1 TRƯỜNG ĐẠI HỌC CÔNG NGHỆ GTVT KHOA CÔNG NGHỆ THÔNG TIN TRƯỜNG ĐẠI HỌC CÔNG NGHỆ GTVT KHOA CÔNG NGHỆ THÔNG TIN Nguyễn Trọng Đạt Nguyễn Trọng Đạt XÂY DỰNG HỆ THỐNG BẢO MẬT ASDM TRONG DM VPN, ỨNG DỤNG MẠNG DOANH NGHIỆP XÂY DỰNG HỆ THỐNG BẢO MẬT ASDM TRONG DM VPN, ỨNG DỤNG MẠNG DOANH NGHIỆP ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUY Ngành: Mạng máy tính truyền thơng liệu ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUY Ngành: Mạng máy tính truyền thơng liệu Cán hướng dẫn: Ths.  Phan Như Minh HÀ NỘI - 2021 HÀ NỘI -22021 MỤC LỤC LỜI NÓI ĐẦU LỜI CẢM ƠN LỜI CAM ĐOAN .7 CHƯƠNG GIỚI THIỆU CHUNG .8 I.CÁC VẤN ĐỀ VỀ AN MINH MẠNG .8 Các vấn đề an ninh mạng .8 Các phương thức công 10 Tấn công lỗ hổng bảo mật web 14 Chính sách an ninh mạng 17 II Firewall 21 Firewall gì? 21 Vì cần sử dụng Firewall? .22 Tác dụng vai trò tường lửa (Firewall) 22 Firewall hoạt động nào? .23 Phân loại tường lửa theo xu hướng sử dụng? 24 Những tùy chọn triển khai tường lửa 25 Cloud Firewall (Tường lửa điện toán đám mây) 27 KẾT LUẬN CHƯƠNG I 29 CHƯƠNG2 BẢO MẬT ASDM TRONG DM VPN 30 I HỆ THỐNG BẢO MẬT DMVPN 30 Khái niệm DMVPN .30 Các dạng triển khai .30 Các thành phần DM VPN 31 Ưu điểm việc sử dụng DM VPN 31 Mơ hình chung DM VPN 31 II HỆ THỐNG FIREWALL ASA 33 Giới thiệu .33 Dòng sản phẩm firewall ASA Cisco 34 Cơ chế hoạt động 35 III HỆ THỐNG BẢO MẬT ASDM 36 Giới thiệu chung 36 Cài đặt 36 KẾT LUẬN CHƯƠNG 40 CHƯƠNG 3: KHẢO SÁT, THIẾT KẾ VÀ MÔ PHỎNG 41 I Khảo sát công ty sơ đồ hệ thống .41 Đặt vấn đề 41 Mơ hình hệ thống 42 II Khảo sát hệ thống máy ảo VMWare/Eve-ng 43 III Cài đặt Eve-ng 48 Configure and Upgrade 54 Update Upgrade .54 2: Import IOL active license cisco 56 4: Cài đặt UnetLab-Win-client putty để access vào thiết bị 61 III Mô 65 KẾT LUẬN CHƯƠNG 66 TÀI LIỆU THAM KHẢO .67 LỜI NÓI ĐẦU Với phát triển nhanh mạng Internet, bảo mật thông tin trở lên vơ cấp bách để có thông tin giá trị tin cậy Người quản lý nhận thấy việc đầu tư cho an ninh không lợi lớn mà cần thiết Các công ty nhận cần thiết việc tạo tn theo sách bảo mật thơng tin, vậy, người IT chuyên nghiệp luôn bị thách thức để bảo vệ mạng họ với firewall tạo mạng riêng ảo VPN để cung cấp an tồn cho giao dịch mã hóa qua hạ tầng Internet cơng cộng dễ bị cơng  Bài tốn đặt làm để bảo vệ chống lại cơng q trình truyền qua mạng? Vấn đề phát sinh tính bảo mật hiệu kinh tế việc truyền tải liệu qua mạng trung gian cơng cộng khơng an tồn Internet Để giải vấn đề này, giải pháp hệ thống bảo mật Adaptive Security Device Manager(ASDM) Dynamic Multipoint Virtual Private Network(DM VPN) Em chọn đề tài: “XÂY DỰNG HỆ THỐNG BẢO MẬT ASDM TRONG DM VPN, ỨNG DỤNG MẠNG DOANH NGHIỆP” Với mục tiêu nghiên đánh giá giáp pháp ứng dụng hệ thống ASDM DM VPN vào mạng doanh nghiệp LỜI CẢM ƠN Em xin chân thành cảm ơn Khoa Công nghệ thông tin, Trường Đại học Công nghệ Giao thông vận tải tạo điều kiện tốt cho em thực đề tài Em xin chân thành cảm ơn thầy Phan Như Minh người tận tình hướng dẫn bảo, trao đổi, giúp em giải vấn đề hoàn thiện đề tài suốt thời gian thực đề tài Em xin gửi lời cảm ơn sâu sắc đến quý thầy cô khoa tận tình giảng dạy, trang bị cho chúng em kiến thức quý báu năm học vừa qua Cuối cùng, em xin cảm ơn người thân gia đình, bạn bè ln ở   bên động viên giúp đỡ em lúc khó khăn suốt trình học tập nghiên cứu Mặc dù em cố gắng hoàn thành đồ án phạm vi khả cho phép, chắn khơng tránh khỏi thiếu sót, kính mong cảm thơng tận tình bảo quý thầy cô bạn Em xin chân thành cảm ơn! LỜI CAM ĐOAN Em xin cam đoan cơng trình nghiên cứu em thực hướng dẫn TS Phan Như Minh mơn Mạng máy tính truyền thơng liệu Khoa Công nghệ thông tin, Trường Đại học Công nghệ Giao thông vận tải Các số liệu kết trình bày đồ án trung thực, chưa cơng bố tác giả hay cơng trình khác Hà Nội, ngày 30 tháng năm 2022 Tác giả đồ án   Nguyễn Trọng Đạt CHƯƠNG GIỚI THIỆU CHUNG I.CÁC VẤN ĐỀ VỀ AN MINH MẠNG Các vấn đề an ninh mạng Các công mạng có chủ đích gây thiệt hại vơ to lớn Chính vậy, an ninh mạng vấn đề nóng bỏng cấp thiết  Năm 2016, mức thiệt hại virus máy tính gây người dùng Việt  Nam lên tới 10.400 tỷ, vượt qua mức 8.700 tỷ đồng năm 2015 Đây kết từ chương trình đánh giá an ninh mạng Tập đồn cơng nghệ Bkav thực vào tháng 12/2016 Mã độc mã hóa liệu Ransomware, virus lây qua USB, vấn nạn tin nhắn rác nguy từ cơng có chủ đích APT chủ điểm nóng năm 2016  Bùng nổ mã độc mã hóa liệu Ransomware Đúng dự báo tổng kết cuối năm 2015 chuyên gia Bkav, năm 2016 ghi nhận bùng nổ mã độc mã hóa liệu tống tiền ransomware Thống kê từ hệ thống giám sát virus Bkav cho thấy, có tới 16% lượng email lưu chuyển năm 2016 email phát tán ransomware, nhiều gấp 20 lần năm 2015 Như trung bình 10 email nhận năm 2016 người sử dụng gặp 1,6 email chứa ransomware, số đáng báo động Ransomware chuyên mã hóa file liệu máy, khiến người sử dụng mở file không trả tiền chuộc cho hacker Số tiền chuộc khổng lồ hacker kiếm nguyên nhân dẫn tới bùng nổ loại mã độc nguy hiểm Để phòng tránh, tốt người dùng nên trang bị cho phần mềm diệt virus để bảo vệ tự động, mở file tải từ email mơi trường cách ly an tồn Safe Run  Virus USB chưa hết thời Việc cắt bỏ tính Auto Run hệ điều hành Microsoft không làm cho virus USB trở nên hết thời Theo chương trình đánh giá an ninh mạng 2016 Bkav, tỷ lệ USB bị nhiễm virus năm 2016 mức cao 83%, không giảm so với 2015 Lý giải điều này, chuyên gia Bkav phân tích, nỗ lực Microsoft hạn chế dòng virus lây trực tiếp qua Auto Run W32.AutoRunUSB Tuy nhiên, tăng trưởng mạnh dòng W32.UsbFakeDrive, dòng virus khơng cần AutoRun lây nhiễm với cú "click" khiến cho USB tiếp tục nguồn lây nhiễm virus phổ biến Theo thống kê từ hệ thống giám sát virus Bkav, có tới 16,7 triệu lượt máy tính phát nhiễm virus lây qua USB năm 2016 Trong 11% đến từ dòng virus lây trực tiếp Auto Run, tới 89% dòng W32.UsbFakeDrive Đã đến lúc phải kiểm soát chặt chẽ việc sử dụng USB để hạn chế lây lan virus Người dùng cá nhân cần trang bị phần mềm diệt virus thường trực để quét USB trước sử dụng, hạn chế sử dụng USB máy lạ Với quan doanh nghiệp, cần trang bị giải pháp kiểm soát sách an ninh đồng bộ, có kiểm soát, phân quyền sử dụng USB theo nhu cầu độ quan trọng máy  Tấn cơng có chủ đích APT - bom hẹn giờ  Tấn cơng có chủ đích, hay cơng APT gần nhắc tới liên tục, đặc  biệt an tồn thơng tin năm 2016 Thuật ngữ APT (Advanced Persistent Threat) dùng để kiểu cơng dai dẳng có chủ đích vào thực thể Kẻ cơng hỗ trợ phủ nước nhằm tìm kiếm thơng tin tình báo từ phủ nước khác Tuy nhiên khơng loại trừ mục tiêu cơng tổ chức tư nhân Điều đặc biệt nguy hiểm cơng APT hacker tạo malware riêng cho mục tiêu cụ thể, ủ bệnh lâu, chí theo chia sẻ chuyên gia bảo mật có loại malware có hành vi thể nên khó phát hiện, kể chạy kiểm thử môi trường giả lập Sandbox Với loại malware này, giải pháp truyền thống dựa phân tích chữ ký (signature) trở nên bất lực việc phát ngăn chặn 10 Hình 24: Tạo Domain Name   Chọn IP management : DHCP từ card mạng, dùng static : static sẻ yêu cầu tạo địa ip , subnet mask, default gateway, primary and secondary DNS servers Ở chọn DHCP Hình 25: Cấu hình IP Management 54  Configure EVE VM/BareMetal Server truy cập Internet ( chọn direct connection) Hình 26: Configure EVE VM/BareMetal Server truy cập Internet Configure and Upgrade Update Upgrade   Sau khởi động lại vào hình bắt đầu , tiến hành upgrade cho hệ thống SSH vào với username : root , Password: eve 55 Hình 27: Tiến hành Upgrade  Tiến hành upgrade lệnh sau:  “apt-get update”  “apt-get upgrade “ Hình 28: Tiến hành Upgrade Update 56 Đợi hệ thống update upgrade ( phải có mạng ^^ ! ) 2: Import IOL active license cisco  Có thể dùng WinSCP để upload IOL image  Linkdown WinSCP  Down IOL image  Down CiscoIOUKeygen  Login vào hệ thống WinSCP  Hình 29: Login vào hệ thống WinSCP  Truy cập vào đường dẫn /opt/unetlab/addons/iol/bin/ 57 Hình 30: Upload IOL từ PC sang database  Upload IOL từ PC sang database Hình 31: Upload IOL từ PC sang database 58 Hình 32: Upload IOL từ PC sang database Hình 33: Upload IOL từ PC sang database 59 Hình 34: Upload IOL từ PC sang database 3: Tiến hành active license cisco  SSH vào hệ thống : sau type code bên để active license root@eve-ng:~# cd /opt/unetlab/addons/iol/bin/ //truy cập vào thư mục bin root@eve-ng:/opt/unetlab/addons/iol/bin# ls //xem tất image addedCiscoIOUKeygen.py L3-ADVENTERPRISEK9-M-15.2-M5.3.bin L2-ADVENTERPRISEK9-M-15.2-20150703.bin L3-ADVENTERPRISEK9-M-15.4-2T.bin L2-ADVENTERPRISEK9-M-15.2-IRON-20151103.bin root@eve-ng:/opt/unetlab/addons/iol/bin# python CiscoIOUKeygen.py //active license ****************************************************************** *** Cisco IOU License Generator – Kal 2011, python port of 2006 C version Modified to work with python3 by c_d 2014 hostid=007f0101, hostname=eve-ng, ioukey=7f0343 Add the following text to ~/.iourc: [license] eve-ng = 972f30267ef51616; 60 Hình 35 Active license cho hệ thống Tiến hành permit IOL image : root@eve-ng:~# /opt/unetlab/wrappers/unl_wrapper -a fixpermissions root@eve-ng:~# cat /opt/unetlab/addons/iol/bin/iourc [license] eve-ng = 972f30267ef51616; Đã tiến hành active lincese permisssions thành cơng  Hình 36: Fix Permision thành công 61 4: Cài đặt UnetLab-Win-client putty để access vào thiết bị  Tải cài đặt vào máy sau vào thư mục: C:\Program Files\UNetLab Phiên EVE-Win-Client    Hình 37: Cài đặt UnetLab-Win-client Hình 38: Cài đặt UnetLab-Win-client 62 Hình 39: Cài đặt UnetLab-Win-client   Login vào hệ thống browser  Username: admin pass: eve (default) Hình 40: Login Emulated Virtual Environment Browser  63 Hình 41: Các bước tạo LAB Hình 42: Các bước tạo LAB 64 Hình 43: Chọn IOL thiết bị 65 III Mơ  Xây dựng mơ hình bảo mật DM VPN sử dụng ASDM quản lý hệ thống Hình 44: Mô hệ thống 66 KẾT LUẬN CHƯƠNG Hệ thống trước triển khai giải pháp an ninh hoạt động thiếu bảo vệ Các nguy cơng từ ngồi Internet hacker thường xun xảy ra, bên cạnh vấn đề virut lây lan nhanh chóng hệ thống mạng nội Server làm nhân viên quản trị mạng phải tốn thời gian tiền bạc để khắc phục Sau phân tích, đưa giải pháp triển khai cấu hình hệ thống DM VPN sử dụng ASDM để quản lý ta thấy hiệu rõ nét, cụ thể:  Nhanh chóng định cấu hình, giám sát khắc phục cố thiết bị tường lửa mô-đun dịch vụ Cisco với ứng dụng thân thiện với người dùng Lý tưởng cho triển khai nhỏ đơn giản, Trình quản lý Thiết bị Bảo mật Thích ứng Cisco cung cấp: Thiết lập trình hướng dẫn giúp bạn định cấu hình quản lý thiết bị tường lửa Cisco Bảng điều khiển giám sát xem nhật ký theo thời gian thực mạnh mẽ cung cấp nhìn nhanh trạng thái tình trạng thiết bị tường lửa Các tính khắc phục cố cơng cụ gỡ lỗi mạnh mẽ theo dõi gói chụp gói    67 TÀI LIỆU THAM KHẢO Các tài liệu Tiếng Anh [1] Dave Hucaby, Cisco ASA and PIX Firewall Handbook by, Publisher: Cisco Press –  7/1/2005 [2] Harris Andrea, “Cisco-ASA-Firewall-Fundamentals-2nd-Edition” step by step configuration tutorial (CCNA,CCNP,CCSP) [3] Richard Deal, “Cisco Asa Configuration”, Network professional’s library Các tài liệu từ Internet [4] https://whitehat.vn/threads/huong-dan-gia-lap-firewall-asa-tren-gns3-p2.8104/ [5] http://svuit.vn/threads/chapter-7-7-nat-0-and-static-nat-asa-8-2-vs-asa-8-4-1369/ [6] http://www.vnpro.vn/cac-loai-firewall-cua-cisco-va-cac-tinh-nang-tiep-theo/ [7] http://svuit.vn/threads/lab-2-5-how-to-install-asdm-on-asa-gns3-196/ [8] http://www.cisco.com/c/en/us/td/docs/solutions/Enterprise/ Small_Enterprise_Design_Profile/SEDP/chap5.html 68