1. Trang chủ
  2. » Luận Văn - Báo Cáo

Nghiên cứu về hệ thống firewall ASA

73 726 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 73
Dung lượng 1,59 MB

Nội dung

Nghiên cứu về hệ thống firewall ASA

1 Mục lục A.Tổng quan đề tài .2 B Cấu trúc đề tài I.Tổng quan an ninh mạng: 1.Mục tiêu an ninh mạng .4 2.Các phương thức công Các sách an ninh mạng II Radius 14 Tổng quan Radius: .14 Kiến trúc RADIUS: 18 Hoạt động: .31 RFCs: 34 III ASA 39 Lịch sử đời 39 Các sản phẩm tường lửa Cisco: 40 Điều khiển truy cập mạng (NAC) 40 Giao thức AAA dịch vụ hỗ trợ Cisco ASA 45 Kiểm tra ứng dụng 53 Khả chịu lỗi dự phòng (failover and redundancy) .53 Chất lượng dịch vụ (QoS) .55 Phát xâm nhập (IDS) .57 IV Mô 61 Mục tiêu mô 61 Mô hình mô 61 Các công cụ cần thiết để thực mô 61 Các bước mô 61 Kết đạt .70 V.KẾT LUẬN CHUNG 71 VI.HƯỚNG PHÁT TRIỂN CỦA ĐỀ TÀI .72 Mục lục hình vẻ GVHD: THS Nguyễn Đức Quang A.Tổng quan đề tài Mục tiêu việc nghiên cứu Firewall ASA + Việc nghiên cứu giúp cho khả tự học ,tìm hiểu nghiên cứu độc lập ngày tốt + Nghiên cứu hệ thống firewall ASA + Triển khai hệ thống phất hiện, ngăn chặn lưu lượng vào hệ thống cần thiết cho doanh nghiệp có nhu cầu an toàn hệ thống trước hành vi xâm nhập trái phép Trước phát triển internet hiểu biết ngày sâu người việc truy cập phá hoại hệ thống mạng doanh nghiệp ,công ty củng theo đà phát triển internet mà tăng lên nhiều + Việc nghiên cứu đáp ứng cho lãnh vực bảo mật an ninh hệ thống + ASA(Adaptive Security Appliance) thiết bị tường lửa mạnh tất ưa chuộng Cisco.Chính mục tiêu đề tài nhằm nghiên cứu tìm hiểu cách thức hoạt động,phương pháp cấu hình ứng dụng việc bảo mật hệ thống mạng.Kết đạt qua việc nghiên cứu thiết bị hiểu cách thức hoạt động có khả triển khai thiết bị vào số hệ thống mạng +Nghiên cứu AAA server +Nghiên cứu cách tổ chức giám sát hoạt động người dùng cuối thời gian bắt đầu hay kết thúc người dùng (accounting).Bảo mật vấn đề quan trọng.Với mức độ điều khiển, thật dễ dàng để cài đặt bảo mật quản trị mạng định nghĩa vai trò (role) đưa cho user lệnh mà họ cần để hoàn thành nhiệm vụ họ theo dõi thay đổi mạng Với khả log lại GVHD: THS Nguyễn Đức Quang kiện, ta có điều chỉnh thích hợp với yêu cầu đặt Tất thành phần cần thiết để trì tính an toàn, bảo mật cho mạng Với thông tin thu thập được, tiên đoán việc cập nhật cần thiết theo thời gian Yêu cầu bảo mật liệu, gia tăng băng thông, giám sát vấn đề mạng thông AAA server B Cấu trúc đề tài Đề tài chia làm phần I Tổng quan an ninh mạng Chương mô tả nguy an ninh mạng sách an ninh nhằm đem lại hiệu qua cho việc bảo mật liệu làm giảm nguy phát công II Radius Chương mô tả kỹ thuật sử dụng để xác thực,ủy quyền,thanh toán nhằm đem lại hiểu cao cho an ninh mạng toàn vẹn tránh thất thoát liệu III ASA Chương giới thiệu tường lủa cisco asa ,các kỹ thuật áp dụng cho tường lửu IV Mô Chương mô tả trình thực cisco asa với mô hình mạng cụ thể cho thấy tính thực tế kiểm nghiệm lý thuyết đề tài này.Chỉ rõ chi tiết trình thực nghiệm V Kết luận chung Chương nêu kết đề tài làm mặc hạn chế khó khăn chưa thực đề tài VI Hướng phát triển đề tài GVHD: THS Nguyễn Đức Quang I.Tổng quan an ninh mạng: 1.Mục tiêu an ninh mạng Việc phát triển ngày tăng mạng internet thuận tiện mà đem lại cho người nhiên kéo theo nhiều mối nguy hiểm rình rập hacker mạng Đảm bảo cho người dùng an toàn làm việc mạng mục tiêu hàng đầu an ninh mạng:  Bảo đảm mạng nội không bị xâm nhập trái phép  Các tài liệu thông tin quan trọng không bị rò rỉ bị  Các dịch vụ thực nhanh chóng không bị trì trệ không thực  Các mua bán mạng diễn với yêu cầu người dùng  Người dùng làm việc mạng không bị mạo danh, lừa đảo 2.Các phương thức công          Virus Worm Trojan Từ chối dịch vụ Phân phối từ chối dịch vụ Zombies Spyware Phishing Dựa vào yếu tố người 2.1 Virus Một virus máy tính thiết kế để công máy tính thường phá máy tính khác thiết bị mạng Một virus thường tập tin đính kèm e-mail, chọn tập tin đính kèm gây mã thực thi để chạy tái tạo virus Một virus phải thực chạy nhớ để chạy tìm kiếm chương trình khác máy chủ để lây nhiễm nhân rộng Như tên nó, virus cần máy chủ bảng tính e-mail để đính kèm, lây nhiễm, nhân rộng Có số hiệu ứng chung vi rút Một số virus lành tính, cần thông báo cho nạn nhân họ họ bị nhiễm bệnh Các virus ác tính tạo hủy hoại cách xóa tập tin không gây lỗi cho máy tính bị nhiễm có chứa tài GVHD: THS Nguyễn Đức Quang sản kỹ thuật số, chẳng hạn hình ảnh, tài liệu, mật khẩu, báo cáo tài 2.2 Worm Worm chương trình phá hoại quét điểm yếu lỗ hổng bảo mật máy tính khác để khai thác điểm yếu nhân rộng.Worm tái tạo độc lập nhanh chóng Worm khác với virus hai cách chính: Virus cần máy chủ để đính kèm thực hiện, sâu không yêu cầu máy chủ.Virus sâu thường gây loại khác hủy diệt Virus, chúng cư trú nhớ, thường xóa sửa đổi tập tin quan trọng máy tính bị nhiễm bệnh Tuy nhiên, Worms có xu hướng mạng trung tâm so với máy tính trung tâm Worms tái tạo cách nhanh chóng cách bắt đầu kết nối mạng để nhân rộng gửi số lượng lớn liệu Worms chứa hành khách mang theo, trọng tải liệu, mà giao máy tính mục tiêu cho trạng thái zombie Zombie máy tính có bị xâm phạm kiểm soát kẻ công mạng Zombies thường sử dụng để khởi động công mạng khác Một sưu tập lớn zombie điều khiển kẻ công gọi "botnet" Botnets phát triển lớn Botnet xác định lớn 100.000 máy tính zombie 2.3 Trojan horse Một ngựa Trojan, Trojan, phần mềm nguy hại tìm cách ngụy trang ứng dụng đáng tin cậy trò chơi trình bảo vệ hình Một người dùng tin cậy cố gắng để truy cập trò chơi vô thưởng vô phạt trình bảo vệ hình, Trojan bắt đầu hoạt động gây tổn hại xóa tập tin định dạng lại ổ đĩa cứng Trojan thường không tự chép.Những kẻ công mạng cố gắng sử dụng ứng dụng phổ biến, chẳng hạn iTunes Apple, để triển khai Trojan Ví dụ, công mạng gửi e-mail với liên kết có mục đích để tải hát iTunes miễn phí Trojan sau bắt đầu kết nối đến máy chủ web bên bắt GVHD: THS Nguyễn Đức Quang đầu công người dùng cố gắng để tải hát miễn phí rõ ràng 2.4 Từ chối dịch vụ Một công từ chối dịch vụ (DoS) công mạng có kết việc từ chối dịch vụ ứng dụng yêu cầu máy chủ web Có vài chế để tạo công DoS Các phương pháp đơn giản tạo lượng lớn xuất để giao thông mạng hợp lệ Đây loại công DoS mạng cố gắng để làm nghẽn ống dẫn lưu lượng truy cập mạng để sử dụng hợp lệ có thông qua kết nối mạng Tuy nhiên, loại DoS thông thường cần phải phân phối thường đòi hỏi nhiều nguồn để tạo công.Một công DoS lợi dụng thực tế hệ thống mục tiêu máy chủ phải trì thông tin trạng thái có kích thước đệm dự kiến nội dung gói tin mạng cho ứng dụng cụ thể Một công DoS khai thác lỗ hổng cách gửi gói có giá trị kích cỡ liệu mà không mong đợi ứng dụng nhận được.Một số loại công DoS tồn tại, bao gồm công Teardrop Ping of Death, mà gửi gói thủ công mạng khác từ ứng dụng dự kiến gây sụp đổ ứng dụng máy chủ Những công DoS máy chủ không bảo vệ, chẳng hạn máy chủ thương mại điện tử, gây máy chủ bị lỗi ngăn chặn người dùng bổ sung thêm hàng vào giỏ mua sắm họ 2.5 Distributed Denial-of-Service DDoS tương tự ý định công DoS, ngoại trừ công DDoS tạo nhiều nguồn công Ngoài để tăng lượng truy cập mạng từ nhiều kẻ công phân phối, công DDoS đưa thách thức yêu cầu bảo vệ mạng để xác định ngăn chặn kẻ công phân phối 2.6 Spyware Spyware lớp ứng dụng phần mềm tham gia vào công mạng Spyware ứng dụng cài đặt để ẩn máy tính máy GVHD: THS Nguyễn Đức Quang tính xách tay mục tiêu Một ứng dụng phần mềm gián điệp bí mật cài đặt, phần mềm gián điệp bắt thông tin người dùng làm với máy tính họ Một số thông tin bị bắt bao gồm trang web truy cập, e-mail gửi đi, mật sử dụng Những kẻ công sử dụng mật thông tin bắt để vào mạng để khởi động công mạng Ngoài việc sử dụng để trực tiếp tham gia vào công mạng, phần mềm gián điệp sử dụng để thu thập thông tin bán cách bí mật Thông tin này, lần mua, sử dụng kẻ công khác "khai thác liệu" để sử dụng việc lập kế hoạch cho công mạng khác 2.7 Phishing Phishing kiểu công mạng thường bắt đầu cách gửi e-mail để người dùng không nghi ngờ Các e-mail lừa đảo cố gắng để trông giống thư điện tử hợp pháp từ tổ chức biết đến đáng tin cậy trang web ngân hàng, thương mại điện tử E-mail giả cố gắng thuyết phục người dùng việc xảy ra, chẳng hạn hoạt động đáng ngờ tài khoản họ, người sử dụng phải thực theo liên kết e-mail đăng nhập vào trang web để xem thông tin người dùng họ Các liên kết e-mail thường giả ngân hàng trang web thương mại điện tử thực tính tương tự nhìn-và-cảm nhận trang web thực Các công lừa đảo thiết kế để lừa người dùng cung cấp thông tin có giá trị tên người dùng mật họ 2.8 Dựa vào yếu tố người Kẻ công liên lạc với người quản trị hệ thống, giả làm người sử dụng để yêu cầu thay đổi mật khẩu, thay đổi quyền truy nhập hệ thống, chí thay đổi số cấu hình hệ thống để thực phương pháp công khác.Với kiểu công không thiết bị ngăn chặn cách hữu hiệu, có cách giáo dục người sử dụng mạng nội yêu cầu bảo mật để đề cao cảnh giác với tượng đáng nghi.Nói chung yếu GVHD: THS Nguyễn Đức Quang tố người điểm yếu hệ thống bảo vệ nào, có giáo dục cộng với tinh thần hợp tác từ phía người sử dụng nâng cao độ an toàn hệ thống bảo vệ Các sách an ninh mạng Hai hình thức sách bảo mật có liên quan đến tường lửa: Các sách an ninh văn (đôi gọi sách an ninh thông tin) để xác định mục tiêu an ninh cho tổ chức (bao gồm tường lửa họ) Các sách quản lý lọc nguồn đích (đôi gọi sách tường lửa thiết lập quy tắc tường lửa) để xác định cấu hình thực tế thiết bị 3.1 Các sách an ninh văn Chính sách an ninh văn tồn để cung cấp lộ trình cấp cao cần phải thực để đảm bảo tổ chức có chiến lược an ninh xác định tốt sức tưởng tượng Đó quan niệm sai lầm phổ biến mà tổ chức có sách an ninh Trong thực tế, sách bảo mật tổng thể tổ chức thường bao gồm nhiều sách bảo mật cá nhân, mà ghi vào địa mục tiêu cụ thể, thiết bị, sản phẩm Mục tiêu sách an ninh xác định cần phải bảo vệ, người có trách nhiệm bảo vệ, số trường hợp bảo vệ xảy Chức cuối thường tách thành tài liệu thủ tục độc lập lọc nguồn, lọc đích, quản lý truy Tóm lại, sách bảo mật đơn giản xác nên vạch yêu cầu cụ thể, quy tắc, mục tiêu phải đáp ứng, để cung cấp phương pháp đo lường đặc điểm an ninh chứng thực tổ chức Để giúp đảm bảo sách bảo mật làm điều này, suy nghĩ tường lửa điều khoản lớp bảo mật, với lớp có lĩnh vực cụ thể Toàn vẹn vật lý hoạt động Hình 1-1 minhtường họa lửa lớp tường lửa Như hình Truy bên cholýthấy, cập vật tường lửa chia thành bốn thành phần riêng biệt Cấu hình tường lửa tĩnh Cấu hình tường lửa động GVHD: THS Nguyễn Đức Quang Lưu lượng mạng qua tường lửa Truy cập quản trị Nâng cấp phần mềm Tập tin cấu hình Các giao thức định tuyến Truy cập vào mạng tường lửa bảo vệ Hình 1-1: Các lớp bảo mật tường lửa Tại trung tâm lớp toàn vẹn vật lý tường lửa, mà chủ yếu liên quan tới quyền truy cập vật lý vào tường lửa, để đảm bảo quyền truy cập vật lý vào thiết bị, chẳng hạn thông qua kết nối cứng cổng console Lớp cấu hình tường lửa tĩnh, mà chủ yếu liên quan tới truy cập vào phần mềm tường lửa cấu hình tĩnh chạy (ví dụ, hệ điều hành PIX cấu hình khởi động) Tại lớp này, sách bảo mật cần tập trung vào việc xác định hạn chế yêu cầu để hạn chế truy cập quản trị, bao gồm cập nhật phần mềm thực cấu hình tường lửa Lớp thứ ba cấu hình tường lửa động, bổ sung cấu hình tĩnh việc có liên quan tới cấu hình động tường lửa thông qua việc sử dụng công nghệ giao thức định tuyến, lệnh ARP, giao diện tình trạng thiết bị, kiểm toán, nhật ký, lệnh tránh Mục tiêu sách an ninh điểm để xác định yêu cầu xung quanh loại cấu hình động cho phép Cuối lưu lượng mạng qua tường lửa, mà thực mà tường lửa tồn để bảo vệ tài nguyên Lớp có liên quan tới chức ACL thông tin dịch vụ proxy Các sách an ninh lớp có trách nhiệm xác định yêu cầu chúng liên quan đến lưu lượng qua tường lửa Định dạng sách an ninh: Để thực mục tiêu xác định trước đó, hầu hết sách bảo mật tuân theo định dạng bố trí cụ thể chia sẻ yếu tố thông thường Nói chung, hầu hết sách an ninh chia sẻ bảy phần: • Tổng quan: Phần tổng quan cung cấp giải thích ngắn gọn địa sách • Mục đích: phần mục đích giải thích sách cần thiết • Phạm vi: Phần phạm vi xác định sách áp dụng cho xác định người chịu trách nhiệm sách GVHD: THS Nguyễn Đức Quang 10 • Chính sách: phần sách thân sách thực tế • Thực thi: Phần thực thi định nghĩa cách sách cần thực thi hậu việc không theo sách • Định nghĩa: Phần định nghĩa bao gồm định nghĩa từ khái niệm sử dụng sách • Xem lại lịch sử: Phần xem lại lịch sử nơi mà thay đổi sách ghi lại theo dõi Mỗi tổ chức có yêu cầu an ninh riêng biệt có sách bảo mật riêng độc đáo họ Tuy nhiên, hầu hết tất môi trường đòi hỏi số sách an ninh chung, bao gồm: • Chính sách quản lý truy cập • Chính sách lọc • Chính sách định tuyến • Chính sách Remote-access/VPN • Chính sách giám sát / ghi nhận • Chính sách vùng phi quân (DMZ) • Chính sách áp dụng thông thường 3.2 Chính sách quản lý truy cập: Chính sách quản lý truy cập tồn để xác định phương pháp cho phép cách truy cập quản lý tường lửa Chính sách có xu hướng giải toàn vẹn vật lý tường lửa lớp bảo mật cấu hình tường lửa tĩnh Các sách quản lý truy cập cần phải định nghĩa cho hai giao thức quản lý từ xa cục cho phép, người dùng kết nối với tường lửa có quyền truy cập để thực tác vụ Ngoài ra, sách quản lý truy cập cần xác định yêu cầu giao thức quản lý Network Time Protocol (NTP), syslog, TFTP, FTP, Simple Network Management Protocol (SNMP), giao thức khác sử dụng để quản lý trì thiết bị 3.3 Chính sách lọc: Thay định nghĩa quy tắc thực tế tường lửa sử dụng, sách lọc cần phải xác định xác loại lọc mà phải sử dụng nơi lọc áp dụng Chính sách có xu hướng để giải cấu hình tường lửa tĩnh chi tiết GVHD: THS Nguyễn Đức Quang 59  Không cho biết việc attack có thành công hay không  Một hạn chế giới hạn băng thông Những dò mạng phải nhận tất lưu lượng mạng, xếp lại lưu lượng phân tích chúng Khi tốc độ mạng tăng lên khả đầu dò Một giải pháp bảo đảm cho mạng thiết kế xác phép đặt nhiều đầu dò Khi mà mạng phát triển, nhiều đầu dò lắp thêm vào để bảo đảm truyền thông bảo mật tốt  Một cách mà kẻ xâm nhập cố gắng nhằm che đậy cho hoạt động họ gặp hệ thống IDS dựa mạng phân mảnh gói thông tin họ Mỗi giao thức có kích cỡ gói liệu giới hạn, liệu truyền qua mạng lớn kích cỡ gói liệu phân mảnh Phân mảnh đơn giản trình chia nhỏ liệu mẫu nhỏ Thứ tự việc xếp lại không thành vấn đề miễn không xuất hiện tượng chồng chéo Nếu có tượng phân mảnh chồng chéo, cảm biến phải biết trình tái hợp lại cho Nhiều hacker cố gắng ngăn chặn phát cách gởi nhiều gói liệu phân mảnh chồng chéo Một cảm biến không phát hoạt động xâm nhập cảm biến xếp lại gói thông tin cách xác 8.2 Host-based intrusion detection systems (HIDS) Bằng cách cài đặt phần mềm tất máy tính chủ, IDS dựa máy chủ quan sát tất hoạt động hệ thống, file log lưu lượng mạng thu thập Hệ thống dựa máy chủ theo dõi OS, gọi hệ thống, lịch sử sổ sách (audit log) thông điệp báo lỗi hệ thống máy chủ Trong đầu dò mạng phát công, có hệ thống dựa máy chủ xác định xem công có thành công hay không Thêm là, hệ thống dựa máy chủ ghi nhận việc mà người công làm máy chủ bị công (compromised host) Không phải tất công thực qua mạng Bằng cách giành quyền truy cập mức vật lý (physical access) vào hệ thống máy tính, kẻ xâm nhập công hệ thống hay liệu mà không cần phải tạo lưu lượng mạng (network traffic) Hệ thống dựa máy chủ phát GVHD: THS Nguyễn Đức Quang 60 công mà không qua đường công cộng hay mạng theo dõi, hay thực từ cổng điều khiển (console), với kẻ xâm nhập có hiểu biết, có kiến thức hệ IDS nhanh chóng tắt tất phần mềm phát có quyền truy cập vật lý Một ưu điểm khác IDS dựa máy chủ ngăn chặn kiểu công dùng phân mảnh TTL Vì host phải nhận tái hợp phân mảnh xử lí lưu lượng nên IDS dựa host giám sát chuyện HIDS thường cài đặt máy tính đinh Thay giám sát hoạt động network segment, HIDS giám sát hoạt động máy tính HIDS thường đặt host xung yếu tổ chức, server vùng DMZ thường mục tiêu bị công Nhiêm vụ HIDS giám sát thay đổi hệ thống, bao gồm (not all): - Các tiến trình - Các mục Registry - Mức độ sử dụng CPU - Kiểm tra tính toàn vẹn truy cập hệ thống file - Một vài thông số khác Các thông số vượt qua ngưỡng định trước thay đổi khả nghi hệ thống file gây báo động 8.2.1 Lợi HIDS - Có khả xác đinh user liên quan tới kiện (event) - HIDS có khả phát công diễn máy, NIDS khả - Có thể phân tích liệu mã hoá - Cung cấp thông tin host lúc công diễn host 8.2.2 Hạn chế HIDS - Thông tin từ HIDS không đáng tin cậy công vào asa thành công - Khi tường lửa asa bị "hạ" công, đồng thời HIDS bị "hạ" - HIDS phải thiết lập host cần giám sát - HIDS khả phát dò quét mạng (Nmap, Netcat…) - HIDS cần tài nguyên host để hoạt động - HIDS không hiệu bị DOS GVHD: THS Nguyễn Đức Quang 61 IV Mô Mục tiêu mô Mô giúp thấy tính thấy rõ nguyên lý hoạt động củng bước cấu hình AAA server Thực tính remote từ xa thông qua vpn ASA chứng thực với giao thức Radius Mô hình mô Các công cụ cần thiết để thực mô Hệ diều hành window xp window 2003 server cài AD Phần mềm giả lập GNS3.Fidder Tool ASDM,VPN client cisco Máy PC phải cài gói java để hộ trợ cho ASDM Cài phần mềm ACS 4.2 Các bước mô Chạy phần mềm ACS 4.2 Chọn “Network Configuration” bên trái , bấm vào “Add Entry” phần aaa client GVHD: THS Nguyễn Đức Quang 62 Tạo thêm aaa server Chọn menu “interface configuration”=>Adcance options GVHD: THS Nguyễn Đức Quang 63 Đánh dấu vào mục Chọn menu “share profile components”=>Downloadable IP ACLs Định nghĩa cho phép khách vpn tới mạng lan bên GVHD: THS Nguyễn Đức Quang 64 Tạo acl cho phép khách truy cập hệ thống Tạo group :vpnclientgroup cho phép group tải acl định nghĩa Tạo user cho phép user tải acl định nghĩa GVHD: THS Nguyễn Đức Quang 65 User tạo lấy database window Chọn finish Vào user=dial-in chọn allow GVHD: THS Nguyễn Đức Quang 66 Cấu hình ASA cho phép vpn chứng thức với AAA(Radius) Server Bước 1:Đặt dãy ip cho phép người dung từ xa kết nối vào hệ thống ip local pool mypool 172.16.1.100-172.16.1.200 mask 255.255.255.0 ! Bước 2: Tạo ACL cho phép dãy ip người dùng từ xa kết nối vào hệ thống access-list vpnclientgroup standard permit 192.168.1.0 255.255.255.0 access-list inside_nat0_outbound extended permit ip 192.168.1.0 255.255.255.0 172.16.1.0 255.255.255.0 nat (inside) access-list inside_nat0_outbound Bước 3: Thiết lập chứng thực user group máy chủ bên aaa-server vpnclientgroup protocol radius aaa-server vpnclientgroup host 192.168.1.2 key 123456 Bước 4:Thiết lập sách người dùng từ xa group-policy vpnclientgroup internal group-policy vpnclientgroup attributes dns-server value 192.168.1.2 vpn-tunnel-protocol IPSec split-tunnel-policy tunnelspecified split-tunnel-network-list value vpnclientgroup default-domain value da.com Bước 5:Tạo đường hầm cho phép kết nối với sách dành cho người dùng phương thức chứng thực khóa chia tunnel-group vpnclientgroup type ipsec-ra tunnel-group vpnclientgroup general-attributes address-pool mypool authentication-server-group vpnclientgroup default-group-policy vpnclientgroup tunnel-group vpnclientgroup ipsec-attributes pre-shared-key 123456 GVHD: THS Nguyễn Đức Quang 67 Bước 6: Xác định phương thức mã hóa chứng thực chuyển đổi liệu mã hóa chứng thực thông qua đường truyền crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac crypto dynamic-map outside_dyn_map 20 set pfs crypto dynamic-map outside_dyn_map 20 set transform-set ESP-3DES-SHA crypto map outside_map 65535 ipsec-isakmp dynamic outside_dyn_map crypto map outside_map interface outside crypto isakmp enable outside crypto isakmp policy 10 authentication pre-share encryption 3des hash sha group lifetime 86400 Cấu hình máy khách Tiếp theo cấu hình khách remote access tới ASA vào truy cập máy chủ web,ftp nội Mở phần mền Ugent VPN cisco điền thông tin group pre share key để kết nối GVHD: THS Nguyễn Đức Quang 68 Hiện lên thông báo yều cấu cung cấp username password truy cập vào mạng nội Mở wireshark lên bắt gói radius GVHD: THS Nguyễn Đức Quang 69 Mở ACS vào menu “reports and activity” chọn Radius accouting để xem GVHD: THS Nguyễn Đức Quang 70 Kết đạt Thông qua trình mô hiểu rõ trình xác thực radius giống mô tả lý thuyết Nắm rõ hoạt động củng tính tường lửa cisco asa Giả lập firewall asa gns3 Quản lý giám sát người dùng truy cập vào hệ thống thông qua chế vpn Đáp ứng an toàn thông tin liệu vụ bảo vệ firewall với chế mã hóa,xác thực,quyền hạn truy cập GVHD: THS Nguyễn Đức Quang 71 V.KẾT LUẬN CHUNG Radius giao thức chứng thực người dùng đầu cuối nhằm đảm bảo cho an toàn thông tin nhiên chưa phải giao thức hoàn hảo với số lổ hỏng sau:  Cho phép kẽ công thỏa hiệp giao dịch  Thuật toán mã hóa user/password không an toàn  Có thể bị công theo cách yêu càu chứng thực gói tin Radius o Lặp lặp lại yêu cầu xác thực thuộc tính người dùng-mật o Chia khóa bí mật Tường lửa cisco asa thiết bị để đảm bảo an toàn thông tin ,bảo mật hệ thống nhiên mắc phải số hổ hỏng ,không có an toàn tuyệt đối nhiên để khắc phục hạn chế rủi ro nên thường xuyên cập nhật vá lỗi củng phiên từ trang chủ cisco Do thời gian hạn hẹp nguồn nhân lực có hạn nên đề tài không tránh khỏi thiếu sót mong thời gian tới khắc phục để đồ án hoàn chỉnh GVHD: THS Nguyễn Đức Quang 72 VI.HƯỚNG PHÁT TRIỂN CỦA ĐỀ TÀI Tiếp nhận ý kiến giáo viên hướng dẩn ,hội đồng phản biện ý kiến bạn bè để bổ sung chỉnh sửa khắc lại đồ án chỗ chưa hay ,sai sót phát huy mạnh đồ án Tìm hiểu triển khai phương thức xác thực an toàn Cập nhật khắc phục lỗi tường lửa cisco asa Tiếp cận môi trường thực tế,hiện thực mô môi trường thiết bị thật Triển khai mô hình mạng hoàn chỉnh thực tế đáp ứng nhu cầu công ty doanh nghiệp GVHD: THS Nguyễn Đức Quang 73 Tài liệu tham khảo: • RFC 2865: Remote Authentication Dial In User Service (RADIUS) Link: http://www.ietf.org/rfc/rfc2865.txt • RFC 2866: RADIUS Accounting Link: http://www.ietf.org/rfc/rfc2866.txt • Firewall Fundamentals by Wes Noonan, Ido Dubrawsky Publisher: Cisco Press - 2/6/2006 • RADIUS by Jonathan Hassell Publisher: O’Reilly – 10/2002 • Cisco ASA and PIX Firewall Handbook by Dave Hucaby Publisher: Cisco Press – 7/1/2005 • Cisco ASA: All-in-one Firewall, IPS and VPN Adaptive Security Appliance by Jazib Frahim, Omar Santos Publisher: Cisco Press – 21/10/2005 • Cisco ASA: All-in-one Firewall, IPS, Anti-X and VPN Adaptive Security Appliance (Second Edition) by Jazib Frahim, Omar Santos Publisher: Cisco Press – 21/10/2005 • Cisco Access Control Security: AAA Administrative Services by Brandon Carroll Publisher: Cisco Press – 27/5/2004 GVHD: THS Nguyễn Đức Quang [...]... duy nhất để hình thành một mối quan hệ tin cậy - cả hai đều giả định là người dùng hợp lệ Sự tin tưởng giữa các hệ thống cho phép cho các chức năng quan trọng như các máy chủ proxy, trong đó một hệ thống chấp nhận một yêu cầu thay mặt cho một hệ thống khác và cho phép AAA thực thi nối các mạng không đồng nhất hỗ trợ các loại máy khách và dịch vụ khác nhau Mối quan hệ tin tưởng có thể trở nên khá phức... mạng P2P, tất cả các hệ thống hiển thị đặc tính của cả hai hệ thống máy khách và máy chủ, có thể giới thiệu những điểm như độ trễ và chưa sẵn sàng xử lý Một khả năng proxy là một biến thể nhỏ về điều này Một máy chủ AAA có thể được cấu hình để ủy quyền cho một yêu cầu hoặc vượt qua nó cùng với một máy chủ AAA, sau đó sẽ làm cho các quy định thích hợp hoặc vượt qua nó cùng một lần nữa Về bản chất, một chuỗi... với một Access-Accept, nếu không một Access-Reject sẽ được trả về máy khách 1 2 3 6 ASA Người Hình dùng 2-12: Quá trình xác thực RADIUS đơn giản 4 5 Máy chủ Radius ACS 1) Người dùng cố gắng truy cập vào Cisco ASA 2) Cisco ASA yêu cầu người dùng nhập tên và mật khẩu 3) Người dùng nhập vào thông số của mình và gửi cho cisco ASA 4) Cisco ASA gửi gói Access-Request tới máy chủ RADIUS 5) Nếu thông số người... máy chủ RADIUS 5) Nếu thông số người dùng nhập có trong cơ sở dữ liệu tại máy chủ RADIUS, máy chủ RADIUS sẽ gửi gói Access-Accept về cho Cisco ASA, nếu thông số người dùng nhập không có thì máy chủ RADIUS sẽ gửi gói Access-Reject về cho cisco ASA 6) Cisco ASA sẽ phản hồi về cho máy khách biết được phép hay không được phép truy cập vào 1 dịch vụ cụ thể 3.2 Quá trình kế toán: Khi một máy khách được cấu... Mối quan hệ tin tưởng Yêu cầu Proxies Yêu cầu Proxies Mối quan hệ tin tưởng Máy chủ AAA phê duyệt Máy chủ AAA cuối Máy chủ AAA trung gian HÌNH 2-1:MỐI QUAN HỆ TIN TƯỞNG ĐỘC LẬP TRONG MỘT GIAO DỊCH HOP-TOHOP Khác với mô hình hop-to-hop là phương pháp giao dịch end-to-end Sự khác biệt chính là, một lần nữa, nơi mà các mối quan hệ tin cậy nằm trong mô hình này, đó là Ở đây không có mối quan hệ tin tưởng... mối quan hệ tin tưởng là với hai máy chủ AAA, với các máy tính tiền tuyến hoạt động như các máy khách và máy AAA thứ hai đóng vai trò là máy chủ Điều quan trọng cần lưu ý rằng mối quan hệ tin tưởng không phải là vốn đã hiểu ngầm, có nghĩa là các máy khách ban đầu và các máy AAA thứ hai không có một mối quan hệ tin tưởng Hình 2-1 cho thấy sự tin tưởng là tuần tự và độc lập với nhau Mối quan hệ tin tưởng... sử dụng một bộ quy tắc hoặc các mẫu để quyết định những gì một người sử dụng đã chứng thực có thể làm trên hệ thống Ví dụ, trong trường hợp của một nhà cung cấp dịch vụ Internet, nó có thể quyết định liệu một địa chỉ IP tĩnh được cho là trái ngược với một địa chỉ DHCP được giao Các quản trị hệ thống định nghĩa những quy tắc này Cái gọi là "triển khai thông minh" của các máy chủ AAA có logic rằng sẽ... cách giải quyết hành chính để giảm thiểu những ảnh hưởng của tổn thất điện năng, khởi động lại, lưu lượng mạng lớn, và ngừng hoạt động của hệ thống UDP ngăn ngừa được vấn đề hóc búa này vì nó cho phép một phiên mở và vẫn mở trong suốt toàn bộ giao dịch Để cho phép hệ thống nặng nề sử dụng và giao thông trên mặt sau, mà đôi khi có thể trì hoãn các truy vấn và tìm kiếm hơn 30 giây hoặc nhiều hơn, nó đã... thiết kế mạng Có một số thuộc tính quan trọng của mô hình làm nó có thể thực hiện được Trước tiên, mô hình AAA phụ thuộc vào sự tương tác máy khách / máy chủ, trong đó một hệ thống máy khách yêu cầu các dịch vụ hoặc tài nguyên của một hệ thống máy chủ Trong triển khai thực hiện đơn giản, những vai trò này thường kẹt - máy chủ không bao giờ hoạt động như các máy khách và ngược lại Môi trường máy khách /... các rủi ro liên quan với hệ thống tất cả thêm, di chuyển, và thay đổi vì nó liên quan đến tường lửa và chu vi mạng trong toàn thể Dưới đây là một số công việc cần thiết cho người quản trị mạng: • Ghi nhận và xem lại nhật ký tường lửa thường xuyên • Tạo ACL đi vào thật chi tiết, cụ thể • Bảo vệ vùng DMZ về nhiều phía • Thận trọng với lưu lượng ICMP • Giữ mọi lưu lượng quản lý firewall được bảo mật • ... đề tài Mục tiêu việc nghiên cứu Firewall ASA + Việc nghiên cứu giúp cho khả tự học ,tìm hiểu nghiên cứu độc lập ngày tốt + Nghiên cứu hệ thống firewall ASA + Triển khai hệ thống phất hiện, ngăn... dụng việc bảo mật hệ thống mạng.Kết đạt qua việc nghiên cứu thiết bị hiểu cách thức hoạt động có khả triển khai thiết bị vào số hệ thống mạng +Nghiên cứu AAA server +Nghiên cứu cách tổ chức giám... nhiều + Việc nghiên cứu đáp ứng cho lãnh vực bảo mật an ninh hệ thống + ASA( Adaptive Security Appliance) thiết bị tường lửa mạnh tất ưa chuộng Cisco.Chính mục tiêu đề tài nhằm nghiên cứu tìm hiểu

Ngày đăng: 18/04/2016, 22:23

TỪ KHÓA LIÊN QUAN

TRÍCH ĐOẠN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w