LỜI CAM ĐOAN Em xin cam đoan đồ án tốt nghiệp cơng trình thân em tự tìm hiểu, nghiên cứu hồn thành hướng dẫn thầy giáo hướng dẫn ThS Lê Hoàng Hiệp Em xin cam đoan kiến thức sử dụng đồ án chưa sử dụng để bảo vệ hội đồng Các mục trích dẫn từ nguồn tài liệu tham khảo thích rõ ràng Thái Nguyên, tháng năm 2016 Sinh viên Lê Duy Phương Quyền LỜI CẢM ƠN Để hoàn thành đồ án tốt nghiệp cách tốt với tự nỗ lực, cố gắng tìm hiểu và nghiên cứu của bản thân trong những tháng ngày học tập tại trường Em ln ghi nhận những sự đóng góp giúp đỡ nhiệt tình của những người bên cạnh mình, ủng hộ thầy cơ bạn bè giúp em có thêm động lực để hồn thành ở mức tốt nhất đồ án tốt nghiệp của mình Lời cảm ơn trân trọng đầu tiên em muốn giành tới thầy giáo hướng dẫn ThS.Lê Hồng Hiệp, người thầy dìu dắt hướng dẫn em nhiệt tình trong suốt quá trình làm đồ án, sự chỉ bảo và định hướng của thầy giúp em tự tin tìm hiểu và đưa ra các thành quả nghiên cứu một cách tốt nhất về đề tài của mình Em muốn gửi lời cảm ơn chân thành đến gia đình cùng tập thể bạn bè lớp MMT-K10B đã cùng em đi qua những tháng ngày miệt mài học tập, cùng chia sẻ niềm vui, nỗi buồn, động viên em qua khó khăn, để em vững bước vượt qua những vất vả và khó khăn trong q trình thực hiện đồ án Thái Nguyên, tháng năm 2016 MỤC LỤC LỜI CAM ĐOAN LỜI CẢM ƠN MỤC LỤC DANH MỤC HÌNH VẼ LỜI NĨI ĐẦU CHƯƠNG I TỔNG QUAN VỀ ĐỀ TÀI 1.1 Lý do chọn đề tài 1.2 Mục tiêu 1.3 Phương hướng thực hiện đề tài 1.4 Phạm vi nghiên cứu9 1.5 Bố cục đề tài CHƯƠNG II: CƠ SỞ LÝ THUYẾT 10 2.1 Tổng quan về vấn đề an ninh, an tồn mạng máy tính 10 2.1.1 Đe dọa an ninh từ đâu 10 2.1.2 Các giải pháp cơ bản đảm bảo an ninh 2.2 Vấn đề bảo mật trong mạng máy tính 11 13 2.2.1 Các vấn đề chung về bảo mật hệ thống mạng 13 2.2.2 Một số khái niệm và lịch sử bảo mật hệ thống 13 2.2.3 Các loại lỗ hổng bảo mật phương thức công mạng chủ yếu 15 2.2.4 Giới thiệu về tường lửa (Firewall) 19 CHƯƠNG III: KHẢO SÁT, ĐÁNH GIÁ HIỆN TRẠNG VÀ ĐỀ XUẤT GIẢI PHÁP BẢO MẬT HỆ THỐNG MẠNG TẠI TRƯỜNG ĐH KINH TẾ & QTKD THÁI NGUYÊN 23 3.1 Khảo sát thực tế 23 3.1.1 Giới thiệu về trường ĐH Kinh Tế & Quản trị kinh doanh Thái Nguyên 23 3.1.2 Tình hình tổ chức trường ĐH Kinh Tế & Quản Trị Kinh Doanh Thái Nguyên 24 3.1.3 Cơ sở hạ tầng mạng của trường ĐH Kinh Tế & Quản Trị Kinh Doanh Thái Nguyên 26 3.1.4 Khảo sát mơ hình mạng trường ĐH Kinh Tế & Quản Trị Kinh Doanh Thái Nguyên 30 3.2 Đặt vấn đề, đánh giá hiện trạng 37 3.3 Một số giải pháp bảo mật có thể áp dụng 39 3.3.1 Sử dụng tường lửa mềm ISA Server 2006 39 3.3.2 Sử dụng Firewall Cisco ASA 42 3.3.3 Giải pháp tổng thể kết hợp 46 3.4 Lựa chọn giải pháp và xây dựng quy trình bảo mật 3.4.1 Lựa chọn giải pháp 48 48 3.4.2 Xây dựng quy trình bảo mật 48 3.5 Hạch tốn chi phí của dự án 51 CHƯƠNG IV: XÂY DỰNG VÀ CÀI ĐẶT MƠ PHỎNG CHƯƠNG TRÌNH 52 4.1 Xây dựng demo sử dụng ISA firewall cho hệ thống mạng trường ĐH Kinh Tế & Quản Trị Kinh Doanh Thái Nguyên 52 4.1.1 2006 Cài đặt máy ảo VMWare 12, Windows XP Windows Server 52 4.1.2 Tạo Access Rule cho phép máy client kết nối Internet 55 4.1.3 Tạo rule truy vấn DNS 4.1.4 Access Rule chặn Server truy cập trang web làm việc 62 4.1.5 Application & Web Filter 59 64 4.2 Xây dựng demo sử dụng ASA Firewall cho hệ thống mạng trường ĐH Kinh Tế & Quản Trị Kinh Doanh Thái Nguyên 66 4.2.1 Cau hinh NAT Webserver 70 4.2.2 Cau hı̀nh NAT người dù ng ngoà i internet sử dụ ng port 80,442,fpt 71 4.2.3 Cau hı̀nh cho phé p sử dụ ng ssh từ Server và o server 72 4.2.4 Filter mọ t so dịch vụ như active X, Java 73 4.2.5 Bạ t che đọ Threat Detection và Botnet Traffic Filter 73 TÀI LIỆU THAM KHẢO 76 NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN 77 DANH MỤC HÌNH VẼ Hình 3.1 Sơ đồ tổ chức trường ĐH Kinh Tế & QTKD 25 Hình 3.2 Sơ đồ trường ĐH KT & QTKD 26 Hình 3.3 Sơ đồ mặt tầng tòa nhà hiệu 26 Hình 3.4 Sơ đồ mặt tầng tịa nhà hiệu 27 Hình 3.5 Sơ đồ mặt tầng tòa nhà hiệu 27 Hình 3.8: Sơ đồ logic hệ thống mạng trường ĐH KT & QTKD 29 Hình 3.9 Sơ đồ vật lý hệ thống mạng trường ĐH KT & QTKD 29 Hình 3.10 Sơ đồ vật lý tầng nhà hiệu 30 Hình 3.11 Sơ đồ vật lý tầng nhà hiệu 30 Hình 3.12 Sơ đồ vật lý tầng nhà hiệu 31 Hình 3.15 Sơ đồ logic sử dụng ISA Server 2006 áp dụng cho hệ thống mạng trường ĐH Kinh Tế & QTKD 38 Hình 3.16 Sơ đồ logic sử dụng ASA Firewall cho hệ thống mạng trường ĐH Kinh Tế & QTKD 42 Hình 3.17 Sơ đồ logic hệ thống mạng trường ĐH Kinh Tế & QTKD sử dụng ISA Server Cisco ASA 43 Hình 3.18 Sơ đồ logic sử dụng ISA Server Cisco ASA 45 Hình 3.19 Sơ đồ vật lý hệ thống mạng trường ĐH Kinh Tế & QTKD sử dụng ISA Server 2006 Cisco ASA 45 Hình 4.1: Chọn Access rule 48 Hình 4.2: Đặt tên 48 Hình 4.3: Chọn Allow nhấn next 49 Hình 4.4: Chọn chọn All outbound traffic 49 Hình 4.5: chọn thêm Internal Localhost 49 Hình 4.6: Chọn External 50 Hình 4.7: chọn All Server s 50 Hình 4.8: chọn Apply 50 LỜI NĨI ĐẦU Với sự phát triển nhanh chóng của mạng internet và đặt biệt là các cơng nghệ mạng, kèm theo đó là vấn đề bảo vệ các tài ngun thơng tin trên mạng, tránh sự mất mát, xâm phạm là việc cần thiết và cấp bách Bảo mật mạng có thể hiểu là cách bảo vệ, đảm bảo an tồn cho các thành phần mạng bao gồm liệu, thiết bị, sở hạ tầng mạng đảm bảo tài ngun mạng tránh được việc đánh cắp thơng tin, đồng thời tăng tính bảo mật thơng tin cho mạng được cao hơn Vấn đề bảo mật, an toàn cho hệ thống mạng cần phải được đặt lên hàng đầu trước xây dựng hệ thống mạng cho người sử dụng Vậy nên việc sử dụng thiết bị tường lửa trong các hệ thống mạng để đảm bảo an ninh, an tồn mạng là rất cần thiết Nhằm ngăn chặn các kết nối khơng mong muốn, giảm nguy cơ mất kiểm sốt hệ thống hoặc bị tấn cơng và lây nhiễm các chương trình và mã độc hại Trong bài báo cáo này em xin được trình bày nghiên cứu về vấn đề: Xây dựng giải pháp bảo mật mạng doanh nghiệp áp dụng cho hệ thống mạng trường ĐH Kinh tế Quản trị kinh doanh Thái Nguyên Dù đã cố gắng nhiều trình tìm hiểu, nghiên cứu viết báo cáo, chắn khơng thể tránh khỏi hạn chế thiếu sót Em mong nhận được những ý kiến đóng góp và chỉ bảo thêm của các thầy, cơ giáo giúp bài đồ án của em hồn thiện bài hơn Thái Nguyên, năm 2016 CHƯƠNG I TỔNG QUAN VỀ ĐỀ TÀI  Lý do chọn đề tài An ninh mạng đang trở thành mối lo ngại và nguy cơ tiềm tàng, tin tặc có thể truy cập vào hệ thống của các cơ quan, tổ chức từ khắp nơi trên thế giới Các hoạt động tin tặc liên tục tăng, Mức độ nguy hiểm ngày một gia tăng, tính tự động ngày càng cao, đa dạng về kiểu tấn cơng, xu hướng tấn cơng vào các tổ chức tài chính, ngân hàng, trường học, các cơ quan chính phủ Trường ĐH Kinh Tế & Quản Trị Kinh Doanh là một trường đại học đang trên đà phát triển mạnh cả về chất lượng và số lượng sinh viên Trường đã sở hữu một hệ thống mạng khá hồn thiện, tuy nhiên em nhận thấy cịn thiếu các giải pháp bảo mật, dẫn đến nguy mát thông tin, liệu cao Trước tình hình đó em nhận thấy đề tài “Xây dựng giải pháp bảo mật mạng doanh nghiệp áp dụng cho hệ thống mạng trường ĐH Kinh tế Quản trị kinh doanh Thái Nguyên”, là cần thiết phải thực hiện để tránh việc những dữ liệu quan trọng của trường bị kẻ xấu đánh cắp 1.2 Mục tiêu  Khai thác triệt để các tính năng bảo mật của tường lửa Firewall ISA và ASA  Xây dựng số giải pháp bảo mật tối ưu dựa trên khảo sát và đánh giá hiện trạng, năng lực của hệ thống mạng tại trường ĐH Kinh Tế & Quản Trị Kinh Doanh Thái Nguyên  Lựa chọn, đề xuất được một giải pháp bảo mật tối ưu nhất theo tiêu chí đã đề xuất  Xây dựng demo mô phỏng sử dụng firewall hệ thống mạng hiện có của trường ĐH Kinh Tế & Quản Trị Kinh Doanh Thái Nguyên 1.3 Phương hướng thực hiện đề tài  Tham khảo các tài liệu liên quan tới an ninh mạng, bảo mật mạng đã áp dụng cho các doanh nghiệp tại Việt Nam  Thực yêu cầu nội dung nghiên cứu đề cương hướng dẫn chun mơn của giáo viên hướng dẫn  Thu thập số liệu, minh chứng từ việc thực nghiệm các bài Lab sử dụng các cơng cụ an ninh mạng như ISA Server, ASA và hạ tầng mạng đang có của trường ĐH Kinh Tế & Quản Trị Kinh Doanh Thái Ngun 1.4 Phạm vi nghiên cứu - Một số chủ điểm an ninh mạng áp dụng hệ thống mạng trường Kinh Tế & Quản Trị Kinh Doanh Thái Nguyên - Nghiên cứu dựa thiết bị thật có hệ thống mạng trường Kinh Tế & Quản Trị Kinh Doanh Thái Nguyên 1.5 Bố cục đề tài Đề tài dự kiến bao gồm có 4 chương:  Chương 1: Tổng quan về đề tài  Chương 2: Cơ sở lý thuyết  Chương 3: Khảo sát, đánh giá hiện trạng và đề xuất giải pháp bảo mật cho hệ thống mạng của trường ĐH Kinh Tế & Quản Trị Kinh Doanh Thái Ngun  Chương 4: Xây dựng và cài đặt mơ phỏng chương trình CHƯƠNG II: CƠ SỞ LÝ THUYẾT 2.1 Tổng quan vấn đề an ninh, an tồn mạng máy tính  2.1.1 Đe dọa an ninh từ đâu Trong xã hội, thiện ác song song tồn hai mặt không tách rời, chúng ln phủ định Có biết người muốn hướng tới cái chân thiện, cái tốt đẹp, thì cũng có khơng ít kẻ vì mục đích này hay mục đích khác lại làm cho cái ác nảy sinh, lấn lướt cái thiện Sự giằng co giữa cái thiện và cái ác ấy ln là vấn đề bức xúc của xã hội, cần phải loại trừ cái ác, thế nhưng cái ác lại ln nảy sinh theo thời gian Mạng máy tính cũng vậy, có những người phải mất biết bao nhiêu cơng sức nghiên cứu ra các biện pháp bảo vệ cho an ninh của tổ chức mình, thì cũng lại có kẻ tìm mọi cách phá vỡ lớp bảo vệ đó với nhiều ý đồ khác nhau Mục đích của người lương thiện là ln muốn tạo ra các khả năng bảo vệ an ninh cho tổ chức rất rõ ràng Ngược lại, ý đồ của kẻ xấu lại ở nhiều góc độ, cung bậc khác nhau Có kẻ muốn phá vỡ lớp vỏ an ninh để chứng tỏ khả mình, để thoả mãn thói hư ích kỷ Loại người thường làm hại người khác cách phá hoại tài ngun mạng, xâm phạm quyền riêng tư hoặc bơi nhọ danh dự của họ Nguy hiểm hơn, có những kẻ lại muốn đoạt khơng các nguồn lợi của người khác như việc lấy cắp các thơng tin mật của các cơng ty, đột nhập vào ngân hàng để chuyển trộm tiền Bởi trên thực tế, hầu hết các tổ chức cơng ty tham gia vào mạng máy tính tồn cầu đều có một lượng lớn các thơng tin kết nối trực tuyến Trong lượng lớn các thơng tin ấy, có các thơng tin bí mật như: các bí mật thương mại, các kế hoạch phát triển sản phẩm, chiến lược maketing, phân tích tài chính hay các thơng tin về nhân 10 Mơ hình mô sử dụng ASA Firewall máy ảo VM Ware: wopA63.tmpMicrosoft_Visio_Drawing1.vsdx Hình 4.7 Mơ hình mơ phỏng sử dụng ASA Firewall trên máy ảo VM Ware Kịch bản hoạt động  Mơ hı̀nh mạ ng được chia thà nh 4 phan nhỏ :  Khu vực management ket noi với core sw là nơi đạ t cá c má y trạ m đê quả n lý tat cả cá c thiet bị mạ ng củ a hẹ thong và ket noi đen port management  Khu vực DMZ ket noi với port g0/0 củ a firewall là nơi đạ t cá c má y chủ củ a hẹ thong  Khu vực Server là nơi đạ t cá c sw access đe cá c phò ng ban ket noi và o trước khi ket noi và o core SW và ket noi đen port g0/1 củ a firewall asa  Khu vực internet là điem ket noi giữa đau noi do cá c ISP và port g0/2 củ a firewall asa  Quy hoạ ch địa chı̉ IP: STT Tên Dả i địa chı̉ IP 95 INTERNET MANAGEMENT SERVER DMZ DHCP or IP tı̃nh do ISP cung cap (trong mô hı̀nh demo sẽ đe cù ng công nat củ a vmware nat) 10.10.10.0/24 Demo 1 dả i: 192.168.10/24 Cá c dả i khá c có the liẹ t kê và o Demo 1 dả i: 172.16.1.0/24 STT PORT IP GATEWAY G0/2 DHCP Management 0/0 10.10.10.1/24 Server 192.168.1.1 DMZ 172.16.1.1 Webserver 172.16.1.2 MƠ HÌNH LAB 2 má y client XP, 1 má y server web, 1 firewall ASA  XP1: sẽ cau hı̀nh Network Adapter và o LAN segment MANAGEMENT trên VMWARE  XP2: sẽ cau hı̀nh Network Adapter và o LAN segment INSIDE VMWARE  Server web: sẽ cau hı̀nh Network Adapter và o LAN segment DMZ trên VMWARE ASA: Trên ASA có interface (Network Adapter) theo thứ tự NA1,2,3,4 tương ứng với management0/0, g0/0, g0/1, g0/2 96 Cau hı̀nh management0/0 (NA1) và o lan segment MANAGEMENT, g0/0 DMZ, g0/1 INSIDE, g0/2 cau hı̀nh NAT or Brigde (nhạ n ip theo dhcp) Thực hiện:  Cau hı̀nh LAN segment: trên má y XP1 noi và o management click chuọ t phả i và o tên má y chọ n Setting chọ n Network adapter chọ n Lan segment chọ n Neu chưa có tên LAN segment như trên thı̀ thêm bang cá c add sau đó đien cá c thông tin Click ok Tương tự với má y XP2 và server ASA: 97 Tương ứng với Net adapter như mô hı̀nh trên ta chọ n lan segment phù hợp Cấu hình interface cho ASA 98  Cấu hinh NAT Webserver Cau hı̀nh NAT server web ra ngoà i Internet và cho phé p ket noi dịch vụ http,https từ khu vực outside và o webserver thông qua port 80 và địa chı̉ ip nat Hình 4.8 Cấu hình NAT Webserver 99 Cấu hình rule  Cấu hình NAT người dùng ra ngồi internet sử dụng port 80,442,fpt 100 Do nhu cau sử dụ ng internet củ a mọ t so bọ phạ n bên khu vực inside nên can cau hı̀nh đe người dù ng cá c bọ phạ n đó có the truy cạ p internet bang cá c NAT người dù ng ra internet Ngoà i ra trên frewall can cau hı̀nh cho phé p dữ liẹ u từ ouside có the truyen ve inside  Cấu hình cho phép sử dụng ssh từ Server vào server 101 Hình 4.9 Cấu hình cho phép sử dụng ssh từ Server vào server Do nhu cau cau hı̀nh cá c thiet thị server từ xa ta can phả i mở dịch vụ ssh trên firewall đe cá c ket noi ssh từ cá c vù ng và o server  Filter một số dịch vụ như active X, Java Mọ t so dịch vụ active X, java có chứa những nguy cơ mat an toà n do đó ta có the cau hı̀nh filter chú ng đe bả o vẹ người dù ng cũ ng như chı́nh hẹ 102 thong 103 Hình 4.10 Filter một số dịch vụ active X, Java  Bật chế độ Threat Detection và Botnet Traffic Filter Sự khá c biẹ t củ a mọ t firewall INBOUND chı́nh là viẹ c phá t hiẹ n và ngăn chạ n cá c moi đe dọ a Bật chế độ Threat Detection Botnet Traffic Filter lọc botnet giúp phịng ngừa tấn cơng DDOS 104 Hình 4.11 Bật chế độ Threat Detection và Botnet Traffic Filter 105 106 KẾT LUẬN Kết đạt đề tài “Xây dựng giải pháp bảo mật mạng doanh nghiệp áp dụng cho hệ thống mạng trường ĐH Kinh tế Quản trị kinh doanh Thái Nguyên” là:  Nắm vững phần tổng quan xây dựng triển khai bảo mật mạng hệ thống  Hiểu khái niệm Firewall Proxy Server  Thực yêu cầu cài đặt cấu hình cho hệ thống mạng sử dụng ISA Server 2006 Cisco ASA Firewall  Thiết lập rule ISA Server 2006 để đáp ứng cho yêu cầu quản lí bảo mật cho trường đại học  Cấu hình số luật Cisco ASA Firewall Vấn đề tồn đề tài:  Một số rule ISA Server 2006 chưa hoạt động hiệu : cấm yahoo chat nhân viên, sách gửi thư cảnh báo từ máy ISA đến máy Server  Chưa khai thác tối đa tính Cisco ASA Firewall  Phạm vi đề tài tập trung giải cho mơ hình trường đại học nhỏ nên chưa phát triển lên mơ hình quản lý bảo mật cho trường đại học lớn có nhiều chi nhánh Đây hướng mà Đề tài nhắm đến Hướng phát triển  Khai thác tối đa tính ISA Server 2006 bảo mật mạng trường học sách gửi thư cảnh báo từ máy ISA đến máy Server  Nghiên cứu triển khai tối đa tính Cisco ASA Firewall  Phát triển đề tài áp dụng cho trường đại học có quy mơ lớn 107 TÀI LIỆU THAM KHẢO [1] SCNA - Building Trusted Networks Chuyên đề SCNA - Xây Dựng Mạng Tin Cậy, Mẫn Văn Thắng, 5/2012 [2] Firewall Fundamentals by Wes Noonan, Ido Dubrawsky, Publisher: Cisco Press, 2/6/2006 [3] RADIUS by Jonathan Hassell, Publisher: O’Reilly, 10/2002 [4] Cisco ASA and PIX Firewall Handbook by Dave Hucaby, Publisher: Cisco Press, 7/1/2005 [5] Cisco ASA: All-in-one Firewall, IPS and VPN Adaptive Security Appliance by Jazib Frahim, Omar Santos, Publisher: Cisco Press , 21/10/2005 [6] Cisco ASA: All-in-one Firewall, IPS, Anti-X and VPN Adaptive Security Appliance (Second Edition) by Jazib Frahim, Omar Santos, Publisher: Cisco Press, 21/10/2005 108 NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN 109 ... Tình hình tổ chức trường ĐH Kinh Tế & Quản Trị Kinh Doanh Thái Nguyên 24 3.1.3 Cơ sở hạ tầng mạng của trường ĐH Kinh Tế & Quản Trị Kinh Doanh Thái Ngun 26 3.1.4 Khảo sát mơ hình mạng trường ĐH Kinh Tế & Quản Trị. .. thiệu trường ĐH Kinh Tế & Quản trị kinh doanh Thái Nguyên ĐH Kinh Tế & Quản trị kinh doanh Thái Nguyên địa chỉ: Tổ 1, Phường Tân Thịnh, thành phố Thái Nguyên Trường Đại học Kinh tế và Quản trị Kinh doanh có sứ mạng đào tạo... dựng giải pháp bảo mật mạng doanh nghiệp áp dụng cho hệ thống mạng trường ĐH Kinh tế Quản trị kinh doanh Thái Nguyên? ??, là cần thiết phải thực hiện để tránh việc những dữ liệu quan trọng của trường bị kẻ xấu đánh cắp