c) Các vấn đề còn tồn tại trong IPSec
3.5. Mô phỏng mô hình thiết kế
3.5.1. Các phần mềm sử dụng trong mô phỏng 3.5.1.1. GNS3- Graphical Network Simulate 3
GNS3 là một trình giả lập mạng có giao diện đồ họa cho phép dễ dàng thiết kế các mô hình mạng và sau đó chạy giả lập trên chúng. GNS3 cho phép mô phỏng các thiết bị mạng thông dụng của Cisco: Router, PIX Firewall, ASA… Những thiết bị này được nạp hệ điều hành như trên những thiết bị thực, tạo cho người dùng cảm giác như đang tiếp xúc, làm việc với các thiết bị thật.
Trong Đồ án này sử dụng IOS C2691-advipservicesk9-mz.123-24.bin dành cho Router và IOS Pix802.bin dành cho PIX Firewall. Ngoài ra, do sử dụng IOS thật nên rất tốn tài nguyên như RAM và CPU của máy tính, nên sử dụng thêm phần mềm BES - Battle Encoder Shirase v1.3.8 để giảm CPU khi giả lập PIX và sử dụng chức năng Idle PC tích hợp trong GNS3 để giảm CPU khi chạy Router giúp máy hoạt động tốt hơn không bị hiện tượng treo máy.
3.5.1.2. VMware Workstation
Do GNS3 không hỗ trợ giả lập PC mà chỉ đưa ra thiết bị Cloud (đám mây) cho phép liên kết với các PC được giả lập trên một phần mềm khác: VMware, VPCS… hay tạo cổng Loopback trên máy tính thật để giả lập PC.
Ở đây VMware được sử dụng để giả lập:
• Web Server: Máy ảo này được cài hệ điều hành Windows Server 2003 để triển khai dịch vụ Web Server cho website của Tập Đoàn An Khánh:
http://ankhanh-group.vn. Đồng thời máy ảo này được cài đặt thêm dịch vụ DNS để phân giải tên miền cho địa chỉ IP được cấp phát cho Web Server
• Host Outside: Máy ảo này cài hệ điều hành Windows XP SP3 để giả lập PC trên mạng Internet. PC này sẽ có nhiệm vụ:
Kiểm tra kết nối đến Web Server (website) của Tập Đoàn.
Cài đặt phần mềm Cisco VPN Client v5.0.07.0290 để truy cập VPN vào mạng nội bộ của Tập Đoàn
Cài đặt phần mềm SSH Sercurity để cấu hình PIX
3.5.1.3. Virtual PC Simulator
VPCS có thể mô phỏng đến 9 PC. Những PC này chỉ có chức năng để kiểm tra xem mạng đã thông suốt bằng cách ping đến chúng hoặc ping đến các thiết bị khác từ chúng.
Trong mô phỏng này, VPCS được sử dụng để giả lập:
• PC trong mạng LAN ở chi nhánh Hà Nội
• PC trong mạng LAN ở chi nhánh Thái Nguyên
• Database Server
• App Server
• Report Server
• DNS Server
3.5.1.4. Cisco Adaptive Security Device Manager
Đây là phần mềm rất mạnh của Cisco giúp người quản trị có thể thực hiện quản lý và kiểm tra PIX Firewall thông qua giao diện đồ họa. Được thiết kế theo giao diện web-base cung cấp việc truy cập bảo mật vì vậy người dùng có thể kết nối đến và quản lý PIX Firewall từ mọi nơi bằng cách sử dụng một web browser. Để sử dụng được ASDM phải sử dụng phần mềm TFTP Server nạp IOS asdm- 603.bin vào PIX để có thể quản lý PIX một cách thuận tiện hơn.
3.5.2. Triển khai mô phỏng
Mô hình mô phỏng trên GNS3:
Gán địa chỉ IP cho các thiết bị:
Device Interface Sub-Int IP Mạng SM DG
TN S1/0 10.0.0.2 10.0.0.0 /24 Fa0/0 10.0.1.1 10.0.1.0 /24 HN S1/0 S1/0.10 2 10.0.2.1 10.0.2.0 /24 S1/0.10 3 10.0.3.2 10.0.3.0 /24 Fa0/0 10.0.4.1 10.0.4.0 /24 HCM S1/0 S1/0.20 1 10.0.2.2 10.0.2.0 /24 S1/0.20 3 10.0.5.2 10.0.5.0 /24 Fa0/0 10.0.6.1 10.0.6.0 /24 Center WAN S1/0 10.0.0.1 10.0.0.0 /24 S1/1 S1/1.30 1 10.0.3.1 10.0.3.0 /24 S1/1.30 2 10.0.5.1 10.0.5.0 /24 Fa0/0 172.16.1.1 172.16.1.0 /24 PIX Firewall E0 172.16.1.2 172.16.1.0 /24 E1 172.16.4.1 172.16.4.0 /24 E2 172.16.6.1 172.16.6.0 /24 E3 192.168.1.1 192.168.1.0 /24 Internet Router Fa0/0 192.168.1.10 0 192.168.1. 0 /24 F1/0 195.168.1.1 195.168.1.0 /24 Web Server 172.16.4.2 /24 172.16.4.1 Mail Server 172.16.4.3 /24 172.16.4.1 DNS Server 172.16.4.4 /24 172.16.4.1 Database Server 172.16.6.2 /24 172.16.6.1 App Server 172.16.6.3 /24 172.16.6.1 Report Server 172.16.6.4 /24 172.16.6.1 PC_HCM 10.0.6.6 /24 10.0.6.1 PC_HN 10.0.4.6 /24 10.0.4.1 PC_TN 10.0.1.6 /24 10.0.1.1 PC_outside 195.168.1.2 /24 195.168.1.
Yêu cầu của mô hình mạng:
Router:
• Đặt mật khẩu console, đặc quyền (mã hóa mật khẩu), mở 5 đường telnet trên 4 Router:
TN: Console: tncity; Đặc quyền: ciscotn; Telnet: ankhanhtn
HN: Console: hncity; Đặc quyền: ciscohn; Telnet: ankhanhhn
HCM: Console: hcmcity; Đặc quyền: ciscohcm; Telnet: ankhanhhcm
Center WAN: Console: city; Đặc quyền: ciscowan; Telnet: ankhanhwan
• Cấu hình Frame Relay trên 3 Router: TN, HN, Center WAN sử dụng kỹ thuật Sub-Interface và Dynamic Map Point-to-Point với DLCI như sau:
HN HCM = 102; HN CENTER_WAN = 103;
HCM HN = 201; HCM CENTER_WAN = 203;
CENTER_WAN HN = 301; CENTER_WAN HCM = 302
• Trên Router TN và Router Center WAN cấu hình PPP xác thực bằng giao thức CHAP với password: truongneo
• Cấu hình định tuyến động RIP trên 4 router TN, HN, HCM, Center WAN. Đồng thời trên 4 router cấu hình bảo mật bằng cách mã hóa các gói tin của RIP khi gửi qua router bằng thuật toán MD5. Mật khẩu sử dụng trong quá trình xác thực router RIP là: Security
• Cấu hình đường mặc định trên Router Center WAN trỏ vào PIX Firewall với IP next hop. Quảng bá đường mặc định cho các Router ở 3 chi nhánh
PIX Firewall:
• Cấu hình mức bảo mật 100
• Tất cả các host khi truy cập ra ngoài Internet đều được NAT (PAT) để ẩn địa chỉ IP Private
• Không sử dụng NAT tới các vùng khác trong mạng
• Các truy cập khác đều cho phép
Vùng DMZ:
• Cấu hình mức bảo mật 50
• Cấu hình NAT tĩnh khi ra ngoài Internet: Web Server khi ra ngoài Internet có địa chỉ: 192.168.1.2
Vùng Server Center:
• Cấu hình mức bảo mật 80
• Không cho phép truy cập ra Internet
Vùng Outside:
• Cho phép người dùng Internet truy cập vào Web Server với địa chỉ đã được NAT
• Các truy cập khác đều bị cấm
Cấu hình chung với PIX:
• Đặt mật khẩu đặc quyền: pixfirewall, Console: 12345678
• Cấu hình đường tĩnh trỏ vào mạng nội bộ là mạng được tổng hợp của 3 chi nhánh
• Cấu hình đường mặc định trỏ đến Internet Router với IP next hop
• Cấu hình Easy VPN server cho phép nhân viên Tập Đoàn ngoài Internet kết nối VPN vào mạng công ty để làm việc từ xa với:
Nhóm làm việc: AK
Username: truongneo
Password: 246810
• Cấu hình SSH cho phép người quản trị truy cập PIX Firewall từ xa: bên ngoài Internet và từ mạng nội bộ
Cấu hình hệ thống: Router TN:
TN>enable
TN#configure terminal
TN(config)#no ip domain lookup TN(config)#enable secret ciscotn
TN(config)#line con 0 TN(config-line)#logging synchronous TN(config-line)#password tncity TN(config-line)#login TN(config-line)#exit TN(config)#line vty 0 4 TN(config-line)#password ankhanhtn TN(config-line)#login TN(config-line)#exit
TN(config)#username CENTER_WAN password truongneo
TN(config)#interface serial 1/0
TN(config-if)#clock rate 64000 TN(config-if)#no shutdown
TN(config-if)#encapsulation ppp
TN(config-if)#ppp authentication chap TN(config-if)#compress predictor TN(config-if)#interface fastEthernet0/0 TN(config-if)#ip address 10.0.1.1 255.255.255.0 TN(config-if)#no shutdown TN(config-if)#exit TN(config)#router rip TN(config-router)#version 2 TN(config-router)#network 10.0.0.0 TN(config-router)# network 10.0.1.0 TN(config-router)#no auto-summary TN(config-router)#passive-interface fastEthernet 0/0 TN(config-router)#exit
TN(config)#key chain RIP-key TN(config-keychain)#key 1
TN(config-keychain-key)#key-string Security
TN(config-keychain-key)#interface serial 1/0 TN(config-if)#ip rip authentication mode md5
TN(config-if)#ip rip authentication key-chain RIP-key
HN>enable
HN#configure terminal
HN(config)#no ip domain lookup HN(config)#enable secret ciscohn
HN(config)#line console 0 HN(config-line)#logging synchronous HN(config-line)#password hncity HN(config-line)#login HN(config-line)#exit HN(config)#line vty 0 4 HN(config-line)#password ankhanhhn HN(config-line)#login HN(config-line)#exit HN(config)#interface fastEthernet 0/0 HN(config-if)#ip address 10.0.4.1 255.255.255.0 HN(config-if)#no shutdown HN(config-if)#interface serial 1/0 HN(config-if)#clock rate 64000 HN(config-if)#no shutdown HN(config-if)#encapsulation frame-relay
HN(config-if)#interface serial 1/0.102 point-to-point HN(config-subif)#ip address 10.0.2.1 255.255.255.0 HN(config-subif)#frame-relay interface-dlci 102
HN(config-subif)#ip address 10.0.3.2 255.255.255.0 HN(config-subif)#frame-relay interface-dlci 103 HN(config-subif)#exit HN(config-if)#exit HN(config)#router rip HN(config-router)#version 2 HN(config-router)#network 10.0.2.0 HN(config-router)#network 10.0.3.4 HN(config-router)#network 10.0.4.0 HN(config-router)#no auto-summary HN(config-router)#passive-interface fastEthernet 0/0 HN(config-router)#exit
HN(config)#key chain RIP-key HN(config-keychain)#key 1
HN(config-keychain-key)#key-string Security
HN(config-keychain-key)#int serial 1/0.102
HN(config-subif)#ip rip authentication mode md5
HN(config-subif)#ip rip authentication key-chain RIP- key
HN(config-subif)#int serial 1/0.103
HN(config-subif)#ip rip authentication mode md5
HN(config-subif)#ip rip authentication key-chain RIP- key
Router HCM:
HCM#configure terminal
HCM(config)#no ip domain lookup HCM(config)#enable secret ciscohcm
HCM(config)#line con 0 HCM(config-line)#logging synchronous HCM(config-line)#password hcmcity HCM(config-line)#login HCM(config-line)#exit HCM(config)#line vty 0 4 HCM(config)#password ankhanhhcm HCM(config)#login HCM(config)#exit HCM(config)#interface fastEthernet 0/0 HCM(config-if)#ip address 10.0.6.1 255.255.255.0 HCM(config-if)#no shutdown HCM(config-if)#interface serial 1/0 HCM(config-if)#encapsulation frame-relay HCM(config-if)#clock rate 64000 HCM(config-if)#no shutdown
HCM(config-if)#interface serial 1/0.201 point-to-point HCM(config-subif)#ip address 10.0.2.2 255.255.255.0 HCM(config-subif)#frame-relay interface-dlci 201
HCM(config-fr-dlci)#interface serial 1/0.203 point-to- point
HCM(config-subif)#frame-relay interface-dlci 203 HCM(config-subif)#exit HCM(config-if)#exit HCM(config)#router rip HCM(config-router)#version 2 HCM(config-router)#network 10.0.2.0 HCM(config-router)#network 10.0.4.0 HCM(config-router)#network 10.0.6.0 HCM(config-router)#no auto-summary HCM(config-router)#passive-interface fastEthernet 0/0 HCM(config-router)#exit
HCM(config)#key chain RIP-key HCM(config-keychain)#key 1
HCM(config-keychain-key)#key-string Security
HCM(config-keychain-key)#interface serial 1/0.201 HCM(config-subif)#ip rip authentication mode md5
HCM(config-subif)#ip rip authentication key-chain RIP- key
HCM(config-subif)#interface serial 1/0.203
HCM(config-subif)#ip rip authentication mode md5
HCM(config-subif)#ip rip authentication key-chain RIP- key
Router Center WAN:
CENTER_WAN#configure terminal
CENTER_WAN(config)#no ip domain lookup CENTER_WAN(config)#enable secret ciscowan
CENTER_WAN(config)#line con 0 CENTER_WAN(config-line)#logging synchronous CENTER_WAN(config-line)#password city CENTER_WAN(config-line)#login CENTER_WAN(config-line)#exit CENTER_WAN(config)#line vty 0 4 CENTER_WAN(config-line)#password ankhanhwan CENTER_WAN(config-line)#login CENTER_WAN(config-line)#exit
CENTER_WAN(config)#username TN pass truongneo
CENTER_WAN(config)#interface serial 1/0 CENTER_WAN(config-if)#ip address 10.0.0.1 255.255.255.0 CENTER_WAN(config-if)#clock rate 64000 CENTER_WAN(config-if)#no shutdown CENTER_WAN(config-if)#encapsulation ppp CENTER_WAN(config-if)#compress predictor
CENTER_WAN(config-if)#ppp authentication chap CENTER_WAN(config-if)#exit
CENTER_WAN(config)#interface fastEthernet 0/0
CENTER_WAN(config-if)#ip address 172.16.1.1 255.255.255.0
CENTER_WAN(config-if)#no shutdown
CENTER_WAN(config)#interface serial 1/1
CENTER_WAN(config-if)#encapsulation frame-relay CENTER_WAN(config-if)#clock rate 64000
CENTER_WAN(config-if)#no shutdown
CENTER_WAN(config-if)#interface serial 1/1.301 point- to-point CENTER_WAN(config-subif)#ip address 10.0.3.1 255.255.255.0 CENTER_WAN(config-subif)#frame-relay interface-dlci 301 CENTER_WAN(config-fr-dlci)#interface serial 1/1.302 point-to-point CENTER_WAN(config-subif)#ip address 10.0.5.1 255.255.255.0 CENTER_WAN(config-subif)#frame-relay interface-dlci 302 CENTER_WAN(config-subif)#exit CENTER_WAN(config-if)#exit CENTER_WAN(config)#router rip CENTER_WAN(config-router)#version 2 CENTER_WAN(config-router)#network 10.0.0.0 CENTER_WAN(config-router)#network 10.0.3.0 CENTER_WAN(config-router)#network 10.0.5.0 CENTER_WAN(config-router)#network 172.16.1.0 CENTER_WAN(config-router)#no auto-summary
CENTER_WAN(config-router)#passive-interface fastEthernet 0/0
CENTER_WAN(config-router)#exit
CENTER_WAN(config)#key chain RIP-key CENTER_WAN(config-keychain)#key 1
CENTER_WAN(config-keychain-key)#key-string Security CENTER_WAN(config-keychain-key)#interface serial 1/1.301
CENTER_WAN(config-subif)#ip rip authentication mode md5
CENTER_WAN(config-subif)#ip rip authentication key- chain RIP-key
CENTER_WAN(config-subif)#interface serial 1/1.302
CENTER_WAN(config-subif)#ip rip authentication mode md5
CENTER_WAN(config-subif)#ip rip authentication key- chain RIP-key
CENTER_WAN(config-subif)#interface serial 1/0
CENTER_WAN(config-if)#ip rip authentication mode MD5 CENTER_WAN(config-if)#ip rip authentication key-chain RIP-key
PIX Firewall:
hostname PIX
domain-name ankhanh-group.vn
names name 172.16.6.2 Database name 10.0.4.6 PC_HN name 10.0.1.6 PC_TN ! interface Ethernet0 nameif inside security-level 100 ip address 172.16.1.2 255.255.255.0 ! interface Ethernet1 nameif dmz security-level 50 ip address 172.16.4.1 255.255.255.0 ! interface Ethernet2 nameif Server_Center security-level 80 ip address 172.16.6.1 255.255.255.0 ! interface Ethernet3 nameif outside security-level 0 ip address 192.168.1.1 255.255.255.0
! interface Ethernet4 shutdown no nameif no security-level no ip address !
passwd Vyg.C3I6hdMIQb10 encrypted ftp mode passive
dns server-group DefaultDNS domain-name ankhanh-group.vn
access-list dmz_access_in extended permit icmp any any echo-reply
access-list outside_access_in extended permit tcp any host 192.168.1.2 eq www
access-list outside_access_in extended permit icmp any any echo-reply
access-list inside_nat0_outbound extended permit ip 10.0.0.0 255.255.248.0 172.16.4.0 255.255.255.0
access-list inside_nat0_outbound extended permit ip 10.0.0.0 255.255.248.0 172.16.6.0 255.255.255.0
access-list inside_nat0_outbound extended permit ip 10.0.0.0 255.255.248.0 10.0.7.0 255.255.255.224
access-list inside_nat0_outbound extended permit ip host 172.16.4.2 10.0.7.0 255.255.255.224
access-list inside_nat0_outbound extended permit ip host Database 10.0.7.0 255.255.255.224
access-list Server_Center_access_in extended permit icmp any any echo-reply
access-list inside_access_in extended deny ip host PC_HN host Database
access-list inside_access_in extended deny ip host PC_TN host Database
access-list inside_access_in extended permit ip any any
access-list AK_splitTunnelAcl standard permit 10.0.0.0 255.255.248.0
access-list AK_splitTunnelAcl standard permit host 172.16.4.2
access-list AK_splitTunnelAcl standard permit host Database pager lines 24 mtu inside 1500 mtu dmz 1500 mtu Server_Center 1500 mtu outside 1500
ip local pool BOSS 10.0.7.10-10.0.7.20 mask 255.255.255.0
no failover
icmp unreachable rate-limit 1 burst-size 1 asdm image flash:/asdm-603.bin
no asdm history enable arp timeout 14400
global (outside) 1 192.168.1.10-192.168.1.11 netmask 255.255.255.0
global (outside) 1 interface
nat (inside) 0 access-list inside_nat0_outbound nat (inside) 1 10.0.0.0 255.255.248.0
static (dmz,outside) tcp 192.168.1.2 www 172.16.4.2 www netmask 255.255.255.255
access-group inside_access_in in interface inside access-group dmz_access_in in interface dmz
access-group Server_Center_access_in in interface Server_Center
access-group outside_access_in in interface outside route outside 0.0.0.0 0.0.0.0 192.168.1.100 1
route inside 10.0.0.0 255.255.248.0 172.16.1.1 1 timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy http server enable
http 172.16.4.0 255.255.255.0 dmz no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp- md5-hmac
crypto ipsec transform-set ESP-AES-256-MD5 esp-aes-256 esp-md5-hmac
crypto ipsec transform-set ESP-DES-SHA esp-des esp- sha-hmac
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp- sha-hmac
crypto ipsec transform-set ESP-DES-MD5 esp-des esp- md5-hmac
crypto ipsec transform-set ESP-AES-192-MD5 esp-aes-192 esp-md5-hmac
crypto ipsec transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac
crypto ipsec transform-set ESP-AES-128-SHA esp-aes esp-sha-hmac
crypto ipsec transform-set ESP-AES-192-SHA esp-aes-192 esp-sha-hmac
crypto ipsec transform-set ESP-AES-128-MD5 esp-aes esp-md5-hmac
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set pfs
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set transform-set ESP-AES-128-SHA ESP-AES-128-MD5 ESP-AES- 192-SHA ESP-AES-192-MD5 ESP-AES-256-SHA ESP-AES-256- MD5 ESP-3DES-SHA ESP-3DES-MD5 ESP-DES-SHA ESP-DES-MD5 crypto map outside_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP
crypto map outside_map interface outside crypto isakmp enable outside
crypto isakmp policy 10 authentication pre-share encryption 3des
hash md5 group 2
lifetime 86400
no crypto isakmp nat-traversal telnet timeout 5 ssh 10.0.6.6 255.255.255.255 inside ssh 195.168.1.2 255.255.255.255 outside ssh timeout 15 console timeout 0 threat-detection basic-threat
threat-detection statistics access-list !
!
group-policy AK attributes wins-server value 172.16.4.2 dns-server value 172.16.4.4 vpn-tunnel-protocol IPSec
split-tunnel-policy tunnelspecified
split-tunnel-network-list value AK_splitTunnelAcl default-domain value ankhanh-group.vn
username admin password eY/fQXw7Ure8Qrz7 encrypted privilege 15
username truongneo password XQMQI36AeOhYMSMm encrypted privilege 0
username truongneo attributes vpn-group-policy AK
tunnel-group AK type remote-access tunnel-group AK general-attributes address-pool BOSS
default-group-policy AK
tunnel-group AK ipsec-attributes pre-shared-key *
prompt hostname context
Cryptochecksum:3d87b71c9ccf13cfa5068914c2b8705b : end
3.5.3. Kết quả
Sau khi thực hiện cấu hình theo các yêu cầu đã đề ra cho từng thiết bị trong hệ thống mạng mô phỏng thì ta sẽ được kết quả như sau:
• Sau khi cấu hình định tuyến, các user ở 3 chi nhánh có thể truyền thông được với nhau: Từ PC_HCM ping đến PC_HN và PC_TN
Hình 3.5: PC_HCM ping đến PC_HN thành công
• Các user ở 3 chi nhánh có thể truy cập tới Website của Tập Đoàn được quản lý bởi Web Server trong vùng DMZ với địa chỉ: http://ankhanh-group.vn hoặc gõ địa chỉ của Web Server: 172.16.4.2
Hình 3.7: User nội bộ truy cập WebServer của Tập đoàn
• User bên ngoài Internet có thể truy cập Website của Tập Đoàn bằng cách gõ địa chỉ của Web Server được NAT khi ra internet: 192.168.1.2
Hình 3.8: User ngoài Internet truy cập Website của Tập đoàn
• User bên trong mạng của Tập Đoàn được phép truy cập ra Internet
Hình 3.9: User trong mạng nội bộ ping đến host ngoài Internet
Hình 3.10: Ngoài internet không ping được mạng nội bộ
• Chỉ PC_HCM được cho phép truy cập vào Database Server
Hình 3.11: PC_HCM truy cập vào Database Server
Hình 3.12: PC_HC và PC_TN không thể truy cập vào Database Server
• Nhân viên ở xa có thể truy cập VPN vào mạng nội bộ của tập đoàn để làm việc