1. Trang chủ
  2. » Luận Văn - Báo Cáo

Tìm hiểu về internet security accelration server 2006

80 1 0
Tài liệu đã được kiểm tra trùng lặp

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 80
Dung lượng 2,77 MB

Nội dung

Đồ án tốt nghiệp đại học TRƯỜNG ĐẠI HỌC VINH KHOA CÔNG NGHỆ THÔNG TIN VIENGNAKONE XAYYASAVANH ĐỒ ÁN TỐT NGHIỆP TÌM HIỂU INTERNET SECURITY ACCELRATION SERVER 2006 Nghệ An, tháng 12 năm 2012 VIENGNAKONE XAYYASAVANH 49K-CNTT Đồ án tốt nghiệp đại học CHƯƠNG TỔNG QUAN VỀ AN TỒN THƠNG TIN TRÊN MẠNG 1.1 Mạng máy tính vấn đề an toàn mạng Ngày nay, Internet trở thành mạng liệu công cộng làm cho việc liên lạc cá nhân, công việc trở nên thuận tiện nhiều Khối lượng trao đổi qua Internet tăng theo số mũ ngày Ngày nhiều công ty, chi nhánh ngân hàng thông qua mạng Internet để liên lạc với Cùng với phát triển không ngừng Internet dịch vụ Internet, số lượng vụ công Internet tăng theo cấp số nhân Trong phương tiện thông tin đại chúng ngày nhắc nhiều đến Internet với khả truy nhập thông tin dường đến vô tận nó, tài liệu chun mơn bắt đầu đề cập nhiều đến vấn đề bảo đảm an tồn liệu cho máy tính kết nối vào mạng Internet Rõ ràng mạng Internet làm thay đổi sống người, làm thay đổi cơng việc kinh doanh làm cho trở nên dễ dàng Nhưng đồng thời với lợi ích to lớn nó, mạng Internet với cơng nghệ liên quan mở cánh cửa làm tăng số lượng vụ công vào công ty , Doanh nghiệp cá nhân, nơi lưu giữ liệu nhạy cảm bí mật Quốc gia, số liệu tài chính, số liệu cá nhân Hậu cơng phiền phức nhỏ, làm suy yếu hoàn toàn, liệu quan trọng bị xóa, riêng tư bị xâm phạm, sau vài ngày, chí vài sau, tồn hệ thống bị tê liệt hồn tồn Song song với việc xây dựng tảng công nghệ thông tin, phát triển ứng dụng máy tính sản xuất, kinh doanh, khoa học, giáo dục, xã hội, việc bảo vệ thành điều thiếu Sử dụng tường lửa (Firewall) để bảo vệ mạng nội (Intranet), tránh cơng từ bên ngồi giải pháp hữu hiệu, đảm bảo yếu tố: An toàn cho hoạt động toàn hệ thống mạng Bảo mật cao nhiều phương diện VIENGNAKONE XAYYASAVANH 49K-CNTT Đồ án tốt nghiệp đại học Khả kiểm soát cao Đảm bảo tốc độ nhanh Mềm dẻo dễ sử dụng Trong suốt với người sử dụng Đảm bảo kiến trúc mở 1.2 Tình hình thực tế Theo số liệu CERT (Computer Emergency Response Team - "Đội cấp cứu máy tính"), số lượng vụ công Internet thông báo cho tổ chức 200 vào năm 1989, khoảng 400 vào năm 1991, 1400 vào năm 1993, 2241 vào năm 1994 Những vụ công nhằm vào tất máy tính có mặt Internet, máy tính tất công ty lớn AT&T, IBM, trường đại học, quan nhà nước, tổ chức quân sự, nhà băng Một số vụ cơng có quy mơ khổng lồ (có tới 100.000 máy tính bị cơng) Hơn nữa, số phần tảng băng Một phần lớn vụ công không thông báo, nhiều lý do, kể lo bị uy tín, đơn giản người quản trị hệ thống không hay biết công nhằm vào hệ thống họ Không số lượng công tăng lên nhanh chóng, mà phương pháp cơng liên tục hồn thiện Điều phần nhân viên quản trị hệ thống kết nối với Internet ngày đề cao cảnh giác Cũng theo CERT, cơng thời kỳ 1988-1989 chủ yếu đốn tên người sử dụng-mật (UserID-password) sử dụng số lỗi chương trình hệ điều hành (security hole) làm vô hiệu hệ thống bảo vệ, nhiên công vào thời gian gần bao gồm thao tác giả mạo địa IP, theo dõi thông tin truyền qua mạng, chiếm phiên làm việc từ xa Trước tình hình việc bảo vệ an tồn thơng tin cho hay hệ thống máy tính trước nguy bị cơng từ bên ngồi kết nối vào Internet một vấn đề cấp bách Nhu cầu bảo vệ thơng tin Internet VIENGNAKONE XAYYASAVANH 49K-CNTT Đồ án tốt nghiệp đại học chia thành ba loại gồm: bảo vệ liệu, bảo vệ tài nguyên sử dụng mạng bảo vệ danh tiếng quan Bảo vệ liệu Những thông tin lưu trữ hệ thống máy tính cần bảo vệ yêu cầu sau: Bảo mật: Những thơng tin có giá trị kinh tế, qn sự, sách… cần giữ kín Tính vẹn tồn: Thơng tin không bị mát sửa đổi, đánh tráo Tính kịp thời: u cầu truy nhập thơng tin vào thời điểm cần thiết Trong yêu cầu này, thông thường yêu cầu bảo mật coi yêu cầu số thông tin lưu trữ mạng Tuy nhiên, thông tin khơng giữ bí mật, u cầu tính vẹn tồn quan trọng Khơng cá nhân, tổ chức lãng phí tài nguyên vật chất thời gian để lưu trữ thông tin mà khơng biết tính đắn thơng tin Bảo vệ tài ngun sử dụng mạng Trên thực tế, công Internet, kẻ công, sau làm chủ hệ thống bên trong, sử dụng máy để phục vụ cho mục đích chạy chương trình dị mật người sử dụng, sử dụng liên kết mạng sẵn có để tiếp tục công hệ thống khác… Bảo vệ danh tiếng quan Phần lớn công không thông báo rộng rãi, nguyên nhân nỗi lo bị uy tín quan, đặc biệt công ty lớn quan quan trọng máy nhà nước Trong trường hợp người quản trị hệ thống biết đến sau hệ thống dùng làm bàn đạp để công hệ thống khác, tổn thất uy tín lớn để lại hậu lâu dài Để thực yêu cầu trên giới xuất nhiều phần mềm với tính khác mà người ta gọi Firewall VIENGNAKONE XAYYASAVANH 49K-CNTT Đồ án tốt nghiệp đại học 1.3 Các kiểu cơng mạng Có nhiều kiểu cơng vào hệ thống có nhiều cách để phân loại kiểu công Ở đây, tạm chia kiểu công thành loại sau: 1.3.1 Tấn công trực tiếp Phần lớn công vào hệ thống trực tiếp Những kẻ cơng muốn sử dụng máy tính người dùng hợp pháp họ có hàng tá cách để chiếm quyền truy nhập vào bên Một phương pháp công cổ điển dò cặp tên người dùng mật (username/password) Đây phương pháp đơn giản, dễ thực khơng địi hỏi điều kiện đặc biệt để bắt đầu Kẻ cơng sử dụng thông tin tên người dùng, ngày sinh, địa chỉ, số nhà… để đốn mật Trong trường hợp có danh sách người dùng thông tin mơi trường làm việc có chương trình tự động hố việc dị tìm mật Một số chương trình lấy dễ dàng từ Internet để giải mật mã hoá hệ thống, chúng có khả thử tổ hợp từ từ điển lớn theo nguyên tắc người dùng tự định nghĩa Trong số trường hợp, khả phương pháp lên tới 30% Một phương pháp khác sử dụng lỗi chương trình ứng dụng thân hệ điều hành Đây phương pháp sử dụng từ vụ công tiếp tục sử dụng để chiếm quyền truy nhập Trong số trường hợp, phương pháp cho phép kẻ cơng có quyền người quản trị hệ thống 1.3.2 Nghe trộm Có số kiểu công cho phép kẻ công lấy thơng tin mà khơng cần sử dụng máy tính cách trực tiếp Thông thường, kẻ công khai thác dịch vụ Internet mà chúng có ý định lấy thông tin Nhiều dịch vụ Internet thiết kế cho mạng cục bảo mật mức độ thấp, điều cho phép mạng sử dụng cách an toàn để VIENGNAKONE XAYYASAVANH 49K-CNTT C.33.44.55.54.78.65.5.43.22.2.4 22.Tai lieu Luan 66.55.77.99 van Luan an.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.22 Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an Đồ án tốt nghiệp đại học ngang qua Internet Cách dễ dàng để lấy thông tin mạng nghe trộm Đặt thiết bị nghe trộm cách dễ dàng đáng tin cậy để lấy thông tin Việc nghe trộm thường tiến hành sau kẻ công chiếm quyền truy nhập vào hệ thống thơng qua chương trình cho phép đưa card giao tiếp mạng (Network Interface Card) vào chế độ nhận tồn thơng tin lưu truyền mạng 1.3.3 Giả mạo địa Việc giả mạo địa IP thực thông qua việc sử dụng khả dẫn đường trực tiếp (source-routing) Với cách công này, kẻ cơng gửi gói tin IP tới mạng bên với địa IP giả mạo (thông thường địa mạng máy coi an toàn mạng bên trong), đồng thời rõ đường dẫn mà gói tin IP phải gửi 1.3.4 Vơ hiệu hố chức hệ thống Đây kiểu công nhằm làm tê liệt hệ thống, khơng cho thực chức mà thiết kế Kiểu cơng khơng thể ngăn chặn phương tiện tổ chức cơng phương tiện để làm việc truy nhập thông tin mạng Ví dụ sử dụng lệnh ping với tốc độ cao có thể, buộc hệ thống tiêu hao tồn tốc độ tính tốn khả mạng để trả lời lệnh này, dẫn đến không cịn tài ngun để thực cơng việc yêu cầu khác 1.3.5 Tấn công vào yếu tố người Kẻ cơng liên lạc với người quản trị hệ thống, giả làm người sử dụng để yêu cầu thay đổi mật khẩu, thay đổi quyền truy nhập hệ thống, chí thay đổi số cấu hình hệ thống để thực phương pháp công khác Với kiểu cơng khơng thiết bị ngăn chặn cách hữu hiệu, có cách giáo dục người dùng mạng nội yêu cầu bảo mật để đề cao cảnh giác với tượng đáng nghi Nói chung, yếu tố người điểm yếu Stt.010.Mssv.BKD002ac.email.ninhd 77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77t@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn VIENGNAKONE XAYYASAVANH 49K-CNTT C.33.44.55.54.78.65.5.43.22.2.4 22.Tai lieu Luan 66.55.77.99 van Luan an.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.22 Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an Đồ án tốt nghiệp đại học hệ thống bảo vệ nào, có giáo dục cộng với tinh thần hợp tác từ phía người sử dụng nâng cao độ an toàn hệ thống bảo vệ 1.4 Các giải pháp cho an ninh mạng 1.4.1 Giải pháp an ninh giao thức Trong mơ hình TCP/IP định nghĩa nhiều giao thức để đảm bảo tính an ninh cho mạng liệu truyền mạng, giao thức hoạt động tầng riêng biệt thực chức khác Các phương thức dùng an ninh mạng lớp khác Trong phần chúng tơi xin trình bày giao thức điên hình NAT IPSec NAT (Network Address Translation) Thơng thường gói tin truyền từ điểm nguồn đến điểm đích phải qua nhiều nút mạng Tuy nhiên khơng có nút nút mạng thay đổi nội dung gói tin trừ thông tin cần thiết địa IP đích, địa MAC Nếu ta sử dụng chế NAT mạng số thơng tin gói tin IP bị thay đổi, chẳng hạn: IP nguồn, IP đích…Mặt khác, để đảm Stt.010.Mssv.BKD002ac.email.ninhd 77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77t@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn VIENGNAKONE XAYYASAVANH 49K-CNTT C.33.44.55.54.78.65.5.43.22.2.4 22.Tai lieu Luan 66.55.77.99 van Luan an.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.22 Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an Đồ án tốt nghiệp đại học bảo việc trao đổi thông tin nút mạng thay đổi cần phải lưu lại để phục vụ cho việc chuyển đổi ngược lại cần thiết Tại phải dùng đến NAT ? Nếu ta kết nối vào Internet thông qua dial-up ISP cung cấp cho ta địa IP nhất, gói tin gửi reply có địa nguồn ISP cung cấp Trong trường hợp muốn dùng nhiều địa IP khác mạng ta phải dùng đến chế NAT Theo mạng có máy (máy multi-homed định tuyến) chạy phần mềm NAT, gọi máy tinh NAT box Tất gói tin gửi từ mạng ngồi phải qua NAT box chịu trách nhiệm chuyển đổi địa IP nguồn (là địa khơng chấp nhận mạng ngồi) thành địa hợp lệ mà ISP cung cấp Khi gói tin vào mạng biết gửi thông tin cho NAT box Như thế, theo quan điểm máy bên ngoài, datagram đến từ NAT box lời đáp trả cho NAT box Bằng cách gói tin đến địa máy cần gửi mạng? Thực ra, NAT trì bảng chuyển đổi, sử dụng để thực việc ánh xa Mỗi dòng bảng xác định giá trị: địa IP máy Internet địa IP nội máy mạng Để làm điều NAT box lưu lại trạng thái (state) gói tin tương ứng với máy mạng gửi Trạng thái port nguồn dịch vụ dịch vụ hướng kết nối TCP, thông tin Session dịch vụ không hướng kết nối UDP Vì thế, gói tin gửi cho NAT box tra bảng trạng thái mà lưu để chuyển đổi địa cho phù hợp với máy cần nhận mạng Cơ chế thường áp dụng cho ISP mà cung cấp số địa IP có số lượng lớn host Ý nghĩa việc dùng NAT bảo mật Với việc dùng NAT máy bên mạng trở nên suốt với môi trường ngồi địa IP khơng hợp lệ, việc cơng vào máy cụ thể mạng điều khó khăn Stt.010.Mssv.BKD002ac.email.ninhd 77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77t@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn VIENGNAKONE XAYYASAVANH 49K-CNTT C.33.44.55.54.78.65.5.43.22.2.4 22.Tai lieu Luan 66.55.77.99 van Luan an.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.22 Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an Đồ án tốt nghiệp đại học Giới hạn NAT NAT thơng tin tầng gói tin NAT thực thay đổi địa IP nên không thực chế authentication IPSec kết nối end-to-end IPSec Với việc sử dụng NAT ta hạn chế việc công vào mạng khơng đảm bảo tính mật (secret) xác thực (authentication) thơng tin bị nghe trộm Vì cần phải mã hố thơng tin IPSec thêm vào để tăng cường tính tồn vẹn, xác thực mã hoá liệu IPSec kết nối End-to-End tạo đường hầm (tunnel) bảo mật Giao thức IPSec bao gồm phần: Authentication Header (AH) Encapsulating Security Payload (ESP) Authentication Header (AH) Authentication Header (AH) cung cấp chế xác thực tính tồn vẹn cho gói tin IP truyền hệ thống Điều thực cách áp dụng hàm băm chiều gói tin IP để tạo mẫu thông điệp (message digest) Nếu phần datagram bị thay đổi trình truyền bị phát người nhận thực hàm băm chiều gói tin so sánh giá trị mẫu thông điệp mà người gửi cung cấp Trên thực tế hàm băm chiều bao gồm việc dùng chung khố mật hệ thống Điều có nghĩa tính xác thực bảo đảm Khi mẫu thông điệp dùng để xác thực AH đồng thời đạt mục đích: Xác nhận tính hợp lệ người gửi người gửi biết khố mật dùng để tạo mẫu thơng điệp tính tốn Cho biết liệu khơng bị thay đổi q trình truyền AH có định dạng sau: Stt.010.Mssv.BKD002ac.email.ninhd 77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77t@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn VIENGNAKONE XAYYASAVANH 49K-CNTT C.33.44.55.54.78.65.5.43.22.2.4 22.Tai lieu Luan 66.55.77.99 van Luan an.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.22 Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an Đồ án tốt nghiệp đại học bits Next Header bits 16 bits Length Reserved Security Parameters Index Authentication Data Hình 1.4.3 Format of Authentication Header Phía người nhận sử dụng trường Security Parameters Index để kiểm tra giao thức xác thực khoá xác thực (authentication protocol and authentication key) Sau đó, người nhận sử dụng khố xác thực để thực tính tốn MD5 Xác thực MD5 thực tất trường gói tin IP mà khơng thay đổi q trình truyền (các trường thay đổi hop counter hay Ipv6 routing pointer coi có giá trị 0) Kết tính tốn người nhận so sánh với giá trị trường Authentication Data Nếu khác gói tin bị huỷ 1.4.2 Giải pháp an ninh mạng hệ thống 1.4.2.1 Firewall Firewall thiết bị (phần cứng + phần mềm) nằm mạng tổ chức, công ty hay quốc gia (mạng Intranet) mạng Internet bên Vai trị bảo mật thơng tin, ngăn chặn truy nhập không Stt.010.Mssv.BKD002ac.email.ninhd 77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77t@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn VIENGNAKONE XAYYASAVANH 10 49K-CNTT C.33.44.55.54.78.65.5.43.22.2.4 22.Tai lieu Luan 66.55.77.99 van Luan an.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.22 Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an Đồ án tốt nghiệp đại học 5.4 Tạo Caching Mặc định sau cài đặt hoàn tất ISA Server tắt Cache đi, để Enable Cache bạn chọn Cache mục Configuration Tại ISA Server hình chọn Tab Cache Drivers , cửa sổ bên phải chọn Tab Tasks chọn Define Cache Drives (Enable Caching) Chọn ổ đĩa lưu Cache dung lượng Cache nhấp set  OK Stt.010.Mssv.BKD002ac.email.ninhd 77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77t@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn VIENGNAKONE XAYYASAVANH 66 49K-CNTT C.33.44.55.54.78.65.5.43.22.2.4 22.Tai lieu Luan 66.55.77.99 van Luan an.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.22 Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an Đồ án tốt nghiệp đại học Chọn Save the changes and restart the services Đến ta cấu hình hồn tất cho ISA Server Cache thụ động tất trang Web, nghĩa với trang Web có nội dung không lưu trữ Cache ISA phải tốn công tải nguyên trang Như với số trang Web mà ta muốn ISA tự động Cache vào thời điểm định ta phải tạo Job cho ISA cập nhật chủ động trang Trở lại máy ISA Server chọn Tab Content Download Jobs Cache tiếp tục nhấp chọn Schedule a Content Download Job để Enable tính chủ động Cache lên Stt.010.Mssv.BKD002ac.email.ninhd 77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77t@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn VIENGNAKONE XAYYASAVANH 67 49K-CNTT C.33.44.55.54.78.65.5.43.22.2.4 22.Tai lieu Luan 66.55.77.99 van Luan an.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.22 Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an Đồ án tốt nghiệp đại học Nhập tên cho Schedule  Next Chọn Daily để thực Cache ngày Chỉ định thực Cache chủ động cho ISA Daily Frequency Stt.010.Mssv.BKD002ac.email.ninhd 77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77t@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn VIENGNAKONE XAYYASAVANH 68 49K-CNTT C.33.44.55.54.78.65.5.43.22.2.4 22.Tai lieu Luan 66.55.77.99 van Luan an.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.22 Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an Đồ án tốt nghiệp đại học Nhập địa trang Web mà bạn muốn Cache chủ động vào Giữ nguyên giá trị mặc định hình Content Caching  Next  Finish Stt.010.Mssv.BKD002ac.email.ninhd 77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77t@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn VIENGNAKONE XAYYASAVANH 69 49K-CNTT C.33.44.55.54.78.65.5.43.22.2.4 22.Tai lieu Luan 66.55.77.99 van Luan an.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.22 Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an Đồ án tốt nghiệp đại học Sau hoàn tất ta start lên Như mặc định ISA Cache toàn trang Web mà User truy cập Với số trang Web mà nội dung thường xuyên thay đổi (các trang Web chứng khốn ) tính Cache xem không khả thi Stt.010.Mssv.BKD002ac.email.ninhd 77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77t@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn VIENGNAKONE XAYYASAVANH 70 49K-CNTT C.33.44.55.54.78.65.5.43.22.2.4 22.Tai lieu Luan 66.55.77.99 van Luan an.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.22 Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an Đồ án tốt nghiệp đại học Để giải vấn đề ta tạo Rule nhằm loại trừ số trang mà ta không muốn ISA Cache chúng Đầu tiên ta phải tạo danh sách trang wed không cache Chọn Firewall Policy, cửa sổ bên phải chon Tab Toolbox click chuột phải vào URL Sets chọn New URL Set Trong cửa sổ New URL Set Rule Element ta điền tên danh sách add trang wed không lưu cache vào danh sách  OK Stt.010.Mssv.BKD002ac.email.ninhd 77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77t@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn VIENGNAKONE XAYYASAVANH 71 49K-CNTT C.33.44.55.54.78.65.5.43.22.2.4 22.Tai lieu Luan 66.55.77.99 van Luan an.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.22 Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an Đồ án tốt nghiệp đại học Tiếp theo hình ISA Server chọn Cache nhấp phải vào Cache chọn New -> Cache Rule Đặt tên cho Rule Deny Cache Stt.010.Mssv.BKD002ac.email.ninhd 77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77t@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn VIENGNAKONE XAYYASAVANH 72 49K-CNTT C.33.44.55.54.78.65.5.43.22.2.4 22.Tai lieu Luan 66.55.77.99 van Luan an.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.22 Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an Đồ án tốt nghiệp đại học Trong hình Cache Rule Destination ta Add vào danh sách mà ta vừa tạo lúc trước Nhấn Next để tiếp tục Trong hình Content Retrieval ta chọn Option Only if a valid version Stt.010.Mssv.BKD002ac.email.ninhd 77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77t@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn VIENGNAKONE XAYYASAVANH 73 49K-CNTT C.33.44.55.54.78.65.5.43.22.2.4 22.Tai lieu Luan 66.55.77.99 van Luan an.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.22 Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an Đồ án tốt nghiệp đại học Nhấn Next để tiếp tục Trong hình Cache Content chọn vào Never, no content will ever be cached  Next Nhấp Finish Stt.010.Mssv.BKD002ac.email.ninhd 77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77t@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn VIENGNAKONE XAYYASAVANH 74 49K-CNTT C.33.44.55.54.78.65.5.43.22.2.4 22.Tai lieu Luan 66.55.77.99 van Luan an.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.22 Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an Đồ án tốt nghiệp đại học Stt.010.Mssv.BKD002ac.email.ninhd 77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77t@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn VIENGNAKONE XAYYASAVANH 75 49K-CNTT C.33.44.55.54.78.65.5.43.22.2.4 22.Tai lieu Luan 66.55.77.99 van Luan an.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.22 Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an Đồ án tốt nghiệp đại học CHƯƠNG VI: MỘT SỐ MƠ HÌNH ISA FIREWALL THƯỜNG GẶP 6.1 Edge Firewall Đây mơ hình mạng với ISA Server nối trực tiếp với mạng bên Internal Do dó hệ thống bị bên ngồi cơng vào ISA Server bị dánh sập chúng truy cập vào tất máy tính mạng Internal Network Với mơ hình hệ thống bảo mật tầm hạn chế Leg Perimeter Với mơ hình Internal Network chia làm nhóm Nhóm thứ máy Mail Server, Web Server để người dùng từ External Network truy cập vào Stt.010.Mssv.BKD002ac.email.ninhd 77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77t@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn VIENGNAKONE XAYYASAVANH 76 49K-CNTT C.33.44.55.54.78.65.5.43.22.2.4 22.Tai lieu Luan 66.55.77.99 van Luan an.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.22 Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an Đồ án tốt nghiệp đại học Nhóm thứ máy nội cần bảo mật kỹ nhóm thứ Tại máy ISA Server ta cần đến Card Lan Card thứ nối với máy thuộc nhóm thứ Internal Network ISA Server mở Port Outbound Card Card thứ nối với máy thuộc nhóm thứ Internal Network ISA Server mở Port Outbound/Inbound Card Card thứ nối với máy External Network ISA Server mở Port Inbound Card Như Hacker từ External Network công vào mạng chúng ta, sau đánh sập ISA Server chúng truy cập vào tất máy tính thuộc nhóm thứ mạng Internal Network Với mơ hình hệ thống bảo mật chưa chặt chẽ 6.3 Front/Back Firewall Mơ hình thực chất mở rộng mơ hình 3-Leg Perimeter mơ hình người ta dựng nhiều ISA Server Local Host Khi Hacker công mạng chúng phải liên tiếp đánh sập nhiều ISA Server Local Host, nhiên vài ISA Server bị công phía báo động có biện pháp phòng thủ, củng cố lại hệ thống an tồn Mơ hình có độ an tồn cao bù lại chi phí đầu tư cho tốn Stt.010.Mssv.BKD002ac.email.ninhd 77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77t@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn VIENGNAKONE XAYYASAVANH 77 49K-CNTT C.33.44.55.54.78.65.5.43.22.2.4 22.Tai lieu Luan 66.55.77.99 van Luan an.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.22 Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an Đồ án tốt nghiệp đại học CHƯƠNG VII TỔNG KẾT Hiện bảo mật hệ thống mạng vấn đề nhức nhối quản trị viên Mỗi ngày làm việc lại có thêm nguy công mới, tinh vi, đại với hình thức phức tạp quy mơ Sự đe dọa hệ thống ln “rình rập” dù sai lầm nhỏ dẫn đến hậu khó lường Vì với vai trị quản trị viên cần có trình độ định, luôn cập nhật công nghệ bên cạnh xây dựng server đủ mạnh, firewall vững vv.vv Hiểm họa ln ln tiềm ẩn, bên ngồi hệ thống mạng hay từ bên tổ chức Thực tế cơng ty, hay tổ chức nhu cầu trao đổi, tìm hiểu thơng tin điều thiết yếu bắt buộc mạng cục mà cịn ngồi Internet Như cần có quản lý chặt chẽ, kiểm sốt truy cập local hay Internal Internet ngược lại ISA server 2006 xứng đáng lựa chọn tin cậy Không đáp ứng hai điều kiện ISA server cịn có giao diện thân thiện dễ sử dụng quản lý Và với vai trò quản trị viên cần nâng cao kiến thức liên tục cập nhật công nghệ… đưa lựa chọn đắn nhằm bảo vệ tốt nhất, an toàn cho hệ thống mạng tổ chức hay cơng ty đảm nhiệm / Stt.010.Mssv.BKD002ac.email.ninhd 77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77t@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn VIENGNAKONE XAYYASAVANH 78 49K-CNTT C.33.44.55.54.78.65.5.43.22.2.4 22.Tai lieu Luan 66.55.77.99 van Luan an.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.22 Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an Đồ án tốt nghiệp đại học MỤC LỤC Trang CHƯƠNG I TỔNG QUAN VỀ AN TỒN THƠNG TIN TRÊN MẠNG 1.1 Mạng máy tính vấn đề an tồn mạng 1.2 Tình hình thực tế 1.3 Các kiểu công mạng 1.3.1 Tấn công trực tiếp 1.3.2 Nghe trộm 1.3.3 Giả mạo địa 1.3.4 Vô hiệu hoá chức hệ thống 1.3.5 Tấn công vào yếu tố người 1.4 Các giải pháp cho an ninh mạng 1.4.1 Giải pháp an ninh giao thức 1.4.2 Giải pháp an ninh mạng hệ thống 10 CHƯƠNG II : TỔNG QUAN VỀ HỌ GIAO THỨC TCP/IP 14 CHƯƠNG III: TỔNG QUAN VỀ INTERNET FIREWALL 16 3.1 Khái niệm tường lửa 16 3.2 Các thành phần hệ thống Firewall 17 3.2.1 Bộ lọc gói tin 17 3.2.Tiến trình cài đặt 23 CHƯƠNG IV: PHÂN LOẠI VÀ CẤU HÌNH ISA SERVER CLIENTS 28 4.1 Phân loại 28 4.2 Cấu hình 30 4.2.1 SecureNAT Client 30 4.2.2 Web Proxy Client 30 4.2.3 Firewall Client 31 CHƯƠNG V Triển khai ISA server 2006 33 5.1 Tạo Rule 33 5.2 Publish Web 37 Stt.010.Mssv.BKD002ac.email.ninhd 77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77t@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn VIENGNAKONE XAYYASAVANH 79 49K-CNTT C.33.44.55.54.78.65.5.43.22.2.4 22.Tai lieu Luan 66.55.77.99 van Luan an.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.22 Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an Stt.010.Mssv.BKD002ac.email.ninhd 77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77t@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn

Ngày đăng: 21/08/2023, 01:40

TÀI LIỆU CÙNG NGƯỜI DÙNG

  • Đang cập nhật ...

TÀI LIỆU LIÊN QUAN

w