Xây dựng một số giải pháp bảo mật cho hệ thống mạng của công ty TNHH bigdigital việt nam sử dụng tường lửa ASA

89 224 0
  • Loading ...
1/89 trang

Thông tin tài liệu

Ngày đăng: 23/04/2017, 17:30

LỜI CAM ĐOAN Sau trình học tập trường Đại Học Công Nghệ Thông Tin Truyền Thông, có kết hợp, vận dụng lý thuyết thực tế, em nghiên cứu tập hợp tài liệu để hoàn thành đồ án tốt nghiệp Em xin cam đoan đồ án tốt nghiệp công trình thân em tự tìm hiểu, nghiên cứu hoàn thành hướng dẫn thầy giáo Ths Trần Duy Minh Em xin cam đoan kiến thức sử dụng đồ án chưa sử dụng để bảo vệ học vị Thái Nguyên, tháng 6năm 2016 Sinh viên Nguyễn Văn Hợp LỜI CẢM ƠN Qua thời gian nỗ lực phấn đấu, cuối với giúp đỡ tận tình thầy cô bạn bè em hoàn tất đề tài Qua em xin bày tỏ lòng biết ơn sâu sắc đến ThS.Trần Duy Minh người tận tình truyền đạt kiến thức trình thực đề tài, bảo kinh nghiệm quý báu để em hoàn thành tốt đề tài Em xin bày tỏ lòng biết ơn trân trọng tới thầy cô khoa “Công nghệ thông tin” nhiệt tình truyền đạt cho em kiến thức năm học vừa qua, tạo điều kiện thuận lợi suốt thời gian thực đề tài Chân thành cảm ơn bạn sinh viên lớp MMT&TT – K10A, bạn sinh viên khóa nhiệt tình giúp đỡ động viên em Thái Nguyên, tháng 06 năm 2016 Sinh viên Nguyễn Văn Hợp MỤC LỤC LỜI CAM ĐOAN LỜI CẢM ƠN MỤC LỤC LỜI NÓI ĐẦU CHƯƠNG 1: CƠ SỞ LÝ THUYẾT 1.1 Mạng máy tính 1.1.1 Lịch sử đời 1.1.2 Phân loại mạng máy tính 1.1.3 Mô hình OSI (Open Systems Interconnect) 14 1.1.4 Mô hình TCP/IP 18 1.2 Bảo mật mạng máy tính19 1.2.1 Định nghĩa bảo mật mạng máy tính 19 1.2.2 Các kiểu công mạng 19 1.2.3 Các mức độ 21 bảo mật 1.3 Giới thiệu tường lửa 22 1.3.1 Giới thiệu Phân loại 22 1.3.2 23 1.3.3 Chức Firewall Hạn chế Firewall 24 1.3.4 25 1.4 Giới thiệu Firewall ASA 25 1.4.1 Giới thiệu 25 1.4.2 Chức ASA 27 1.4.3 Cơ chế hoạt động tường lửa ASA 27 1.4.3.3 Mức độ bảo mật (Security Level) 28 1.5 Network Access Translation(NAT) 30 1.5.1 Khái niệm 30 1.5.2 Một số kỹ thuật NAT 30 1.5.3 NAT Cisco ASA 32 1.6 Access Control List ( ACL) 33 1.7 Port Address Translation (PAT) 35 1.8 Giao thức AAA dịch vụ hỗ trợ Cisco ASA 35 CHƯƠNG 2: PHÂN TÍCH THIẾT KẾ HỆ THỐNG MẠNG TẠI CÔNG TY BIGDIGITAL VIỆT NAM 37 2.1 Giới thiệu BIGDIGITAL37 2.2 Khảo sát trạng 38 2.2.1 Cơ sở hạ tầng 39 2.2.2 Tình hình tổ chức máy quản lý công ty Bigdigital Việt Nam 39 2.2.3 Cơ sở hạ tầng công ty Bigdigital Việt Nam 41 2.3 Khảo sát nhu cầu sử dụng mạng công ty Bigdigital Việt Nam 2.3.1 Đặt vấn 45 45 đề 2.3.2 Phân tích Thiết kế hệ thống 45 2.3.3 tổng thể Router R2 47 2.4 Hạch toán chi phí 48 CHƯƠNG 3: CÀI ĐẶT MÔ PHỎNG HỆ THỐNG 3.1 Giới thiệu phần mềm ASDM 49 49 3.1.1 Giới thiệu 49 3.1.2 Giao diện 49 3.2 Thiết kế mạng cho công ty 50 3.2.1 Các yêu cầu toán 3.2.2 50 Cấu hình 51 3.2.3 Cấu hình ASA 52 3.2.4 Cấu hình đầy đủ ASA 3.2.5 Kết đạt 54 58 KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN61 TÀI LIỆU THAM KHẢO 62 DANH MỤC HÌNH ẢNH Hình 1.1Mô hình liên kết máy tính liên kết mạng Hình 1.2 Mô hình mạng GAN Hình 1.3 Mô hình mạng WAN 10 Hình 1.4Mô hình mạng LAN 11 Hình 1.5 Mô hình mạng hình 11 Hình 1.6 Mô hình mạng hình tuyến 12 Hình 1.7Mô hình mạng dạng vòng12 Hình 1.8 Mô hình mạng kết hợp 13 Hình 1.9 Mô hình mạng Client- Server 13 Hình 1.10 Mô hình mạng Peer-to-Peer 14 Hình 1.11 Mô hình OSI 15 Hình 1.12 Các mức độ bảo mật 21 Hình 1.13 Mô hình Firewall cứng 24 Hình 1.14 Mô hình Firewall mềm 24 Hình 1.15 Mô tả luồng liệu vào Internet Intranet 25 Hình 1.16 Mô tả mức độ bảo mật hệ thống mạng 29 Hình 1.17 Mô tả NAT tĩnh mạng LAN Internet 31 Hình 1.18 Bảng NAT động mang LAN 31 Hình 1.19 Mô tả chế PAT 32 Hình 1.20 Sơ đồ ACL điều khiển truy cập mạng.33 Hình 1.21: Mô tả kiến trúc cho NAS/RADIUS/TACACS+/AAA Hình 2.1 Giao diện trang web công ty TNHH Bigdigital Hình 2.2 Sơ đồ mặt công ty Bigdigital Việt Nam 41 Hình 2.3 Sơ đồ mặt tầng tòa nhà 141 Hình 2.4 Sơ đồ mặt tầng tòa nhà 142 Hình 2.5 Sơ đồ mặt tầng tòa nhà 142 37 36 Hình 2.6 Sơ đồ mặt tầng tòa nhà 242 Hình 2.7 Sơ đồ mặt tầng tòa nhà 243 Hình 2.8 Sơ đồ logic hệ thống mạng trung tâm Bigdigital 43 44 Hình 2.9 Sơ đồ vật lý trạng hệ thống mạng công ty 44 Hình 2.10 Sơ đồ mạng đề xuất cho công ty 47 Hình 2.11 Bảng phân bố địa IP Hình 3.1 Giao diện ASDM 47 49 Hình 3.2 Sơ đồ mạng công ty 50 Hình 3.3 Bảng định tuyến R2 52 Hình 3.4 Cấu hình gán địa cho ASA 53 Hình 3.5 Bảng cấu hình NAT cho ASA 54 Hình 3.6 Kiểm tra kết nối từ ASA đến Dmz 58 Hình 3.7 Kiểm tra kết nối từ ASA đến Inside 58 Hình 3.8 Kiểm tra kết nối từ ASA đến Router R2 58 Hình 3.9 Kiểm tra kết nối từ ASA đến Internet 59 Hình 3.10 Kiểm tra kết nối từ DMZ đến Internet59 Hình 3.11 Kiểm tra kết nối từ INSIDE đến Internet 60 Hình 3.12 Kiểm tra kết nối từ DMZ đến Internet60 LỜI NÓI ĐẦU Máy tính mạng máy tính có vai trò quan trọng sống ngày Ngày lĩnh vực cần đến máy tính, máy tính hữu ích với Chính nhờ có máy tính phát triển làm cho khoa học kỹ thuật phát triển vượt bậc, kinh tế phát triển nhanh chóng thần kỳ Cùng với đời phát triển máy tính mạng máy tính vấn đề bảo mật thông tin, ngăn chặn xâm phạm đánh cắp thông tin máy tính thông tin cá nhân mạng máy tính mà ngày có nhiều hacker xâm nhập phá huỷ liệu quan trọng làm thiệt hại đến kinh tế công ty nhà nước Mục tiêu việc nghiên cứu Firewall ASA + Việc nghiên cứu giúp cho khả tự học, tìm hiểu nghiên cứu độc lập ngày tốt + Nghiên cứu hệ thống firewall ASA + Triển khai hệ thống phất hiện, ngăn chặn lưu lượng vào hệ thống cần thiết cho doanh nghiệp có nhu cầu an toàn hệ thống trước hành vi xâm nhập trái phép Trước phát triển internet hiểu biết ngày sâu người việc truy cập phá hoại hệ thống mạng doanh nghiệp, công ty củng theo đà phát triển internet mà tăng lên nhiều + Việc nghiên cứu đáp ứng cho lãnh vực bảo mật an ninh hệ thống + ASA(Adaptive Security Appliance) thiết bị tường lửa mạnh tất ưa chuộng Cisco Chính mục tiêu đề tài nhằm nghiên cứu tìm hiểu cách thức hoạt động,phương pháp cấu hình ứng dụng việc bảo mật hệ thống mạng Kết đạt qua việc nghiên cứu thiết bị hiểu cách thức hoạt động có khả triển khai thiết bị vào số hệ thống mạng Nắm bắt xu em tìm hiểu nghiên cứu thực đề tài “Xây dựng số giải pháp bảo mật cho hệ thống mạng công ty TNHH Bigdigital Việt Nam sử dụng tường lửa ASA” CHƯƠNG 1: CƠ SỞ LÝ THUYẾT 1.1 Mạng máy tính 1.1.1 Lịch sử đời Vào năm 50, hệ thống máy tính đời sử dụng bóng đèn điện tử nên kích thước cồng kềnh tiêu tốn nhiều lượng Việc nhập liệu vào máy tính thực thông qua bìa đục lỗ kết đưa máy in, điều làm nhiều thời gian bất tiện cho người sử dụng Đến năm 60, với phát triển ứng dụng máy tính nhu cầu trao đổi thông tin với nhau, số nhà sản xuất máy tính nghiên cứu chế tạo thành công thiết bị truy cập từ xa tới máy tính họ, dạng sơ khai hệ thống máy tính Đến đầu năm 70, hệ thống thiết bị đầu cuối 3270 IBM đời cho phép mở rộng khả tính toán trung tâm máy tính đến vùng xa Đến năm 70, IBM giới thiệu loạt thiết bị đầu cuối tiết kế chế tạo cho lĩnh vực ngân hàng, thương mại Thông qua dây cáp mạng thiết bị đầu cuối truy cập lúc đến máy tính dùng chung Đến năm 1977, công ty Datapoint Corporation tung thị trường hệ điều hành mạng “Attache Resource Computer Network” (Arcnet) cho phép liên kết máy tính thiết bị đầu cuối lại dây cáp mạng, hệ điều hành mạng 1.1.2 Phân loại mạng máy tính Mạng máy tính tập hợp máy tính kết nối với đường truyền theo cấu trúc thông qua máy tính trao đổi thông tin qua lại cho Đường truyền hệ thống thiết bị truyền dẫn có dây (Wired Transmisson Media), không dây (Wireless Transmisson Media) dùng đểchuyển tín hiệu điện tử từ máy sang máy khác Các tín hiệu điện tử giá trị 10 ASA (config-if)# interface GigabitEthernet1 ASA (config-if)# nameif inside ASA (config-if)# security-level 100 ASA (config-if)# ip address 10.0.0.1 255.255.255.0 ASA (config-if)# no shutdown ASA (config-if)# interface GigabitEthernet2 ASA (config-if)# nameif dmz ASA (config-if)# security-level 50 ASA (config-if)# ip address 172.16.1.1 255.255.255.0 ASA (config-if)# no shutdown Hiển thị lệnh : Show ip Hình 3.4 Cấu hình gán địa cho ASA 3.2.3.2 DMZ Internet ASA # Object network DMZ 75 ASA (config-if)# subnet 172.16.1.0 255.255.255.0 ASA # access-list outside_access_in extended permit icmp any any echoreply log disable ASA # access-list DMZ_access_in extended permit ip any any ASA # object network DMZ ASA (config-if)# nat (any,outside) dynamic interface ASA # access-group outside_access_in in interface outside ASA # access-group DMZ_access_in in interface DMZ 3.2.3.3 Vùng INSIDE Internet ASA # object network inside ASA (config-if)# subnet 10.0.0.0 255.255.255.0 ASA # access-list inside_access_in extended permit ip any any ASA # access-list DMZ_access_in extended permit ip any any ASA # object network inside ASA (config-if)# nat (any,outside) dynamic interface ASA # access-group inside_access_in in interface inside 3.2.3.4 Máy khách Internet truy cập WebServer ASA(config)# object network DMZ_SERVER ASA(config-network-object)# host 172.16.1.4 ASA(config-network-object)# nat (dmz,outside1) static 50.0.0.4 ASA(config)# access-list OUTSIDE_INBOUND extended permit ip any object DMZ_SERVER ASA(config)# access-list OUTSIDE_INBOUND extended deny ip any any ASA(config)# access-group OUTSIDE_INBOUND in interface outside 76 Hình 3.5 Bảng cấu hình NAT cho ASA 3.2.3.5 Vùng Inside truy cập WebServer ASA(config)#access-list inside-dmz permit ip 10.0.0.0 255.255.255.0 host 172.16.1.4 ASA(config)#access-list inside-dmz permit ip 10.0.1.0 255.255.255.0 host 172.16.1.5 ASA(config)#nat (inside) access-list inside-dmz 3.2.4 Cấu hình đầy đủ ASA ASA Version 8.4(2) ! hostname ASA enable password 8Ry2YjIyt7RRXU24 encrypted passwd 2KFQnbNIdI.2KYOU encrypted names ! interface GigabitEthernet0 77 description connection to internet nameif outside security-level ip address 192.168.1.1 255.255.255.0 ! interface GigabitEthernet1 description connection to inside nameif inside security-level 100 ip address 10.0.0.1 255.255.255.0 ! interface GigabitEthernet2 description connection to DMZ nameif DMZ security-level 50 ip address 172.16.1.1 255.255.255.0 ! interface GigabitEthernet3 shutdown no nameif no security-level no ip address ! ftp mode passive object network dmz subnet 172.16.1.0 255.255.255.0 object network inside subnet 10.0.0.0 255.255.255.0 78 object network outside subnet 192.168.10.0 255.255.255.0 access-list outside_access_in extended permit ip any any pager lines 24 mtu outside 1500 mtu inside 1500 mtu DMZ 1500 icmp unreachable rate-limit burst-size no asdm history enable arp timeout 14400 ! object network dmz nat (DMZ,outside) dynamic interface object network inside nat (inside,outside) dynamic interface access-group outside_access_in in interface outside route outside 0.0.0.0 0.0.0.0 192.168.1.2 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute timeout tcp-proxy-reassembly 0:01:00 timeout floating-conn 0:00:00 dynamic-access-policy-record DfltAccessPolicy user-identity default-domain LOCAL 79 http server enable http 0.0.0.0 0.0.0.0 inside no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart warmstart telnet timeout ssh timeout console timeout threat-detection basic-threat threat-detection statistics access-list no threat-detection statistics tcp-intercept webvpn username admin password eY/fQXw7Ure8Qrz7 encrypted privilege 15 ! ! prompt hostname context no call-home reporting anonymous call-home profile CiscoTAC-1 no active destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService destination address email callhome@cisco.com destination transport-method http subscribe-to-alert-group diagnostic subscribe-to-alert-group environment subscribe-to-alert-group inventory periodic monthly 80 subscribe-to-alert-group configuration periodic monthly subscribe-to-alert-group telemetry periodic daily crashinfo save disable ! Cryptochecksum:885b4bb8f3542099c4a89181d4ebf079 : end 81 3.2.5 Kết đạt 3.2.5.1 Kiếm tra kết nối từ ASA tới vùng hệ thống mạng + Kiểm tra kết nối từ ASA đến Dmz Hình 3.6 Kiểm tra kết nối từ ASA đến Dmz + Kiểm tra kết nối từ ASA đến Inside Hình 3.7 Kiểm tra kết nối từ ASA đến Inside 82 + Kiểm tra kết nối từ ASA đến Router R2 Hình 3.8 Kiểm tra kết nối từ ASA đến Router R2 + Kiểm tra kết nối từ ASA đến Internet 83 Hình 3.9 Kiểm tra kết nối từ ASA đến Internet + Kiểm tra kết nối từ DMZ đến Internet 84 Hình 3.10 Kiểm tra kết nối từ DMZ đến Internet + Kiểm tra kết nối từ INSIDE đến Internet 85 Hình 3.5Kiểm tra kết nối từ INSIDE đến Internet + Kiểm tra kết nối từ DMZ đến Internet 86 Hình 3.12 Kiểm tra kết nối từ DMZ đến Internet 87 KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN Kết đạt Nắm rõ hoạt động tính tường lửa cisco asa Giả lập Firewall ASA phần mềm gns3 Tìm hiểu sâu Firewall ASA để cấu hình tạo thêm luật đáp ứng nhu cầu bảo mật cho hệ thống mạng lớn Từ việc đánh giá mức độ bảo mật, chế an toàn, hỗ trợ giải pháp khác tường lửa ASA đưa lựa chọn phù hợp triển khai, thiết lập tưởng lửa ASA hệ thống mạng vị trí quan trọng, cấu hình chức cần thiết để đem lại kết tốt nhât việc bảo vệ hệ thống Hạn chế Bên cạnh kết đạt được, đề tài số hạn chế chưa đưa mô hình triển khai thực tế phù hợp với tường lửa ASA, chưa thiết lập triển khai để tường lửa ASA đạt hiệu bảo mật tối ưu Hướng phát triển đề tài Tiếp nhận ý kiến giáo viên hướng dẩn ,hội đồng phản biện ý kiến bạn bè để bổ sung chỉnh sửa khắc lại đồ án chỗ chưa hay ,sai sót phát huy mạnh đồ án Tìm hiểu triển khai phương thức xác thực an toàn Cập nhật khắc phục lỗi tường lửa cisco asa Tiếp cận môi trường thực tế,hiện thực mô môi trường thiết bị thật Triển khai mô hình mạng hoàn chỉnh thực tế đáp ứng nhu cầu công ty doanh nghiệp lớn 88 TÀI LIỆU THAM KHẢO [1] Brandon Carroll, Cisco Access Control Security: AAA Administrative Services Publisher: Cisco Press – 27/5/2004 [2] Jazib Frahim, Omar Santos, Cisco ASA: All-in-one Firewall, IPS and VPN Adaptive Security Appliance Publisher: Cisco Press – 21/10/2005 [3] Dave Hucaby, Cisco ASA and PIX Firewall Handbook Publisher: Cisco Press – 7/1/2005 [4] Jonathan Hassell, RADIUS Publisher: O’Reilly – 10/2002 [5] Wes Noonan, Ido Dubrawsky, Firewall Fundamentals Publisher: Cisco Press - 2/6/2006 [6] RFC 2866: RADIUS Accounting Link: http://www.ietf.org/rfc/rfc2866.txt [7].Cisco ASA: All-in-one Firewall, IPS, Anti-X and VPN Adaptive Security Appliance (Second Edition) by Jazib Frahim, Omar Santos Publisher: Cisco Press – 21/10/2005 89 ... tài Xây dựng số giải pháp bảo mật cho hệ thống mạng công ty TNHH Bigdigital Việt Nam sử dụng tường lửa ASA CHƯƠNG 1: CƠ SỞ LÝ THUYẾT 1.1 Mạng máy tính 1.1.1 Lịch sử đời Vào năm 50, hệ thống. .. vụ thư điện tử)… 1.2 Bảo mật mạng máy tính 1.2.1 Định nghĩa bảo mật mạng máy tính Bảo mật mạng đảm bảo an toàn toàn hệ thống mạng trước hoạt động nhằm công phá hoại hệ thống mạng từ bên bên 25... phép sử dụng tài nguyên trái phép ăn cắp thông tin, hoạt động giả mạo nhằm phá hoại tài nguyên mạng sở liệu hệ thống Vấn đề bảo mật mạng vấn đề thiết ta nghiên cứu hệ thống mạng Hệ thống mạng
- Xem thêm -

Xem thêm: Xây dựng một số giải pháp bảo mật cho hệ thống mạng của công ty TNHH bigdigital việt nam sử dụng tường lửa ASA , Xây dựng một số giải pháp bảo mật cho hệ thống mạng của công ty TNHH bigdigital việt nam sử dụng tường lửa ASA , Xây dựng một số giải pháp bảo mật cho hệ thống mạng của công ty TNHH bigdigital việt nam sử dụng tường lửa ASA

Từ khóa liên quan

Gợi ý tài liệu liên quan cho bạn

Nhận lời giải ngay chưa đến 10 phút Đăng bài tập ngay