CHƯƠNG I: GNS3GNS3 là một trình giả lập mạng có giao diện đồ hoạ (graphical networksimulator) cho phép bạn dễ dàng thiết kế các mô hình mạng và sau đó chạy giả lậptrên chúng. Tại thời điểm hiện tại GNS3 hỗ trợ các IOS của Router, ATM/FrameRelay/Ethernet, switch và hub. Bạn thậm chí có thể mở rộng mạng của mình bằngcách kết nối nó vào mạng ảo này. Để làm được điều này, GNS3 đã dựa trênDynamips và một phần của Dynagen, nó được phát triển bằng Python và thôngthông qua PyQt và phần giao diện đồ hoạ thì sử dụng thư viện Qt, rất nổi tiếng vềtính hữu dụng của nó trong dự án KDE. GNS3 cũng sử dụng kỹ thuật SVG (ScalableVector Graphics) để cung cấp các biểu tượng chất lượng cao cho việc thiết kế môhình mạng.
TRƯỜNG ĐẠI HỌC MỎ ĐỊA CHẤT KHOA CÔNG NGHỆ THÔNG TIN -*** - AN NINH MẠNG Đề tài: Nghiên cứu triển khai VPN ASA GNS3 Giảng viên hướng dẫn: ThS Đỗ Như Hải Sinh viên thực hiện: Nhóm Hà Nội -2018 MỤC LỤC CHƯƠNG I: GNS3 CHƯƠNG II: VPN 2.1 Mạng riêng ảo VPN 2.2 Các giao thức thường dùng VPN: CHƯƠNG III: ASA 3.1 Giới thiệu Firewall ASA 3.2 Các model Firewall ASA 3.3 Giới thiệu loại VPN ASA CHƯƠNG IV: TRIỂN KHAI VPN TRÊN ASA BẰNG GNS3 11 15 4.1 Sơ Đồ 15 4.2 Các Bước tiến hành 15 4.3 Câu lệnh cấu hình router 16 CHƯƠNG V: KẾT LUẬN 21 CHƯƠNG I: GNS3 GNS3 trình giả lập mạng có giao diện đồ hoạ (graphical network simulator) cho phép bạn dễ dàng thiết kế mô hình mạng sau chạy giả lập chúng Tại thời điểm GNS3 hỗ trợ IOS Router, ATM/Frame Relay/Ethernet, switch hub Bạn chí mở rộng mạng cách kết nối vào mạng ảo Để làm điều này, GNS3 dựa Dynamips phần Dynagen, phát triển Python thơng thơng qua PyQt phần giao diện đồ hoạ sử dụng thư viện Qt, tiếng tính hữu dụng dự án KDE GNS3 sử dụng kỹ thuật SVG (Scalable Vector Graphics) để cung cấp biểu tượng chất lượng cao cho việc thiết kế mơ hình mạng CHƯƠNG II: VPN 2.1 Mạng riêng ảo VPN VPN mạng riêng ảo, Virtual Private Network, công nghệ mạng giúp tạo kết nối mạng an tồn tham gia vào mạng cơng cộng Internet mạng riêng nhà cung cấp dịch vụ sở hữu Các tập đoàn lớn, sở giáo dục quan phủ sử dụng cơng nghệ VPN phép người dùng từ xa kết nối an tồn đến mạng riêng quan Một hệ thống VPN kết nối nhiều site khác nhau, dựa khu vực, diện tích địa lý tượng tự chuẩn Wide Area Network (WAN) Bên cạnh đó, VPN cịn dùng để "khuếch tán", mở rộng mơ hình Intranet nhằm truyền tải thơng tin, liệu tốt Ví dụ, trường học phải dùng VPN để nối khuôn viên trường (hoặc chi nhánh với trụ sở chính) lại với Nếu muốn kết nối vào hệ thống VPN, tài khoản phải xác thực (phải có Username Password) Những thơng tin xác thực tài khoản dùng để cấp quyền truy cập thông qua liệu - Personal Identification Number (PIN), mã PIN thường có tác dụng khoảng thời gian định (30s phút) Khi kết nối máy tính thiết bị khác chẳng hạn điện thoại, máy tính bảng với VPN, máy tính hoạt động giống nằm mạng nội với VPN Tất traffic mạng gửi qua kết nối an toàn đến VPN Nhờ đó, truy cập an tồn đến tài nguyên mạng nội xa Có thể sử dụng Internet giống vị trí của VPN, điều mang lại số lợi ích sử dụng WiFi public truy cập trang web bị chặn, giới hạn địa lý Khi duyệt web với VPN, máy tính liên hệ với trang web thông qua kết nối VPN mã hóa Mọi u cầu, thơng tin, liệu trao đổi thiết bị website truyền kết nối an toàn Nếu sử dụng VPN Hoa Kỳ để truy cập vào Netflix, Netflix thấy kết nối bạn đến từ Hoa Kỳ Các ứng dụng VPN: Truy cập vào mạng doanh nghiệp xa: VPN thường sử dụng người kinh doanh để truy cập vào mạng lưới kinh doanh họ, bao gồm tất tài nguyên mạng cục bộ, đường, du lịch, Các nguồn lực mạng nội không cần phải tiếp xúc trực tiếp với Internet, nhờ làm tăng tính bảo mật Truy cập mạng gia đình, dù khơng nhà: Bạn thiết lập VPN riêng để truy cập không nhà Thao tác cho phép truy cập Windows từ xa thông qua Internet, sử dụng tập tin chia sẻ mạng nội bộ, chơi game máy tính qua Internet giống mạng LAN Duyệt web ẩn danh: Nếu sử dụng WiFi công cộng, duyệt web trang web khơng phải https, tính an tồn liệu trao đổi mạng dễ bị lộ Nếu muốn ẩn hoạt động duyệt web để liệu bảo mật bạn nên kết nối VPN Mọi thông tin truyền qua mạng lúc mã hóa Truy cập đến website bị chặn giới hạn địa lý, bỏ qua kiểm duyệt Internet, vượt tường lửa, Tải tập tin: Tải BitTorrent VPN giúp tăng tốc độ tải file Điều có ích với traffic mà ISP bạn gây trở ngại 2.2 Các giao thức thường dùng VPN: IP security (IPSec): Được dùng để bảo mật giao tiếp, luồng liệu mơi trường Internet (mơi trường bên ngồi VPN) Đây điểm mấu chốt, lượng traffic qua IPSec dùng chủ yếu Transport mode, tunnel (hay gọi hầm khái niệm hay dùng Proxy, SOCKS) để MÃ HÓA liệu VPN Transport mode có nhiệm vụ mã hóa liệu bên gói (data package - cịn biết từ payload) Trong Tunnel mã hóa tồn data package Do vậy, IPSec thường coi Security Overlay, IPSec dùng lớp bảo mật so với Protocol khác Secure Sockets Layer (SSL) Transport Layer Security (TLS): Có phần tương tự IPSec, giao thức dùng mật để đảm bảo an toàn kết nối mơi trường Internet Bên cạnh đó, giao thức cịn sử dụng chế độ Handshake - có liên quan đến trình xác thực tài khoản client server Để kết nối coi thành cơng, q trình xác thực dùng đến Certificate - khóa xác thực tài khoản lưu trữ server client Point-To-Point Tunneling Protocol (PPTP): Là giao thức dùng để truyền liệu qua hầm - Tunnel tầng traffic Internet L2TP thường dùng song song với IPSec (đóng vai trị Security Layer - đề cập đến phía trên) để đảm bảo q trình truyền liệu L2TP qua mơi trường Internet thông suốt Không giống PPTP, VPN "kế thừa" tồn lớp L2TP/IPSec có key xác thực tài khoản chia sẻ Certificate CHƯƠNG III: ASA 3.1 Giới thiệu Firewall ASA Cisco ASA viết tắt từ: Cisco Adaptive Security Appliance ASA giải pháp bảo mật đầu cuối Cisco Hiện ASA sản phẩm bảo mật dẫn đầu thị trường hiệu cung cấp mơ hình phù hợp doanh nghiệp, tích hợp giải pháp bảo mật mạng Dòng sản phẩm ASA giúp tiết kiệm chi phí, dễ dàng triển khai Nó bao gồm thuộc tính sau: + Bảo mật thời gian thực, hệ điều hành độc quyền Cisco + Công nghệ Stateful firewall sử dụng thuật toán SA Cisco + Sử dụng SNR để bảo mật kết nối TCP + Sử dụng Cut through proxy để chứng thực telnet, http, ftp + Chính sách bảo mật mặc định gia tăng bảo vệ mức tối đa có khả tùy chỉnh sách xây dựng lên sách riêng bạn + VPN: IPSec, SSL L2TP + Tích hợp hệ thống ngăn ngừa phát xâm nhập IDS/IPS + NAT động, NAT tĩnh, NAT port + Ảo hóa sách sử dụng Context 3.2 Các model Firewall ASA Có tất model khác Dòng sản phẩm phân loại khác từ tổ chức nhớ đến mơ hình doanh nghiệp vừa hay cho nhà cung cấp dịch vụ ISP Mô hình cao thơng lượng, số port, chi phí cao Sản phẩm bao gồm : ASA 5505, 5510, 5520, 5540, 5550, 5580-20, 5580-40 a ASA 5505 ASA 5505 ASA 5505 model nhỏ dòng sản phẩm ASA, kích thước vật lý hiệu suất Nó thiết kết dành cho văn phịng nhỏ văn phịng gia đình Đối với doanh nghiệp lớn hơn, ASA 5505 thường sử dụng để hỗ trợ cho nhân viên làm việc từ xa Có cổng FastEthernet ASA 5505, tất kết nối đến switch nội số cổng có khả cung cấp Power over Ethernet (PoE) với thiết bị kèm theo (ASA khơng thể hỗ trợ PoE) The mặc định, tất cổng kết nối đến VLAN giống switch, cho phép kết nối thiết bị để giao tiếp lớp Các cổng switch chia thành nhiều VLAN để hỗ trợ khu vực chức khác văn phòng nhỏ ASA kết nối với VLAN qua interface nhân luận lý Bất kỳ luồng liệu qua VLAN qua ASA sách bảo mật ASA 5505 có khe Security Services Card (SSC) chấp nhận tùy chọn AIPSSC-5 IPS module Với module cài đặt, ASA tăng cường đặc tính bảo mật với chức mạng IPS b ASA 5510, 5520 5540 ASA 5510 Các model ASA 5510, 5520 5540 sử dụng khuôn chung hình có số mặt trước phần cứng kết nối giống Các model khác xếp hạng hiệu suất an ninh chúng Tuy nhiên, ASA 5510 thiết kết cho doanh nghiệp nhỏ vừa (SMB) văn phòng từ xa doanh nghiệp lớn ASA 5520 thích hợp cho doanh nghiệp vừa ASA 5540 dành cho doanh nghiệp vừa lớn nhà cung cấp dịch vụ mạng ASA 5520 5540 có cổng 10/100/100 sử dụng để kết nối vào sở hạ tầng mạng cổng interface firewall chuyên dụng không kết nối với ASA 5510 sử dụng cổng 10/100 mặc định Nếu thêm giấy phép bảo mật mua kích hoạt port làm việc 10/100/1000 port FastEthernet Một interface thứ dùng để quản lý có sẵn Các ASA 5510, 5520 5540 có khe cắm SSM gắn card vào : • Four-port Gigabit Ethernet SSM: module thêm vào interface firewall vật lý, 10/100/100 RJ45 small form-factor pluggable (SFP)- cổng • Advanced Inspection and Prevention (AIP) SSM: module thêm khả mạng nội tuyến IPS để phù hợp với bảo mật ASA • Content Security and Control (CSC) SSM: module dịch vụ kiểm soát nội dung chống virus toàn diện cho phù hợp với bảo mật ASA c ASA 5550 ASA 5550 thiết kế để hỗ trợ doanh nghiệp lớn nhà cung cấp dịch vụ mạng Hình cho thấy mặt trước sau Chú ý ASA 5550 giống ASA 5510, 5520 5540 Sự khác biệt đáng ý ASA 5550 có cổng Gigabit Ethernet (4GE-SSM) cố định khe cắm SSM, tháo bỏ thay đổi 10 Đặc điểm kiến trúc ASA 5550 có nhóm interface vật lý kết nối đến bus nội chia Các nhóm interface gọi khe cắm tương ứng với bus Khe cắm gồm cổng Gigabit Ethernet đồng khe cắm gồm cổng SFP Gigablit Ethernet đồng, có cổng sử dụng lúc ASA 5550 cung cấp hiệu suất cao cho mơi trường địi hỏi Để tối đa hóa thơng lượng firewall, phần lớn lưu lượng nên từ switch port bus đến switch port bus ASA chuyển tiếp lưu lượng hiệu nhiều từ bus đến bus lưu lượng nằm bus đơn ASA 5550 d ASA 5580 ASA 5580 model có hiệu suất cao họ thiết kế cho doanh nghiệp lớn, trung tâm liệu, nhà cung cấp dịch vụ lớn Nó hỗ trợ lên đến 24 Gigabit Ethernet interfaces 12 10Gigabit Ethernet interfaces Đây hai model khung lớn đơn vị rack tiêu chuẩn (RU) ASA 5580 có model: ASA 5580-20 (5Gbps) ASA 5580-40 (10Gbps) Bộ khung bao gồm port 10/100/1000 sử dụng cho quản lý lưu lượng out-ofband Hệ thống sử dụng nguồn cung cấp điện dự phòng kép 11 ASA 5580 ASA 5580 khung tổng cộng có khe cắm PCI Express mở rộng khe cắm dành riêng cho module mã hóa gia tốc để hỗ trợ cho phiên làm việc VPN hiệu suất cao Khe 2-9 dành cho việc sử dụng tương lai, để lại khe cắm có sẵn cho card interface mạng sau đây: 4-port 10/100/1000BASE-T copper Gigabit Ethernet interfaces 4-port 1000BASE-SX fiber-optic Gigabit Ethernet interfaces 2-port 10GBASE-SR 10Gigabit Ethernet fiber-optic interfaces 3.3 Giới thiệu loại VPN ASA a Site to Site (IPSec) Site-to-site VPN giải pháp cho phép kết nối máy tính bên mạng private thuộc nhiều văn phịng xa với nhau, kết nối thông qua mạng internet 12 Do phải qua hạ tầng internet chung nên để bảo bảo mật VPN Site to Site có số đặc điểm sau: Confidentiality: Dùng mã hóa để chuyển clear text thành cipher text nhằm đảm bảo tính tin cậy Data integrity: Dùng hashing Hashed Message Authentication Code (HMAC) để kiểm tra liệu không bị thay đổi đường truyền Authentication: Chứng thực VPN peer lúc khởi đầu VPN session preshared key (PSK) chữ ký số Chứng thực thực liên tục cách dùng HMAC, có đầu VPN session biết secret key Antireplay support: Khi VPN thiết lập VPN peer thực đánh số cho gói tin, gói tin truyền lại (có thể attacker) gói tin bị drop thiết bị VPN tin xử lý gói tin Một cách để thực Site-to-Site VPN sử dụng IPSec Siteto-site IPsec VPN bao gồm thiết bị hay hay phần mềm để thực tạo IPsec tunnel hai VPN peer (còn gọi VPN gateway) Dựa thông tin ip address gói tin đến VPN gateway VPN gateway mã hóa gửi vào IPsec tunnel thiệt lập để gói tin đến đích đến cần thiết, sau VPN gateway đầu bên nhận gói tin tiến hành giải mã dựa thông số security association (SA) thiết lập từ trước forward đến đích đến cần thiết b IPSec Remote Access using VPN clients Đáp ứng nhu cầu truy cập liệu ứng dụng cho người dùng xa, bên ngồi cơng ty thơng qua Internet Ví dụ người dùng muốn truy cập vào sở liệu hay file server, gửi nhận email từ mail server nội công ty IPSec VPN (Internet Protocol Security) giao thức mạng bảo mật (security) thường liên kết với VPN (tất nhiên bạn hồn tồn dùng IPSec mạng cục LAN) IPSec VPN cho phép việc truyền tải liệu mã hóa an tồn lớp mạng (Network Layer) theo mơ hình OSI thông qua router 13 mạng công cộng Internet cung cấp phổ biến như: ADSL router, FTTH router.v.v VPN (ở lớp mạng-Network) đề cập đến thách thức việc sử dụng Internet môi trường truyền đưa liệu đa giao thức nhạy cảm c EZY VPN EZY cho phép người dùng dễ dàng thiết tạo mạng riêng ảo - VPN, bảo mật an toàn liệu gần tuyệt đối d Anyconnect (SSL Based VPN) Anaconnect VPN giải pháp tương tự IPSEC VPN Remote-access Mặc dù giải pháp tương tự IPSEC VPN khơng phức tạp với người dùng Nó giữ lại ưu diểm Web VPN là: Dễ dàng sử dụng hỗ trợ hầu hết ứng dụng Đảm bao khả linh hoạt mở rộng việc truy cập tài nguyên từ bên đảm bảo tính bảo mật cao với SSL e Clientless or WebVPN SSL VPN, hay gọi Web VPN cung cấp hỗ trợ phần mềm cisco cho việc truy cập từ xa tới mạng công ty từ nơi đâu internet Truy cập từ xa cung cấp thông qua SSL (Secure Socket Layer) enable VPN Gateway.Cho phép user thiết lập kết nối thơng qua trình duyệt web user từ hệ điều hành Unix, Window, MAC hay tới user từ quán Internet truy cập đến công ty mà cài soft Cisco-vpn-client chẳng hạn Ứng dụng cài thẳng vào router, người 14 dùng dù nơi đâu miễn có đường truyền Internet người dùng truy cập vào địa bên Gateway VPN [outside interface], router đổ soft VPN-client xuống cho người dùng cài đặt Hầu hết cống việc người dùng nhấn yes, hay ok SSL-VPN CISCO có mode: Clientless: người dùng truy cập HTTP, Share file, tất truy cập thông qua giao diện web Thin client: người dùng remote desktop, telnet, POP3, SMTP, SSH, IMAP, ứng dụng port tĩnh.Dùng chế TCP port forwarding, nhớ client phải cài java Port forwarding java applet Tunnel mode: Truy cập tất tài nguyên qua kết nối ta hạn chế quyền người dùng, vd: FTP mode passive, active, SQLnet, voice, … Khi đăng nhập web VPN, client tải soft, gói cài đặt nằm flash disk router Quá trình cài đặt dễ dàng, yes OK 15 CHƯƠNG IV: TRIỂN KHAI VPN TRÊN ASA BẰNG GNS3 4.1 Sơ Đồ Sơ đồ cấu hình VPN site-to-site: 4.2 Các Bước tiến hành Chuẩn bị: router ASA v9.8.1 PC router ISP R1 Cấu hình sẵn: Thiết bị Port IP Address ASA G0/0 10.10.10.1/24 G0/1 203.200.200.2/30 F0/0 172.16.20.1/24 F0/1 117.168.100.2/30 F0/0 203.200.200.1/30 F0/1 117.168.100.1/30 R1 ISP PC1 10.10.10.10/24 PC2 172.16.20.10/24 Các bước tiến hành cấu hình: Cấu hình địa IP cho cổng thiết bị 16 Cấu hình Default Route Cài đặt ISAKMP Policy Tạo AccesList cho VPN Tunnel Tạo Tunnel Group Cấu hình Crypto Map Test cấu hình Cài đặt IPSec Security Lifetime PFS Cấu hình NAT router R1 Ping từ site sang site (từ pc1 sang pc2 ) 4.3 Câu lệnh cấu hình router Cấu hình port ASA: #int g0/0 no sh ip add 10.10.10.1 255.255.255.0 security-level 100 nameif inside #int g0/1 no sh ip add 203.200.200.2 255.255.255.252 security-level nameif outside #policy-map global_policy class inspection_default inspect icmp inspect icmp erro Cấu hình port ISP Router #int f0/0 no sh ip add 203.200.200.1 255.255.255.252 17 #in f0/1 no sh ip add 117.168.100.1 255.255.255.252 Cấu hình port R1 Router #int f0/0 no sh ip add 172.16.20.1 255.255.255.0 #in f0/1 no sh ip add 117.168.100.2 255.255.255.252 Cấu hình địa IP PC1 PC2 PC1> ip 10.10.10.10/24 10.10.10.1 PC2> ip 172.16.20.10/24 172.16.20.1 Cấu hình Default Route cho ASA Router R1 Router ASA(config)#route outside 0 203.200.200.1 R1(config)#ip route 0.0.0.0 0.0.0.0 117.168.100.1 Cài đặt ISAKMP Policy ASA(config)#crypto ikev1 policy authentication pre-share encryption 3des hash sha group lifetime 86400 R1(config)#crypto isakmp policy authentication pre-share encryption 3des 18 hash sha group lifetime 86400 Tạo IPSec Transform Set: ASA(config)#crypto esp-md5-hmac ipsec R1(config)#crypto ipsec hmac ikev1 transform-set transform-set R1 ASA esp-3des esp-3des esp-md5- Tạo Access List cho VPN Tunnel ASA(config)#object-group network ASA-Server network-object host 10.10.10.10 ASA(config)##object-group network R1-Server network-object host 172.16.20.10 ASA(config)##access-list ASA2R1 extended permit group ASA-Server object-group R1-Server ip object- R1(config)#ip access-list extended R12ASA permit ip host 172.16.20.10 host 10.10.10.10 Tạo VPN Tunnel Group ASA(config)#tunnel-group 117.168.100.2 type ipsec-l2l ASA(config)##tunnel-group 117.168.100.2 ipsec-attributes ikev1 pre-shared-key vpn@ASA2R1 R1(config)#crypto 203.200.200.2 isakmp key Cấu hình áp dụng Crypto Map 19 vpn@ASA2R1 address ASA(config)#crypto map ASA-VPN match address ACL-HO2BO ASA(config)#crypto map ASA-VPN set peer 117.168.100.2 ASA(config)#crypto map ASA-VPN set ikev1 transform-set ASA ASA(config)#crypto map ASA-VPN interface outside ASA(config)##crypto ikev1 enable outside R1(config)#crypto map R1-VPN ipsec-isakmp set peer 203.200.200.2 set transform-set R1 match address R12ASA R1(config)#int f0/1 crypto map R1-VPN 4.4 Kiểm tra kết Từ PC1 ta ping tới địa ip PC2 Show crypto isakmp router ASA: 20 Như trình thiết lập vpn site to site router ASA hồn thành 21 CHƯƠNG V: KẾT LUẬN VPN cơng nghệ sử dụng phổ biến nhằm cung cấp kết nối an toàn hiệu để truy cập tài ngun nội từ bên ngồi thơng qua mạng Internet Mặc dù sử dụng hạ tầng mạng chia sẻ bảo đảm tính riêng tư liệu giống truyền thông hệ thống mạng riêng Giải pháp VPN giới thiệu Lab thích hợp cho cách kết nối nhiều văn phịng trụ sở xa thơng qua thiết bị chuyên dụng đường truyền mã hố qui mơ lớn hoạt động Internet.Các Thiết bị chuyên dụng sử dụng Lab Tường lửa ASA Cisco.Và mô phần mềm GNS3 22 ... I: GNS3 CHƯƠNG II: VPN 2.1 Mạng riêng ảo VPN 2.2 Các giao thức thường dùng VPN: CHƯƠNG III: ASA 3.1 Giới thiệu Firewall ASA 3.2 Các model Firewall ASA 3.3 Giới thiệu loại VPN ASA CHƯƠNG IV: TRIỂN... pre-shared-key vpn@ ASA2 R1 R1(config)#crypto 203.200.200.2 isakmp key Cấu hình áp dụng Crypto Map 19 vpn@ ASA2 R1 address ASA( config)#crypto map ASA -VPN match address ACL-HO2BO ASA( config)#crypto map ASA -VPN. .. đăng nhập web VPN, client tải soft, gói cài đặt nằm flash disk router Quá trình cài đặt dễ dàng, yes OK 15 CHƯƠNG IV: TRIỂN KHAI VPN TRÊN ASA BẰNG GNS3 4.1 Sơ Đồ Sơ đồ cấu hình VPN site-to-site: