Đang tải... (xem toàn văn)
Thiết kế mạng an toàn sử dụng Pix firewall cho trường cao đẳng cơ khí luyện kim.
LỜI NÓI ĐẦUCông nghệ thông tin ngày nay được ứng dụng vào tất cả các lĩnh vực của cuộc sống. Có thể thấy máy tính và mạng internet là thành phần không thể thiếu của hầu hết các công ty, trở thành công cụ hỗ trợ đắc lực cho công việc hàng ngày và các giao dịch. Tuy nhiên, sự phát triển này cũng kèm theo vấn đề an ninh máy tính đang ngày càng trở nên nóng bỏng. Tội phạm máy tính là một trong những hành vi phạm tội có tốc độ phát triển nhanh nhất trên toàn hành tinh. Vì vậy, việc xây dựng một nền an ninh máy tính, thiết kế và quản trị mạng đảm bảo và có khả năng kiểm soát rủi do liên quan đến việc sử dụng máy tính trở thành đòi hỏi không thể thiếu ở nhiều lĩnh vực. Kịp thời nắm bắt xu hướng này, trong thời gian làm đồ án thực tập tốt nghiệp em đã lựa chọn đề tài “Thiết kế mạng an toàn sử dụng PIX firewall cho trường Cao đẳng cơ khí luyện kim”. Đồ án đề cập đến các nguy cơ cũng như sự cần thiết của an ninh mạng, các đặc trưng và cấu hình cơ bản PIX firewall. Và cuối cùng là ứng dụng PIX firewall thiết kế mô hình mạng cho trường Cao đẳng cơ khí luyện kim.1 LỜI CẢM ƠNSau thời gian 5 năm học tập và rèn luyện tại Khoa Công nghệ thông tin và truyền thông – Đại học Thái Nguyên, đến nay em đã hoàn thành đồ án tốt nghiệp và kết thúc khóa học. Em xin gửi lời cảm ơn chân thành đến lãnh đạo khoa, toàn thể các thầy cô giáo đã tận tình giảng dạy trang bị cho chúng em những kiến thức quý báu làm hành trang cho chúng em sau này.Đặc biệt em xin gửi lời cảm ơn chân thành đến cô giáo Bùi Thị Mai Hoa – Bộ môn Kỹ thuật máy tính đã trực tiếp hướng dẫn, giúp đỡ em có thể hoàn thành đồ án này. Các ơn sự đóng góp ý kiến của các thầy cô, bạn bè để em có thể hoàn thành đồ án này.Thái Nguyên, tháng 06 năm 2009.Sinh viênTrần Giáo2 LỜI CAM ĐOANĐồ án tốt nghiệp này đã hoàn thành đúng thời gian quy định và đáp ứng được yêu cầu đề ra nhờ sự cố gắng nghiên cứu, học tập của bản thân và dưới sự hướng dẫn trực tiếp của Th.s Bùi Thị Mai Hoa. Em đã tham khảo một số tài liệu nêu trong phần “ Tài liệu tham khảo ” và không hề sao chép nội dung từ bất kỳ đồ án nào khác. Mọi sao chép không hợp lệ, vi phạm quy chế đào tạo, hay gian trá, em xin chịu hoàn toàn trách nhiệm trước hội đồng3 MỤC LỤCLỜI NÓI ĐẦU .1LỜI CẢM ƠN 2LỜI CAM ĐOAN 3MỤC LỤC 4CHƯƠNG 1 .6TÌM HIỂU VỀ AN NINH MẠNG VÀ CHÍNH SÁCH AN NINH .61. Sự cần thiết của an ninh mạng .62. Nhận diện các nguy cơ tiềm ẩn trong an ninh mạng .73. Các mối đe dọa và tấn công mạng máy tính .83.1. Unstructured Threats (Các mối đe dọa không có cấu trúc) 83.2. Structured Threats (Các mối đe dọa có cấu trúc) .83.3. External Threats (Các mối đe dọa bên ngoài) 93.4. Internal Threats (Các mối đe dọa bên trong) .94. Các cách thức tấn công mạng máy tính .94.1 Sự thăm dò - Reconnaisance .94.2 Truy nhập - Access 104.3. Cấm các dịch vụ (DoS) - Denial of Service .104.4. Worms, Virus và Trojan Horses .115. Chính sách an ninh .125.1 The Security Wheel (bánh xe an ninh) 125.2 Bảo vệ và quản lý các điểm cuối .175.3. Bảo vệ và quản lý mạng .19CHƯƠNG 2 .23TƯỜNG LỬA CISCO PIX FIREWALL 23I. Firewall và các kỹ thuật firewall 231. Firewall 232. Các kỹ thuật tường lửa 232.1. Kỹ thuật packet filtering 242.2. Kỹ thuật Proxy Server 252.3. Kỹ thuật stateful packet filtering 27II. Tổng quan về PIX Firewall .27III. Các dòng PIX Firewall và nguyên tắc hoạt động .281. Các dòng PIX Firewall 282. Nguyên tắc hoạt động của PIX Firewall .32IV. Các lệnh duy trì thông thường của PIX Firewall 341. Các chế độ truy cập .342. Các lệnh duy trì thông thường của PIX Firewall 352.1. Lệnh enable .352.2. Lệnh enable password 362.3. Lệnh write .362.4. Lệnh telnet 372.5. Lệnh hostname và ping .382.6. Lệnh show .392.7. Lệnh name 39CHƯƠNG 3 .414 CẤU HÌNH, DỊCH CHUYỂN ĐỊA CHỈ VÀ ĐIỀU KHIỂN TRUY CẬP TRONG PIX FIREWALL 41I. Các lệnh cấu hình cơ bản PIX Firewall .411. Lệnh nameif .412. Lệnh interface 423. Lệnh ip addresss 434. Lệnh nat .435. Lệnh global 446. Lệnh route 45II. Dịch chuyển địa chỉ trong PIX Firewall .461. Tổng quan về NAT 461.1. Mô tả NAT 461.2. Nat control 472. Các kiểu NAT 482.1 Dynamic NAT .482.2. PAT .492.3. Static NAT .492.4. Static PAT .493. Cấu hình Nat Control .494. Sử dụng Dynamic NAT và PAT .495. Sử dụng lệnh Static NAT .556. Sử dụng Static PAT .56III. ACCESS LIST .561. Tổng quan về access list 561.1. Thứ tự các ACE 571.2. Access Control Implicit Deny 571.3. Địa chỉ IP được sử dụng cho access list khi sử dụng NAT .572. Cấu hình access list 592.1. Câu lệnh access – list 592.2. Câu lệnh access – group .60CHƯƠNG 4 .61THIẾT KỆ MẠNG AN TOÀN CHO TRƯỜNG 61CAO ĐẲNG CƠ KHÍ LUYỆN KIM SỬ DỤNG PIX FIREWALL 61I. Khảo sát hệ thống mạng hiện tại và các yêu cầu cần nâng cấp .611. Hiện trạng hệ thống .612. Đánh giá hiệu năng và mức an toàn của hệ thống 633. Các yêu cầu nâng cấp hệ thống mạng hiện tại của trường .64II. Thiết kế hệ thống mạng sử dụng thiết bị PIX firewall .651. Sơ đồ thiết kế hệ thống mới 652. Cấp phát địa chỉ .673. Cấu hình mô phỏng hệ thống 693.1. Các phần mềm được sử dụng cho cấu hình mô phỏng 693.2. Thiết lập cấu hình cho hệ thống mạng .714. Kiểm tra cấu hình .78KẾT LUẬN 81TÀI LIỆU THAM KHẢO .825 CHƯƠNG 1TÌM HIỂU VỀ AN NINH MẠNG VÀ CHÍNH SÁCH AN NINH1. Sự cần thiết của an ninh mạngAn ninh mạng là vấn đề cần thiết bởi vì Internet là một mạng của các mạng có mối liên hệ với nhau không có ranh giới. Vì lý do này mà mạng của các tổ chức có thể được sử dụng và cũng có thể bị tấn công từ bất kỳ một máy tính nào trên thế giới. Khi một công ty sử dụng Internet trong kinh doanh, các nguy cơ mới sẽ phát sinh từ những người mà không cần thiết phải truy cập đến tài nguyên máy tính của công ty thông qua môi trường vật lý.Trong một nghiên cứu gần đây của Computer Security Institute (CIS), 70% các tổ chức bị mất mát thông tin do vấn đề an ninh mạng có lỗ thủng và 60% trong số đó nguyên nhân là do chính trong nội bộ công ty của họ.Cùng với sự phát triển của máy tính, mạng LAN và mạng Internet, hệ thống mạng ngày nay càng được mở rộng. Khi thương mại điện tử và nhiều ứng dụng trên Internet phát triển, việc tìm ra các phương thức an toàn thông tin là điều vô cùng quan trọng, kèm theo đó là khả năng tìm và nhận dạng những mối nguy hiểm gây hại cho hệ thống thông tin. Hơn nữa sự phát triển của thế giới mạng di động và mạng không dây đã đánh dấu những bước tiến vượt bậc trong thế giới công nghệ thông tin, loại bỏ những mô hình cũ đồng thời yêu cầu có những giải pháp bảo mật linh hoạt hơn, hiệu quả hơn.Việc sử dụng máy tính đã trở nên phổ biến, số lượng máy tính ngày càng tăng, hệ thống mạng LAN theo đó cũng tăng theo, mạng toàn cầu Internet được sử dụng rộng rãi kéo theo đó là sự xuất hiện những nguy cơ mới về bảo mật, khó kiểm soát hơn. Để giải quyết những nguy cơ này, giải pháp được đưa ra là sử dụng thiết bị tường lửa (firewall), công nghệ này giúp cho các doanh nghiệp khả thi hơn trong bảo mật thông tin của mình khi truy cập Internet.Ngày nay những yêu cầu đặt ra cho hệ thống bảo mật bao gồm : • Người sử dụng chỉ có thể thực thi những quyền lợi được cấp phép.• Người sử dụng chỉ có được những thông tin, dữ liệu được cho phép.6 • Người sử dụng không thể phá hủy dữ liệu, thông tin hay những ứng dụng mà hệ thống sử dụng.2. Nhận diện các nguy cơ tiềm ẩn trong an ninh mạngViệc phân tích các rủi ro có thể xác định được các mối nguy cơ đối với mạng, tài nguyên mạng và dữ liệu mạng. Mục đích của việc làm này là xác định các thành phần của mạng, đánh giá tầm quan trọng của mỗi thành phần và sau đó áp dụng mức độ bảo mật phù hợp.+ Asset Identification (nhận diện tài sản trong mạng)Trước khi ta tiến hành bảo mật cho mạng, cần phải xác định các thành phần có trong mạng. Mỗi cơ quan hay tổ chức nên tiến hành kiểm kê tài sản tồn tại trong mạng của mình.Các tài sản đó bao gồm cả các thiết bị mạng và các điểm cuối ( endpoint) như host, server.+ Vulnerability Assenssment ( đánh giá các lỗ hổng hệ thống )Các thành phần của mạng máy tính luôn luôn đứng trước nguy cơ bị tấn công từ những kẻ xấu. Nguyên nhân có thể do sự yếu kém về công nghệ, về các cấu hình hoặc do chính sách an ninh chưa thỏa đáng. Tuy nhiên, có thể hạn chế hay khống chế các cuộc tấn công này bằng nhiều phương thức khác nhau như: sử dụng phần mềm, cấu hình lại thiết bị mạng, hoặc là triển khai các biện pháp đối phó (Firewall, phần mềm Anti-virus ).+ Threat Identification ( nhận diện các mối đe dọa )Một lời đe dọa là một sự kiện mang lại lợi thế cho các cuộc tấn công mạng máy tính và là nguyên nhân của các tác động không tốt trên mạng. Vì vậy, việc xác định các mối đe dọa tiềm ẩn trong mạng là rất quan trọng, các cuộc tấn công liên quan cần được lưu ý để hạn chế, giảm bớt mức độ nguy hiểm.7 3. Các mối đe dọa và tấn công mạng máy tínhCó 4 mối đe dọa chính đối với an ninh mạngHình 1. Các mối đe dọa đối với an ninh mạng3.1. Unstructured Threats (Các mối đe dọa không có cấu trúc) Mối đe dọa không có cấu trúc thông thường là những cá nhân thiếu kinh nghiệm sử dụng các công cụ đơn giản, sẵn có trên Internet. Một số người thuộc dạng này có động cơ là mục đích phá hoại, nhưng phần lớn có động cơ là trổ tài trí óc và rất tầm thường. Phần lớn họ không phải là những người tài giỏi hoặc là những attacker có kinh nghiệm, nhưng họ có những động cơ thúc đẩy, mà những động cơ đó đều quan trọng.3.2. Structured Threats (Các mối đe dọa có cấu trúc)Mối đe dọa có cấu trúc bao gồm các attacker, những người có động cơ cao hơn và có kỹ thuật thành thạo hơn. Thông thường họ hiểu biết về thiết kế hệ thống mạng và những chỗ có thể tấn công, và họ có thể hiểu cũng như tạo ra các đoạn mã để thâm nhập vào những hệ thống mạng này8 3.3. External Threats (Các mối đe dọa bên ngoài)Mối đe dọa từ bên ngoài là những cá nhân, tổ chức làm việc ở bên ngoài công ty.Họ không có quyền truy cập đến hệ thống mạng hoặc hệ thống máy tính của công ty. Họ làm việc theo cách thức của họ để vào trong mạng chính từ mạng Internet hoặc mạng quay số truy cập vào servers3.4. Internal Threats (Các mối đe dọa bên trong)Mối đe dọa từ bên trong xảy ra khi một số người có quyền truy cập đến hệ thống mạng thông qua một tài khoản trên một server hoặc truy cập trực tiếp thông qua môi trường vật lý. Thông thường những người này đang có bất bình với những thành viên hiện tại hoặc trước đó hoặc bất bình với giám đốc công ty hoặc các chính sách của công ty.4. Các cách thức tấn công mạng máy tínhCó 4 cách thức tấn công mạng máy tínhHình 2. Các kiểu tấn công vào mạng máy tính4.1 Sự thăm dò - ReconnaisanceThăm dò là một hình thức tính toán, khám phá bất hợp pháp hệ thống, các dịch vụ hoặc những điểm dễ bị tấn công nhất. Nó còn được biết đến như là việc 9 thu thập thông tin. Trong hầu hết các trường hợp nó xảy ra trước so với các hành động truy xuất hợp pháp khác hoặc là tấn công theo kiểu DoS. Kẻ thâm nhập đầu tiên sẽ quét mạng đích để xác định các địa chỉ IP còn hoạt động. Sau khi hoàn thành việc này, tin tặc sẽ quyết định các dịch vụ hoặc các cổng được kích hoạt trên các địa chỉ IP này. Từ những thông tin này, tin tặc tính toán để quyết định ứng kiểu của ứng dụng và phiên bản cũng như là kiểu và phiên bản của hệ điều hành đang chạy trên host đích.4.2 Truy nhập - AccessTruy cập là một hình thức vượt qua giới hạn để xử lý dữ liệu trái phép, truy cập hệ thống hoặc tiến vào chế độ đặc quyền. Truy tìm dữ liệu trái phép thông thường là việc đọc, ghi, sao chép hoặc gỡ bỏ các files mà nó không thể được sử dụng bởi những kẻ thâm nhập. Truy cập hệ thống là khả năng của kẻ thâm nhập dành quyền truy cập vào một máy mà nó không được phép truy cập (ví dụ như kẻ thâm nhập không có tài khoản hoặc mật khẩu). Nhập hoặc truy cập vào hệ thống mà nó không có quyên truy cập thông thường bao gồm việc chạy các hack, các đoạn kịch bản hoặc các công cụ để khai thác các lỗ hổng của hệ thống hoặc các ứng dụng.Một dạng khác của tấn công theo kiểu truy cập là tiến tới chế độ đặc quyền. Việc này được thực hiện bởi những người sử dụng hợp pháp với quyền truy cập thấp hoặc đối với những kẻ thâm nhập có quyền truy cập thấp. Mục đích là để thu thập thông tin hoặc thực thi các thủ tục mà nó không được phép ở cấp độ truy cập hiện tại. Trong một vài trường hợp kẻ thâm nhập chỉ muốn dành quyền truy cập mà không muốn lấy cắp thông tin – đặc biệt khi động cơ là sự tranh tài về trí tuệ, tò mò hoặc là do không biết gì.4.3. Cấm các dịch vụ (DoS) - Denial of ServiceĐây là kiểu tấn công làm tê liệt hệ thống, làm mất khả năng cung cấp dịch vụ (Denial of Service - DoS) không cho hệ thống thực hiện được các chức năng mà nó được thiết kế. Kiểu tấn công này rất khó ngăn chặn bởi chính những phương tiện dùng để tổ chức tấn công lại chính là những phương tiện dùng để làm việc và truy cập thông tin trên mạng. Một thí dụ về trường hợp có thể xảy ra là một người trên mạng sử dụng chương trình đẩy ra những gói tin yêu cầu về một trạm nào đó. Khi 10 [...]... và công nghệ cơ sở của an ninh mạng Firewall trên nền trang thiết bị (Appliance-based Firewalls) Firewall trên nền trang thiết bị được thiết kế với nền tảng không có ổ cứng Điều này cho phép quá trình Boot nhanh hơn, kiểm tra giao thông ở tốc độ dữ liệu bậc cao và giảm nhẹ thất bại Giải pháp của Cisco bao gồm một IOS Firewall được tích hợp và một thiết bị PIX chuyên dụng Đặc tính của IOS Firewall có... 3.5-inch) write memory – Ghi cấu hình đang chạy (hiện tại) vào bộ nhớ Flash write standby – Ghi cấu hình được lưu trong Ram trên active failover PIX Firewall, vào RAM trên standby PIX Firewall Khi PIX Firewall hoạt động (active PIX Firewall) khởi động ghi cấu hình vào PIX dự phòng Sử dụng lệnh này để ghi cấu hình của active PIX Firewall sang standby PIX Firewall 36 ... cao nhất cho một interface Nó được sử dụng cho inside interface ( cổng vào ) của PIX, là cấu hình mặc định cho PIX và không thể thay đổi Vì vậy mạng của tổ chức thường ở sau interface này, không ai có thể truy nhập vào mạng này trừ khi được phép thực hiện điều đó Việc cho phép đó phải được cấu hình trên PIX; các thiết bị trong mạng này có thể truy nhập ra mạng outside • Mức từ 1 đến 99: Được dành cho. .. dữ liệu trong một bảng cho mỗi kết nối Bảng này như là một điểm tham chiếu để xác định gói tin có thuộc về một kết nối đang tồn tại hay không hoặc là từ một nguồn trái phép II Tổng quan về PIX Firewall PIX firewall là một yếu tố chính trong toàn bộ giải pháp an ninh end-to-end của Cisco PIX Firewall là một giải pháp an ninh phần cứng và phần mềm chuyên dụng và mức độ bảo mật cao hơn mà không ảnh hưởng... MB 2 Nguyên tắc hoạt động của PIX Firewall Nguyên tắc chung của firewall (kể cả firewall dạng phần mềm như proxy hay dạng thiết bị cứng như là PIX) là bắt gói dữ liệu đi ngang qua nó và so sánh với các luật đã thiết lập Nếu thấy không vi phạm luật nào thì cho đi qua, ngược lại thì hủy gói dữ liệu PIX firewall hoạt động dựa trên cơ chế ASA (Adaptive Security Algorithm) sử dụng Security level (mức độ bảo... Security level cao hơn, một có Security level thấp hơn Vấn đề cốt lõi của các thiết bị an ninh là thuật toán An ninh tổng hợp (Adaptive Security Algorithm - ASA) Giải thuật ASA duy trì vành đai an toàn giữa các mạng điều khiển bởi thiết bị an ninh ASA tuân theo các quy luật sau: • Không gói tin nào đi qua PIX mà không có một kết nối và trạng thái • Cho phép các kết nối ra bên ngoài, trừ những kết nối bị... với cách mà các thiết bị thông thường được sử dụng Cuối cùng là cân nhắc đến an ninh về mặt vật lý của hệ thống mạng và cách bảo vệ nó Việc truy xuất về mặt vật lý đến một máy tính, router, hoặc tường lửa có thể mang lại cho người sử dụng khả năng tổng điều khiển trên toàn bộ thiết bị Sau chính sách an ninh được phát triển thì nó phải phù hợp với bánh xe an ninh ở phía trên - bốn bước kế tiếp của Security... dành cho những mạng xung quanh kết nối tới PIX, đăng ký dựa trên kiểu của truy nhập của mỗi thiết bị, thông thường là kết nối đến một mạng hoạt động như là Demilitarized zone ( DMZ ) Khi có nhiều kết nối giữa PIX và các thiết bị xung quanh thì: • Dữ liệu đi từ interface có Security level cao hơn đến interface có Security level thấp hơn: Cần phải có một translation ( static hay dynamic ) để cho phép giao... gồm một lưới an ninh và các giao thức chứng thực như là Internet Key Exchange (IKE) và Public Key Infrastructure (PKI) Các máy clients ở xa có thể truy cập một cách an toàn đến mạng của công ty thông qua các ISPs của họ III Các dòng PIX Firewall và nguyên tắc hoạt động 1 Các dòng PIX Firewall 28 PIX 501 Hình 3.1 PIX 501 • Kích cỡ 1.0 x 6.25 x 5.5 inches và 0.75 pounds • Được thiết kế cho các văn phòng... pháp mà kết hợp một firewall, điều khiển truy nhập và những đặc điểm của mạng riêng ảo trong một gói.Ví dụ về các giải pháp trên là Microsoft ISA Server, Linux, Novell, BorderManager, Checkpoint Firewall- 1 Mức độ bảo mật của Firewall trên nền server có thể nhỏ hơn của Firewall trên nền trang thiết bị Mạng riêng ảo VPN 19 Một mạng riêng ảo là bất kỳ mạng máy tính nào được xây dựng trên một mạng công . tài Thiết kế mạng an toàn sử dụng PIX firewall cho trường Cao đẳng cơ khí luyện kim . Đồ án đề cập đến các nguy cơ cũng như sự cần thiết của an ninh mạng, . hình cơ bản PIX firewall. Và cuối cùng là ứng dụng PIX firewall thiết kế mô hình mạng cho trường Cao đẳng cơ khí luyện kim. 1 LỜI CẢM ƠNSau thời gian 5
