Giải pháp bảo mật hệ thống mạng dùng firewall asa

thiệt hại có thể thống kê bằng các con số như trên, thì không thể thống kê được những lòng tin của người sử dụng dịch vụ, của thị trường vào hệ thống cũng như các dịch vụ cung cấp qua mạ

ĐẠI HỌC ĐÀ NẴNG TRƯỜNG ĐẠI HỌC SƯ PHẠM

KHOA TIN HỌC



KHÓA LUẬN TỐT NGHIỆP

CHUYÊN NGÀNH: CỬ NHÂN CÔNG NGHỆ THÔNG TIN

ĐỀ TÀI:

GIẢI PHÁP AN NINH MẠNG DÙNG FIREWALL ASA

Giáo viên hướng dẫn : PGS TS LÊ VĂN SƠN

Sinh viên thực hiện : NGUYỄN ĐỨC TRÍ

Lớp : 09CNTT03

Đà Nẵng, tháng 5 năm 2013

LỜI CẢM ƠN

Để hoàn thành khóa luận này, em xin tỏ lòng biết ơn sâu sắc đến thầy PGS

TS Lê Văn Sơn, người đã tận tình hướng dẫn em trong suốt quá trình viết khóa luận tốt nghiệp

Em chân thành cảm ơn quý thầy, cô trong khoa Tin học, Trường Đại Học Sư Phạm Đà Nẵng đã tận tình truyền đạt kiến thức trong 4 năm học tập Với vốn kiến thức được tiếp thu trong quá trình học không chỉ là nền tảng cho quá trình nghiên cứu khóa luận mà còn là hành trang quý báu để em bước vào đời một cách vững chắc và tự tin

Cuối cùng em kính chúc quý thầy, cô dồi dào sức khỏe và thành công trong sự nghiệp cao quý

Xin trân trọng cảm ơn!

Sinh viên ký tên

LỜI CAM ĐOAN

Em xin cam đoan:

1 Những nội dung trong báo cáo này là do em thực hiện dưới sự hướng dẫn trực tiếp của PGS TS Lê Văn Sơn

2 Mọi tham khảo dùng trong báo cáo này đều được trích dẫn rõ ràng tên tác giả, tên công trình, thời gian, địa điểm công bố

3 Mọi sao chép không hợp lệ, vi phạm quy chế đào tạo, hay gian trá, em xin chịu hoàn toàn trách nhiệm

Sinh viên ký tên

MỤC LỤC

DANH MỤC HÌNH VẼ 7

DANH MỤC BẢNG 9

DANH MỤC THUẬT NGỮ VÀ TỪ VIẾT TẮT 10

LỜI MỞ ĐẦU 12

Chương 1 TỔNG QUAN VỀ AN NINH MẠNG 16

1.1 Mục tiêu an ninh mạng 16

1.2 Các phương thức tấn công 16

1.2.1 Virus 16

1.2.2 Worm 17

1.2.3 Trojan 17

1.2.4 Backdoor 17

1.2.5 Denial-of-Service 17

1.2.6 Distributed Denial-of-Service 18

1.2.7 Spyware 18

1.2.8 Phishing 18

1.2.9 Social Engineering 18

1.3 Các chính sách an ninh mạng 19

1.3.1 Chính sách quản lý truy cập 19

1.3.2 Chính sách lọc 19

1.3.3 Chính sách định tuyến 19

1.3.4 Chính sách Remote-access/VPN 20

1.3.5 Chính sách giám sát 20

1.3.6 Chính sách vùng DMZ 20

1.3.7 Chính sách thông dụng 20

Chương 2 GIỚI THIỆU VỀ TƯỜNG LỬA 22

2.1 Khái niệm về tường lửa 22

2.2 Phân loại 22

2.3 Các công nghệ firewall 23

2.4 Chức năng của firewall 26

2.5 Những hạn chế của tường lửa 28

2.6 Một số kiến trúc firewall 29

2.6.1 Kiến trúc Dual – homed Host 29

2.6.2 Kiến trúc Screened Host 30

2.6.3 Kiến trúc Screened Subnet Host 31

Chương 3 GIẢI PHÁP TƯỜNG LỬA CISCO ASA 33

3.1 Lịch sử ra đời 33

3.2 Các sản phẩm tường lửa của Cisco 33

3.3 Các chức năng cơ bản 34

3.3.1 Các chế độ làm việc 34

3.3.2 Quản lý file 35

3.3.3 Mức độ bảo mật (Security Level) 35

3.4 Network Access Translation (NAT) 36

3.4.1 Khái niệm 36

3.4.2 Các kỹ thuật NAT 37

3.4.3 NAT trên tường lửa ASA 40

3.5 Access Control Lists (ACL) 41

3.6 Virtual Private Network (VPN) 44

3.6.1 Khái niệm 44

3.6.2 Site-to-Site VPN 46

3.6.3 Remote access VPN 46

3.6.4 AnyConnect VPN 47

3.7 Giao thức định tuyến (Routing) 48

3.7.1 Khái niệm 48

3.7.2 Các kỹ thuật định tuyến 49

3.8 Đường truyền dự phòng SLA 51

3.9 Chuyển đổi dự phòng (Failover) 52

3.9.1 Giới thiệu 52

3.9.2 Phân loại 52

3.9.3 Triển khai Failover 52

KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN 55

1 Kết luận 55

2 Hướng phát triển 55

DEMO CÁC TÍNH NĂNG ASA TRÊN GNS3 56

1 Mô hình triển khai 56

1.1 Mô hình thực tế 56

1.2 Mô hình trên GNS3 56

2 Cấu hình trên Firewall ASA 56

TÀI LIỆU THAM KHẢO 59

PHỤ LỤC 60

DANH MỤC HÌNH VẼ

Số thứ tự Tên hình vẽ Trang

Hình 1 Mô hình tường lửa cứng 23

Hình 2 Mô hình tường lửa mềm 23

Hình 3 Mô tả packet filtering firewall 24

Hình 4 Mô tả circuit-level firewall 25

Hình 5 Mô tả proxy firewall 25

Hình 6 Mô tả stateful firewall 26

Hình 7 Mô tả luồng dữ liệu vào ra giữa Internet và Intranet 27

Hình 8 Mô hình kiến trúc Dual-homed Host 30

Hình 9 Mô hình kiến trúc Screened Host 31

Hình 10 Mô hình kiến trúc Screened Subnet Host 32

Hình 11 Các chế độ làm việc của firewall ASA 36

Hình 12 Mô tả các mức bảo mật trong hệ thống mạng 38

Hình 13 Mô tả NAT tĩnh của một mạng LAN ra ngoài Internet 40

Hình 14 Mô tả cơ chế PAT (NAT Overloading) 43

Hình 15 Sơ đồ ACL điều khiển truy cập mạng 44

Hình 16 Sơ đồ mạng mô tả kết nối Site-to-Site IPSec VPN 48

Hình 17 Sơ đồ mạng mô tả kết nối Remote Access VPN 49

Hình 18 Sơ đồ mạng mô tả kết nối AnyConnect VPN 50

Hình 19 Mô hình mạng mô tả định tuyến tĩnh 52

Hình 20 Mô tả đường dự phòng SLA 54

Hình 21 Mô hình Active/Standby failover 56

Hình 22 Mô hình Failover và Addressing 57

Hình 23 Mô hình Active/active failover 57

Hình 24 Mô hình mạng triển khai thực tế 59

Hình 25 Mô hình mạng triển khai trên phần mềm GNS3 59

DANH MỤC BẢNG

Bảng 1 NAT động của một mạng LAN 41

DANH MỤC THUẬT NGỮ VÀ TỪ VIẾT TẮT

Số thứ

tự và từ viết tắt Thuật ngữ Giải thích thuật ngữ và từ viết tắt

1 ACL Access Control List

2 ASA Adaptive Security Appliance

3 DMZ Demilitarised Zone (Vùng phi quân sự) là thuật ngữ dùng

để chỉ nơi đặt các server public

4 DHCP Dynamic Host Configuration Protocol

5 EIGRP Enhanced Interior Getway Routing Protocol

6 ICMP Internet Control Message Protocol

7 IDS Intrusion Detection Systems

8 IETF Internet Engineering Task Force

9 IP Internet Protocol

10 IPS Intrusion Prevention Systems

11 ISA Internet Security and Acceleration

12 ISP Internet Service Provider

13 LAN Local Area Network

14 MAC Media Access Control

15 NAT Network Address Translation

16 RIP Routing Information Protocol

17 OSI Open Systems Interconnection

18 OSPF Open Shortest Path First

19 FTP File Transfer Protocol

20 PAT Port Address Translation

21 PIX Private Internet eXchange

22 TCP Transmission Control Protocol

23 TFTP Trivial File Transfer Protocol

24 UDP User Datagram Protocol

25 VPN Virtual Private Network

26 SLA Service Level Agreement

28 SSL Secure Sockets Layer

29 Zombies Thuật ngữ trong hacker, dùng để ám chỉ một máy tính đã

bị hacker chiếm quyền để sử dụng cho mục đích tấn công

LỜI MỞ ĐẦU

Trong thực tế hiện nay bảo mật thông tin đang đóng một vai trò thiết yếu chứ không còn là “thứ yếu” trong mọi hoạt động liên quan đến việc ứng dụng công nghệ thông tin Bảo mật thông tin không chỉ thuần túy là những công cụ phần cứng hay phần mềm, mà thực sự đã được xem như là giải pháp cho nhiều vấn đề

Khởi động từ những năm đầu thập niên 90, với một số ít chuyên gia về CNTT, những hiểu biết còn hạn chế và đưa CNTT ứng dụng trong các hoạt động sản xuất, giao dịch, quản lý còn khá khiêm tốn và chỉ dừng lại ở mức công cụ, và đôi khi nhận thấy những công cụ “đắt tiền” này còn gây một số cản trở, không đem lại những hiệu quả thiết thực cho việc sử dụng nó

Ứng dụng công nghệ thông tin một cách hiệu quả và bền vững, là tiêu chí hàng đầu của nhiều quốc gia hiện nay, Việt Nam không là ngoại lệ Xét trên bình diện một doanh nghiệp khi ứng dụng CNTT vào sản xuất, kinh doanh cũng luôn mong muốn có được điều này Tính hiệu quả là điều bắt buộc, và sự bền vững cũng là tất yếu Khi triển khai một hệ thống thông tin và xây dựng được cơ chế bảo vệ chặt chẽ, an toàn, như vậy là góp phần duy trì tính bền vững cho hệ thống thông tin của doanh nghiệp hoặc một tổ chức đó Và tất cả chúng ta đều hiểu rằng giá trị thông tin của doanh nghiệp hay tổ chức là tài sản vô giá Không chỉ thuần túy về mặt vật chất, những giá trị khác không thể đo đếm được như uy tín của họ đối với khách hàng sẽ

ra sao, nếu những thông tin giao dịch với khách hàng bị đánh cắp, rồi sau đó bị lợi dụng với những mục đích khác nhau… Hacker, attacker, virus, worm, phishing, những khái niệm này giờ đây không còn xa lạ, và thực sự là mối lo ngại hàng đầu của tất cả các hệ thống thông tin (PCs, Enterprise Networks, Internet, etc…)

Theo tạp chí Computer Economics mỗi năm các cuộc tấn công mạng trên toàn thế giới gây thiệt hại cho nền kinh tế thế giới hàng tỷ USD, có thể kể ra những nỗi

“ám ảnh” của thế giới như vụ bùng phát virus Code Red năm 2001 chỉ sau 24 tiếng đồng hồ sau khi virus này bắt đầu phát tán 341.015 máy chủ trên toàn thế giới đã bị lây nhiễm, gây thiệt hại vào khoảng 2,6 tỷ USD Tháng 1/2002 Cloud Nine nhà cung cấp dịch vụ tại Châu Âu đã bị phá sản vì các cuộc tấn công từ chối dịch vụ…Việt Nam đang là nước có tình trạng tin tặc lộng hành rất phổ biến, chỉ tính riêng năm 2007 thiệt hại do virus gây ra vào khoảng hơn 2000 tỷ đồng (trung bình khoảng 591.000 đồng/1 PC), với 6752 virus mới xuất hiện trong năm (trung bình 18,49 virus/ngày) Năm 2007 cũng là năm báo động đỏ của an ninh mạng Việt Nam khi có đến 342 website bị hacker trong và ngoài nước tấn công Bên cạnh những

thiệt hại có thể thống kê bằng các con số như trên, thì không thể thống kê được những lòng tin của người sử dụng dịch vụ, của thị trường vào hệ thống cũng như các dịch vụ cung cấp qua mạng Internet bị giảm sút và chính viễn cảnh thiếu an toàn cũng khiến không ít cơ sở ngừng kinh doanh việc bán hàng trực tuyến…

Tháng 10/2008 theo thống kê của Trung tâm an ninh mạng Bkis đã có 3910 dòng virus mới xuất hiện tại Việt Nam, 50 website của các cơ quan, doanh nghiệp của Việt Nam bị hacker xâm nhập Ngoài ra, Bkis còn phát hiện lỗ hổng của 11 website của các cơ quan và doanh nghiệp thuộc chính phủ Mặc dù tình trạng an ninh mạng của Việt Nam đang ở tình trạng báo động đỏ nhưng phần lớn người dùng, tổ chức hay các cơ quan, doanh nghiệp chưa được trang bị những kiến thức cần thiết để đảm bảo an ninh Hơn thế nữa hệ thống an ninh mạng của các tổ chức hay doanh nghiệp còn nhiều lỗ hổng, thậm chí doanh nghiệp hay tổ chức còn không

có những thiết bị an ninh mạng và bảo mật mạng Và chính vì vậy, tất cả những hệ thống này cần trang bị những công cụ đủ mạnh, am hiểu cách xử lý để đối phó với những cuộc tấn công và nguy cơ mất an ninh mạng

Để có thể chống lại những cuộc tấn công và nguy cơ an ninh mạng trước hết là

do ý thức của người sử dụng Yếu tố con người chính là yếu tố quan trọng nhất, và cuối cùng là những công cụ đắt lực nhất đó chính là tường lửa (firewall) Có rất nhiều hãng sản xuất và thiết kế tường lửa trên thế giới như Symantec, Cisco, Juniper…, nhưng phần lớn thiết bị tường lửa Cisco, nhất là ASA Cisco Firewall vẫn được các cơ quan, tổ chức tin dùng, bởi tính năng vượt trội và được thừa kế các tính năng từ PIX Firewall Cisco

1 Lý do chọn đề tài

Mạng internet ngày càng phát triển và phổ biến rộng khắp mọi nơi, lợi ích của

nó đem lại là rất lớn Tuy nhiên cũng có rất nhiều mối đe dọa từ bên ngoài của những kẻ tấn công, tác động đến hệ thống mạng của một cá nhân, tổ chức, doanh nghiệp hay cơ quan nhà nước, nhằm mục đích phá vỡ hệ thống, đánh cắp dữ liệu,…

Từ lý do trên và được sự đồng ý của thầy hướng dẫn PGS TS Lê Văn Sơn, em chọn hướng nghiên cứu của khóa luận này là “Giải pháp an ninh mạng dùng Firewall ASA”

2 Mục tiêu của đề tài

 Giúp cho khả năng tự học, tìm hiểu và nghiên cứu độc lập ngày càng tốt hơn

 Triển khai hệ thống phát hiện, ngăn chặn các lưu lượng ra vào của hệ thống

là sự cần thiết cho các doanh nghiệp có nhu cầu về sự an toàn của hệ thống trước những hành vi xâm nhập trái phép Trước sự phát triển của Internet và

sự hiểu biết của ngày càng sâu của con người thì việc truy cập và phá hoại hệ thống mạng của một doanh nghiệp, công ty nào đó cũng theo đà phát triển của Internet mà tăng lên rất nhiều

 Giúp chúng ta có cái nhìn tổng quát về an ninh mạng, có những khái niệm về các phương thức tấn công, chính sách, kỹ thuật an ninh mạng Từ đó có thể đưa ra các giải pháp an ninh cho hệ thống mạng của mình một cách phù hợp nhất

 ASA (Adaptive Security Appliance) là một thiết bị tường lửa mạnh và được

ưa chuộng nhất hiện nay của Cisco Chính vì vậy mục tiêu của đề tài này là nhằm nghiên cứu và tìm hiểu cách thức hoạt động, phương pháp cấu hình và ứng dụng của nó trong việc bảo mật hệ thống mạng Kết quả đạt được qua việc nghiên cứu thiết bị này là hiểu được cách thức hoạt động và có khả năng triển khai thiết bị này vào trong một số hệ thống mạng bất kỳ

3 Tình hình nghiên cứu lĩnh vực liên quan đến đề tài

Hiện nay, vấn về an ninh mạng là vấn đề cần thiết và cấp bách đối với các tổ chức, doanh nghiệp hay cơ quan nhà nước Nhưng mà số lượng người tham gia vào nghiên cứu lĩnh vực này thì không được nhiều

4 Phạm vi nghiên cứu

Tìm hiểu lý thuyết về các phương thức tấn công, chính sách an ninh

Tìm hiểu các loại firewall, kiến trúc firewall

Tìm hiểu các kỹ thuật, tính năng an ninh mạng trên firewall ASA

5 Phương pháp nghiên cứu

Sử dụng một số tài liệu Cisco Firewall ASA, CEH, Security+ và một số trang web để phục vụ cho nội dung viết báo cáo và nghiên cứu

Sử dụng phần mềm giả lập GNS3 để cài đặt và thể hiện cụ thể những kết quả của nội dung nghiên cứu

6 Cấu trúc của khóa luận

Cấu trúc của khóa luận, gồm 3 phần:

 Phần mở đầu: Trình bày lý do, mục tiêu, phạm vi nghiên cứu, phương pháp nghiên cứu và cấu trúc khóa luận

 Phần nội dung: Gồm 3 chương

 Chương 1 - Tổng quan về an ninh mạng: Chương này nói về mục

tiêu an ninh mạng, các phương thức tấn công và chính sách an ninh mạng

 Chương 2 - Giới thiệu về tường lửa: Chương này nói về các thành

phần, chức năng, hạn chế, kiến trúc của tường lửa

 Chương 3 - Giải pháp tường lửa Cisco ASA: Chương này đi sâu về

các tính năng, kĩ thuật bảo mật trong firewall ASA, bao gồm: NAT, ACL, VPN, Routing, SLA…

 Phần kết luận: Trình bày kết luận, hướng phát triển và demo các tính năng của firewall ASA

Chương 1 TỔNG QUAN VỀ AN NINH MẠNG

An ninh là một trong những lĩnh vực mà hiện nay giới công nghệ thông tin khá quan tâm Khi Internet ra đời và phát triển, nó đã thúc đẩy nhu cầu trao đổi thông tin ngày càng trở nên cần thiết Mục tiêu của việc nối mạng là làm cho mọi người có thể sử dụng chung tài nguyên từ những vị trí địa lý khác nhau, tuy nhiên cũng kéo theo nhiều mối nguy hiểm rình rập của những hacker mạng Đảm bảo cho người dùng được an toàn khi làm việc trên mạng là mục tiêu hàng đầu của an ninh mạng:

 Bảo đảm mạng nội bộ không bị xâm nhập trái phép

 Các tài liệu và thông tin quan trọng không bị rò rỉ và bị mất

 Các dịch vụ được thực hiện nhanh chóng, không bị trì trệ hoặc không thực hiện được

 Các cuộc mua bán trên mạng diễn ra đúng với yêu cầu của người dùng

 Người dùng làm việc trên mạng không bị mạo danh, lừa đảo

và tái tạo virus Một số virus lành tính, thì chỉ cần thông báo cho nạn nhân của họ rằng họ đã bị nhiễm virus Các virus ác tính tạo ra sự hủy hoại bằng cách xóa các

tập tin và nếu không thì gây ra lỗi cho các máy tính bị nhiễm có chứa tài nguyên, dữ

liệu, chẳng hạn như hình ảnh, tài liệu, mật khẩu và các bản báo cáo tài chính [11] 1.2.2 Worm

Worm là một chương trình phá hoại, quét các điểm yếu hoặc lỗ hổng bảo mật trên các máy tính khác, để khai thác các điểm yếu và nhân rộng Worm có thể tái tạo độc lập và lây lan nhanh chóng [11]

Worm khác với virus trong hai cách sau đây:

 Virus cần một chủ thể để đính kèm và thực hiện, còn worm không yêu cầu một chủ thể

 Virus, một khi chúng đang cư trú trong bộ nhớ thì thường xóa và sửa đổi các tập tin quan trọng trên máy tính bị nhiễm bệnh Còn worm có thể tái tạo một cách nhanh chóng bằng cách bắt đầu kết nối mạng, để nhân rộng và gửi số lượng lớn dữ liệu

1.2.3 Trojan

Trojan là mã độc được hacker chèn vào trong một phần mềm hoặc một ứng dụng đáng tin cậy, chẳng hạn như một trò chơi hoặc trình bảo vệ màn hình Một khi người dùng cố gắng để truy cập một trò chơi hoặc trình bảo vệ màn hình mà họ tin tưởng, các trojan có thể bắt đầu các hoạt động gây tổn hại như xóa các tập tin hoặc định dạng lại một ổ đĩa cứng Trojan thường không tự sao chép [11]

1.2.4 Backdoor

Backdoor là một chương trình, được hacker sử dụng để cài đặt trên hệ thống mục tiêu, nhằm mục đích giúp cho hacker có thể truy cập lại lần sau, mà không cần phải thông qua cơ chế xác thực của hệ thống

Kỹ thuật backdoor đơn giản nhưng hiệu quả, ngoài ra hacker có thể tạo ra mật khẩu riêng cho backdoor của mình, để tránh các hacker khác có thể truy cập vào hệ thống qua đường đó [11]

1.2.5 Denial-of-Service

Một cuộc tấn công từ chối dịch vụ (DoS) là một cuộc tấn công làm cho hệ thống phải liên tục xử lý các gói thông tin được gửi từ hacker, từ đó dẫn đến hệ thống sẽ không xử lý những thông tin đến từ người dùng hợp pháp Một cuộc tấn

công DoS được hacker thực hiện bằng cách gửi các gói tin có kích cỡ lớn hoặc ping liên tục làm cho hệ thống phải xử lý liên tục, và nếu người lập trình không lưu ý về vấn đề tràn bộ đệm thì hệ thống có thể bị treo [11]

1.2.6 Distributed Denial-of-Service

DDoS cũng tương tự như phương thức tấn công DoS, nhưng chỉ khác là DDoS

sử dụng nhiều nguồn khác nhau để tấn công vào một hệ thống mục tiêu Phương thức tấn công DDoS thường được các hacker sử dụng kết hợp với kiểu tấn công Zombies Zombies là một thuật ngữ, dùng để ám chỉ máy của người dùng hợp pháp

đã bị hacker chiếm dụng Hacker có thể cài Zoombies vào các máy tính với số lượng lớn rồi ra lệnh tấn công hệ thống mục tiêu cùng một lúc [11]

1.2.7 Spyware

Spyware là một lớp các ứng dụng phần mềm dùng để cài trên hệ thống mục tiêu Một khi các ứng dụng phần mềm gián điệp đã được bí mật cài đặt, phần mềm gián điệp sẽ bắt tất cả các thông tin, mà quản trị viên hoặc người dùng đang làm với

hệ thống của họ Một số thông tin bị bắt bao gồm các trang web truy cập, e-mail gửi

đi và mật khẩu sử dụng Từ đó hacker có thể sử dụng các mật khẩu và thông tin bắt được để đi vào hệ thống và khởi động một cuộc tấn công [11]

1.2.8 Phishing

Phishing là một kiểu tấn công mạng thường bắt đầu bằng cách gửi e-mail để người dùng không nghi ngờ Trong e-mail sẽ có một đường liên kết đến một trang web tin cậy nào đó, chẳng hạn như một trang web ngân hàng hoặc thương mại điện

tử, mà các trang web đó sẽ được hacker thiết kế để trông giống như một trang web thật, ngay cả các tính năng của trang web đó cũng tương tự như các trang web thật Rồi sau đó, e-mail giả này cố gắng thuyết phục người dùng phải thực hiện theo các liên kết trong e-mail và đăng nhập vào trang web để xem thông tin của họ Phương thức tấn công này thường được thiết kế để lừa người dùng cung cấp thông tin có giá trị như tên người dùng và mật khẩu của họ [11]

1.2.9 Social Engineering

Hacker có thể liên lạc với một người quản trị hệ thống, giả làm một người sử dụng để yêu cầu thay đổi mật khẩu, thay đổi quyền truy nhập của mình đối với hệ

thống, hoặc thậm chí thay đổi một số cấu hình của hệ thống để thực hiện các phương pháp tấn công khác Với kiểu tấn công này, thì không một thiết bị nào có thể ngăn chặn một cách hữu hiệu, và chỉ có một cách giáo dục người sử dụng mạng nội bộ về những yêu cầu bảo mật để đề cao cảnh giác với những hiện tượng đáng nghi Nói chung yếu tố con người là một điểm yếu trong bất kỳ một hệ thống bảo vệ nào, và chỉ có sự giáo dục cộng với tinh thần hợp tác từ phía người sử dụng có thể nâng cao được độ an toàn cho hệ thống [11]

1.3.1 Chính sách quản lý truy cập

Chính sách quản lý truy cập giúp cho quản trị viên có thể kiểm soát được số lượng người truy cập vào hệ thống hằng ngày, ngoài ra với chính sách này quản trị viên có thể cho phép hoặc không cho phép một ngươi dùng, hacker có thể truy cập vào hệ thống Người dùng muốn kết nối đến hệ thống phải thông tường lửa và sử

dụng quyền truy cập của mình để thực hiện những tác vụ Một số các giao thức

quản lý như Network Time Protocol (NTP), TFTP, FTP, Simple Network Management Protocol (SNMP),… [10]

sử dụng thuật toán MD5 và các kỹ thuật chứng thực, [10]

1.3.4 Chính sách Remote-access/VPN

Khi cấu hình remote-access/VPN chúng ta cần phải xác định các giao thức sẽ được sử dụng: IP Security (IPsec), Layer 2 Tunneling Protocol (L2TP), hoặc Point-to-Point Tunneling Protocol (PPTP) [10]

1.3.5 Chính sách giám sát

Một trong những yếu tố quan trọng nhất để đảm bảo rằng một tường lửa cung cấp mức bảo mật được như mong đợi là thực hiện một hệ thống giám sát tường lửa Các chính sách giám sát cần cung cấp một cơ chế để theo dõi hiệu suất của tường lửa, cũng như sự xuất hiện của tất cả các sự kiện liên quan đến an ninh và các thao tác truy cập của người dùng Một số ứng dụng giúp cho quản trị viên có thể giám sát được tường lửa như CiscoWorks, NetIQ Security Manager hoặc Kiwi Syslog Daemon [10]

1.3.6 Chính sách vùng DMZ

Vùng DMZ là vùng đệm giữa hệ thống mạng bên trong và mạng bên ngoài, vùng DMZ giúp cho quản trị viên có thể yên tâm đặt các server public của mình vô đây Nếu hacker có tấn công vào được vùng DMZ thì cũng chưa chắc vào được hệ thống mạng bên trong [10]

 Chính sách mã hóa: Bao gồm Hypertext Transfer Protocol, Secure (HTTPS), Secure Sockets Layer (SSL), Secure Shell (SSH), và truy cập Ipsec/VPN

 Dưới đây là một số công việc cần thiết cho người quản trị mạng:

 Theo dõi file log của tường lửa thường xuyên

 Tạo ACL thật chi tiết và cụ thể

 Bảo vệ vùng DMZ

 Thận trọng với lưu lượng ICMP

 Lưu ý về việc mở một số cổng (Ví dụ: cổng 80, 443, )

Chương 2 GIỚI THIỆU VỀ TƯỜNG LỬA

Trong ngành mạng máy tính, bức tường lửa (Firewall) là rào chắn mà một số

cá nhân, tổ chức, doanh nghiệp, cơ quan nhà nước lập ra nhằm ngăn chặn người dùng mạng Internet truy cập các thông tin không mong muốn hoặc ngăn chặn người dùng từ bên ngoài truy cập vào hệ thống để lấy các thông tin bảo mật nằm trong mạng nội bộ

Tường lửa là một thiết bị phần cứng hoặc một phần mềm hoạt động trong môi trường máy tính nối mạng để ngăn chặn một số liên lạc bị cấm bởi chính sách an ninh của cá nhân hay tổ chức Tường lửa còn được gọi là thiết bị bảo vệ biên giới (Border Protection Device - BPD), hay bộ lọc gói tin (packet filter)

Nhiệm vụ cơ bản của tường lửa là kiểm soát lưu lượng dữ liệu giữa hai vùng tin cậy khác nhau Điển hình như, mạng Internet (vùng không đáng tin cậy) và mạng nội bộ (một vùng có độ tin cậy cao) Mục đích cuối cùng là cung cấp kết nối

có kiểm soát giữa các vùng với độ tin cậy khác nhau thông qua việc áp dụng một chính sách an ninh

Cấu hình chính xác cho các tường lửa đòi hỏi kĩ năng của người quản trị hệ thống Việc này đòi hỏi phải có sự hiểu biết đáng kể về các giao thức mạng và an ninh mạng Những lỗi nhỏ có thể biến tường lửa thành một công cụ an ninh vô dụng Để có kiến thức xây dựng một tường lửa có các tính năng chống lại các yếu tố phá hoại, đòi hỏi người quản trị hệ thống phải có trình độ chuyên nghiệp và kỹ năng trong việc bảo mật hệ thống mạng

2.2 Phân loại

Các tường lửa được chia ra thành hai dạng: Tường lửa cứng (bên ngoài) và tường lửa mềm (bên trong) Trong đó cả hai đều có những nhược điểm và ưu điểm riêng Quyết định lựa chọn loại tường lửa nào để sử dụng là khá quan trọng

 Tường lửa cứng: Điển hình là các thiết bị tường lửa, thiết bị mở rộng này được đặt giữa mạng bên ngoài và mạng nội bộ Nhiều hãng và nhà cung cấp dịch vụ Internet (ISP) đưa ra các thiết bị định tuyến trong đó cũng bao gồm các tính năng tường lửa Một số loại tường lửa cứng như: ASA, PIX, NetScreen…

Đặc điểm của tường lửa cứng:

 Hoạt động ở tầng Network và tầng Transport

 Tốc độ xử lý cao

 Tính bảo mật cao

 Tính linh hoạt thấp

 Khả năng nâng cấp thấp

 Không kiểm tra được nội dung gói tin

Tuy nhiên hiện nay cũng có rất nhiều những tường lửa cứng có thể tích hợp nhiều chức năng Ngoài làm chức năng tường lửa bảo mật, chúng còn kèm theo các module khác như Routing, VPN,…

Hình 1 Mô hình tường lửa cứng

 Tường lửa mềm: Một vài hệ điều hành có tường lửa kèm theo, nếu hệ điều hành của bạn không có thì cũng dễ dàng kiếm được từ một số cửa hàng máy tính hay hãng phần mềm hoặc các nhà cung cấp dịch vụ Internet Một số tường lửa mềm như ISA server, Zone Alarm, Norton firewall, các phần mềm anti-virus hay các hệ điều hành đều có tính năng tường lửa,…

Đặc điểm của tường lửa mềm:

 Hoạt động ở tầng Application

 Tính linh hoạt cao: Có thể thêm, bớt các chức năng

 Có thể kiểm tra được nội dung của gói tin thông qua các từ khóa

Hình 2 Mô hình tường lửa mềm

2.3 Các công nghệ firewall

Dựa vào công nghệ sử dụng trong firewall, người ta chia firewall ra thành các loại như sau:

 Personal firewalls: Được thiết kế để bảo vệ một host duy nhất, thường được tích hợp sẵn trong các laptop, desktop…

 Packet filters: Là thiết bị được thiết kế để lọc gói tin dựa trên những đặc điểm đơn giản của gói tin [4]

Hình 3 Mô tả packet filtering firewall

 Network Address Translations (NAT) firewalls: Thực hiện chức năng chuyển đổi địa chỉ IP public thành địa chỉ IP private và ngược lại, nó cung cấp cơ chế che dấu IP các host bên trong [4]

 Circuit-level firewalls: Hoạt động tại lớp session của mô hình OSI, nó giám sát các gói tin đi qua firewall, gói tin được chỉnh sửa, điều này giúp che dấu thông tin của mạng được bảo vệ [4]

Hình 4 Mô tả circuit-level firewall

 Proxy firewalls: Hoạt động tại lớp ứng dụng của mô hình OSI, nó đóng vai trò như người trung gian giữa hai thiết bị đầu cuối Khi người dùng truy cập dịch vụ ngoài internet, proxy đảm nhận việc yêu cầu thay cho client và nhận trả lời từ server trên Internet, sau đó trả lời lại cho người dùng bên trong [4]

Hình 5 Mô tả proxy firewall

 Stateful firewalls: Được kết hợp với các firewall khác như NAT firewall, circuit-level firewall, proxy firewall thành một hệ thống firewall, nó không những kiểm tra các đặc điểm của gói tin mà còn lưu giữ và kiểm tra trạng thái của các gói tin đi qua firewall, một ví dụ cho stateful firewall là sản phẩm PIX firewall của Cisco [4]

Hình 6 Mô tả stateful firewall

 Transparent firewall: Hoạt động ở layer 2 của mô hình OSI, nó hỗ trợ khả năng lọc các gói tin IP (bao gồm IP, TCP, UDP và ICMP) Vì nó hoạt động ở layer 2 nên ta không cần cấu hình IP cũng như thay đổi IP của các thiết bị được nó bảo vệ [4]

 Virtual firewalls: Bao gồm nhiều logical firewall hoạt động trên một thiết bị thật Một trong những ứng dụng của nó hiện nay là dùng trong việc quản lý các máy ảo vmware hay hyper-v [4]

 Theo dõi và kiểm soát luồng thông tin, dữ liệu giữa Intranet và Internet:

 Việc đầu tiên và cơ bản nhất mà tất cả các firewall đều có là theo dõi

và kiểm soát luồng dữ liệu trên mạng, firewall kiểm tra các gói tin và giám sát các kết nối đang thực hiện và sau đó lọc các kết nối dựa trên kết quả kiểm tra gói tin và các kết nối được giám sát

 Packet Inspection (kiểm tra gói tin) là quá trình chặn và xử lý dữ liệu trong một gói tin để xác định xem nó được phép hay không được phép

đi qua firewall Kiểm tra gói tin có thể dựa vào các thông tin sau: Địa chỉ IP nguồn, port nguồn, địa chỉ IP đích, port đích, giao thức IP, thông tin trong header (sequence numbers, checksums, data flags, payload information…)

 Connections và state: Khi hai host muốn giao tiếp với nhau, chúng cần thiết lập một số kết nối với nhau Các kết nối phục vụ hai mục đích Thứ nhất, nó dùng để xác thực bản thân các hosts với nhau Firewall dùng các thông tin kết nối này để xác định kết nối nào được phép và

các kết nối nào không được phép Thứ hai, các kết nối dùng để xác định cách thức mà hai host sẽ liên lạc với nhau (dùng TCP hay dùng UDP…)

 Stateful Packet Inspection (giám sát gói tin theo trạng thái): Stateful packet inspection không những kiểm tra gói tin bao gồm cấu trúc, dữ liệu gói tin,… mà kiểm tra cả trạng thái gói tin

 Thiết lập cơ chế điều khiển luồng thông tin giữa mạng bên trong (Intranet) và mạng bên ngoài (Internet) Cụ thể là:

 Cho phép hoặc cấm những dịch vụ truy cập ra ngoài (từ Intranet ra Internet)

 Cho phép hoặc cấm những dịch vụ truy cập vào trong (từ Internet vào Intranet)

Hình 7 Mô tả luồng dữ liệu vào ra giữa Internet và Intranet

 Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập

 Xác thực quyền truy cập: Firewall có thể xác thực quyền truy cập bằng nhiều cơ chế khác nhau Thứ nhất, firewall có thể yêu cầu username và password của người dùng khi truy cập Sau khi firewall xác thực xong người dùng, firewall cho phép người dùng thiết lập kết nối và sau đó không hỏi username và password lại cho các lần truy cập sau (thời gian firewall hỏi lại username và password phụ thuộc vào cách cấu hình của người quản trị mạng) Thứ hai, firewall có thể xác thực người dùng bằng certificates và public key Thứ ba, firewall có thể dùng pre-shared keys (PSKs) để xác thực người dùng [4]

 Hoạt động như thiết bị trung gian: Khi user thực hiện kết nối trực tiếp ra bên ngoài sẽ đối mặt với vô số nguy cơ về bảo mật như bị virus tấn công, nhiễm

mã độc hại…, do đó việc có một thiết bị trung gian đứng ra thay mặt user bên trong để thực hiện kết nối ra bên ngoài là cần thiết để đảm bảo an toàn

Firewall được cấu hình để thực hiện chức năng này và firewall được ví như một proxy trung gian [4]

 Bảo vệ tài nguyên: Nhiệm vụ quan trọng nhất của một firewall là bảo vệ tài nguyên khỏi các mối đe dọa từ bên ngoài vào Việc bảo vệ này được thực hiện bằng cách sử dụng các quy tắc kiểm soát truy cập, kiểm tra trạng thái gói tin, dùng application proxies hoặc kết hợp tất cả để bảo vệ tài nguyên khỏi bị truy cập bất hợp pháp hay bị lạm dụng Tuy nhiên, firewall không phải là một giải pháp toàn diện để bảo vệ tài nguyên của chúng ta [4]

 Ghi nhận và báo cáo các sự kiện: Ta có thể ghi nhận các sự kiện của firewall bằng nhiều cách, nhưng hầu hết các firewall sử dụng hai phương pháp chính

là syslog và proprietaty logging format Bằng cách sử dụng một trong hai phương pháp này, chúng ta có thể dễ dàng báo cáo các sự hiện xảy ra trong

hệ thống mạng [4]

Tuy firewall có những ưu điểm nổi trội nhưng vẫn tồn tại những hạn chế khiến firewall không thể bảo vệ hệ thống an toàn một cách tuyệt đối Một số hạn chế của firewall có thể kể ra như sau:

 Firewall không đủ thông minh như con người để có thể đọc hiểu từng loại thông tin và phân tích nội dung tốt hay xấu của nó

 Firewall chỉ có thể ngăn chặn sự xâm nhập của những nguồn thông tin không mong muốn nhưng phải xác định rõ các thông số địa chỉ

 Firewall không bảo vệ được các tấn công đi vòng qua nó Ví dụ như thiết bị modems, tổ chức tin cậy, dịch vụ tin cậy (SSL/SSH) hay các kiểu tấn công dạng social engineering

 Firewall cũng không thể chống lại các cuộc tấn công bằng dữ liệu drivent attack) Khi có một số chương trình được chuyển theo thư điện tử, vượt qua tường lửa vào trong mạng được bảo vệ và bắt đầu hoạt động ở đây

(data- Firewall không thể bảo vệ chống lại việc chuyển giao giữa các chương trình hoặc tập tin nhiễm virus Bởi vì sự đa dạng của các hệ điều hành và các ứng dụng được hỗ trợ từ bên trong nội bộ

 Firewall không thể bảo vệ, chống lại các đe dọa từ bên trong Ví dụ như một nhân viên cố ý hoặc một nhân viên vô tình hợp tác với kẻ tấn công bên ngoài

2.6 Một số kiến trúc firewall

2.6.1 Kiến trúc Dual – homed Host

 Firewall kiến trúc kiểu Dual-homed Host được xây dựng dựa trên máy tính dual-homed host Một máy tính được gọi là Dual-Homed host nếu nó có ít nhất hai network interface, có nghĩa là máy đó có gắn hai card mạng giao tiếp với hai mạng khác nhau, do đó máy tính này đóng vai trò là router mềm Kiến trúc Dual-homed Host rất đơn giản, máy Dual-homed Host ở giữa, một bên được nối với Internet va bên còn lại nối với mạng nội bộ (mạng cần được

Hình 8 Mô hình kiến trúc Dual-homed Host

 Dual-homed Host chỉ có thể cung cấp các dịch vụ bằng cách ủy quyền (proxy) hoặc cho phép user đăng nhập trực tiếp vào Dual-homed Host Mọi giao tiếp từ một host trong nội bộ và host bên ngoài đều bị cấm, Dual-homed Host là nơi giao tiếp duy nhất [4]

 Ưu điểm của Dual-homed Host:

 Cài đặt dễ dàng, không yêu cầu phần cứng hoặc phần mềm đặc biệt

 Dual-homed Host chỉ yêu cầu cấm khả năng chuyển các gói tin, do đó trên các hệ điều hành linux chỉ cần cấu hình lại nhân của hệ điều hành

là đủ

 Nhược điểm của Dual-homed Host:

 Không đáp ứng được những yêu cầu bảo mật ngày càng phức tạp, cũng như những phần mềm mới được tung ra trên thị trường

 Không có khả năng chống đỡ những cuộc tấn công nhằm vào chính bản thân của Dual-homed Host, và khi Dual-homed Host bị đột nhập

nó sẽ trở thành nơi lý tưởng để tấn công vào mạng nội bộ, kẻ tấn công

sẽ thấy được toàn bộ lưu lượng trên mạng

2.6.2 Kiến trúc Screened Host

 Screened Host có cấu trúc ngược lại với cấu trúc Dual-homed Host Kiến trúc này cung cấp các dịch vụ từ một host bên trong mạng nội bộ (bastion host) và một router tách rời với mạng bên ngoài Kiến trúc này kết hợp hai

kỹ thuật, đó là packet filtering và proxy service Packet filtering được cài trên router Bastion host được đặt bên trong mạng nội bộ và nó là hệ thống duy nhất mà những host trên Internet có thể kết nối tới, bất kì một hệ thống bên ngoài nào cố gắng truy cập vào hệ thống hoặc các dịch vụ bên trong đều phải kết nối tới host này Vì thế bastion host cần được duy trì ở chế độ bảo mật cao, packet filtering cũng cho phép bastion host có thể mở kết nối ra bên ngoài [4]

Hình 9 Mô hình kiến trúc Screened Host

 Packet filtering: Lọc một số loại dịch vụ mà hệ thống muốn cung cấp sử dụng proxy server, người sử dụng nếu muốn dùng dịch vụ thì phải kết nối đến proxy server mà không được bỏ qua proxy server để kết nối trực tiếp với mạng bên trong/bên ngoài, đồng thời cho phép bastion host mở một số kết nối tới internel/external host

 Proxy service: Bastion host sẽ chứa các proxy server để phục vụ một số dịch

vụ hệ thống cung cấp cho người sử dụng qua proxy server

 Kiến trúc Screened Host hay hơn kiến trúc Dual-homed Host ở một số điểm như sau:

 Dual-homed Host: Khó có thể bảo vệ tốt vì máy này cùng lúc cung cấp nhiều dịch vụ, vi phạm quy tắc căn bản là mỗi phần tử hay thành phần nên giữ ít chức năng nếu có thể được, cũng như tốc độ đáp ứng khó có thể cao vì cùng lúc đảm nhận nhiều chức năng

 Screened Host: Đã tách chức năng lọc các gói IP và các proxy server

ở hai máy riêng biệt Packet filtering chỉ giữ những chức năng lọc gói nên có thể kiểm soát cũng như khó gây ra lỗi Proxy server được đặt ở máy khác nên khả năng phục vụ người sử dụng cao hơn ở kiến trúc Dual-homed Host

 Tương tự như kiến trúc Dual-homed Host, kiến trúc Screened Host khi bị đột nhập thành công thì lưu lượng của mạng bên trong cũng bị kiểm soát bởi kẻ tấn công Từ khuyết điểm chính của hai kiến trúc trên ta có kiến trúc Screened Subnet Host ra đời nhằm giải quyết hai khuyết điểm này

2.6.3 Kiến trúc Screened Subnet Host

 Nhằm tăng cường khả năng bảo vệ mạng nội bộ, thực hiện chiến lược phòng thủ theo chiều sâu, tăng cường sự an toàn cho bastion host, tách bastion host khỏi các host khác, người ta đưa ra kiến trúc firewall có tên là Screened Subnet Host [4]

Hình 10 Mô hình kiến trúc Screened Subnet Host

 Kiến trúc Screened Subnet Host bắt nguồn từ kiến trúc Screened Host bằng cách thêm vào phần an toàn một mạng ngoại vi (perimeter network) nhằm cô lập mạng nội bộ ra khỏi mạng bên ngoài, tách bastion host ra khỏi các host thông thường khác Kiểu Screened Subnet Host đơn giản bao gồm hai screened router:

 Router ngoài (Exterior router): Nằm giữa mạng ngoại vi và mạng ngoài có chức năng bảo vệ cho mạng ngoại vi (bastion host, interior router) Exterior router chống lại những sự tấn công chuẩn như giả mạo địa chỉ IP và điều khiển truy cập tới bastion host

 Router trong (Interior router): Nằm giữa mạng ngoại vi và mạng nội

bộ nhằm bảo vệ mạng nội bộ và mạng ngoại vi Nó không thực hiện hết các quy tắc packet filtering của toàn bộ firewall Các dịch vụ mà interior router cho phép giữa bastion host và mạng nội bộ, giữa bên ngoài và mạng nội bộ không nhất thiết phải giống nhau Interior router chỉ cho phép các hệ thống bên trong truy cập bastion host

 Ưu điểm của Screened Subnet Host:

 Kẻ tấn công cần phá vỡ ba tầng bảo vệ: Router ngoài, bastion host và router trong

 Bởi vì router ngoài chỉ quảng bá bastion host tới Internet nên hệ thống mạng nội bộ không thể nhìn thấy Chỉ có một số hệ thống đã được chọn ra trên DMZ là được biết đến bởi Internet qua routing table và DNS information exchange (Domain Name Server)

 Bởi vì router trong chỉ quảng bá bastion host tới mạng nội bộ nên các

hệ thống bên trong mạng nội bộ không thể truy cập trực tiếp tới Internet Điều này đảm bảo rằng những user bên trong bắt buộc phải truy cập qua Internet qua dịch vụ proxy

 Đối với những hệ thống yêu cầu cung cấp dịch vụ nhanh và an toàn cho nhiều người sử dụng, đồng thời nâng cao khả năng theo dõi lưu lượng thông tin của mỗi người dùng trong hệ thống và dữ liệu trao đổi giữa các người dùng trong hệ thống cần được bảo vệ thì kiến trúc cơ bản trên là phù hợp

 Để tăng độ an toàn trong internal network, kiến trúc Screened Subnet Host ở trên sử dụng thêm một dạng ngoại vi (perimeter network) để che phần nào lưu lượng bên trong internal network, tách biệt internal network với Internet

 Ngoài ra, còn có những kiến trúc biến thể khác như sử dụng nhiều bastion host, ghép chung router trong và router ngoài, ghép chung bastion host và router ngoài

Chương 3 GIẢI PHÁP TƯỜNG LỬA

Tính năng nổi bật của thiết bị Firewall ASA là:

 Đầy đủ các đặc điểm của Firewall, IPS, anti-malware và công nghệ VPN IPSec/SSL

 Có khả năng mở rộng thích nghi

 Giảm thiểu chi phí vận hành và phát triển

Ngoài Cisco ASA Firewall, thì còn có các sản phẩm tường lửa trước đây của Cisco bao gồm:

 Cisco PIX Firewalls

 Cisco FWSM (Firewall Service Module)

 Cisco IOS Firewall