TRƯỜNG …………………. KHOA……………………….  Báo cáo tốt nghiệp Đề tài: Thiết kế mạng an toàn sử dụng PIX firewall cho trường Cao đẳng cơ khí luyện kim 1 MỤC LỤC MỤC LỤC 2 LỜI NÓI ĐẦU 4 LỜI CẢM ƠN 5 LỜI CAM ĐOAN 6 CHƯƠNG 1 7 TÌM HIỂU VỀ AN NINH MẠNG VÀ CHÍNH SÁCH AN NINH 7 1. Sự cần thiết của an ninh mạng 7 2. Nhận diện các nguy cơ tiềm ẩn trong an ninh mạng 8 3. Các mối đe dọa và tấn công mạng máy tính 9 3.1. Unstructured Threats (Các mối đe dọa không có cấu trúc) 9 3.2. Structured Threats (Các mối đe dọa có cấu trúc) 9 3.3. External Threats (Các mối đe dọa bên ngoài) 10 3.4. Internal Threats (Các mối đe dọa bên trong) 10 4. Các cách thức tấn công mạng máy tính 10 4.1 Sự thăm dò - Reconnaisance 10 4.2 Truy nhập - Access 11 4.3. Cấm các dịch vụ (DoS) - Denial of Service 11 4.4. Worms, Virus và Trojan Horses 12 5. Chính sách an ninh 13 5.1 The Security Wheel (bánh xe an ninh) 13 5.2 Bảo vệ và quản lý các điểm cuối 18 5.3. Bảo vệ và quản lý mạng 20 CHƯƠNG 2 24 TƯỜNG LỬA CISCO PIX FIREWALL 24 I. Firewall và các kỹ thuật firewall 24 1. Firewall 24 2. Các kỹ thuật tường lửa 24 2.1. Kỹ thuật packet filtering 25 2.2. Kỹ thuật Proxy Server 26 2.3. Kỹ thuật stateful packet filtering 28 II. Tổng quan về PIX Firewall 28 III. Các dòng PIX Firewall và nguyên tắc hoạt động 29 1. Các dòng PIX Firewall 29 2. Nguyên tắc hoạt động của PIX Firewall 33 IV. Các lệnh duy trì thông thường của PIX Firewall 35 1. Các chế độ truy cập 35 2. Các lệnh duy trì thông thường của PIX Firewall 36 2.1. Lệnh enable 36 2.2. Lệnh enable password 37 2.3. Lệnh write 37 2.4. Lệnh telnet 38 2.5. Lệnh hostname và ping 39 2.6. Lệnh show 40 2.7. Lệnh name 40 CHƯƠNG 3 42 CẤU HÌNH, DỊCH CHUYỂN ĐỊA CHỈ VÀ ĐIỀU KHIỂN TRUY CẬP TRONG PIX FIREWALL 42 2 I. Các lệnh cấu hình cơ bản PIX Firewall 42 1. Lệnh nameif 42 2. Lệnh interface 43 3. Lệnh ip addresss 44 4. Lệnh nat 44 5. Lệnh global 45 6. Lệnh route 46 II. Dịch chuyển địa chỉ trong PIX Firewall 47 1. Tổng quan về NAT 47 1.1. Mô tả NAT 47 1.2. Nat control 48 2. Các kiểu NAT 49 2.1 Dynamic NAT 49 2.2. PAT 50 2.3. Static NAT 50 2.4. Static PAT 50 3. Cấu hình Nat Control 50 4. Sử dụng Dynamic NAT và PAT 50 5. Sử dụng lệnh Static NAT 56 6. Sử dụng Static PAT 57 III. ACCESS LIST 57 1. Tổng quan về access list 57 1.1. Thứ tự các ACE 58 1.2. Access Control Implicit Deny 58 1.3. Địa chỉ IP được sử dụng cho access list khi sử dụng NAT 58 2. Cấu hình access list 60 2.1. Câu lệnh access – list 60 2.2. Câu lệnh access – group 61 CHƯƠNG 4 62 THIẾT KỆ MẠNG AN TOÀN CHO TRƯỜNG 62 CAO ĐẲNG CƠ KHÍ LUYỆN KIM SỬ DỤNG PIX FIREWALL 62 I. Khảo sát hệ thống mạng hiện tại và các yêu cầu cần nâng cấp 62 1. Hiện trạng hệ thống 62 2. Đánh giá hiệu năng và mức an toàn của hệ thống 64 3. Các yêu cầu nâng cấp hệ thống mạng hiện tại của trường 65 II. Thiết kế hệ thống mạng sử dụng thiết bị PIX firewall 66 1. Sơ đồ thiết kế hệ thống mới 66 2. Cấp phát địa chỉ 68 3. Cấu hình mô phỏng hệ thống 70 3.1. Các phần mềm được sử dụng cho cấu hình mô phỏng 70 3.2. Thiết lập cấu hình cho hệ thống mạng 72 4. Kiểm tra cấu hình 79 KẾT LUẬN 82 TÀI LIỆU THAM KHẢO 83 3 LỜI NÓI ĐẦU Công nghệ thông tin ngày nay được ứng dụng vào tất cả các lĩnh vực của cuộc sống. Có thể thấy máy tính và mạng internet là thành phần không thể thiếu của hầu hết các công ty, trở thành công cụ hỗ trợ đắc lực cho công việc hàng ngày và các giao dịch. Tuy nhiên, sự phát triển này cũng kèm theo vấn đề an ninh máy tính đang ngày càng trở nên nóng bỏng. Tội phạm máy tính là một trong những hành vi phạm tội có tốc độ phát triển nhanh nhất trên toàn hành tinh. Vì vậy, việc xây dựng một nền an ninh máy tính, thiết kế và quản trị mạng đảm bảo và có khả năng kiểm soát rủi do liên quan đến việc sử dụng máy tính trở thành đòi hỏi không thể thiếu ở nhiều lĩnh vực. Kịp thời nắm bắt xu hướng này, trong thời gian làm đồ án thực tập tốt nghiệp em đã lựa chọn đề tài “Thiết kế mạng an toàn sử dụng PIX firewall cho trường Cao đẳng cơ khí luyện kim”. Đồ án đề cập đến các nguy cơ cũng như sự cần thiết của an ninh mạng, các đặc trưng và cấu hình cơ bản PIX firewall. Và cuối cùng là ứng dụng PIX firewall thiết kế mô hình mạng cho trường Cao đẳng cơ khí luyện kim. 4 LỜI CẢM ƠN Sau thời gian 5 năm học tập và rèn luyện tại Khoa Công nghệ thông tin và truyền thông – Đại học Thái Nguyên, đến nay em đã hoàn thành đồ án tốt nghiệp và kết thúc khóa học. Em xin gửi lời cảm ơn chân thành đến lãnh đạo khoa, toàn thể các thầy cô giáo đã tận tình giảng dạy trang bị cho chúng em những kiến thức quý báu làm hành trang cho chúng em sau này. Đặc biệt em xin gửi lời cảm ơn chân thành đến cô giáo Bùi Thị Mai Hoa – Bộ môn Kỹ thuật máy tính đã trực tiếp hướng dẫn, giúp đỡ em có thể hoàn thành đồ án này. Các ơn sự đóng góp ý kiến của các thầy cô, bạn bè để em có thể hoàn thành đồ án này. Thái Nguyên, tháng 06 năm 2009. Sinh viên Trần Giáo 5 LỜI CAM ĐOAN Đồ án tốt nghiệp này đã hoàn thành đúng thời gian quy định và đáp ứng được yêu cầu đề ra nhờ sự cố gắng nghiên cứu, học tập của bản thân và dưới sự hướng dẫn trực tiếp của Th.s Bùi Thị Mai Hoa. Em đã tham khảo một số tài liệu nêu trong phần “ Tài liệu tham khảo ” và không hề sao chép nội dung từ bất kỳ đồ án nào khác. Mọi sao chép không hợp lệ, vi phạm quy chế đào tạo, hay gian trá, em xin chịu hoàn toàn trách nhiệm trước hội đồng 6 CHƯƠNG 1 TÌM HIỂU VỀ AN NINH MẠNG VÀ CHÍNH SÁCH AN NINH 1. Sự cần thiết của an ninh mạng An ninh mạng là vấn đề cần thiết bởi vì Internet là một mạng của các mạng có mối liên hệ với nhau không có ranh giới. Vì lý do này mà mạng của các tổ chức có thể được sử dụng và cũng có thể bị tấn công từ bất kỳ một máy tính nào trên thế giới. Khi một công ty sử dụng Internet trong kinh doanh, các nguy cơ mới sẽ phát sinh từ những người mà không cần thiết phải truy cập đến tài nguyên máy tính của công ty thông qua môi trường vật lý. Trong một nghiên cứu gần đây của Computer Security Institute (CIS), 70% các tổ chức bị mất mát thông tin do vấn đề an ninh mạng có lỗ thủng và 60% trong số đó nguyên nhân là do chính trong nội bộ công ty của họ. Cùng với sự phát triển của máy tính, mạng LAN và mạng Internet, hệ thống mạng ngày nay càng được mở rộng. Khi thương mại điện tử và nhiều ứng dụng trên Internet phát triển, việc tìm ra các phương thức an toàn thông tin là điều vô cùng quan trọng, kèm theo đó là khả năng tìm và nhận dạng những mối nguy hiểm gây hại cho hệ thống thông tin. Hơn nữa sự phát triển của thế giới mạng di động và mạng không dây đã đánh dấu những bước tiến vượt bậc trong thế giới công nghệ thông tin, loại bỏ những mô hình cũ đồng thời yêu cầu có những giải pháp bảo mật linh hoạt hơn, hiệu quả hơn. Việc sử dụng máy tính đã trở nên phổ biến, số lượng máy tính ngày càng tăng, hệ thống mạng LAN theo đó cũng tăng theo, mạng toàn cầu Internet được sử dụng rộng rãi kéo theo đó là sự xuất hiện những nguy cơ mới về bảo mật, khó kiểm soát hơn. Để giải quyết những nguy cơ này, giải pháp được đưa ra là sử dụng thiết bị tường lửa (firewall), công nghệ này giúp cho các doanh nghiệp khả thi hơn trong bảo mật thông tin của mình khi truy cập Internet. Ngày nay những yêu cầu đặt ra cho hệ thống bảo mật bao gồm : 7 • Người sử dụng chỉ có thể thực thi những quyền lợi được cấp phép. • Người sử dụng chỉ có được những thông tin, dữ liệu được cho phép. • Người sử dụng không thể phá hủy dữ liệu, thông tin hay những ứng dụng mà hệ thống sử dụng. 2. Nhận diện các nguy cơ tiềm ẩn trong an ninh mạng Việc phân tích các rủi ro có thể xác định được các mối nguy cơ đối với mạng, tài nguyên mạng và dữ liệu mạng. Mục đích của việc làm này là xác định các thành phần của mạng, đánh giá tầm quan trọng của mỗi thành phần và sau đó áp dụng mức độ bảo mật phù hợp. + Asset Identification (nhận diện tài sản trong mạng) Trước khi ta tiến hành bảo mật cho mạng, cần phải xác định các thành phần có trong mạng. Mỗi cơ quan hay tổ chức nên tiến hành kiểm kê tài sản tồn tại trong mạng của mình.Các tài sản đó bao gồm cả các thiết bị mạng và các điểm cuối ( endpoint) như host, server. + Vulnerability Assenssment ( đánh giá các lỗ hổng hệ thống ) Các thành phần của mạng máy tính luôn luôn đứng trước nguy cơ bị tấn công từ những kẻ xấu. Nguyên nhân có thể do sự yếu kém về công nghệ, về các cấu hình hoặc do chính sách an ninh chưa thỏa đáng. Tuy nhiên, có thể hạn chế hay khống chế các cuộc tấn công này bằng nhiều phương thức khác nhau như: sử dụng phần mềm, cấu hình lại thiết bị mạng, hoặc là triển khai các biện pháp đối phó (Firewall, phần mềm Anti-virus ). + Threat Identification ( nhận diện các mối đe dọa ) Một lời đe dọa là một sự kiện mang lại lợi thế cho các cuộc tấn công mạng máy tính và là nguyên nhân của các tác động không tốt trên mạng. Vì vậy, việc xác định các mối đe dọa tiềm ẩn trong mạng là rất quan trọng, các cuộc tấn công liên quan cần được lưu ý để hạn chế, giảm bớt mức độ nguy hiểm. 8 3. Các mối đe dọa và tấn công mạng máy tính Có 4 mối đe dọa chính đối với an ninh mạng Hình 1. Các mối đe dọa đối với an ninh mạng 3.1. Unstructured Threats (Các mối đe dọa không có cấu trúc) Mối đe dọa không có cấu trúc thông thường là những cá nhân thiếu kinh nghiệm sử dụng các công cụ đơn giản, sẵn có trên Internet. Một số người thuộc dạng này có động cơ là mục đích phá hoại, nhưng phần lớn có động cơ là trổ tài trí óc và rất tầm thường. Phần lớn họ không phải là những người tài giỏi hoặc là những attacker có kinh nghiệm, nhưng họ có những động cơ thúc đẩy, mà những động cơ đó đều quan trọng. 3.2. Structured Threats (Các mối đe dọa có cấu trúc) Mối đe dọa có cấu trúc bao gồm các attacker, những người có động cơ cao hơn và có kỹ thuật thành thạo hơn. Thông thường họ hiểu biết về thiết kế hệ thống mạng và những chỗ có thể tấn công, và họ có thể hiểu cũng như tạo ra các đoạn mã để thâm nhập vào những hệ thống mạng này 9 3.3. External Threats (Các mối đe dọa bên ngoài) Mối đe dọa từ bên ngoài là những cá nhân, tổ chức làm việc ở bên ngoài công ty.Họ không có quyền truy cập đến hệ thống mạng hoặc hệ thống máy tính của công ty. Họ làm việc theo cách thức của họ để vào trong mạng chính từ mạng Internet hoặc mạng quay số truy cập vào servers 3.4. Internal Threats (Các mối đe dọa bên trong) Mối đe dọa từ bên trong xảy ra khi một số người có quyền truy cập đến hệ thống mạng thông qua một tài khoản trên một server hoặc truy cập trực tiếp thông qua môi trường vật lý. Thông thường những người này đang có bất bình với những thành viên hiện tại hoặc trước đó hoặc bất bình với giám đốc công ty hoặc các chính sách của công ty. 4. Các cách thức tấn công mạng máy tính Có 4 cách thức tấn công mạng máy tính Hình 2. Các kiểu tấn công vào mạng máy tính 4.1 Sự thăm dò - Reconnaisance Thăm dò là một hình thức tính toán, khám phá bất hợp pháp hệ thống, các dịch vụ hoặc những điểm dễ bị tấn công nhất. Nó còn được biết đến như là việc 10 [...]... cảnh báo từ những máy scanner 5.3 Bảo vệ và quản lý mạng 5.3.1 Các thành phần và công nghệ cơ sở của an ninh mạng Firewall trên nền trang thiết bị (Appliance-based Firewalls) Firewall trên nền trang thiết bị được thiết kế với nền tảng không có ổ cứng Điều này cho phép quá trình Boot nhanh hơn, kiểm tra giao thông ở tốc độ dữ liệu bậc cao và giảm nhẹ thất bại Giải pháp của Cisco bao gồm một IOS Firewall. .. dữ liệu trong một bảng cho mỗi kết nối Bảng này như là một điểm tham chiếu để xác định gói tin có thuộc về một kết nối đang tồn tại hay không hoặc là từ một nguồn trái phép II Tổng quan về PIX Firewall PIX firewall là một yếu tố chính trong toàn bộ giải pháp an ninh end-to-end của Cisco PIX Firewall là một giải pháp an ninh phần cứng và phần mềm chuyên dụng và mức độ bảo mật cao hơn mà không ảnh hưởng... cao nhất cho một interface Nó được sử dụng cho inside interface ( cổng vào ) của PIX, là cấu hình mặc định cho PIX và không thể thay đổi Vì vậy mạng của tổ chức thường ở sau interface này, không ai có thể truy nhập vào mạng này trừ khi được phép thực hiện điều đó Việc cho phép đó phải được cấu hình trên PIX; các thiết bị trong mạng này có thể truy nhập ra mạng outside • Mức từ 1 đến 99: Được dành cho. .. gồm một lưới an ninh và các giao thức chứng thực như là Internet Key Exchange (IKE) và Public Key Infrastructure (PKI) Các máy clients ở xa có thể truy cập một cách an toàn đến mạng của công ty thông qua các ISPs của họ III Các dòng PIX Firewall và nguyên tắc hoạt động 1 Các dòng PIX Firewall 29 PIX 501 Hình 3.1 PIX 501 • Kích cỡ 1.0 x 6.25 x 5.5 inches và 0.75 pounds • Được thiết kế cho các văn phòng... các thiết bị thông thường được sử dụng Cuối cùng là cân nhắc đến an ninh về mặt vật lý của hệ thống mạng và cách bảo vệ nó Việc truy xuất về mặt vật lý đến một máy tính, router, hoặc tường lửa có thể mang lại cho người sử dụng khả năng tổng điều khiển trên toàn bộ thiết bị Sau chính sách an ninh được phát triển thì nó phải phù hợp với bánh xe an ninh ở phía trên - bốn bước kế tiếp của Security Wheel cần... VPN 20 Một mạng riêng ảo là bất kỳ mạng máy tính nào được xây dựng trên một mạng công cộng và được phân chia sử dụng cho các cá nhân riêng lẻ FrameRelay, X25 và ATM được xem là các VPN lớp 2 trong mô hình OSI Những dạng khác của VPN là các IP VPN, được xem là các VPN lớp 3 Về căn bản, có 3 dạng khác nhau của VPN mà doanh nghiệp sử dụng • Remote-access VPNs • Site-to-site extranet and intranet VPNs •... các văn phòng nhỏ, tốc độ an toàn cao, trên những môi trường trải rộng • Thông lượng là 60 Mbps đối với dữ liệu text • Hỗ trợ 1 cổng 10/100BASE-T Ethernet và 1 switch 4 cổng • Thông lượng VPN  3 Mbps 3DES  4.5 Mbps 128-bit AES • Kết nối 10 mạng VPN ngang hàng đồng thời PIX 506E Hình 3.2 PIX 506E Là giải pháp bảo mật cho các văn phòng ở xa, các chi nhánh công ty và các mạng doanh nghiệp nhỏ, trung bình... MB 2 Nguyên tắc hoạt động của PIX Firewall Nguyên tắc chung của firewall (kể cả firewall dạng phần mềm như proxy hay dạng thiết bị cứng như là PIX) là bắt gói dữ liệu đi ngang qua nó và so sánh với các luật đã thiết lập Nếu thấy không vi phạm luật nào thì cho đi qua, ngược lại thì hủy gói dữ liệu PIX firewall hoạt động dựa trên cơ chế ASA (Adaptive Security Algorithm) sử dụng Security level (mức độ bảo... Security level cao hơn, một có Security level thấp hơn Vấn đề cốt lõi của các thiết bị an ninh là thuật toán An ninh tổng hợp (Adaptive Security Algorithm - ASA) Giải thuật ASA duy trì vành đai an toàn giữa các mạng điều khiển bởi thiết bị an ninh ASA tuân theo các quy luật sau: • Không gói tin nào đi qua PIX mà không có một kết nối và trạng thái • Cho phép các kết nối ra bên ngoài, trừ những kết nối bị... tường lửa có thể sử dụng packet filtering để giới hạn thông tin đi vào một mạng hoặc thông tin di chuyển từ một đoạn mạng này sang một đoạn mạng khác Packet filtering sử dụng danh sách điều khiển truy cập (ACLs), nó cho phép một tường lửa xác nhận hay phủ nhận việc truy cập dựa trên kiểu của gói tin và các biến khác 25 Phương pháp này có hiệu quả khi một mạng được bảo vệ nhận gói tin từ một mạng không được . trong thời gian làm đồ án thực tập tốt nghiệp em đã lựa chọn đề tài “Thiết kế mạng an toàn sử dụng PIX firewall cho trường Cao đẳng cơ khí luyện kim”. Đồ án đề cập đến các nguy cơ cũng như. TRƯỜNG …………………. KHOA……………………….  Báo cáo tốt nghiệp Đề tài: Thiết kế mạng an toàn sử dụng PIX firewall cho trường Cao đẳng cơ khí luyện kim 1 MỤC LỤC MỤC. của an ninh mạng, các đặc trưng và cấu hình cơ bản PIX firewall. Và cuối cùng là ứng dụng PIX firewall thiết kế mô hình mạng cho trường Cao đẳng cơ khí luyện kim. 4 LỜI CẢM ƠN Sau thời gian