Luận Văn Nghiên cứu về Firewall ASA

Mục lục

A.Tổng quan về đề tài 4

B. Cấu trúc của đề tài. 5

I.Tổng quan về an ninh mạng: 6

1.Mục tiêu an ninh mạng 6

2.Các phương thức tấn công 6

2.1 Virus 6

2.2 Worm 7

2.3 Trojan horse 7

2.4 Từ chối dịch vụ. 8

2.5. Distributed Denial-of-Service 8

2.6. Spyware 9

2.7. Phishing 9

2.8. Dựa vào yếu tố con người 10

3. Các chính sách an ninh mạng 10

3.1. Các chính sách an ninh văn bản 10

3.2. Chính sách quản lý truy cập: 13

3.3. Chính sách lọc: 13

3.4. Chính sách định tuyến: 14

3.5. Chính sách Remote-access/VPN 14

3.6. Chính sách giám sát / ghi nhận: 15

3.7. Chính sách vùng DMZ 15

3.8. Chính sách có thể áp dụng thông thường: 16

II. Radius 17

1. Tổng quan về Radius: 17

1.1. AAA: 17

1.1.1. Xác thực (Authentication) 17

1.1.2. Ủy quyền (Authorization) 17

1.1.3. Kế toán (Accounting). 18

1.2 Các điểm chính của kiến trúc AAA: 18

2. Kiến trúc RADIUS: 21

2.1. Sử dụng UDP hay TCP: 21

2.2. Định dạng gói tin RADIUS: 23

2.2.1. Mã: 23

2.2.2. Từ định danh: 24

2.2.3. Độ dài: 24

2.2.4. Bộ xác thực: 24

2.3. Phân loại gói tin: 25

2.3.1. Access-Request: 25

2.3.2. Access-Accept: 26

2.3.3. Access-Reject: 27

2.3.4. Access-Challenge : 28

2.3.5. Accounting-Request: 29

2.3.6. Accounting-Response: 30

2.4. Bí mật chia sẻ: 31

2.5. Các thuộc tính và giá trị: 32

2.5.1. Các thuộc tính: 32

2.5.2. Các giá trị: 35

3. Hoạt động: 36

3.1. Quá trính truy cập: 36

3.2. Quá trình kế toán: 39

4. RFCs: 39

4.1. Nguồn gốc: 39

4.2. Bảng RFCs: 40

4.3.2. RFC 2866: 42

4.3.3. RFC 2867: 43

4.3.4. RFC 2868: 44

4.3.5. RFC 2869: 45

III. ASA 46

1. Lịch sử ra đời. 46

2. Các sản phẩm tường lửa của Cisco: 46

3. Điều khiển truy cập mạng (NAC) 47

3.1. Lọc gói (Packet Filtering) 47

3.2. Lọc nội dung và URL (Content and URL Filtering) 50

3.2.1. Content Filtering 50

3.2.2. ActiveX Filtering 50

3.3. Chuyển đổi địa chỉ. 51

3.3.1. Network Address Translation (NAT) 51

3.3.2. Port Address Translation (PAT). 51

4. Giao thức AAA và dịch vụ hỗ trợ của Cisco ASA 52

4.1. Remote Authentication Dial-In User Service (Radius). 53

4.2. Định dạng TACACS và các giá trị tiêu đề 56

4.3. Rsa SecurID (SID) 58

4.4. Win NT 59

4.5. Kerberos 59

4.6. Lightweight Directory Access Protocol (LDAP) 59

5. Kiểm tra ứng dụng 61

6. Khả năng chịu lỗi và dự phòng (failover and redundancy) 62

6.1. Kiến trúc chịu lỗi 62

6.2. Điều kiện kích hoạt khả năng chịu lỗi 63

6.3. Trạng thái chịu lỗi 63

7. Chất lượng dịch vụ (QoS) 64

7.1. Traffic Policing 64

7.2. Traffic Prioritization 66

8. Phát hiện xâm nhập (IDS) 66

8.1. Network-based intrusion detection systems (NIDS) 67

8.1.1. Lợi thế của Network-Based IDSs 67

8.1.2. Hạn chế của Network-Based IDSs 68

8.2. Host-based intrusion detection systems (HIDS) 68

8.2.1. Lợi thế của HIDS 70

8.2.2. Hạn chế của HIDS 70

IV. Mô phỏng 70

1. Mục tiêu của mô phỏng 70

2. Mô hình mô phỏng 71

3. Các công cụ cần thiết để thực hiện mô phỏng 71

4. Các bước mô phỏng 71

5. Kết quả đạt được 80

V.KẾT LUẬN CHUNG 81

VI.HƯỚNG PHÁT TRIỂN CỦA ĐỀ TÀI 82


A.Tổng quan về đề tài

Mục tiêu của việc nghiên cứu về Firewall ASA

+ Việc nghiên cứu giúp cho khả năng tự học ,tìm hiểu và nghiên cứu độc lập ngày càng tốt hơn

+ Nghiên cứu về hệ thống firewall ASA.

+ Triển khai hệ thống phất hiện, ngăn chặn các lưu lượng ra vào của hệ thống là sự cần thiết cho các doanh nghiệp có nhu cầu về sự an toàn của hệ thống trước những hành vi xâm nhập trái phép. Trước sự phát triển của internet và sự hiểu biết của ngày càng sâu của con người thì việc truy cập và phá hoại hệ thống mạng của một doanh nghiệp ,công ty nào đó củng theo đà phát triển của internet mà tăng lên rất nhiều.

+ Việc nghiên cứu này đáp ứng cho lãnh vực bảo mật và an ninh của hệ thống.

+ ASA(Adaptive Security Appliance) là một thiết bị tường lửa mạnh tất cả trong một và được ưa chuộng nhất hiện nay của Cisco.Chính vì vậy mục tiêu của đề tài này là nhằm nghiên cứu và tìm hiểu cách thức hoạt động,phương pháp cấu hình và ứng dụng của nó trong việc bảo mật hệ thống mạng.Kết quả đạt được qua việc nghiên cứu thiết bị này là hiểu được cách thức hoạt động và có khả năng triển khai thiết bị này vào trong một số hệ thống mạng bất kỳ.

+Nghiên cứu về AAA server.

+Nghiên cứu về cách tổ chức giám sát hoạt động của người dùng cuối như thời gian bắt đầu hay kết thúc của người dùng (accounting).Bảo mật là vấn đề rất quan trọng.Với mức độ điều khiển, thật dễ dàng để cài đặt bảo mật và quản trị mạng. có thể định nghĩa các vai trò (role) đưa ra cho user những lệnh mà họ cần để hoàn thành nhiệm vụ của họ và theo dõi những thay đổi trong mạng. Với khả năng log lại các sự kiện, ta có thể có những sự điều chỉnh thích hợp với từng yêu cầu đặt ra.

Tất cả những thành phần này là cần thiết để duy trì tính an toàn, bảo mật cho mạng. Với thông tin thu thập được, có thể tiên đoán việc cập nhật cần thiết theo thời gian. Yêu cầu bảo mật dữ liệu, gia tăng băng thông, giám sát các vấn đề trên mạng thông AAA server.




B. Cấu trúc của đề tài.

Đề tài được chia làm 6 phần.

I. Tổng quan về an ninh mạng

Chương này mô tả về các nguy cơ an ninh mạng và các chính sách an ninh nhằm đem lại hiệu qua cho việc bảo mật dữ liệu làm giảm nguy cơ hoặc phát hiện ra sự tấn công.

II. Radius

Chương này mô tả về kỹ thuật sử dụng để xác thực,ủy quyền,thanh toán nhằm đem lại hiểu quả cao cho an ninh mạng toàn vẹn và tránh thất thoát dữ liệu.

III. ASA

Chương này giới thiệu về tường lủa cisco asa ,các kỹ thuật được áp dụng cho tường lửu .

IV. Mô phỏng.

Chương này mô tả quá trình hiện thực cisco asa với mô hình mạng cụ thể cho thấy tính thực tế và kiểm nghiệm đúng lý thuyết của đề tài này.Chỉ rõ chi tiết quá trình thực nghiệm.

V. Kết luận chung.

Chương này nêu ra những kết quả của đề tài làm được những gì và những mặc hạn chế khó khăn chưa thực hiện được của đề tài.

VI. Hướng phát triển của đề tài.







I.Tổng quan về an ninh mạng:

1.Mục tiêu an ninh mạng

Việc phát triển ngày càng tăng của mạng internet do sự thuận tiện mà nó đem lại cho con người tuy nhiên cũng kéo theo nhiều mối nguy hiểm rình rập của những hacker mạng. Đảm bảo cho người dùng được an toàn khi làm việc trên mạng là mục tiêu hàng đầu của an ninh mạng:

 Bảo đảm mạng nội bộ không bị xâm nhập trái phép.

 Các tài liệu và thông tin quan trọng không bị rò rỉ và bị mất.

 Các dịch vụ được thực hiện nhanh chóng không bị trì trệ hoặc không được thực hiện.

 Các cuộc mua bán trên mạng diễn ra đúng với yêu cầu người dùng.

 Người dùng làm việc trên mạng không bị mạo danh, lừa đảo.

2.Các phương thức tấn công

 Virus

 Worm

 Trojan

 Từ chối dịch vụ

 Phân phối từ chối dịch vụ

 Zombies

 Spyware

 Phishing