i HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA AN TOÀN THÔNG TIN ***** THỰC TẬP TỐT NGHIỆP Đề tài NGHIÊN CỨU TRIỂN KHAI GIẢI PHÁP BẢO MẬT HỆ THỐNG MẠNG VỚI FIREWALL ASA VÀ HỆ THỐNG IDS Giáo viên hướng dẫn : ThS Phạm Duy Trung Sinh viên thực hiện : Trần Mạnh Hùng Nguyễn Như Hoàng Lớp : AT6A HÀ NỘI, 2/2014 ii MỤC LỤC MỤC LỤC II LỜI NÓI ĐẦU V DANH MỤC VIẾT TẮT VI DANH MỤC HÌNH ẢNH VÀ BẢNG BIỂU VII CHƯƠNG 1. TỔNG QUAN 9 1.1. Đánh giá tổng quan về bảo mật mạng máy tính 9 1.2. Các mối đe dọa 10 1.2.1. Mối đe dọa bên trong 11 1.2.2. Mối đe dọa từ bên ngoài 12 1.2.3. Mối đe dọa không có cấu trúc 12 1.2.4. Mối đe dọa có cấu trúc 13 1.3. Các lỗ hổng 13 1.3.1. Lỗ hổng bảo mật 13 1.3.2. Phân loại lỗ hổng bảo mật 13 1.3.2.1. Loại C – Ít nguy hiểm 14 1.3.2.2. Loại B – Nguy hiểm 15 1.3.2.3. Loại A – Rất nguy hiểm. 16 1.4. Một số tấn công phổ biến 17 1.5. Các giải pháp phát hiện và phòng chống tấn công mạng 20 1.5.1. Các biện pháp phát hiện hệ thống bị tấn công 20 1.5.2. Giải pháp phát hiện và phòng chống xâm nhập 21 CHƯƠNG 2. TƯỜNG LỬA CISCO ASA 24 2.1. Giới thiệu 24 2.2. Các chức năng cơ bản của tường lửa Cisco ASA 25 iii 2.2.1. Các chế độ làm việc của tương lửa Cisco ASA 25 2.2.2. Quản lý file 26 2.2.3. Mức độ bảo mật 26 2.3. Network Access Translation(NAT) 29 2.3.1. Khái niệm 29 2.3.2. Một số kỹ thuật NAT 29 2.3.3. NAT trên Cisco ASA 31 2.4. Access Control List(ACL) 32 2.5. VPN 35 2.5.1. Giới thiệu về VPN 35 2.5.2. Site – to – site VPN 36 2.5.3. Remote access VPN 36 2.5.4. AnyConnect VPN 37 2.6. Một số loại Cisco ASA 38 2.6.1. Cisco ASA 5510 38 2.6.2. Cisco ASA 5520 39 2.6.3. Cisco ASA 5540 40 2.6.4. Đặc điểm phần cứng của thiết bị bảo mật Cisco ASA 5510, 5520, 5540 40 2.6.5. Cisco ASA Security Services Module 42 CHƯƠNG 3. HỆ THỐNG PHÁT HIỆN VÀ PHÒNG CHỐNG XÂM NHẬP IDS/IPS 44 3.1. Lịch sử phát triển IDS/IPS 44 3.2. Vai trò, chức năng IDS/IPS 45 3.3. Đặc điểm, kiến trúc hệ thống của IDS/IPS 46 iv 3.3.1. Cơ sở hạ tầng của hệ thống IDS/IPS 46 3.3.2. Kiến trúc hệ thống phát hiện xâm nhập 47 3.3.2.1. Cấu trúc 47 3.3.2.2. Kiến trúc của hệ thống IDS/IPS 48 3.4. Phân loại IDS/IPS 51 3.4.1. Host-based IDS/IPS 52 3.4.2. Network based IDS/IPS 54 3.4.3. Triển khai hệ thống IDS/IPS 55 3.4.4. Khả năng phát hiện và phòng chống của IDS/IPS 58 3.5. Hệ thống giám sát lưu lượng mang 59 3.6. Hệ thống báo động 60 3.7. SNMP và hệ thống giám sát mạng 61 CHƯƠNG 4. DEMO 63 KẾT LUẬN 67 TÀI LIỆU THAM KHẢO. 68 v LỜI NÓI ĐẦU Xã hội phát triển kéo theo sự tiến bộ của khoa học kĩ thuật. Những chiếc máy tính thông minh dần chiếm vai trò rất quan trọng trong cuộc sống ngày nay. Bất kỳ lĩnh vực nào cũng cần đến máy tính, một thiết bị xử lý và hơn thế nữa là không thể thiếu. Cùng với sự ra đời và phát triển của máy tính và mạng máy tính là vấn đề bảo mật thông tin, ngăn chặn sự xâm nhập và đánh cắp thông tin qua mạng, thông tin cá nhân trực tiếp và gián tiếp. Phát hiện và ngăn chặn sự tấn công của các Hacker nhằm đánh cắp dữ liệu và phá hoại tư liệu quan trọng là rất cần thiết. Thông qua đề án: “Nghiên cứu và triển khai giải pháp bảo mật hệ thống mạng với firewall ASA và hệ thống IDS”. Chúng tôi giới thiệu tổng quan về xu hướng quản trị và bảo mật mạng hiện nay, cùng với nội dung tổng quan về Firewall ASA, IDS/IPS bằng các bước cấu hình và triển khai mô hình mạng. vi DANH MỤC VIẾT TẮT Từ viết tắt Tên đầy đủ VPN Virtual Private Network TCP/IP Internet Protocol Suite IPSec Internet Protocol Security NAT Network Address Translation LAN Local Area Network WAN Wide Area Network IDS Intrusion Detection System IPS Intrusion Prevention Systems DoS Denial of Service NIDS Network Intrusion Detection System HIDS Host Intrusion Detection System ACL Access Control List NIC Network Interface Card ARP Address Resolution Protocol DMZ Demilitarized Zone PAT Port Address Translation vii DANH MỤC HÌNH ẢNH VÀ BẢNG BIỂU Hnh 2.1. Mô tả các mức bảo mật trong hệ thống mạng. 28 Hnh 2.2. Mô tả NAT tĩnh của một mạng Lan ra ngoài Internet. 30 Hnh 2.3. Bảng NAT động của một mạng LAN. 31 Hnh 2.4. Mô tả cơ chế PAT (NAT overload). 32 Hnh 2.5. Sơ đồ ACL điều khiển truy cập mạng. 33 Hnh 2.6. Sơ đồ mạng mô tả kết nối site to site IPSec VPN. 36 Hnh 2.7. Sơ đồ mạng mô tả kết nối Remote Access VPN. 37 Hnh 2.8. Sơ đồ mạng mô tả kết nối AnyConnect VPN. 37 Hnh 2.9. Các dòng sản phẩm Cisco ASA 5500. 38 Hnh 2.10. Mặt trước dòng sản phẩm Cisco ASA 5510, 5520, 5540. 41 Hnh 2.11. Mặt sau dòng sản phầm Cisco ASA 5510, 5520, 5540. 41 Hnh 2.12. Các cổng kết nối của dòng sản phầm Cisco ASA 5510, 5520, 5540. 42 Hnh 2.13. Cisco ASA Security Services Module. 43 Hnh 3.1. Hoạt động của hệ thống IDS/IPS. 46 Hnh 3.2. Cơ sở hạ tầng hệ thống IDS/IPS. 47 Hnh 3.3. Hệ thống mẫu phát hiện xâm nhập. 48 Hnh 3.4. Thành phần của kiến trúc IDS. 49 Hnh 3.5. Các tác nhân tự trị cho việc phát hiện xâm nhập. 51 Hnh 3.6. Phân loại IDS/IPS. 52 Hnh 3.7. Mô hnh vị trí của HIDS/IPS trong hệ thống mạng. 54 Hnh 3.8. Mô hnh vị trí NIDS/IPS trong một hệ thống mạng. 55 Hnh 3.9. Mô hnh triển khai theo kiểu thẳng hàng. 56 Hnh 3.10. Mô hnh triển khai kiểu thụ động. 57 Hnh 3.11. Thiết bị dùng trong hệ thống báo động. 61 Hnh 4.1. Tạo 3 Card Loopback 63 Hnh 4.2. Cấu hình cho Card Loopback 1 63 Hnh 4.3. Cài Fiddler Web 64 viii Hnh 4.4. Cài Named Pipe TCP Proxy và trỏ đường dẫn tới Serial Port của ASA 64 Hnh 4.5. Chạy Tftpd, chọn địa chỉ của cổng Loopback, trỏ Current Directory vào ổ C: 65 Hnh 4.6. Sử dụng SecureCRT để cấu hình cho Firewall ASA 65 Hnh 4.7. Truy nhập vào https://1.1.1.1/ để tiến hành cài đặt ASDM 66 Hnh 4.8. Giao diện ASDM sau khi được cài đặt 66 9 CHƯƠNG 1. TỔNG QUAN 1.1. Đánh giá tổng quan về bảo mật mạng máy tính Bảo mật mạng máy tính hiện nay được đánh giá là một trong những vấn đề quan trọng bậc nhất của tất cả các quốc gia trong đó có Việt Nam, theo những thống kê chưa đầy đủ của Tổng cục thống kê thì tính đến tháng 03/2012 số thuê bao sử dụng Internet vào khoảng 4,2 triệu thuê bao tăng 17,5% và tổng số người sử dụng Internet cũng tăng 15,3% tức vào khoảng 32,1 triệu người so với cùng thời điểm năm 2011. Số liệu trên cho thấy tình hình phát triển công nghệ thông tin tại Việt Nam trong những năm trở lại đây có tốc độ rất lớn và dự kiến sẽ có chiều hướng tăng do sự phát triển của thiết bị thông minh và các thiết bị khác. Một số doanh nghiệp Việt Nam chưa có kế hoạch hoặc có kế hoạch đầu tư nhỏ vào việc bảo mật cho hệ thống mạng trong khi các doanh nghiệp bắt đầu phát triển các ứng dụng công nghệ mạng để quảng cáo hoặc cung cấp thông tin của doanh nghiệp mình trong thế giới số. Theo báo cáo về an toàn thông tin được công bố trong ngày “An toàn thông tin năm 2011” về vấn đền an toàn thông tin trong các tổ chức doanh nghiệp Việt Nam năm 2011, có đến: - 52% số tổ chức vẫn không hoặc chưa có quy trình thao tác chuẩn để ứng phó với những cuộc tấn công máy tính - Tỷ lệ sử dụng những công nghệ chuyên sâu hoặc hẹp hơn như mã hoá, hệ thống phát hiện xâm nhập, chứng chỉ số, chữ ký số…chỉ chiếm 20% . - Đặc biệt tỷ lệ sử dụng những giải pháp cấp cao trong bảo mật an ninh mạng như quản lý định danh, hệ thống quản lý chống thất thoát dữ liệu, sinh trắc học chỉ chiếm 5% trong tất cả các giải pháp chống tấn công của tội phạm công nghệ cao.[1] Nhận định về an toàn thông tin trong những năm qua, các chuyên gia bảo mật hàng đầu tại Việt Nam đều có chung một nhận định có nhiều biến động lớn và mức độ tấn công là ngày càng rất nguy hiểm và gây nhiều thiệt hại cho các 10 doanh nghiệp trong nước[2]. Để giải quyết vấn đề này các công ty bảo mật hàng đầu trên thế giới và của Việt Nam vẫn tiếp tục nghiên cứu phát triển những gói giải pháp bảo mật bao gồm thiết bị phần cứng và các chương trình phần mềm phục vụ cho việc an toàn thông tin và bảo mật hệ thống mạng, các nhà cung cấp dịch vụ giải pháp bảo mật như Juniper (với các sản phẩm phần cứng tường lửa như NetScreen), Cisco với các thiết bị tường lửa như ASA, PIX hoặc như các thiết bị tường lửa tiên tiến hơn như Checkpoint, IPS của nhà cung cấp IBM là những thiết bị phần cứng liên quan đến bảo mật hệ thống mạng và an toàn thông tin liên tục được đưa ra trên thị trường, bên cạnh những thiết bị phần cứng còn phải kể đến những ứng dụng phần mềm được các nhà cung cấp giải pháp an toàn thông tin đưa ra nhằm phục vụ cho việc bảo mật hệ thống thông tin. Có thể kể đến một vài tên tuổi nổi tiếng như: Symantec (với giải pháp phần mềm Anti Virut, Spam, Malware), Microsoft, Kaspersky, TrenPC, McAfee, SolarWin với những gói phần mềm khá hoàn hảo (theo đánh giá của các nhà cung cấp) trong việc bảo mật và an toàn thông tin. Những sản phẩm thương mại của các nhà cung cấp giải pháp an toàn thông tin được tung ra trên thị trường trong những năm gần đây được đánh giá cao về mức độ bảo mật và hiệu năng hoạt động của nó, tuy nhiên vấn đề đầu tư các giải pháp bảo mật an toàn thông tin cho doanh nghiệp mang tính đầy đủ đem đến cho các doanh nghiệp vừa và nhỏ một chi phí đầu tư đáng kể so với hoạt động kinh doanh của doanh nghiệp. Theo các nghiên cứu hiện nay có tại Việt Nam cũng như trên thế giới về xây dựng một hệ thống IDS phát hiện và phòng chống xâm nhập mạng trái phép dựa trên mã nguồn mở cũng phát triển mạnh, tuy nhiên tại Việt Nam các nghiên cứu này có mức độ triển khai vào thực tế là chưa cao và còn là những bài toán lớn cho giải pháp bảo mật thông tin dựa trên phần mềm mã nguồn mở. 1.2. Các mối đe dọa Như đã nêu trên, việc bảo mật đối với các doanh nghiệp là một vấn đề lớn hiện nay, việc một tội phạm tin học xâm nhập đã tạo ra rất nhiều cách khác nhau để có thể thành công trong việc làm hư hỏng hoàn toàn một hệ thống mạng hoặc [...]... xuất tài nguyên hệ thống 1.5 Các giải pháp phát hiện và phòng chống tấn công mạng 1.5.1 Các biện pháp phát hiện hệ thống bị tấn công Không có một hệ thống nào có thể đảm bảo an toàn tuyệt đối; bản thân mỗi dịch vụ đều có những lỗ hổng bảo mật tiềm tàng Đứng trên góc độ người quản trị hệ thống, ngoài việc tìm hiểu phát hiện những lỗ hổng bảo mật còn luôn phải thực hiện các biện pháp kiểm tra hệ thống. .. bảo mật để có thông tin về lỗ hổng của dịch vụ sử dụng Các biện pháp này kết hợp với nhau tạo nên một chính sách về bảo mật đối với hệ thống 1.5.2 Giải pháp phát hiện và phòng chống xâm nhập Phát hiện xâm nhập là một tập hợp các kỹ thuật và phương pháp dùng để dò tìm những hoạt động đáng nghi ngờ trên mạng Một hệ thống phát hiện xâm nhập được định nghĩa là một tập hợp các công cụ, phương thức, và tài. .. tính đa dạng và thay đổi Việc nghiên cứu và triển khai một hệ thống giám sát mạng, phát hiện và phòng chống xâm nhập với các yếu tố: chính xác, nhanh chóng, trực quan, linh động và tiện lợi là vấn đề cấp thiết trong thực tế Phát triển hệ thống giám sát trực quan theo dõi các diễn biến trên mạng như lưu lượng ra vào một Server, Switch, … hay hoạt động của CPU, bộ nhớ, … giúp người quản trị mạng có những... mức độ bảo mật thấp hơn Mặt khác, một Interface với một mức độ bảo mật thấp hơn 26 không thể truy cập vào một Interface với một mức độ bảo mật cao hơn, mà không có sự cho phép rõ ràng của một quy tắc bảo mật (AccessControl List - ACL) Một số mức độ bảo mật điển hình : - Security Level 0 :  Đây là mức độ bảo mật thấp nhất và nó được gán mặc định cho Interface bên ngoài của Firewall  Mức độ bảo mật này... (Access Control List) và quyền truy cập vào server để qui định cho sự bảo mật bên trong Quyền truy cập server thường bảo vệ tài nguyên trên server nhưng không cung cấp bất kì sự bảo vệ nào cho mạng Mối đe dọa ở bên trong thường được thực hiện bởi các nhân viên, tổ chức bất bình, muốn “quay mặt” lại với doanh nghiệp Nhiều phương pháp bảo mật liên quan đến vành đai của hệ thống mạng, bảo vệ mạng bên trong khỏi... giao thức, hệ điều hành và các thiết bị phần cứng như Server, Router, Switch Điểm yếu về cấu hình hệ thống: bao gồm lỗi do nhà quản trị tạo ra, lỗi này do các thiếu sót trong việc cấu hình hệ thống như: không đảm bảo thông tin mật tài khoản khách hàng, hệ thống tài khoản với mật khẩu dễ dàng đoán biết, sử dụng các cấu hình mặc định trên thiết bị Điểm yếu trong chính sách bảo mật: chính sách bảo mật mô... truy cập vào hệ thống mạng Các cách tấn công từ bên trong được thực hiện từ một khu vực được coi là vùng tin cậy trong hệ thống mạng Mối đe dọa này có thể khó phòng chống hơn vì các nhân viên hoặc những tổ chức có quyền hạn trong hệ thống mạng sẽ truy cập vào mạng và dữ liệu bí mật của doanh nghiệp Phần lớn các doanh nghiệp hiện nay đều có tường lửa ở các đường biên mạng và họ tin tưởng hoàn toàn vào các... đối với người sử dụng hoặc cho phép truy cập bất hợp pháp vào hệ thống Các lỗ hổng bảo mật có thể nằm ngay các dịch vụ cung cấp như Web, Email, FTP, … Ngoài ra các chương trình ứng dụng hay dùng cũng chứa các lỗ hổng bảo mật như Word, các hệ cơ sở dữ liệu như SQL… 1.3.2 Phân loại lỗ hổng bảo mật Thực hiện phân loại và hiểu được những phương thức bảo mật thực sự quan trọng trong việc xây dựng một hệ thống. .. Internet Khi vành đai của hệ thống mạng được bảo mật, các phần tin cậy bên trong có khuynh hướng bị bớt nghiêm ngặt hơn Khi một kẻ xâm nhập vượt qua vỏ bọc bảo mật cứng cáp đó của hệ thống mạng, mọi chuyện còn lại thường là rất đơn giản Các mạng không dây giới thiệu một lĩnh vực mới về quản trị bảo mật Không giống như mạng có dây, các mạng không dây tạo ra một khu vực bao phủ có thể bị can thiệp và sử dụng... nhanh chóng các bất thường trên mạng, người quản trị mạng còn có thể dựa vào những đồ thị trực quan về lưu lượng ra vào hệ thống để có những phản ứng kịp thời Hệ thống báo động cũng cần triển khai để thông báo cho người quản trị trong một số trường hợp: Server ngưng hoạt động, một dịch vụ mạng ngưng hoạt động hay có tấn công mạng Hệ thống báo động có thể được triển khai qua nhiều hình thức để phát