Triển khai hệ thống mạng an toàn với firewall ASA
Mục lục LỜI CẢM ƠN Sau gần tháng nỗ lực tìm hiều thực hiện, đồ án “Triển khai hệ thống mạng an toàn với firewall ASA” hoàn thành, cố gắng thân, nhận nhiều động viên,khích lệ từ gia đình, thầy cô bạn bè Đây đề tài hay mang tính thiết thực cao Tuy cố gắng song chắn đề tài không tránh khỏi thiết sót Rất mong nhận thông cảm bảo tận tình Thầy cô bạn Chúng xin bày tỏ lòng biết ơn chân thành đến Thầy Mai Cường Thọ tận tâm bảo hướng dẫn tận tình suốt thời gian thực đề tài Tôi xin chân thành cảm ơn quý Thầy cô Khoa Công nghệ thông tin, trường Đại học Nha Trang tận tình giảng dạy, hướng dẫn, giúp đỡ tạo điều kiện cho thực tốt đề tài Xin cảm ơn tất bạn bè giúp đỡ động viên trình học tập hoàn thành đồ án Mặc dù cố gắn để hoàn thành đồ án này,nhưng chắn không tránh khỏi sai sót.Chúng mong nhận thông cảm đóng góp, bảo tận tình quý thầy cô bạn bè! Nha Trang, ngày 26, tháng năm 2013 Sinh viên thực hiện: Nguyễn Lương LỜI MỞ ĐẦU Trong thời kì hội nhập, nhu cầu trao đổi liệu qua hệ thống mạng máy tính ngày tăng cao, Internet trở nên vô quan trọng, ảnh hưởng đến tất lĩnh vực kinh tế xã hội, an ninh quốc phòng quốc gia Thực tế Việt Nam, Internet ứng dụng phát triển rộng rãi (phổ cập tới xấp xỉ 25% dân số), dẫn đến số tội phạm công nghệ cao ngày nhiều, có không công mạng gây hậu nghiêm trọng, làm tê liệt hệ thống giám sát an ninh hay phá hoại sở liệu quốc gia, đánh cắp thông tin mật Nhà nước… Đối với doanh nghiệp, vấn đề bảo đảm an ninh, an toàn thông tin mạng mối quan tâm hàng đầu hầu hết công ty, tổ Page chức nhà cung cấp dịch vụ Cùng với bùng nổ khoa học kỹ thuật, phương thức công ngày tinh vi khiến hệ thống an ninh mạng trở nên hiệu qủa Bill Archer, Chủ tịch hãng AT&T châu Âu, phát biểu "Chúng nhận thấy mật độ công vòng tháng qua dày nhiều so với hai năm trước" Đặc biệt Việt Nam, vấn đề phải đầu tư, xem xét hết Theo khảo sát Trung tâm ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) dựa vào tiêu chuẩn an toàn thông tin 40% doanh nghiệp Việt Nam hệ thống tường lửa, 70% quy trình xử lý cố an toàn thông tin 85% sách an ninh mạng Hơn nữa, theo phân tích Kaspersky, năm 2010, Việt Nam đứng thứ giới số quốc gia chịu nhiều thiệt hại công mạng (sau Ấn Độ Mỹ, xếp đầu bảng Trung Quốc Nga) Việc xây dựng hệ thống an ninh mạng cho vừa đảm bảo an toàn, bảo mật thông tin vừa tận dụng hiệu mạng trở thành câu hỏi đau đầu tổ chức doanh nghiệp Việt Nam mà toàn giới Nhận thấy nguy đó, xuất phát từ niềm say mê nghiên cứu kỹ thuật ảo mật mạng, nhóm định chọn đề tài “Triển khai hệ thống mạng an toàn với Firewall ASA”, với mong muốn đem lại cho doanh nghiệp mô hình đáp ứng yêu cầu bảo mật mà đảm bảo hiệu hoạt động mạng Qua đó, trang bị cho thêm nhiều kiến thức để chuẩn bị thử sức với thách thức xã hội A.Tổng quan đề tài Mục tiêu việc nghiên cứu Firewall ASA + Việc nghiên cứu giúp cho khả tự học ,tìm hiểu nghiên cứu độc lập ngày tốt + Nghiên cứu hệ thống firewall ASA + Triển khai hệ thống phát hiện, ngăn chặn lưu lượng vào hệ thống cần thiết cho doanh nghiệp có nhu cầu an toàn hệ thống trước hành vi xâm nhập trái phép Trước phát triển internet hiểu biết ngày sâu người việc truys cập phá hoại hệ thống mạng doanh nghiệp ,công ty củng theo đà phát triển internet mà tăng lên nhiều + Việc nghiên cứu đáp ứng cho lãnh vực bảo mật an ninh hệ thống + ASA(Adaptive Security Appliance) thiết bị tường lửa mạnh tất ưa chuộng Cisco.Chính mục tiêu đề tài Page nhằm nghiên cứu tìm hiểu cách thức hoạt động,phương pháp cấu hình ứng dụng việc bảo mật hệ thống mạng.Kết đạt qua việc nghiên cứu thiết bị hiểu cách thức hoạt động có khả triển khai thiết bị vào số hệ thống mạng + Nghiên cứu AAA server + Nghiên cứu cách tổ chức giám sát hoạt động người dùng cuối thời gian bắt đầu hay kết thúc người dùng (accounting).Bảo mật vấn đề quan trọng.Với mức độ điều khiển, thật dễ dàng để cài đặt bảo mật quản trị mạng Có thể định nghĩa vai trò (role) đưa cho user lệnh mà họ cần để hoàn thành nhiệm vụ họ theo dõi thay đổi mạng Với khả log lại kiện, ta có điều chỉnh thích hợp với yêu cầu đặt Tất thành phần cần thiết để trì tính an toàn, bảo mật cho mạng Với thông tin thu thập được, tiên đoán việc cập nhật cần thiết theo thời gian Yêu cầu bảo mật liệu, gia tăng băng thông, giám sát vấn đề mạng thông AAA server B Cấu trúc đề tài Đề tài chia làm phần I Tổng quan an ninh mạng Chương mô tả nguy an ninh mạng sách an ninh nhằm đem lại hiệu qua cho việc bảo mật liệu làm giảm nguy phát công II Radius Chương mô tả kỹ thuật sử dụng để xác thực,ủy quyền,thanh toán nhằm đem lại hiểu cao cho an ninh mạng toàn vẹn tránh thất thoát liệu III ASA Chương giới thiệu tường lủa cisco asa ,các kỹ thuật áp dụng cho tường lửu IV Mô Chương mô tả trình thực cisco asa với mô hình mạng cụ thể cho thấy tính thực tế kiểm nghiệm lý thuyết đề tài này.Chỉ rõ chi tiết trình thực nghiệm V Kết luận chung Page Chương nêu kết đề tài làm mặc hạn chế khó khăn chưa thực đề tài VI Hướng phát triển đề tài I.Tổng quan an ninh mạng: 1.Mục tiêu an ninh mạng Việc phát triển ngày tăng mạng internet thuận tiện mà đem lại cho người nhiên kéo theo nhiều mối nguy hiểm rình rập hacker mạng Đảm bảo cho người dùng an toàn làm việc mạng mục tiêu hàng đầu an ninh mạng: Bảo đảm mạng nội không bị xâm nhập trái phép Các tài liệu thông tin quan trọng không bị rò rỉ bị Các dịch vụ thực nhanh chóng không bị trì trệ không thực Các mua bán mạng diễn với yêu cầu người dùng Người dùng làm việc mạng không bị mạo danh, lừa đảo 2.Các phương thức công Virus Worm Trojan Từ chối dịch vụ Phân phối từ chối dịch vụ Zombies Spyware Phishing Dựa vào yếu tố người 2.1 Virus Một virus máy tính thiết kế để công máy tính thường phá máy tính khác thiết bị mạng Một virus thường tập tin đính kèm e-mail, chọn tập tin đính kèm gây mã thực thi để chạy tái tạo Page virus Một virus phải thực chạy nhớ để chạy tìm kiếm chương trình khác máy chủ để lây nhiễm nhân rộng Như tên nó, virus cần máy chủ bảng tính e-mail để đính kèm, lây nhiễm, nhân rộng Có số hiệu ứng chung vi rút Một số virus lành tính, cần thông báo cho nạn nhân họ họ bị nhiễm bệnh Các virus ác tính tạo hủy hoại cách xóa tập tin không gây lỗi cho máy tính bị nhiễm có chứa tài sản kỹ thuật số, chẳng hạn hình ảnh, tài liệu, mật khẩu, báo cáo tài 2.2 Worm Worm chương trình phá hoại quét điểm yếu lỗ hổng bảo mật máy tính khác để khai thác điểm yếu nhân rộng.Worm tái tạo độc lập nhanh chóng Worm khác với virus hai cách chính: Virus cần máy chủ để đính kèm thực hiện, sâu không yêu cầu máy chủ.Virus sâu thường gây loại khác hủy diệt Virus, chúng cư trú nhớ, thường xóa sửa đổi tập tin quan trọng máy tính bị nhiễm bệnh Tuy nhiên, Worms có xu hướng mạng trung tâm so với máy tính trung tâm Worms tái tạo cách nhanh chóng cách bắt đầu kết nối mạng để nhân rộng gửi số lượng lớn liệu Worms chứa hành khách mang theo, trọng tải liệu, mà giao máy tính mục tiêu cho trạng thái zombie Zombie máy tính có bị xâm phạm kiểm soát kẻ công mạng Zombies thường sử dụng để khởi động công mạng khác Một sưu tập lớn zombie điều khiển kẻ công gọi "botnet" Botnets phát triển lớn Botnet xác định lớn 100.000 máy tính zombie 2.3 Trojan horse Một ngựa Trojan, Trojan, phần mềm nguy hại tìm cách ngụy trang ứng dụng đáng tin cậy trò chơi trình bảo vệ hình Một người dùng tin cậy cố gắng để truy cập trò chơi vô thưởng vô phạt trình bảo vệ hình, Trojan bắt đầu hoạt động gây tổn hại xóa tập tin định dạng lại ổ đĩa cứng Trojan thường Page không tự chép.Những kẻ công mạng cố gắng sử dụng ứng dụng phổ biến, chẳng hạn iTunes Apple, để triển khai Trojan Ví dụ, công mạng gửi e-mail với liên kết có mục đích để tải hát iTunes miễn phí Trojan sau bắt đầu kết nối đến máy chủ web bên bắt đầu công người dùng cố gắng để tải hát miễn phí rõ ràng 2.4 Từ chối dịch vụ Một công từ chối dịch vụ (DoS) công mạng có kết việc từ chối dịch vụ ứng dụng yêu cầu máy chủ web Có vài chế để tạo công DoS Các phương pháp đơn giản tạo lượng lớn xuất để giao thông mạng hợp lệ Đây loại công DoS mạng cố gắng để làm nghẽn ống dẫn lưu lượng truy cập mạng để sử dụng hợp lệ có thông qua kết nối mạng Tuy nhiên, loại DoS thông thường cần phải phân phối thường đòi hỏi nhiều nguồn để tạo công.Một công DoS lợi dụng thực tế hệ thống mục tiêu máy chủ phải trì thông tin trạng thái có kích thước đệm dự kiến nội dung gói tin mạng cho ứng dụng cụ thể Một công DoS khai thác lỗ hổng cách gửi gói có giá trị kích cỡ liệu mà không mong đợi ứng dụng nhận được.Một số loại công DoS tồn tại, bao gồm công Teardrop Ping of Death, mà gửi gói thủ công mạng khác từ ứng dụng dự kiến gây sụp đổ ứng dụng máy chủ Những công DoS máy chủ không bảo vệ, chẳng hạn máy chủ thương mại điện tử, gây máy chủ bị lỗi ngăn chặn người dùng bổ sung thêm hàng vào giỏ mua sắm họ 2.5 Distributed Denial-of-Service DDoS tương tự ý định công DoS, ngoại trừ công Ddo S tạo nhiều nguồn công Ngoài để tăng lượng truy cập mạng từ nhiều kẻ công phân phối, công DDoS đưa thách thức yêu cầu bảo vệ mạng để xác định ngăn chặn kẻ công phân phối 2.6 Spyware Page Spyware lớp ứng dụng phần mềm tham gia vào công mạng Spyware ứng dụng cài đặt để ẩn máy tính máy tính xách tay mục tiêu Một ứng dụng phần mềm gián điệp bí mật cài đặt, phần mềm gián điệp bắt thông tin người dùng làm với máy tính họ Một số thông tin bị bắt bao gồm trang web truy cập, e-mail gửi đi, mật sử dụng Những kẻ công sử dụng mật thông tin bắt để vào mạng để khởi động công mạng Ngoài việc sử dụng để trực tiếp tham gia vào công mạng, phần mềm gián điệp sử dụng để thu thập thông tin bán cách bí mật Thông tin này, lần mua, sử dụng kẻ công khác "khai thác liệu" để sử dụng việc lập kế hoạch cho công mạng khác 2.7 Phishing Phishing kiểu công mạng thường bắt đầu cách gửi e-mail để người dùng không nghi ngờ Các e-mail lừa đảo cố gắng để trông giống thư điện tử hợp pháp từ tổ chức biết đến đáng tin cậy trang web ngân hàng, thương mại điện tử E-mail giả cố gắng thuyết phục người dùng việc xảy ra, chẳng hạn hoạt động đáng ngờ tài khoản họ, người sử dụng phải thực theo liên kết e-mail đăng nhập vào trang web để xem thông tin người dùng họ Các liên kết e-mail thường giả ngân hàng trang web thương mại điện tử thực tính tương tự nhìn-và-cảm nhận trang web thực Các công lừa đảo thiết kế để lừa người dùng cung cấp thông tin có giá trị tên người dùng mật họ 2.8 Dựa vào yếu tố người Kẻ công liên lạc với người quản trị hệ thống, giả làm người sử dụng để yêu cầu thay đổi mật khẩu, thay đổi quyền truy nhập hệ thống, chí thay đổi số cấu hình hệ thống để thực phương pháp công khác.Với kiểu công không thiết bị ngăn chặn cách hữu hiệu, có cách giáo dục người sử dụng mạng nội Page yêu cầu bảo mật để đề cao cảnh giác với tượng đáng nghi.Nói chung yếu tố người điểm yếu hệ thống bảo vệ nào, có giáo dục cộng với tinh thần hợp tác từ phía người sử dụng nâng cao độ an toàn hệ thống bảo vệ Các sách an ninh mạng Hai hình thức sách bảo mật có liên quan đến tường lửa: Các sách an ninh văn (đôi gọi sách an ninh thông tin) để xác định mục tiêu an ninh cho tổ chức (bao gồm tường lửa họ) Các sách quản lý lọc nguồn đích (đôi gọi sách tường lửa thiết lập quy tắc tường lửa) để xác định cấu hình thực tế thiết bị 3.1 Các sách an ninh văn Chính sách an ninh văn tồn để cung cấp lộ trình cấp cao cần phải thực để đảm bảo tổ chức có chiến lược an ninh xác định tốt sức tưởng tượng Đó quan niệm sai lầm phổ biến mà tổ chức có sách an ninh Trong thực tế, sách bảo mật tổng thể tổ chức thường bao gồm nhiều sách bảo mật cá nhân, mà ghi vào địa mục tiêu cụ thể, thiết bị, sản phẩm Mục tiêu sách an ninh xác định cần phải bảo vệ, người có trách nhiệm bảo vệ, số trường hợp bảo vệ xảy Tóm lại, sách bảo mật đơn giản xác nên vạch yêu cầu cụ thể, quy tắc, mục tiêu phải đáp ứng, để cung cấp phương pháp an ninh cho tổ chức Hình 1-1 minh họa lớp tường lửa Như hình bên cho thấy, tường lửa chia thành bốn thành phần riêng biệt Truy cập vật lý Truy cập quản trị Nâng cấp phần mềm Tập tin cấu hình Các giao thức định tuyến Truy cập vào mạng tường lửa bảo vệ Page Toàn vẹn vật lý tường lửa Cấu hình tường lửa tĩnh Cấu hình tường lửa động Lưu lượng mạng qua tường lửa Hình 1-1: Các lớp bảo mật tường lửa Tại trung tâm lớp toàn vẹn vật lý tường lửa, mà chủ yếu liên quan tới quyền truy cập vật lý vào tường lửa, để đảm bảo quyền truy cập vật lý vào thiết bị, chẳng hạn thông qua kết nối cứng cổng console Lớp cấu hình tường lửa tĩnh, mà chủ yếu liên quan tới truy cập vào phần mềm tường lửa cấu hình tĩnh chạy (ví dụ, hệ điều hành PIX cấu hình khởi động) Tại lớp này, sách bảo mật cần tập trung vào việc xác định hạn chế yêu cầu để hạn chế truy cập quản trị, bao gồm cập nhật phần mềm thực cấu hình tường lửa Lớp thứ ba cấu hình tường lửa động, bổ sung cấu hình tĩnh việc có liên quan tới cấu hình động tường lửa thông qua việc sử dụng công nghệ giao thức định tuyến, lệnh ARP, giao diện tình trạng thiết bị, kiểm toán, nhật ký, lệnh tránh Mục tiêu sách an ninh điểm để xác định yêu cầu xung quanh loại cấu hình động cho phép Cuối lưu lượng mạng qua tường lửa, mà thực mà tường lửa tồn để bảo vệ tài nguyên Lớp có liên quan tới chức ACL thông tin dịch vụ proxy Các sách an ninh lớp có trách nhiệm xác định yêu cầu chúng liên quan đến lưu lượng qua tường lửa Định dạng sách an ninh: Để thực mục tiêu xác định trước đó, hầu hết sách bảo mật tuân theo định dạng bố trí cụ thể chia sẻ yếu tố thông thường Nói chung, hầu hết sách an ninh chia thành bảy phần: Page • Tổng quan: Phần tổng quan cung cấp giải thích ngắn gọn địa sách • Mục đích: phần mục đích giải thích sách cần thiết • Phạm vi: Phần phạm vi xác định sách áp dụng cho xác định người chịu trách nhiệm sách • Chính sách: phần sách sách thực tế • Thực thi: Phần thực thi định nghĩa cách sách cần thực thi hậu • việc không theo sách Định nghĩa: Phần định nghĩa bao gồm định nghĩa từ khái niệm sử dụng sách • Xem lại lịch sử: Phần xem lại lịch sử nơi mà thay đổi sách ghi lại theo dõi Mỗi tổ chức có yêu cầu an ninh riêng biệt có sách bảo mật riêng độc đáo họ Tuy nhiên, hầu hết tất môi trường đòi hỏi số • • • • • • • sách an ninh chung, bao gồm: Chính sách quản lý truy cập Chính sách lọc Chính sách định tuyến Chính sách Remote-access/VPN Chính sách giám sát / ghi nhận Chính sách vùng phi quân (DMZ) Chính sách áp dụng thông thường 3.2 Chính sách quản lý truy cập: Chính sách quản lý truy cập tồn để xác định phương pháp cho phép cách truy cập quản lý tường lửa Chính sách có xu hướng giải toàn vẹn vật lý tường lửa lớp bảo mật cấu hình tường lửa tĩnh Các sách quản lý truy cập cần phải định nghĩa cho hai giao thức quản lý từ xa cục cho phép, người dùng kết nối với tường lửa có quyền truy cập để thực tác vụ Ngoài ra, sách quản lý truy cập cần xác định yêu cầu giao thức quản lý Network Time Protocol (NTP), syslog, TFTP, FTP, Simple Network Management Protocol (SNMP), giao thức khác sử dụng để quản lý trì thiết bị 3.3 Chính sách lọc: Thay định nghĩa quy tắc thực tế tường lửa sử dụng, sách lọc cần phải xác định xác loại lọc phải sử dụng nơi lọc áp dụng Page 10 không phát hoạt động xâm nhập cảm biến xếp lại gói thông tin cách xác 8.2 Host-based intrusion detection systems (HIDS) Bằng cách cài đặt phần mềm tất máy tính chủ, IDS dựa máy chủ quan sát tất hoạt động hệ thống, file log lưu lượng mạng thu thập Hệ thống dựa máy chủ theo dõi OS, gọi hệ thống, lịch sử sổ sách (audit log) thông điệp báo lỗi hệ thống máy chủ Trong đầu dò mạng phát công, có hệ thống dựa máy chủ xác định xem công có thành công hay không Thêm là, hệ thống dựa máy chủ ghi nhận việc mà người công làm máy chủ bị công (compromised host) Không phải tất công thực qua mạng Bằng cách giành quyền truy cập mức vật lý (physical access) vào hệ thống máy tính, kẻ xâm nhập công hệ thống hay liệu mà không cần phải tạo lưu lượng mạng (network traffic) Hệ thống dựa máy chủ phát công mà không qua đường công cộng hay mạng theo dõi, hay thực từ cổng điều khiển (console), với kẻ xâm nhập có hiểu biết, có kiến thức hệ IDS nhanh chóng tắt tất phần mềm phát có quyền truy cập vật lý Một ưu điểm khác IDS dựa máy chủ ngăn chặn kiểu công dùng phân mảnh TTL Vì host phải nhận tái hợp phân mảnh xử lí lưu lượng nên IDS dựa host giám sát chuyện HIDS thường cài đặt máy tính đinh Thay giám sát hoạt động network segment, HIDS giám sát hoạt động máy tính HIDS thường đặt host xung yếu tổ chức, server vùng DMZ thường mục tiêu bị công Nhiêm vụ HIDS giám sát thay đổi hệ thống, bao gồm (not all): - Các tiến trình - Các mục Registry - Mức độ sử dụng CPU - Kiểm tra tính toàn vẹn truy cập hệ thống file - Một vài thông số khác Các thông số vượt qua ngưỡng định trước thay đổi khả nghi hệ thống file gây báo động Page 60 8.2.1 Lợi HIDS - Có khả xác đinh user liên quan tới kiện (event) - HIDS có khả phát công diễn máy, NIDS khả - Có thể phân tích liệu mã hoá - Cung cấp thông tin host lúc công diễn host 8.2.2 Hạn chế HIDS - Thông tin từ HIDS không đáng tin cậy công vào asa thành công - Khi tường lửa asa bị "hạ" công, đồng thời HIDS bị "hạ" - HIDS phải thiết lập host cần giám sát - HIDS khả phát dò quét mạng (Nmap, Netcat…) - HIDS cần tài nguyên host để hoạt động - HIDS không hiệu bị DOS IV Mô Mục tiêu mô Mô giúp thấy tính thấy rõ nguyên lý hoạt động củng bước cấu hình AAA server Thực tính remote từ xa thông qua vpn ASA chứng thực với giao thức Radius Mô hình mô Các công cụ cần thiết để thực mô Hệ diều hành window xp window 2003 server cài AD Page 61 Phần mềm giả lập GNS3.Fidder Tool ASDM,VPN client cisco Máy PC phải cài gói java để hộ trợ cho ASDM Cài phần mềm ACS 4.2 Các bước mô Chạy phần mềm ACS 4.2 Chọn “Network Configuration” bên trái , bấm vào “Add Entry” phần aaa client Tạo thêm aaa server Page 62 Chọn menu “interface configuration”=>Adcance options Đánh dấu vào mục Page 63 Chọn menu “share profile components”=>Downloadable IP ACLs Định nghĩa cho phép khách vpn tới mạng lan bên Page 64 Tạo acl cho phép khách truy cập hệ thống Tạo group :vpnclientgroup cho phép group tải acl định nghĩa Tạo user cho phép user tải acl định nghĩa Page 65 User tạo lấy database window Chọn finish Vào user=dial-in chọn allow Page 66 Cấu hình ASA cho phép vpn chứng thức với AAA(Radius) Server Bước 1:Đặt dãy ip cho phép người dung từ xa kết nối vào hệ thống ip local pool mypool 172.16.1.100-172.16.1.200 mask 255.255.255.0 ! Bước 2: Tạo ACL cho phép dãy ip người dùng từ xa kết nối vào hệ thống access-list vpnclientgroup standard permit 192.168.1.0 255.255.255.0 access-list inside_nat0_outbound extended permit ip 192.168.1.0 255.255.255.0 172.16.1.0 255.255.255.0 nat (inside) access-list inside_nat0_outbound Bước 3: Thiết lập chứng thực user group máy chủ bên aaa-server vpnclientgroup protocol radius aaa-server vpnclientgroup host 192.168.1.2 key 123456 Bước 4:Thiết lập sách người dùng từ xa group-policy vpnclientgroup internal group-policy vpnclientgroup attributes dns-server value 192.168.1.2 vpn-tunnel-protocol IPSec split-tunnel-policy tunnelspecified split-tunnel-network-list value vpnclientgroup default-domain value da.com Bước 5:Tạo đường hầm cho phép kết nối với sách dành cho người dùng phương thức chứng thực khóa chia tunnel-group vpnclientgroup type ipsec-ra tunnel-group vpnclientgroup general-attributes address-pool mypool authentication-server-group vpnclientgroup default-group-policy vpnclientgroup tunnel-group vpnclientgroup ipsec-attributes pre-shared-key 123456 Page 67 Bước 6: Xác định phương thức mã hóa chứng thực chuyển đổi liệu mã hóa chứng thực thông qua đường truyền crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac crypto dynamic-map outside_dyn_map 20 set pfs crypto dynamic-map outside_dyn_map 20 set transform-set ESP-3DES-SHA crypto map outside_map 65535 ipsec-isakmp dynamic outside_dyn_map crypto map outside_map interface outside crypto isakmp enable outside crypto isakmp policy 10 authentication pre-share encryption 3des hash sha group lifetime 86400 Cấu hình máy khách Tiếp theo cấu hình khách remote access tới ASA vào truy cập máy chủ web,ftp nội Mở phần mền Ugent VPN cisco điền thông tin group pre share key để kết nối Page 68 Hiện lên thông báo yều cấu cung cấp username password truy cập vào mạng nội Mở wireshark lên bắt gói radius Page 69 Mở ACS vào menu “reports and activity” chọn Radius accouting để xem Page 70 Kết đạt Thông qua trình mô hiểu rõ trình xác thực radius giống mô tả lý thuyết Nắm rõ hoạt động củng tính tường lửa cisco asa Giả lập firewall asa gns3 Quản lý giám sát người dùng truy cập vào hệ thống thông qua chế vpn Đáp ứng an toàn thông tin liệu vụ bảo vệ firewall với chế mã hóa,xác thực,quyền hạn truy cập Page 71 V.KẾT LUẬN CHUNG Radius giao thức chứng thực người dùng đầu cuối nhằm đảm bảo cho an toàn thông tin nhiên chưa phải giao thức hoàn hảo với số lổ hỏng sau: Cho phép kẽ công thỏa hiệp giao dịch Thuật toán mã hóa user/password không an toàn Có thể bị công theo cách yêu càu chứng thực gói tin Radius o Lặp lặp lại yêu cầu xác thực thuộc tính người dùng-mật o Chia khóa bí mật Tường lửa cisco asa thiết bị để đảm bảo an toàn thông tin ,bảo mật hệ thống nhiên mắc phải số hổ hỏng ,không có an toàn tuyệt đối nhiên để khắc phục hạn chế rủi ro nên thường xuyên cập nhật vá lỗi củng phiên từ trang chủ cisco Do thời gian hạn hẹp nguồn nhân lực có hạn nên đề tài không tránh khỏi thiếu sót mong thời gian tới khắc phục để đồ án hoàn chỉnh Page 72 VI.HƯỚNG PHÁT TRIỂN CỦA ĐỀ TÀI Tiếp nhận ý kiến giáo viên hướng dẩn ,hội đồng phản biện ý kiến bạn bè để bổ sung chỉnh sửa khắc lại đồ án chỗ chưa hay ,sai sót phát huy mạnh đồ án Tìm hiểu triển khai phương thức xác thực an toàn Cập nhật khắc phục lỗi tường lửa cisco asa Tiếp cận môi trường thực tế,hiện thực mô môi trường thiết bị thật Triển khai mô hình mạng hoàn chỉnh thực tế đáp ứng nhu cầu công ty doanh nghiệp Page 73 Tài liệu tham khảo: • RFC 2865: Remote Authentication Dial In User Service (RADIUS) Link: http://www.ietf.org/rfc/rfc2865.txt • RFC 2866: RADIUS Accounting Link: http://www.ietf.org/rfc/rfc2866.txt • Firewall Fundamentals by Wes Noonan, Ido Dubrawsky Publisher: Cisco Press - 2/6/2006 • RADIUS by Jonathan Hassell Publisher: O’Reilly – 10/2002 • Cisco ASA and PIX Firewall Handbook by Dave Hucaby Publisher: Cisco Press – 7/1/2005 • Cisco ASA: All-in-one Firewall, IPS and VPN Adaptive Security Appliance by Jazib Frahim, Omar Santos Publisher: Cisco Press – 21/10/2005 • Cisco ASA: All-in-one Firewall, IPS, Anti-X and VPN Adaptive Security Appliance (Second Edition) by Jazib Frahim, Omar Santos Publisher: Cisco Press – 21/10/2005 • Cisco Access Control Security: AAA Administrative Services by Brandon Carroll Publisher: Cisco Press – 27/5/2004 Page 74 [...]... với nhau Máy chủ AAA phê duyệt Mối quan hệ tin tưởng Mối quan hệ tin tưởng Mối quan hệ tin tưởng Máy chủ AAA cuối Máy chủ AAA trung gian Ở đây không có mối quan hệ tin tưởng nào giữa máy khách và máy chủ AAA trung gian và máy chủ AAA cuối Máy khách Yêu cầu Proxies Yêu cầu Proxies Page 17 Hình 2-1:Mối quan hệ tin tưởng độc lập trong một giao dịch hop-to-hop Khác với mô hình hop-to-hop là phương pháp... Bây giờ các mối quan hệ tin tưởng là với hai máy chủ AAA, với các máy tính tiền tuyến hoạt động như các máy khách và máy AAA thứ hai đóng vai trò là máy chủ Điều quan trọng cần lưu ý rằng mối quan hệ tin tưởng không phải là vốn đã hiểu ngầm, có nghĩa là các máy khách ban đầu và các máy AAA thứ hai không có một mối quan hệ tin tưởng Hình 2-1 cho thấy sự tin tưởng là tuần tự và độc lập với nhau Máy chủ... định các rủi ro liên quan với hệ thống tất cả thêm, di chuyển, và thay đổi vì nó liên quan đến tường lửa và chu vi mạng • • • • • • trong toàn thể Dưới đây là một số công việc cần thiết cho người quản trị mạng: Ghi nhận và xem lại nhật ký tường lửa thường xuyên Tạo ACL đi vào thật chi tiết, cụ thể Bảo vệ vùng DMZ về nhiều phía Thận trọng với lưu lượng ICMP Giữ mọi lưu lượng quản lý firewall được bảo mật... giao dịch end-to-end Sự khác biệt chính là nơi mà các mối quan hệ tin cậy nằm trong mô hình này, đó là giữa máy khách yêu cầu và máy chủ AAA Máy chủ AAA phê duyệt Máy chủ AAA cuối Máy chủ AAA trung gian Yêu cầu Proxies Yêu cầu Proxies Không có mối quan hệ tin tưởng nào giữa các máy chủ Proxy Mối quan hệ tin tưởng Máy khách Hình 2-2:Mối quan hệ tin tưởng máy khách/máy chủ trong mô hình end-to-end 2 Kiến... Authority (IANA) Tuy nhiên, trước khi IANA phân bổ các cổng 1812 và 1813, cổng 1645 và 1646 (xác thực và kế toán tương ứng) đã được sử dụng không chính thức và trở thành các cổng Page 18 mặc định do nhiều máy chủ và máy khách RADIUS triển khai trong thời gian này Truyền thống của việc sử dụng 1645 và 1646 để tiếp tục tương thích ngược trở lại cho đến ngày nay Vì lý do này nhiều máy chủ RADIUS triển khai giám... 13 II Radius 1 Tổng quan về Radius: AAA AAA cho phép các nhà quản trị mạng biết được các thông tin quan trọng về tình hình cũng như mức độ an toàn trong mạng Nó cung cấp việc xác thực (Authentication) người dùng nhằm bảo đảm có thể nhận dạng đúng người dùng Một khi đã nhận dạng người dùng, ta có thể giới hạn ủy quyền (Authorization) mà người dùng có thể làm Khi người dùng sử dụng mạng, ta có thể giám... khác nhau và đều thay đổi thiết kế mạng Có một số thuộc tính quan trọng của mô hình làm nó có thể thực hiện được Trước tiên, mô hình AAA phụ thuộc vào sự tương tác máy khách / máy chủ, trong đó một hệ thống máy khách yêu cầu các dịch vụ hoặc tài nguyên của một hệ thống máy chủ Một máy chủ AAA có thể được cấu hình để ủy quyền cho một yêu cầu hoặc vượt qua nó cùng với một máy chủ AAA, sau đó sẽ làm cho... khớp với phản hồi mong muốn máy chủ RADIUS trả lời với một Access-Accept, nếu không một Access-Reject sẽ được trả về máy khách 1 2 3 4 Page 33 5 6 Người dùng 1) 2) 3) 4) 5) ASA Máy chủ Radius ACS Hình 2-12: Quá trình xác thực RADIUS đơn giản Người dùng cố gắng truy cập vào Cisco ASA Cisco ASA yêu cầu người dùng nhập tên và mật khẩu Người dùng nhập vào thông số của mình và gửi cho cisco ASA Cisco ASA. .. thực thi, thống kê lưu lượng, việc sử dụng tài nguyên và sau đó lưu trữ thông tin trong hệ thống cơ sở dữ liệu quan hệ Nói cách khác kiểm toán cho phép giám sát dịch vụ và tài nguyên được người dùng sử dụng Ví dụ: Thống kê cho người dùng có tên truy cập là HOA đã truy cập vào HOAPHATIT_SERVER bằng giao thức FTP với số lần là 5 lần Điểm chính trong kiểm toán đó là cho phép người quản trị giám sát tích... dụng đã chứng thực có thể làm trên hệ thống Page 15 Ví dụ: Trong trường hợp của một nhà cung cấp dịch vụ Internet, nó có thể quyết định một địa chỉ ip tĩnh được cho là trái ngược với một địa chỉ DHCP được giao Các nhà quản trị hệ thống định nghĩa những quy tắc này Máy chủ AAA sẽ phân tích yêu cầu và cấp quyền truy cập bất cứ yêu cầu nào có thể, có hoặc không phải là toàn bộ yêu cầu là hợp lệ Ví dụ: Một ... cứu hệ thống firewall ASA + Triển khai hệ thống phát hiện, ngăn chặn lưu lượng vào hệ thống cần thiết cho doanh nghiệp có nhu cầu an toàn hệ thống trước hành vi xâm nhập trái phép Trước phát triển. .. ảo mật mạng, nhóm định chọn đề tài Triển khai hệ thống mạng an toàn với Firewall ASA , với mong muốn đem lại cho doanh nghiệp mô hình đáp ứng yêu cầu bảo mật mà đảm bảo hiệu hoạt động mạng Qua... hoại hệ thống mạng doanh nghiệp ,công ty củng theo đà phát triển internet mà tăng lên nhiều + Việc nghiên cứu đáp ứng cho lãnh vực bảo mật an ninh hệ thống + ASA( Adaptive Security Appliance)