3 MỤC LỤC .....................................................................................................................3 DANH MỤC HÌNH ẢNH .............................................................................................5 Hình 3.3.13 Chuyển đổi tên miền trên dịch vụ DNS 36 .....................................5 Hình 3.3.16 Yêu cầu thay đổi key RSA...................................................................................38 .................................................................................................................................................5 DANH MỤC TỪ VIẾT TẮT ........................................................................................6 LỜI MỞ ĐẦU................................................................................................................7 CHƯƠNG 1: CÁC CHÍNH SÁCH BẢO MẬT............................................................8 1.1. Khái niệm về bảo mật mạng ..........................................................................8 1.1.1. Bảo mật mạng là gì....................................................................................8 1.1.2. Những tài nguyên nào cần được bảo vệ ....................................................8 1.1.3. Các yếu tố nào cần quan tâm khi phân tích bảo mật mạng .......................9 1.1.4 Các cấp độ bảo mật mạng khi nghiên cứu một hệ thống mạng........................9 1.2. Các kiểu tấn công thường gặp .......................................................................9 1.2.1. Tấn công trực tiếp......................................................................................9 1.2.2. IP Spoofing..............................................................................................10 1.2.3. Tấn công từ chối dịch vụ DOS(Denial of Service)................................10 1.2.4. Packet sniffer...........................................................................................10 1.2.5. Phishing ...................................................................................................10 1.2.6. Tấn công theo kiểu khai thác tràn bộ đệm( Bufer overflow) ..................10 1.2.7. Tấn công chèn mã lệnh............................................................................10 1.2.8. Tấn công vào yếu tố con người ...............................................................11 1.2.9. Thám thính(agent) ...................................................................................11 1.3. Các chính sách bảo mật an toàn hệ thống....................................................11 1.3.1. Kế hoạch bảo mật mạng ..........................................................................11 1.3.2. Chính sách bảo mật nội bộ ......................................................................11 1.3.3. Phương thức thiết kế................................................................................12 1.3.4. Thiết kế chính sách bảo mật mạng ..........................................................12 CHƯƠNG 2: TỔNG QUAN VỀ HỆ THỐNG IDS, HỆ THỐNG IPS VÀ HỆ THỐNG FIREWALL ............................................................................................................................14 2.1. Hệ thống phát hiện xâm nhập IDS (Intrusion Detetion)..............................14 2.1.1. IDS là gì?.................................................................................................14 2.1.2. Chức năng của IDS..................................................................................15 2.1.3. Một số khái niệm cơ bản trong hệ thống phát hiện xâm nhập ................16 2.2. Hệ thống ngăn chặn xâm nhập IPS (Intrusion Prevention) .........................16 2.3. Khái niệm và chức năng Firewall................................................................17 2.3.1. Khái niệm ................................................................................................17 2.3.2. Chức năng Firewall .................................................................................18 2.4. Các thành phần của Firewall và cơ chế hoạt động (Ưu điểm và hạn chế) ..19 2.4.1. Bộ lọc gói (PacketFilter)........................................................................19 2.4.2. Cổng ứng dụng (ApplicationLevel Gateway)........................................21 2.4.3. Cổng vòng (CircuitLevel Gateway).......................................................23 2.5. Các loại Firewall trong thực tế ....................................................................23 CHƯƠNG 3: TRIỂN KHAI THỰC NGHIỆM HỆ THỐNG FIREWALL ...............24 3.1. Mục đích xây dựng mô phỏng .....................................................................24 3.2. Nguyên lý xây dựng mô phỏng và các yêu cầu...........................................25 3.3. Các bước tiến hành cấu hình........................................................................27 KẾT LUẬN..................................................................................................................40 TÀI LIỆU THAM KHẢO ...........................................................................................41
HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA AN TỒN THƠNG TIN ~~~~~~*~~~~~~ BÁO CÁO THỰC TẬP CƠ SỞ CHUYÊN NGHÀNH ĐỀ TÀI XÂY DỰNG CÁC CHÍNH SÁCH BẢO MẬT DỰA TRÊN SỰ KẾT HỢP IDS/IPS VÀ FIREWALL *** GIẢNG VIÊN HƯỚNG DẪN: NGUYỄN ĐÀO TRƯỜNG SINH VIÊN THỰC HIỆN: NGUYỄN VĂN TRUYỀN - CT010153 TRƯƠNG ĐỨC THẮNG - AT131139 NGUYỄN Q ĐỨC - AT131108 KHĨA: AT13 LỚP: AT13-N01 TP.HỒ CHÍ MINH , NGÀY THÁNG 10 2019 MỤC LỤC MỤC LỤC DANH MỤC HÌNH ẢNH Hình 3.3.13 Chuyển đổi tên miền dịch vụ DNS 36 Hình 3.3.16 Yêu cầu thay đổi key RSA 38 DANH MỤC TỪ VIẾT TẮT LỜI MỞ ĐẦU CHƯƠNG 1: CÁC CHÍNH SÁCH BẢO MẬT 1.1 Khái niệm bảo mật mạng 1.1.1 Bảo mật mạng 1.1.2 Những tài nguyên cần bảo vệ 1.1.3 Các yếu tố cần quan tâm phân tích bảo mật mạng 1.1.4 Các cấp độ bảo mật mạng nghiên cứu hệ thống mạng 1.2 Các kiểu công thường gặp 1.2.1 Tấn công trực tiếp 1.2.2 IP Spoofing 10 1.2.3 Tấn công từ chối dịch vụ- DOS(Denial of Service) 10 1.2.4 Packet sniffer 10 1.2.5 Phishing 10 1.2.6 Tấn công theo kiểu khai thác tràn đệm( Bufer overflow) 10 1.2.7 Tấn công chèn mã lệnh 10 1.2.8 Tấn công vào yếu tố người 11 1.2.9 Thám thính(agent) 11 1.3 Các sách bảo mật an tồn hệ thống 11 1.3.1 Kế hoạch bảo mật mạng 11 1.3.2 Chính sách bảo mật nội 11 1.3.3 Phương thức thiết kế 12 1.3.4 Thiết kế sách bảo mật mạng 12 CHƯƠNG 2: TỔNG QUAN VỀ HỆ THỐNG IDS, HỆ THỐNG IPS VÀ HỆ THỐNG FIREWALL 14 2.1 Hệ thống phát xâm nhập IDS (Intrusion Detetion) 14 2.1.1 IDS gì? 14 2.1.2 Chức IDS 15 2.1.3 Một số khái niệm hệ thống phát xâm nhập 16 2.2 Hệ thống ngăn chặn xâm nhập IPS (Intrusion Prevention) 16 2.3 Khái niệm chức Firewall 17 2.3.1 Khái niệm 17 2.3.2 Chức Firewall 18 2.4 Các thành phần Firewall chế hoạt động (Ưu điểm hạn chế) 19 2.4.1 Bộ lọc gói (Packet-Filter) 19 2.4.2 Cổng ứng dụng (Application-Level Gateway) 21 2.4.3 Cổng vòng (Circuit-Level Gateway) 23 2.5 Các loại Firewall thực tế 23 CHƯƠNG 3: TRIỂN KHAI THỰC NGHIỆM HỆ THỐNG FIREWALL 24 3.1 Mục đích xây dựng mô 24 3.2 Nguyên lý xây dựng mô yêu cầu 25 3.3 Các bước tiến hành cấu hình 27 KẾT LUẬN 40 TÀI LIỆU THAM KHẢO 41 DANH MỤC HÌNH ẢNH Hình 2.4.1.1 Sơ đồ làm việc Packet Filtering 19 Hình 2.4.2.2.Kết nối người dùng Client với Server qua Proxy 21 Hình 2.4.3.Kết nối qua cổng vịng (Circuit-Level Gateway 23 Hình 3.2.1 Mơ hình mơ Packet Tracer 26 Hình 3.3.1 Kiểm tra cấu hình ASA 28 Hình 3.3.2 Kiểm tra cổng g1/1 g1/2 29 Hình 3.3.3 Kiểm tra cổng IP cấu hình 30 Hình 3.3.4 Kiểm tra địa IP 30 Hình 3.3.5 Kiểm tra định tuyến 31 Hình 3.3.6 Kiểm tra thiết lập NAT cho vùng INSIDE 32 Hình 3.3.7 Kiểm tra gói tin gửi 32 Hình 3.3.8 Kiểm tra lại cấu hình 33 Hình 3.3.9 Kiểm tra gói tin gửi 34 Hình 3.3.10 PC truy cập Internet 34 Hình 3.3.11 Kiểm tra lại cấu hình 35 Hình 3.3.12 PC truy cập thành cơng 35 Hình 3.3.13 Chuyển đổi tên miền dịch vụ DNS 36 Hình 3.3.14 Kiểm tra lại cấu hình DNS 37 Hình 3.3.15 Kiểm tra Ping thành công 37 Hình 3.3.16 Yêu cầu thay đổi key RSA 38 Hình 3.3.17 Kiểm tra cấm truy cập web 38 DANH MỤC TỪ VIẾT TẮT ITU International Telecommunication Union Tổ chức viễn thông quốc tế DOS Denial of Service Tấn công từ chối dịch vụ IDS Hệ thống phát xâm nhập Intrusion detection system NIDS Netword-base Intrusion detection system Hệ thống phát xâm nhập mạng HIDS Host-based Intrusion detection system IPS Hệ thống phát xâm nhập dựa vào máy tính cá nhân Hệ thống ngăn ngừa xâm nhập Intrusion Prevention Systems NIPS Network-based Intrusion Prevention Hệ thống ngăn ngừa xâm nhập mạng HIPS Host-based Intrusion Prevention Hệ thống ngăn ngừa xâm nhập host DMZ Demilitarized Zone Vùng mạng trung lập LỜI MỞ ĐẦU Trước bùng nổ cách mạng cơng nghiệp 4.0 máy tính mạng máy tính lại đóng vai trị quan trọng Ngày máy tính khơng cịn điều xa xỉ thập kỷ trước, ngược lại máy tính có mặt lĩnh vực đời sống Chính nhờ có máy tính phát triển làm cho khoa học kỹ thuật tiến vượt bật, kinh tế phát triển nhanh chóng thần kỳ Đi kèm với đời phát triển máy tính mạng máy tính ln vấn đề bảo mật thông tin, ngăn chặn xâm phạm đánh cắp thơng tin máy tính thông tin cá nhân mạng mà ngày có nhiều vụ xâm nhập phá hủy liệu quan trọng làm thiệt hại nặng đến kinh tế doanh nghiệp, quốc gia Được hướng dẫn nhiệt tình thầy Nguyễn Đào Trường, chúng em tìm hiểu nghiên cứu đề tài thực tập sở: “Xây dựng sách bảo mật dựa kết hợp IDS, IPS FIREWALL” Đề tài trình bày vấn đề tổng quan bảo mật mạng, firewall, giới thiệu IDS, IPS Do nội dung đề tài rộng bao gồm nhiều kiến thức mới, thời gian kiến thức hạn chế, việc nghiên cứu chủ yếu dựa lý thuyết học số tài liệu tham khảo nên chắn tránh khỏi thiếu sót Chúng em mong nhận đóng góp ý kiến sửa chửa thầy cô bạn bè Cuối cùng, xin cảm ơn bạn bè, thầy cô hỗ trợ kịp thời giúp đỡ chúng em thời gian vừa qua Chúng em xin chân thành cảm ơn! Hồ Chí Minh, tháng 10 năm 2019 CHƯƠNG 1: CÁC CHÍNH SÁCH BẢO MẬT 1.1 Khái niệm bảo mật mạng Với phát triển mạnh mẽ mạng máy tính internet nay, vấn đề bảo mật vấn đề quan tâm hàng đầu Mục tiêu việc nối mạng làm cho người sử dụng chung tài nguyên, chia sẻ thơng tin từ vị trí địa lý khác Cũng mà tài ngun dễ dàng bị phân tán, dẫn đến điều hiển nhiên chúng dễ có nguy bị xâm phạm, gây liệu thơng tin có giá trị.Điều gây tổn thất nặng nề cho cá nhân, tổ chức, quốc gia Vì vậy, hệ thống mạng phát triển vấn đề bảo mật mạng đưuọc đặt lên hàng đầu 1.1.1 Bảo mật mạng Bảo mật mạng đảm bảo an toàn toàn hệ thống mạng trước hành động nhằm công phá hoại, truy cập trái phép vào hệ thống mạng từ bên lẫn bên Theo tiêu chuẩn Liên minh Viễn thơng quốc tế (ITU) bảo mật mạng định nghĩa sau:Bảo mật mạng tập hợp cơng cụ, sách, khái niệm bảo mật, hướng dẫn, phương pháp quản lý rủi ro, phản ứng, đào tao, diễn tập, thiết bị công nghệ dùng để bảo vệ hệ thống mạng tài sản 1.1.2 Những tài nguyên cần bảo vệ Tài nguyên cần phải bảo vệ liệu Đa số cơng lớn vào cơng ty, tập đồn lớn có mục đích đánh cắp liệu Trong thời đại thông tin nay, liệu tài sản lớn doanh nghiệp, việc liệu bị đe dọa gây thiệt hại lớn cho doanh nghiệp lẫn người dùng Đối với liệu, cần phải đảm bảo yếu tố: + Tính bảo mật: cho phép người có quyền hạn truy cập đến + Tính tồn vẹn liệu: Dữ liệu khơng sửa đổi, bị xóa cách bất hợp pháp + Tính sẵn sàng: Bất lúc nào, liệu phải đảm bảo sẵn sàng Các loại tài nguyên lại cần phải bảo vệ như: hệ thống máy tính, nhớ, hệ thống ổ đĩa, máy in… Ngoài ra, mơi trường mạng, uy tín danh tiếng cá nhân điều cần thiết phải bảo vệ Đừng chủ quan bạn nghĩ máy tính cá nhân bạn khơng có liệu quan trọng bạn khơng có danh tiếng hay ảnh hưởng lớn nên khơng cần phải bảo vệ Hãy thử tưởng tượng ngày đẹp trời, hacker xâm nhập vào máy tính cá nhân bạn, sử dụng tài nguyên máy danh tính bạn để thực cơng nguy hiểm khác 1.1.3 Các yếu tố cần quan tâm phân tích bảo mật mạng Vấn đề người: Khi nghiên cứu vấn đề bảo mật mạng cần quan tâm xem tham gia vào hệ thống mạng, họ có trách nhiệm vai trị nào? Kiến trúc mạng: vấn đề mà cần phải quan tâm nghiên cứu, phân tích hệ thống mạng Chúng ta cần nghiên cứu trạng xây dựng nâng cấp mạng đưa kiểu kiến trúc mạng phù hợp với trạng sở hạ tầng định xây dựng Phần cứng phần mềm: Hệ thống mạng thiết kế nào? Nó bao gồm phần cứng phần mềm tác dụng chúng Xem xét tính tương thích phần cứng phần mềm nâng cấp hay thay thế… 1.1.4 Các cấp độ bảo mật mạng nghiên cứu hệ thống mạng Mức mạng: Ngăn chặn kẻ xâm nhập bất hợp pháp vào hệ thống mạng Mức server: Kiểm soát quyền truy cập, chế bảo mật, trình nhận dạng người dùng, phân quyền truy cập, cho phép tác vụ… Mức sở liệu: Kiểm soát phân quyền nhóm người dùng truy cập vào sở liệu Mức trường thông tin: Trong sở liệu kiểm soát trường liệu chứa thông tin khác cho phép đối tượng khác có quyền truy cập khác Mức mật mã: Mã hóa tồn file liệu theo phương phá cho phép người có quyền cấp sử dụng file liệu 1.2 Các kiểu công thường gặp Sự phát triển nhanh chóng mạng khơng tránh khỏi việc để lại nhiều lỗ hỏng bảo mật mà hacker khai thác công Các thủ đoạn công đa dạng ngày trở nên phức tạp tinh vi Một số phương pháp công thường gặp là: công trực tiếp, Ip Spoofing, công từ chối dịch vụ-Dos, Packet sniffer, Phishing, công theo kiểu khai thác tràn đệm, công chèn mã lệnh, công vào yếu tố người 1.2.1 Tấn cơng trực tiếp Hacker sử dụng máy tính để cơng vào máy tính khác với mục đích dị tìm mật mã, tên tài khoản tương ứng, nhằm đánh cắp tài khoản Họ sử dụng số chương trình giải mã để giải mã file chứa password hệ thống máy tính nạn nhân, mật ngắn đơn giản thường dễ bị phát theo cách Ví dụ Dictionary attacks, bruteforce attack, hybrid attack Ngồi ra, hacker cơng trực tiếp thơng qua lỗi chương trình hay hệ điều hành làm cho hệ thống bị tê liệt Trong số trường hợp, hacker đoạt quyền Admin hệ thống 1.2.2 IP Spoofing Một máy tính bên hệ thống mạng giả mạo địa IP đáng tin cậy hệ thống để truy cập vào Mục đích việc nhằm chèn thơng tin bất hợp pháp phiên làm việc thay đổi bảng tin định tuyến(routing table) để thu thập gói tin cần thiết 1.2.3 Tấn công từ chối dịch vụ- DOS(Denial of Service) Kiểu công nhằm làm tắt nghẽn mạng cách hacker gửi liên tiếp gói tin yêu cầu với tốc độ cao tới hệ thống nhằm làm tê liệt hệ thống, tràn đầy băng thông 1.2.4 Packet sniffer Đây công cụ sử dụng để chuẩn đoán, phát lỗi hệ thống mạng vấn đề liên quan Hacker sử dụng công cụ để bắt gói tin, nghe trộm liệu chưa mã hóa trao đổi bên nạn nhân Ngồi cịn xem thông tin mật xác nhận mật khẩu, chặn bắt gói liệu cơng gói tin hệ thống 1.2.5 Phishing Các hacker tạo trang web giả trông giống hệt trang web phổ biến như: facebook, gmail, … Các hacker gửi email để người dùng click vào điều hướng đến trang web giả mảo Khi người dùng đăng nhập thông tin tài khoản họ, hệ thống ghi nhận gửi lại cho hacker lưu thơng tin lại 1.2.6 Tấn cơng theo kiểu khai thác tràn đệm( Bufer overflow) Tràn đêm tình trạng xảy liệu gửi tới nhiều so với khả xử lí hệ thống hay CPU Hacker khai thác tình trạng để gửi loạt lớn liệu tới hệ thống mục tiêu làm tải hệ thống khiến hệ thống rơi vào tình trạng kiếm sốt Và kết hacker công truy cập quản trị hệ thống Command Prompt Shell để đoạt quyền root hệ thống 1.2.7 Tấn công chèn mã lệnh Một đoạn mã lệnh chèn vào trang web từ máy khác người công 10 Kỹ thuật cho phép người công đưa mã lệnh thực thi vào phiên làm việc web người dùng khác Khi mã lệnh chạy, cho phép người công thực nhiều việc như: giám sát phiên làm việc trang web có tồn quyền điều khiển máy tính 1.2.8 Tấn cơng vào yếu tố người Hacker cơng vào lỗ hổng lỗi nhà quản trị hệ thống liên lạch với nhà quản trị hệ thống giả mạo người dùng để thay đổi username password, 1.2.9 Thám thính(agent) Hacker sử dụng phần mềm virus, trojan thường dùng để công vào máy trạm làm bước đệm để công vào máy chủ hệ thống Kẻ cơng nhận thơng tin hữu ích từ máy nạn nhân thơng qua dịch vụ mạng 1.3 Các sách bảo mật an tồn hệ thống Một kế hoạch an tồn thơng tin hiệu phải tính đến tất nguy từ bên lẫn bên nội bộ, đồng thời kết hợp biện pháp kỹ thuật biện pháp quản lý Các bước tiến hành: B1: Xác định u cầu sách an tồn thông tin: xác định yêu cầu truy nhập dịch vụ cung cấp cho người sử dụng, dựa vào ta có sách tương ứng B2: Thiết kế an tồn vịng ngồi: kết bước xác định kiến trúc mạng với thành phần phần cứng phần mềm sử dụng Đặc biệt ý đến hệ thống truy cập từ xa chế xác thực người dùng B3: Biện pháp an toàn cho máy chủ máy trạm: Kiểm tra máy chủ máy trạm để phát sơ hở bảo mật Đối với Firewall máy chủ cần kiểm tra theo dõi dạng công B4: Kiểm tra thường kỳ: Cần có kế hoạch kiểm tra định kỳ tồn hệ thống an tồn thơng tin, ngồi cần kiểm tra lại có thay đổi cấu hình, nâng cấp, sửa chữa 1.3.1 Kế hoạch bảo mật mạng Để có sách bảo mật mạng hiệu cần phải trả lời câu hỏi: Loại dịch vụ nào, tài nguyên người dùng phép truy nhập bị cấm? 1.3.2 Chính sách bảo mật nội Một tổ chức lớn có nhiều phận nhiều nơi, phận có mạng riêng Vì mạng cần có người quản trị mạng chích sách an ninh có điểm khác 11 3.3 Các bước tiến hành cấu hình + Cấu hình IP cho Server0: IP Address: 209.165.201.254 Subnet Mask: 255.255.255.0 Default Gateway: 209.165.201.1 + Cấu hình cho Router:Đặt địa IP cho interface g0/1 g0/0 Router#enable Router#configure terminal Router(config)#int g0/1 Router(config-if)#ip add 209.165.201.1 255.255.255.0 Router(config-if)#no shutdown Router(config-if)#int g0/0 Router(config-if)#ip add 209.165.200.225 255.255.255.252 Router(config-if)#no shutdown + Cấu hình cho ASA0 5506-X: ciscoasa>enable Password: ciscoasa#configure terminal ciscoasa(config)#hostname ASA5506 ASA5506(config)#enable password class ASA5506(config)#show running 27 Hình 3.3.1 Kiểm tra cấu hình ASA + Cấu hình lệnh xóa hết giá trị mặc định interface g1/1 g1/2 ASA5506(config)#int g1/1 ASA5506(config-if)#no ip add ASA5506(config-if)#no nameif ASA5506(config-if)#no security-level ASA5506(config)#int g1/2 ASA5506(config-if)#no ip add ASA5506(config-if)#no nameif ASA5506(config-if)#no security-level ASA5506(config-if)#show running 28 Hình 3.3.2 Kiểm tra cổng g1/1 g1/2 + Tiếp theo đặt lại địa cổng g1/1 g1/2 ASA: ASA5506(config)#int g1/1 ASA5506(config-if)#ip address 209.165.200.226 255.255.255.252 ASA5506(config-if)#nameif outside ASA5506(config-if)#security-level ASA5506(config-if)#no shutdown ASA5506(config-if)#int management1/1 ASA5506(config-if)#ip address 192.168.1.1 255.255.255.0 ASA5506(config-if)#nameif inside ASA5506(config-if)#security-level 100 ASA5506(config-if)#no shutdown ASA5506(config-if)#exit + Ta xem lại interface ip cấu hình: ASA5506(config)#show interface ip brief 29 Hình 3.3.3 Kiểm tra cổng IP cấu hình ASA5506(config)#show ip address Hình 3.3.4 Kiểm tra địa IP + Mặc định Firewall: - Interface outside (Security level 0) có ACL deny any Interface inside (Security level 100) ACL permit any 30 + Tiếp theo: ASA5506(config)#dhcp address 192.168.1.100-192.168.1.110 inside ASA5506(config)#dhcp dns 209.165.201.254 ASA5506(config)#dhcpd option ip 192.168.1.1 ASA5506(config)#dhcpd enable inside ASA5506(config)#route outside 0.0.0.0 0.0.0.0 209.165.200.225 ASA5506(config)#show route Hình 3.3.5 Kiểm tra định tuyến + Thiết lập cấu hình NAT: ASA5506(config)#object network INSIDE-NET ASA5506(config-network-object)#subnet 192.160.1.0 255.255.255.0 ASA5506(config-network-object)#nat (inside,outside) dynamic interface ASA5506(config-network-object)#exit ASA5506#show nat 31 Hình 3.3.6 Kiểm tra thiết lập NAT cho vùng INSIDE Ta vào PC0 ping thử ASA: ping 192.168.1.1 => ping OK Hình 3.3.7 Kiểm tra gói tin gửi + Ta tiếp tục cấu hình: ASA5506(config)#class-map inspection_default 32 ASA5506(config-cmap)#match default-inspection-traffic ASA5506(config-cmap)#exit ASA5506(config)#policy-map global-policy ASA5506(config-pmap)#class inspection_default ASA5506(config-pmap-c)#inspect icmp ASA5506(config-pmap-c)#exit ASA5506(config)#server-policy global_policy global ASA5506(config)#show running Hình 3.3.8 Kiểm tra lại cấu hình Vào PC0 test ping lại đến địa chỉ: ping 209.165.201.254 => Ok 33 Hình 3.3.9 Kiểm tra gói tin gửi Tuy nhiên, Web Browser để truy cập dịch vụ đến địa chỉ: 209.165.201.254 chưa Hình 3.3.10 PC truy cập ngồi Internet + Ta tiếp tục cấu hình Policy-map: 34 ASA5506(config)#policy-map global-policy ASA5506(config-pmap)#class inspection_default ASA5506(config-pmap-c)#inspect http ASA5506(config-pmap-c)#show running Hình 3.3.11 Kiểm tra lại cấu hình Kế tiếp, vào PC0 truy cập đến Web Browser: 209.165.201.254 => Ok Hình 3.3.12 PC truy cập thành công 35 Vào Server0 bật dịch vụ DNS chuyển đổi tên miền: www.security.com 209.165.254 Hình 3.3.13 Chuyển đổi tên miền dịch vụ DNS + Ta tiếp tục cấu hình DNS: ASA5506(config-pmap-c)#exit ASA5506(config)#policy-map type inspect dns preset_dns_map ASA5506(config-pmap)#parameters ASA5506(config-pmap-p)#message-length maximum 512 ASA5506(config-pmap-p)#exit ASA5506(config-pmap)#policy-map global_policy ASA5506(config-pmap)#class inspection_default ASA5506(config-pmap-c)#inspect dns preset_dns_map 36 ASA5506(config-pmap-c)#exit ASA5506(config)#show running Hình 3.3.14 Kiểm tra lại cấu hình DNS Để test, ta vào PC0 ping đến www.security.com ping www.security.com => ping Ok Hình 3.3.15 Kiểm tra Ping thành công + Tiếp theo: ASA5506(config)#domain-name security.com ASA5506(config)#username admin password cisco 37 ASA5506(config)#aaa authentication ssh console local ASA5506(config)#crypto key generate rsa modulus 1024 Khi xuất hình lệnh Warning hình dưới, ta tiếp tục nhập “yes” Hình 3.3.16 Yêu cầu thay đổi key RSA + Cấu hình tiếp theo: ASA5506(config)#ssh 192.168.1.0 255.255.255.0 inside ASA5506(config)#ssh timeout 10 Vào PC0 Terminal gõ: ssh -l admin 192.168.1.1 + Cấu hình Access-list cho phép truy cập ngồi mạng internet: ASA5506(config)#access-list PERMIT-OUT permit ip 192.168.1.0 255.255.255.0 209.165.201.0 255.255.255.252 ASA5506(config)#access-list PERMIT-OUT permit tcp 192.168.1.0 255.255.255.0 host 209.165.201.254 eq 80 38 + Cấu hình Access-list cấm truy cập ngồi mạng internet: ASA5506(config)#access-list PERMIT-OUT deny ip 192.168.1.0 255.255.255.0 209.165.200.224 255.255.255.252 ASA5506(config)#access-list PERMIT-OUT deny tcp 192.168.1.0 255.255.255.0 209.165.200.224 255.255.255.252 eq 80 ASA5506(config)#access-group PERMIT-OUT in interface inside Hình 3.3.17 Kiểm tra cấm truy cập web 39 KẾT LUẬN Việc nghiên cứu mạng máy tính an tồn mạng máy tính, vấn đề bảo mật mạng máy tính tường lửa Firewall, IDS IPS-hai hệ thống giúp bảo vệ mạng ngăn chặn mối đe dọa công sử dụng hiệu nay, chúng em có thêm nhiều hiểu biết mạng máy tính cách thức hoạt động số hệ thống mạng Đây tiền đề sở để chúng em tiếp tục nghiên cứu tìm hiểu vấn đề chuyên sâu mạng máy tính bảo mật mạng máy tính sau Qua đó, ta thấy tường lửa ngày đóng vai trò quan trọng việc bảo vệ tổ chức, doanh nghiệp tránh danh sách gần vô tận hiểm họa công từ internet Sự lựa chọn tường lửa thường định cách vị trí từ xa kết nối với hệ thống trung tâm để truy cập sử dụng tài nguyên cần thiết để thực nhiệm vụ quan trọng dễ dàng Tường lửa “bức tường” nằm mạng (như internet) mạng nội để bảo vệ, ngồi cịn phân tích lưu lượng vào khỏi mạng để định làm với liệu đó… Tuy nhiên, khơng có tuyệt đối, với cách phương thức, kỹ thuật cơng ngày tinh vi đa dạng, cần phải luôn nghiên cứu phát triển, tìm kỹ thuật mới, cơng nghệ để phát triển hồn thiện mơ hình bảo vệ, đảm bảo an tồn thơng tin, liệu thời đại số Trong thực nghiên cứu đề tài này, có giúp đỡ, hướng dẫn nhiệt tình thầy giáo Nguyễn Đào Trường, nhiên tránh khỏi khiếm khuyết sai lệch, chúng em mong nhận bảo giúp đỡ thầy cô bạn Xin chân thành cảm ơn! 40 TÀI LIỆU THAM KHẢO [1] [2] [3] [4] [5] [6] Cấu trúc máy vi tính – Trần Quan Vinh(NXB Giáo Dục) Bức tường lửa Internet An ninh mạng – NXB Bưu Điện Network and Internet Security – William Stallings UTF8’’Cisco.Press.Cisco.ASA.PIX.and.FWSM.Handbook.2nd.Edition.Aug.2007 eBook- DDU RFC 2865: Remote Authentication Dial In User Service(RADIUS) Cisco ASA All-in-One Next-Generation Firewall, IPS, and VPN Services, Third Edition 41