HIPS agents mà có thể có một giao diện sử dụng tốt và đôi khi hoạt động không cùng kiểu quản lý trung tâm. Tuy nhiên các lớp hoạt động HIPS yêu cầu một hạ tầng
quản lý. Kiểu đặc trưng, hạ tầng bao gồm trung tâm quản lý hay điểm đầu cuối và giao diện được dùng để truy nhập vào các trạm quản lý.
a. Trung tâm quản lý:
Trung tâm quản lý gồm 3 thành phần cơ bản. Thành phần đầu tiên đó là cơ sở dữ liệu nơi mà lưu trữ các trạng thái, chính sách, agent và các dữ liệu cấu hình khác. Thành phần thứ hai đó là khả năng trình bày trạng thái. Thành phần cuối cùng đó là chính sách quản lý. Chúng phụ thuộc vào mô hình quản lý mỗi thành phần được cài đặt trên các thành phần vật lý khác nhau.
a) Cơ sở dữ liệu là thành phần quan trọng nhất của trung tâm quản lý. Nó là nơi lưu tất cả các thông tin chính sách. Nó phải đủ mạnh để hỗ trợ các agents sử dụng nó mà không cần xâm nhập và bảo vệ đủ để chống lại kẻ tấn công. Đó là lý do mà tất cả các công ty hoạt động cần phải có nhiều các kiểu cơ sở dữ liệu hoạt động như SQL hay ORACLE
b) Điều khiển cảnh báo và trạng thái đó là điều khiển sự phân chia các trạng thái ở các trạm quản lý và bao gồm trạng thái mang và phát sinh cảnh báo.Nhờ hai trạnh thái này mà chúng ta biết được tình trạnh mạng hoạt động ra sao, có xâm nhập hai không.
c) Quản lý chính sách: đó là việc chỉnh sửa các chính sách, các chính sách bảo mật thực thi thông qua thời gian trong các đáp ứng môi trường và thay đổi trong quan hệ bảo mật. Vì vậy cần chỉnh sửa chúng cho phù hợp với sự phân phối chúng tới các agents.
b. Giao diện quản lý:
Công cụ quản lý HIPS được dùng tương tác với trung tâm quản lý được gọi là giao diện sử dụng và có hai kiểu: được cài đặt trên giao diện người sử dụng client và giao diện web. Mặc dù giao diện người dùng thường có nhiều chức năng hơn, giao diện web thích ứng tốt hơn với nhà quản lý từ xa. Trong cả hai trường hợp sự giao tiếp giữa giao diện quản lý và trung tâm quản lý cũng được bảo vệ một các cẩn thận như sự giao tiếp giữa agents và MC.
CHƯƠNG 6: HỆ THỐNG MÔ PHỎNG FIREWALL 6.1 Mục đích dựng mô phỏng:
Mục đích của dựng mô phỏng là đưa ra một mô hình mạng thật đang được ứng dụng trong thực tế nhằm phân tích đánh giá các hoạt động của một mạng máy tính cũng như cơ chế hoạt động của FireWall trong mạng máy tính cũng như hệ thống IPS, khả năng ngăn chặn và bảo vệ của IPS cũng như FireWall trong mạng máy tính ra sao. Nhìn chung tất cả các hệ thống thật ta đều có thể mô phỏng trên máy tính nếu như máy tính của chúng ta đủ mạnh để có thể đủ khả năng xử lý cho hệ thống .
6.2 Nguyên lý dựng mô phỏng và các yêu cầu:
Yêu cầu cấu hình máy tính định làm mô phỏng: RAM tối thiểu 1Gb máy có cấu hình càng cao càng tốt.
Yêu cầu về phần mềm : Phải có đủ phần mềm dựng đủ các thiết bị như Router, Switch, Firewall, máy tính ảo, IPS, VMWare. Chúng ta có thể dựng Router và Switch bằng phần mềm mô phỏng Dynamic/dyogen.chúng làm việc khá tốt song yêu cầu ram cao. Firewall có thể dùng phần mềm mô phỏng Pemu hoặc chính trong Dynamic cũng hỗ trợ nhưng phải với phiên bản mới, về phần IPS có thể chạy trên Linux chúng ta có thể dùng phần mền metu.vn_ciscoIPS.wm chạy bằng máy ảo dùng VMWare máy ảo có thể tạo bằng VMWare
a. Bước trước tiên là đó là phải cài đặt dynagen-0.10.1_dynamips và WinPcap để tạo có thể tạo ra được router ảo và switch ảo cũng như tạo ra tạo ra Firewall. Phiên bản mới nhất đó là GNS3 có hỗ trợ cài đặt sẵn dynamíp, pemu và winpcap.
b. Cài đặt VMWare tạo ra 2 máy PC ảo để có thể test Firewall.
c. Cài đặt ASDM 6.2 để có thể cấu hình cho firewall dạng giao diện web.
6.4 Cấu hình cho từng thiết bị: Sơ đồ hệ thống cần mô phỏng:
Với các thông số cần cấu hình:
- C0 là miền Internet có địa chỉ là 192.168.161.0 /24. - C1 là miền DMZ có địa chỉ là 172.16.10.0 /24. - C2 là miền inside có địa chỉ là 11.0.0.0 /24.
- Router R có f0/0 nối với e0 của Firwall có dải địa chỉ 192.168.160.0/24(miền outside). Cổng f1/0 nối với C0.
- Firewall nối với R qua e0. Firewall nối với DMZ qua cổng e2. Firewall nối với inside qua cổng e1.
- Hai switch ảo swo và sw1 có nhiệm vụ switch để kết nối nhiều host trong miền.
6.4.1 Cấu hình file Pix.net tạo thiết bị Firewall ảo và router ảo, các switch ảo:
autostart = false # Chế độ khởi động bằng tay [localhost:7200] # Lệnh chọn kiểu kết nối localhost model = 3640 # chọn mô hình 3640
[[3640]]
# link kết nối tới IOS của router 3640
image = \Program Files\Dynamips\images\c3640-jk9o3s-mz.123- 14.T7.extracted.bin
# đặt giá tri idlepc để tiết kiệm CPU idlepc = 0x60530870
# Thiết lập router tên R model 3640 [[Router R ]]
model = 3640
slot0 = NM-1FE-TX # tạo 1 cộng faterthernet và 1 serial vào slot 0 slot1 = NM-1FE-TX # tạo 1 cộng faterthernet và 1 serial vào slot 1 f0/0 = FW e0 # Taọ kết nối f0/0 của router R với e0 của Firewall.
f1/0 = NIO_gen_eth:\Device\NPF_{37225AE2-A156-43CE-AD2A-798D844EC905} # tạo kết nối f1/0 của Firewall với 1 PC ảo tạo ra miền outside.
[[ethsw SW]] # tạo switch ảo kết nối 1 PC trong inside với Firewall 1 = access 1
2 = access 1 NIO_gen_eth:\Device\NPF_{FB316E56-207D-4F53-91A4- 6FF8D185F91B} # tạo kết nối với PC thật
[[ethsw SW1]]
1 = access 1 # tạo 1 cổng kết nối với Firewall
2 = access 1 NIO_gen_eth:\Device\NPF_{BF3086A7-17EF-42DF-AA68- 68B0D28D31DA} # tạo kết nối với PC ảo.
[pemu localhost] # Cấu hình Firewall [[525]] # model 525
# link kết nối với IOS PIX802.bin
image = \Program Files\Dynamips\images\PIX802.BIN serial = 0x301D10D9
key = 0x5236f5a7,0x97def6da,0x732a91f5,0xf5deef57 [[fw FW]] # tạo một Firewall
e1 = SW 1 # kết nối với SW qua cổng e1 e2 = SW1 1 # kết nối với SW1 qua cổng e2
Sau khi tạo File Pix.net song:
- Chạy Dynamips Server, Pemu Server - Chạy file pemu.net
trạng thái
- Điều chỉnh idlepc của R (idlepc get R, idlepc save R) -> stop & start R để dùng idlepc
- Telnet R, FW để cấu hình. - Cấu hình R:
R>ena R# conf t
R(conf)# intf0/0 #Kết nối với e0 của firewall R(conf-if)# ip address 192.168.110.2 255.255.255.0 R(conf-if)# no shut
R(conf)# intf1/0 # kết nối với PC ảo
R(conf-if)# ip address 192.168.119.10 255.255.255.0 R(conf-if)# no shut - Cấu hình FW: Cấu hình interface: Pixfirewall> en Pixfirewall> conf t Pixfirewall> int e0 Pixfirewall> ip add 10.0.0.2 255.0.0.0
Pixfirewall> nameif outside Pixfirewall> no shut
Pixfirewall> int e1
Pixfirewall> ip add 11.0.0.2 255.0.0.0 Pixfirewall> nameif inside
Pixfirewall> no shut
=> Test: ping 11.0.0.10 ( interface loopback trên PC, ok !)
6.4.2 Kết nối với ASDM:
Upload asdm602.bin vào flash của pix:
Pixfirewall> en Pixfirewall> conf t
Pixfirewall> copy tftp: flash: ( 11.0.0.10, asdm-602.bin)
Giai đoạn này cần đòi hỏi tính kiên nhẫn bởi upload mất khoảng 3-4 giờ. Sau khi thành công thì cấu hình tiếp:
Pixfirewall> asdm image flash: asdm-602.bin Enable asdm trên pix:♣
Pixfirewall> en Pixfirewall> conf t
Pixfirewall> username admin password admin privilege 15 Pixfirewall> http server enable
Pixfirewall> http 0.0.0.0 0.0.0.0 inside
6.4.3 Cấu hình:Cấu hình giao diện, định tuyến, nat cho firewall các cách ngăn chặn mạng ngoài(outside) xâm nhập vào trong miền inside và DMZ cấu hình cho phép các địa chỉ IP truy nhập vào mạng cũng như các dịch vụ trong mạng.
6.4.4 Kiểm tra cấu hình đã đúng chưa banừg cách ping các địa chỉ trong miền inside có thể truy nhập ra miền outside và vào một số dịch vụ trong DMZ. Nếu ping thành công và khi ping từ host trong miền outside vào inside thì bị từ chối.
Qua việc nghiên cứu về mạng máy tính và an toàn trong mạng máy tính, vấn đề bảo mạt trong mạng máy tính cũng như bức từng lửa - một giải pháp hiệu quả trong bảo vệ mạng máy tính. Qua suốt hơn 2 tháng tìm hiểu và nghiên cứu tôi đã thu được nhiều kiến thức về máy tính như lịch sử phát triển của máy tính cấu trúc và chức năng của máy tính, các khả năng xử lý dữ liệu, các kiến thức về mạng máy tính như các thiết bị trong mạng cơ chế hoạt động của mạng máy tính, mục đích và nhu cầu kết nối mạng, các đặc trưng về thông số kỹ thuật trọng mạng. So sánh mô hình OSI và mô hình TCP/IP vấn đề chuẩn hoá và kết nối giữa 2 mô hình này và nguy cơ đe doạ hệ thống và mạng máy tính, phân tích các mức an toàn và đưa ra các giải pháp bảo vệ an toàn hệ thống. Nghiên cứu về Fireuwall cơ chế hoạt động và các thành phần. Ngoài ra, tôi còn tìm hiểu về IDS, IPS hai hệ thống giúp bảo vệ mạng và ngăn chặn các mối đe dọa tấn công một cách hiệu quả đang được sử dụng rất hiệu quả hiện nay. Qua đợt đồ án tốt nghiệp này tôi đã hiểu biết thêm nhiều về mạng. Đây chính là tiền đề cơ sở để tôi tiếp tục nghiên cứu các vấn đề sâu hơn về mạng máy tính cũng như mạng viễn thông.
Qua đợt đồ án tốt nghiệp này, tôi xin chân trọng cám ơn sự giúp đỡ nhiệt tình và chỉ bảo sát sao của thầy giáo THS Đỗ Đình Hưng cùng các thầy cô giáo trong khoa Điện Tử - Viễn Thông trường Đại Học Bách Khoa Hà Nội đã nhiệt tình hướng dẫn giúp tôi trong suốt thời gian tôi làm đồ án tốt nghiệp này.Tôi xin cảm ơn sự giúp đỡ nhiệt tình và động viên kịp thời của gia đình, bạn bè đã luôn bên tôi trong suốt thời gian qua.
Trong khi thực hiện đồ án tốt nghiệp không tránh khảo khiếm khuyết sai lệch em mong được sự chỉ báo và giúp đỡ của các thầy cô và các bạn.
Xin chân thành cảm ơn!.
Cấu trúc máy vi tính – Tg: Trần Quang Vinh (NXB Giáo Dục).
Giáo trình Cấu trúc máy tính – Tg: Tống Văn On, Hoàng Đức Hải (NXB Lao Động – Xã Hội).
Mạng máy tính và các hệ thống mở – Tg: Nguyễn Thúc Hải (NXB Giáo Dục).
An toàn và bảo mật tin tức trên mạng – Học viện Công nghệ Bưu chính Viễn thông (NXB Bưu Điện).
Bức tường lửa Internet và An ninh mạng – NXB Bưu Điện. Network and Internetwork Security – Tg: William Stallings. Cisco Networking Academy Program CCNA 1, CCNA 2.
Các bài viết về mạng máy tính và bức tường lửa – Tham khảo qua Internet. Cisco - CCSP SND 642-551 Network Security Fundamentals(2005).
Cisco - Intrusion Prevention Fundamentals(2006). Cisco - Cisco ASA and PIX Firewall Handbook(2005).
Cisco.Press.End.to.End.Network.Security.Aug.2007.eBook-BBL. Cisco.Press.Network.Security.Architectures.Apr.2004.INTERNAL. Security_app_com_line_Configuration_Guide_hay.
UTF-8''Cisco.Press.Cisco.ASA.PIX.and.FWSM.Handbook.2nd.Edition. Aug.2007. eBook – DDU.