Tải bản đầy đủ (.pdf) (62 trang)
  1. Trang chủ
    2. >>
  2. Giáo Dục - Đào Tạo
    3. >>
  3. Cao đẳng - Đại học

Xây dựng mô hình mạng bảo mật với cisco ASA firewall cho công ty cổ phần đầu tư và phát triển hải phong – lào cai

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (5.57 MB, 62 trang )

LỜI CAM ĐOAN
Sau quá trình học tập tại trường Đại Học Công Nghệ Thông Tin và Truyền
Thông, em đã nghiên cứu và tìm hiểu các tài liệu để hoàn thành đồ án tốt nghiệp của
mình.
Em xin cam đoan đồ án tốt nghiệp này là công trình do chính bản thân em
nghiên cứu, tìm hiểu và hoàn thành dưới sự hướng dẫn của thầy giáo ThS. Vũ Văn
Diện. Em xin cam đoan những kiến thức sử dụng trong đồ án chưa được sử dụng để
bảo vệ ở bất cứ hội đồng nào.
Thái Nguyên, tháng 5 năm 2017
Sinh viên

Vũ Ngọc Hà

1


LỜI CẢM ƠN
Sau một thời gian nỗ lực phấn đấu, với sự giúp đỡ tận tình của các thầy cô và
bạn bè em đã hoàn thành đề tài đồ án tốt nghiệp của mình. Em xin gửi lời cảm ơn
sâu sắc tới ThS.Vũ Văn Diện người đã tận tình truyền đạt những kiến thức trong
quá trình làm đồ án, chỉ bảo những kinh nghiệm quý báu để em có thể hoàn thành
tốt đề tài đồ án tốt nghiệp của mình.
Em muốn gửi lời cảm ơn chân thành đến gia đình, cùng tập thể bạn bè lớp
CNTTK11B đã cùng em đi qua những tháng ngày học tập, cùng chia sẻ những niềm
vui, nỗi buồn, động viên em đi qua những khó khăn, để em vững bước vượt qua
những vất vả và khó khăn trong quá trình làm đồ án.
Thái Nguyên, tháng 5 năm 2017
Sinh viên

Vũ Ngọc Hà


2


MỤC LỤC

LỜI CAM ĐOAN .................................................................................................... 1
LỜI CẢM ƠN ......................................................................................................... 2
MỤC LỤC .............................................................................................................. 3
DANH MỤC HÌNH ẢNH ....................................................................................... 5
LỜI MỞ ĐẦU ......................................................................................................... 7
CHƯƠNG 1: CƠ SỞ LÝ THUYẾT ........................................................................ 8
1.1 Tổng quan về mạng máy tính. ........................................................................ 8
1.1.1 Mô hình 7 tầng OSI................................................................................. 8
1.1.2 Mô hình TCP/IP .................................................................................... 11
1.1.3 Các kiểu topo mạng phổ biến ................................................................ 12
1.1.4 Các thiết bị mạng .................................................................................. 13
1.2 Bảo mật mạng máy tính ............................................................................... 17
1.2.1 Các loại lỗ hổng bảo mật ....................................................................... 18
1.2.2 Các kiểu tấn công mạng ........................................................................ 19
1.2.3 Các mức độ bảo mật.............................................................................. 20
1.3 Tường lửa (Firewall) .................................................................................... 21
1.3.1 Giới thiệu .............................................................................................. 21
1.3.2 Phân loại Firewall ................................................................................. 21
1.3.3 Chức năng của Firewall ........................................................................ 23
1.3.4 Hạn chế của Firewall............................................................................. 23
1.4 Tưởng lửa Firewall ASA.............................................................................. 24
1.4.1 Giới thiệu .............................................................................................. 24
1.4.2 Chức năng chính của Firewall ASA ...................................................... 25
1.4.3 Một số loại Firewall ASA ..................................................................... 25
1.4.4 Các chế độ làm việc của Firewall ASA ................................................. 26

1.4.5 Mức độ bảo mật .................................................................................... 27
1.5 Network Address Translation(NAT) ............................................................ 28
1.5.1 Tổng quan về NAT ............................................................................... 28
1.5.2 Một số kỹ thuật NAT ............................................................................ 28
3


1.5.3 NAT trên Cisco ASA ............................................................................ 29
1.6 Access Control List (ACL) .......................................................................... 30
CHƯƠNG 2: KHẢO SÁT VÀ PHÂN TÍCH HỆ THỐNG MẠNG CỦA CÔNG TY
CỔ PHẦN ĐẦU TƯ VÀ PHÁT TRIỂN HẢI PHONG – LÀO CAI ...................... 32
2.1 Giới thiệu ..................................................................................................... 32
2.1.1 Lịch sử phát triển .................................................................................. 32
2.1.2 Lĩnh vực kinh doanh ............................................................................. 33
2.2 Tổ chức bộ máy quản lý của công ty ............................................................ 33
2.3 Hiện trạng hệ thống mạng của công ty ......................................................... 35
2.3.1 Khảo sát hiện trạng ............................................................................... 35
2.3.2 Sơ đồ hiện trạng hệ thống mạng của công ty ......................................... 36
2.3.3 Sơ đồ logic mạng của công ty ............................................................... 37
2.3.4 Đánh giá hiện trạng ............................................................................... 42
2.4 Phân tích và thiết kế mô hình mạng bảo mật mới cho công ty ...................... 42
2.4.1 Phân tích yêu cầu của công ty ............................................................... 42
2.4.2 Thiết kế hệ thống mạng cho công ty ...................................................... 43
2.4.3 Thiết kế mô hình mạng tổng thể cho công ty ......................................... 47
CHƯƠNG 3 XÂY DỰNG VÀ CÀI ĐẶT MÔ PHỎNG HỆ THỐNG MẠNG CHO
CÔNG TY ............................................................................................................. 50
3.1 Giới thiệu về phần mềm mô phỏng mạng GNS3 .......................................... 50
3.2 Xây dựng mô hình mạng bảo mật cho Công ty Cổ phần Đầu tư và Phát triển
Hải Phong – Lào Cai ......................................................................................... 51
3.3 Cấu hình cơ bản cho các thiết bị .................................................................. 54

3.3.1 Cấu hình cơ bản Router R1 ................................................................... 54
3.3.2 Cấu hình cơ bản cho Firewall ASA ....................................................... 55
KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN.............................................................. 61
TÀI LIỆU THAM KHẢO ..................................................................................... 62

4


DANH MỤC HÌNH ẢNH
Hình 1.1 Mô hình OSI ............................................................................................. 9
Hình 1.2 Mô hình TCP/IP ...................................................................................... 11
Hình 1.3 Tổng quan về firewall ............................................................................. 21
Hình 1.4 Mô hình firewall cứng............................................................................. 22
Hình 1.5 Mô hình firewall mềm............................................................................. 22
Hình 1.6 Một số loại ASA Firewall của Cisco ....................................................... 26
Hình 1.7 Kỹ thuật NAT tĩnh .................................................................................. 28
Hình 1.8 Kỹ thuật NAT động ................................................................................ 29
Hình 1.9 Kỹ thuật NAT overloading ...................................................................... 29
Hình 1.10 Cơ chế Access Control List ................................................................... 30
Hình 2.1 Sơ đồ tổ chức bộ máy công ty ................................................................. 33
Hình 2.2 Bảng thống kê thiết bị của công ty .......................................................... 35
Hình 2.3 Sơ đồ hiện trạng hệ thống mạng của công ty ........................................... 36
Hình 2.4 Sơ đồ mạng tầng 1 của công ty................................................................ 37
Hình 2.5 Sơ đồ mạng tầng 2 của công ty................................................................ 38
Hình 2.6 Sơ đồ mạng tẩng 3 của công ty................................................................ 39
Hình 2.7 Sơ đồ mạng tầng 4 của công ty................................................................ 40
Hình 2.8 Sơ đồ mạng nhà kho của công ty ............................................................. 41
Hình 2.9 Sơ đồ logic tầng 1 mới cho công ty ......................................................... 43
Hình 2.10 Sơ đồ logic tầng 2 mới cho công ty ....................................................... 43
Hình 2.11 Sơ đồ logic tầng 3 mới cho công ty ....................................................... 44

Hình 2.12 Sơ đồ logic tầng 4 mới cho công ty ....................................................... 44
Hình 2.13 Sơ đồ logic nhà kho mới cho công ty .................................................... 45
Hình 2.14 Sơ đồ vật lý tầng 1 ................................................................................ 45
Hình 2.15 Sơ đồ vật lý tầng 2 ................................................................................ 46
Hình 2.16 Sơ đồ vật lý tầng 3 ................................................................................ 46
Hình 2.17 Sơ đồ vật lý tầng 4 ................................................................................ 47
Hình 2.18 Sơ đồ vật lý nhà kho.............................................................................. 47
Hình 2.19 Mô hình mạng tổng thể của công ty sử dựng firewall asa ...................... 48
Hình 2.20 Bảng phân bố địa chỉ IP ........................................................................ 48
5


Hình 2.21 Bảng hạch toán chi phí .......................................................................... 49
Hình 2.22 Sơ đồ hệ thống mạng được thiết kế lại của công ty ................................ 49
Hình 3.1 Giao diện của phần mềm mô phỏng mạng GNS3 .................................... 50
Hình 3.2 Mô hình mô phỏng hệ thống mạng của công ty trên GNS3 ..................... 51
Hình 3.3 Giao diện khi cài đặt ASA Firewall trên GNS3 ....................................... 52
Hình 3.4 Bảng định tuyến trên Router R1 .............................................................. 55
Hình 3.5 Bảng định tuyến trên Firewall ASA ........................................................ 57
Hình 3.6 Bảng cấu hình NAT cho ASA ................................................................. 58
Hình 3.7 Kiểm tra kết nối từ ASA đến PC ............................................................. 59
Hình 3.8 Kiểm tra kết nối từ ASA đến Router R1 .................................................. 59
Hình 3.9 Kiểm tra kết nối từ ASA đến PC2 ........................................................... 59
Hình 3.10 Kiểm tra kết nối từ ASA đến WebServer .............................................. 59
Hình 3.11 Kiểm tra kết nối từ ISP vào P. Tai chinh – ke toan ................................ 59
Hình 3.12 Kiểm tra kết nối từ ISP vào P. Marketing .............................................. 60
Hình 3.13 Kiểm tra kết nối từ Inside ra internet ..................................................... 60
Hình 3.14 Kiểm tra kết nối từ Inside ra webserver ................................................. 60
Hình 3.15 Kiểm tra kết nối từ dmz ra internet ........................................................ 60
Hình 3.16 Kiểm tra kết nối từ dmz vào inside ........................................................ 60


6


LỜI MỞ ĐẦU
Máy tính và mạng máy tính có vai trò hết sức quan trọng trong cuộc sống
ngày nay. Ngày nay trong bất kỳ lĩnh vực nào cũng cần đến máy tính, máy tính rất
hữu ích với chúng ta. Do có máy tính và sự phát triển của nó đã làm cho khoa học
kỹ thuật phát triển vượt bậc, kinh tế phát triển nhanh chóng.
Cùng với sự ra đời và phát triển của máy tính và mạng máy tính là vấn đề
bảo mật thông tin, ngăn chặn sự xâm phạm và đánh cắp thông tin trong máy tính và
thông tin cá nhân trên mạng máy tính khi mà ngày càng có nhiều hacker xâm nhập
và phá huỷ dữ liệu quan trọng làm thiệt hại đến kinh tế của công ty nhà nước.
Vấn đề bảo mật, an toàn cho hệ thống mạng cần phải được đặt lên hàng đầu
trước khi chúng ta xây dựng một hệ thống mạng cho người sử dụng. Do đó sử dụng
các thiết bị tường lửa trong các hệ thống mạng để đảm bảo an toàn là rất cần thiết.
Nhằm ngăn chặn các kết nối không mong muốn, giảm nguy cơ mất kiểm soát hệ
thống hoặc bị tấn công và lây nhiễm các chương trình độc hại.
Được sự hướng dẫn nhiệt tình và chu đáo của thầy Vũ Văn Diện, em đã tìm
hiểu và nghiên cứu về đồ án tốt nghiệp với đề tài: “Xây dựng mô hình mạng bảo
mật với Cisco ASA Firewall cho Công ty Cổ phần Đầu tư và Phát triển Hải
Phong – Lào Cai”. Dù đã cố gắng trong quá trình tìm hiểu nhưng vì nội dung
rộng và bao gồm nhiều kiến thức mới mẻ, thời gian và kiến thức còn hạn chế, việc
nghiên cứu đề tài không tránh khỏi những thiếu sót. Em rất mong nhận được sự
đóng góp ý kiến của thầy cô giáo và bạn bè để báo cáo của em được hoàn thiện hơn
nữa

7



CHƯƠNG 1: CƠ SỞ LÝ THUYẾT
1.1 Tổng quan về mạng máy tính.
Vào những năm 50, những hệ thống máy tính đầu tiên ra đời sử dụng các
bóng đèn điện tử nên kích thước rất cồng kềnh và tiêu tốn nhiều năng lượng. Việc
nhập dữ liệu vào máy tính được thực hiện thông qua các bìa đục lỗ và kết quả được
đưa ra máy in, điều này làm mất rất nhiều thời gian và bất tiện cho người sử dụng.
Đến giữa những năm 60, cùng với sự phát triển của các ứng dụng trên máy
tính và nhu cầu trao đổi thông tin với nhau, một số nhà sản xuất máy tính đã nghiên
cứu chế tạo thành công các thiết bị truy cập từ xa tới các máy tính của họ, và đây
chính là dạng sơ khai của hệ thống máy tính.
Đến đầu những năm 70, hệ thống thiết bị đầu cuối 3270 của IBM ra đời cho
phép mở rộng khả năng tính toán của các trung tâm máy tính đến các vùng ở xa.
Đến giữa những năm 70, IBM đã giới thiệu một loạt các thiết bị đầu cuối được tiết
kế chế tạo cho lĩnh vực ngân hàng, thương mại. Thông qua dây cáp mạng các thiết
bị đầu cuối có thể truy cập cùng một lúc đến một máy tính dùng chung. Đến năm
1977, công ty Datapoint Corporation đã tung ra thị trường hệ điều hành mạng của
mình là “Attache Resource Computer Network” (Arcnet) cho phép liên kết các máy
tính và các thiết bị đầu cuối lại bằng dây cáp mạng, và đó chính là hệ điều hành
mạng đầu tiên.
Mạng máy tính là một tập hợp các máy tính được nối với nhau bởi đường
truyền theo một cấu trúc nào đó và thông qua đó các máy tính trao đổi thông tin qua
lại cho nhau.
1.1.1 Mô hình 7 tầng OSI
Mô hình OSI phân chia thành 7 lớp bao gồm các lớp ứng dụng, lớp trình
diễn, lớp phiên, lớp vận chuyển, lớp mạng, lớp liên kết dữ liệu và lớp vật lý được
biểu diễn như hình dưới đây:

8



Hình 1.1 Mô hình OSI
ISO đã đưa ra mô hình 7 mức (layers, còn gọi là lớp hay tầng) cho mạng, gọi
là kiểu hệ thống kết nối mở hoặc mô hình OSI (Open System Interconnection). Việc
ra đời mô hình OSI đã hỗ trợ việc kết nối và chia sẽ thông tin trên mạng một cách
hiệu quả.
- Tầng Physical: Điều khiển việc truyền tải thật sự các bit trên đường truyền
vật lý. Nó định nghĩa các tín hiệu điện, trạng thái đường truyền, phương pháp mã
hóa dữ liệu, các loại đầu nối được sử dụng.
-Tầng Data Link: Đảm bảo truyền tải các khung dữ liệu (frame) giữa hai
máy tính có đường truyền vật lý nối trực tiếp với nhau. Nó cài đặt cơ chế phát hiện
và xử lý lỗi dữ liệu nhận.
-Tầng Network: Đảm bảo các gói tin dữ liệu (Packet) có thể truyền từ máy
tính này đến máy tính kia cho dù không có đường truyền vật lý trực tiếp giữa chúng.
Nó nhận nhiệm vụ tìm đường đi cho dữ liệu đến các đích khác nhau trong mạng.
-Tầng Transport: phân nhỏ gói tin có kích thước lớn khi gửi và tập hợp lại
khi nhận, đảm bảo tính toàn vẹn cho dữ liệu. Đảm bảo truyền tải dữ liệu giữa các
9


quá trình. Dữ liệu gởi đi được đảm bảo không có lỗi, theo đúng trình tự, không bị
mất mát, trùng lắp. Đối với các gói tin có kích thước lớn, tầng này sẽ phân chia
chúng thành các phần nhỏ trước khi gởi đi, cũng như tập hợp lại chúng khi nhận
được.
-Tầng Session: cung cấp dịch vụ cho các lớp Presentation để tổ chức các
phiên làm việc và quản lý trao đổi dữ liệu. Cho phép các ứng dụng thiết lập, sử
dụng và xóa các kênh giao tiếp giữa chúng Nó cung cấp cơ chế cho việc nhận biết
tên và các chức năng về bảo mật thông tin khi truyền qua mạng.
-Tầng Presentation: Đảm bảo các máy tính có kiểu định dạng dữ liệu khác
nhau vẫn có thể trao đổi thông tin cho nhau. Thông thường các mày tính sẽ thống
nhất với nhau về một kiểu định dạng dữ liệu trung gian để trao đổi thông tin giữa

các máy tính. Một dữ liệu cần gởi đi sẽ được tầng trình bày chuyển sang định dạng
trung gian trước khi nó được truyền lên mạng. Ngược lại, khi nhận dữ liệu từ mạng,
tầng trình bày sẽ chuyển dữ liệu sang định dạng riêng của nó.
-Tầng Application: cung cấp các ứng dụng truy xuất đến các dịch vụ mạng
như Web Brower…, hay các chương trình làm server cung cấp các dịch vụ mạng
như: Web Server, Mail Server…

10


1.1.2 Mô hình TCP/IP

Hình 1.2 Mô hình TCP/IP
-Lớp Application : quản lý các giao thức, như hỗ trợ việc trình bày, mã hóa
và quản lý cuộc gọi. Lớp Application cũng hỗ trợ nhiều ứng dụng như : FTP (File
Transfer Protocol), HTTP (Hypertext Transfer Protocol), SMTP (Simple Mail
Transfer Protocol), DNS (Domain Name System), TFTP (Trivial File Transfer
Protocol).
-Tầng Network Access: điều khiển các thiết bị phần cứng và phương tiện
truyền thông tạo nên mạng.
-Tầng Internet: xác định đường dẫn cho các gói tin đi qua mạng tới đúng
đích mong muốn
-Tầng Transport: đảm nhiệm việc vận chuyển từ nguồn đến đích. Tầng
Transport đảm nhiệm việc truyền dữ liệu thông qua hai nghi thức TCP
(Transmission Control Protocol) và UDP (User Datagram Protocol). Đảm nhiệm
việc chọn lựa đường đi tốt nhất cho các gói tin.

11



1.1.3 Các kiểu topo mạng phổ biến
Topo mạng dùng để xác định cấu trúc của mạng. Một số loại Topo mạng
phổ biến hiện nay như:
a. Bus

Theo cách bố trí hành lang các đường như hình vẽ thì máy chủ (host) cũng
như tất cả các máy tính khác (workstation) hoặc các nút (node) đều được nối về với
nhau trên một trục đường dây cáp chính để chuyển tải tín hiệu.
Tất cả các nút đều sử dụng chung đường dây cáp chính này. Phía hai đầu dây
cáp được bịt bởi một thiết bị gọi là terminator. Các tín hiệu và gói dữ liệu (packet)
khi di chuyển lên hoặc xuống trong dây cáp đều mang theo điạ chỉ của nơi đến.
Loại hình mạng này dùng dây cáp ít nhất, dễ lắp đặt. Tuy vậy cũng có những
bất lợi đó là sẽ có sự ùn tắc khi di chuyển dữ liệu với lưu lượng lớn và khi có sự
hỏng hóc ở đoạn nào đó thì rất khó phát hiện, một sự ngừng trên đường dây để sửa
chữa sẽ ngừng toàn bộ hệ thống.
b. Ring

Mạng dạng Ring, bố trí theo dạng xoay vòng, đường dây cáp được thiết kế
làm thành một vòng khép kín, tín hiệu chạy quanh theo một chiều nào đó. Các nút
truyền tín hiệu cho nhau mỗi thời điểm chỉ được một nút mà thôi. Dữ liệu truyền đi
phải có kèm theo địa chỉ cụ thể của mỗi trạm tiếp nhận.
Mạng dạng vòng có thuận lợi là có thể nới rộng ra xa, tổng đường dây cần
thiết ít. Nhược điểm là đường dây phải khép kín, nếu bị ngắt ở một nơi nào đó thì
toàn bộ hệ thống cũng bị ngừng.
12


c. Star

Kết nối tất cả các cáp tới một điểm trung tâm. Nếu sử dụng star mở rộng kết

nối các star lại với nhau thông qua HUB hoặc SWITCH. Dạng này có thể mở rộng
phạm vi và mức độ bao phủ của mạng.
Dạng hình sao mở rộng:

d. Mesh

Mỗi host trong mạng có đường nối riêng tới tất cả các host còn lại. Tăng khả
năng tránh bị gián đoạn dịch vụ khi một máy bị hỏng.
1.1.4 Các thiết bị mạng
a. Repeater
Repeater là loại thiết bị phần cứng đơn giản nhất trong các thiết bị liên kết
mạng, nó được hoạt động trong tầng vật lý của mô hình hệ thống mở OSI. Repeater
dùng để nối 2 mạng giống nhau hoặc các phần một mạng cùng có một nghi thức và
một cấu hình. Khi Repeater nhận được một tín hiệu từ một phía của mạng thì nó sẽ
phát tiếp vào phía kia của mạng.

13


Repeater không có xử lý tín hiệu mà nó chỉ loại bỏ các tín hiệu méo, nhiễu,
khuếch đại tín hiệu đã bị suy hao (vì đã được phát với khoảng cách xa) và khôi phục
lại tín hiệu ban đầu. Việc sử dụng Repeater đã làm tăng thêm chiều dài của mạng.
b. Hub
Hub là một repeater nhiều cổng, chỉ hoạt động ở tầng vật lý.
Hub là một trong những yếu tố quang trọng của LAN, đây là điểm kết nối
dây trung tâm của mạng, tất cả các trạm trên mạng LAN được kết nối thông qua
Hub. Một Hub thông thường có nhiều cổng nối với người sử dụng để gắn máy tính
và các thiết bị ngoại vi. Mỗi cổng hỗ trợ một bộ kết nối dùng cặp dây xoắn
10BASE-T từ mỗi trạm của mạng. Khi bó tín hiệu Ethernet được truyền từ một trạm
tới Hub, nó được lặp lại trên khắp các cổng khác của Hub. Các Hub thông minh có

thể định dạng, kiểm tra, cho phép hoặc không cho phép bởi người điều hành mạng
từ trung tâm quảng lý Hub
14


c. Bridge
Bridge là thiết bị làm việc đến tầng liên kết dữ liệu, nhận tín hiệu vật lý từ 1
cổng, nhận dạng dataframe, phân tích địa chỉ máy đích.
Là cầu nối hai hoặc nhiều đoạn (segment) của một mạng. Theo mô hình OSI
thì bridge thuộc mức 2. Bridge sẽ lọc những gói dữ liệu để gửi đi (hay không gửi)
cho đoạn nối, hoặc gửi trả lời nơi xuất phát. Các bridge cũng thường được dùng để
phân chia một mạng lớn thành hai mạng nhỏ nhằm làm tăng tốc độ.

•Ưu điểm: Cho phép mở rộng cùng một mạng logic với nhiều kiểu cáp khác
nhau. Chia mạng thành nhiều phân đoạn khác nhau nhằm giảm lưu lượng trên
mạng.
15


•Nhược điểm: Chậm hơn repeater vì phải xử lý các gói tin chưa tìm được
đường đi tối ưu trong trường hợp có nhiều đường đi.
d. Switch
Switch được coi như cầu nhiều cổng, là thiết bị làm việc đến tầng liên kết dữ
liệu. Một Switch có nhiều port với nhiều đoạn mạng nối đến chúng.
Là các bộ chuyển mạch thực sự. Khác với Hub thông thường, thay vì chuyển
một tín hiệt đến từ một cổng cho tất cả các cổng, nó chỉ chuyển tín hiệu đến cổng có
trạm đích. Do vậy Switch là một thiết bị quan trọng trong các mạng cục bộ lớn dùng để
phân đoạn mạng. Nhờ có Switch mà đụng độ trên mạng giảm hẳn. Ngày nay Switch là
thiết bị mạng quan trọng cho phép tùy biến trên mạng chẳng hạn lập mạng ảo.


e. Router
Router có chức năng cơ bản là gửi đi các gói dữ liệu dựa trên địa chỉ phân
lớp của mạng và cung cấp các dịch vụ như bảo mật, quản lý lưu thông
Router là một thiết bị thông minh, nó có thể thực hiện các giải thuật chọn
đường đi tối ưu cho các gói tin theo một chỉ tiêu nào đó. Router cho phép nối các
kiểu mạng khác nhau thành một liên mạng. Muốn vậy, Router phải được thiết kế
sao cho nó có thể làm việc được với nhiều giao thức. Hiện nay, các Router của các
hãng nổi tiếng như Cisco, Bay network,… đều có thể làm việc được với hầu hết các
giao thức phổ biến.
Giống như bridge, router là một thiết bị siêu thông minh đối với các mạng
thực sự lớn. Router biết địa chỉ của tất cả các máy tính ở từng phía và có thể chuyển

16


các thông điệp cho phù hợp. Chúng còn phân đường định truyền để gửi từng thông
điệp có hiệu quả.
Theo mô hình OSI thì chức nǎng của router thuộc mức 3, cung cấp thiết bị
với thông tin chứa trong các header của giao thức, giúp cho việc xử lý các gói dữ
liệu thông minh.

1.2 Bảo mật mạng máy tính
Bảo mật mạng là sự đảm bảo an toàn của toàn bộ hệ thống mạng trước
những hoạt động nhằm tấn công phá hoại hệ thống mạng cả từ bên trong như bên
ngoài.
Hoạt động phá hoại là những hoạt động như xâm nhập trái phép sử dụng tài
nguyên trái phép ăn cắp thông tin, các hoạt động giả mạo nhằm phá hoại tài nguyên
mạng và cơ sở dữ liệu của hệ thống.
Vấn đề bảo mật mạng luôn là một vấn đề bức thiết khi ta nghiên cứu một hệ
thống mạng. Hệ thống mạng càng phát triển thì vấn đề bảo mật mạng càng được đạt

lên hàng đầu.
Khi nguyên cứu một hệ thống mạng chúng ta cần phải kiểm soát vấn đề bảo
mật mạng ở các mức độ:
 Mức mạng: Ngăn chặn kẻ xâm nhập bất hợp pháp vào hệ thống mạng.
 Mức server: Kiểm soát quyền truy cập, các cơ chế bảo mật, quá trình nhận
dạng người dùng, phân quyền truy cập, cho phép các tác vụ

17


 Mức cơ sở dữ liệu: Kiểm soát ai? được quyền như thế nào? với mỗi cơ sở
dữ liệu
 Mức trường thông tin: Trong mỗi cơ sở dữ liệu kiểm soát được mỗi trường
dữ liệu chứa thông tin khác nhau sẽ cho phép các đối tượng khác nhau có quyền
truy cập khác nhau.
 Mức mật mã: Mã hoá toàn bộ file dữ liệu theo một phương pháp nào đó và
chỉ cho phép người có “ chìa khoá” mới có thể sử dụng được file dữ liệu
1.2.1 Các loại lỗ hổng bảo mật
a. Lỗ hổng loại C: Cho phép thực hiện các hình thức tấn công theo DoS
(Denial of Services- Từ chối dịch vụ) Mức độ nguy hiểm thấp chỉ ảnh hưởng tới
chất lượng dịch vụ, làm gián đoạn hệ thống, không làm phá hỏng dữ liệu hoặc đạt
được quyền truy cập bất hợp pháp. DoS là hình thức tấn công sử dụng các giao thức
ở tầng Internet trong bộ giao thức TCP/IP để làm hệ thống ngưng trệ dẫn đến tình
trạng từ chối người sử dụng hợp pháp truy nhập hay sử dụng hệ thống. Các dịch vụ
có lỗ hổng cho phép các cuộc tấn công DoS có thể được nâng cấp hoặc sửa chữa
bằng các phiên bản mới hơn của các nhà cung cấp dịch vụ. Hiện nay chưa có một
biện pháp hữu hiệu nào để khắc phục tình trạng tấn công kiểu này vì bản thân thiết
kế ở tầng Internet (IP) nói riêng và bộ giao thức TCP/IP nói chung đã ẩn chứa
những nguy cơ tiềm tàng của các lỗ hổng loại này.
b. Lỗ hổng loại B: Cho phép người sử dụng có thêm các quyền trên hệ thống

mà không cần kiểm tra tính hợp lệ dẫn đến mất mát thông tin yêu cầu cần bảo mật.
Lỗ hổng này thường có trong các ứng dụng trên hệ thống. Có mức độ nguy hiểm
trung bình.
Lỗ hổng loại B này có mức độ nguy hiểm hơn lỗ hổng loại C. Cho phép
người sử dụng nội bộ có thể chiếm được quyền cao hơn hoặc truy nhập không hợp
pháp. Những lỗ hổng loại này thường xuất hiện trong các dịch vụ trên hệ thống.
Người sử dụng local được hiểu là người đã có quyền truy nhập vào hệ thống với
một số quyền hạn nhất định. Một dạng khác của lỗ hổng loại B xảy ra với các
chương trình viết bằng mã nguồn C. Những chương trình viết bằng mã nguồn C
thường sử dụng một vùng đệm, một vùng trong bộ nhớ sử dụng để lưu trữ dữ liệu
trước khi xử lý.
18


c. Lỗ hổng loại A: Cho phép người ngoài hệ thống có thể truy cập bất hợp
pháp vào hệ thống. Có thể làm phá huỷ toàn bộ hệ thống. Loại lỗ hổng này có mức
độ rất nguy hiểm đe dọa tính toàn vẹn và bảo mật của hệ thống. Các lỗ hổng này
thường xuất hiện ở những hệ thống quản trị yếu kém hoặc không kiểm soát được
cấu hình mạng. Những lỗ hổng loại này hết sức nguy hiểm vì nó đã tồn tại sẵn có
trên phần mềm sử dụng, người quản trị nếu không hiểu sâu về dịch vụ và phần mềm
sử dụng có thể bỏ qua điểm yếu này. Vì vậy thường xuyên phải kiểm tra các thông
báo của các nhóm tin về bảo mật trên mạng để phát hiện những lỗ hổng loại này.
Một loạt các chương trình phiên bản cũ thường sử dụng có những lỗ hổng loại A
như: FTP, Gopher, Telnet, Sendmail, ARP, finger...
1.2.2 Các kiểu tấn công mạng
Một số kiểu tấn công mạng như: tấn công trực tiếp, tấn công vào các lỗ hổng
bảo mật, thăm dò, đánh lừa, tấn công từ chối dịch vụ, tấn công vào yếu tố con
người...
1.2.2.1 Tấn công trực tiếp
Sử dụng một máy tính để tấn công một máy tính khác với mục đích dò tìm

mật mã, tên tài khoản tương ứng… Họ có thể sử dụng một số chương trình giải mã
để giải mã các file chứa password trên hệ thống máy tính của nạn nhân. Do đó,
những mật khẩu ngắn và đơn giản thường rất dễ bị phát hiện.
1.2.2.2 Tấn công vào các lỗ hổng bảo mật
Hiện nay, các lỗ hổng bảo mật được phát hiện càng nhiều trong các hệ điều
hành, các web server hay các phần mềm khác,… Và các hãng sản xuất luôn cập
nhật các lỗ hổng và đưa ra các phiên bản mới sau khi đã vá lại các lỗ hổng của các
phiên bản trước.
Do đó, người sử dụng phải luôn cập nhật thông tin và nâng cấp phiên bản cũ
mà mình đang sử dụng nếu không các hacker sẽ lợi dụng điều này để tấn công vào
hệ thống.
1.2.2.3 Kỹ thuật đánh lừa
Đây là thủ thuật được sử dụng nhiều cho các cuộc tấn công và thâm nhập vào
hệ thống mạng và máy tính bởi tính đơn giản mà hiệu quả của nó. Thường được sử
dụng để lấy cấp mật khẩu, thông tin, tấn công vào và phá hủy hệ thống.
19


Kỹ thuật này được sử dụng khi hacker giả mạo địa chỉ IP tin cậy trong mạng
nhằm thực hiện việc chèn thông tin bất hợp pháp vào trong phiên làm việc hoặc
thay đổi bản tin định tuyến để thu nhận các gói tin cần thiết.
1.2.2.4 Thăm dò
Đó chính là hình thức hacker gửi vài thông tin truy vấn về địa chỉ IP hoặc
domain name bằng hình thức này hacker có thể lấy được thông tin về địa chỉ IP và
domain name từ đó thực hiện các biện pháp tấn công khác…
1.2.2.5 Tấn công từ chối dịch vụ (Denial of services)
Kiểu tấn công này nhằm tắc nghẽn mạng bằng cách hacker gửi các gói tin
với tốc độ cao và liên tục tới hệ thống bảo mật nhằm làm tê liện hệ thống chiếm hết
băng thông sử dụng
1.2.2.6 Tấn công vào yếu tố con người

Hacker có thể tấn công vào các lỗ hổng do lỗi nhà quản trị hệ thống hoặc liên
lạc với nhà quản trị hệ thống giả mạo là người sủ dụng thay đổi username và
password.
1.2.3 Các mức độ bảo mật
 Quyền truy nhập
Đây là lớp bảo vệ sâu nhất nhằm kiểm soát tài nguyên mạng kiểm soát ởmức
độ file và việc xác định quyền hạn của người dùng do nhà quản trị quyếtđịnh như:
chỉ đọc( only read), chỉ ghi (only write), thực thi(execute).
 Đăng nhập / Mật khẩu (login/password)
Đây là lớp bảo vệ mức độ truy nhập thông tin ở mức độ hệ thống. Đây là
mức độ bảo vệ được sử dụng phổ biến nhất vì nó đơn giản và ít tốn kém. Nhà quản
trị cung cấp cho mỗi người dùng một username và password và kiểm soát mọi hoạt
động của mạng thông qua hình thức đó. Mỗi lần truy nhập mạng người dùng phải
đăng nhập Username và password, hệ thống kiểm tra hợp lệ mới cho đăng nhập
 Mã hóa dữ liệu (Data encryption)
Đó là sử dụng các phương pháp mã hoá dữ liệu ở bên phát và thực hiện giải
mã ở bên thu bên thu chỉ có thể mã hóa chính xác khi có khoá mã hóa do bên phát
cung cấp.
 Bảo vệ vật lý (Physical protect)
20


Đây là hình thức ngăn chạn nguy cơ truy nhập vật lý bất hợp pháp vào hệ
thống như ngăn cấm tuyệt đối người không phận sự vào phòng đặt máy mạng, dùng
ổ khoá máy tính, hoặc cài đặt cơ chế báo động khi có truy nhập vào hệ thống.
 Bức tường lửa (firewall)
Đây là hình thức ngăn chặn sự xâm nhập bất hợp pháp vào mạng nội bộ
thông qua firewall. Chức năng của tường lửa là ngăn chặn các truy nhập trái phép
(theo danh sách truy nhập đã xác định trước) và thậm chí có thể lọc các gói tin mà
ta không muốn gửi đi hoặc nhận vào vì một lý do nào đó. Phương thức bảo vệ này

được dùng nhiều trong môi trường liên mạng Internet.
1.3 Tường lửa (Firewall)
1.3.1 Giới thiệu
Internet cho phép chúng ta truy cập tới mọi nơi trên thế giới thông qua một
số dịch vụ. Ngồi trước máy tính của mình bạn có thể biết được thông tin trên toàn
cầu, nhưng cũng chính vì thế mà hệ thống máy tính của bạn có thể bị xâm nhập vào
bất kỳ lúc nào mà bạn không hề được biết trước. Do vậy việc bảo vệ hệ thống là
một vấn đề chúng ta phải quan tâm. Người ta đã đưa ra khái niệm FireWall để giải
quyết vấn đề này.

Hình 1.3 Tổng quan về firewall
Firewall hay còn gọi là tường lửa, là một thuật ngữ trong chuyên ngành
mạng máy tính. Nó là một công cụ phần cứng hoặc phần mềm hoặc là cả 2 được
tích hợp vào hệ thống để chống lại sự truy cập trái phép, ngăn chặn virus… để đảm
bảo nguồn thông tin nội bộ được an toàn, tránh bị kẻ gian đánh cắp thông tin.
1.3.2 Phân loại Firewall
Firewall thì được chia ra làm 2 loại đó là: firewall cứng và firewall mềm.
21


+ Firewall cứng
Firewall cứng là những Firewall được tích hợp trên Router.

Hình 1.4 Mô hình firewall cứng
Đặc điểm của Firewall cứng:
• Không được linh hoạt như Firewall mềm: không thể thêm chức năng, thêm
quy tắc như Firewall mềm.
• Firewall cứng hoạt động ở tầng thấp hơn Firewall mềm (tầng Network và
tầng Transport)
• Firewall cứng không thể kiểm tra nội dung của một gói tin.

• Một số Firewall cứng thông dụng: NAT, Cisco ASA 5500,….
+Firewall mềm:
Một vài hệ điều hành có tường lửa kèm theo, nếu hệ điều hành của bạn
không có thì cũng dễ dàng kiếm được từ một số cửa hàng máy tính hay hãng phần
mềm hoặc các nhà cung cấp dịch vụ Internet.Một số Firewall mềm như ISA server,
Zone Alarm, Norton firewall, các phần mềm antivirut hay các hệ điều hành đều có
tính năng firewall…
Firewall mềm là những Firewall được cài đặt trên máy tính.

Hình 1.5 Mô hình firewall mềm
Đặc điểm của Firewall mềm:
• Tính linh hoạt cao: có thể thêm, bớt các quy tắc, các chức năng.
• Firewall mềm hoạt động ở tầng cao hơn Firewall cứng (Tầng Applycation)
• Firewall mềm có thể kiểm tra được nội dung của gói tin (thông qua các từ khóa)
• Một số Firewall mềm thông dụng: Zone Alarm, Microsoft ISA Server
2006, Norton Firewall,….
22


1.3.3 Chức năng của Firewall
FireWall quyết định những dịch vụ nào từ bên trong được phép truy cập từ
bên ngoài, những người nào từ bên ngoài được phép truy cập đến các dịch vụ bên
trong, và cả những dịch vụ nào bên ngoài được phép truy cập bởi những người bên
trong.
Firewall hỗ trợ máy tính kiểm soát luồng thông tin giữa intranet và internet,
Firewall sẽ quyết định dịch vụ nào từ bên trong được phép truy cập ra bên ngoài,
những người nào bên ngoài được phép truy cập vào bên trong hệ thống, hay là giới
hạn truy cập những dịch vụ bên ngoài của những người bên trong hệ thống, mình
lấy ví dụ như giới hạn trang Facebook, tất cả những người trong hệ thống sẽ không
thể truy cập vào được mạng xã hội này.

Một số chức năng của Firewall:
 Cho phép hoặc vô hiệu hóa các dịch vụ truy cập ra bên ngoài, đảm bảo
thông tin chỉ có trong mạng nội bộ.
 Cho phép hoặc vô hiệu hóa các dịch vụ bên ngoài truy cập vào trong.
 Phát hiện và ngăn chặn các cuộc tấn công từ bên ngoài.
 Hỗ trợ kiểm soát địa chỉ truy cập (bạn có thể đặt lệnh cấm hoặc là cho phép).
 Kiểm soát truy cập của người dùng.
 Quản lý và kiểm soát luồng dữ liệu trên mạng.
 Xác thực quyền truy cập
 Hỗ trợ kiểm soát nội dung thông tin và gói tin lưu chuyển trên hệ thống mạng.
 Lọc các gói tin dựa vào địa chỉ nguồn, địa chỉ đích và số Port ( hay còn
cổng), giao thức mạng.
 Người quản trị có thể biết được kẻ nào đang cố gắng để truy cập vào hệ
thống mạng.
 Firewall hoạt động như một Proxy trung gian.
 Bảo vệ tài nguyên của hệ thống bởi các mối đe dọa bảo mật.
1.3.4 Hạn chế của Firewall
Firewall cung cấp nhiều tính năng hữu ích để bảo vệ người dùng, song nó
vẫn có những hạn chế như:
+ Firewall không thể bảo vệ các mối nguy hiểm từ bên trong nội bộ.
23


+ Firewall không thể đọc và hiểu từng loại thông tin và tất nhiên là nó không
thể biết được đâu là nội dung tốt và đâu là nội dung xấu. Mà đơn thuần Firewall chỉ
hỗ trợ chúng ta ngăn chặn sự xâm nhập của những nguồn thông tin không mong
muốn nhưng phải xác định rõ các thông số địa chỉ.
+ Firewall không thể ngăn chặn các cuộc tấn công nếu như cuộc tấn công đó
không “đi qua” nó. Ví dụ cụ thể đó là Firewall không thể chống lại một cuộc tấn
công từ một đường dial-up, hoặc là sự dò rỉ thông tin do dữ liệu bị sao chép bất hợp

pháp ra đĩa mềm.
+ Firewall cũng không thể chống lại các cuộc tấn công bằng dữ liệu (datadrivent attack). Khi có một số ứng dụng hay phần mềm.. được chuyển qua thư điện
tử (ví dụ như Gmail, Yahoo mail…), nó có thể vượt qua Firewall vào trong mạng
được bảo vệ.
+ Firewall không thể làm nhiệm vụ rà quét virus trên các dữ liệu được
chuyển qua nó, do tốc độ làm việc, sự xuất hiện liên tục của các virus mới và do có
rất nhiều cách để mã hóa dữ liệu để có thể thoát khỏi khả năng kiểm soát của
firewall. Tuy nhiên, chúng ta không thể phủ nhận một điều rằng Firewall vẫn là giải
pháp hữu hiệu được áp dụng khá rộng rãi hiện nay.
1.4 Tưởng lửa Firewall ASA
1.4.1 Giới thiệu
Cisco ASA viết tắt của từ: Cisco Adaptive Security Appliance. ASA là một
giải pháp bảo mật đầu cuối chính của Cisco. Hiện tại ASA là sản phẩm bảo mật dẫn
đầu trên thị trường về hiệu năng và cung cấp các mô hình phù hợp doanh nghiệp,
tích hợp giải pháp bảo mật mạng.
Tường lửa Cisco ASA là công nghệ mới nhất trong các giải pháp tường lửa
được đưa ra bởi Cisco, hiện nay đang thay thế các tường lửa PIX rất tốt. ASA viết
tắt của Adaptive Security Appliances, làm cả hai nhiệm vụ là một tường lửa và ứng
dụng anti-malware.
Cisco ASA hoạt động theo cơ chế giám sát gói theo trạng thái (Stateful
Packet Inspection), thực hiện điều khiển trạng thái kết nối khi qua thiết bị bảo mật
(ghi nhận trạng thái của từng gói thuộc kết nối xác định theo loại giao thức hay ứng
dụng). Cho phép kết nối một chiều (outbound-đi ra) với rất ít việc cấu hình. Một kết
24


nối đi ra là một kết nối từ thiết bị trên cổng có mức bảo mật cao đến thiết bị trên
mạng có mức bảo mật thấp hơn.
Đặc tính nổi bật của ASA là:
- Đầy đủ các đặc điểm của Firewall, IPS, anti-X và công nghệ VPN

- Có khả năng mở rộng thích nghi nhận dạng và kiến trúc Mitigation Services
- Giảm thiểu chi phí vận hành và phát triển
1.4.2 Chức năng chính của Firewall ASA
Tường lửa (Firewall): Bảo mật mạng từ các cuộc xâm nhập không xác thực,
trong khi vẫn cho phép hoạt động mạng diễn ra bình thường, không bị trì trệ.
- Mã hóa SSL/Ipsec VPN: Mở rộng hệ thống mạng bằng cách cho phép truy
cập mạng từ xa nhưng vẫn đảm bảo an toàn với các công nghệ mã hóa.
- Ngăn chặn xâm nhập: Bảo vệ tài nguyên quan trọng trong mạng từ các cuộc
tấn công, có đầy đủ chức năng của hệ thống ngăn chận xâm nhập (IPS), Cisco ASA
chống lại các mối đe dọa như các lỗ hổng bảo mật từ các ứng dụng, hệ điều hành,..
- Bảo mật nội dung: Tăng tính hiệu quả sử dụng và loại bỏ mối đe dọa từ
những nội dung không mong muốn trong mạng. Cung cấp dịch vụ phát hiện xâm
nhập Có khả năng phân tích dữ liệu tại lớp ứng dụng
1.4.3 Một số loại Firewall ASA
Dòng sản phẩm ASA Firewall phân loại khác nhau từ tổ chức nhớ đến mô
hình doanh nghiệp vừa hay cho nhà cung cấp dịch vụ ISP. Mô hình càng cao thì
thông lượng, số port, chi phí càng cao. Một số loại như : ASA 5505, 5510, 5520,
5540, 5550...

25


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×