CHƯƠNG I: GNS3GNS3 là một trình giả lập mạng có giao diện đồ hoạ (graphical networksimulator) cho phép bạn dễ dàng thiết kế các mô hình mạng và sau đó chạy giả lậptrên chúng. Tại thời điểm hiện tại GNS3 hỗ trợ các IOS của Router, ATM/FrameRelay/Ethernet, switch và hub. Bạn thậm chí có thể mở rộng mạng của mình bằngcách kết nối nó vào mạng ảo này. Để làm được điều này, GNS3 đã dựa trênDynamips và một phần của Dynagen, nó được phát triển bằng Python và thôngthông qua PyQt và phần giao diện đồ hoạ thì sử dụng thư viện Qt, rất nổi tiếng vềtính hữu dụng của nó trong dự án KDE. GNS3 cũng sử dụng kỹ thuật SVG (ScalableVector Graphics) để cung cấp các biểu tượng chất lượng cao cho việc thiết kế môhình mạng.
Trang 1TRƯỜNG ĐẠI HỌC MỎ ĐỊA CHẤT KHOA CÔNG NGHỆ THÔNG TIN
-*** -AN NINH MẠNG
Đề tài: Nghiên cứu và triển khai VPN trên ASA bằng GNS3
Hà Nội -2018
Giảng viên hướng dẫn:
Sinh viên thực hiện:
ThS Đỗ Như HảiNhóm 2
Trang 2MỤC LỤC
4.3 Câu lệnh cấu hình tại các router 16
Trang 3CHƯƠNG I: GNS3GNS3 là một trình giả lập mạng có giao diện đồ hoạ (graphical networksimulator) cho phép bạn dễ dàng thiết kế các mô hình mạng và sau đó chạy giả lậptrên chúng Tại thời điểm hiện tại GNS3 hỗ trợ các IOS của Router, ATM/FrameRelay/Ethernet, switch và hub Bạn thậm chí có thể mở rộng mạng của mình bằngcách kết nối nó vào mạng ảo này Để làm được điều này, GNS3 đã dựa trênDynamips và một phần của Dynagen, nó được phát triển bằng Python và thôngthông qua PyQt và phần giao diện đồ hoạ thì sử dụng thư viện Qt, rất nổi tiếng vềtính hữu dụng của nó trong dự án KDE GNS3 cũng sử dụng kỹ thuật SVG (ScalableVector Graphics) để cung cấp các biểu tượng chất lượng cao cho việc thiết kế môhình mạng.
CHƯƠNG II: VPN
2.1 Mạng riêng ảo VPN
VPN là mạng riêng ảo, Virtual Private Network, là một công nghệ mạng giúptạo kết nối mạng an toàn khi tham gia vào mạng công cộng như Internet hoặc mạngriêng do một nhà cung cấp dịch vụ sở hữu Các tập đoàn lớn, các cơ sở giáo dục và
cơ quan chính phủ sử dụng công nghệ VPN để cho phép người dùng từ xa kết nối antoàn đến mạng riêng của cơ quan mình
Trang 4Một hệ thống VPN có thể kết nối được nhiều site khác nhau, dựa trên khuvực, diện tích địa lý tượng tự như chuẩn Wide Area Network (WAN) Bên cạnh
đó, VPN còn được dùng để "khuếch tán", mở rộng các mô hình Intranet nhằm truyềntải thông tin, dữ liệu tốt hơn Ví dụ, các trường học vẫn phải dùng VPN để nối giữacác khuôn viên của trường (hoặc giữa các chi nhánh với trụ sở chính) lại với nhau
Nếu muốn kết nối vào hệ thống VPN, thì mỗi 1 tài khoản đều phải được xácthực (phải có Username và Password) Những thông tin xác thực tài khoản này đượcdùng để cấp quyền truy cập thông qua 1 dữ liệu - Personal Identification Number(PIN), các mã PIN này thường chỉ có tác dụng trong 1 khoảng thời gian nhất định(30s hoặc 1 phút)
Khi kết nối máy tính hoặc một thiết bị khác chẳng hạn như điện thoại, máytính bảng với một VPN, máy tính hoạt động giống như nó nằm trên cùng mạng nội
bộ với VPN Tất cả traffic trên mạng được gửi qua kết nối an toàn đến VPN Nhờ
đó, có thể truy cập an toàn đến các tài nguyên mạng nội bộ ngay cả khi đang ở rấtxa
Có thể sử dụng Internet giống như đang ở vị trí của của VPN, điều này manglại một số lợi ích khi sử dụng WiFi public hoặc truy cập trang web bị chặn, giới hạnđịa lý
Khi duyệt web với VPN, máy tính sẽ liên hệ với trang web thông qua kết nốiVPN được mã hóa Mọi yêu cầu, thông tin, dữ liệu trao đổi giữa thiết bị và website
sẽ được truyền đi trong một kết nối an toàn Nếu sử dụng VPN tại Hoa Kỳ để truycập vào Netflix, Netflix sẽ thấy kết nối của bạn đến từ Hoa Kỳ
Các ứng dụng của VPN:
Truy cập vào mạng doanh nghiệp khi ở xa: VPN thường được sử dụng bởi
những người kinh doanh để truy cập vào mạng lưới kinh doanh của họ, baogồm tất cả tài nguyên trên mạng cục bộ, trong khi đang đi trên đường, đi dulịch, Các nguồn lực trong mạng nội bộ không cần phải tiếp xúc trực tiếp vớiInternet, nhờ đó làm tăng tính bảo mật
Truy cập mạng gia đình, dù không ở nhà: Bạn có thể thiết lập VPN riêng để
truy cập khi không ở nhà Thao tác này sẽ cho phép truy cập Windows từ xathông qua Internet, sử dụng tập tin được chia sẻ trong mạng nội bộ, chơigame trên máy tính qua Internet giống như đang ở trong cùng mạng LAN
Duyệt web ẩn danh: Nếu đang sử dụng WiFi công cộng, duyệt web trên
những trang web không phải https, thì tính an toàn của dữ liệu trao đổi trong
Trang 5mạng sẽ dễ bị lộ Nếu muốn ẩn hoạt động duyệt web của mình để dữ liệuđược bảo mật hơn thì bạn nên kết nối VPN Mọi thông tin truyền qua mạnglúc này sẽ được mã hóa.
Truy cập đến những website bị chặn giới hạn địa lý, bỏ qua kiểm duyệt
Internet, vượt tường lửa,
Tải tập tin: Tải BitTorrent trên VPN sẽ giúp tăng tốc độ tải file Điều này
cũng có ích với các traffic mà ISP của bạn có thể gây trở ngại
2.2 Các giao thức thường dùng trong VPN:
IP security (IPSec):
Được dùng để bảo mật các giao tiếp, các luồng dữ liệu trong môi trườngInternet (môi trường bên ngoài VPN) Đây là điểm mấu chốt, lượng traffic quaIPSec được dùng chủ yếu bởi các Transport mode, hoặc các tunnel (hay gọi là hầm -khái niệm này hay dùng trong Proxy, SOCKS) để MÃ HÓA dữ liệu trong VPN
Transport mode chỉ có nhiệm vụ mã hóa dữ liệu bên trong các gói (data
package - hoặc còn biết dưới từ payload) Trong khi các Tunnel mã hóa toàn bộ cácdata package đó
Do vậy, IPSec thường được coi là Security Overlay, bởi vì IPSec dùng cáclớp bảo mật so với các Protocol khác
Secure Sockets Layer (SSL) và Transport Layer Security (TLS):
Trang 6Có 1 phần tương tự như IPSec, 2 giao thức trên cũng dùng mật khẩu để đảmbảo an toàn giữa các kết nối trong môi trường Internet.
Bên cạnh đó, 2 giao thức trên còn sử dụng chế độ Handshake - có liên quanđến quá trình xác thực tài khoản giữa client và server Để 1 kết nối được coi là thànhcông, quá trình xác thực này sẽ dùng đến các Certificate - chính là các khóa xác thựctài khoản được lưu trữ trên cả server và client
Point-To-Point Tunneling Protocol (PPTP):
Là giao thức được dùng để truyền dữ liệu qua các hầm - Tunnel giữa 2 tầngtraffic trong Internet L2TP cũng thường được dùng song song với IPSec (đóng vaitrò là Security Layer - đã đề cập đến ở phía trên) để đảm bảo quá trình truyền dữ liệucủa L2TP qua môi trường Internet được thông suốt Không giống như PPTP, VPN sẽ
"kế thừa" toàn bộ lớp L2TP/IPSec có các key xác thực tài khoản được chia sẻ hoặc
là các Certificate
Trang 7CHƯƠNG III: ASA
3.1 Giới thiệu Firewall ASA
Cisco ASA viết tắt của từ: Cisco Adaptive Security Appliance ASA là mộtgiải pháp bảo mật đầu cuối chính của Cisco Hiện tại ASA là sản phẩm bảo mật dẫnđầu trên thị trường về hiệu năng và cung cấp các mô hình phù hợp doanh nghiệp,tích hợp giải pháp bảo mật mạng
Dòng sản phẩm ASA giúp tiết kiệm chi phí, dễ dàng triển khai Nó bao gồmcác thuộc tính sau:
+ Bảo mật thời gian thực, hệ điều hành độc quyền của Cisco
+ Công nghệ Stateful firewall sử dụng thuật toán SA của Cisco
+ Sử dụng SNR để bảo mật kết nối TCP
+ Sử dụng Cut through proxy để chứng thực telnet, http, ftp
+ Chính sách bảo mật mặc định gia tăng bảo vệ mức tối đa và cũng có khảnăng tùy chỉnh những chính sách này và xây dựng lên chính sách của riêng bạn
+ VPN: IPSec, SSL và L2TP
+ Tích hợp hệ thống ngăn ngừa và phát hiện xâm nhập IDS/IPS
+ NAT động, NAT tĩnh, NAT port
+ Ảo hóa các chính sách sử dụng Context
3.2 Các model Firewall ASA
Trang 8Có tất cả 6 model khác nhau Dòng sản phẩm này phân loại khác nhau từ tổchức nhớ đến mô hình doanh nghiệp vừa hay cho nhà cung cấp dịch vụ ISP Môhình càng cao thì thông lượng, số port, chi phí càng cao Sản phẩm bao gồm : ASA
5505, 5510, 5520, 5540, 5550, 5580-20, 5580-40
Trang 9a ASA 5505
ASA 5505ASA 5505 là model nhỏ nhất trong các dòng sản phẩm của ASA, cả về kíchthước vật lý cũng như hiệu suất Nó được thiết kết dành cho các văn phòng nhỏ vàvăn phòng gia đình Đối với các doanh nghiệp lớn hơn, ASA 5505 thường được sửdụng để hỗ trợ cho các nhân viên làm việc từ xa
Có 8 cổng FastEthernet trên ASA 5505, tất cả kết nối đến một switch nội bộ
2 trong số các cổng có khả năng cung cấp Power over Ethernet (PoE) với các thiết bịkèm theo (ASA chính nó không thể hỗ trợ bởi PoE) The mặc định, tất cả 8 cổngđược kết nối đến các VLAN giống nhau trong switch, cho phép kết nối các thiết bị
để giao tiếp ở lớp 2 Các cổng của switch có thể chia thành nhiều VLAN để hỗ trợcác khu vực hoặc chức năng khác nhau trong một văn phòng nhỏ ASA kết nối vớimỗi VLAN qua các interface các nhân luận lý Bất kỳ luồng dữ liệu nào qua giữacác VLAN đều qua ASA và các chính sách bảo mật của nó
ASA 5505 có một khe Security Services Card (SSC) có thể chấp nhận mộttùy chọn AIPSSC-5 IPS module Với module được cài đặt, ASA có thể tăng cườngcác đặc tính bảo mật của nó với các chức năng mạng IPS
Trang 10b ASA 5510, 5520 và 5540
ASA 5510Các model ASA 5510, 5520 và 5540 sử dụng một khuôn chung như hình trên
và có các chỉ số ở mặt trước và các phần cứng kết nối giống nhau Các model khácnhau trong xếp hạng hiệu suất an ninh của chúng Tuy nhiên, ASA 5510 được thiếtkết cho các doanh nghiệp nhỏ và vừa (SMB) và các văn phòng từ xa của doanhnghiệp lớn ASA 5520 thích hợp cho các doanh nghiệp vừa trong khi ASA 5540dành cho các doanh nghiệp vừa và lớn và các nhà cung cấp dịch vụ mạng
ASA 5520 và 5540 có 4 cổng 10/100/100 có thể sử dụng để kết nối vào cơ sở
hạ tầng mạng 4 cổng là các interface firewall chuyên dụng và không kết nối vớinhau ASA 5510 có thể sử dụng 4 cổng 10/100 là mặc định Nếu thêm một giấy phépbảo mật được mua và kích hoạt 2 port làm việc ở 10/100/1000 và 2 portFastEthernet Một interface thứ 5 dùng để quản lý cũng có sẵn
Các ASA 5510, 5520 và 5540 có một khe cắm SSM có thể gắn card vào :
• Four-port Gigabit Ethernet SSM: module này thêm vào 4 interface firewall vật lý,hoặc 10/100/100 RJ45 hoặc small form-factor pluggable (SFP)- cổng cơ bản
• Advanced Inspection and Prevention (AIP) SSM: module này thêm các khả năngcủa mạng nội tuyến IPS để phù hợp với bảo mật của ASA
• Content Security and Control (CSC) SSM: module này các dịch vụ kiểm soát nộidung và chống virus toàn diện cho phù hợp với bảo mật của ASA
c ASA 5550
ASA 5550 được thiết kế để hỗ trợ doanh nghiệp lớn và các nhà cung cấp dịch
vụ mạng Hình trên cho thấy mặt trước và sau Chú ý rằng ASA 5550 trong giốngASA 5510, 5520 và 5540 Sự khác biệt đáng chú ý nhất là ASA 5550 có 4 cổngGigabit Ethernet (4GE-SSM) cố định trong khe cắm SSM, không thể tháo bỏ vàthay đổi
Trang 11Đặc điểm kiến trúc ASA 5550 có 2 nhóm của các interface vật lý kết nối đến
2 bus nội được chia ra Các nhóm interface được gọi là khe cắm 0 và 1 tương ứngvới bus 0 và 1 Khe cắm 0 gồm 4 cổng Gigabit Ethernet bằng đồng khe cắm 1 gồm
4 cổng SFP Gigablit Ethernet bằng đồng, mặc dù chỉ có 4 trong 8 cổng có thể được
sử dụng bất cứ lúc nào
ASA 5550 cung cấp hiệu suất cao cho các môi trường được đòi hỏi Để tối đahóa thông lượng firewall, phần lớn lưu lượng nên đi từ các switch port trên bus 0đến switch port trên bus 1 ASA có thể chuyển tiếp lưu lượng hiệu quả hơn rất nhiều
từ bus này đến bus kia nếu lưu lượng nằm trong một bus đơn
ASA 5550
d ASA 5580
ASA 5580 là một model có hiệu suất cao trong họ và được thiết kế cho cácdoanh nghiệp lớn, trung tâm dữ liệu, các nhà cung cấp dịch vụ lớn Nó có thể hỗ trợlên đến 24 Gigabit Ethernet interfaces hoặc 12 10Gigabit Ethernet interfaces Đây làmột trong hai model khung lớn hơn một đơn vị rack tiêu chuẩn (RU)
ASA 5580 có 2 model: ASA 5580-20 (5Gbps) và ASA 5580-40 (10Gbps) Bộkhung bao gồm 2 port 10/100/1000 được sử dụng cho quản lý lưu lượng out-ofband
Hệ thống cũng sử dụng nguồn cung cấp điện dự phòng kép
Trang 12ASA 5580ASA 5580 khung tổng cộng có 9 khe cắm PCI Express mở rộng khe cắm 1được dành riêng cho module mã hóa gia tốc để hỗ trợ cho các phiên làm việc VPNhiệu suất cao Khe 2-9 dành cho việc sử dụng trong tương lai, để lại 6 khe cắm cósẵn cho các card interface mạng sau đây:
4-port 10/100/1000BASE-T copper Gigabit Ethernet interfaces
4-port 1000BASE-SX fiber-optic Gigabit Ethernet interfaces
2-port 10GBASE-SR 10Gigabit Ethernet fiber-optic interfaces
3.3 Giới thiệu về các loại VPN trên ASA
a Site to Site (IPSec)
Site-to-site VPN là một giải pháp cho phép kết nối những máy tính bên trongmạng private thuộc nhiều văn phòng ở xa với nhau, các kết nối này sẽ thông quamạng internet
Trang 13Do phải đi qua hạ tầng internet chung nên để bảo bảo mật VPN Site to Site sẽ
có một số đặc điểm sau:
Confidentiality: Dùng mã hóa để chuyển clear text thành cipher text nhằm
đảm bảo tính tin cậy
Data integrity: Dùng hashing hoặc Hashed Message Authentication Code
(HMAC) để kiểm tra dữ liệu không bị thay đổi trên đường truyền
Authentication: Chứng thực VPN peer lúc khởi đầu VPN session bằng
pre-shared key (PSK) hoặc chữ ký số Chứng thực cũng có thể được thực hiệnliên tục bằng cách dùng HMAC, vì chỉ có 2 đầu của VPN session mới biếtsecret key
Antireplay support: Khi VPN được thiết lập thì các VPN peer sẽ thực hiện
đánh số cho các gói tin, và nếu một gói tin được truyền lại (có thể doattacker) thì gói tin sẽ bị drop vì thiết bị VPN tin rằng nó đã xử lý gói tinMột trong những cách để hiện thực Site-to-Site VPN là sử dụng IPSec Site-to-site IPsec VPN bao gồm các thiết bị hay hay phần mềm để thực hiện tạo IPsectunnel giữa hai VPN peer (còn được gọi là VPN gateway) Dựa trên thông tin ipaddress của các gói tin khi đến VPN gateway thì VPN gateway sẽ mã hóa và gửi vàoIPsec tunnel đã được thiệt lập để gói tin có thể đến được đích đến cần thiết, sau khiVPN gateway đầu bên kia nhận được gói tin nó sẽ tiến hành giải mã dựa trên cácthông số security association (SA) đã được thiết lập từ trước và forward đến đíchđến cần thiết
b IPSec Remote Access using VPN clients
Đáp ứng nhu cầu truy cập dữ liệu và ứng dụng cho người dùng ở xa, bênngoài công ty thông qua Internet Ví dụ khi người dùng muốn truy cập vào cơ sở dữliệu hay các file server, gửi nhận email từ các mail server nội bộ của công ty
IPSec VPN (Internet Protocol Security) là giao thức mạng về bảo mật(security) và thường được liên kết với VPN (tất nhiên bạn hoàn toàn có thể dùngIPSec ở trong mạng cục bộ LAN) IPSec VPN cho phép việc truyền tải dữ liệu được
mã hóa an toàn ở lớp mạng (Network Layer) theo mô hình OSI thông qua các router
Trang 14mạng công cộng Internet được cung cấp phổ biến hiện nay như: ADSL router, FTTHrouter.v.v VPN (ở lớp mạng-Network) đề cập đến những thách thức trong việc sửdụng Internet như là một môi trường truyền và đưa các dữ liệu đa giao thức và nhạycảm.
Đảm bao khả năng linh hoạt và mở rộng trong việc truy cập tài nguyên từ bênngoài nhưng vẫn đảm bảo tính bảo mật cao với SSL
e Clientless or WebVPN
SSL VPN, hay còn gọi là Web VPN cung cấp một sự hỗ trợ về phần mềmcisco cho việc truy cập từ xa tới mạng công ty từ bất cứ nơi đâu trên internet Truycập từ xa được cung cấp thông qua SSL (Secure Socket Layer) được enable trênVPN Gateway.Cho phép user thiết lập kết nối thông qua trình duyệt web do đónhững user từ bất cứ hệ điều hành nào như Unix, Window, MAC hay tới những user
từ quán Internet cũng có thể truy cập đến công ty mà không phải cài bất cứ soft nàonhư Cisco-vpn-client chẳng hạn Ứng dụng sẽ được cài thẳng vào router, khi người
Trang 15dùng dù ở bất kì nơi đâu miễn có một đường truyền Internet thì khi người dùng truycập vào địa chỉ bên ngoài của Gateway VPN [outside interface], router này sẽ đổsoft VPN-client xuống cho người dùng cài đặt Hầu hết cống việc của người dùngchỉ nhấn yes, hay ok.
SSL-VPN của CISCO có 3 mode:
Clientless: người dùng chỉ có thể truy cập HTTP, Share file, tất cả truy cập
đều thông qua giao diện web
Thin client: người dùng có thể remote desktop, telnet, POP3, SMTP, SSH,
IMAP, các ứng dụng port tĩnh.Dùng cơ chế TCP port forwarding, nhưngnhớ client phải cài java Port forwarding java applet
Tunnel mode: Truy cập tất cả các tài nguyên qua kết nối nhưng ta cũng có
thể hạn chế quyền của người dùng, vd: FTP mode passive, active, SQLnet,voice, …
Khi đăng nhập web VPN, client sẽ tải về soft, gói cài đặt nằm trong flashhoặc disk của router Quá trình cài đặt hầu như dễ dàng, chỉ yes và OK