Đồ Án tốt nghiệp Đề tài nghiên cứu và triển khai hệ thống firewall cisco asa

Ưu điểm và nhược điểm của Firewall...12 Ưu điểm...12 Firewall là điểm tập trung giải quyết các vấn đề an ninh...12 Firewall có thể thiết lập chính sách an ninh...13 Firewall có thể ghi l

AN TOÀN TRONG MẠNG MÁY TÍNH

Tình hình thực tế

Mạng Internet, một hệ thống toàn cầu kết nối các máy tính, cung cấp nhiều dịch vụ như WWW, E-mail và tìm kiếm thông tin, đang trở thành nền tảng cho sự phát triển nhanh chóng của các dịch vụ điện tử Internet đã trở thành một phần thiết yếu trong cuộc sống hàng ngày, nhưng cũng đi kèm với nhiều nguy hiểm tiềm ẩn.

Các kẻ tấn công ngày càng trở nên tinh vi với sự gia tăng thông tin về lỗ hổng bảo mật và các kiểu tấn công được công khai trên mạng Ngay cả những người có kiến thức lập trình cơ bản cũng có thể trở thành hacker, dẫn đến sự gia tăng không ngừng các vụ tấn công mạng và sự xuất hiện của nhiều phương thức tấn công mới mà khó có thể kiểm soát.

Theo nghiên cứu của Ernst & Young, 80% các tổ chức lớn với hơn 2500 nhân viên đã triển khai ứng dụng quan trọng trên mạng cục bộ LAN Tuy nhiên, khi những mạng này kết nối với Internet, thông tin quan trọng trở nên dễ bị tổn thương trước các cuộc tấn công, đánh cắp, phá hoại hoặc cản trở lưu thông Mặc dù nhiều tổ chức đã áp dụng các biện pháp an toàn, nhưng vẫn còn nhiều lỗ hổng mà kẻ tấn công có thể khai thác.

Trong những năm gần đây, tình hình bảo mật mạng máy tính trở nên căng thẳng với nhiều vụ tấn công và lỗ hổng bảo mật được phát hiện hoặc bị khai thác Arthur Wong, giám đốc điều hành của SecurityFocus, cho biết trung bình mỗi tuần có hơn 30 lỗ hổng bảo mật mới được phát hiện Theo điều tra của SecurityFocus, trong số 10.000 khách hàng sử dụng phần mềm phát hiện, tình hình bảo mật đang ngày càng trở nên nghiêm trọng.

SVTH: NGUYỄN VÂN DƯƠNG LỚP: ĐIỆN TỬ 05 – K64 Trang 2

CHƯƠNG 1: AN TOÀN TRONG MẠNG MÁY TÍNH xâm nhập trái phép thì trung bình mỗi khách hàng phải chịu 129 cuộc thăm dò, xâm nhập Những phần mềm web server như IIS của Microsoft là mục tiêu phổ biến nhất của các cuộc tấn công.

Trong bối cảnh hiện nay, việc bảo vệ an toàn thông tin cho các hệ thống máy tính trước nguy cơ tấn công từ Internet trở nên cực kỳ quan trọng Để đáp ứng nhu cầu này, nhiều phần mềm với các tính năng đa dạng đã được phát triển, trong đó nổi bật là các phần mềm Firewall.

Sử dụng Firewall để bảo vệ mạng nội bộ, tránh sự tấn công từ bên ngoài là một giải pháp hữu hiệu, đảm bảo được các yếu tố :

 An toàn cho sự hoạt động của toàn bộ hệ thống mạng

 Bảo mật cao trên nhiều phương diện

 Khả năng kiểm soát cao

 Mềm dẻo và dễ sử dụng

 Trong suốt với người sử dụng

Để bảo vệ hệ thống khỏi sự tấn công của hacker, cần thiết lập kiến trúc mở và xác định rõ các mục tiêu cần bảo vệ Hiểu biết về các kỹ thuật tấn công khác nhau sẽ giúp xây dựng chiến lược bảo vệ mạng hiệu quả.

Các lỗ hổng trên mạng

Việc sử dụng Internet đã tăng cường khả năng kết nối, nhưng cũng tiềm ẩn nhiều rủi ro không lường trước Nhiều lỗ hổng bảo mật có thể bị kẻ tấn công khai thác, gây thiệt hại cho hệ thống Dưới đây là một số lỗ hổng phổ biến trong cộng đồng mạng hiện nay.

Nhiều người thường chọn mật khẩu dựa trên tên người thân hoặc thông tin quen thuộc, dẫn đến việc dễ bị đoán Những mật khẩu này có thể khiến kẻ tấn công chiếm đoạt quyền quản trị, phá hoại hệ thống hoặc cài đặt backdoor Trong bối cảnh hiện nay, với khả năng đăng nhập từ xa, việc sử dụng mật khẩu khó đoán và an toàn là rất cần thiết để bảo vệ hệ thống.

CHƯƠNG 1: AN TOÀN TRONG MẠNG MÁY TÍNH

Dữ liệu không được mã hóa

Dữ liệu truyền tải trên mạng rất dễ bị xâm phạm và xem trộm, đặc biệt là những thông tin nhạy cảm Việc không mã hóa dữ liệu khiến kẻ tấn công dễ dàng hiểu và can thiệp vào thông tin Do đó, việc mã hóa cẩn thận trước khi gửi dữ liệu qua mạng là điều cần thiết để bảo vệ an toàn thông tin.

Mở các file chia sẻ thông tin có thể dẫn đến rủi ro bảo mật nghiêm trọng, khi bất kỳ ai cũng có thể truy cập nếu không có cơ chế bảo mật và phân quyền hợp lý.

Bộ giao thức TCP/IP, mặc dù rất phổ biến trong mạng hiện nay, vẫn tiềm ẩn nhiều nguy cơ Kẻ tấn công có thể lợi dụng các quy tắc của giao thức này để thực hiện các cuộc tấn công từ chối dịch vụ (DoS) Dưới đây là một số lỗ hổng đáng chú ý liên quan đến bộ giao thức TCP/IP.

Ngoài các lỗ hổng bảo mật từ việc thực thi chương trình CGI, các máy chủ web còn tồn tại những lỗ hổng khác Chẳng hạn, một số máy chủ web như IIS 1.0 có lỗ hổng cho phép kẻ tấn công chèn thêm ký tự “ /” vào tên đường dẫn, từ đó có thể truy cập vào bất kỳ tệp nào trong hệ thống Một lỗ hổng phổ biến khác là lỗi tràn bộ đệm trong các trường yêu cầu hoặc trong các trường HTTP khác.

 Tấn công trình duyệt Web:

Các trình duyệt web như Microsoft và Netscape có nhiều lỗ hổng bảo mật, dẫn đến sự xuất hiện của các tấn công liên quan đến URL, HTTP, HTML, JavaScript, Frames, Java và ActiveX.

Giả địa chỉ IP (IP Spoofing) là phương pháp mà kẻ tấn công sử dụng để truy cập vào hệ thống mạng của bạn bằng cách chiếm đoạt một địa chỉ IP đáng tin cậy trong mạng Để thực hiện điều này, kẻ tấn công có thể sử dụng một địa chỉ IP nằm trong phạm vi của hệ thống mạng hoặc một địa chỉ IP bên ngoài nhưng vẫn được coi là đáng tin cậy.

 Tràn bộ đệm (Buffer Overflows):

Có 2 kiểu tấn công khai thác lỗi tràn bộ đệm là : DNS overflow (Khi một tên DNS quá dài được gửi tới Server) và Statd overflow (khi một tên file quá dài được cung cấp).

 Tấn công DNS (DNS attacks):

DNS server thường là mục tiêu chính hay bị tấn công Bởi hậu quả rất lớn gây ra bởi nó là gây ách tắc toàn mạng.

Các mục tiêu cần bảo vệ

Để bảo vệ hệ thống khỏi sự tấn công của hacker, trước tiên chúng ta cần xác định các mục tiêu cần bảo vệ và hiểu rõ các kỹ thuật tấn công khác nhau Từ đó, chúng ta có thể xây dựng các chiến lược bảo vệ hợp lý để đảm bảo an toàn cho hệ thống.

Mục tiêu chính sách an toàn của một hệ thống thông tin cũng như đối với dữ liệu bao gồm : bí mật, toàn vẹn, sẵn sàng.

Bảo vệ tính bí mật của dữ liệu là yếu tố sống còn, đặc biệt đối với thông tin nhạy cảm như quốc phòng và chiến lược kinh doanh Khi dữ liệu bị sao chép bởi những người không có thẩm quyền, tính bí mật của nó sẽ bị mất, dẫn đến những rủi ro nghiêm trọng.

Khi dữ liệu bị sửa đổi một cách bất ngờ bởi người không có thẩm quyền thì khi đó có thể nói dữ liệu bị mất tính toàn vẹn.

Tính sẵn sàng là yếu tố thiết yếu cho các tổ chức phụ thuộc vào thông tin Khi người dùng hợp pháp không thể truy cập dữ liệu của mình do một lý do nào đó, điều này có nghĩa là dữ liệu đã mất tính sẵn sàng.

Xét một ví dụ như sau :

Máy in là một tài nguyên quý giá, chỉ những người có đủ thẩm quyền mới được phép sử dụng Tuy nhiên, có những cá nhân không đủ thẩm quyền vẫn cố gắng sử dụng máy in miễn phí, dẫn đến tình trạng xâm phạm tài nguyên này.

Xâm phạm tài nguyên là hành động khai thác trái phép các nguồn lực như bộ nhớ và CPU bởi những người không có thẩm quyền Khi tài nguyên này bị xâm phạm, nó có thể gây ra nhiều hệ lụy nghiêm trọng cho hệ thống và dữ liệu.

Bảo vệ danh tiếng là điều thiết yếu đối với cả cá nhân và tổ chức, không chỉ trên Internet mà còn trong cuộc sống hàng ngày Việc tên tuổi bị lợi dụng cho những mục đích mờ ám có thể xảy ra bất cứ lúc nào, và việc khôi phục danh tiếng đã bị tổn hại thường tốn thời gian dài, thậm chí có thể là không thể.

Các dạng tấn công trên mạng

Có nhiều loại tấn công khác nhau nhằm vào hệ thống, và có nhiều phương pháp để phân loại chúng Trong phần này, chúng tôi sẽ chia các dạng tấn công thành ba nhóm cơ bản.

• Từ chối dịch vụ ( Denial of Service – DoS )

• Ăn trộm thông tin ( Information thieft )

Tấn công xâm nhập là hành động mà một cá nhân hoặc nhóm cố gắng xâm nhập hoặc lạm dụng hệ thống Hai thuật ngữ "hacker" và "cracker" thường được sử dụng để chỉ những kẻ thực hiện các cuộc tấn công này.

Hầu hết các cuộc tấn công vào hệ thống đều thuộc dạng xâm nhập, cho phép kẻ tấn công chiếm quyền sử dụng máy tính của nạn nhân Mục tiêu của những kẻ tấn công này là để lợi dụng máy tính của chúng ta như một người dùng hợp pháp.

Kẻ tấn công sử dụng nhiều phương pháp để truy cập thông tin, bao gồm việc giả danh người có thẩm quyền để yêu cầu tên truy cập và mật khẩu, hoặc áp dụng các kỹ thuật tấn công suy đoán Ngoài ra, chúng còn có nhiều phương pháp phức tạp khác để xâm nhập mà không cần biết tên người dùng và mật khẩu.

Từ chối dịch vụ là một hình thức tấn công nhằm vào tính sẵn sàng của hệ thống, gây cạn kiệt tài nguyên hoặc chiếm dụng băng thông, dẫn đến việc hệ thống không thể đáp ứng các yêu cầu Khi hệ thống cần tài nguyên, nguy cơ gặp lỗi sẽ tăng cao.

Cách tấn công này có những đặc điểm đặc biệt, khiến nạn nhân không thể chống đỡ Điều này xảy ra vì các công cụ được sử dụng trong cuộc tấn công lại chính là những công cụ mà hệ thống sử dụng hàng ngày để vận hành.

Có thể phân biệt ra bốn dạng DoS sau:

 Tiêu thụ băng thông ( bandwidth consumption )

 Làm nghèo tài nguyên ( resource starvation )

 Tấn công Routing và DNS

Về mặt kỹ thuật có 3 kiểu tấn công từ chối dịch vụ chính là DoS, DDoS và

Hình 1.1: Tấn công kiểu DoS và DdoS Đơn thuần máy tấn công có bandwidth lớn hơn máy nạn nhân

Sử dụng nhiều máy cùng tấn công vào một máy nạn nhân

Máy tấn công sử dụng các server phản xạ có băng thông cao để gửi yêu cầu kết nối với địa chỉ IP giả, tương ứng với địa chỉ IP của nạn nhân Các server này sẽ phản hồi bằng cách gửi lại các gói SYN/ACK đến máy nạn nhân, gây ra hiện tượng nhân băng thông, hay còn gọi là bandwidth multiplication.

Mặc dù phương pháp tấn công này không cho phép kẻ tấn công thu thập thêm thông tin về hệ thống, nhưng nó có thể làm cho hệ thống bị tê liệt và ngừng hoạt động Nguyên nhân chính là do máy tấn công sở hữu băng thông lớn hơn so với máy nạn nhân.

Các chiến lược bảo vệ

Quyền hạn tối thiểu (Least Privilege)

Chiến lược an toàn cơ bản nhất, không chỉ trong an ninh mạng mà còn cho mọi hệ thống bảo mật khác, là nguyên tắc quyền hạn tối thiểu Nguyên tắc này quy định rằng mỗi đối tượng, như người sử dụng hay quản trị viên hệ thống, chỉ được cấp những quyền hạn cần thiết để thực hiện công việc của mình Quyền hạn tối thiểu giúp giảm thiểu các lỗ hổng mà kẻ tấn công có thể khai thác và hạn chế thiệt hại từ các hành động phá hoại.

Mọi người không thể truy cập vào tất cả các dịch vụ của Internet hay chỉnh sửa mọi file trên hệ thống mà không có quyền hạn thích hợp Ngay cả các nhà quản trị cũng không thể nắm giữ mật khẩu root của tất cả hệ thống Để đảm bảo nguyên tắc quyền hạn tối thiểu, cần thiết phải giảm quyền hạn cần thiết cho từng cá nhân và từng công việc cụ thể.

Bảo vệ theo chiều sâu (Defence in Depth )

Một nguyên tắc quan trọng trong mọi hệ thống an ninh là bảo vệ theo chiều sâu Không nên chỉ dựa vào một cơ chế an ninh duy nhất, bất kể độ mạnh của nó Thay vào đó, cần áp dụng nhiều cơ chế an ninh khác nhau để chúng có thể hỗ trợ lẫn nhau, tạo thành một mạng lưới bảo vệ hiệu quả hơn.

Hình 1.3: Bảo vệ theo chiều sâu

Nút thắt trong hệ thống thông tin đóng vai trò quan trọng, buộc mọi luồng dữ liệu, bao gồm cả từ kẻ tấn công, phải đi qua đó Điều này cho phép kiểm tra và kiểm soát hiệu quả các luồng thông tin ra vào mạng Nhiều ví dụ thực tế về nút thắt có thể được tìm thấy trong cuộc sống hàng ngày.

Trong lĩnh vực an ninh mạng, các Firewall đóng vai trò quan trọng như là rào cản giữa mạng cần bảo vệ và Internet Tất cả những ai muốn truy cập vào mạng bảo mật đều phải vượt qua các Firewall này.

Liên kết yếu nhất trong một hệ thống bảo vệ có thể làm giảm toàn bộ mức độ an toàn, dù cho các khâu khác có bảo mật cao Những kẻ tấn công thông minh thường tìm ra và khai thác những điểm yếu này, vì vậy việc xác định và củng cố các liên kết yếu là rất quan trọng để bảo vệ hệ thống hiệu quả.

CHƯƠNG 1: AN TOÀN TRONG MẠNG MÁY TÍNH phải thận trọng tới các điểm yếu này bởi kẻ tấn công luôn biết tìm cách để khai thác nó.

Hỏng an toàn ( Fail – Safe Stance )

Một điểm yếu cơ bản trong chiến lược an ninh là khả năng cho phép hệ thống hỏng an toàn, tức là khi hệ thống gặp sự cố, nó sẽ hỏng theo cách bảo vệ chống lại các cuộc tấn công từ đối phương Mặc dù sự sụp đổ này có thể ngăn cản người dùng hợp pháp truy cập, nhưng trong một số trường hợp, chiến lược này vẫn cần được áp dụng.

Hầu hết các ứng dụng hiện nay đều có cơ chế hỏng an toàn, như router hoặc proxy bị down sẽ ngăn chặn mọi gói tin Tuy nhiên, nếu hệ thống lọc gói được cấu hình để tất cả gói tin hướng về một máy chạy ứng dụng lọc gói, khi máy này bị down, gói tin sẽ chuyển sang các ứng dụng cung cấp dịch vụ khác Thiết kế này không đảm bảo an toàn và cần phải được ngăn chặn Nguyên tắc và quan điểm về an ninh là điểm quan trọng trong chiến lược này.

Ta có xu hướng hạn chế, ngăn cấm hay cho phép? Có hai nguyên tắc cơ bản mà ta có thể quyết định đến chính sách an ninh :

+ Mặc định từ chối : Chỉ quan tâm những gì ta cho phép và cấm tất cả những cái còn lại.

+ Mặc định cho phép : Chỉ quan tâm đến những gì mà ta ngăn cấm và cho qua tất cả những cái còn lại.

Tính toàn cục (Universal Participation) là yếu tố quan trọng để đảm bảo hiệu quả cao cho các hệ thống an toàn Nếu một kẻ tấn công có thể dễ dàng phá vỡ một cơ chế an toàn, họ có thể xâm nhập vào hệ thống tự do của người khác và tiếp tục tấn công từ bên trong Có nhiều hình thức có thể làm hỏng an toàn của hệ thống, vì vậy việc báo cáo các hiện tượng lạ liên quan đến an toàn của hệ thống cục bộ là rất cần thiết.

TỔNG QUAN VỀ FIREWALL

Khái niệm

Thuật ngữ Firewall xuất phát từ kỹ thuật xây dựng nhằm ngăn chặn hỏa hoạn Trong lĩnh vực công nghệ thông tin, Firewall là một phương pháp được tích hợp vào hệ thống mạng để ngăn chặn truy cập trái phép, bảo vệ thông tin nội bộ và hạn chế xâm nhập có thể gây tổn thất cho tổ chức Nó cũng được hiểu là cơ chế bảo vệ mạng tin cậy khỏi các mạng không tin cậy.

Hình 2.1: Vị trí Firewall trong mạng doanh nghiệp

Tất cả thông tin vào và ra từ mạng nội bộ đều phải đi qua Firewall, giúp kiểm soát và quản lý luồng thông tin Firewall đưa ra quyết định cho phép hoặc không cho phép dựa trên chính sách an ninh mà người quản trị đã thiết lập.

Có một số công ty sản xuất sản phẩm Firewall và có hai loại để chọn là Firewall phần cứng và Firewall phần mềm.

Firewall phần cứng cung cấp mức độ bảo vệ cao hơn và dễ bảo trì hơn so với Firewall phần mềm Một ưu điểm nổi bật của Firewall phần cứng là nó không chiếm dụng tài nguyên hệ thống trên máy tính như Firewall phần mềm.

CHƯƠNG 2: TỔNG QUAN VỀ FIREWALL

Firewall phần cứng là giải pháp lý tưởng cho doanh nghiệp nhỏ, đặc biệt là những công ty chia sẻ kết nối Internet Việc kết hợp Firewall và bộ định tuyến trên cùng một hệ thống phần cứng giúp bảo vệ toàn bộ mạng hiệu quả Ngoài ra, Firewall phần cứng thường tiết kiệm chi phí hơn so với Firewall phần mềm, vốn cần cài đặt trên từng máy tính trong mạng.

Nếu bạn không muốn chi tiền cho Firewall phần cứng, Firewall phần mềm là một lựa chọn tiết kiệm Firewall phần mềm thường có giá cả phải chăng hơn, và thậm chí có những phần mềm miễn phí như Comodo Firewall Pro 3.0, PC Tools Firewall Plus 3.0, và ZoneAlarm Firewall 7.1 Bạn có thể dễ dàng tải về các phần mềm này từ Internet.

So với Firewall phần cứng, Firewall phần mềm mang lại sự linh động cao hơn, cho phép tùy chỉnh các thiết lập phù hợp với nhu cầu riêng của từng công ty Chúng hoạt động hiệu quả trên nhiều hệ thống khác nhau, khác với Firewall phần cứng chỉ phù hợp cho mạng quy mô nhỏ Firewall phần mềm cũng là lựa chọn lý tưởng cho máy tính xách tay, đảm bảo bảo vệ thiết bị mọi lúc mọi nơi.

Các Firewall phần mềm làm việc tốt với Windows XP, Windows 7 và Windows

Vào năm 2010, tường lửa trở thành một lựa chọn hiệu quả cho các máy tính cá nhân Nhiều công ty phần mềm đã phát triển các giải pháp tường lửa này Tuy nhiên, đối với hệ điều hành Windows XP, tường lửa không phải là điều cần thiết vì hệ điều hành này đã được cài sẵn một tường lửa.

Ưu điểm và nhược điểm của Firewall

Firewall có thể làm rất nhiều điều cho an ninh của mạng Thực tế những ưu điểm khi sử dụng Firewall không chỉ ở trong lĩnh vực an ninh.

Firewall là điểm tập trung giải quyết các vấn đề an ninh

Vị trí của Firewall trong mạng được xem như một nút thắt quan trọng, giúp bảo vệ mạng nội bộ một cách hiệu quả Bằng cách tập trung các hoạt động bảo mật tại điểm này, Firewall không chỉ nâng cao khả năng bảo vệ mà còn mang lại hiệu quả kinh tế cho hệ thống mạng.

Firewall có thể thiết lập chính sách an ninh

Có rất nhiều dịch vụ và mọi người muốn sử dụng vốn đã không an toàn.

Firewall là công cụ quan trọng trong việc kiểm soát các dịch vụ, thiết lập chính sách an ninh cho phép những dịch vụ đáp ứng các quy tắc đã được định sẵn Hiệu quả thực hiện các chính sách an ninh của Firewall phụ thuộc vào công nghệ được chọn để xây dựng.

Firewall có thể ghi lại các hoạt động một cách hiệu quả

Firewall là điểm trung gian quan trọng trong việc thu thập thông tin về hệ thống và mạng, vì mọi luồng thông tin đều phải đi qua đây Nó có khả năng ghi chép lại các hoạt động diễn ra giữa mạng nội bộ được bảo vệ và mạng bên ngoài, từ đó cung cấp cái nhìn sâu sắc về tình hình an ninh mạng.

Firewall có thể bảo vệ mạng có hiệu quả nhưng nó không phải là tất cả. Firewall cũng tồn tại các nhược điểm của nó.

Firewall không thể bảo vệ được nếu có sự tấn công từ bên trong

Nếu kẻ tấn công đã xâm nhập vào bên trong Firewall, thì nó sẽ không còn hiệu quả trong việc bảo vệ hệ thống Kẻ tấn công có thể dễ dàng đánh cắp dữ liệu, phá hủy phần cứng và phần mềm, cũng như sửa đổi các chương trình mà Firewall không thể phát hiện.

Firewall không thể bảo vệ được nếu các cuộc tấn công không đi qu a nó

Firewall có khả năng kiểm soát hiệu quả các luồng thông tin khi chúng đi qua nó Tuy nhiên, Firewall không thể bảo vệ hệ thống nếu các luồng dữ liệu không đi qua Ví dụ, khi cho phép kết nối dial-up truy cập vào hệ thống bên trong Firewall, nó sẽ không thể ngăn chặn các cuộc tấn công từ kết nối modem.

Có thể do việc cài đặt backdoor của người quản trị hay những người sử dụng trình độ cao.

Các chức năng của Firewall

Packet Filtering là chức năng cơ bản của Firewall, hoạt động ở tầng mạng để kiểm soát dữ liệu vào và ra khỏi mạng máy tính Kỹ thuật này định tuyến các gói tin dựa trên chính sách an ninh do người quản trị thiết lập, với tốc độ cao nhờ chỉ kiểm tra phần header mà không cần xem xét dữ liệu bên trong Với tính năng nhanh chóng, linh hoạt và không gây cản trở cho người dùng, hầu hết các router hiện nay đều được trang bị khả năng lọc gói, được gọi là screening router.

Mỗi gói tin đều bao gồm một phần header, chứa các thông tin quan trọng như địa chỉ IP nguồn và địa chỉ IP đích.

Bộ lọc gói sử dụng thông tin từ gói tin để quyết định cho phép hay không cho phép gói tin đi qua Ngoài ra, bộ lọc gói còn có khả năng xác định các thông tin bổ sung không có trong header của gói tin.

Giao diện mạng mà gói tin từ đó đi tới ( ví dụ trong Linux là eth0 )

Giao diện mạng mà gói tin đi đến ( ví dụ là eth1 )

Các server cung cấp dịch vụ Internet thường tập trung vào một cổng nhất định, vì vậy việc cấu hình luật lọc gói tin trên router theo số hiệu cổng tương ứng sẽ giúp ngăn chặn các kết nối không mong muốn Chẳng hạn, server HTTP sử dụng cổng mặc định 80, trong khi server FTP sử dụng cổng 21.

Router lọc (screening router) không chỉ có chức năng định tuyến như một router thông thường mà còn có khả năng lọc các gói tin Bằng cách đọc gói tin một cách cẩn thận, router này quyết định cho phép hoặc từ chối gói tin đến đích dựa trên các quy tắc lọc đã được cấu hình Quyết định cho phép hay không cho phép gói tin đi qua hoàn toàn phụ thuộc vào các luật lọc mà router được thiết lập.

Có nhiều phương pháp để thực hiện chức năng lọc gói, bao gồm lọc gói dựa vào địa chỉ, lọc gói theo loại dịch vụ hoặc cổng, và lọc gói theo cả địa chỉ và cổng.

 Lọc gói theo địa chỉ

Lọc theo địa chỉ nguồn hoặc đích là phương pháp đơn giản nhất để điều hướng các gói tin mà không cần quan tâm đến giao thức của chúng.

Cách lọc gói dựa theo địa chỉ có thể gặp rủi ro khi kẻ tấn công sử dụng địa chỉ IP giả mạo để truy cập vào mạng nội bộ Hai kiểu tấn công phổ biến liên quan đến việc giả mạo địa chỉ IP là giả mạo địa chỉ nguồn và tấn công man-in-the-middle Để khắc phục vấn đề này, việc áp dụng phương pháp xác thực người dùng cho các gói tin là cần thiết.

 Lọc gói dựa theo dịch vụ

Hầu hết các ứng dụng trên mạng TCP/IP sử dụng Socket với địa chỉ IP và số hiệu cổng cụ thể, do đó việc lọc gói tin theo dịch vụ thực chất là lọc theo số hiệu cổng Chẳng hạn, ứng dụng Web sử dụng giao thức HTTP thường hoạt động trên cổng 80, trong khi dịch vụ Telnet sử dụng cổng 23 Việc lọc gói tin có thể dựa vào địa chỉ cổng nguồn, địa chỉ cổng đích hoặc cả hai.

Việc lọc gói dựa trên số hiệu cổng gặp nhiều rủi ro, đặc biệt với các ứng dụng server/client sử dụng số hiệu cổng ngẫu nhiên trong khoảng 1023-65535 Điều này làm cho việc thiết lập luật lọc trở nên khó khăn, dẫn đến khả năng cho phép các gói tin nguy hiểm đi qua trong khi chặn lại các gói tin cần thiết.

Các hoạt động của Packet Filtering

Sau khi thực hiện kiểm tra một gói tin, Packet Filtering có thể thực hiện một trong các công việc sau :

Khi gói tin đáp ứng đầy đủ các điều kiện trong cấu hình của bộ lọc gói, nó sẽ được phép đi qua và được chuyển tiếp đến đích của mình.

+ Loại bỏ gói tin: nếu gói tin không thỏa mãn các điều kiện trong cấu hình của Packet Filtering thì gói tin sẽ bị loại bỏ.

+ Ghi nhật ký các hoạt động.

Không cần ghi lại tất cả các gói tin, chỉ cần theo dõi một số hoạt động của các gói tin quan trọng Ví dụ, ghi lại các gói tin khởi đầu của kết nối TCP để theo dõi các kết nối vào và ra khỏi mạng bảo vệ Đặc biệt, cần chú ý đến các gói tin bị loại bỏ, nhằm xác định những gói tin nào đang cố gắng vượt qua mà bị cấm.

Các Proxy là các host có kết nối trực tiếp với mạng bên ngoài, cung cấp dịch vụ cho các host khác trong mạng cần bảo vệ Chúng hoạt động như các gateway cho các dịch vụ, do đó còn được gọi là các Application-level gateways.

Proxy mang lại tính trong suốt cho người dùng bằng cách thu thập các yêu cầu dịch vụ từ các host client Nó kiểm tra các yêu cầu này và nếu chúng đáp ứng đủ tiêu chí, proxy sẽ chuyển tiếp đến các server phù hợp Sau khi nhận được phản hồi từ server, proxy sẽ gửi lại thông tin cho client.

Proxy hoạt động trên các máy chủ Dual-home hoặc Bastion, yêu cầu tất cả các máy chủ trong mạng nội bộ truy cập Internet thông qua Proxy Điều này cho phép triển khai các chính sách an ninh mạng hiệu quả, như ghi chép nhật ký và quản lý quyền truy cập.

Các hoạt động của Proxy

Thông thường các dịch vụ, Proxy yêu cầu phần mềm Proxy tương ứng với phía Server, còn đối với phía client, nó đòi hỏi những điều sau :

TƯỜNG LỬA CISCO ASA

Giới thiệu

Tường lửa Cisco ASA, viết tắt của Adaptive Security Appliances, là giải pháp tường lửa tiên tiến nhất của Cisco, đang dần thay thế các tường lửa PIX Thiết bị này không chỉ hoạt động như một tường lửa mà còn cung cấp khả năng chống phần mềm độc hại, mang lại sự bảo mật toàn diện cho hệ thống.

Cisco ASA sử dụng cơ chế giám sát gói theo trạng thái (Stateful Packet Inspection) để kiểm soát trạng thái kết nối qua thiết bị bảo mật, ghi nhận trạng thái của từng gói thuộc các kết nối dựa trên loại giao thức hoặc ứng dụng Nó cho phép thiết lập kết nối một chiều (outbound) với ít cấu hình cần thiết, trong đó một kết nối đi ra được thực hiện từ thiết bị ở cổng có mức bảo mật cao đến thiết bị trong mạng có mức bảo mật thấp hơn.

Trạng thái ghi nhận sẽ được sử dụng để giám sát và kiểm tra gói trả về, đồng thời việc thay đổi ngẫu nhiên giá trị tuần tự trong gói TCP giúp giảm thiểu rủi ro từ các cuộc tấn công.

Hoạt động theo kiến trúc phân vùng bảo mật dựa theo cổng phân chia thành cổng tin cậy (trusted) và cổng không tin cậy (untrusted) Quy tắc chính là thiết bị từ vùng tin cậy có thể truy cập thiết bị vùng không tin cậy (outbound), trong khi thiết bị từ vùng không tin cậy không thể truy cập vùng tin cậy trừ khi được phép bởi ACL (inbound).

Trong quá trình cấu hình thông tin cho cổng, cần đảm bảo rằng mỗi cổng được gán giá trị mức bảo mật phù hợp với chính sách phân vùng bảo vệ, thông qua lệnh security-level.

Các chức năng cơ bản

Các chế độ làm việc

Cisco ASA cung cấp nhiều công cụ cho người quản trị để kết nối và tương tác, trong đó giao diện dòng lệnh CLI là rất quan trọng Để làm việc hiệu quả với ASA, bạn cần hiểu rõ về các tập tin cấu hình, hệ thống tập tin và quy trình khởi động lại hoặc tải lại thiết bị khi cần thiết.

Giao diện dòng lệnh (CLI) của Firewall Cisco bao gồm nhiều chế độ khác nhau, mỗi chế độ mang đến mức độ quản trị và chức năng riêng biệt.

User EXEC mode là chế độ mặc định ban đầu trên ASA, nơi người dùng có thể thực hiện một số lệnh hạn chế Khi kết nối với firewall, người dùng cần nhập mật khẩu để truy cập vào User EXEC mode Trong chế độ này, ASA sẽ hiển thị dấu nhắc "ciscoasa>", cho phép người dùng nhận biết vị trí hiện tại trong hệ thống.

In Privileged EXEC mode, users gain full access to firewall information, configuration adjustments, and command troubleshooting To enter this mode from User EXEC mode, simply use the "enable" command, noting that a password is required for access To exit Privileged EXEC mode, users can utilize the "disable," "quit," or "exit" commands.

 Global configuration mode: Từ Privileged EXEC mode, người dùng có thể vào

Chế độ cấu hình toàn cầu cho phép bạn cấu hình mọi tính năng có sẵn trong hệ điều hành Để thoát khỏi chế độ này, bạn chỉ cần sử dụng tổ hợp phím CTRL +.

Z hoặc lệnh exit cisco#configure terminal

SVTH: NGUYỄN VÂN DƯƠNG LỚP: ĐIỆN TỬ 05 – K64 Trang 21 ciscoasa(config)#

Chế độ cấu hình cụ thể: ASA cung cấp nhiều cấu hình cụ thể, được gọi là submode, tương tự như phần mềm Cisco IOS Các submode này được xác định bằng cách thêm hậu tố sau lệnh config trong dấu nhắc lệnh ciscoasa(config-if)#.

Có hai loại file cấu hình trong các thiết bị an ninh Cisco: running-configuration và starup-configuration.

File running-configuration là cấu hình hiện tại của thiết bị, được lưu trữ trong bộ nhớ RAM của firewall Để xem cấu hình này, người dùng chỉ cần gõ lệnh show running-config trong chế độ Privileged Mọi lệnh nhập vào firewall sẽ được lưu ngay lập tức vào running-config và có hiệu lực ngay lập tức Tuy nhiên, do cấu hình này chỉ được lưu trong RAM, nên nếu thiết bị mất nguồn, mọi thay đổi chưa được lưu sẽ bị mất Để lưu lại cấu hình đang chạy, người dùng có thể sử dụng lệnh copy run star hoặc write memory, giúp sao chép running-config vào startup-config, được lưu trữ trong bộ nhớ flash.

Loại thứ hai starup-configuration là cấu hình sao lưu của running-configuration.

Cấu hình khởi động (startup-configuration) được lưu trữ trong bộ nhớ flash, giúp nó không bị mất khi thiết bị khởi động lại Để xem cấu hình khởi động đã lưu, bạn chỉ cần gõ lệnh show startup-config.

Mức độ bảo mật (Security Level)

Mức độ bảo mật (Security Level) được gán cho các giao diện, bao gồm cả sub-interfaces vật lý và logic, và được chỉ định bằng một số từ 0-100 Số này cho biết mức độ tin cậy của giao diện liên quan đến các giao diện khác trên thiết bị Giao diện có mức độ bảo mật cao hơn sẽ đáng tin cậy hơn.

Mỗi interface firewall đại diện cho một mạng cụ thể và được phân loại theo mức độ bảo mật Quy tắc chính cho mức độ bảo mật là interface (hoặc zone) có bảo mật cao hơn có thể truy cập vào interface có bảo mật thấp hơn Ngược lại, interface có mức độ bảo mật thấp hơn không thể truy cập vào interface có mức độ bảo mật cao hơn mà không có sự cho phép rõ ràng từ một quy tắc bảo mật (Access Control List – ACL).

Một số mức độ bảo mật điển hình:

Mức độ bảo mật 0 là mức độ bảo mật thấp nhất, thường được gán cho interface bên ngoài của firewall Đây là mức độ bảo mật ít tin cậy nhất, được chỉ định cho các mạng mà chúng ta không muốn cho phép truy cập vào mạng nội bộ Mức độ này thường áp dụng cho interface kết nối với Internet, đảm bảo rằng tất cả các thiết bị kết nối Internet không có quyền truy cập vào mạng phía sau firewall, trừ khi có quy tắc ACL cho phép rõ ràng.

Security Level 1 đến 99: Những mức độ bảo mật có thể được khu vực bảo mật vòng ngoài (ví dụ như khu vực DMZ, khu vực quản lý, ).

Mức độ bảo mật 100 là cấp độ cao nhất và được gán mặc định cho interface bên trong của tường lửa Đây là mức độ bảo mật đáng tin cậy nhất, thích hợp cho mạng mà chúng ta muốn bảo vệ tối đa khỏi các mối đe dọa từ thiết bị an ninh Thông thường, mức độ này được áp dụng cho interface kết nối mạng nội bộ của công ty.

Hình 3.2: Security Level trong mạng lưới doanh nghiệp

Access from higher Security Levels to lower Security Levels is allowed, but it is restricted by an Access Control List (ACL) When NAT-Control is enabled on the device, a NAT/global translation occurs between interfaces with varying Security Levels from high to low.

Truy cập từ Security Level thấp hơn đến Security Level cao hơn yêu cầu chặn tất cả lưu lượng trừ khi được phép bởi một ACL Nếu tính năng NAT-Control được kích hoạt trên thiết bị, sẽ có một NAT tĩnh giữa các interface có Security Level từ cao xuống thấp.

Truy cập giữa các interface có cùng một Security Level: Theo mặc định là không được phép, trừ khi chúng ta cấu hình lệnh same-security-traffic permit

Network Access Translation (NAT)

Hình 3.3: Chuyển đổi địa chỉ mạng

NAT được phát triển ban đầu nhằm tiết kiệm địa chỉ IP, vì địa chỉ IP 32 bit có thể nhanh chóng cạn kiệt Tuy nhiên, NAT đã mang lại nhiều tác dụng bất ngờ vượt xa mục đích thiết kế ban đầu của nó.

NAT (Network Address Translation) cho phép tất cả các máy tính trong mạng nội bộ sử dụng một địa chỉ IP từ dải địa chỉ IP riêng, chẳng hạn như 10.0.0.0/8, mà không bị xung đột trên Internet Khi một máy tính trong mạng nội bộ muốn kết nối ra Internet, NAT sẽ thay thế địa chỉ IP riêng (ví dụ: 10.65.1.7) bằng địa chỉ IP công cộng do nhà cung cấp dịch vụ Internet (ISP) cấp phát (ví dụ: 23.1.8.3) Gói tin sau đó sẽ được gửi đi với địa chỉ IP là 23.1.8.3, và khi nhận được phản hồi, NAT sẽ chuyển đổi địa chỉ IP đích trở lại thành 10.65.1.7, giúp duy trì sự kết nối giữa mạng nội bộ và Internet.

Sở dĩ NAT tiết kiệm tài nguyên địa chỉ IP vì địa chỉ cho các host trong mạng nội bộ của các tổ chức có thể hoàn giống nhau.

Khi nhiều máy tính trong mạng nội bộ cần kết nối Internet đồng thời, máy tính NAT cần nhiều địa chỉ IP công cộng, mỗi địa chỉ cho một máy tính Tuy nhiên, với công nghệ NAT hiện đại, chỉ cần một địa chỉ IP công cộng vì nó có khả năng thay đổi số hiệu cổng Mỗi máy trong mạng cục bộ sẽ được gán một số hiệu cổng khác nhau, cho phép một máy tính NAT quản lý hàng ngàn máy tính nhờ vào khoảng 65,535 số hiệu cổng khác nhau Kỹ thuật này được gọi là Chuyển đổi địa chỉ cổng mạng (NAPT).

Qua đây ta cũng thấy tính bảo mật của NAT đó là: Nó có khả năng giấu đi địa chỉ

Địa chỉ IP của các máy tính trong mạng cần được bảo vệ, đây là lợi thế mà tường lửa (firewall) khai thác Nhờ đó, thế giới bên ngoài chỉ có thể nhìn thấy giao diện mạng thông qua địa chỉ IP công cộng.

NAT trên thiết bị ASA

Cisco ASA firewall hỗ trợ hai loại NAT : Dynamic NAT và Static NAT Ở đây ta thực hiện NAT bằng công cụ Cisco ASDM.

Chúng tôi sẽ thực hiện NAT từ mạng nội bộ (IP: 172.16.1.0) ra mạng bên ngoài, giúp các máy tính PC trong mạng nội bộ có khả năng truy cập Internet theo mô hình đã đề cập.

+ Vào Configuration ->Firewall -> Object -> Network Object Group

+ Chọn Add Network Object và điền thông tin như hình

+ Sau đó click NAT để mở rộng thêm thông tin

+ Ở đây sẽ NAT từ inside ra outside bằng Dynamic PAT, tick vào ô Add Automatic

Address Translation Rules Ở khung Traslated Addr : ta chọn interface outside

+ Sau khi thiết lập các thông số ta bấm Apply và Save Để kiểm tra xem thông tin

NAT đã có chưa, vào NAT Rule và sẽ xuất hiện Rule mà ta đã tạo.

Access Control List

Một yếu tố quan trọng trong việc quản lý giao tiếp lưu lượng mạng là cơ chế điều khiển truy cập, hay còn gọi là danh sách kiểm soát truy cập (Access Control List).

Hình 3.5: Sơ đồ ACL điều khiển truy cập mạng

Danh sách điều khiển truy cập (Access Control List - ACL) là một công cụ quan trọng cho phép quản lý lưu lượng truy cập giữa các nguồn và đích Khi một ACL được cấu hình, nó sẽ được áp dụng cho một giao diện thông qua lệnh access-group Nếu không có ACL nào được áp dụng, lưu lượng truy cập từ bên trong ra bên ngoài sẽ được cho phép theo mặc định, trong khi lưu lượng từ bên ngoài vào bên trong sẽ bị từ chối ACL đóng vai trò quyết định trong việc kiểm soát lưu lượng truy cập và bảo mật mạng.

Inbound và cho Outbound Access) được áp dụng cho hướng "in" interface của outside và inside tương ứng.

Sau đây là những hướng dẫn để thiết kế và thực hiện các ACL:

For Outbound Traffic (from a higher security-level zone to a lower one), the source address parameter in an ACL entry refers to the actual real-world address of the server or network.

 Đối với Inbound Traffic (Từ vùng có security-level thấp hơn đến cao hơn), tham số địa chỉ đích ACL là địa chỉ IP toàn cầu chuyển dịch.

 ACL là luôn luôn kiểm tra trước khi chuyển dịch địa chỉ được thực hiện trên thiết bị bảo mật.

ACL không chỉ hạn chế lưu lượng qua tường lửa mà còn có thể được sử dụng như một phương thức lựa chọn để áp dụng các hành động khác cho lưu lượng truy cập, bao gồm mã hóa, dịch thuật, lập chính sách và cải thiện chất lượng dịch vụ.

 Cấu hình ACL qua giao diện Cisco ASDM

To configure access for the Inside network to reach the Internet, navigate to Access Rule and select Add Access Rule In the subsequent dialog box, set up the necessary permissions for services such as domain, HTTP, HTTPS, and IP.

 Mục Action chọn Permit, nghĩa là cho phép các lưu lượng đi từ Inside ra Internet (mặc định là Deny).

 Service : ip, tcp/domain, tcp/http, tcp/https…Ta có thể bấm browse (…) để chọn những dịch vụ ta muốn thêm vào

 Description : Allow Inside to Internet

To customize the destination or source as desired, select the option to display the Brown Source table, which enables the selection of existing objects or the creation of additional ones within the Network Object.

+ Sau khi thiết lập các thông số như ý muốn, ta bấm OK

+ Sau đó bấm Apply và Save, ta kiểm tra xem đã xuất hiện trên Access Rule chưa.

CHƯƠNG 4: TRIỂN KHAI CÁC GIẢI PHÁP TRÊN CISCO ASA VÀ DEMO KẾT QUẢ

CHƯƠNG 4 : TRIỂN KHAI CÁC GIẢI PHÁP TRÊN CISCO ASA VÀ

4.1 Giới thiệu và xây dựng mô hình Firewall ASA

Trong đề tài Firewall Cisco ASA em xin đề xuất mô hình tường lửa cho một doanh nghiệp vừa và nhỏ như sau:

Hình 4.1: Mô hình triển khai Firewall ASA

Hình 4.2: Mô hình logic Firewall ASA

4.2 Hoạch định, giải pháp và kết quả đạt được:

Hệ thống mạng gồm 3 vùng chính theo sơ đồ trên

Vùng mạng Lớp địa chỉ IP Subnet Mask Mô tả cụ thể

(Inside Network) 172.16.1.0 255.255.255.0 Mạng nội bộ tin cậy Mức bảo mật cao nhất

10.0.0.0 255.255.255.0 Đặt các Server quảng bá ra Internet ( gồm Web Server, FTP Server,

…) Mức độ bảo mật xếp sau Inside Network (50)

Các ip public khác dãy địa chỉ trên 255.255.255.0 Mạng không tin cậy Mức độ bảo mật thấp nhất (0)

Bảng 4.1: Các vùng mạng của một hệ thống mạng

Kiểm tra các gói tin ra vào hệ thống mạng là rất quan trọng để phát hiện và ngăn chặn các cuộc tấn công Để nâng cao bảo mật cho hệ thống mạng, cần xây dựng các quy định kiểm tra chặt chẽ.

Vùng mạng Hành động Giao thức Miêu tả

Allow HTTPS, DNS Cho phép truy cập

Allow HTTP, FTP Cho phép truy cập Web

Allow Telnet, ssh Cho phép telnet và ssh vào firewall asa chứng thực local

Allow / Deny Cho phép truy cập

Internet và Vùng mạng tin cậy (100)

Mạng bên ngoài Allow HTTP, FTP Cho phép truy cập Web

Network) Server, File Server trong vùng DMZ (50)

Bảng 4.2: Chính sách cho các vùng mạng

 Cấu hình IP interface, NAT, EIGRP, Routing Protocol trên router ISP

// Đặt địa chỉ ip cho interface f0/0 và phân vùng inside interface FastEthernet0/0 ip address 151.1.1.254 255.255.255.0 ip nat inside

// Đặt địa chỉ ip cho interface f0/1 và phân vùng inside interface FastEthernet0/1 ip address 152.2.2.254 255.255.255.0 ip nat inside

// Đặt địa chỉ ip cho interface f1/0 và phân vùng outside interface FastEthernet1/0 ip address dhcp client-id FastEthernet1/0 ip nat outside

//Cấu hình giao thức định tuyến OSPF router ospf 1 network 151.1.1.0 0.0.0.255 area 0

CHƯƠNG 4: TRIỂN KHAI CÁC GIẢI PHÁP TRÊN CISCO ASA VÀ DEMO KẾT QUẢ network 151.2.2.0 0.0.0.255 area 0 network 10.10.100.0 0.0.0.255 area 0 exit

//Cấu hình định tuyến tỉnh default-route để tất cả các mạng thuộc vùng inside có thể đi ra Internet ip route 0.0.0.0 0.0.0.0 10.10.100.2

//Cấu hình extended access list ip access-list extended NAT deny ip 0.0.0.0 255.255.255.0 0.0.0.1 255.255.255.0 permit ip any any

Bảng interface cung cấp các thông tin như: name, zone, route map, security level, IP address, subnet mask.

Static Route trên Cisco ASA

Access Control List trên Cisco ASA

Danh sách access control list điều khiển các gói tin và lưu lượng ra vào trên Firewall Cisco ASA.

Cho phép vùng DMZ đi ra Internet và cho phép vùng Inside ping, remote desktop, truy cập FTP Server và Web Server đến vùng DMZ.

Cho phép vùng Inside đi ra Internet và cho phép vùng Inside ping, remote desktop, truy cập FTP Server và Web Server đến vùng DMZ.

Cho phép ping, remote desktop, truy cập FTP Server và Web Server từ Outside vào vùng DMZ.

 Bảng NAT rule trên Firewall Cisco ASA cho phép :

Để bảo mật an ninh mạng, chúng ta thiết lập NAT từ vùng DMZ ra vùng Outside cho các dịch vụ như HTTP, Remote Desktop (port 3389) và FTP Để ngăn chặn hacker từ Outside xác định chính xác port trong vùng DMZ, chúng ta đã thay đổi port FTP từ 21 thành 300 và port Remote Desktop từ 3389 thành 12345.

Dòng 4 và 5: NAT vùng Inside, DMZ ra môi trường Internet.

• Thông quá quá trình demo để hiểu rõ hơn về các chính sách, NAT, access list, được áp dụng trên Firewall Cisco ASA.

• Nắm rõ về hoạt động cũng như các tính năng của Firewall Cisco ASA.

• Xây dựng và giả lập được mô hình Firewall Cisco ASA trên nền EVE-

• Quản lý giám sát được người dùng truy cập vào hệ thống Đáp ứng an toàn thông tin dữ liệu dưới sự bảo vệ của Firewall.

• Kết quả và hình ảnh của bài demo sẽ được đính kèm ở phần phụ lục.

Đồ án tốt nghiệp đã phân tích các vấn đề chung liên quan đến an ninh thông tin và an ninh mạng doanh nghiệp, đồng thời tập trung vào nghiên cứu lý thuyết về Firewall, đặc biệt là Firewall Cisco ASA Bên cạnh đó, đồ án cũng khảo sát các dịch vụ cần thiết để xây dựng một Firewall hoàn chỉnh, từ đó đạt được những kết quả quan trọng trong lĩnh vực này.

+ Tìm hiểu chung về các vấn đề của an ninh thông tin và an ninh mạng doanh nghiệp.

+ Đi sâu nghiên cứu lý thuyết về Firewall và các công cụ liên quan nhằm mục đích xây dựng một sản phẩm tường lửa.

+ Phân tích kiến trúc và làm chủ được hệ thống tường lửa nói chung, hệ thống Firewall Cisco ASA nói riêng

+ Triển khai mô hình thử nghiệm trên nền EVE-NG và VMware, và đạt một số kết quả.

Trong quá trình nghiên cứu, tôi gặp khó khăn trong việc tiếp cận thực tế một giải pháp Firewall, điều này ảnh hưởng đến khả năng đề xuất cách triển khai hệ thống một cách chính xác Việc tìm hiểu và triển khai còn hạn chế do thiếu điều kiện thực tế, nhiều vấn đề chỉ được giải quyết qua tài liệu.

Trong quá trình thực hiện đồ án tốt nghiệp, không thể tránh khỏi những sai sót và thiếu sót Em rất mong nhận được sự hướng dẫn và hỗ trợ từ các thầy cô cùng các bạn để hoàn thiện hơn.

Xin chân thành cảm ơn!

 Kết quả đạt được cập được Internet thành công

Hình 2: PC-inside truy cập Internet thành công

Mạng nội bộ truy cập Web Server và FTP Server vùng DMZ của công ty

Hình 3: PC-inside truy cập đến Web Server thành công

PC-inside đã thành công trong việc truy cập vào FTP Server, cho phép theo dõi và phân tích các gói tin Nhờ vào khả năng này, việc khắc phục sự cố trên đường truyền trở nên dễ dàng và hiệu quả hơn.

Hình 5: Phân tích các gói tin qua tính năng Real-Time Log Viewer

Chúng ta có thể theo dõi chi tiết các gói tin packet và xác định vị trí xảy ra sự cố hoặc nơi gói tin bị drop ở interface nào, giúp việc sửa chữa trở nên dễ dàng hơn nhờ vào tính năng Cisco ASDM Packet Tracer.

Hình 6: Theo dõi đường đi của các gói tin qua tính năng Packet Tracer ASDM a DMZ

Vùng DMZ có thể truy cập thành công Internet

Hình 7: PC-Server truy cập Internet thành công b Outside

Vùng Outside (IP:152.2.2.10-PCoutside) truy cập vào FTP Server và Web Server trong vùng DMZ.

Hình 8: PC-outside truy cập thành công FTP Server

Hình 9: PC-outside truy cập thành công Web Ser

Bảng cấu hình Firewall Cisco ASAv952 hostname ASA enable password 8Ry2YjIyt7RRXU24 encrypted names

! interface GigabitEthernet0/0 description "Connect to R-ISP" nameif outside security-level 0 ip address 151.1.1.1 255.255.255.0

! interface GigabitEthernet0/1 description " Connect SW INSIDE" nameif inside security-level 100 ip address 172.16.1.1 255.255.255.0

! interface GigabitEthernet0/2 nameif dmz security-level 50 ip address 10.0.0.1 255.255.255.0

! interface Management0/0 management-only nameif management security-level 100 ip address 192.168.1.50 255.255.255.0

The configuration outlines various network objects and services for managing traffic, including a passive FTP mode and NAT settings for internal hosts It defines the internal network (Net_Inside_172.16.1.0) with a subnet mask of 255.255.255.0, allowing users to access the internet Specific host configurations are set for a server at IP 10.0.0.10, enabling services such as RDP on port 3389, FTP on port 21 to 300, and HTTP on port 80 The external interface is identified with the IP 151.1.1.1, and network object groups are established for both the internal network and server network, enhancing organization and management of network resources.

The article discusses the configuration of access control lists (ACLs) for network security, specifically focusing on the inside and DMZ access rules It outlines the creation of service object groups for protocols such as LDAP, LDAPS, HTTP, and HTTPS, as well as ICMP and TCP/UDP services The inside access list permits TCP traffic from the internal network (172.16.1.0) to a specific host (10.0.0.10) for various services, including FTP and RDP on port 3389 Additionally, it details the DMZ access list, which allows specific service groups to communicate with the internal network, ensuring controlled access while maintaining security protocols.

Tiêu đề	Nghiên Cứu Và Triển Khai Hệ Thống Firewall Cisco Asa
Tác giả	Nguyễn Vân Dương
Người hướng dẫn	TS. Phan Xuân Vũ
Trường học	Đại học Bách Khoa Hà Nội
Chuyên ngành	Điện Tử
Thể loại	Đồ án tốt nghiệp
Năm xuất bản	2024
Thành phố	Hà Nội

Định dạng
Số trang	59
Dung lượng	1,8 MB