ĐỒ ÁN: BẢO VỆ VÀ PHỊNG NGỪA TẤN CƠNG HỆ THỐNG MẠNG BẰNG FIREWALL MrTink [Type the company name] Chương Mở Đầu Đặt vấn đề Sự bùng nổ Công nghệ Thông tin (CNTT) ảnh hưởng sâu rộng tới lĩnh vực sống Đối với cá nhân doanh nghiệp, CNTT trở thành nhân tố, công cụ tăng lực cho cá nhân tăng hiệu xuất làm việc doanh nghiệp đồng thời mang lại hiệu kinh tế cao mà chi phí bỏ khơng đáng kể Đặc biệt doanh nghiệp CNTT đóng vai trò tảng quan trọng việc khai thác ứng dụng nghiệp vụ Ngày bên cạnh phát triển vượt bậc khơng ngừng CNTT tồn giới lợi ích to lớn mà mang lại, khơng phần tử lợi dụng lỗ hổng hệ thống tổ chức, doanh nghiệp thâm nhập cài mã độc, virus … vào để phá hoại hệ thống, lấy cắp thông tin để phục vụ cho mục đích khơng lành mạnh Symantec thức cơng bố kết Nghiên cứu toàn cầu trạng bảo mật doanh nghiệp năm 2010 hãng, theo 42% tổ chức coi vấn đề bảo mật ưu tiên hàng đầu họ Đây không điều ngạc nhiên có tới 75% tổ chức khảo sát nhiều hứng chịu cơng mạng vịng 12 tháng vừa qua Theo thống kê công gây mức tổn thất trung bình cho doanh nghiệp triệu USD năm Có thực trạng diễn Hacker, Cracker kẻ ln tìm cách công hệ thống doanh nghiệp, nhân người dùng … trước người quản trị viên bước Chính lý nhà quản trị mạng (Security), người dùng cá nhân phải tự bảo vệ hệ thống “Phịng Chữa” Hiện chuyên gia bảo mật giới phát triển hệ thống phần mềm ngăn ngừa cơng từ bên Internet bảo vệ hệ thống an toàn Những hệ thống gọi Internet Firewall hay Firewall Để cài đặt cấu hình Firewall theo nhu cầu người sử dụng người quản trị, cài đặt phải có kiến thức định tin học mạng máy tính đề tài “BẢO VỆ VÀ PHỊNG NGỪA TẤN CƠNG HỆ THỐNG MẠNG BẰNG FIREWALL” phần giúp người sử dụng làm điều Mục tiêu Đề tài tài liệu tham khảo cho người đọc, người ứng dụng CNTT phục vụ cho cơng việc mình, tổ chức, doanh nghiệp có nhìn tổng quát Firewall Nắm khái niệm giao thức mạng, bảo mật tự cài đặt cấu hình cho hệ thống Firewall Ý nghĩa khoa học thực tiễn Đề tài có ý nghĩa thực tiễn quan trọng thời kỳ Giúp người sử dụng tiếp xúc với môi trường Internet hiểu đe dọa giải pháp để ngăn ngừa đe dọa từ họ tự bảo vệ mình, giảm thiểu tối đa thiệt hại kinh tế Giáo dục đạo đức nghề nghiệp người làm lĩnh vực CNTT khơng đem tài để phá hoại người khác Ngồi việc tìm hiểu chức ứng dụng Firewall cịn có ý nghĩa quan trọng  Đối với cá nhân người dùng giúp tự bảo vệ thông tin riêng tư, tài liệu quan cá nhân khỏi dịm ngó Hacker  Đối với hộ gia đình, giúp em tránh tiếp xúc với nội dung xấu từ website không lành mạnh  Đối với công ty, doanh nghiệp giúp bảo mật tốt thông tin nội bộ, số liệu mật công ty đảm bảo cạnh tranh công doanh nghiệp với  Đối với Quốc gia đảm bảo tính tối mật thơng tin quốc phòng an ninh Phạm vi nghiên cứu Đề tài tìm hiểu làm quen với khái niệm mạng máy tính, Firewall cài đặt cấu hình phần mềm ISA 2006 Cụ thể đề tài nêu tổng quan mạng máy tính mơ hình mạng, giao thức mạng, hệ điều hành mạng dịch vụ hạ tầng Internet Giới thiệu an toàn mạng, Firewall, proxy sever khái niệm tảng cho việc nghiên cứu bảo mật cho phù hợp với hệ thống Giới thiệu phần mềm ISA 2006 Microsoft phần mềm Firewall tiếng, nhu cầu người sử dụng đặt cho hệ thống Firewall ISA 2006, bước cài đặt cấu hình phần mềm ISA 2006 theo mơ hình Dual-Homed Host Phương pháp nghiên cứu 5.1 Dựa tài liệu sách Internet Tìm hiểu khải niệm liên quan trực tiếp gián tiếp đến đề tài để có nhìn tổng quan toàn đề tài Nhằm xác định đắn mục tiêu đề tài Tìm hiểu từ nhiều sách nhiều nguồn Internet để từ so sánh rút cần thiết dễ hiểu sau chắt lọc thơng tin, liệu tìm đưa vào đề tài theo chương, mục cụ thể rõ ràng 5.2 Tham khảo hướng dẫn Giáo Viên người có kinh nghiệm Chủ động tìm hiểu từ Giáo Viên Hướng Dẫn (GVHD) xin ý kiến, tiếp thu giáo viên người có kinh nghiệm hướng dẫn cộng với kiến thức tìm từ sách vở, Internet để làm tư liệu đưa vào đề tài Chương 1: TỔNG QUAN VỀ MẠNG MÁY TÍNH 1.1 Giới thiệu mạng máy tính mơ hình mạng 1.1.1 Giới thiệu mạng máy tính Mạng máy tính bao gồm nhiều thành phần, chúng nối với theo cách thức sử dụng chung ngôn ngữ  Các thiết bị đầu cuối (End System) kết nối với tạo thành mạng máy tính (Computer) thiết bị khác Nói chung ngày nhiều loại thiết bị có khả kết nối vào mạng máy tính điện thoại di động, PDA, Tivi, …  Môi trường truyền (media) mà truyền thông thực qua Mơi trường truyền loại dây dẫn (cáp), sóng (đối với mạng không dây),…  Giao thức (protocol) quy tắc quy định cách thức trao đổi liệu thực thể Tóm lại, mạng máy tính tập hợp máy tính thiết bị khác (các nút), chúng sử dụng giao thức mạng chung để chia sẻ tài nguyên với nhờ phương tiện truyền thơng mạng [1] 1.1.2 Các mơ hình mạng Một máy tính có mạng thuộc loại sau:  Máy khách (client): không cung cấp tài nguyên mà sử dụng tài nguyên mạng  Máy chủ (server): Cung cấp tài nguyên dịch vụ cho máy mạng  Peer: Sử dụng tài nguyên mạng đồng thời cung cấp tài nguyên mạng 1.1.2.1 Mơ hình khách chủ (client/server) Các máy khách nối với máy chủ nhận quyền truy cập mạng tài nguyên mạng từ máy chủ Máy chủ quản lý tất tài nguyên quyền truy cập vào mạng Hình 1.1: Mơ hình trạm chủ (Client/Sever)  Đặc điểm:  Độ an tồn tính bảo mật thơng tin: Có độ an tồn bảo mật thông tin cao Người quản trị mạng quyền truy nhập thông tin cho máy  Khả cài đặt: Khó cài đặt  Địi hỏi phần cứng phần mềm: Địi hỏi có máy chủ, hệ điều hành mạng phần cứng bổ sung  Quản trị mạng: Phải có quản trị mạng  Xử lý lưu trữ tập trung: Có  Chi phí cài đặt: cao 1.1.2.2 Mơ hình mạng ngang hàng(Peer-to-Peer) Mạng ngang hàng mạng tạo hai hay nhiều máy tính kết nối với chia sẻ tài nguyên mà thông qua máy chủ dành riêng Hình 1.2: Mơ hình mạng ngang hàng (Peer to Peer)  Đặc điểm  Độ an toàn tính bảo mật thơng tin: Độ an tồn bảo mật kém, phụ thuộc vào mức truy nhập chia sẻ  Khả cài đặt: Dễ cài đặt  Địi hỏi phần cứng phần mềm: Khơng cần máy chủ, hệ điều hành mạng  Quản trị mạng: Khơng cần có quản trị mạng  Xử lý lưu trữ tập trung: Khơng  Chi phí cài đặt: Thấp 1.2 Giao thức mạng (Protocol) Là quy định việc truyền thơng mạng máy tính cách đánh địa chỉ, cách đóng gói thơng tin, cách mã hóa quản lý gói tin [1] Hình 1.3: Mơ cách thức truyền liệu hai hệ thống Một tập hợp tiêu chuẩn để trao đổi thơng tin hai hệ thống máy tính hai thiết bị máy tính với gọi giao thức Các giao thức gọi nghi thức định ước máy tính 1.2.1 Giao thức khơng có khả tìm đường 1.2.1.1 NetBIOS ( Network BIOS) NetBIOS giao diện ứng dụng cho phép ứng dụng truy cập dịch vụ mạng thông qua phương tiện truyền tải mạng NetBEUI, TCP/IP, SPX/IPX Cung cấp giao diện lập trình cho ứng dụng nằm lớp Phiên làm việc (mơ hình mạng OSI ) NetBIOS cịn đóng gói theo tiêu chuẩn truyền giao thức TCP/IP SPX/IPX (giao thức hỗ trợ định tuyến) Hình 1.4: Mơ hình Ipv4 1.2.1.2 NetBEUI (NetBIOS Extended User Interface) Là giao thức nằm lớp Transport layer (mơ hình OSI) NetBEUI có nguồn gốc với NetBIOS, chúng thuộc giao thức mạng chuẩn sau tách 1.2.2 Giao thức có khả tìm đường 1.2.2.1 IPX/SPX IPX (Internetwork Packet eXchange) giao thức sử dụng hệ điều hành mạng Netware hãng Novell Giao thức thuộc lớp mạng (network layer) mơ hình mạng lớp OSI Nó tương tự giao thức IP (Internet Protocol) TCP/IP IPX chứa địa mạng (netword Address) cho phép gói thơng tin chuyển qua mạng phân mạng (subnet) khác IPX không bảo đảm việc chuyển giao thơng điệp gói thơng tin hồn chỉnh, IP, gói tin "đóng gói" theo giao thức IPX bị "đánh rơi" (dropped) Do vậy, ứng dụng có nhu cầu truyền tin "bảo đảm" phải sử dụng giao thức SPX thay IPX SPX giao thức mạng thuộc lớp vận chuyển (transport layer network protocol) mơ hình mạng OSI gồm lớp Cũng IPX, SPX giao thức (native protocol) hệ điều mạng Netware hãng Novell Tương tự giao thức TCP TCP/IP, SPX giao thức đảm bảo tồn thơng điệp truyền từ máy tính mạng đến máy tính khác cách xác SPX sử dụng giao thức IPX Netware chế vận chuyển (TCP sử dụng IP) 1.2.2.2 TCP/IP Hình 1.5: Mơ hình TCP/IP  TCP (Transmission Control Protocol ) Cung cấp chức vận chuyển, bảo đảm việc toàn lượng liệu (dưới dạng bytes) truyền nhận cách xác từ máy truyền máy nhận Đặc trưng công nghệ: TCP giao thức hướng nối, tin cậy:  Vận chuyển end-to-end, tin cậy, thứ tự, thông qua phương  Dùng chế báo nhận (ACK)  Dùng số thứ tự gói tin (Sequence number)  Dùng phương pháp kiểm sốt lỗi mã dư vịng (CRC)  Điều khiển lưu lượng (flow control + congestion control) cửa sổ trượt có kích thước thay đổi  Do TCP giao thức tương đối phức tạp UDP (User Datagram protocol) - phần TCP/IP - giao thức truyền thông thay cho TCP không đảm bảo TCP,UDP sử dụng phổ biến cho ứng dụng truyền âm phim thời gian thực (realtime voice and video transmissions) ứng dụng bị truyền lỗi khơng truyền lại Hình 1.6: Cấu trúc gói tin TCP  IP (Internet Protocol) IP chấp nhận gói liệu từ giao thức TCP UDP, cộng thêm thông tin riêng "chuyển giao" thơng tin cho phần truyền liệu  Đặc trưng công nghệ:  Không phải thiết lập; giải phóng kết nối  Packets theo đường khác  Không có chế phát hiện/khắc phục lỗi truyền  IP giao thức đơn giản, độ tin cậy không cao  Các chức chính: Internet Security and Acceleration Server phần mềm hãng Microsoft tích hợp tính tường lửa nhớ cache nhằm đảm bảo hoạt động cho hệ thống mạng cải thiện hiệu xuất hệ thống ISA Server tảng mở rộng cung cấp an ninh, phần cứng dự phòng (hardware redundancy) cân tải (load balancing), sử dụng tài nguyên mạng cách hiệu nhờ chế nhớ đệm tinh vi công cụ quản trị Với tính ISA sử dụng Firewall Hiện Microsoft phát hành phiên ISA server Enterprise 2006 ISA server Standard 2006 3.2 Các chức ISA 2006 3.2.1.Tính Firewall Về mặc chức ISA Server firewall Bởi mặc định, bạn triển khai ISA Server, khóa tất giao thơng (traffic) mạng mà làm Server, bao gồm mạng nội (internal network), vùng DMZ Internet ISA Server 2006 dùng loại quy tắc lọc (filtering rule) để ngăn chặn cho phép giao thơng mạng (network traffic), packet filtering, stateful filtering application-layer filtering 3.2.2 Tính Proxy Khi Client hệ thống truy cập Internet, việc để lộ IP nguồn Internet hội cho Hacker công vào hệ thống ISA đưa chế che dấu thông tin Client truy cập Internet 3.2.3 Thiết lập mạng VPN ISA Server cung cấp giải pháp truy cập VPN từ xa tích hợp firewall Khi máy trạm xa kết nối đến ISA Server VPN, máy trạm đưa vào mạng ‘VPN Clients network’ Mạng xem mạng khác ISA Server, nghĩa bạn cấu hình ‘firewall rule’ để lọc tất ‘traffic’ từ máy trạm VPN ISA Server cung cấp chức giám sát cách ly VPN (VPN quarantine control) ‘VPN quarantine control’ hoãn lại truy cập từ xa đến mạng riêng cấu hình máy trạm truy cập từ xa kiểm định cơng nhận ‘client-side-script’ 3.2.4 Tính Web Cache Để tăng tốc truy cập Internet, ISA xây dựng chế web Caching, cho phép Cache trang web có lượng truy cập lớn Server Nếu Client truy cập vào Site Cache Server nội dung site lấy từ ISA Server mà khơng phải Internet Từ tăng tốc độ truy cập Internet 3.2.5 Tính Public Server Để Public Site lên Internet, cần IP Public Do phải tốn chi phí thuê bao địa IP Để tiết kiệm chi phí,chúng ta sử dụng IP Public Public Server nội lên Internet nhờ ISA Server Muốn cấu hình việc ‘publish’ ISA Server, bạn cấu hình ‘publishing rule’ để định cách thức mà ISA Server đáp lại yêu cầu từ internet ISA Server cung cấp loại ‘publishing rule’ khác Web publishing rule, secure Web publishing rule, Server publishing rule 3.3 Nhu cầu người sử dụng đặt cho hệ thống mơ hình giải pháp 3.3.1 Nhu cầu người sử dụng đặt Ngày nay, thông tin số tài sản nòng cốt tổ chức Tổ chức hệ thống thông tin đối mặt với nguy an ninh lớn Chúng phát sinh từ nhiều nguồn nguyên nhân khác mã độc hại, tin tặc Hình thức công phá hoại ngày phổ biến, tinh vi Vì thực tế bảo mật thơng tin đóng vai trị thiết yếu khơng “thứ yếu” hoạt động liên quan đến việc ứng dụng công nghệ thông tin hệ thống thông tin quan trọng Nhu cầu người sử dụng đặt ngày cao để bảo vệ hệ thống Cần có hệ thống bảo vệ an toàn vững trước cơng từ bên ngồi bên hệ thống, phịng tránh thiệt hại công gây Cụ thể nhu cầu đặt cho hệ thống bảo mật là:  Giao diện dễ sử dụng  Hoạt động ổn định lỗi  Hỗ trợ tốt cho hệ thống mạng giúp tăng hiệu xuất phần cứng tốc độ truy cập mạng hệ thống  Bảo vệ tốt hầu hết cơng từ bên ngồi  Linh động việc thêm bớt luật cấm truy cập cho phép truy cập 3.3.2 Mơ hình giải pháp 3.3.2.1 Mơ Hình Đây hệ thống mạng mà doanh nghiệp hay tổ chức thường hay sửa dụng Hình 3.1: Mơ hình mạng chuẩn cho doanh nghiệp Hình 3.2: Mơ hình mạng cho doanh nghiệp vừa nhỏ Một doanh nghiệp cần triển khai hệ thống mạng bao gồm:  Máy server cung cấp dịch vụ bản: Web Server, Mail Server, FTP Server, Printer Server  Hệ thống tường lửa Firewall dùng để thiết lập điều kiện bảo mật bảo vệ an toàn mạng bên từ tác nhân bên ngồi  Mỗi nhân viên có quyền khác sử dụng tài nguyên việc truy cập internet  Doanh nghiệp sử dụng thiết bị modem từ nhà cung cấp dịch vụ  Khách hàng đến doanh nghiệp sử dụng laptop để truy cập vào mạng không dây doanh nghiệp 3.3.2.2 Giải pháp Để giảm thiểu thiệt hại từ vụ công lợi dụng lỗ hổng bảo mật, doanh nghiệp cần phải thực nghiêm túc quy trình phát giải triệt để ngăn chặn tối đa lỗ hổng Để làm điều cần phải có hệ thống Firewall thiết lập hợp lý, lọc tốt gói tin từ bên ngồi vào, bên để đảm bảo tính an toàn cho hệ thống phát kịp thời mối nguy hiểm cố tìm cách công hệ thống Cài đặt hệ thống ISA làm Firewall đáp ứng nhu cầu mà doanh nghiệp đề cho hệ thống Đảm bảo hệ thống hoạt động ổn định Tùy theo mơ hình doanh nghiệp, chọn lựa mơ hình Firewall cho phù hợp, cho giảm thiểu chi phí mà đáp ứng nhu cầu bảo mật tối đa cho hệ thống doanh nghiệp 3.4 Tiến hành cài đặt cấu hình ISA 2006 theo mơ hình Dual-Homed Host 3.4.1 Tiến hành cài đặt ISA 2006 Cài đặt hệ thống ISA máy ảo Wmware với máy tính máy (DC) làm DC/DNS máy (ISA2K6) cài win 2k3 để cài ISA server 2006, máy (Client-XP) làm Client cài window XP B1.Cài đặt cấu hình TCP/IP máy DC  IP Address: 172.16.1.2  Subnet Mask: 255.255.255.0  Gateway: 172.16.1.1  Preferred DNS: 172.16.1.2 B2 Nâng cấp DC cho máy B3 Cấu hình TCP/IP máy ISA2K6  Cấu hình Card Internal:  IP Address: 172.16.1.1  Subnet Mask: 255.255.255.0  Gateway:  Preferred DNS: 172.16.1.2  Cấu hình Card External:  IP Address: 192.168.1.45  Subnet Mask: 255.255.255.0  Gateway: 192.168.1.1 (Địa Modem ADSL)  Preferred DNS: B4.1.Cài đặt Microsoft ISA Server 2006 Standard Edition máy ISA2K6 B4.2 Tạo Acess Rules Cài đặt ISA 2006 Trên máy ISA2K6 đăng nhập với User Administrator vào miền, chạy trình Setup ISA Server lên chọn Intall ISA Server 2006 Bắt đầu trình cài đặt bấm Next … Tới bước chọn card mạng card Internal đặt tên LAN bấm Next Tiếp theo ta nhập dãy IP mà ta muốn ISA quản lý chúng tất nhiên để tốt chọn nguyên Subnet sau OK Tiếp tục bấm next kết thúc phần cài đặt bấm Finish Bắt đầu thực cấu hình ISA 2006 máy ISA2K6, sau cài đặt thành công giao diện ISA 2006 3.4.2 Cấu hình ISA 2006 Sau cài đặt thành cơng hệ thống trên, máy DC  Tiến hành tạo OU HCM, OU HCM tạo group Manager Staff  Trong OU HCM tạo User Man1,Man2 thành viên nhóm Manager  Trong OU HCM tạo User Sta1,Sta2 thành viên nhóm Staff Mặc định sau cài ISA Server 2006, có access rule Default Rule cấm tất traffic vào mạng Logon vào máy DC truy cập vào trang http://www.google.com.vn/ thấy báo thất bại Tiến hành tạo Rule có tên Allowweb cho phép tất máy mạng nội (Internal) kể máy ISA2K6 (Local) vào mạng Sau thiết lập thành công Logon vào máy DC máy ISA2K6 truy cập vào trang http://www.google.com.vn/ thấy truy cập thành công NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN NHẬN XÉT CỦA GIÁO VIÊN PHẢN BIỆN ... thuật tích hợp vào hệ thống mạng để chống truy cập trái phép, nhằm bảo vệ nguồn thông tin nội hạn chế xâm nhập không mong muốn vào hệ thống Cũng hiểu Firewall chế (mechanism) để bảo vệ mạng tin... dụng đặt ngày cao để bảo vệ hệ thống Cần có hệ thống bảo vệ an tồn vững trước cơng từ bên ngồi bên hệ thống, phòng tránh thiệt hại cơng gây Cụ thể nhu cầu đặt cho hệ thống bảo mật là:  Giao diện... ngồi vào, bên để đảm bảo tính an tồn cho hệ thống phát kịp thời mối nguy hiểm cố tìm cách cơng hệ thống Cài đặt hệ thống ISA làm Firewall đáp ứng nhu cầu mà doanh nghiệp đề cho hệ thống Đảm bảo hệ