Đang tải... (xem toàn văn)
Hiện nay bảo mật thông tin đang đóng một vai trò thiết yếu trong mọi hoạt động liên quan đến việc ứng dụng công nghệ thông tin.Vai trò to lớn của việc ứng dụng CNTT đã và đang diễn ra sôi động, không chỉ thuần túy là những công cụ mà thực sự đã được xem như là giải pháp cho nhiều vấn đề. Internet cho phép chúng ta truy cập tới mọi nơi trên thế giới thông qua một số dịch vụ. Ngồi trước máy tính của mình bạn có thể biết được thông tin trên toàn cầu, nhưng cũng chính vì thế mà hệ thống máy tính của bạn có thể bị xâm nhập vào bất kỳ lúc nào mà bạn không hề được biết trước. Do vậy việc bảo vệ hệ thống là một vấn đề chúng ta đáng phải quan tâm. Trong quá trình làm đồ án, được sự hướng dẫn tận tình của thầy Dương Thi Thu Hiền cùng với sự giúp đỡ của bạn bè, em đã có thêm nhiều điều kiện để tìm hiểu về mạng máy tính, về vấn đề an toàn trong mạng máy tính cũng như thiết bị Firewall ASA 5515X. Đó cũng là đề tài mà em muốn nghiên cứu và trình bày trong báo này.
Tìm hiểu GNS3 triển khai Firewall ASA 5515-X LỜI MỞ ĐẦU Hiện bảo mật thông tin đóng vai trò thiết yếu hoạt động liên quan đến việc ứng dụng công nghệ thông tin.Vai trò to lớn việc ứng dụng CNTT diễn sôi động, không túy công cụ mà thực xem giải pháp cho nhiều vấn đề Internet cho phép truy cập tới nơi giới thông qua số dịch vụ Ngồi trước máy tính bạn biết thông tin toàn cầu, mà hệ thống máy tính bạn bị xâm nhập vào lúc mà bạn trước Do việc bảo vệ hệ thống vấn đề đáng phải quan tâm Trong trình làm đồ án, hướng dẫn tận tình thầy Dương Thi Thu Hiền với giúp đỡ bạn bè, em có thêm nhiều điều kiện để tìm hiểu mạng máy tính, vấn đề an toàn mạng máy tính thiết bị Firewall ASA 5515-X Đó đề tài mà em muốn nghiên cứu trình bày báo Nội dung báo cáo gồm chương • Chương 1: Tổng quan Firewall • Chương 2: Gới thiệu Firewall ASA phần mềm GNS3 • Chương 3: Triển khai sách Firewall ASA 5515-X Đề tài đề cập đến vấn đề lớn tương đối phức tạp, đòi hỏi nhiều thời gian kiến thức lý thuyết thực tế Do thời gian nghiên cứu chưa nhiều trình độ thân hạn chế nên báo cáo không tránh khỏi sai sót định Em mong nhận hướng dẫn, bảo thầy, cô để giúp em bổ sung vốn kiến thức tiếp tục nghiên cứu đề tài nêu cách tốt hơn, hoàn chỉnh Em xin chân thành cám ơn! SVTH: Cao Hoàng Cường– Lớp : CCMM07A i Tìm hiểu GNS3 triển khai Firewall ASA 5515-X MỤC LỤC LỜI MỞ ĐẦU .i MỤC LỤC ii DANH MỤC HÌNH ẢNH iv CHƯƠNG 1: TỔNG QUAN VỀ FIREWALL 1.1 Sơ lược Firewall 1.2 Phân loại Firewall 1.2.1 Firewall cứng .2 1.2.2 Firewall mềm .3 1.3 Kiến trúc Firewall 1.3.1 Kiến trúc Dual – homed Host 1.3.2 Kiến trúc Screened Host 1.3.3 Kiến trúc Screened Subnet Host 1.3.4 Sử dụng nhiều Bastion Host 10 1.3.5 Kiến trúc ghép chung Router (Interior Router) Router (Exterior Router) .12 1.3.6 Kiến trúc ghép chung Bastion Host Router (Exterior Router) .12 1.4 Các thành phần chế hoạt động .13 1.4.1 Bộ lọc paket (Paket filtering router) 13 1.4.2 Cổng ứng dụng (application-level getway) .15 1.4.3 Cổng vòng (circuit-Level Gateway) 16 CHƯƠNG : TIỀM HIỀU FIREWALL ASA VÀ PHẦN MỀM GNS3 18 2.1 Giới thiệu sơ lược ASA 5515 18 2.2 Giới thiệu phần mềm GNS3 21 2.3 Hướng dẫn sử dụng GNS3 22 2.3.1 Hướng dẫn cài đặt GNS3 22 2.3.2 Mô hình toán mẫu thực GNS3 29 2.3.3 Chi tiết bước cấu hình GNS3 .30 CHƯƠNG 3:TRIỂN KHAI CÁC CHÍNH SÁCH TRÊN FIREWALL ASA 5515-X .34 3.1 Mô hình toán 34 SVTH: Cao Hoàng Cường– Lớp : CCMM07A ii Tìm hiểu GNS3 triển khai Firewall ASA 5515-X 3.2 Các bước cấu hình 34 3.2.1 Cấu hình Router 34 3.2.2 Cấu hình Router 34 3.2.3 Cấu hình ASA 35 KẾT LUẬN 37 TÀI LIỆU THAM KHẢO .38 SVTH: Cao Hoàng Cường– Lớp : CCMM07A iii Tìm hiểu GNS3 triển khai Firewall ASA 5515-X DANH MỤC HÌNH ẢNH Hinh 1.1 mô hinh Firewall Hinh 1.3 Zone Alarm Hinh 1.3 mô hinh Firewall mềm Hình 1.4 Windows Firewall Hình 1.5 Sơ đồ kiến trúc Dual–homed Host Hình 1.6 Sơ đồ kiến trúc Screened Host Hình 1.7 Sơ đồ kiến trúc Screened Subnet Host .9 Hình 1.8 Sơ đồ kiến trúc sử dụng Bastion Host 11 Hình 1.9 Sơ đồ kiến trúc ghép chung Router Router 12 Hình 1.10 Sơ đồ kiến trúc ghép chung Bastion Host Router .13 Hình 1.11 Bộ lọc gói tin Firewall 14 Hình 1.12 Kết nối qua cổng vòng 17 Hình 2.1 Cisco Firewall ASA 5515-X .18 Hình 2.2 Thông số ASA 5515-X 18 Hình 2.3 GNS3 Cisco .22 Hình 2.4Cài đặt Wincap: 23 Hình 2.5 cài đặt WinPcap .24 Hình 2.5 cai WinPcap 24 Hình 2.6 Cài GNS3 25 Hình 2.7 Cài đặt dynamic and dynagen 25 Hinh 2.8 Hoàn Thành cài đặt 26 Hình 2.9 Kiểm tra GNS3 26 Hinh 2.10 Kiểm đường dẫn GNS3 27 Hinh 2.11 Hoàn thành cài phần mềm 28 Hinh 2.12 Giao diện GNS3 29 Hinh 2.13 mồ hình toán 30 Hinh 3.14 mô hình GNS3 30 Hinh 2.15 cấu hinh IP cho PC1 31 Hinh 2.16 cấu hinh IPcho PC2 .31 Hinh 2.17 cấu hình PC3 31 Hinh 2.18 cấu hinh IP cho PC4 32 SVTH: Cao Hoàng Cường– Lớp : CCMM07A iv Tìm hiểu GNS3 triển khai Firewall ASA 5515-X Hinh2.19 cấu hinh R1 32 Hinh 3.30 cấu hình R2 .32 Hinh 3.21 ping PC1 cho PC3 33 Hình 3.1 Mô hình thực 34 SVTH: Cao Hoàng Cường– Lớp : CCMM07A v Tìm hiểu GNS3 triển khai Firewall ASA 5515-X CHƯƠNG 1: TỔNG QUAN VỀ FIREWALL 1.1 Sơ lược Firewall - Firewall thiết bị – hay hệ thống – điều khiển truy cập mạng, phần cứng phần mềm kết hợp hai - Firewall thường đặt mạng vành đai để đóng vai trò cổng nối (gateway) bảo mật mạng tin cậy mạng không tin cậy, Internet Internet mạng doanh nghiệp chủ với mạng đối tác Một số ưu điểm Firewall + Firewall thiết kế để ngăn chặn tất lưu lượng không phép cho phép lưu lượng phép qua nó, bảo vệ tài nguyên • Sừ dụng quy tắc kiểm soát truy cập • Kiêm tra trạng thái gói tin • Dùng application proxies +Ghi nhận báo cáo kiện mạng: ta nghi nhận kiện Firewall nhiều cách nhừng hầu hết Firewall sử dụng hai phương pháp syslog proprietaly logging formamt +Chức Firewall kiểm soát luồng thông tin từ Internet Internet, Thiết lập chế điều khiển dòng thông tin mạng bên (Internet) mạng Internet :là việc đâu tiên mà tất firewall có quản lý kiểm soát luồng dũa liệu mạng, firewall kiểm tra gói tin giám sát kết nối thực sau lọc kết nối dựa kêt kiểm tra gói tin kết nối giám sát, kiêm tra gói tin dựa thông tin sau • IP nguồn • Port nguồn • IP đích • Port đích • Giao thức IP • Thông tin header SVTH: Cao Hoàng Cường– Lớp : CCMM07A Tìm hiểu GNS3 triển khai Firewall ASA 5515-X + Xác thực quyền truy cập: Firewall co thể xác định quyền truy cập nhiêu cấu khác • Thư firewall có có quyền yêu cầu username password người dùng người dùng truy cập • Thứ hai firewall xác thực người dùng certificates public key • Thứ ba firewall dùng pre-shared keys (PSKs) để xác thực người dùng Những hạn chế Firewall Tuy firewall co ưu điểm tồn số hạn chế sau - Firewall không bảo vệ chống lại công bỏ qua tường lửa vd hệ thống bên có khả dial-out kết nối với ISP hoạc mạng LAN bên cung cấp modem pool có khả dial-in cho nhân viên di động hay kiểu công dạng social engineering nhằm đếm đối tượng người dùng mạng - Firewall không bảo vệ chống lại mối đe dọa nội bộ, vd nhân viên cố ý vô tình hợp tác với kẻ công bên - Firewall bảo vệ chống lại việc truy cập chương trình bị nhiểm vius tập tin, đa dạng hệ điều hành ứng dụng hổ trợ tư bên nội Hinh 1.1 mô hinh Firewall 1.2 Phân loại Firewall 1.2.1 Firewall cứng Firewall cứng: Là firewall tích hợp Router + số loại Firewall Một số loại Firewall cứng như: ASA, PIX, Fortinet, Juniper… SVTH: Cao Hoàng Cường– Lớp : CCMM07A Tìm hiểu GNS3 triển khai Firewall ASA 5515-X + Đặc điểm Firewall cứng: - Không linh hoạt Firewall mềm: (Không thể thêm chức năng, thêm quy tắc firewall mềm) - Firewall cứng hoạt động tầng thấp Firewall mềm (Tầng Network tầng Transport) - Firewall cứng kiểm tra nột dung gói tin Hình 1.2 Firewall cứng 1.2.2 Firewall mềm - Firewall mềm: Là Firewall cài đặt Server phần mềm riêng biệt Windows Firewall Firewall mềm phổ biến có tất máy tính chạy Windows - Một số Firewall mềm ISA server,Zone Alarm, Norton firewall,các phần mềm antivirut hay hệ điều hành có tính firewall… + Đặc điểm Firewall mềm: - Tính linh hoạt cao: Có thể thêm, bớt quy tắc, chức - Firewall mềm hoạt động tầng cao Firewall cứng (tầng ứng dụng) - Firewal mềm kiểm tra nội dung gói tin (thông qua từ khóa) -Hoạt động tầng Application -Tính linh hoạt cao: Có thể thêm, bớt quy tắc, chức - vidu Firewall mềm: Zone Alarm, Noton Firewall SVTH: Cao Hoàng Cường– Lớp : CCMM07A Tìm hiểu GNS3 triển khai Firewall ASA 5515-X Hinh 1.3 Zone Alarm Hinh 1.3 mô hinh Firewall mềm SVTH: Cao Hoàng Cường– Lớp : CCMM07A Tìm hiểu GNS3 triển khai Firewall ASA 5515-X Hình 1.4 Windows Firewall SVTH: Cao Hoàng Cường– Lớp : CCMM07A Tìm hiểu GNS3 triển khai Firewall ASA 5515-X Hình 2.5 cài đặt WinPcap Hình 2.5 cai WinPcap SVTH: Cao Hoàng Cường– Lớp : CCMM07A 24 Tìm hiểu GNS3 triển khai Firewall ASA 5515-X Hình 2.6 Cài GNS3 - Cài đặt dynamic and dynagen: Hình 2.7 Cài đặt dynamic and dynagen SVTH: Cao Hoàng Cường– Lớp : CCMM07A 25 Tìm hiểu GNS3 triển khai Firewall ASA 5515-X Hinh 2.8 Hoàn Thành cài đặt -Chỉnh sửa sau cài đặt: kích đúp vào biểu tượng GNS3 Desktop : GNS3 ra, cấu hình theo hình Hướng dẫn Hình 2.9 Kiểm tra GNS3 SVTH: Cao Hoàng Cường– Lớp : CCMM07A 26 Tìm hiểu GNS3 triển khai Firewall ASA 5515-X Hinh 2.10 Kiểm đường dẫn GNS3 SVTH: Cao Hoàng Cường– Lớp : CCMM07A 27 Tìm hiểu GNS3 triển khai Firewall ASA 5515-X Hinh 2.11 Hoàn thành cài phần mềm SVTH: Cao Hoàng Cường– Lớp : CCMM07A 28 Tìm hiểu GNS3 triển khai Firewall ASA 5515-X Hinh 2.12 Giao diện GNS3 2.3.2 Mô hình toán mẫu thực GNS3 - mô hình gồm PC , Router, Swit + Pc nối với Swit dây nối Ethernet +các Swit nối với Router Fast Ethetnet +các Router nối với dây Fast Ethetnet -sau kết nối dây ta ấn vào nút Sart công cụng, để thiết bị hoạt đông SVTH: Cao Hoàng Cường– Lớp : CCMM07A 29 Tìm hiểu GNS3 triển khai Firewall ASA 5515-X Hinh 2.13 mồ hình toán 2.3.3 Chi tiết bước cấu hình GNS3 - ta tiến hành cấu hình IOS GNS3: cho PC1, PC2, PC3, PC4 - tiến hành cấu hình Router 1, Router + ta cấu hình IP cho PC, Router + ta cấu hình định tuyến cho Router Hinh 3.14 mô hình GNS3 SVTH: Cao Hoàng Cường– Lớp : CCMM07A 30 Tìm hiểu GNS3 triển khai Firewall ASA 5515-X Hinh 2.15 cấu hinh IP cho PC1 Hinh 2.16 cấu hinh IPcho PC2 Hinh 2.17 cấu hình PC3 SVTH: Cao Hoàng Cường– Lớp : CCMM07A 31 Tìm hiểu GNS3 triển khai Firewall ASA 5515-X Hinh 2.18 cấu hinh IP cho PC4 Hinh2.19 cấu hinh R1 Hinh 3.30 cấu hình R2 SVTH: Cao Hoàng Cường– Lớp : CCMM07A 32 Tìm hiểu GNS3 triển khai Firewall ASA 5515-X Hinh 3.21 ping PC1 cho PC3 -Khi ta ping PC1 cho PC3 công lab SVTH: Cao Hoàng Cường– Lớp : CCMM07A 33 Tìm hiểu GNS3 triển khai Firewall ASA 5515-X CHƯƠNG 3:TRIỂN KHAI CÁC CHÍNH SÁCH TRÊN FIREWALL ASA 5515-X 3.1 Mô hình toán Hình 3.1 Mô hình thực 3.2 Các bước cấu hình 3.2.1 Cấu hình Router • Cấu hình IP R# R#conf t R#hostname R1 R1(configif)#interface gigabitEthernet 0/1 R1(configif)#ip address 192.168.3.2 255.255.255.0 R1(configif)#no sh R1(configif)#no shutdown R1(configif)#ex • Cấu hình định tuyến R1(config)#ip route 0.0.0.0 0.0.0.0 R1(config)#ip route 0.0.0.0 0.0.0.0 gigabitEthernet 0/1 R1(config)# 3.2.2 Cấu hình Router • Cấu hình IP R#conf t R(config)#hostname R2 R2(configif)#iinterface gigabitEthernet 0/2 SVTH: Cao Hoàng Cường– Lớp : CCMM07A 34 Tìm hiểu GNS3 triển khai Firewall ASA 5515-X R2(configif)#ip address 192.168.4.2 255.255.255.0 R2(configif)#sh R2(configif)#no shutdown R2(configif)#ex R2(config)#interface gigabitEthernet 0/2 R2(configif)#ip address 20.0.0.2 255.0.0.0 R2(configif)#no shutdown • Cấu hình định tuyến R2(config)#ip route 0.0.0.0 0.0.0.0 gigabitEthernet 0/2 R2(config)#i 3.2.3 Cấu hình ASA • Cấu hình IP ASA(config-if)# int gigabitEthernet 0/0 ASA(config-if)# ip address 10.0.0.1 255.0.0.0 ASA(config-if)# nameif insite ASA(config-if)# security level ASA(config-if)# no shutdown ASA(config-if)# exit ASA(config-if)# int gigabitEthernet 0/1 ASA(config-if)# ip address 192.168.4.1 255.255.255.0 ASA(config-if)# no shutdown ASA(config-if)# exit ASA(config)# object network PC1 ASA(config-network-object)# host 192.168.1.1 ASA(config-network-object)ex ASA(config)# object network PC2 ASA(config-network-object)# host 192.168.2.1 ASA(config-network-object)# ex SVTH: Cao Hoàng Cường– Lớp : CCMM07A 35 Tìm hiểu GNS3 triển khai Firewall ASA 5515-X ASA(config)# object service ping ASA(config-service-object)# ASA(config-service-object)# service icmp echo ASA(config-service-object)# object service ping ASA(config-service-object)# ex ASA(config) object service pingreply ASA(config-network-object)# service icmp echo-reply ASA(config-network-object)# ex ASA(config)# object-group network PRIVATE ASA(config-network-object-group)# network-object object PC1 ASA(config-network-object-group)# ex ASA(config)# access-List OUI extended prmit object pingreply object PC2 obj ASA(config)# access-List OUI extended prmit object pingreply object PC2 obj$ ASA(config)# access-group OUI in interface outsite ASA(config)# access-group List OUI extended permit object PC2 object PC1 ASA(config)# access-group OUI in interface outsite ASA(config)# end SVTH: Cao Hoàng Cường– Lớp : CCMM07A 36 Tìm hiểu GNS3 triển khai Firewall ASA 5515-X KẾT LUẬN Kết đạt được: • Tiềm hiểu sử dụng cách cấu hình mô hình mạng đơn giảng GNS3 • Thực hành triển khai cấu hình mạng Firewall mô hình đơn giảng thiết bị thật phòng B106 trường • Biết cấu hình lab đơn giản GNS3, cách nối dây thiết bị • Hiểu cấu trúc, chức Firewall hoạt động Firewall • Triển khai ASA 5515 phòng B106 Hạn chế: • Chưa sâu vào nghiên cứu sách bảo mật Firewall • Mô hình triển khai đơn giản chưa sát với thực tế • Vẫn gập số lỗi trình demo SVTH: Cao Hoàng Cường– Lớp : CCMM07A 37 Tìm hiểu GNS3 triển khai Firewall ASA 5515-X TÀI LIỆU THAM KHẢO Tiếng việt • Mạng máy tính hệ thống mở – Nguyễn Thúc Hải (NXB Giáo Dục) • An toàn bảo mật tin tức mạng – Học viện Công nghệ Bưu Viễn thông (NXB Bưu Điện) • Bức tường lửa Internet An ninh mạng – NXB Bưu Điện • Quangtrimang.com, mywep.pro.vn, hocwep.com.vn Internet • Sơ lượt Firewall (http://open.ptit.edu.vn/clbsv/showthread.php?t=4716) Tiếng anh: • Cisco ASA series Firewall CLI Configuration Guide • Cisco ASA Series Command Reference SVTH: Cao Hoàng Cường– Lớp : CCMM07A 38 ... Lớp : CCMM07A Tìm hiểu GNS3 triển khai Firewall ASA 5515- X Hình 1.4 Windows Firewall SVTH: Cao Hoàng Cường– Lớp : CCMM07A Tìm hiểu GNS3 triển khai Firewall ASA 5515- X 1.3 Kiến trúc Firewall 1.3.1... Lớp : CCMM07A 17 Tìm hiểu GNS3 triển khai Firewall ASA 5515- X CHƯƠNG : TIỀM HIỀU FIREWALL ASA VÀ PHẦN MỀM GNS3 2.1 Giới thiệu sơ lược ASA 5515 Hình 2.1 Cisco Firewall ASA 5515- X Thông số bản:... 23 Tìm hiểu GNS3 triển khai Firewall ASA 5515- X Hình 2.5 cài đặt WinPcap Hình 2.5 cai WinPcap SVTH: Cao Hoàng Cường– Lớp : CCMM07A 24 Tìm hiểu GNS3 triển khai Firewall ASA 5515- X Hình 2.6 Cài GNS3