HỌC VIỆN KỸ THUẬT MẬT MÃ
KHOA AN TỒN THƠNG TIN
~~~~~~*~~~~~~
BÁO CÁO THỰC TẬP CƠ SỞ CHUYÊN NGHÀNH
ĐỀ TÀI
XÂY DỰNG CÁC CHÍNH SÁCH BẢO MẬT DỰA
TRÊN SỰ KẾT HỢP IDS/IPS VÀ FIREWALL
***
GIẢNG VIÊN HƯỚNG DẪN: NGUYỄN ĐÀO TRƯỜNG
SINH VIÊN THỰC HIỆN:
NGUYỄN VĂN TRUYỀN - CT010153
TRƯƠNG ĐỨC THẮNG - AT131139
NGUYỄN QUÍ ĐỨC - AT131108
KHĨA: AT13
LỚP: AT13-N01
TP.HỒ CHÍ MINH , NGÀY 1 THÁNG 10 2019
1
MỤC LỤC
MỤC LỤC ..................................................................................................................... 3
DANH MỤC HÌNH ẢNH ............................................................................................. 5
Hình 3.3.13 Chuyển đổi tên miền trên dịch vụ DNS 36 ..................................... 5
Hình 3.3.16 Yêu cầu thay đổi key RSA ................................................................................... 38
................................................................................................................................................... 5
DANH MỤC TỪ VIẾT TẮT ........................................................................................ 6
LỜI MỞ ĐẦU ................................................................................................................ 7
CHƯƠNG 1: CÁC CHÍNH SÁCH BẢO MẬT ............................................................ 8
1.1.
Khái niệm về bảo mật mạng .......................................................................... 8
1.1.1. Bảo mật mạng là gì .................................................................................... 8
1.1.2. Những tài nguyên nào cần được bảo vệ .................................................... 8
1.1.3. Các yếu tố nào cần quan tâm khi phân tích bảo mật mạng ....................... 9
1.1.4 Các cấp độ bảo mật mạng khi nghiên cứu một hệ thống mạng ........................ 9
1.2.
Các kiểu tấn công thường gặp ....................................................................... 9
1.2.1. Tấn công trực tiếp...................................................................................... 9
1.2.2. IP Spoofing .............................................................................................. 10
1.2.3. Tấn công từ chối dịch vụ- DOS(Denial of Service) ................................ 10
1.2.4. Packet sniffer ........................................................................................... 10
1.2.5. Phishing ................................................................................................... 10
1.2.6. Tấn công theo kiểu khai thác tràn bộ đệm( Bufer overflow) .................. 10
1.2.7. Tấn công chèn mã lệnh ............................................................................ 10
1.2.8. Tấn công vào yếu tố con người ............................................................... 11
1.2.9. Thám thính(agent) ................................................................................... 11
1.3.
Các chính sách bảo mật an tồn hệ thống .................................................... 11
1.3.1. Kế hoạch bảo mật mạng .......................................................................... 11
1.3.2. Chính sách bảo mật nội bộ ...................................................................... 11
1.3.3. Phương thức thiết kế................................................................................ 12
3
1.3.4. Thiết kế chính sách bảo mật mạng .......................................................... 12
CHƯƠNG 2: TỔNG QUAN VỀ HỆ THỐNG IDS, HỆ THỐNG IPS VÀ HỆ THỐNG
FIREWALL ............................................................................................................................ 14
2.1.
Hệ thống phát hiện xâm nhập IDS (Intrusion Detetion) .............................. 14
2.1.1. IDS là gì? ................................................................................................. 14
2.1.2. Chức năng của IDS.................................................................................. 15
2.1.3. Một số khái niệm cơ bản trong hệ thống phát hiện xâm nhập ................ 16
2.2.
Hệ thống ngăn chặn xâm nhập IPS (Intrusion Prevention) ......................... 16
2.3.
Khái niệm và chức năng Firewall ................................................................ 17
2.3.1. Khái niệm ................................................................................................ 17
2.3.2. Chức năng Firewall ................................................................................. 18
2.4.
Các thành phần của Firewall và cơ chế hoạt động (Ưu điểm và hạn chế) .. 19
2.4.1. Bộ lọc gói (Packet-Filter) ........................................................................ 19
2.4.2. Cổng ứng dụng (Application-Level Gateway) ........................................ 21
2.4.3. Cổng vòng (Circuit-Level Gateway) ....................................................... 23
2.5.
Các loại Firewall trong thực tế .................................................................... 23
CHƯƠNG 3: TRIỂN KHAI THỰC NGHIỆM HỆ THỐNG FIREWALL ............... 24
3.1.
Mục đích xây dựng mô phỏng ..................................................................... 24
3.2.
Nguyên lý xây dựng mô phỏng và các yêu cầu. .......................................... 25
3.3.
Các bước tiến hành cấu hình ........................................................................ 27
KẾT LUẬN.................................................................................................................. 40
TÀI LIỆU THAM KHẢO ........................................................................................... 41
4
DANH MỤC HÌNH ẢNH
Hình 2.4.1.1. Sơ đồ làm việc của Packet Filtering ...................................................... 19
Hình 2.4.2.2.Kết nối giữa người dùng Client với Server qua Proxy ........................... 21
Hình 2.4.3.Kết nối qua cổng vịng (Circuit-Level Gateway ....................................... 23
Hình 3.2.1 Mơ hình mơ phỏng trên Packet Tracer ...................................................... 26
Hình 3.3.1 Kiểm tra cấu hình trên ASA ...................................................................... 28
Hình 3.3.2 Kiểm tra cổng g1/1 và g1/2 ....................................................................... 29
Hình 3.3.3 Kiểm tra các cổng IP đã cấu hình .............................................................. 30
Hình 3.3.4 Kiểm tra địa chỉ IP ..................................................................................... 30
Hình 3.3.5 Kiểm tra định tuyến ................................................................................... 31
Hình 3.3.6 Kiểm tra thiết lập NAT cho vùng INSIDE ................................................ 32
Hình 3.3.7 Kiểm tra gói tin được gửi đi ...................................................................... 32
Hình 3.3.8 Kiểm tra lại cấu hình.................................................................................. 33
Hình 3.3.9 Kiểm tra gói tin được gửi đi ...................................................................... 34
Hình 3.3.10 PC truy cập ra ngồi Internet ................................................................... 34
Hình 3.3.11 Kiểm tra lại cấu hình................................................................................ 35
Hình 3.3.12 PC truy cập thành cơng ............................................................................ 35
Hình 3.3.13 Chuyển đổi tên miền trên dịch vụ DNS ................................................... 36
Hình 3.3.14 Kiểm tra lại cấu hình DNS....................................................................... 37
Hình 3.3.15 Kiểm tra Ping thành cơng ........................................................................ 37
Hình 3.3.16 u cầu thay đổi key RSA....................................................................... 38
Hình 3.3.17 Kiểm tra cấm truy cập web ...................................................................... 38
5
DANH MỤC TỪ VIẾT TẮT
ITU International Telecommunication Union
Tổ chức viễn thông quốc tế
DOS Denial of Service
Tấn công từ chối dịch vụ
IDS
Hệ thống phát hiện xâm nhập
Intrusion detection system
NIDS Netword-base Intrusion detection system Hệ thống phát hiện xâm nhập mạng
HIDS Host-based Intrusion detection system
IPS
Hệ thống phát hiện xâm nhập dựa
vào máy tính cá nhân
Hệ thống ngăn ngừa xâm nhập
Intrusion Prevention Systems
NIPS Network-based Intrusion Prevention
Hệ thống ngăn ngừa xâm nhập mạng
HIPS Host-based Intrusion Prevention
Hệ thống ngăn ngừa xâm nhập host
DMZ Demilitarized Zone
Vùng mạng trung lập
6
LỜI MỞ ĐẦU
Trước sự bùng nổ của cuộc cách mạng cơng nghiệp 4.0 thì máy tính và mạng máy
tính lại đóng vai trị hết sức quan trọng. Ngày nay máy tính khơng cịn là điều xa xỉ như
những thập kỷ trước, ngược lại máy tính có mặt trong bất kỳ lĩnh vực nào của đời sống.
Chính nhờ có máy tính và sự phát triển của nó đã làm cho khoa học kỹ thuật tiến bộ vượt
bật, kinh tế phát triển nhanh chóng và thần kỳ.
Đi kèm với sự ra đời và phát triển của máy tính và mạng máy tính luôn là vấn đề bảo
mật thông tin, ngăn chặn sự xâm phạm và đánh cắp thơng tin trong máy tính và thông tin cá
nhân trên mạng khi mà ngày càng có nhiều vụ xâm nhập và phá hủy dữ liệu quan trọng làm
thiệt hại nặng đến nền kinh tế của doanh nghiệp, quốc gia.
Được sự hướng dẫn nhiệt tình của thầy Nguyễn Đào Trường, chúng em đã tìm hiểu
và nghiên cứu đề tài thực tập cơ sở: “Xây dựng các chính sách bảo mật dựa trên kết hợp
IDS, IPS và FIREWALL”. Đề tài trình bày những vấn đề tổng quan cơ bản về bảo mật
mạng, firewall, giới thiệu về IDS, IPS.
Do nội dung đề tài rộng và bao gồm nhiều kiến thức mới, thời gian và kiến thức còn
hạn chế, việc nghiên cứu chủ yếu dựa trên lý thuyết đã học và một số tài liệu tham khảo nên
chắc chắn khơng thể tránh khỏi những thiếu sót. Chúng em rất mong nhận được sự đóng
góp ý kiến và sửa chửa của thầy cô và bạn bè.
Cuối cùng, xin cảm ơn bạn bè, thầy cô đã luôn hỗ trợ kịp thời và giúp đỡ chúng em
trong thời gian vừa qua.
Chúng em xin chân thành cảm ơn!
Hồ Chí Minh, 1 tháng 10 năm 2019
7
CHƯƠNG 1: CÁC CHÍNH SÁCH BẢO MẬT
1.1.
Khái niệm về bảo mật mạng
Với sự phát triển mạnh mẽ của mạng máy tính và internet hiện nay, vấn đề bảo mật là
một trong những vấn đề được quan tâm hàng đầu. Mục tiêu của việc nối mạng là làm cho mọi
người có thể sử dụng chung tài nguyên, chia sẻ thông tin từ những vị trí địa lý khác nhau.
Cũng chính vì vậy mà các tài nguyên rất dễ dàng bị phân tán, dẫn đến một điều hiển nhiên là
chúng sẽ dễ có nguy cơ bị xâm phạm, gây mất dữ liệu cũng như thơng tin có giá trị.Điều đó
có thể gây ra các tổn thất rất nặng nề cho cá nhân, tổ chức, quốc gia.. . Vì vậy, khi hệ thống
mạng càng phát triển thì vấn đề bảo mật mạng càng đưuọc đặt lên hàng đầu.
1.1.1. Bảo mật mạng là gì
Bảo mật mạng là sự đảm bảo an toàn của toàn bộ hệ thống mạng trước những hành
động nhằm tấn công phá hoại, truy cập trái phép vào hệ thống mạng cả từ bên trong lẫn bên
ngoài.
Theo các tiêu chuẩn của Liên minh Viễn thơng quốc tế (ITU) thì bảo mật mạng được
định nghĩa như sau:Bảo mật mạng là tập hợp các cơng cụ, chính sách, khái niệm về bảo mật,
hướng dẫn, phương pháp quản lý rủi ro, phản ứng, đào tao, diễn tập, thiết bị và cơng nghệ có
thể được dùng để bảo vệ hệ thống mạng và tài sản.
1.1.2. Những tài nguyên nào cần được bảo vệ
Tài nguyên đầu tiên cần phải được bảo vệ là dữ liệu. Đa số các cuộc tấn công lớn hiện
nay vào các công ty, tập đồn lớn hiện này đều có mục đích là đánh cắp dữ liệu. Trong thời
đại thông tin hiện nay, dữ liệu là một tài sản lớn của doanh nghiệp, việc dữ liệu bị đe dọa sẽ
gây ra những thiệt hại lớn cho cả doanh nghiệp lẫn người dùng. Đối với dữ liệu, chúng ta cần
phải đảm bảo các yếu tố:
+ Tính bảo mật: chỉ cho phép người có quyền hạn được truy cập đến nó
+ Tính tồn vẹn dữ liệu: Dữ liệu khơng được sửa đổi, bị xóa một cách bất hợp pháp.
+ Tính sẵn sàng: Bất cứ lúc nào, dữ liệu phải luôn đảm bảo sẵn sàng.
Các loại tài nguyên còn lại cần phải được bảo vệ như: hệ thống máy tính, bộ nhớ, hệ
thống ổ đĩa, máy in…
Ngồi ra, trong mơi trường mạng, uy tín và danh tiếng cá nhân cũng là một điều cần
thiết phải bảo vệ.
Đừng chủ quan rằng nếu bạn nghĩ rằng máy tính cá nhân của bạn khơng có dữ liệu quan
trọng cũng như bạn khơng có danh tiếng hay ảnh hưởng lớn gì nên khơng cần phải bảo vệ.
Hãy thử tưởng tượng một ngày đẹp trời, hacker xâm nhập vào máy tính cá nhân của bạn, sử
8
dụng tài nguyên trên máy cũng như danh tính của bạn để thực hiện các cuộc tấn công nguy
hiểm khác thì sẽ như thế nào.
1.1.3. Các yếu tố nào cần quan tâm khi phân tích bảo mật mạng
Vấn đề con người: Khi nghiên cứu vấn đề bảo mật mạng cần quan tâm xem ai tham gia
vào hệ thống mạng, họ có trách nhiệm và vai trị như thế nào?
Kiến trúc mạng: đây cũng là một vấn đề mà chúng ta cần phải quan tâm khi nghiên
cứu, phân tích một hệ thống mạng. Chúng ta cần nghiên cứu hiện trạng khi xây dựng và nâng
cấp mạng đưa ra các kiểu kiến trúc mạng phù hợp với hiện trạng và cơ sở hạ tầng định xây
dựng
Phần cứng và phần mềm: Hệ thống mạng được thiết kế như thế nào? Nó bao gồm những
phần cứng và phần mềm nào và tác dụng của chúng. Xem xét tính tương thích giữa phần cứng
và phần mềm khi nâng cấp hay thay thế…
1.1.4 Các cấp độ bảo mật mạng khi nghiên cứu một hệ thống mạng
Mức mạng: Ngăn chặn kẻ xâm nhập bất hợp pháp vào hệ thống mạng
Mức server: Kiểm soát quyền truy cập, các cơ chế bảo mật, quá trình nhận dạng người
dùng, phân quyền truy cập, cho phép các tác vụ…
Mức cơ sở dữ liệu: Kiểm sốt và phân quyền từng nhóm người dùng khi truy cập vào
cơ sở dữ liệu
Mức trường thông tin: Trong mỗi cơ sở dữ liệu kiểm soát được mỗi trường dữ liệu chứa
thông tin khác nhau sẽ cho phép các đối tượng khác nhau có quyền truy cập khác nhau.
Mức mật mã: Mã hóa tồn bộ file dữ liệu theo một phương phá nào đó và cho phép
người nào có quyền được cấp thì mới sử dụng được file dữ liệu.
1.2.
Các kiểu tấn công thường gặp
Sự phát triển nhanh chóng của mạng khơng tránh khỏi việc để lại nhiều lỗ hỏng bảo
mật mà các hacker có thể khai thác tấn công. Các thủ đoạn tấn công rất đa dạng và ngày càng
trở nên phức tạp và tinh vi hơn.
Một số phương pháp tấn công thường gặp là: tấn công trực tiếp, Ip Spoofing, tấn công
từ chối dịch vụ-Dos, Packet sniffer, Phishing, tấn công theo kiểu khai thác tràn bộ đệm, tấn
công chèn mã lệnh, tấn công vào yếu tố con người.
1.2.1. Tấn công trực tiếp
Hacker sử dụng một máy tính để tấn cơng vào một máy tính khác với mục đích dị tìm
mật mã, tên tài khoản tương ứng,.. nhằm đánh cắp tài khoản. Họ sử dụng một số chương trình
9
giải mã để giải mã các file chứa password trên hệ thống máy tính nạn nhân, những mật khẩu
ngắn và đơn giản thường dễ bị phát hiện theo cách này. Ví dụ như Dictionary attacks, bruteforce attack, hybrid attack.
Ngồi ra, hacker có thể tấn cơng trực tiếp thơng qua các lỗi của chương trình hay hệ
điều hành làm cho hệ thống đó bị tê liệt. Trong một số trường hợp, hacker đoạt quyền Admin
của hệ thống.
1.2.2. IP Spoofing
Một máy tính bên ngoài hệ thống mạng giả mạo một địa chỉ IP đáng tin cậy trong hệ
thống để truy cập vào. Mục đích của việc này nhằm chèn thơng tin bất hợp pháp trong phiên
làm việc hoặc thay đổi bảng tin định tuyến(routing table) để thu thập các gói tin cần thiết.
1.2.3. Tấn công từ chối dịch vụ- DOS(Denial of Service)
Kiểu tấn công này nhằm làm tắt nghẽn mạng bằng cách hacker gửi liên tiếp các gói tin
yêu cầu với tốc độ cao tới hệ thống nhằm làm tê liệt hệ thống, tràn đầy băng thông.
1.2.4. Packet sniffer
Đây là một công cụ sử dụng để chuẩn đoán, phát hiện lỗi hệ thống mạng và các vấn đề
liên quan. Hacker sử dụng cơng cụ này để bắt các gói tin, nghe trộm trên những dữ liệu chưa
được mã hóa khi trao đổi giữa 2 bên nạn nhân. Ngồi ra cịn có thể xem được những thông tin
như mật khẩu và xác nhận mật khẩu, có thể chặn bắt các gói dữ liệu và tấn cơng gói tin trên
hệ thống.
1.2.5. Phishing
Các hacker sẽ tạo ra một trang web giả trông giống hệt như các trang web phổ biến
như: facebook, gmail, … Các hacker sẽ gửi một email để người dùng click vào đó và điều
hướng đến trang web giả mảo. Khi người dùng đăng nhập thông tin tài khoản của họ, hệ thống
sẽ ghi nhận và gửi lại cho hacker lưu thông tin đó lại
1.2.6. Tấn cơng theo kiểu khai thác tràn bộ đệm( Bufer overflow)
Tràn bộ đêm là tình trạng xảy ra khi dữ liệu gửi tới quá nhiều so với khả năng xử lí của
hệ thống hay CPU. Hacker khai thác tình trạng này để gửi một loạt lớn dữ liệu tới hệ thống
mục tiêu làm quá tải hệ thống khiến hệ thống rơi vào tình trạng mất kiếm sốt.
Và kết quả các hacker tấn công truy cập quản trị hệ thống trên Command Prompt hoặc
Shell để đoạt quyền root trên hệ thống.
1.2.7. Tấn công chèn mã lệnh
Một đoạn mã lệnh được chèn vào trang web từ một máy khác bất kỳ của người tấn
công.
10
Kỹ thuật này cho phép người tấn công đưa mã lệnh thực thi vào phiên làm việc trên
web của một người dùng khác. Khi mã lệnh này chạy, nó sẽ cho phép người tấn công thực
hiện được nhiều việc như: giám sát phiên làm việc trên trang web hoặc có tồn quyền điều
khiển máy tính.
1.2.8. Tấn cơng vào yếu tố con người
Hacker có thể tấn cơng vào các lỗ hổng do lỗi nhà quản trị hệ thống hoặc liên lạch với
nhà quản trị hệ thống giả mạo là người dùng để thay đổi username và password,..
1.2.9. Thám thính(agent)
Hacker sử dụng các phần mềm virus, trojan thường dùng để tấn công vào máy trạm
làm bước đệm để tấn công vào máy chủ và hệ thống. Kẻ tấn cơng có thể nhận được các thơng
tin hữu ích từ máy nạn nhân thơng qua các dịch vụ mạng.
1.3.
Các chính sách bảo mật an tồn hệ thống
Một kế hoạch an tồn thơng tin hiệu quả phải tính đến tất cả các nguy cơ từ cả bên
ngoài lẫn bên trong nội bộ, đồng thời kết hợp cả biện pháp kỹ thuật và các biện pháp quản lý
Các bước tiến hành:
B1: Xác định yêu cầu và chính sách an tồn thơng tin: xác định những yêu cầu
truy nhập và những dịch vụ cung cấp cho người sử dụng, dựa vào đó ta có được các
chính sách tương ứng.
B2: Thiết kế an tồn vịng ngồi: kết quả của bước này là xác định kiến trúc
mạng cùng với các thành phần phần cứng và phần mềm sẽ sử dụng. Đặc biệt chú ý đến
hệ thống truy cập từ xa và cơ chế xác thực người dùng.
B3: Biện pháp an toàn cho máy chủ và máy trạm: Kiểm tra các máy chủ và máy
trạm để phát hiện những sơ hở về bảo mật. Đối với Firewall và các máy chủ ở ngoài cần
kiểm tra và theo dõi những dạng tấn công.
B4: Kiểm tra thường kỳ: Cần có kế hoạch kiểm tra định kỳ tồn bộ hệ thống an
tồn thơng tin, ngồi ra cần kiểm tra lại mỗi khi có sự thay đổi về cấu hình, nâng cấp,
sửa chữa.
1.3.1. Kế hoạch bảo mật mạng
Để có một chính sách bảo mật mạng hiệu quả thì chúng ta cần phải trả lời được câu
hỏi: Loại dịch vụ nào, tài nguyên nào người dùng được phép truy nhập và bị cấm?
1.3.2. Chính sách bảo mật nội bộ
Một tổ chức lớn có thể có nhiều bộ phận ở nhiều nơi, mỗi bộ phận có mạng riêng. Vì
vậy mỗi mạng cần có ít nhất một người quản trị mạng và chích sách an ninh cũng có thể có
những điểm khác nhau.
11
Chính sách an ninh tại chỗ phải cân nhắc bảo vệ các tài nguyên tại chỗ đồng thời cũng
phải cân nhắc giữa các yêu cầu an ninh với các yêu cầu kết nối mạng bởi vì một chính sách
bảo vệ tốt cho mạng này nhưng lại bất lợi cho mạng khác
1.3.3. Phương thức thiết kế
Tạo ra một chính sách mạng là lập nên các thủ tục và các kế hoạch bảo vệ tài nguyên
có trong mạng.
Cần phải trả lời được các câu hỏi sau:
Chúng ta cần bảo vệ tài nguyên nào?
Cần bảo vệ tài nguyên khỏi những ai?
Có các mối đe dọa cụ thể như thế nào?
Tài nguyên này có vai trò và độ quan trọng tới mức nào?
Cách nào bảo vệ tiết kiệm, hợp lí và hiệu quả nhất?
Kiểm tra và báo cáo theo chu kỳ hiện trạng mạng
1.3.4. Thiết kế chính sách bảo mật mạng
a) Xác định những tài nguyên cần được bảo vệ
Trước khi thiết lập chính sách ta cần biết rõ tài nguyên nào cần bảo vệ và tầm quan trọng của
tài nguyên đó để đi đến một giải pháp hợp lý.
Ví dụ:
Phần cứng: vi xử lý, bản mạch, bàn phím, máy trạm làm việc, máy tính cá nhân, ổ đĩa,
đường liên lạc, server, router,..
Phần mềm: các chường tình nguồn, tiện tích, hệ điều hành, chương trình truyền thơng,..
b) Phân tích xách định cách mối đe dọa bảo mật mạng
Có những mỗi đe dọa như sau:
Truy cập bất hợp pháp
Để lộ thông tin
Từ chối cung cấp dịch vụ
c) Xác định trách nhiệm của người sử dụng mạng
Ai được quyền dùng tài nguyên mạng?
Sử dụng tài nguyên như thế nào, đề ra đường lối cho từng lớp người sử dụng?
Ai có quyền cấp phát truy cập cho người dùng?
Người dùng có quyền hạn và trách nhiệm gì? Xác định rõ quyền lợi và nghĩa vụ của
người dùng, đảm bảo tích minh bạch và riêng tư cho người dùng, cũng như người dùng phải
có trách nhiệm bảo vệ tài khoản
Người quản trị hệ thống có quyền hạn và trách nhiệm gì? Người quản trị thường xuyên
thu thập thơng tin để tìm hiểu các vấn đề hệ thống. Xong vẫn phải đảm bảo bí mật riêng tư
12
của người dùng. Nếu có nguy cơ an ninh xảy ra thì người quản trị phải có khả năng linh hoạt
để giải quyết vấn đề.
Các thông tin quan trọng phải được bảo vệ và sử dụng như thế nào?
d) Xây dựng kế hoạch hành động khi chính sách bị vi phạm
Khi chính sách bị vi phạm xảy ra cũng có nghĩa là hệ thống đứng trước nguy cơ mất an ninh.
Cần phải tiến hành phát hiện, phân loại vi phạm, xử lí, bảo vệ và ngăn chặn…
13
CHƯƠNG 2: TỔNG QUAN VỀ HỆ THỐNG IDS, HỆ THỐNG IPS
VÀ HỆ THỐNG FIREWALL
2.1.
Hệ thống phát hiện xâm nhập IDS (Intrusion Detetion)
2.1.1. IDS là gì?
IDS(Intrusion Detection Systems) Là một hệ thống nhằm phát hiện các hành động xâm
nhập tấn công vào mạng.
IDS phát hiện dựa trên các dấu hiệu đặc biệt về các nguy cơ đã biết hay dựa trên so
sánh lưu thơng mạng hiện tại với basedline để tìm ra các dấu hiệu khác thường.
Phát hiện xâm nhập trái phép là một cơng việc đầy khó khăn do ảnh hưởng của sự tăng
trưởng nhanh chóng các kết nối mạng, mơi trường máy tính khơng đồng nhất, nhiều giao thức
truyền thông và sự phân loại đáng kể của các ứng dụng thông dụng và độc quyền. Hầu hết các
kỹ thuật IDS được xây dựng dựa trên sự khác biệt ứng xử của kẻ xâm nhập so với người dùng
hợp lệ.
Một IDS có nhiệm vụ phân tích các gói tin mà Firewall cho phép đi qua, tìm kiếm các
dấu hiệu đã biết mà không thể kiểm tra hoặc ngăn chặn bởi Firewall. Sau đó cung cấp thơng
tin và đưa ra các cảnh báo cho các quản trị viên.
IDS cung cấp thêm cho việc bảo vệ an tồn thơng tin mạng một mức độ cao hơn. Nó
được đánh giá giá trị giống như Firewall và VPN là ngăn ngừa các cuộc tấn công mà IDS cung
cấp sự bảo vệ bằng cách trang bị cho bạn thông tin về cuộc tấn công. Bởi vậy, IDS có thể thỏa
mãn nhu cầu về an tồn hệ thống của bạn bằng cách cảnh báo cho bạn về khả năng các cuộc
tấn cơng và thỉnh thoảng thì ngồi những thơng báo chính xác thì chúng cũng đưa ra một số
cảnh báo chưa đúng.
Phân biệt những hệ thống không phải là IDS: Theo một cách riêng biệt nào đó, các
thiết bị bảo mật dưới đây khơng phải là IDS:
Hệ thống đăng nhập mạng được sử dụng để phát hiện lỗ hổng đối với vấn đề tấn công
từ chối dịch vụ trên một mạng nào đó. Ở đó có hệ thống kiểm tra lưu lượng mạng.
Các công cụ đánh giá lỗ hổng kiểm tra lỗi và lỗ hổng trong hệ điều hành, dịch vụ mạng.
Các sản phẩm chống virus đã thiết kế để phát hiện phần mềm mã nguy hiểm như virus,
Trojan horse, worm... Mặc dù những tính năng mặc định có thể rất giống hệ thống phát hiện
xâm nhập và thường cung cấp một công cụ phát hiện lỗ hổng bảo mật hiệu quả. Tường lửa và
các hệ thống bảo mật, mật mã như VPN, SSL,S/MINE, Kerberos, Radius...
14
2.1.2. Chức năng của IDS
Nhìn chung, IDS khơng tự động cấm các cuộc tấn công hoặc là ngăn chặn những kẻ
khai thác một cách thành công, tuy nhiên , một sự phát hiện mới nhất của IDS đó là hệ thống
ngăn chặn xâm phập đã có thể thực hiện nhiều vai trị hơn và có thể ngăn chặn các cuộc tấn
cơng khi nó xảy ra. Định nghĩa IDS khó hơn là chúng ta tưởng. Đầu tiên, IDS được nhìn nhận
như là một cái chng báo trộm mà có thể thơng báo cho bạn biết khi nào thì bạn bị tấn cơng,
Tuy nhiên những hệ thống IDS hiện đại thì phức tạp hơn nhiều và ít người có thể đồng ý rằng
có mức độ giống như một cái chng báo trộm truyền thống đáng tin cậy.Nếu sự giống nhau
là cùng được sử dụng thì một hệ thống IDS trơng giống như những chiếc camera chống trộm
hơn là một cái chuông, những người có trách nhiệm có thể quan sát chúng và đáp trả cho
những đe dọa xâm nhập.
Thực tế thì dường như IDS chỉ nói cho chúng ta biết rằng mạng đang bị nguy hiểm.
Và điều quan trọng để nhận ra đó là một vài cuộc tấn cơng vào mạng đã thành cơng nếu hệ
thống khơng có IDS.
Hệ thống phát hiện xâm nhập cho phép các tổ chức bảo vệ hệ thống của họ khỏi những
đe doạ với việc gia tăng kết nối mạng và sự tin cậy của hệ thống thơng tin, bổ sung những
điểm yếu của hệ thống khác...Có nhiều tài liệu giới thiệu về những chức năng mà IDS đã làm
được nhưng có thể đưa ra vài lý do tại sao nên sử dụng hệ thống IDS như sau:
• Bảo vệ tính tồn vẹn của dữ liệu, đảm bảo sự nhất quán của dữ liệu trong hệ thống .
Các biện pháp đưa ra ngăn chặn được thay đổi bất hợp pháp hoặc phá hoại dữ liệu.
• Bảo vệ tính riêng tư, tức là đảm bảo cho người sử dụng khai thác tài nguyên của hệ
thống theo đúng chức năng, nhiệm vụ đã được phân cấp, ngăn chặn được sự truy nhập thơng
tin bất hợp pháp.
• Bảo vệ tính bí mật, giữ cho thơng tin khơng bị lộ ra ngồi. Bảo vệ tính khả dụng, tức
la hệ thống ln sẵn sàng thực hiện yêu cầu truy nhập thông tin của người dùng hợp pháp.
• Cung cấp thơng tin về sự truy cập, đưa ra những chính sách đối phó, khơi phục , sửa
chữa...
Nhìn chung, hệ thống IDS có thể giúp chúng ta ngăn ngừa các sự kiện khi nó chưa sảy
ra, cung cấp các giải pháp cho mạng và cho host, và thậm chí cũng có thể hoạt động như một
cái chng báo động. Tuy nhiên, chức năng chính của nó là thơng báo cho bạn biết về các sự
kiện có liên quan đến an ninh hệ thống đang sắp sửa xảy ra bên trong mạng và hệ thống mà
bạn kiểm soát.
15
2.1.3. Một số khái niệm cơ bản trong hệ thống phát hiện xâm nhập
Chúng ta nhìn tổng quan về hệ thống IDS bao gồm cả điểm yếu và điểm mạnh của
chúng, chúng ta sẽ đề cập đến cả Network IDS (nhiều khi được đề cập đến như một Sniffer)
và Host IDS (phân tích nhật ký, kiểm tra tích hợp và nhiều thứ khác).
2.1.3.1 Network IDS_NIDS
Network IDS là hệ thống phát hiện xâm nhập mạng, nó bắt gói dữ liệu được truyền đi
trong môi trường mạng (cables, Wireless) và so sánh chúng với một số dấu hiệu xâm nhập thì
hệ thống sẽ sinh ra cảnh báo hoặc ghi lại xâm nhập này vào một tệp hoặc cơ sở dữ liệu nhật
ký.
2.1.3.2 Host IDS _ HIDS
Được cài đặt trong máy cần bảo vệ. Hệ thống xâm nhập này sẽ tìm kiếm trong các tệp
nhật ký của ứng dụng để phát hiện bất cứ hiện tượng xâm nhập nào.
• Sự khác nhau chủ yếu của hệ thống NIDS và HIDS :
Sự khác nhau chủ yếu của NIDS và HIDS là dữ liệu mà nó tìm kiếm. NIDS nhìn vào
tồn cảnh các chuyển dịch trên mạng , trong khi HIDS thì quan sát các host, hệ điều hành và
các ứng dụng. Trong thực tế, nó được chia cắt ra nhiều lĩnh vực khác nhau, chẳng hạn như
HIDS ngăn chặn các truy cập có hại cho mạng, cịn NIDS thì cố gắng đốn xem cái gì xảy ra
bên trong host. Có một số giới hạn không rõ nét lắm như công nghệ để phát triển tiếp theo.
Vậy những thuận tiện của Host base IDS là gì? Sự khác nhau cơ bản giữa chúng đó là
trong khi NIDS phát hiện ra các cuộc tấn công tiềm năng (những thứ sẽ được chuyển tới đích)
thì Host IDS lại phát hiện ra những cuộc tấn công mà đã thành cơng, có kết quả. Bởi vậy có
thể nói rằng NIDS lại phát hiện ra những cuộc tấn công đã thành cơng, có kết quả. Vì vậy có
thể nói rằng NIDS mang tính tiên phong hơn. Tuy nhiên, một host IDS sẽ hiệu quả hơn đối
với trong các môi trường có tốc độ chuyên dịch lớn, mã hóa và có chuyển mạch - đây là những
môi trường mà NIDS rất khó hoạt động. HIDS được thử thách bởi rất nhiều những hành động
có mức độ phơi bày cao của kẻ tấn công và đã thực sự nâng tầm xử lý của chúng.
Mặt khác thì NIDS lại là một phần rất tuyệt cho mơi trường tổng hợp như tồn bộ mạng.
Vì thế, NIDS có thể tạo nên một sự quan sát có ý nghĩa đến các phần của vụ tấn cơng có liên
quan đến nhiều hosts. Nó được thử thách trong mơi trường mạng có chuyển mạch tốc độ cao,
mơi trường mã hóa và các giao thức ứng dụng hiện đại phức tạp, bởi thế nên các kết quả báo
sai cũng rất có khả năng xảy ra.
2.2.
Hệ thống ngăn chặn xâm nhập IPS (Intrusion Prevention)
Hệ thống ngăn ngừa xâm nhập - IPS (Intrusion Prevention Systems) chính là hệ thống
theo dõi để ngăn ngừa kịp thời các hoạt động xâm nhập không mong muốn.
16
Chức năng chủ yếu của hệ thống IPS là xác định các hoạt động nguy hiểm, nguy hại
lưu giữ các thơng tin này. Sau đó IPS kết hợp với Firewall (tường lửa) để dừng lại ngay các
hoạt động này, và cuối cùng đưa ra các báo cáo chi tiết về các hoạt động xâm nhập trái phép
trên.
Hệ thống IPS được xem là trường hợp mở rộng, cải tiến hơn của hệ thống IDS, cách
thức tổ chức hoạt động cũng như đặc điểm của hai hệ thống này tương tự nhau. Điểm khác
biệt duy nhất là hệ thống IPS ngoài khả năng theo dõi, giám sát hệ thống thông tin mạng thì
cịn có chức năng ngăn chặn kịp thời các hoạt động được cảnh báo là nguy hiểm đối với hệ
thống. Hệ thống IPS sử dụng tập luật cũng tương tự như hệ thống IDS.
Phân loại các loại hệ thống ngăn ngừa xâp nhập IPS: Hiện nay trên thị trường có hai
kiểu IPS là “dựa vào máy chủ” và “nội tuyến” (dựa vào mạng).
Hệ thống ngăn ngừa xâm nhập mạng (NIPS – Network-Based Intrusion Prevention)
thường được triển khai trước hoặc sau firewall.
Nếu bạn triển khai IPS trước Firewall là có thể bảo vệ được toàn bộ hệ thống bên trong kể cả
Firewall, vùng DMZ. Đồng thời có thể giảm thiểu nguy cơ bị tấn công từ chối dịch vụ đối
với Firewall.
Nếu bạn triển khai IPS sau Firewall có thể phịng tránh được một số kiểu tấn công
thông qua khai thác điểm yếu trên các thiết bị di động sử dụng VPN để kết nối vào bên
trong.
Hệ thống ngăn ngừa xâm nhập host (HIPS – Host-Based Intrusion Prevention) được
triển khai với mục đích là phát hiện và ngăn chặn kịp thời các hoạt động thâm nhập trên các
host.
Để ngăn chặn kịp thời các động cơ tấn công, HIPS sử dụng công nghệ tương tự như
các giải pháp Antivirus.
2.3.
Khái niệm và chức năng Firewall
2.3.1. Khái niệm
Firewall hay còn gọi là tường lửa, là một thuật ngữ trong chun ngành mạng máy tính.
Nó là một công cụ phần cứng hoặc phần mềm hoặc là cả 2 được tích hợp vào hệ thống để
17
chống lại sự truy cập trái phép, ngăn chặn virus… để đảm bảo nguồn thơng tin nội bộ được an
tồn, tránh bị kẻ gian đánh cắp thơng tin.
Nói ngắn gọn và dễ hiểu hơn thì Firewall chính là ranh giới bảo mật giữa bên trong và
bên ngoài của một hệ thống mạng máy tính.
2.3.2. Chức năng Firewall
2.3.2.1: Ưu điểm
Fire có thể bảo vệ hệ thống mát tính chống lại kẻ đột nhập qua khả năng ngăn chặn
những phiên làm việc từ xa (remote login).
Ngăn chặn thơng tin từ bên ngồi (Internet) vào trong mạng được bảo vệ, trong khi cho
phép người sử dụng hợp pháp được truy cập tự do mạng bên ngồi.
Firewall ngăn chặn các dịch vụ ít tin cậy.
Truy nhập có điều khiển đến từng host.
Tập trung hóa chính sách bảo mât.
Xác nhận người dùng và lưu trữ thông tin.
2.3.2.2 : Nhược điểm
Firewall không thể bảo vệ các mối nguy hiểm từ bên trong nội bộ. Tác hại thì khỏi cần
nói các bạn cũng đã biết, nếu một ai trong cơng ty có ý đồ xấu, muốn phá hoại thì Firewall
cũng đành bó tay.
Firewall khơng có đủ thơng minh để có thể đọc và hiểu từng loại thơng tin và tất nhiên
là nó khơng thể biết được đâu là nội dung tốt và đâu là nội dung xấu. Mà đơn thuần Firewall
chỉ hỗ trợ chúng ta ngăn chặn sự xâm nhập của những nguồn thông tin không mong muốn
nhưng phải xác định rõ các thông số địa chỉ.
Firewall không thể ngăn chặn các cuộc tấn công nếu như cuộc tấn cơng đó khơng “đi
qua” nó. Ví dụ cụ thể đó là Firewall khơng thể chống lại một cuộc tấn cơng từ một đường dialup, hoặc là sự dị rỉ thông tin do dữ liệu bị sao chép bất hợp pháp ra đĩa mềm.
Firewall cũng không thể chống lại các cuộc tấn cơng bằng dữ liệu (data-drivent attack).
Khi có một số ứng dụng hay phần mềm.. được chuyển qua thư điện tử (ví dụ như Gmail,
Yahoo mail…), nó có thể vượt qua Firewall vào trong mạng được bảo vệ.
Firewall không thể làm nhiệm vụ rà quét virus trên các dữ liệu được chuyển qua nó,
do tốc độ làm việc, sự xuất hiện liên tục của các virus mới và do có rất nhiều cách để mã hóa
dữ liệu để có thể thốt khỏi khả năng kiểm sốt của firewall. Tuy nhiên, chúng ta không thể
18
phủ nhận một điều rằng Firewall vẫn là giải pháp hữu hiệu được áp dụng khá rộng rãi hiện
nay.
2.4.
Các thành phần của Firewall và cơ chế hoạt động (Ưu điểm và hạn chế)
Một Firewall chuẩn bao gồm một hay nhiều các thành phần sau đây:
Bộ lọc gói (Packet-Filter)
Cổng ứng dụng(Application-level Gateway hay Proxy Server)
Cổng mạch(Circuite level Gateway)
2.4.1. Bộ lọc gói (Packet-Filter)
2.4.1.1. Ngun lý hoạt động
Hình 2.4.1.1. Sơ đồ làm việc của Packet Filtering
Firewall hoạt động chặt chẽ với giao thức TCP/IP và làm việc theo thuật toán chia nhỏ
các dữ liệu nhận được từ các ứng dụng trên mạng, hay nói chính xác hơn là các dịch vụ chạy
các giao thức (Telnet, SMNP, SMNP, DNS, NFS…) thành các gói dữ liệu (data packet) rồi
gán cho các packet này những địa chỉ để có thể nhận dạng, tái lập lại ở đích cần gửi đến, do
đó các loại Firewall cũng liên quan rất nhiều đến các Packet và những con số địa chỉ của
chúng.
Bộ lọc gói cho phép hay từ chối mỗi packet mà nó nhận được. Nó kiểm tra toàn bộ
đoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thỏa mãn một trong số các luật lệ của lọc
gói hay khơng. Các luật lệ lọc gói này là dựa trên các thơng tin ở đầu mỗi packet (packet
header), dùng để cho phép truyền các packet đó ở trên mạng. Đó là:
19
Địa chỉ IP nơi xuất phát ( IP Source address)
Địa chỉ IP nơi nhận (IP Destination address)
Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel)
Cổng TCP/UDP nơi xuất phát (TCP/UDP source port)
Cổng TCP/UDP nơi nhận(TCP/UDP destination port)
Dạng thông báo ICMP (ICMP message type)
Giao diện Packet đến (Incomming interface of Packet)
Giao diện Packet đi(Outcomming interface of Packet)
Nếu luật lệ lọc gói được thỏa mãn thì packet được chuyển qua Firewall. Nếu không
packet sẽ bị bỏ đi. Nhờ vậy mà Firewall có thể ngăn cản được kết nối vào các máy chủ hoặc
mạng nào đó được xác định, hoặc khóa việc truy cập vào hệ thống mạng nội bộ từ những địa
chỉ khơng cho phép. Hơn nữa, việc kiểm sốt các cổng làm cho Firewall có khả năng chỉ cho
phép một số loại kết nối nhất định vào các loại máy chủ nào đó, hoặc chỉ có những dịch vụ
nào đó(Telnet,SMTP,FTP…) được phép mới chạy được trên hệ thống mạng cục bộ.
2.4.1.2. Ưu điểm và hạn chế của hệ thống Firewall sử dụng bộ lọc gói
Ưu điểm:
Đa số các hệ thống Firewall đều sử dụng bộ lọc gói. Một trong những ưu điểm của
phương pháp dùng bộ lọc gói là chi phí thấp vì cơ chế lọc gói đã được bao gồm mỗi phần mềm
router.
Ngồi ra, bộ lọc gói là trong suốt đối với người sử dụng và các ứng dụng, vì vậy nó
khơng u cầu sự huấn luyện đặc biệt nào cả.
Hạn chế:
Việc định nghĩa các chế độ lọc gói là một việc khá phức tạp, nó địi hỏi người quản trị
mạng cần có hiệu biết chi tiết về các dịch vụ Internet, các dạng packet header, và các giá trị
cụ thể mà họ có thể nhận trên mỗi trường. Khi đòi hỏi về sự lọc càng lớn, các luật lệ về lọc
càng trở nên dài và phức tạp, rất khó để quản lý và điều khiển.
20
Do làm việc dựa trên header của các packet, rõ ràng là bộ lọc gói khơng kiểm sốt được
nội dung thông tin của packet. Các packet chuyển qua vẫn có thể mang theo những hành động
với ý đồ ăn cắp thông tin hay phá hoại của kẻ xấu.
2.4.2. Cổng ứng dụng (Application-Level Gateway)
2.4.2.1. Nguyên lý hoạt động:
Hình 2.4.2.2.Kết nối giữa người dùng Client với Server qua Proxy
Đây là một loại Firewall được thiết kế để tăng cường chức năng kiểm soát các loại dịch
vụ, giao thức được cho phép truy cập vào hệ thống mạng. Cơ chế hoạt động của nó dựa trên
cách thức gọi là proxy service (dịch vụ đại diện). Proxy service là các bộ code đặc biệt cài đặt
trên cổng ra (gateway) cho từng ứng dụng. Nếu người quản trị mạng không cài đặt proxy code
cho một ứng dụng nào đó, dịch vụ tương ứng sẽ khơng được cung cấp và do đó khơng thể
chuyển thơng tin qua Firewall. Ngồi ra, proxy code có thể được định cấu hình để hỗ trợ chỉ
một số đặc điểm trong ứng dụng mà người quản trị mạng cho là chấp nhận được trong khi từ
chối những đặc điểm khác.
Một cổng ứng dụng thường được coi như là một pháo đài (bastion host), bởi vì nó được
thiết kế đặc biệt để chống lại sự tấn cong từ bên ngoài. Những biện pháp đảm bảo an ninh của
một bastion host là:
- Bastion host ln chạy các vervion an tồn (secure version) của các phần mềm
hệ thống (operating system). Các version an tồn này được thiết kế chun cho mục
đích chống lại sự tấn công vào hệ điều hành (operating system), củng như là đảm bảo
sự tích hợp Firewall.
- Chỉ những dịch vụ mà người quản trị mạng cho là cần thiết mới được cài đặt
trên bastion host, đơn giản chỉ vì nếu một dịch vụ khơng được cài đặt, nó khơng thể bị
21
tấn công. Thông thường, chỉ một số giới hạn các ứng dụng cho các dịch vụ Telnet,
DNS, FTP, SMTP và xác thực user là được cài đặt trên bastion host.
- Bastion host có thể yêu cầu nhiều mức độ xác thực khác nhau, ví dụ như user
password hay smart card.
Mỗi proxy được đặt cấu hình để cho phép truy nhập chỉ một số các máy chủ nhất định.
Điều này có nghĩa rằng bộ lện và đặc điểm thiết lập cho mỗi proxy chỉ đúng với một số máy
chủ trên toàn hệ thống.
Mỗi proxy duy trì một quyển nhật ký ghi chép lại tồn bộ chi tiết của giao thơng qua
nó, mỗi sự kết nối, khoảng thời gian kết nối. Nhật ký này rất có ích trong việc tìm theo dấu
vết hay ngăn chặn kẻ phá hoại.
Mỗi proxy đều độc lập vói các proxy khác trên bastion host. Điều này cho phép đơn
giản quá trình cài đặt một proxy mới, hay tháo gỡ một proxy đang có vấn đề.
2.4.2.2. Ưu điểm và hạn chế
Ưu điểm:
Cho phép người quản trị mạng hoàn toàn điều khiển được từng dịch vụ trên
mạng, bởi vì ứng dụng proxy hạn chế bộ lệnh và quyết định những máy chủ nào có thể
truy nhập được bởi các dịch vụ.
Cho phép người quản trị mạng hoàn toàn điều khiển được những dịch vụ nào
cho phép, bởi vì sự vắng mặt của các proxy cho các dịch vụ tương ứng có nghĩa là các
dịch vụ ấy bị khóa.
Cổng ứng dụng cho phép kiểm tra độ chính xác thực rất tốt, và nó có nhật ký
ghi chép lại thông tin về truy nhập hệ thống.
Luật lệ Filltering (lọc) cho cổng ứng dụng là dễ dàng cấu hình và kiểm tra hơn
so với bộ lọc gói.
Hạn chế:
Yêu cầu các users biến đổi thao tác, hoặc biến đổi phần mềm đã cài đặt trên máy
client cho truy nhập vào các dịch vụ proxy.
22
2.4.3. Cổng vịng (Circuit-Level Gateway)
Hình 2.4.3.Kết nối qua cổng vịng (Circuit-Level Gateway
Cổng vịng là một chức năng đặc biệt có thể thực hiện được bởi một cổng ứng dụng.
Cổng vòng đơn giản chỉ chuyển tiếp các kết nối TCP mà không thực hiện bất kỳ một hành
động xử lý hay lọc gói nào.
Hình 2.4.3 minh họa một hành động sử dụng nối telnet qua cổng vòng. Cổng vòng đon
giản chuyển tiếp kết nối telnet qua Firewall mà không thực hiện một sự kiểm tra, lọc hay điều
khiển các thủ tục telnet nào. Cổng vòng làm việc như một sợi dây, sao chép các byte giữa kết
nối bên trong (inside connection) và các kết nối bên ngoài (outside connection). Tuy nhiên, vì
sự kết nối này xuất hiện từ hệ thống Firewall, nó che dấu thơng tin về mạng nội bộ.
Cổng vịng thường được sử dụng cho những kết nối ra ngoài, nơi mà các nhà quản trị
mạng thật sự tin tưởng những người dùng bên trong. Ưu điểm lớn nhất là một bastion host có
thể được cấu hình như là một hỗn hợp cung cấp cổng ứng dụng cho những kết nối đến, và
cổng vòng cho các kết nối đi. Điều này làm cho hệ thống bức tường lửa dễ dàng sử dụng cho
những người trong mạng nội bộ muốn trực tiếp truy nhập tới các dịch vụ Internet, trong khi
vẫn cung cấp chức năng bức tường lửa để bảo vệ mạng nội bộ từ những sự tấn cơng bên ngồi.
2.5.
Các loại Firewall trong thực tế
Trong thực tế các công ty cần tăng tính bảo mật bằng cách sử dụng các Firewall phần
cứng thường dùng các dòng của Cisco như:
Cisco PIX: các loại như PIX 5501, 5515, 5530…
Cisco ASA: như ASA 5510, ASA 5520, ASA 5550…
Cisco Firewall Services Module(FWSM) như Cisco Catalyst Router 6000, 6500,
7000 series switchs.
23
CHƯƠNG 3: TRIỂN KHAI THỰC NGHIỆM HỆ THỐNG
FIREWALL
3.1.
Mục đích xây dựng mơ phỏng
Mục đích của dựng mơ phỏng là đưa ra một mơ hình mạng thật đang được ứng dụng
trong thực tế nhằm phân tích đánh giá các hoạt động của một mạng máy tính cũng như cơ chế
hoạt động của Firewall trong mạng máy tính cũng như hệ thống IPS, khả năng ngăn chặn và
bảo vệ của IPS cũng như Firewall trong mạng máy tính ra sao. Nhìn chung tất cả các hệ thống
thật ta đều có thể mơ phỏng trên máy tính nếu như máy tính của chúng ta đủ mạnh để có thể
24
đủ khả năng xử lý cho hệ thống. Tạo ra một mơ hình tổng qt cơ bản nhằm phân tích, đánh
giá cơ chế hoạt động của Firewall trong mạng máy tính và biết được cách cấu hình cơ bản của
mạng máy tính có Firewall.
3.2.
Ngun lý xây dựng mơ phỏng và các yêu cầu.
+ Yêu cầu thiết bị:
- 1 Router Cisco 1941
- 1 máy PC
- 1 Switch 2960-24TT
- 1 Server-PT
- 1 Firewall ASA 5506
+ Cấu hình theo mơ phỏng:
25
Hình 3.2.1 Mơ phỏng trên Packet Tracer
+ u cầu nội dung cơng việc:
-
Cấu hình kết nối các thiết bị theo sơ đồ
-
Cấu hình máy PC
-
Cấu hình cho Router: IP cho các interface,..
-
Cấu hình cho ASA 5506
-
Kiểm tra kết nối: ping
-
Chặn kết nối truy cập ra ngoài Internet
26