Thiết kế hệ thống mạng và một số giải pháp bảo mật cho tập đoàn an khánh

Bản báo cáo hồi tháng 1/2009 của Trung tâm Nghiên cứu chiến lược vàquốc tế CSIS nói rằng những tên tình báo công nghiệp, gián điệp nước ngoài,tội phạm internet, và các loại k

Trang 1

MỤC LỤC

LỜI CẢM ƠN 2

LỜI CAM ĐOAN 3

MỤC LỤC 4

DANH MỤC TỪ VIẾT TẮT 4

LỜI MỞ ĐẦU 4

CHƯƠNG I: TỔNG QUAN VỀ AN NINH MẠNG MÁY TÍNH 4

1.1 Khái niệm An Ninh Mạng 4

1.2 Tầm quan trọng của An Ninh Mạng 4

1.3 Những mối đe dọa đến vấn đề An Ninh Mạng 4

1.3.1 Unstructured threats – Các mỗi đe dọa không có cấu trúc 4

1.3.2 Structured threats – Các mối đe dọa có cấu trúc 4

1.3.3 External threats – Các mối đe dọa bên ngoài 4

1.3.4 Internal threats – Các mối đe dọa bên trong 4

1.4 Những điểm yếu trong vấn đề bảo mật 4

1.4.1 Những điểm yếu trong kỹ thuật 4

1.4.1.1 Những điểm yếu trong giao thức TCP/IP 4

1.4.1.2 Những điểm yếu trong Hệ điều hành 4

1.4.1.3 Những điểm yếu trong thiết bị mạng 4

1.4.2 Những điểm yếu trong cấu hình 4

1.4.2.1 Tài khoản người dùng không được bảo mật 4

1.4.2.2 Tài khoản hệ thống có mật khẩu dễ đoán 4

1.4.2.3 Các dịch vụ Internet bị cấu hình sai 4

1.4.2.4 Những cài đặt mặc định trong sản phẩm không được bảo mật 4

1.4.2.5 Cấu hình sai thiết bị mạng 4

1.4.3 Những điểm yếu trong chính sách bảo mật 4

1.5 Các cách thức tấn công mạng 4

1.5.1 Tấn công thăm dò 4

1.5.1.1 Packet sniffers 4

1.5.1.2 Port scans và ping sweeps 4

1.5.1.3 Internet information queries 4

1.5.2 Tấn công truy cập 4

Trang 2

1.5.2.1 Password attack 4

1.5.2.2 Trust exploitation 4

1.5.2.3 Port redirection 4

1.5.2.4 Man in the middle attack 4

1.5.3 Tấn công từ chối dịch vụ 4

1.5.4 Worms, Virus và Trojan Horses 4

CHƯƠNG II: GIỚI THIỆU MỘT SỐ CÔNG NGHỆ VÀ THIẾT BỊ BẢO MẬT 4

2.1 Giới thiệu chung về Firewall 4

2.1.1 Khái niệm và phân loại Firewall 4

2.1.2 Phương thức hoạt động của Firewall 4

2.1.3 Tổng quan về Cisco PIX Firewall 4

2.1.3.1 Đặc tính và chức năng của PIX firewall 4

2.1.3.2 Các dòng PIX firewall của Cisco 4

a) PIX Firewall 501 4

b) PIX Firewall 506E 4

c) PIX Firewall 515E 4

d) PIX Firewall 525 4

e) PIX Firewall 535 4

2.1.3.3 Nguyên tắc hoạt động của PIX Firewall 4

2.1.4 Tổng quan về Cisco ASA - Adaptive Security Appliance 4

2.1.4.1 Đặc điểm của Cisco ASA 4

2.1.4.2 Các dòng Cisco ASA phổ biến 4

a) Cisco ASA 5505 4

b) Cisco ASA 5510 4

c) Cisco ASA 5520 4

d) Cisco ASA 5540 4

e) Cisco ASA 5550 4

f) Cisco ASA 5580-20 4

g) Cisco ASA 5580-40 4

2.2 Tổng quan về VPN – Virtual Private Network 4

2.2.1 Khái niệm và chức năng của VPN 4

2.2.2 Các dạng kết nối của mạng riêng ảo VPN 4

2.2.2.1 Truy cập VPN từ xa (Remote Access VPN) 4

Trang 3

2.2.2.2 Kết nối Site-to-Site VPN (LAN-to-LAN) 4

2.2.3 Các giao thức trong VPN 4

2.2.3.1 Giao thức chuyển tiếp lớp 2 (L2F - Layer 2 Forwarding Protocol) 4

2.2.3.2 Giao thức PPTP (Point-to-Point Tunneling Protocol) 4

2.2.3.3 Giao thức định đường hầm lớp 2 (L2TP- Layer 2 Tunneling Protocol) .4 2.2.3.4 Bộ giao thức IPSec (IP Security Protocol) 4

a) Cấu trúc bảo mật của IPSec 4

b) Các thành phần bên trong IPSec 4

c) Các vấn đề còn tồn tại trong IPSec 4

CHƯƠNG III: THIẾT KẾ HỆ THỐNG MẠNG VÀ MỘT SỐ GIẢI PHÁP BẢO MẬT CHO TẬP ĐOÀN AN KHÁNH 4

3.1 Giới thiệu tổng thể 4

3.2 Hiện trạng hệ thống mạng của Tập Đoàn An Khánh 4

3.3 Những yêu cầu đối với hệ thống mạng mới 4

3.4 Mô hình mạng và hệ thống bảo mật đề xuất 4

3.4.1 Mô hình mạng tại các chi nhánh 4

3.4.2 Mô hình bảo mật dự kiến của Tập Đoàn 4

3.5 Mô phỏng mô hình thiết kế 4

3.5.1 Các phần mềm sử dụng trong mô phỏng 4

3.5.1.1 GNS3- Graphical Network Simulate 3 4

3.5.1.2 VMware Workstation 4

3.5.1.3 Virtual PC Simulator 4

3.5.1.4 Cisco Adaptive Security Device Manager 4

3.5.2 Triển khai mô phỏng 4

3.5.3 Kết quả 4

KẾT LUẬN 4

TÀI LIỆU THAM KHẢO 4

NHẬN XÉT CỦA GIÁO VIÊN 4

Trang 4

DANH MỤC TỪ VIẾT TẮT

3DES Triple Data Encryption Standard Chuẩn mã hóa dữ liệu 3

ACL Access Control List Danh sách điều khiển truy cậpCHAP Challenge-Handshake

Authentication Protocol

Giao thức xác thực thử thách - bắt tay

DDoS Distributed Denial of Service Từ chối dịch vụ được phân tánDES Data Encryption Standard Chuẩn mã hóa dữ liệu

DNS Domain Name System Hệ thống tên miền

DoS Denial of Service Từ chối dịch vụ

ESP Encapsulation Security Payload Đóng gói tải tin an toàn

FTP File Transfer Protocol Giao thức truyền File

DHCP Dynamic Host Configuration

Protocol

Giao thức cấu hình host động

HTTP Hypertext Transfer Protocol Giao thức truyền siêu văn bảnICMP Internet Control Message Protocol Giao thức thông điệp điều khiển

mạngIDS Intrusion Detection System Hệ thống phát hiện xâm nhậpIKE Internet Key Exchange Trao đổi khóa

IPS Intrusion Prevention System Hệ thống ngăn chặn xâm nhậpIPSec Internet Protocol Security Bảo mật giao thức mạng

L2F Layer 2 Forwarding Protocol Giao thức chuyển tiếp lớp 2

L2TP Layer 2 Tunneling Protocol Giao thức đường hầm lớp 2

MD5 Message-Digest Algorithm 5 Giải thuật Tiêu hóa tin 5

Trang 5

NAT Network address translation Dịch địa chỉ mạng

NIC Network Interface Card Cạc giao tiếp mạng

PAP Password Authentication Protocol Giao thức xác thực mật khẩuPAT Port Address Translation Dịch địa chỉ cổng

PKI Public Key Infrastructure Hệ thống mã hóa trên cơ sở mã

công khaiPPP Point-to-Point Protocol Giao thức điểm – điểm

PPTP Point-to-Point Tunneling Protocol Giao thức đường hầm điểm – điểmSMTP Simple Mail Transfer Protocol Giao thức truyền tải thư tín đơn

giảnSNMP Simple Network Management

Protocol

Giao thức quản lý mạng đơn giản

VLAN Virtual Local Area Network Mạng LAN ảo

VPN Virtual Private Network Mạng riêng ảo

Trang 6

Lời mở đầu

Như chúng ta đã biết, ngày nay Công nghệ thông tin là một ngành khôngthể thiếu trong sự phát triển của một xã hội hiện đại Chỉ với một chiếc máy tínhđược nối mạng Internet toàn cầu, mọi người có thể liên lạc, trao đổi thông tinvới: gia đình, bạn bè, đối tác làm ăn…ở khắp mọi nơi trên thế giới

Chúng ta không thể phủ nhận vai trò hết sức quan trọng của Internet đốivới cuộc sống của con người Nhưng Internet phát triển kéo theo những mối lo vềloại hình tội phạm công nghệ cao đang hoành hành và đang có xu thế phát triểnmạnh mẽ Những kẻ này đã lợi dụng Internet để tấn công vào hệ thống mạng củacác tổ chức với những mục đích khác nhau nhưng đã gây ra ít nhiều tổn thất cho

họ Vì vậy chúng ta cần phải xây dựng một hệ thống an ninh mạnh mẽ và có mộtchính sách bảo mật phù hợp để ngăn chặn những rủi ro có thể xảy ra

Sau thời gian thực tập ở Tập đoàn An Khánh, được tiếp xúc với hệ thốngmạng của Tập đoàn và nhận thấy khả năng bảo mật thô sơ của hệ thống mạng nơi

đây Chính vì vậy em đã quyết định lựa chọn đề tài: “Thiết kế hệ thống mạng và

một số giải pháp bảo mật cho Tập đoàn An Khánh” Đồ án gồm 3 chương cụ

thể như sau:

 Chương I: Tổng quan về an ninh mạng máy tính

 Chương II: Giới thiệu một số công nghệ và thiết bị bảo mật

 Chương III: Thiết kế hệ thống mạng và một số giải pháp bảo mật cho Tập

đoàn An Khánh

Do còn hạn chế về một số mặt nên Đồ án không tránh khỏi những thiếusót Vì vậy em rất mong được Thầy, Cô và các bạn đóng góp ý kiến để Đồ án cóthể được hoàn thiện và mở rộng hơn nữa

Trang 7

CHƯƠNG I: TỔNG QUAN VỀ AN NINH MẠNG

MÁY TÍNH

1.1 Khái niệm An Ninh Mạng

Có những lúc, ví dụ như khi một nhân viên rời văn phòng về nhà, kết thúcmột ngày làm việc, người nhân viên đó sẽ bật hệ thống cảnh báo an ninh và đóngcửa để bảo vệ văn phòng và thiết bị, tài liệu mật quan trọng của mình có trongđó Mạng máy tính cũng đỏi hỏi cùng một mức độ bảo vệ như vậy

Các công nghệ An ninh Mạng bảo vệ mạng của chúng ta trước việc đánhcắp và sử dụng sai mục đích thông tin kinh doanh bí mật và chống lại tấn côngbằng mã độc từ virus và sâu máy tính trên mạng Internet Nếu không có An ninhMạng được triển khai, các công ty sẽ gặp rủi ro trước sự xâm nhập trái phép, sựngừng trệ hoạt động của mạng, sự gián đoạn dịch vụ, sự không tuân thủ quy địnhvà thậm chí là các hành động phạm pháp nữa

1.2 Tầm quan trọng của An Ninh Mạng

Internet ngày nay đã trở thành mạng dữ liệu công cộng làm cho việc liênlạc cá nhân, công việc trở nên thuận tiện hơn rất nhiều Khối lượng trao đổi quaInternet được tăng theo số mũ mỗi ngày Ngày càng nhiều các công ty, các chinhánh ngân hàng thông qua mạng Internet để liên lạc với nhau

Rõ ràng mạng Internet đã làm thay đổi cuộc sống của con người, làm thayđổi công việc kinh doanh làm cho nó trở nên dễ dàng hơn Nhưng đồng thời vớilợi ích to lớn của nó, mạng Internet cùng với các công nghệ liên quan đã mở ramột cánh cửa làm tăng số lượng các vụ tấn công vào những công ty, cơ quan vàcả những cá nhân, nơi lưu giữ những dữ liệu nhạy cảm như bí mật Quốc gia, sốliệu tài chính, số liệu cá nhân Hậu quả của các cuộc tấn công này có thể chỉ làphiền phức nhỏ, nhưng cũng có thể làm suy yếu hoàn toàn, các dữ liệu quantrọng bị xóa, sự riêng tư bị xâm phạm, và chỉ sau vài ngày, thậm chí vài giờ sau,toàn bộ hệ thống có thể bị tê liệt hoàn toàn

Trang 8

Quả thực có thể nói rằng, không đâu lại mất an toàn như trên Internet.Theo những thống kê của các tổ chức an ninh mạng uy tín thì trong năm 2008 ítnhất 3 lần, tất cả người sử dụng Internet trên thế giới đã bị đặt trong tình huốngnguy hiểm và người sử dụng Việt Nam cũng nằm trong số đó Điển hình là sự cốvề lỗ hổng DNS Cache Poisoning Khi lỗi này chưa được vá, kẻ xấu có thểchuyển hướng truy nhập vào nơi nào chúng muốn và lừa đảo bất kỳ ai Tình hìnhnguy hiểm tới mức, hầu như tất cả các nhà sản xuất phần cứng hay phần mềmdanh tiếng của thế giới như Sun, Cisco, Microsoft, Apple đều phải tham giaphối hợp khắc phục Hai lần khác là việc xuất hiện những lỗ hổng liên quan đến

hệ điều hành Windows Trong cả hai sự cố, Microsoft đều phải đưa ra bản vákhẩn cấp, không theo định kỳ như thông lệ

Bản báo cáo hồi tháng 1/2009 của Trung tâm Nghiên cứu chiến lược vàquốc tế (CSIS) nói rằng những tên tình báo công nghiệp, gián điệp nước ngoài,tội phạm internet, và các loại khác "đã xâm nhập vào mạng máy tính được bảo vệmột cách lỏng lẻo của nước Mỹ và lấy đi nhiều thông tin quý giá" Những "thôngtin" CSIS nêu ra bao gồm các công nghệ quân sự quan trọng, những tài sản trí tuệquý giá, những bản thiết kế, kế hoạch, quy trình kinh doanh mà người ta phảimất hàng tỉ USD để tạo ra

Năm 2010, sự kiện “quả bom tấn” WikiLeaks (trang Wikileaks.com) donhà báo người Úc Julian Assange đứng đầu liên tục “phát nổ” làm điên đảo giớitài chính, chính trị khi tung ra những thông tin mật, thậm chí tối mật của các tổchức, đủ để chấn động toàn cầu Theo nhận định của nhiều chuyên gia trong vàngoài nước tại hội thảo Security World 2011 vừa tổ chức tại Hà Nội, một trongnhững nguyên nhân chủ yếu dẫn tới tình trạng WikiLeaks có thể thâu tóm đượctrong tay hàng loạt nguồn tài liệu “tối mật” là do tài liệu bị rò rỉ bởi nội bộ nhânviên trong các tổ chức Cụ thể, những nguồn thông tin của ngành ngoại giao Mỹ,của một số ngân hàng, công ty bảo hiểm tại Thụy Sỹ bị “tuồn” ra ngoài đượcngành an ninh của các quốc gia này xác định là do chính những người được nắmquyền truy cập thông tin nhạy cảm như người điều hành, quản lý các thông tin,dữ liệu quan trọng liên quan đến tài chính, nhân sự… tiết lộ

Trang 9

Tại Việt Nam chỉ trong ba tháng đầu năm 2010 đã có trên 300 website bịhacker tấn công Trước đó, năm 2009 có tới trên 1.000 website bị hacker tấncông, tăng hơn gấp đôi so với năm 2008 (461 website) và gấp 3 so với năm 2007(342 website), gây thiệt hại hàng ngàn tỷ đồng cho các doanh nghiệp và cá nhân.Nguyên nhân chính dẫn đến thực trạng trên là các cá nhân, doanh nghiệp sử dụngcác hệ điều hành, phần mềm không có bản quyền còn nhiều Bởi vậy, đã xuấthiện nhiều lỗ hổng an toàn thông tin để hacker, virus lợi dụng tấn công Đồngthời, người dùng còn thường xuyên tải các phần mềm không rõ nguồn gốc từ trênmạng Internet Theo thống kê được Cục Tin học nghiệp vụ (Bộ Công an) đưa ra,trong năm 2010, mặc dù có 47% số doanh nghiệp, cơ quan hành chính được điềutra cho biết đã tăng chi phí đầu tư cho vấn đề an ninh bảo mật thông tin (năm

2009 là 37%), nhưng sự đầu tư này vẫn chưa thực sự hiệu quả, khi mà 2/3 doanhnghiệp cho hay không biết và cũng không có quy trình phản ứng lại các cuộc tấncông máy tính Nguy hiểm hơn là trên 50% tổ chức, cơ quan, doanh nghiệpkhông có hoặc không biết xây dựng các quy trình phản ứng

Qua những thống kê thiệt hại ở trên, cho thấy vấn đề An Ninh Mạng đanglà một vấn đề nóng hổi, cấp bách và cần được các tổ chức, cá nhân đặc biệt quantâm chú trọng nhằm đưa ra các giải pháp hợp lý, tránh được những tổn thất nặngnề không đáng có có thể xảy ra

1.3 Những mối đe dọa đến vấn đề An Ninh Mạng

Về cơ bản có bốn mối đe dọa đến vấn đề An Ninh Mạng:

 Unstructured threats

 Structured threats

 External threats

 Internal threats

Trang 10

Hình 1.1: Những mối đe dọa đối với An Ninh Mạng

1.3.1 Unstructured threats – Các mỗi đe dọa không có cấu trúc

Những mối đe doạ thuộc dạng này được tạo ra bởi những hacker khônglành nghề, họ thật sự không có kinh nghiệm Những người này ham hiểu biết vàmuốn download dữ liệu từ mạng Internet về Họ thật sự bị thúc đẩy khi nhìn thấynhững gì mà họ có thể tạo ra

1.3.2 Structured threats – Các mối đe dọa có cấu trúc

Hacker tạo ra dạng này tinh tế hơn dạng unstructured rất nhiều Họ có kỹthuật và sự hiểu biết về cấu trúc hệ thống mạng Họ thành thạo trong việc làm thếnào để khai thác những điểm yếu trong mạng Họ tạo ra một hệ thống có “cấutrúc” về phương thức xâm nhập sâu vào trong hệ thống mạng

Cả hai dạng structured và unstructured đều thông qua Internet để thực hiệntấn công mạng

1.3.3 External threats – Các mối đe dọa bên ngoài

Xuất phát từ Internet, những người này tìm thấy lỗ hổng trong hệ thốngmạng từ bên ngoài Khi các công ty bắt đầu quảng bá sự có mặt của họ trênInternet thì cũng là lúc các hacker rà soát để tìm kiếm điểm yếu, đánh cắp dữ liệuvà phá huỷ hệ thống mạng

Trang 11

1.3.4 Internal threats – Các mối đe dọa bên trong

Mối đe doạ này thật sự rất nguy hiểm bởi vì nó xuất phát từ ngay trongchính nội bộ, điển hình là nhân viên hoặc bản thân những người quản trị Họ cóthể thực hiện việc tấn công một cách nhanh, gọn và dễ dàng vì họ am hiểu cấutrúc cũng như biết rõ điểm yếu của hệ thống mạng

1.4 Những điểm yếu trong vấn đề bảo mật

Hiểu được những điểm yếu trong bảo mật là một vấn đề hết sức quantrọng để tiến hành những chính sách bảo mật có hiệu quả Hiểu những điểm yếunày giúp bảo mật mạng trước khi bị hacker tấn công

Cisco xác định những điểm yếu trong bảo mật gồm có: những điểm yếu vềkỹ thuật, về cấu hình, về chính sách

1.4.1 Những điểm yếu trong kỹ thuật

Điểm yếu trong kỹ thuật gồm có:

 Trong Giao thức

 Trong Hệ điều hành

 Trong Phần cứng

1.4.1.1 Những điểm yếu trong giao thức TCP/IP

Giao thức TCP/IP là điểm yếu trong bảo mật vì nó được thiết kế như mộttiêu chuẩn mở để giúp cho việc trao đổi thông tin được dễ dàng Điều đó làm chonó trở nên được sử dụng rộng rãi nhưng cũng làm cho nó dễ dàng bị tấn công vìhầu hết mọi người đều thân thuộc với cách thức TCP/IP làm việc

Hai giao thức mà Cisco thích lựa chọn trong chùm giao thức TCP/IPnhưng vốn cố hữu lại không được bảo mật là SMTP (TCP) và SNMP (UDP).Điển hình của kỹ thuật tấn công vào hai giao thức này là IP spoofing, man-in-the-middle và session replay

Trang 12

1.4.1.2 Những điểm yếu trong Hệ điều hành

Trong khi tất cả các hệ điều hành đều có điểm yếu thì Linux và Unix đượcxem như là có ít điểm yếu hơn Windows Nhưng thực tế, hầu hết mọi người dùngcác phiên bản của Windows

1.4.1.3 Những điểm yếu trong thiết bị mạng

Hầu hết các thiết bị mạng như là servers, switchs, routers… đều có điểmyếu trong bảo mật Nhưng có một chính sách tốt cho việc cấu hình và lắp đặt cácthiết bị mạng sẽ làm giảm đi rất nhiều sự ảnh hưởng của điểm yếu này

1.4.2 Những điểm yếu trong cấu hình

Đây là lỗi do nhà quản trị tạo ra Lỗi này do các thiếu sót trong việc cấuhình như là: không bảo mật tài khoản khách hàng, hệ thống tài khoản vớipassword dễ dàng đoán biết, không bảo mật các cấu hình mặc định trên thiết bịhay lỗi trong việc cấu hình thiết bị

1.4.2.1 Tài khoản người dùng không được bảo mật

Mỗi user account cần có usename và password cho mục đích bảo mật Cácusername và password này thường được truyền đi ở dạng clear text trên mạng

Do đó, cần có chính sách bảo mật user account như mã hoá, authentication…

1.4.2.2 Tài khoản hệ thống có mật khẩu dễ đoán

Một điểm yếu trong lỗi cấu hình khác là bảo mật account với password dễdàng bị đánh cắp Để ngăn chặn tình trạng đó, người quản trị cần có chính sáchđể không cho phép một password có hiệu lực mãi mãi mà password này phải cómột thời hạn kết thúc

1.4.2.3 Các dịch vụ Internet bị cấu hình sai

Một vài công ty đã sử dụng địa chỉ thật trên mạng internet để đánh địa chỉcho hosts và servers Điều này tạo nên điểm yếu mà các hacker sẽ dễ dàng khaithác thông tin

Trang 13

Sử dụng giao thức NAT hoặc PAT có thể giải quyết vấn đề trên Sử dụngđịa chỉ riêng (private address) cho phép đánh địa chỉ hosts và servers mà khôngcần dùng địa chỉ thật trên mạng, trong khi địa chỉ thật thì được border router địnhtuyến ra mạng internet Nhưng đó không phải là biện pháp tối ưu Vì port trêninterface kết nối ra internet phải ở trạng thái open cho phép users vào mạnginternet và ngược lại Đó là lỗ hổng trên bức tường lửa (firewall) mà hacker cóthể tấn công vào Cisco Secure Private Internet eXchange (PIX) firewall hoặcCisco ASA Firewall là biện pháp tối ưu tạo ra tính bảo mật tốt cho mạng.

1.4.2.4 Những cài đặt mặc định trong sản phẩm không được bảo mật

Nhiều sản phẩm phần cứng được cung cấp mà không có password hoặc làpassword sẵn có giúp cho nhà quản trị dễ dàng cấu hình thiết bị Nó làm chocông việc dễ dàng hơn, như một số thiết bị chỉ cần cắm vào và hoạt động Điềunày sẽ giúp cho sự tấn công mạng trở nên dễ dàng Do đó, ta cần phải thiết lậpmột chính sách cấu hình bảo mật trên mỗi thiết bị trước khi thiết bị được lắp đặtvào hệ thống mạng

1.4.2.5 Cấu hình sai thiết bị mạng

Lỗi cấu hình thiết bị là một lổ hổng có thể khai thác để tấn công mạng:password yếu, không có chính sách bảo mật hoặc không bảo mật user account…đều là lỗi cấu hình thiết bị Phần cứng và những giao thức chạy trên thiết bị cũngtạo ra lỗ hổng bảo mật trong mạng Nếu không có chính sách bảo mật cho phầncứng và những giao thức này thì hacker sẽ lợi dụng để tấn công mạng

Nếu sử dụng SNMP được thiết lập mặc định thì thông tin có thể bị đánhcắp một cách dễ dàng và nhanh chóng Do đó, phải chắc chắn làm mất hiệu lựccủa SNMP hoặc là thay đổi thiết lập mặc định SNMP có sẵn

1.4.3 Những điểm yếu trong chính sách bảo mật

Chính sách bảo mật diễn tả làm thế nào và ở đâu chính sách bảo mật đượcthực hiện Đây là điều kiện quan trọng giúp việc bảo mật có hiệu quả tốt nhất.Điểm yếu trong chính sách bao gồm: thiếu chính sách bảo mật, quản lý lỏng lẻo,

Trang 14

người quản trị không tuân teo một chính sách bảo mật đã đề ra và không có kếhoạch dự phòng khi sự cố xảy ra

1.5 Các cách thức tấn công mạng

Các hình thức tấn công mạng có thể phân thành 4 dạng như sau:

 Tấn công thăm dò

 Tấn công truy cập

 Từ chối dịch vụ DoS

 Worms, Virus và Trojan Horses

1.5.1 Tấn công thăm dò

Bước đầu hacker ping đến tâm ngắm để xác định địa chỉ IP đích Sau đó,hacker xác định những port cũng như những dịch vụ đang “sống” trên địa chỉ IPđó Từ những thông tin này, hacker bắt đầu xác định được dạng và phiên bản của

hệ điều hành Hacker tiến hành đánh cắp dữ liệu hoặc phá huỷ hệ điều hành củamạng

Các hình thức tấn công dạng này bao gồm: packet sniffers, port scans,ping sweeps, internet information queries

1.5.1.1 Packet sniffers

Là phần mềm ứng dụng dùng một card adapter với promiscuous mode đểbắt giữ tất cả các gói tin gởi xuyên qua một mạng LAN Kỹ thuật này chỉ thựchiện được trên cùng một collision domain Packet sniffers sẽ khai thác nhữngthông tin được truyền ở dạng clear text Những giao thức truyền ở dạng clear textbao gồm: Telnet, FTP, SNMP, POP, HTTP… Bởi vì packet được truyền đikhông được mã hoá như trên, nó có thể bị xử lý bởi bất kỳ ai sử dụng kỹ thuậtpacket sniffers

Những công cụ sau được dùng ngăn cản packet sniffers gồm:authentication, switched infrastructured, antisniffer và cryptography

Trang 15

Authentication: Kỹ thuật xác thực này được thực hiện phổ biến như one-type

password (OTPs) Kỹ thuật này được thực hiện bao gồm hai yếu tố: personalidentification number (PIN) và token card để xác thực một thiết bị hoặc một phầnmềm ứng dụng

Token card là thiết bị phần cứng hoặc phần mềm sản sinh ra thông tin mộtcách ngẫu nhiên (password) tại một thời điểm, thường là 60 giây

Khách hàng sẽ kết nối password đó với một PIN để tạo ra một passwordduy nhất Giả sử một hacker học được password đó bằng kỹ thuật packet sniffers,thông tin đó cũng không có giá trị vì nó đã hết hạn

Switched infrastructured: Kỹ thuật này có thể dùng để ngăn chặn packet sniffers

trong môi trường mạng Ví dụ: nếu toàn bộ hệ thống sử dụng switch ethernet,hacker chỉ có thể xâm nhập vào luồng traffic đang lưu thông tại 1 host mà hackerkết nối đến Kỹ thuật này không làm ngăn chặn hoàn toàn packet sniffer nhưngnó có thể giảm được tầm ảnh hưởng của nó

Antisniffer tools: Là những phần mềm và phần cứng được thiết kế để ngăn chặn

sniffer Thật sự những ứng dụng này không ngăn chặn được hoàn toàn nguy cơ bịsniffer nhưng cũng giống như những công cụ khác, nó là một phần của toàn bộ

hệ thống

Cryptography: Kỹ thuật mã hoá này giúp cho dữ liệu được truyền đi qua mạng

mà không ở dạng clear text Giả sử hacker có bắt được dữ liệu thì cũng không thểgiải mã được thông tin

Phương pháp này có hiệu lực hơn so với việc dò tìm và ngăn cản sniffer.Nếu như một kênh truyền được mã hoá, dữ liệu mà packet sniffer dò tìm đượccũng không có giá trị và không phải là thông tin chính xác ban đầu

Hệ thống mã hóa của Cisco dựa trên kỹ thuật IPSec, giao thức mã hóa

“đường hầm” dựa trên địa chỉ IP Những giao thức gồm: Secure Shell Protocol(SSH) và Secure Socket Layer (SSL)

Trang 16

1.5.1.2 Port scans và ping sweeps

Kỹ thuật này được tiến hành nhằm những mục đích như sau:

 Xác định những dịch vụ trong mạng

 Xác định các host và thiết bị đang vận hành trong mạng

 Xác định hệ điều hành trong hệ thống

 Xác định tất cả các điểm yếu trong mạng, từ đó tiến hành những mụcđích khác

Với kỹ thuật ping sweeps, hacker có thể xác định một danh sách các hostđang sống trong một môi trường Từ đó, hacker sử dụng công cụ port scans xoayvòng qua tất cả các port và cung cấp một danh sách đầy đủ các dịch vụ đang chạytrên host đã tìm thấy bởi ping sweeps Công viêc tiếp theo là hacker xác địnhnhững dịch vụ có điểm yếu và bắt đầu tấn công vào điểm yếu này

Kỹ thuật IDS được dùng để cảnh báo cho nhà quản trị khi córeconnaissance attacks như là port scans va ping sweeps IDS giúp nhà quản trịcó sự chuẩn bị tốt nhằm ngăn cản hacker

1.5.1.3 Internet information queries

DNS queries có thể chỉ ra nhiều thông tin như là người sở hữu mộtdomain nào đó và range địa chỉ nào được ấn định cho domain đó Hacker sửdụng công cụ này để “trinh sát” tìm ra các thông tin trên mạng Cùng với portscans và ping sweeps, sau khi tìm ra được những thông tin đầy đủ như các portactive, các giao thức chạy trên port đó, hacker tiến hành kiểm tra những đặctrưng của các ứng dụng này để tìm ra điểm yếu và bắt đầu tấn công

1.5.2 Tấn công truy cập

Trong phương pháp này, kẻ xâm nhập điển hình tấn công vào mạng nhằm:đánh cắp dữ liệu, giành lấy quyền access, và giành lấy những đặc quyền accesssau này Tấn công truy cập có thể bao gồm:

 Password attack

 Trust exploitation

Trang 17

Hacker có thể làm thay đổi bảng định tuyến trong mạng Điều đó chắcchắn làm tất cả các gói tin sẽ được gởi đến hacker trước khi được gởi đến đíchcuối cùng Trong một vài trường hợp, hacker có thể giám sát tất cả các traffic,

thật sự trở thành một man in the middle.

Ta có thể hạn chế password attack bằng những cách sau:

 Không cho phép user dùng cùng password trên các hệ thống

 Làm mất hiệu lực account sau một vài lần login không thành công Bướckiểm tra này giúp ngăn chặn việc rà soát password nhiều lần

 Không dùng passwords dạng clear text: dùng kỹ thuật OTP hoặc mã hoápassword như đã trình bày phần trên

 Dùng “strong” passwords: Dạng password này dùng ít nhất 8 ký tự, chứacác uppercase letters, lowercase letters, những con số và những ký tự đặcbiệt

Trang 18

1.5.2.2 Trust exploitation

Đây là phương pháp “khai thác tin cậy”, nó dựa vào các mối quan hệ tincậy bên trong mạng Bình thường, nếu hai domain có mối quan hệ tin cậy vớinhau thì cho phép thiết bị domain này có thể access vào domain kia Hacker sẽlợi dụng sơ hở trong mối quan hệ tin cậy nhằm khai thác các sai sót trong mốiquan hệ này để thoả hiệp, tức là để kiểm soát Hệ thống bên ngoài firewall sẽ cómối quan hệ hoàn toàn không tin cậy với hệ thống bên trong firewall

1.5.2.3 Port redirection

Là một dạng khác của trust exploitation attack mà nó sử dụng một hostthoả hiệp nhằm lấy giấy phép ra vào firewall Ta có thể tượng như là một firewallvới 3 interface và mỗi interface kết nối với 1 host Host ở bên ngoài có thể hướngđến host ở public services (thường được gọi là demilitanized zone- DMZ) Vàhost ở public services có thể hướng tới cả host ở bên trong hay bên ngoàifirewall Hacker làm cho host ở public service trở thành 1 host thoả hiệp Hackerđặt một phần mềm tại host này nhằm tạo ra một traffic trực tiếp từ host outsideđến host inside Kết nối này sẽ không thực hiện thông qua firewall Như vậy, hostbên ngoài giành được quyền kết nối với host bên trong thông qua quy trình portredirection tại host trung tâm (public services host)

1.5.2.4 Man in the middle attack

Kỹ thuật man in the middle được thực hiện bao gồm:

 Netword packet sniffers

 Giao thức routing và transport

 Tấn công man in the middle nhằm mục đích:

 Đánh cắp dữ liệu

 Giành lấy một phiên giao dịch

 Phân tích traffic trong mạng

 DoS tấn công từ chối dịch vụ

 Phá hỏng dữ liệu được truyền

Trang 19

Một ví dụ của man in the middle attack đó là: một người làm việc cho ISPvà cố gắng access đến tất cả các gói dữ liệu vận chuyển giữa ISP và bất kỳ mộtmạng nào khác Có thể ngăn chặn hình thức tấn công này bằng kỹ thuật mã hoá:

mã hoá traffic trong một đường hầm IPSec, hacker sẽ chỉ nhìn thấy những thôngtin không có giá trị

1.5.3 Tấn công từ chối dịch vụ

Một cuộc tấn công từ chối dịch vụ (tấn công DoS) hay tấn công từ chốidịch vụ phân tán (tấn công DDoS) là sự cố gắng làm cho tài nguyên của một máytính không thể sử dụng được nhằm vào những người dùng của nó Mặc dùphương tiện để tiến hành, động cơ, mục tiêu của tấn công từ chối dịch vụ là khácnhau, nhưng nói chung nó gồm có sự phối hợp, sự cố gắng ác ý của một ngườihay nhiều người để chống lại Internet site hoặc service (dịch vụ Web) vận hànhhiệu quả hoặc trong tất cả, tạm thời hay một cách không xác định Thủ phạm tấncông từ chối dịch vụ nhằm vào các mục tiêu site hay server tiêu biểu như ngânhàng, cổng thanh toán thẻ tín dụng và thậm chí DNS root servers Một phươngthức tấn công phổ biến kéo theo sự bão hoà máy mục tiêu với các yêu cầu liênlạc bên ngoài, đến mức nó không thể đáp ứng giao thông hợp pháp, hoặc đáp ứngquá chậm Trong điều kiện chung, các cuộc tấn công DoS được bổ sung bởi épmáy mục tiêu khởi động lại hoặc tiêu thụ hết tài nguyên của nó đến mức nókhông cung cấp dịch vụ, hoặc làm tắc nghẽn liên lạc giữa người sử dụng và nạnnhân

Trang 20

Hình 1.2: Tấn công từ chối dịch vụ - DoS

Nhận diện:

US-CERT xác định dấu hiệu của một vụ tấn công từ chối dịch vụ gồm có :

 Mạng thực thi chậm khác thường (mở file hay truy cập Website)

 Không thể dùng một Website cụ thể

 Không có thể truy cập bất kỳ Website nào

 Tăng lượng thư rác nhận được (như một trận "boom mail")

 Không phải tất các các dịch vụ ngừng chạy, thậm chí đó là kết quả củamột hoạt động nguy hại, tất yếu của tấn công DoS

Các phương thức tấn công:

Tấn công từ chối dịch vụ là một loại hình tấn công nhằm ngăn chặn nhữngngười dùng hợp lệ được sử dụng một dịch vụ nào đó Các cuộc tấn công có thểđược thực hiện nhằm vào bất kì một thiết bị mạng nào bao gồm là tấn công vàocác thiết bị định tuyến, web, thư điện tử và hệ thống DNS

Trang 21

Tấn công từ chối dịch vụ có thể được thực hiện theo một số cách nhấtđịnh Có năm kiểu tấn công cơ bản sau đây:

 Nhằm tiêu tốn tài nguyên tính toán như băng thông, dung lượng đĩa cứnghoặc thời gian xử lý

 Phá vỡ các thông tin cấu hình như thông tin định tuyến

 Phá vỡ các trạng thái thông tin như việc tự động reset lại các phiên TCP

 Phá vỡ các thành phần vật lý của mạng máy tính

 Làm tắc nghẽn thông tin liên lạc có chủ đích giữa các người dùng và nạnnhân dẫn đến việc liên lạc giữa hai bên không được thông suốt

Một cuộc tấn công từ chối dịch vụ có thể bao gồm cả việc thực thi malwarenhằm:

 Làm quá tải năng lực xử lý, dẫn đến hệ thống không thể thực thi bất kìmột công việc nào khác

 Những lỗi gọi tức thì trong microcode của máy tính

 Những lỗi gọi tức thì trong chuỗi chỉ thị, dẫn đến máy tính rơi vào trạngthái hoạt động không ổn định hoặc bị treo

1.5.4 Worms, Virus và Trojan Horses

Worm (sâu máy tính) là một loại virus máy tính chuyên tìm kiếm mọi dữliệu trong bộ nhớ hoặc trong đĩa, làm thay đổi bất kỳ dữ liệu nào mà nó gặp.Hành động thay đổi này có thể là chuyển các ký tự thành các con số hoặc là traođổi các byte được lưu trữ trong bộ nhớ Những dữ liệu bị hỏng thường khôngkhôi phục được

Virus hay chương trình virus là một chương trình máy tính được thiết kếmà có thể tự lây lan bằng cách gắn vào các chương trình khác và tiến hành cácthao tác vô ích, vô nghĩa, đôi khi là phá hoại Khi virus phát tác chúng gây nhiềuhậu quả nghiêm trọng: từ những thông báo sai lệch đến những tác động làm lệch

Trang 22

lạc khả năng thực hiện của phần mềm hệ thống hoặc xóa sạch mọi thông tin trênđĩa cứng.

Trojan Horse (con ngựa thành Troa) là một chương trình xuất hiện để thựchiện chức năng có ích, đồng thời có chứa các mã hoặc các lệnh ẩn gây hỏng đốivới hệ máy đang chạy nó

Các phần mềm nguy hiểm trên được cài đặt vào các máy tính nhằm pháhủy, hư hại hệ thống hoặc ngăn chặn các dịch vụ, các truy nhập tới mạng Bảnchất và mức độ nguy hiểm của những mối đe dọa này thay đổi theo thời gian.Những virus đơn giản từ những năm 80 đã trở nên phức tạp hơn và là nhữngvirus phá hủy, là công cụ tấn công hệ thống trong những năm gần đây Khả năng

tự lan rộng của “sâu máy tính” đem lại những mối nguy hiểm mới Như trướcđây chúng cần tới vài ngày hay vài tuần để tự lan rộng thì ngày nay chúng có thểlan rộng trên toàn thế giới chỉ trong vòng vài phút Một ví dụ là “sâu” Slammerbắt đầu từ tháng 01/2003, đã nhân rộng trên toàn thế giới chỉ dưới 10 phút Người

ta cho rằng các thế hệ tiếp theo của virus có thể tấn công chỉ trong vài giây.Những loại “sâu máy tính” và virus này có thể làm được nhiều nhiệm vụ khácnữa, không chỉ đơn thuần là phá hủy tài nguyên mạng, chúng còn được sử dụngđể phá hủy những thông tin đang truyền trên mạng hoặc xóa ổ cứng Vì vậy trongtương lai sẽ có một mối đe dọa rất lớn ảnh hưởng trực tiếp tới cơ sở hạ tầng của

hệ thống mạng

Trang 23

CHƯƠNG II: GIỚI THIỆU MỘT SỐ CÔNG NGHỆ VÀ THIẾT BỊ BẢO MẬT

2.1 Giới thiệu chung về Firewall

2.1.1 Khái niệm và phân loại Firewall

Khi máy tính kết nối với Internet hay trong một môi trường mạng cục bộ,khi đó tất cả các giao tiếp của mạng nội bộ với thế giới bên ngoài coi như là bỏngỏ, mọi thông tin dữ liệu trên máy tính của mạng nội bộ không có sự bảo vệ.Điều này được ví như nhà không có khóa cửa, khi đó mọi đồ đạc trong nhà đềukhông được bảo vệ trước những kẻ có ý nhòm ngó

Dữ liệu trong máy tính cũng như thế, nếu người dùng không bảo vệchúng, không có khóa bảo vệ, không có những chính sách bảo mật, cơ hội bị mấthay thất thoát là điều không thể tránh khỏi Để hạn chế tình trạng này và cũng là

Trang 24

để góp phần làm tăng khả năng bảo mật thì việc xây dựng hệ thống tường lửaFirewall là điều kiện không thể thiếu Vậy Firewall là gì?

Thuật ngữ Firewall theo như trong tài liệu kỹ thuật thiết kế xây dựng: làbức tường để ngăn chặn, hạn chế hoả hoạn từ bên trong ra bên ngoài và ngượclại, nó góp phần đảm bảo an toàn cho kiến trúc công trình, cho nội thất bên trong

Trong Tin học, Firewall là một kỹ thuật được tích hợp vào hệ thống mạngđể chống lại sự truy cập trái phép nhằm bảo vệ các nguồn thông tin nội bộ cũngnhư hạn chế sự xâm nhập vào hệ thống của một số hacker hay gián điệp Firewallđược miêu tả như là hệ phòng thủ bao quanh với các “chốt” kết nối để kiểm soáttất cả các luồng thông tin nhập xuất Firewall có thể theo dõi và khóa truy cập tạicác chốt này

Hình 2.1: Ví dụ về tường lửa trong Tin Học

Các mạng riêng nối với Internet thường bị đe dọa bởi những kẻ tấn công.Để bảo vệ dữ liệu bên trong người ta thường dùng Firewall Firewall cho phépngười dùng hợp lệ đi qua và chặn lại những người dùng không hợp lệ

Firewall có thể là thiết bị phần cứng hoặc chương trình phần mềm hoặckết hợp cả hai Trong mọi trường hợp, nó phải có ít nhất hai giao tiếp mạng, mộtcho mạng mà nó bảo vệ, một cho mạng bên ngoài Firewall có thể là gatewayhoặc điểm nối liền giữa hai mạng, thường là một mạng riêng và một mạng công

Trang 25

cộng như là Internet Các Firewall đầu tiên là các router đơn giản Firewall đượcchia làm hai loại: Firewall cứng và Firewall mềm

 Firewall mềm: Là những Firewall được cài đặt trên Server

 Tính linh hoạt cao: Có thể thêm, bớt các quy tắc, các chức năng

 Firewall mềm hoạt động ở tầng cao hơn Firewall cứng (tầng ứngdụng)

 Firewal mềm có thể kiểm tra được nội dung của gói tin (thông qua các

từ khóa) Ví dụ về Firewall mềm: Zone Alarm, Norton Firewall…

Hình 2.3: Ví dụ về Firewall mềm

2.1.2 Phương thức hoạt động của Firewall

Một Firewall hoạt động dựa trên 3 kỹ thuật sau:

Trang 26

 Packet Filtering: Một tường lửa có thể sử dụng packet filtering để giới

hạn thông tin đi vào một mạng hoặc thông tin di chuyển từ một đoạnmạng này sang một đoạn mạng khác Packet filtering sử dụng danh sáchđiều khiển truy cập (ACLs), nó cho phép một tường lửa xác nhận hay phủnhận việc truy cập dựa trên kiểu của gói tin và các biến khác Phươngpháp này có hiệu quả khi một mạng được bảo vệ nhận gói tin từ một mạngkhông được bảo vệ khác Bất kỳ gói tin nào được gửi đến một mạng đãđược bảo vệ và không đúng với các tiêu chuẩn được định nghĩa bởi ACLsđều bị hủy Một số vấn đề với Packet Filtering:

 Các gói tin bất kỳ có thể được gửi đi mà nó phù hợp với các tiêuchuẩn của ACL thì sẽ đi qua được bộ lọc

 Các gói tin có thể đi qua được bộ lọc theo từng đoạn

 ACL phức tạp là rất khó thực thi và duy trì một cách đúng đắn

 Một số dịch vụ không thể lọc

 Proxy Server: Một Proxy server là một thiết bị tường lửa mà nó quyết

định một gói tin tại lớp cao hơn của mô hình OSI Thiết bị này có giá trịẩn dữ liệu bằng cách yêu cầu người sử dụng giao tiếp với một hệ thốngbảo mật có nghĩa là một proxy Người sử dụng dành quyền truy cập đếnmột mạng bằng cách đi qua một tiến trình, tiến trình đó sẽ thiết lập mộttrạng thái phiên, chứng thực người dùng và chính sách cấp quyền Điềunày có nghĩa là người sử dụng kết nối đến các dịch vụ bên ngoài thôngqua chương trình ứng dụng (proxies) đang chạy trên cổng dùng để kết nốiđến vùng không được bảo vệ phía ngoài Tuy nhiên cũng có những vấn đềvới Proxy server bởi bì nó:

 Tạo cùng một lỗi chung, nó có nghĩa là nếu cổng vào mạng bị sậpthì sau đó toàn bộ mạng cũng bị sập theo

 Nó rất khó để thêm các dịch vụ mới vào tường lửa

 Thực thi các ứng suất chậm

Trang 27

 Stateful Packet Filtering: là một phương pháp được sử dụng bởi thiết bị

tường lửa PIX của Cisco Kỹ thuật này duy trì trạng thái phiên đầy đủ.Mỗi khi một kết nối TCP/UDP được thiết lập cho các kết nối vào hoặc ra.Thông tin này được tập hợp trong bảng Stateful session flow Bảngstateful session flow chứa địa chỉ nguồn và đích, số cổng, thông tin số thứ

tự TCP và thêm thông tin các cờ cho mỗi kết nối TCP/UDP kết hợp vớicác phiên đó Thông tin này tạo nên các đối tượng kết nối và do đó các góitin vào và ra được so sánh với lưu lượng phiên trong bảng stateful sessionflow Dữ liệu được phép qua tường lửa chỉ khi nếu một kết nối thích hợptồn tại đánh giá tính hợp pháp đi qua của dữ liệu đó Hiệu quả của kỹ thuậtnày là:

 Làm việc trên các gói tin và cổng kết nối

 Nó hoạt động ở mức cao hơn so với hai kỹ thuật trước

 Nó ghi dữ liệu trong một bảng cho mỗi kết nối Bảng này như làmột điểm tham chiếu để xác định gói tin có thuộc về một kết nốiđang tồn tại hay không hoặc từ một nguồn trái phép

2.1.3 Tổng quan về Cisco PIX Firewall

2.1.3.1 Đặc tính và chức năng của PIX firewall

PIX firewall là một yếu tố chính trong toàn bộ giải pháp an ninh end của Cisco PIX Firewall là một giải pháp an ninh phần cứng và phần mềmchuyên dụng với mức độ bảo mật cao hơn mà không ảnh hưởng đến sự thực thicủa hệ thống mạng Nó là một hệ thống được lai ghép bởi vì nó sử dụng cả hai kỹ

end-to-thuật packet filtering và proxy server.

PIX Firewall cung cấp các đặc tính và các chức năng sau:

 Apdaptive Security Algorithm (ASA): thực hiện việc điều khiển các kếtnối stateful thông qua PIX Firewall

Trang 28

 Cut – through proxy: Một người sử dụng phải dựa trên phương phápchứng thực của các kết nối vào và ra, cung cấp một hiệu suất cải thiện khi

so sánh nó với proxy server

 Stateful failover – PIX Firewall cho phép người dùng cấu hình hai đơn vịPIX Firewall trong một topo mà có đủ sự dư thừa

 Stateful packet filtering: Một phương pháp bảo mật phân tích các gói dữliệu mà thông tin nằm trải rộng sang một bảng Để một phiên được thiếtlập thông tin về các kết nối phải kết hợp được với thông tin trong bảngPIX Firewall có thể vận hành và mở rộng cấp độ được với các IPSec, các IPSecbao gồm một lưới an ninh và các giao thức chứng thực như là Internet KeyExchange (IKE) và Public Key Infrastructure (PKI) Các máy client ở xa có thểtruy cập một cách an toàn đến mạng của công ty thông qua các ISP của họ

2.1.3.2 Các dòng PIX firewall của Cisco

Cisco PIX firewall họ 500 có khả năng đáp ứng hàng loạt các yêu cầu vàkích thước mạng Hiện tại bao gồm 5 dòng: PIX Firewall 501, 506, 515, 525 và

535 Họ 500 hỗ trợ một dải rộng các card mạng (NIC) Dòng 501 tích hợp 1 cổng10BaseT và 4 cổng 10/100 switch Dòng 506 tích hợp 2 cổng 10BaseT Dòng

515 hỗ trợ 4 cổng 10/100 Ehthernet và bộ gia tốc VPN PIX Firewall 525 hỗ trợ

1 cổng đơn hoặc 4 cổng 10/100 Fast Ethernet, Gigabit Ethernet và bộ gia tốcVPN Dòng 535 hỗ trợ Fast Ethernet, Gigabit Ethernet và bộ gia tốc VPN PIXFirewall vẫn được đảm bảo khi không nằm trong hộp Cài đặt mặc định của PIXFirewall là cho phép tất cả các kết nối từ cổng bên trong truy cập ra các cổng bênngoài và khóa tất cả các kết nối từ các cổng bên ngoài vào bên trong Sau một vàithủ tục cài đặt và cấu hình khởi tạo của 6 lệnh cấu hình thông thường, PIXFirwall có thể hoạt động và bảo vệ hệ thống mạng cho người dùng

a) PIX Firewall 501

Trang 29

Hình 2.4: PIX Firewall 501

Cisco PIX 501 Firewall kích thước chỉ 10 x 6.25 x 5.5 inch và nặng 0.75pounds Lý tưởng cho sự bảo mật tốc độ cao, môi trường băng thông rộng luônđược bật Cisco PIX 501 Firewall cung cấp các đặc tính, sức mạnh cho mạng củacác văn phòng nhỏ, có khả năng quản lý các thiết bị từ xa trong cùng một quytắc, giải pháp tất cả trong một Cisco PIX 501 Firewall cung cấp một cách thứcthuận tiện cho nhiều máy tính cùng chia sẻ một kết nối băng rộng Được thêmcổng console RS-32 (RJ-45) 9600 baud, nó còn được tích hợp cổng 10BaseT chocổng ra, auto-sening (khả năng tự động phán đoán) được tích hợp, auto-MDIX 4cổng 10/100 switch cho cổng vào Nhờ auto-MDIX đã loại bỏ việc cần thiết phải

sử dụng cáp crossover với các thiết bị kết nối đến switch Cisco PIX 501 Firewallcũng có thể đảm bảo an ninh cho tất cả các truyền thông mạng từ các văn phòng

từ xa đến mạng của công ty thông qua Internet sử dụng các chuẩn của nó dựa trênInternet Key Exchange (IKE)/IP security (Ipsec) và khả năng của VPN Người sửdụng cũng có thể có được các mạng plug-and-play (cắm và chạy) bằng cách nắmbắt lợi thế của việc xây dựng server giao thức cấu hình host động – DynamicHost Configuration Protocol (DHCP) server trong PIX Firewall DHCP server tựđộng gán địa chỉ mạng đến các máy tính khi chúng được bật nguồn

Cisco PIX 501 Firewall với một dịch vụ an ninh tích hợp đã khóa các lỗhổng hoàn thiện hơn cho an ninh mức vật lý và chứa 8MB bộ nhớ Flash

Các đặc điểm chính của PIX Firewall 501:

 Các tính năng VPN bao gồm Internet Key Exchange (IKE), IP security(IPsec) và Cisco Easy VPN

 Hỗ trợ TACACS+ và RADIUS

Trang 30

 Tích hợp switch 4- cổng 10/100

 DHCP client/server và DHCP Relay

 Hộ trợ NAT/PAT, PAT cho IPsec và PPPoE

 Cho phép 10 kết nối VPN ngang hàng đồng thời

 Cho phép 7,500 kết nối đồng thời

 Thông lượng khi truyền dữ liệu Cleartext: 60 Mbps

 Thông lượng VPN Ipsec 56-bit DES: 6 Mbps

 Thông lượng VPN Ipsec 168-bit 3DES: 3 Mbps

 Thông lượng VPN Ipsec 128-bit AES: 4.5 Mbps

b) PIX Firewall 506E

Hình 2.5: PIX Firewall 506E

PIX Firewall 506E cung cấp sự bảo vệ đa lớp cho các văn phòng ở xathông qua các dịch vụ bảo mật phong phú PIX Firewall 506E có thể kết nối lênđến 25 mạng VPN ngang hàng cùng một lúc và cung cấp cho người sử dụng sự

bổ sung đầy đủ chuẩn Ipsec Nó có 8MB bộ nhớ flash và tích hợp 2 cổng10Base-T, có kích thước 8 x 12 x 1.7 inch và sử dụng TFTP để cập nhật vàdownload image

Các đặc điểm chính của PIX Firewall 506E

 Hỗ trợ TACACS+ và RADIUS

Trang 31

 DHCP client/server và DHCP Relay

 Hộ trợ NAT/PAT, PAT cho IPsec và PPPoE

 Cho phép 25 kết nối VPN ngang hàng đồng thời

 Cho phép 25,000 kết nối đồng thời

 Thông lượng khi truyền dữ liệu Cleartext: 100 Mbps

 Thông lượng VPN Ipsec 56-bit DES: 20 Mbps

 Thông lượng VPN Ipsec 168-bit 3DES: 17 Mbps

 Thông lượng VPN Ipsec 128-bit AES: 30 Mbps

c) PIX Firewall 515E

Hình 2.6: PIX Firewall 515E

The Cisco PIX 515E Firewall cung cấp giải pháp bảo mật đa lớp cho doanh nghiệp nhỏ và vừa và các mạng lưới doanh nghiệp

Các đặc điểm chính của PIX Firewall 515E:

 Hỗ trợ TACACS+ và RADIUS, tích hợp chặt chẽ với Cisco Secure

Access Control Server (ACS)

 DHCP server và DHCP Relay

 Hỗ trợ NAT/PAT

 Virtual LAN (VLAN) dựa vào các giao diện ảo

Trang 32

 Định tuyến động Open Shortest Path First (OSPF)

 Các kết nối đồng thời: 130,000

 Các đường hầm VPN đồng thời: 2000

 Thông lượng Cleartext: 188 Mbps

 Thông lượng VPN Ipsec 168-bit 3DES: Lên đến 140 Mbps với VAC+ hoặc 63 Mbps với VAC

 Thông lượng VPN Ipsec 128-bit AES: Lên đến 135 Mbps với VAC+

d) PIX Firewall 525

Cisco PIX 525 Firewall cung cấp bảo mật cấp doanh nghiệp cho các mạngdoanh nghiệp vừa và lớn một cách tin cậy

Trang 33

 Thông lượng Cleartext: 330 Mbps

e) PIX Firewall 535

Cisco PIX 535 Firewall cung cấp bảo mật cấp doanh nghiệp cho các mạngcủa nhà cung cấp dịch vụ và các doanh nghiệp lớn với hiệu năng cao

Trang 34

 Thông lượng Cleartext: 1.7 Gbps

2.1.3.3 Nguyên tắc hoạt động của PIX Firewall

Nguyên tắc chung của firewall (kể cả firewall dạng phần mềm như proxyhay dạng thiết bị cứng như PIX) là bắt gói dữ liệu đi ngang qua nó và so sánh vớicác luật đã thiết lập Nếu thấy không vi phạm luật nào thì cho đi qua, ngược lạithì hủy gói dữ liệu PIX firewall hoạt động dựa trên cơ chế ASA (AdaptiveSecurity Algorithm) sử dụng Security level (mức độ bảo mật) Giữa hai cổng thìmột sẽ có Security level cao hơn, một có Security level thấp hơn

Vấn đề cốt lõi của các thiết bị an ninh là thuật toán An ninh tổng hợp(Adaptive Security Algorithm - ASA) Giải thuật ASA duy trì vành đai an toàngiữa các mạng điều khiển bởi thiết bị an ninh ASA tuân theo các quy luật sau:

 Không gói tin nào đi qua PIX mà không có một kết nối và trạng thái

 Cho phép các kết nối ra bên ngoài, trừ những kết nối bị cấm bởi danh sáchđiều khiển truy nhập ACLs Một kết nối ra bên ngoài có thể là một nguồnhoặc một client ở cổng có mức bảo mật cao hơn nơi nhận hoặc server.Cổng có mức bảo mật cao nhất là inside với giá trị là 100, cổng có mứcbảo mật thấp nhất là outside với giá trị là 0 Bất kỳ cổng nào khác cũng cóthể có mức bảo mật nhận giá trị từ 1 đến 99

 Cấm các kết nối vào bên trong, ngoại trừ những kết nối được phép Mộtkết nối vào bên trong là một nguồn hoặc client ở cổng hay mạng có mứcbảo mật thấp hơn nơi nhận hoặc server

Trang 35

 Tất cả các gói ICMP đều bị cấm, trừ những gói được phép

 Mọi sự thử nghiệm nhằm phá vỡ các quy tắc trên đều bị hủy bỏ

Trên mỗi cổng của PIX có các mức độ bảo mật (Security-level), xác địnhmột giao tiếp (interface) là tin cậy, được bảo vệ hay không tin cậy, được bảo vệ ítvà tương quan với các giao tiếp khác như thế nào Một giao tiếp được xem là tincậy trong mối quan hệ với các giao tiếp khác nếu nó có mức độ bảo mật cao hơn

Quy tắc cơ bản về mức độ bảo mật là: Dữ liệu có thể đi vào PIX thông quamột interface với Security level cao hơn, đi qua PIX và đi ra ngoài thông quainterface có Security level thấp hơn Ngược lại, dữ liệu đi vào interface cóSecurity level thấp hơn không thể đi qua PIX và đi ra ngoài thông qua interface

có Security level cao hơn nếu trên PIX không có cấu hình conduit hoặc

access-list để cho phép nó thực hiện điều này Các mức bảo mật đánh số từ 0 đến 100.

 Mức 0: Là mức thấp nhất, thiết lập mặc định cho outside interface (cổng

ra ) của PIX, thường dành cho cổng kết nối ra Internet Vì 0 là mức bảomật ít an toàn nhất nên các untrusted network thường ở sau interface này.Các thiết bị ở outside chỉ được phép truy nhập vào PIX khi nó được cấuhình để làm điều đó

 Mức 100: Là mức cao nhất cho một interface Nó được sử dụng cho inside

interface (cổng vào) của PIX, là cấu hình mặc định cho PIX và không thểthay đổi Vì vậy mạng của tổ chức thường ở sau interface này, không ai cóthể truy nhập vào mạng này trừ khi được phép thực hiện điều đó Việc chophép đó phải được cấu hình trên PIX; các thiết bị trong mạng này có thểtruy nhập ra mạng outside

 Mức từ 1 đến 99: Được dành cho những mạng xung quanh kết nối tới

PIX, đăng ký dựa trên kiểu của truy nhập của mỗi thiết bị, thông thường làkết nối đến một mạng hoạt động như là Demilitarized zone ( DMZ ).Khi có nhiều kết nối giữa PIX và các thiết bị xung quanh thì:

Trang 36

 Dữ liệu đi từ interface có Security level cao hơn đến interface có Securitylevel thấp hơn: Cần phải có một translation (static hay dynamic) để chophép giao thông từ interface có Security level cao hơn đến interface cóSecurity level thấp hơn Khi đã có translation này, giao thông bắt đầu từinside interface đến outside interface sẽ được phép, trừ khi nó bị chặn bởiaccess-list, authentication hay authorization.

 Dữ liệu đi từ interface có Security level thấp hơn đến interface có Securitylevel cao hơn: 2 điều quan trọng cần phải được cấu hình để cho giao thông

từ interface có Security level thấp hơn đến interface có Security level caohơn là static translation và conduit hoặc access-list

 Dữ liệu đi qua hai interface có Security level như nhau: Không có giaothông đi giữa hai interface có Security level như nhau

2.1.4 Tổng quan về Cisco ASA - Adaptive Security Appliance

2.1.4.1 Đặc điểm của Cisco ASA

Thiết bị phần cứng đảm nhận vai trò bảo vệ hạ tầng mạng bên trong, trướcđây thương hiệu PIX Firewall của hãng Cisco Systems đã giành được một trongnhững vị trí hàng đầu của lĩnh vực này Tuy nhiên, theo đà phát triển của côngnghệ và xu hướng tích hợp đa chức năng trên các kiến trúc phần cứng hiện nay(gọi là Appliance) hãng Cisco Systems cũng đã nhanh chóng tung ra dòng sảnphẩm bảo mật đa năng Cisco ASA (Adaptive Security Appliance) Dòng thiết bịnày ngoài việc thừa hưởng các tính năng ưu điểm của công nghệ dùng trên CiscoPIX Firewall, Cisco IPS 4200 và Cisco VPN 3000 Concentrator, còn được tíchhợp đồng thời 3 nhóm chức năng chính cho một hạ tầng bảo vệ là Firewall, IPSvà VPN Thông qua việc tích hợp những tính năng như trên, Cisco ASA sẽchuyển giao một giải pháp hiệu quả trong việc bảo mật hoá các giao tiếp kết nốimạng, nhằm có thể chủ động đối phó trên diện rộng đối với các hình thức tấncông qua mạng hoặc các hiểm họa mà tổ chức, doanh nghiệp thường phải đươngđầu

Trang 37

Đặc tính nổi bật của thiết bị ASA:

 Đầy đủ các đặc điểm của Firewall, IPS, anti-X và công nghệ VPNIPSec/SSL

 Có khả năng mở rộng thích nghi nhận dạng và kiến trúc MitigationServices

 Giảm thiểu chi phí vận hành và phát triển

2.1.4.2 Các dòng Cisco ASA phổ biến

Bất kỳ công ty nào dựa vào mạng lưới của mình đều cần có an ninh vữngvàng Thiết bị An ninh thích ứng Cisco ASA 5500 Series cung cấp năng lực anninh hiện đại có đủ mức độ linh hoạt để đáp ứng các yêu cầu của công ty trongquá trình phát triển và thay đổi

Thiết bị An ninh Thích ứng Cisco ASA 5500 Series hỗ trợ:

 Tùy biến: cá nhân hóa an ninh cho những nhu cầu truy cập và chính sách

kinh doanh cụ thể của người dùng

 Linh hoạt: khi doanh nghiệp phát triển và cần phải thay đổi, có thể dễ

dàng bổ sung thêm các tính năng hoặc nâng cấp từ một thiết bị lên mộtthiết bị khác

 An ninh tiên tiến: khai thác ưu thế của những công nghệ mới nhất về an

ninh, mã hóa, xác thực danh tính, cấp quyền và ngăn chặn xâm nhập

 Tính đơn giản: Sử dụng một thiết bị dễ cài đặt, quản lý và giám sát.

 Kết nối mạng tiên tiến: Thiết lập các mạng riêng ảo (VPNs) để cung cấp

cho nhân viên di động và làm việc từ xa một truy cập an toàn đến các tàinguyên của công ty hoặc tạo ra các VPN giữa các đối tác, văn phòng hoặcnhân viên dựa trên các vai trò của họ

a) Cisco ASA 5505

Đây là dòng nhỏ nhất phù hợp cho mạng SOHO hoặc cho những vănphòng chi nhánh Nó có một switch tầng hai 8 cổng Switch này cũng có 2 cổng

Trang 38

it has an 8-port layer 2 cổng PoE (Power over Ethernet) để có thể kết nối với các

IP Phone hoặc các thiết bị PoE khác Dòng này là một sự thay thế phù hợp chocác dòng PIX 501 hoặc PIX 506

Hình 2.9: ASA 5505

Đặc điểm chính của ASA 5505:

 Thông lượng Cleartext: 150 Mbit/s

 Thông lượng AES/Triple DES: 100 Mbit/s

 Số lượng tối đa các kết nối đông thời: 10,000 (25,000 với Sec PlusLicense)

 Các phiên VPN truy cập từ xa và site-to-site tối đa: 10 (25 với Sec PlusLicense)

 Số lượng tối đa các phiên người dùng VPN SSL: 25

b) Cisco ASA 5510

Dòng này lý tưởng cho các doanh nghiệp nhỏ như là một Internet edgefirewall Về các giao tiếp mạng của nó, nó được trang bị 5 cổng 10/100 (với theBase License) hoặc 2 cổng 10/100/100 Plus 3 cổng 10/100 với Security PlusLicense Dòng này thường được dùng để thay thế cho các dòng PIX 506 hoặcPIX 515

Trang 39

Hình 2.10: ASA 5510

 Số lượng tối đa các kết nối đồng thời: 50,000 (130,000 với Sec PlusLicense)

 Các phiên VPN truy cập từ xa và site-to-site tối đa: 250

c) Cisco ASA 5520

Một dòng dành cho mô hình Internet Edge với lưu lượng nhiều hơn so vớimột doanh nghiệp nhỏ Có thể sử dụng cho các doanh nghiệp nhỏ và vừa Nóđược trang bị nhiều bộ nhớ hơn so với hai dòng trước

Hình 2.11: ASA 5520

 Số lượng tối đa các kết nối đồng thời: 280,000

 Các phiên VPN truy cập từ xa và site-to-site tối đa: 750

Trang 40

d) Cisco ASA 5540

Được sử dụng trong các doanh nghiệp vừa như Internet edge hoặc chophân khúc mạng LAN Với bộ nhớ RAM lớn hơn (1GB) có thể hỗ trợ số lượngcác kết nối site-to-site hoặc VPN nhiều hơn

Hình 2.12: ASA 5540

 Số lượng tối đa các kết nối đồng thời: 400,000

 Các phiên VPN truy cập từ xa và site-to-site tối đa: 5,000

 Số lượng tối đa các phiên người dùng VPN SSL: 2,500

e) Cisco ASA 5550

Được sử dụng trong các môi trường khuôn viên rộng lớn với lưu lượngcao, hoặc cho các doanh nghiệp lớn, hoặc cho các ứng dụng ISP

Hình 2.13: ASA 5550

 Thông lượng Cleartext: 1,200 Mbit/s

Định dạng
Số trang	97
Dung lượng	2,41 MB