Luận Văn Xây dựng FIREWALL ASA và IPS bảo vệ mạng

TRÍCH YẾU LUẬN ÁN
Trong thời gian thực hiện khóa luận tốt nghiệp, chúng tôi đã nghiên cứu về những công nghệ bảo
mật sau:
 Tìm hiểu các công nghệ chung của tường lửa tại lớp Network, Transport và Application.
 Phân tích các dạng, phương thức hoạt động và giao thức cũng như thuật toán trong VPN.
 Phân tích nguyên lý hoạt động, cách phát hiện tấn công trên IDS/IPS.
 Xây dựng tường lửa hệ thống mạng trường Đại học Hoa Sen, triển khai VPN và IDS/IPS.
Nhờ việc sử dụng thành công phần mềm mô phỏng các thiết bị mạng, nhóm chúng tôi có thể
tự tay xây dựng hệ thống mạng trường Đại Học Hoa Sen từ giai đoạn phân tích yêu cầu, xác
định các tài khoản người dùng, thiết kế, phác thảo mô hình mạng đến khi đi vào cấu hình trên các
phần mềm mô phỏng. Qua đó, chúng tôi đã đạt được những kết quả đáng khích lệ sau:
 Hiểu thêm về tường lửa, kiến trúc cũng như chức năng tường lửa. Ngoài ra, chúng tôi còn
đi sâu phân tích các công nghệ chung của tường lửa tại lớp Network, Transport và
Application trong mô hình OSI.
 Nghiên cứu về VPN, giao thức sử dụng trong VPN đồng thời tìm hiểu cách thức hoạt
động VPN. Tìm hiểu nguyên lý hoạt động IDS/IPS, phân tích các phương thức phát hiện
tấn công, lợi ích cũng như hạn chế từng phương thức.
 Hiểu được các bước xây dựng hệ thống mạng doanh nghiệp, từ giai đoạn phân tích yêu cầu,
thiết kế sơ đồ mạng đến bước triển khai cấu hình đồng thời ứng dụng giải pháp VPN
và hệ thống IDS/IPS.
 Đi sâu tìm hiểu một số công nghệ triển khai thêm nhằm tăng tính bảo mật an toàn dữ liệu
nhằm bảo đảm hệ thống mạng luôn sẵn sàng hoạt động liên tục ngay cả khi gặp sự cố, tận
dụng tối đa tài nguyên hệ thống cũng như phân chia tải mạng cho dãy tường lửa kiểm tra
như Load Balancing, Failover, HSRP ; xác thực người dùng với kỹ thuật IEEE 802.1x
và công nghệ VOIP nhằm cung cấp dịch vụ thoại cho người dùng.

MỤC LỤC
Trang
Trích yếu luận án ----------------------------------------------------------------------------------- i
Mục lục ----------------------------------------------------------------------------------------------ii
Danh sách hình-------------------------------------------------------------------------------------- vi
Danh sách bảng ------------------------------------------------------------------------------------ ix
Lời cảm ơn -----------------------------------------------------------------------------------------x
Nhận xét của giảng viên hướng dẫn ------------------------------------------------------------- xi
Lời mở đầu --------------------------------------------------------------------------------------- xii
Phần 1: Tổng quan Báo Cáo
1.1 Mục tiêu nghiên cứu------------------------------------------------------------------------1
1.2 Phương pháp nghiên cứu-------------------------------------------------------------------1
1.3 Giới hạn đề tài-------------------------------------------------------------------------------1
1.4 Kết cấu luận văn ----------------------------------------------------------------------------1
Phần 2: Công nghệ kỹ thuật chung của tường lửa tại lớp
Network, Transport và Application
2.1 Tầm quan trọng của việc bảo mật và an toàn thông tin --------------------------------2
2.2 Tổng quan về tường lửa --------------------------------------------------------------------3
2.2.1 Giới thiệu ---------------------------------------------------------------------------3
2.2.2 Chức năng --------------------------------------------------------------------------4
2.3 Công nghệ kỹ thuật chung của tường lửa tại các lớp -----------------------------------5
2.3.1 Lớp Network và Transport -------------------------------------------------------5
2.3.1.1 Packet Filtering -------------------------------------------------------5
2.3.1.2 NAT Firewall ---------------------------------------------------------7
2.3.1.3 Stateful Packet Filtering ---------------------------------------------8
2.3.2 Lớp Application -------------------------------------------------------------------9
2.3.2.1 Proxy Firewall --------------------------------------------------------9
2.3.2.2 Stateful Inspection Firewall (SIF) -------------------------------- 13
2.4 Triển khai tường lửa trong hệ thống mạng doanh nghiệp --------------------------- 14
2.4.1 Bastion Host --------------------------------------------------------------------- 14
2.4.2 Screened Subnet------------------------------------------------------------------ 15
2.4.3 Dual Firewall -------------------------------------------------------------------- 16
Phần 3: Xây dựng VPN giữa hai cơ sở của đại học Hoa Sen
3.1 Sự cần thiết của VPN trong doanh nghiệp -------------------------------------------- 18
3.1.1 Tại sao VPN ra đời -------------------------------------------------------------- 18
3.1.2 VPN thật sự cần thiết ----------------------------------------------------------- 18
3.2 Tổng quan về VPN ----------------------------------------------------------------------- 19
3.2.1 Khái niệm VPN ------------------------------------------------------------------ 19
3.2.2 Lợi ích VPN --------------------------------------------------------------------- 19
3.2.3 Cơ sở hạ tầng kỹ thuật xây dựng VPN ---------------------------------------- 20
3.2.3.1 Kỹ thuật mật mã ---------------------------------------------------- 20
3.2.3.2 Public Key Infrastructure ----------------------------------------- 22
3.2.4 Các giao thức VPN -------------------------------------------------------------- 26
3.2.4.1 PPTP (Point - to - Point Tunneling Protocol) ------------------ 26
3.2.4.2 L2TP (Layer 2 Tunneling Protocol) ----------------------------- 27
3.2.4.3 GRE ----------------------------------------------------------------- 28
3.2.4.4 IPSec (Internet Protocol Security) ------------------------------- 28
3.2.5 Các loại VPN -------------------------------------------------------------------- 45
3.2.5.1 Easy VPN ----------------------------------------------------------- 45
3.2.5.2 Site to Site VPN ---------------------------------------------------- 46
3.2.5.3 SSL VPN ------------------------------------------------------------ 47
Phần 4: Xây dựng IPS & IDS
4.1 Tổng quan IPS và IDS ------------------------------------------------------------------- 51
4.1.1 Giới thiệu ------------------------------------------------------------------------- 51
4.1.2 Lịch sử hình thành -------------------------------------------------------------- 52
4.1.3 Nguyên nhân IPS ra đời và thay thế IDS ------------------------------------- 52
4.2 Phân loại ---------------------------------------------------------------------------------- 53
4.2.1 Host-based Intrusion Prevention System (HIPS) ---------------------------- 53
4.2.2 Network-based Intrusion Prevention System (NIPS) ----------------------- 55
4.3 Nguyên lý hoạt động của hệ thống ----------------------------------------------------- 58
4.3.1 Phân tích luồng dữ liệu --------------------------------------------------------- 59
4.3.2 Phát hiện tấn công --------------------------------------------------------------- 59
4.3.2.1 Dấu hiệu tấn công (Signature-based Detection) ---------------- 59
4.3.2.2 Dấu hiệu bất thường (Statistical Anomaly-based Detection) - 60
4.3.2.3 Giao thức ------------------------------------------------------------ 61
4.3.2.4 Chính sách ---------------------------------------------------------- 62
4.3.3 Phản ứng ------------------------------------------------------------------------- 62
4.4 Một số thuật ngữ ------------------------------------------------------------------------- 63
Phần 5: Xây dựng tường lửa cho hệ thống mạng trường đại học Hoa Sen
5.1 Giới thiệu --------------------------------------------------------------------------------- 64
5.2 Yêu cầu ------------------------------------------------------------------------------------ 64
5.3 Triển khai --------------------------------------------------------------------------------- 65
5.3.1 Sơ đồ hệ thống mạng tại trụ sở chính ----------------------------------------- 65
5.3.1.1 Mô hình mạng ------------------------------------------------------ 65
5.3.1.2 Xác định các nhóm người dùng ---------------------------------- 69
5.3.1.3 Các quy định kiểm tra gói tin trên tường lửa ------------------- 71
5.3.2 Xây dựng các chính sách ------------------------------------------------------- 74
5.3.2.1 Switch Layer 2 ----------------------------------------------------- 74
5.3.2.2 Switch Layer 3 ----------------------------------------------------- 75
5.3.2.3 Firewall Inside ------------------------------------------------------ 75
5.3.2.4 Firewall Outside ---------------------------------------------------- 83
5.3.2.5 Router biên --------------------------------------------------------- 89
5.3.3 Các công nghệ sử dụng --------------------------------------------------------- 89
5.4 Một số công nghệ triển khai thêm ------------------------------------------------------ 90
5.4.1 Failover --------------------------------------------------------------------------- 90
5.4.2 HSRP (Hot Standby Redundancy Protocol) ---------------------------------- 93
5.4.3 Firewall Load Balancing ------------------------------------------------------- 98
5.4.4 Chứng thức 802.1x ------------------------------------------------------------- 101
5.4.5 Hệ thống VOIP ----------------------------------------------------------------- 105
Kết luận ------------------------------------------------------------------------------------------- 107
Tài liệu tham khảo ------------------------------------------------------------------------------- 108





LỜI MỞ ĐẦU
Trong thời kì hội nhập, khi nhu cầu trao đổi dữ liệu qua hệ thống mạng máy tính ngày càng
tăng cao, Internet càng trở nên vô cùng quan trọng, ảnh hưởng đến tất cả các lĩnh vực kinh
tế xã hội, an ninh quốc phòng của quốc gia. Thực tế ở Việt Nam, Internet đã được ứng dụng
và phát triển rộng rãi (phổ cập tới xấp xỉ 25% dân số), dẫn đến số tội phạm công nghệ cao
ngày càng nhiều, có không ít cuộc tấn công trên mạng gây ra hậu quả hết sức nghiêm trọng,
làm tê liệt hệ thống giám sát an ninh hay phá hoại cơ sở dữ liệu quốc gia, đánh cắp thông tin
mật Nhà nước Đối với doanh nghiệp, vấn đề bảo đảm an ninh, an toàn thông tin trên mạng
là mối quan tâm hàng đầu của hầu hết công ty, tổ chức và các nhà cung cấp dịch vụ. Cùng
với sự bùng nổ khoa học kỹ thuật, các phương thức tấn công ngày càng tinh vi hơn khiến hệ
thống an ninh mạng trở nên mất hiệu qủa.
Bill Archer, Chủ tịch hãng AT&T tại châu Âu, phát biểu "Chúng tôi nhận thấy mật độ tấn
công trong vòng 6 tháng qua đã dày hơn rất nhiều so với hai năm trước". Đặc biệt ở Việt
Nam, vấn đề trên càng phải đầu tư, xem xét hơn bao giờ hết. Theo khảo sát của Trung tâm
ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) dựa vào các tiêu chuẩn an toàn thông tin thì
40% doanh nghiệp Việt Nam không có hệ thống tường lửa, 70% không có quy trình xử lý sự
cố an toàn thông tin và 85% không có chính sách về an ninh mạng. Hơn nữa, theo phân tích
của Kaspersky, năm 2010, Việt Nam đứng thứ 5 thế giới trong số những quốc gia chịu nhiều
thiệt hại nhất do tấn công trên mạng (sau Ấn Độ và Mỹ, xếp đầu bảng là Trung Quốc và
Nga). Việc xây dựng hệ thống an ninh mạng sao cho vừa đảm bảo an toàn, bảo mật thông tin
vừa tận dụng hiệu năng mạng đang trở thành câu hỏi đau đầu đối với các tổ chức doanh
nghiệp không những ở Việt Nam mà còn trên toàn thế giới.
Nhận thấy những nguy cơ đó, xuất phát từ niềm say mê nghiên cứu các kỹ thuật bảo mật
mạng, nhóm chúng tôi quyết định chọn đề tài “Xây dựng Firewall ASA và IPS bảo vệ mạng”,
với mong muốn đem lại cho doanh nghiệp mô hình đáp ứng được các yêu cầu về bảo mật mà vẫn
đảm bảo hiệu năng hoạt động mạng. Qua đó, chúng tôi cũng trang bị cho mình thêm
nhiều kiến thức để chuẩn bị thử sức với thách thức mới ngoài xã hội.