Xây dựng firewall asa và ips bảo vệ mạng

BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC HOA SEN KHOA KHOA HỌC VÀ CÔNG NGHỆ XÂY DỰNG FIREWALL ASA VÀ IPS BẢO VỆ MẠNG Giảng viên hướng dẫn : Thầy Đinh Ngọc Luyện Nhóm sinh viên thực hiện: Trần Kim Phượng Lê Trung Tín Lớp : VT071 Tháng 12 /năm 2010 TRÍCH YẾU LUẬN ÁN Trong thời gian thực hiện khóa luận tốt nghiệp, chúng tôi đã nghiên cứu về những công nghệ bảo mật sau:  Tìm hiểu các công nghệ chung của tường lửa tại lớp Network, Transport và Application.  Phân tích các dạng, phương thức hoạt động và giao thức cũng như thuật toán trong VPN.  Phân tích nguyên lý hoạt động, cách phát hiện tấn công trên IDS/IPS.  Xây dựng tường lửa hệ thống mạng trường Đại học Hoa Sen, triển khai VPN và IDS/IPS. Nhờ việc sử dụng thành công phần mềm mô phỏng các thiết bị mạng, nhóm chúng tôi có thể tự tay xây dựng hệ thống mạng trường Đại Học Hoa Sen từ giai đoạn phân tích yêu cầu, xác định các tài khoản người dùng, thiết kế, phác thảo mô hình mạng đến khi đi vào cấu hình trên các phần mềm mô phỏng. Qua đó, chúng tôi đã đạt được những kết quả đáng khích lệ sau:  Hiểu thêm về tường lửa, kiến trúc cũng như chức năng tường lửa. Ngoài ra, chúng tôi còn đi sâu phân tích các công nghệ chung của tường lửa tại lớp Network, Transport và Application trong mô hình OSI.  Nghiên cứu về VPN, giao thức sử dụng trong VPN đồng thời tìm hiểu cách thức hoạt động VPN. Tìm hiểu nguyên lý hoạt động IDS/IPS, phân tích các phương thức phát hiện tấn công, lợi ích cũng như hạn chế từng phương thức.  Hiểu được các bước xây dựng hệ thống mạng doanh nghiệp, từ giai đoạn phân tích yêu cầu, thiết kế sơ đồ mạng đến bước triển khai cấu hình đồng thời ứng dụng giải pháp VPN và hệ thống IDS/IPS.  Đi sâu tìm hiểu một số công nghệ triển khai thêm nhằm tăng tính bảo mật an toàn dữ liệu nhằm bảo đảm hệ thống mạng luôn sẵn sàng hoạt động liên tục ngay cả khi gặp sự cố, tận dụng tối đa tài nguyên hệ thống cũng như phân chia tải mạng cho dãy tường lửa kiểm tra như Load Balancing, Failover, HSRP…; xác thực người dùng với kỹ thuật IEEE 802.1x và công nghệ VOIP nhằm cung cấp d ịch vụ thoại cho người dùng. i MỤC LỤC Trang Trích yếu luận án ----------------------------------------------------------------------------------- i Mục lục ----------------------------------------------------------------------------------------------ii Danh sách hình-------------------------------------------------------------------------------------- vi Danh sách bảng ------------------------------------------------------------------------------------ ix Lời cảm ơn --- ----------------------------------------------------------------------------------------x Nhận xét của giảng viên hướng dẫn ------------------------------------------------------------- xi Lời mở đầu -------------- --------------------------------------------------------------------------- xii Phần 1: Tổng quan Báo Cáo 1.1 Mục tiêu nghiên cứu------------------------------------------------------------------------1 1.2 Phương pháp nghiên cứu-------------------------------------------------------------------1 1.3 Giới hạn đề tài-------------------------------------------------------------------------------1 1.4 Kết cấu luận văn ----------------------------------------------------------------------------1 Phần 2: Công nghệ kỹ thuật chung của tường lửa tại lớp Network, Transport và Application 2.1 Tầm quan trọng của việc bảo mật và an toàn thông tin --------------------------------2 2.2 Tổng quan về tường lửa --------------------------------------------------------------------3 2.2.1 Giới thiệu ---------------------------------------------------------------------------3 2.2.2 Chức năng --------------------------------------------------------------------------4 2.3 Công nghệ kỹ thuật chung của tường lửa tại các lớp -----------------------------------5 2.3.1 Lớp Network và Transport -------------------------------------------------------5 2.3.1.1 Packet Filtering -------------------------------------------------------5 2.3.1.2 NAT Firewall ---------------------------------------------------------7 2.3.1.3 Stateful Packet Filtering ---------------------------------------------8 2.3.2 Lớp Application -------------------------------------------------------------------9 2.3.2.1 Proxy Firewall --------------------------------------------------------9 2.3.2.2 Stateful Inspection Firewall (SIF) -------------------------------- 13 2.4 Triển khai tường lửa trong hệ thống mạng doanh nghiệp --------------------------- 14 2.4.1 Bastion Host --------------------------------------------------------------------- 14 2.4.2 Screened Subnet------------------------------------------------------------------ 15 2.4.3 Dual Firewall -------------------------------------------------------------------- 16 Phần 3: Xây dựng VPN giữa hai cơ sở của đại học Hoa Sen 3.1 Sự cần thiết của VPN trong doanh nghiệp -------------------------------------------- 18 3.1.1 Tại sao VPN ra đời -------------------------------------------------------------- 18 3.1.2 VPN thật sự cần thiết ----------------------------------------------------------- 18 3.2 Tổng quan về VPN ----------------------------------------------------------------------- 19 3.2.1 Khái niệm VPN ------------------------------------------------------------------ 19 3.2.2 Lợi ích VPN --------------------------------------------------------------------- 19 3.2.3 Cơ sở hạ tầng kỹ thuật xây dựng VPN ---------------------------------------- 20 3.2.3.1 Kỹ thuật mật mã ---------------------------------------------------- 20 3.2.3.2 Public Key Infrastructure ----------------------------------------- 22 3.2.4 Các giao thức VPN -------------------------------------------------------------- 26 3.2.4.1 PPTP (Point – to – Point Tunneling Protocol) ------------------ 26 3.2.4.2 L2TP (Layer 2 Tunneling Protocol) ----------------------------- 27 3.2.4.3 GRE ----------------------------------------------------------------- 28 3.2.4.4 IPSec (Internet Protocol Security) ------------------------------- 28 3.2.5 Các loại VPN -------------------------------------------------------------------- 45 3.2.5.1 Easy VPN ----------------------------------------------------------- 45 3.2.5.2 Site to Site VPN ---------------------------------------------------- 46 3.2.5.3 SSL VPN ------------------------------------------------------------ 47 Phần 4: Xây dựng IPS & IDS 4.1 Tổng quan IPS và IDS ------------------------------------------------------------------- 51 4.1.1 Giới thiệu ------------------------------------------------------------------------- 51 4.1.2 Lịch sử hình thành -------------------------------------------------------------- 52 4.1.3 Nguyên nhân IPS ra đời và thay thế IDS ------------------------------------- 52 4.2 Phân loại ---------------------------------------------------------------------------------- 53 4.2.1 Host-based Intrusion Prevention System (HIPS) ---------------------------- 53 4.2.2 Network-based Intrusion Prevention System (NIPS) ----------------------- 55 4.3 Nguyên lý hoạt động của hệ thống ----------------------------------------------------- 58 4.3.1 Phân tích luồng dữ liệu --------------------------------------------------------- 59 4.3.2 Phát hiện tấn công --------------------------------------------------------------- 59 4.3.2.1 Dấu hiệu tấn công (Signature-based Detection) ---------------- 59 4.3.2.2 Dấu hiệu bất thường (Statistical Anomaly-based Detection) - 60 4.3.2.3 Giao thức ------------------------------------------------------------ 61 4.3.2.4 Chính sách ---------------------------------------------------------- 62 4.3.3 Phản ứng ------------------------------------------------------------------------- 62 4.4 Một số thuật ngữ ------------------------------------------------------------------------- 63 Phần 5: Xây dựng tường lửa cho hệ thống mạng trường đại học Hoa Sen 5.1 Giới thiệu --------------------------------------------------------------------------------- 64 5.2 Yêu cầu ------------------------------------------------------------------------------------ 64 5.3 Triển khai --------------------------------------------------------------------------------- 65 5.3.1 Sơ đồ hệ thống mạng tại trụ sở chính ----------------------------------------- 65 5.3.1.1 Mô hình mạng ------------------------------------------------------ 65 5.3.1.2 Xác định các nhóm người dùng ---------------------------------- 69 5.3.1.3 Các quy định kiểm tra gói tin trên tường lửa ------------------- 71 5.3.2 Xây dựng các chính sách ------------------------------------------------------- 74 5.3.2.1 Switch Layer 2 ----------------------------------------------------- 74 5.3.2.2 Switch Layer 3 ----------------------------------------------------- 75 5.3.2.3 Firewall Inside ------------------------------------------------------ 75 5.3.2.4 Firewall Outside ---------------------------------------------------- 83 5.3.2.5 Router biên --------------------------------------------------------- 89 5.3.3 Các công nghệ sử dụng --------------------------------------------------------- 89 5.4 Một số công nghệ triển khai thêm ------------------------------------------------------ 90 5.4.1 Failover --------------------------------------------------------------------------- 90 5.4.2 HSRP (Hot Standby Redundancy Protocol) ---------------------------------- 93 5.4.3 Firewall Load Balancing ------------------------------------------------------- 98 5.4.4 Chứng thức 802.1x ------------------------------------------------------------- 101 5.4.5 Hệ thống VOIP ----------------------------------------------------------------- 105 Kết luận ------------------------------------------------------------------------------------------- 107 Tài liệu tham khảo ------------------------------------------------------------------------------- 108 DANH SÁCH HÌNH Hình 1 - Biểu đồ thể hiện sự gia tăng mã độc hại------------------------------------------------2 Hình 2 - Biểu đồ thể hiện các loại tấn công nhiều nhất hiện nay-------------------------------2 Hình 3 - Hệ thống tường lửa -----------------------------------------------------------------------3 Hình 4 - Tường lửa trong hệ thống mạng (Network Firewall) ---------------------------------3 Hình 5 - Tường lửa cá nhân (Personal Firewall hay Desktop Firewall) -----------------------4 Hình 6 - Chức năng của tường lửa-----------------------------------------------------------------4 Hình 7 - Cơ chế hoạt động của Packet Filtering -------------------------------------------------5 Hình 8 - Cách kiểm tra gói tin của Packet Filtering ---------------------------------------------6 Hình 9 - Cơ chế hoạt động của Stateful Packet Filtering ---------------------------------------8 Hình 10 - Cơ chế hoạt động của Proxy Firewall ----------------------------------------------- 10 Hình 11 – Circuit Level Gateway---------------------------------------------------------------- 10 Hình 12 – Quy trình hoạt động của kỹ thuật Application Level Gateway ------------------ 11 Hình 13 – Deep Packet Inspection--------------------------------------------------------------- 12 Hình 14 – Bastion Host --------------------------------------------------------------------------- 14 Hình 15 – Screened subnet ----------------------------------------------------------------------- 15 Hình 16 – Dual Firewall -------------------------------------------------------------------------- 16 Hình 17 – Mạng VPN ----------------------------------------------------------------------------- 19 Hình 18 – Sơ đồ Public Key Confidentiality Scenario ---------------------------------------- 21 Hình 19 – Sơ đồ Public Key Authentication Scenario ---------------------------------------- 21 Hình 20 – Sơ đồ Cơ Sở Hạ Tầng Khóa Công Khai (PKI) ------------------------------------ 22 Hình 21 – Sơ đồ hoạt động ----------------------------------------------------------------------- 26 Hình 22 – Kết nối VPN qua giao thức PPTP --------------------------------------------------- 27 Hình 23 – L2TP VPN ----------------------------------------------------------------------------- 27 Hình 24 – IPSec trong mô hình OSI------------------------------------------------------------- 28 Hình 25 – Các thành phần trong IPSec---------------------------------------------------------- 29 Hình 26 – Transport mode------------------------------------------------------------------------ 30 Hình 27 – Tunnel Mode -------------------------------------------------------------------------- 30 Hình 28 – ESP Transport mode packet --------------------------------------------------------- 31 Hình 29 - ESP Tunnel mode packet ------------------------------------------------------------- 31 Hình 30 – ESP fields ------------------------------------------------------------------------------ 32 Hình 31 – AH Transport Mode ------------------------------------------------------------------ 33 Hình 32 – AH Tunnel Mode --------------------------------------------------------------------- 33 Hình 33 – AH Header ----------------------------------------------------------------------------- 33 Hình 34 – Gói tin hỗ trợ NAT-Traversal-------------------------------------------------------- 35 Hình 35 – Các thức hoạt động của DH---------------------------------------------------------- 36 Hình 36 – So sánh chuẩn mã hóa, thuật toán băm, phương thức chứng thực--------------- 39 Hình 37 - Các bước đàm phán giai đoạn 1------------------------------------------------------ 39 Hình 38 – Đối chiếu các tham số bảo mật ------------------------------------------------------ 40 Hình 39 – IKE giai đoạn 1 sử dụng Pre-shared key trong main mode ---------------------- 41 Hình 40 - IKE giai đoạn 1 sử dụng Pre-shared key trong aggressive mode ---------------- 42 Hình 41 - IKE giai đoạn 1 sử dụng Digital Signature trong main mode -------------------- 43 Hình 42 – IKE giai đoạn 2------------------------------------------------------------------------ 44 Hình 43 – Easy VPN ------------------------------------------------------------------------------ 45 Hình 44 – Kết nối các doanh nghiệp qua mạng công cộng ----------------------------------- 47 Hình 45 – Hệ thống IPS (Intrusion Prevention System) -------------------------------------- 51 Hình 46 – Hệ thống HIPS ------------------------------------------------------------------------ 53 Hình 47 - HIDS được cài đặt trên máy tính ---------------------------------------------------- 54 Hình 48 – Hệ thống NIPS ------------------------------------------------------------------------ 55 Hình 49 – Hoạt động của NIPS ------------------------------------------------------------------ 56 Hình 50 – Sơ đồ hệ thống mạng trường Đại Học Hoa Sen ----------------------------------- 67 Hình 51 – Thời gian Failover phát hiện lỗi ----------------------------------------------------- 92 Hình 52 – Giao thức HSRP----------------------------------------------------------------------- 93 Hình 53 – Quá trình hoạt động của HSRP ------------------------------------------------------ 94 Hình 54 – Bảng ARP của Router thành viên trong nhóm------------------------------------- 94 vii Hình 55 – Quá trình chuyển đổi khi Active Router gặp sự cố-------------------------------- 95 Hình 56 – Các trạng thái của HSRP ------------------------------------------------------------- 96 Hình 57 – Multiple HSRP ------------------------------------------------------------------------ 98 Hình 58 – Firewall Load Balancing (FWLB) ------------------------------------------------- 100 Hình 59 – Kiến trúc 802.1x---------------------------------------------------------------------- 101 Hình 60 – Hoạt động xác thực người dùng theo chuẩn 802.1x------------------------------ 102 Hình 61 – Cách thức trao đổi Supplicant, Authenticator và Authentication Server------- 103 Hinh 62 – Mô hình VOIP đơn giản------------------------------------------------------------- 105 viii DANH SÁCH BẢNG Bảng 1 – Bảng so sánh các dạng SSL VPN ---------------------------------------------------- 49 Bảng 2 – Bảng so sánh các chức năng của HIPS và NIPS------------------------------------ 58 Bảng 3 – Bảng yêu cầu đối với các phòng ban------------------------------------------------- 65 Bảng 4 – Bảng các vùng mạng trong hệ thống trường Đại Học Hoa Sen ------------------- 68 Bảng 5 – Lớp địa chỉ IP kết nối giữa các thiết bị ---------------------------------------------- 69 Bảng 6 – Bảng VLAN các phòng ban----------------------------------------------------------- 70 Bảng 7 – Các cơ sở triển khai VOIP ------------------------------------------------------------ 71 Bảng 8 – Các phòng ban triển khai VOIP ------------------------------------------------------ 71 Bảng 9 – Số thứ tự tài khoản người dùng ------------------------------------------------------- 71 Bảng 10 – Bảng quy luật cho các phòng ban trong mạng nội bộ ---------------------------- 72 Bảng 11 – Bảng quy luật ở lớp ứng dụng từ bên trong ra bên ngoài ------------------------ 73 Bảng 12 – Bảng quy luật ở lớp ứng dụng từ bên ngoài vào DMZ --------------------------- 73 Bảng 13 – Bảng quy luật đối với kết nối VPN ------------------------------------------------- 74 Bảng 14 – Các ACL từ trong ra ngoài ---------------------------------------------------------- 76 Bảng 15 – Chính sách HTTP Inspection trên Firewall Inside -------------------------------- 77 Bảng 16 – Chính sách FTP Inspection trên Firewall Inside ---------------------------------- 79 Bảng 17 – Block Yahoo Messenger và MSN Messenger ------------------------------------- 80 Bảng 18 – Các ACL từ ngoài vào Inside-------------------------------------------------------- 81 Bảng 19 – Các chính sách Web VPN trên Firewall Inside------------------------------------ 83 Bảng 20 – Các ACL từ bên ngoài vào DMZ --------------------------------------------------- 83 Bảng 21 – Các chính sách giới hạn kết nối từ ngoài vào DMZ ------------------------------ 84 Bảng 22 – Chính sách HTTP Inspection trên Firewall Outside ------------------------------ 84 Bảng 23 – Các chính sách Site to Site VPN trên Firewall Outside -------------------------- 85 Bảng 24 – Các chính sách Easy VPN trên Firewall Outside --------------------------------- 86 Bảng 25 – Các chính sách Web VPN trên Firewall Outside---------------------------------- 88 Bảng 26 – Bảng so sánh tính năng tường lửa trên các hệ thống khác nhau ----------------- 99 ix LỜI CẢM ƠN Trước tiên, chúng tôi xin chân thành cảm ơn toàn thể Ban Giám Hiệu Đại học Hoa Sen Thành phố Hồ Chí Minh đã tạo điều kiện cho chúng tôi hoàn thành tốt bài cáo cáo khóa luận tốt nghiệp này. Đồng thời, chúng tôi cũng gửi đến quý thầy cô trong khoa Khoa Học và Công Nghệ trường Đại Học Hoa Sen lời cảm ơn sâu sắc và chân thành. Các thầy cô đã tận tình chỉ bảo giúp đỡ trong suốt quá trình thực hiện khóa luận. Đặc biệt là thầy Đinh Ngọc Luyện – Giảng viên khoa Khoa Học và Công Nghệ, người trực tiếp hướng dẫn em hoàn thành đề tài này. Tuy nhiên, do thời gian có hạn cũng như kiến thức và kinh nghiệm còn hạn chế nên báo cáo này không tránh khỏi những thiếu sót. Sự góp ý chân thành của thầy cô sẽ giúp chúng tôi hoàn thiện hơn bài báo cáo này cũng như tích lũy thêm kiến thức và kinh nghiệm cho bản thân. Đây sẽ là hành trang giúp chúng tôi tự tin đương đầu với các thử thách mới ngoài xã hội x NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN …………………………………………………………………………………… …………………………………………………………………………………… …………………………………………………………………………………… …………………………………………………………………………………… …………………………………………………………………………………… …………………………………………………………………………………… …………………………………………………………………………………… …………………………………………………………………………………… …………………………………………………