TÌM HIỂU MỘT SỐ KỸ THUẬT BẢO MẬT CỦA THIẾT BỊ TƯỜNG LỬA ASTARO VÀ THỰC HIỆN MỘT SỐ CÀI ĐẶT, CẤU HÌNH ỨNG DỤNG BẢO MẬT.BÁO CÁO TỐT NGHIỆP Sinh viên thực hiện: TRẦN THANH TUẤN Giảng viên h
Trang 1TÌM HIỂU MỘT SỐ KỸ THUẬT BẢO MẬT CỦA THIẾT BỊ TƯỜNG LỬA ASTARO VÀ THỰC HIỆN MỘT SỐ CÀI ĐẶT, CẤU HÌNH ỨNG DỤNG BẢO MẬT.
BÁO CÁO TỐT NGHIỆP
Sinh viên thực hiện: TRẦN THANH TUẤN Giảng viên hướng dẫn: TS.VÕ XUÂN THỂ
ĐẠI HỌC QUỐC TẾ HỒNG BÀNG
KHOA CÔNG NGHỆ THÔNG TIN
Trang 2LỜI NÓI ĐẦU
một số doanh nghiệp vừa và nhỏ hiện nay rất cần thiết.
bảo mật của thiết bị tường lửa astaro và thực hiện một số cài đặt, cấu hình ứng
dụng bảo mật” rất là thiết thực với nhu
cầu của doanh nghiệp
Trang 3LỜI NÓI ĐẦU
Phần báo cáo Đồ án tốt nghiệp
Trang 4GIỚI THIỆU
- Môi trường internet phổ biến nhưng khá nguy hiểm cần một sản phẩm bảo vệ
hệ thống
- Hãng Astaro có khá nhiều dòng sản phẩm bảo mật
Trang 5LÝ THUYẾT CƠ BẢN MẠNG MÁY TÍNH
Trang 6LÝ THUYẾT CƠ BẢN MẠNG MÁY TÍNH
Phân loại mạng theo qui
mô:
Trang 7LÝ THUYẾT CƠ BẢN MẠNG MÁY TÍNH
Phân loại mạng theo quan
hệ:
- Peer – to – peer
- Nền máy chủ
Trang 8LÝ THUYẾT CƠ BẢN MẠNG MÁY TÍNH
Giao thức mạng:
Internet Protocol (TCP/IP)
(SMTP)
Trang 10AN NINH MẠNG
Hình thức tấn công:
− Tấn công TCP SYN FLOOD
− Tấn công UDP SYN FLOOD
− Tấn công ICMP SYN FLOOD
− PORT SCANNING
− NETWORK SCANNING
− VULNERABILITY SCANNING
Trang 13AN NINH MẠNG
Trang 14AN NINH MẠNG
Chính sách truy cập từ người dùng
Trang 15AN NINH MẠNG
Chính sách truy cập từ IP mạng
Trang 16AN NINH MẠNG
Chính sách sử dụng Web
Trang 17AN NINH MẠNG
Chống tấn công Flooding
Trang 18AN NINH MẠNG
Chống SCAN PORT
scan port Điểm số tối đa là 21 điểm trong 300ms Nếu vượt quá sẽ bị hủy tính hiệu.
1024: 1 điểm
Trang 19AN NINH MẠNG
Sử dụng mạng riêng ảo VPN
Trang 20− Độ đáp ứng của thiết bị bảo mật
− Số lượng các cuộc tấn công bị
phát hiện.
Trang 21ASTARO VÀ ỨNG DỤNG BẢO MẬT
Xác thực người dùng bằng Astaro Agent Authentication:
− Trước khi thiết lập chính sách
− Sau khi thiết lập chính sách
Trang 22ASTARO VÀ ỨNG DỤNG BẢO MẬT
Kiểm tra tường lửa với IP mạng:
− Sau khi thiết lập chính sách
Máy tính có địa chỉ 172.16.0.11 không thể Ping đến địa chỉ 192.168.3.53
Trang 23ASTARO VÀ ỨNG DỤNG BẢO MẬT
Kiểm tra truy cập Web:
2011:11:27-20:13:58 asg120 httpproxy[8694]:
id="0060" severity="info" sys="SecureWeb"
sub="http" name="web request blocked,
forbidden category detected" action="block"
method="GET" srcip="172.16.0.11" dstip=""
user="internet" statuscode="403" cached="0"
profile="REF_HttProLanOff (LAN Off)"
filteraction="REF_HttCffInterAllow (Internet
Allow)" size="6475" request="0x95df448"
url="http://webgame.vn/" exceptions=""
Trang 24ASTARO VÀ ỨNG DỤNG BẢO MẬT
2011:11:28-10:57:33 asg120 ulogd[4916]: id="2103"
severity="info" sys="SecureNet" sub="ips"
name="SYN flood detected" action="SYN flood"
Trang 25ASTARO VÀ ỨNG DỤNG BẢO MẬT
Kiểm tra chống scan port:
Trang 26ASTARO VÀ ỨNG DỤNG BẢO MẬT
Đánh giá thử nghiệm:
Việc đánh giá tiến hành bằng sách
so sánh kết quả giữa lúc ban đầu
chưa gắn thiết bị tường lửa Astaro
và sau khi gắn thiết bị tường lửa
Astaro.
Trang 27ASTARO VÀ ỨNG DỤNG BẢO MẬT
Đánh giá thử nghiệm:
Ban đầu: từ máy tính trong mạng
truy cập vào máy tính khác.
Trang 28ASTARO VÀ ỨNG DỤNG BẢO MẬT
Đánh giá thử nghiệm:
Ban đầu: từ máy tính trong mạng
scan port máy tính khác.
Trang 29RAM NETWORK HARD DISK
Trạng thái không làm việc 0~2% 225MB 0% 26%
Tiến hành tấn công với 4PC
trong cùng mạng từ 9AM –
100% ~256MB 35Mbps ~ 50Mbps 29%
Trang 30ASTARO VÀ ỨNG DỤNG BẢO MẬT
Đánh giá thử nghiệm:
Sau khi gắn Astaro: từ máy tính bên ngoài và nội bộ dùng phần mềm tấn công máy tính khác.
Used
RAM NETWORK HARD DISK
Trạng thái không làm việc 0~2% 225MB 0% 31%
Tiến hành tấn công với 4PC
trong cùng mạng từ
11’30AM – 13’30PM
0~15% ~235MB 0Mbps ~ 5Mbps 29%
Trang 31
ASTARO VÀ ỨNG DỤNG BẢO MẬT
Biểu đồ băng thông mạng trước
và sau khi gắn thiết bị Astaro:
Trang 32ASTARO VÀ ỨNG DỤNG BẢO MẬT
Biểu đồ dung lượng truyền trước
và sau khi gắn thiết bị Astaro:
Trang 33ASTARO VÀ ỨNG DỤNG BẢO MẬT
Biểu đồ CPU sử dụng trước và sau khi gắn thiết bị Astaro:
Trang 34ASTARO VÀ THIẾT BỊ KHÁC
So sánh về tính năng bảo mật:
ASG Forefront TMG MFE Nổi bật
Tường lửa Lọc gói, nhận diện
trạng thái và lọc mức ứng dụng
Lọc gói, nhận diện trạng thái, lọc mức ứng dụng – có số lượng mẫu ít.
Lọc gói, nhận diện trạng thái, lọc mức ứng dụng
MFE: Đầy đủ tính năng của tường lửa mức ứng dụng (layer 7) và có số lượng mẫu nhận diện nhiều nhất.
Hệ thống
chống xâm
nhập (IPS)
8,000 mẫu và chính sách nhận diện.
Tự động cập nhật các chính sách mới
Hệ thống nhận diện mạng
(không phải IPS)
10,000 mẫu và chính sách nhận diện.
Tự động cập nhật các chính sách mới
MFE, ASG:
Nhiều mẫu tấn công
Wireless
Security
Có Không Không ASG
Trang 35 Tự động cấu hình cho người dùng, sử dụng User Portal
L2TP, PPTP IPsec ASG: Bảo mật tốt
hơn, triển khai nhiều lựa chọn khác nhau Hỗ trợ tốt cho Exchange Email Server
VPN
site-to-site
Ipsec, SSL, Astaro RED
linh hoạt với
Trang 36Có thể đặt lịch
tự động cài bản cập nhật.
Tải phiên bản cập nhật thủ công.
Không thể nâng cấp phiên bản.
Tải bản cập nhật thủ công.
Khó khăn khi nâng cấp phiên bản.
ASG: Dễ dàng cập nhật bản nâng cấp
