Đề tài Tìm hiểu về AAA và cấu hình AAA cho bức tường lửa PIX của Cisco
LỜI NÓI ĐẦU Với sự phát triển nhanh chóng của mạng internet và đặt biệt là các công nghệ mạng, kèm theo đó là vấn đề bảo vệ các tài nguyên thông tin trên mạng, tránh sự mất mát, xâm phạm là việc cần thiết và cấp bách. Bảo mật mạng có thể hiểu là cách bảo vệ, đảm bảo an toàn cho các thành phần mạng bao gồm dữ liệu, thiết bị, cơ sở hạ tầng mạng và đảm bảo mọi tài nguyên trên mạng tránh được việc đánh cắp thông tin, đồng thời tăng tính bảo mật thông tin cho mạng được cao hơn.
Vấn đề bảo mật luôn làm đau đầu các nhà sản xuất, các tổ chức và cá nhân người sử dụng. Các nhà quản trị mạng ngày nay phải điều khiển việc truy cập cũng như giám sát thông tin mà người dùng đầu cuối đang thao tác. Những việc làm đó có thể đưa đến thành công hay thất bại của công ty. Và AAA là cách thức tốt nhất để giám sát những gì mà người dùng đầu cuối có thể làm trên mạng một cách bảo mật và tiện lợi. Ta có thể xác thực (authentication) người dùng, cấp quyền (authorization) cho người dùng, cũng như kiểm toán để tập hợp được thông tin như thời gian bắt đầu hay kết thúc của người dùng (accounting).
Vì vậy, nhóm 8 – MM02A đã lựa chọn đề tài “Tìm hiểu về AAA và cấu hình AAA cho bức tường lửa PIX của Cisco.” để làm đồ án cuối môn học.
Trong quá trình làm đồ án chắc chắn không tránh khỏi thiếu sót. Mong các thầy cô và các bạn đóng góp ý kiến để đồ án được hoàn thiện hơn. Xin chân thành cảm ơn!
Đà nẵng, tháng 03 năm 2011
Nhóm 11 – MM02A
MỤC LỤC LỜI NÓI ĐẦUi
MỤC LỤCii
MỤC LỤC HÌNH ẢNHiv
CHƯƠNG 1: TỔNG QUAN VỀ AN NINH MẠNG1
1.1. Mang máy tính và các vấn đề phát sinh. 1
1.1.1. Sự cần thiết phải có an ninh mạng trong một hệ thống mạng. 1
1.1.1.1. Các yếu tố cần được bảo vệ trong hệ thống mạng. 1
1.1.1.2. Các yếu tố đảm bảo an toàn thông tin. 1
1.1.2. Xác định nguy cơ đối với hệ thống mạng. 2
1.1.2.1. Xác định các lỗ hỗng hệ thống. 2
1.1.2.2. Xác định các mối đe đoạ. 3
1.1.2.3. Các biện pháp an toàn hệ thống. 3
1.1.3. Đo lường nức độ nguy cơ của một hệ thống mạng. 3
1.2. Các hình thức và kỹ thuật tấn công. 4
1.2.1. Quá trình thăm dò tấn công. 4
1.2.1.1. Thăm dò (Reconnaissace)4
1.2.1.2. Quét hệ thống (Scanning)5
1.2.1.3. Chiếm quyền điều khiển (Gainning access)5
1.2.1.4. Duy trì điều khiển hệ thống (Maitaining access)5
1.2.1.5. Xoá dấu vết (Clearning tracks)5
1.3. Các biện pháp bảo mật mạng. 5
1.3.1. Mã hoá, nhận dạng, chứng thực người dùng và phần quyền sử dụng. 5
1.3.1.1. Mã hoá. 5
1.3.1.2. Các giải thuật mã hoá. 6
1.3.1.3. Chứng thực người dùng. 8
1.3.2. Bảo mật máy trạm11
1.3.3. Bảo mật truyền thông. 11
1.3.4. Các công nghệ và kỹ thuật bảo mật12
1.3.5. Bảo mật ứng dụng. 14
1.3.6. Thống kê tài nguyên. 16
CHƯƠNG 2: TỔNG QUAN VỀ FIREWALL VÀ GIỚI THIỆU CISCO PIX FIREWALL17
2.1. Tổng quan về firewall17
2.2. Khái niệm và tầm quan trọng của firewall17
2.2.1.1. Khái niệm17
2.2.1.2. Tầm quan trọng của firewall17
2.2.2. Phân loại firewall18
2.2.2.1. Firewall cứng. 18
2.2.2.2. Firewall mềm18
2.2.3. Ưu và nhược điểm của firewall19
2.2.4. Công nghệ firewall20
2.2.4.1. Packet Filter20
2.2.4.2. Proxy. 21
2.2.4.3. Stateful inspector22
2.3. Giới thiệu về CISCO PIX FIREWALL22
2.3.1. Tổng quan về PIX FIREWALL22
2.3.2. Hoạt động của PIX FIREWALL25
2.3.3. Cấp độ bảo mật và chính sách bảo mật mặc định. 26
2.3.3.1. Định tuyến trong PIX FIREWALL27
2.3.3.2. Truy cập thông qua PIX FIRE WALL27
2.3.3.3. Truy cập ngoài thông qua FIRE WALL28
2.3.3.4. Truy cập trong thông qua FIRE WALL29
CHƯƠNG 3: TỔNG QUAN VỀ AAA VÀ CẤU HÌNH AAA TRÊN CISCO PIX FIREWALL30
3.1. Tổng quan AAA30
3.1.1. Xác thực (Authentication)31
3.1.2. Uỷ quyền (Authorization)31
3.1.3. Kiểm toán (Accounting)32
3.1.4. Giao thức sử dụng trong dịch vụ AAA33
3.1.4.1. Giới thiệu. 33
3.1.4.2. Tổng quan về TACACS. 33
3.1.4.3. Tổng quan về RADIUS. 36
3.2. Dịch vụ AAA trên CISCO PIX FIREWALL38
3.2.1. Đặc điểm của AAA trên PIX FIREWALL.38
3.2.2. Cut-through proxy. 39
3.2.3. Cấu hình xác thực. 40
3.2.3.1. Xác thực khi user truy cập vào PIX:41
3.2.3.2. Xác thực cho traffic đi qua pix. 42
3.2.3.3. Xác thực cho các dịch vụ khác. 43
3.2.4. Cấu hình ủy quyền. 46
3.2.5. Cấu hình kiểm toán.46
3.3. Mô phỏng. 46
3.3.1. Mục tiêu mô phỏng. 46
3.3.2. Mô hình mô phỏng. 47
3.3.3. Các công cụ thực hiện mô phỏng. 47
3.3.4. Các bước mô phỏng. 48
3.3.5. Kết quả đạt được. 59
KẾT LUẬN60
TÀI LIỆU THAM KHẢO61
19 trang |
Chia sẻ: lvcdongnoi | Lượt xem: 3239 | Lượt tải: 3
Bạn đang xem nội dung tài liệu Đề tài Tìm hiểu về AAA và cấu hình AAA cho bức tường lửa PIX của Cisco, để tải tài liệu về máy bạn click vào nút DOWNLOAD ở trên
Click to edit Master title style Click to edit Master text styles Second level Third level Fourth level Fifth level 08/04/2011 ‹#› Đồ Án Môn Học An Ninh Mạng Tìm hiểu về AAA và cấu hình AAA cho bức tường lửa PIX của Cisco Đề tài TRƯỜNG CAO ĐẲNG CÔNG NGHỆ THÔNG TIN HỮU NGHỊ VIỆT-HÀN KHOA KHOA KHỌC MÁY TÍNH Lớp: MM02A Thành Viên: -Bùi Tấn Việt -Trần Hữu Nghị -Nguyễn Hoàng GVHD: Ths. Trần Thế Sơn 08/04/2011 1 Nội dung báo cáo 08/04/2011 2 Firewall là gì? 08/04/2011 3 Giới thiệu về Firewall Cho phép hoặc cấm các dịch vụ truy nhập từ trong ra ngoài và ngược lại. Kiểm soát địa chỉ truy nhập và dịch vụ sử dụng. Kiểm soát khả năng truy cập người sử dụng giữa hai mạng. Kiểm soát nội dung thông tin truyền tải giữa hai mạng. Ngăn ngừa khả năng tấn công từ các mạng ngoài. 08/04/2011 4 Giới thiệu về Firewall Chức năng Nguyên tắc hoạt động chung của firewall (kể cả firewall mềm hay firewall cứng) là bắt gói dữ liệu đi ngang qua nó và so sánh với các luật đã thiết lập. Nếu thấy không vi phạm luật nào thì cho đi qua, ngược lại thì huỷ gói dữ liệu. . Hoạt động 08/04/2011 5 Giới thiệu về Firewall Firewall cứng Firewall mềm Phân loại 08/04/2011 6 Giới thiệu về Cisco PIX Firewall Giới thiệu Hoạt động Pix firewall hoạt động dựa trên cơ chế ASA (Adaptive Security Algorithm) sử dụng Security level (mức độ bảo mật). Giữa hai cổng thì một sẽ có Security level cao hơn, một có Security level thấp hơn. Định tuyến trong PIX FIREWALL. Truy cập ngoài thông qua FIRE WALL: Vì mục đích an toàn, để tránh mạng ngoài (Outside) biết được cấu trúc mạng bên trong (Inside) công nghệ chuyển đổi địa chỉ được sử dụng cho Pix Firewall giúp nó che dấu mạng được cấu trúc mạng bên trong mà vẫn đảm bảo kết nối hoạt động tốt. Các loại chuyển đổi địa chỉ: Chuyển đổi địa chỉ động Chuyển đổi địa chỉ tĩnh Truy cập trong thông qua FIRE WALL: Để cho phép kết nối ta phải thiết lập hai thành phần sau: Danh sách điều khiển truy cập (Access Control List-ACL) Chuyển đổi địa chỉ tĩnh (Static Address Translation) 08/04/2011 7 Giới thiệu về Cisco PIX Firewall Authentication: xác thực dùng để nhận dạng người dùng Authorization: điều khiển việc cấp quyền Accounting: thu thập thông tin 08/04/2011 8 Tổng Quan Về AAA TACACS Giao thức TCP trên port 49 Phiên bản là TACACS+ TACACS+ hỗ trợ nhiều giao thức. TACACS+ hỗ trợ ba tính năng yêu cầu của một hệ thống bảo mật tốt 08/04/2011 9 Giao thức sử dụng trong dịch vụ AAA RADIUS 08/04/2011 10 Giao thức sử dụng trong dịch vụ AAA Mô hình mô phỏng 08/04/2011 11 Mô hình sử dụng firewall FIX Firewall và AAA Server Mô hình mô phỏng trên GNS3 Các bước cấu hình 08/04/2011 12 Cấu hình Security level và IP address cho các interface e0 và e1 cho PIX Cấu hình tầm địa chỉ được NAT ra ngoài Cấu hình định tuyến cho mạng inside ra outside Cấu hình Cho cisco Router 7200 Kiểm tra kết nối từ PIX đến các thiết bị khác Cấu hình Security level và IP address cho các interface e0 và e1 cho PIX Pix(config)# interface e0 Pix(config-if)# nameif outside Pix(config-if)#ip address 209.162.1.1 255.255.255.0 Pix(config-if)#no shutdown Pix(config)# interface e1 Pix(config-if)# nameif inside Pix(config-if)#ip address 172.16.1.2 255.255.255.0 Pix(config-if)#no shutdown Cấu hình tầm địa chỉ được NAT ra ngoài: PIX(config)# nat (inside) 1 0 0 0 0 PIX(config)# global (outside) 1 209.162.1.30 Global 209.162.1.30 will be Port Address Translated Cấu hình định tuyến cho mạng inside ra outside: PIX(config)# route outside 0.0.0.0 0.0.0.0 209.162.1.1 Cấu hình Cho cisco Router 7200 router(config)# hostname webserver webserver (config)#enable password cisco webserver (config)#interface fa1/0 webserver (config-if)#ip add 209.162.1.2 255.255.255.0 webserver (config-if)#no shutdown webserver (config-if)#exit webserver(config)#ip route 0.0.0.0 0.0.0.0 209.162.1.1 Cấu hình cho router giả lập webserver webserver (config)#ip http server 08/04/2011 13 Cấu hình cho phép host ở mạng inside được phép telnet vào PIX: Pix(config)# telnet 172.16.1.1 255.255.255.255 inside Bật tính năng AAA server trên PIX: Pix(config)# aaa-server ccsp protocol tacacs+ Pix(config)# aaa-server ccsp (inside) host 172.16.1.1 pixfirewall Cấu hình xác thực user truy cập vào PIX. Pix(config)# aaa authentication telnet console ccsp Pix(config)# aaa authentication http console ccsp Pix(config)# aaa authentication enable console ccsp 08/04/2011 14 Các bước cấu hình Cấu hình xác thực cho user khi truy cập vào PIX Cấu hình trên CiscoSecure ACS 08/04/2011 15 Các bước cấu hình Cấu hình ủy quyền 08/04/2011 16 Các bước cấu hình Vào Interface Configuration, chọn TACACS+ (Cisco IOS) Cấu hình xác thực traffic đi qua PIX: Cấu hình xác thực cho các traffic đi từ inside đến outside với group tag là ccsp Pix(config)# aaa authentication include http outside 0 0 0 0 ccsp Pix(config)# aaa authentication include telnet outside 0 0 0 0 ccsp 17 Các bước cấu hình 08/04/2011 08/04/2011 18 Cấu hình xác thực cho các dịch vụ khác Pix(config)# virtual telnet 209.162.1.4 Pix(config)# aaa authentication include tcp/49 outbound 0 0 0 0 ccsp Các bước cấu hình 08/04/2011 19 KẾT LUẬN Kết quả đạt được Hướng phát triển Tìm hiểu tổng quan về An ninh mạng Tìm hiểu Cisco Fix Firewall Tìm hiểu AAA Thực hành cấu hình AAA trên Cisco PIX Firewall Tìm hiểu về khả năng hạn chế tấn công và cấu hình để hạn chế tấn công IP Fragmentation, DNS, SMTP, SYN Flood, AAA Flood trong firewall PIX của Cisco. Tìm hiểu về VPN và cấu hình VPN trên firewall PIX của Cisco. Tìm hiểu về IDS và cấu hình IDS trong firewall PIX của Cisco. KẾT THÚC BÀI BÁO CÁO 08/04/2011 20 Cảm ơn Thầy Cô và các bạn đã theo dõi!
Các file đính kèm theo tài liệu này:
- BaoCaoANM.pptx
- DoAnANNINGMANG-In-30-03.doc