ĐẠI HỌC QUỐC GIA THÀNH PHỐ HỒ CHÍ MINH TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN KHOA MẠNG VÀ TRUYỀN THÔNG ***000*** BÁO CÁO ĐỒ ÁN CẤU HÌNH TƯỜNG LỬA MÔN: ỨNG DỤNG TRUYỀN THÔNG VÀ AN NINH THÔNG TIN SINH VIÊN THỰC HIỆN: GIÁO VIÊN HƯỚNG DẪN: Nhóm 6: ThS. Tô Nguyễn Nhật Quang Nguyễn Lâm 08520194 Cao Nhật Quang 08520304 Ngô Tấn Tài 08520323 Lâm Văn Tú 08520610 Thành phố Hồ Chí Minh -14/4/2012- ỨNG DỤNG TRUYỀN THÔNG VÀ AN NINH THÔNG TINH MỤC LỤC Page 2 2 2 ỨNG DỤNG TRUYỀN THÔNG VÀ AN NINH THÔNG TINH 1. GIỚI THIỆU VỀ BÀI HỌC Trong bài này, chúng ta sẽ nghiên cứu sâu hơn về các loại tường lửa và cách cấu hình một số loại tường lửa phổ biến hiện nay: Microsoft Forefront Threat Management Gateway 2010 (TMG), IPTables Firewall, Cisco ASA. Bài học gồm những phần sau đây: • Phần 1: Tìm hiểu về tường lửa. Ta sẽ giải thích tại sao tường lửa ra đời. Các loại tường lửa phổ biến và cách thức hoạt động chung của những loại tường lửa như thế nào. Tường lửa giúp ích gì cho hệ thống mạng và những gì chúng không thể làm được. • Phần 2: Cấu hình TMG. Trong phần này ta sẽ nghiên cứu và cấu hình một phiên bản tường lửa mới nhất của Microsoft là TMG 2010. Là phiên bản nâng cấp từ Firewall ISA 2006, TMG có những đặc tính và những công nghệ nổi bật hơn so với Firewall ISA 2006. • Phần 3: Khái niệm về IPTables. Nếu ở phần 2 ta nói về một phiên bản Firewall mới nhất của Microsoft là TMG, thì ở phần này ta sẽ nghiên cứu về một loại tường lửa được tích hợp trong nhân của hệ điều hành Linux, đó là IPTables Firewall. IPTables được đánh giá là loại tường lửa rất mạnh và có tốc độ xử lý nhanh hơn các loại tường lửa khác do được ứng dụng trên giao diện dòng lệnh. Nhưng để hiểu sâu về IPTables, người quản trị cần phải có kiến thức tốt về cách thức kết nối và xử lý gói tin. Do vậy, việc cấu hình IPTables không phải đơn giản. • Phần 4: Triển khai các công nghệ Firewall. Ở phần này, ta sẽ ứng dụng Firewall vào một mô hình thực tế. Một mô hình bảo mật với sự kết hợp giữa 2 loại tường lửa phần cứng và phần mềm, đó là Cisco ASA và Microsoft TMG 2010. Ta sẽ tham khảo cách cấu hình Cisco ASA và triển khai chính sách bảo mật trên hai tường lửa này. Page 3 3 3 ỨNG DỤNG TRUYỀN THÔNG VÀ AN NINH THÔNG TINH 2. PHẦN 1: TÌM HIỂU VỀ TƯỜNG LỬA 2.1 TÌM HIỂU VỀ TƯỜNG LỬA Công nghệ cơ bản của tường lửa lần đầu tiên xuất hiện trong hệ thống mạng vào đầu những năm 1990. Khi mạng lưới interne đã phát triển và ngày càng tiến bộ thì vấn đề về bảo mật càng được chú trọng. Bên cạnh đó các hệ thống tường lửa cũng đã phát triển, chúng phát triển từ các gatekeeper đơn giản cho đến các công cụ bảo mật hoàn thiện để có thể làm việc cùng với các hệ thống phát hiện xâm nhập và các chương trình quét phần mềm độc hại. Bảo mật trở thành vấn đề lớn cho các hệ thống kêt nối với internet. Xâm nhập mạng và các cuộc tấn công trở nên phổ biến, rủi ro là một phần không thể tránh khỏi trong hoạt động kinh doanh của các tổ chức sử dụng hệ thống mạng. Trong một mạng lưới hiện đại, công nghệ tường lửa là một thành phần thiết yếu cho bất kỳ một tổ chức nào đã xây dựng một mô hình an ninh mạng. Ngay cả khi một người sử dụng máy tính tại nhà kết nối internet thông qua các kết nối của nhà cung cấp dịch vụ internet (ISP) thì các ISP này phải thường xuyên cài đặt phần mềm, phần cứng tường lửa để cung cấp biện pháp bảo vệ cho hệ thống người sử dụng dịch vụ. Hầu hết trong hệ thống mạng, tường lửa là những phương châm đẩu tiên của sự phòng ngừa tấn công mạng, và chính vì như vậy, làm việc 1 cách chắc chắn và am hiểu về tường lửa là bản chất của hệ thống mạng lưới tiến bộ. Trong bài này, ta sẽ nghiên cứu như thế nào để cấu hình và triển khai hai nền tảng tường lửa phổ biến: Microsoft Forefront Threat Management Gateway 2010 (TMG) của Microsoft và IPTables của Linux. 2.1.1 Những vấn đề cơ bản của tường lửa Cơ bản của tường lửa là gì ? Làm thế nào để chúng có thể hoạt động một cách hiệu quả? Ta có thể xây dựng một hệ thống mạng an toàn bằng cách áp đặt những quy tắc hoạt động của hệ thống mạng lên tường lửa qua việc cấu hình chúng. Điều này sẽ đạt hiệu quả cao nếu trả lời được những câu hỏi sao đây: • Tường lửa là gì? • Điều kiện liên kết các tường lửa phổ biến hiện nay? • Chức năng cơ bản của một tường lửa là gì? • Address, port, protocol và service hoạt động như thế nào trên tường lửa? • Các loại tường lửa phổ biến hiện nay? • Xây dựng các “quy tắc” của một tường lửa như thế nào? • Những mô hình mạng phổ biến sử dụng tường lửa? • Tại sao phải sử dụng một tường lửa? • Tường lửa không thể bảo vệ những gì? Page 4 4 4 ỨNG DỤNG TRUYỀN THÔNG VÀ AN NINH THÔNG TINH 2.1.2 Điều kiện bắt buộc của một tường lửa Chúng ta đều biết rằng mạng máy tính được tạo ra từ các hệ thống đa kết nối với những mức độ khác nhau. Liên hệ với con người, những sự tương tác hằng ngày của bạn với những người xung quanh là một minh họa tốt nhất trong việc quản lý về các kết nối tin cậy. Lấy ví dụ, bạn có thể tin tưởng vào người bạn tốt nhất của bạn, nhưng không thể tin tưởng vào những người xa lạ. Trong một môi trường mạng, sự tương tác của những khu vực này được gọi là “khu vực được tin cậy”. Một số ví dụ phổ biến của khu vực này sẽ là local network, hệ thống mạng nội bộ là nơi có mức độ tin cậy cao. Internet là khu vực tin tưởng ít hoặc thậm chí là không. Hình 1: Khu vực tin cậy riêng biệt của những tường lửa. Thế giới mạng đã cho ra đời một loạt thuật ngữ như: Internet, Extranet, intranet và DMZ. Chúng ta có thể dùng các thuật ngữ này để định nghĩa các khu vực tin cậy, những vấn đề này thường thấy trong bất kỳ một môi trường mạng nào. 2.1.3 Các chức năng cơ bản của một tường lửa Chức năng chính của tường lửa là kiểm soát các thông tin liên lạc giữa các hệ thống với các mức độ tin cậy khác nhau. Sự kiểm soát của tường lửa cho việc truyền thông giữa các hệ thống mạng được tin cậy, chúng cho phép ta thực thi các chính sách bảo mật. Điều này cho phép ta tạo một mô hình kết nối mạng cơ bản dựa trên các quy tắc và thiết lập các mức độ truy cập khác nhau dựa trên nguồn, đích đến, giao thức và các dịch vụ truyền thông mạng. Page 5 5 5 ỨNG DỤNG TRUYỀN THÔNG VÀ AN NINH THÔNG TINH Hình 2: tường lửa thực thi các quy tắc truy cập giữa các khu vực tin cậy 2.1.4 Address, Port, Protocol và Service Tất cả các hệ thống liên lạc dựa trên Internet Protocol sẽ có một vài thuộc tính chung. Những thuộc tính chung này sẽ cho phép tường lửa thực hiện được hầu hết các chức năng của nó. Ở đây có 5 điểm chung cơ bản hiện diện trong mạng lưới thông tin liên lạc thông qua Internet Protocol. • Source address: địa chỉ nguồn của thông tin. • Destination address: địa chỉ đích của gói tin. • Protocol used: các giao thức ở đây có thể sẽ là TCP, UDP, ICMP, IGMP. • Target port: cổng là một thiết bị kết nối mạng logic. Số hiệu của cổng này là một yêu cầu mạng xác định một dịch vụ cụ thể từ một nguồn tài nguyên ở xa trên mạng (IANA RFC quy định cụ thể về các con số của cổng). • Service: Đây là ứng dụng dùng để cung cấp dữ liệu hoặc yêu cầu thiết thực bởi kết nối mạng. Nói chung, dịch vụ (service) lắng nghe những yêu cầu của một cổng cụ thể trên một giao thức cụ thể. Page 6 6 6 ỨNG DỤNG TRUYỀN THÔNG VÀ AN NINH THÔNG TINH 2.2 TƯỜNG LỬA VÀ MÔ HÌNH OSI Công nghệ tường lửa hiện nay hoạt động trên các lớp của mô hình OSI. Hình 3: Tường lửa hoạt động tại tầng 2,3,4 và 7 trong mô hình OSI Tường lửa thường hoạt động tại những mức độ tương ứng với các lớp của mô hình OSI, 2, 3, 4 và 7. Các chức năng mạng phổ biến là địa chỉ nguồn, đích, giao thức, cổng và dịch vụ hoạt động trên các lớp của mô hình OSI. • Layer 2 (Data-link) : là lớp thấp nhất có chứa địa chỉ xác định địa chỉ nguồn và đích đến cụ thể. Tất cả những địa chỉ này là MAC (Media Access Control) và được chỉ định bởi card mạng. Lấy ví dụ, một địa chỉ MAC của một card mạng là một ví dụ của địa chỉ lớp 2. Đây là một trong những lớp được dùng bởi tường lửa để phân biệt địa chỉ nguồn, địa chỉ đích cho việc kiểm soát thông tin truyền thông. • Layer 3 (Network): là lớp đảm nhận về việc phân phối lưu lượng mạng bằng cách cung cấp cơ chế chuyển mạch và định tuyến, tạo ra mạng ảo (các đường dẫn logic), và truyền dữ liệu kiển point to point. Địa chỉ nguồn, địa chỉ đích, định tuyến, chuyển tiếp, sắp xếp gói tin, xử lý lỗi, và xử lý lưu lượng được xử lý tại lớp này. Giống như lớp 2, lớp 3 cũng được dùng bởi tường lửa để phân biệt địa chỉ nguồn , địa chỉ đích cho việc kiểm soát các thông tin. • Layer 4 (Transport): là lớp nhận dạng các giao thức truyền thông và các phiên trao đổi thông tin. Đây là lớp chỉ định các giao thức vận chuyển. VD: TCP,UDP,ICMP,v.v… Và các cổng nguồn và đích được quy định rất cụ thể. Tường lửa có thể thực thi các giao thức và cổng thông tin từ lớp thứ 4 và dùng những giá trị này để kiểm soát việc truyền thông mạng. Page 7 7 7 ỨNG DỤNG TRUYỀN THÔNG VÀ AN NINH THÔNG TINH • Layer 7 (Application): Hỗ trợ cả ứng dụng (dịch vụ) và các tiến trình người dùng. Lớp này là nơi mà những thứ như các đối tác truyền thông, chứng thực, chất lượng dịch vụ. Mọi thứ tại lớp này là những ứng dụng cụ thể. Dữ liệu sẽ được truyền đi từ chương trình, sau đó đóng gói và truyền qua các lớp bên dưới. Tường lửa có thể sử dụng một máy chủ lưu trữ thông tin, và quản lý thông tin thông qua nó. 2.3 CÁC LOẠI TƯỜNG LỬA PHỔ BIẾN 2.3.1 Các tường lửa lọc gói tin đơn giản Tường lửa lọc gói tin đơn giản là loại cơ bản nhất của tường lửa. Chúng kiểm tra việc gửi đến hoặc gửi đi các gói tin và so sánh chúng với một “quy tắc” đã thiết lập để xác định gói tin được cho phép hoặc từ chối. Các tường lửa lọc gói tin hoạt động tại tầng 2 và tầng 3 của mô hình OSI. Chúng cung cấp việc kiểm soát truy cập mạng bằng cách so sánh các quy tắc thiết lập thông tin chứa trong các gói tin như: • Địa chỉ nguồn của gói tin là những địa chỉ IP của hệ thống gửi đi. • Địa chỉ đích của gói tin là những địa chỉ IP của hệ thống mà các gói tin được gửi đến. • Các giao thức mạng được dùng để truyền thông giữa địa chỉ nguồn và địa chỉ đích. • Một số bộ lọc gói tin đơn giản cũng bao gồm một số đặc điểm của tầng 4 về sự truyền thông như cổng nguồn và cổng đích của kết nối. • Nếu tường lửa là ‘multi-home’ tới 3 hoặc nhiều phân đoạn mạng (chẳng hạn như trong cấu hình DMZ 3 đường). Một tường lửa lọc gói cũng đọc thông tin gói tin liên quan đến interface của tường lửa cho gói tin đích. Hình 4: Một tường lửa lọc gói tin đơn giản hoạt động tại những tầng 2,3 của mô hình OSI. Page 8 8 8 ỨNG DỤNG TRUYỀN THÔNG VÀ AN NINH THÔNG TINH 2.3.2 Tường lửa trạng thái Những tường lửa lọc gói tin đơn giản hoạt động trên các lớp 2 và 3 của mô hình OSI. Các tường lửa kiểm tra tình trạng gói tin thêm lớp 4 ngoài lớp 2, 3. Vì thế, chúng có thể theo dõi các kết nối ảo một cách hợp lý, những bức tường lửa này đôi khi được gọi là những tường lửa cấp độ Circle. Hình 5: Các lớp trong mô hình OSI của tường lửa trạng thái Bộ lọc gói theo trạng thái cũng sử dụng các bộ quy tắc để kiểm soát gói tin. Nhưng chúng bổ sung thêm một vài tính năng nhằm tăng cường hiệu suất và giải quyết một vài vấn đề của tường lửa lọc gói tin đơn giản. Những bức tường lửa theo dõi tình trạng của tất cả các kết nối trong bảng dữ liệu nằm bên trong bộ nhớ. Điều này cho phép tường lửa xác định một gói tin đến hoặc là một kết nối mới hoặc là kế nối hiện đang thiết lập. Một khi các phiên kết nối đã kết thúc hoặc hết thời gian, thì mục của nó tương ứng với bảng trạng thái đã được loại bỏ, một số ứng dụng sẽ gửi những gói tin “keepalive” theo chu kỳ để các tường lửa từ bỏ các kết nối ít được sử dụng. Page 9 9 9 ỨNG DỤNG TRUYỀN THÔNG VÀ AN NINH THÔNG TINH Hình 6: Ví dụ về sự kết nối bảng trạng thái. Khả năng phân biệt giữa các kết nối mới và các kết nối hiện có mang lại lợi thế cho loại tường lửa này hơn tường lửa lọc gói tin đơn giản. Những tường lửa kiểm tra trạng thái khắc phục một số điểm yếu của những tường lửa lọc gói tin. Do có bảng trạng thái, các tường lửa kiểm tra trạng thái sẽ an toàn hơn so với các tường lửa lọc gói tin đơn giản. 2.3.3 Tường lửa dựa trên ứng dụng Tường lửa ứng dụng (Cũng có thể gọi là Proxy-Gateway) là những tường lửa tinh vi kết hợp kiểm tra cả kiểm soát truy cập ở lớp dưới với lớp 7 trong mô hình OSI. Tường lửa ứng dụng kiểm soát định tuyến của các gói dữ liệu giữa những khu vực tin cậy và không tin cậy được cấu hình trên tường lửa dựa trên ứng dụng hoặc dịch vụ đang gửi hoặc nhận các gói dữ liệu. tất cả các gói dữ liệu mạng vượt qua được tường lửa thì phải chịu sự kiểm soát của các phần mềm ứng dụng proxy. Hình 7: các lớp trong mô hình OSI của tường lửa ứng dụng. Tường lửa ứng dụng có khả năng kiểm tra sâu vào các gói tin để đánh giá chính xác những kết nối nào là cho phép và những kết nối nào là từ chối. Bằng cách đọc dữ liệu thực tế bên trong một gói tin , ứng dụng tường lửa có thể phát hiện ra bằng việc cố gắng xâm nhập chẳng hạn như những sự truyền thông không được phép gán mặt nạ bên trong gói tin gửi đi trên cổng cho phép. Lấy ví dụ, ẩn những gói tin truyền thông IRC bằng cách sử dụng port 80 để giả mạo HTTP. Các tường lửa truyền thống không thể phát hiện ra điều này. Trong khi đó, một tường lửa ứng dụng có thể kiểm tra và từ chối các gói tin HTTP nếu như nội dung không phù hợp với loại gói tin. Page 10 10 10 [...]... TMG Standard và Enterprise 17 Page 17 ỨNG DỤNG TRUYỀN THÔNG VÀ AN NINH THÔNG TINH 18 • Các yêu cầu phần cứng khi cài đặt Forefont TMG • Các yêu cầu phần mềm khi cài đặt : 18 Page 18 ỨNG DỤNG TRUYỀN THÔNG VÀ AN NINH THÔNG TINH 19 - Windows Roles and Features + Network Policy and Access Server + Active Directory Lightweight Directory Services (ADLDS) + Network Load Balancing (NLB) - Microsoft® NET 3.5 Framework... ngoài 21 Page 21 ỨNG DỤNG TRUYỀN THÔNG VÀ AN NINH THÔNG TINH 22 B5 : Chọn Finsh để kết thúc B6 : Chọn Configure system settings B7 : Chọn Next B8 : chọn Define deployment options 22 Page 22 ỨNG DỤNG TRUYỀN THÔNG VÀ AN NINH THÔNG TINH 23 B 9 : Chọn Use the Microsoft Update service to check for updates (recommended) để update TMG B11 : Chọn No, I don’t want to participate 23 B10 : Chọn thời gian cập nhật... New User Set Winzard : đặt tên Giangvien B3 : Hộp thoại Users : Add -> Windows users and groups 32 Page 32 ỨNG DỤNG TRUYỀN THÔNG VÀ AN NINH THÔNG TINH 33 B4 : Location  caonhatquang.com B5 : Chọn Next B6 : Hộp thoại Completing the New User Set Winzard - chọn Finish 33 Page 33 ỨNG DỤNG TRUYỀN THÔNG VÀ AN NINH THÔNG TINH 34 3.3.3 Định nghĩa giờ làm việc B1: Firewall Policy Toolbox Schedule s  New... Microsoft® NET 3.5 Framework SP1 - Windows Web Services API 3.2 CẤU HÌNH TMG FOREFRONT SERVER và TMG CLIENT 3.2.1 Cài đặt Forefont TMG 2010 Server 19 Page 19 ỨNG DỤNG TRUYỀN THÔNG VÀ AN NINH THÔNG TINH 20 Sau khi giải nén ra Chọn Forefront TMG Management 20 Page 20 ỨNG DỤNG TRUYỀN THÔNG VÀ AN NINH THÔNG TINH 21 B2 :Hộp thoại Network Template Selection ( Chọn các mô hình để triển khai firewall) : Chọn... 34 ỨNG DỤNG TRUYỀN THÔNG VÀ AN NINH THÔNG TINH 35 3.3.4 Tạo Group trang web cho phép hay muốn cấm B1 : Firewall Policy Toolbox  Network Objects  New Domain Name Set B2 : Hộp thoại New Domain Name Set Policy ElementName : Allow website Add để thêm website 35 Page 35 ỨNG DỤNG TRUYỀN THÔNG VÀ AN NINH THÔNG TINH 36 B1 :Chuột phải lên rule đã tạo  Properties Tab Content Types Tùy chọn nội dung trang... DNS  Next 30 Page 30 ỨNG DỤNG TRUYỀN THÔNG VÀ AN NINH THÔNG TINH 31 B5 : chọn Add  Internal B6 : chọn Add  External B6 : chọn Next B7 : Kiểm tra tại máy domain 31 Page 31 ỨNG DỤNG TRUYỀN THÔNG VÀ AN NINH THÔNG TINH 32 3.3.2 Định nghĩa Group Policy cho Firewall Policy B1 : Firewall Pocily  Toolbox Users  New B2 : Hộp thoại Welcome to the New User Set Winzard : đặt tên Giangvien B3 : Hộp thoại.. .ỨNG DỤNG TRUYỀN THÔNG VÀ AN NINH THÔNG TINH 11 Tuờng lửa ứng dụng thường có khả năng yêu cầu chứng thực với mỗi user hoặc hệ thống truyền dữ liệu đi qua tường lửa Vì thế, loại tường lửa này có ưu điểm hơn so với hai loại trên 2.4 XÂY DỰNG CÁC QUY TẮC CHO TƯỜNG LỬA Các tường lửa có thể kiểm soát được lưu lượng mạng Khi một gói tin nhận được từ tường lửa, nó sẽ kiểm tra các thuộc tính của gói tin. .. THÔNG TINH • 15 Chức năng chính của Forefont TMG 2010: Forefont TMG 2010 đáp ứng đầy đủ tất cả các tính năng của firewall Được đa số doanh nghiệp vừa và nhỏ triển khai vì chi phí thấp, dễ sử dụng, đáp ứng mọi mô hình mạng Được phát triển dựa trên phiên bản ISA 2006 của Microsoft đã thành công trước đó Tiếp nối thành công đó, Forefont TMG 2010 ra đời 15 Page 15 ỨNG DỤNG TRUYỀN THÔNG VÀ AN NINH THÔNG... trạng an toàn của các client trước khi cho phép client kết nối VPN 16 Page 16 ỨNG DỤNG TRUYỀN THÔNG VÀ AN NINH THÔNG TINH 17 Security Socket Tunneling Protocol (SSTP) Integration: Hỗ trợ VPN-SSTP Windows Server 2008 with 64-bit support: Hỗ trợ Windows Server 2008 & Windows Server 2008 R2 64-bit • Bảng so sánh tính năng ISA Server 2006 và Forefront TMG: • Bảng so sánh 2 phiên bản Forefont TMG Standard và. .. trên zone caonhatquang.com chọn New Alias (CNAME) B1 : thực hiện tại máy DC Vào administrator tool dns  caonhatquang.com  New Alias 26 B2 : hộp thoại New Resource Record, khai báo các thông tin như trong hình bên dưới, chọn OK (TMG.caonhatquang.com là tên của máy TMG Server) Page 26 ỨNG DỤNG TRUYỀN THÔNG VÀ AN NINH THÔNG TINH 27 c Bước 3: Cài đặt Forefront TMG Client Để triển khai cài đặt Forefront . thức và cổng thông tin từ lớp thứ 4 và dùng những giá trị này để kiểm soát việc truyền thông mạng. Page 7 7 7 ỨNG DỤNG TRUYỀN THÔNG VÀ AN NINH THÔNG TINH • Layer 7 (Application): Hỗ trợ cả ứng dụng. CHÍ MINH TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN KHOA MẠNG VÀ TRUYỀN THÔNG ***000*** BÁO CÁO ĐỒ ÁN CẤU HÌNH TƯỜNG LỬA MÔN: ỨNG DỤNG TRUYỀN THÔNG VÀ AN NINH THÔNG TIN SINH VIÊN THỰC HIỆN: GIÁO. chối các gói tin HTTP nếu như nội dung không phù hợp với loại gói tin. Page 10 10 10 ỨNG DỤNG TRUYỀN THÔNG VÀ AN NINH THÔNG TINH Tuờng lửa ứng dụng thường có khả năng yêu cầu chứng thực với mỗi