Với sự phát triển nhanh của mạng Internet, bảo mật thông tin trở lên vô
cùng cấp bách để có được những thông tin giá trị và tin cậy. Người quản lý nhận
th ấy việc đầu tư cho an ninh không chỉ là lợi lớn mà còn là rất cần thiết. Các
công ty nhận ra sự cần thiết của việc tạo ra và tuân theo chính sách bảo mật thông
tin, bởi vậy, người IT chuyên nghiệp luôn luôn bị thách thức để bảo vệ mạng của
họ với firewall và tạo mạng riêng ảo VPN để cung cấp sự an toàn cho các giao
dịch được mã hóa qua hạ tầng Internet công cộng dễ bị tấn công.
Firewall đã trở thành một trong những công nghệ đầu tiên bảo vệ mạng và
chống lại truy nhập trái phép. Kế hoạch bảo mật y êu cầu sự kết hợp hài hòa của
con người, xử lý, và công nghệ đểgiảm rủi ro. Và firewall cũng là một công cụ
bảo mật giá trị để thực hiện nhiệm vụ này. Ngày nay, khi thiết kế và xây dựng
mạng sử dụng firewall là tất yếu cho nhiều mô hình ở giai đoạn cuối. Nhận ra
điều này, Cisco System đ ã phát triển và tiếp tục cải thiện với PIX firewall. Hệ
thống này đã đạt được thị trường lớn bởi đã chứng minh được chức năng pha trộn
hoàn hảo của hiệu suất và sự mềm dẻo.
Cũng như bao công ty khác trên thế giới sử dụng Internet để giao dịch.
Ngân hàng, mỗi phút có hàng nghìn giao dịch trị giá tiền tỉ được thực hiện. Chính
vì vậy, nhiều hacker luôn tìm những lỗ hổng bảo mật trong ngân hàng để tấn
công, truy nhập trái phép lấy đi của ngân hàng hàng tỉ đồng. Nhiều ngân hàng ở
Việt Nam sau nhiều lần bị tấn công đã chú trọng tới đầu tư cho bảo mật. Nhận ra
yêu cầu cấp bách đó, trong thời gian làm đồ án tốt nghiệp, em đã tìm hiểu và
nghiên cứu về an ninh mạng và các giải pháp đảm bảo an toàn cho mạng, đặc biệt
quan tâm tới các giải pháp an toàn của Cisco là thiết bị PIX firewall.
Đồ án “ Xây dựng hệ thống an ninh mạng cho chi nhánh ngân hàng Công
Thương Hà Nội ” bao gồm các nội dung sau:
Chương 1: Các vấn đềvề an ninh mạng.
Chương 2: Tổng quan vềFirewall.
Chương 3: Thiết bị an ninh PIX Firewall.
Chương 4: Xây dựng hệ thống an ninh mạng cho chi nhánh ngân hàng
Công Thương Hà Nội.
100 trang |
Chia sẻ: tuandn | Lượt xem: 2999 | Lượt tải: 5
Bạn đang xem trước 20 trang tài liệu Đồ án Xây dựng hệ thống an ninh mạng cho chi nhánh ngân hàng công thương Hà Nội, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
LỜI CẢM ƠN
Sau khoảng thời gian học tập và rèn luyện tại khoa Công Nghệ Thông Tin
- Đại học Thái Nguyên, đến nay em đã kết thúc khóa học. Em xin bày tỏ lòng
cám ơn sâu sắc tới Ban Chủ Nhiệm Khoa, các thầy cô giáo đã tận tình giảng dạy,
trang bị cho chúng em những vốn kiến thức và kinh nghiệm quý báu, cung cấp
cho chúng em những điều kiện và môi trường học tập tốt nhất.
Để hoàn thành được tốt đồ án này, em xin gửi lời cảm ơn chân thành đến
thầy giáo Nguyễn Tiến Thành - giảng viên khoa Công Nghệ Thông Tin Đại học
Thái Nguyên, và Phòng An Ninh Hệ Thống- Trung Tâm Công Nghệ Thông Tin-
Ngân Hàng Công Thương Việt Nam đã trực tiếp hướng dẫn và tạo điều kiện giúp
đỡ em trong thời gian thực hiện đồ án. Cảm ơn gia đình, bạn bè đã tạo điều kiện
tốt nhất để em có thể hoàn thành đồ án này.
Thái Nguyên ngày 5, tháng 6 năm 2009.
Sinh viên
Vương Thị Dung
MỤC LỤC
LỜI CÁM ƠN .................................................................................................................1
LỜI CAM ĐOAN ...........................................................Error! Bookmark not defined.
MỤC LỤC ......................................................................................................................2
MỞ ĐẦU .......................................................................................................................4
CHƯƠNG I CÁC VẤN ĐỀ VỀ AN NINH MẠNG ..............................................6
I. Kế hoạch bảo mật.....................................................................................................6
II. Những nền tảng khác nhau ......................................................................................7
III. Mục tiêu bảo mật ...................................................................................................7
IV. Xác định chính sách bảo mật .................................................................................9
IV.1. Chính sách kinh doanh và bảo mật................................................................10
IV.2. Con người.....................................................................................................10
IV.3. Luật lệ ..........................................................................................................10
IV.4. Thay đổi chính sách quản lý..........................................................................11
IV.5. Khôi phục sau thảm họa...............................................................................11
V.Những yếu kém trong bảo mật mạng......................................................................12
V.1. Yếu kém trong giao thức mạng.......................................................................12
V.2. Yếu kém về hệ điều hành ...............................................................................13
V.3. Yếu kém của thiết bị mạng .............................................................................13
V.4. Yếu kém trong việc cấu hình thiết bị ..............................................................14
VI. Những kiểu đe dọa bảo mật .................................................................................14
VI.1. Đe dọa đến từ bên ngoài và bên trong ...........................................................14
VI.2. Đe dọa có cấu trúc và không cấu trúc ...........................................................15
VI.3. Những kiểu tấn công bảo mật mạng ..............................................................16
VI.3.1 Tấn công thăm dò:...........................................................................16
VI.3.2. Tấn công truy xuất..........................................................................17
VI.3.3. Tấn công kiểu DoS ........................................................................19
VII. Giải pháp bảo mật ..............................................................................................22
VII.1 Thiết kế giải pháp bảo mật............................................................................22
VII.2 Bánh lái bảo mật của Cisco...........................................................................22
VII.3. Danh sách kiểm tra bảo mật.........................................................................24
CHƯƠNG II GIỚI THIỆU FIREWALL .........................................................26
I. Tổng quan firewall .................................................................................................26
I.1 Định nghĩa firewall...........................................................................................26
I.2. Chức năng bảo vệ của firewall.........................................................................27
I.3 Điều khiển luồng và mô hình tham chiếu OSI...................................................29
I.3.1 Tổng quan về mô hình tham chiếu OSI...............................................30
I.3.2 Firewall và mô hình tham chiếu OSI .................................................31
I.4 Những kiểu firewall..........................................................................................32
I.4.1 Firewall lọc gói .................................................................................32
I.4.2 Firewall stateful ...............................................................................37
I.4.3 Application gateway firewall.............................................................48
I.4.4 Firewall dịch địa chỉ..........................................................................51
I.4.5 Firewall host-based ...........................................................................56
I.4.6. Firewall lai ghép ...............................................................................59
I.5 Firewall và những dịch vụ khác ........................................................................60
II Thiết kế bảo mật ....................................................................................................61
II.1 Hướng dẫn thiết kế ..........................................................................................61
II.2 Miền DMZ .....................................................................................................64
II.3. Những thành phần bổ sung cho hệ thống firewall ...........................................66
II.4. Sắp xếp các thành phần ..................................................................................68
II.4.1. Thiết kế hệ thống firewall ................................................................68
II.4.2. Những điểm cần chú ý khi thiết kế ...................................................69
II.4.3. Sự thực hiện firewall........................................................................70
II.4.4.Quản lý và quản trị firewall...............................................................70
CHƯƠNG III THIẾT BỊ BẢO MẬT PIX FIREWALL ....................................71
I.Tổng quan về thiết bị bảo mật PIX firewall .............................................................71
I.1. Đảm bảo thời gian thực cho hệ thống gắn vào..................................................72
I.2. Phương thức bảo mật linh hoạt ASA................................................................72
I.3. Cut-through proxy ...........................................................................................74
I.4. Redundancy.....................................................................................................75
II. Mô hình và đặc điểm pix firewall .........................................................................75
III. Chức năng của PIX .............................................................................................76
IV. Truy xuất PIX......................................................................................................78
V. PIX với kết nối .....................................................................................................79
V.1. Cấp độ bảo mật của cổng và chính sách bảo mật mặc định .............................79
V.2. Giao thức truyền ............................................................................................80
V.3. Chế độ truy xuất.............................................................................................84
VI. Cấu hình PIX Firewall ........................................................................................84
CHƯƠNG IV ................................................................................................................89
XÂY DỰNG HỆ THỐNG AN NINH MẠNG CHO CHI
NHÁNH NGÂN HÀNG VIETINBANK. ......................................................................89
I. Môi trường mạng hiện có: ......................................................................................89
II. Yêu cầu.................................................................................................................89
III. Thiết kế mô hình mạng ........................................................................................90
IV. Cấu hình bảo mật cho hệ thống ............................................................................90
KẾT LUẬN...................................................................................................................99
Tài liệu tham khảo .......................................................................................................100
MỞ ĐẦU
Với sự phát triển nhanh của mạng Internet, bảo mật thông tin trở lên vô
cùng cấp bách để có được những thông tin giá trị và tin cậy. Người quản lý nhận
thấy việc đầu tư cho an ninh không chỉ là lợi lớn mà còn là rất cần thiết. Các
công ty nhận ra sự cần thiết của việc tạo ra và tuân theo chính sách bảo mật thông
tin, bởi vậy, người IT chuyên nghiệp luôn luôn bị thách thức để bảo vệ mạng của
họ với firewall và tạo mạng riêng ảo VPN để cung cấp sự an toàn cho các giao
dịch được mã hóa qua hạ tầng Internet công cộng dễ bị tấn công.
Firewall đã trở thành một trong những công nghệ đầu tiên bảo vệ mạng và
chống lại truy nhập trái phép. Kế hoạch bảo mật yêu cầu sự kết hợp hài hòa của
con người, xử lý, và công nghệ để giảm rủi ro. Và firewall cũng là một công cụ
bảo mật giá trị để thực hiện nhiệm vụ này. Ngày nay, khi thiết kế và xây dựng
mạng sử dụng firewall là tất yếu cho nhiều mô hình ở giai đoạn cuối. Nhận ra
điều này, Cisco System đã phát triển và tiếp tục cải thiện với PIX firewall. Hệ
thống này đã đạt được thị trường lớn bởi đã chứng minh được chức năng pha trộn
hoàn hảo của hiệu suất và sự mềm dẻo.
Cũng như bao công ty khác trên thế giới sử dụng Internet để giao dịch.
Ngân hàng, mỗi phút có hàng nghìn giao dịch trị giá tiền tỉ được thực hiện. Chính
vì vậy, nhiều hacker luôn tìm những lỗ hổng bảo mật trong ngân hàng để tấn
công, truy nhập trái phép lấy đi của ngân hàng hàng tỉ đồng. Nhiều ngân hàng ở
Việt Nam sau nhiều lần bị tấn công đã chú trọng tới đầu tư cho bảo mật. Nhận ra
yêu cầu cấp bách đó, trong thời gian làm đồ án tốt nghiệp, em đã tìm hiểu và
nghiên cứu về an ninh mạng và các giải pháp đảm bảo an toàn cho mạng, đặc biệt
quan tâm tới các giải pháp an toàn của Cisco là thiết bị PIX firewall.
Đồ án “ Xây dựng hệ thống an ninh mạng cho chi nhánh ngân hàng Công
Thương Hà Nội ” bao gồm các nội dung sau:
Chương 1: Các vấn đề về an ninh mạng.
Chương 2: Tổng quan về Firewall.
Chương 3: Thiết bị an ninh PIX Firewall.
Chương 4: Xây dựng hệ thống an ninh mạng cho chi nhánh ngân hàng
Công Thương Hà Nội.
CHƯƠNG I CÁC VẤN ĐỀ VỀ AN NINH MẠNG
Càng ngày càng có nhiều vụ tấn công từ worms, virus, và các hiểm họa
khác từ mạng, vì vậy bảo mật là vấn đề chính trong mạng ngày nay. Trong
khoảng 10 tới 15 năm trước, bảo mật là vấn đề đơn giản dựa trên các giải pháp
đơn giản. Lúc đó, chỉ có ít trường học và chính phủ kết nối Internet. Password
sử dụng để bảo vệ account, và firewall lọc gói đơn giản được dùng để giới hạn
luồng lưu lượng. Tuy nhiên, thế giới ngày nay thì khác biệt hơn rất nhiều so với
thập kỷ trước. Sự bùng nổ của Internet, sự tăng nhanh của phần mềm ứng dụng
và sự khéo léo của hacker, bảo mật trở thành vấn đề phức tạp mà phải có yêu
cầu giải pháp bảo mật cấp cao để đối phó với nó. Giải pháp bảo mật phải có khả
năng đối phó với các hiểm họa bảo mật đến từ mạng. Nhưng nó cũng phải cho
phép công ty tiếp tục đạt được những mục tiêu kinh doanh và phải đủ mềm dẻo
để thích nghi với những công nghệ và mô hình mạng thay đổi
I. Kế hoạch bảo mật
Hầu hết những nhiệm vụ khó khăn liên quan tới bảo mật là giai đoạn lập kế
hoạch. Là khi cần phát triển những giải pháp cho việc kinh doanh và bảo mật
của công ty. Khi nghiên cứu mạng và xác định những vùng ít đảm bảo và vùng
then chốt hợp thành, cần phải tiến tới một kế hoạch bảo mật từ viễn cảnh khác
nhau:
Mục tiêu kinh doanh và những yêu cầu của người dùng.
Con người và chính trị.
Kỹ thuật đưa ra
Đầu tiên, phải phác thảo mục tiêu kinh doanh của công ty trong kế hoạch kinh
doanh. Được sử dụng như bản đồ chỉ đường để tăng thành công của công ty.
Giải pháp bảo mật tốt nên trợ giúp, không gây trở ngại, một công ty hướng tới
mục đích kinh doanh của nó.
Đồng thời phải đối mặt với tất cả các kiểu người dùng từ những lĩnh vực khác
nhau khi định rõ tài nguyên và tài sản nào công ty sử dụng để đạt được mục tiêu
kinh doanh. Điều này có nghĩa là phải có kinh nghiệm lâu năm với tổ chức và
có hiểu biết về chính trị khi đối mặt với người sử dụng khác nhau.
Khi hiểu về tài nguyên nào cần sử dụng, cần tìm giải pháp bảo mật gì để thực
hiện mà vẫn bảo vệ được công ty và cho phép nó đạt được những mục đích ban
đầu.
II. Những nền tảng khác nhau
Một trong những thứ khó nhất khi đối mặt với việc thiết kế giải pháp bảo
mật là cố tìm ra giải pháp phù hợp mọi mặt. Mặt khác, thử tìm tất cả sản phẩm
bảo mật từ các nhà cung cấp dịch vụ với hệ thống quản lý mà có khả năng dễ
dàng thực hiện chính sách bảo mật cho tất cả sản phẩm bảo mật.
Ví dụ, giải pháp bảo mật phải bao gồm nhiều loại thiết bị phần cứng và phần
mềm ứng dụng. Là danh sách nhỏ của một số loại thiết bị mà giải pháp bảo mật
nên đối mặt với.
PC và laptop chạy window 95, 98, Me, 2000, cũng như desktop UNIX
và Macintoshes.
Server chạy NT, 2000,2003, Linux, và các hệ điều hành khác.
Mainframe chạy Mutiple virtual storage và virtual Machine.
Routers từ Cisco, Juniper, Nortel, …
Swiches từ Cisco, Foundry, Extreme,…
Danh sách này không chứa tất cả, mà chỉ có ý là có nhiều loại thiết bị phần
cứng, không chỉ là hàng trăm phần mềm ứng dụng. Trong nhiều trường hợp,
phải mua những sản phẩm bảo mật từ nhiều nhà cung cấp khác nhau để thực
hiện giải pháp bảo mật cho chính sách và mục tiêu của công ty.
III. Mục tiêu bảo mật
Bảo mật mạng để nhằm đạt được các mục tiêu sau:
Sự tin cậy
Giúp người nhận hiểu nội dung thông điệp.
- Người gửi mã hóa thông điệp.
- Người nhận giải mã thông điệp.
- Sự bí mật : ẩn “ai đang làm gì với ai với nội dung gì”.
Sự xác thực
Để người gửi và người nhận chứng thực nhau.
Sự toàn vẹn
Người nhận và người gửi, muốn đảm bảo thông điệp không bị
thay đổi trong quá trình truyền, hay sau quá trình truyền mà
không được phát hiện.
Sự sẵn sàng cho truy cập
Đảm bảo dịch vụ luôn sẵn sàng cho người dùng có thể truy
xuất, hay sử dụng dịch vụ.
Giải pháp bảo mật ngày càng trở nên phức tạp, đặc biệt trong mạng
doanh nghiệp lớn. Để trợ giúp làm đơn giản hóa những tiến trình, giải pháp bảo
mật tốt nên có những mục tiêu sau:
Tạo những chính sách bảo mật riêng rẽ, dựa trên kế hoạch và mục đích
kinh doanh của công ty
Chính sách bảo mật nên đưa ra lựa chọn sản phẩm và giải pháp bảo mật.
Quản lý bảo mật nên tập trung dưới một tổ chức riêng biệt.
Đầu tiên, việc tạo chính sách bảo mật gắn liền với quy mô của công ty. Chính
sách nên dựa trên kế hoạch và mục tiêu kinh doanh. Nó nên đảm bảo đủ linh
hoạt để cho phép công ty đạt được mục đích kinh doanh, trong khi vẫn bảo vệ
tài nguyên của công ty ở giá hiệu quả.
Thứ 2, Sản phẩm bảo mật phải phù hợp với kế hoạch bảo mật. Phát triển giải
pháp bảo mật chung, và sau đó tìm sản phẩm đặc biệt mà có hướng dẫn thiết kế
cho phần đó.
Ba là, việc quản lý và hỗ trợ sản phẩm rất quan trọng, đặc biệt khi chúng có liên
quan để tìm ra và đối phó với hiểm họa bảo mật kiểu thời gian thực. Một số
công ty mua tất cả sản phẩm bảo mật của họ từ một nhà cung cấp dịch vụ, làm
cho việc quản lý tích hợp của sản phẩm dễ dàng hơn: Nó dễ triển khai, quản lý
và hỗ trợ nền tảng từ nhà cung cấp dịch vụ đơn lẻ so với nhiều nhà dịch vụ.
Nếu cần mua thiết bị và phần mềm từ những nhà cung cấp dịch vụ khác nhau
để phát triển liên quan tới giải pháp bảo mật, phải quản lý sản phẩm sau khi bổ
sung chúng. Bởi vậy, nên chọn sản phẩm phần mềm quản lý bảo mật mà dễ
quản lý và theo dõi thiết bị bảo mật. Lựa chọn giải pháp quản lý tốt sẽ cho phép
làm cho giải pháp bảo mật áp dụng cho mô hình lớn.
Tại sao phải bảo mật
Hàng nghìn hiểm họa từ bên ngoài đe dọa bảo mật mạng công ty, cũng như từ
bên trong công ty:
Người ngoài và hacker.
Người làm việc trong công ty.
Ứng dụng người dùng thực hiện cho nhiệm vụ kinh doanh.
Hệ điều hành chạy trên máy tính để bàn và server, các thiết bị.
Hạ tầng mạng được sử dụng để di chuyển dữ liệu, bao gồm thiết bị như
routers, switches, hubs, firewalls, gateway, và những thiết bị khác.
Trong mạng lớn, những nhân tố này có thể bao gồm hàng nghìn thiết bị và hàng
trăm ứng dụng. Phức tạp để giải quyết. Tuy nhiên, nếu sử dụng cách tiếp cận
chia và trị, có thể chia chia mạng thành những phần, miền, làm cho phát triển
giải pháp trở nên dễ hơn.
Trợ giúp tiến trình bảo mật, vấn đề bảo mật được chia thành 3 loại:
- Sự yếu kém trong xác định chính sách: Những yếu kém này bao gồm
yếu kém trong cả chính sách kinh doanh và bảo mật. Ví dụ của yếu
kém này là không viết chính sách bảo mật. Nếu không có chính sách,
thì ép buộc thực hiện bằng cách nào?
- Yếu kém trong công nghệ máy tính: Những yếu kém này bao gồm
yếu kém bảo mật trong giao thức, như TCP/IP và IPX, cũng như hệ
điều hành, như UNIX, Novell NetWare, và Windows.
- Yếu kém trong cấu hình thiết bị: Những yếu kém này bao gồm cài
đặt, cấu hình, và quản lý thiết bị mạng. Ví dụ không gán password
cho cổng console của router Cisco.
IV. Xác định chính sách bảo mật
Yếu kém đầu tiên liên quan tới xác định chính sách kinh doanh và bảo
mật. Nhiều công ty thiếu chính sách bảo mật hay kinh doanh có trường hợp
thiếu cả hai. Công ty để phát triển với mục tiêu kinh doanh, cần có kế hoạch
kinh doanh tốt rõ ràng bao gồm mục tiêu kinh doanh và chính sách. Mặt khác,
để thực hiện và duy trì giải pháp bảo mật tốt để trợ giúp công ty phác thảo mục
tiêu trong kế hoạch kinh doanh của nó. Cần phát triển chính sách bảo mật tốt.
Chính sách bảo mật nên dựa trên kế hoạch kinh doanh. Điều này đảm bảo rằng
kế hoạch bảo mật luôn giới hạn cách công ty thực hiện kinh doanh hằng ngày,
và kế hoạch bảo mật đó cho phép công ty đạt được mục tiêu kinh doanh.
IV.1. Chính sách kinh doanh và bảo mật
Ở mức nhỏ nhất, chính sách bảo mật nên đặt ra các câu hỏi như:
- Bảo mật cái gì?
- Bảo mật bằng cách nào?
- Mức độ bảo vệ được sử dụng là bao nhiêu ?
Thậm chí nghĩ 3 câu hỏi này là đơn giản, mạng doanh nghiệp, có rất
nhiều thiết bị như hàng nghìn PC, và 400 server…..Tuy nhiên, khi trả lời nên
lập chính sách và kế hoạch kinh doanh của công ty, để đảm bảo rằng giải pháp
bảo mật đề xuất không cản trở công ty đạt được những mục tiêu đề ra.
Ví dụ, công ty có 30 văn phòng ở xa mà kết nối văn phòng trung tâm. Công ty
này bán widget như kinh doanh chính của nó. Văn phòng ở xa gồm những nhân
viên bán hàng, người mà truy xuất tới phần mềm cơ sở dữ liệu của văn phòng
công ty để sắp theo thứ tự kiểm tra trạng thái thứ tự cho khách hàng địa
phương. Nếu thực hiện giải pháp bảo