Bài tập lớn được chia làm 3 phần: I, Tổng quan về phòng chống xâm nhập mạng II, Firewall và hệ thống phát hiện và ngăn chặn trái xâm nhập trái phép IDS III, Xây dựng Firewall và IDS để bảo vệ mạng có dây cho một doanh nghiệp
HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG KHOA VIỄN THÔNG I BÀI TẬP LỚN AN NINH MẠNG THÔNG TIN XÂY DỰNG TƯỜNG LỬA VÀ IDS ĐỂ BẢO VỆ MẠNG CÓ DÂY CHO MỘT DOANH NGHIỆP Giảng viên :Phạm Anh Thư Tên SV Mã SV Nguyễn Anh Tuấn B19DCVT342 Ngô Thanh Thái B19DCVT369 Nguyễn Mạnh Việt B19DCVT433 Nguyễn Trường Sơn B19DCVT309 Đào Trung Nam B19DCVT262 Hà Nội – 10/2022 Bài tập nhóm Internet giao thức MỤC LỤC MỞ ĐẦU DANH MỤC TỪ VIẾT TẮT DANH MỤC HÌNH ẢNH .6 I TỔNG QUAN VỀ PHÒNG CHỐNG XÂM NHẬP MẠNG 1.1 Những mối đe dọa bảo mật 1.1.1 Phân loại theo cấu trúc 1.1.2 Phân loại theo vị trí cơng .7 1.2 Các phương thức xâm nhập phòng chống .8 1.2.1 Denial of Service – DoS 1.2.2 Sniffers 1.2.3 Port scan 1.2.4 ARP Spoffing 1.3 Nhu cầu sử dụng Firewall IDS .9 1.3.1 Tổng quan phương pháp bảo mật an ninh mạng: 1.3.2 Hệ thống phát ngăn chặn xâm nhập trái phép IDS .11 1.4 Kết luận 11 II FIREWALL VÀ HỆ THỐNG PHÁT HIỆN VÀ NGĂN CHẶN XÂM NHẬP TRÁI PHÉP IDS 11 2.1 Firewall 11 2.1.1 Tổng quan Firewall 11 2.1.2 Những thiết kế Firewall 16 2.2 Hệ thống phát ngăn chặn xâm nhập trái phép IDS .18 2.2.1 Khái niệm phát xâm nhập ngăn chặn xâm nhập 18 2.2.2 IDS (Intrusion Detection System) .19 2.2.3 IDS Cách phát ngăn chặn công thông dụng hệ thống 22 2.3 Kết luận 24 III XÂY DỰNG FIREWALL VÀ IDS ĐỂ BẢO VỆ MẠNG CÓ DÂY CHO MỘT DOANH NGHIỆP 24 3.1 NHÓM Xây dựng mạng có dây cho doanh nghiệp .24 Bài tập nhóm Internet giao thức 3.2 Các tiêu chí thiết kế mơ hình mạng bảo mật cho doanh nghiệp 26 3.2.1 Các bước xây dựng hệ thông mạng cho doanh nghiệp 27 3.2.2 Một số mơ hình mạng nội phổ biến .27 3.3 Kịch xây dựng 29 3.3.1 3.4 Xác nhận yêu cầu từ doanh nghiệp 29 Triển khai 30 3.4.1 Khảo sát hệ thống mạng doanh nghiệp .30 3.4.2 Đánh giá đưa giải pháp 30 3.4.3 Mơ hình mạng logic cho hệ thống mạng doanh nghiệp 32 3.4.4 Tham khảo số thiết bị cho doanh nghiệp 32 KẾT LUẬN 34 TÀI LIỆU THAM KHẢO .35 NHĨM Bài tập nhóm Internet giao thức MỞ ĐẦU Trong thời gian gần đây, Internet phát triển mạnh mẽ phục vụ cho tất nhu cầu công việc sống Đi kèm theo phát triển mạnh mẽ yếu tố: tốc độ, chất lượng, bảo mật, đa dạng dịch vụ… Trong bảo mật vần đề quan trọng nhà cung cấp dịch vụ người sử dụng, không cá nhân mà cịn đặc biệt quan trọng nghành mang tính đặc thù yêu cầu bảo mật cao quân sự, ngân hàng, tài chính… Ngay từ Internet đời, vấn đề bảo mật đặt trọng Trải qua trình dài phát triển với nhiều thay đổi, biện pháp bảo mật không ngừng phát triển tiến số lượng chất lượng: Firewall, VPN, mã hóa, phần mềm diệt virus,… Tùy theo yêu cầu bảo mật mối nguy bị cơng mà có biện pháp bảo mật tương ứng Tuy nhiên để có an tồn mạng cao cần phải biết kết hợp phương pháp bảo mật hiệu Bài tập lớn nhóm em sâu vào tìm hiểu nghiên cứu Firewall hệ thống phát ngăn chặn xâm nhập trái phép IDS, qua đưa giải pháp xây dựng Filewall IDS để bảo vệ mạng có dây cho doanh nghiệp Đây phương pháp bảo mật quan trọng sử dụng hệ thống mạng IDS phát ngăn chặn xâm nhập trái phép trường hợp dùng sai quyền, khắc phục vấn đề mà phương pháp khác Firewall hay VPN chưa làm Bài tập lớn chia làm phần: I, Tổng quan phòng chống xâm nhập mạng II, Firewall hệ thống phát ngăn chặn trái xâm nhập trái phép IDS III, Xây dựng Firewall IDS để bảo vệ mạng có dây cho doanh nghiệp Do thời gian nghiên cứu có hạn, đồng thời kiến thức chúng em hạn chế, tập lớn tránh thiếu sót, chúng em mong muốn hướng dẫn dạy thêm Chúng em xin tiếp thu cố gắng hoàn thành tốt tập lớn NHĨM Bài tập nhóm Internet giao thức DANH MỤC TỪ VIẾT TẮT Viết tắt Tiếng Anh Tiếng Việt ACK Acknowledgement Xác nhận ARP Address Resolution Protocol Giao thức mạng dùng để tìm địa phần cứng DDoS Distributed Denial of Service Từ chối dịch vụ phân tán DNS Domain Name System Hệ Thống Tên Miền DoS Denial of Service Từ chối dịch vụ FTP File Transfer Protocol Giao thức truyền tập tin HIDS Host Based IDS Hệ thống phát xâm phạm máy chủ ICMP Internet Control Message Protocol Giao thức xử lý thông báo trạng thái cho địa IP IDS Intrusion Detection System Hệ thống phát xâm nhập IP Internet Protocol Giao thức Internet IPS Intrusion Prevention Systems Hệ thống ngăn chặn xâm nhập IPSec Internet Protocol Security Giao thức mật mã bảo vệ lưu lượng liệu qua mạng IP ISS Internet Security Systems Hệ thống An ninh Internet MAC Media Access Control Kiểm soát truy cập phương tiện NAT Network Address Translate Biên dịch ảnh hưởng mạng NFS Network File System Hệ thống tệp mạng NIDS Network Based IDS Hệ thống phát xâm phạm mạng PIN Personal Identification Number Số nhận dạng cá nhân SMNP Simple Network Monitoring Protocol Giao thức giám sát mạng đơn giản SMTP Simple Mail Transfer Protocol Giao thức truyền tải thư tín đơn giản hóa SSH Secure Socket Shell Mơi trường an tồn NHĨM Bài tập nhóm Internet giao thức SSL Secure Sockets Layer Lớp cửa bảo mật SYN The Synchronous Idle Character Ký tự đồng hoá TCP Transmission Control Protocol Giao thức điều khiển truyền vận UDP User Datagram Protocol Giao thức liệu người dùng VPN Virtual Private Network Mạng riêng ảo DANH MỤC HÌNH ẢNH Hình 2-1 Mơ hình Firewall 12 Hình 2-3 Ứng dụng Firewall 15 Hình 2-4 Kiến trúc Dual-homed Host 16 Hình 2-5 Kiến trúc Screened Host .17 Hình 2-6 Kiến trúc Screened Subnet Host .17 Hình 2-7 Kiến trúc sử dụng nhiều Bastion Host 18 Hình 2-8 Kiến trúc ghép chung router router ngồi .18 Hình 2-9 Mơ hình Network Base IDS (NIDS) .20 Hình 3-1 Sơ đồ kiểm tra tin nhắn trái phép 25 Hình 3-2 Một chương trình đơn giản để phát thông báo không hợp lệ 26 Hình 3-3 Mơ hình cho mạng phổ biến 28 Hình 3-4 Mơ hình cho mạng phổ biến 28 Hình 3-5 Mơ hình cho mạng phổ biến 29 Hình 3-6 Mơ hình mạng tham khảo cho doanh nghiệp 32 NHĨM Bài tập nhóm Internet giao thức I TỔNG QUAN VỀ PHÒNG CHỐNG XÂM NHẬP MẠNG 1.1 Những mối đe dọa bảo mật Trước tìm hiểu phương thức xâm nhập hệ thống phòng chống, cần phân biệt mối đe dọa bảo mật mức độ nghiêm trọng chúng Từ đưa đánh giá xác cách phịng chống cách hợp lý Những mối đe dọa biết đến phân chia dựa theo cấu trúc vị trí công [1] 1.1.1 Phân loại theo cấu trúc 1.1.1.1 Những mối đe dọa khơng có cấu trúc Những mối đe dọa khơng có cấu trúc gây kẻ cơng có khả lập trình hầu hết sử dụng công cụ hack script cung cấp Internet Chúng thường có tính chun mơn khơng cao chủ yếu tính tị mị sở thích cá nhân, nhiên gây nguy hại cho nạn nhân: phá hủy chức mạng hệ thống, gây gián đoạn thông tin, … 1.1.1.2 Những mối đe dọa có cấu trúc Những mối đe dọa có cấu trúc hành động cố ý, có động kỹ thuật cao Những kẻ cơng có trình độ kỹ để lập trình tạo cộng cụ mới, sử dụng kỹ thuật hack phức tạp đại chỉnh sửa sử dụng công cụ theo mong muốn chúng Tấn công kiểu có cấu trúc thường động trị, tiền bạc báo thù… có mục đích trước Gây tổn thất nặng nề hậu nghiêm trọng cho hệ thống mục tiêu 1.1.2 Phân loại theo vị trí cơng 1.1.2.1 Những mối đe dọa từ bên Thường mối đe dọa phổ biến, gây kẻ khơng có quyền hệ thống mục tiêu thông qua Internet Những mối đe dọa loại thường doanh nghiệp đặc biệt ý đề phòng Để hạn chế tổn thất cho hệ thống từ mối đe dọa bên sử dụng hệ thống bảo vệ vành đai (Firewall) 1.1.2.2 Những mối đe dọa từ bên Khi kẻ cơng có một vài quyền hệ thống thực công từ khu vực tin cậy mạng ta gọi cơng từ bên Kẻ cơng thành viên giúp đỡ từ thành viên hệ thống Khi kẻ xâm nhập vượt qua vành đai bảo vệ hệ thống chuyện cịn lại thường đơn giản phần tin cậy bên mạng thường có xu hướng bớt nghiêm ngặt Các cơng dạng thường khó phịng chống gây tổn thất nghiêm trọng NHÓM Bài tập nhóm Internet giao thức 1.2 Các phương thức xâm nhập phòng chống 1.2.1 Denial of Service – DoS Tấn công từ chối dịch vụ thường chia làm hai loại chính: DoS DDoS (Distributed Denial of Service) 1.2.1.1 DoS DoS cơng từ người nhóm người nhằm làm tê liệt hệ thống bị công, làm cho người dùng truy xuất liệu hay thực công việc DoS không cho phép ủy quyền truy cập đến máy liệu, ngăn chặn người dùng hợp pháp truy cập hệ thống dịch vụ 1.2.1.2 DDoS DDoS tiến hành từ hệ thống máy tính cực lớn Internet, thường dựa vào dịch vụ có sẵn máy tính mạng BOT NET Đây dạng cơng nguy hiểm khó phát sinh từ nhiều địa Internet Khi công DDoS xảy ra, khó ngưng lại Firewall ngăn chặn gói liệu đến dễ dàng tràn ngập kết nối Internet Một số phương pháp phịng chống cơng DDoS : ⚫ Phịng ngừa điểm yếu ứng dụng: Hacker lợi dụng điểm yếu tầng ứng dụng để gây lỗi tràn đệm dẫn đến dịch vụ bị chấm dứt Các lỗi chủ yếu thường tìm thấy ứng dụng mạng nội Windows, chương trình Web, DNS,… Chính cập nhật vá yêu cầu quan trọng cho việc phịng ngừa ⚫ Kiểm sốt số lượng u cầu SYN-ACK tới hệ thống mạng ⚫ Giới hạn số lượng kết nối từ nguồn cụ thể tới server ⚫ Phát ngăn chặn công tới hạn tốc độ thiết lập kết nối: Có thể áp dụng lọc để giới hạn số lượng kết nối trung bình Bộ lọc xác định ngưỡng tốc độ kết nối cho đối tượng mạng 1.2.2 Sniffers Sniffers chương trình hay thiết bị có khả đón bắt lại thông tin quan trọng từ giao thông mạng đến địa riêng với mục đích tích cực tiêu cực Chúng ta ngăn ngừa xâm phạm trái phép sử dụng sniffers cách sau: ⚫ Authentication: Kỹ thuật xác thực thưc bao gồm hai yếu tố: personal identification number(PIN) token card - thiết bị phần cứng phần mềm sản sinh thông tin(password) cách ngẫu nhiên thời điểm Khách hàng kết nối password với PIN để tạo password Dù NHĨM Bài tập nhóm Internet giao thức hacker có học thơng tin password thơng qua sniffers chúng khơng có giá trị hạn ⚫ Dùng switch thay cho bridge, hup nhằm hạn chế gói broadcast mạng làm giảm ảnh hưởng sniffers ngăn chặn hồn tồn sniffers ⚫ Mã hóa: mã hóa tất thông tin mạng, hacker dùng sniffers bắt gói liệu mã hóa 1.2.3 Port scan Scan port – Quét cổng thường thực trực tiếp host mạng nhằm mục đích nhận biết dịch vụ mà host cung cấp Hacker dựa thơng tin thu nhận để tìm cách cơng, khai thác vào server Để hạn chế khắc phục loại cơng này, sử dụng Firewall IDS/IPS nhằm phát hiện, cảnh báo, ngăn chặn thăm dị sau xâm nhập mạng 1.2.4 ARP Spoffing Mỗi thiết bị hệ thống mạng có hai địa Một địa Media Access Control (MAC) - địa card mạng gắn vào bên thiết bị, địa Internet Protocol (IP) - thay đổi theo người sử dụng tùy vào môi trường mạng ARP giao thức lớp 2, chức dùng để định vị host segment mạng cách phân giải địa IP địa MAC thông qua tiến trình broadcast gói tin đến tất host mạng, gói tin chứa địa IP host cần giao tiếp Các host mạng nhận gói tin host có địa IP trùng với địa IP gói tin trả lời lại, cịn lại tự động drop Kỹ thuật ARP Spoffing lợi dụng điểm yếu giao thức khơng có xác thực gửi gói tin ARP, tức khơng biết gửi gói tin Người cơng giả gói tin ARP reply với địa IP máy mạng địa MAC lại giả MAC máy công Như máy nạn nhân nhận gói tin giả tưởng nhầm đối tác có địa MAC người công gửi đến dẫn đến sai lệch việc gửi/nhận thông tin 1.3 Nhu cầu sử dụng Firewall IDS 1.3.1 Tổng quan phương pháp bảo mật an ninh mạng: 1.3.1.1 Firewall – Tường lửa Firewall kỹ thuật tích hợp vào hệ thống mạng để chống truy nhập trái phép nhằm bảo vệ nguồn thông tin nội hạn chế xâm nhập không mong muốn vào hệ thống Firewall hệ thống phần cứng, phần mềm kết hợp hai NHĨM Bài tập nhóm Internet giao thức Firewall cho phép quản trị mạng điều khiển truy nhập, thực sách đồng ý từ chối dịch vụ lưu lượng vào khỏi mạng Firewall sử dụng để xác thực người sử dụng nhằm đảm bảo chắn họ người họ khai báo trước cấp quyền truy nhập tài nguyên mạng Firewall sử dụng để phân chia mạng thành phân đoạn mạng thiết lập nhiều tầng an ninh khác phân đoạn mạng khác để đảm bảo tài nguyên quan trọng bảo vệ tốt hơn, đồng thời cịn hạn chế lưu lượng điều khiển cho phép chúng đến nơi chúng phép đến Thông thường Firewall đặt mạng bên (Intranet) công ty, tổ chức, ngành hay quốc gia Internet Vai trị bảo mật thông tin, ngăn chặn truy nhập không mong muốn từ bên cấm truy nhập từ bên tới số địa định Internet Firewall chuẩn gồm hay nhiều thành phần sau: ⚫ Bộ lọc packet ( packet - filtering router) ⚫ Cổng ứng dụng (application-level gateway hay proxy server) ⚫ Cổng mạch (circuite level gateway) 1.3.1.2 An tồn thơng tin mật mã Mật mã nghành khoa học chun nghiên cứu phương pháp truyền thơng tin bí mật Mật mã bao gồm: lập mã phá mã Lập mã bao gồm hai q trình: mã hóa giải mã Để bảo vệ thông tin đường truyền, thông tin biến đổi từ dạng nhận thức sang dạng không nhân thức trước truyền mạng, q trình gọi mã hóa thơng tin(encryption) Ở đích đến thơng tin biến đổi ngược lại q trình mã hóa, gọi q trình giải mã 1.3.1.3 VPN Mạng riêng ảo VPN định nghĩa kết nối mạng triển khai sở hạ tầng mạng công cộng (như mạng Internet) với sách quản lý bảo mật giống mạng cục Để gửi nhận liệu thơng qua mạng cơng cộng mà đảm bảo tính an toàn bảo mật, VPN cung cấp chế mã hóa liệu đường truyền tạo đường ống bảo mật nơi nhận nơi gửi giống kết nối “point-to-point” mạng riêng Dữ liệu phải mã hóa hay che giấu cung cấp phần đầu gói liệu thơng tin đường cho phép đến đích thơng qua mạng cơng cộng cách nhanh chóng Dữ liệu mã hóa cách cẩn thận packet bị bắt lại đường truyền công cộng đọc nội dung NHĨM 10 Bài tập nhóm Internet giao thức đặt toàn mạng để theo dõi gói tin mạng so sánh với với mẫu định nghĩa để phát công hay không Ưu điểm NIDS Nhược điểm NIDS - Quản lý network segment - Có thể xảy trường hợp báo động giả (gồm nhiều host) (false positive) - "Trong suốt" với người sử dụng lẫn kẻ - Khơng thể phân tích traffic công encrypt (vd: SSL, SSH, IPSec ) - Cài đặt bảo trì đơn giản, khơng ảnh hưởng tới mạng - Đòi hỏi cập nhật signature để thực an toàn - Tránh DOS ảnh hưởng tới host - Có độ trễ thời điểm bị attack với thời điểm phát báo động - Có khả xác định lỗi tầng - Khơng cho biết việc attack có thành Network (trong mơ hình OSI) cơng hay khơng - Độc lập với OS 2.2.2.3 Kiến trúc nguyên lý hoạt động IDS/IPS bao gồm thành phần chính: a Thành phần thu thập gói tin Thành phần có nhiệm vụ lấy tất gói tin đến mạng Thơng thường gói tin có địa đích khơng phải card mạng bị card mạng hủy bỏ card mạng IDS đặt chế độ thu nhận tất Tất gói tin qua chúng chụp, xử lý, phân tích đến trường thơng tin Bộ thu thập gói tin đọc thơng tin trường gói tin, xác định chúng thuốc kiểu gói tin nào, dịch vụ Các thơng tin chuyển đến thành phần phát b Thành phần phát gói tin Bộ cảm biến đóng vai trị định thành phần Bộ cảm biến tích hợp với thành phần sưu tập liệu – tạo kiện Cách sưu tập xác định sách tạo kiện để định nghĩa chế độ lọc thông tin kiện Bộ tạo kiện (hệ điều hành, mạng, ứng dụng) cung cấp số sách thích hợp cho kiện, ghi kiện hệ thống gói mạng Số sách với thơng tin sách lưu hệ thống bảo vệ bên Trong trường hợp đó, ví dụ luồng liệu kiện truyền tải trực tiếp đến phân tích mà khơng có lưu liệu thực Phương thức phát hiện: NHĨM 21 Bài tập nhóm Internet giao thức ⚫ Misuse - based system Hệ misuse-based phân chia thành hai loại dựa sở liệu kiểu cơng, knowledge-based signature-based Misuse-based system với sở liệu knowledge-based lưu thông tin dạng công Dữ liệu kiểm kê thu thập IDS để so sánh với nội dung sở liệu, thấy có giống tạo cảnh báo Sự kiện không trùng với dạng cơng coi hành động đáng Hệ signature-based sử dụng định nghĩa trừu tượng để mô tả công gọi dấu hiệu Dấu hiệu bao gồm nhóm thơng tin cần thiết để mơ tả kiểu cơng Ví dụ hệ network IDS lưu trữ sở liệu nội dung gói tin có liên quan đến kiểu cơng biết Thường dấu hiệu lưu dạng cho phép so sánh trực tiếp với thơng tin có chuỗi kiện Trong q trình xử lý, kiện so sánh với mục file dấu hiệu, thấy có giống hệ tạo cảnh báo ⚫ Anomaly – based system Anomaly-based system dựa giá thiết hành động khơng bình thường có ý đồ xấu, trước tiên hệ cần xây dựng mẫu hành động bình thường hệ thống xác định hành động khơng bình thường (như hành động không phù hợp với mẫu hành động cho) c Thành phần phản hồi Khi có dấu hiệu công xâm nhập, thành phần phát cơng gửi tín hiệu báo hiệu có công thâm nhập đến thành phần phản ứng Khi thành phần phản ứng kích hoạt tường lửa thực chức ngăn chặn công, hay cảnh báo tới người quản trị: ⚫ Cảnh báo thời gian thực: gửi cảnh báo thời gian thực đến người quản trị để họ nắm chi tiết công, đặc điểm thông tin chúng ⚫ Ghi lại vào tập tin: Các liệu gói tin lưu trữ hệ thống tập tin log Mục đích để người quản trị theo dõi luồng thơng tin nguồn thông tin giúp cho module phát công hoạt động ⚫ Hỗ trợ Firewall: Thông báo cho tường lửa ngăn chặn, từ chối, xóa bỏ thay đổi nội dung gói tin 2.2.3 Cách phát ngăn chặn công thông dụng hệ thống IDS ⚫ NHÓM Denial of Service attack (Tấn cơng từ chối dịch vụ) 22 Bài tập nhóm Internet giao thức Giải pháp IDP: Một firewall dạng proxy hiệu để ngăn chặn gói tin khơng mong muốn từ bên ngồi, nhiên Network IDS phát cơng dụng gói tin ⚫ Scanning Probe (Quét thăm dị) Giải pháp IDP: Network-based IDP phát hành động nguy hiểm trước chúng xảy Yếu tố “time-to-response” quan trọng trường hợp để chống kiểu cơng trước có thiệt hại Host-based IDS có tác dụng kiểu cơng này, không hiệu giải pháp dựa mạng ⚫ Password attack (Tấn công vào mật mã) Giải pháp IDP: Một Network-based IDP phát ngăn chặn cố gắng đốn mã (có thể ghi nhận sau số lần thử khơng thành cơng), khơng có hiệu việc phát truy nhập trái phép tới file mã hóa chứa mật mã hay chạy chương trình bẻ khóa Trong Host-based IDP lại có hiệu việc phát việc đoán mật mã phát truy nhập trái phép tới file chứa mật mã ⚫ Privilege-grabbing (Chiếm đặc quyền) Giải pháp IDP: Cả Network Host-based IDP xác định việc thay đổi đặc quyền trái phép lập tức, cấp phần mềm, việc xảy thiết bị chủ Do Host-based IDP tìm kiếm người dùng khơng có đặc quyền trở thành có đặc quyền mà không qua hệ thống thông thường, Host-based IDP ngừng hành động Ngồi hành động chiếm đặc quyền hệ điều hành ứng dụng định nghĩa tập dấu hiệu công Networkbased IDP nhằm ngăn chặn việc công xảy ⚫ Hostile code insertion (Cài đặt mã nguy hiểm) Giải pháp IDP: Cài đặt phần mềm bảo mật có tác dụng chống virus đoạn mã nguy hiểm lên gateway, server workstation phương pháp hiệu để giảm mức độ nguy hiểm Các file quan trọng quản lý Host IDP đảm bảo chương trình file quan trọng hệ điều hành không bị điều khiển Kết hợp với kiện khác, IDP xác định cố gắng cài đoạn mã nguy hiểm, ví dụ phát định thay chương trình ghi log backdoor Network-based IDP thị để quản lý hệ thống file ảnh cho mục đích kiểm tra tính tồn vẹn ⚫ NHĨM Cyber vandalism (Hành động phá hoại máy móc) 23 Bài tập nhóm Internet giao thức Giải pháp IDP: Đối với giải pháp Host-based IDP, cài đặt cấu hình cần thận xác định tất vấn đề liên quan đến cyber vandalism Ví dụ thay đổi trang web ghi lại biên kiểm kê thiết bị mà trang web nằm Khơng cấu hình để quản lý thay đổi trang web, Host-based IDP cịn thực hành động đối phó, hành động Security Administrator cấu hình Network-based IDP sử dụng dấu hiệu công định nghĩa trước để phát xác việc truy nhập trái phép vào hệ điều hành, ứng dụng xóa file thay đổi trang web 2.3 Kết luận Trong chương đưa khái niệm chi tiết cụ thể Firewall xâm nhập trái phép, phát hiện, ngăn chặn xâm nhập trái phép Các hệ thống Firewall IDS trình bày cụ thể cấu trúc, chức năng, vị trí nguyên tắc hoạt động nhằm đưa nhìn trực diện rõ ràng III XÂY DỰNG FIREWALL VÀ IDS ĐỂ BẢO VỆ MẠNG CÓ DÂY CHO MỘT DOANH NGHIỆP 3.1 Xây dựng mạng có dây cho doanh nghiệp Mạng có dây Ethernet truyền liệu từ 10 Mbps đến 1000 Mbps, tùy thuộc vào loại cáp bạn sử dụng Gigabit Ethernet cung cấp tốc độ truyền nhanh lên đến gigabit giây (1000 Mbps) ➢ Thuận lợi : ⚫ Mạng Ethernet có độ an tồn cao nhanh chóng ⚫ Mạng Ethernet an tồn mạng khơng dây chúng chứa đầy đủ ⚫ Mạng Ethernet khơng bị ảnh hưởng can thiệp vật thể tường ➢ Hạn chế : ⚫ Phải chạy cáp Ethernet thiết bị trung tâm, chuyển mạch định tuyến Có thể tốn nhiều thời gian khó khăn thiết bị phòng khác ⚫ Phần cứng đắt Quy trình kiểm tra gói tin IDS doanh nghiệp : ⚫ NHÓM Một host tạo gói tin mạng 24 Bài tập nhóm Internet giao thức ⚫ Các cảm biến mạng đọc gói tin khoảng thời gian trước gửi khỏi mạng cục (cảm biến cần phải đặt cho đọc tất gói tin) ⚫ Chương trình phát nằm cảm biến kiểm tra xem có gói tin có dấu hiệu vi phạm hay khơng Khi có dấu hiệu vi phạm cảnh báo tạo gửi đến giao diện điều khiển ⚫ Khi giao diện điều khiển lệnh nhận cảnh báo gửi thơng báo cho người nhóm định từ trước (thông qua email, cửa sổ popup, trang web v.v…) ⚫ Phản hồi khởi tạo theo quy định ứng với dấu hiệu xâm nhập ⚫ Các cảnh báo lưu lại để tham khảo tương lai (trên địa cục sở liệu) ⚫ Một báo cáo tóm tắt chi tiết cố tạo ⚫ Cảnh báo so sánh với liệu khác để xác định xem có phải cơng hay khơng Ví dụ: Khi khung liệu gửi ECU bus, ECU miền nhận kiểm tra Sau nhận thông điệp nút IDS, cần phân loại theo ID Với ID thông báo nhận diện thuộc tính hành vi thơng báo Thơng báo trải qua số lần kiểm tra với thuật toán xây dựng, vượt qua không bị gắn cờ Trong trường hợp phát thơng tin báo xấu có, hệ thống ghi lại Hình III-1 Sơ đồ kiểm tra tin nhắn trái phép NHÓM 25 Bài tập nhóm Internet giao thức Hình III-2 Một chương trình đơn giản để phát thơng báo khơng hợp lệ 3.2 Các tiêu chí thiết kế mơ hình mạng bảo mật cho doanh nghiệp Để tránh bị công vào hệ thống mạng nội nên đặt máy chủ web, máy chủ mail (mail server)…cung cấp dịch vụ mạng Internet vùng mạng DMZ Điều giúp tránh công gây ảnh hưởng tới an toàn mạng nội máy chủ bị kiểm soát hacker Lưu ý không đặt máy chủ web, máy chủ thư điện tử máy chủ cung cấp dịch vụ cho nội vùng mạng Các máy chủ không trực tiếp cung cấp dịch vụ mạng máy chủ sở liệu, máy chủ ứng dụng… nên đặt vùng mạng Server Network để tránh công trực tiếp từ Internet từ mạng nội Với nhiều hệ thống thông tin doanh nghiệp yêu cầu có mức bảo mật cao có nhiều cụm máy chủ khác chia vùng Server Network thành vùng nhỏ độc lập để đảm bảo tính bảo mật an tồn [4] Thiết lập hệ thống mạng bảo mật LAN tưởng lửa thiết bị phát hay phòng chống xâm nhập (IDS/IPS) để bảo vệ, phát chống công trái phép Nên đặt firewall IDS/IPS vị trí như: Đặt firewall đường nối mạng Internet với vùng mạng khác nhằm hạn chế cơng từ mạng từ bên ngồi vào ⚫ Đặt firewall vùng mạng nội mạng DMZ nhằm hạn chế cơng vùng ⚫ ⚫ NHÓM Đặt IDS/IPS vùng cần theo dõi bảo vệ 26 Bài tập nhóm Internet giao thức Nên đặt Router (Router biên) trước kết nối đến nhà cung cấp dịch vụ internet (ISP) để lọc số lưu lượng không mong muốn chặn gói tin đến từ địa IP không hợp lệ 3.2.1 Các bước xây dựng hệ thông mạng cho doanh nghiệp Bước 1: Khảo sát tư vấn ⚫ Đánh giá trạng nhu cầu xây dựng hệ thống mạng doanh nghiệp ⚫ Khảo sát thiết bị có điều kiện ảnh hưởng đến hệ thống Bước 2: Xây dựng hệ thống ⚫ Lựa chọn giải pháp tối ưu chi phí đảm bảo bảo mật cho hệ thống ⚫ Ước lượng thời gian triển khai dự án chi phí đầu tư dự án ⚫ Cài đặt HĐH Server cho máy chủ giao thức, dịch vụ mạng Server Cài đặt bảo mật hệ thống Tùy thuộc vào giải pháp dự án để có bước xây dựng hệ thống bảo mật doanh nghiệp ⚫ Bước 3: Kiểm thử bàn giao hệ thống ⚫ Kiểm tra tương thích tính ổn định hệ thống ⚫ Nghiệm thu bàn giao hệ thống ⚫ Chuyển giao hồ sơ thiết kế hệ thống sơ đồ mạng ⚫ Hướng dẫn sử dụng đào tạo quản trị mạng 3.2.2 Một số mơ hình mạng nội phổ biến ⚫ Mơ hình Trong mơ hình này, vùng mạng Internet, vùng mạng nội (LAN) vùng mạng DMZ thiết kế tách biệt hoàn toàn Ngoài ra, cần đặt tường lửa (Firewall) vùng mạng nhằm kiểm sốt luồng thơng tin vùng mạng với bảo vệ vùng mạng khỏi cơng trái phép từ bên ngồi NHĨM 27 Bài tập nhóm Internet giao thức Hình III-3 Mơ hình cho mạng phổ biến ⚫ Mơ hình Tại mơ hình 2, cần đặt tường lửa vùng mạng Internet vùng DMZ Cùng lúc đặt tường lửa vùng mạng nội vùng mạng DMZ Hình III-4 Mơ hình cho mạng phổ biến ⚫ Mơ hình Trong mơ hình này, cần đặt tường lửa vùng mạng DMZ vùng mạng Internet Và đặt tường lửa vùng mạng nội vùng mạng DMZ Thêm đó, đặt tường lửa vùng mạng nội vùng mạng Internet Như vậy, truy cập vùng với kiểm sốt chặt chẽ tường lửa (Firewall) NHĨM 28 Bài tập nhóm Internet giao thức Hình III-5 Mơ hình cho mạng phổ biến 3.3 Kịch xây dựng 3.3.1 Xác nhận yêu cầu từ doanh nghiệp Doanh nghiệp yêu cầu điều sau: ⚫ Đảm bảo hệ thống truy cập Internet ⚫ Xây dựng hệ thống Firewall để bảo vệ hệ thống ⚫ Chặn người dùng truy cập số trang Web như: Facebook, Web Game, Web đen ⚫ Tập trung liệu phòng ban Server ⚫ Có khả mở rộng phịng ban Khi bị cơng mạng từ bên ngồi: ⚫ Ngắt kết nối Internet cách kéo cáp mạng khỏi định tuyến để ngăn chặn việc lưu trữ liệu ⚫ Ghi lại tất thay đổi mạng, ngày thông báo / phát ⚫ Tách biệt tất thiết bị phần cứng thiết bị bị nghi ngờ bị xâm phạm (nếu có thể) khỏi thiết bị quan trọng khác doanh nghiệp Phân bổ lại thiết bị vào mạng riêng biệt Đừng tắt thiết bị không bị công! Luôn bật nguồn để bảo vệ liệu dễ bay đảm bảo nhân viên không truy cập, sử dụng thay đổi chúng ⚫ Cách ly thay xóa Nếu q trình qt chống vi-rút xác định phần mềm độc hại hệ thống, khơng “xóa” tệp phát — cách ly chúng để trì phát để phân tích ⚫ Duy trì cài đặt tường lửa nhật ký tường lửa Lưu giữ tất ghi hệ thống bảo mật NHĨM 29 Bài tập nhóm Internet giao thức ⚫ Chỉ giới hạn lưu lượng truy cập Internet máy chủ cổng quan trọng doanh nghiệp ⚫ Tắt (khơng xóa) khả truy cập từ xa điểm truy cập không dây (nếu có) Thay đổi tất mật tài khoản vơ hiệu hóa (khơng xóa) tài khoản không quan trọng Hãy nhớ thay đổi mật định tuyến ghi lại mật cũ bạn để phân tích sau Doanh nghiệp chặn trang web khỏi nhân viên : ⚫ Chặn từ khóa: định tuyến tường lửa Netgear đặt để chặn 32 từ khóa khác nhau; đặt định tuyến cấm thứ có hậu tố COM ⚫ Quản lý băng thơng: mua phần mềm theo dõi kiểm soát lượng băng thơng mà máy tính sử dụng Nếu máy tính để bàn cụ thể làm giảm băng thơng, phần mềm buộc nhân viên cắt giảm 3.4 Triển khai 3.4.1 Khảo sát hệ thống mạng doanh nghiệp ⚫ Số lượng phịng ban sử dụng máy tính: 18 ⚫ Tổng số máy tính: 100 ⚫ Khoảng cách đặt từ máy chủ tới phòng xa 100m ⚫ Số lượng máy chủ: ⚫ IBM X3400: Chip intel xeon E5320 1.86 Ghz, ram 8G, win server 2008, raid ⚫ IBM X3650: Chip intel xeon E5 2620 2.00 Ghz, ram 2G, win server 2008 R2 standard 64-bit, raid ⚫ Số lượng Router dùng: 3.4.2 Đánh giá đưa giải pháp Hạ tầng mạng phục vụ cơng việc truy cập Internet phịng ban Khi doanh nghiệp sử dụng hệ thống phần mềm với số lượng truy xuất thơng tin lớn toàn thiết bị doanh nghiệp không đáp ứng yêu cầu Để xây dựng hệ thống tường lửa để bảo vệ hệ thống có loại: dùng Firewall cứng Firewall mềm ⚫ NHÓM Đối với Firewall mềm ta dùng Pfsense cài đặt máy chủ HP ML10v2 có RAM 16 GB 32GB ổn định với số lượng khách hàng khoảng 5000 tới 7000 200 máy từ doanh nghiệp truy cập vào internet thời điểm Cịn số lượng lớn dẫn tới treo hệ thống chậm Ưu điểm phần mềm nguồn mở nên không 30 Bài tập nhóm Internet giao thức phí, tính phí đầu tư Server vào khoảng 23 triệu Phần mềm chặn dịch vụ điều khiển tín hiệu vào tốt Có thể xây dựng Proxy ⚫ Đối với dòng Firewall cứng Fortinet 90D 140D khả ổn định cao có số lượng khách hàng truy cập lớn Tốc độ truy xuất vào cao hẳn dòng Firewall mềm Dòng Fortinet 90D trì phiên truy cập lên tới triệu phiên (2 triệu khách hàng) đồng thời xử lý 4000 phiên thời điểm Dịng 140D hỗ trợ tới triệu phiên làm việc 22000 phiên lúc mà không bị treo ảnh hưởng, để lựa chọn nên chọn dòng 140D Nhưng chi phí dịng cứng lại đắt, dòng Fortinet 90D lên tới 32 triệu license năm Khi mua License lên tới 45% theo giá trị phần cứng (License dùng vào việc lọc Web đen, web game, diệt virus tốt Nếu không dùng License có tính cao cập Router sử dụng để bảo vệ doanh nghiệp tốt khơng diệt virus) Fortinet 140D có phí phần cứng khơng license 55 triệu cịn có licent 85 triệu Sử dụng Switch layer CISCO WS-C3750G-24T-S 24 Switch Cisco 3750 dùng để tách VLAN định tuyến cho VLAN trao đổi liệu nội với mà không cần phải qua Firewall, liệu cần thiết Internet qua Firewall Switch Cisco 3750 có 24 Ethernet 10/100/1000 ports cổng quang (SFPbased Gigabit Ethernet ports) Hiện hệ thống trung tâm lên tới 18 phòng ban, phịng ban độc lập, khơng tách VLAN có phịng bị virus làm treo đường truyền ảnh hưởng tới tồn phịng ban khác Nhưng có VLAN làm giảm tải vấn đề Nhưng đặc thù Switch dành cho doanh nghiệp lớn từ 10 phòng ban trở lên, có số máy 100 cần truy xuất liệu nhiều, phí đắt Giá dịng Switch 3750 lên tới 98 triệu (vẫn có loại thấp thiếu nhiều module mở rộng, sau thay khó) Hệ thống giám sát cảnh báo sớm phần mềm Zabbix Thông qua phần mềm Zabbix ta biết tín hiệu vào cổng, biết khu vực bị hỏng thiết bị, đo nhiệt độ CPU, phần trăm sử dụng RAM, CPU… Phần mềm phải chạy máy chủ có hệ điều hành nguồn mở (CentOS) Trên máy chủ cài Zabbix ta kết hợp cài dịch vụ FTP Server để chia tài nguyên mạng LAN công ty Vì hệ điều hành nguồn mở tránh bị lây nhiễm số Virus từ máy Windows sang Máy chủ cài đặt hệ thống phần mềm tính tiền nước công ty hệ thống File Server đặt khu vực DMZ riêng, bảo vệ bở Firewall Fortinet Đối với hệ thống phần mềm tính tiền nước chạy HA load balancer failover Đường truyền đáp ứng nhu cầu công ty, số lượng khách hàng tăng lên ta nâng băng thơng đường truyền Để chi nhánh nhập liệu ổn định ta dùng đường WAN kết nối Khi xẩy cố công không ảnh hưởng tới liệu truy cập nhập hệ thống [4] NHĨM 31 Bài tập nhóm Internet giao thức 3.4.3 Mơ hình mạng logic cho hệ thống mạng doanh nghiệp Dưới mơ hình mạng tham khảo cho doanh nghiệp: Hình III-6 Mơ hình mạng tham khảo cho doanh nghiệp 3.4.4 Tham khảo số thiết bị cho doanh nghiệp STT DANH MỤC THIẾT BỊ TÍNH NĂNG KỸ THUẬT SERVER HP ML10v2 CPU: E3-1225v5 3.3Ghz 1P 4C RAM: 16GB (8GBx2), 4LFF, DDR4 HDD: 2*1TB, DVDRW, Intel RST SATA RAID, SATA, 300W CISCO WSC3750G-24T-S 24 24 Ethernet 10/100/1000 ports and SFP-based Gigabit Ethernet ports Swtich layer 3 FortiGate-90D FG- Hardware NHÓM plus Year 8x5 FortiCare and 32 Bài tập nhóm Internet giao thức 90D-BDL FortiGuard UTM Bundle FortiGate FG-90D bundle Security Appliance 16 x GE RJ45 ports (2x WAN ports, 14x Switch ports), 32GB onboard storage Max managed FortiAPs (Total / Tunnel) 32 / 16 - Gateway-to-Gateway IPSec VPN Tunnels 200 Client-to-Gateway IPSec VPN Tunnels 1,000, SSL-VPN Users 200 - Firewall Throughput : 3,5 Gbps - Concurrent Sessions : Million - New Sessions/Second : 4,000 - IPS Throughput : 275 Mbps - IPSec VPN Throughput : 35 Mbps - Antivirus Throughput : 65 Mbps Cáp mạng Cat6 AMP hãng cuộn(305m) Hỗ trợ chuẩn Gigabit Ethernet Thỏa tất yêu cầu Gigabit Ethernet(IEEE 802.3ab) Băng thông hỗ trợ tới 600 MHz Hiệu suất 3dB NEXT chuẩn Cat Độ dày lõi 23 AWG, 4-cặp UTP Hạt Mạng Hạt Mạng cat5 AMP hãng Gen Sino 39x18 Gen Sino 39x18 Tủ Rack 6U Tủ Rack 6U đựng thiết bị Vật tư phụ Vật tư phụ (vít, lở, băng dính, đanh dấu đầu dây ) Nhân công Nhân công thi cơng, lắp đặt cấu hình hồn thiện hệ thống /node mạng NHĨM 33 Bài tập nhóm Internet giao thức KẾT LUẬN Chúng ta thấy khơng thể có biện pháp bảo mật hồn hảo tồn vẹn giải hết tất vấn đề bảo mật mạng máy tính Để có an tồn cao cho mạng máy tính cần phải sử dụng hệ thống bảo mật bao gồm nhiều biện pháp bảo mật phải biết kết hợp chúng cách hợp lý hiệu Bài tập lớn lần chúng em, tìm hiểu sâu vào nghiên cứu xây Firewall, IDS trình bày khái niệm , đặc điểm, cấu trúc, chức giải pháp để sử dụng Firewall IDS cách hiệu nhất, đồng thời chúng em tìm hiểu để xây dựng hệ thống mạng bảo mật cho doanh nghiệp IDS biện pháp hiệu nhằm phát ngăn chặn xâm nhập trái phép dùng sai quyền IDS lựa chọn phù hợp muốn phòng chống Dos để bảo vệ server ứng dụng liệu quan trọng vùng DMZ Bên cạnh biện pháp bảo mật khác như: VPN, IDS biện pháp thiếu hệ thống an ninh mạng Tùy vào mơ hình mạng yêu cầu bảo mật mà có phương pháp sử dụng IDS Firewall cho hợp lý hiệu Bài tập lớn tảng cho nghiên cứu hệ thống an ninh mạng nói chung hệ thống ngăn chặn xâm nhập nói riêng Chúng em xin chân thành cảm ơn cô TS Phạm Anh Thư giúp chúng em có tiết học hiệu bổ ích lớp Qua giúp chúng em có kiến thức tảng để bước xây dựng tập lớn lần Và thời gian nghiên cứu có hạn, đồng thời kiến thức chúng em hạn chế, tập lớn tránh thiếu sót, chúng em mong muốn hướng dẫn dạy thêm Chúng em xin tiếp thu cố gắng hoàn thành tốt tập lớn Chúng em xin chân thành cảm ơn ! NHĨM 34 Bài tập nhóm Internet giao thức TÀI LIỆU THAM KHẢO Trang Web [1] http://dlib.ptit.edu.vn/flowpaper/simple_document.php?subfolder=51/14/70/&doc=5114708170 3d48-4f85-914e-a0e06eef7575&uid= [Online] [2] https://securitydaily.net/network-mo-hinh-mang-hop-ly/?fbclid=IwAR3jYvkUDMLBFsY0il3x 5UMGr2ABnBNU1fJjoLww6b13mjuyfF3XqQmA [Online] [3] https://securitydaily.net/network-mo-hinh-mang-hop-ly/?fbclid=IwAR3jYvkUDMLBFsY0il3x 5UMGr2ABnBNU1fJjoLww6b13mjuyfF3XqQmA [Online] [4] https://thietbiso24h.com/quy-trinh-xay-dung-mang-bao-mat-cho-doanh-nghiep?fbclid=IwAR1 fK9DcCi29jpu4cg5qg7ddotTvv1uf9gLvBE3IkA [Online] Sách [1] Bài giảng An ninh mạng thông tin, khoa Viễn Thông, Nguyễn Chiến Trinh, Nguyễn Tiến Ban, Hoàng Trọng Minh, Nguyễn Thanh Trà Phạm Anh Thư (2021) BẢNG PHÂN CÔNG CÔNG VIỆC Nguyễn Anh Tuấn Ngô Thanh Thái Thông tin firewall; tổng hợp lại nội dung Nguyễn Mạnh Việt Thông tin IDS; thiết kế slide Nguyễn Trường Sơn Xây dựng mơ hình Firewall cho doanh nghiệp; hoàn chỉnh slide Đào Trung Nam NHĨM Tổng quan phương thức phịng chống xâm nhập mạng; hoàn chỉnh word tiểu luận Xây dựng mơ hình IDS cho doanh nghiệp; thiết kế nội dung thuyết trình 35