1
Mục lục
A.Tổng quan về đề tài 2
B. Cấu trúc của đề tài 3
I.Tổng quan về an ninh mạng: 4
1.Mục tiêu an ninh mạng 4
2.Các phương thức tấn công 4
3. Các chính sách an ninh mạng 8
II. Radius 13
1. Tổng quan về Radius: 13
2. Kiến trúc RADIUS: 18
3. Hoạt động: 31
4. RFCs: 34
III. ASA 39
1. Lịch sử ra đời. 39
2. Các sản phẩm tường lửa của Cisco: 40
3. Điều khiển truy cập mạng (NAC) 40
4. Giao thức AAA và dịch vụ hỗ trợ của Cisco ASA 45
5. Kiểm tra ứng dụng 53
6. Khả năng chịu lỗi và dự phòng (failover and redundancy) 54
7. Chất lượng dịch vụ (QoS) 56
8. Phát hiện xâm nhập (IDS) 57
IV. Mô phỏng 61
1. Mục tiêu của mô phỏng 61
2. Mô hình mô phỏng 61
3. Các công cụ cần thiết để thực hiện mô phỏng 61
4. Các bước mô phỏng 62
5. Kết quả đạt được 71
V.KẾT LUẬN CHUNG 72
VI.HƯỚNG PHÁT TRIỂN CỦA ĐỀ TÀI 73
Mục lục hình vẻ
GVHD: THS Nguyễn Đức Quang
SVTH:Nguyễn Đắc Nguyên Long MSSV:106102078
Lê Hoàng Long MSSV:106102079
2
A.Tổng quan về đề tài
Mục tiêu của việc nghiên cứu về Firewall ASA
+ Việc nghiên cứu giúp cho khả năng tự học ,tìm hiểu và nghiên cứu độc lập ngày
càng tốt hơn
+ Nghiên cứu về hệ thống firewall ASA.
+ Triển khai hệ thống phất hiện, ngăn chặn các lưu lượng ra vào của hệ thống là sự
cần thiết cho các doanh nghiệp có nhu cầu về sự an toàn của hệ thống trước những hành
vi xâm nhập trái phép. Trước sự phát triển của internet và sự hiểu biết của ngày càng sâu
của con người thì việc truy cập và phá hoại hệ thống mạng của một doanh nghiệp ,công
ty nào đó củng theo đà phát triển của internet mà tăng lên rất nhiều.
+ Việc nghiên cứu này đáp ứng cho lãnh vực bảo mật và an ninh của hệ thống.
+ ASA(Adaptive Security Appliance) là một thiết bị tường lửa mạnh tất cả trong một
và được ưa chuộng nhất hiện nay của Cisco.Chính vì vậy mục tiêu của đề tài này là
nhằm nghiên cứu và tìm hiểu cách thức hoạt động,phương pháp cấu hình và ứng dụng
của nó trong việc bảo mật hệ thống mạng.Kết quả đạt được qua việc nghiên cứu thiết bị
này là hiểu được cách thức hoạt động và có khả năng triển khai thiết bị này vào trong
một số hệ thống mạng bất kỳ.
+Nghiên cứu về AAA server.
+Nghiên cứu về cách tổ chức giám sát hoạt động của người dùng cuối như thời gian
bắt đầu hay kết thúc của người dùng (accounting).Bảo mật là vấn đề rất quan trọng.Với
mức độ điều khiển, thật dễ dàng để cài đặt bảo mật và quản trị mạng. có thể định nghĩa
các vai trò (role) đưa ra cho user những lệnh mà họ cần để hoàn thành nhiệm vụ của họ
và theo dõi những thay đổi trong mạng. Với khả năng log lại các sự kiện, ta có thể có
GVHD: THS Nguyễn Đức Quang
SVTH:Nguyễn Đắc Nguyên Long MSSV:106102078
Lê Hoàng Long MSSV:106102079
3
những sự điều chỉnh thích hợp với từng yêu cầu đặt ra.
Tất cả những thành phần này là cần thiết để duy trì tính an toàn, bảo mật cho mạng. Với
thông tin thu thập được, có thể tiên đoán việc cập nhật cần thiết theo thời gian. Yêu cầu
bảo mật dữ liệu, gia tăng băng thông, giám sát các vấn đề trên mạng thông AAA server.
B. Cấu trúc của đề tài.
Đề tài được chia làm 6 phần.
I. Tổng quan về an ninh mạng
Chương này mô tả về các nguy cơ an ninh mạng và các chính sách an ninh nhằm
đem lại hiệu qua cho việc bảo mật dữ liệu làm giảm nguy cơ hoặc phát hiện ra sự tấn
công.
II. Radius
Chương này mô tả về kỹ thuật sử dụng để xác thực,ủy quyền,thanh toán nhằm
đem lại hiểu quả cao cho an ninh mạng toàn vẹn và tránh thất thoát dữ liệu.
III. ASA
Chương này giới thiệu về tường lủa cisco asa ,các kỹ thuật được áp dụng cho
tường lửu .
IV. Mô phỏng.
Chương này mô tả quá trình hiện thực cisco asa với mô hình mạng cụ thể cho
thấy tính thực tế và kiểm nghiệm đúng lý thuyết của đề tài này.Chỉ rõ chi tiết quá trình
thực nghiệm.
V. Kết luận chung.
Chương này nêu ra những kết quả của đề tài làm được những gì và những mặc
hạn chế khó khăn chưa thực hiện được của đề tài.
VI. Hướng phát triển của đề tài.
GVHD: THS Nguyễn Đức Quang
SVTH:Nguyễn Đắc Nguyên Long MSSV:106102078
Lê Hoàng Long MSSV:106102079
4
I.Tổng quan về an ninh mạng:
1.Mục tiêu an ninh mạng
Việc phát triển ngày càng tăng của mạng internet do sự thuận tiện mà nó đem lại cho
con người tuy nhiên cũng kéo theo nhiều mối nguy hiểm rình rập của những hacker
mạng. Đảm bảo cho người dùng được an toàn khi làm việc trên mạng là mục tiêu hàng
đầu của an ninh mạng:
Bảo đảm mạng nội bộ không bị xâm nhập trái phép.
Các tài liệu và thông tin quan trọng không bị rò rỉ và bị mất.
Các dịch vụ được thực hiện nhanh chóng không bị trì trệ hoặc không được thực
hiện.
Các cuộc mua bán trên mạng diễn ra đúng với yêu cầu người dùng.
Người dùng làm việc trên mạng không bị mạo danh, lừa đảo.
2.Các phương thức tấn công
Virus
Worm
Trojan
Từ chối dịch vụ
Phân phối từ chối dịch vụ
Zombies
Spyware
Phishing
Dựa vào yếu tố con người
2.1 Virus
Một virus máy tính được thiết kế để tấn công một máy tính và thường phá các máy tính
khác và các thiết bị mạng. Một virus thường có thể là một tập tin đính kèm trong e-mail,
và chọn các tập tin đính kèm có thể gây ra các mã thực thi để chạy và tái tạo virus. Một
virus phải được thực hiện hoặc chạy trong bộ nhớ để chạy và tìm kiếm các chương trình
khác hoặc máy chủ để lây nhiễm và nhân rộng. Như tên của nó, virus cần một máy chủ
như là một bảng tính hoặc e-mail để đính kèm, lây nhiễm, và nhân rộng. Có một số hiệu
ứng chung của vi rút. Một số virus lành tính, và chỉ cần thông báo cho nạn nhân của họ
rằng họ đã bị nhiễm bệnh. Các virus ác tính tạo ra sự hủy hoại bằng cách xóa các tập tin
GVHD: THS Nguyễn Đức Quang
SVTH:Nguyễn Đắc Nguyên Long MSSV:106102078
Lê Hoàng Long MSSV:106102079
5
và nếu không thì gây ra lỗi cho các máy tính bị nhiễm có chứa tài sản kỹ thuật số, chẳng
hạn như hình ảnh, tài liệu, mật khẩu, và các bản báo cáo tài chính.
2.2 Worm
Worm là một chương trình phá hoại quét các điểm yếu hoặc lỗ hổng bảo mật trên
các máy tính khác để khai thác các điểm yếu và nhân rộng.Worm có thể tái tạo độc lập
và rất nhanh chóng.
Worm khác với virus trong hai cách chính:
Virus cần một máy chủ để đính kèm và thực hiện, và sâu không yêu cầu một máy
chủ.Virus và sâu thường gây ra các loại khác nhau của sự hủy diệt.
Virus, một khi chúng đang cư trú trong bộ nhớ, thường xóa và sửa đổi các tập tin
quan trọng trên máy tính bị nhiễm bệnh. Tuy nhiên, Worms có xu hướng mạng trung
tâm hơn so với máy tính trung tâm. Worms có thể tái tạo một cách nhanh chóng bằng
cách bắt đầu kết nối mạng để nhân rộng và gửi số lượng lớn dữ liệu. Worms cũng có thể
chứa một hành khách mang theo, hoặc trọng tải dữ liệu, mà có thể giao một máy tính
mục tiêu cho các trạng thái của một zombie. Zombie là một máy tính có bị xâm phạm và
hiện đang được kiểm soát bởi những kẻ tấn công mạng. Zombies thường được sử dụng
để khởi động các cuộc tấn công mạng khác. Một bộ sưu tập lớn các zombie dưới sự điều
khiển của kẻ tấn công được gọi là một "botnet". Botnets có thể phát triển được khá lớn.
Botnet được xác định đã lớn hơn 100.000 máy tính zombie.
2.3 Trojan horse
Một con ngựa Trojan, hoặc Trojan, là phần mềm nguy hại tìm cách ngụy trang chính
nó như là một ứng dụng đáng tin cậy như là một trò chơi hoặc trình bảo vệ màn hình.
Một khi người dùng tin cậy cố gắng để truy cập những gì có vẻ là một trò chơi vô
thưởng vô phạt hoặc trình bảo vệ màn hình, các Trojan có thể bắt đầu các hoạt động gây
tổn hại như xóa các tập tin hoặc định dạng lại một ổ đĩa cứng. Trojan thường không tự
sao chép.Những kẻ tấn công mạng cố gắng sử dụng các ứng dụng phổ biến, chẳng hạn
như iTunes của Apple, để triển khai một Trojan. Ví dụ, một cuộc tấn công mạng sẽ gửi
một e-mail với một liên kết có mục đích để tải về một bài hát iTunes miễn phí. Trojan
GVHD: THS Nguyễn Đức Quang
SVTH:Nguyễn Đắc Nguyên Long MSSV:106102078
Lê Hoàng Long MSSV:106102079
6
này sau đó sẽ bắt đầu một kết nối đến một máy chủ web bên ngoài và bắt đầu một cuộc
tấn công một khi người dùng cố gắng để tải về các bài hát miễn phí rõ ràng.
2.4 Từ chối dịch vụ.
Một cuộc tấn công từ chối dịch vụ (DoS) là một cuộc tấn công mạng có kết quả
trong việc từ chối dịch vụ bằng một ứng dụng yêu cầu như là một máy chủ web. Có một
vài cơ chế để tạo ra một cuộc tấn công DoS. Các phương pháp đơn giản nhất là tạo ra
một lượng lớn những gì xuất hiện để được giao thông mạng hợp lệ. Đây là loại tấn công
DoS mạng cố gắng để làm nghẽn các ống dẫn lưu lượng truy cập mạng để sử dụng hợp
lệ không thể có được thông qua kết nối mạng. Tuy nhiên, loại DoS thông thường cần
phải được phân phối bởi vì nó thường đòi hỏi nhiều hơn một nguồn để tạo ra các cuộc
tấn công.Một cuộc tấn công DoS lợi dụng thực tế là hệ thống mục tiêu như các máy chủ
phải duy trì thông tin trạng thái và có thể có kích thước bộ đệm và dự kiến nội dung gói
tin mạng cho các ứng dụng cụ thể. Một cuộc tấn công DoS có thể khai thác lỗ hổng này
bằng cách gửi các gói có giá trị kích cỡ và dữ liệu mà không như mong đợi của các ứng
dụng nhận được.Một số loại tấn công DoS tồn tại, bao gồm các cuộc tấn công Teardrop
và Ping of Death, mà gửi các gói thủ công mạng khác nhau từ những ứng dụng dự kiến
và có thể gây ra sụp đổ các ứng dụng và máy chủ. Những cuộc tấn công DoS trên một
máy chủ không được bảo vệ, chẳng hạn như một máy chủ thương mại điện tử, có thể
gây ra các máy chủ bị lỗi và ngăn chặn người dùng bổ sung thêm hàng vào giỏ mua sắm
của họ.
2.5. Distributed Denial-of-Service
DDoS tương tự như trong ý định của cuộc tấn công DoS, ngoại trừ cuộc tấn công
DDoS tạo ra nhiều nguồn tấn công. Ngoài ra để tăng lượng truy cập mạng từ nhiều kẻ
tấn công phân phối, một cuộc tấn công DDoS cũng đưa ra những thách thức của yêu cầu
bảo vệ mạng để xác định và ngăn chặn mỗi kẻ tấn công phân phối.
2.6. Spyware
GVHD: THS Nguyễn Đức Quang
SVTH:Nguyễn Đắc Nguyên Long MSSV:106102078
Lê Hoàng Long MSSV:106102079
7
Spyware là một lớp các ứng dụng phần mềm có thể tham gia vào một cuộc tấn công
mạng. Spyware là một ứng dụng cài đặt và vẫn còn để ẩn trên máy tính hoặc máy tính
xách tay mục tiêu. Một khi các ứng dụng phần mềm gián điệp đã được bí mật cài đặt,
phần mềm gián điệp bắt thông tin về những gì người dùng đang làm với máy tính của
họ. Một số thông tin bị bắt bao gồm các trang web truy cập, e-mail gửi đi, và mật khẩu
sử dụng. Những kẻ tấn công có thể sử dụng các mật khẩu và thông tin bắt được để đi
vào được mạng để khởi động một cuộc tấn công mạng.
Ngoài việc được sử dụng để trực tiếp tham gia vào một cuộc tấn công mạng, phần
mềm gián điệp cũng có thể được sử dụng để thu thập thông tin có thể được bán một
cách bí mật. Thông tin này, một lần mua, có thể được sử dụng bởi một kẻ tấn công khác
đó là "khai thác dữ liệu" để sử dụng trong việc lập kế hoạch cho một cuộc tấn công
mạng khác.
2.7. Phishing
Phishing là một kiểu tấn công mạng thường bắt đầu bằng cách gửi e-mail để người
dùng không nghi ngờ. Các e-mail lừa đảo cố gắng để trông giống như một thư điện tử
hợp pháp từ một tổ chức được biết đến và đáng tin cậy như là một trang web ngân hàng,
thương mại điện tử. E-mail giả này cố gắng thuyết phục người dùng rằng một việc gì đó
đã xảy ra, chẳng hạn như hoạt động đáng ngờ về tài khoản của họ, và người sử dụng
phải thực hiện theo các liên kết trong e-mail và đăng nhập vào trang web để xem thông
tin người dùng của họ. Các liên kết trong e-mail này thường là một bản sao giả của ngân
hàng hoặc trang web thương mại điện tử thực sự và các tính năng tương tự nhìn-và-cảm
nhận các trang web thực sự. Các cuộc tấn công lừa đảo được thiết kế để lừa người dùng
cung cấp thông tin có giá trị như tên người dùng và mật khẩu của họ.
2.8. Dựa vào yếu tố con người
Kẻ tấn công có thể liên lạc với một người quản trị hệ thống, giả làm một người sử
dụng để yêu cầu thay đổi mật khẩu, thay đổi quyền truy nhập của mình đối với hệ
thống, hoặc thậm chí thay đổi một số cấu hình của hệ thống để thực hiện các phương
pháp tấn công khác.Với kiểu tấn công này không một thiết bị nào có thể ngăn chặn một
cách hữu hiệu, và chỉ có một cách giáo dục người sử dụng mạng nội bộ về những yêu
GVHD: THS Nguyễn Đức Quang
SVTH:Nguyễn Đắc Nguyên Long MSSV:106102078
Lê Hoàng Long MSSV:106102079
8
cầu bảo mật để đề cao cảnh giác với những hiện tượng đáng nghi.Nói chung yếu tố con
người là một điểm yếu trong bất kỳ một hệ thống bảo vệ nào, và chỉ có sự giáo dục cộng
với tinh thần hợp tác từ phía người sử dụng có thể nâng cao được độ an toàn của hệ
thống bảo vệ
3. Các chính sách an ninh mạng
Hai hình thức chính sách bảo mật có liên quan đến bức tường lửa:
Các chính sách an ninh văn bản (đôi khi được gọi là các chính sách an ninh thông
tin) để xác định những mục tiêu an ninh cho các tổ chức (bao gồm cả tường lửa của họ)
Các chính sách quản lý và lọc nguồn và đích (đôi khi được gọi là chính sách tường
lửa hoặc thiết lập quy tắc tường lửa) để xác định cấu hình thực tế của thiết bị.
3.1. Các chính sách an ninh văn bản
Chính sách an ninh văn bản tồn tại để cung cấp một lộ trình cấp cao về những gì cần
phải được thực hiện để đảm bảo rằng tổ chức này có một chiến lược an ninh được xác
định tốt và ngoài sức tưởng tượng. Đó là một quan niệm sai lầm phổ biến mà một tổ
chức có một chính sách an ninh. Trong thực tế, chính sách bảo mật tổng thể của một tổ
chức thường bao gồm nhiều chính sách bảo mật cá nhân, mà được ghi vào địa chỉ mục
tiêu cụ thể, thiết bị, hoặc các sản phẩm.
Mục tiêu của một chính sách an ninh là xác định những gì cần phải được bảo vệ,
những người có trách nhiệm bảo vệ, và trong một số trường hợp như thế nào bảo vệ sẽ
xảy ra. Chức năng này cuối cùng thường tách ra thành một tài liệu thủ tục độc lập như
lọc nguồn, lọc đích, hoặc quản lý truy. Tóm lại, các chính sách bảo mật đơn giản và
chính xác nên vạch ra những yêu cầu cụ thể, quy tắc, và mục tiêu đó phải được đáp ứng,
để cung cấp một phương pháp đo lường của đặc điểm an ninh được chứng thực của tổ
chức.
Để giúp đảm bảo rằng các chính sách bảo mật sẽ làm được điều này, suy nghĩ của
tường lửa trong điều khoản của các lớp bảo mật, với mỗi lớp có một lĩnh vực cụ thể của
hoạt động. Hình 1-1 minh họa các lớp của tường lửa. Như hình bên dưới cho thấy, các
bức tường lửa được chia thành bốn thành phần riêng biệt.
GVHD: THS Nguyễn Đức Quang
SVTH:Nguyễn Đắc Nguyên Long MSSV:106102078
Lê Hoàng Long MSSV:106102079
Truy cập vật lý
Truy cập quản trị
Nâng cấp phần mềm
Tập tin cấu hình
Các giao thức định tuyến
Truy cập vào mạng
tường lửa bảo vệ
Toàn vẹn vật lý
tường lửa
Cấu hình tường lửa
tĩnh
Cấu hình tường lửa
động
Lưu lượng mạng qua tường
lửa
9
Hình 1-1: Các lớp bảo mật tường lửa.
Tại trung tâm là các lớp toàn vẹn vật lý của tường lửa, mà chủ yếu là liên quan tới
các quyền truy cập vật lý vào tường lửa, để đảm bảo quyền truy cập vật lý vào thiết bị,
chẳng hạn như thông qua một kết nối cứng là cổng console.
Lớp tiếp theo là cấu hình tường lửa tĩnh, mà chủ yếu là liên quan tới truy cập vào các
phần mềm tường lửa được cấu hình tĩnh đang chạy (ví dụ, các hệ điều hành PIX và cấu
hình khởi động). Tại lớp này, chính sách bảo mật cần tập trung vào việc xác định các
hạn chế sẽ được yêu cầu để hạn chế truy cập quản trị, bao gồm cả bản cập nhật phần
mềm thực hiện và cấu hình tường lửa.
Lớp thứ ba là cấu hình tường lửa động, trong đó bổ sung các cấu hình tĩnh bằng việc
có liên quan tới cấu hình động của tường lửa thông qua việc sử dụng các công nghệ như
giao thức định tuyến, lệnh ARP, giao diện và tình trạng thiết bị, kiểm toán, nhật ký, và
các lệnh tránh. Mục tiêu của chính sách an ninh tại điểm này là để xác định các yêu cầu
xung quanh những gì các loại cấu hình động sẽ được cho phép.
Cuối cùng là lưu lượng mạng qua tường lửa, mà là thực sự những gì mà tường lửa
tồn tại để bảo vệ tài nguyên. Lớp này là có liên quan tới chức năng như ACL và thông
tin dịch vụ proxy. Các chính sách an ninh ở lớp này có trách nhiệm xác định các yêu cầu
như chúng liên quan đến lưu lượng đi qua tường lửa.
Định dạng chính sách an ninh:
Để thực hiện các mục tiêu được xác định trước đó, hầu hết các chính sách bảo mật
tuân theo một định dạng hoặc bố trí cụ thể và các chia sẻ yếu tố thông thường. Nói
chung, hầu hết các chính sách an ninh chia sẻ bảy phần:
• Tổng quan: Phần tổng quan cung cấp một giải thích ngắn gọn về những địa chỉ
chính sách.
• Mục đích: phần mục đích giải thích tại sao chính sách là cần thiết.
GVHD: THS Nguyễn Đức Quang
SVTH:Nguyễn Đắc Nguyên Long MSSV:106102078
Lê Hoàng Long MSSV:106102079
10
• Phạm vi: Phần phạm vi xác định chính sách áp dụng cho những gì và xác định
người chịu trách nhiệm về chính sách.
• Chính sách: phần chính sách là bản thân chính sách thực tế.
• Thực thi: Phần thực thi định nghĩa cách chính sách cần được thực thi và các hậu
quả của việc không theo các chính sách.
• Định nghĩa: Phần định nghĩa bao gồm các định nghĩa của các từ hoặc khái niệm
được sử dụng trong chính sách.
• Xem lại lịch sử: Phần xem lại lịch sử là nơi mà các thay đổi chính sách được ghi
lại và theo dõi.
Mỗi tổ chức có yêu cầu an ninh riêng biệt và do đó có chính sách bảo mật riêng độc
đáo của họ. Tuy nhiên, hầu hết không phải tất cả các môi trường đòi hỏi một số chính
sách an ninh chung, bao gồm:
• Chính sách quản lý truy cập
• Chính sách lọc
• Chính sách định tuyến
• Chính sách Remote-access/VPN
• Chính sách giám sát / ghi nhận
• Chính sách vùng phi quân sự (DMZ)
• Chính sách có thể áp dụng thông thường
3.2. Chính sách quản lý truy cập:
Chính sách quản lý truy cập tồn tại để xác định các phương pháp cho phép và cách
truy cập quản lý tường lửa. Chính sách này có xu hướng giải quyết sự toàn vẹn vật lý
tường lửa và lớp bảo mật cấu hình tường lửa tĩnh. Các chính sách quản lý truy cập cần
phải định nghĩa cho cả hai giao thức quản lý từ xa và cục bộ sẽ được cho phép, cũng
như đó người dùng có thể kết nối với tường lửa và có quyền truy cập để thực hiện
những tác vụ.
Ngoài ra, các chính sách quản lý truy cập cần xác định các yêu cầu đối với các giao
thức quản lý như Network Time Protocol (NTP), syslog, TFTP, FTP, Simple Network
Management Protocol (SNMP), và bất kỳ giao thức khác có thể được sử dụng để quản
lý và duy trì thiết bị.
3.3. Chính sách lọc:
Thay vì định nghĩa bộ quy tắc thực tế tường lửa sẽ sử dụng, các chính sách lọc cần
phải chỉ và xác định chính xác các loại lọc mà phải được sử dụng và nơi lọc được áp
GVHD: THS Nguyễn Đức Quang
SVTH:Nguyễn Đắc Nguyên Long MSSV:106102078
Lê Hoàng Long MSSV:106102079
11
dụng. Chính sách này có xu hướng để giải quyết cấu hình tường lửa tĩnh và chi tiết trong
lớp lưu lượng mạng qua tường lửa. Ví dụ, một chính sách lọc tốt cần phải yêu cầu cả hai
lối vào và đi ra bộ lọc được thực hiện với các bức tường lửa. Các chính sách lọc cũng
cần xác định các yêu cầu chung trong việc kết nối mạng cấp độ bảo mật và nguồn khác
nhau. Ví dụ, với một DMZ, tùy thuộc vào hướng của lưu lượng, các yêu cầu lọc khác
nhau có thể cần thiết, và nó là vai trò của các chính sách lọc để xác định những yêu cầu.
3.4. Chính sách định tuyến:
Các chính sách định tuyến thường không phải là một tài liệu tường lửa trung tâm.
Tuy nhiên, với thiết kế chu vi phức tạp hơn cũng như sử dụng ngày càng tăng của các
bức tường lửa trong mạng nội bộ, tường lửa có thể dễ dàng trở thành một phần của cơ
sở hạ tầng định tuyến. Các chính sách định tuyến cần phải có một phần có quy định cụ
thể bao gồm một tường lửa trong các cơ sở hạ tầng định tuyến và định nghĩa các
phương thức trong đó các định tuyến sẽ xảy ra. Chính sách này có xu hướng để giải
quyết các lớp cấu hình tường tĩnh lửa và cấu hình động tường lửa. Trong hầu hết trường
hợp, các chính sách định tuyến nên ngăn cấm firewall một cách rõ ràng từ việc chia sẻ
bảng định tuyến mạng nội bộ với bất kỳ nguồn bên ngoài. Tương tự như vậy, các chính
sách định tuyến cần xác định các trường hợp trong đó các giao thức định tuyến động và
tuyến đường tĩnh là phù hợp. Các chính sách cũng nên xác định bất kỳ cơ chế bảo mật
giao thức cụ thể cần phải được cấu hình, (ví dụ, việc sử dụng thuật toán băm để đảm
bảo chỉ các nút được chứng thực có thể vượt qua dữ liệu định tuyến).
3.5. Chính sách Remote-access/VPN
Trong lĩnh vực hội tụ hiện nay, sự khác biệt giữa tường lửa và bộ tập trung VPN đã
ngày càng trở nên mờ nhạt. Hầu hết các thị trường tường lửa lớn có thể phục vụ như là
điểm kết thúc cho VPN, và do đó chính sách remote-access/VPN cần thiết xác định các
yêu cầu về mức độ mã hóa và xác thực rằng một kết nối VPN sẽ yêu cầu. Trong nhiều
trường hợp, các chính sách VPN kết hợp với chính sách mã hóa của tổ chức xác định
phương pháp VPN tổng thể sẽ được sử dụng. Chính sách này có xu hướng để giải quyết
các lớp cấu hình tường lửa tĩnh và lưu lượng mạng qua tường lửa.
GVHD: THS Nguyễn Đức Quang
SVTH:Nguyễn Đắc Nguyên Long MSSV:106102078
Lê Hoàng Long MSSV:106102079
12
Các chính sách remote-access/VPN cũng cần xác định các giao thức sẽ được sử
dụng: IP Security (IPsec), Layer 2 Tunneling Protocol (L2TP), hoặc Point-to-Point
Tunneling Protocol (PPTP). Trong hầu hết trường hợp, IPsec được sử dụng riêng biệt.
Giả sử IPsec, chính sách remote-access/VPN cần phải yêu cầu sử dụng của các
preshared keys, chứng thực mở rộng, với việc sử dụng giấy chứng nhận, mật khẩu một
lần, và Public Key Infrastructure (PKI) cho môi trường an toàn nhất. Tương tự như vậy,
các chính sách remote-access/VPN nên xác định những khách hàng sẽ được sử dụng (có
nghĩa là, trong xây dựng- Microsoft VPN Client, Cisco Secure VPN Client, vv).
Cuối cùng, các chính sách remote-access/VPN cần xác định các loại truy cập và các
nguồn lực sẽ được cung cấp để kết nối từ xa và các loại kết nối từ xa sẽ được cho phép.
3.6. Chính sách giám sát / ghi nhận:
Một trong những yếu tố quan trọng nhất đảm bảo rằng một tường lửa cung cấp mức
bảo mật được mong đợi là thực hiện một hệ thống giám sát tường lửa. Chính sách giám
sát / ghi nhận xác định các phương pháp và mức độ giám sát sẽ được thực hiện. Tối
thiểu, các chính sách giám sát / ghi nhận cần cung cấp một cơ chế để theo dõi hiệu suất
của tường lửa cũng như sự xuất hiện của tất cả các sự kiện liên quan đến an ninh và các
mục đăng nhập. Chính sách này có xu hướng để giải quyết các lớp cấu hình tường lửa
tĩnh.
Chính sách giám sát / ghi nhận cũng nên xác định cách các thông tin phải được thu
thập, duy trì, và báo cáo. Trong nhiều trường hợp, thông tin này có thể được sử dụng để
xác định các yêu cầu quản lý của bên thứ ba và các ứng dụng theo dõi như CiscoWorks,
NetIQ Security Manager, hoặc Kiwi Syslog Daemon.
3.7. Chính sách vùng DMZ:
Các chính sách DMZ là một văn bản diện rộng để xác định tất cả các yếu tố của
không chỉ chính DMZ mà còn các thiết bị trong DMZ. Mục tiêu của chính sách DMZ là
xác định các tiêu chuẩn và yêu cầu của tất cả các thiết bị và kết nối và lưu lượng giao
thông vì nó liên quan đến DMZ. Chính sách này có xu hướng để giải quyết các lớp cấu
hình tường lửa tĩnh và lưu lượng mạng qua tường lửa.
Do sự phức tạp của môi trường DMZ điển hình, các chính sách DMZ là có khả năng
sẽ là một tài liệu lớn nhiều trang. Để giúp đảm bảo rằng các chính sách DMZ thiết thực
GVHD: THS Nguyễn Đức Quang
SVTH:Nguyễn Đắc Nguyên Long MSSV:106102078
Lê Hoàng Long MSSV:106102079
13
và hiệu quả, điển hình là ba tiêu chuẩn cần được xác định rộng rãi cho tất cả các thiết bị
liên quan đến DMZ, kết nối, và lưu lượng giao thông:
• Trách nhiệm quyền sở hữu
• Yêu cầu cấu hình an toàn
• Yêu cầu hoạt động và kiểm soát thay đổi
3.8. Chính sách có thể áp dụng thông thường:
Ngoài các chính sách tường lửa cụ thể, có nhiều chính sách có thể áp dụng thông
thường, mặc dù không phải là tường lửa cụ thể (đã ứng dụng trên nhiều thiết bị, không
chỉ là tường lửa) dù sao cũng nên được áp dụng đối với tường lửa. Chúng bao gồm
những điều sau đây:
Chính sách mật khẩu: chính sách mật khẩu của công ty nên được để cập đến không
chỉ xác định truy cập quản trị tường lửa, mà còn để sử dụng trong việc tạo ra preshared
secrets, bảng băm, và các chuỗi cộng đồng.
Chính sách mã hóa: chính sách mã hóa của công ty nên được đề cập đến để xác định
tất cả các hình thức truy cập mã hóa, bao gồm Hypertext Transfer Protocol, Secure
(HTTPS), Secure Sockets Layer (SSL), Secure Shell (SSH), và truy cập IPsec / VPN.
Chính sách kiểm định: chính sách kiểm định của công ty phải được đề cập để xác
định các yêu cầu kiểm định của tường lửa.
Chính sách đánh giá rủi ro: chính sách đánh giá rủi ro của công ty cần được đề cập
để xác định phương pháp sẽ được sử dụng để xác định các rủi ro liên quan với hệ thống
tất cả thêm, di chuyển, và thay đổi vì nó liên quan đến tường lửa và chu vi mạng trong
toàn thể.
Dưới đây là một số công việc cần thiết cho người quản trị mạng:
• Ghi nhận và xem lại nhật ký tường lửa thường xuyên.
• Tạo ACL đi vào thật chi tiết, cụ thể.
• Bảo vệ vùng DMZ về nhiều phía.
• Thận trọng với lưu lượng ICMP.
• Giữ mọi lưu lượng quản lý firewall được bảo mật.
• Xem lại các quy tắc tường lửa định kỳ.
II. Radius
1. Tổng quan về Radius:
1.1. AAA:
GVHD: THS Nguyễn Đức Quang
SVTH:Nguyễn Đắc Nguyên Long MSSV:106102078
Lê Hoàng Long MSSV:106102079
14
1.1.1. Xác thực (Authentication)
Xác thực là quá trình xác minh danh tính của một người (hoặc của máy tính). Hình
thức phổ biến nhất của xác thực, bằng cách sử dụng một sự kết hợp của ID đăng nhập
và mật khẩu, trong đó kiến thức của mật khẩu là một biểu tượng mà người dùng có xác
thực. Phân phối các mật khẩu, tuy nhiên, phá hủy các phương pháp xác thực, trong đó
nhắc nhở người sáng tạo của các trang web thương mại điện tử và kinh doanh giao dịch
Internet khác để yêu cầu một bộ xác thực mạnh mẽ hơn, đáng tin cậy hơn. Giấy chứng
nhận kỹ thuật số là một trong những giải pháp ở đây, và trong năm đến mười năm tiếp
theo để nó có thể là sử dụng giấy chứng nhận kỹ thuật số như là một phần của cơ sở hạ
tầng khoá công khai (PKI) sẽ trở thành bộ xác thực được ưa thích trên Internet.
Các khía cạnh quan trọng của chứng thực là nó cho phép hai đối tượng duy nhất để
hình thành một mối quan hệ tin cậy - cả hai đều giả định là người dùng hợp lệ. Sự tin
tưởng giữa các hệ thống cho phép cho các chức năng quan trọng như các máy chủ
proxy, trong đó một hệ thống chấp nhận một yêu cầu thay mặt cho một hệ thống khác và
cho phép AAA thực thi nối các mạng không đồng nhất hỗ trợ các loại máy khách và
dịch vụ khác nhau. Mối quan hệ tin tưởng có thể trở nên khá phức tạp.
1.1.2. Ủy quyền (Authorization)
Ủy quyền liên quan đến việc sử dụng một bộ quy tắc hoặc các mẫu để quyết định
những gì một người sử dụng đã chứng thực có thể làm trên hệ thống. Ví dụ, trong
trường hợp của một nhà cung cấp dịch vụ Internet, nó có thể quyết định liệu một địa chỉ
IP tĩnh được cho là trái ngược với một địa chỉ DHCP được giao. Các quản trị hệ thống
định nghĩa những quy tắc này.
Cái gọi là "triển khai thông minh" của các máy chủ AAA có logic rằng sẽ phân tích
yêu cầu và cấp quyền truy cập bất cứ điều gì có thể, có hoặc không phải là toàn bộ yêu
cầu là hợp lệ. Ví dụ, một máy khách quay số kết nối và yêu cầu nhiều liên kết. Một máy
chủ AAA chung chỉ đơn giản là sẽ từ chối toàn bộ yêu cầu, nhưng một sự thực thi thông
minh hơn sẽ xem xét yêu cầu, xác định rằng máy khách chỉ được phép một kết nối dial-
up, và cấp một kênh trong khi từ chối các yêu cầu khác.
1.1.3. Kế toán (Accounting).
GVHD: THS Nguyễn Đức Quang
SVTH:Nguyễn Đắc Nguyên Long MSSV:106102078
Lê Hoàng Long MSSV:106102079
Không có nhận xét nào:
Đăng nhận xét