ĐỀ TÀI GIAO THỨC VPN FIREWALL

Và được đặt tên là co_firewall_block_data_email • Tạo kịch bản thứ tư là hệ thống vừa có co_firewall_block_data_email của kịch bản thứ 3 vừa có thêm VPN, thiết lập VPN Tunnel để tạo đườn

KHOA CÔNG NGHỆ THÔNG TIN

MỤC LỤC

I SƠ LƯỢC VỀ FIREWALL: 3

II SƠ LƯỢC VỀ VPN: 4

III BÀI LAB MÔ PHỎNG FIREWALL VPN: 5

III.1 Vấn đề cần nghiên cứu: 5

III.2 Mô hình tổng quát: 5

III.3 Kịch bản: 6

III.4 Triễn khai mô phỏng bằng OPNET IT GURU 6

III.4.1 Kịch bản thứ 1: Ở hình 2 trên , tên dự án mới Project Name: là Firewall_VPN và tên kịch bản Scenario Name: Ko_firewall (không có firewall) 7

III.4.2 Kịch bản thứ 2 : 21

III.4.3 Kịch bản thứ 3: có firewall và thực hiện chính sách bảo mật cấm quyền truy xuất dịch vụ : database và email Nhân bản kịch bản thứ 2 hệ thống có tường lửa với tên Co_Firewall thành kịch bản thứ 3 hệ thống có tên là Co_Firewall_block_data_email 22

III.4.4 Kịch Bản thứ 4 : 30

I SƠ LƯỢC VỀ FIREWALL:

Firewall là tường lửa dùng để ngăn chặn các tấn công bên ngoài trên mạnginternet vào trong mạng cục bộ

Thiết bị Firewall chính là phần cứng hay là phần mềm không cho phép, liênlạc, xâm nhập vào máy tính cá nhân hay tổ chức, trên môi trường có kết nốimạng, bởi các chính sách bảo mật an ninh được firewall đặt ra ở các rule( các quy luật)

Nhiệm vụ kiểm soát chặt chẽ các dữ liệu lưu thông trên vùng không đáng tincậy chính là trên mạng internet với vùng có độ tin cậy cao đó là mạng LANmạng cục bộ thông qua chính sách an ninh và mô hình kết nối theo nguyêntắc phân quyền tối thiểu

Để không xảy ra các lỗi nhỏ biến tường lửa trở nên vô dụng không hoạtđộng tốt, người quản trị phải hiểu biết sâu về các giao thức, và an ninh mạngmáy tính

Tường lửa thông dụng nhất là tường lửa tránh xâm nhập, tấn công từ ngoàivào dùng cho máy tính cá nhân hoặc 1 mạng cục bộ công ty

Tường lửa kiểm duyệt internet, không cho máy tính truy cập một số trangweb, máy chủ, thường do các nhà cung cấp internet thiết lập

Hình minh hoạ firewall

FIREWAL L

WAN LAN

II SƠ LƯỢC VỀ VPN:

VPN (virtual private network) là một mạng riêng ảo, dùng để kết nối với nhiềungười dùng từ xa, hay các mạng khác thông qua kết nối thực trên mạng côngcộng internet, dùng để gửi hay nhận dữ liệu trên một đường truyền riêng ảođược thiết lập để đảm bảo tính an toàn và bảo mật

VPN tạo ra đường ống hay đường hầm (turnel) bảo mật trao đổi riêng giữa bênnhận và bên gửi với cơ chế mã hoá dữ liệu, tương tự như kết nối point to pointtrên mạng riêng Bên gửi mã hoá che giấu dữ liệu, chỉ cung cấp thông tin vềđường đi tới đích nhanh chóng thông qua mạng internet, đó là gói dữ liệu(header)

Nếu có bị lấy đi gói dữ liệu packet trên mạng công cộng bởi hacker thì cũngkhông đọc được nội dung vì không giải mã được Sự liên kết dữ liệu mã hoá vàđược đóng gói gọi là kết nối VPN Đường kết nối VPN gọi là VPN turnel hay làđường hầm , đường ống VPN

INTERNE T

INTERNE T

vpn lan lan vpn lan lanCông ty con 1

vpn user lan vpn user lan

CÔNG TY MẸ

Công ty con 2

III BÀI LAB MÔ PHỎNG FIREWALL VPN:

III.1 Vấn đề cần nghiên cứu:

• Nghiên cứu hệ thống mạng có firewall và vpn trên internet

• Nghiên cứu lưu lượng đường truyền tốc độ ảnh hưởng

• Hiểu được khả năng chặn ứng dụng Firewall

• Chức năng bảo mật trên mạng riêng ảo VPN

• Những số liệu mô phỏng làm sáng tỏ, rút ra kết luận và áp dụng cho

mô hình thực tế sẽ được làm

III.2 Mô hình tổng quát:

Paris

MaseilleSERVER

III.3 Kịch bản:

Các cụm máy tính ở thành phố Marseille & cụm máy tính ở thành phố Paris kết nối tới máy chủ server (có các dịch vụ như: Database Server, Email Server, Web Server) trên các router qua mạng internet.

• Tạo kịch bản đầu tiên là hệ thống chưa có firewall được đặt tên là ko_firewall.

• Tạo kịch bản thứ hai là hệ thống có firewall được đặt tên là co_firewall.

• Tạo kịch bản thứ ba là hệ thống có firewall được đặt các chính sách, các rule (các quy luật) là cấm quyền truy xuất trên dịch vụ database và email Và được đặt tên là co_firewall_block_data_email

• Tạo kịch bản thứ tư là hệ thống vừa có co_firewall_block_data_email của kịch bản thứ 3 vừa có thêm VPN, thiết lập VPN Tunnel để tạo đường hầm hay đường ống dành riêng cho cụm máy tính thành phố Marseille nối tới Máy Chủ Server (bằng router Marseille với router main server) để cụm máy tính thành phố Marseille này truy xuất được các loại dịch vụ, mà trước đó ở kịch bản 3 co_firewall_block_data_email hệ thống không truy xuất được do thực hiện chính sách bảo mật cấm quyền data và email, còn cụm máy tính ở thành phố Paris do không có đường hầm kết nối VPN tới máy chủ Server nên chỉ thực hiện đúng theo kịch bản thứ 3 Co_Firewall_block_data_email là ngăn chặn database, email được quyền truy xuất.

III.4 Triễn khai mô phỏng bằng OPNET IT GURU

Từ menu chọn File – new để tạo dự án mới

Nhấn ok.

Hình 2

III.4.1 Kịch bản thứ 1: Ở hình 2 trên , tên dự án mới Project Name: là

Firewall_VPN và tên kịch bản Scenario Name: Ko_firewall (không có firewall)Chọn ok

Hình 3chọn Create Empty Scenarios để tạo kịch bản rỗng nhấn next

Hình 4chọn Enterprise nhấn Next

hình 5check vào Take Size From Map để vào danh sách bản đồ có sẵn trên phần mềm, nhấn next

hình 6Phần danh sách bản đồ Chọn france(Pháp) nhấn next

Chọn Application Config và Profile Config vào

hình 10Nhấn vào 100BaseT LAN đưa giống vị trí hình 10 trên, là địa điểm của cụm máy ởthành phố Marsille và cụm máy ở thành phố Paris

Đổi tên bằng cách nhấp chuột phải vào từng cụm máy tính chọn set name và đặt tên, như hình 11 ở dưới

hình 11Tương tự thêm ppp server vào và đổi tên như hình 11 ở trên

hình 12Chọn ethernet 4 slip8 qtwy để thêm 3 router vào bản đồ như hình 12 trên và đặt tên router Marseille để nối với cụm máy tính Marseille, router server để nối với cụm máy chủ server, router Paris để nối với cụm máy tính Paris.

hình 13thêm ip32 cloud vào như trên hình 13 đổi tên thành internet làm mạng công cộng internet

hình 14chọn cách nối dây (link) tương ứng từ router đến cụm máy tính ở thành phố tương ứng như hình 14 trên.

hình 15

Chọn cáp nối internet tới các router, và giữa router server với server như trên hình 15.

hình 16Click phải chuột vào Application config chọn Edit Attributes xuất hiện bảng như hình 16

Application Definitions với giá trị value là default như hình 17 dưới

hình 17Nhấn ok Application config này dùng để cấu hình các loại dịch vụ bao gồm

Database, Email, và Web (Http)

hình 18

Ở hình 18 trên Click phải chuột vào Profile config chọn Edit Attributes xuất hiện bảng hình 19 bên dưới ở phần hình trên cùng, chọn mục

Profile Configuration với giá trị tab value là Edit

sẽ xuất hiện bảng ở hình 19 phần hình dưới cùng

hình 19

Chọn 1 trong Rows xuất hiện bảng ở hình 20 bên dưới (phần hình dưới cùng)

hình 20

Ở mục Profile Name chọn edit và đặt với tên là city user như hình 20 trên Chọn tabApplications, nhấn vào None chọn Edit sẽ xuất hiện bảng giống hình 21 bên dưới

hình 21

hình 22

Chọn 3 ở Rows (hình 22 trên) để thêm 3 loại dịch vụ database, email, web(http) sẽ xuất hiện bảng như hình 22 dưới ở tab Name

hình 22Chọn vào từng dòng ở mục Name hình 22

Dòng 1: chọn Database Access (Heavy)

Dòng 2: chọn Email (Heavy)

Dòng 3: chọn Web Browsing (Heavy)

nhấn ok để trở lại bảng giống hình 23 dưới

hình 23Chọn ở mục Operation Mode là Simultaneous và ở mục Repeatability là Unlimited giống như hình 23 trên nhấn ok- ok.

hình 24Bước tiếp theo click phải chuột vào server – Edit Attributesn (hình 24 trên) sẽ xuất hiện bảng giống hình 25 dưới

hình 25

Ở bên tab Attribute chọn Application: Supported Services bên tab value tương ứngchọn là All để hỗ trợ cho tất cả các dịch vụ nhấn ok

hình 26click phải chuột vào 1 cụm máy tính và chọn Select Similar Nodes (giống hình 26trên) để chọn luôn các cụm máy tính tương tự còn lại Click phải chuột vào 1 cụmmáy tính chọn Edit Attributes để cấu hình thuộc tính, xuất hiện bảng giống hình 27bên dưới

hình 27

Tìm đến mục Application: Supported Profiles chọn giá trị là edit sẽ xuất hiện bảng giống hình 28 dưới

hình 28chọn 1 ở mục Rows giống hình 28 trên và chọn tiếp mục Profile Name cũng nhưhình 28 trên chọn edit và đặt tên là City Users, nhấn Ok

check dấu vào Apply Changes to Selected Objects Để chọn cấu hình thuộc tínhgiống nhau cho 2 cụm máy tính Marseille và Paris), nhấn ok

Bước tiếp theo, ta cấu hình thống kê cho toàn hệ thống Ko_Firewall

Click phải chuột ra vùng trống chọn Choose Individual Statistics để cấu hình xuấthiện 1 bảng giống hình 29 ở dưới

chọn lần lượt giống hình trên:

+ DB Query: check vào Traffic Received (bytes/sec): lưu lượng nhận được

+ Email: check vào Traffic Received (bytes/sec): lưu lượng nhận đơn vị byte trêngiây

check vào Traffic Received (packets/sec): lưu lượng nhận đơn vị là gói dữliệu trên 1 giây

check vào Traffic Sent (bytes/sec): lưu lượng gửi đơn vị là bytes trên 1 giây.+ HTTP: check vào Page Response Time(seconds): lưu lượng thời gian hồi đáp đơn

Ở hình 30 trên chọn như sau:

mục name: sữa ở tab Value với tên là: firewall

mục model: chọn bên tab Value chọn là ethernet2 slip 8 firewall

hình 31

Đến đây ta hoàn tất kịch bản thứ 2 hệ thống có tường lửa Co_Firewall nhưng chưa tinh chỉnh gì hết (hình 31)

III.4.3 Kịch bản thứ 3: có firewall và thự c hiện chính sách bảo mật cấm

quyền truy xuất dịch vụ : database và email Nhân bản kịch bản thứ 2 hệ thống có tường lửa với tên Co_Firewall thành kịch bản thứ 3 hệ thống

có tên là Co_Firewall_block_data_email

Vào menu: chọn Scenarios – Duplicate Scenario

Click phải chuột vào firewall chọn Edit-Attributes sẽ xuất hiện giống hình 33 ở dưới

hình 33Tìm đến mục Proxy Server Information nhấp vào ( ) để mở tiếp 1 bảng giống hình

34 bên dưới

hình 34

Ở mục Proxy Server Deployed chọn thành No tương ứng ở mục Application là Database và Email giống như hình 34 trên Nhấn Ok – Ok

Bước cuối cùng là cài đặt quản lý kịch bản hệ thống và chạy mô phỏng:

Từ menu vào Scenarios – Manages Scenarios và chọn giống hình 35 bên dưới

XEM LẠI KẾT QUẢ MÔ PHỎNG VÀ SO SÁNH:

hình 36click chuột phải vào vùng trống, chọn Compare Results như hình 36 trên, sẽ xuất hiện hình 37 ở dưới

hình 37Kết quả mô phỏng qua các biểu đồ lưu lương như hình dưới

Dịch vụ Database Query:

hình 38check vào Traffic Received (bytes/sec) và nhấn nút Show

màu xanh là kịch bản 1 :Ko_Firewall

màu đỏ là kịch bản 2: Co_Firewall

màu xanh lá cây là kịch bản 3: Co_Firewall_block_data_email

Phân tích Lưu lượng nhận được của database query ( Traffic Received):

• Lưu lượng truy xuất của kịch bản thứ 3 (Co_Firewall_block_data_email) màu xah lá cây nằm sát bên dưới cùng tức là không có lưu lượng nhận được:

do thực hiện chính sách bảo mật không cho quyền nhận lưu lượng vào bên trong

• Còn kịch bản thứ 1(Ko_Firewall) màu xanh dương và kịch bản thứ

2(Co_Firewall) màu đỏ thì dao động lên xuống như hình trên, lưu lượng nhận vào được cho phép

Dịch vụ Email:

Check tương tư vào Email như trên và chọn Show, ta được bảng sau như hình 40 dưới

hình 40Cũng giống như Dịch vụ Database Query ở trên: Lưu lượng nhận (Traffic Received(bytes/sec), Lưu lượng nhận (Traffic Received (packets/sec), lưu lượng gửi (TrafficSent (byte/sec) thì ở kịch bản thứ 3 (Co_Firewall_block_data_email) màu xanh lá cây nằm sát bên dưới cùng biểu hiện là không có lưu lượng nhận cũng như lưu lượng gửi,

Kịch bản thứ 1 (Ko_Firewall) và kịch bản thứ 2 (Co_Firewall) thì lưu lượng nhận

và lưu lượng gửi dao động lên xuống như hình trên, tức là có lưu lượng ra vào

Check vào tương tự như hình trên vào HTTP, ta được bảng sau như hình 41 bên dưới

hình 41

Chú ý:

Thời gian hồi đáp (Page Respone Time), với kịch bản 3

(Co_Firewall_block_data_email) có lưu lượng là thấp nhất do thực hiện chính sách bảo mật nên độ kiểm soát cao nhất, ngăn chặn những lưu lượng không cần thiết vào(ví như một cánh cửa được khép lại và có thêm người gác cửa, nên kiểm soát cao nhất )

còn Co_Firewall: lưu lượng có phần cao hơn Co_Firewall_block_data_email là do quyền kiểm soát kém hơn (được ví như cánh cửa được khép lại, nhưng lưu lượng vẫn vào được nhưng hẹp do kiểm soát thấp hơn )

Ko_Firewall thì do không có bức tường ngăn chặn, nên lưu lượng được thông thoáng ra vào nhiều hơn hết (kiểm soát không có)

III.4.4 Kịch Bản thứ 4 :

Tạo VPN, ta nhân bản từ kịch bản 3 (Co_Firewall_block_data_email) Từ menu chọn Scenarios –> Duplicate Scenarios

Hình 42đổi tên thành firewall_vpn

hình 43chọn vào dây ở hình 43 trên nhấn delete để xoá cáp nối giữa firewall và server

Chọn ethernet 4 slip8 gtwy và đưa vào bản đồ và đặt tên là Router Main Server Chọn dây cáp và nối cáp như hình 44 dưới.

hình 44

hình 45chọn IP VPN Config và đưa vào bản đồ như hình 45 trên và đổi tên thành vpn

click chuột phải vào vpn và chọn Edit Attributes để cấu hình thuộc tính cho vpn sẽ

xuất hiện 1 bảng như hình dưới

Hình 46

Ở mục VPN Configuration chọn Edit ở cột value sẽ xuất hiện 1 bảng sau:

Hình 47

Đến đây ở cột Remote Client List : chọn cụm máy tính có router kết nối với router main server thành đường hầm mạng riêng ảo (VPN tunnel) đó là cụm máy tính thành phố Marseille Sau đó Nhấn vào None ở cột Remote Client List chọn edit một bảng con sẽ xuất hiện, như hình 48 dưới

hình 48chọn Rows là 1 nhấn vào None chọn Edit và đặt tên ở cột Client Node Name (Tên thiết bị máy trạm) là Marseille giống hình 48 trên Nhấn Ok-Ok-Ok

Sau khi cấu hình thuộc tính cho vpn xong, bước tiếp theo cấu hình thống kê cho cụm máy ở thành phố Paris, click chuột phải vào cụm máy Paris chọn Choose Individual Statistics (cấu hình thống kê), và check vào tương ứng giống hình 49 dưới

hình 49

Tương tự làm giống như vậy ở cụm máy tính thành phố Marseille có router kết nốivpn tới router main server, Trong Choose Individual Statistics (cấu hình thống kê)cũng check chọn như đối với Paris

Tới đây đã xây dựng xong kịch bản 4 có firewall_vpn

Bước tiếp theo, sẽ cài đặt quản lý kịch bản và chạy mô phỏng như hình dưới

Chọn Scenarios – Manage Scenarios

Xuất hiện bảng ở dưới, và chọn giống như hình dưới

Hình 50Nhấn Ok để chạy mô phỏng

Chạu xong nhấn close để hoàn tất

Click chuột phải trên vùng trống chọn compare result để mở bảng so sánh kết quả

Hình 51Kết quả thu được là:

Dịch vụ Database

_ Cụm máy tính Marseille (Có VPN):

+ Lưu lượng nhận được database là:

Hình 52Còn bên Paris do không có kết nối VPN nên không có lưu lượng

Tại Marseille do sử dụng Đường hầm Firewall_VPN kết nối riêng nên nhận được gói tin từ server Còn tại Paris không sử dụng kết nối riêng Firewall_VPN nên Database bị chặn và không nhận được dữ liệu.

Dịch vụ Email

(Marseille và Paris) cũng vậy ở hình 54 và hình 55

Hình 54

hình 55

hình 56

hình 57

Dịch vụ Email thành phố Paris thì không có đường hầm kết nối firewall_vpn nên không có lưu lượng nhận và gửi (hình 56 và hình 57).

Dịch vụ Web (HTTP):

Nhận xét:

Do không có cấm quyền firewall_vpn nên cả hai cụm máy tính Los Angles và Parisđều có lưu lượng gửi và nhận , cũng như có lưu lượng thời gian hồi đáp như các hình 58, 59 và hình 60 ở dưới

hình 58

hình 59

Hình60Bên Paris

hình 62

hình 63 -

END