TRƯỜNG ĐẠI HỌC VINH KHOA CÔNG NGHỆ THÔNG TIN BÁO CÁO ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC Tên đề tài: BẢO MẬT MẠNG MÁY TÍNH VÀ FIREWALL Sinh viên thực hiện: Nguyễn Văn An – Mã sinh viên: Lớp: Giáo viên hướng dẫn:ThS (hoặc TS.) Hồ Văn Tèn Nghệ An, tháng 12 năm 2012 LỜI CẢM ƠN Sau tháng nỗ lực thực đồ án tốt nghiệp phần hoàn chỉnh Ngoài cố gắng thân cịn nhận hỗ trợ lớn từ bạn bè, thầy cô gia đình Trước hết, em cảm ơn đến thầy cô truyền đạt kiến thức quý báo cho chúng em suốt trình học tập Đặc biệt, em xin gởi lời cảm ơn chân thành sâu sắc đến thầy THS Nguyễn Quang Ninh, thầy tận tình hướng dẫn giúp đỡ đóng góp cho chúng em nhiều ý kiến quý báu suốt trình làm đồ án Cám ơn gia đình, bạn bè bạn chung khóa ln bên cạnh cho lời khuyên chân thành Cám ơn thầy cô khoa CNTT Đại học Vinh tạo điều kiện tốt để em bạn khác thực đồ án cách thuận lợi suôn sẻ Cuối cùng, em xin cảm ơn tất người, cám ơn tất mà người dành cho em Nghệ An , tháng 12 năm 2012 Nguyễn Bá Tài LỜI NÓI ĐẦU Ngày nay, việc trì hệ thống mạng nội hoạt động ổn định , nhanh chóng, an tồn tin cậy vấn đề tổ chức doanh nghiệp đặc biệt quan tâm Trong đó, yếu tố an tồn mạng ln đặt lên hàng đầu Nắm bắt nhu cầu tổ chức doanh nghiệp, số tập đồn cơng nghệ thơng tin truyền thông hàng đầu giới đưa nhiều giải pháp bảo mật Firewall (cả phần cứng lẫn phần mềm) để bảo vệ môi trường mạng Cùng với đời phát triển máy tính mạng máy tính vấn đề bảo mật thông tin, ngăn chặn xâm phạm đánh cắp thơng tin máy tính thơng tin cá nhân mạng máy tính mà ngày có nhiều hacker xâm nhập phá huỷ liệu quan trọng làm thiệt hại đến kinh tế cơng ty nhà nước Được hướng dẫn nhiệt tình chu đáo thầy giáo THS Nguyễn Quang Ninh em tìm hiểu nghiên cứu đồ án tốt nghiệp: “Bảo mật mạng máy tính Firewall” Đồ án trình bày vấn đề tổng quan bảo mật mạng, firewall Với lòng biết ơn sâu sắc, em xin chân thành cảm ơn thầy THS Nguyễn Quang Ninh thầy cô giáo khoa CNTT _Đại hoc Vinh nhiệt tình hướng dẫn giúp đỡ em hồn thành đợt thực tập Cuối xin em cảm ơn bạn bè, người thân bên tôi, kịp thời động viên giúp đỡ thời gian vừa qua Em xin chân thành cảm ơn ! Nghệ An, tháng 12 năm 2012 Sinh viên MỤC LỤC LỜI CẢM ƠN LỜI NÓI ĐẦU MỤC LỤC Chương 1: TỔNG QUAN VỀ MẠNG MÁY TÍNH 1.2.1 Giao Thức khơng có khả tìm đường: 10 1.2.3 Giao Thức Định Tuyến 15 1.3.3 Mail Server 19 1.3.4 Truyền file (FTP): 20 1.3.5 Truy cập từ xa (Telnet): 20 1.3.6 Mạng riêng ảo (VPN) 20 1.3.7 World Wide Web: 21 CHƯƠNG II : BẢO MẬT MẠNG VÀO FIREWALL 22 I TỔNG QUAN VỀ BẢO MẬT MẠNG 22 2.1 Định nghĩa bảo mật mạng: 22 2.1.1 Các yếu tố cần quan tâm phân tích bảo mật mạng: 23 2.1.2 Các yếu tố cần bảo vệ : 23 2.2 Các kiểu công mạng: 23 2.2.1 Thăm dò(reconnaissance): 24 2.2.2 Đánh lừa (IP spoofing): 24 2.2.3 Tấn công từ chối dịch vụ (Denial of services): 24 2.2.4 Tấn công trực tiếp password: 24 2.2.5 Thám thính(agent): 24 2.2.6 Tấn công vào yếu tố người: 24 2.3 Các mức độ bảo mật: 24 2.3.1Quyền truy nhập: 25 2.3.2 Đăng nhập/Mật khẩu(login/password): 25 2.3.3 Mã hóa liệu(Data encryption): 25 2.3.4 Bảo vệ vật lý (Physical protect): 25 2.3.5 Bức tường lửa (firewall): 25 2.4 Các biện pháp bảo vệ an toàn hệ thống: 25 2.4.1 Quyền hạn tối thiểu (Least Privilege): 25 2.4.2 Bảo vệ theo chiều sâu (Defense in Depth): 26 2.4.3 Nút thắt (choke point): 26 2.4.4 Điểm xung yếu (Weakest point): 26 2.4.5 Hỏng an toàn (Fail–Safe Stance): 26 2.4.6 Sự tham gia toàn cầu: 26 2.4.7 Kết hợp nhiều biện pháp bảo vệ: 27 2.4.8 Đơn giản hóa: 27 2.5 Các sách bảo mật: 27 2.5.1 Kế hoạch bảo mật mạng: 27 2.5.2Chính sách bảo mật nội bộ: 28 2.5.3 Phương thức thiết kế: 28 2.5.4 Thiết kế sách bảo mật mạng: 28 2.5.4.1 Phân tích nguy an ninh: 28 2.5.4.2 Xác định tài nguyên cần bảo vệ: 28 2.5.4.3 Xác định mối đe dọa bảo mật mạng: 29 2.5.4.4Xác định trách nhiệm người sử dụng mạng: 29  2.5.4.5 Kế hoạch hành động sách bị vi phạm: 30 2.5.4.6 Xác định lỗi an ninh: 31 II : FIREWALL 32 2.6 Tìm hiểu Firewall 32 2.6.1 Khái niệm Firewall 32 2.6.2.1Firewall mềm 33 -Đặc điểm Firewall mềm: 33 2.6.3 Vì cần Firewall 33 2.6.4 Chức 34 2.6.5 Nhiệm vụ Firewall 34 2.6.6 Những hạn chế firewall 35 2.6.7 Các thành phần Firewall nguyên lý hoạt động 35 2.6.7.1Bộ lọc gói (Packet Filtering) 35 2.6.7.2 Cổng ứng dụng ApplicationLevelGateway 36 2.6.7.3 Cổng vòng: 38 2.2.8.1Dual homed host: 39 2.2.9 Demilitarized Zone(DMZ) 44 CHƯƠNG III : GIỚI THIỆU PHẦN MỀM ISA 2006, CÀI ĐẶT VÀ CẤU HÌNH ISA 2006 CHO MƠ HÌNH DOANH NGHIỆP VỪA VÀ NHỎ 47 3.1 Tổng quan ISA Server 2006 47 3.1.1 Các phiên ISA Server 2006 47 3.1.2 Tính Firewall 48 3.2 Nhu cầu người sử dụng đặt cho hệ thống mơ hình giải pháp 49 3.3 Mơ hình giải pháp 50 3.3.1 Mơ hình: 50 3.3.2 Giải pháp : 50 3.4 TIẾN HÀNH CÀI ĐẶT : 51 3.4.1.Đăt Địa ip 51 3.4.2 Cài đặt 52 3.4.2.1Nâng cấp Server lên Domain Controler 52 3.4.2.2 Cài đặt ISA Server 2006 máy ISA Server 53 3.4.2.3 Cấu hình Firewall 57 3.4.2.4 Đánh giá mơ hình: 67 KẾT LUẬN 69 Tài Liệu Tham Khảo 71 Chương 1: TỔNG QUAN VỀ MẠNG MÁY TÍNH Giới thiệu mạng máy tính mơ hình mạng Giới thiệu mạng máy tính Mạng máy tính bao gồm nhiều thành phần, chúng nối với theo cách thức sử dụng chung ngơn ngữ - Các thiết bị đầu cuối (End System) kết nối với tạo thành mạng máy tính (Computer) thiết bị khác Nói chung ngày nhiều loại thiết bị có khả kết nối vào mạng máy tính điện thoại di động, Tivi, … - Môi trường truyền (media) mà truyền thơng thực qua Mơi trường truyền loại dây dẫn (cáp), sóng (đối với mạng không dây),… - Giao thức (protocol) quy tắc quy định cách thức trao đổi liệu thực thể Tóm lại, mạng máy tính tập hợp máy tính thiết bị khác (các nút), chúng sử dụng giao thức mạng chung để chia sẻ tài nguyên với nhờ phương tiện truyền thơng mạng Các mơ hình mạng Một máy tính có mạng thuộc loại sau: - Máy khách (client): không cung cấp tài nguyên mà sử dụng tài nguyên mạng - Máy chủ (server): Cung cấp tài nguyên dịch vụ cho máy mạng -Peer: Sử dụng tài nguyên mạng đồng thời cung cấp tài nguyên mạng Mơ hình khách chủ (client/server) Các máy khách nối với máy chủ nhận quyền truy cập mạng tài nguyên mạng từ máy chủ Máy chủ quản lý tất tài nguyên quyền truy cập vào mạng Hình : Mơ hình trạm chủ (Client/Sever) - Đặc điểm: - Độ an tồn tính bảo mật thơng tin: Có độ an tồn bảo mật thông tin cao Người quản trị mạng quyền truy nhập thông tin cho máy - Khả cài đặt: Khó cài đặt - Địi hỏi phần cứng phần mềm: Địi hỏi có máy chủ, hệ điều hành mạng phần cứng bổ sung - Quản trị mạng: Phải có quản trị mạng - Xử lý lưu trữ tập trung: Có -Chi phí cài đặt: cao Mơ hình mạng ngang hàng(Peer-to-Peer) Mạng ngang hàng mạng tạo hai hay nhiều máy tính kết nối với chia sẻ tài nguyên mà thông qua máy chủ dành riêng Hình : Mơ hình mạng ngang hàng (Peer to Peer) -Đặc Điểm: - Độ an tồn tính bảo mật thơng tin: Độ an tồn bảo mật kém, phụ thuộc vào mức truy nhập chia sẻ - Khả cài đặt: Dễ cài đặt - Đòi hỏi phần cứng phần mềm: Không cần máy chủ, hệ điều hành mạng - Quản trị mạng: Không cần có quản trị mạng - Xử lý lưu trữ tập trung: Khơng - Chi phí cài đặt: Thấp Giao thức mạng (Protocol) Là quy định việc truyền thơng mạng máy tính cách đánh địa chỉ, cách đóng gói thơng tin, cách mã hóa quản lý gói tin Hình : Mơ cách thức truyền liệu hai hệ thống Một tập hợp tiêu chuẩn để trao đổi thông tin hai hệ thống máy tính hai thiết bị máy tính với gọi giao thức Các giao thức gọi nghi thức định ước máy tính 1.2.1 Giao Thức khơng có khả tìm đường: NetBIOS NetBIOS giao diện ứng dụng cho phép ứng dụng truy cập dịch vụ mạng thông qua phương tiện truyền tải mạng NetBEUI, TCP/IP, SPX/IPX Cung cấp giao diện lập trình cho ứng dụng nằm lớp Phiên làm việc (mơ hình mạng OSI ) NetBIOS cịn đóng gói theo tiêu chuẩn truyền giao thức TCP/IP SPX/IPX (giao thức hỗ trợ định tuyến) 10 NEXT tiếp Click Finish Tương tự ta tạo ra: + Access Rule kết nối mạng nội internet 60 + Các quyền truy cập phòng ban + Cho phép giám đốc vào internet Điền tên Access Rule Chọn Add internal 61 Chọn Add External Chon User :GD 62 Finish + Cấm phòng kinh doanh(KD) truy nhập http://google.com.vn Điền Tên Rule 63 Chọn Deny Chọn all outbound trafic NEXT 64 Add Internal Next Add URL “web cam vao” Next 65 Add KD Next FINISH 66 + Giới hạn thời gian sử dụng internet phòng ban + Cấm vào số WEB phòng ban + Xây dựng Public mail Web Mail + Triển khai VPN Client to Gateway : VPN (Virtual Private Network) giải pháp hữu hiệu để kết nối hệ thống mạng doanh nghiệp có nhiều chi nhánh nằm khác vị trí địa lý doanh nghiệp có nhiều nhân viên phải thường xuyên công tác xa họ muốn truy cập vào tài nguyên mạng nội 3.4.2.4 Đánh giá mơ hình: +Ưu điểm: - Chi phí cho mơ hình thấp - Việc quản trị dễ dàng mạng thiết kế theo mơ hình xử lý tập trung - Dữ liệu bảo mật an toàn, dễ backup diệt virus 67 - Không sợ xảy trục trặc hệ điều hành - Khi mở rộng mạng tương đối đơn giản, khoảng cách xa dùng Repeater để khuếch đại tín hiệu + Hạn chế : - Phụ thuộc nhiều vào Server -Khó đáp ứng yêu cầu nhiều ứng dụng khác - Cấu hình máy Server phải mạnh - Máy Server phải cài nhiều dịch vụ cung cấp cho máy client- Khi đoạn cáp hay đầu nối bị hở có hai đầu cáp khơng nối với terminator nên tín hiệu bị dội ngược làm tồn hệ thống mạng phải ngưng hoạt động Những lỗi khó phát hỏng chỗ nên cơng tác quản trị khó mạng lớn 68 KẾT LUẬN - Kết Quả : Qua việc nghiên cứu mạng máy tính an tồn mạng máy tính, vấn đề bảo mạt mạng máy tính lửa - giải pháp hiệu bảo vệ mạng máy tính Qua suốt tháng tìm hiểu nghiên cứu thu nhiều kiến thức mạng máy tính thiết bị mạng chế hoạt động mạng máy tính, nguy đe doạ hệ thống mạng máy tính, + phân tích mức an toàn đưa giải pháp bảo vệ an toàn hệ thống Nghiên cứu Fireuwall chế hoạt động thành phần + Thiết kế xây dựng giải pháp quản trị an ninh mạng với phần mềm Firewall ISA Server 2006 bảo vệ mạng nộ Ngăn chặn xâm nhập Hacker dị tìm lổ hỏng port thơng qua mạng Internet Bên cạnh đó, sử dụng chức có sẵn chức add-in ISA Server 2006 để hạn chế nhân viên sử dụng internet không hợp lý Đồng thời sử dụng chức để Publish dịch vụ Web, Mail internet nhầm phuc vụ trình làm việc nhân viên Ngồi ra, nhân viên truy cập từ xa qua mạng nhờ chức VPN Client To Site + Ứng dụng thực tiễn để giải vấn đề quản trị an ninh mạng mơ hình Doanh Nghiệp vừa nhỏ - Hạn Chế : + Chưa tìm hiểu hết mơ hình bảo mật mạng máy tính + Chưa tìm hiểu hết kỹ thuật lập trình Firewall + Chưa tiếp cận thực tế giải pháp Firewall để đề cách triển khai hệ thống xác + Việc triển khai tìm hiểu chưa có nhiều điều kiện thực tế , nhiều vấn dề qua tài liệu Trong thực đồ án tốt nghiệp không tránh khảo khiếm khuyết sai lệch em mong báo giúp đỡ thầy cô bạn -Hướng Phát Triển : Trên sở việc làm chưa làm thực đề tài tơi xin đưa hướng phat triển nhằm bước hoàn thiện đề tài + Tìm hiểu thêm kỹ thuật lập trình Firewall, đề xuất phương án giải pháp tốt + Xây dựng chương trình Firewall có tính thực tiển cao 69 + Hiện em cịn tìm hiểu IDS, IPS hai hệ thống giúp bảo vệ mạng ngăn chặn mối đe dọa công cách hiệu sử dụng hiệu Qua đợt đồ án tốt nghiệp hiểu biết thêm nhiều bảo mật mạng Đây tiền đề sở để tiếp tục nghiên cứu vấn đề sâu bảo mật mạng máy tính mạng viễn thông 70 Tài Liệu Tham Khảo  Cấu trúc máy vi tính – Tg: Trần Quang Vinh (NXB Giáo Dục)  Giáo trình Cấu trúc máy tính – Tg: Tống Văn On, Hoàng Đức Hải (NXB Lao Động – Xã Hội)  Mạng máy tính hệ thống mở – Tg: Nguyễn Thúc Hải (NXB Giáo Dục)  An toàn bảo mật tin tức mạng – Học viện Cơng nghệ Bưu Viễn thơng (NXB Bưu Điện)  Bức tường lửa Internet An ninh mạng – NXB Bưu Điện  Network and Internetwork Security – Tg: William Stallings  Cisco Networking Academy Program CCNA 1, CCNA  Các viết mạng máy tính tường lửa – Tham khảo qua Internet  Cisco - CCSP SND 642-551 Network Security Fundamentals(2005)  Cisco - Intrusion Prevention Fundamentals(2006) QUY ĐỊNH VIẾT BÁO CÁO ĐỒ ÁN VÀ LUẬN VĂN TỐT NGHIỆP I Cấu trúc Báo cáo: Bìa ngồi Bìa Lời cảm ơn Lời mở đầu Mục lục: Tạo tự động, trình bày đẹp Nội dung: Chương 1: 1.1 1.1.1 1.1.2 … 1.2 … Chương 2: 2.1 71 … 2.2 … Kết luận: Nêu rõ ý i Kết đạt đề tài ii Hạn chế đề tài iii Hướng khắc phục phát triển đề tài Tài liệu tham khảo: Theo quy định: tài liệu tiếng Việt trước, tài liệu tiếng Anh sau [1] Họ tên tác giả, Tên tài liệu, Nhà xuất bản, Năm xuất [2] … Lưu ý: Tên tài liệu chữ nghiêng II Quy định Định dạng: Font: Times New Roman Cỡ: 13 Cách đoạn (Spacing): i Trước (Before): ii Sau (After): Giãn dòng (Line Spacing): Lề trên: 2.5 cm; Lề trái: 3.0 cm; Cỡ giấy: Header: Footer: pt pt Multiple 1.3 Lề dưới: 2.5 cm; Lề phải: 2.0 cm; A4 Đồ án/Luận văn tốt nghiệp đại học Nguyễn Văn An – Lớp – Khoa CNTT III Một số lưu ý: - Khảo lỗi tả kỹ trước nạp cho giáo viên - Căn lế giữa, trái , phải, lề hợp lý cho nội dung báo cáo - Tổng số trang Báo cáo: Trong khoảng 35 đến 50 trang 72 IV Mẫu Bìa ngồi TRƯỜNG ĐẠI HỌC VINH KHOA CƠNG NGHỆ THÔNG TIN NGUYỄN VĂN AN BÁO CÁO ĐỒ ÁN / LUẬN VĂN TỐT NGHIỆP ĐẠI HỌC Tên đề tài: Nghệ An, tháng 73 năm 2012 V Mẫu bìa trong: TRƯỜNG ĐẠI HỌC VINH KHOA CƠNG NGHỆ THÔNG TIN BÁO CÁO ĐỒ ÁN / LUẬN VĂN TỐT NGHIỆP ĐẠI HỌC Tên đề tài: Sinh viên thực hiện: Nguyễn Văn An – Mã sinh viên: Giáo viên hướng dẫn: Lớp: ThS (hoặc TS.) Hồ Văn Tèn Nghệ An, tháng 12 năm 2012 74 ... CHƯƠNG II : BẢO MẬT MẠNG VÀO FIREWALL I TỔNG QUAN VỀ BẢO MẬT MẠNG 2.1 Định nghĩa bảo mật mạng: Bảo mật mạng đảm bảo an toàn toàn hệ thống mạng trước hoạt động nhằm công phá hoại hệ thống mạng từ... pháp bảo mật Firewall (cả phần cứng lẫn phần mềm) để bảo vệ môi trường mạng Cùng với đời phát triển máy tính mạng máy tính vấn đề bảo mật thông tin, ngăn chặn xâm phạm đánh cắp thơng tin máy tính. .. có mạng đáng bảo vệ sách bảo mật mạng đáng thực Hầu hết quan có thơng tin nhạy cảm bí mật cạnh tranh mạng máy tính họ, cần sách bảo mật mạng đề bảo vệ tài nguyên thông tin công ty Để có sách bảo