Xây dựng một số giải pháp bảo mật cho hệ thống mạng của công ty TNHH bigdigital việt nam sử dụng tường lửa ASA

Đến giữa những năm 60, cùng với sự phát triển của các ứng dụng trên máy tính và nhu cầu trao đổi thông tin với nhau, một số nhà sản xuất máy tính đã nghiên cứu chế tạo thành công các thi

LỜI CAM ĐOAN

Sau quá trình học tập tại trường Đại Học Công Nghệ Thông Tin và Truyền Thông, có sự kết hợp, vận dụng giữa lý thuyết và thực tế, em đã nghiên cứu và tập hợp các tài liệu để hoàn thành đồ án tốt nghiệp của mình

Em xin cam đoan đồ án tốt nghiệp này là công trình do chính bản thân em

tự tìm hiểu, nghiên cứu và hoàn thành dưới sự hướng dẫn của thầy giáo Ths Trần Duy Minh Em xin cam đoan các kiến thức sử dụng trong đồ án chưa từng được

sử dụng để bảo vệ ở bất cứ học vị nào

Thái Nguyên, tháng 6năm 2016

Sinh viên

Nguyễn Văn Hợp

LỜI CẢM ƠN

Qua một thời gian nỗ lực phấn đấu, cuối cùng với sự giúp đỡ tận tình của các thầy cô và bạn bè em đã hoàn tất đề tài này Qua đây em xin bày tỏ lòng biết

ơn sâu sắc đến ThS.Trần Duy Minh người đã tận tình truyền đạt những kiến thức

trong quá trình thực hiện đề tài, chỉ bảo những kinh nghiệm quý báu để em có thể hoàn thành tốt đề tài

Em xin bày tỏ lòng biết ơn trân trọng nhất tới các thầy cô trong khoa “Công nghệ thông tin” đã nhiệt tình truyền đạt cho em những kiến thức trong những năm học vừa qua, tạo điều kiện thuận lợi trong suốt thời gian thực hiện đề tài

Chân thành cảm ơn các bạn sinh viên lớp MMT&TT – K10A, cùng các bạn sinh viên cùng khóa đã nhiệt tình giúp đỡ động viên em

Thái Nguyên, tháng 06 năm 2016

Sinh viên

Nguyễn Văn Hợp

MỤC LỤC

LỜI CAM ĐOAN 1

LỜI NÓI ĐẦU 7

CHƯƠNG 1: CƠ SỞ LÝ THUYẾT 8

1.3 Giới thiệu về tường lửa 22

1.6 Access Control List ( ACL) 33

1.7 Port Address Translation (PAT) 35

1.8 Giao thức AAA và dịch vụ hỗ trợ của Cisco ASA 35

CHƯƠNG 2: PHÂN TÍCH THIẾT KẾ HỆ THỐNG MẠNG TẠI CÔNG TY BIGDIGITAL VIỆT NAM 37

2.1 Giới thiệu về BIGDIGITAL37

CHƯƠNG 3: CÀI ĐẶT MÔ PHỎNG HỆ THỐNG 49

3.1 Giới thiệu về phần mềm ASDM 49

3.1.1 Giới thiệu 49

3.1.2 Giao diện 49

3.2 Thiết kế mạng cho công ty 50

3.2.1 Các yêu cầu bài toán 50

KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN61

TÀI LIỆU THAM KHẢO 62

Hình 1.15 Mô tả luồng dữ liệu ra vào giữa Internet và Intranet 25

Hình 1.16 Mô tả các mức độ bảo mật trong hệ thống mạng 29

Hình 1.17 Mô tả NAT tĩnh của một mạng LAN ra ngoài Internet 31

Hình 1.18 Bảng NAT động của một mang LAN 31

Hình 1.19 Mô tả cơ chế PAT 32

Hình 1.20 Sơ đồ ACL điều khiển truy cập mạng.33

Hình 1.21: Mô tả kiến trúc cơ bản cho NAS/RADIUS/TACACS+/AAA 36Hình 2.1 Giao diện trang web công ty TNHH Bigdigital 37

Hình 2.2 Sơ đồ mặt bằng công ty Bigdigital Việt Nam 41

Hình 2.3 Sơ đồ mặt bằng tầng 1 tòa nhà 141

Hình 2.4 Sơ đồ mặt bằng tầng 2 tòa nhà 142

Hình 2.5 Sơ đồ mặt bằng tầng 3 tòa nhà 142

Hình 2.6 Sơ đồ mặt bằng tầng 1 tòa nhà 242

Hình 2.7 Sơ đồ mặt bằng tầng 2 tòa nhà 243

Hình 2.8 Sơ đồ logic hệ thống mạng trung tâm Bigdigital 43

44

Hình 2.9 Sơ đồ vật lý hiện trạng hệ thống mạng của công ty 44

Hình 2.10 Sơ đồ mạng mới đề xuất cho công ty 47

Hình 2.11 Bảng phân bố địa chỉ IP 47

Hình 3.1 Giao diện của ASDM 49

Hình 3.2 Sơ đồ mạng của công ty 50

Hình 3.3 Bảng định tuyến của R2 52

Hình 3.4 Cấu hình gán địa chỉ cho ASA 53

Hình 3.5 Bảng cấu hình NAT cho ASA 54

Hình 3.6 Kiểm tra kết nối từ ASA đến Dmz 58

Hình 3.7 Kiểm tra kết nối từ ASA đến Inside 58

Hình 3.8 Kiểm tra kết nối từ ASA đến Router R2 58

Hình 3.9 Kiểm tra kết nối từ ASA đến Internet 59

Hình 3.10 Kiểm tra kết nối từ DMZ đến Internet59

Hình 3.11 Kiểm tra kết nối từ INSIDE đến Internet 60

Hình 3.12 Kiểm tra kết nối từ DMZ đến Internet60

LỜI NÓI ĐẦU

Máy tính và mạng máy tính có vai trò hết sức quan trọng trong cuộc sống

ngày nay Ngày nay trong bất kỳ lĩnh vực nào cũng cần đến máy tính, máy tính rất hữu ích với chúng ta Chính nhờ có máy tính và sự phát triển của nó đã làm cho khoa học kỹ thuật phát triển vượt bậc, kinh tế phát triển nhanh chóng và thần kỳ.

Cùng với sự ra đời và phát triển của máy tính và mạng máy tính là vấn đề bảo mật thông tin, ngăn chặn sự xâm phạm và đánh cắp thông tin trong máy tính

và thông tin cá nhân trên mạng máy tính khi mà ngày càng có nhiều hacker xâm nhập và phá huỷ dữ liệu quan trọng làm thiệt hại đến kinh tế của công ty nhà nước

Mục tiêu của việc nghiên cứu về Firewall ASA

+ Việc nghiên cứu giúp cho khả năng tự học, tìm hiểu và nghiên cứu độc lập ngày càng tốt hơn

+ Nghiên cứu về hệ thống firewall ASA

+ Triển khai hệ thống phất hiện, ngăn chặn các lưu lượng ra vào của hệ thống là sự cần thiết cho các doanh nghiệp có nhu cầu về sự an toàn của hệ thống trước những hành vi xâm nhập trái phép Trước sự phát triển của internet và sự hiểu biết của ngày càng sâu của con người thì việc truy cập và phá hoại hệ thống mạng của một doanh nghiệp, công ty nào đó củng theo đà phát triển của internet

mà tăng lên rất nhiều

+ Việc nghiên cứu này đáp ứng cho lãnh vực bảo mật và an ninh của hệ thống.+ ASA(Adaptive Security Appliance) là một thiết bị tường lửa mạnh tất cả trong một và được ưa chuộng nhất hiện nay của Cisco Chính vì vậy mục tiêu của

đề tài này là nhằm nghiên cứu và tìm hiểu cách thức hoạt động,phương pháp cấu hình và ứng dụng của nó trong việc bảo mật hệ thống mạng Kết quả đạt được qua việc nghiên cứu thiết bị này là hiểu được cách thức hoạt động và có khả năng triển khai thiết bị này vào trong một số hệ thống mạng bất kỳ

Nắm bắt xu thế trên em đã tìm hiểu và nghiên cứu thực hiện đề tài “Xây dựng một số giải pháp bảo mật cho hệ thống mạng của công ty TNHH Bigdigital Việt Nam sử dụng tường lửa ASA”

CHƯƠNG 1: CƠ SỞ LÝ THUYẾT 1.1 Mạng máy tính

1.1.1 Lịch sử ra đời

Vào những năm 50, những hệ thống máy tính đầu tiên ra đời sử dụng các bóng đèn điện tử nên kích thước rất cồng kềnh và tiêu tốn nhiều năng lượng Việc nhập dữ liệu vào máy tính được thực hiện thông qua các bìa đục lỗ và kết quả được đưa ra máy in, điều này làm mất rất nhiều thời gian và bất tiện cho người sử dụng

Đến giữa những năm 60, cùng với sự phát triển của các ứng dụng trên máy tính và nhu cầu trao đổi thông tin với nhau, một số nhà sản xuất máy tính đã nghiên cứu chế tạo thành công các thiết bị truy cập từ xa tới các máy tính của họ,

và đây chính là dạng sơ khai của hệ thống máy tính

Đến đầu những năm 70, hệ thống thiết bị đầu cuối 3270 của IBM ra đời cho phép mở rộng khả năng tính toán của các trung tâm máy tính đến các vùng ở xa Đến giữa những năm 70, IBM đã giới thiệu một loạt các thiết bị đầu cuối được tiết

kế chế tạo cho lĩnh vực ngân hàng, thương mại Thông qua dây cáp mạng các thiết

bị đầu cuối có thể truy cập cùng một lúc đến một máy tính dùng chung Đến năm

1977, công ty Datapoint Corporation đã tung ra thị trường hệ điều hành mạng của mình là “Attache Resource Computer Network” (Arcnet) cho phép liên kết các máy tính và các thiết bị đầu cuối lại bằng dây cáp mạng, và đó chính là hệ điều hành mạng đầu tiên

1.1.2 Phân loại mạng máy tính

Mạng máy tính là tập hợp các máy tính được kết nối với nhau bởi các đường truyền theo một cấu trúc nào đó và thông qua đó các máy tính trao đổi

thông tin qua lại cho nhau.

Đường truyền là một hệ thống các thiết bị truyền dẫn có dây (Wired Transmisson Media), không dây (Wireless Transmisson Media) dùng đểchuyển các tín hiệu điện tử từ máy này sang máy khác Các tín hiệu điện tử đó là các giá trị

dữ liệu dưới dạng các xung nhị phân (on-off) Tất cả các tín hiệu được truyền giữa các máy tính đều thuộc một dạng sóng điện từ.

Đường truyền kết nối có thể là: Cáp đồng trục, cáp đôi xoắn, cáp quang, các đường truyền tạo nên cấu trúc mạng

Mạng máy tính ra đời xuất phát từ nhu cầu chia sẻ và dùng chung dữ liệu Không có hệ thống mạng thì dữ liệu trên các máy tính độc lập muốn chia sẻ với nhau phải thông qua việc in ấn, sao chép qua đĩa mềm, CD ROM,…điều này gây ra rất nhiều bất tiện cho người sử dụng

Các máy tính được kết nối thành mạng cho phép các khả năng:

- Sử dụng chung một phần mềm tiện ích

- Chia sẻ kho dữ liệu dùng chung

- Trao đổi thông điệp hình ảnh

- Dùng chung các thiết bị ngoại vi ( máy in, máy Fax, modem…)

- Giảm thiểu chi phí và thời gian đi lại

- Rất an toàn cho dữ liệu và phần mềm

Hình 1.1Mô hình liên kết các máy tính trong liên kết mạng

1.1.2.1Phân loại theo vùng địa lý

GAN (Global Area Network): Kết nối máy tính từ các châu lục khác nhau, thông thường kết nối này được thực hiện thông qua mạng viễn thông và vệ tinh

Hình 1.2 Mô hình mạng GAN

WAN (Wide Area Network): Mạng diện rộng, kết nối máy tính trong nội bộ các quốc gia hay giữa các quốc gia trong cùng một châu lục Thông thường kết nối này được thực hiện thông qua mạng viễn thông Các WAN có thể được kết nối với nhau thành GAN hay tự nó đã là GAN

Hình 1.3 Mô hình mạng WAN

MAN (Metropolitan Area Network): Kết nối các máy tính trong phạm vi một thành phố Kết nối này được thực hiện thông qua các môi trường truyền thông tốc độ cao (50-100 Mbit/s)

LAN ( Local Area Network): Mạng cục bộ, kết nối các máy tính trong một khu vực bán kính hẹp, thông thường khoảng vài trăm mét Kết nối được thực hiện thông qua các môi trường truyền thông tốc độ cao như cáp đồng trục hay cáp

quang LAN thường được sử dụng trong nội bộ một cơ quan/tổ chức Các LAN có thể được kết nối với nhau thành WAN.

Hình 1.4Mô hình mạng LAN 1.1.2.2 Phân loại mạng theo topo mạng

Mạng hình sao ( Star Topology): Ở mạng hình sao, tất cả các trạm được nối vào một thiết bị trung tâm có nhiệm vụ nhận tín hiệu từ các trạm và chuyển tín hiệu đến trạm đích với phương thức kết nối điểm-điểm

Hình 1.5 Mô hình mạng hình sao

Mạng hình tuyến (Bus Topolpgy): Trong dạng hình tuyến, các máy tính đều được nối vào một đường dây truyền chính (bus) Đường truyền chính này được giới hạn hai đầu bởi một loại đầu nối đặc biệt gọi là terminator (dùng để nhận viết

là đầu cuối để kết thúc đường truyền tại đây) Mỗi trạm được nối vào bus qua một đầu nối chữ T (T-connector) hoặc một bộ thu phát (transceiver)

Hình 1.6 Mô hình mạng hình tuyến

Mạng dạng vòng (Ring Topology): Các máy tính được liên kết với nhau thành một vòng tròn theo phương thức điểm-điểm, qua đó mỗi trạm có thể nhận và truyền dữ liệu theo một chiều và dữ liệu được truyền theo từng gói một

Hình 1.7Mô hình mạng dạng vòng

Mạng dạng kết hợp: Trong thực tế tùy theo yêu cầu và mục đích cụ thể ta có thể thiết kế mạng kết hợp các dạng sao, vòng, tuyến để tận dụng điểm mạnh của mỗi mạng

Hình 1.8 Mô hình mạng kết hợp 1.1.2.3 Phân loại mạng theo chức năng

Mạng Client-Server: Một hay một số máy tính được thiết lập để cung cấp các dịch vụ như file server, mail server, web server…Các máy tính được thiết lập

để cung cấp các dịch vụ được gọi là Server, còn các máy tính truy cập và sử dụng dịch vụ được gọi là Client

Hình 1.9 Mô hình mạng Client- Server

Mạng ngang hàng (Peer-to-Peer): Các máy tính trong mạng có thể hoạt động vừa như một Client vừa như một Server

Hình 1.10 Mô hình mạng Peer-to-Peer

Mạng kết hợp: Các mạng máy tính thường được thiết lập theo cả hai chức năng Client-Server và Peer-to-Peer

1.1.3 Mô hình OSI (Open Systems Interconnect)

Ở thời kỳ đầu của công nghệ nối mạng, việc gửi và nhận dữ liệu ngang qua mạng thường gây nhầm lẫn do các công ty lớn như IBM, Honeywell tự đề ra những tiêu chuẩn riêng cho hoạt động kết nối máy tính

Năm 1984, tổ chức Tiêu chuẩn hóa Quốc Tế - ISO ( International Standard Organization) chính thức đưa ra mô hình OSI ( Open Systems Interconnection), là tập hợp các đặc điểm kỹ thuật mô tả kiến trúc mạng dành cho việc kết nối các thiết

bị không cùng chủng loại

Mô hình OSI được chia thành 7 tầng, mỗi tầng bao gồm những hoạt động, thiết bị và giao thức mạng khác nhau.

Hình 1.11 Mô hình OSI 1.1.3.1 Các giao thức trong mô hình OSI

Trong mô hình OSI có hai loại giao thích chính được áp dụng: Giao thức có liên kết và giao thức không liên kết

 Giao thức có liên kết: Trước khi truyền dữ liệu hai tầng đồng mức cần thiết lập một liên kết logic và các gói tin được trao đổi thông qua liên kết này, việc

có liên kết logic sẽ nâng cao độ an toàn trong truyền dữ liệu

 Giao thức không liên kết: Trước khi truyền dữ liệu không thiết lập liên

kết logic và mỗi gói tin được truyền độc lập với các gói tin trước hoặc sau nó.

1.1.3.2 Chức năng của các tầng trong mô hình OSI

a Tầng vật lý ( Physical Layer)

Tầng vật lý là tầng dưới cùng của mô hình OSI Nó mô tả các đặc trưng vật

lý của mạng: Các loại cáp được dùng để nối các thiết bị, các loại đầu nối được dùng, các dây cáp có thể dài bao nhiêu Mặt khác tầng vật lý cung cấp các đặng trưng điện của các tín hiệu được dùng để khi chuyển dữ liệu trên cáp từ một máy này đến một máy khác của mạng, kỹ thuật nối mạch điện, tốc độ cáp truyền dẫn

Tầng vật lý không quy định một ý nghĩa nào cho các tín hiệu đó ngoài các giá trị nhị phân 0 và 1 Ở các tầng cao hơn của mô hình OSI ý nghĩa của các bit được truyền ở tâng vật lý sẽ được xác định

b Tầng liên kết dữ liệu (Datalink Layer)

Tầng liên kết dữ liệu là tầng mà ở đó ý nghĩa được gán cho các bit được truyền trên mạng Tầng liên kết dữ liệu phải quy định được các dạng thức, kích thước, địa chỉ máy gửi và nhận mỗi gói tin được gửi đi Nó phải xác định cơ chế truy cập thông tin trên mạng và phương tiện gửi mỗi gói tin sao cho nó được đưa đến cho người nhận đã định

Tầng liên kết dữ liệu cũng cung cấp cách phát hiện và sửa lỗi cơ bản để đảm bảo cho dữ liệu nhận được giống hoàn toàn với dữ liệu gửi đi Nếu một gói tin

có lỗi không sửa được, tầng liên kết dữ liệu phải chi ra được cách thông báo cho nơi gửi biết gói tin đó có lỗi để nó gửi lại

c Tầng mạng ( Network Layer)

Tầng mạng nhắm đến việc kết nối các máy tính với nhau bằng cách tìm đường ( routing) cho các gói tin từ một mạng này đến một mạng khác Nó xác định việc chuyển hướng, vạch đường các gói tin trong mạng, các gói này có thể phải đi qua nhiều chặng trước khi đến được đích cuối cùng Nó luôn tìm các tuyến truyền thông không tắc nghẽn để đưa các gói tin đến đích

Tầng mạng cung cấp các phương tiện để truyền các gói tin qua mạng, thậm

chí qua một mạng của mạng Bởi vậy nó cần phải đáp ứng với nhiều kiểu mạng và nhiều kiểu dịch vụ vung cấp vởi các mạng khác nhau Hai chức năng chủ yếu của tậng mạng là chọn đường (routing) và chuyển tiếp (relaying) Tầng mạng là quan trọng nhất khi liên kết hai loại mạng khác nhau như mạng Ethernet với mạng Token Ring khi đó phải dùng một bộ tìm đường để chuyển các gói tin từ mạng này sang mạng khác và ngược lại.

d Tầng vận chuyển (Transport Layer)

Tầng vận chuyển cung cấp các chức năng cần thiết giữa tầng mạng và các tầng trên Nó là tâng cao nhất có liên quan đến các giao thức trao đổi dữ liệu giữa các hệ thống mở Nó cùng các tầng dưới cung cấp cho người sử dụng các phục vụ vận chuyển

Tầng vận chuyển là tầng cơ sở mà ở đó một máy tính của mạng chia sẻ thông tin với một máy khác Tầng vận chuyển đồng nhất mỗi trạm bằng một địa chỉ duy nhất và quản lý sự kết nối giữa các trạm Tầng vận chuyển cũng chia các gói tin lớn thành các gói tin nhỉ hơn trước khi gửi đi Thông thường tầng vận chuyển đánh số các gói tin và đảm bảo chuyển chúng cho đúng thứ tự

Tầng vận chuyển là tầng cuối cùng chịu trách nhiệm về mức độ an toàn trong truyền dữ liệu nên giao thức tầng vận chuyển phụ thuộc rất nhiều vào bản chất của tầng mạng

e Tầng phiên ( Session Layer)

Tầng phiên thiết lập các giao dịch giữa các trạm trên mạng, nó đặt tên nhất quán cho mọi thành phần muốn đối thoại với nhau và lập ánh xạ giữa các tên với địa chỉ của chúng Một giao dịch phải được thiết lập trước khi dữ liệu được truyền trên mạng, tâng phiên đảm bảo cho các giao dịch được thiết lập và duy trì theo đúng quy định

Tầng phiên cung cấp cho người sử dụng các chức năng cần thiết để quản trị các giao dịch ứng dụng của họ

f Tầng trình diễn ( Presentation Layer)

Trong giao tiếp giữa các ứng dụng thông qua mạng với cùng một dữ liệu có thể có nhiều các biểu diễn khác nhau Thông thường dạng biểu diễn dùng bởi ứng dụng nguồn và dạng biểu diễn dùng vởi ứng dụng đích có thể khác nhau do các ứng dụng được chạy trên các hệ thống hoàn toàn khác nhau Tầng trình diễn phải chịu trách nhiệm chuyển đổi dữ liệu gửi đi trên mạng từ một loại biểu diễn này sang một loại khác Để đạt được điểu đó nó cung cấp một dạng biểu diễn chung dùng để truyền thông và cho phép chuyển đổi từ dạng biểu diễn cục bộ sang biểu diễn chung và ngược lại.

Tầng trình diễn cũng có thể được dùng kĩ thuật mã hóa để xáo trộn các dữ liệu trước khi được truyền đi và giải mã ở đầu đến để bảo mật Ngoài ra tầng trình diễn cũng có thẻ dùng các kĩ thuật nén sao cho chỉ cần một ít byte dữ liệu để thể hiện thông tin khi nó được truyền ở trên mạng, ở đầu nhận, tầng trình diễn bung trở lại để được dữ liệu ban đầu

g Tầng ứng dụng (Application Layer)

Tầng ứng dụng là tầng cao nhất của mô hình OSI, nó xác định giao diện giữa người dử dụng và môi trường OSI và giải quyết các kĩ thuật mà các chương trình ứng dụng dùng để giao tiếp với mạng

1.1.4 Mô hình TCP/IP

TCP/IP ( Transmission Control Protocol/ Internet Protocol) là bộ giao thức cho phép kết nối các hệ thống mạng không đồng nhất với nhau Ngày nay, TCP/IP được sử dụng rộng rãi trong các mạng cục bộ cũng như trên mạng Internet toàn cầu

TCP/IP là giản lược của mô hình tham chiếu OSI với bốn tầng:

 Tầng truy cập ( Network Access Layer)

Tầng truy cập là tầng thấp nhất trong mô hình TCP/IP, bao gồm các thiết bị giao tiếp mạng và chương trình cung cấp các thông tin cần thiết để có thể hoạt động, truy nhập đường truyền vật lý qua thiets vị giao tiếp mạng đó

b Tầng mạng (Network Layer)

Tầng mạng xử lý quá trình truyền gói tin trên mạng Các giao thức của tầng này gồm: IP (Internet Protocol), ICMP ( Internet Control Message Protocol), IGMP ( Internet Group Message Protocol)

c Tầng vận chuyển ( Transport Layer)

Tầng vận chuyển phụ trách luồng dữ liệu giữa hai trạm thực hiện các ứng dụng của tầng trên Tầng này có hai giao thức chính: TCP (Transmission Control Protocol) Và UDP ( User Datagram Protocol)

TCP cung cấp một luồng dữ liệu tin cậy giữa hai trạm, nó sử dụng các cơ chế chia nhỏ các gói tin của tầng trên thành các gói tin có kích thước thích hợp cho tầng mạng bên dưới, báo nhận gói tin, đặt hạn chế thời gian time-out để đảm bảo bên nhận biết được các gói tin đã gửi đi Do tầng này đảm bảo tính tin cậy, tầng trên sẽ không cần quan tâm đến nữa

UDP cung cấp một dịch vụ đơn giản hơn cho tầng ứng dụng Nó chỉ gửi các gói dữ liệu từ trạm này tới trạm kia mà không đảm bảo các gói tin đến được đích

d Tầng ứng dụng ( Application Layer)

Tầng ứng dụng là tầng trên cùng của mô hình TCP/IP bao gồm các tiến trình và các ứng dụng cấp cho người sử dụng để truy cập mạng Có nhiều ứng dụng được cung cấp trong tâng này, phổ biến là: Telnet (sử dụng trong truy cập từ xa), FTP ( File Transfer Protocol- dịch vụ truyền tệp tin), Email (dịch vụ thư điện tử)…

1.2 Bảo mật mạng máy tính

1.2.1 Định nghĩa bảo mật mạng máy tính

Bảo mật mạng là sự đảm bảo an toàn của toàn bộ hệ thống mạng trướcnhững hoạt động nhằm tấn công phá hoại hệ thống mạng cả từ bên trong như bên ngoài

Hoạt động phá hoại là những hoạt động như xâm nhập trái phép sử dụng tàinguyên trái phép ăn cắp thông tin, các hoạt động giả mạo nhằm phá hoại tàinguyên mạng và cơ sở dữ liệu của hệ thống.

Vấn đề bảo mật mạng luôn là một vấn đề bức thiết khi ta nghiên cứu một

hệ thống mạng Hệ thống mạng càng phát triển thì vấn đề bảo mật mạng càngđược đạt lên hàng đầu

Khi nguyên cứu một hệ thống mạng chúng ta cần phải kiểm soát vấn đềbảo mật mạng ở các cấp độ sau:

 Mức mạng: Ngăn chặn kẻ xâm nhập bất hợp pháp vào hệ thống mạng

 Mức server: Kiểm soát quyền truy cập, các cơ chế bảo mật, quá trìnhnhận dạng người dùng, phân quyền truy cập, cho phép các tác vụ

 Mức cơ sở dữ liệu: Kiểm soát ai? được quyền như thế nào? với mỗi

cơ sở dữ liệu

 Mức trường thông tin: Trong mỗi cơ sở dữ liệu kiểm soát được mỗitrường dữ liệu chứa thông tin khác nhau sẽ cho phép các đối tượng khác nhau cóquyền truy cập khác nhau

 Mức mật mã: Mã hoá toàn bộ file dữ liệu theo một phương pháp nào

đó và chỉ cho phép người có “ chìa khoá” mới có thể sử dụng được file dữ liệu

1.2.2.2 Packet sniffer

Packet sniffer là phần mềm sử dụng NIC card ở chế độ “promisscuous” để bắt tất cả các gói tin trong cùng miền xung đột Nó có thể khai thác thông tin dướidạng clear Text

1.2.2.3 Đánh lừa (IP spoofing)

Kỹ thuật này được sử dụng khi hacker giả mạo địa chỉ IP tin cậy trong mạng nhằm thực hiện việc chèn thông tin bất hợp pháp vào trong phiên làm việchoặc thay đổi bản tin định tuyến để thu nhận các gói tin cần thiết

1.2.2.4 Tấn công từ chối dịch vụ (Denial of services)

Kiểu tấn công này nhằm tắc nghẽn mạng bằng cách hacker gửi các gói tinvới tốc độ cao và liên tục tới hệ thống bảo mật nhằm làm tê liện hệ thốngchiếm hết băng thông sử dụng

1.2.2.5 Tấn công trực tiếp password

Đó là kiểu tấn công trực tiếp vào username và password của người sử dụng nhằm ăn cắp tài khoải sử dụng vào mục đích tấn công Hacker dùng phần mềm

để tấn công (vị dụ như Dictionary attacks)

1.2.2.7 Tấn công vào yếu tố con người

Hacker có thể tấn công vào các lỗ hổng do lỗi nhà quản trị hệ thống hoặcliên lạc với nhà quản trị hệ thống giả mạo là người sủ dụng thay đổi username và password

1.2.3 Các mức độ bảo mật

Hình 1.12 Các mức độ bảo mật 1.2.3.1 Quyền truy nhập

Đây là lớp bảo vệ sâu nhất nhằm kiểm soát tài nguyên mạng kiểm soát ởmức độ file và việc xác định quyền hạn của người dùng do nhà quản trị quyếtđịnh như: chỉ đọc( only read), chỉ ghi (only write), thực thi(execute)

1.2.3.2 Đăng nhập/Mật khẩu(login/password)

Đây là lớp bảo vệ mức độ truy nhập thông tin ở mức độ hệ thống Đây làmức độ bảo vệ được sử dụng phổ biến nhất vì nó đơn giản và ít tốn kém Nhà quảntrị cung cấp cho mỗi người dùng một username và password và kiểm soát mọihoạt động của mạng thông qua hình thức đó Mỗi lần truy nhập mạng người dùng phải đăng nhập Username và password, hệ thống kiểm tra hợp lệ mới cho đăng nhập

1.2.3.3 Mã hóa dữ liệu(Data encryption)

Đó là sử dụng các phương pháp mã hoá dữ liệu ở bên phát và thực hiện giải

mã ở bên thu bên thu chỉ có thể mã hóa chính xác khi có khoá mã hóa do bên phátcung cấp

1.2.3.4 Bảo vệ vật lý (Physical protect)

Đây là hình thức ngăn chạn nguy cơ truy nhập vật lý bất hợp pháp vào hệthống như ngăn cấm tuyệt đối người không phận sự vào phòng đặt máy mạng,dùng ổ khoá máy tính, hoặc cài đặt cơ chế báo động khi có truy nhập vào hệ thống

1.2.3.5 Bức tường lửa (firewall)

Đây là hình thức ngăn chặn sự xâm nhập bất hợp pháp vào mạng nội bộthông qua firewall ) Chức năng của tường lửa là ngăn chặn các truy nhập tráiphép (theo danh sách truy nhập đã xác định trước) và thậm chí có thể lọc các góitin mà ta không muốn gửi đi hoặc nhận vào vì một lý do nào đó Phương thức bảo

vệ này được dùng nhiều trong môi trường liên mạng Internet

1.3 Giới thiệu về tường lửa

1.3.1 Giới thiệu

Trong ngành mạng máy tính, bức tường lửa (firewall) là rào chắn mà một số

cá nhân, tổ chức, doanh nghiệp, cơ quan nhà nước lập ra nhằm ngăn chặn người dùng mạng Internet truy cập các thông tin không mong muốn hoặc/và ngăn chặn người dùng từ bên ngoài truy nhập các thông tin bảo mật nằm trong mạng nội bộ

Tường lửa là một thiết bị phần cứng và/hoặc một phần mềm hoạt động trong một môi trường máy tính nối mạng để ngăn chặn một số liên lạc bị cấm bởi chính sách an ninh của cá nhân hay tổ chức, việc này tương tự với hoạt động của các bức tường ngăn lửa trong các tòa nhà Tường lửa còn được gọi là Thiết bị bảo

vệ biên giới (Border Protection Device - BPD), đặc biệt trong các ngữ cảnh của NATO, hay bộ lọc gói tin (packet filter) trong hệ điều hành BSD - một phiên bản Unix của Đại học California, Berkeley

Nhiệm vụ cơ bản của tường lửa là kiểm soát giao thông dữ liệu giữa hai vùng tin cậy khác nhau Các vùng tin cậy (zone of trust) điển hình bao gồm: mạng Internet (vùng không đáng tin cậy) và mạng nội bộ (một vùng có độ tin cậy cao) Mục đích cuối cùng là cung cấp kết nối có kiểm soát giữa các vùng với độ tin cậy khác nhau thông qua việc áp dụng một chính sách an ninh và mô hình kết nối dựa trên nguyên tắc quyền tối thiểu (principle of least privilege)

Cấu hình đúng đắn cho các tường lửa đòi hỏi kĩ năng của người quản trị hệ thống Việc này đòi hỏi hiểu biết đáng kể về các giao thức mạng và về an ninh máy tính Những lỗi nhỏ có thể biến tường lửa thành một công cụ an ninh vô dụng Để

có kiến thức xây dựng một tường lửa có các tính năng chống lại các yếu tố phá hoại đòi hỏi phải có trình độ chuyên nghiệp và kỹ năng trong việc bảo mật và an ninh

1.3.2 Phân loại

Các tường lửa được chia ra thành hai dạng: Firewall cứng (bên ngoài) và firewall mềm (bên trong) Trong đó cả hai đều có những nhược điểm và ưu điểm riêng Quyết định lựa chọn loại tường lửa nào để sử dụng là khá quan trọng

1.3.2.1 Tường lửa cứng

Điển hình là các tường lửa mạng, thiết bị mở rộng này được đặt giữa máy tính hoặc mạng và cáp hoặc modem DSL Nhiều hãng và nhà cung cấp dịch vụ Internet (ISP) đưa ra các thiết bị “router” trong đó cũng bao gồm các tính năng tường lửa Tường lửa phần cứng được sử dụng có hiệu quả trong việc bảo vệ nhiều

máy tính mà vẫn có mức bảo mật cao cho một máy tính đơn Nếu bạn chỉ có một máy tính phía sau tường lửa, hoặc nếu bạn chắc chắn rằng tất cả các máy tính khác trên mạng được cập nhật các bản vá miễn phí về virus, worm và các mã nguy hiểm khác thì bạn không cần mở rộng sự bảo vệ của một phần mềm tường lửa Tường lửa phần cứng có ưu điểm trong việc phân chia các thiết bị đang chạy trên hệ điều hành riêng, vì vậy chúng cung cấp khả năng chống lại các tấn công.Một số loại Firewall cứng như: ASA, PIX, Fortinet, Juniper…

Đặc điểm của Firewall cứng:

Hoạt động ở tầng Network và tầng Transport

Tốc độ xử lý

Tính bảo mật cao

Tính linh hoạt thấp

Khả năng nâng cấp thấp

Không kiểm tra được nội dung gói tin

Tuy nhiên hiện nay cũng có rất nhiều những firewall cứng có thể tích hợp nhiều chức năng Ngoài làm chức năng tường lửa bảo mật, chúng còn kém theo các module khác như routing,vpn, …

Hình 1.13 Mô hình Firewall cứng 1.3.2.2 Tường lửa mềm

Một vài hệ điều hành có tường lửa kèm theo, nếu hệ điều hành của bạn không có thì cũng dễ dàng kiếm được từ một số cửa hàng máy tính hay hãng phần

mềm hoặc các nhà cung cấp dịch vụ Internet Một số Firewall mềm như ISA server, Zone Alarm, Norton firewall, các phần mềm antivirut hay các hệ điều hành đều có tính năng firewall…

Đặc điểm:

Hoạt động ở tầng Application

Tính linh hoạt cao: Có thể thêm, bớt các quy tắc, các chức năng

Có thể kiểm tra được nội dung của gói tin (thông qua các từ khóa)

Hình 1.14 Mô hình Firewall mềm

1.3.3 Chức năng của Firewall

- Kiểm soát luồng thông tin giữa Intranet và Internet

- Thiết lập cơ chế điều khiển dòng thông tin giữa mạng bên trong (Intranet)

và mạng Internet Cụ thể là:

Cho phép hoặc cấm những dịch vụ truy nhập ra ngoài (từ Intranet ra Internet) Cho phép hoặc cấm những dịch vụ phép truy nhập vào trong (từ Internet vào Intranet)

Hình 1.15 Mô tả luồng dữ liệu ra vào giữa Internet và Intranet

 Theo dõi luồng dữ liệu mạng giữa Internet và Intranet

 Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập

 Kiểm soát người sử dụng và việc truy nhập của người sử dụng

 Kiểm soát nội dung thông tin thông tin lưu chuyển trên mạng

(data-Firewall không thể bảo vệ chống lại việc truyền các chương trình hoặc file nhiễm virut

1.4 Giới thiệu về Firewall ASA

1.4.1 Giới thiệu

Tường lửa Cisco ASA là công nghệ mới nhất trong các giải pháptường lửa được đưa ra bởi Cisco, hiện nay đang thay thế các tường lửa PIX rất tốt ASA viết tắt củaAdaptive Security Appliances, làm cả hai nhiệm vụ là một tường lửa và ứng dụng anti-malware

Cisco ASA hoạt động theo cơ chế giám sát gói theo trạng thái (Stateful Packet Inspection), thực hiện điều khiển trạng thái kết nối khi qua thiết bị bảo mật (ghi nhận trạng thái của từng gói thuộc kết nối xác định theo loại giao thức hay ứng dụng) Cho phép kết nối một chiều (outbuond-đi ra) với rất ít việc cấu hình Một kết nối đi ra là một kết nối từ thiết bị trên cổng có mức bảo mật cao đến thiết

bị trên mạng có mức bảo mật thấp hơn

Trạng thái được ghi nhận sẽ dùng để giám sát và kiểm tra gói trở về.Thay đổi ngẫu nhiên giá trị tuần tự (sequence number) trong gói TCP để giảm rủi ro của

sự tấn công

Hoạt động theo kiến trúc phân vùng bảo mật dựa theo cổng, cổng tin cậy (trusted) hay mức bảo mật cao và cổng không tin cậy (untrusted) hay mức bảo mật thấp Qui tắc chính cho múc bảo mật đó là thiết bị từ vùng tin cậy có thể truy cập được thiết bị truy cập vùng không tin cậy hay còn gọi là outbound Ngược lại từ vùng bảo mật thấp không thể truy cập vùng bảo mật cao trừ khi được cho phép bởi ACL hay còn gọi là inbound

Mức bảo mật (Security Level) 100: Đây là mức bảo mật cao nhất, thường được gán cho cổng thuộc mạng bên trong (inside)

Mức bảo mật 0: Đây là mức bảo mật thấp nhất, thường được gán cho cổng

mà kết nối ra Internet hay vùng không tin cậy còn gọi là vùng bên ngoài (outside)

Mức bảo mật từ 1-99: Cho phép bạn sử dụng để gán cho những cổng còn lại nếu yêu cầu mở rộng vùng mạng

Do đó trong quá trình cấu hình thông tin cho cổng đảm bảo mỗi cổng được gán giá trị mức bảo mật dựa vào chính sách phân vùng bảo vệ của bạn thông qua

câu lệnh security-level.

Đặc tính nổi bật của ASA là:

- Đầy đủ các đặc điểm của Firewall, IPS, anti-X và công nghệ VPN IPSec/SSL

- Có khả năng mở rộng thích nghi nhận dạng và kiến trúc Mitigation Services

- Giảm thiểu chi phí vận hành và phát triền

1.4.2 Chức năng chính của ASA

- Tường lửa (Firewall): Bảo mật mạng từ các cuộc xâm nhập không xác thực, trong khi vẫn cho phép hoạt động mạng diễn ra bình thường, không bị trì trệ

- Mã hóa SSL/Ipsec VPN: Mở rộng hệ thống mạng bằng cách cho phép truy cập mạng từ xa nhưng vẫn đảm bảo an toàn với các công nghệ mã hóa

- Ngăn chặn xâm nhập: Bảo vệ tài nguyên quan trọng trong mạng từ các cuộc tấn công, có đầy đủ chức năng của hệ thống ngăn chận xâm nhập (IPS), Cisco ASA chống lại các mối đe dọa như các lỗ hổng bảo mật từ các ứng dụng, hệ điều hành,

- Bảo mật nội dung: Tăng tính hiệu quả sử dụng và loại bỏ mối đe dọa từ những nội dung không mong muốn trong mạng

1.4.3 Cơ chế hoạt động của tường lửa ASA

1.4.3.1 Các chế độ làm việc

Firewall ASA có 4 chế độ làm việc chính:

- Chế độ giám sát (Moniter Mode): Đây là chế độ đặc biệt cho phép bạn cập nhật các hình ảnh qua mạng hoặc khôi phục lại mật khẩu Trong khi ở chế độ giám sát, bạn có thể nhập lệnh để xác định vị trí một máy chủ TFTP và vị trí của hình ảnh phần mềm hoặc file hình ảnh nhị phân khôi phục mật khẩu tải vể Bạn truy cập vào chế độ này bằng cách nhấn “break” hoặc “ESC” chìa khóa ngay sau khi bật nguồn thiết bị

- Chế độ không đặc quyền (Unprivileged Mode): Hiển thị dấu nhắc “>”

Chế độ này cung cấp tầm nhìn hạn chế của các thiết bị an ninh Bạn không thể cấu hình bất cứ điều gì từ chế độ này Để bắt đầu với cấu hình, lệnh đầu tiên phải nhập

là enable Gõ enable và nhấn enter

- Chế độ đặc quyền (privileged Mode): Cho phép bạn thay đổi các thiết lập hiện hành Bất cứ lệnh nào trong chế độ không đặc quyền cũng làm việc trong chế

độ này Từ chế độ này, có thể xem cấu hình hiện tại bằng cách sử dụng lệnh show running-config

- Chế độ cấu hình ( Configuration Mode): Cho phép thay đổi tất cả thiết lập cấu hình hệ thống

Loại thứ hai startup-configuration là cấu hình sao lưu của configuration Nó được lưu trữ trong bộ nhớ flash, vì vậy nó không bị mất khi thiết

running-bị khởi động lại Ngoài ra, startup-configuration được tải khi thiết running-bị khởi động Để

xem startup-configuration được lưu trữ, gõ lệnh show startup-config.

 1.4.3.3 Mức độ bảo mật (Security Level)

Security Level được gán cho interface (hoặc vật lý hay logical interfaces) và nó cơ bản một số từ 0-100 chỉ định như thế nào tin cậy interface liên quan đến một interface khác trên thiết bị Mức độ bảo mật cao hơn thì interface càng đáng tin cậy hơn (và do đó các mạng kết nối phía sau nó) được coi là, liên quan đến interface khác Vì mỗi interface firewall đại diện cho một mạng cụ thể (hoặc khu vực an ninh), bằng cách sử dụng mức độ bảo mật, chúng ta có thể chỉ định mức độ tin tưởng khu vực an ninh của chúng ta Các quy tắc chính cho mức

sub-độ bảo mật là một interface (hoặc zone) với một mức sub-độ bảo mật cao hơn có thể truy cập vào một interface với một mức độ bảo mật thấp hơn Mặt khác, một interface với một mức độ bảo mật thấp hơn không thể truy cập vào một interface

với một mức độ bảo mật cao hơn, mà không có sự cho phép rõ ràng của một quy tắc bảo mật (Access Control List - ACL).

Một số mức độ bảo mật điển hình:

 Security Level 0: Đây là mức độ bảo mật thấp nhất và nó được gán mặc định interface bên ngoài của firewall Đó là mức độ bảo mật ít tin cậy nhất và phải được chỉ định phù hợp với mạng (interface) mà chúng ta không muốn nó có bất kỳ truy cập vào mạng nội bộ của chúng ta Mức độ bảo mật này thường được gán cho interface kết nối với Internet Điều này có nghĩa rằng tất cả các thiết bị kết nối Internet không thể có quyền truy cập vào bất kỳ mạng phía sau firewall, trừ khi rõ ràng cho phép một quy tắc ACL

 Security Level1 đến 99: Những mức độ bảo mật có thể được khu vực bảo mật vòng ngoài (ví dụ như khu vực DMZ, khu vực quản lý, )

 Security Level 100: Đây là mức độ bảo mật cao nhất và nó được gán mặc định interface bên trong của tường lửa Đây là mức độ bảo mật đáng tin cậy nhất và phải được gán cho mạng (interface) mà chúng ta muốn áp dụng bảo vệ nhiều nhất từ các thiết bị an ninh.Mức độ bảo mật này thường được gán cho interface kết nối mạng nội bộ công ty đằng sau nó

Hình 1.16 Mô tả các mức độ bảo mật trong hệ thống mạng

Việc truy cập giữa Security Level tuân theo các quy định sau:

 Truy cập từ Security Level cao hơn tới Security Level thấp hơn: Cho phép tất cả lưu lượng truy cập có nguồn gốc từ Security Level cao hơn trừ khi quy định cụ thể bị hạn chế bởi một Access Control List (ACL) Nếu NAT-Control

được kích hoạt trên thiết bị, sau đó có một cặp chuyển đổi nat/global giữa các

interface có Security Level từ cao tới thấp

 Truy cập từ Security Level thấp hơn Security Level cao hơn: Chặn tất cả lưu lượng truy cập trừ khi được cho phép bởi một ACL Nếu NAT-Control được kích hoạt trên thiết bị này, sau đó có phải là một NAT tĩnh giữa các interface có Security Level từ cao tới thấp

 Truy cập giữa các interface có cùng một Security Level: Theo mặc định

là không được phép, trừ khi bạn cấu hình lệnh same-security-traffic permit.

1.5 Network Access Translation(NAT)

1.5.1 Khái niệm

Sự suy giảm của không gian địa chỉ công cộng IPv4 đã buộc các cộng đồngInternet tìm cách thay thế của địa chỉ máy chủ nối mạng NAT do đó được tạo ra

để giải quyết các vấn đề xảy ra với việc mở rộng của Internet

Một trong những lợi ích của việc sử dụng NAT trong các mạng IP như sau+ NAT giúp giảm thiểu về sự cạn kiệt địa chỉ IP công cộng

+ NAT tăng cường an ninh bằng cách ẩn NetworksTopology và

1.5.2.1 Kỹ thuật NAT tĩnh (Static NAT)

- Với NAT tĩnh, địa chỉ IP thường được ánh xạ tĩnh với nhau thông qua các lệnh cấu hình

- Cơ chế NAT tĩnh cho phép một máy chủ bên trong hiện diện ra ngoài Internet, bởi vì máy chủ sẽ luôn dùng cùng một địa chỉ IP thực