- Nguyễn Quý Linh AN TOÀN MẠNG MÁY TÍNH VÀ GIẢI PHÁP XÁC THỰC NGƯỜI DÙNG LUẬN VĂN THẠC SỸ KỸ THUẬT Kỹ thuật truyền thông HÀ NỘI – 2015 BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI. - Nguyễn Quý Linh AN TOÀN MẠNG MÁY TÍNH VÀ GIẢI PHÁP XÁC THỰC NGƯỜI DÙNG LUẬN VĂN THẠC SỸ KỸ THUẬT Kỹ thuật truyền thông Người hướng dẫn khoa học TS.Trần Minh Trung HÀ NỘI – 2015 1 LỜI CAM ĐOAN Tôi xin cam đoan Luận văn Thạc sĩ kỹ thuật này là do tôi nghiên cứu và đƣợc thực hiện dƣới sự hƣớng dẫn khoa học của TS.Trần Minh Trung. - Em xin chân thành cảm ơn các anh, chị đồng nghiệp tại Phòng Hạ tầng Công nghệ thông tin Công ty cổ phần tin học Viễn Thông – Hàng Không (AITS) đã giúp đỡ em trong suốt quá trình thực hiện đề tài. - Mạng máy tính và các vấn đề phát sinh. - Sự cần thiết phải có an ninh mạng trong một hệ thống mạng. - Xác định nguy cơ đối với hệ thống mạng. - Đo lƣờng mức độ nguy cơ của một hệ thống mạng. - Quá trình thăm dò tấn công. - Quét hệ thống (Scanning. - Duy trì điều khiển hệ thống (Maitaining access. - Các biện pháp bảo mật mạng. - Mã hoá, nhận dạng, chứng thực ngƣời dùng và phần quyền sử dụng 19 1.3.2. - Bảo mật máy trạm. - Bảo mật truyền thông. - Các công nghệ và kỹ thuật bảo mật. - Bảo mật bằng firewall. - Bảo mật bằng VPN. - Bảo mật bằng IDS (Phát hiện tấn công. - Bảo mật ứng dụng. - Các giao thức VPN. - 35 Chƣơng 3 - TỔNG QUAN VỀ AAA VÀ CẤU HÌNH AAA TRÊN CISCO ASA FIREWALL. - Xác thực (Authentication. - Giao thức sử dụng trong dịch vụ AAA. - Cấu hình xác thực. - Cấu hình uỷ quyền. - Cấu hình kiểm toán. - Cấu hình Thiết bị. - Giao thức MPLS. - Cisco secure ACS. - Vì sao lại có Cisco Secure ACS. - Cấu trúc của Cisco Secure ACS. - Cách thức hoạt động của Cisco Secure ACS. - Lộ trình triển khai Cisco Secure ACS. - So sánh RouterOS, Cisco secure ACS và các sản phẩm khác. - 76 Chƣơng 5 - ỨNG DỤNG TRIỂN KHAI ACS VÀO HỆ THỐNG MẠNG CỦA VIETNAM AIRLINES. - Thực trạng hệ thống hiện tại. - Thực trạng hệ thống VPN. - Triển khai Cisco Secure ACS vào mạng Vietnamairlines. - Mô hình triển khai. - Các bƣớc cài đặt cấu hình hệ thống. - Cấu hình cơ bản cho ASA. - Cấu hình thông tin xác thực trên AAA server sử dụng phần mềm Cisco secure ACS. - Tiến hành kiểm tra xác thực. - Cấu hình xác thực cho VPN trên ACS. - 126 7 DANH MỤC CÁC HÌNH VẼ Hình 1-1 Quá trình đánh giá nguy cơ của hệ thống. - 15 Hình 1-2 Quá trình thăm dò vào một hệ thống mạng. - 19 Hình 1-6 Mô hình giải thuật băm. - 24 Hình 1-12 Bảo mật FTP. - 26 Hình 1-13 Mô hình tổng quát firewall. - 28 Hình 1-14 Bảo mật bằng VPN. - 29 Hình 1-15 Hệ thống chống xâm nhập IDS. - 31 Hình 2-1 Mô hình mạng VPN. - 32 Hình 2-2 Mô hình L2TP. - 34 Hình 2-3 Mô hình IPSEC. - 35 Hình 2-4 Mô hình PPTP. - 35 Hình 3-1 Mô hình AAA chung. - 37 Hình 3-2 Các giao thức cho dịch vụ AAA. - 44 Hình 3-5 Mô tả tiến trình sử dụng Virtual http. - 51 Hình 4-1 Mô hình mạng doanh nghiệp. - 67 Hình 4-6 Tính năng quản lý cấu hình thiết bị. - 76 Hình 5-1 Băng thông sử dụng trung bình. - 79 Hình 5-2 Số peer mỗi hệ thống tại Gia Lâm. - 79 Hình 5-3 Mô hình sử dụng firewall và AAA Server. - 80 Hình 5-4 Mô hình mô phỏng trên VMware Workstation. - 99 Hình 5-25 Kiểm tra xác thực truy cập ASA với server chứng thực là AAA Server. - 111 Hình 5-37 Cấu hình Identity. - 112 Hình 5-38 Cấu hình Authorization - Cusomize. - 113 Hình 5-39 Cấu hình Authorization - Rule. - 114 Hình 5-40 Cấu hình Authorization - Rule. - 115 Hình 5-41 Cấu hình Authorization. - 116 Hình 5-42 Cấu hình Rule default. - 118 9 DANH MỤC CÁC CHỮ VIẾT TẮT DDoS Distributed denial of service Tấn công từ chối dịch vụ IDS Intrusion detection system Hệ thống phát hiện xâm nhập SQL Structured Query Language Ngôn ngữ truy vấn DNS Domain Name System Phân giải tên miền MD5 Message Digest 5 Thuật toán tóm lƣợc tin báo 5 SHA-1 Secure Hash Algorithm Hàm băm DES Data Encryption Standard Mã hóa dữ liệu tiêu chuẩn 3DES Triple DES Mã hóa dữ liệu tiêu chuẩn 3 lần AES Advanced Encryption Standard Mã hóa dữ liệu nâng cao RSA Ron Rivest, Adi Shamir, and Leonard Adleman (tên riêng) DSA Digital Signature Standard Chữ ký số tiêu chuẩn Diffie-Hellman W.Diffie and Dr.M.E.Hellman (tên riêng) CHAP Challenge Hanshake Authentication Protocol Giao thức xác thực bắt tay hai bƣớc KDC key distribution center Trung tâm phân phối khóa TGS ticket granting server Máy chủ cấp vé AS authentication server Máy chủ xác thực CA Certificates Authority Chứng chỉ bảo mật PKI Public Key Infrastructure Cơ sở hạ tầng khóa công khai FTP Transfer Protocol Giao thức truyền dẫn SSH Secure Shell Shell bảo mật VPN Virtual Private Network Mạng riêng ảo HTML HyperText Markup Language Ngôn ngữ đánh dấu siêu văn bản SMTP Simple Mail Transfer Protocol Giao thức gửi mail đơn giản PVC Permanent Virtual Circuit Vòng chuyển mạch ảo 10 L2TP Layer 2 Tunneling Protocol Giao thức đƣờng hầm lớp 2 L2F Layer 2 Forwarding Chuyển tiếp lớp 2 IPSec Internet Protocol Security Giao thức bảo mật IP EAP Extensible Authentication Protocol Giao thức xác thực mở rộng RAS Remote Access Server Máy chủ điều khiển từ xa WAN Wide area network Mạng mở rộng ESP Encapsulation Security Payload Đóng gói bảo mật tải IETF Internet Engineering Task Force Lực Lƣợng Quản Lý Kỹ Thuật OSI Open Systems Interconnection Reference Model Mô hình tham chiếu mở ISAKMP Internet Security Association and Key Management Protocol Giao thức quản lý mã khóa SPD Security Policy Database Cơ sở dữ liệu Chính sách bảo mật DMZ Demilitarized zone Khu phi quân sự PSTN Public switched telephone network Mạng điện thoại công cộng VoIP Voice over Internet Protocol Giao thức thoại qua Internet ACL Access control list Danh sách kiểm soát truy cập NAT Network address translation Phân giải địa chỉ PAT Port Address Translation Phân giải cổng ACS Access Control Server Máy chủ điều khiển truy cập IEEE Institute of Electrical and Electronics Engineers Học Viện kỹ nghệ Điện và Điện Tử LEAP Lightweight Extensible Authentication Protocol Giao thức xác thực mở rộng Lightweight OTP One-time password Mật khẩu một lần 11 DANH MỤC CÁC BẢNG Bảng 1-1 Các phƣơng pháp mã hóa đối xứng thông dụng. - Các ngành công nghiệp máy tính và truyền thông phát triển đã đƣa thế giới chuyển sang thời đại mới: thời đại công nghệ thông tin. - Việc nắm bắt và ứng dụng Công nghệ thông tin trong các lĩnh vực khoa học, kinh tế, xã hội đã đem lại cho các doanh nghiệp và các tổ chức những thành tựu và lợi ích to lớn. - Máy tính đã trở thành công cụ đắc lực và không thể thiếu của con ngƣời, con ngƣời có thể ngồi tại chỗ mà vẫn nắm bắt đƣợc các thông tin trên thế giới hàng ngày đó là nhờ vào sự phát triển mạnh mẽ của Internet. - Các tổ chức, công ty hay các cơ quan đều phải (tính đến) xây dựng hệ thống tài nguyên chung để có thể phục vụ cho nhu cầu của các nhân viên và khách hàng. - Và một nhu cầu tất yếu sẽ nảy sinh là ngƣời quản lý hệ thống phải kiểm soát đƣợc việc truy nhập sử dụng các tài nguyên đó. - Để thực hiện đƣợc các nhu cầu truy nhập trên, chúng ta phải xác định đƣợc ngƣời dùng hệ thống là ai để có thể phục vụ một cách chính xác nhất, đó chính là việc xác thực ngƣời dùng. - Là một ngƣời làm về hệ thống với công việc là nghiên cứu, thiết kế, triển khai và quản trị hệ thống mạng của Tổng Công ty Hàng Không Việt Nam (Vietnam Airlines Corporation) thì việc tích hợp triển khai hệ thống xác thực ngƣời dùng cho mạng Vietnamairlines là vô cùng cần thiết và cấp bách. - Do đó tác giả đã lựa chọn đề tài “An toàn mạng máy tính và giải pháp xác thực ngƣời dùng” cho luận văn của mình. - Mạng máy tính và các vấn đề phát sinh 1.1.1. - Sự cần thiết phải có an ninh mạng trong một hệ thống mạng An ninh mạng bảo vệ mạng của bạn trƣớc việc đánh cắp và sử dụng sai mục đích thông tin kinh doanh bí mật và chống lại tấn công bằng mã độc từ vi rút và sâu máy tính trên mạng Internet. - Từ đây ta thấy đƣợc an ninh trong hệ thống mạng luôn là vấn đề nóng hổi, cần đƣợc quan tâm và mang tính quan trọng hơn hết. - Theo số liệu từ VNCERT năm 2014 ở Việt Nam có 19.789 sự cố gồm các loại sự cố tấn công lừa đảo, tấn công thay đổi giao diện và tấn công cài mã độc lên website…. - 1.458 sự cố tấn công lừa đảo, tăng 179% so với năm ngoái. - VNCERT đã gửi yêu cầu điều phối và xử lý đƣợc 1.138 sự cố (tăng 145% so với năm 2013). - 10.037 sự cố tấn công cài mã độc lên website, đã gửi yêu cầu điều phối và xử lý 5.976 sự cố, trong đó có 20 sự cố liên quan đến tên miền .gov.vn. - 8.291 sự cố tấn công thay đổi giao diện (tăng 406% so với năm 2013), trong đó có 274 sự cố liên quan đến tên miền .gov.vn, đã gửi yêu cầu điều phối và xử lý 4.493 sự cố. - 88 sự cố tấn công tấn công từ chối dịch vụ (DDoS) đƣợc gửi tới các nhà cung cấp dịch vụ Internet: Viettel, ODS, CMC, FPT, QTSC, Hanel, Nhân Hòa, SPT và VDC. - Các yếu tố cần được bảo vệ trong hệ thống mạng Yếu tố đầu tiên phải nói đến là dữ liệu, những thông tin lƣu trữ trên hệ thống máy tính cần đƣợc bảo vệ do các yêu cầu về tính bảo mật, tính toàn vẹn hay tính kịp thời. - Thông thƣờng yêu cầu về bảo mật đƣợc coi là yêu cầu quan trọng đối với thông tin lƣu trữ trên mạng. - Tuy nhiên, ngay cả khi những thông tin không đƣợc giữ bí mật, thì yêu cầu về tính toàn vẹn cũng rất quan trọng. - Không một cá nhân, một tổ chức nào lãng phí tài nguyên vật chất và thời gian để lƣu trữ những thông tin mà không biết về tính đúng đắn của những thông tin đó. - Yếu tố thứ hai là về tài nguyên hệ thống, sau khi các Attacker đã làm chủ đƣợc hệ thống chúng sẽ sử dụng các máy này để chạy các chƣơng trình nhƣ dò tím mật khẩu để tấn công vào hệ thống mạng. - Các yếu tố đảm bảo an toàn thông tin An toàn thông tin nghĩa là thông tin đƣợc bảo vệ, các hệ thống và những dịch vụ có khả năng chống lại những tai hoạ, lỗi và sự tác động không mong đợi. - Mục tiêu của an toàn bảo mật trong công nghệ thông tin là đƣa ra một số tiêu chuẩn an toàn và ứng dụng các tiêu chuẩn an toàn này để loại trừ hoặc giảm bớt các nguy hiểm. - Hiện nay các biện pháp tấn công càng ngày càng tinh vi, sự đe dọa tới độ an toàn thông tin có thể đến từ nhiều nơi khác nhau theo nhiều cách khác nhau, vì vậy các yêu cầu cần để đảm bảo an toàn thông tin nhƣ sau. - Tính bí mật: Thông tin phải đảm bảo tính bí mật và đƣợc sử dụng đúng đối tƣợng. - Tính toàn vẹn: Thông tin phải đảm bảo đầy đủ, nguyên vẹn về cấu trúc, không mâu thuẫn. - Tính sẵn sàng: Thông tin phải luôn sẵn sàng để tiếp cận, để phục vụ theo đúng mục đích và đúng cách.
Xem thử không khả dụng, vui lòng xem tại trang nguồn hoặc xem
Tóm tắt