Đang tải... (xem toàn văn)
Để bảo vệ hệ thống chống lại các nguy cơ từ mạng Internet bên ngoài, các giải pháp bảo mật luôn được chú trọng và có đóng góp to lớn đối với bảo mật mạng. Trong số các giải pháp đó, hệ thống sử dụng firewall là một phương pháp bảo mật có khả năng chống lại các kiểu tấn công mới, xử lý các vấn đề lỗ hổng từ bên trong và hỗ trợ tốt cho các phương pháp bảo mật truyền thống. Đồ án hướng tới việc nghiên cứu và triển khai hệ thống firewall ASA. Đồ án tổng hợp được lý thuyết về bảo mật nói chung và hệ thống firewall ASA nói riêng. Đồ án cũng đưa ra phương pháp thiết kế xây dựng phương án bảo mật hệ thống bằng firewall và phương thức cài đặt cấu hình cho hệ thống mô phỏng sử dụng firewall ASA.
MỤC LỤC MỤC LỤC DANH MỤC CÁC HÌNH VẼ THÔNG TIN KẾT QUẢ NGHIÊN CỨU MỞ ĐẦU .7 LỜI CẢM ƠN .8 CHƢƠNG TỔNG QUAN VỀ TƢỜNG LỬA 1.1 Các vấn đề an ninh mạng 1.2 Các phƣơng thức công .11 1.2.1 Mã độc 11 1.2.2 Tấn công từ chối dịch vụ 13 1.2.3 Tấn công lỗ hổng bảo mật web 14 1.2.4 Sử dụng Proxy công mạng .15 1.2.5 Tấn công dựa vào yếu tố ngƣời .17 1.3 Chính sách an ninh mạng .17 1.3.1 Chính sách an toàn thông tin 17 1.3.2 Chính sách áp dụng phổ biến 19 1.4 Bức tƣờng lửa 20 1.4.1 Khái niệm .20 1.4.2 Chức tƣờng lửa 20 1.4.3 Phân loại 22 1.4.4 Các sản phẩm firewall 34 1.5 Kết luận chƣơng 35 CHƢƠNG HỆ THỐNG FIREWALL ASA 37 2.1 Giới thiệu .37 2.2 Dòng sản phẩm firewall ASA Cisco .38 2.2.1 ASA 5505 .38 2.2.2 ASA 5510, 5520 5540 .39 2.2.3 ASA 5550 .40 2.2.4 ASA 5580 .40 2.3 Cơ chế hoạt động 41 2.4 Các chức firewall ASA .42 2.4.1 Quản lý file .42 2.4.2 Mức độ bảo mật 42 2.4.3 Điều khiển truy cập mạng 44 2.4.4 Giao thức định tuyến 50 2.4.5 Khả chịu lỗi dự phòng 52 2.4.6 Quản lý chất lƣợng dịch vụ 54 2.4.7 Phát xâm nhập 56 2.4.8 Một vài chức khác 59 2.5 Kết luận chƣơng 62 CHƢƠNG THIẾT KẾ VÀ XÂY DỰNG MÔ PHỎNG HỆ THỐNG FIREWALL ASA 63 3.1 Đặt vấn đề 63 3.1.1 Nhu cầu bảo mật .63 3.1.2 Mô hình hệ thống 64 3.2 Công cụ sử dụng 66 3.3 Giả lập firewall ASA GNS3 66 3.3.1 Cài đặt GNS3 67 3.3.2 Giả lập firewall ASA 68 3.4 Thiết kế hệ thống mô 70 3.4.1 Giải pháp bảo mật 70 3.4.2 Chức firewall ASA 71 3.4.3 Triển khai xây dựng hệ thống 72 3.4.4 Kết kiểm tra hệ thống 77 3.5 Kết luận chƣơng 80 KẾT LUẬN CHUNG 81 TÀI LIỆU THAM KHẢO 82 DANH MỤC CÁC HÌNH VẼ Hình 1-1: Mô hình firewall 20 Hình 1-2 : Simple Access List Sample Network 27 Hình 1-3: Simple Access List 27 Hình 1-4: NAT firewall .28 Hình 1-5: Circuit-level firewall 28 Hình 1-6: Proxy firewall 29 Hình 1-7: Stateful firewall 29 Hình 1-8: Mô hình Dual-homed host 30 Hình 1-9: Mô hình Screened Host 31 Hình 1-10: Mô hình Screened subnet .33 Hình 2-1: ASA 5505 38 Hình 2-2: ASA 5510 39 Hình 2-3: ASA 5550 40 Hình 2-4: ASA 5580 41 Hình 2-5: Mô tả trình lọc gói tƣờng lửa 45 Hình 2-6: Mô tả chế PAT (NAT overload) 49 Hình 2-7: Minh họa liên kết chịu lỗi 52 Hình 2-8: Gói tin qua công cụ QoS 55 Hình 3-1: Sơ đồ hệ thống mạng dung firewall ASA 64 Hình 3-2: Cài đặt GNS3 67 Hình 3-3: Cài đặt GNS3 67 Hình 3-4: Cài đặt GNS3 68 Hình 3-5: Hoàn tất cài đặt GNS3 68 Hình 3-6: Giả lập firewall ASA 69 Hình 3-7: Hoàn tất giả lập firewall ASA 69 Hình 3-8: Mô hình ASA GNS3 72 Hình 3-9: Giao diện firewall ASA 77 Hình 3-10: Bảng NAT Cisco ASA 77 Hình 3-11: FTPserver Internet thành công 78 Hình 3-12: Webserver Internet thành công 78 Hình 3-13: Kết nối từ mạng nội Internet thành công .79 Hình 3-14: Kiểm tra kết nối vùng outside inside 79 THÔNG TIN KẾT QUẢ NGHIÊN CỨU Thông tin chung Tên đề tài: Nghiên cứu triển khai hệ thống firewall ASA Sinh viên thực hiện: Trần Văn Hiếu Thời gian thực hiện: 2017 Mục tiêu Để bảo vệ hệ thống chống lại nguy từ mạng Internet bên ngoài, giải pháp bảo mật đƣợc trọng có đóng góp to lớn bảo mật mạng Trong số giải pháp đó, hệ thống sử dụng firewall phƣơng pháp bảo mật có khả chống lại kiểu công mới, xử lý vấn đề lỗ hổng từ bên hỗ trợ tốt cho phƣơng pháp bảo mật truyền thống Đồ án hƣớng tới việc nghiên cứu triển khai hệ thống firewall ASA Đồ án tổng hợp đƣợc lý thuyết bảo mật nói chung hệ thống firewall ASA nói riêng Đồ án đƣa phƣơng pháp thiết kế xây dựng phƣơng án bảo mật hệ thống firewall phƣơng thức cài đặt cấu hình cho hệ thống mô sử dụng firewall ASA Nội dung Đồ án gồm chƣơng: Chƣơng 1: Tổng quan tƣờng lửa Chƣơng 2: Hệ thống firewall ASA Chƣơng 3: Thiết kế xây dựng mô hệ thống firewall ASA Kết đạt đƣợc Báo cáo đồ án tốt nghiệp gồm: Đồ án tốt nghiệp video quay lại bƣớc triển khai cấu hình Lý thuyết vấn đề an ninh mạng, phƣơng thức công, tƣờng lửa; giới thiệu firewall ASA, chế hoạt động chức firewall ASA Thiết kế xây dựng phƣơng án bảo mật hệ thống firewall ASA Minh họa phƣơng thức giả lập firewall ASA bƣớc triển khai cấu hình ASA MỞ ĐẦU Tổng quan tình hình nghiên cứu thuộc lĩnh vực đề tài An ninh thông tin nói chung an ninh mạng nói riêng vấn đề đƣợc quan tâm không Việt Nam mà toàn giới Cùng với phát triển nhanh chóng mạng Internet, việc đảm bảo an ninh cho hệ thống thông tin trở nên cấp thiết hết Trong lĩnh vực an ninh mạng, firewall kỹ thuật đƣợc tích hợp vào hệ thống mạng để chống truy cập trái phép, nhằm bảo vệ nguồn thông tin nội hạn chế xâm nhập không mong muốn vào hệ thống Firewall đƣợc coi nhƣ hệ thống phòng thù mà kiểm soát tất luồng lƣu thong nhập xuất Xây dựng hệ thống an ninh mạng sử dụng firewall giải pháp nhằm nâng cao tính bảo mật hệ thống Hiện firewall ASA đƣợc nghiên cứu, phát triển sử dụng rộng rãi Tính cấp thiết, ý nghĩa khoa học thực tiễn đề tài Với bùng nổ ngày mạnh mẽ mạng máy tính Internet, quốc gia, tổ chức, công ty tất ngƣời kết nối vào Internet để khai thác truyền bá thông tin Chính thông tin có tầm quan trọng lớn nhƣ nên việc bảo vệ, làm nguồn tài nguyên thông tin mạng đã, vấn đề cần thiết chuyên gia an ninh mạng mà với tất ngƣời tham gia vào mạng máy tính Internet Vì việc sử dụng tƣờng lửa cho mạng máy tính vấn đề cần thiết Đề tài nghiên cứu tổng quan tƣờng lửa, cách thức công hệ thống, sách an ninh mạng; giới thiệu firewall ASA, chức cách cấu hình firewall ASA cho hệ thống Ứng dụng firewall ASA nhằm kiểm soát luồng thông tin qua nó, cho phép ngƣời dùng hợp lệ qua chặn ngƣời dùng không hợp lệ, bảo vệ mạng nội bộ, chống virus Ứng dụng hỗ trợ tốt cho phƣơng pháp bảo mật truyền thống khác Đề tài triển khai firewall ASA phù hợp với thực tiễn, nên đƣợc ứng dụng rộng rãi phù hợp với doanh nghiệp vừa nhỏ LỜI CẢM ƠN Em xin bày tỏ cảm ơn sâu sắc tới tất ngƣời: gia đình, thầy cô, bạn bè Trong trình học tập đặc biệt thời gian thực đồ án tốt nghiệp, em nhận đƣợc động viên giúp đỡ to lớn để hoàn thành đồ án Em xin chân thành cảm ơn ThS Đào Anh Thƣ, ngƣời định hƣớng cho em việc lựa chọn đề tài, đƣa nhận xét quý giá trực tiếp hƣớng dẫn, hỗ trợ em trình nghiên cứu hoàn thành luận văn tốt nghiệp Em xin cảm ơn thầy cô môn Mạng Máy Tính, Khoa Công nghệ thông tin, Trƣờng Đại học Mỏ- Địa chất tận tình giảng dạy em suốt thời gian học tập trƣờng Cuối cùng, em xin gửi lời cảm ơn đặc biệt tới gia đình mình, nơi động viên em lớn, cổ vũ nhiệt tình động lực để em nỗ lực học tập, nghiên cứu hoàn thiện thân Hà Nội, ngày tháng năm 2017 Trần Văn Hiếu CHƢƠNG TỔNG QUAN VỀ TƢỜNG LỬA 1.1 Các vấn đề an ninh mạng Các công mạng có chủ đích gây thiệt hại vô to lớn Chính vậy, an ninh mạng vấn đề nóng bỏng cấp thiết Năm 2016, mức thiệt hại virus máy tính gây ngƣời dùng Việt Nam lên tới 10.400 tỷ, vƣợt qua mức 8.700 tỷ đồng năm 2015 Đây kết từ chƣơng trình đánh giá an ninh mạng đƣợc Tập đoàn công nghệ Bkav thực vào tháng 12/2016 Mã độc mã hóa liệu Ransomware, virus lây qua USB, vấn nạn tin nhắn rác nguy từ công có chủ đích APT chủ điểm nóng năm 2016 Bùng nổ mã độc mã hóa liệu Ransomware Đúng nhƣ dự báo tổng kết cuối năm 2015 chuyên gia Bkav, năm 2016 ghi nhận bùng nổ mã độc mã hóa liệu tống tiền ransomware Thống kê từ hệ thống giám sát virus Bkav cho thấy, có tới 16% lƣợng email lƣu chuyển năm 2016 email phát tán ransomware, nhiều gấp 20 lần năm 2015 Nhƣ trung bình 10 email nhận đƣợc năm 2016 ngƣời sử dụng gặp 1,6 email chứa ransomware, số đáng báo động Ransomware chuyên mã hóa file liệu máy, khiến ngƣời sử dụng mở file không trả tiền chuộc cho hacker Số tiền chuộc khổng lồ hacker kiếm đƣợc nguyên nhân dẫn tới bùng nổ loại mã độc nguy hiểm Để phòng tránh, tốt ngƣời dùng nên trang bị cho phần mềm diệt virus để đƣợc bảo vệ tự động, mở file tải từ email môi trƣờng cách ly an toàn Safe Run Virus USB chƣa hết thời Việc cắt bỏ tính Auto Run hệ điều hành Microsoft không làm cho virus USB trở nên hết thời Theo chƣơng trình đánh giá an ninh mạng 2016 Bkav, tỷ lệ USB bị nhiễm virus năm 2016 mức cao 83%, không giảm so với 2015 Lý giải điều này, chuyên gia Bkav phân tích, nỗ lực Microsoft hạn chế đƣợc dòng virus lây trực tiếp qua Auto Run nhƣ W32.AutoRunUSB Tuy nhiên, tăng trƣởng mạnh dòng W32.UsbFakeDrive, dòng virus không cần AutoRun lây nhiễm với cú "click" khiến cho USB tiếp tục nguồn lây nhiễm virus phổ biến Theo thống kê từ hệ thống giám sát virus Bkav, có tới 16,7 triệu lƣợt máy tính đƣợc phát nhiễm virus lây qua USB năm 2016 Trong 11% đến từ dòng virus lây trực tiếp Auto Run, tới 89% dòng W32.UsbFakeDrive Đã đến lúc phải kiểm soát chặt chẽ việc sử dụng USB để hạn chế lây lan virus Ngƣời dùng cá nhân cần trang bị phần mềm diệt virus thƣờng trực để quét USB trƣớc sử dụng, hạn chế sử dụng USB máy lạ Với quan doanh nghiệp, cần trang bị giải pháp kiểm soát sách an ninh đồng bộ, có kiểm soát, phân quyền sử dụng USB theo nhu cầu độ quan trọng máy Tấn công có chủ đích APT - bom hẹn Tấn công có chủ đích, hay công APT gần đƣợc nhắc tới liên tục, đặc biệt an toàn thông tin năm 2016 Thuật ngữ APT (Advanced Persistent Threat) đƣợc dùng để kiểu công dai dẳng có chủ đích vào thực thể Kẻ công đƣợc hỗ trợ phủ nƣớc nhằm tìm kiếm thông tin tình báo từ phủ nƣớc khác Tuy nhiên không loại trừ mục tiêu công tổ chức tƣ nhân Điều đặc biệt nguy hiểm công APT hacker tạo malware riêng cho mục tiêu cụ thể, ủ bệnh lâu, chí theo chia sẻ chuyên gia bảo mật có loại malware có hành vi thể nên khó phát hiện, kể chạy kiểm thử môi trƣờng giả lập Sandbox Với loại malware này, giải pháp truyền thống dựa phân tích chữ ký (signature) trở nên bất lực việc phát ngăn chặn Chiêu thức đánh lừa kiểu phi kỹ thuật (social engineering) thông qua email hay website có chứa mã độc đƣợc hacker dùng nhiều hiệu Xu hƣớng BYOD (mang máy tính cá nhân làm) ngƣời dùng truy cập làm việc từ xa tạo điệu kiện cho hacker xâm nhập mạng TC/DN (dữ liệu nội bộ) Việc truy tìm hacker không dễ, chƣa kể tội phạm công mạng nạn nhân thƣờng không quốc gia nên gây khó cho quan thực thi pháp luật Hacker có nhiều lợi so với bên bị công Chúng dễ dàng kết nối với hacker lão luyện mạng, có nhiều điểm yếu hệ thống phòng thủ để khai thác công có mục tiêu rõ ràng Trong đối tƣợng bị công có nhiều công việc thƣờng ngày, không dễ tập trung toàn sức lực cho hệ 10 Hình 3-6: Giả lập firewall ASA Bƣớc 1: Trong hộp thoại QEMU VM type, chọn type ASA 8.4(2), chọn Next Bƣớc 2: Trong hộp thoai QEMU name, chọn Name ASA, chọn Next Hình 3-7: Hoàn tất giả lập firewall ASA Bƣớc 3: Trong hộp thoai QEMU binary and memory, chọn dung lƣợng RAM ASA sử dụng 1024, chọn Next Bƣớc 4: Trong hộp thoại ASA VM, Browse hai file initrd vmlinuz, chọn Finish Firewall ASA Cisco phiên 8.4.2 trở lên có hỗ trợ tính Identity Firewall tính hay mà dòng Next-generation firewall sử dụng, đặc biệt hãng Palo Alto dẫn đầu mảng Palo Alto hãng đƣa khái niệm tƣờng lửa hệ Không hoạt động Layer nhƣ loại tƣờng lửa hệ trƣớc Palo Alto Firewall hoạt 69 động tầng ứng dụng, cung cấp giải pháp toàn diện cho ngƣời quản trị đảm bảo an ninh quản lý hệ thống Palo Alto thiết bị tƣờng lửa dựa việc xác thực ngƣời dùng (User-ID), xác thực dựa ứng dụng (App-ID) xác thực thông qua nội dung (Content-ID) Với ứng dụng công cụ công ngày đa dạng, với thiết bị tƣờng lửa thông thƣờng dựa IP, Port,… xác định ngăn chặn Hơn với chế xác thực dựa theo User-ID, App-ID, Content-ID,…giúp cho ngƣời quản trị dễ dàng nhận dạng ứng dụng, nội dung bên luồng liệu với mức độ nguy hiểm từ ngăn chặn kịp thời, có khả xác định rõ mối nguy đe dọa xuất phát từ ngƣời sử dụng Chính mà đƣợc gọi Next-generation Firewall 3.4 Thiết kế hệ thống mô 3.4.1 Giải pháp bảo mật Để giải đƣợc vấn đề trên, hệ thống cần bổ sung thiết bị phần cứng phần mềm nhằm ngăn chặn đƣợc nguy công Đối với công từ Internet vào hệ thống mạng nội server cần: Che giấu thông tin hệ thống mạng nội bộ: sử dụng (NAT,PAT) định tuyến cho mạng NAT giúp dấu tất IP bên LAN với bên ngoài, tránh dòm ngó hackers NAT có tính linh hoạt dễ dàng việc quản lý NAT giúp cho home user doanh nghiệp nhỏ tạo kết nối với internet cách dễ dàng hiệu nhƣ giúp tiết kiệm vốn đầu tƣ Ngăn chặn truy cập bất hợp pháp đến hệ thống mạng nội server: chia vlan; sử dụng thiết bị phát xâm nhập, phát phần mềm độc hại Đối với hệ thống mạng nội cần chia thành nhiều miền quảng bá để quản lý khoanh vùng có virut Tuy nhiên, để tăng tính bảo mật ổn định hệ thống giải pháp sử dụng thiết bị phần cứng lựa chọn thích hợp Ngoài trang thiết bị có cần trang 70 bị thêm thiết bị firewall ASA Cisco, switch có khả chia VLAN nhằm chia mạng nội thành nhiều miền quảng bá 3.4.2 Chức firewall ASA Sử dụng Firewall cứng (Cisco firewall ASA) để bảo vệ hệ thống server mạng nội Firewall chia hệ thống mạng làm vùng có mức độ ƣu tiên bảo mật khác nhau: Outside: vùng Internet, có mức độ ƣu tiên bảo mật thấp Inside: mạng nội bộ, vùng có mức độ ƣu tiên bảo vệ cao nhất, máy vùng inside có khả truy cập vùng outside Cisco ASA bảo vệ mạng bên (inside), khu phi quân (DMZ) mạng bên (outside) cách kiểm tra tất lƣu lƣợng qua Có thể xác định sách quy tắc cho lƣu lƣợng đƣợc cho phép không cho phép qua interface Phát xâm nhập trái phép, giảm nguy bị công, giảm chi phí thiệt hại, tránh gián đoạn hệ thống Cơ chế theo dõi trạng thái kết nối, thực việc chuẩn hóa giao thức TCP Cisco ASA đƣợc triển khai vùng biên mạng có trách nhiệm bảo vệ tài nguyên nội doanh nghiệp liệu khỏi mối đe dọa từ bên cách ngăn chặn truy cập vào từ Internet Bảo vùng LAN, DMZ khỏi công từ Internet Kiểm soát lƣu lƣợng truy cập Internet ngƣời dùng Để triển khai, thiết bị bảo mật đƣợc cấu hình để thi hành sách truy cập, theo dõi trạng thái kết nối kiểm tra tải trọng gói theo cácyêu cầu sau: • Từ chối yêu cầu kết nối từ Internet tới nguồn nội mạng • Cho phép truy cập Internet cho ngƣời dùng nội cho giao thức đƣợc cho phép theo sách doanh nghiệp (ví dụ HTTP HTTPS) • Cho phép SSL truy cập Internet để cập nhật quản trị • Cho phép ngƣời dùng truy cập vào dịch vụ DMZ nhƣ trang web công ty, E-mail (HTTP, SMTP, IMAP DNS) • Hạn chế truy cập Internet vào DMZ, cho giao thức máy chủ cần thiết nhƣ: HTTP đến máy chủ web, DNS tới máy chủ DNS 71 • Hạn chế kết nối đƣợc khởi tạo từ DMZ với giao thức: DNS từ máy chủ DNS, SMTP từ máy chủ thƣ, HTTP/SSL Cisco • Cho phép kiểm tra trạng thái cho giao thức sử dụng để đảm bảo lƣu lƣợng truy cập trở lại tƣờng lửa • Thực dịch địa mạng (NAT) dịch địa cổng (PAT) để bảo vệ không gian địa nội từ Internet 3.4.3 Triển khai xây dựng hệ thống 3.4.3.1 Chức thực Hình 3-8: Mô hình ASA GNS3 Vùng Inside có địa chỉ: 11.0.0.0/8 Vùng Outside có địa chỉ: 200.0.0.0/8 Vùng DMZ có địa chỉ: 10.0.0.0/8 Gán địa Internet nguồn interface loopback có địa : 100.100.100.11/24 72 Triển khai xây dựng hệ thống phần mềm giả lập GNS3 sử dụng Cisco ASA ta thực công việc sau: Cấu hình thiết bị: ASA, Router Thực lệnh định tuyến phép miền inside, outside kết nối truyền thông đƣợc với Thực NAT, PAT địa cổng vùng inside truy cập vùng outside 3.4.3.2 Cấu hình chi tiết a Cấu hình Cấu hình cho interface ASA, chia theo vùng DMZ, Inside, Outside: Ciscoasa > enable Ciscoasa# configure terminal Ciscoasa(config)# interface GigabitEthernet0 Ciscoasa (config-if)# nameif dmz Ciscoasa (config-if)# security-level 50 Ciscoasa (config-if)# ip address 10.0.0.1 255.0.0.0 Ciscoasa (config-if)# no shutdown Ciscoasa (config-if)#exit Ciscoasa (config)# interface GigabitEthernet1 Ciscoasa (config-if)# nameif outside Ciscoasa (config-if)# security-level Ciscoasa (config-if)# ip address 200.0.0.1 255.0.0.0 Ciscoasa (config-if)# no shutdown Ciscoasa (config)# interface GigabitEthernet2 Ciscoasa (config-if)# nameif inside Ciscoasa (config-if)# security-level 100 Ciscoasa (config-if)# ip address 11.0.0.1 255.0.0.0 Ciscoasa (config-if)# no shutdown 73 Ciscoasa (config-if)# exit Cấu hình cho Router: R1# configure terminal R1(config)#interface fastEthernet 0/0 R1(config-if)#ip address 200.0.0.2 255.0.0.0 R1(config-if)#no shutdown R1(config-if)#exit R1(config)#interface fastEthernet 0/1 R1(config-if)#ip address 100.100.100.1 255.255.255.0 R1(config-if)#no shutdown R1(config-if)#exit b Chuyển tiếp lƣu lƣợng Trong mô hình triển khai, firewall ASA có nhiệm vụ chuyển tiếp cho tất mạng nội Internet Việc định tuyến tùy thuộc vào nhu cầu mà ta sử dụng định tuyến tĩnh (static route default-route) định tuyến động (RIP, EIGRP, OSPF) Tuy nhiên, với thiết bị định tuyến công ty quy mô không lớn, đinh tuyến tĩnh đƣợc ƣu tiên sử dụng Trong mô hình ta sử dụng định tuyến mặc định (default-route) mạng nội đến Enterprise router ciscoasa(config)# route outside 0.0.0.0 0.0.0.0 200.0.0.2 c Access Control List ASA mặc định cho phép traffic từ nơi có security-level cao đến nơi có security-level thấp Cấu hình ACL cho phép tin ICMP echo-reply gửi vào cổng outside access-list acl_DMZ extended permit icmp any any echo-reply Tƣơng tự có access list outside interface phép gói tin ICMP đƣợc qua: access-list acl_outside extended permit icmp any any echo-reply Với access-list , ta thiết lập access-group tƣơng ứng access-group acl_DMZ in interface outside 74 access-group acl_outside in interface outside Trong sơ đồ (hình 3-2), công ty xây dựng hệ thống Web server FTP server để hỗ trợ cho hoạt động công ty Ở đây, ta xây dựng Web server IIS FTP server vùng DMZ đƣợc NAT bên cho phép tất máy tính Internet truy cập đƣợc Web server công ty Để máy bên truy cập đƣợc, ta tạo access control list phép HTTP FTP truy cập vào: access-list icmp-in extended permit tcp any any eq www access-list icmp-in extended permit tcp any any access-list icmp-in extended permit tcp any any eq ftp d Auto NAT Nhƣ mô hình đƣợc áp dụng phổ biến hệ thống mạng các công ty, tất traffic từ mạng bên bên sử dụng chế dịch địa (PAT) Tất mạng mô hình gồm 11.0.0.0/8 10.0.0.0/8 đƣợc PAT Điều giúp tăng tính bảo mật hệ thống mạng Đối với vùng Inside: o Cấu hình Object Network: ciscoasa(config)# object network inside ciscoasa(config-network-object)#subnet 11.0.0.0 255.0.0.0 o Cấu hình PAT (dùng địa cổng outside) ciscoasa(config)# object network inside ciscoasa(config-network-object)# nat (inside,outside) dynamic interface Đối với vùng DMZ: o Cấu hình Object Network ciscoasa(config)# object network dmz ciscoasa(config-network-object)#subnet 10.0.0.0 255.0.0.0 o Cấu hình PAT (dùng địa cổng outside) ciscoasa(config)# object network dmz ciscoasa(config-network-object)# nat (dmz,outside) dynamic interface 75 e Cài đặt ASDM Để dễ dàng quản lý, cấu hình firewall ASA, Cisco phát triển tool ASDM dựa tảng web giúp quản trị viên theo dõi trạng thái thiết bị hoạt động firewall Đầu tiên ta cần copy file cài đặt ASDM vào firewall ASA qua TFTP ciscoasa# copy tftp: flash: Address or name of remote host []? 100.100.100.11 Source filename []? asdm-647.bin Destination filename [asdm-647.bin]? Accessing tftp://100.100.100.11/asdm-647.bin !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! Writing current ASDM file disk0:/asdm-647.bin !!!!!!!!!!!!!!!!!!!!!!!!!! !!!! !!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! Cấu hình load file ASDM flash ciscoasa(config)# asdm image flash:asdm-647.bin ciscoasa(config)# http server enable ciscoasa(config)#http 10.0.0.0 255.0.0.0 dmz 76 Truy cập đến https://10.0.0.1 Giao diện firewall ASA Hình 3-9: Giao diện firewall ASA 3.4.4 Kết kiểm tra hệ thống Kiểm tra bảng NAT Cisco ASA Hình 3-10: Bảng NAT Cisco ASA 77 Kiểm tra NAT từ vùng DMZ Internet Hình 3-11: FTPserver Internet thành công Hình 3-12: Webserver Internet thành công Kiểm tra kết nối từ vùng inside Internet 78 Hình 3-13: Kết nối từ mạng nội Internet thành công Kiểm tra kết nối từ vùng outside vào inside Vùng outside kết nối với mạng nội Hình 3-14: Kiểm tra kết nối vùng outside inside 79 3.5 Kết luận chƣơng Hệ thống trƣớc triển khai giải pháp an ninh hoạt động thiếu bảo vệ Các nguy công từ Internet hacker thƣờng xuyên xảy ra, bên cạnh vấn đề virut lây lan nhanh chóng hệ thống mạng nội nhƣ Server làm nhân viên quản trị mạng phải tốn thời gian tiền bạc để khắc phục Sau phân tích, đƣa giải pháp triển khai cấu hình hệ thống an ninh sử dụng firewall ASA ta thấy đƣợc hiệu rõ nét, cụ thể: Hệ thống hoạt động an toàn, ổn định Cisco ASA đƣợc triển khai vùng biên mạng có trách nhiệm bảo vệ tài nguyên nội doanh nghiệp liệu khỏi mối đe dọa từ bên cách ngăn chặn truy cập vào từ Internet Bảo vùng LAN, DMZ khỏi công từ Internet Kiểm soát lƣu lƣợng truy cập Internet ngƣời dùng Các Server vùng DMZ đƣợc NAT sang IP khác truy cập Internet, nguy bị công khó Ngoài có ngƣời dùng Internet truy cập đến hệ thống Server bị kiểm tra lọc kỹ danh sách kiểm tra truy cập ACL dịch vụ khác firewall ASA Tóm lại hệ thống mạng doanh nghiệp vừa nhỏ đƣợc bảo vệ an toàn nhiều sau triển khai hệ thống an ninh với thiết bị bảo mật đặc biệt firewall ASA 80 KẾT LUẬN CHUNG Nghiên cứu an ninh mạng phƣơng thức đảm bảo an toàn cho hệ thống mạng đề tài có tính chất thực tế Đồng thời mảng kiến thức rộng nhiều điều mẻ Đề tài “Nghiên cứu triển khai hệ thống firewall ASA” đề tài xây dựng hệ thống an ninh mạng dựa sở lý thuyết nghiên cứu thực tế Nhận thấy ƣu điểm mà thiết bị an ninh firewall ASA mang lại cho hệ thống mạng lớn Đề tài giúp ta hiểu rõ an ninh mạng, tƣờng lửa firewall ASA Các model firewall ASA phù hợp với với tất hệ thống doanh nghiệp vừa nhỏ hay nhà cung cấp dịch vụ Đồ án hoàn thành đƣợc mục tiêu đặt thực đƣợc số chức phổ biến mà quan, doanh nghiệp sử dụng đạt hiệu định lĩnh vực bảo mật hệ thống nhƣ: chia vùng mạng bản, cấu hình NAT, PAT; cấu hình Access Control List; cài đặt ASDM để theo dõi, quản lý firewall ASA Tƣờng lửa Cisco ASA thiết bị để đảm bảo an toàn thông tin, bảo mật hệ thống tăng suất hoạt động hệ thống nhiên mắc phải số lỗ hổng, an toàn tuyệt đối nhiên để hạn chế rủi ro nên thƣờng xuyên cập nhật thông tin nhận hỗ trợ từ Cisco Trong tƣơng lai, đồ án hƣớng tới việc thực mô thêm chức mà firewall ASA hỗ trợ nhƣ triển khai thực tế cho quan, doanh nghiệp 81 TÀI LIỆU THAM KHẢO Các tài liệu Tiếng Anh [1] Dave Hucaby, Cisco ASA and PIX Firewall Handbook by, Publisher: Cisco Press – 7/1/2005 [2] Harris Andrea, “Cisco-ASA-Firewall-Fundamentals-2nd-Edition” step by step configuration tutorial (CCNA,CCNP,CCSP) [3] Richard Deal, “Cisco Asa Configuration”, Network professional’s library Các tài liệu từ Internet [4] https://whitehat.vn/threads/huong-dan-gia-lap-firewall-asa-tren-gns3-p2.8104/ [5] http://svuit.vn/threads/chapter-7-7-nat-0-and-static-nat-asa-8-2-vs-asa-8-41369/ [6] http://www.vnpro.vn/cac-loai-firewall-cua-cisco-va-cac-tinh-nang-tiep-theo/ [7] http://svuit.vn/threads/lab-2-5-how-to-install-asdm-on-asa-gns3-196/ [8] http://www.cisco.com/c/en/us/td/docs/solutions/Enterprise/Small_Enterprise_D esign_Profile/SEDP/chap5.html 82 83 ... vào trang web bị chặn, để che giấu địa IP thật trang web đó, truy cập vào proxy server, thay máy chủ trang web giao tiếp với máy tính ngƣời sử dụng Khi đó, firewall biết Proxy Server địa trang... liệu trang web với mục đích lấy cắp liệu, phá hoại, thay đổi nội dung Hacker xâm nhập vào sở liệu trang web, bƣớc thay đổi quyền điều khiển website tiến tới chiếm toàn quyền điều khiển trang... lây lan virus Ngƣời dùng cá nhân cần trang bị phần mềm diệt virus thƣờng trực để quét USB trƣớc sử dụng, hạn chế sử dụng USB máy lạ Với quan doanh nghiệp, cần trang bị giải pháp kiểm soát sách an