Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 41 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
41
Dung lượng
3,56 MB
Nội dung
BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC KỸ THUẬT CÔNG NGHỆ TP. HỒ CHÍ MINH KHOA CÔNG NGHỆ THÔNG TIN BÀI LAB GIAOTHỨCVPN & FIREWALL GVHD: Thái Thanh Tuấn SVTH: Tạ Ngọc Tùng 1191020180 Phạm Đình Tuân 1191020169 Lưu Quang Vũ 1191020191 TPHCM, ngày 29 Tháng 2 năm 2013 GVHD : Thầy Thái Thanh Tuấn 2 ĐềTàiFirewall – VPN MỤC LỤC I. SƠ LƯỢC VỀ FIREWALL: 3 II. SƠ LƯỢC VỀ VPN: 4 III. BÀI LAB MÔ PHỎNG FIREWALL VPN: 5 III.1. Vấn đề cần nghiên cứu: 5 III.2. Mô hình tổng quát: 5 III.3. Kịch bản: 6 III.4. Triễn khai mô phỏng bằng OPNET IT GURU 6 III.4.1. Kịch bản thứ 1: Ở hình 2 trên , tên dự án mới Project Name: là Firewall_VPN và tên kịch bản Scenario Name: Ko_firewall (không có firewall) 7 III.4.2. Kịch bản thứ 2 : 21 III.4.3. Kịch bản thứ 3: có firewall và thực hiện chính sách bảo mật cấm quyền truy xuất dịch vụ : database và email. Nhân bản kịch bản thứ 2 hệ thống có tường lửa với tên Co_Firewall thành kịch bản thứ 3 hệ thống có tên là Co_Firewall_block_data_email 22 III.4.4. Kịch Bản thứ 4 : 30 SVTH : Lưu Quang Vũ – Phạm Đình Tuân – Tạ Ngọc Tùng GVHD : Thầy Thái Thanh Tuấn 3 ĐềTàiFirewall – VPN I. SƠ LƯỢC VỀ FIREWALL: Firewall là tường lửa dùng để ngăn chặn các tấn công bên ngoài trên mạng internet vào trong mạng cục bộ. Thiết bị Firewall chính là phần cứng hay là phần mềm không cho phép, liên lạc, xâm nhập vào máy tính cá nhân hay tổ chức, trên môi trường có kết nối mạng, bởi các chính sách bảo mật an ninh được firewall đặt ra ở các rule ( các quy luật). Nhiệm vụ kiểm soát chặt chẽ các dữ liệu lưu thông trên vùng không đáng tin cậy chính là trên mạng internet với vùng có độ tin cậy cao đó là mạng LAN mạng cục bộ thông qua chính sách an ninh và mô hình kết nối theo nguyên tắc phân quyền tối thiểu. Để không xảy ra các lỗi nhỏ biến tường lửa trở nên vô dụng không hoạt động tốt, người quản trị phải hiểu biết sâu về các giao thức, và an ninh mạng máy tính. Tường lửa thông dụng nhất là tường lửa tránh xâm nhập, tấn công từ ngoài vào dùng cho máy tính cá nhân hoặc 1 mạng cục bộ công ty. Tường lửa kiểm duyệt internet, không cho máy tính truy cập một số trang web, máy chủ, thường do các nhà cung cấp internet thiết lập. Hình minh hoạ firewall SVTH : Lưu Quang Vũ – Phạm Đình Tuân – Tạ Ngọc Tùng FIREWAL L WAN LAN GVHD : Thầy Thái Thanh Tuấn 4 ĐềTàiFirewall – VPN II. SƠ LƯỢC VỀ VPN: VPN (virtual private network) là một mạng riêng ảo, dùng để kết nối với nhiều người dùng từ xa, hay các mạng khác thông qua kết nối thực trên mạng công cộng internet, dùng để gửi hay nhận dữ liệu trên một đường truyền riêng ảo được thiết lập để đảm bảo tính an toàn và bảo mật. VPN tạo ra đường ống hay đường hầm (turnel) bảo mật trao đổi riêng giữa bên nhận và bên gửi với cơ chế mã hoá dữ liệu, tương tự như kết nối point to point trên mạng riêng. Bên gửi mã hoá che giấu dữ liệu, chỉ cung cấp thông tin về đường đi tới đích nhanh chóng thông qua mạng internet, đó là gói dữ liệu (header). Nếu có bị lấy đi gói dữ liệu packet trên mạng công cộng bởi hacker thì cũng không đọc được nội dung vì không giải mã được. Sự liên kết dữ liệu mã hoá và được đóng gói gọi là kết nối VPN. Đường kết nối VPN gọi là VPN turnel hay là đường hầm , đường ống VPN. Hình minh hoạ sử dụng vpn và firewall SVTH : Lưu Quang Vũ – Phạm Đình Tuân – Tạ Ngọc Tùng INTERNE T INTERNE T vpn lan lan vpn lan lan Công ty con 1 vpn user lan vpn user lan CÔNG TY MẸ Công ty con 2 LAN LAN GVHD : Thầy Thái Thanh Tuấn 5 ĐềTàiFirewall – VPN III. BÀI LAB MÔ PHỎNG FIREWALL VPN: III.1. Vấn đề cần nghiên cứu: • Nghiên cứu hệ thống mạng có firewall và vpn trên internet. • Nghiên cứu lưu lượng đường truyền tốc độ ảnh hưởng • Hiểu được khả năng chặn ứng dụng Firewall. • Chức năng bảo mật trên mạng riêng ảo VPN • Những số liệu mô phỏng làm sáng tỏ, rút ra kết luận và áp dụng cho mô hình thực tế sẽ được làm III.2. Mô hình tổng quát: SVTH : Lưu Quang Vũ – Phạm Đình Tuân – Tạ Ngọc Tùng Paris Maseille SERVER FIREWALL INTERNET VPN TUNNEL ROUTER ROUTER ROUTER GVHD : Thầy Thái Thanh Tuấn 6 ĐềTàiFirewall – VPN III.3. Kịch bản: Các cụm máy tính ở thành phố Marseille & cụm máy tính ở thành phố Paris kết nối tới máy chủ server (có các dịch vụ như: Database Server, Email Server, Web Server) trên các router qua mạng internet. • Tạo kịch bản đầu tiên là hệ thống chưa có firewall được đặt tên là ko_firewall. • Tạo kịch bản thứ hai là hệ thống có firewall được đặt tên là co_firewall. • Tạo kịch bản thứ ba là hệ thống có firewall được đặt các chính sách, các rule (các quy luật) là cấm quyền truy xuất trên dịch vụ database và email. Và được đặt tên là co_firewall_block_data_email • Tạo kịch bản thứ tư là hệ thống vừa có co_firewall_block_data_email của kịch bản thứ 3 vừa có thêm VPN, thiết lập VPN Tunnel để tạo đường hầm hay đường ống dành riêng cho cụm máy tính thành phố Marseille nối tới Máy Chủ Server (bằng router Marseille với router main server) để cụm máy tính thành phố Marseille này truy xuất được các loại dịch vụ, mà trước đó ở kịch bản 3 co_firewall_block_data_email hệ thống không truy xuất được do thực hiện chính sách bảo mật cấm quyền data và email, còn cụm máy tính ở thành phố Paris do không có đường hầm kết nối VPN tới máy chủ Server nên chỉ thực hiện đúng theo kịch bản thứ 3 Co_Firewall_block_data_email là ngăn chặn database, email được quyền truy xuất. III.4. Triễn khai mô phỏng bằng OPNET IT GURU Từ menu chọn File – new để tạo dự án mới Hình 1 SVTH : Lưu Quang Vũ – Phạm Đình Tuân – Tạ Ngọc Tùng GVHD : Thầy Thái Thanh Tuấn 7 ĐềTàiFirewall – VPN Nhấn ok. Hình 2 III.4.1. Kịch bản thứ 1: Ở hình 2 trên , tên dự án mới Project Name: là Firewall_VPN và tên kịch bản Scenario Name: Ko_firewall (không có firewall) Chọn ok Hình 3 chọn Create Empty Scenarios để tạo kịch bản rỗng nhấn next Hình 4 chọn Enterprise nhấn Next SVTH : Lưu Quang Vũ – Phạm Đình Tuân – Tạ Ngọc Tùng GVHD : Thầy Thái Thanh Tuấn 8 ĐềTàiFirewall – VPN hình 5 check vào Take Size From Map để vào danh sách bản đồ có sẵn trên phần mềm, nhấn next hình 6 Phần danh sách bản đồ. Chọn france(Pháp) nhấn next hình 7 Trong bảng chọn kỹ thuật mạng, chọn internet_toolbox check thành yes, rồi nhấn next SVTH : Lưu Quang Vũ – Phạm Đình Tuân – Tạ Ngọc Tùng GVHD : Thầy Thái Thanh Tuấn 9 ĐềTàiFirewall – VPN Nhấn ok. hình 8 Để phóng lớn bản đồ nước Pháp ta dung thanh công cụ Zoom kéo trên màn hình để phóng lớn vùng cần xem Hình 9 SVTH : Lưu Quang Vũ – Phạm Đình Tuân – Tạ Ngọc Tùng GVHD : Thầy Thái Thanh Tuấn 10 ĐềTàiFirewall – VPN Chọn Application Config và Profile Config vào hình 10 Nhấn vào 100BaseT LAN đưa giống vị trí hình 10 trên, là địa điểm của cụm máy ở thành phố Marsille và cụm máy ở thành phố Paris. Đổi tên bằng cách nhấp chuột phải vào từng cụm máy tính chọn set name và đặt tên, như hình 11 ở dưới hình 11 Tương tự thêm ppp server vào và đổi tên như hình 11 ở trên SVTH : Lưu Quang Vũ – Phạm Đình Tuân – Tạ Ngọc Tùng [...]... GVHD : Thầy Thái Thanh Tuấn 29 ĐềTàiFirewall – VPN Nhận xét : Kịch bản thứ 3 (Co _Firewall_ block_data_email) màu xanh lá, do không cấm quyền cho dịch vụ HTTP Web nên, lưu lượng nhận và lưu lượng gửi được phép vào ra Kịch bản thứ 1 (Ko _Firewall) và kịch bản thứ 2 (Co _Firewall) đều có lưu lượng biểu hiện trên hình 55 trên Do đó, cả 3 kịch bản trên, lưu lượng nhận và gửi đều được phép ra vào Chú ý: Thời... ) Ko _Firewall thì do không có bức tường ngăn chặn, nên lưu lượng được thông thoáng ra vào nhiều hơn hết (kiểm soát không có) SVTH : Lưu Quang Vũ – Phạm Đình Tuân – Tạ Ngọc Tùng GVHD : Thầy Thái Thanh Tuấn 30 ĐềTàiFirewall – VPN III.4.4 Kịch Bản thứ 4 : Tạo VPN, ta nhân bản từ kịch bản 3 (Co _Firewall_ block_data_email) Từ menu chọn Scenarios –> Duplicate Scenarios Hình 42 đổi tên thành firewall _vpn. .. Thái Thanh Tuấn 17 ĐềTàiFirewall – VPN hình 23 Chọn ở mục Operation Mode là Simultaneous và ở mục Repeatability là Unlimited giống như hình 23 trên nhấn ok- ok hình 24 Bước tiếp theo click phải chuột vào server – Edit Attributesn (hình 24 trên) sẽ xuất hiện bảng giống hình 25 dưới SVTH : Lưu Quang Vũ – Phạm Đình Tuân – Tạ Ngọc Tùng GVHD : Thầy Thái Thanh Tuấn 18 ĐềTàiFirewall – VPN hình 25 Ở bên... Tuấn 19 ĐềTàiFirewall – VPN hình 26 click phải chuột vào 1 cụm máy tính và chọn Select Similar Nodes (giống hình 26 trên) để chọn luôn các cụm máy tính tương tự còn lại Click phải chuột vào 1 cụm máy tính chọn Edit Attributes để cấu hình thuộc tính, xuất hiện bảng giống hình 27 bên dưới hình 27 SVTH : Lưu Quang Vũ – Phạm Đình Tuân – Tạ Ngọc Tùng GVHD : Thầy Thái Thanh Tuấn 20 ĐềTàiFirewall – VPN Tìm... Tuân – Tạ Ngọc Tùng GVHD : Thầy Thái Thanh Tuấn 22 ĐềTàiFirewall – VPN Ở hình 30 trên chọn như sau: mục name: sữa ở tab Value với tên là: firewall mục model: chọn bên tab Value chọn là ethernet2 slip 8 firewall hình 31 Đến đây ta hoàn tất kịch bản thứ 2 hệ thống có tường lửa Co _Firewall nhưng chưa tinh chỉnh gì hết (hình 31) III.4.3 Kịch bản thứ 3: có firewall và thực hiện chính sách bảo mật cấm quyền... bản thứ 2 hệ thống có tường lửa với tên Co _Firewall thành kịch bản thứ 3 hệ thống có tên là Co _Firewall_ block_data_email Vào menu: chọn Scenarios – Duplicate Scenario hình 32 đặt tên là Co _Firewall_ block_data_email như hình 32 trên SVTH : Lưu Quang Vũ – Phạm Đình Tuân – Tạ Ngọc Tùng GVHD : Thầy Thái Thanh Tuấn 23 ĐềTàiFirewall – VPN Click phải chuột vào firewall chọn Edit-Attributes sẽ xuất hiện... Tùng GVHD : Thầy Thái Thanh Tuấn 25 ĐềTàiFirewall – VPN XEM LẠI KẾT QUẢ MÔ PHỎNG VÀ SO SÁNH: hình 36 click chuột phải vào vùng trống, chọn Compare Results như hình 36 trên, sẽ xuất hiện hình 37 ở dưới hình 37 Kết quả mô phỏng qua các biểu đồ lưu lương như hình dưới SVTH : Lưu Quang Vũ – Phạm Đình Tuân – Tạ Ngọc Tùng GVHD : Thầy Thái Thanh Tuấn 26 Đề Tài Firewall – VPN Dịch vụ Database Query: hình 38... – Phạm Đình Tuân – Tạ Ngọc Tùng GVHD : Thầy Thái Thanh Tuấn 27 Đề Tài Firewall – VPN Nhận xét: màu xanh là kịch bản 1 :Ko _Firewall màu đỏ là kịch bản 2: Co _Firewall màu xanh lá cây là kịch bản 3: Co _Firewall_ block_data_email Phân tích Lưu lượng nhận được của database query ( Traffic Received): • Lưu lượng truy xuất của kịch bản thứ 3 (Co _Firewall_ block_data_email) màu xah lá cây nằm sát bên dưới cùng... SVTH : Lưu Quang Vũ – Phạm Đình Tuân – Tạ Ngọc Tùng GVHD : Thầy Thái Thanh Tuấn 12 Đề Tài Firewall – VPN hình 14 chọn cách nối dây (link) tương ứng từ router đến cụm máy tính ở thành phố tương ứng như hình 14 trên hình 15 SVTH : Lưu Quang Vũ – Phạm Đình Tuân – Tạ Ngọc Tùng GVHD : Thầy Thái Thanh Tuấn 13 Đề Tài Firewall – VPN Chọn cáp nối internet tới các router, và giữa router server với server như trên... Thanh Tuấn 14 ĐềTàiFirewall – VPN hình 18 Ở hình 18 trên Click phải chuột vào Profile config chọn Edit Attributes xuất hiện bảng hình 19 bên dưới ở phần hình trên cùng, chọn mục Profile Configuration với giá trị tab value là Edit sẽ xuất hiện bảng ở hình 19 phần hình dưới cùng hình 19 SVTH : Lưu Quang Vũ – Phạm Đình Tuân – Tạ Ngọc Tùng GVHD : Thầy Thái Thanh Tuấn 15 Đề Tài Firewall – VPN Chọn 1 trong . Application config chọn Edit Attributes xuất hiện bảng như hình 16 Application Definitions với giá trị value là default như hình 17 dưới. hình 17 Nhấn ok. Application config này dùng để cấu hình. cung cấp thông tin về đường đi tới đích nhanh chóng thông qua mạng internet, đó là gói dữ liệu (header). Nếu có bị lấy đi gói dữ liệu packet trên mạng công cộng bởi hacker thì cũng không đọc được. Tạ Ngọc Tùng GVHD : Thầy Thái Thanh Tuấn 17 Đề Tài Firewall – VPN hình 23 Chọn ở mục Operation Mode là Simultaneous và ở mục Repeatability là Unlimited giống như hình 23 trên. nhấn ok- ok. hình