Đang tải... (xem toàn văn)
Ở thời điểm hiện tại, Việt Nam đã tránh được những tác động trực tiếp và nặng nề từ COVID19, nhưng thói quen làm việc từ xa, trao đổi thông tin qua mạng sẽ tiếp tục được duy trì và ngày càng phổ biến hơn. Ngược lại, đại dịch toàn cầu lại ở một diễn biến khác, phức tạp và khó lường, vô tình “thúc đẩy” các hoạt động phạm tội của tin tặc kéo theo các vụ tấn công mã hóa dữ liệu và tống tiền trên quy mô lớn. Vì vậy, người dùng cần cảnh giác, đề phòng tấn công mạng. Tấn công giao dịch trên điện thoại tiếp tục diễn ra. Lừa đảo trên Facebook có thể gia tăng vì các quy định hạn chế đi lại giữa các quốc gia sẽ kéo theo một nhu cầu lớn về các giao dịch, gửi hàng, gửi tiền qua mạng, nhiều kẻ xấu lợi dụng tình hình này để lừa đảo, chiếm đoạt tiền. Mã độc tàng hình, mã độc mã hóa dữ liệu, phần mềm gián điệp theo dõi người dùng và đánh cắp thông tin sẽ là những loại mã độc hoành hành trong năm 2022.
MỤC LỤC THÔNG TIN KẾT QUẢ NGHIÊN CỨU Thông tin chung Mục tiêu Nội dung .5 Kết đạt MỞ ĐẦU Tổng quan tình hình nghiên cứu thuộc lĩnh vực đề tài Tính cấp thiết, ý nghĩa khoa học thực tiễn đề tài .6 LỜI CẢM ƠN .8 CHƯƠNG : TỔNG QUAN VỀ TƯỜNG LỬA .9 1.1 Các vấn đề an ninh mạng 1.2 Các phương thức công .11 1.2.1 Mã độc 11 1.2.2 Tấn công từ chối dịch vụ 14 1.2.3 Tấn công lỗ hổng bảo mật web 15 1.2.4 Sử dụng Proxy công mạng 15 1.2.5 Tấn công dựa vào yếu tố người 17 1.3 Chính sách an ninh mạng 18 1.3.1 Chính sách an tồn thơng tin 18 1.4 Bức tường lửa( firewall) 21 1.4.1 Khái niệm 21 1.4.2 Chức tường lửa 22 1.4.3 Phân loại 25 1.4.4 Các sản phẩm firewall 39 1.5 Kết luận chương 41 CHƯƠNG : HỆ THỐNG FIREWALL ASA 42 2.1 Giới thiệu 42 2.2 Dòng sản phẩm firewall ASA Cisco 42 2.2.1 ASA 5505 43 2.2.2 ASA 5510, 5520 5540 43 2.2.3 ASA 5550 44 2.2.4 ASA 5580 45 2.3 Cơ chế hoạt động .46 2.4 Các chức firewall ASA 47 2.4.1 Quản lý file .47 2.4.2 Mức độ bảo mật 47 2.4.3 Điều khiển truy cập mạng 48 2.4.4 Giao thức định tuyến 55 2.4.5 Khả chịu lỗi dự phòng 56 2.4.6 Quản lý chất lượng dịch vụ 58 2.4.7 Phát xâm nhập 60 2.4.8 Một vài chức khác 63 2.5 Kết luận chương 65 CHƯƠNG : THIẾT KẾ VÀ XÂY DỰNG MÔ PHỎNG HỆ THỐNG FIREWALL 66 ASA .66 3.1 Đặt vấn đề 66 3.1.1 Nhu cầu bảo mật .66 3.1.2 Mơ hình hệ thống .67 3.2 Công cụ sử dụng 68 3.3 Giả lập firewall ASA GNS3 .69 3.3.1 Cài đặt GNS3 69 3.3.2 Giả lập firewall ASA 70 3.4 Thiết kế hệ thống mô 72 3.4.1 Giải pháp bảo mật 72 3.4.2 Chức firewall ASA 72 3.4.3 Triển khai xây dựng hệ thống 73 3.5 Kết luận chương 82 KẾT LUẬN CHUNG 83 TÀI LIỆU THAM KHẢO 84 DANH MỤC CÁC HÌNH VẼ Hình 1-1: Mơ hình firewall 22 Hình 1-2 : Simple Access List Sample Network 30 Hình 1-3: Simple Access List 31 Hình 1-4: NAT firewall 32 Hình 1-5: Circuit-level firewall 33 Hình 1-6: Proxy firewall 33 Hình 1-7: Stateful firewall 34 Hình 1-8: Mơ hình Dual-homed host 31 Hình 1-9: Mơ hình Screened Host 36 Hình 1-10: Mơ hình Screened subnet 37 Hình 2-1: ASA 5505 43 Hình 2-2: ASA 5510 44 Hình 2-3: ASA 5550 45 Hình 2-4: ASA 5580 46 Hình 2-5: Mơ tả q trình lọc gói tường lửa 46 Hình 2-6: Mô tả chế PAT (NAT overload) 50 Hình 2-7: Minh họa liên kết chịu lỗi 54 Hình 2-8: Gói tin qua công cụ QoS 56 Hình 3-1: Sơ đồ hệ thống mạng dung firewall ASA 65 Hình 3-2: Cài đặt GNS3 68 Hình 3-3: Cài đặt GNS3 68 Hình 3-4: Cài đặt GNS3 67 Hình 3-5: Hồn tất cài đặt GNS3 69 Hình 3-6: Giả lập firewall ASA 70 Hình 3-7: Hồn tất giả lập firewall ASA 71 Hình 3-8: Mơ hình ASA GNS3 73 Hình 3-9: Giao diện firewall ASA ………………………………………………….78 Hình 3-10: Bảng NAT Cisco ASA ……………………………………………79 Hình 3-11: FTPserver Internet thành cơng ……………………………………….79 Hình 3-12: Webserver Internet thành cơng …………………………………… 80 Hình 3-13: Kết nối từ mạng nội Internet thành cơng ……………………….80 Hình 3-14: Kiểm tra kết nối vùng outside inside ……………………….81 THÔNG TIN KẾT QUẢ NGHIÊN CỨU Thông tin chung Tên đề tài: Sinh viên thực Lớp Hệ đào tạo: Điện thoại Email: Thời gian thực hiện: 2021 Mục tiêu Để hệ thống bảo vệ chống lại quan từ bên mạng Internet, giải pháp bảo mật ln ý có đóng góp lớn mạng bảo mật Trong số lượng giải pháp đó, tường lửa sử dụng hệ thống phương pháp bảo mật có khả chống lại cơng kiểu mới, xử lý vấn đề lỗ hổng từ bên hỗ trợ tốt cho phương pháp bảo mật Đồ án hướng tới người dùng nghiên cứu triển khai hệ thống tường lửa ASA Tổng hợp lý thuyết thuyết minh bảo mật nói chung hệ thống tường lửa ASA nói riêng Đồ án đưa phương pháp thiết kế xây dựng hệ thống bảo mật phương pháp tường lửa cấu hình cài đặt phương pháp cho hệ thống mơ hệ thống sử dụng tường lửa ASA Nội dung Tiểu luận bao gồm chương: Chương 1: Tổng quan tường lửa Chương 2: Hệ thống firewall ASA Chương 3: Thiết kế xây dựng mô hệ thống firewall ASA 4 Kết đạt Báo cáo tập lớn gồm: lí thuyết, slide thuyết trình triển khai Lý thuyết vấn đề an ninh mạng, phương thức công, tường lửa; giới thiệu firewall ASA, chế hoạt động chức firewall ASA Thiết kế xây dựng phương án bảo mật hệ thống firewall ASA Minh họa phương thức giả lập firewall ASA bước triển khai cấu hình ASA MỞ ĐẦU Tổng quan tình hình nghiên cứu thuộc lĩnh vực đề tài An ninh nói chung ninh mạng nói riêng vấn đề quan tâm không Việt Nam mà toàn giới Cùng với phát triển nhanh chóng mạng Internet, việc đảm bảo an ninh cho thông tin hệ thống trở nên phổ biến, cấp thiết bị hết Trong lĩnh vực an ninh mạng, tường lửa kỹ thuật tích hợp vào hệ thống mạng để chống lại quyền truy cập, nhằm bảo vệ nội dung thông tin nguồn hạn chế xâm nhập không mong muốn vào hệ thống Firewall coi hệ thống phịng thù mà kiểm tra tất luồng thông tin nhập xuất Trong hệ thống an ninh mạng sử dụng firewall giải pháp nhằm nâng cao tính bảo mật hệ thống Hiện tường lửa ASA nghiên cứu, phát triển sử dụng rộng rãi Tính cấp thiết, ý nghĩa khoa học thực tiễn đề tài Với bùng nổ ngày mạnh mẽ mạng máy tính and Internet, quốc gia, vùng lãnh thổ, ttrong công ty tất người không kết nối mạng Internet để khai thác truyền bá thơng tin Chính hệ thống thơng tin có tầm quan trọng lớn nên bảo vệ, làm nguồn tài nguyên thông tin mạng, vấn đề cần thiết chuyên gia an ninh mạng mà tất tham gia vào mạng máy tính Internet Vì vậy, việc sử dụng tường lửa cho máy tính mạng vấn đề cần thiết Đề tài nghiên cứu tổng quan tường lửa, hệ thống công thức cách thức, mạng hệ thống ninh mạng; giới thiệu ASA tường lửa, chức cách cấu hình ASA tường lửa cho hệ thống Ứng dụng tường lửa ASA nhằm kiểm sốt luồng thơng tin vào , cho phép user phép hoạt động truy cập mạng user khơng phép không truy cập trái phép, bảo vệ mạng nội bộ, chống lan truyền mã độc Ứng dụng hỗ trợ tốt cho hệ thống bảo mật phương pháp khác Đề tài tường lửa triển khai ASA phù hợp với thực tiễn, nên sử dụng rộng rãi phù hợp với doanh nghiệp vừa nhỏ LỜI CẢM ƠN Em xin bày tỏ cảm ơn sâu sắc tới tất người gia đình, thầy cơ, bạn bè Trong trình học đặc biệt thời gian thực đồ tốt nghiệp, em nhận việc giúp đỡ đặc biệt để hoàn thành đồ án Em xin chân thành cảm ơn thầy, người định hướng cho em danh mục tài liệu, đưa nhận định giá trị trực tiếp hướng dẫn, hỗ trợ em q trình nghiên cứu hồn thành văn tốt nghiệp Em xin cảm ơn thầy cô môn tận tâm giảng dạy em suốt thời gian học tập trường Cuối cùng, em xin gửi lời cảm ơn đặc biệt tới gia đình mình, nơi có thành viên cổ vũ nhiệt tình động lực để em nỗ lực học tập, nghiên cứu hoàn thiện thân Hà Nội, ngày 28 tháng 12 năm 2021 CHƯƠNG : TỔNG QUAN VỀ TƯỜNG LỬA 1.1 Các vấn đề an ninh mạng Các công mạng có chủ đích gây thiệt hại vơ to lớn Chính vậy, an ninh mạng vấn đề nóng bỏng cấp thiết Năm 2021, mức thiệt hại virus máy tính gây người dùng Việt Nam lên tới 1,2 tỷ USD , vượt qua mức tỉ USD năm 2020 Đây kết từ chương trình đánh giá an ninh mạng Tập đồn cơng nghệ Bkav thực vào tháng 12/2021 Mã độc mã hóa liệu Ransomware, virus lây qua USB, vấn nạn tin nhắn rác nguy từ cơng có chủ đích APT chủ điểm nóng năm 2016 Gây thiệt hại hàng trăm tỉ đồng công giao dịch ngân hàng Chỉ tính riêng năm 2021, hàng trăm tỷ đồng bị hacker chiếm đoạt qua công an ninh mạng liên quan đến ngân hàng, chủ yếu vụ đánh cắp mã OTP giao dịch người dùng Cách thức hacker lừa người dùng cài đặt phần mềm gián điệp điện thoại để lấy trộm tin nhắn OTP, thực giao dịch bất hợp pháp Trung bình tháng, hệ thống giám sát virus Bkav phát 15.000 phần mềm gián điệp điện thoại di động Điển hình vụ việc VN84App, phần mềm thu thập tin nhắn OTP giao dịch ngân hàng lên đến hàng tỷ đồng, lây nhiễm hàng nghìn smartphone Việt Nam Các chuyên gia khuyến cáo người sử dụng cài đặt phần mềm từ kho ứng dụng thống Quan trọng hơn, cần cài đặt thường trực phần mềm bảo vệ giao dịch ngân hàng điện thoại Tiềm ẩn hiểm họa từ trào lưu mạng xã hội Những trào lưu mạng xã hội “xem khuôn mặt bạn biến đổi nào”, “xem bạn thay đổi 10 năm qua”… “hot trend” năm 2021 Không người dùng thông thường mà nhân vật công chúng, có hàng triệu người theo dõi mạng xã hội, hưởng ứng, tham gia Các trào lưu kiểu thú vị tiềm ẩn nhiều nguy người dùng Bởi vì, tham gia trào lưu mạng đồng nghĩa bạn “tự nguyện” cung cấp hình ảnh, thơng tin cá nhân Kẻ xấu thu thập liệu nhằm mục đích trục lợi, lừa đảo Các chuyên gia Bkav cảnh báo người dùng cần cảnh giác với trào lưu mạng xã hội, hạn chế tham gia chưa biết rõ nguồn gốc, mục đích thật “hot trend” Bùng nổ mã độc tàng hình W32.Fileless Đúng nhận định cuối năm 2020 chuyên gia Bkav, hình thức cơng có chủ đích APT sử dụng mã độc tàng hình thực bùng phát năm 2021 Theo thống kê Bkav, có 800.000 máy tính Việt Nam bị nhiễm loại mã độc năm 2021, tăng gấp đôi so với năm 2020 Mã độc tàng hình Fileless loại mã độc đặc biệt, khơng có file nhị phân ổ cứng máy tính loại mã độc thông thường Kỹ thuật giúp Fileless dễ dàng qua mặt hầu hết phần mềm diệt virus thị trường phần mềm phát virus qua mẫu nhận diện Ơng Vũ Ngọc Sơn - Phó chủ tịch phụ trách mảng Chống mã độc (Anti Malware) Bkav cho biết: “W32.Fileless khiến nhà sản xuất phần mềm diệt virus phải thay đổi không muốn sản phẩm sớm trở thành vơ dụng Nhiều phần mềm diệt virus vốn có chức qt file nghi ngờ khơng có tác dụng ngăn chặn Fileless” Chuyên gia Bkav khuyến cáo, người sử dụng cần lựa chọn phần mềm diệt virus có khả phát virus thơng qua kiểm sốt hoạt động bất thường máy để tìm diệt loại virus tàng hình Xu hướng công năm 2022 Ở thời điểm tại, Việt Nam tránh tác động trực tiếp nặng nề từ COVID-19, thói quen làm việc từ xa, trao đổi thông tin qua mạng tiếp tục trì ngày phổ biến Ngược lại, đại dịch toàn cầu lại diễn biến khác, phức tạp khó lường, vơ tình “thúc đẩy” hoạt động phạm tội tin tặc kéo theo vụ cơng mã hóa liệu tống tiền quy mơ lớn Vì vậy, người dùng cần cảnh giác, đề phịng cơng mạng Tấn cơng giao dịch điện thoại tiếp tục diễn Lừa đảo Facebook gia tăng quy định hạn chế lại quốc gia kéo theo nhu cầu lớn giao dịch, gửi hàng, gửi tiền qua mạng, nhiều kẻ xấu lợi dụng tình hình để lừa đảo, chiếm đoạt tiền Mã độc tàng hình, mã độc mã hóa liệu, phần mềm gián điệp theo dõi người dùng đánh cắp thơng tin loại mã độc hồnh hành năm 2022./ 1.2 Các phương thức công 1.2.1 Mã độc Virus Về bản, chương trình lây lan (lặp lại) từ máy tính khác Một lây lan thường phải đưa vào tập tin thực thi để chạy Khi tập thực thi bị nhiễm bẩn khởi chạy, lây lan sang tập chương trình thực thi khác với nhiều tốc độ khác thường nhanh Hiểu xác để lây lan, thường hỏi số tìm hiểu người dùng Ví dụ bạn tải tập tin đính kèm từ cơng file bạn kết sau mở tập tin, lây nhiễm đến hệ thống bạn, lây nhiễm hỏi người sử dụng phải mở tập tin Virut có nhiều cách ghép lại để lồng vào chương trình thực thi.Có loại virus gọi cavity 10 Hình 3-3: Cài đặt GNS3 Bước 3: Trong hộp thoại Choose Start Menu Folder, chọn Next Bước 4: Trong hộp thoại Choose Components, chọn ứng dụng cần thiết, chọn Next Hình 3-4: Cài đặt GNS3 Bước 5: Trong hộp thoại Choose Install Location, chọn Install Bước 6: Sau cài đặt xong, chọn Next Hình 3-5: Hoàn tất cài đặt GNS3 Bước 7: Trong hộp thoại Solarwinds Standard Toolset, chọn No Bước 8: Chọn Finish để hồn tất q trình cài đặt 3.3.2 Giả lập firewall ASA Download ios ASA 8.4.2 web 69 File cài đặt ASA bao gồm file: asa842-initrd asa842-vmlinuz Khởi động GNS3 => Edit => Preferences => QEMU => Qemu Vms => New Hình 3-6: Giả lập firewall ASA Bước 1: Trong hộp thoại QEMU VM type, chọn type ASA 8.4(2), chọn Next Bước 2: Trong hộp thoai QEMU name, chọn Name ASA, chọn Next Hình 3-7: Hoàn tất giả lập firewall ASA Bước 3: Trong hộp thoai QEMU binary and memory, chọn dung lượng RAM ASA sử dụng 1024, chọn Next Bước 4: Trong hộp thoại ASA VM, Browse hai file initrd vmlinuz, chọn Finish Firewall ASA Cisco phiên 8.4.2 trở lên có hỗ trợ tính Identity Firewall tính hay mà dòng Next-generation firewall sử dụng, đặc biệt hãng Palo Alto dẫn đầu mảng 70 Palo Alto hãng đưa khái niệm tường lửa hệ Không hoạt động Layer loại tường lửa hệ trước Palo Alto Firewall hoạt động tầng ứng dụng, cung cấp giải pháp toàn diện cho người quản trị đảm bảo an ninh quản lý hệ thống Palo Alto thiết bị tường lửa dựa việc xác thực người dùng (User-ID), xác thực dựa ứng dụng (App-ID) xác thực thông qua nội dung (Content-ID) Với ứng dụng công cụ công ngày đa dạng, với thiết bị tường lửa thơng thường dựa IP, Port,… xác định ngăn chặn Hơn với chế xác thực dựa theo User-ID, App-ID, Content-ID,…giúp cho người quản trị dễ dàng nhận dạng ứng dụng, nội dung bên luồng liệu với mức độ nguy hiểm từ ngăn chặn kịp thời, có khả xác định rõ mối nguy đe dọa xuất phát từ người sử dụng Chính mà gọi Next-generation Firewall 3.4 Thiết kế hệ thống mô 3.4.1 Giải pháp bảo mật Để giải vấn đề trên, hệ thống cần bổ sung thiết bị phần cứng phần mềm nhằm ngăn chặn nguy cơng Đối với cơng từ ngồi Internet vào hệ thống mạng nội server cần: Che giấu thông tin hệ thống mạng nội bộ: sử dụng (NAT,PAT) định tuyến cho mạng NAT giúp dấu tất IP bên LAN với bên ngoài, tránh dịm ngó hackers NAT có tính linh hoạt dễ dàng việc quản lý NAT giúp cho home user doanh nghiệp nhỏ tạo kết nối với internet cách dễ dàng hiệu giúp tiết kiệm vốn đầu tư Ngăn chặn truy cập bất hợp pháp đến hệ thống mạng nội server: chia vlan; sử dụng thiết bị phát xâm nhập, phát phần mềm độc hại Đối với hệ thống mạng nội cần chia thành nhiều miền quảng bá để quản lý khoanh vùng có virut Tuy nhiên, để tăng tính bảo mật ổn định hệ thống giải pháp sử dụng thiết bị phần cứng lựa chọn thích hợp Ngồi trang thiết bị có cần trang bị thêm thiết bị firewall ASA Cisco, switch có khả chia VLAN nhằm chia mạng nội thành nhiều miền quảng bá 71 3.4.2 Chức firewall ASA Sử dụng Firewall cứng (Cisco firewall ASA) để bảo vệ hệ thống server mạng nội Firewall chia hệ thống mạng làm vùng có mức độ ưu tiên bảo mật khác nhau: Outside: vùng Internet, có mức độ ưu tiên bảo mật thấp Inside: mạng nội bộ, vùng có mức độ ưu tiên bảo vệ cao nhất, máy vùng inside có khả truy cập vùng outside Cisco ASA bảo vệ mạng bên (inside), khu phi quân (DMZ) mạng bên (outside) cách kiểm tra tất lưu lượng qua Có thể xác định sách quy tắc cho lưu lượng cho phép không cho phép qua interface Phát xâm nhập trái phép, giảm nguy bị cơng, giảm chi phí thiệt hại, tránh gián đoạn hệ thống Cơ chế theo dõi trạng thái kết nối, thực việc chuẩn hóa giao thức TCP Cisco ASA triển khai vùng biên mạng có trách nhiệm bảo vệ tài nguyên nội doanh nghiệp liệu khỏi mối đe dọa từ bên cách ngăn chặn truy cập vào từ Internet Bảo vùng LAN, DMZ khỏi cơng từ Internet Kiểm sốt lưu lượng truy cập Internet người dùng Để triển khai, thiết bị bảo mật cấu hình để thi hành sách truy cập, theo dõi trạng thái kết nối kiểm tra tải trọng gói theo cácu cầu sau: • Từ chối yêu cầu kết nối từ Internet tới nguồn nội mạng • Cho phép truy cập Internet cho người dùng nội cho giao thức cho phép theo sách doanh nghiệp (ví dụ HTTP HTTPS) • Cho phép SSL truy cập Internet để cập nhật quản trị • Cho phép người dùng truy cập vào dịch vụ DMZ trang web công ty, E-mail (HTTP, SMTP, IMAP DNS) • Hạn chế truy cập Internet vào DMZ, cho giao thức máy chủ cần thiết như: HTTP đến máy chủ web, DNS tới máy chủ DNS • Hạn chế kết nối khởi tạo từ DMZ với giao thức: DNS từ máy chủ DNS, SMTP từ máy chủ thư, HTTP/SSL Cisco • Cho phép kiểm tra trạng thái cho giao thức sử dụng để đảm bảo lưu lượng truy cập trở lại tường lửa • Thực dịch địa mạng (NAT) dịch địa cổng (PAT) để bảo vệ không gian địa nội từ Internet 72 3.4.3 Triển khai xây dựng hệ thống 3.4.3.1 Chức thực Hình 3-8: Mơ hình ASA GNS3 Vùng Inside có địa chỉ: 11.0.0.0/8 Vùng Outside có địa chỉ: 200.0.0.0/8 Vùng DMZ có địa chỉ: 10.0.0.0/8 Gán địa Internet nguồn interface loopback có địa : 100.100.100.11/24 Triển khai xây dựng hệ thống phần mềm giả lập GNS3 sử dụng Cisco ASA ta thực cơng việc sau: Cấu hình thiết bị: ASA, Router 73 Thực lệnh định tuyến phép miền inside, outside kết nối truyền thông với Thực NAT, PAT địa cổng vùng inside truy cập vùng outside 3.4.3.2 Cấu hình chi tiết a Cấu hình Cấu hình cho interface ASA, chia theo vùng DMZ, Inside, Outside: Ciscoasa > enable Ciscoasa# configure terminal Ciscoasa(config)# interface GigabitEthernet0 Ciscoasa (config-if)# nameif dmz Ciscoasa (config-if)# security-level 50 Ciscoasa (config-if)# ip address 10.0.0.1 255.0.0.0 Ciscoasa (config-if)# no shutdown Ciscoasa (config-if)#exit Ciscoasa (config)# interface GigabitEthernet1 Ciscoasa (config-if)# nameif outside Ciscoasa (config-if)# security-level Ciscoasa (config-if)# ip address 200.0.0.1 255.0.0.0 Ciscoasa (config-if)# no shutdown Ciscoasa (config)# interface GigabitEthernet2 Ciscoasa (config-if)# nameif inside Ciscoasa (config-if)# security-level 100 Ciscoasa (config-if)# ip address 11.0.0.1 255.0.0.0 Ciscoasa (config-if)# no shutdown Ciscoasa (config-if)# exit 74 Cấu hình cho Router: R1# configure terminal R1(config)#interface fastEthernet 0/0 R1(config-if)#ip address 200.0.0.2 255.0.0.0 R1(config-if)#no shutdown R1(config-if)#exit R1(config)#interface fastEthernet 0/1 R1(config-if)#ip address 100.100.100.1 255.255.255.0 R1(config-if)#no shutdown R1(config-if)#exit b Chuyển tiếp lưu lượng Trong mô hình triển khai, firewall ASA có nhiệm vụ chuyển tiếp cho tất mạng nội Internet Việc định tuyến tùy thuộc vào nhu cầu mà ta sử dụng định tuyến tĩnh (static route default-route) định tuyến động (RIP, EIGRP, OSPF) Tuy nhiên, với thiết bị định tuyến công ty quy mô không lớn, đinh tuyến tĩnh ưu tiên sử dụng Trong mơ hình ta sử dụng định tuyến mặc định (default-route) mạng nội đến Enterprise router ciscoasa(config)# route outside 0.0.0.0 0.0.0.0 200.0.0.2 c Access Control List ASA mặc định cho phép traffic từ nơi có security-level cao đến nơi có security-level thấp Cấu hình ACL cho phép tin ICMP echo-reply gửi vào cổng outside access-list acl_DMZ extended permit icmp any any echo-reply 75 Tương tự có access list outside interface phép gói tin ICMP qua: access-list acl_outside extended permit icmp any any echo-reply Với access-list , ta thiết lập access-group tương ứng access-group acl_DMZ in interface outside access-group acl_outside in interface outside Trong sơ đồ (hình 3-2), cơng ty xây dựng hệ thống Web server FTP server để hỗ trợ cho hoạt động công ty Ở đây, ta xây dựng Web server IIS FTP server vùng DMZ NAT bên cho phép tất máy tính ngồi Internet truy cập Web server cơng ty Để máy bên ngồi truy cập được, ta tạo access control list phép HTTP FTP truy cập vào: access-list icmp-in extended permit tcp any any eq www access-list icmp-in extended permit tcp any any access-list icmp-in extended permit tcp any any eq ftp d Auto NAT Như mơ hình áp dụng phổ biến hệ thống mạng các công ty, tất traffic từ mạng bên bên sử dụng chế dịch địa (PAT) Tất mạng mơ hình gồm 11.0.0.0/8 10.0.0.0/8 PAT Điều giúp tăng tính bảo mật hệ thống mạng Đối với vùng Inside: o Cấu hình Object Network: ciscoasa(config)# object network inside ciscoasa(config-network-object)#subnet 11.0.0.0 255.0.0.0 o Cấu hình PAT (dùng địa cổng outside) ciscoasa(config)# object network inside ciscoasa(config-network-object)# nat (inside,outside) dynamic interface Đối với vùng DMZ: o Cấu hình Object Network ciscoasa(config)# object network dmz 76 ciscoasa(config-network-object)#subnet 10.0.0.0 255.0.0.0 o Cấu hình PAT (dùng địa cổng outside) ciscoasa(config)# object network dmz ciscoasa(config-network-object)# nat (dmz,outside) dynamic interface e Cài đặt ASDM Để dễ dàng quản lý, cấu hình firewall ASA, Cisco phát triển tool ASDM dựa tảng web giúp quản trị viên theo dõi trạng thái thiết bị hoạt động firewall Đầu tiên ta cần copy file cài đặt ASDM vào firewall ASA qua TFTP ciscoasa# copy tftp: flash: Address or name of remote host []? 100.100.100.11 Source filename []? asdm-647.bin Destination filename [asdm-647.bin]? Accessing tftp://100.100.100.11/asdm-647.bin !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! Writing current ASDM file disk0:/asdm-647.bin !!!!!!!!!!!!!!!!!!!!!!!!!! !!!! !!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! Cấu hình load file ASDM flash ciscoasa(config)# asdm image flash:asdm-647.bin ciscoasa(config)# http server enable ciscoasa(config)#http 10.0.0.0 255.0.0.0 dmz Truy cập đến https://10.0.0.1 Giao diện firewall ASA 77 Hình 3-9: Giao diện firewall ASA 3.4.4 Kết kiểm tra hệ thống Kiểm tra bảng NAT Cisco ASA Hình 3-10: Bảng NAT Cisco ASA 78 Kiểm tra NAT từ vùng DMZ Internet Hình 3-11: FTPserver Internet thành cơng Hình 3-12: Webserver Internet thành công 79 Kiểm tra kết nối từ vùng inside ngồi Internet Hình 3-13: Kết nối từ mạng nội Internet thành công Kiểm tra kết nối từ vùng outside vào inside Vùng outside kết nối với mạng nội Hình 3-14: Kiểm tra kết nối vùng outside inside 80 3.5 Kết luận chương Hệ thống trước triển khai giải pháp an ninh hoạt động thiếu bảo vệ Các nguy cơng từ ngồi Internet hacker thường xuyên xảy ra, bên cạnh vấn đề virut lây lan nhanh chóng hệ thống mạng nội Server làm nhân viên quản trị mạng phải tốn thời gian tiền bạc để khắc phục Sau phân tích, đưa giải pháp triển khai cấu hình hệ thống an ninh sử dụng firewall ASA ta thấy hiệu rõ nét, cụ thể: Hệ thống hoạt động an toàn, ổn định Cisco ASA triển khai vùng biên mạng có trách nhiệm bảo vệ tài nguyên nội doanh nghiệp liệu khỏi mối đe dọa từ bên cách ngăn chặn truy cập vào từ Internet Bảo vùng LAN, DMZ khỏi cơng từ Internet Kiểm sốt lưu lượng truy cập Internet người dùng Các Server vùng DMZ NAT sang IP khác truy cập ngồi Internet, nguy bị cơng khó Ngồi có người dùng Internet truy cập đến hệ thống Server ln bị kiểm tra lọc kỹ danh sách kiểm tra truy cập ACL dịch vụ khác firewall ASA Tóm lại hệ thống mạng doanh nghiệp vừa nhỏ bảo vệ an toàn nhiều sau triển khai hệ thống an ninh với thiết bị bảo mật đặc biệt firewall ASA 81 KẾT LUẬN CHUNG Nghiên cứu an ninh mạng phương thức đảm bảo an toàn cho hệ thống mạng đề tài có tính chất thực tế Đồng thời mảng kiến thức rộng nhiều điều mẻ Đề tài “Nghiên cứu triển khai hệ thống firewall ASA” đề tài xây dựng hệ thống an ninh mạng dựa sở lý thuyết nghiên cứu thực tế Nhận thấy ưu điểm mà thiết bị an ninh firewall ASA mang lại cho hệ thống mạng lớn Đề tài giúp ta hiểu rõ an ninh mạng, tường lửa firewall ASA Các model firewall ASA phù hợp với với tất hệ thống doanh nghiệp vừa nhỏ hay nhà cung cấp dịch vụ Đồ án hoàn thành mục tiêu đặt thực số chức phổ biến mà quan, doanh nghiệp sử dụng đạt hiệu định lĩnh vực bảo mật hệ thống như: chia vùng mạng bản, cấu hình NAT, PAT; cấu hình Access Control List; cài đặt ASDM để theo dõi, quản lý firewall ASA Tường lửa Cisco ASA thiết bị để đảm bảo an tồn thơng tin, bảo mật hệ thống tăng suất hoạt động hệ thống nhiên cịn mắc phải số lỗ hổng, khơng có an tồn tuyệt đối nhiên để hạn chế rủi ro nên thường xuyên cập nhật thông tin nhận hỗ trợ từ Cisco Trong tương lai, đồ án hướng tới việc thực mô thêm chức mà firewall ASA hỗ trợ triển khai thực tế cho quan, doanh nghiệp 82 TÀI LIỆU THAM KHẢO Các tài liệu Tiếng Anh [1] Dave Hucaby, Cisco ASA and PIX Firewall Handbook by, Publisher: Cisco Press – 7/1/2005 [2] Harris Andrea, “Cisco-ASA-Firewall-Fundamentals-2nd-Edition” step by step configuration tutorial (CCNA,CCNP,CCSP) [3] Richard Deal, “Cisco Asa Configuration”, Network professional’s library Các tài liệu từ Internet [4] https://whitehat.vn/threads/huong-dan-gia-lap-firewall-asa-tren-gns3-p2.8104/ [5] http://svuit.vn/threads/chapter-7-7-nat-0-and-static-nat-asa-8-2-vs-asa-8-4- 1369/ [6] http://www.vnpro.vn/cac-loai-firewall-cua-cisco-va-cac-tinh-nang-tiep-theo/ [7] http://svuit.vn/threads/lab-2-5-how-to-install-asdm-on-asa-gns3-196/ [8] http://www.cisco.com/c/en/us/td/docs/solutions/Enterprise/Small_Enterprise_D esign_Profile/SEDP/chap5.html [9] https://thoibaotaichinhvietnam.vn/virus-may-tinh-gay-ton-that-1-ty-usd-trong-nam- 2020-65321.html [10] https://www.elib.vn/tai-lieu/nghien-cuu-trien-khai-he-thong-firewall-asa19213.html 83 ... mong muốn vào hệ thống Firewall coi hệ thống phòng thù mà kiểm tra tất luồng thơng tin nhập xuất Trong hệ thống an ninh mạng sử dụng firewall giải pháp nhằm nâng cao tính bảo mật hệ thống Hiện... người dùng bên Hình 1-6: Proxy firewall Stateful firewall Được kết hợp với firewall khác NAT firewall, circuit-level firewall, proxy firewall thành hệ thống firewall, khơng kiểm tra đặc điểm... chóng Do hệ điều hành mà firewall mềm chạy khơng thiết kế tối ưu cho firewall nên firewall mềm có hiệu suất thấp firewall cứng 1.4.4.2 Appliance firewall Appliance firewall – firewall cứng – firewall