LỜI CAM ĐOAN Tôi xin cam đoan Luận văn Thạc sĩ kỹ thuật nghiên cứu đƣợc thực dƣới hƣớng dẫn khoa học TS.Trần Minh Trung Các kết tự nghiên cứu tham khảo từ nguồn tài liệu nhƣ công trình nghiên cứu khoa học khác đƣợc trích dẫn đầy đủ Nếu có vấn đề sai phạm quyền, xin hoàn toàn chịu trách nhiệm trƣớc Nhà trƣờng Hà Nội, ngày 20 tháng 04 năm 2015 Học viên Nguyễn Quý Linh LỜI CẢM ƠN Để hoàn thành Luận văn Thạc sĩ mình, em xin gửi lời cảm ơn chân thành đến Ban Giám Hiệu, Viện Đào Tạo Sau Đại Học, Viện Điện Tử Viễn Thông Giảng viên trƣờng Đại Học Bách khoa Hà Nội nhiệt tình truyền đạt kiến thức quý báu cho em suốt trình học tập hoàn thành Luận văn Thạc sĩ Em xin gửi lời cảm ơn tới TS Trần Minh Trung – Ngƣời trực tiếp bảo, hƣớng dẫn em suốt trình nghiên cứu hoàn thành Luận văn Thạc sĩ Em xin chân thành cảm ơn anh, chị đồng nghiệp Phòng Hạ tầng Công nghệ thông tin Công ty cổ phần tin học Viễn Thông – Hàng Không (AITS) giúp đỡ em suốt trình thực đề tài Sau xin gửi lời biết ơn sâu sắc đến ngƣời thân gia đình tạo điều kiện tốt cho suốt trình học nhƣ thực luận văn Do thời gian có hạn kinh nghiệm nghiên cứu khoa học chƣa nhiều nên luận văn nhiều thiếu soát, mong nhận đƣợc ý kiến góp ý Thầy/Cô anh chị học viên nhƣ đồng nghiệp Hà Nội, ngày 20 tháng 04 năm 2015 Học viên Nguyễn Quý Linh MỤC LỤC LỜI CAM ĐOAN .1 LỜI CẢM ƠN .2 MỤC LỤC DANH MỤC CÁC HÌNH VẼ DANH MỤC CÁC CHỮ VIẾT TẮT DANH MỤC CÁC BẢNG 11 MỞ ĐẦU 12 Chƣơng - TỔNG QUAN VỀ AN NINH MẠNG 13 1.1 Mạng máy tính vấn đề phát sinh .13 1.1.1 Sự cần thiết phải có an ninh mạng hệ thống mạng 13 1.1.2 Xác định nguy hệ thống mạng 15 1.1.3 Đo lƣờng mức độ nguy hệ thống mạng 16 1.2 Quá trình thăm dò công 17 1.2.1 Thăm dò (Reconnaissace) 17 1.2.2 Quét hệ thống (Scanning) 18 1.2.3 Chiếm quyền điều khiển (Gainning access) .18 1.2.4 Duy trì điều khiển hệ thống (Maitaining access) 18 1.2.5 Xoá dấu vết (Clearning tracks) 19 1.3 Các biện pháp bảo mật mạng .19 1.3.1 Mã hoá, nhận dạng, chứng thực ngƣời dùng phần quyền sử dụng 19 1.3.2 Bảo mật máy trạm .25 1.3.3 Bảo mật truyền thông 26 1.4 Các công nghệ kỹ thuật bảo mật 27 1.4.1 Bảo mật firewall 27 1.4.2 Bảo mật VPN .28 1.4.3 Bảo mật IDS (Phát công) .29 1.4.4 Bảo mật ứng dụng .29 1.4.5 Thống kê tài nguyên 31 Chƣơng - TỔNG QUAN VỀ VPN 32 2.1 Định nghĩa VPN 32 2.2 Lợi ích VPN 33 2.3 Các thành phần cần thiết để tạo kết nối VPN 33 2.4 Các giao thức VPN .33 2.4.1 L2TP 34 2.4.2 GRE 34 2.4.3 IPSec 34 2.4.4 Point to Point Tunneling Protocol (PPTP) 35 Chƣơng - TỔNG QUAN VỀ AAA VÀ CẤU HÌNH AAA TRÊN CISCO ASA FIREWALL .37 3.1 Định nghĩa AAA 37 3.1.1 Xác thực (Authentication) 38 3.1.2 Uỷ quyền (Authorization) 38 3.1.3 Kiểm toán (Accounting) .39 3.2 Giao thức sử dụng dịch vụ AAA 39 3.3 Dịch vụ AAA CISCO ASA FIREWALL 45 3.3.1 Đặc điểm AAA ASA FIREWALL .45 3.3.2 Cấu hình xác thực .46 3.3.3 Cấu hình uỷ quyền 52 3.3.4 Cấu hình kiểm toán .52 Chƣơng - NETWORK ACCESS SERVER 53 4.1 RouterOS 53 4.1.1 Hệ Điều Hành RouterOS 53 4.1.2 Kiến trúc phần cứng 53 4.1.3 Định tuyến (Router) 53 4.1.4 Tƣờng lửa (Firewall) 53 4.1.5 Quản lý Truy cập Mạng Công Cộng (Hotspot Gateway) 54 4.1.6 Máy chủ Ủy thác Web (Web Proxy Server) .55 4.1.7 Chất lƣợng Dịch vụ (QoS) 56 4.1.8 Phần mềm Quản lý Thiết bị - The Dude .56 4.1.9 Cấu hình Thiết bị 56 4.1.10 Đẩy liệu (Forwarding) 56 4.1.11 Giao thức MPLS 57 4.1.12 VPN 57 4.1.13 Mạng Không Dây (Wireless) 57 4.1.14 Công cụ hỗ trợ 58 4.1.15 Giấy phép (License) 58 4.2 Cisco secure ACS .59 4.2.1 Vì lại có Cisco Secure ACS .59 4.2.2 Một số chức AAA nhúng vào Cisco Secure ACS 64 4.2.3 Cấu trúc Cisco Secure ACS 69 4.2.4 Cách thức hoạt động Cisco Secure ACS .71 4.2.5 Lộ trình triển khai Cisco Secure ACS 75 4.3 So sánh RouterOS, Cisco secure ACS sản phẩm khác 76 Chƣơng - ỨNG DỤNG TRIỂN KHAI ACS VÀO HỆ THỐNG MẠNG CỦA VIETNAM AIRLINES .78 5.1 Thực trạng hệ thống .78 5.1.1 Thực trạng tài khoản quản trị thiết bị mạng 78 5.1.2 Thực trạng hệ thống VPN 78 5.2 Triển khai Cisco Secure ACS vào mạng Vietnamairlines 79 5.3 Dự kiến kết đạt đƣợc 80 5.4 Mô hình triển khai 80 5.5 Các công cụ thực mô .81 5.6 Các bƣớc cài đặt cấu hình hệ thống 81 5.6.1 Cấu hình cho ASA 81 5.6.2 Cấu hình thông tin xác thực AAA server sử dụng phần mềm Cisco secure ACS 84 5.6.3 Tiến hành kiểm tra xác thực 99 5.6.4 Tạo kết nối VPN .101 5.6.5 Cấu hình xác thực cho VPN ACS 103 5.6.6 Kiểm tra kết nối VPN .118 5.7 Kết .123 KẾT LUẬN 124 TÀI LIỆU THAM KHẢO .125 PHỤ LỤC 126 Phụ lục A - Các group có 126 DANH MỤC CÁC HÌNH VẼ Hình 1-1 Quá trình đánh giá nguy hệ thống 15 Hình 1-2 Quá trình thăm dò vào hệ thống mạng 17 Hình 1-3 Quét trộm cổng không hoạt động 18 Hình 1-4 Đối với cổng hoạt động 18 Hình 1-5 Quá trình mã hoá 19 Hình 1-6 Mô hình giải thuật băm 20 Hình 1-7 Giải thuật mã hoá đồng bộ/đối xứng 21 Hình 1-8 Giải thuật mã hóa không đồng bộ/không đối xứng 22 Hình 1-9 Chứng thực user password 23 Hình 1-10 Hoạt động CHAP 23 Hình 1-11 Mã hóa Kerberos 24 Hình 1-12 Bảo mật FTP 26 Hình 1-13 Mô hình tổng quát firewall 28 Hình 1-14 Bảo mật VPN 29 Hình 1-15 Hệ thống chống xâm nhập IDS 29 Hình 1-16 Thƣ điện tử 30 Hình 1-17 Thống kê tài nguyên Monitoring 31 Hình 2-1 Mô hình mạng VPN 32 Hình 2-2 Mô hình L2TP 34 Hình 2-3 Mô hình IPSEC 35 Hình 2-4 Mô hình PPTP 35 Hình 3-1 Mô hình AAA chung 37 Hình 3-2 Các giao thức cho dịch vụ AAA 39 Hình 3-3 Định dạng gói tin 41 Hình 3-4 Gói tin RADIUS 44 Hình 3-5 Mô tả tiến trình sử dụng Virtual http 51 Hình 4-1 Mô hình mạng doanh nghiệp 60 Hình 4-2 Quản lý truy cập đơn giản 61 Hình 4-3 Giải pháp AAA Cisco 63 Hình 4-4 Các loại sở liệu đƣợc hỗ trợ 66 Hình 4-5 Tính phân quyền 67 Hình 4-6 Tính quản lý cấu hình thiết bị 68 Hình 4-7 Cấu trúc chức 69 Hình 4-8 Các service ACS 70 Hình 4-9 Cách thức hoạt động 71 Hình 4-10 Các bƣớc cụ thể 72 Hình 4-11 Xử lý User 73 Hình 4-12 Hình 4-13 Xử lý User Unknown 74 Hình 4-14 Lộ trình triển khai ACS 76 Hình 5-1 Băng thông sử dụng trung bình 79 Hình 5-2 Số peer hệ thống Gia Lâm 79 Hình 5-3 Mô hình sử dụng firewall AAA Server 80 Hình 5-4 Mô hình mô VMware Workstation 81 Hình 5-5 Kiểm tra kết nối từ ASA đến thiết bị khác 83 Hình 5-6 Join ACS vào Actice Directory 85 Hình 5-7 Join ACS vào Actice Directory 85 Hình 5-8 Join ACS vào Actice Directory 86 Hình 5-9 Tạo tài khoản 87 Hình 5-10 Tạo Location 87 Hình 5-11 Tạo Device Type 88 Hình 5-12 Add Firewall ASA 89 Hình 5-13 Tạo Identity Groups 90 Hình 5-14 Tạo Users Local 90 Hình 5-15 Tạo Shell Profiles 91 Hình 5-16 Tạo Shell Profiles 92 Hình 5-17 Tạo Shell Profiles 93 Hình 5-18 Tạo Identity Store Sequences 94 Hình 5-19 Tạo Access Services 95 Hình 5-20 Tạo Access Services 95 Hình 5-21 Chọn Identity Source 96 Hình 5-22 Chọn Authorization 97 Hình 5-23 Chọn Authorization 98 Hình 5-24 Chọn Rule cho Access Service chạy 99 Hình 5-25 Kiểm tra xác thực truy cập ASA với server chứng thực AAA Server 100 Hình 5-26 Kiểm tra trình chứng thực Wireshack 100 Hình 5-27 Khai báo AAA Clients 104 Hình 5-28 Khai báo AAA Clients 105 Hình 5-29 Tạo User 106 Hình 5-30 Tạo User 107 Hình 5-31 Tạo User 107 Hình 5-32 Tạo Downloadable ACLs 108 Hình 5-33 Tạo Downloadable ACLs 109 Hình 5-34 Tạo Downloadable ACLs 109 Hình 5-35 Tạo Access Services 110 Hình 5-36 Tạo Access Services 111 Hình 5-37 Cấu hình Identity 112 Hình 5-38 Cấu hình Authorization - Cusomize 113 Hình 5-39 Cấu hình Authorization - Rule 114 Hình 5-40 Cấu hình Authorization - Rule 115 Hình 5-41 Cấu hình Authorization 116 Hình 5-42 Cấu hình Rule default 116 Hình 5-43 Tạo Service Selection Rules 117 Hình 5-44 Tạo Service Selection Rules 118 DANH MỤC CÁC CHỮ VIẾT TẮT DDoS IDS SQL DNS MD5 SHA-1 DES 3DES AES RSA DSA Diffie-Hellman CHAP KDC TGS AS CA PKI FTP SSH VPN HTML SMTP PVC Distributed denial of service Intrusion detection system Structured Query Language Domain Name System Message Digest Secure Hash Algorithm Data Encryption Standard Triple DES Advanced Encryption Standard Ron Rivest, Adi Shamir, and Leonard Adleman Digital Signature Standard W.Diffie and Dr.M.E.Hellman Challenge Hanshake Authentication Protocol key distribution center ticket granting server authentication server Certificates Authority Public Key Infrastructure Transfer Protocol Secure Shell Virtual Private Network HyperText Markup Language Simple Mail Transfer Protocol Permanent Virtual Circuit Tấn công từ chối dịch vụ Hệ thống phát xâm nhập Ngôn ngữ truy vấn Phân giải tên miền Thuật toán tóm lƣợc tin báo Hàm băm Mã hóa liệu tiêu chuẩn Mã hóa liệu tiêu chuẩn lần Mã hóa liệu nâng cao (tên riêng) Chữ ký số tiêu chuẩn (tên riêng) Giao thức xác thực bắt tay hai bƣớc Trung tâm phân phối khóa Máy chủ cấp vé Máy chủ xác thực Chứng bảo mật Cơ sở hạ tầng khóa công khai Giao thức truyền dẫn Shell bảo mật Mạng riêng ảo Ngôn ngữ đánh dấu siêu văn Giao thức gửi mail đơn giản Vòng chuyển mạch ảo L2TP L2F IPSec EAP RAS WAN ESP IETF OSI ISAKMP SPD DMZ PSTN VoIP ACL NAT PAT ACS IEEE LEAP OTP Layer Tunneling Protocol Layer Forwarding Internet Protocol Security Extensible Authentication Protocol Remote Access Server Wide area network Encapsulation Security Payload Internet Engineering Task Force Open Systems Interconnection Reference Model Internet Security Association and Key Management Protocol Security Policy Database Demilitarized zone Public switched telephone network Voice over Internet Protocol Access control list Network address translation Port Address Translation Access Control Server Institute of Electrical and Electronics Engineers Lightweight Extensible Authentication Protocol One-time password 10 Giao thức đƣờng hầm lớp Chuyển tiếp lớp Giao thức bảo mật IP Giao thức xác thực mở rộng Máy chủ điều khiển từ xa Mạng mở rộng Đóng gói bảo mật tải Lực Lƣợng Quản Lý Kỹ Thuật Mô hình tham chiếu mở Giao thức quản lý mã khóa Cơ sở liệu Chính sách bảo mật Khu phi quân Mạng điện thoại công cộng Giao thức thoại qua Internet Danh sách kiểm soát truy cập Phân giải địa Phân giải cổng Máy chủ điều khiển truy cập Học Viện kỹ nghệ Điện Điện Tử Giao thức xác thực mở rộng Lightweight Mật lần Hình 5-38 Cấu hình Authorization - Cusomize Chọn Create để tạo Rule vpn11 với thông tin Protocol Radius Group grvnp11, trả DACL vpn11-DACL 113 Hình 5-39 Cấu hình Authorization - Rule 114 Hình 5-40 Cấu hình Authorization - Rule Cấu hình tƣơng tự cho vpn12 localvpn ta đƣợc Rule sau 115 Hình 5-41 Cấu hình Authorization Chọn Default để cấu hình Rule default với DACL trả Deny Access Hình 5-42 Cấu hình Rule default 116 5.6.5.5 Tạo Service Selection Rules Tạo Rule để xách định Access Services đƣợc kích hoạt có điều điện Vào Access Policies > Access Services > Service Selection Rules chọn Custome để chọn điều kiện kích hoạt Access Service Hình 5-43 Tạo Service Selection Rules Chọn Create để tạo Rule với thông tin Protocol Radius Device Filter LM-VPN Access Service đƣợc kích hoạt LM-VPN 117 Hình 5-44 Tạo Service Selection Rules 5.6.6 Kiểm tra kết nối VPN Trên máy Client từ bên cài chƣơng trình Cisco VPN Client cấu hình tham số để kết nối 118 Chọn New để tạo kết nối với thông số cấu hình - Host: 192.168.11.11 - Name: vpn1 - Password: vpn1@vna 119 Chọn Connect để bắt đầu phiên kết nối Phần mềm yêu cầu nhập username password (uservpn11/user@vpn11) Đã kết nối thành công với thông tin nhƣ sau 120 Để kiểm tra thông tin trình AAA ACS ta vào ACS Monitoring and Reports -> AAA protocal RADIUS Authentication để xem báo cáo Có thông tin : Username: uservpn11 Địa ip máy client 192.168.11.128 Access Service: LM-VPM Authentiaction Method: PAP_ASCII Network Device: FW1 NAS IP Address: 172.16.22.22 ACS Instance: acs Nếu kết nối thất bại ACS hiển thị lỗi mục Faillue Reason Ví dụ nhƣ là: 24408 User authentication against Active Directory failed since user has entered the wrong password Click vào để biết nguyên nhân giải pháp khắc phục 121 122 5.7 Kết  Thông qua trình mô hiểu rõ trình xác thực TACACS+ RADIUS giống nhƣ mô tả lý thuyết  Nắm rõ hoạt động nhƣ tính firewall cisco ASA firewall  Giả lập đƣợc cisco ASA firewall VMware Workstation  Cài đặt cấu hình đƣợc AAA Server với Cisco Secure ACS  Chứng thực đƣợc ngƣời dùng truy cập vào ASA Firewall thông qua ACS với giao thức TACACS+ chứng thực ngƣời dùng truy cập VPN thông qua ACS với giao thức RADIUS Đáp ứng đƣợc nhu cầu chứng thực tập trung với chế mã hoá, xác thực, phân quyền truy cập 123 KẾT LUẬN Bảo vệ an toàn hệ thống mạng chủ đề rộng, có liên quan đến nhiều lĩnh vực Trong thực tế có nhiều phƣơng pháp đƣợc thực để bảo vệ an toàn mạng, luận án chọn giải pháp sử dụng ASA Firewall Cisco với xác thực phân quyền ACS Cisco để đảm bảo tính bảo mật mạng doanh nghiệp  Những vấn đề đạt đƣợc Đồ án sâu vào phân tích đƣợc vấn đề an ninh mạng nhƣ: - Tìm hiểu hình thức công vào hệ thống mạng - Các biện pháp phòng chống nhƣ sử dụng firewall biện pháp phổ biến khác - Nghiên cứu thiết bị Cisco ASA Firewall, qua triển khai cấu hình AAA cisco ASA Firewall - Nguyên tắc hoạt động cấu trúc ACS Cisco, qua triển khai cấu hình xác thực phân quyền  Hƣớng phát triển đề tài Về hoàn thành đƣợc yêu cầu đề tài đặt Nếu có thời gian nghiên cứu phát triển đề tài Đề tài đƣợc mở rộng theo hƣớng nhƣ:  Tìm hiểu Wireless controller xác thực truy cập vào mạng Wifi ACS  Tìm hiểu VoIP giải pháp xác thực VoIP ACS  Tìm hiểu IDS cấu hình IDS firewall ASA Cisco 124 TÀI LIỆU THAM KHẢO  Sách, giáo trình, đồ án [1] PGS TSKH Hoàng Đăng Hải (2012), Tổng quan an ninh mạng, Trung tâm VNCERT - Bộ Thông tin Truyền thông [2] PGS TSKH Hoàng Đăng Hải (2012), Các kỹ thuật công, xâm nhập hệ thống [3] ThS Trần Công Hùng (2002), Kỹ thuật Mạng riêng ảo (VPN), Học viện Bƣu Viễn thông, NXB Bƣu Điện [4] Harris Andrea (2010), Cisco ASA Firewall Fundamentals, 2nd Edition [5] He JunHua and Cao Yuan (2010), “Research and analysis the PPPoE server technology based on the Routeros”, Computer Application and System Modeling (ICCASM), 2010 International Conference on (Volume:15 ), V15209 - V15-211 [6] Jun Cheng and Honghua Wu (2010), “The application of the PPPOE for network security management using RouterOS”, Computer Design and Applications (ICCDA), 2010 International Conference on (Volume:5 ), V5-569 - V5-571 [7] Cisco Systems (2002) “User Authentication, Authorization, and Accounting (AAA)”, Cisco Secure Access Control Server (ACS), v3.0, Cisco Systems,Inc [8] Vivek Santuka, Premdeep Banga, Brandon J Carroll (2010) AAA Identity Management Security, Cisco Press, 800 East 96th Street Indianapolis, IN 46240 USA  Internet [9] http://wiki.mikrotik.com/wiki/Main_Page truy 20/04/2015 125 cập lần cuối ngày PHỤ LỤC Phụ lục A - Các group có Tunnelgroup policy sabre SABRE_VNA vpnsin K6_VNA vpndub K6_VNA vpnmal K6_VNA vpnfra K6_VNA vpnger K6_VNA vpnrus K6_VNA vpntai K6_VNA vpnphi K6_VNA vpnkor K6_VNA vpnjap K6_VNA vpnthai K6_VNA vpnchi K6_VNA vpnaut K6_VNA vpnhkg K6_VNA vpnlao K6_VNA vpncam K6_VNA vpnscze SABRE_VNA vpneng K6_VNA vpncan K6_VNA vpnusa K6_VNA vpngsa SABRE_VNA vpnagent SABRE_VNA vpnpsa SABRE_VNA 126 vpnniags SABRE_VNA vpnhdq SABRE_VNA vpnocc K6_VNA vpnhlb K6_VNA vpnvpkvmt SABRE_VNA vpndtv SABRE_VNA vpntiags SABRE_VNA vpnvpkvmb SABRE_VNA vpndb919 SABRE_VNA vpndiags SABRE_VNA vpnpmd SABRE_VNA vpngas K6_VNA vpnk6 K6_VNA vpnnha SABRE_VNA aits K6_VNA vpnras K6_VNA vpnets SABRE_VNA vpnvinapco K6_VNA vpnmya K6_VNA vpndomato K6_VNA vpncus K6_VNA vpnvae K6_VNA vpnmail K6_VNA vpncpd K6_VNA vpnsab K6_VNA vpntest K6_VNA 127 ... thống xác thực ngƣời dùng cho mạng Vietnamairlines vô cần thiết cấp bách Do tác giả lựa chọn đề tài An toàn mạng máy tính giải pháp xác thực ngƣời dùng” cho luận văn 12 Chƣơng - TỔNG QUAN VỀ AN. .. Chƣơng - TỔNG QUAN VỀ AN NINH MẠNG 13 1.1 Mạng máy tính vấn đề phát sinh .13 1.1.1 Sự cần thiết phải có an ninh mạng hệ thống mạng 13 1.1.2 Xác định nguy hệ thống mạng 15 1.1.3... NINH MẠNG 1.1 Mạng máy tính vấn đề phát sinh 1.1.1 Sự cần thiết phải có an ninh mạng hệ thống mạng An ninh mạng bảo vệ mạng bạn trƣớc việc đánh cắp sử dụng sai mục đích thông tin kinh doanh bí