TRƯỜNG CAO ĐẲNG CÔNG NGHỆ THÔNG TIN HỮU NGHỊ VIỆT - HÀN KHOA CÔNG NGHỆ THÔNG TIN  BẢO MẬT HỆ THỐNG MẠNG BẰNG FIREWALL CISCO ASA 5515X TÓM TẮT ĐỒ ÁN TỐT NGHIỆP NGÀNH: QUẢN TRỊ MẠNG MÁY TÍNH HSSV thực : Nguyễn Quang Hiền MÃ HSSV : CCMM17A002 Cán hƣớng dẫn : TS Đặng Quang Hiển Bùi Thanh Minh Khóa đào tạo : 2017 - 2020 Đà Nẵng, 01/2020 MỞ ĐẦU Lý chọn đề tài Với bùng nổ phát triển công nghệ nay, máy tính mạng máy tính có vai trò quan trọng sống ngày Ngày lĩnh vực cần đến máy tính, máy tính hữu ích với Chính nhờ có máy tính phát triển làm cho khoa học kỹ thuật phát triển vượt bậc, kinh tế phát triển nhanh chóng thần kỳ Cùng với đời phát triển máy tính mạng máy tính vấn đề bảo mật thông tin, ngăn chặn xâm phạm đánh cắp thơng tin máy tính thơng tin cá nhân mạng máy tính mà ngày có nhiều tin tặc xâm nhập phá huỷ liệu quan trọng làm thiệt hại lớn Việc bảo mật an tồn thơng tin trở thành mối lo ngại nguy tiềm tàng, tin tặc truy cập vào hệ thống quan, tổ chức từ khắp nơi giới Hiểm họa an tồn thơng tin như: - Các hoạt động tin tặc liên tục tăng - Mức độ nguy hiểm ngày gia tăng, tính tự động ngày cao - Đa dạng kiểu công - Xu hướng công vào tổ chức tài chính, ngân hàng, quan phủ Chính việc bảo mật thơng tin quan trọng, hệ thống thông tin thành phần thiết yếu quan, tổ chức, đem lại khả xử lý thông tin, hệ thống thông tin chứa nhiều điểm yếu Do máy tính phát triển với tốc độ nhanh để đáp ứng nhiều yêu cầu người dùng, phiên phát hành liên tục với tính thêm vào ngày nhiều, điều làm cho phần mềm không kiểm tra kỹ trước phát hành bên chúng chứa nhiều lỗ hổng dễ dàng bị lợi dụng Thêm vào việc phát triển hệ thống mạng, phân tán hệ thống thông tin, làm cho người dùng truy cập thông tin dễ dàng tin tặc có nhiều mục tiêu cơng dễ dàng Song song với việc xây dựng hệ thống thông tin đại, đáp ứng nhu cầu quan, tổ chức cần phải bảo vệ hệ thống thông tin, đảm bảo cho hệ thống hoạt động ổn định tin cậy An tồn bảo mật thơng tin thiết yếu quan, tổ chức Do việc bảo vệ hệ thống vấn đề mà đáng phải quan tâm Người ta đưa khái niệm Firewall để giải vấn đề Trong đồ án tốt nghiệp em trình bày về: “Bảo mật hệ thống mạng Firewall Cisco ASA 5515-X” qua cho nhìn sâu khái niệm, củng chức Firewall Mục tiêu nhiệm vụ nghiên cứu Đồ án giúp cho biết trình cần thiết để thiết kế nên hệ thống mạng, giúp ta biết sâu khái niệm nghiên cứu triển khai chức Firewall Cisco ASA 5515-x Đối tƣợng phạm vi nghiên cứu Đối tượng nghiên cứu: Firewall Cisco ASA 5515-x thiết bị mạng, máy tính có phịng Lab B107 trường Phạm vi nghiên cứu: nghiên cứu lý thuyết bảo mật mạng triển khai chức firewall Cisco ASA 5515-x Phƣơng pháp nghiên cứu - Đọc tài liệu an toàn bảo mật mạng Đặc biệt thiết bị an toàn mạng Firewall Cisco ASA 5515-x - Triển khai thực hành tới đâu viết phần lý thuyết tới Dự kiến kết - Hoàn thiện báo cáo lý thuyết; - Hoàn thiện mơ hình bảo mật mạng sử dụng Firewall Cisco ASA 5515-X Ý nghĩa khoa học thực tiễn Nâng cao tính bảo mật an tồn liệu mạng Giúp bảo mật hệ thống mạng công ty doanh nghiệp Nội dung đồ án tốt nghiệp Chương 1: Tổng quan bảo mật mạng Chương 2: Thiết bị bảo mật mạng Cisco ASA 5515X Chương 3: Triển khai hệ thống bảo mật mạng Firewall Cisco ASA 5515X CHƢƠNG 1: TỔNG QUAN VỀ BẢO MẬT MẠNG 1.1 ĐỊNH NGHĨA BẢO MẬT MẠNG 1.1.1 Các yếu tố cần đƣợc bảo vệ hệ thống 1.1.2 Các đặc trƣng hệ thống thông tin bảo mật 1.1.3 Mục tiêu bảo mật hệ thống 1.2 CÁC HÌNH THỨC TẤN CƠNG HỆ THỐNG MẠNG 1.2.1 Q trình thăm dị cơng (Reconnaissance) 1.2.2 Qt hệ thống (Scanning) 1.2.3 Chiếm quyền điều khiển (Gainning access) 1.2.4 Duy trì điều khiển hệ thống (Maitaining access) 1.2.5 Xố dấu vết (Clearning tracks) 1.3 CÁC BIỆN PHÁP BẢO VỆ HỆ THỐNG MẠNG 1.3.1 Mã hoá 1.3.2 Chứng thực ngƣời dùng 1.3.3 Bảo mật máy trạm 1.3.4 Bảo mật truyền thơng 1.4 CÁC CƠNG NGHỆ VA KĨ THUẬT BẢO MẬT 1.4.1 Bảo mật firewall 1.4.2 Bảo mật VPN (Virtual Private Network) 1.4.3 Bảo mật IDS (Intrusion Detection System) CHƢƠNG 2: THIẾT BỊ BẢO MẬT MẠNG FIREWALL CISCO ASA 5515 - X 2.1 KHÁI NIỆM VỀ FIREWALL 2.1.1 Khái niệm 2.1.2 Lý sử dụng Firewall cho mạng máy tính 2.1.3 Sự đời firewall 2.1.4 Các lựa chọn Firewall 2.1.5 Chức Firewall 2.1.6 Firewall bảo vệ vấn đề 2.2 TỔNG QUAN VỀ FIREWALL CISCO ASA 5515-X 2.2.1 Cấu hình phần cứng thiết bị ASA 5515-X 2.2.2 Tính thiết bị ASA 5515-X CISCO 2.2.3 Một số công cụ dịch vụ đƣợc cài đặt thiết bị ASA 5515-X 2.2.3.1 Ciscos ASDM (Adaptive Security Device Manager) 2.2.3.2 NAT (Network Address Translation) CHƢƠNG 3: TRIỂN KHAI BẢO MẬT HỆ THỐNG MẠNG BẰNG FIREWALL CISCO ASA 5515 X 3.1 XÂY DỰNG MƠ HÌNH TRIỂN KHAI 3.1.1 Mơ hình thực tế Hình 3.1 Mơ hình thực tế hệ thống mạng 3.1.2 Sơ đồ triển khai Hình 3.2 Sơ đồ triển khai hệ thống mạng 3.1.3 Danh sách thiết bị đƣợc sử dụng mơ hình 3.1.4 Các phần mềm dịch vụ đƣợc cài đặt, cấu hình Firewall 3.2 TIẾN HÀNH CÀI ĐẶT VÀ CẤU HÌNH THIẾT BỊ 3.2.1 Cài đặt công cụ ASDM (Adative Security Device Manager) 3.2.1.1 Chuẩn bị để cài ASDM 3.2.1.2 Cài đặt ASDM 3.2.2 Cấu hình firewall - Đặt Hostname cho firewall ASA 5515-X - Cấu hình password cho firewall - Cấu hình enable interface, cấu hình IP cho interface, name cho interface - Cấu hình security-level interface Cấu hình ASDM: - Đầu tiên, đặt tên hostname cho thiết bị: Hình 3.3 Đặt tên cho Firewall - Cấu hình password: Hình 3.4 Password enable - Nhấn Apply để lưu cấu hình - Tiếp theo tiến hành đặt ip, bật port cấu hình securitylevel lên interface cho cổng kết nối với vùng Outside, dmz, inside, inside1 Hình 3.5 Tạo interface - Nhấn OK để tạo - Làm tương tự cho Port trên: - Nhấn Apply để lưu cấu hình 3.2.3 Cấu hình SSH (Secure Shell) - Bước 1: Sử dụng giao diện ASDM: Chọn Configuration > Remote Access VPN > DHCP Server: Kích chọn interface: inside (DHCP cấp cho miền mạng này) Hình 3.6 Cấu hình DHCP - Bước 2: Nhấn ok để lưu, cấu hình tương tự cho miền mạng inside1: - Bước 3: Nhấn Ok để lưu, Apply để lưu cấu hình - Bước 4: Tiến hành kiểm tra kết quả: Hình 3.7 PC nhận ip từ dịch vụ DHCP - Như dịch vụ DHCP cấp ip cho Vlan (gv, sv) 3.2.4 Cấu hình NAT - Sau đặt ip cho port ta tiến hành cấu hình NAT để thiết bị vùng dmz, inside, inside1 kết nối Internet Cấu hình giao diện ASDM: - Bước 1: Chọn Configuration > Firewall > NAT Ruler > Add”Network Object”NAT Rule 10 Hình 3.8 Cấu hình NAT - Bước 2: Nhập tên, ip, Netmask hình Hình 3.9 Cấu hình Network object - Tiếp theo, chọn kiểu NAT, để tất ip miền mạng kết nối Internet chọn Dynamic PAT (Hide) Hình 3.10 Chọn loại NAT 11 - Làm tương tự với miền mạng lại - Bước 3: Nhấn Ok, nhấn Apply để lưu cấu hình 3.2.5 Tạo Access Rules - Bước 1: Chọn Configuration > Firewall > Access Rules 12 Hình 3.11 Tạo Access Rules - Bước 2: Tiến hành cấu hình Hình 3.12 Tạo Access Rules - Làm tương tự cho Access Rules khác 13 Hình 3.13 Tạo Access Rules Hình 3.14 Tạo Access Rules - Bước 3: Nhấn Ok, Chon Apply để lưu cấu hình 3.2.6 Cấu hình static Router (định tuyến) - Bước 1: Chọn Configuration > Device Setup > Routing > Static Routes > Add 14 Hình 3.15 Cấu hình Static Router - Bước 2: Nhấn ok, Apply để lưu cấu hình 3.2.7 Tiến hành kiểm tra kết - Bước 1: Từ PC Client Vlan gv (192.168.2.11) o Ping 8.8.8.8 o Ping máy chủ vùng DMZ(172.16.1.11-14) Hình 3.16 Ping 8.8.8.8 khu DMZ 15 o Duyệt Web Hình 3.17 Duyệt web - Bước 2: Tương tự, Kiểm tra PC thuộc Vlan SV (192.168.3.11) kết quả: Hình 3.18 Duyệt web - Bước 3: Kiểm tra kết nối máy chủ vùng DMZ (172.16.1.11-14) kết quả: 16 Hình 3.19 Duyệt web Hình 3.20 Ping 8.8.8.8 inside 3.2.8 Kết - Các PC Vlan (gv, sv) nhận ip động cấp phát tự động từ dịch vụ DHCP Firewall 17 - Quá trình cấu hình NAT firewall thành cơng, cho kết sau: o Các máy chủ vùng DMZ truy cập Internet ping thông vào Vlan (gv, sv) o Các máy Client Vlan (gv, sv) Internet truy cập dịch vụ máy chủ vùng DMZ 18