Đây là Đồ án tốt nghiệp chuyên ngành quản trị an ninh mạng của sinh viên Đại học Điện Lực mô tả về việc xây dựng một mô hình mạng sử dụng tường lửa pfsense và pihole server. Báo cáo nói về việc sử dụng pihole như một dns server, tường lửa pfsense. Cuối cùng là phần về PAM server, bạn nào không biết về PAM có thể bỏ phần cuối cũng được.
BỘ CÔNG THƯƠNG TRƯỜNG ĐẠI HỌC ĐIỆN LỰC KHOA CÔNG NGHỆ THÔNG TIN ĐỒ ÁN TỐT NGHIỆP TRIỂN KHAI XÂY DỰNG HỆ THỐNG MẠNG SỬ DỤNG TƯỜNG LỬA PFSENSE Giảng viên hướng dẫn : TS.LÊ HOÀN Sinh viên thực : NGUYỄN TRUNG KIÊN Mã sinh viên : 18810320368 Ngành : CÔNG NGHỆ THÔNG TIN Chuyên ngành : QUẢN TRỊ AN NINH MẠNG Lớp : D13QTANM Khóa : 2018-2023 Hà Nội, tháng 02 năm 2023 LỜI CẢM ƠN Tôi xin phép gửi tri ân sâu sắc lời cảm ơn chân thành thầy cô giáo khoa công nghệ thông tin truyền đạt tri thức quý báu cho suốt trình học tập trường Đại Học Điện Lực Đặc biệt, tơi xin trân trọng cảm ơn thầy Lê Hồn nhiệt tình hướng dẫn để tơi hồn thành báo cáo thực tập Và lời cuối cùng, xin chân thành cảm ơn anh, chị bạn học lớp D13QTANM trường Đại Học Điện Lực ln động viên, giúp đỡ nhiệt tình chia sẻ với kinh nghiệm học tập, công tác suốt khóa học Hà nội, ngày tháng năm 2023 Sinh viên thực MỤC LỤC LỜI NÓI ĐẦU CHƯƠNG 1: TỔNG QUAN VỀ AN NINH MẠNG 1.1 Giới thiệu An ninh mạng 1.2 Các nguy ảnh hưởng đến an toàn mạng 1.3 Các kỹ thuật công mạng .4 1.3.1.Tấn công phần mềm độc hại (Malware attack) 1.3.2 Tấn công giả mạo (Phishing attack) 1.3.3.Tấn công trung gian (Man-in-the-middle attack) 1.3.4 Tấn công từ chối dịch vụ (DoS DDoS) 1.3.5 Tấn công sở liệu (SQL injection) 1.3.6 Khai thác lỗ hổng Zero-day (Zero day attack) 1.3.7 Các loại khác .5 CHƯƠNG 2: GIẢI PHÁP XÂY DỰNG HỆ THỐNG SỬ DỤNG PIHOLE VÀ TƯỜNG LỬA PFSENSE 2.1 Tổng quan DNS 2.1.1 Khái niệm 2.1.2 DNS namespace 2.1.3 Cấu trúc hệ thống tên miền 2.1.4 Phân loại tên miền .9 2.1.5 DNS Server 2.2 Giới thiệu Pi hole 11 2.3 Khái niệm Firewall 12 2.3.1 Firewall gì? 12 2.3.2 Vai trò tường lửa 12 2.4 Giới thiệu tường lửa Pfsense 14 2.4.1 Các tính bật 14 CHƯƠNG 3: TRIỂN KHAI GIẢI PHÁP VÀ THỬ NGHIỆM .16 3.1 Sơ đồ triển khai 16 3.2 Các bước triển khai thử nghiệm DNS server sử dụng Pihole .16 3.2.1 Link hướng dẫn sử dụng trước dùng: 16 3.2.2 Link video hướng dẫn cài đặt: 17 3.2.3 Thay đổi port cho pi hole 17 3.2.4 Các tính cần triển khai Pi hole 19 3.3 Các bước triển khai thử nghiệm xây dựng hệ thống với tường lửa Pfsense 27 3.3.1 Cài đặt Pfsense VMware: 29 3.3.2 Thiết lập tường lửa PFsense 32 3.3.3 Kiểm tra tính liên thơng mạng 37 3.3.4 Thiết lập VPN tường lửa PFsense 39 3.4 Nhận xét đánh giá kết đạt 51 CHƯƠNG 4: TRIỂN KHAI PRIVILEGED ACCESS MANAGEMENT TRÊN GUACAMOLE 52 4.1 Tổng quan PAM 52 4.1.1 Lợi ích PAM .52 4.2.2 Cách thực PAM: Just-in-Time Privileged Access Management (JIT PAM) 53 4.2 Các bước triển khai thử nghiệm 54 4.2.1 Cài đặt Docker, Portainer 55 4.2.2 Cài đặt Guacamole 57 4.2.3 Create an SSH connection (Ubuntu) on Guacamole 68 4.2.4 Create an RDP (Windows) connection on Guacamole .73 KẾT LUẬN 80 TÀI LIỆU THAM KHẢO 81 MỤC LỤC ẢNH Hình 2.1: Minh họa dịch vụ DNS-Server Hình 2.2: Sơ đồ triển khai sử dụng Pihole 12 Hình 2.3: Giới thiệu tường lửa Pfsense 14 Hình 2.4: Các tính bật Pfsense 15 Hình 3.1: Sơ đồ triển khai Pfsense 16 Hình 3.2 : Kiểm tra dịch vụ pihole 18 Hình 3.3 : Truy cập trang giao diện quản trị Pihole 18 Hình 3.4 : Cách tạo record 19 Hình 3.5 : Tạo record DNS server .19 Hình 3.6 : Tạo record redirect DNS server 20 Hình 3.7 : Chặn domain độc hại 20 Hình 3.8 : Chặn domain độc hại theo list 21 Hình 3.9 : Update danh sách domain độc hại để block 22 Hình 3.10 : Kiểm tra sau Update 22 Hình 3.11 : Số lượng domain block sau update .23 Hình 3.12 : Cấu hình tĩnh dns thiết bị client 23 Hình 3.13 : Kiểm tra ping tới domain bị chặn máy client sau trỏ tới dns server 24 Hình 3.14 : Tạo group để quản lí client 24 Hình 3.15 : Add client 25 Hình 3.16 : Thiết lập giới hạn block domain theo group 25 Hình 3.17 : Kiểm tra sau thiết lập .26 Hình 3.18: Thiết lập card mạng cho máy ảo 27 Hình 3.19: Thiết lập card mạng máy thật 27 Hình 3.20: Cấu hình ip cho card mạng ảo DMZ 28 Hình 3.21: Cấu hình ip cho card mạng ảo LAN .28 Hình 3.22: Cài đặt máy ảo Pfsense 29 Hình 3.23: Thiết lập thơng số cấu hình cho máy ảo 29 Hình 3.24: Giao diện dịng lệnh Pfsense sau cài thành cơng .30 Hình 3.25: Giao diện web pfsense sau cài thành cơng 30 Hình 3.26: Giao diện quản trị 31 Hình 3.27: Chỉnh sửa giao diện hiển thị 31 Hình 3.28: Thay đổi mật quản trị .32 Hình 3.29: Thiết lập nâng cao 32 Hình 3.30: Tạo thêm interfaces DMZ Pfsense 33 Hình 3.31: Cấu hình ip tĩnh cho DMZ interfaces .33 Hình 3.32: Sau thiết lập xong nhấn Save 34 Hình 3.33: Kiểm tra Interfaces sau thiết lập 34 Hình 3.34: Tạo rules tường lửa 35 Hình 3.35: Thiết lập rule cho phép LAN giao tiếp DMZ 35 Hình 3.36: Kiểm tra sau tạo rules .36 Hình 3.37: Kiểm tra IP máy client Windows7 37 Hình 3.38: Kiểm tra IP máy DNS server 37 Hình 3.39: Kiểm tra ping từ máy windows7 đến DNS server 38 Hình 3.40: Tìm mục Package Manager 39 Hình 3.41: Cài đặt package openvpn 39 Hình 3.42: Thơng báo cài đặt thành cơng 40 Hình 3.43: Tạo chứng Cert 40 Hình 3.44: Tạo CAs 41 Hình 3.45: Thêm Certificates 42 Hình 3.46: Điền thơng tin cần thiết 43 Hình 3.47: Kiểm tra sau tạo Cert thành cơng .44 Hình 3.48: Add thêm OpenVPN Server mục OpenVPN .44 Hình 3.49: Điền thơng tin cần thiết tạo OPenvpn server .45 Hình 3.50: Điền thơng tin dải IP 46 Hình 3.51: Kiểm tra sau tạo thành cơng .46 Hình 3.52: Thông tin hiển thị OpenVPN server .47 Hình 3.53: Hiển thị thơng tin quản lý user .47 Hình 3.54: Tạo user sử dụng vpn 48 Hình 3.55: Kiểm tra user tạo OpenVPN CLient 49 Hình 3.56: Cài đặt OpenVPN máy client Windows 49 Hình 3.57: VPN vào mạng nội thành công 50 Hình 3.58: Kiểm tra việc ping tới máy chủ DNS Server 51 Sơ đồ triển khai PAM .54 Hình 4.1: Cài đặt Docker Portainer 55 Hình 4.2: Cài đặt Docker Portainer 56 Hình 4.3: Trang web quản trị Portainer 56 Hình 4.4: Tra cứu tài liệu Guacamole Docker 57 Hình 4.5: Chỉnh sửa cấu hình Guacamole 58 Hình 4.6: Tạo Stack 59 Hình 4.7: Deloy Guacamole thành cơng 59 Hình 4.8: Xem log coutainer 60 Hình 4.9: Setup địa IP cho Guacamole .60 Hình 4.10: Thiết lập cấu hình Guacamole 61 Hình 4.11: Check port Web UI 61 Hình 4.12: Giao diện web Guacamole 61 Hình 4.13: Đăng nhập tài khoản mặc định Guacadmin 62 Hình 4.14: Settings giao diện 62 Hình 4.15: Tạo User 63 Hình 4.16: Điền thông tin User 63 Hình 4.17: Thiết lập quyền hạn cho User 63 Hình 4.18: Tạo tài khoản thành công 64 Hình 4.19: Xóa tài khoản mặc định 65 Hình 4.20: Xóa tài khoản mặc định thành cơng .65 Hình 4.21: Thiết lập xác thực bước .66 Hình 4.22: Chỉnh docker-compose file .66 Hình 4.23: Update stack 67 Hình 4.24: Quét mã xác thực Google Authenticator 67 Hình 4.25: Tạo Connection đến DNS Server 68 Hình 4.26: Điền thông tin Remote_DNS Server 69 Hình 4.27: Lỗi Remote thường gặp 70 Hình 4.28: Check lỗi 70 Hình 4.29: Sửa lỗi OpenSSH ubuntn 71 Hình 4.30: Remote thành công đến DNS Server 72 Hình 4.31: Cấu hình NAT port 3389 Firewall Pfsense .73 Hình 4.32: Kiểm tra cổng 3389 từ Guacamole 73 Hình 4.33: Cấu hình allow remote Windows7 74 Hình 4.34: Thiết lập nâng cao 75 Hình 4.35: Thiết lập khoảng thời gian tối đa remote .76 Hình 4.36: Tạo connection Guacamole tới Windows7 .76 Hình 4.37: Điền thông tin Remote 77 Hình 4.38: Thiết lập Display 78 Hình 4.39: Thiết lập Performance 78 Hình 4.40: Remote tới Windows thành cơng 79 DANH MỤC TỪ VIẾT TẮT Từ viết tắt Diễn giải Ý nghĩa MitM Man in the middle Tấn công trung gian DNS Domain Name System Hệ thống phân giải tên miền DHCP Dynamic Host Configuration Protocol Giao thức cấu hình máy chủ IP Address Internet Protocol Address địa giao thức mạng ICANN Internet Corporation for Tập đoàn Internet cấp số tên Assigned Names and Numbers miền QoS Quality of Service cách thức điều khiển mức độ ưu tiên traffic hệ thống mạng LAN Local Area Network mạng máy tính nội VLAN Virtual Local Area Network Mạng LAN ảo DMZ Demilitarized Zone nơi chứa server CAs Channel Associated Signal hệ thống báo hiệu kênh riêng VPN virtual private network mạng riêng ảo PAM Privileged Access Management quản lý quyền truy cập đặc quyền RDP Remote Desktop Protocol giao thức kết nối với máy tính khác LỜI NĨI ĐẦU Ngày nay, công nghệ thông tin ngày phát triển cao đạt thành tựu to lớn Nó cịn đóng vai trị quan trọng việc truyền thơng tin, nhu cầu trao đổi thơng tin tính bảo mật hệ thống mạng người ngày cao Để bảo mật cho hệ thống mạng bên có biện pháp sử dụng Router Cisco, dùng tường lửa Microsoft… Tuy nhiên việc thay thành phần kể tương đối tốn Vì người dùng khơng muốn tốn q nhiều tiền muốn có tường lửa bảo vệ hệ thống mạng nội giao tiếp với hệ thống mạng bên ngồi (Internet) PFSENSE giải pháp tiết kiệm hiệu tương đối tốt cho người dùng Chính thế, tơi xin lựa chọn đề tài: “Triển khai xây dựng hệ thống mạng sử dụng tường lửa pfsense” nhằm nghiên cứu tìm hiểu sâu tường lửa từ xây dựng mơ hình ứng dụng sử dụng pfsense Nội dung báo cáo bao gồm 03 chương: Chương 1: Tổng quan an ninh mạng Chương 2: Giải pháp xây dựng hệ thống sử dụng Pihole PFsense Chương 3: Triển khai giải pháp thử nghiệm Chương 4: Triển khai PAM Guacamole