Tóm tắt đồ án Bảo mật hệ thống mạng bằng Firewall Cisco ASA 5515-X

Nội dung text: Tóm tắt đồ án Bảo mật hệ thống mạng bằng Firewall Cisco ASA 5515-X

1. TRƯỜNG CAO ĐẲNG CÔNG NGHỆ THÔNG TIN HỮU NGHỊ VIỆT - HÀN KHOA CÔNG NGHỆ THÔNG TIN  BẢO MẬT HỆ THỐNG MẠNG BẰNG FIREWALL CISCO ASA 5515X TÓM TẮT ĐỒ ÁN TỐT NGHIỆP NGÀNH: QUẢN TRỊ MẠNG MÁY TÍNH HSSV thực hiện : Nguyễn Quang Hiền MÃ HSSV : CCMM17A002 Cán bộ hƣớng dẫn : TS. Đặng Quang Hiển Bùi Thanh Minh Khóa đào tạo : 2017 - 2020 Đà Nẵng, 01/2020
2. MỞ ĐẦU 1. Lý do chọn đề tài Với sự bùng nổ và phát triển của công nghệ hiện nay, máy tính và mạng máy tính có vai trò hết sức quan trọng trong cuộc sống hằng ngày. Ngày nay trong bất kỳ lĩnh vực nào cũng cần đến máy tính, máy tính rất hữu ích với chúng ta. Chính nhờ có máy tính và sự phát triển của nó đã làm cho khoa học kỹ thuật phát triển vượt bậc, kinh tế phát triển nhanh chóng và thần kỳ. Cùng với sự ra đời và phát triển của máy tính và mạng máy tính là vấn đề bảo mật thông tin, ngăn chặn sự xâm phạm và đánh cắp thông tin trong máy tính và thông tin cá nhân trên mạng máy tính khi mà ngày càng có nhiều tin tặc xâm nhập và phá huỷ dữ liệu quan trọng làm thiệt hại lớn như hiện nay. Việc bảo mật và an toàn thông tin đang trở thành mối lo ngại và nguy cơ tiềm tàng, tin tặc có thể truy cập vào hệ thống của các cơ quan, tổ chức từ khắp nơi trên thế giới. Hiểm họa về mất an toàn thông tin như: - Các hoạt động tin tặc liên tục tăng. - Mức độ nguy hiểm ngày một gia tăng, tính tự động ngày càng cao. - Đa dạng về kiểu tấn công. - Xu hướng tấn công vào các tổ chức tài chính, ngân hàng, các cơ quan chính phủ. Chính vì vậy việc bảo mật thông tin rất quan trọng, hệ thống thông tin là thành phần thiết yếu trong mọi cơ quan, tổ chức, đem lại khả năng xử lý thông tin, nhưng hệ thống thông tin cũng chứa rất nhiều điểm yếu. Do máy tính được phát triển với tốc độ rất nhanh để đáp ứng nhiều yêu cầu của người dùng, các phiên bản được phát hành liên tục với các tính năng mới được thêm vào ngày càng nhiều, 1
3. điều này làm cho các phần mềm không được kiểm tra kỹ trước khi phát hành và bên trong chúng chứa rất nhiều lỗ hổng có thể dễ dàng bị lợi dụng. Thêm vào đó là việc phát triển của hệ thống mạng, cũng như sự phân tán của hệ thống thông tin, làm cho người dùng truy cập thông tin dễ dàng hơn và tin tặc cũng có nhiều mục tiêu tấn công dễ dàng hơn. Song song với việc xây dựng hệ thống thông tin hiện đại, đáp ứng nhu cầu của các cơ quan, tổ chức cần phải bảo vệ hệ thống thông tin, đảm bảo cho hệ thống đó hoạt động ổn định và tin cậy. An toàn và bảo mật thông tin là thiết yếu trong mọi cơ quan, tổ chức. Do vậy việc bảo vệ hệ thống là một vấn đề mà chúng ta đáng phải quan tâm. Người ta đã đưa ra khái niệm Firewall để giải quyết vấn đề này. Trong đồ án tốt nghiệp này em sẽ trình bày về: “Bảo mật hệ thống mạng bằng Firewall Cisco ASA 5515-X” qua đây sẽ cho chúng ta cái nhìn sâu hơn về khái niệm, củng như chức năng của Firewall. 2. Mục tiêu và nhiệm vụ nghiên cứu Đồ án này sẽ giúp cho chúng ta biết được các quá trình cần thiết để thiết kế nên một hệ thống mạng, giúp ta biết sâu hơn về khái niệm cũng như nghiên cứu và triển khai các chức năng chính trên Firewall Cisco ASA 5515-x. 3. Đối tƣợng và phạm vi nghiên cứu Đối tượng nghiên cứu: Firewall Cisco ASA 5515-x và các thiết bị mạng, máy tính có tại phòng Lab B107 của trường. Phạm vi nghiên cứu: nghiên cứu lý thuyết về bảo mật mạng và triển khai các chức năng chính của firewall Cisco ASA 5515-x. 4. Phƣơng pháp nghiên cứu 2
4. - Đọc các tài liệu về an toàn và bảo mật mạng. Đặc biệt là thiết bị an toàn mạng Firewall Cisco ASA 5515-x. - Triển khai thực hành tới đâu thì viết phần lý thuyết tới đó. 5. Dự kiến kết quả - Hoàn thiện báo cáo lý thuyết; - Hoàn thiện mô hình bảo mật mạng trong đó sử dụng Firewall Cisco ASA 5515-X. 6. Ý nghĩa khoa học và thực tiễn Nâng cao tính bảo mật và an toàn dữ liệu trên mạng. Giúp bảo mật hệ thống mạng tại các công ty và doanh nghiệp. 7. Nội dung đồ án tốt nghiệp Chương 1: Tổng quan về bảo mật mạng. Chương 2: Thiết bị bảo mật mạng Cisco ASA 5515X. Chương 3: Triển khai hệ thống bảo mật mạng Firewall Cisco ASA 5515X 3
5. CHƢƠNG 1: TỔNG QUAN VỀ BẢO MẬT MẠNG 1.1. ĐỊNH NGHĨA BẢO MẬT MẠNG 1.1.1. Các yếu tố cần đƣợc bảo vệ trong hệ thống 1.1.2. Các đặc trƣng của một hệ thống thông tin bảo mật 1.1.3. Mục tiêu của bảo mật hệ thống 1.2. CÁC HÌNH THỨC TẤN CÔNG HỆ THỐNG MẠNG 1.2.1. Quá trình thăm dò tấn công (Reconnaissance) 1.2.2. Quét hệ thống (Scanning) 1.2.3. Chiếm quyền điều khiển (Gainning access) 1.2.4. Duy trì điều khiển hệ thống (Maitaining access) 1.2.5. Xoá dấu vết (Clearning tracks) 1.3. CÁC BIỆN PHÁP BẢO VỆ HỆ THỐNG MẠNG 1.3.1. Mã hoá 1.3.2. Chứng thực ngƣời dùng 1.3.3. Bảo mật máy trạm 1.3.4. Bảo mật truyền thông 1.4. CÁC CÔNG NGHỆ VA KĨ THUẬT BẢO MẬT 1.4.1. Bảo mật bằng firewall 1.4.2. Bảo mật bằng VPN (Virtual Private Network) 1.4.3. Bảo mật bằng IDS (Intrusion Detection System) 4
6. CHƢƠNG 2: THIẾT BỊ BẢO MẬT MẠNG FIREWALL CISCO ASA 5515 - X 2.1. KHÁI NIỆM VỀ FIREWALL 2.1.1. Khái niệm 2.1.2. Lý do sử dụng Firewall cho mạng máy tính 2.1.3. Sự ra đời của firewall 2.1.4. Các lựa chọn Firewall 2.1.5. Chức năng chính của Firewall 2.1.6. Firewall bảo vệ những vấn đề 2.2. TỔNG QUAN VỀ FIREWALL CISCO ASA 5515-X 2.2.1. Cấu hình phần cứng thiết bị ASA 5515-X 2.2.2. Tính năng thiết bị ASA 5515-X của CISCO 2.2.3. Một số công cụ và dịch vụ đƣợc cài đặt trên thiết bị ASA 5515-X 2.2.3.1. Ciscos ASDM (Adaptive Security Device Manager) 2.2.3.2. NAT (Network Address Translation) 5
7. CHƢƠNG 3: TRIỂN KHAI BẢO MẬT HỆ THỐNG MẠNG BẰNG FIREWALL CISCO ASA 5515 X 3.1. XÂY DỰNG MÔ HÌNH TRIỂN KHAI 3.1.1. Mô hình thực tế Hình 3.1. Mô hình thực tế hệ thống mạng 3.1.2. Sơ đồ triển khai Hình 3.2. Sơ đồ triển khai hệ thống mạng 3.1.3. Danh sách các thiết bị đƣợc sử dụng trong mô hình 3.1.4. Các phần mềm và dịch vụ đƣợc cài đặt, cấu hình trên Firewall 6
8. 3.2. TIẾN HÀNH CÀI ĐẶT VÀ CẤU HÌNH THIẾT BỊ 3.2.1. Cài đặt công cụ ASDM (Adative Security Device Manager) 3.2.1.1. Chuẩn bị để cài ASDM 3.2.1.2. Cài đặt ASDM 3.2.2. Cấu hình cơ bản trên firewall - Đặt Hostname cho firewall là ASA 5515-X. - Cấu hình password cho firewall. - Cấu hình enable interface, cấu hình IP cho các interface, name cho interface. - Cấu hình security-level trên interface. Cấu hình bằng ASDM: - Đầu tiên, đặt tên hostname cho thiết bị: Hình 3.3. Đặt tên cho Firewall - Cấu hình password: Hình 3.4. Password enable - Nhấn Apply để lưu cấu hình. 7
9. - Tiếp theo tiến hành đặt ip, bật các port và cấu hình security- level lên các interface cho từng cổng kết nối với vùng Outside, dmz, inside, inside1. Hình 3.5. Tạo các interface - Nhấn OK để tạo. - Làm tương tự cho các Port như trên: - Nhấn Apply để lưu cấu hình. 3.2.3. Cấu hình SSH (Secure Shell) - Bước 1: Sử dụng giao diện ASDM: Chọn Configuration > Remote Access VPN > DHCP Server: Kích chọn interface: inside (DHCP sẽ cấp cho miền mạng này). 8
10. Hình 3.6. Cấu hình DHCP - Bước 2: Nhấn ok để lưu, cấu hình tương tự như trên cho miền mạng inside1: - Bước 3: Nhấn Ok để lưu, Apply để lưu cấu hình. - Bước 4: Tiến hành kiểm tra kết quả: 9
11. Hình 3.7. PC nhận ip từ dịch vụ DHCP - Như vậy dịch vụ DHCP đã cấp ip cho 2 Vlan (gv, sv). 3.2.4. Cấu hình NAT - Sau khi đặt ip cho các port ta tiến hành cấu hình NAT để các thiết bị trong vùng dmz, inside, inside1 có thể kết nối Internet. Cấu hình bằng giao diện ASDM: - Bước 1: Chọn Configuration > Firewall > NAT Ruler > Add”Network Object”NAT Rule. 10
12. Hình 3.8. Cấu hình NAT - Bước 2: Nhập tên, ip, Netmask như hình. Hình 3.9. Cấu hình Network object - Tiếp theo, chọn kiểu NAT, để tất cả các ip trong miền mạng kết nối được Internet thì ở đây chọn Dynamic PAT (Hide). Hình 3.10. Chọn loại NAT 11
13. - Làm tương tự với các miền mạng còn lại. - Bước 3: Nhấn Ok, rồi nhấn Apply để lưu cấu hình. 3.2.5. Tạo Access Rules - Bước 1: Chọn Configuration > Firewall > Access Rules. 12
14. Hình 3.11. Tạo Access Rules - Bước 2: Tiến hành cấu hình như hình. Hình 3.12. Tạo Access Rules - Làm tương tự cho các Access Rules khác. 13
15. Hình 3.13 Tạo Access Rules Hình 3.14. Tạo Access Rules - Bước 3: Nhấn Ok, Chon Apply để lưu cấu hình. 3.2.6. Cấu hình static Router (định tuyến) - Bước 1: Chọn Configuration > Device Setup > Routing > Static Routes > Add. 14
16. Hình 3.15. Cấu hình Static Router - Bước 2: Nhấn ok, Apply để lưu cấu hình. 3.2.7. Tiến hành kiểm tra kết quả - Bước 1: Từ PC Client của Vlan gv (192.168.2.11) o Ping 8.8.8.8. o Ping các máy chủ vùng DMZ(172.16.1.11-14). Hình 3.16. Ping 8.8.8.8 và khu DMZ 15
17. o Duyệt Web. Hình 3.17. Duyệt web - Bước 2: Tương tự, Kiểm tra trên PC thuộc Vlan SV (192.168.3.11) kết quả: Hình 3.18. Duyệt web - Bước 3: Kiểm tra kết nối trên các máy chủ vùng DMZ (172.16.1.11-14) kết quả: 16
18. Hình 3.19. Duyệt web Hình 3.20. Ping 8.8.8.8 và inside 3.2.8. Kết quả - Các PC trong 2 Vlan (gv, sv) đã nhận được ip động được cấp phát tự động từ dịch vụ DHCP của Firewall. 17
19. - Quá trình cấu hình NAT trên firewall đã thành công, cho kết quả sau: o Các máy chủ vùng DMZ truy cập được Internet và ping thông vào 2 Vlan (gv, sv). o Các máy Client ở 2 Vlan (gv, sv) đi được Internet và truy cập các dịch vụ ở các máy chủ vùng DMZ. 18
20. KẾT LUẬN  Đánh giá Kết quả nghiên cứu Sau quá trình tìm hiểu và nghiên cứu, đề tài đã đạt được một số kết quả như sau: - Đã hiểu rõ được thế nào là Firewall, bản chất của Firewall là như thế nào. - Chức năng của Firewall trong việc bảo mật cho hệ thống mạng. - Những thành phần chính hình thành nên một Firewall. - Tìm hiểu được an toàn và bảo mật mạng. - Các yêu cầu về Firewall của một hệ thống mạng. - Những giải pháp Firewall đưa ra cho một hệ thống. - Thiết lập một Firewall cho hệ thống. Vấn để chƣa làm đƣợc - Chưa Tìm hiểu hết các chức năng của Firewall Cisco asa 5515-x. - Vì thời gian có hạn nên chưa triển khai được hết tất cả các dịch vụ lên hệ thống.  Hƣớng phát triển của đề tài Trên cơ sở những việc đã làm được và chưa làm được ở trên khi thực hiện đề tài, em xin đưa ra hướng phát triển nhằm từng bước hoàn thiện đề tài. - Tìm hiểu thêm các chức năng và dịch vụ trên Firewall 5515- x, củng như đề xuất phương án và giải pháp tốt. - Xây dựng một mô hình mạng bảo mật cao.  Lời kết 19
21. Trong quá trình tìm hiểu và làm đồ án em đã nhận được rất nhiều ý kiến đóng góp về nội dung cũng như cách trình bày. Em xin cám ơn Thầy Đặng Quang Hiển và Thầy Bùi Thanh Minh đã tận tình hướng dẩn và chỉ bảo em trong quá trình làm đồ án và triển khai hệ thống. Mặc dù đồ án đã đạt được một số kết quả nhất định như trên, nhưng vì thời làm đồ án có hạn nên một số chức năng và dịch vụ chưa thể triển khai hết trên Firewall và hệ thống. Trong quá trình làm đồ án không thể tránh khỏi những sai sót và thiếu sót, em rất mong nhận được sự đóng góp ý kiến và bổ sung của các thầy cô để em có thêm kinh nghiệm và phát triển bản thân hơn. 20