TP.HCM - 2011
TÌM HIỂU MỘT SỐ KỸ THUẬT BẢO MẬT CỦA THIẾT BỊ TƯỜNG LỬA ASTARO VÀ THỰC
HIỆN MỘT SỐ CÀI ĐẶT, CẤU HÌNH ỨNG DỤNG BẢO MẬT.
BÁO CÁO TỐT NGHIỆP
Sinh viên thực hiện: TRẦN THANH TUẤN
Giảng viên hướng dẫn: TS.VÕ XUÂN THỂ
ĐẠI HỌC QUỐC TẾ HỒNG BÀNG
KHOA CÔNG NGHỆ THÔNG TIN
Nhu cầu về bảo mật hệ thống mạng của một số doanh nghiệp vừa và
nhỏ hiện nay rất cần thiết.
Vì vậy đề tài “Tìm hiểu một số kỹ thuật bảo mật của thiết bị tường lửa
astaro và thực hiện một số cài đặt, cấu hình ứng dụng bảo mật” rất là
thiết thực với nhu cầu của doanh nghiệp
HBUI – 2011 TRẦN THANH TUẤN ANH
HBUI – 2011 TRẦN THANH TUẤN ANH
Phần báo cáo Đồ án tốt nghiệp gồm các mục sau:
−
Giới thiệu
−
Lý thuyết cơ bản về mạng máy tính
−
An ninh mạng
−
Sản phẩm Astaro và Ứng dụng
−
Kết luận và Hướng phát triển
HBUI – 2011 TRẦN THANH TUẤN ANH
HBUI – 2011 TRẦN THANH TUẤN ANH
- Môi trường internet phổ biến nhưng khá nguy
hiểm cần một sản phẩm bảo vệ hệ thống
- Hãng Astaro có khá nhiều dòng sản phẩm bảo
mật
HBUI – 2011 TRẦN THANH TUẤN ANH
HBUI – 2011 TRẦN THANH TUẤN ANH
Phân làm 2 loại:
- Phân loại mạng theo qui mô.
- Phân loại mạng theo quan hệ
HBUI – 2011 TRẦN THANH TUẤN ANH
HBUI – 2011 TRẦN THANH TUẤN ANH
Phân loại mạng theo qui mô:
Mạng LAN
Mạng MAN
Mạng WAN
HBUI – 2011 TRẦN THANH TUẤN ANH
HBUI – 2011 TRẦN THANH TUẤN ANH
Phân loại mạng theo quan hệ:
-
Peer – to – peer
-
Nền máy chủ
HBUI – 2011 TRẦN THANH TUẤN ANH
HBUI – 2011 TRẦN THANH TUẤN ANH
Giao thức mạng:
-
Point – to – point (PPP)
-
Transmission Control Protocol / Internet Protocol
(TCP/IP)
-
File Transfer Protocol (FTP)
-
Hyper Text Transfer Protocol (HTTP)
-
Simple Mail Transfer Protocol (SMTP)
HBUI – 2011 TRẦN THANH TUẤN ANH
HBUI – 2011 TRẦN THANH TUẤN ANH
Các phương pháp tấn công cơ bản:
−
Tấn công do thám:
−
Tấn công truy nhập:
−
Tấn công từ chối dịch vụ
:
HBUI – 2011 TRẦN THANH TUẤN ANH
HBUI – 2011 TRẦN THANH TUẤN ANH
Hình thức tấn công:
−
Tấn công TCP SYN FLOOD
−
Tấn công UDP SYN FLOOD
−
Tấn công ICMP SYN FLOOD
−
PORT SCANNING
−
NETWORK SCANNING
−
VULNERABILITY SCANNING
HBUI – 2011 TRẦN THANH TUẤN ANH
HBUI – 2011 TRẦN THANH TUẤN ANH
Giải pháp đề nghị:
Đánh giá chính sách bảo mật hiện hành
Thực hiện “vá” lỗi hệ thống và xây dựng hệ thống bảo mật
Thiết lập các chính sách và quy trình khai thác tài nguyên
HBUI – 2011 TRẦN THANH TUẤN ANH
HBUI – 2011 TRẦN THANH TUẤN ANH
Xây dựng giải pháp
:
! "#$!% "&
'()
*+#,-.
'(
/0122 "+"! "".
HBUI – 2011 TRẦN THANH TUẤN ANH
HBUI – 2011 TRẦN THANH TUẤN ANH
HBUI – 2011 TRẦN THANH TUẤN ANH
HBUI – 2011 TRẦN THANH TUẤN ANH
HBUI – 2011 TRẦN THANH TUẤN ANH
HBUI – 2011 TRẦN THANH TUẤN ANH
Chính sách truy cập từ người dùng
HBUI – 2011 TRẦN THANH TUẤN ANH
HBUI – 2011 TRẦN THANH TUẤN ANH
Chính sách truy cập từ IP mạng
HBUI – 2011 TRẦN THANH TUẤN ANH
HBUI – 2011 TRẦN THANH TUẤN ANH
Chính sách sử dụng Web
HBUI – 2011 TRẦN THANH TUẤN ANH
HBUI – 2011 TRẦN THANH TUẤN ANH
Chống tấn công Flooding
HBUI – 2011 TRẦN THANH TUẤN ANH
HBUI – 2011 TRẦN THANH TUẤN ANH
Chống SCAN PORT
−
Thiết lập điểm số cho nguồn địa chỉ IP khi scan port. Điểm số tối đa là 21
điểm trong 300ms. Nếu vượt quá sẽ bị hủy tính hiệu.
−
Scan một port TCP nhỏ hơn 1024: 3 điểm
−
Scan một port TCP lớn hơn hoặc bằng 1024: 1 điểm
−
Scan các port 11,12,13, 2000: 10 điểm
HBUI – 2011 TRẦN THANH TUẤN ANH
HBUI – 2011 TRẦN THANH TUẤN ANH
Sử dụng mạng riêng ảo VPN
HBUI – 2011 TRẦN THANH TUẤN ANH
HBUI – 2011 TRẦN THANH TUẤN ANH
Thiết lập gửi báo cáo định kỳ:
−
34 256781
−
34 0% 9:.0%
−
;! :"+"0% 9:
−
<=!:> &?"#$@9
−
A,BCD ! 0 E F$:"!"4
!"#
HBUI – 2011 TRẦN THANH TUẤN ANH
HBUI – 2011 TRẦN THANH TUẤN ANH
Xác thực người dùng bằng Astaro Agent Authentication:
−
Trước khi thiết lập chính sách
−
Sau khi thiết lập chính sách
!"#
HBUI – 2011 TRẦN THANH TUẤN ANH
HBUI – 2011 TRẦN THANH TUẤN ANH
Kiểm tra tường lửa với IP mạng:
−
Sau khi thiết lập chính sách
Máy tính có địa chỉ 172.16.0.11 không thể Ping đến địa chỉ 192.168.3.53
!"#
HBUI – 2011 TRẦN THANH TUẤN ANH
HBUI – 2011 TRẦN THANH TUẤN ANH
Kiểm tra truy cập Web:
$%&&'&&'$()$%'&*'+,?2"::G%H('I6JKK211%JKLK
2%2JKA1 01*1K20JK":K?1JK811M012B +16NL661 ?1%
611 16K? JK /01K1"6JK/OPK2 :JK&($2&32%2&&K62:JKK
021JK45678576K2?02 61JK)K ? "16JKK:QB1JKROSTU?VW
XVWYKQB1? JKROSTU;W1BB8X5678576 /9YK2Z1JK[K
1M012JKG'[6L(K0BJK:66;'<<97-=>?72@5<A1G 1:2JKK1JKK
1?2JK ?1%K ?1%JKK1:0?JK10?BK
?1%?1JK>?7BK
!"#
HBUI – 2011 TRẦN THANH TUẤN ANH
HBUI – 2011 TRẦN THANH TUẤN ANH
Kiểm tra chống thâm nhập/ Flood
:
2011:11:28-10:57:33 asg120 ulogd[4916]: id="2103"
severity="info" sys="SecureNet" sub="ips" name="SYN flood
detected" action="SYN flood" fwrule="60012" initf="eth1"
srcmac="0:1c:c4:c6:7:2c" dstmac="0:1a:8c:11:25:69"
srcip="192.168.2.32" dstip="192.168.2.244" proto="6"
length="48" tos="0x00" prec="0x00" ttl="128"
srcport="56024" dstport="80" tcpflags="SYN"
!"#
HBUI – 2011 TRẦN THANH TUẤN ANH
HBUI – 2011 TRẦN THANH TUẤN ANH
Kiểm tra chống scan port: