c) Các vấn đề còn tồn tại trong IPSec
3.3. Những yêu cầu đối với hệ thống mạng mới
Hoạt động của Tập Đoàn trải dài khắp miền đất nước với số lượng nhân viên lớn. Khối lượng thông tin xử lý trong hoạt động nghiệp vụ rất lớn. Tuy nhiên không phải ai cũng có quyền truy nhập những kho thông tin này. Do đó Tập Đoàn có nhu cầu xây dựng một hệ thống bảo mật cho mạng tin học phục vụ điều hành, kinh doanh. Hệ thống bảo mật này phải đảm bảo các yêu cầu sau:
• Bảo đảm an toàn cho toàn bộ thông tin trên mạng, chống lại mọi sự truy nhập bất hợp pháp vào mạng.
• Kiểm soát được mọi hành động truy nhập vào mạng của người sử dụng. Đảm bảo an ninh từ những người sử dụng bên trong Tập Đoàn.
• Chi phí phù hợp với dự trù kinh phí của Tập Đoàn.
• Đáp ứng được khả năng mở rộng của Tập Đoàn trong tương lai: mở rộng về số lượng máy trạm, số lượng máy chủ, các mạng LAN và các ứng dụng.
3.4. Mô hình mạng và hệ thống bảo mật đề xuất 3.4.1. Mô hình mạng tại các chi nhánh
Hệ thống mạng ở các chi nhánh của Tập Đoàn An Khánh còn khá đơn giản. Các phòng ban đều được tập trung lại trong cùng một mạng LAN của chi nhánh. Điều này gây ra sự khó khăn trong việc quản lý từng bộ phận, vấn đề bảo mật vì vậy cũng không được đảm bảo.
Hệ thống mạng mới tại các chi nhánh dự kiến sẽ được thiết kế: Các phòng ban sẽ được chia thành các VLAN. Các máy trạm nằm trong cùng một VLAN sẽ chia sẻ gói quảng bá với nhau. Các máy trạm không nằm trong cùng VLAN sẽ không chia sẻ gói quảng bá được với nhau. Giao thông giữa các VLAN khác nhau phải được định tuyến thông qua Router. Nhờ đó mạng LAN hoạt động hiệu quả hơn và vấn đề bảo mật cũng được nâng cao. Mô hình mạng được mô hình hóa như hình sau:
Hình 3.2: Hệ thống mạng ở mỗi chi nhánh của Tập Đoàn
3.4.2. Mô hình bảo mật dự kiến của Tập Đoàn
Việc đảm bảo an ninh bảo mật hệ thống là hết sức quan trọng nhất là đối với các đơn vị kinh doanh như của Tập Đoàn An Khánh, đồng thời khả năng bảo vệ nhiều lớp để tăng cường tính bảo mật các các khu vực bên trong, nơi lưu giữ các nguồn tài nguyên mạng có giá trị nhất. Theo dữ liệu khảo sát hệ thống mạng hiện tại của An Khánh khuyến nghị hệ thống tổng thể của WAN An Khánh sẽ bố trí theo mô hình sau:
Hình 3.3: Mô hình mạng dự kiến xây dựng của Tập Đoàn
Mô hình này có những đặc điểm sau:
• Chi nhánh Hà Nội và HCM kết nối về trung tâm bằng kết nối Frame Relay thay vì sử dụng hai đường Leased Line như hiện tại. Ưu điểm lớn nhất của Frame Relay là tính linh hoạt, băng thông và độ tin cậy cao hơn nhiều so với Leased Line. Đặc biệt giá thành cũng thấp hơn. Do Thái Nguyên chưa có nhà cung cấp dịch vụ Frame Relay nên vẫn kết nối về trung tâm bằng đường Leased Line.
• Sử dụng Cisco PIX Firewall 515E để bảo vệ, ngăn cách hệ thống server, mạng nội bộ của Tập Đoàn với Internet. Firewall sẽ chia hệ thống mạng ra làm 4 vùng với các mức độ bảo mật khác nhau:
Inside: mạng nội bộ của Tập đoàn sẽ có mức bảo mật cao nhất 100. Vùng này mặc định có thể truy cập tới các vùng có mức bảo mật thấp hơn
DMZ: đây là vùng đặt các máy chủ Web, DNS và Mail của Tập Đoàn. Vùng này sẽ được đặt mức độ bảo mật là 50
Server Center: là vùng chứa các máy chủ cơ sở dữ liệu, máy chủ ứng dụng… Đây là một trong những vùng quan trọng nhất chỉ sau vùng Inside. Vùng này sẽ được đặt mức bảo mật: 80
Outside: Vùng Internet, đây là vùng có mức độ bảo mật thấp nhất 0. Vùng này không thể truy cập được vào các vùng có mức bảo mật cao hơn.
3.5. Mô phỏng mô hình thiết kế
3.5.1. Các phần mềm sử dụng trong mô phỏng 3.5.1.1. GNS3- Graphical Network Simulate 3
GNS3 là một trình giả lập mạng có giao diện đồ họa cho phép dễ dàng thiết kế các mô hình mạng và sau đó chạy giả lập trên chúng. GNS3 cho phép mô phỏng các thiết bị mạng thông dụng của Cisco: Router, PIX Firewall, ASA… Những thiết bị này được nạp hệ điều hành như trên những thiết bị thực, tạo cho người dùng cảm giác như đang tiếp xúc, làm việc với các thiết bị thật.
Trong Đồ án này sử dụng IOS C2691-advipservicesk9-mz.123-24.bin dành cho Router và IOS Pix802.bin dành cho PIX Firewall. Ngoài ra, do sử dụng IOS thật nên rất tốn tài nguyên như RAM và CPU của máy tính, nên sử dụng thêm phần mềm BES - Battle Encoder Shirase v1.3.8 để giảm CPU khi giả lập PIX và sử dụng chức năng Idle PC tích hợp trong GNS3 để giảm CPU khi chạy Router giúp máy hoạt động tốt hơn không bị hiện tượng treo máy.
3.5.1.2. VMware Workstation
Do GNS3 không hỗ trợ giả lập PC mà chỉ đưa ra thiết bị Cloud (đám mây) cho phép liên kết với các PC được giả lập trên một phần mềm khác: VMware, VPCS… hay tạo cổng Loopback trên máy tính thật để giả lập PC.
Ở đây VMware được sử dụng để giả lập:
• Web Server: Máy ảo này được cài hệ điều hành Windows Server 2003 để triển khai dịch vụ Web Server cho website của Tập Đoàn An Khánh:
http://ankhanh-group.vn. Đồng thời máy ảo này được cài đặt thêm dịch vụ DNS để phân giải tên miền cho địa chỉ IP được cấp phát cho Web Server
• Host Outside: Máy ảo này cài hệ điều hành Windows XP SP3 để giả lập PC trên mạng Internet. PC này sẽ có nhiệm vụ:
Kiểm tra kết nối đến Web Server (website) của Tập Đoàn.
Cài đặt phần mềm Cisco VPN Client v5.0.07.0290 để truy cập VPN vào mạng nội bộ của Tập Đoàn
Cài đặt phần mềm SSH Sercurity để cấu hình PIX
3.5.1.3. Virtual PC Simulator
VPCS có thể mô phỏng đến 9 PC. Những PC này chỉ có chức năng để kiểm tra xem mạng đã thông suốt bằng cách ping đến chúng hoặc ping đến các thiết bị khác từ chúng.
Trong mô phỏng này, VPCS được sử dụng để giả lập:
• PC trong mạng LAN ở chi nhánh Hà Nội
• PC trong mạng LAN ở chi nhánh Thái Nguyên
• Database Server
• App Server
• Report Server
• DNS Server
3.5.1.4. Cisco Adaptive Security Device Manager
Đây là phần mềm rất mạnh của Cisco giúp người quản trị có thể thực hiện quản lý và kiểm tra PIX Firewall thông qua giao diện đồ họa. Được thiết kế theo giao diện web-base cung cấp việc truy cập bảo mật vì vậy người dùng có thể kết nối đến và quản lý PIX Firewall từ mọi nơi bằng cách sử dụng một web browser. Để sử dụng được ASDM phải sử dụng phần mềm TFTP Server nạp IOS asdm- 603.bin vào PIX để có thể quản lý PIX một cách thuận tiện hơn.
3.5.2. Triển khai mô phỏng
Mô hình mô phỏng trên GNS3:
Gán địa chỉ IP cho các thiết bị:
Device Interface Sub-Int IP Mạng SM DG
TN S1/0 10.0.0.2 10.0.0.0 /24 Fa0/0 10.0.1.1 10.0.1.0 /24 HN S1/0 S1/0.10 2 10.0.2.1 10.0.2.0 /24 S1/0.10 3 10.0.3.2 10.0.3.0 /24 Fa0/0 10.0.4.1 10.0.4.0 /24 HCM S1/0 S1/0.20 1 10.0.2.2 10.0.2.0 /24 S1/0.20 3 10.0.5.2 10.0.5.0 /24 Fa0/0 10.0.6.1 10.0.6.0 /24 Center WAN S1/0 10.0.0.1 10.0.0.0 /24 S1/1 S1/1.30 1 10.0.3.1 10.0.3.0 /24 S1/1.30 2 10.0.5.1 10.0.5.0 /24 Fa0/0 172.16.1.1 172.16.1.0 /24 PIX Firewall E0 172.16.1.2 172.16.1.0 /24 E1 172.16.4.1 172.16.4.0 /24 E2 172.16.6.1 172.16.6.0 /24 E3 192.168.1.1 192.168.1.0 /24 Internet Router Fa0/0 192.168.1.10 0 192.168.1. 0 /24 F1/0 195.168.1.1 195.168.1.0 /24 Web Server 172.16.4.2 /24 172.16.4.1 Mail Server 172.16.4.3 /24 172.16.4.1 DNS Server 172.16.4.4 /24 172.16.4.1 Database Server 172.16.6.2 /24 172.16.6.1 App Server 172.16.6.3 /24 172.16.6.1 Report Server 172.16.6.4 /24 172.16.6.1 PC_HCM 10.0.6.6 /24 10.0.6.1 PC_HN 10.0.4.6 /24 10.0.4.1 PC_TN 10.0.1.6 /24 10.0.1.1 PC_outside 195.168.1.2 /24 195.168.1.
Yêu cầu của mô hình mạng:
Router:
• Đặt mật khẩu console, đặc quyền (mã hóa mật khẩu), mở 5 đường telnet trên 4 Router:
TN: Console: tncity; Đặc quyền: ciscotn; Telnet: ankhanhtn
HN: Console: hncity; Đặc quyền: ciscohn; Telnet: ankhanhhn
HCM: Console: hcmcity; Đặc quyền: ciscohcm; Telnet: ankhanhhcm
Center WAN: Console: city; Đặc quyền: ciscowan; Telnet: ankhanhwan
• Cấu hình Frame Relay trên 3 Router: TN, HN, Center WAN sử dụng kỹ thuật Sub-Interface và Dynamic Map Point-to-Point với DLCI như sau:
HN HCM = 102; HN CENTER_WAN = 103;
HCM HN = 201; HCM CENTER_WAN = 203;
CENTER_WAN HN = 301; CENTER_WAN HCM = 302
• Trên Router TN và Router Center WAN cấu hình PPP xác thực bằng giao thức CHAP với password: truongneo
• Cấu hình định tuyến động RIP trên 4 router TN, HN, HCM, Center WAN. Đồng thời trên 4 router cấu hình bảo mật bằng cách mã hóa các gói tin của RIP khi gửi qua router bằng thuật toán MD5. Mật khẩu sử dụng trong quá trình xác thực router RIP là: Security
• Cấu hình đường mặc định trên Router Center WAN trỏ vào PIX Firewall với IP next hop. Quảng bá đường mặc định cho các Router ở 3 chi nhánh
PIX Firewall:
• Cấu hình mức bảo mật 100
• Tất cả các host khi truy cập ra ngoài Internet đều được NAT (PAT) để ẩn địa chỉ IP Private
• Không sử dụng NAT tới các vùng khác trong mạng
• Các truy cập khác đều cho phép
Vùng DMZ:
• Cấu hình mức bảo mật 50
• Cấu hình NAT tĩnh khi ra ngoài Internet: Web Server khi ra ngoài Internet có địa chỉ: 192.168.1.2
Vùng Server Center:
• Cấu hình mức bảo mật 80
• Không cho phép truy cập ra Internet
Vùng Outside:
• Cho phép người dùng Internet truy cập vào Web Server với địa chỉ đã được NAT
• Các truy cập khác đều bị cấm
Cấu hình chung với PIX:
• Đặt mật khẩu đặc quyền: pixfirewall, Console: 12345678
• Cấu hình đường tĩnh trỏ vào mạng nội bộ là mạng được tổng hợp của 3 chi nhánh
• Cấu hình đường mặc định trỏ đến Internet Router với IP next hop
• Cấu hình Easy VPN server cho phép nhân viên Tập Đoàn ngoài Internet kết nối VPN vào mạng công ty để làm việc từ xa với:
Nhóm làm việc: AK
Username: truongneo
Password: 246810
• Cấu hình SSH cho phép người quản trị truy cập PIX Firewall từ xa: bên ngoài Internet và từ mạng nội bộ
Cấu hình hệ thống: Router TN:
TN>enable
TN#configure terminal
TN(config)#no ip domain lookup TN(config)#enable secret ciscotn
TN(config)#line con 0 TN(config-line)#logging synchronous TN(config-line)#password tncity TN(config-line)#login TN(config-line)#exit TN(config)#line vty 0 4 TN(config-line)#password ankhanhtn TN(config-line)#login TN(config-line)#exit
TN(config)#username CENTER_WAN password truongneo
TN(config)#interface serial 1/0
TN(config-if)#clock rate 64000 TN(config-if)#no shutdown
TN(config-if)#encapsulation ppp
TN(config-if)#ppp authentication chap TN(config-if)#compress predictor TN(config-if)#interface fastEthernet0/0 TN(config-if)#ip address 10.0.1.1 255.255.255.0 TN(config-if)#no shutdown TN(config-if)#exit TN(config)#router rip TN(config-router)#version 2 TN(config-router)#network 10.0.0.0 TN(config-router)# network 10.0.1.0 TN(config-router)#no auto-summary TN(config-router)#passive-interface fastEthernet 0/0 TN(config-router)#exit
TN(config)#key chain RIP-key TN(config-keychain)#key 1
TN(config-keychain-key)#key-string Security
TN(config-keychain-key)#interface serial 1/0 TN(config-if)#ip rip authentication mode md5
TN(config-if)#ip rip authentication key-chain RIP-key
HN>enable
HN#configure terminal
HN(config)#no ip domain lookup HN(config)#enable secret ciscohn
HN(config)#line console 0 HN(config-line)#logging synchronous HN(config-line)#password hncity HN(config-line)#login HN(config-line)#exit HN(config)#line vty 0 4 HN(config-line)#password ankhanhhn HN(config-line)#login HN(config-line)#exit HN(config)#interface fastEthernet 0/0 HN(config-if)#ip address 10.0.4.1 255.255.255.0 HN(config-if)#no shutdown HN(config-if)#interface serial 1/0 HN(config-if)#clock rate 64000 HN(config-if)#no shutdown HN(config-if)#encapsulation frame-relay
HN(config-if)#interface serial 1/0.102 point-to-point HN(config-subif)#ip address 10.0.2.1 255.255.255.0 HN(config-subif)#frame-relay interface-dlci 102
HN(config-subif)#ip address 10.0.3.2 255.255.255.0 HN(config-subif)#frame-relay interface-dlci 103 HN(config-subif)#exit HN(config-if)#exit HN(config)#router rip HN(config-router)#version 2 HN(config-router)#network 10.0.2.0 HN(config-router)#network 10.0.3.4 HN(config-router)#network 10.0.4.0 HN(config-router)#no auto-summary HN(config-router)#passive-interface fastEthernet 0/0 HN(config-router)#exit
HN(config)#key chain RIP-key HN(config-keychain)#key 1
HN(config-keychain-key)#key-string Security
HN(config-keychain-key)#int serial 1/0.102
HN(config-subif)#ip rip authentication mode md5
HN(config-subif)#ip rip authentication key-chain RIP- key
HN(config-subif)#int serial 1/0.103
HN(config-subif)#ip rip authentication mode md5
HN(config-subif)#ip rip authentication key-chain RIP- key
Router HCM:
HCM#configure terminal
HCM(config)#no ip domain lookup HCM(config)#enable secret ciscohcm
HCM(config)#line con 0 HCM(config-line)#logging synchronous HCM(config-line)#password hcmcity HCM(config-line)#login HCM(config-line)#exit HCM(config)#line vty 0 4 HCM(config)#password ankhanhhcm HCM(config)#login HCM(config)#exit HCM(config)#interface fastEthernet 0/0 HCM(config-if)#ip address 10.0.6.1 255.255.255.0 HCM(config-if)#no shutdown HCM(config-if)#interface serial 1/0 HCM(config-if)#encapsulation frame-relay HCM(config-if)#clock rate 64000 HCM(config-if)#no shutdown
HCM(config-if)#interface serial 1/0.201 point-to-point HCM(config-subif)#ip address 10.0.2.2 255.255.255.0 HCM(config-subif)#frame-relay interface-dlci 201
HCM(config-fr-dlci)#interface serial 1/0.203 point-to- point
HCM(config-subif)#frame-relay interface-dlci 203 HCM(config-subif)#exit HCM(config-if)#exit HCM(config)#router rip HCM(config-router)#version 2 HCM(config-router)#network 10.0.2.0 HCM(config-router)#network 10.0.4.0 HCM(config-router)#network 10.0.6.0 HCM(config-router)#no auto-summary HCM(config-router)#passive-interface fastEthernet 0/0 HCM(config-router)#exit
HCM(config)#key chain RIP-key HCM(config-keychain)#key 1
HCM(config-keychain-key)#key-string Security
HCM(config-keychain-key)#interface serial 1/0.201 HCM(config-subif)#ip rip authentication mode md5
HCM(config-subif)#ip rip authentication key-chain RIP- key
HCM(config-subif)#interface serial 1/0.203
HCM(config-subif)#ip rip authentication mode md5
HCM(config-subif)#ip rip authentication key-chain RIP- key
Router Center WAN:
CENTER_WAN#configure terminal
CENTER_WAN(config)#no ip domain lookup CENTER_WAN(config)#enable secret ciscowan
CENTER_WAN(config)#line con 0 CENTER_WAN(config-line)#logging synchronous CENTER_WAN(config-line)#password city CENTER_WAN(config-line)#login CENTER_WAN(config-line)#exit CENTER_WAN(config)#line vty 0 4 CENTER_WAN(config-line)#password ankhanhwan CENTER_WAN(config-line)#login CENTER_WAN(config-line)#exit
CENTER_WAN(config)#username TN pass truongneo
CENTER_WAN(config)#interface serial 1/0 CENTER_WAN(config-if)#ip address 10.0.0.1 255.255.255.0 CENTER_WAN(config-if)#clock rate 64000 CENTER_WAN(config-if)#no shutdown CENTER_WAN(config-if)#encapsulation ppp CENTER_WAN(config-if)#compress predictor
CENTER_WAN(config-if)#ppp authentication chap CENTER_WAN(config-if)#exit
CENTER_WAN(config)#interface fastEthernet 0/0
CENTER_WAN(config-if)#ip address 172.16.1.1 255.255.255.0
CENTER_WAN(config-if)#no shutdown
CENTER_WAN(config)#interface serial 1/1
CENTER_WAN(config-if)#encapsulation frame-relay CENTER_WAN(config-if)#clock rate 64000
CENTER_WAN(config-if)#no shutdown
CENTER_WAN(config-if)#interface serial 1/1.301 point- to-point CENTER_WAN(config-subif)#ip address 10.0.3.1 255.255.255.0 CENTER_WAN(config-subif)#frame-relay interface-dlci 301 CENTER_WAN(config-fr-dlci)#interface serial 1/1.302 point-to-point CENTER_WAN(config-subif)#ip address 10.0.5.1 255.255.255.0 CENTER_WAN(config-subif)#frame-relay interface-dlci 302 CENTER_WAN(config-subif)#exit CENTER_WAN(config-if)#exit CENTER_WAN(config)#router rip CENTER_WAN(config-router)#version 2 CENTER_WAN(config-router)#network 10.0.0.0 CENTER_WAN(config-router)#network 10.0.3.0 CENTER_WAN(config-router)#network 10.0.5.0 CENTER_WAN(config-router)#network 172.16.1.0 CENTER_WAN(config-router)#no auto-summary
CENTER_WAN(config-router)#passive-interface fastEthernet 0/0
CENTER_WAN(config-router)#exit
CENTER_WAN(config)#key chain RIP-key CENTER_WAN(config-keychain)#key 1
CENTER_WAN(config-keychain-key)#key-string Security CENTER_WAN(config-keychain-key)#interface serial 1/1.301
CENTER_WAN(config-subif)#ip rip authentication mode md5
CENTER_WAN(config-subif)#ip rip authentication key- chain RIP-key
CENTER_WAN(config-subif)#interface serial 1/1.302
CENTER_WAN(config-subif)#ip rip authentication mode md5
CENTER_WAN(config-subif)#ip rip authentication key- chain RIP-key
CENTER_WAN(config-subif)#interface serial 1/0
CENTER_WAN(config-if)#ip rip authentication mode MD5 CENTER_WAN(config-if)#ip rip authentication key-chain RIP-key
PIX Firewall:
hostname PIX
domain-name ankhanh-group.vn
names name 172.16.6.2 Database name 10.0.4.6 PC_HN name 10.0.1.6 PC_TN ! interface Ethernet0 nameif inside security-level 100 ip address 172.16.1.2 255.255.255.0 ! interface Ethernet1 nameif dmz security-level 50 ip address 172.16.4.1 255.255.255.0 ! interface Ethernet2 nameif Server_Center security-level 80 ip address 172.16.6.1 255.255.255.0 ! interface Ethernet3 nameif outside security-level 0 ip address 192.168.1.1 255.255.255.0
! interface Ethernet4 shutdown no nameif no security-level no ip address !
passwd Vyg.C3I6hdMIQb10 encrypted ftp mode passive
dns server-group DefaultDNS domain-name ankhanh-group.vn
access-list dmz_access_in extended permit icmp any any echo-reply
access-list outside_access_in extended permit tcp any host 192.168.1.2 eq www
access-list outside_access_in extended permit icmp any any echo-reply
access-list inside_nat0_outbound extended permit ip 10.0.0.0 255.255.248.0 172.16.4.0 255.255.255.0
access-list inside_nat0_outbound extended permit ip 10.0.0.0 255.255.248.0 172.16.6.0 255.255.255.0
access-list inside_nat0_outbound extended permit ip 10.0.0.0 255.255.248.0 10.0.7.0 255.255.255.224
access-list inside_nat0_outbound extended permit ip host 172.16.4.2 10.0.7.0 255.255.255.224
access-list inside_nat0_outbound extended permit ip host Database 10.0.7.0 255.255.255.224
access-list Server_Center_access_in extended permit icmp any any echo-reply
access-list inside_access_in extended deny ip host PC_HN host Database
access-list inside_access_in extended deny ip host PC_TN host Database
access-list inside_access_in extended permit ip any any
access-list AK_splitTunnelAcl standard permit 10.0.0.0 255.255.248.0
access-list AK_splitTunnelAcl standard permit host 172.16.4.2
access-list AK_splitTunnelAcl standard permit host Database pager lines 24 mtu inside 1500 mtu dmz 1500 mtu Server_Center 1500 mtu outside 1500
ip local pool BOSS 10.0.7.10-10.0.7.20 mask 255.255.255.0
no failover
icmp unreachable rate-limit 1 burst-size 1 asdm image flash:/asdm-603.bin
no asdm history enable arp timeout 14400
global (outside) 1 192.168.1.10-192.168.1.11 netmask