Tìm Tìm hiếu hiêu vổAAA AAAvà vàcấu cấuhình hìnhAAA AAAcho chobức bứcfirewall íircvvallPIX PIXcủa củaCisco Cisco MỤC LỤC LỜI NÓI ĐẦU .! ! .i LỜI NÓI ĐẦU MỤC LỤC ii MỤCVới LỤC ẢNH .iv sựHÌNH phát triển nhanh chóng mạng internet đặt biệt công CHƯƠNG 1: TỐNG QUAN VỀ AN NINH MẠNG nghệ 1.1 Mang máy tính vấn đề phát sinh mạng, kèm Sự theo đóthiết vấn đềcó bảo cácmạng tài nguyên thônghệtin mạng mạng, tránh 1.1.1 cần phải anvệ ninh thống 1.1.1.1 Các yếu tổ cần bảo vệ hệ thống mạng mát, xâm phạmCác việc cầnđảm thiếtbảo vàan cấptoàn bách Bảotin mật mạng hiểu cách 1.1.1.2 yếu tổ thông 1.1.2 Xác định nguy hệ thống mạng bảo vệ, 1.1.2.1 Xác định lồ hồng hệ thống 1.1.2.2 Xáccho định mối phần đe đoạ .3 đảm bảo an toàn cáccác thành mạng bao gồm liệu, thiết bị, sở hạ 1.1.2.3 Các biện pháp an toàn hệ thong tầng 1.1.3 Đo lường nức độ nguy hệ thống mạng 1.2 Các hình thuật mạng đảm bảothức mọivàtàikỹnguyên trêncông mạng tránh việc đánh cắp thông tin, 1.2.1 Quá trình thăm dò công đồng 1.2.1.1 T hăm dò (Reconnaissace) thời tăng tính bảo mật cho mạng cao 1.2.1.2 Quét hệthông thốngtin (Scanning) 1.2.1.3 Chiếm quyền điều khiến (Gainning access) mật làm đau đầu nhà sản xuất, tổ chức cá nhân Vấn đề bảo 1.2.1.4 Duy trì điều khiển hệ thống (Maitaining access) .5 người 1.2.1.5 Xoá dấu vết (Cleaming tracks) mật mạng sử 1.3 dụng.Các Cácbiện nhàpháp quảnbảo trị mạng ngày phải điêu khiên việc truy cập 1.3.1 Mã hoá, nhận dạng, chứng thực người dùng phần quyền sử dụng giám 1.3.1.1 Mã hoa sát thông tin mà người dùng đầu cuối thao tác Những việc làm 77 .7.7 đưa 1.3.1.2 Các giải thuật mã hoá đến 1.3.1.3 Chứng thực người dùng .8 thành1.3.2 công Bảo hay thất bại côngmật ty Và AAA cáchmáy thức tốt đề giámtrạm sát 11 1.3.3 Bảo mật truyền thông mà người11dùng đầu cuối làm mạng cách bảo mật tiện lợi 1.3.4 Các công nghệ kỹ thuật bảo mật Ta có 12 1.3.5 Bảo mật ứng dụng thể xác thực (authentication) người dùng, cấp quyền (authorization) cho người 14 1.3.6 Thống kê tài nguyên 16 CHƯƠNG 2: TONG QUAN VỀ FIREWALL VÀ GIÓI THIỆU CISCO PIX FIREWALL 17 2.1 T quan firewall 17 2.2 Khái niệm tầm quan trọng firewall 17 Tân Việt - Hữu Nghị - Nguyên Hoàng - MM02A - CĐ CNTT Hữu Nghị Việt Hàn Trang iii Tìm hiếu AAA cấu hình AAA cho firewall PIX Cisco CHƯƠNG 3: TỔNG QUAN VỀ AAA VÀ CẤU HÌNH AAA TRÊN CISCO PĨX FIREWALL 30 3.1 Tổng quan AAA 30 3.1.1 Xác thực (Authentication) 31 3.1.2 Uỷ quyền (Authorization) .31 3.1.3 Kiểm toán (Accounting) 32 3.1.4 Giao thức sử dụng dịch vụ AAA 33 3.1.4.1 Giới thiệu 33 3.1.4.2 Tổng quan TACACS 33 3.1.4.3 Tổng quan RADIUS .36 3.2 Dịch vụ AAA CISCO PIX FIREWALL 38 3.2.1 Đặc điểm AAA PIX FIREWALL 38 3.2.2 Cut-through proxy 39 3.2.3 Cấu hình xác thực 40 3.2.3.1 Xác thực User truy cập vào PIX: 41 3.2.3.2 Xác thực cho traffie qua pix 42 3.2.3.3 Xác thực cho dịch vụ khác 43 3.2.4 Cấu hình ủy quyền 46 3.2.5 Cấu hình kiêm toán 46 3.3 Mô 46 3.3.1 Mục tiêu mô 46 3.3.2 Mô hình mô 47 3.3.3 Các công cụ thực mô 47 3.3.4 Các bước mô 48 3.3.5 Kết đạt .59 KẾT LUẬN 60 TÀI LIỆU THAM KHẢO 61 Tân Việt - Hữu Nghị - Nguyên Hoàng - MM02A - CĐ CNTT Hữu Nghị Việt Hàn Trang iii Tìm hiếu AAA cấu hình AAA cho firewall PIX Cisco MỤC LỤC HÌNH ẢNH Hình -1 Quá trình đánh giả nguy hệ thong Hình -2 Quá trình thăm dò vào hệ thống mạng Hình -3 Quét trộm đổi với cống ko hoạt động Hình -4 Đối với công hoạt động .5 Hình -5 Quả trình mã hóa Hình -6 Mô hình giải thuật băm .7 Hình -7 Giải thuật mã hóa đồng bộ/đối xứng Hình -8 Giải thuật mã hóa không đồng bộ/không đối xứng Hình -9 Chủng thực User passvvord Hình 1-10 Hoạt động CHAP Hình 1-11 Mã hóa Kerberos 10 Hình 1-12 Bảo mật FTP 11 Hình 1-13 Mô hình tống quát fìrewaỉl .13 Hình 1-14 Bảo mật VPN 14 Hình 1-15 Hệ thống chống xâm nhập IDS 14 Hình 1-16 Thư điện tử .15 Hình 1-17 Thông kê tài nguyên bang Monỉtoring 16 Hình 2-1 Công nghệ Packet Piltering .21 Hình 2-2 Sử dụng PROXY Server 21 Hình 2-3 Công nghệ State/ul Packet Filter .22 Tân Việt - Hữu Nghị - Nguyên Hoàng - MM02A - CĐ CNTT Hữu Nghị Việt Hàn Trang iv Tìm hiêu vổ AAA cấu hình AAA cho íircvvall PIX Cisco CHƯƠNG 1: TỎNG QUAN VÈ AN NINH MẠNG 1.1 Mang máy tính vấn đề phát sinh / / / Sự cần thiết phải có an ninh mạng hệ thong mạng An ninh mạng bảo vệ mạng bạn trước việc đánh cắp sử dụng sai mục đích thông tin kinh doanh bí mật chống lại công mã độc từ vi rút sâu máy tính mạng Internet Neu an ninh mạng không triên khai công ty bạn gặp rủi ro trước xâm nhập trái phép, ngừng trệ hoạt động mạng, gián đoạn dịch vụ, không tuân thủ quy định chí hành động phạm pháp Từ ta thấy an ninh hệ thống mạng vấn đề nóng hôi, cần quan tâm mang tính quan trọng hết 1.1.1.1 Các yếu tổ cần hảo vệ hệ thống mạng Yeu tố phải nói đến dừ liệu, thông tin lưu trữ hệ thống máy tính cần bảo vệ yêu cầu tính bảo mật, tính toàn vẹn hay tính kịp thời Thông thường yêu cầu bảo mật coi yêu cầu quan trọng thông tin lun trữ mạng Tuy nhiên, thông tin không giữ bí mật, yêu cầu tính toàn vẹn quan trọng Không cá nhân, tổ chức lãng phí tài nguyên vật chất thời gian để lun trữ thông tin mà tính Tân Việt - Hữu Nghị - Nguyên Hoàng - MM02A - CĐ CNTT Hữu Nghị Việt Hàn Trang Tìm hiếu AAA cấu hình AAA cho firewall PIX Cisco Hiện biện pháp công ngày tinh vi, đe doạ tới độ an toàn thông tin đến từ nhiều nơi khác theo nhiều cách khác nhau, yêu cầu cần đê đảm bảo an toàn thông tin sau: V Tính bí mật: Thông tin phải đảm bảo tính bí mật sử dụng đối tượng V Tính toàn vẹn: Thông tin phải đảm bảo đầy đủ, nguyên vẹn cấu trúc, không mâu thuẫn V Tính sẵn sàng: Thông tin phải sẵn sàng đổ tiếp cận, đổ phục vụ theo mục đích cách V Tính xác: Thông tin phải xác, tin cậy V Tính không khước tù’ (chống chối bó): Thông tin có thê kiêm chứng Xác định mối đe nguồn gốc người đưa tin HT Các biện pháp an toàn hệ thống có Hình -1 Quá trình đánh giá nguy hệ thong 1.1.2.1 Xác định ỉ ỏ hông hệ thong Việc xác định lồ hổng hệ thống điểm truy cập vào hệ thống như: Tân Việt - Hữu Nghị - Nguyên Hoàng - MM02A - CĐ CNTT Hữu Nghị Việt Hàn Trang Tìm hiếu AAA cấu hình AAA cho firewall PIX Cisco X Các điểm truy cập người dùng X Các điểm truy cập không dây điếm truy cập, ta phải xác định thông tin có thê truy cập mức độ truy cập vào hệ thống 1.1.2.2 Xác định mối đe ãoạ Đây công việc khó khăn mối đe dọa thường không xuất rõ ràng (ẩn), thời điểm quy mô công trước Các hình thức kỹ thuật công đa dạng như: ❖ DoS/DDoS, BackDoor, Tràn đệm, ❖ Virus, Trojan Horse, Worm ♦♦♦ Social Engineering 1.1.2.3 Các biện pháp an toàn hệ thong Các biện pháp an toàn hệ thống gồm biện pháp như: fưewall, phần mềm diệt virut, điều khiên truy cập, hệ thống chứng thực (mật khấu, sinh trắc học, thẻ nhận dạng), mã hoá liệu, hệ thống xâm nhập IDS, kỹ thuật khác, ý thức người dùng, hệ thống sách bảo mật tự động vá lỗ hệ thống 1.1.3 Đo lường mức độ nguy hệ thống mạng Những nguy bảo mật đe doạ mát liệu nhạy cảm mối lo Tân Việt - Hữu Nghị - Nguyên Hoàng - MM02A - CĐ CNTT Hữu Nghị Việt Hàn Trang Tìm hiếu AAA cấu hình AAA cho firewall PIX Cisco - Thiếu cảnh giác với mạng công cộng: thủ đoạn chung tin tặc hay sử dụng để dẫn dụ nạn nhân đặt thiết bị trung chuyến wireless access-point không cài đặt mật - Các doanh nghiệp không coi trọng việc đặt website máy chủ nào, mức độ bảo mật Do đó, website kinh doanh doanh nghiệp sê mục tiêu đợt công SQL Injection Hơn 90% công vào hệ thống mạng cố gắng khai thác lỗi bảo mật đuợc biết đến Mặc dù vá lồi thuờng xuyên đuợc hãng Hình -2 Quá trình thăm dò vào hệ thống mạng 1.2.1.1 Thăm dò (Reconnaissace) Thăm dò mục tiêu bước qua trọng để biết nhừng thông tin hệ thống mục tiêu Hacker sử dụng kỹ thuật để khám phá hệ thống mục tiêu chạy hệ điều hành nào, có dịch vụ chạy dịch Tân Việt - Hữu Nghị - Nguyên Hoàng - MM02A - CĐ CNTT Hữu Nghị Việt Hàn Trang Tìm hiếu vổ AAA cấu hình AAA cho íircvvall PIX Cisco 1.2.1.2 Quét hệ thống (Scanning) Quét thăm dò hệ thống phương pháp quan trọng mà Attacker thường dùng đề tìm hiếu hệ thống thu thập thông tin địa IP cụ thể, hệ điều hành ĨYN + Port 80-SYN / ACK— Source Destination 192.168.0.8 192.168.0.10 Hình 1-3 Quét trộm đổi với công không hoạt động Source 192.1 68.0 Destinati on 192.16 1.2 ỉ.3 Chiếm quyền điều khiên (Gainning access) o Mức hệ điều hành/mức ứng dụng o Mức mạng o Từ chối dịch vụ 1.2 ỉ.4 Duy trì điểu khiên hệ thông (Maitaining access) Ưpload/download biến đổi thông tin 1.2.1.5 Xo ả dấu vết (Clearning tracks) Sau bị công hệ thống lưu lại vết attacker đê lại Attacker cần xoá chúng nhằm tránh bị phát 1.3 Các biện pháp bảo mật mạng 1.3.1 Mã hoá, nhận dạng, chứng thực người dùng phần quyền sử Tân Việt - Hữu Nghị - Nguyên Hoàng - MM02A - CĐ CNTT Hữu Nghị Việt Hàn Trang Các loại mã hóa Đặc tính Data Encryption Standard (DES) dụng khối bit Tìm Tìm hiếu hiếu vổ vổ AAA AAA và -cấu cấuSử hình hình AAA AAA cho cho bức64 íircvvall íircvvall PIX PIX của Cisco Cisco pháp hai sử dụng key giống Do mã hoá khóa 56 bit không Triple DES (3DES) - Áp dụng DES lần - Sử dụng khóa 168bit - Bị thay AES HASH Advanced Encryption Standard (AES) - VALLE Sử dụng Rhine doll có khả đề Một số giải thuật băm kháng với tất công biết o MD5 (Message Digest 5): giá trị băm 128 bit o SHA-1 (Secure Hash Algorithm): giá trị băm 160 bit Hình 1-5 Quá trình mã hu •G Giải thuật mã hoá đồng bộ/đối xứng (Symmetric) Mã đảmchia sẻ bảo yêuencryption) cầu làsau: Mã hoá hoá đối xứngnhàm hay mã hoá khoá (shared-key mô hình o Tính bí mật (conTidentiality); dừ liệu không bị xem “bên thứ 3” Tính toàncóvẹn (Integrity): mã liệuhoá không bị thay đồi dùng trongchung trình mã hoáohai chiều nghĩa tiến trình giải mã khoá truyền Khoá phải chuyến giao bí mật giũa hai đối tượng tham gia giao tiếp Có Tính không từ chối (Non-repudiation): chế người thực hành thề động bẻ khoá công vét cạn (Brute Force) không thê chối bỏ làm, có thê kiêm chứng nguồn gốc người đưa tin IITS1 -* ||\ 1.3.1.2 Các [...]... Hàn Trang 24 Tìm hiếu về AAA và cấu hình AAA cho bức firewall PIX của Cisco nổi sẽ được mở tại tầng mạng, các thông tin về phiên kết nối sẽ được ghi vào bảng trạng thái và quá trình ASA sê bắt đầu Chú ý: Người dùng có thê được xác thực thông tin trên Pix Firewall bới quá trình xác thực này sẽ làm tăng khối lượng công việc của Pix Firewall c Redundancy (dự phòng): các thiết bị Pix Firewall 515... xa như hình 3.2 Người dùng gọi từ PC đến NAS NAS sẽ hởi thông tin đé xác thực người dùng Từ PC đến NAS, giao thức sử dụng là ppp, Tân Việt - Hữu Nghị - Nguyên Hoàng - MM02A - CĐ CNTT Hữu Nghị Việt Hàn Trang 33 12345678 Major_version 1 2 3 4 5 61 2 3 4 5 1 2 3 4 78 678 5 6 7 8 Tìm Tìm hiêu hiêu vổ v AAA AAAvà và cấu cấu hình hìnhAAA AAAcho cho bức bức íircvvall íircvvall PIX PIX của của Cisco Cisco Minor_version... Việt Hàn Trang 22 Tìm hiếu về AAA và cấu hình AAA cho bức firewall PIX của Cisco khi sổ khác chạy trên hệ điều hành chung (General OS) thì Pix Firewall chạy trên hệ điều hành riêng cho thiết bị Hệ thống mang tính độc quyền của Cisco và sử dụng với mục đích bảo mật Hệ thông này có những đặc diêm sau: o An ninh hon: hệ thống đơn được thiết kế với các tính năng dành riêng cho Pix Firewall do vậy sẽ... Trang 12 Tìm hiếu về AAA và cấu hình AAA cho bức firewall PIX của Cisco Firewall có thể là phần cứng, phần mềm hoặc cả hai Tất cả đều có chung một thuộc tính là cho phép xử lý dựa trên địa chỉ nguồn, bên cạnh đó nó còn có các Hình 1-13 Mô hình tồng quát fìrewaỉì Do đó việc lựa chọn fírewall thích hợp cho một hệ thống không phải là dễ dàng Các firewall đều phụ thuộc trên một môi trường, cấu hình mạng,... ta cũng có thể giám sát tất cả nhừng gì mà họ làm AAA Tân Việt - Hữu Nghị - Nguyên Hoàng - MM02A - CĐ CNTT Hữu Nghị Việt Hàn Trang 30 Tìm hiếu về AAA và cấu hình AAA cho bức firewall PIX của Cisco Các dịch vụ AAA bao gồm ba phần, xác thực (authentication), ưỷ quyền (accounting) và kiểm toán (accounting) Ta sẽ tìm hiểu sự khác nhau của ba phần này và cách thức chúng làm việc nhu thê nào 3.1.1 Xác... 26 Tìm hiếu về AAA và cấu hình AAA cho bức firewall PIX của Cisco lượng có thể đi từ vùng Inside đến DMZ hay Outside và từ vùng DMZ đến Outside còn các lưu lượng theo các chiều khác thì không cho phép 2.3.3.1 Định tuyến trong PIX FIREWALL Mặc định thì pix fìrewall đóng vai trò như một thiết bị lóp 3 trong hệ thống mạng, nghĩa là nó phải định tuyến các lưu lượng đi qua nó, khi gói tin đến pix firewall. .. Neu thấy không vi phạm luật nào thì cho đi qua, ngược lại thì huỷ gói dừ liệu Pix firewall hoạt động dựa trên cơ chế ASA (Adaptive Security Tân Việt - Hữu Nghị - Nguyên Hoàng - MM02A - CĐ CNTT Hữu Nghị Việt Hàn Trang 25 Tìm hiếu về AAA và cấu hình AAA cho bức firewall PIX của Cisco s Cấm các kết nổi vào bên trong, ngoại trừ những kết nối được phép Một kết nổi vào bên trong là một nguồn hoặc Client... cụ thể hay trên từng giao thức AAA cho phép nhà quản trị tạo ra các thuộc tính mô tả các chức năng của người Tân Việt - Hữu Nghị - Nguyên Hoàng - MM02A - CĐ CNTT Hữu Nghị Việt Hàn Trang 31 Tìm hiếu về AAA và cấu hình AAA cho bức firewall PIX của Cisco Ví dụ: Trong trường hợp của một nhà cung cấp dịch vụ Internet, nó có thể quyết định liệu một địa chỉ ĨP tĩnh được cho là trái ngược với một địa chỉ... lọc được nội dung của gói tin mà chỉ có thể lọc được phần nội dung trong header của gói tin Tân Việt - Hữu Nghị - Nguyên Hoàng - MM02A - CĐ CNTT Hữu Nghị Việt Hàn Trang 18 Tìm hiếu về AAA và cấu hình AAA cho bức firewall PIX của Cisco còn có thề kiểm tra được nội dung của gói tin Các thông tin mà firewall kiểm tra được người dùng quy định trước trong tập luật Neu gói tin được cho qua thì tiếp theo... 27 Tìm hiếu về AAA và cấu hình AAA cho bức firewall PIX của Cisco nổi này mặc định là không được phép trừ khi người quản trị thiết lập cặp gồm chuyển đổi địa chỉ tĩnh (Static Translation) và Access list 2.3.3.3 Truy cập ngoài thông qua FIRE WALL Các kết nối ra ngoài (Outbound Connection) luôn được cho phép bởi chính sách bảo mật mặc định Tuy nhiên ta cần phải thiết lập chuyên đôi địa chỉ cho Pix ... CNTT Hữu Nghị Việt Hàn Trang 38 r □1 Tìm Tìm hiếu hiêu v AAA AAAvà v cấu cấuhình hìnhAAA AAAcho chobức bứcfirewall íircvvallPIX PIXcủa củaCisco Cisco dụng AAA server có tiếp đến Uservấn được... EO 209.162 u/24 Tìm hình Tìmhiếu hiêuvổ v AAA AAAvà v cấu cấu hìnhAAA AAAcho chobức bức ircvvall íircvvallPIX PIXcủa củaCisco Cisco E1 172.16.1.2/24 ping 172.16.1.1 3.3.2 Mô hình CácSetup bướcmô... Encryption Standard (DES) dụng khối bit Tìm Tìm hiếu hiếu vổ vổ AAA AAA và -cấu cấuSử hình hình AAA AAA cho cho bức6 4 íircvvall íircvvall PIX PIX của Cisco Cisco pháp hai sử dụng key giống Do mã