TÌM HIỂU VÀ TRIỂN KHAI ASA FIREWALL Lời cảm ơn SVTH: Nguyễn Thanh Sơn GVHD: ThS. Đặng Ngọc Cường 1 TÌM HIỂU VÀ TRIỂN KHAI ASA FIREWALL Mục lục Lời cảm ơn 1 Mục lục 2 Danh mục hình 3 A.Tổng quan về đề tài 5 B. Cấu trúc của đề tài 6 I.Tổng quan về an ninh mạng: 6 1.Mục tiêu an ninh mạng 6 2.Các phương thức tấn công 7 3. Các chính sách an ninh mạng 11 II. Radius 18 1. Tổng quan về Radius: 18 2. Kiến trúc RADIUS: 22 3. Hoạt động: 37 4. RFCs: 40 III. ASA 46 1. Lịch sử ra đời 46 2. Các sản phẩm tường lửa của Cisco: 46 3. Điều khiển truy cập mạng (NAC) 46 4. Giao thức AAA và dịch vụ hỗ trợ của Cisco ASA 52 5. Kiểm tra ứng dụng 61 6. Khả năng chịu lỗi và dự phòng (failover and redundancy) 61 8. Phát hiện xâm nhập (IDS) 66 IV. Mô phỏng 70 1. Mục tiêu của mô phỏng 70 2. Các công cụ cần thiết để thực hiện mô phỏng 70 3. Các bước giả lập ASA trên GNS3 70 4. Kết quả đạt được 76 V.KẾT LUẬN CHUNG 76 VI.HƯỚNG PHÁT TRIỂN CỦA ĐỀ TÀI 77 Tài liệu tham khảo: 77 SVTH: Nguyễn Thanh Sơn GVHD: ThS. Đặng Ngọc Cường 2 TÌM HIỂU VÀ TRIỂN KHAI ASA FIREWALL Danh mục hình Danh mục bảng 4 Hình 1-1: Các lớp bảo mật tường lửa 12 Hình 2-1:Mối quan hệ tin tưởng độc lập trong một giao dịch hop-to-hop 21 Hình 2-2:Mối quan hệ tin tưởng máy khách/máy chủ trong mô hình end-to-end 22 Hình 2-3:Một mô tả về cấu trúc gói tin dữ liệu RADIUS 24 Hình 2-4: Một gói tin Access-Request điển hình 27 Hình 2-5: Gói tin Access-Accept điển hình 28 Hình 2-6: Gói tin Access-Reject điển hình 29 Hình 2-7: Gói tin Access-Challenge điển hình 29 Hình 2-8: Gói tin Accounting-Request điển hình 30 Hình 2-9: Gói tin Accounting-Response điển hình 31 Hình 2-10: Mẫu truyền các cặp giá trị thuộc tính (AVP) tiêu chuẩn 33 Hình 2-11: Sự truyền đi của 1 VAS bên trong 1 AVP tiêu chuẩn 34 Hình 2-12: Quá trình xác thực RADIUS đơn giản 39 Hình 3-1:Mô tả quá trình lọc gói của tường lửa 48 Hình 3-2: Mô tả kiến trúc cơ bản cho NAS/RADIUS/TACACS+/AAA 53 Hình 3-3 Định dạng gói tin Radius 55 Hình 3-4: Định dạng gói tin 57 Hình 3-5: Cơ chế xác thực 59 Hình 3-6: Quá trình kết nối giữa Client và Server 61 Hình 3-7:minh họa liên kết chịu lỗi 63 Hình 3-8: Minh họa cách một gói được xử lý trong các thiết bị an ninh khi đi qua các công cụ QoS 65 SVTH: Nguyễn Thanh Sơn GVHD: ThS. Đặng Ngọc Cường 3 TÌM HIỂU VÀ TRIỂN KHAI ASA FIREWALL Danh mục bảng SVTH: Nguyễn Thanh Sơn GVHD: ThS. Đặng Ngọc Cường 4 TÌM HIỂU VÀ TRIỂN KHAI ASA FIREWALL A.Tổng quan về đề tài Mục tiêu của việc nghiên cứu về Firewall ASA + Việc nghiên cứu giúp cho khả năng tự học ,tìm hiểu và nghiên cứu độc lập ngày càng tốt hơn + Nghiên cứu về hệ thống firewall ASA. + Triển khai hệ thống phất hiện, ngăn chặn các lưu lượng ra vào của hệ thống là sự cần thiết cho các doanh nghiệp có nhu cầu về sự an toàn của hệ thống trước những hành vi xâm nhập trái phép. Trước sự phát triển của internet và sự hiểu biết của ngày càng sâu của con người thì việc truy cập và phá hoại hệ thống mạng của một doanh nghiệp ,công ty nào đó củng theo đà phát triển của internet mà tăng lên rất nhiều. + Việc nghiên cứu này đáp ứng cho lãnh vực bảo mật và an ninh của hệ thống. + ASA(Adaptive Security Appliance) là một thiết bị tường lửa mạnh tất cả trong một và được ưa chuộng nhất hiện nay của Cisco.Chính vì vậy mục tiêu của đề tài này là nhằm nghiên cứu và tìm hiểu cách thức hoạt động,phương pháp cấu hình và ứng dụng của nó trong việc bảo mật hệ thống mạng.Kết quả đạt được qua việc nghiên cứu thiết bị này là hiểu được cách thức hoạt động và có khả năng triển khai thiết bị này vào trong một số hệ thống mạng bất kỳ. +Nghiên cứu về AAA server. +Nghiên cứu về cách tổ chức giám sát hoạt động của người dùng cuối như thời gian bắt đầu hay kết thúc của người dùng (accounting).Bảo mật là vấn đề rất quan trọng.Với mức độ điều khiển, thật dễ dàng để cài đặt bảo mật và quản trị mạng. có thể định nghĩa các vai trò (role) đưa ra cho user những lệnh mà họ cần để hoàn thành nhiệm vụ của họ và theo dõi những thay đổi trong mạng. Với khả năng log lại các sự kiện, ta có thể có những sự điều chỉnh thích hợp với từng yêu cầu đặt ra. Tất cả những thành phần này là cần thiết để duy trì tính an toàn, bảo mật cho mạng. Với thông tin thu thập được, có thể tiên đoán việc cập nhật cần thiết theo thời gian. Yêu cầu bảo mật dữ liệu, gia tăng băng thông, giám sát các vấn đề trên mạng thông AAA server. SVTH: Nguyễn Thanh Sơn GVHD: ThS. Đặng Ngọc Cường 5 TÌM HIỂU VÀ TRIỂN KHAI ASA FIREWALL B. Cấu trúc của đề tài. Đề tài được chia làm 6 phần. I. Tổng quan về an ninh mạng Chương này mô tả về các nguy cơ an ninh mạng và các chính sách an ninh nhằm đem lại hiệu qua cho việc bảo mật dữ liệu làm giảm nguy cơ hoặc phát hiện ra sự tấn công. II. Radius Chương này mô tả về kỹ thuật sử dụng để xác thực,ủy quyền,thanh toán nhằm đem lại hiểu quả cao cho an ninh mạng toàn vẹn và tránh thất thoát dữ liệu. III. ASA Chương này giới thiệu về tường lủa cisco asa ,các kỹ thuật được áp dụng cho tường lửu . IV. Mô phỏng. Chương này mô tả quá trình hiện thực cisco asa với mô hình mạng cụ thể cho thấy tính thực tế và kiểm nghiệm đúng lý thuyết của đề tài này.Chỉ rõ chi tiết quá trình thực nghiệm. V. Kết luận chung. Chương này nêu ra những kết quả của đề tài làm được những gì và những mặc hạn chế khó khăn chưa thực hiện được của đề tài. VI. Hướng phát triển của đề tài. I.Tổng quan về an ninh mạng: 1.Mục tiêu an ninh mạng Việc phát triển ngày càng tăng của mạng internet do sự thuận tiện mà nó đem lại cho con người tuy nhiên cũng kéo theo nhiều mối nguy hiểm rình rập của những hacker mạng. Đảm bảo cho người dùng được an toàn khi làm việc trên mạng là mục tiêu hàng đầu của an ninh mạng:  Bảo đảm mạng nội bộ không bị xâm nhập trái phép.  Các tài liệu và thông tin quan trọng không bị rò rỉ và bị mất.  Các dịch vụ được thực hiện nhanh chóng không bị trì trệ hoặc không được thực hiện. SVTH: Nguyễn Thanh Sơn GVHD: ThS. Đặng Ngọc Cường 6 TÌM HIỂU VÀ TRIỂN KHAI ASA FIREWALL  Các cuộc mua bán trên mạng diễn ra đúng với yêu cầu người dùng.  Người dùng làm việc trên mạng không bị mạo danh, lừa đảo. 2.Các phương thức tấn công  Virus  Worm  Trojan  Từ chối dịch vụ  Phân phối từ chối dịch vụ  Zombies  Spyware  Phishing  Dựa vào yếu tố con người 2.1 Virus Một virus máy tính được thiết kế để tấn công một máy tính và thường phá các máy tính khác và các thiết bị mạng. Một virus thường có thể là một tập tin đính kèm trong e-mail, và chọn các tập tin đính kèm có thể gây ra các mã thực thi để chạy và tái tạo virus. Một virus phải được thực hiện hoặc chạy trong bộ nhớ để chạy và tìm kiếm các chương trình khác hoặc máy chủ để lây nhiễm và nhân rộng. Như tên của nó, virus cần một máy chủ như là một bảng tính hoặc e-mail để đính kèm, lây nhiễm, và nhân rộng. Có một số hiệu ứng chung của vi rút. Một số virus lành tính, và chỉ cần thông báo cho nạn nhân của họ rằng họ đã bị nhiễm bệnh. Các virus ác tính tạo ra sự hủy hoại bằng cách xóa các tập tin và nếu không thì gây ra lỗi cho các máy tính bị nhiễm có chứa tài sản kỹ thuật số, chẳng hạn như hình ảnh, tài liệu, mật khẩu, và các bản báo cáo tài chính. 2.2 Worm Worm là một chương trình phá hoại quét các điểm yếu hoặc lỗ hổng bảo mật trên các máy tính khác để khai thác các điểm yếu và nhân rộng.Worm có thể tái tạo độc lập và rất nhanh chóng. Worm khác với virus trong hai cách chính: Virus cần một máy chủ để đính kèm và thực hiện, và sâu không yêu cầu một máy chủ.Virus và sâu thường gây ra các loại khác nhau của sự hủy diệt. SVTH: Nguyễn Thanh Sơn GVHD: ThS. Đặng Ngọc Cường 7 TÌM HIỂU VÀ TRIỂN KHAI ASA FIREWALL Virus, một khi chúng đang cư trú trong bộ nhớ, thường xóa và sửa đổi các tập tin quan trọng trên máy tính bị nhiễm bệnh. Tuy nhiên, Worms có xu hướng mạng trung tâm hơn so với máy tính trung tâm. Worms có thể tái tạo một cách nhanh chóng bằng cách bắt đầu kết nối mạng để nhân rộng và gửi số lượng lớn dữ liệu. Worms cũng có thể chứa một hành khách mang theo, hoặc trọng tải dữ liệu, mà có thể giao một máy tính mục tiêu cho các trạng thái của một zombie. Zombie là một máy tính có bị xâm phạm và hiện đang được kiểm soát bởi những kẻ tấn công mạng. Zombies thường được sử dụng để khởi động các cuộc tấn công mạng khác. Một bộ sưu tập lớn các zombie dưới sự điều khiển của kẻ tấn công được gọi là một "botnet". Botnets có thể phát triển được khá lớn. Botnet được xác định đã lớn hơn 100.000 máy tính zombie. 2.3 Trojan horse Một con ngựa Trojan, hoặc Trojan, là phần mềm nguy hại tìm cách ngụy trang chính nó như là một ứng dụng đáng tin cậy như là một trò chơi hoặc trình bảo vệ màn hình. Một khi người dùng tin cậy cố gắng để truy cập những gì có vẻ là một trò chơi vô thưởng vô phạt hoặc trình bảo vệ màn hình, các Trojan có thể bắt đầu các hoạt động gây tổn hại như xóa các tập tin hoặc định dạng lại một ổ đĩa cứng. Trojan thường không tự sao chép.Những kẻ tấn công mạng cố gắng sử dụng các ứng dụng phổ biến, chẳng hạn như iTunes của Apple, để triển khai một Trojan. Ví dụ, một cuộc tấn công mạng sẽ gửi một e-mail với một liên kết có mục đích để tải về một bài hát iTunes miễn phí. Trojan này sau đó sẽ bắt đầu một kết nối đến một máy chủ web bên ngoài và bắt đầu một cuộc tấn công một khi người dùng cố gắng để tải về các bài hát miễn phí rõ ràng. 2.4 Từ chối dịch vụ. Một cuộc tấn công từ chối dịch vụ (DoS) là một cuộc tấn công mạng có kết quả trong việc từ chối dịch vụ bằng một ứng dụng yêu cầu như là một máy chủ web. Có một vài cơ chế để tạo ra một cuộc tấn công DoS. Các phương pháp đơn giản nhất là tạo ra một lượng lớn những gì xuất hiện để được giao thông mạng hợp lệ. Đây là SVTH: Nguyễn Thanh Sơn GVHD: ThS. Đặng Ngọc Cường 8 TÌM HIỂU VÀ TRIỂN KHAI ASA FIREWALL loại tấn công DoS mạng cố gắng để làm nghẽn các ống dẫn lưu lượng truy cập mạng để sử dụng hợp lệ không thể có được thông qua kết nối mạng. Tuy nhiên, loại DoS thông thường cần phải được phân phối bởi vì nó thường đòi hỏi nhiều hơn một nguồn để tạo ra các cuộc tấn công.Một cuộc tấn công DoS lợi dụng thực tế là hệ thống mục tiêu như các máy chủ phải duy trì thông tin trạng thái và có thể có kích thước bộ đệm và dự kiến nội dung gói tin mạng cho các ứng dụng cụ thể. Một cuộc tấn công DoS có thể khai thác lỗ hổng này bằng cách gửi các gói có giá trị kích cỡ và dữ liệu mà không như mong đợi của các ứng dụng nhận được.Một số loại tấn công DoS tồn tại, bao gồm các cuộc tấn công Teardrop và Ping of Death, mà gửi các gói thủ công mạng khác nhau từ những ứng dụng dự kiến và có thể gây ra sụp đổ các ứng dụng và máy chủ. Những cuộc tấn công DoS trên một máy chủ không được bảo vệ, chẳng hạn như một máy chủ thương mại điện tử, có thể gây ra các máy chủ bị lỗi và ngăn chặn người dùng bổ sung thêm hàng vào giỏ mua sắm của họ. SVTH: Nguyễn Thanh Sơn GVHD: ThS. Đặng Ngọc Cường 9 TÌM HIỂU VÀ TRIỂN KHAI ASA FIREWALL 2.5. Distributed Denial-of-Service DDoS tương tự như trong ý định của cuộc tấn công DoS, ngoại trừ cuộc tấn công DDoS tạo ra nhiều nguồn tấn công. Ngoài ra để tăng lượng truy cập mạng từ nhiều kẻ tấn công phân phối, một cuộc tấn công DDoS cũng đưa ra những thách thức của yêu cầu bảo vệ mạng để xác định và ngăn chặn mỗi kẻ tấn công phân phối. 2.6. Spyware Spyware là một lớp các ứng dụng phần mềm có thể tham gia vào một cuộc tấn công mạng. Spyware là một ứng dụng cài đặt và vẫn còn để ẩn trên máy tính hoặc máy tính xách tay mục tiêu. Một khi các ứng dụng phần mềm gián điệp đã được bí mật cài đặt, phần mềm gián điệp bắt thông tin về những gì người dùng đang làm với máy tính của họ. Một số thông tin bị bắt bao gồm các trang web truy cập, e-mail gửi đi, và mật khẩu sử dụng. Những kẻ tấn công có thể sử dụng các mật khẩu và thông tin bắt được để đi vào được mạng để khởi động một cuộc tấn công mạng. Ngoài việc được sử dụng để trực tiếp tham gia vào một cuộc tấn công mạng, phần mềm gián điệp cũng có thể được sử dụng để thu thập thông tin có thể được bán một cách bí mật. Thông tin này, một lần mua, có thể được sử dụng bởi một kẻ tấn công khác đó là "khai thác dữ liệu" để sử dụng trong việc lập kế hoạch cho một cuộc tấn công mạng khác. 2.7. Phishing Phishing là một kiểu tấn công mạng thường bắt đầu bằng cách gửi e-mail để người dùng không nghi ngờ. Các e-mail lừa đảo cố gắng để trông giống như một thư điện tử hợp pháp từ một tổ chức được biết đến và đáng tin cậy như là một trang web ngân hàng, thương mại điện tử. E-mail giả này cố gắng thuyết phục người dùng rằng một việc gì đó đã xảy ra, chẳng hạn như hoạt động đáng ngờ về tài khoản của họ, và người sử dụng phải thực hiện theo các liên kết trong e-mail và đăng nhập vào trang web để xem thông tin người dùng của họ. Các liên kết trong e-mail này thường là một bản sao giả của ngân hàng hoặc trang web thương mại điện tử thực sự và các tính năng tương tự nhìn-và-cảm nhận các trang web SVTH: Nguyễn Thanh Sơn GVHD: ThS. Đặng Ngọc Cường 10 [...]... phép và cách truy cập quản lý tường lửa Chính sách này có xu hướng giải quyết sự toàn vẹn SVTH: Nguyễn Thanh Sơn GVHD: ThS Đặng Ngọc Cường 13 TÌM HIỂU VÀ TRIỂN KHAI ASA FIREWALL vật lý tường lửa và lớp bảo mật cấu hình tường lửa tĩnh Các chính sách quản lý truy cập cần phải định nghĩa cho cả hai giao thức quản lý từ xa và cục bộ sẽ được cho phép, cũng như đó người dùng có thể kết nối với tường lửa và. .. nghĩa những quy tắc này SVTH: Nguyễn Thanh Sơn GVHD: ThS Đặng Ngọc Cường 18 TÌM HIỂU VÀ TRIỂN KHAI ASA FIREWALL Cái gọi là "triển khai thông minh" của các máy chủ AAA có logic rằng sẽ phân tích yêu cầu và cấp quyền truy cập bất cứ điều gì có thể, có hoặc không phải là toàn bộ yêu cầu là hợp lệ Ví dụ, một máy khách quay số kết nối và yêu cầu nhiều liên kết Một máy chủ AAA chung chỉ đơn giản là sẽ từ chối... Trước tiên, mô hình AAA phụ thuộc vào sự tương tác máy khách / máy chủ, trong đó một hệ thống máy khách yêu cầu các dịch vụ hoặc tài nguyên của một hệ SVTH: Nguyễn Thanh Sơn GVHD: ThS Đặng Ngọc Cường 19 TÌM HIỂU VÀ TRIỂN KHAI ASA FIREWALL thống máy chủ Trong triển khai thực hiện đơn giản, những vai trò này thường kẹt máy chủ không bao giờ hoạt động như các máy khách và ngược lại Môi trường máy khách... octet được thiết lập về 0, và sau đó 3 byte cuối cùng đặt vào mã NMPEC SVTH: Nguyễn Thanh Sơn GVHD: ThS Đặng Ngọc Cường 34 TÌM HIỂU VÀ TRIỂN KHAI ASA FIREWALL Loại nhà cung cấp Trường loại nhà cung cấp, dài một octet, chức năng hành xử theo cách tương tự như số thuộc tính trong một AVP tiêu chuẩn Các loại nhà cung cấp là những giá trị với phạm vi từ 1 đến 255, và tầm quan trọng và ý nghĩa của từng giá... có ý nghĩa khác của chứng thực một yêu cầu và xác nhận tính toàn vẹn dữ liệu là cần thiết khi nhảy yêu cầu ban đầu thông qua các bước nhảy trong SVTH: Nguyễn Thanh Sơn GVHD: ThS Đặng Ngọc Cường 21 TÌM HIỂU VÀ TRIỂN KHAI ASA FIREWALL chuỗi proxy Thông thường nhất, giấy chứng nhận kỹ thuật số và PKI xác nhận khác được sử dụng trong các tình huống này RFC 2903 và 2905 mô tả các yêu cầu của việc thực hiện... dài Bộ xác thực (2) (16) Các thuộc tính và giá trị (Tùy biến) Hình 2-3:Một mô tả về cấu trúc gói tin dữ liệu RADIUS Cấu trúc dự liệu được chia thành 5 khu vực riêng biệt: • Mã • Từ định danh • Độ dài • Bộ xác thực • Các thuộc tính và các giá trị SVTH: Nguyễn Thanh Sơn GVHD: ThS Đặng Ngọc Cường 24 TÌM HIỂU VÀ TRIỂN KHAI ASA FIREWALL 2.2.1 Mã Trường mã dài một octet và dùng để phân biệt các loại tin nhắn... GVHD: ThS Đặng Ngọc Cường 31 TÌM HIỂU VÀ TRIỂN KHAI ASA FIREWALL • Thuộc tính: Các trường thuộc tính thay đổi trong chiều dài, và có một danh sách trống hay nhiều thuộc tính 2.4 Bí mật chia sẻ: Để tăng cường an ninh và tăng tính toàn vẹn giao dịch, giao thức RADIUS sử dụng khái niệm bí mật chia sẻ Bí mật chia sẻ là những giá trị tạo ra một cách ngẫu nhiên mà cả hai máy khách và máy chủ đều biết (vì thế... diện, và những máy sau đó giao tiếp với các thiết bị NAS thích hợp tại các ISP nhỏ hơn Máy khách yêu cầu dịch vụ và nguồn tài nguyên từ một máy chủ AAA (và trong trường hợp này, máy khách có thể bao gồm AAA proxy) có thể giao tiếp với nhau bằng cách sử dụng hoặc là một giao dịch hop-to-hop hoặc một giao dịch end-to-end SVTH: Nguyễn Thanh Sơn GVHD: ThS Đặng Ngọc Cường 20 TÌM HIỂU VÀ TRIỂN KHAI ASA FIREWALL. ..TÌM HIỂU VÀ TRIỂN KHAI ASA FIREWALL thực sự Các cuộc tấn công lừa đảo được thiết kế để lừa người dùng cung cấp thông tin có giá trị như tên người dùng và mật khẩu của họ 2.8 Dựa vào yếu tố con người Kẻ tấn công có thể liên lạc với một người quản trị hệ thống, giả làm một người sử dụng để yêu... lối vào và đi ra bộ lọc được thực hiện với các bức tường lửa Các chính sách lọc cũng cần xác định các yêu cầu chung trong việc kết nối mạng cấp độ bảo mật và nguồn khác nhau Ví dụ, với một DMZ, tùy thuộc vào hướng của lưu lượng, các yêu cầu lọc khác nhau có thể cần thiết, và nó là vai trò của các chính sách lọc để xác định những yêu cầu SVTH: Nguyễn Thanh Sơn GVHD: ThS Đặng Ngọc Cường 14 TÌM HIỂU VÀ TRIỂN . TÌM HIỂU VÀ TRIỂN KHAI ASA FIREWALL Lời cảm ơn SVTH: Nguyễn Thanh Sơn GVHD: ThS. Đặng Ngọc Cường 1 TÌM HIỂU VÀ TRIỂN KHAI ASA FIREWALL Mục lục Lời cảm ơn 1 Mục. Sơn GVHD: ThS. Đặng Ngọc Cường 3 TÌM HIỂU VÀ TRIỂN KHAI ASA FIREWALL Danh mục bảng SVTH: Nguyễn Thanh Sơn GVHD: ThS. Đặng Ngọc Cường 4 TÌM HIỂU VÀ TRIỂN KHAI ASA FIREWALL A.Tổng quan về đề tài Mục. GVHD: ThS. Đặng Ngọc Cường 18 TÌM HIỂU VÀ TRIỂN KHAI ASA FIREWALL Cái gọi là " ;triển khai thông minh" của các máy chủ AAA có logic rằng sẽ phân tích yêu cầu và cấp quyền truy cập bất cứ