ công Tuy sản phẩm HIPS có khả bảo vệ ngăn chặn lỗ hổng ứng dụng cho phép  Ngoài HIPS cịn có lợi ích khác :  Ngăn chặn cơng có hại  Sửa chữa đường dẫn  Ngăn chặn nhân công nội  Đưa sách có hiệu lực  Điều chỉnh yêu cầu Tuy nhiên HIPS có yếu điểm khơng tương thích với tất cơng việc phần triển khai phịng ngừa chiều sâu có yếu điểm sau: Sinh viên thực hiện: unname Lớp: Điện tử –K48 90 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Đồ án tốt nghiệp đại học: BẢO MẬT MẠNG MÁY TÍNH & FIREWALL  Vấn đề xáo trộn người dùng  Thiếu việc đưa thơng tin hồn thành  Các công không nhằm vào host 5.2.3.2.b Các thành phần HIPS: Sản phẩm HIPS có hai thành phần bản: Gói phần mềm để cài đặt điểm cuối để bảo vệ cịn gọi client hay agent Về chất HIPS agents ứng dụng xử lý điều khiển truy nhập giống tới máy tính Sự xử lý tác động hoạt đỗngyar hệ thống chia theo phase đây:  Nhận dạng kiểu tài nguyên phép truy nhập: Các angets nhận dạng nguồn tài nguyên truy nhập Các nhận dạng nguồn tài nguyên chung bao gồm: tài nguyên mạng, nhớ, thực thi ứng dụng, cấu hình hệ thống  Thu thập liệu hoạt động: Sản phẩm HIPS thu liệu dùng hay nhiều cách thức: biến đổi nhân, chặn hệ thống gọi, hệ điều hành ảo, phân tích đường truyền mạng,  xác định trạng thái hệ thống: trạng thái hệ thống bao gồm: location, user, system  Tham khảo sách bảo mật: Dữ liệu tập hợp công tài nguyên truy nhập trạng thái hệ thống so sánh hay nhiều sách sau: Anomaly-based Atomic rule-based Pattern-based Behavioral Access control matrix Sinh viên thực hiện: unname Lớp: Điện tử –K48 91 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Đồ án tốt nghiệp đại học: BẢO MẬT MẠNG MÁY TÍNH & FIREWALL  Thực thi tác động: Đó trạng thái: cho phép truy nhập vào mạng hay từ chối truy nhập, thái nhập vào (log state), hủy gói tin, tắt máy chủ truy vấn người dùng Hình 5.2.3.2 : Xử lý điều khiển truy nhập Hạ tầng quản lý để quản lý agents HIPS agents mà có giao diện sử dụng tốt hoạt động không kiểu quản lý trung tâm Tuy nhiên lớp hoạt động HIPS yêu cầu hạ tầng quản lý Kiểu đặc trưng, hạ tầng bao gồm trung tâm quản lý hay điểm đầu cuối giao diện dùng để truy nhập vào trạm quản lý a Trung tâm quản lý:  Trung tâm quản lý gồm thành phần Thành phần sở liệu nơi mà lưu trữ trạng thái, sách, agent liệu cấu hình khác Thành phần thứ hai khả trình bày trạng thái Thành phần cuối Sinh viên thực hiện: unname Lớp: Điện tử –K48 92 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Đồ án tốt nghiệp đại học: BẢO MẬT MẠNG MÁY TÍNH & FIREWALL sách quản lý Chúng phụ thuộc vào mơ hình quản lý thành phần cài đặt thành phần vật lý khác a) Cơ sở liệu thành phần quan trọng trung tâm quản lý Nó nơi lưu tất thơng tin sách Nó phải đủ mạnh để hỗ trợ agents sử dụng mà không cần xâm nhập bảo vệ đủ để chống lại kẻ cơng Đó lý mà tất cơng ty hoạt động cần phải có nhiều kiểu sở liệu hoạt động SQL hay ORACLE b) Điều khiển cảnh báo trạng thái điều khiển phân chia trạng thái trạm quản lý bao gồm trạng thái mang phát sinh cảnh báo.Nhờ hai trạnh thái mà biết tình trạnh mạng hoạt động sao, có xâm nhập hai khơng c) Quản lý sách: việc chỉnh sửa sách, sách bảo mật thực thi thơng qua thời gian đáp ứng môi trường thay đổi quan hệ bảo mật Vì cần chỉnh sửa chúng cho phù hợp với phân phối chúng tới agents b Giao diện quản lý: Công cụ quản lý HIPS dùng tương tác với trung tâm quản lý gọi giao diện sử dụng có hai kiểu: cài đặt giao diện người sử dụng client giao diện web Mặc dù giao diện người dùng thường có nhiều chức hơn, giao diện web thích ứng tốt với nhà quản lý từ xa Trong hai trường hợp giao tiếp giao diện quản lý trung tâm quản lý bảo vệ cẩn thận giao tiếp agents MC Sinh viên thực hiện: unname Lớp: Điện tử –K48 93 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Đồ án tốt nghiệp đại học: BẢO MẬT MẠNG MÁY TÍNH & FIREWALL CHƯƠNG 6: HỆ THỐNG MƠ PHỎNG FIREWALL 6.1 Mục đích dựng mơ phỏng: Mục đích dựng mơ đưa mơ hình mạng thật ứng dụng thực tế nhằm phân tích đánh giá hoạt động mạng máy tính chế hoạt động FireWall mạng máy tính hệ thống IPS, khả ngăn chặn bảo vệ IPS FireWall mạng máy tính Nhìn chung tất hệ thống thật ta mơ máy tính máy tính đủ mạnh để đủ khả xử lý cho hệ thống 6.2 Nguyên lý dựng mô yêu cầu: Yêu cầu cấu hình máy tính định làm mơ phỏng: RAM tối thiểu 1Gb máy có cấu hình cao tốt u cầu phần mềm : Phải có đủ phần mềm dựng đủ thiết bị Router, Switch, Firewall, máy tính ảo, IPS, VMWare Chúng ta dựng Router Switch phần mềm mô Dynamic/dyogen.chúng làm việc tốt song yêu cầu ram cao Firewall dùng phần mềm mơ Pemu Dynamic hỗ trợ phải với phiên mới, phần IPS chạy Linux dùng phần mền metu.vn_ciscoIPS.wm chạy máy ảo dùng VMWare máy ảo tạo VMWare 6.3 Các bước tiến hành kết nối: a Bước trước tiên là phải cài đặt dynagen-0.10.1_dynamips WinPcap để tạo tạo router ảo switch ảo tạo tạo Firewall Phiên GNS3 có hỗ trợ cài đặt sẵn dynamíp, pemu winpcap b Cài đặt VMWare tạo máy PC ảo để test Firewall c Cài đặt ASDM 6.2 để cấu hình cho firewall dạng giao diện web Sinh viên thực hiện: unname Lớp: Điện tử –K48 94 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Đồ án tốt nghiệp đại học: BẢO MẬT MẠNG MÁY TÍNH & FIREWALL 6.4 Cấu hình cho thiết bị: Sơ đồ hệ thống cần mô phỏng: Với thơng số cần cấu hình: C0 miền Internet có địa 192.168.161.0 /24 C1 miền DMZ có địa 172.16.10.0 /24 C2 miền inside có địa 11.0.0.0 /24 Router R có f0/0 nối với e0 Firwall có dải địa 192.168.160.0/24(miền outside) Cổng f1/0 nối với C0 - Firewall nối với R qua e0 Firewall nối với DMZ qua cổng e2 Firewall nối với inside qua cổng e1 - Hai switch ảo swo sw1 có nhiệm vụ switch để kết nối nhiều host miền 6.4.1 Cấu hình file Pix.net tạo thiết bị Firewall ảo router ảo, switch ảo: - autostart = false # Chế độ khởi động tay Sinh viên thực hiện: unname Lớp: Điện tử –K48 95 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Đồ án tốt nghiệp đại học: BẢO MẬT MẠNG MÁY TÍNH & FIREWALL [localhost:7200] # Lệnh chọn kiểu kết nối localhost model = 3640 # chọn mơ hình 3640 [[3640]] # link kết nối tới IOS router 3640 image = \Program Files\Dynamips\images\c3640-jk9o3s-mz.123-14.T7.extracted.bin # đặt giá tri idlepc để tiết kiệm CPU idlepc = 0x60530870 # Thiết lập router tên R model 3640 [[Router R ]] model = 3640 slot0 = NM-1FE-TX # tạo cộng faterthernet serial vào slot slot1 = NM-1FE-TX # tạo cộng faterthernet serial vào slot f0/0 = FW e0 # Taọ kết nối f0/0 router R với e0 Firewall f1/0 = NIO_gen_eth:\Device\NPF_{37225AE2-A156-43CE-AD2A-798D844EC905} # tạo kết nối f1/0 Firewall với PC ảo tạo miền outside [[ethsw SW]] # tạo switch ảo kết nối PC inside với Firewall = access = access NIO_gen_eth:\Device\NPF_{FB316E56-207D-4F53-91A46FF8D185F91B} # tạo kết nối với PC thật [[ethsw SW1]] = access # tạo cổng kết nối với Firewall = access NIO_gen_eth:\Device\NPF_{BF3086A7-17EF-42DF-AA6868B0D28D31DA} # tạo kết nối với PC ảo [pemu localhost] # Cấu hình Firewall [[525]] # model 525 # link kết nối với IOS PIX802.bin image = \Program Files\Dynamips\images\PIX802.BIN serial = 0x301D10D9 key = 0x5236f5a7,0x97def6da,0x732a91f5,0xf5deef57 [[fw FW]] # tạo Firewall e1 = SW # kết nối với SW qua cổng e1 e2 = SW1 # kết nối với SW1 qua cổng e2 Sau tạo File Pix.net song: - Chạy Dynamips Server, Pemu Server - Chạy file pemu.net Sinh viên thực hiện: unname Lớp: Điện tử –K48 96 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Đồ án tốt nghiệp đại học: BẢO MẬT MẠNG MÁY TÍNH & FIREWALL - Vào giao diện điều khiển dynagen Gõ start R, FW Sau đó, gõ list để xem trạng thái - Điều chỉnh idlepc R (idlepc get R, idlepc save R) -> stop & start R để dùng idlepc - Telnet R, FW để cấu hình - Cấu hình R: R>ena R# conf t R(conf)# int f0/0 #Kết nối với e0 firewall R(conf-if)# ip address 192.168.110.2 255.255.255.0 R(conf-if)# no shut R(conf)# int f1/0 # kết nối với PC ảo R(conf-if)# ip address 192.168.119.10 255.255.255.0 R(conf-if)# no shut - Cấu hình FW: Cấu hình interface: Pixfirewall> en Pixfirewall> conf t Pixfirewall> int e0 Pixfirewall> ip add 10.0.0.2 255.0.0.0 Pixfirewall> nameif outside Pixfirewall> no shut Sinh viên thực hiện: unname Lớp: Điện tử –K48 97 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Đồ án tốt nghiệp đại học: BẢO MẬT MẠNG MÁY TÍNH & FIREWALL Pixfirewall> int e1 Pixfirewall> ip add 11.0.0.2 255.0.0.0 Pixfirewall> nameif inside Pixfirewall> no shut => Test: ping 11.0.0.10 ( interface loopback PC, ok !) 6.4.2 Kết nối với ASDM: Upload asdm602.bin vào flash pix: Pixfirewall> en Pixfirewall> conf t Pixfirewall> copy tftp: flash: ( 11.0.0.10, asdm-602.bin) Giai đoạn cần địi hỏi tính kiên nhẫn upload khoảng 3-4 Sau thành cơng cấu hình tiếp: Pixfirewall> asdm image flash: asdm-602.bin Enable asdm pix: Pixfirewall> en Pixfirewall> conf t Pixfirewall> username admin password admin privilege 15 Pixfirewall> http server enable Pixfirewall> http 0.0.0.0 0.0.0.0 inside - Chạy Cisco ASDM Launcher: IP: 11.0.0.2, admin/admin Sinh viên thực hiện: unname Lớp: Điện tử –K48 98 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Đồ án tốt nghiệp đại học: BẢO MẬT MẠNG MÁY TÍNH & FIREWALL 6.4.3 Cấu hình:Cấu hình giao diện, định tuyến, nat cho firewall cách ngăn chặn mạng ngoài(outside) xâm nhập vào miền inside DMZ cấu hình cho phép địa IP truy nhập vào mạng dịch vụ mạng 6.4.4 Kiểm tra cấu hình chưa banừg cách ping địa miền inside truy nhập miền outside vào số dịch vụ DMZ Nếu ping thành công ping từ host miền outside vào inside bị từ chối Sinh viên thực hiện: unname Lớp: Điện tử –K48 99 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Đồ án tốt nghiệp đại học: BẢO MẬT MẠNG MÁY TÍNH & FIREWALL KẾT LUẬN Qua việc nghiên cứu mạng máy tính an tồn mạng máy tính, vấn đề bảo mạt mạng máy tính lửa - giải pháp hiệu bảo vệ mạng máy tính Qua suốt tháng tìm hiểu nghiên cứu tơi thu nhiều kiến thức máy tính lịch sử phát triển máy tính cấu trúc chức máy tính, khả xử lý liệu, kiến thức mạng máy tính thiết bị mạng chế hoạt động mạng máy tính, mục đích nhu cầu kết nối mạng, đặc trưng thông số kỹ thuật trọng mạng So sánh mô hình OSI mơ hình TCP/IP vấn đề chuẩn hố kết nối mơ hình nguy đe doạ hệ thống mạng máy tính, phân tích mức an tồn đưa giải pháp bảo vệ an toàn hệ thống Nghiên cứu Fireuwall chế hoạt động thành phần Ngoài ra, tơi cịn tìm hiểu IDS, IPS hai hệ thống giúp bảo vệ mạng ngăn chặn mối đe dọa công cách hiệu sử dụng hiệu Qua đợt đồ án tốt nghiệp hiểu biết thêm nhiều mạng Đây tiền đề sở để tiếp tục nghiên cứu vấn đề sâu mạng máy tính mạng viễn thơng Qua đợt đồ án tốt nghiệp này, xin chân trọng cám ơn giúp đỡ nhiệt tình bảo sát thầy giáo THS Đỗ Đình Hưng thầy cô giáo khoa Điện Tử - Viễn Thông trường Đại Học Bách Khoa Hà Nội nhiệt tình hướng dẫn giúp tơi suốt thời gian tơi làm đồ án tốt nghiệp này.Tôi xin cảm ơn giúp đỡ nhiệt tình động viên kịp thời gia đình, bạn bè ln bên tơi suốt thời gian qua Trong thực đồ án tốt nghiệp không tránh khảo khiếm khuyết sai lệch em mong báo giúp đỡ thầy cô bạn Xin chân thành cảm ơn! Sinh viên thực hiện: unname Lớp: Điện tử –K48 100 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Đồ án tốt nghiệp đại học: BẢO MẬT MẠNG MÁY TÍNH & FIREWALL Tài Liệu Tham Khảo  Cấu trúc máy vi tính – Tg: Trần Quang Vinh (NXB Giáo Dục)  Giáo trình Cấu trúc máy tính – Tg: Tống Văn On, Hoàng Đức Hải (NXB Lao Động – Xã Hội)  Mạng máy tính hệ thống mở – Tg: Nguyễn Thúc Hải (NXB Giáo Dục)  An toàn bảo mật tin tức mạng – Học viện Công nghệ Bưu Viễn thơng (NXB Bưu Điện)  Bức tường lửa Internet An ninh mạng – NXB Bưu Điện  Network and Internetwork Security – Tg: William Stallings  Cisco Networking Academy Program CCNA 1, CCNA  Các viết mạng máy tính tường lửa – Tham khảo qua Internet  Cisco - CCSP SND 642-551 Network Security Fundamentals(2005)  Cisco - Intrusion Prevention Fundamentals(2006)  Cisco - Cisco ASA and PIX Firewall Handbook(2005)  Cisco.Press.End.to.End.Network.Security.Aug.2007.eBook-BBL  Cisco.Press.Network.Security.Architectures.Apr.2004.INTERNAL  Security_app_com_line_Configuration_Guide_hay  UTF-8''Cisco.Press.Cisco.ASA.PIX.and.FWSM.Handbook.2nd.Edition Aug.2007 eBook – DDU Sinh viên thực hiện: unname Lớp: Điện tử –K48 101 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com ... thiệu máy tính mạng máy tính Giới thiệu cấu trúc máy tính tổng quan mạng máy tính, đặc trưng, phân loại số mạng máy tính thơng dụng Chương 2: Chuẩn hóa mạng máy tính Giới thiệu cần chuẩn hóa mạng, ... nghiệp đại học: BẢO MẬT MẠNG MÁY TÍNH & FIREWALL PHẦN I: TỔNG QUAN VỀ MẠNG MÁY TÍNH CHƯƠNG 1: GIỚI THIỆU VỀ MÁY TÍNH VÀ MẠNG MÁY TÍNH 1.1 Lịch sử máy tính 1.1.1... đại học: BẢO MẬT MẠNG MÁY TÍNH & FIREWALL PHẦN II : CÁC CHÍNH SÁCH BẢO MẬT CHƯƠNG 3: TỔNG QUAN VỀ BẢO MẬT 3.1 Định nghĩa bảo mật mạng: Bảo mật mạng đảm bảo an