1. Trang chủ
  2. » Luận Văn - Báo Cáo

Xây dựng hệ thống bảo mật asdm trong dm vpn, ứng dụng mạng doanh nghiệp

68 1 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Tiêu đề Xây Dựng Hệ Thống Bảo Mật Asdm Trong Dm Vpn, Ứng Dụng Mạng Doanh Nghiệp
Tác giả Nguyễn Trọng Đạt
Người hướng dẫn Ths. Phan Như Minh
Trường học Trường Đại Học Công Nghệ GTVT
Chuyên ngành Mạng Máy Tính Truyền Thông Và Dữ Liệu
Thể loại Đồ Án Tốt Nghiệp
Năm xuất bản 2021
Thành phố Hà Nội
Định dạng
Số trang 68
Dung lượng 6,08 MB

Cấu trúc

  • CHƯƠNG 1. GIỚI THIỆU CHUNG (9)
    • I. CÁC VẤN ĐỀ VỀ AN MINH MẠNG (9)
      • 1. Các vấn đề an ninh mạng (9)
      • 2. Các phương thức tấn công (11)
      • 3. Chính sách an ninh mạng (18)
    • II. Firewall (22)
      • 1. Firewall là gì? (22)
      • 2. Vì sao cần sử dụng Firewall? (23)
      • 3. Tác dụng và vai trò của tường lửa (Firewall) (23)
      • 4. Firewall hoạt động như thế nào? (24)
      • 5. Phân loại tường lửa theo xu hướng sử dụng? (25)
      • 6. Những tùy chọn triển khai tường lửa (26)
    • I. HỆ THỐNG BẢO MẬT DMVPN (31)
      • 1. Khái niệm DMVPN (31)
      • 2. Các dạng triển khai (31)
      • 3. Các thành phần trong DM VPN (32)
      • 4. Ưu điểm của việc sử dụng DM VPN (32)
      • 5. Mô hình chung DM VPN (32)
    • II. HỆ THỐNG FIREWALL ASA (34)
      • 1. Giới thiệu (34)
      • 2. Dòng sản phẩm firewall ASA của Cisco (35)
      • 3. Cơ chế hoạt động (36)
    • III. HỆ THỐNG BẢO MẬT ASDM (37)
      • 1. Giới thiệu chung (37)
      • 2. Cài đặt (37)
  • CHƯƠNG 3: KHẢO SÁT, THIẾT KẾ VÀ MÔ PHỎNG (42)
    • I. Khảo sát công ty và sơ đồ hệ thống (42)
      • 1. Đặt vấn đề (42)
      • 2. Mô hình hệ thống (43)
    • II. Khảo sát hệ thống máy ảo VMWare/Eve-ng (44)
    • III. Cài đặt Eve-ng (49)
      • 2. Configure and Upgrade (55)
      • 1. Update và Upgrade (55)
      • 2: Import IOL và active license cisco (57)
      • 4: Cài đặt UnetLab-Win-client và putty để access vào thiết bị (62)
    • III. Mô phỏng (66)
  • TÀI LIỆU THAM KHẢO (68)

Nội dung

GIỚI THIỆU CHUNG

CÁC VẤN ĐỀ VỀ AN MINH MẠNG

1 Các vấn đề an ninh mạng

Các cuộc tấn công mạng hiện nay mang tính chất chủ đích và gây ra thiệt hại nghiêm trọng Do đó, an ninh mạng trở thành một vấn đề cấp bách và cần được chú trọng.

Năm 2016, thiệt hại do virus máy tính tại Việt Nam đạt 10.400 tỷ đồng, tăng so với 8.700 tỷ đồng năm 2015, theo đánh giá an ninh mạng của Tập đoàn công nghệ Bkav Các loại mã độc như Ransomware, virus lây qua USB, tin nhắn rác và các cuộc tấn công APT là những vấn đề nổi bật trong năm này.

Năm 2016 đã chứng kiến sự bùng nổ của mã độc mã hóa dữ liệu tống tiền ransomware, đúng như dự báo của các chuyên gia Bkav trong tổng kết cuối năm 2015 Theo thống kê từ hệ thống giám sát virus của Bkav, 16% lượng email lưu chuyển trong năm 2016 chứa mã độc ransomware, cho thấy mức độ lây lan đáng báo động của loại mã độc này.

20 lần năm 2015 Như vậy cứ trung bình 10 email nhận được trong năm 2016 thì người sử dụng sẽ gặp 1,6 email chứa ransomware, một con số rất đáng báo động.

Ransomware là loại mã độc chuyên mã hóa dữ liệu trên máy tính, khiến người dùng không thể truy cập file nếu không trả tiền chuộc cho hacker Sự gia tăng số tiền chuộc mà hacker kiếm được đã dẫn đến sự bùng nổ của loại mã độc nguy hiểm này Để phòng tránh, người dùng nên trang bị phần mềm diệt virus để bảo vệ tự động và luôn mở file tải về từ email trong môi trường an toàn Safe Run.

 Virus USB chưa hết thời

Việc loại bỏ tính năng Auto Run trong các hệ điều hành của Microsoft không đồng nghĩa với việc virus USB đã lỗi thời Theo chương trình đánh giá an ninh mạng, mối đe dọa từ virus USB vẫn tồn tại và cần được chú ý.

2016 của Bkav, tỷ lệ USB bị nhiễm virus trong năm 2016 vẫn ở mức rất cao 83%, không giảm so với 2015.

Lý giải điều này, các chuyên gia của Bkav phân tích, nỗ lực của Microsoft chỉ hạn chế được các dòng virus lây trực tiếp qua Auto Run như

W32.AutoRunUSB Tuy nhiên, sự tăng trưởng mạnh của dòng

W32.UsbFakeDrive là một loại virus nguy hiểm không cần tính năng AutoRun để lây nhiễm, chỉ với một cú "click" có thể khiến USB trở thành nguồn lây nhiễm virus phổ biến Theo thống kê từ hệ thống giám sát virus của Bkav, trong năm 2016, có đến 16,7 triệu máy tính bị nhiễm virus qua USB, trong đó chỉ 11% là do virus lây qua AutoRun, còn lại 89% là từ các loại virus khác.

Để hạn chế sự lây lan của virus W32.UsbFakeDrive, việc kiểm soát chặt chẽ việc sử dụng USB là rất cần thiết Người dùng cá nhân nên cài đặt phần mềm diệt virus để quét USB trước khi sử dụng và hạn chế kết nối USB với các máy tính lạ Đối với các cơ quan doanh nghiệp, cần triển khai giải pháp kiểm soát chính sách an ninh đồng bộ, bao gồm việc kiểm soát và phân quyền sử dụng USB dựa trên nhu cầu và mức độ quan trọng của từng thiết bị.

 Tấn công có chủ đích APT - quả bom hẹn giờ

Tấn công có chủ đích, hay tấn công APT gần đây được nhắc tới liên tục, đặc biệt trong an toàn thông tin năm 2016.

APT (Advanced Persistent Threat) là thuật ngữ chỉ các cuộc tấn công có chủ đích và dai dẳng nhằm vào một thực thể, thường được thực hiện với sự hỗ trợ của chính phủ để thu thập thông tin tình báo Mục tiêu của các cuộc tấn công này không chỉ giới hạn ở các chính phủ mà còn có thể là các tổ chức tư nhân Điểm nguy hiểm của APT là hacker có khả năng phát triển malware tùy chỉnh cho từng mục tiêu, có thể ẩn nấp trong thời gian dài Nhiều loại malware này có hành vi rất ít hoặc khó phát hiện, ngay cả khi được kiểm tra trong môi trường giả lập Sandbox, khiến cho các giải pháp bảo mật truyền thống dựa trên phân tích chữ ký trở nên kém hiệu quả.

(signature) trở nên bất lực trong việc phát hiện và ngăn chặn.

Chiêu thức lừa đảo phi kỹ thuật qua email và website chứa mã độc vẫn được hacker sử dụng phổ biến và hiệu quả Xu hướng BYOD và làm việc từ xa càng tạo điều kiện cho hacker xâm nhập vào mạng nội bộ của doanh nghiệp Việc truy tìm hacker là một thách thức lớn, đặc biệt khi tội phạm và nạn nhân thường ở các quốc gia khác nhau, gây khó khăn cho các cơ quan thực thi pháp luật.

Hacker thường chiếm ưu thế đáng kể so với nạn nhân, nhờ vào khả năng kết nối với những hacker lão luyện qua mạng và khai thác các điểm yếu trong hệ thống phòng thủ Trong khi đó, nạn nhân thường phải đối mặt với nhiều công việc hàng ngày, khiến họ khó có thể tập trung toàn bộ sức lực vào việc bảo vệ hệ thống vốn luôn tiềm ẩn nhiều lỗ hổng Hơn nữa, họ thường không có cơ hội giao tiếp thường xuyên với các chuyên gia bảo mật, và chỉ cần một sai lầm nhỏ có thể dẫn đến những hậu quả nghiêm trọng.

Trong bối cảnh tội phạm mạng đang gia tăng với các cuộc tấn công có mục đích, tổ chức và trình độ cao, không có tổ chức nào có thể đảm bảo an toàn tuyệt đối.

Năm 2017, nhiều cơ quan và doanh nghiệp sẽ tiếp tục phải đối mặt với các cuộc tấn công APT có chủ đích, từ quy mô nhỏ đến lớn, do tình trạng nhiễm mã độc gián điệp nằm vùng Mã độc mã hóa tống tiền sẽ bùng nổ với nhiều hình thức phát tán tinh vi và biến thể mới Đồng thời, mã độc trên di động cũng gia tăng, với nhiều loại mã độc khai thác lỗ hổng để chiếm quyền root, kiểm soát toàn bộ điện thoại.

Nhiều lỗ hổng nguy hiểm trên nền tảng Linux đã được phát hiện, đặt các thiết bị như Router Wifi và Camera IP vào tình trạng nguy cơ bị tấn công Sự bùng nổ của các thiết bị kết nối Internet khiến an ninh trở thành vấn đề cấp bách, và những thiết bị này có thể trở thành mục tiêu chính của hacker trong năm tới.

2 Các phương thức tấn công

Virus máy tính là chương trình có khả năng lây lan từ máy tính này sang máy tính khác, thường thông qua tập tin thực thi Khi một tập tin thực thi bị nhiễm được mở, virus có thể lây lan sang các tập tin khác với tốc độ nhanh, nhưng thường cần sự can thiệp của người dùng Chẳng hạn, khi người dùng tải về và mở một tập tin đính kèm từ email, virus có thể xâm nhập vào hệ thống Virus có nhiều phương thức tinh vi để xâm nhập vào các tập tin thực thi, trong đó có cavity virus, loại virus có khả năng chèn vào phần sử dụng của tập tin mà không làm tăng kích thước hay làm hỏng tập tin đó.

Sâu máy tính (computer worm) là một loại phần mềm độc hại có khả năng tự tái tạo mà không cần xâm nhập vào các tập tin như virus Nó có thể nhân bản và lây lan qua mạng, gây ra thiệt hại nghiêm trọng cho toàn bộ hệ thống, trong khi virus chủ yếu nhắm vào các tập tin trên máy tính bị nhiễm.

Firewall

Tường lửa (Firewall) là một hệ thống an ninh mạng, có thể được triển khai dưới dạng phần cứng hoặc phần mềm, nhằm kiểm soát các mối nguy hại trong giao tiếp hệ thống thông qua các quy tắc mã hóa Nó hoạt động như một rào chắn giữa mạng an toàn và không an toàn, kiểm soát quyền truy cập vào tài nguyên mạng Chỉ những truy cập phù hợp với danh sách được định nghĩa trong tường lửa mới được phép vào mạng, trong khi các truy cập không hợp lệ sẽ bị từ chối.

Firewall là công cụ bảo vệ quan trọng cho cả phần mềm và phần cứng, giúp lọc bỏ các truy cập nguy hiểm như virus và mã độc, đảm bảo an toàn cho hệ thống của bạn trước sự xâm nhập trái phép từ hacker.

2 Vì sao cần sử dụng Firewall?

Trong định nghĩa firewall là gì, bạn có thể hiểu được vì sao phải sử dụng tường lửa:

Không gian internet tiềm ẩn nhiều rủi ro, nơi mà mọi giao tiếp đều có khả năng bị hacker tấn công và thông tin bị đánh cắp Điều này có thể dẫn đến những hậu quả nghiêm trọng cho các website và doanh nghiệp.

Mỗi máy tính trực tuyến sở hữu một địa chỉ IP (Internet Protocol address) riêng, và nếu không có tường lửa bảo vệ, nguy cơ bị nhiễm mã độc và đánh cắp dữ liệu sẽ tăng cao.

Một tường lửa được cấu hình chính xác giúp máy tính "ẩn" hiệu quả, bảo vệ trước các cuộc tấn công mạng phổ biến và giảm thiểu nguy cơ bị hacker phát hiện.

3 Tác dụng và vai trò của tường lửa (Firewall)

Với định nghĩa Firewall là gì, chúng ta đúc kết được một số chức năng cơ bản của tường lửa như sau:

- Firewall ngăn chặn các truy cập trái phép vào mạng riêng Mọi sự truy cập đều cần được tường lửa xét duyệt và cho phép

- Tường lửa giúp chặn được các cuộc tấn công mạng Bảo vệ tài nguyên của hệ thống bởi các mối đe dọa bảo mật.

- Kiểm soát dễ dàng các kết nối vào website, cho phép hạn chế một số kết nối từ người dùng mà doanh nghiệp không mong muốn.

- Cho phép thiết lập các chính sách bảo mật để tùy chỉnh tường lửa theo nhu cầu sử dụng.

- Vô hiệu hóa các truy cập từ bên ngoài để đảm bảo an ninh thông tin nội bộ

- Hỗ trợ kiểm soát các địa chỉ IP truy cập.

- Tường lửa hoạt động như một Proxy trung gian.

4 Firewall hoạt động như thế nào?

Hình 3: Cách Firewall hoạt động

Firewall là một công cụ quan trọng, hoạt động liên tục để kiểm soát mọi dữ liệu ra vào máy tính Nó sử dụng các quy tắc để phân loại lưu lượng hợp pháp và các loại dữ liệu có hại Những kết nối không an toàn sẽ bị chặn và loại bỏ, đảm bảo an toàn cho hệ thống.

Doanh nghiệp có thể tự thiết lập chính sách Firewall để mở rộng bộ lọc, ngăn chặn những dữ liệu không mong muốn, mặc dù chúng không nguy hại, nhằm bảo vệ máy tính và mạng riêng của mình khỏi sự giao tiếp không cần thiết.

5 Phân loại tường lửa theo xu hướng sử dụng?

Dựa trên những nhu cầu sử dụng của hệ thống mà Firewall được phân thành 2 loại chính là Personal Firewall và Network Firewall

A personal firewall is a security tool designed to protect computers from unauthorized external access Common examples of personal firewalls include Cisco Security Agent, Microsoft Internet Connection Firewall, and Symantec Personal Firewall Many of these firewalls come pre-installed on personal computers or PCs, providing essential protection against potential threats.

Personal Firewall không chỉ cung cấp tính năng bảo vệ dữ liệu mà còn tích hợp các công cụ chống virus như phần mềm chống xâm nhập, giúp theo dõi và phát hiện mã độc hiệu quả Điều này mang lại sự linh hoạt tối ưu cho người dùng trong việc bảo vệ thông tin cá nhân.

Personal Firewall chỉ bảo vệ một máy tính duy nhất.

Firewall mạng được phát triển nhằm bảo vệ các máy chủ trong mạng khỏi các cuộc tấn công từ bên ngoài Nó bảo vệ hệ thống mạng máy tính thông qua các thành phần như bộ lọc gói tin, cổng ứng dụng (bao gồm Gateway cấp ứng dụng hoặc máy chủ proxy) và cổng cấp vòng (Circuit Level Gateway).

Appliance-based network firewalls offer specific options such as Symantec's Enterprise Firewall, Cisco PIX, Cisco ASA, Nokia firewalls, and Juniper NetScreen firewall Additionally, they have evolved into standalone software solutions for computers, including Microsoft ISA Server, Check Point's Firewall, and Linux-based IPTables.

Hình 4: Phân lại tường lửa

6 Những tùy chọn triển khai tường lửa

Để bảo vệ hệ thống máy tính khỏi các cuộc tấn công tinh vi từ tội phạm mạng, việc sử dụng Firewall trở nên cần thiết Hiện nay, Firewall đã được phát triển với nhiều tùy chọn, đáp ứng nhu cầu bảo mật ngày càng cao của người dùng.

Stateful firewall (Tường lửa có trạng thái)

Những tường lửa đầu tiên được phát triển không có trạng thái, có nghĩa là chúng chỉ theo dõi từng gói lưu lượng mạng riêng lẻ khi lưu lượng truy cập đi qua phần cứng Chúng sẽ thực hiện việc chặn hoặc cho phép gói tin dựa trên các quy tắc đã được thiết lập.

Tường lửa này, được phát triển vào năm 1990, có khả năng kiểm tra lưu lượng truy cập dựa trên trạng thái hoạt động và các đặc điểm kết nối mạng, nhằm cung cấp một giải pháp bảo mật toàn diện hơn.

Tường lửa thế hệ tiếp theo (NGFW) mang đến nhiều tính năng an toàn vượt trội, bao gồm Kiểm tra Gói Sâu (DPI), phát hiện xâm nhập, và khả năng ngăn chặn cũng như kiểm tra lưu lượng mã hóa Những tính năng này giúp bảo vệ hệ thống một cách toàn diện hơn, nâng cao khả năng bảo mật cho mạng lưới.

HỆ THỐNG BẢO MẬT DMVPN

Dynamic Multipoint Virtual Private Network (DMVPN) là một giải pháp mạng linh hoạt, kết hợp các công nghệ IPSec, mGRE và NHRP DMVPN hoạt động trên hệ điều hành Cisco, cho phép xây dựng mạng IPSec+GRE một cách dễ dàng và mở rộng hiệu quả.

 Để triển khai mạng DMVPN, chúng ta có hai cách thức triển khai Đó là hub-and-spoke và spoke-and-spoke.

Hình 6: Mô hình tổng quát DM VPN

Hub (Central) là trung tâm của công ty, trong khi Spoke là các chi nhánh và văn phòng kết nối đến trung tâm Đường màu xanh biểu thị kết nối giữa các Spoke, trong khi đường màu đỏ thể hiện kết nối giữa Hub và Spoke.

3 Các thành phần trong DM VPN

 Các thành phần cần thiết để triển khai một hệ thống mạng doanh nghiệp, sử dụng DMVPN bao gồm:

Hệ thống Hub và Spoke là những thiết bị hỗ trợ hiệu quả cho việc thiết lập kết nối DMVPN, với Router của Cisco là lựa chọn phổ biến nhất trong mô hình này.

The cloud serves as a vital connection between the Hub and Spoke in networking, referring specifically to the Internet Service Provider (ISP) This cloud infrastructure can include technologies such as Frame Relay, ATM, and Leased Lines.

4 Ưu điểm của việc sử dụng DM VPN

 DMVPN cho phép mở rộng những mạng IPSec VPN Ngoài ra nó còn có một số thuận lợi như sau:

Giảm độ phức tạp trong việc cấu hình router hub giúp tự động thêm nhiều kênh mà không cần can thiệp vào cấu hình hiện tại của hub.

 Bảo đảm các packet được mã hóa khi truyền đi.

 Hỗ trợ nhiều giao thức định tuyến động chạy trên DMVPN tunnels.

 Khả năng thiết lập động và trực tiếp giữa các kênh spoke-to-spoke IPSec giữa các site mà không cần thông qua hub (nhờ mGRE và NHRP).

 Hỗ trợ các spoke router với những địa chỉ IP vật lý động (được cấp bởi ISP).

5 Mô hình chung DM VPN

Việc áp dụng DMVPN giúp khắc phục những hạn chế hiện có, đồng thời nâng cao khả năng mở rộng và tính linh hoạt của hệ thống thông qua việc sử dụng các giao thức mGRE và NHRP.

Hình 7: Mô hình DM VPN

Ở mỗi spoke, chúng ta có thể sử dụng địa chỉ IP động do ISP cung cấp thay vì địa chỉ tĩnh Điều này là do mGRE chỉ yêu cầu xác định địa chỉ nguồn, trong khi địa chỉ đích sẽ được xác định bởi một giao thức khác Tuy nhiên, router HUB vẫn cần phải có một địa chỉ tĩnh.

Trên router HUB, việc cấu hình một tunnel mGRE là đủ, và khi có thêm spoke, HUB không cần cấu hình thêm Điều này giúp giảm tải cho router HUB.

 Khi sử dụng mGRE thì việc định địa chỉ đích sẽ nhờ vào một giao thức khác, đó là NHRP.

 Như vậy, việc sử dụng DMVPN đem lại nhiều thuận lợi hơn so với VPN thông thường.

HỆ THỐNG FIREWALL ASA

Thiết bị phần cứng đóng vai trò quan trọng trong việc bảo vệ hạ tầng mạng nội bộ Thương hiệu PIX Firewall của Cisco Systems từng đứng đầu trong lĩnh vực này Tuy nhiên, với sự phát triển nhanh chóng của công nghệ và xu hướng tích hợp đa chức năng trên các kiến trúc phần cứng hiện nay, yêu cầu về bảo mật mạng cũng đang ngày càng thay đổi.

Cisco Systems đã nhanh chóng ra mắt dòng sản phẩm bảo mật đa năng Cisco ASA (Adaptive Security Appliance), kế thừa nhiều tính năng ưu việt từ công nghệ trên Cisco PIX.

Cisco ASA tích hợp ba chức năng chính: Firewall, IPS và VPN, tạo ra một giải pháp bảo mật hiệu quả cho hạ tầng mạng Nhờ vào sự kết hợp này, Cisco ASA giúp bảo vệ các giao tiếp mạng, cho phép tổ chức và doanh nghiệp chủ động ứng phó với các tấn công mạng và các mối đe dọa thường gặp.

Cisco ASA, viết tắt của Cisco Adaptive Security Appliance, là giải pháp bảo mật hàng đầu của Cisco, nổi bật về hiệu năng và tính linh hoạt cho doanh nghiệp Sản phẩm này tích hợp giải pháp bảo mật mạng, giúp tiết kiệm chi phí và dễ dàng triển khai, khẳng định vị thế dẫn đầu trên thị trường.

Nó bao gồm các thuộc tính sau:

+ Bảo mật thời gian thực, hệ điều hành độc quyền của Cisco

+ Công nghệ Stateful firewall sử dụng thuật toán SA của Cisco

+ Sử dụng SNR để bảo mật kết nối TCP

+ Sử dụng Cut through proxy để chứng thực Telnet, HTTP, FTP

Chính sách bảo mật mặc định cung cấp mức bảo vệ tối đa cho người dùng, đồng thời cho phép tùy chỉnh các chính sách này để xây dựng một chính sách bảo mật cá nhân hóa phù hợp với nhu cầu riêng.

+ VPN: IPSec, SSL và L2TP

+ Tích hợp hệ thống ngăn ngừa và phát hiện xâm nhập IDS/IPS

+ NAT động, NAT tĩnh, NAT port

+ Ảo hóa các chính sách sử dụng Context

2 Dòng sản phẩm firewall ASA của Cisco

Dòng sản phẩm ASA bao gồm 6 model khác nhau, được phân loại từ tổ chức cho đến mô hình doanh nghiệp vừa và nhà cung cấp dịch vụ ISP.

Mô hình càng cao thì thông lượng, số port, chi phí càng cao Sản phẩm bao gồm: ASA 5505, 5510, 5520, 5540, 5550, 5580-20, 5580-40.

Cisco ASA sử dụng cơ chế giám sát gói tin theo trạng thái (Stateful Packet Inspection), cho phép điều khiển trạng thái kết nối qua thiết bị bảo mật bằng cách ghi nhận trạng thái của từng gói tin trong các kết nối theo loại giao thức hoặc ứng dụng Thiết bị này hỗ trợ kết nối một chiều (outbound) với cấu hình tối thiểu, trong đó kết nối đi ra là từ thiết bị ở cổng có mức bảo mật cao đến thiết bị ở mạng có mức bảo mật thấp hơn.

Trạng thái được ghi nhận sẽ được sử dụng để giám sát và kiểm tra gói dữ liệu trở về, đồng thời thay đổi ngẫu nhiên giá trị tuần tự trong gói TCP nhằm giảm thiểu rủi ro từ các cuộc tấn công mạng.

Hoạt động của kiến trúc phân vùng bảo mật dựa trên việc phân chia thành cổng tin cậy và cổng không tin cậy Quy tắc chính là thiết bị trong vùng tin cậy có thể truy cập vào thiết bị trong vùng không tin cậy, trong khi thiết bị từ vùng không tin cậy không được phép truy cập vào vùng tin cậy trừ khi có sự cho phép từ danh sách kiểm soát truy cập (ACL).

HỆ THỐNG BẢO MẬT ASDM

Adaptive Security Device Manager (ASDM) là công cụ GUI miễn phí giúp quản lý các thiết bị bảo mật ASA của Cisco, cho phép người dùng cấu hình, giám sát và khắc phục sự cố ASDM quản lý tất cả các tính năng của thiết bị ASA như tường lửa (FW), hệ thống phát hiện xâm nhập (IPS) và mạng riêng ảo (VPN) Khác với Cisco Security Manager (CSM), ASDM được thiết kế để cấu hình một thiết bị ASA độc lập tại một thời điểm, trong khi CSM hỗ trợ quản lý và chia sẻ chính sách trên nhiều thiết bị ASA, bộ định tuyến và IPS.

Cisco Adaptive Security Device Manager (ASDM) enables the management of Cisco Secure Firewall ASA and Cisco AnyConnect Secure Mobility Client through a web-based local interface.

Nhanh chóng cấu hình, giám sát và khắc phục sự cố thiết bị tường lửa và mô-đun dịch vụ của Cisco với ứng dụng dễ sử dụng Trình quản lý Thiết bị Bảo mật Thích ứng của Cisco là giải pháp lý tưởng cho các triển khai nhỏ hoặc đơn giản.

 Thiết lập trình hướng dẫn giúp bạn định cấu hình và quản lý các thiết bị tường lửa của Cisco.

Bảng điều khiển giám sát và xem nhật ký theo thời gian thực mang lại cái nhìn tổng quan nhanh chóng về trạng thái và tình trạng của thiết bị tường lửa, giúp người dùng theo dõi hiệu suất và bảo mật một cách hiệu quả.

 Các tính năng khắc phục sự cố và các công cụ gỡ lỗi mạnh mẽ như theo dõi gói và chụp gói

Để bắt đầu, bạn cần cài đặt công cụ ASDM, có thể tải xuống từ trang web cisco.com hoặc từ thiết bị ASA của bạn Sau khi tải về, bạn có thể sử dụng ASDM trực tiếp trong trình duyệt hoặc tải xuống trình khởi chạy để chạy nó như một ứng dụng độc lập.

PC của bạn Tôi thực sự khuyên bạn nên sử dụng trình khởi chạy

Trình khởi chạy ASDM hỗ trợ cả hệ điều hành Windows và MAC OSX, yêu cầu phiên bản ASDM từ 6.4.5 trở lên Sau khi khởi động, giao diện sẽ hiển thị như hình dưới đây, bạn chỉ cần điền thông tin cần thiết để tiếp tục.

Để sử dụng trình khởi chạy ASDM trên MAC, bạn cần cài đặt trực tiếp từ ASA thông qua trình duyệt web Hiện tại, Cisco chỉ cung cấp tệp msi cho Windows, không có tệp dmg để tải xuống trên cisco.com.

Chức năng "chạy ở chế độ demo" có thể mang lại sự tiện lợi cho người dùng, cho phép họ trải nghiệm tính năng trước khi sử dụng Để kích hoạt chế độ này, bạn chỉ cần tích chọn hộp kiểm và nhấp vào liên kết được cung cấp Sau đó, bạn sẽ được chuyển đến cisco.com để tải xuống gói msi demo ASDM.

Sau khi cài đặt, ASDM có thể được sử dụng ở chế độ demo ngoại tuyến trên máy tính Windows hoặc Mac Chế độ demo cung cấp nhiều kiểu cấu hình khác nhau, cho phép người dùng mô phỏng các thiết bị như ASA FW, ASA FW với IPS, hoặc ASA với SSLVPN Ngoài ra, chế độ demo của ASDM còn mô phỏng nhật ký sự kiện, mang đến cho người dùng trải nghiệm thực tế trong việc cấu hình và giám sát một ASA.

ASDM có một chế độ demo không chính thức, được thiết kế cho Windows nhưng cũng có thể hoạt động trên MAC, mặc dù không được Cisco hỗ trợ hay đề cập trong tài liệu Đây là một công cụ hữu ích cho những người không muốn chạy kết hợp trên máy MAC của họ Để sử dụng ASDM trên MAC chạy Lion, bạn cần thực hiện một số bước cụ thể.

Để bắt đầu, trên máy tính MAC của bạn, hãy cài đặt trình khởi chạy ASDM bằng cách truy cập vào ASA qua trình duyệt web và chọn tùy chọn cài đặt trình khởi chạy.

 Thứ hai, tải xuống và cài đặt ASDM demo msi trên PC Windows.

 Tiếp theo, sao chép nội dung thư mục Demo từ C: \ Program Files \ Cisco Systems \ ASDM vào MAC của bạn.

 Trên máy MAC của bạn, mở thư mục chứa ứng dụng trình khởi chạy

(thường là các ứng dụng \ Cisco) và nhấp chuột phải vào ứng dụng trình khởi chạy Bây giờ bấm vào hiển thị nội dung gói

 Một cửa sổ tìm kiếm mới sẽ mở ra Điều hướng đến / Applications /

ASDM / Cisco ASDM-IDM.app/Contents/Resources/Java/demo

 Cuối cùng, copy nội dung của thư mục demo windows vào thư mục này Bây giờ bản demo trình khởi chạy Mac sẽ hoạt động tốt!

Bây giờ chúng ta đã cài đặt ASDM, đây là một số mẹo nhanh.

Để kiểm tra xem có nâng cấp cho loại và phiên bản ASA của bạn hay không, hãy sử dụng công cụ kiểm tra bản cập nhật trong ASDM Trình hướng dẫn cập nhật phần mềm này nhanh chóng và ít lỗi hơn so với việc truy cập trang web của Cisco để tải xuống hình ảnh và sau đó tải lên ASA Tất cả các bước này hiện có thể thực hiện chỉ với khoảng 4 lần nhấp chuột từ ASDM, giúp tiết kiệm thời gian đáng kể!

Để nhanh chóng kiểm tra thông lượng vào và ra trên các giao diện ASA, bạn chỉ cần truy cập trang chủ, nhấp vào một giao diện cụ thể, và thông tin về tốc độ đầu vào và đầu ra sẽ được hiển thị dưới giao diện đó tính bằng kbps.

Bạn muốn theo dõi nhanh chóng các phiên VPN và thông tin chi tiết của chúng? Hãy truy cập trang chủ, nơi bạn có thể xem tất cả các phiên VPN và nhấp vào chi tiết để tìm hiểu thông tin đầy đủ về từng phiên của bạn.

Packet Tracer là công cụ thiết yếu cho quản trị viên ASA, giúp mô hình hóa phản ứng của ASA với các loại lưu lượng khác nhau Nếu bạn chưa biết về nó, hãy tham khảo bài viết trước của tôi Hiện nay, tính năng mới cho phép mô hình hóa lưu lượng dựa trên tên người dùng và FQDN, mang lại khả năng phân tích sâu hơn cho quản trị viên.

KHẢO SÁT, THIẾT KẾ VÀ MÔ PHỎNG

Khảo sát công ty và sơ đồ hệ thống

1 Đặt vấn đề Đối với hệ thống mạng hiện tại, nguy cơ bị mất mát dữ liệu là rất lớn Nguy cơ này có thể đến từ hai hướng: bên ngoài Internet và ngay nội bộ hệ thống mạng.

Nguy cơ mất mát thông tin từ Internet là một vấn đề nghiêm trọng, khi mà hầu hết các hệ thống mạng hiện nay đều kết nối với Internet mà không có thiết bị và chương trình bảo mật hiệu quả Điều này tạo điều kiện cho hacker sử dụng virus dưới dạng trojan để xâm nhập vào hệ thống, đánh cắp hoặc phá hoại thông tin quan trọng.

Nguy cơ mất mát thông tin từ bên trong hệ thống mạng đang gia tăng, đặc biệt với sự phát triển của các switch hiện đại Những người có quyền truy cập vào mạng có thể sử dụng các chương trình nghe lén (sniffer) để đánh cắp thông tin được truyền đi, làm tăng khả năng rò rỉ dữ liệu trong các hệ thống mạng hiện nay.

Nguy cơ hệ thống kết nối Internet bị tấn công bởi tin tặc ngày càng tăng, dẫn đến hậu quả nghiêm trọng như server bị tê liệt và không thể xử lý yêu cầu Hệ thống mạng nội bộ, với vùng quảng bá rộng, cũng tiềm ẩn nguy cơ tấn công từ bên trong Nếu một máy tính trong mạng bị nhiễm virus có khả năng tấn công, nó có thể gây ra tình trạng tê liệt toàn bộ hệ thống mạng, làm cho việc truy cập Internet trở nên impossible.

Virus tin học ngày càng gia tăng và trở nên nguy hiểm hơn, với một số loại virus có khả năng xóa trắng các tập tin, làm mất quyền truy cập vào hệ thống và gây hư hại cho phần mềm trên máy tính.

Để cải thiện hệ thống mạng hiện nay, cần có giải pháp bổ sung thiết bị phần cứng hoặc phần mềm nhằm ngăn chặn các nguy cơ tấn công Đặc biệt, để đối phó với các tấn công từ Internet, hệ thống mạng nội bộ và các máy chủ cần được bảo vệ một cách hiệu quả.

 Che giấu các thông tin của hệ thống mạng nội bộ.

 Ngăn chặn các truy cập bất hợp pháp đến hệ thống mạng nội bộ và các server.

 Đối với hệ thống mạng nội bộ cần chia thành nhiều miền quảng bá để quản lý và có thể khoanh vùng khi có virut.

Hình 11: Mô hình khảo sát công ty Catlongs

Vùng chi nhánh là khu vực mạng trung lập giữa mạng nội bộ và Internet, cho phép người dùng bên ngoài truy cập vào trang web kinh doanh Đây là nơi lưu trữ thông tin quan trọng, giúp người dùng từ Internet có thể truy xuất dữ liệu, đồng thời chấp nhận rủi ro tấn công từ bên ngoài.

 Phòng IT là phòng chứa máy chủ dùng để bảo vệ hệ thống ASDM

 Vùng mạng nội bộ bao gồm tường lửa Cisco ASA, Router

Chức năng: cung cấp các phương pháp bảo mật

 Phòng kinh doanh, phòng giám đốc làvùng LAN: là nơi đặt các thiết bị mạng, máy trạm thuộc mạng nội bộ của đơn vị.

Chức năng: cung cấp quyền truy cập cho các user/workgroup

Mô hình này chủ yếu nhằm mục đích cung cấp quyền truy cập an toàn cho người dùng tại mọi địa điểm, đồng thời đảm bảo rằng các dịch vụ được cung cấp không làm ảnh hưởng đến tính bí mật, tính toàn vẹn và tính sẵn sàng của tài nguyên và dữ liệu.

Khảo sát hệ thống máy ảo VMWare/Eve-ng

Bước 1: Vào trang chủ của Vmware Workstation để tải về phiên bản Vmware mới nhất tại: https://www.vmware.com/go/getworkstation-win

Hình 12:Vào trang chủ Vmware Workstation 16 Pro

Bước 2: Nhấp vàoDownload Now để tải phần mềmVmware về máy Lưu ý nhớ chọn đúng phiên bản hệ điều hành các bạn đang sử dụng.

Bước 3: Mở gói cài đặt đã tải về lên và chọn Next để tiến hành cài đặt.

Hình 13:Tiến hành cài đặt Vmware Workstation 16 Pro

Bước 4: Nhấn vàoI accept the terms in the License Agreement để đồng ý các điều khoản của Vmware

Hình 14:Đọc điều khoản và chấp nhận điều khoản của Vmware

Bước 5: Trong tùy chọn cài đặt, bạn không nhất thiết phải chọn “Enhanced Keyboard Driver” Tùy chọn này hỗ trợ máy ảo nhận diện bàn phím với các ký tự không thuộc hệ chữ La-tinh, như tiếng Nhật hoặc tiếng Hàn.

Bước 6: Bước này bạn có thể tích vào Check for product updates on startup để nhận cập nhật mới nhất từ nhà sản xuất.

Bước 7: Nếu bạn muốn đặt shortcut ởDesktop hoặcStart Menu Program thì bạn có thể tích vào 2 tùy chọn đó

Bước 8: NhấnInstall để bắt đầu cài đặt Quá trình này sẽ diễn ra từ 2 – 3 phút tùy theo cấu hình máy.

Nhấn vào "Install" để bắt đầu quá trình cài đặt Khi quá trình cài đặt hoàn tất, một bảng thông báo sẽ xuất hiện yêu cầu bạn nhập key bản quyền License để kích hoạt phần mềm Nếu không có key, bạn có thể nhấp vào "Finish" để sử dụng phiên bản dùng thử.

Hình 24: Nhập key để kích hoạt bản quyền Vmware Workstation 16

Hình 15:Giao diện Vmware Workstation 16 Pro

Cài đặt Eve-ng

Bước 2: Tiến hành cài đặt Emulated Virtual Environment trên VMWare

 Sau khi down về được file như bên dưới:

Hình 16: Cài đặt EVE Community Edition Chạy file EVE Community Edition trên VMWare

Hình 17: Chạy file cài đặt trên VMWare

Hình 18: Khởi động tiến hành cài đặt

 Chọn Card mạng từ Bridge -> NAT

Hình 19: Cấu hình Card mạng cho Emulated Virtual EnvironmentBước 3: Tiến hành cấu hình EVE

Hình 20: Giao diện khởi động ban đầu của eve-ng

Hình 21: Cấu hình ban đầu eve-ng

 Tạo password login vào EVE-NG, user và pass mặc định là:+ Eve-ng login : root

 Tạo password cho EVE-NG ( password login vào hệ thống)

Hình 22: Tạo password login vào hệ thống

 Tạo domain namevd: UTTEDU.COM

 Chọn IP management : DHCP từ card mạng, hoặc có thể dùng static : static sẻ yêu cầu tạo địa chỉ ip , subnet mask, default gateway, primary and secondary DNS servers.

Hình 25: Cấu hình IP Management

 Configure EVE VM/BareMetal Server có thể truy cập Internet ( chọn direct connection)

Hình 26: Configure EVE VM/BareMetal Server có thể truy cập Internet

 Sau khi khởi động lại vào màn hình bắt đầu , tiến hành upgrade cho hệ thống.

 SSH vào với username : root , Password: eve

 Tiến hành upgrade bằng 2 lệnh sau:

Hình 28: Tiến hành Upgrade và Update

 Đợi hệ thống update và upgrade ( phải có mạng nhé ^^ ! ) 2: Import IOL và active license cisco

 Có thể dùng WinSCP để upload IOL image

 Login vào hệ thống bằng WinSCP

Hình 29: Login vào hệ thống bằng WinSCP

 Truy cập vào đường dẫn/opt/unetlab/addons/iol/bin/

Hình 30: Upload IOL từ PC sang database

 Upload IOL từ PC sang database

Hình 31: Upload IOL từ PC sang database

Hình 32: Upload IOL từ PC sang database

Hình 33: Upload IOL từ PC sang database

Hình 34: Upload IOL từ PC sang database

3: Tiến hành active license cisco

To activate the license on the system, SSH into the server and navigate to the bin directory by entering the command `cd /opt/unetlab/addons/iol/bin/` Once in the directory, list all added images using the command `ls`, which will display the files including `CiscoIOUKeygen.py`.

L2-ADVENTERPRISEK9-M-15.2-IRON-20151103.bin root@eve-ng:/opt/unetlab/addons/iol/bin# python CiscoIOUKeygen.py //active license

Cisco IOU License Generator – Kal 2011, python port of 2006 C version

Modified to work with python3 by c_d 2014 hostid7f0101, hostname=eve-ng, ioukey0343

Add the following text to ~/.iourc:

Hình 35 Active license cho hệ thống

 Tiến hành permit IOL image : root@eve-ng:~# /opt/unetlab/wrappers/unl_wrapper -a fixpermissions root@eve-ng:~# cat /opt/unetlab/addons/iol/bin/iourc

[license] eve-ng = 972f30267ef51616; Đã tiến hành active lincese và permisssions thành công

Hình 36: Fix Permision thành công

4: Cài đặt UnetLab-Win-client và putty để access vào thiết bị

 Tải về và cài đặt vào máy sau đó vào thư mục: C:\Program Files\UNetLab Phiên bản hiện tại làEVE-Win-Client

Hình 37: Cài đặt UnetLab-Win-client

Hình 38: Cài đặt UnetLab-Win-client

Hình 39: Cài đặt UnetLab-Win-client

 Login vào hệ thống bằng browser

 Username: admin pass: eve (default)

Hình 40: Login Emulated Virtual Environment bằng Browser

Hình 41: Các bước tạo bài LAB

Hình 42: Các bước tạo một bài LAB

Hình 43: Chọn IOL của thiết bị

Mô phỏng

 Xây dựng mô hình bảo mật DM VPN và sử dụng ASDM quản lý hệ thống

Hình 44: Mô phỏng hệ thống

Trước khi triển khai giải pháp an ninh, hệ thống hoạt động mà không có sự bảo vệ, dẫn đến nguy cơ tấn công từ hacker trên Internet và sự lây lan nhanh chóng của virus trong mạng nội bộ Điều này khiến các nhân viên quản trị mạng phải tiêu tốn nhiều thời gian và chi phí để khắc phục các sự cố.

Sau khi phân tích và triển khai cấu hình hệ thống DM VPN thông qua ASDM, chúng ta có thể nhận thấy hiệu quả rõ rệt trong việc quản lý và tối ưu hóa mạng.

Nhanh chóng cấu hình, giám sát và khắc phục sự cố thiết bị tường lửa và mô-đun dịch vụ của Cisco với ứng dụng dễ sử dụng Trình quản lý Thiết bị Bảo mật Thích ứng của Cisco rất phù hợp cho các triển khai nhỏ hoặc đơn giản, mang lại hiệu quả cao trong việc quản lý an ninh mạng.

 Thiết lập trình hướng dẫn giúp bạn định cấu hình và quản lý các thiết bị tường lửa của Cisco.

Bảng điều khiển giám sát mạnh mẽ cho phép xem nhật ký theo thời gian thực, cung cấp cái nhìn nhanh chóng về trạng thái và tình trạng của thiết bị tường lửa.

 Các tính năng khắc phục sự cố và các công cụ gỡ lỗi mạnh mẽ như theo dõi gói và chụp gói.

Ngày đăng: 14/11/2023, 05:24

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w