Professional Documents
Culture Documents
Trước tiên, em xin gởi lời cảm ơn chân thành tới thầy hướng dẫn đồ
án tốt nghiệp của em, Ths. Phan Thanh Toản, người đã tạo mọi điều kiện,
động viên và giúp đỡ em hoàn thành tốt kỳ đồ án này. Trong suốt quá
trình nghiên cứu thầy đã hướng dẫn, giúp đỡ và động viên em rất nhiều.
Sự hiểu biết sâu sắc cũng như kinh nghiệm của thầy chính là tiền đề giúp
em đạt được những thành tựu và kinh nghiệm quý báo.
Xin cám ơn khoa Viễn Thông II của Học viện công nghệ bưu chính
viễn thông đã tạo điều kiện thuận lợi cho em làm việc trên khoa để có thể
tiến hành tốt cho đồ án của em.
Em cũng xin gởi lời cảm ơn đến bạn bè và gia đình đã luôn bên em,
cổ vũ và động viên em những lúc khó khăn để em vượt qua và hoàn thành
tốt đồ án này.
Một lần nữa em xin chân thành cảm ơn thầy cô của trường Học viên
công nghệ Bưu Chính Viễn Thông, đặc biệt là thầy Phan Thanh Toản
người đã tận tình hướng dẫn em. Cuối cùng em xin gởi lời chúc đến quý
thầy cô cùng các bạn sinh viên của trường được dồi dào sức khỏe và thành
công trong công việc.
Em xin chân thành cảm ơn!
i
MỤC LỤC
iii
3.4.3 Tường lửa kiểm soát trạng thái (Statefull Inspection Firewall-SIF) ................ 37
3.5 Các kỹ thuật trên Firewall ......................................................................................... 38
3.5.1 Acess Control List (ACL)................................................................................. 38
3.5.2 NAT .................................................................................................................. 39
3.6 Sơ lượt đôi nét về Firewall Cisco ASA ..................................................................... 40
3.6.1 Dòng sản phẩm ASA Cisco Firewall ................................................................ 40
3.6.2 Giới thiệu dòng sản phẩm Firewall Cisco ASA 5520 ...................................... 41
CHƯƠNG 4: TRIỂN KHAI VPN TRÊN CISCO ASA 5520 ............................................. 44
4.1 Mô hình giả lập ASA trên GNS3 để thực hiện kết nối VPN ..................................... 44
4.2 Chuẩn bị: ................................................................................................................... 44
4.3 Giả định vấn đề .......................................................................................................... 45
4.4 Giải quyết vấn đề ....................................................................................................... 45
KẾT LUẬN ............................................................................................................................. 66
TÀI LIỆU THAM KHẢO...................................................................................................... 73
iv
DANH MỤC HÌNH
v
Hình 3.13: Port trên sản phẩm Firewall Cisco ASA 5520........................................................ 43
Hình 4.1: Mô hình triển khai thiết lập kết nối VPN trên ASA ................................................. 44
Hình 4.2: Mô hình logic thiết lập kết nối VPN được giả lập bằng GNS3 ................................ 44
Hình 4.3: Ping thành công tới địa chỉ 1.1.1.1 ........................................................................... 47
Hình 4.4: Ping tới địa chỉ mạng nội bộ nhưng không thành công ............................................ 47
Hình 4.5: Ping thành công tới địa chỉ 192.168.3.2 sau khi thiết lập kết nối VPN ................... 49
Hình 4.6: Ping 192.168.4.2 và tracert để tìm đường đi tới đích ............................................... 49
Hình 4.7: Thông tin từ “show crypto ikev1 sa detail” .............................................................. 50
Hình 4.8a: Thông tin từ “show crypto ipsec sa detail” ............................................................. 50
Hình 4.8b: Thông tin từ “show crypto ipsec sa detail”(tiếp theo) ............................................ 50
Hình 4.9: Kết quả thu được từ lệnh “Show vpn-sessiomdb l2l” .............................................. 51
Hình 4.10: Kết quả thu được từ lệnh “show crypto isakmp sa detail” ..................................... 51
Hình 4.11a: Kết quả thu được từ lệnh “show crypto ipsec sa detail” trên gateway ................. 52
Hình 4.11b: Kết quả thu được từ lệnh “show crypto ipsec sa detail” trên gateway (tiếp theo) 52
Hình 4.12: Kết quả thu được từ việc dùng wireshark ............................................................... 53
Hình 4.13a: Tiến hành phân tích một gói tin trong wireshark .................................................. 53
Hình 4.13b: Tiến hành phân tích một gói tin trong wireshark (tiếp theo) ................................ 54
Hình 4.14 Lưu đường dẫn và ip máy cài đặt ASDM trên tftp .................................................. 55
Hình 4.15: Tiến hành đưa ASDM vào ASA ............................................................................. 55
Hình 4.16: Nhập username và pass để đăng nhập vào ASDM ................................................. 55
Hình 4.17: Giao diện ASDM .................................................................................................... 56
Hình 4.18: Chọn cổng muốn bật IPsec VPN ............................................................................ 56
Hình 4.19: Hợp thoại tạo Pool Ip để cấp cho Client................................................................. 57
Hình 4.20a: Tạo group policy tại tab Server ............................................................................ 57
Hình 4.20b: Tạo group policy tại tab Split Tunneling.............................................................. 58
Hình 4.21a: Add ipsec remote access Connection profile ........................................................ 59
Hình 4.21b: Add ipsec remote access Connection profile tại tab IKE authentication ............. 59
Hình 4.22: Add user account .................................................................................................... 60
Hình 4.23: Client thực hiện quay VPN với Group: REMOTE-VPN và Host là IP của ASA .. 61
Hình 4.24: Đăng nhập vào kết nối VPN ................................................................................... 61
Hình 4.25: Client VPN thành công sẽ được ASA cấp 1 IP VPN ............................................. 61
Hình 4.26: Kết quả của lệnh “show crypto ikev1 sa” ............................................................... 62
Hình 4.27: Bắt gói tin bằng phần mềm wireshark .................................................................... 63
Hình 4.28: Phân tích một gói tin trong wireshark .................................................................... 64
Hình 4.29: Truy cập thành công từ vùng outside vào vùng dmz.............................................. 64
Hình 4.30: Đường đi từ outside vào vùng dmz ........................................................................ 65
vi
DANH MỤC BẢNG
Bảng 2.1: Bảng so sánh giữa AH và ESP. ................................................................................ 21
Bảng 2.2: Mô ta đặc điểm của DES ......................................................................................... 22
Bảng 2.3 Mô tả đặc điểm của 3DES ......................................................................................... 23
Bảng 2.4 Đặc điểm của AES .................................................................................................... 24
Bảng 2.5: Mô tả các thuật toán trong transform ....................................................................... 24
Bảng 3.1: So sánh các tính năng nổi bật của các dòng ASA thế hệ mới .................................. 41
Bảng 3.2: Giá Firewall asa 5520 .............................................................................................. 41
Bảng 3.3: Các tính năng trên ASA 5520 .................................................................................. 42
Bảng 4.1: Ba phân vùng chính trên ASA ................................................................................. 45
Bảng 4.2: Phân quyền cho từng phân vùng .............................................................................. 45
Bảng 4.3: Các tham số được sử dụng ở Phase1 ........................................................................ 46
Bảng 4.4: Các tham số được sử dụng ở Phase 2 ....................................................................... 46
vii
LỜI MỞ ĐẦU
LỜI MỞ ĐẦU
Như chúng ta đã biết, Internet cho phép chúng ta truy cập tới mọi nơi trên thế
giới thông qua một số dịch vụ. Ngồi trước máy tính chúng ta có thể biết được thông tin
trên toàn cầu, nhưng cũng chính vì thế mà hệ thống máy tính của chúng ta có thể bị xâm
nhập vào bất kỳ lúc nào mà chúng ta không hề được biết trước. Do vậy việc bảo vệ hệ
thống là một vấn đề chúng ta đáng phải quan tâm chính vì thế người ta đã đưa ra khái
niệm Firewall để giải quyết vấn đề này.
Cùng với xu thế toàn cầu hóa, sự mở rộng giao lưu hợp tác quốc tế ngày càng
tăng, quan hệ hợp tác kinh doanh không chỉ dừng lại trong phạm vi một huyện, một tỉnh,
một nước mà còn mở rộng ra toàn thế giới. Một công ty có thể có nhiều chi nhánh, có
các đối tác kinh doanh ở nhiều quốc gia và giữa họ luôn có nhu cầu trao đổi thông tin
với nhau.Vì thế người ta đã nghiên cứu ra những công nghệ mới, đó là giải pháp mạng
riêng ảo được thực thi trên nền internet và đó cũng là một khái niệm bảo mật không xa
lạ khi được tích hợp trên những dòng sản phẩm firewall hiện nay và ASA firewall là một
ví dụ điển hình.
Trên cơ sở đó, em quyết định chọn hướng nghiên cứu đồ án của mình là “Triển
khai giải pháp VPN kết hợp Firewall đảm bảo an ninh hạ tầng mạng”
Mục đích của đồ án là tìm hiểu những vấn đề kỹ thuật cơ bản có liên quan đến việc thực
hiện VPN trên thiết bị Firewall
Bố cục của đồ án gồm 4 chương:
Chương 1: Tổng quan về an ninh mạng
Chương 2: Tổng quan về VPN và các công nghệ VPN
Chương 3: Tổng quan về Firewall và các kỹ thuật trên Firewall
Chương 4: Triển khai giải pháp VPN kết hợp Firewall để đảm bảo an ninh cho
hạ tầng mạng
Công nghệ VPN không phải là một vấn đề mới mẻ trên thế giới và cũng đang được
triển khai rộng rãi ở Việt Nam. Tuy nhiên để có thể triển khai được một cách hoàn chỉnh
thì còn có rất nhiều khó khăn phải giải quyết, đồ án chỉ dừng lại ở mức độ nghiên cứu
lý thuyết và có những phân tích cơ bản.
Em xin gửi lời cảm ơn đến Học Viện Công Nghệ Bưu Chính Viễn Thông, các thầy
trong khoa Viễn Thông đã tạo điều kiện giúp đỡ em trong quá trình học tập. Và đặc biệt
em xin bày tỏ lòng kính trọng và biết ơn sâu sắc đến Ths. Phan Thanh Toản người đã
tận tình hướng dẫn và chỉ bảo em trong quá trình nghiên cứu, xây dựng và hoàn thành
đồ án.
Mặc dù nhận được rất nhiều sự giúp đỡ của thầy hướng dẫn, các thầy trong khoa
viễn thông, nhưng đồ án vẫn còn nhiều chỗ cần phải đầu tư phân tích kĩ. Vì vậy em mong
nhận được những phản hồi từ phía các Thầy. Em xin chân thành cảm ơn!
TP Hồ Chí Minh, tháng 12 năm 2016
Sinh viên thực hiện
1.1 Tình hình an ninh mạng trên Thế giới và Việt Nam những năm gần đây
Hình 1.2: Cuộc khảo sát thực tế về các mối đe doạ từ bên ngoài
Thông tin lấy từ “Cisco 2016 Annual Security Report”
Một số thông tin an ninh trong nước những năm gần đây:
Theo ghi nhận của Techcrunch vào cuối năm 2014, có hơn 730.000 camera giám sát
trên toàn cầu bị theo dõi và bị chia sẻ công khai trên website Insecam.com. Đáng chú ý,
trong danh sách này có hơn 700 camera có nguồn gốc từ Việt Nam và đến nay còn hơn 100
camera. Việc truy cập trái phép có thể diễn ra khá đơn giản bởi rất nhiều người giữ nguyên
tài khoản và mật khẩu mặc định.
Trong điều phối ứng cứu, năm 2015, Trung tâm đã ghi nhận 31.585 sự cố, gồm sự cố
Phishing (lừa đảo), Deface (thay đổi giao diện trang web) và Malware (tấn công bằng mã
độc). Ngoài ra, có tới 1.451.997 lượt địa chỉ IP của Việt Nam nằm trong mạng botnet (mạng
lưới những máy tính bị điều khiển từ xa). So với năm 2014, số lượng sự cố xảy ra năm 2015
tăng 159, 6%.
Cuối tháng 9-2016, 25.000 camera an ninh đã bị khai thác để làm thành mạng lưới botnet
(máy tính ma) nhằm thực hiện cuộc tấn công DDoS vào các website. Bằng hình thức này,
tin tặc đã làm tê liệt những trang web, dịch vụ của các cơ quan chính phủ, ngân hàng trực
tuyến trên nhiều quốc gia.
Hình 1.3: Tính năng quan trọng cần được bảo đảm trong an ninh hệ thống
Một hệ thống mạng nếu hội tụ đủ 3 yếu tố trên thì vấn đề an ninh hạ tầng mạng được đảm
bảo tốt hơn.
1.3.1 Tính bí mật của thông tin (Confidentiality)
− Một số loại thông tin chỉ có giá trị đối với một đối tượng xác định khi chúng không phổ
biến cho các đối tượng khác. Tính bí mật của thông tin là tính giới hạn về đối tượng được
quyền truy xuất đến thông tin. Đối tượng truy xuất có thể là con người, là máy tính hoặc
phần mềm, kể cả phần mềm phá hoại như virus, worm, spyware…
− Ví dụ: các thông tin về chính trị và quân sự luôn được xem là các thông tin nhạy cảm nhất
đối với các quốc gia và được xử lý ở mức bảo mật cao nhất. Các thông tin về hoạt động và
chiến lược kinh doanh của doanh nghiệp, thông tin cá nhân v.v… đều có nhu cầu được giữ
bí mật ở từng mức độ.
1.3.2 Tính toàn vẹn thông tin (Integrity)
− Đặc trưng này đảm bảo sự tồn tại nguyên vẹn của thông tin, loại trừ mọi sự thay đổi thông
tin có chủ đích hoặc hư hỏng, mất mát thông tin do sự cố thiết bị hoặc phần mềm. Tính toàn
vẹn được xét trên 2 khía cạnh: toàn vẹn về nội dung và toàn vẹn về nguồn gốc.
− Ví dụ: Một tờ báo đưa tin về một sự kiện vừa xảy ra tại một cơ quan quan trọng của chính
phủ, có ghi chú rằng nguồn tin từ người phát ngôn của cơ quan đó. Tuy nhiên, nếu tin đó
thật sự không phải do người phát ngôn công bố mà được lấy từ một kênh thông tin khác,
không xét đến việc nội dung thông tin có đúng hay không, ta nói rằng nguồn gốc thông tin
đã không được bảo toàn.
1.3.3 Tính khả dụng của thông tin (Availability)
− Tính khả dụng là một yêu cầu rất quan trọng của hệ thống, bởi vì một hệ thống tồn tại nhưng
không sẵn sàng cho sử dụng thì cũng giống như không tồn tại một hệ thống thông tin nào.
Một hệ thống khả dụng là một hệ thống làm việc trôi chảy và hiệu quả, có khả năng phục
hồi nhanh chóng nếu có sự cố xảy ra.
− Ví dụ: các thông tin về quản lý nhân sự của một công ty được lưu trên máy tính, được bảo
vệ một cách chắc chắn bằng nhiều cơ chế đảm bảo thông tin không bị tiết lộ hay thay đổi.
Tuy nhiên, khi người quản lý cần những thông tin này thì lại không truy xuất được vì lỗi hệ
thống. Khi đó, thông tin hoàn toàn không sử dụng được và ta nói tính khả dụng của thông
tin không được đảm bảo.
các lỗ hổng của phần mềm,…hay dựa vào lưu lượng mạng được phép lưu thông của hệ
thống do đó từ chối dịch vụ rất khó loại bỏ trong hệ thống mạng.
Có hai kỹ thuật thường dùng đế gây ra tấn công từ chối dịch vụ là:
+ Ping of death: gửi các gói tin liên tục với số lượng các gói dữ liệu ICMP đến một mạng
nào đó, chiếm toàn bộ băng thông kết nối và do đó gây tắc nghẽn mạng.
+ Buffer-overflow: tấn công vào các máy chủ bằng cách nạp dữ liệu vượt quá giới hạn của
bộ đệm (buffer) trên máy chủ, gây ra lỗi hệ thống.
1.4.6 Tấn công từ chối dịch vụ phân tán DdoS
Là phương thức tấn công dựa trên nguyên tắc của từ chối dịch vụ nhưng có mức độ nguy
hiểm cao hơn do huy động nhiều máy tính cùng tấn công vào một hệ thống duy nhất. Các
máy tính này xuất phát từ nhiều nguồn khác nhau.
Kẻ tấn công sẽ huy động nhiều máy tính trên mạng tham gia từ chối dịch vụ phân tán bằng
cách cài đặt phần mềm điều khiển từ xa lên các máy tính này. Sau đó, kẻ tấn công sẽ sử
dụng các máy tính này đồng loạt tấn công từ chối dịch vụ vào mục tiêu trên hệ thống, gây
cho mục tiêu không hoạt động bình thường được.
1.4.7 Tấn công giả danh (Spoofing acttack)
Đây là một dạng tấn công bằng cách giả danh một đối tượng khác (một người sử dụng,
một máy tính với một địa chỉ IP xác định hoặc một phần mềm nào đó) để thực hiện các
hành vi như là giả danh địa chỉ e-mail của một người khác để gửi mail đến một người thứ
ba, có thể giả danh địa chỉ IP của máy khác để gửi dữ liệu với IP nguồn không phải của
mình đến máy tính khác, hoặc cũng có thể là giả danh một phần mềm như phần mềm logon
trên máy tính để ăn cắp thông tin của phần mềm bị giả danh.
1.4.8 Tấn công xen giữa (Man-in-the-middle attack)
− Đây là phương thức tấn công bằng cách xen vào giữa một thủ tục đang diễn ra, thường xảy
ra trên mạng IP, nhưng cũng có thể xảy ra trong nội bộ một máy tính.
− Trên mạng, kẻ tấn công bằng một cách nào đó xen vào một kết nối, đặc biệt ở giai đoạn
thiết lập kết nối giữa người dùng với máy chủ, và thông qua đó nhận được những thông tin
quan trọng của người dùng. Tấn công xen giữa đặc biệt phổ biến trên mạng không dây
(wireless network) do đặc tính dễ xâm nhập của môi trường không dây
Hình 2.2: Hình ảnh minh họa cho chức năng chống tấn công lặp lại cho VPN
Khái niệm về chất lượng dịch vụ:
VPN cung cấp các thỏa thuận về chất lượng dịch vụ QoS những thỏa thuận bao gồm định
ra một giới hạn trên cho phép về độ trễ của gói trung bình trên mạng
VPN = định đường hầm + bảo mật + các thỏa thuận QoS
2.1.3 Những ưu điểm và nhược điểm của VPN
Ưu điểm:
− Giảm thiểu chi phí triển khai và duy trì hệ thống:
+ VPN giảm thiểu tối đa phí thuê đường truyền thay vào đó là sự tận dụng lại hệ thống
mạng Internet có sẵn.
+ Phí bảo trì rất rẻ, việc thuê hạ tầng có sẵn của các công ty dịch vụ Internet thì chi phí duy
trì sẽ không còn đáng lo ngại.
+ Với việc sử dụng dịch vụ của nhà cung cấp, chúng ta chỉ phải quản lý các kết nối đầu cuối
tại các chi nhánh mạng không phải quản lý các thiết bị chuyển mạch trên mạng.
− An toàn trong giao dịch, an toàn thông tin tính toàn vẹn và xác thực
Việc trao đổi thông tin trong VPN sử dụng cơ chế giấu đi, các dữ liệu sẽ được mã hóa và
thông tin dữ liệu được bảo bọc bởi gói tin Header (phần đầu gói tin ghi địa chỉ đầu - cuối
của gói tin) và truyền đi nhanh chóng qua các tunnel dựa vào Internet.
− VPN đáp ứng tốt việc chia sẻ gói tin và dữ liệu trong một thời gian dài.
− Truy cập mọi lúc mọi nơi. VPN không làm ảnh hưởng đến bất kì một dịch vụ truyền thông
nào của internet.
− Cải thiện kết nối và có khả năng mở rộng.
Với xu thế toàn cầu hóa, một công ty có thể có nhiều chi nhánh tại nhiều quốc gia khác
nhau. Việc tập trung quản lý thông tin tại tất cả các chi nhánh là cần thiết. VPN có thể dễ
dàng kết nối hệ thống mạng giữa các chi nhánh và văn phòng trung tâm thành một mạng
LAN với chi phi thấp.
− Các mạng kết nối với nhau trong suốt. Nghĩa là Router gateway từ mạng LAN này sẽ ping
thấy được Router gateway của mạng LAN bên kia khi thiết lập xong kết nối VPN mà không
cần quan tâm đến có bao nhiêu con Router trung gian giữa kết nối VPN đó.
Nhược điểm:
− VPN đòi hỏi sự hiểu biết chi tiết về vấn đề an ninh mạng, việc cấu hình và cài đặt phải cẩn
thận, chính xác đảm bảo tính an toàn trên hệ thống mạng Internet công cộng.
− Độ tin cậy và hiệu xuất của một VPN dựa trên Internet, sự quá tải hay nghẽn mạng có thể
ảnh hưởng xấu đến chất lượng truyền tin trong mạng, vì vậy giải pháp thay thế là hãy sử
dụng một nhà cung cấp dịch vụ (ISP) tốt và chất lượng.
− Việc sử dụng các sản phầm VPN và các giải pháp của các nhà cung cấp khác nhau không
phải lúc nào cũng tương thích do các vấn đề về tiêu chuẩn công nghệ VPN
− Do sự hạn chế về băng thông kênh truyền. Giải pháp thay thế cho VPN là Direct access
− Vấn đề bảo mật cá nhân kém, bởi vì việc truy cập từ xa hay việc nhân viên kết nối với hệ
thống văn phòng bằng máy tính xách tay, máy tính riêng, nếu máy tính của họ thực hiện
hàng loạt các ứng dụng khác, ngoài việc kết nối tới văn phòng làm việc thì hacker (kẻ tấn
công, tin tặc) có thể lợi dụng yếu điểm từ máy tính cá nhân của họ tấn công vào hệ thống
của công ty
2.1.4 Các thành phần cần có cho kết nối VPN
User Authentication: cung cấp cơ chế chứng thực người dùng chỉ cho phép người dùng hợp
lệ kết nối và truy cập hệ thống VPN.
Address Management: cung cấp địa chỉ IP hợp lệ cho người dùng sau khi gia nhập hệ thống
VPN để có thể truy cập tài nguyên trên mạng nội bộ
Data Encryption: cung cấp giải pháp mã hóa dữ liệu trong quá trình truyền nhầm bảo đảm
tính riêng tư và toàn vẹn dữ liệu.
Key Management: cung cấp giải pháp quản lý các khóa dùng cho quá trình mã hóa và giải
mã dữ liệu
− Mạng VPN truy nhập từ xa không cần sự hỗ trợ của nhân viên mạng bởi vì quá trình kết nối
từ xa được các ISP thực hiện.
Nhược điểm
− VPN truy nhập từ xa không hỗ trợ các dịch vụ đảm bảo QoS.
− Nguy cơ bị mất dữ liệu cao. Hơn nữa, nguy cơ các gói có thể bị phân phát không đến nơi
hoặc mất gói.
− Bởi vì thuật toán mã hoá phức tạp, nên tiêu đề giao thức tăng một cách đáng kể. Giao thức
đường ngầm có một tiêu đề nhỏ dùng để mật mã dữ liệu khi truyền và giải mật mã khi nhận
được thông tin. Mặc dù tiêu đề nhỏ, nhưng nó cũng ảnh hưởng đến một số ứng dụng.
2.2.3 Giới thiệu về mô hình VPN Site to Site (LAN to LAN)
POP
Home
device1
device3 device2 1
office
Internet/ POP
IP-VPN
Remote
office Headquarters
POP
device3 device2 1
device1
− Giảm thiểu đáng kể số lượng hổ trợ yêu cầu người dùng cá nhân qua toàn cầu, các trạm ở
một số remote site khác nhau.
− Bởi vì Internet hoạt động như một kết nối trung gian, nó dễ dàng cung cấp những kết nối
mới ngang hàng.
− Kết nối nhanh hơn và tốt hơn do về bản chất kết nối đến nhà cung cấp dịch vụ, loại bỏ vấn
đề về khoảng cách xa và thêm nữa giúp tổ chức giảm thiểu chi phí cho việc thực hiện
Intranet.
Nhược điểm
− Bởi vì dữ liệu vẫn còn tunnel trong suốt quá trình chia sẻ trên mạng công cộng Internet và
những nguy cơ tấn công, như tấn công bằng từ chối dịch vụ.
− Khả năng mất dữ liệu trong lúc di chuyển thông tin cũng vẫn rất cao.
− Trong một số trường hợp, nhất là khi dữ liệu là loại high-end, như các tập tin mulltimedia,
việc trao đổi dữ liệu sẽ rất chậm chạp do được truyền thông qua Internet.
2.2.3.2 VPN mở rộng (Extranet VPN)
Extranet cho phép truy cập những tài nguyên mạng cần thiết của các đối tác kinh
doanh, chẳng hạn như khách hàng, nhà cung cấp, đối tác những người giữ vai trò quan
trọng trong tổ chức
Mạng Extranet rất tốn kém do có nhiều đoạn mạng riêng biệt trên Intranet kết hợp lại
với nhau để tạo ra một Extranet. Thêm nữa là mạng Extranet sẽ khó mở rộng do điều này
sẽ làm rối tung toàn bộ mạng Intranet và có thể ảnh hưởng đến các kết nối bên ngoài mạng.
Triển khai và thiết kế một mạng Extranet có thể là một cơn ác mộng của các nhà thiết kế và
quản trị mạng.
Remote
office
Business
Partner
POP
Home
device1
device3 device2 1
office
Internet/ POP
IP-VPN
Remote
office Headquarters
POP
Supplier
device1
device3 device2 1
Customer
Hình 2.10: Mô hình kết nối VPN chạy giao thức L2F
Ưu điểm:
− Được cung cấp bởi nhiều nhà cung cấp dịch vụ ISP
− Hỗ trợ một phạm vi rộng rãi các công nghệ mạng như: ATM, IPX, NetBEUI, Frame Relay
− Cho phép thiết lập đường hầm đa giao thức
Nhược điểm:
− Không có mã hóa
− Yếu trong việc xác thực người dùng
− Thực hiện L2F dựa trên ISP. Nếu trên ISP không hổ trợ L2F thì không thể triển khai được
SVTH: LƯƠNG HỒNG TOÀN LỚP: D12CQVT01-N Trang 15
CHƯƠNG 2: TỔNG QUAN VỀ VPN VÀ CÁC CÔNG NGHỆ VPN
Mang rieng
user
Hình 2.12 Quy trình đóng gói dữ liệu và xử lý data trong đường hầm
− Đóng gói L2TP: Phần tải PPP ban đầu được đóng gói với một PPP header và một L2TP
header.
− Đóng gói UDP: Gói L2TP sau đó được đóng gói với một UDP header, các địa chỉ nguồn và
đích được đặt bằng 1701.
− Đóng gói IPSec: Tuỳ thuộc vào chính sách IPSec, gói UDP được mật mã và đóng gói với
ESP IPSec header và ESP IPSec Trailer, IPSec Authentication Trailer.
− Đóng gói IP: Gói IPSec được đóng gói với IP header chứa địa chỉ IP ngưồn và đích của
VPN client và VPN server.
− Đóng gói lớp liên kết dữ liệu
M an g i n t r an et c u a I SP
D i al
c on n ec t i on LAC LAS
NA S
Mang rieng
user
(5)
− Authentication (Bội số của 32): Bao gồm dữ liệu xác thực cho gói tin, được tính trên toàn
bộ gói tin ESP trừ phần Authentication data. Các thuật toán mã hóa bao gồm DES, 3DES,
AES. Các thuật toán xác thực bao gồm MD5 hoặc SHA-1. ESP còn cung cấp tính năng anti-
replay để bào vệ các gói tin không bị chỉnh sửa.
Hình 2.18: Sự khác nhau giữa 2 gói tin thu được từ hai giao thuwscAH và ESP
Bảo mật AH ESP
Chỉ số lớp 3 trong giao thức IP 51 50
Toàn vẹn dữ liệu Có Có
Xác thực dữ liệu Có Có
Mã hóa dữ liệu Không Có
Chống tấn công phát lại Có Có
Tương thích với NAT Không Có
Bảo vệ gói IP Có Không
Bảo vệ dữ liệu Không Có
Bảng 2.1: Bảng so sánh giữa AH và ESP.
ESP có tác dụng xác thực (Authentication), mã hóa (Encrytion) và đảm bảo tính trọn
vẹn dữ liệu (Securing of data). Đây là giao thức được dùng phổ biến trong việc thiết lập
IP Sec.
AH có tác dụng xác thực, AH thì thường ít được sử dụng vì nó đã có trong giao thức
ESP.
− Thông thường, thuật toán đối xứng tính toán đơn giản hơn thuật toán bất đối xứng và có thể
tăng tốc bằng phần cứng chuyên dụng. Nếu cần mã hóa lượng dữ liệu lớn, người ta chọn
thuật toán đối xứng.
− Thách thức khi sử dụng thuật toán đối xứng là việc quản lý khóa. Secret key cần được trao
đổi bằng kênh an toàn cho sender và receiver trước khi truyền dữ liệu. Thuật toán này mã
hoá và giải mã rất nhanh, phù hợp với một khối lượng lớn thông tin. Một số thuật toán đối
xứng như DES, 3DES, AES…
− DES là thuật toán mã hóa yếu nhất (sử dụng key 56 bit) và AES là thuật toán mã hóa mạnh
nhất (sử dụng 128,192,256 bit mã hóa). 3DES là sự lựa chọn mã hóa tầm trung sử dụng 168
bit mã hóa
b) Mã hóa bất đối xứng
Thuật toán bất đối xứng sử dụng các khóa khác nhau để mã hóa và giải mã và không
dùng đến pre-shared key. Vì cả 2 bên truyền và nhận không có shared secret key nên cần
dùng khóa có độ dài rất lớn để ngăn chặn tấn công.
Các thuật toán này tiêu tốn nhiều tài nguyên và tính toán chậm. Thực tế, thuật toán bất
đối xứng thường tính toán chậm hơn hàng trăm hoặc hàng nghìn lần so với thuật toán đối
xứng. Do đó nó thường được sử dụng để mã hoá các khoá phiên, một lượng dữ liệu nhỏ.
Một số thuật toán sử dụng mã hoá khoá công cộng như RSA, Diffie-Hellman.
DES Characteristics
Description Data Encryption Standard
Timeline Standardized 1976
Type of Algorithm Symmetric
Key size (in bits) 56 bits
Speed Medium
Time to crack (Asuming a computer Days (6.4 days by the
could try 255 keys per second COPACABANA machine, a
specialized cracking device)
Resource Consumption Medium
Bảng 2.2: Mô ta đặc điểm của DES
Thuật toán mã hóa 3DES
Thuật toán mã hoá 3DES là một biến thể phụ của DES, như ta đã biết DES vẫn tồn tại nhiều
nhược điểm như: Có thể bẽ gãy bằng những máy có mục đích đặc biệt để tìm ra khóa.
3DES Characteristics
Description Triple Data Encryption Standard
Timeline Standardized 1977
Type of Algorithm Symmetric
Key size (in bits) 112 and 168 bits
Speed Low
Time to crack (Asuming a 4.6 Billion years with current
computer could try 255 keys per technology
second
Resource Consumption Medium
Bảng 2.3 Mô tả đặc điểm của 3DES
− Mô tả 3DES:Thuật toán mã hoá 3DES gồm 3 chìa khoá 56 bit, tức là toàn bộ chiều dài khoá
là 168 bit. Trong khi mã hoá riêng tư, chúng ta đơn giản là nhập toàn bộ 168 bit khoá đơn
là vào mỗi 3 chìa khoá cá nhân.
AES Characteristics
Description Advanced Encryption Standard
Timeline Official Standard since 2001
Type of Algorithm Symmetric
Key size (in bits) 128, 192, 256 bits
Speed High
SVTH: LƯƠNG HỒNG TOÀN LỚP: D12CQVT01-N Trang 23
CHƯƠNG 2: TỔNG QUAN VỀ VPN VÀ CÁC CÔNG NGHỆ VPN
Transform Mô tả
Esp-des ESP transform sử dụng DES 56 bits
Esp-3des ESP transform sử dụng 3DES 168 bits
Esp-aes Esp transform sử dụng AES-128
Esp-aes-192 Esp transform sử dụng AES-192
Esp-aes-256 Esp transform sử dụng AES-256
Esp-md5-hmac Esp transform sử dụng HMAC-MD5 cho chứng thực
Esp-sha-hmac Esp transform sử dụng HMAC-SHA cho chứng thực
Esp-none ESP không chứng thực
Esp-null Esp không mã hóa
Bảng 2.5: Mô tả các thuật toán trong transform
2.4.4.3 Nhận thực đối tác (peer authentication)
Các phương pháp xác thực:
Pre-shared key: một giá trị khóa bảo mật (secret key) được đưa vào mỗi peer (thiết bị ngang
hàng), được sử dụng để xác thực ngang hàng.
RSA vừa có tính xác thực vừa có tính mã hóa
+ Mã hoá RSA privacy: Giả định rằng người A muốn gửi cho người B một bản tin m, A
tạo một văn bản dạng mã hoá c tạo bởi (c=me mod n), e và n là khoá công cộng của người
B. Người A gửi c cho người B. Để giải mã, người B thực hiện m=cd mod n; Mối liên hệ
giữa e và d đảm bảo rằng người B khôi phục đúng n. Vì chỉ người B biết d, do vậy chỉ người
B có thể giải mã.
+ Xác thực RSA: Giả định người A muốn gửi cho người B bản tin m theo cái cách mà
người B được đảm bảo rằng bản tin là tin cậy và được gửi từ người A. người A tạo một
dạng chữ ký số hoá s bởi công thức: s=md mod n, d và n là khoá riêng của người A. Người
A gửi m và s cho người B. Để xác minh lại chữ ký số, người B dùng công thức m=se mod
n dựa trên bản tin m nhận được, e và n là khóa công cộng của người A.
Vì thế, mã hoá và xác thực có thể được sử dụng mà không cần phải chia sẻ khoá riêng,
mỗi người chỉ dùng khoá công cộng của người khác và khoá riêng của chính mình. Bất kỳ
người nào có thể gửi một bản tin đã mã hoá hoặc xác minh lại bản tin đã được xác nhận chữ
ký số, bằng cách chỉ dùng khoá chung, nhưng chỉ người nào đó có được khoá riêng đúng
thì có thể giải mã hoặc xác thực bản tin.
2.4.4.4 Quản lý khóa
Diffie-Hellman (gọi tắt là DH) được dùng để tạo ra 1 key chia sẻ. Đây là giao thức tạo
public key và được sử dụng bởi IKE để thiết lập key phiên kết nối
ISAKMP/IKE không có tiến trình chia sẻ key an toàn khi đi qua mạng không an toàn,
thay vì đó những thiết bị sẽ dùng DH cho mục đích ngăn chặn kẻ xấu thấy được key đang
chia sẻ giữa các thiết bị. Mỗi group sẽ có giá trị riêng, số bit càng cao thì càng an toàn và
khó khăn trong việc tìm được key đang chia sẻ.
IKE không những trao đổi khóa một cách bí mật mà còn thực hiện xác thực các IPSec ngang
hàng, thương lượng các tham số IPSec (thuật toán mã hóa để bảo mật dữ liệu, thuật toán
băm để giảm dữ liệu cho báo hiệu, phương thức xác thực cho báo hiệu…).
− Kết hợp bảo mật SA (Security Accsociation):
+ Security Associations (SAs) là một khái niệm cơ bản của bộ giao thức IP Sec. SA là một
kết nối luận lý theo một phương hướng duy nhất giữa hai thực thể sử dụng các dịch vụ
IPSec.
+ Để 2 bên có thể truyền dữ liệu đã bảo mật (dữ liệu đã được xác thực, mã hóa hoặc cả hai),
cả 2 bên phải cùng thống nhất sử dụng giải thuật mã hóa, làm cách nào để chuyển khóa, và
các vấn đề liên quan đến key (thời gian sống, bao lâu thì key được thay đổi…). Tất cả các
thỏa thuận trên được SA đảm trách.
+ IP Sec SA gồm có 3 trường:
SPI – Security Parameter Index: Đây là một trường 32 bit dùng nhận dạng giao
thức bảo mật, được định nghĩa bởi trường Security protocol, trong bộ IP Sec đang
dùng. SPI được mang theo như là một phần đầu của giao thức bảo mật và thường
được chọn bởi hệ thống đích trong suốt quá trình thỏa thuận của SA.
Destination IP address: Đây là địa chỉ IP của nút đích. Mặc dù nó có thể là địa chỉ
broadcast, unicast, hay multicast, nhưng cơ chế quản lý hiện tại của SA chỉ được
định nghĩa cho hệ thống unicast.
Security protocol: Phần này mô tả giao thức bảo mật IP Sec, có thể là AH hoặc
ESP.
+ Bởi vì bản chất theo một chiều duy nhất của SA, cho nên 2 SA phải được định nghĩa cho
hai bên thông tin đầu cuối, một cho mỗi hướng. Ngoài ra, SA có thể cung cấp các dịch vụ
bảo mật cho một phiên kết nối được bảo vệ bởi AH hoặc ESP. Do vậy, nếu một phiên cần
bảo vệ kép bởi cả hai AH và ESP, 2 SA phải được định nghĩa cho mỗi hướng.
2.4.4.5 Cơ chế hoạt động Internet Key Exchange
Giao thức IKE thiết kế ra để cung cấp 5 khả năng:
− Cung cấp những phương tiện cho hai bên về sự đồng ý những giao thức, thuật toán và những
chìa khoá để sử dụng.
− Đảm bảo trao đổi khoá đến đúng người dùng.
− Quản lý keys sau khi được chấp nhận.
− Đảm bảo rằng sự điều khiển và trao đổi khoá an toàn.
− Cho phép chứng thực giữa các đối tượng ngang hang.
Cơ chế hoạt động của IKE
Giao thức IKE sẽ có chức năng trao đổi key giữa các thiết bị tham gia VPN và trao đổi
chính sách an ninh giữa các thiết bị.
Host A Host B
Router A Router B
Computer Computer
IKE pha 1
Chế độ chính
Thương lượng Thương lượng
chính sách chính sách
Tunnel mode
Transport mode
Hình 2.25: Hình ảnh minh họa cho việc thiết lập đường hầm
Giai đoạn 2 (IPSec): Các thiết bị IPSec đàm phán về một chính sách bảo mật IPSec để bảo
vệ dữ liệu.
Data Transfer: Dữ liệu được chuyển giao một cách an toàn.
IPSEc Tunnel Terminated: IPSec SA chấm dứt khi thời gian hoặc một khối lượng dữ liệu
nhất định đạt được.
Server
1 7 2 .1 6 .0 .4 /2 4
R1 R2
sẽ được thiết lập giữa 2 VPN gateway. Tunnel này có tính chất 2 chiều vì các VPN peers
chỉ sử dụng một session key để mã hóa và giải mã cả inbound và outbound traffic.
Thiết lập IKE Phase 2 tunnel
IKE Phase 1 Tunnel là Management Tunnel cho phép 2 Router có thể trao đổi trực tiếp
với nhau một cách an toàn. IKE Phase 1 Tunnel không dùng để mã hóa và bảo vệ gói tin của
user, để làm việc này thì các VPN gateway sẽ tạo ra Tunnel khác chỉ dành riêng cho việc
mã hóa các gói tin của user. Tunnel này được gọi là IKE Phase 2 Tunnel, hay IPsec Tunnel.
Với IKE Phase 1 Tunnel đã được thiết lập, IKE Phase 2 Tunnel tiến hành thương lượng
và thiết lập dựa trên những thông số của Phase 1 và toàn bộ các trao đổi và thương lượng
của IKE Phase 2 tunnel đều được thực hiện một cách an toàn vì IKE Phase 1 tunnel đã bảo
vệ các traffic này. IKE Phase 2 Tunnel được thiết lập ở Quick Mode. Các thông số mà Quick
mode thỏa thuận trong phase 2:
+ Giao thức IPSec: ESP hoặc AH
+ IPSec Mode: Tunnel - tạo 1 IP Header mới cho mỗi gói tin hoặc Transport - không tạo 1
IP Header mới cho mỗi gói tin.
+ Thuật toán băm: Có thể là MD5 hoặc SHA.
+ Thuật toán mã hóa: Có thể là DES, 3DES, hoặc AES với chiều dài key khác nhau (key
càng dài càng tốt).
+ IPSec SA lifetime: dùng để thỏa thuận lại IPSec SA sau một khoảng thời gian mặc định
hoặc được chỉ định.
+ Trao đổi khóa Diffie-Hellman
Chú ý: IKE Phase 2 policy (bao gồm mã hóa, hash) còn được gọi là transform set. Mã
hóa và hash của IKE Phase 2 dùng cho traffic của user, trong khi mã hóa và hash của IKE
Phase 1 dùng cho management traffic của VPN mà 2 router thương lượng và trao đổi trực
tiếp với nhau. Tương tự như IKE Phase 1, lifetime của IKE Phase 2 không nhất thiết phải
giống hoàn toàn giữa các VPN peers. Nếu lifetime của IKE Phase 2 khác nhau thì VPN
peers sẽ sử dụng lifetime nhỏ hơn.
Data Tranfer: Sau khi IKE Phase 2 tunnel được thiết lập xong thì router đã có thể tiến
hành mã hóa traffic của user và gửi các traffic này đến cho VPN peer ở phía bên kia. Data
được truyền bảo mật giữa các IPSer peer dựa vào tham số IPSec và các key đã được thương
lượng ở các Phase trước.
IPSec tunel Terminated: IPSec VPN sẽ bị ngắt kết nối khi timeout.
2.4.4.7 Ưu điểm và nhược điểm của IPsec
− Ưu điểm:
+ Lợi ích chính của IPSec là nó mã hóa trong suốt hoàn toàn đối với tất cả giao thức lớp 3
của mô hình OSI và cao hơn.
+ IPSec cung cấp:
Xác thực lẫn nhau trước và trong quá trình trao đổi.
Sự cẩn mật trong suốt quá trình mã hóa của lưu lượng IP và xác thực số của gói.
IPSec có 2 chế độ: ESP (Encapsulating Security Payload) – mã hóa dựa trên một
hoặc một vài thuật toán nào đó và AH (Authentication Header) – xác thực lưu lượng
nhưng không mã hóa nó.
+ Toàn vẹn lưu lượng IP bằng cách loại bỏ lưu lượng đã được thay đổi. Cả ESP và AH đều
dùng để xác nhận tính toàn vẹn của tất cả lưu lượng IP. Nếu gói đã được thay đổi thì chữ kí
số sẽ không đính kèm và gói sẽ bị hủy.
+ Ngăn chặn tấn công: Cả ESP và AH dùng số tuần tự để bất cứ gói nào được capture lại
trong lần gửi lại sau đó sẽ dùng số không tuần tự. Dùng số được sắp xếp theo thứ tự để chắc
chắc rằng kẻ tấn công không thể dùng lại hay gửi lại dữ liệu đã được capture để thiết lập
phiên làm việc hoặc thu thập thông tin bất hợp pháp. Dùng số tuần tự cũng để bảo vệ tấn
công công bằng cách chặn message và sau đó dùng message y hệt để truy nhập bất hợp pháp
vào tài nguyên, có thể là vài tháng sau đó.
− Nhược điểm
+ Tất cả các gói được xử lý theo IPSec sẽ bị tăng kích thước do phải thêm vào các tiêu đề
khác nhau, và điều này làm cho thông lượng hiệu dụng của mạng giảm xuống. Vấn đề này
có thể được khắc phục bằng cách nén dữ liệu trước khi mã hóa, song các kĩ thuật như vậy
vẫn còn đang nghiên cứu và chưa được chuẩn hóa.
+ IPSec được thiết kế chỉ để hỗ trợ bảo mật cho lưu lượng IP, không hỗ trợ các dạng lưu
lượng khác.
+ Việc tính toán nhiều giải thuật phức tạp trong IPSec vẫn còn là một vấn đề khó đối với
các trạm làm việc và máy PC năng lực yếu.
+ Việc phân phối các phần cứng và phầm mềm mật mã vẫn còn bị hạn chế đối với chính
phủ một số quốc gia.
Firewall cũng không thể chống lại các cuộc tấn công bằng dữ liệu (data-drivent attack).
Khi có một số chương trình được chuyển theo thư điện tử, vượt qua firewall vào trong
mạng được bảo vệ và bắt đầu hoạt động ở đây.
Firewall không thể bảo vệ chống lại việc truyền các chương trình hoặc file nhiễm virus
3.3 Kiến trúc chung của Firewall
Firewall chuẩn bao gồm một hay nhiều các thành phần sau đây:
Inside network: đây là vùng nằm phía sau Firewall và là vùng mạng nội bộ bên trong có
mức bảo mật cao nhất. Bình thường, các host ở vùng này sẽ có quyền truy nhập đến tất cả
các host ở các vùng khác (Outside/ DMZ) vì thiết bị Firewall mặc định cho phép gói tin đi
từ vùng có mức bảo mật cao đến vùng có mức bảo mật thấp hơn.
Outside network: đây là vùng nằm phía ngoài mạng nội bộ và là vùng có mức độ bảo mật
thấp nhất. Bình thường, nếu không có sự cho phép của Firewall thì các host ở vùng này sẽ
không có quyền truy cập vào vùng có mức bảo mật cao hơn như vùng inside.
DMZ (vùng phi quân sự): nếu chúng ta có tài nguyên mạng cần công khai đến user vùng
outside network như Web Server, FTP Server…ta có thể đặt tài nguyên đó vào 1 mạng riêng
rẽ phía sau Firewall, được gọi là vùng DMZ. Firewall cho phép giới hạn truy cập đến vùng
DMZ. Vùng DMZ chỉ bao gồm Public Server, nếu bị tấn công thì chỉ có Server Public bị
ảnh hưởng và không ảnh hưởng đến vùng Inside Network.
+ DMZ là một vùng mạng trung lập giữa mạng nội bộ và mạng internet.
+ DMZ là nơi chứa các thông tin cho phép người dùng từ internet truy xuất vào và chấp
nhận các rủi ro tấn công từ internet.
+ Các dịch vụ thường được triển khai trong vùng DMZ là: Mail, Web, FTP
+ Có hai cách thiết lập vùng DMZ:
- Đặt DMZ giữa 2 firewall, một để lọc các thông tin từ internet vào và một để kiểm tra các
luồng thông tin vào mạng cục bộ.
- Sử dụng Router có nhiều cổng để đặt vùng DMZ vào một nhánh riêng tách rời với mạng
cục bộ
+ Mục đích khi thiết lập một vùng DMZ là né sự tấn công từ bên ngoài và từ trong mạng
nội bộ
Security Level trên Firewall
Security Level được gán cho interface (hoặc vật lý hay logical sub-interfaces) và nó cơ
bản một số từ 0-100 chỉ định như thế nào tin cậy interface liên quan đến một interface khác
trên thiết bị. Mức độ bảo mật cao hơn thì interface càng đáng tin cậy hơn (và do đó các
mạng kết nối phía sau nó) được coi là, liên quan đến interface khác. Vì mỗi interface firewall
đại diện cho một mạng cụ thể (hoặc khu vực an ninh), bằng cách sử dụng mức độ bảo mật,
chúng ta có thể chỉ định mức độ tin tưởng khu vực an ninh của chúng ta. Các quy tắc chính
cho mức độ bảo mật là một interface (hoặc zone) với một mức độ bảo mật cao hơn có thể
truy cập vào một interface với một mức độ bảo mật thấp hơn. Mặt khác, một interface với
một mức độ bảo mật thấp hơn không thể truy cập vào một interface với một mức độ bảo
mật cao hơn, mà không có sự cho phép rõ ràng của một quy tắc bảo mật (Access Control
List - ACL).
Một số mức độ bảo mật điển hình:
− Security Level 0: Đây là mức độ bảo mật thấp nhất và nó được gán mặc định
interface bên ngoài của firewall. Đó là mức độ bảo mật ít tin cậy nhất và phải được
chỉ định phù hợp với mạng (interface) mà chúng ta không muốn nó có bất kỳ truy
cập vào mạng nội bộ của chúng ta. Mức độ bảo mật này thường được gán cho
interface kết nối với Internet. Điều này có nghĩa rằng tất cả các thiết bị kết nối
Internet không thể có quyền truy cập vào bất kỳ mạng phía sau firewall, trừ khi rõ
ràng cho phép một quy tắc ACL.
− Security Level 1 đến 99: Những mức độ bảo mật có thể được khu vực bảo mật vòng
ngoài (ví dụ như khu vực DMZ, khu vực quản lý,...).
− Security Level 100: Đây là mức độ bảo mật cao nhất và nó được gán mặc định
interface bên trong của tường lửa. Đây là mức độ bảo mật đáng tin cậy nhất và phải
được gán cho mạng (interface) mà chúng ta muốn áp dụng bảo vệ nhiều nhất từ các
thiết bị an ninh.Mức độ bảo mật này thường được gán cho interface kết nối mạng
nội bộ công ty đằng sau nó.
3.4 Cơ chế làm việc của firewall
3.4.1 Tường lửa lọc gói (Packet Filtering)
Tường lửa lọc gói kiểm tra luồng dữ liệu đến tại tầng vận chuyển (Transport Layer) của
mô hình OSI (Open System Interconnection). Nó phân tích các gói tin IP (IP Packet) và so
sánh chúng với những quy tắc được đặt trước trong danh sách điều khiển truy cập (Access
Control List - ACL). Nó kiểm tra những thành phần sau của gói tin:
+ Địa chỉ ip nguồn (Source IP Address).
+ Cổng nguồn (Source Port).
+ Địa chỉ ip đích (Destination IP Address).
+ Cổng đích (Destination Port).
+ Giao thức (Protocol).
Kỹ thuật này có ích trong các trường hợp cần quản lý nội dung truy cập của người sử
dụng hoặc để nhận dạng dấu hiệu của một số loại phần mềm độc (Virus, Worm, Trojan…),
ví dụ ngăn chặn người sử dụng tải các tập tin hình ảnh hoặc phim với kích thước lớn.
Ưu điểm:
Có khả năng lọc nội dung nên có thể đưa ra quyết định dựa trên nội dung kiểm soát được.
Cung cấp cơ chế xác thực tốt, trong nhiều trường hợp chúng được tích hợp với cơ sở dữ liệu
người sử dụng của máy chủ, cho phép quản trị viên tận dụng được các nhóm và người sử
dụng sẵn có, giảm phiền toái về mật khẩu.
Nhược điểm:
Khả năng lọc gói chậm, hiệu năng kém. Khi mà tất cả các luồng vào và ra đều bị kiểm soát
kỹ lưỡng ở tầng ứng dụng nên sẽ chậm hơn so với tường lửa lọc gói, và có thể dẫn đến hiệu
ứng nút cổ chai đối với mạng.
Dễ bị tấn công DdoS nếu khả năng hoạt động kém.
Khả năng trong suốt với người dùng cuối hạn chế do loại này thường là 1 ứng dụng được
cài lên 1 hệ điều hành.
3.4.3 Tường lửa kiểm soát trạng thái (Statefull Inspection Firewall-SIF)
Tường lửa kiểm soát trạng thái là sự kết hợp giữa hiệu năng và mức độ an ninh. Nó tổng
hợp tính năng của 2 loại tường lửa trên và hoạt động từ tầng thứ 3-Network cho đến tầng
thứ 7-Application trong mô hình OSI.
Giống tường lửa lọc gói tin, hoạt động ở tầng mạng, lọc gói tin đi/đến dựa trên tham số:
địa chỉ nguồn, địa chỉ đích, cổng nguồn, cổng đích.
Tường lửa kiểm soát trạng thái bắt chước tường lửa lớp ứng dụng, đưa gói tin lên tầng
ứng dụng và kiểm tra xem nội dung dữ liệu phù hợp với các luật trong chính sách an ninh
của hệ thống.
Tường lửa kiểm sóat trạng thái cho phép thiết lập các quy tắc lọc gói phức tạp hơn so
với tường lửa lọc gói, tuy nhiên không mất quá nhiều thời gian cho việc phân tích nội dung
của tất cả các gói dữ liệu như trường hợp tường lửa lớp ứng dụng. Tường lửa kiểm soát
trạng thái theo dõi trạng thái của tất cả các kết nối đi qua nó và các gói dữ liệu liên quan
đến từng kết nối. Theo đó, chỉ các các gói dữ liệu thuộc về các kết nối hợp lệ mới được chấp
nhận chuyển tiếp qua tường lửa, các gói khác đều bị loại bỏ tại đây.
Ưu điểm:
Hoạt động độc lập và trong suất với người dùng, ít ảnh hưởng đến hiệu năng của mạng.
Bảo mật hơn, kiểm soát được các giao thức ở tầng ứng dụng.
Khả năng ghi nhật ký (loging) tốt hơn so với công nghệ lọc gói tin.
Nhược điểm:
Thiết lập các quy tắc bảo mật phức tạp hơn so với tường lửa lọc gói, danh sách các quy tắc
càng dài thì dẫn đến giảm hiệu năng của mạng.
3.5 Các kỹ thuật trên Firewall
3.5.1 Acess Control List (ACL)
Đây là một trong những công cụ để quản trị và điều khiển truy cập. Cisco ASA có khả
năng lọc gói và xác minh tính hợp pháp và đúng đắn của các gói tin đến Interface của nó
bằng cách sử dụng bảng trạng thái và kết hợp với các chính sách truy cập cấu hình(ACL).
+ Standard ACLs: Standard ACLs được sử dụng để nhận ra những gói tin dựa trên những
địa chỉ ip đích của chúng. Tuy nhiên chúng không thể được áp dụng đối với một Interface
để lọc lưu lượng.
+ Extended ACLs: có thể phân loại những gói tin dựa trên những thuộc tính: những địa chỉ
ip nguồn và ip đích, những giao thức lớp 3, những cổng nguồn và cổng đích TCP hoặc UDP,
những loại ICMP khác nhau đối với những gói tin ICMP (như telnet, SSH…). Một extended
ACL có thể được dùng để Interface lọc gói tin, phân loại QOS gói tin, nhận dạng gói tin đối
với mã hoá nat và vpn, và ipv6 ACLs
Cấu hình:
+ Bước 1: Tạo access control list
+ Bước 2: Gán access control list vào Interface
Tạo ACL:
access-list id [line line-num][extended] {deny | permit}
protocol source_addr source_mask [operator port [port] destination_addr
destination_mask [operator port [port]
Gán ACL vào Interface
access-group access-list {in | out} Interface Interface_name
3.5.2 NAT
Là hình thức chuyển đổi địa chỉ IP nguồn (Ip Privite) của các lưu lượng lưu thông trên
mạng nội bộ thành địa chỉ IP public trên Internet với các mục đích khác nhau như giảm sự
cạn kiệt về tài nguyên IPv4, che giấu địa chỉ IP trong LAN, giúp quản trị mạng lọc các gói
tin từ một địa chỉ IP và cho phép hay cấm truy cập đến 1 port cụ thể.
NAT cũng có thể coi như một Firewall cơ bản. Để thực hiện được công việc đó, NAT
duy trì một bảng thông tin về mỗi gói tin được gửi qua. Khi một PC trên mạng kết nối đến
1 website trên internet, header của địa chỉ ip nguồn được thay đổi và thay thế bằng địa chỉ
IP public mà đã được cấu hình sẵn trên NAT server, sau khi có gói tin trở về NAT dựa vào
bảng record mà nó đã lưu về các gói tin, thay đổi địa chỉ IP đích thành địa chỉ của PC trong
mạng và chuyển tiếp đi. Thông qua cơ chế đó, người quản trị mạng có khả năng lọc các gói
tin được gửi đến hay gửi từ một địa chỉ IP và cho phép hay cấm truy cập đến một port cụ
thể.
Các kỹ thuật NAT:
NAT tĩnh
+ Là hình thức ánh xạ một địa chỉ inside local thành một địa chỉ outside local. Vì vậy kỹ
thuật này không nhằm tiết kiệm địa chỉ IP mà chỉ có mục đích ánh xạ một IP trong LAN ra
một IP Public để ẩn IP nguồn trước khi đi ra Internet làm giảm nguy cơ bị tấn công trên
mạng.
+ NAT tĩnh có nhược điểm là nếu trong LAN có bao nhiêu IP muốn đi ra Internet thì ta phải
có từng đó IP Public để ánh xạ. Do vậy phương án NAT tĩnh chỉ được dùng với các máy
chủ thuộc vùng DMZ với nhiệm vụ Public các Server này lên Internet.
NAT động
+ NAT động (Dynamic NAT) là một giải pháp tiết kiệm IP Public thay cho NAT tĩnh. Thay
vì ánh xạ từng IP cố định trong LAN ra từng IP Public cố định. LAN động cho phép NAT
cả dải IP trong LAN ra một dải IP Public cố định ra bên ngoài.
+ Những người bên ngoài không thế tìm được IP của một host chỉ định trong LAN vì tại
thời điểm tiếp theo host này có thể nhận một IP public trong pool hoàn toàn khác (vì NAT
động sẽ gán ngẫu nhiên một IP trong list pool được cấu hình sẵn).
+ Ví dụ: hệ thống LAN trong công ty có 100 IP nội bộ, nếu muốn 100 IP này truy cập
Internet thì theo phương án NAT tĩnh công ty sẽ phải thuê từ ISP 100 IP Public. Điều này
quá tốn kém, giải pháp NAT động cho phép chỉ cần thuê từ ISP 10 ip public nếu tại cùng
một thời điểm chỉ có 10 IP trong LAN truy cập Internet. Tuy nhiên giải pháp NAT động
vẫn có hạn chế vì nếu tại một thời điểm công ty cần 20 IP trong LAN truy cập Internet thì
10 IP truy cập sau sẽ phải đợi đến khi nào có IP rỗi (các IP trước không chiếm dụng IP
Public nữa) thì mới có thể truy cập internet được. Chính vì thế giải pháp NAT động ít khi
được sử dụng.
PAT (Port-Address Translation)
Còn được gọi là NAT-port, cho phép chúng ta chuyển đổi nhiều địa chỉ cục bộ thành
một địa chỉ toàn cục, với việc kết hợp giữa địa chỉ IP và Port cho phép sự định danh sự khác
nhau khi nhiều địa chỉ cục bộ được ánh xạ với một địa chỉ toàn cục có thể là địa chỉ trên
cổng hoặc một địa chỉ đại diện, làm tăng khả năng bảo mật. Thiết bị bảo mật sẽ tạo sẽ bảng
translation dựa vào thông tin layer 4 trong header (thông tin về port) để phân biệt các host
sử dụng chung 1 địa chỉ Global IP.
3.6 Sơ lượt đôi nét về Firewall Cisco ASA
3.6.1 Dòng sản phẩm ASA Cisco Firewall
Bảng 3.1: So sánh các tính năng nổi bật của các dòng ASA thế hệ mới
3.6.2 Giới thiệu dòng sản phẩm Firewall Cisco ASA 5520
Hình 3.12: Mặt trước Firewall Cisco ASA 5510, 5520, 5540
Đèn Power chỉ trạng thái nguồn điện
Đèn Status chỉ trạng thái hoạt động của máy
Đèn Active chỉ trang thái các hoạt động được cấu hình
Đèn Flash chỉ trạng thái hoạt động của bộ nhớ Flash
Đèn VPN để chỉ trang thái kết nối VPN
Hình 3.13: Port trên sản phẩm Firewall Cisco ASA 5520
Power supply: Nơi cắm nguồn
Console port: Cổng cắm dây console
AUX port: Cổng truy cập bằng capble AUX
Compact Flash: Khe gắn thẻ nhớ Flash
10/100 out-of-band management port: cổng kết nối quản lý thiết bị
Port 10/100/1000 Gigabit: Kết nối vào hệ thống cho tốc độ lên tới 1Gbps
USB 2.0 port: Cổng giao tiếp USb
1.1.1.0/30
2.2.2.0/30
10.10.10.0/24 I SP1
Outside1
DMZ
Outside2 Gateway
3.3.3.0/30
Switch1
I nside
Web Server
192.168.3.0/24
I SP2
192.168.4.0/24
VPN Client-to Site
192.168.1.0/24
Host3
Host1 Host2 VPN-Client
Hình 4.1: Mô hình triển khai thiết lập kết nối VPN trên ASA
Hình 4.2: Mô hình logic thiết lập kết nối VPN được giả lập bằng GNS3
4.2 Chuẩn bị:
Phần mềm GNS3 version 0.8.6 phiên bản này được xem là ổn định nhất, không bị lỗi port
khi dùng một thời gian.
IOS ASA version 8.4 và Router 3725
Phần mềm tạo máy ảo VMware Workstation
Bước 1: Đặt địa chỉ Ip cho từng phân vùng trên ASA
ASA (config) # interface g0
ASA (config-if) # ip add 1.1.1.1 255.255.255.252
ASA (config-if) #no shut
ASA (config-if) #security level 0
ASA (config-if) #nameif outside1
Lưu ý: Khác với Router Cisco, Khi trỏ default route đến nhiều Router khác nhau, nhất định
cần phải cấp cho nó chỉ số AD (Administration distance) chỉ số này càng nhỏ thì độ ưu tiên
càng cao. Dùng trong trường hợp đường backup.
Sử dụng định tuyến RIP đối với những router còn lại là một điều dễ dàng. Sau khi định tuyến
xong ta thu được kết quả như sau:
Hình 4.4: Ping tới địa chỉ mạng nội bộ nhưng không thành công
Như trên hình thì ta chỉ ping được tới địa chỉ ping 1.1.1.1. Khi dùng lênh Traceroute ta được
đường đi như trên, để ý đường đi này để so sánh với đường đi sau khi thiết lập kết nối VPN để
đưa ra nhận xét.
Việc truy nhập vào mạng nội bộ cần phải viết thêm chính sách trên ASA (Chính sách được viết
sẽ trình bày ở phần sau).
Thiết lập kết nối VPN Site –to – Site giữa ASA và Router Gateway
Chúng ta sẽ sử dụng các thông tin sau cho VPN tunnel:
o IKE Phase 1 policies
+ Encryption: 3DES
+ Hash: MD5
+ Authentication: pre-shared-key
+ DH group: 2
+ Pre-shared-key: cisco123
+ Lifetime: 86400s
Trước tiên ta sẽ bật IKE trên interface outside1 và cấu hình IKE Phase 1 policies.
ASA1(config)# crypto ikev1 enable outside1
ASA1(config)# crypto ikev1 policy 2
ASA1(config-ikev1-policy)# authentication pre-share
ASA1(config-ikev1-policy)# encryption 3des
ASA1(config-ikev1-policy)# hash md5
ASA1(config-ikev1-policy)# group 2
ASA1(config-ikev1-policy)# lifetime 86400
Tiếp theo ta sẽ cấu hình pre-shared-key để chứng thực VPN peer ở Phase 1:
ASA1 (config) # tunnel-group 2.2.2.1 type ipsec-l2l
ASA1 (config) # tunnel-group 2.2.2.1 ipsec-attributes
ASA1 (config-tunnel-ipsec) # ikev1 pre-shared-key cisco123
Bước kế tiếp ta sẽ cấu hình crypto ACL (ACL quy định traffic nào sẽ được bảo vệ bởi
VPN tunnel) và transform set. Crypto ACL và transform set sau đó sẽ được tham chiếu
đến trong crypto map:
Tiếp theo ta sẽ cấu hình crypto map để tham chiếu đến crypto ACL và transform set, đồng
thời để set địa chỉ IP của VPN peer:
Bước cuối cùng, ta sẽ áp crypto map đã cấu hình vào interface outside1. Ta phải đảm
bảo ASA1 có route đến mạng 192.168.3.0/24 trỏ ra interface outside1 thì crypto map mới
được kích hoạt, và khi đó traffic mới được mã hóa và bảo vệ bởi VPN tunnel:
Hình 4.5: Ping thành công tới địa chỉ 192.168.3.2 sau khi thiết lập kết nối VPN
Xem thông tin tunnel của Phase 1 bằng lệnh show crypto ikev1 sa detail
Xem thông tin tóm tắt tunnel của cả Phase 1 và Phase 2 bằng lệnh show vpn-sessiondb l2l
Hình 4.9: Kết quả thu được từ lệnh “Show vpn-sessiomdb l2l”
Các lệnh kiểm tra trên router: show crypto isakmp sa detail để xem thông tin về tunnel của
Phase 1, và show crypto ipsec sa detail để xem thông tin về tunnel của Phase 2 (IPsec
tunnel).
Hình 4.10: Kết quả thu được từ lệnh “show crypto isakmp sa detail”
Hình 4.11a: Kết quả thu được từ lệnh “show crypto ipsec sa detail” trên gateway
Hình 4.11b: Kết quả thu được từ lệnh “show crypto ipsec sa detail” trên gateway (tiếp theo)
Hình 4.13a: Tiến hành phân tích một gói tin trong wireshark
Hình 4.13b: Tiến hành phân tích một gói tin trong wireshark (tiếp theo)
Pha này sử dụng một trong 2 mode để thiết lập SA: Main mode và Aggressive mode.
Sercurity Association (SA): SA là một kết nối giữa hai đồng nghiệp IPSec. Mỗi ngang hàng
IPSec duy trì một cơ sở dữ liệu SA, trong bộ nhớ của nó có chứa các thông số SA. SA là
duy nhất xác định bởi địa chỉ peer IPSec, giao thức bảo mật, và chỉ số tham số bảo mật
(SPI).
Các thông số bảo mật bắt buộc phải thỏa thuận trong phase 1 này là:
+ Thuật toán mã hóa: DES, 3DES, AES
+ Thuật toán hash: MD5, SHA
+ Phương pháp chứng thực: Preshare-key, RSA
+ Nhóm khóa Diffie-Hellman (version của Diffie-Hellman)
Main mode sử dụng 6 message để trao đổi thỏa thuận các thông số với nhau:
+ 2 message đầu dùng để thỏa thuận các thông số của chính sách bảo mật
+ 2 message tiếp theo trao đổi khóa Diffie-Hellman
+ 2 message cuối cùng thực hiện chứng thực giữa các thiết bị
Aggressive mode cũng giống như main mode nhưng chỉ sử dụng 3 message
+ Message đầu tiên gồm các thông số của chính sách bảo mật, khóa Diffie-Hellman
+ Message thứ 2 sẽ phản hồi lại thông số của chính sách bảo mật được chấp nhận, khóa
được chấp nhận và chứng thực bên nhận
+ Message cuối cùng sẽ chứng thực bên vửa gửi.
Vì vậy: Aggressive mode nhanh hơn main mode
− Quick mode:
Quick mode, là chế độ trong giai đoạn II. Nó dùng để thỏa thuận SA cho các dịch vụ bảo
mật IPSec. Ngoài ra, Quick mode cũng có thể phát sinh khóa chính mới. Nếu chính sách
của Perfect Forward Secrecy (PFS) được thỏa thuận trong giai đoạn I, một sự thay đổi hoàn
toàn Diffie-Hellman key được khởi tạo. Mặt khác, khóa mới được phát sinh bằng các giá trị
băm.
Hình 4.14 Lưu đường dẫn và ip máy cài đặt ASDM trên tftp
Thực hiện lệnh:
Các bước cấu hình VPN Client-to-Site (Vừa thực hiện bằng giao diện Web vừa chỉ ra
lệnh tương ứng)
Bước 1: Bật IPsec VPN trên cổng sẽ tiếp nhận kết nối này. Ở đây chính là cổng outside2.
Trên ASDM, vào Configuration > Remote Access VPN > Network (Client) Access >
IPsec(IKEv1) Connection Profiles, và check vào cổng mà ta muốn bật IPsec VPN.
Sang phần Advanced, ở phần Split Tunneling, ta lần lượt bỏ dấu check Inherit ở các mục
Policy và Network List, và chọn là Tunnel Network List Below và
USER_SPLIT_TUNNELING . Ý nghĩa của cấu hình này đó là chỉ gửi các traffic có
destination IP được permit trong ACL USER_SPLIT_TUNNELING qua VPN tunnel.
Những traffic còn lại sẽ được gửi đi trực tiếp mà không thông qua tunnel. Cuối cùng
chọn OK.
− Bước 3: Cấu hình connection profile (tunnel group) cho kết nối của user.
Trên ASDM, vào Configuration > Remote Access VPN > Network (Client) Access >
IPsec(IKEv1) Connection Profiles, chọn Add. Ở phần Basic, ta nhập các thông tin như
hình dưới (có thể chọn pre-shared-key là một giá trị bất kỳ, miễn sao phải giống nhau giữa
ASA và VPN client):
Sang phần Advanced, mở rộng mục IPsec, chọn IKE Authentication và check vào ô Send
“Enter Username and Password” cho phép ngoài pre-shared-key ra thì ASA sẽ tiếp tục
chứng thực user bằng username và password.
Hình 4.21b: Add ipsec remote access Connection profile tại tab IKE authentication
− Bước 4: Tạo user account trên local database của ASA để chứng thực user.
Trên ASDM, vào Configuration > Remote Access VPN > AAA/Local Users > Local
Users, chọn Add, sau đó nhập thông tin username và password của user. Ta cũng có thể
check vào ô No ASDM, SSH, Telnet or Console access nếu không muốn user được quyền
ASDM, Telnet hoặc SSH vào thiết bị.
Hình 4.23: Client thực hiện quay VPN với Group: REMOTE-VPN và Host là IP của ASA
Hình 4.25: Client VPN thành công sẽ được ASA cấp 1 IP VPN
Hình 4.26: Kết quả của lệnh “show crypto ikev1 sa”
Các ví dụ ACL dưới đây sẽ cung cấp cho chúng ta một hình dung tốt hơn của lệnh cấu
hình:
ciscoasa(config)# access-list DMZ_IN extended permit ip any any
ciscoasa(config)# access-group DMZ_IN in interface DMZ
Các lệnh cấu hình trên sẽ cho tất cả các lưu lượng mạng thông qua tường lửa
ciscoasa(config)# access-list INSIDE_IN extended deny tcp 192.168.1.0 255.255.255.0
192.168.6.0 255.255.255.0
ciscoasa(config)# access-list INSIDE_IN extended deny tcp 192.168.1.0 255.255.255.0 host
10.10.10.0 eq 80
ciscoasa(config)# access-list INSIDE_IN extended permit ip any any
ciscoasa(config)# access-group INSIDE_IN in interface inside
Ví dụ trên sẽ từ chối tất cả lưu lượng truy cập TCP từ 192.168.6.0/24 mạng nội bộ của
chúng ta với 3.3.3.0/24 mạng bên ngoài. Ngoài ra, nó sẽ từ chối kết nối HTTP (port80) từ nội
bộ của chúng ta mạng lưới các máy chủ bên ngoài 3.3.3.0/24.Tất cả các kết nối khác sẽ được
cho phép từ bên trong.
ciscoasa(config)# access-list OUTSIDE_IN extended permit tcp any host 10.10.10.2 eq 80
ciscoasa(config)# access-group OUTSIDE_IN in interface outside
Lệnh cấu hình ACL trên sẽ cho phép bất kỳ máy chủ trên Internet để truy cập vào máy chủ
Web Server (10.10.10.2).
Chú ý: địa chỉ 10.10.10.2 là địa chỉ công cộng toàn cầu của máy chủ web của chúng ta.
ASA(config)# access-list ACL1 extended permit/deny icmp any any echo
ASA(config)# access-list ACL1 extended permit/deny icmp any any echo-reply
ASA(config)# access-list ACL1 extended permit tcp any any eq 53 (port này của dns nhé)
ASA(config)# access-list ACL1 extended permit udp any any eq 53
ASA(config)# access-group ACL1 in interface dmz
ASA(config)#
ASA(config)# access-list ACL2 extended permit/ deny icmp any any echo
ASA(config)# access-list ACL2 extended permit/deny icmp any any echo-reply
ASA(config)# access-list ACL2 extended permit tcp any any eq 53
ASA(config)# access-list ACL2 extended permit udp any any eq 53
ASA(config)# access-list ACL2 extended permit tcp any 3.3.3.0 255.255.255.252 eq 80
ASA(config)# access-list ACL2 extended permit tcp any 192.168.6.0 255.255.255.0 eq 80
ASA(config)# access-list ACL2 extended permit tcp any 3.3.3.0 255.255.255.0 eq 21
ASA(config)# access-list ACL2 extended permit tcp any 10.10.10.0 255.255.255.0 eq 80
SVTH: LƯƠNG HỒNG TOÀN LỚP: D12CQVT01-N Trang 62
CHƯƠNG 4: TRIỂN KHAI VPN TRÊN CISCO ASA 5520
NAT PORT
ASA-1(config)# object network INSIDE-NAT
ASA-1(config-network-object)# subnet 192.168.6.0 255.255.255.0
ASA-1(config-network-object)# nat (inside,outside2) dynamic interface
Hình 4.29: Truy cập thành công từ vùng outside vào vùng dmz
KẾT LUẬN
Sau quá trình tìm hiểu và nghiên cứu, đồ án em đã đạt được các kết quả như
sau:
Nắm vững được những kiến thức cơ bản về VPN, biết cách xây dựng một kết nối
VPN, không chỉ trên Router cisco mà còn trên Firewall một thiết bị bảo mật rất
tốt cho an ninh hạ tầng mạng
− Đã hiểu rõ được thế nào là Firewall bản chất của Firewall là như thế nào.
− Chức năng của Firewall trong việc bảo mật mạng máy tính. Tính năng của từng
vùng trên firewall và ứng dụng điều này vào hệ thống demo.
− Những thành phần chính hình thành nên một Firewall.
− Tìm hiểu được an toàn và bảo mật mạng.
− Các yêu cầu về Firewall của doanh nghiệp nói chung cũng như các doanh nghiệp
nhỏ nói riêng.
− Tìm hiểu được các chính sách bảo mật của Firewall (Firewall ASA) trên công
nghệ của Cisco.
Tuy nhiên còn gặp một số khó khăn như sau:
− Chưa tiếp cận được thực tế để có giải pháp Firewall nào để đề ra cách triển khai
hệ thống chính xác.
− Việc triển khai và tìm hiểu chưa có nhiều điều kiện thực tế, nhiều vấn đề chỉ mới
tham khảo qua tài liệu.
Trên cơ sở những thuận lợi và khó khăn khi thực hiện đồ án, em xin đưa ra
hướng phát triển nhằm từng bước hoàn thiện đồ án:
− Tìm hiểu thêm các kỹ thuật trong Firewall sâu hơn nữa đặc biệt là Firewall ASA.
− Mở rộng tìm hiểu các thiết bị Firewall khác chẳng hạn như fortigate, cyberoam,
paloalto, pfsense những thiết bị tầm trung, phù hợp với nhiều doanh nghiệp thay
vì dùng ASA chi phí khá đắc.
− Xây dựng một mô hình Firewall có tính thực tiễn cao, có thể triền khai và áp
dụng được ngoài thực tế. Hoặc thiết kế VPN cho phép chạy IPv6.
− Mở rộng nghiên tìm hiểu công nghệ mới có khả năng thay thế VPN trong tương
lai là “ DirectAccess” bởi những tính năng mới tối ưu hơn. Chẳng hạn như:
+ DirecAccess Client có thể nhận biết khi nào máy tính được kết nối trực tiếp với
mạng công ty, khi nào kết nối được thực hiện từ xa.
+ DirectAccess Client thực hiện xác thực thiết bị thông qua quá trình khởi động
Xác thực với server, và xác thực người dùng thông qua quá trinhg logon của user
Người dùng có thể xác thực với smart card hoặc các thiết bị sinh trắc học.
+ DirectAccess hổ trợ chạy đồng thời nhiều giao thức như IPv4, IPv6
[1] Cisco ASA 5500 Series Configuration Guide using the CLI 8.4, Cisco Systems, Inc.
Released: January 31, 2011 Updated: October 31, 2012
[2] Cisco Security Appliance Command Line Configuration Guide, Cisco Systems, Inc.
[3] CCNP Security FIREWALL 642-618 Official Cert Guide 5-2012, David Hucaby,
Dave Garneau and Anthony Sequeira
[4] Bài giảng An ninh mạng, Học viện Công Nghệ Bưu Chính Viễn Thông HCM.
[5] http://www.pcworld.com.vn/articles/cong-nghe/an-ninh-
mang/2016/07/1249200/san-bay-tan-son-nhat-va-noi-bai-bi-hack-boi-tin-tac/.html
[6] http://congnghe.nld.com.vn/an-toan-thong-tin/nhieu-camera-an-ninh-tai-viet-
nam-bi-tan-cong-ddos-20161004101948597.html