Khóa luận tốt nghiệp: Triển khai tường lửa OPNSense cho Doang nghiệp.“Triển khai tường lửa OPNSense cho mạng doanh nghiệp” với mục đích tìm hiểu về cơ chế hoạt động của nó cũng như phát hiện ra những nhược điểm, qua đó tìm ra giải pháp khắc phục những nhược điểm này để hệ thống mạng trong doanh nghiệp luôn được vận hành trơn tru, an toàn và hạn chế sự cố có thể xảy ra, đồng thời cũng hạn chế bớt được một phần nào về vấn đề chi phí cho sự an toàn và bảo mật của hệ thống mạng doanh nghiêp.
LỜI CẢM ƠN Lời đầu tiên, xin chân thành cảm ơn đến thầy giáo, cô giáo trường tận tình giảng dạy truyền đạt cho kiến thức quý báu suốt trình học tập giảng đường Đặc biệt thầy , người trực tiếp hướng dẫn, giúp đỡ nhiều q trình học tập để hồn thành báo cáo Khóa luận tốt nghiệp Tơi xin chân thành cảm ơn gia đình, bạn bè, người thân tạo điều kiện tốt để tơi hồn thiện đề tài Với kiến thức cịn nhiều hạn chế, báo cáo khơng tránh khỏi sai sót Rất mong nhận lời góp ý thầy cơ, bạn bè để tơi có thêm kiến thức, trau dồi thêm kỹ thân Tôi xin chân thành cảm ơn Page LỜI CAM ĐOAN Tôi xin cam đoan nội dung Khóa luận tơi thực hướng dẫn thầy Mọi tham khảo dùng khóa luận trích dẫn rõ ràng trung thực tên tác giả, tên cơng trình, thời gian, địa điểm công bố Mọi chép không hợp lệ, vi phạm quy chế đào tạo, hay gian trá xin chịu hoàn toàn trách nhiệm Đà Nẵng, ngày ., tháng , năm 20 TÁC GIẢ KHOÁ LUẬN Page DANH MỤC HÌNH ẢNH Hình 1.1 Xác thực dựa chứng số Hình 1.2 Mơ hình mạng tổng thể 15 Hình 2.1 Tường lửa bảo mật 17 Hình 2.2 Phân loại Firewall 21 Hình 2.3 PfSense .25 Hình 2.4 Packet filtes 27 Hình 2.5 Circuit-Level Gateways 29 Hình 2.6 Application-Level Gateways 29 Hình 2.7 Screening Router (Packet Filtering) 31 Hình 2.8 Dual Homed Host 32 Hình 2.9 Single – Homed Bastion Host 33 Hình 2.10 Dual – Homed Bastion Host 34 Hình 2.11 Screened Subnet .35 Hình 3.1 Mơ hình mạng doanh nghiệp 37 Hình 3.2 Mơ hình mạng đề xuất .39 Hình 3.3 OPNSense 40 Hình 3.4 Mơ hình kiểm thử .43 Hình 3.5 Web Proxy/Administrator 44 Hình 3.6 Cài đặt 44 Hình 3.7 Thiết lập kết nối đến Proxy 45 Hình 3.8 Tạo Rule & chọn CA .46 Hình 3.9 Thiết lập Blacklist 47 Hình 3.10 Truy cập bị chặn .47 Hình 3.11 Logs chặn truy cập ghi lại .48 Hình 3.12 Thiết lập ClamAV 49 Hình 3.13 Thiết lập C-ICAP 49 Hình 3.14 Bật chức ClamAV 50 Hình 3.15 Bật chức ICAP 50 Hình 3.16 Web test chống virus 51 Hình 3.17 Kết 51 Hình 3.18 Thiết lập IDS 53 Hình 3.19 Thiết lập rules IDS 54 Hình 3.20 SYN Flood DoS attack 54 Hình 3.21 Báo cáo ghi lại 55 Page DANH MỤC TỪ VIẾT TẮT TỪ VIẾT TẮT 2FA NGHĨA TIẾNG ANH NGHĨA TIẾNG VIỆT Two - Factor Authentication Xác thực hai yếu tố Asymmetric Digital Đường dây thuê bao kỹ thuật số Subscriber Line bất đối xứng Certificate Authority Chứng Common Address Giao thức dự phòng địa Redundancy Protocol chung CPU Central Processing Unit Bộ xử lý trung tâm DNS Domain Name System Hệ thống phân giải tên miền FTP File Transfer Protocol Giao thức truyền tệp GUI Graphical User Interface Giao diện đồ họa người dùng HTTP Hypertext Transfer Protocol Giao thức truyền tải siêu văn Internet Content Adaptation Giao thức thích ứng nội dung Protocol Internet Internet Control Message Giao thức thông điệp điều khiển Protocol Internet Intrution Detection System Hệ thống phát xâm nhập ADSL CA CARP ICAP ICMP IDS IMAP Internet Message Access Protocol Giao thức chuẩn Internet IP Internet Protocol Giao thức mạng KEA Key Exchange Algorithm Thuật tốn trao đổi khóa L2TP Layer Tunneling Protocol Giao thức đường hầm lớp NAT Network Address Translation Biên dịch địa mạng NFS Network File System Hệ thống giao thức chia sẻ tệp OSI Open Systems Hệ thống kết nối mở Interconnection PHP Hypertext Preprocessor Ngôn ngữ lập trình kịch PPTP Point-to-Point Tunneling Giao thức đường hầm điểm – Page Protocol điểm PSKs Pre-shared key Khóa chia sẻ trước RRD Round-robin Database Cơ sở liệu vòng tròn SNMP Simple Network Giao thức quản lý mạng đơn giản Management Protocol Simple Mail Transfer Giao thức truyền tải thư tín đơn Protocol giản SSH Secure Shell Giao thức thiết lập kết nối mạng SSL Secure Sockets Layer Lớp socket bảo mật SMTP TCP Transmission Control Giao thức điều khiển truyền dẫn Protocol TLS Transport Layer Security Kỹ thuật mã hóa truyền tin UDP User Datagram Protocol Giao thức gói liệu người dùng URL Uniform Resource Locator Đường dẫn tham chiếu VPN Virtual Private Network Mạng riêng ảo WAN Wide area network Mạng diện rộng XML eXtensible Markup Language Ngôn ngữ đánh dấu mở rộng Page MỤC LỤC LỜI CẢM ƠN I LỜI CAM ĐOAN .II DANH MỤC HÌNH ẢNH III DANH MỤC TỪ VIẾT TẮT IV MỞ ĐẦU CHƯƠNG 1: GIỚI THIỆU CÁC HỆ THỐNG AN TỒN THƠNG TIN .3 1.1 Firewall 1.1.1 Firewall gì? 1.1.2 Cách thức hoạt động .3 1.2 Certificate Authority (CA) .3 1.2.1 Chứng số 1.2.2 Chức CA 1.2.3 Xác thực dựa chứng số .4 1.2.4 Giao thức SSL 1.3 Clam Antivirus (ClamAV) .7 1.3.1 Giới thiệu ClamAV 1.3.2 Chức .7 1.3.3 Hiệu 1.3.4 Nền tảng 1.4 Intrusion Detection System / Intrusion Prevention System (IDS/IPS) 1.4.1 Intrusion Detection System (IDS) 1.4.2 Intrusion Prevention System (IPS) 12 1.5 Mơ hình mạng cho doanh nghiệp vừa nhỏ 13 1.5.1 Hiện trạng & nhu cầu 13 1.5.2 Giải pháp xây dựng hệ thống mạng 13 CHƯƠNG 2: TƯỜNG LỬA BẢO MẬT .17 2.1 Giới thiệu tường lửa bảo mật 17 2.2 Chức 17 2.2.1 Quản lý kiểm soát lưu lượng mạng 18 Page 2.2.2 Kiểm tra gói tin (Packet inspection) .18 2.2.3 Xác thực truy cập (Authentication Access) 19 2.2.4 Hoạt động thiết bị trung gian 19 2.2.5 Bảo vệ tài nguyên (Protect Resources) 20 2.2.6 Ghi lại báo cáo kiện .20 2.3 Phân loại .21 2.3.1 Phân loại theo phạm vi sử dụng 21 2.3.2 Phân loại theo cấu trúc 22 2.4 Các công nghệ Firewall 26 2.4.1 Packet filter 27 2.4.2 Circuit-Level Gateways 28 2.4.3 Application-Level Gateways 29 2.4.4 Stateful Multilayer Inspection Firewalls .30 2.5 Một số kiến trúc Firewall 31 2.5.1 Screening Router (Packet Filter) 31 2.5.2 Dual Homed Host 32 2.5.3 Screened Host .33 2.5.4 Screened Subnet 35 CHƯƠNG 3: TRIỂN KHAI TƯỜNG LỬA OPNSENSE CHO MẠNG DOANH NGHIỆP 37 3.1 Mơ hình mạng 37 3.1.1 Sơ đồ mạng 37 3.1.2 Mô tả mạng 38 3.1.3 Ưu & nhược điểm mạng 38 3.2 Mơ hình mạng đề xuất 39 3.2.1 Sơ đồ mạng 39 3.2.2 Mô tả mạng 39 3.2.3 Ưu & nhược điểm mạng 39 3.2.4 Giới thiệu OPNSense .40 3.3 Thực kiểm thử 43 3.3.1 Sơ đồ kiểm thử 43 Page 3.3.2 Kịch 1: Network Address Filtering 43 3.3.3 Kịch 2: Antivirus Protection 48 3.3.4 Kịch 3: IDS với OPNSense 52 3.4 Đánh giá kết vận hành kiểm thử 56 KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN 59 DANH MỤC TÀI LIỆU THAM KHẢO 60 Page Triển khai tường lửa OPNSense cho mạng doanh nghiệp MỞ ĐẦU I LÝ DO CHỌN ĐỀ TÀI Ngày nay, máy tính mạng internet phổ biến rộng rãi, tổ chức, cá nhân có nhu cầu sử dụng máy tính mạng máy tính để tính tốn, lưu trữ, quảng bá thơng tin hay sử dụng giao dịch trực tuyến mạng Nhưng đồng thời với hội mở lại có nguy mạng máy tính khơng quản lý dễ dàng bị công, gây hậu nghiêm trọng điều lại quan trọng doanh nghiệp Việc bị kẻ xấu cơng vào hệ thống mạng với mục đích phá hủy, đánh cắp thơng tin gây thiệt hại đáng kể cho doanh nghiệp Kẻ cơng sử dụng thơng tin lấy đem bán cho doanh nghiệp đối thủ, dùng thứ lấy cắp doanh nghiệp để buộc họ phải trả tiền để lấy lại Đây mục đích hầu hết kẻ công vào hệ thống mạng doanh nghiệp, đặc biệt doanh nghiệp Việt Nam phần lớn doanh nghiệp nước ta chưa quan tâm nhiều đến vấn đề bảo mật thơng tin cho hệ thống mạng doanh nghiệp Tuy nhiên, chi phí bỏ thứ mà doanh nghiệp cần quan tâm nhất, khơng phải doanh nghiệp mạnh dạn đầu tư khoản tiền lớn cho thiết bị bảo vệ an toàn cho hệ thống mạng với đầy đủ độ an tồn để tránh rủi ro việc công mạng từ kẻ xấu, đặc biệt với doanh nghiệp vừa nhỏ Trong đó, thị trường có nhiều loại thiết bị, sản phẩm đem lại bảo mật cho hệ thống mạng phổ biến tường lửa hay cịn gọi firewall Và thiết bị tường lửa có đầy đủ độ an tồn, có khả chống lại hầu hết phương pháp cơng mạng, có khả hoạt động ổn định hiệu suất hoạt động đạt mức tốt kèm với việc chi phí mà doanh nghiệp phải bỏ để sở hữu thiết bị lớn, lên đến vài trăm triệu đồng Xác định tầm quan trọng việc bảo mật hệ thống mạng doanh nghiệp, đồng thời giảm thiểu phần chi phí phải bỏ cho an toàn , bảo mật hệ thống mạng doanh nghiệp đó, nên tơi chọn nghiên cứu đề tài Page Triển khai tường lửa OPNSense cho mạng doanh nghiệp “Triển khai tường lửa OPNSense cho mạng doanh nghiệp” với mục đích tìm hiểu chế hoạt động phát nhược điểm, qua tìm giải pháp khắc phục nhược điểm để hệ thống mạng doanh nghiệp vận hành trơn tru, an tồn hạn chế cố xảy ra, đồng thời hạn chế bớt phần vấn đề chi phí cho an tồn bảo mật hệ thống mạng doanh nghiêp. II MỤC TIÊU VÀ NHIỆM VỤ - Tìm hiểu hệ thống an tồn thơng tin - Tìm hiểu Firewall Firewall mềm OPNSense - Khảo sát nhu cầu mơ hình mạng doanh nghiệp vừa nhỏ - Triển khai mơ hình mạng có sử dụng Firewall OPNSense cho doanh nghiệp vừa nhỏ - Đánh giá Firewall mềm mã nguồn mở OPNSense III ĐỖI TƯỢNG NGHIÊN CỨU - Các hệ thống an toàn thông tin - Firewall Firewall mềm mã nguồn mở OPNSense - Các mơ hình mạng cơng ty, doanh nghiệp vừa nhỏ địa bàn thành phố Đà Nẵng IV PHẠM VI NGHIÊN CỨU - Nghiên cứu tổng quan hệ thống an tồn thơng tin - Nghiên cứu Firewall Firewall mềm mã nguồn mở OPNSense - Nghiên mơ hình mạng doanh nghiệp vừa nhỏ sử dụng V BỐ CỤC KHĨA LUẬN Bố cục khóa luận gồm có chương: - Chương 1: Giới thiệu hệ thống an tồn thơng tin - Chương 2: Tường lửa bảo mật - Chương 3: Triển khai tường lửa OPNSense cho mạng doanh nghiệp Page 10