Mục Lục CHƯƠNG 1: TỔNG QUAN VÀ GIẢI PHÁP VỀ AN TOÀN - AN NINH MẠNG 1.1 TỒNG QUAN VỀ AN TỒN - AN NINH MẠNG…………………… 1.1.1 An tồn mạng gì……………………………………………………… 1.1.2 Các đặc trưng kỹ thuật an toàn mạng……………………………… 1.1.3 Đánh giá đe dọa, điểm yếu hệ thống kiểu công 1.1.3.1 Đánh giá đe dọa………………………………………………… 1.1.3.2 Các lỗ hổng điểm yếu mạng ………………………………… 1.1.3.3 Các kiểu công……………………………………………………… 1.1.3.4 Các biện pháp phát hệ thống bị công ……………………… 1.1.4 Một số công cụ an ninh – an toàn mạng ……………………………… 1.1.4.1 Thực an ninh – an toàn từ cổng truy nhập dùng tường lửa …… 1.1.4.2 Mã hóa thơng tin …………………………………………………… 1.1.5 Một số giải pháp dùng cho doanh nghiệp nhỏ………………………… 1.2 GIẢI PHÁP AN TOÀN – AN NINH MẠNG VỚI FIREWALL……… 1.2.1 Khái niệm…………………………………………………………… 1.2.2 Chức năng……………………………………………………………… 1.2.3 Kiến trúc Firewall…………………………………………… 1.2.3.1 Kiến trúc Dual – homed Ho………………………………………… 1.2.3.2 Kiến trúc Screend Host……………………………………………… 1.2.4 Các thành phần Firewall chế hoạt động……………………… 1.2.4.1.Thành phần…………………………………………………………… 1.2.4.2 Cơ chế hoạt động……………………………………………………… 1.2.5 Kỹ thuật Firewall……………………………………………………… 1.2.6 Những hạn chế Firewall…………………………………………… 1.3 MẠNG RIÊNG ẢO – VPN……………………………………………… 1.3.1 Giới thiệu VPN……………………………………………………… 1.3.1.1 Khái niệm VPN……………………………………………………… 1.3.1.2 Ưu điểm VPN…………………………………………………… 1.3.2 Kiến trúc VPN……………………………………………………… 1.3.3 Các loại VPN…………………………………………………………… 1.3.4 Các yêu cầu giải pháp VPN……………………… CHƯƠNG TỔNG QUAN VỀ FIREWALL PFSENSE 2.1 GIỚI THIỆU FIREWALL PFSENSE………………………………………… 2.2 MỘT SỐ CHỨC NĂNG CHÍNH CỦA FIREWALL PFSENSE 2.2.1 Aliase 2.2.2 Rules (Luật) 2.2.3 Firewall Schedules 2.2.4 NAT 2.2.5 Traffic shaper (Quản lí băng thông) 2.2.6 Virtual Ips 2.3 MỘT SỐ DỊCH VỤ CỦA FIREWALL PFSENSE 2.3.1 Captive Portal 2.3.2 DHCP Server 2.3.3 DHCP Relay 2.3.4 Load Balancer 2.3.5 VPN PPTP 2.3.6 Một số chức khác CHƯƠNG CÀI ĐẶT VÀ TRIỂN KHAI FIREWALL PFSENSE 3.1 CÀI ĐẶT FIREWALL PFSENSE 3.1.1 Mơ hình triển khai 3.1.1.1 Mơ hình thực tế 3.1.1.2 Mơ hình giả lập 3.1.2 Cài đặt hệ thống 3.1.2.1 Cài đặt Routing and Remote Access Windows Server 2003 3.1.2.2 Cài đặt pfSense 3.2 CẤU HÌNH FIREWALL PFSENSE 3.2.1 Cấu hình card mạng cho Firewall pfSense 3.2.2 Cấu hình Load Balancing 3.2.2.1 Cấu hình Load Balancing 3.2.2.2 Firewall Rule 3.2.3 Cấu hình Captive Portal 3.3 KIỂM TRA VÀ TỐI ƯU HỆ THỐNG CHƯƠNG 1: TỔNG QUAN VÀ GIẢI PHÁP VỀ AN TOÀN - AN NINH MẠNG 1.1 TỒNG QUAN VỀ AN TOÀN - AN NINH MẠNG 1.1.1 An tồn mạng - Mục tiêu việc kết nối mạng để nhiều người sử dụng, từ vị trí địa lý khác sử dụng chung tải nguyên, trao đổi thông tin với Do đặc điểm nhiều người sử dụng lại phân tán mặt vật lý nên việc bảo vệ tải nguyên thông tin mạng tránh mát, xâm phạm cần thiết cấp bách An tồn mạng hiểu cách bảo vệ, đảm bảo an toàn cho tất thành phần mạng bao gồm: liệu, thiết bị, sở hạ tầng mạng đảm bảo tài nguyễn mạng sử dụng tương ứng với sách hoạt động ổn định với người có thẩm quyền tương ứng An tồn mạng bao gồm: Xác định sách, khả nguy xâm phạm mạng, cố rủi ro thiết bị, liệu mạng để có giải pháp phủ hợp đảm bảo an tồn mạng Đánh giá nguy cơng Hacker đến mạng, phát tán virus Phải nhận thấy an toàn mạng vấn đề quan trọng hoạt động, giao dịch điện tử việc khai thác sử dụng tài nguyên mạng Một thách thức an toàn mạng xác định xác cấp độ an tồn cần thiết cho việc điều khiển hệ thống thành phần mạng Đánh giá nguy cơ, lỗ hổng khiến mạng bị xâm phạm thơng qua cách tiếp cận có cấu trúc Xác định nguy ăn cắp, phá hoại máy tính, thiết bị, nguy virus, sâu giản điệp, nguy xóa, phá hoại CSDL, ăn cắp mật khẩu, nguy hoạt động hệ thống nghẽn mạng, nhiễu điện tử Khi đánh giá hết nguy ảnh hưởng tới an ninh mạng có biện pháp tốt để đảm bảo an ninh mạng 1.1.2 Các đặc trưng kỹ thuật an tồn mạng - Tính xác thực (Authentificaton) -Tính khả dụng(Availaliy) -Tính bảo mật (Confidentialy) -Tính khống chế (Accountlability) -Tính khơng thể chối cãi (Nonrepulation) -Tính tồn vẹn (Integrity) 1.1.3 Đánh giá đe dọa, điểm yếu hệ thống kiểu công 1.1.3.1 Đánh giá đe dọa Về có mối đe dọa đến vấn đề bảo mật mạng sau: -Đe dọa khơng có cấu trúc (Unstructured threats) -Đe dọa có cấu trúc (Structured threats) -Đe dọa từ bên (Exteral threats) -Đe dọa từ bên (Internal threats) 1.1.3.2 Các lỗ hổng điểm yếu mạng - Các lỗ hổng mạng Các lỗ hổng bảo mật hệ thống điểm yếu tạo ngưng trệ dịch vụ, thêm quyền người sử dụng cho phép truy cập không hợp lệ vào hệ thống Các lỗ hổng tồn dịch vụ như: Sendmail, Web, hệ điều hành mạng ứng dụng Các lỗ hổng bảo mật hệ thống chia sau: Lỗ hổng loại C: Cho phép thực phương thức công theo kiểu từ chối dịch vụ DoS (Denial of Services) Mức độ nguy hiểm thấp, ảnh hưởng đến chất lượng dịch vụ, làm ngưng trệ, gián đoạn hệ thống, không phá hủy liệu chiếm quyền truy nhập DoS hình thức công sử dụng giao thức tầng Internet giao thức TCP/IP để làm hệ thống ngưng trệ dẫn đến tình trạng từ chối người sử dụng hợp pháp truy nhập hay sử dụng hệ thống Một số lượng lớn gói tin gửi tới Server khoảng thời gian liên tục làm cho hệ thống trở nên tải, kết Server đáp ứng chậm đáp ứng yêu cầu từ client gửi tới Lỗ hổng loại B: Cho phép người sử dụng có thêm hệ thống mà khơng cần kiểm tra tính hợp lệ Mức độ nguy hiểm trung bình, lỗ hổng loại thường có ứng dụng hệ thống, dẫn đến lộ thông tin yêu cầu bảo mật Lỗ hổng loại A: Cho phép người sử dụng ngồi truy nhập vào hệ thống bất hợp pháp Lỗ hổng loại nguy hiểm, làm phá hủy toàn hệ thống Các lỗ hổng loại A có mức độ nguy hiểm; đe dọa tính tồn vẹn bảo mật hệ thống Các lỗ hổng loại thường xuất hệ thống quản trị yếu khơng kiểm sốt cấu hình mạng - Ảnh hưởng lỗ hổng bảo mật mạng Internet Phần trình bày số trường hợp có lỗ hổng bảo mật, kẻ cơng lợi dụng lỗ hổng để tạo lỗ hổng khác tạo thành chuỗi mắt xích lỗ hổng 1.1.3.3 Các kiểu công - Tấn công trực tiếp - Nghe trộm - Giả mạo địa - Vô chức hệ thống - Lỗi người quản trị hệ thống - Tấn công vào yếu tố người 1.1.3.4 Các biện pháp phát hệ thống bị công - Khơng có hệ thống đảm bảo an toàn tuyệt đối, dịch vụ có lỗ hổng bảo mật tiềm tàng Người quản trị hệ thống nghiên cứu, xác định lỗ hổng bảo mật mà phải thực biện pháp kiểm tra hệ thống có dấu hiệu công hay không Một số biện pháp cụ thể: -Kiểm tra dấu hiệu hệ thống bị công: Hệ thống thường bị treo thông báo lỗi không rõ ràng Khó xác định ngun nhân thiếu thơng tin liên quan Trước tiên, xác định nguyên nhân có phải phần cứng hay khơng, khơng phải nghĩ đến khả máy tính bị cơng -Kiểm tra tài khoản người dùng lạ, tài khoản có ID khơng -Kiểm tra xuất tập tin lạ Người quản trị hệ thống nên có thói quen đặt tên tập tin theo mẫu định để dễ dàng phát tập tin lạ -Kiểm tra thời gian thay đổi hệ thống -Kiểm tra hiệu hệ thống: Sử dụng tiện ích theo dõi tài nguyên tiến trình hoạt động hệ thống – -Kiểm tra hoạt động dịch vụ hệ thống cung cấp -Kiểm tra truy nhập hệ thống tài khoản thơng thường, đề phịng trường hợp tài khoản bị truy nhập trái phép thay đổi quyền hạn mà người sử dụng hợp pháp khơng kiểm sốt -Kiểm tra file liên quan đến cấu hình mạng dịch vụ, bỏ dịch vụ không cần thiết -Kiểm tra phiên sendmail, ftp, tham gia nhóm tin bảo mật - để có thơng tin lỗ hổng bảo mật dịch vụ sử dụng 1.1.4 Một số công cụ an ninh – an toàn mạng 1.1.4.1 Thực an ninh – an toàn từ cổng truy nhập dùng tường lửa - Tường lửa cho phép quản trị mạng điều khiển truy nhập, thực sách đồng ý từ chối dịch vụ lưu lượng vào khỏi mạng Tường lửa sử dụng để xác thực người sử dụng nhằm đảm bảo chắn họ người họ khai báo trước cấp quyền truy nhập tài nguyên mạng Tường lửa sử dụng để phân chia mạng thành phân đoạn mạng thiết lập nhiều tầng , an ninh khác phân đoạn mạng khác để đảm bảo tài nguyên quan trọng bảo vệ tốt hơn, đồng thời tường lửa hạn chế lưu lượng điểu khiển lưu lượng cho phép chúng đến nơi chúng phép đến 1.1.4.2 Mã hóa thơng tin - Mật hóa (Cryptography) q trình chuyển đổi thơng tin gốc sang dạng mã hóa Có hai cách tiếp cận để bảo vệ thông tin mật mã: theo đường truyền từ nút đến-nút (End-to-End) Trong cách thứ nhất, thông tin mã hóa để bảo vệ đường truyền hai nút không quan tâm đến nguồn địch thơng tin Ưu điểm cách bí mật luồng thơng tin nguồn đích ngăn chặn tồn vi phạm nhằm phân tích thơng tin mạng Nhược điểm thơng tin mã hóa đường truyền nên đòi hỏi nút phải bảo vệ tốt Ngược lại, cách thứ hai, thông tin bảo vệ toàn đường từ nguồn tới đích Thơng tin mã hóa tạo giải mã đến đích Ưu điểm tiếp cận người sử dụng dùng mà khơng ảnh hưởng tới người sử dụng khác Nhược điểm phương pháp có liệu người sử dụng mã hóa, cịn thơng tin điều khiển phải giữ ngun để xử lý nút 1.1.5 Một số giải pháp dùng cho doanh nghiệp nhỏ Với doanh nghiệp nhỏ việc trang bị mạng tác nghiệp vừa phải đảm bảo an ninh an toàn, vừa phải phù hợp chi phí, dễ triển khai bảo trì điều cần thiết Ở đưa giải pháp dùng thiết bị PC đa chức làm tường lửa để bảo vệ vành đai, chạy IDS để cảnh báo công, chạy NAT để che cấu trúc logic mạng, chạy VPN để hỗ trợ bảo mật kết nối xa 1.2 GIẢI PHÁP AN TOÀN – AN NINH MẠNG VỚI FIREWALL 1.2.1 Khái niệm Thuật ngữ Firewall có nguồn gốc từ kỹ thuật thiết kế xây dựng để ngăn chặn, hạn chế hỏa hoạn Trong công nghệ thông tin, Firewall kỹ thuật tích hợp vào hệ thống mạng để chống truy cập trái phép, nhằm bảo vệ nguồn thông tin nội hạn chế xâm nhập không mong muốn vào hệ thống Cũng hiểu Firewall chế để bảo vệ mạng tin tưởng khỏi mạng khơng tin tưởng 10 Bật tính cấp IP động cho máy client Ta gán địa IP vĩnh viễn cho máy tính mạng 31 2.3.3 DHCP Relay Dịch vụ cho phép pfSense forward yêu cầu cấp IP client nằm subnet tới DHCP server cho trước Chỉ phép chạy hai dịch vụ DHCP server DHCP relay 2.3.4 Load Balancer Với chức bạn điều phối mạng hay cịn gọi cân tải mạng Có loại load balancing pfSense: - Gateway load balancing: dùng có nhiều kết nối WAN Client bên LAN muốn kết nối ngồi Internet pfSense lựa chọn card WAN để chuyển packet card giúp cho việc cân tải cho đường truyền - Server load balancing: cho phép cân tải cho server Được dùng phổ biến cho web server, mail server server khơng hoạt động bị remove 2.3.5 VPN PPTP 32 Để sử dụng chức bạn vào VPN => PPTP - Chọn Enable PPTP server để bật tính VPN - Server address: Địa server mà client kết nối vào - Remote address range: Dải địa IP cấp VPN client kết nối - RADIUS: Chứng thực qua RADIUS - Chọn Save chuyển qua tab User để tạo tài khoản - Chọn Save chuyển qua tab User để tạo tài khoản 2.3.6 Một số chức khác - System log: theo dõi hoạt động hệ thống pfSense dịch vụ mà pfSense cung cấp Mọi hoạt động hệ thống dịch vụ ghi lại - System Status: Liệt kê thông tin tình trạng hệ thống 33 - Service Status: Hiển thị trạng thái tất service có hệ thống Mỗi service có hai trạng thái là: running, stopped - Interface Status: Hiển thị thông tin tất card mạng - RRD Graph: Hiển thị thông tin dạng đồ thị Các thông tin mà RRD Graph thể là: System, Traffic, Packet, Quality, Queues CHƯƠNG CÀI ĐẶT VÀ TRIỂN KHAI FIREWALL PFSENSE 3.1 CÀI ĐẶT FIREWALL PFSENSE 3.1.1 Mơ hình triển khai Đặc điểm quan trọng cấu hình để cài đặt sử dụng phần mềm pfSense khơng địi hỏi phải cao phần mềm Chúng ta cần máy tính CPU P3, Ram 128 MB, HDD GB đủ để dựng nên tường lửa pfSense bảo vệ mạng bên Cụ thể mơ hình này, Server pfSense có hai đường kết nối WAN đường vào LAN, mục đích việc sử dụng hai đường kết nối WAN để thực chế độ Load Balancing (cân tải) để dự phịng kết nối ngồi (internet) cho mạng Tuy nhiên doanh nghiệp khơng có nhu cầu điều kiện th hai đường kết nối WAN hồn tồn sử dụng đường kết nối WAN Trong trình thực đề tài này, có đường kết nối internet khơng có Server Vì vậy, triển khai hệ thống VMWare, sử dụng máy ảo 34 Windows Server 2003 để chia đường kết nối thành hai đường (qua tính Routing and Remote Access) nhằm mục đích triển khai chế độ Load Balancing, Server pfSense thực VMWare 3.1.1.1 Mơ hình thực tế H Mơ hình triển khai thực tế 35 3.1.1.2 Mơ hình giả lập H Mơ hình triển khai giả lập - Mơ hình thực trình máy ảo WMWare Workstation, cụ thể: Máy ảo Windows Server 2003 + Có network interface: 36 - Interface ( interface mặc định) bridge để kết nối Internet IP 192.168.0.2/24, gateway 192.168.0.1/24 - Interface thứ hai Adapter nối với VMnet 2: IP 192.168.1.1/24 - Interface thứ ba Adapter nối với VMnet 3: IP 192.168.2.1/24 Máy ảo pfSense + Có network interface, interface nối với interface Windows Server 2003 để có đường internet, interface nối vào LAN - Interface (interface mặc định nối vào VMnet với IP 192.168.1.2/24 (gateway 192.168.1.1) - Interface thứ hai Adapter nối vào VMnet với IP 192.168.2.2/24 (gatewat 192.168.2.1) - Interface thứ Adapter nối vào VMnet (interface LAN) với IP 10.0.0.1/24 3.1.2 Cài đặt hệ thống 3.1.2.1 Cài đặt Routing and Remote Access Windows Server 2003 Mục đích làm bước để giả lập kết nối internet (WAN) Nếu có đường kết nối internet khơng cần thực bước mà kết nối thẳng hai đường vào interface máy pfSense Sau thêm interface cấu hình IP cho interface Bắt đầy cấu hình Routing and Remote Access Vào Administrator tool => Routing and Remote Access Chọn Configure and Enable … để bật chức Routing and Remote Access Hình cấu hình Routing and Remote Access 37 Hình kết sau cấu hình 38 3.1.2.2 Cài đặt pfSense Cài đặt pfSense cách bình thường Lưu ý đến bước chọn chế độ, nhớ nhấn 99 để vào chế độ cài đặt Hình: Lựa chọn chế độ cài đặt 39 Chọn n (no) setup VLANs Hình: Cài đặt VLAN Bước tiếp theo, tiến hành gán interface vào interface LAN, WAN, OPT1 (OPT1 interface tùy chọn ngồi thêm, có nhiệm vụ làm interface WAN thứ 2) Trong trường hợp này, em0 interface WAN (ứng với card VMnet 2), em1 interface OPT1 (ứng với VMnet 3) em2 interface LAN (ứng với VMnet 4) Sau khai báo LAN interface Tiến hành gán IP cho card LAN cách chọn số hình console, sau gán IP LAN xong, truy cập vào webConfiguration pfSense cách vào trình duyệt web gõ http://$địa_chỉ_interface_LAN (ở http://10.0.0.1), đăng nhập tài khoản mặc định (admin/pfsense) 3.2 CẤU HÌNH FIREWALL PFSENSE 3.2.1 Cấu hình card mạng cho Firewall pfSense Ở dùng máy ảo XP, gán interface vào VMnet để làm máy client 40 LAN Mọi thao tác cấu test kết nối sau thực máy Bây giờ, dùng webConfiguration để khai báo IP tĩnh (static), Gateway … cho interface WAN OPT1 (menu Interface => $Tên interface) cấp phát DHCP cho máy tính LAN quan interface LAN (Services => DHCP server, chọn tab LAN) Kiểm tra trạng thái interface cách vào Status => Interfaces Nếu trạng thái interface up bình thường Hình Interface WAN 41 Hình Interface LAN Hình Interface OPT1 Khai báo DNS cho pfSense cách vào System => General Setup Hình Khai báo DNS Server 42 3.2.2 Cấu hình Load Balancing 3.2.2.1 Cấu hình Load Balancing Để cấu hình Load Balancing Ta chọn Services => Load Balancer Tại Behavior => Chọn vào Load Balancing Sau đưa danh sách WAN OPT1 vào danh sách Load balancing Chọn Save để lưu lai thơng tin cấu hình Hình Cấu hình Load Balancing 3.2.2.2 Firewall Rule Vào Firewall => Rules, sau thiết lập Rule tab LAN Hình Thiết lập Rule cho Load Balancing 3.2.3 Cấu hình Captive Portal Tính captive portal nằm mục Services => Captive Portal 43 Hình Captive Portal Tạo trang index.htm có nội dung: Rồi chọn browse… portal page content up file lên Bấm Save để lưu lại Cuối ta tạo user tab user captive portal 44 Hình Tạo user cho captive porta 3.3 KIỂM TRA VÀ TỐI ƯU HỆ THỐNG Sau tiến hành cấu hình dịch vụ cần thiết hệ thống Bước quan trọng kiểm tra lại dịch vụ cấu hình, đảm bảo hệ thống an tồn chạy ổn định, việc cấu hình sai khơng tối ưu dẫn đến việc toàn hệ thống rơi vào tình trạng an tồn khơng ổn định Việc kiểm tra tối ưu hệ thống cần tiến hành thật chi tiết với chức mà ta triển khai hệ thống Ngoài việc kiểm tra tối ưu cần tiến hành định kỳ để đảm bảo hệ thống trạng thái tốt 45 ... Load Balancing 3.2.2.1 Cấu hình Load Balancing 3.2.2.2 Firewall Rule 3.2.3 Cấu hình Captive Portal 3.3 KIỂM TRA VÀ TỐI ƯU HỆ THỐNG CHƯƠNG 1: TỔNG QUAN VÀ GIẢI PHÁP VỀ AN TOÀN - AN NINH MẠNG 1.1... 3.1.2.2 Cài đặt pfSense Cài đặt pfSense cách bình thường Lưu ý đến bước chọn chế độ, nhớ nhấn 99 để vào chế độ cài đặt Hình: Lựa chọn chế độ cài đặt 39 Chọn n (no) setup VLANs Hình: Cài đặt VLAN Bước... 2.3.3 DHCP Relay 2.3.4 Load Balancer 2.3.5 VPN PPTP 2.3.6 Một số chức khác CHƯƠNG CÀI ĐẶT VÀ TRIỂN KHAI FIREWALL PFSENSE 3.1 CÀI ĐẶT FIREWALL PFSENSE 3.1.1 Mơ hình triển khai 3.1.1.1 Mơ hình thực