Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 94 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
94
Dung lượng
1,62 MB
Nội dung
LỜI CAM ĐOAN Tôi cam đoan: Đồ án tốt nghiệp với đề tài “Xây dựng mô hình mạng bảo mật với Cisco ASA Firewall cho Công ty cổ phần Tập đoàn Quang Minh Bắc Giang” công trình nghiên cứu riêng hướng dẫn thầy giáo Ths Trần Duy Minh kết nghiên cứu có tính độc lập riêng, không chép tài liệu chưa công bố nội dung đâu Tôi xin hoàn toàn chịu trách nhiệm công trình nghiên cứu riêng ! Thái Nguyên, tháng năm 2016 Sinh viên Lục Văn Luân LỜI CẢM ƠN Lời đầu tiên, em xin gửi lời cảm ơn chân thành tới Th.S Trần Duy Minh tận tình giúp đỡ em suốt trình làm đồ án Em xin gửi lời biết ơn sâu sắc tới thầy, cô giáo trường Đại học Công nghệ Thông tin Truyền thông – Đại học Thái Nguyên Các thầy, cô xây dựng cho chúng em kho tri thức khổng lồ, không kiến thức chuyên ngành, thầy cô dạy bảo chúng em đạo làm người, rèn luyện cho chúng em nghị lực, khát vọng vươn lên, phát huy khả tư sáng tạo lĩnh vực Cuối cùng, em xin cảm ơn gia đình, bạn bè, người thân yêu em Mọi người bên cạnh, động viên, khuyến khích em vươn lên trình học tập sống Thái Nguyên, tháng năm 2016 Sinh viên Lục Văn Luân MỤC LỤC LỜI CAM ĐOAN LỜI CẢM ƠN CHƯƠNG 1: CƠ SỞ LÝ THUYẾT 1.1 Tổng quan mạng máy tính 1.2 Mô hình OSI (Open Systems Interconnect) 1.2.1 Các giao thức mô hình OSI 1.3 Mô hình TCP/IP 9 10 1.4 Tổng quan quản trị mạng 11 1.4.1 khái quát công việc quản trị mạng bao gồm: 11 1.5 Bảo mật mạng máy tính 11 1.5.1 Định nghĩa bảo mật mạng máy tính 11 1.5.2 Các kiểu công mạng 12 1.5.3 Các mức độ bảo mật 13 1.6 Tường lửa (Firewall) 14 1.6.1 Giới thiệu 14 1.6.2 Phân loại 15 1.6.3 Chức Firewall 17 1.6.4 Hạn chế Firewall 1.7 Tường lửa Cisco ASA 17 18 1.7.1 Giới thiệu 18 1.7.2 Chức ASA 19 1.7.3 Cơ chế hoạt động tường lửa ASA 20 1.8 Network Access Translation (NAT) 1.8.1 Khái niệm 23 1.8.2 Một số kỹ thuật NAT 23 1.8.3 NAT Cisco ASA 25 23 1.9 Access Control List ( ACL ) 25 CHƯƠNG 2: KHẢO SÁT VÀ ĐÁNH GIÁ HIỆN TRẠNG HỆ THỐNG MẠNG TẠI CÔNG TY CỔ PHẦN TẬP ĐOÀN QUANG MINH – BẮC GIANG 2.1 Giới thiệu 28 28 2.1.1 Lịch sử phát triển28 2.1.2 Lĩnh vực kinh doanh 29 2.2 Tổ chức máy quản lý công ty 30 2.3 Khảo sát trạng hệ thống mạng cảu công ty 32 2.3.3 Sơ đồ trạng hệ thống mạng 34 2.3.4 Sơ đồ vật lý mạng công ty 35 2.4 Đánh giá trạng 37 CHƯƠNG 3: PHÂN TÍCH THIẾT KẾ VÀ ĐỀ XUẤT GIẢI PHÁP BẢO MẬT MẠNG SỬ DỤNG CISCO ASA 39 3.1 Phân tích trạng xây dựng mục tiêu 3.1.1 Đặt vấn đề 39 39 3.1.2 Phân tích thiết kế hệ thống mạng 41 3.2 Thiết kế hệ thống mạng 42 3.2.1 Sơ đồ Logic mạng cho công ty 42 3.2.2 Sơ đồ vật ký hệ thống mạng công ty 43 3.3 Đề xuất giải pháp bảo mật mạng sử dụng ASA 46 3.3.1 Tính Firewall Cisco ASA 5520 3.3.2 Xây dựng luật bảo mật dựa ASA 46 53 3.3.3 Xây dựng quy trình bảo mật 54 CHƯƠNG 4: XÂY DỰNG VÀ CÀI ĐẶT MÔ PHỎNG CHƯƠNG TRÌNH 58 4.1 Mục tiêu toán58 4.2 Cấu hình thiết bị 59 4.2.1 Cấu hình ASA qua ASDM 60 KẾT LUẬN 67 TÀI LIỆU THAM KHẢO 68 DANH MỤC HÌNH ẢNH Hình 1.1: Một mô hình liên kết máy tính mạng Hình 1.2 Mô hình OSI Hình 1.3 Các mức độ bảo mật 13 Hình 1.4 Mô hình Firewall cứng 16 Hình 1.5 Mô hình Firewall mềm 17 Hình 1.6 Mô tả luồng liệu vào Internet Intranet 17 Hình 1.7 Mô tả mức độ bảo mật hệ thống mạng 22 Hình 1.8 Mô tả NAT tĩnh mạng LAN Internet Hình 1.9 Bảng NAT động mang LAN 24 Hình 1.10 Mô tả chế PAT 24 Hình 1.11 Sơ đồ ACL điều khiển truy cập mạng.25 Hình 2.1 Sơ đồ tổ chức máy công ty 30 Hình 2.2 Tòa nhà công ty 32 Hình 2.3 Sơ đồ logic hệ thống mạng công ty34 Hình 2.4 Sơ đồ vật lý mạng tầng 35 Hình 2.5 Sơ đồ vật lý mạng tầng 35 Hình 2.6 Sơ đồ vật lý mạng tầng 36 Hình 2.7 Sơ đồ vật lý mạng tầng 36 Hình 2.8 Sơ đồ vật lý mạng tầng 37 Hình 3.1 Sơ đồ thiết kế mạng bảo mật sử dụng ASA Firewall 40 Hình 3.2 Sơ đồ mạng LOGIC cho công ty 42 Hình 3.3 Sơ đồ vật lý mạng tầng 43 Hình 3.4 Sơ đồ vật lý mạng tầng 43 Hình 3.5 Sơ đồ vật lý mạng tầng 44 Hình 3.6 Sơ đồ vật lý mạng tầng 44 23 Hình 3.7 Sơ đồ vật lý mạng tầng 45 Hình 3.8 Bảng phân bổ địa ip 45 Hình 3.9 bảng chi phí thiết bị cần thê 46 Hình 4.1 Sơ đồ mạng mô GNS3 58 Hình 4.2 Kiểm tra kết nối từ C2 đến PC5 60 Hình 4.3 Kiểm tra ping từ ASA đến C1 64 Hình 4.4 Kiểm tra ping từ ASA đến PC1 Và PC2 Hình 4.5 Kiểm tra ping từ ASA đến C2 64 Hình 4.6 Kiểm tra ping từ PC3 đến PC1 PC264 Hình 4.7 Kiểm tra ping từ PC1 đến C2 65 Hình 4.8 Kiểm tra ping từ PC3 đến C2 65 Hình 4.9 Kiểm tra kết nối từ PC3 đến PC4 Hình 4.10 Kiểm tra từ PC1 internet 66 65 64 CHƯƠNG 1: CƠ SỞ LÝ THUYẾT 1.1 Tổng quan mạng máy tính Mạng máy tính tập hợp máy tính nối với môi trường truyền (đường truyền) theo cấu trúc thông qua máy tính trao đổi thông tin qua lại cho Môi trường truyền hệ thống thiết bị truyền dẫn có dây hay không dây dùng để chuyển tín hiệu điện tử từ máy tính đến máy tính khác Các tín hiệu điện tử biểu thị giá trị liệu dạng xung nhị phân (on – off) Tất tín hiệu truyền máy tính thuộc dạng sóng điện từ Tùy theo tần số sóng điện từ dùng môi trường truyền vật lý khác để truyền tín hiệu Ở môi trường truyền kết nối dây cáp đồng trục, cáp xoắn, cáp quang, dây điện thoại, sóng vô tuyến … Các môi trường truyền liệu tạo nên cấu trúc mạng Hai khái niệm môi trường truyền cấu trúc đặc trưng mạng máy tính Hình 1.1: Một mô hình liên kết máy tính mạng Tốc độ truyền liệu đường truyền gọi thông lượng đường truyền – thường tính số lượng bit truyền giây (bps) 1.2 Mô hình OSI (Open Systems Interconnect) Ở thời kỳ đầu công nghệ nối mạng, việc gửi nhận liệu ngang qua mạng thường gây nhầm lẫn công ty lớn IBM, Honeywell tự đề tiêu chuẩn riêng cho hoạt động kết nối máy tính Năm 1984, tổ chức Tiêu chuẩn hóa Quốc Tế - ISO ( International Standard Organization) thức đưa mô hình OSI ( Open Systems Interconnection), tập hợp đặc điểm kỹ thuật mô tả kiến trúc mạng dành cho việc kết nối thiết bị không chủng loại Mô hình OSI chia thành tầng, tầng bao gồm hoạt động, thiết bị giao thức mạng khác Hình 1.2 Mô hình OSI 1.2.1 Các giao thức mô hình OSI Trong mô hình OSI có hai loại giao thích áp dụng: Giao thức có liên kết giao thức không liên kết Giao thức có liên kết: Trước truyền liệu hai tầng đồng mức cần thiết lập liên kết logic gói tin trao đổi thông qua liên kết này, việc có liên kết logic nâng cao độ an toàn truyền liệu Giao thức không liên kết: Trước truyền liệu không thiết lập liên kết logic gói tin truyền độc lập với gói tin trước sau 1.3 Mô hình TCP/IP TCP/IP ( Transmission Control Protocol/ Internet Protocol) giao thức cho phép kết nối hệ thống mạng không đồng với Ngày nay, TCP/IP sử dụng rộng rãi mạng cục mạng Internet toàn 10 R1# config t R1(config )#enable pass trieuluan R1(config )#Enable secret cisco R1(config-line)#Line console R1(config )#Pass 123 R1(config )#Login R1(config )#Exit R1(config )#Service password-encryption R1(config )#end R1(config )#config t R1(config )# interface f0/0 R1(config-if )#ip add 192.168.195.2 255.255.255.0 R1(config-if )# no shutdown R1(config-if )# exit R1(config )# interface f0/1 R1(config-if )# ip add 172.16.10.2 255.255.255.0 R1(config-if )#no shut R1(config-if )#exit R1(config )# ip route 172.16.1.0 255.255.255.0 f0/1 R1(config )# ip route 192.168.11.0 255.255.255.0 f0/1 R1(config )#exit - Trước sử dụng Cisco ASA Firewall để bảo mật, hệ thống mạng toàn công ty hoàn toàn thông với ( Truy cập từ internet vào mạng nội ngược lại) - Cấu hình đặt địa IP, hostname đặt mức bảo mật cho ASA Ciscoasa(config )# interface GigabitEthernet0 Ciscoasa(config-if)# ip add 172.16.10.1 255.255.255.0 80 Ciscoasa(config-if)# nameif outsite Ciscoasa(config -if) security-level Ciscoasa(config-if)# exit Ciscoasa(config )# interface GigabitEthernet Ciscoasa(config-if)# ip add 172.16.1.2 255.255.255.0 Ciscoasa(config-if)# nameif DMZ Ciscoasa(config -if) security-level 50 Ciscoasa(config-if)# exit Ciscoasa(config )# interface GigabitEthernet2 Ciscoasa(config-if)# ip add 192.168.11.2 255.255.255.0 Ciscoasa(config-if)# nameif insite Ciscoasa(config -if) security-level 100 Ciscoasa(config-if)# exit Ciscoasa(config )# route outsite 192.168.195.0 255.255.255.0 172.16.10.2 Ciscoasa(config )#exit 4.2.1 Cấu hình ASA qua ASDM - Sơ đồ mạng công ty, sử dụng Cisco ASA Firewall để tăng tính bảo mật cho hệ thống mạng Khi này, mạng nội công ty truy cập internet, bên internet truy cập vào mạng nội công ty, cấu hình đặt địa IP cho cổng gán mức bảo mật (securitylevel) cho cổng ASA - Kiểm tra kết nối từ mạng vào mạng nội 81 Hình 4.2 Kiểm tra kết nối từ C2 đến PC5 a Cấu hình cho phép phòng ban truy cập internet 82 object network INSIDE subnet 192.168.11.0 255.255.255.0 nat (any,outside) dynamic interface access-list DMZ_access_in remark allow all other access from inside to outside access-list DMZ_access_in extended permit ip any any b Cấu hình cho phép máy vùng DMZ truy cập internet 83 object network DMZ subnet 172.16.1.0 255.255.255.0 nat (any,outside) dynamic interface access-list DMZ_access_in remark allow all other access from DMZ to outside access-list DMZ_access_in extended permit ip any any 84 c Cấu hình cho phép phòng ban (inside) truy cập đến webserver object network insside subnet 192.168.11.0 255.255.255.0 85 nat (any,outside) dynamic interface access-list inside_access_in remark permit icmp ping from inside to DMZ host access-list inside_access_in extended permit icmp host 192.168.11.0 host 172.16.1.3 echo 86 Kiểm tra kết nối mạng nội Hình 4.3 Kiểm tra ping từ ASA đến C1 Hình 4.4 Kiểm tra ping từ ASA đến PC1 Và PC2 Hình 4.5 Kiểm tra ping từ ASA đến C2 87 Hình 4.6 Kiểm tra ping từ PC3 đến PC1 PC2 Hình 4.7 Kiểm tra ping từ PC1 đến C2 88 Hình 4.8 Kiểm tra ping từ PC3 đến C2 Hình 4.9 Kiểm tra kết nối từ PC3 đến PC4 89 90 d Cấu hình chặn pc1 không truy cập internet access-list DMZ_access_in remark deny icmp ping from DMZ to internet host access-list DMZ_access_in extended deny icmp host 172.16.1.3 host 192.168.195.128 echo 91 Hình 4.10 Kiểm tra từ PC1 internet 92 KẾT LUẬN * Kết đạt được: Sau thời gian tìm hiểu nghiên cứu, kết hợp với kiến thức học trường hướng dẫn ThS.Trần Duy Minh em hoàn thành xong đề tài “Xây dựng mô hình mạng bảo mật với Cisco ASA Firewall cho Công ty cổ phần Tập đoàn Quang Minh Bắc Giang” đạt số tiêu chí sau: - Xây dựng mô hình mạng có hiệu cho Công ty cổ phần Tập đoàn Quang Minh - Nắm hoạt động tính tường lửa cissco ASA - giả lập Firewall asa GNS3 - Sử dụng Firewall ASA để bảo mật cho hệ thống mạng công ty - Cấu hình hoạt động cho thiết bị mạng hệ thống mạng công ty * Hướng phát triển đề tài: - Tìm hiểu sâu Firewall ASA để cấu hình tạo thêm luật đáp ứng nhu cầu bảo mật cho hệ thống mạng lớn - Kết hợp thêm phương pháp bảo mật khác để nâng cao hiệu bảo mật - Xây dựng mô hình mạng lớn hơn, phức tạp hơn, đáp ứng yêu cầu sử dụng công ty 93 TÀI LIỆU THAM KHẢO [1] TS.Phạm Thế Quế(2005) ,Giáo trình Mạng máy tính, NXB: Thông tin Truyền thông [2].http://vnpro.org/forum/showthread.php/36871-thuc-hien-cau-hinh-co-banasa.html [3].Một số trang web tham khảo: http://tailieu.vn , http://vi.wikipedia.org , http://google.comhttp://quantrimang.com [4] Giáo trình an toàn bảo mật thông tin- Đại học Bách khoa Hà Nội [5]http://123doc.org/doc_search_title/1006731-tai-lieu-do-an-tot-nghiep-khao-satthiet-ke-va-xay-dung-mang-lan-trong-co-quan-xi-nghiep-docx.htm [6] Network and Internetwork Security – Tg: Wiliam Stallings [7] Cisco – Cisco ASA and Pix Firewall Handbook (2005) 94 ... giải pháp bảo mật mạng sử dụng ASA 46 3.3.1 Tính Firewall Cisco ASA 5520 3.3.2 Xây dựng luật bảo mật dựa ASA 46 53 3.3.3 Xây dựng quy trình bảo mật 54 CHƯƠNG 4: XÂY DỰNG VÀ CÀI ĐẶT MÔ PHỎNG CHƯƠNG... 13 Hình 1.4 Mô hình Firewall cứng 16 Hình 1.5 Mô hình Firewall mềm 17 Hình 1.6 Mô tả luồng liệu vào Internet Intranet 17 Hình 1.7 Mô tả mức độ bảo mật hệ thống mạng 22 Hình 1.8 Mô tả NAT tĩnh mạng. .. thiết kế mạng bảo mật sử dụng ASA Firewall 40 Hình 3.2 Sơ đồ mạng LOGIC cho công ty 42 Hình 3.3 Sơ đồ vật lý mạng tầng 43 Hình 3.4 Sơ đồ vật lý mạng tầng 43 Hình 3.5 Sơ đồ vật lý mạng tầng 44 Hình