Đồ án: Nghiên cứu triển khai giải pháp đảm bảo an ninh mạng trên nền Pfsense tài liệu, giáo án, bài giảng , luận văn, lu...
BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC DÂN LẬP HẢI PHÒNG -o0o - ISO 9001:2015 NGHIÊN CỨU TRIỂN KHAI GIẢI PHÁP ĐẢM BẢO AN NINH MẠNG TRÊN NỀN PFSENSE ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUY Ngành: Cơng nghệ Thơng tin .Tà i liệu Há»— trợ ôn táºp com Luáºn văn Luáºn án BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC DÂN LẬP HẢI PHÒNG -o0o - NGHIÊN CỨU TRIỂN KHAI GIẢI PHÁP ĐẢM BẢO AN NINH MẠNG TRÊN NỀN PFSENSE ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUY Ngành: Cơng nghệ Thơng tin Sinh viên thực : Trần Văn Quyết Mã sinh viên : 1512101012 Giáo viên hướng dẫn : TS Ngô Trường Giang .Tà i liệu Há»— trợ ôn táºp com HẢI PHÒNG - 2019 Luáºn văn Luáºn án Tà i liệu Há»— trợ ôn táºp com Luáºn văn Luáºn án BỘ GIÁO DỤC VÀ ĐÀO TẠO CỘNG HOÀ Xà HỘI CHỦ NGHĨA VIỆT NAM TRƯỜNG ĐẠI HỌC DÂN LẬP HẢI PHÒNG Độc lập - Tự - Hạnh phúc -o0o - NHIỆM VỤ THIẾT KẾ TỐT NGHIỆP Sinh viên: Trần Văn Quyết Mã sinh viên: Lớp: Ngành: Công nghệ Thông tin CT1901M 1512101012 Tên đề tài: Nghiên cứu triển khai giải pháp đảm bảo an ninh mạng Pfsense Tà i liệu Há»— trợ ôn táºp com Luáºn văn Luáºn án Tà i liệu Há»— trợ ôn táºp com Luáºn văn Luáºn án NHIỆM VỤ ĐỀ TÀI Nội dung yêu cầu cần giải nhiệm vụ đề tài tốt nghiệp a Nội dung: - Tìm hiểu tổng quan an tồn an ninh mạng - Tìm hiểu phần mềm nguồn mở pfsense - Triển khai số dịch vụ pfsence để tăng cường an ninh b Các yêu cầu cần giải - Tìm hiểu vấn đề an ninh mạng máy tính - Tìm hiểu cấu hình phần mềm nguồn mở pfsense - Cấu hình số dịch vụ pfsence để tăng cường an ninh mạng Các số liệu cần thiết để thiết kế, tính tốn Địa điểm thực tập Tà i liệu Há»— trợ ôn táºp com Luáºn văn Luáºn án Tà i liệu Há»— trợ ôn táºp com Luáºn văn Luáºn án CÁN BỘ HƯỚNG DẪN ĐỀ TÀI TỐT NGHIỆP Người hướng dẫn thứ nhất: Họ tên: Ngô Trường Giang Học hàm, học vị: Tiến sĩ Cơ quan công tác: Khoa Công nghệ Thông tin Nội dung hướng dẫn: - Tìm hiểu tổng quan an tồn an ninh mạng - Tìm hiểu phần mềm nguồn mở pfsense - Triển khai số dịch vụ pfsence để tăng cường an ninh Người hướng dẫn thứ hai: Họ tên: ………………………………………………………………………………… Học hàm, học vị……………………………………………………………………………… Cơ quan công tác: …………………………………………………………………………… Nội dung hướng dẫn: …………………… ………………………………………………………………………………………………… ………………………………………………………………………………………………… Đề tài tốt nghiệp giao ngày 01 tháng năm 2019 Yêu cầu phải hoàn thành trước ngày 21 tháng năm 2019 Đã nhận nhiệm vụ: Đ.T.T.N Sinh viên Đã nhận nhiệm vụ: Đ.T.T.N Cán hướng dẫn Đ.T.T.N Trần Văn Quyết Ngơ Trường Giang Hải Phịng, ngày tháng .năm 2019 HIỆU TRƯỞNG GS.TS.NGUT Trần Hữu Nghị Tà i liệu Há»— trợ ôn táºp com Luáºn văn Luáºn án Tà i liệu Há»— trợ ôn táºp com Luáºn văn Luáºn án CỘNG HÒA Xà HỘI CHỦ NGHĨA VIỆT NAM Độc lập – Tự – Hạnh phúc PHIẾU NHẬN XÉT CỦA CÁN BỘ HƯỚNG DẪN TỐT NGHIỆP Họ tên: Ngô Trường Giang Cơ quan công tác: Khoa Công nghệ Thông tin Họ tên sinh viên: Trần Văn Quyết Ngành: Công nghệ Thông tin Nội dung hướng dẫn: - Tìm hiểu tổng quan an tồn an ninh mạng - Tìm hiểu phần mềm nguồn mở pfsense - Triển khai số dịch vụ pfsence để tăng cường an ninh Tinh thần thái độ sinh viên trình làm đề tài tốt nghiệp: - Sinh viên tích cực, chủ động tìm đọc tài liệu liên quan tới đề tài - Chấp hành nghiêm túc kế hoạch, tiến độ đề Đánh giá chất lượng đồ án (so với nội dung yêu cầu đề nhiệm vụ đề tài tốt nghiệp mặt lý luận, thực tiễn, tính tốn số liệu ): - Về mặt lý thuyết: Đồ án trình bày tổng quan an ninh mạng máy tính, số giải pháp tăng cường an ninh mạng máy tính - Về mặt thực nghiệm: Đồ án triển khai cấu hình số dịch vụ tăng cường an ninh mạng như: giới hạn truy cập, Giới hạn tốc độ download/upload cho client, Chứng thực user truy cập web, hệ thống backup Firewall, mạng riêng ảo Site – to – site Client – to site Về hình thức: Báo cáo trình bày sáng sủa, bố cục hợp lý Đồ án đáp ứng yêu cầu đề Ý kiến cán hướng dẫn: Đạt Không đạt Điểm:…………………………………… Ngày 30 tháng năm 2019 Cán hướng dẫn TS Ngô Trường Giang QC20-B18 Tà i liệu Há»— trợ ôn táºp com Luáºn văn Luáºn án Tà i liệu Há»— trợ ôn táºp com Luáºn văn Luáºn án CỘNG HÒA Xà HỘI CHỦ NGHĨA VIỆT NAM Độc lập - Tự - Hạnh phúc PHIẾU NHẬN XÉT CỦA GIẢNG VIÊN CHẤM PHẢN BIỆN Họ tên giảng viên: Phùng Anh Tuấn Đơn vị công tác: khoa Cơng nghệ Thơng tin - trường ĐHDL Hải Phịng Họ tên sinh viên: Trần Văn Quyết - Ngành: Công nghệ Thông tin Đề tài tốt nghiệp: Nghiên cứu triển khai giải pháp đảm bảo an ninh mạng PFSENSE Phần nhận xét giảng viên chấm phản biện - An ninh mạng vấn đề nóng lĩnh vực quản trị mạng việc tăng cường an ninh cho hệ thống mạng điều cần quan tâm - Nội dung đồ án có tính ứng dụng thực tế tốt - Đáp ứng yêu cầu đồ án tốt nghiệp ngành CNTT Những mặt cịn hạn chế - Kiến thức trình bầy lý thuyết chưa có ví dụ minh họa - Hình ảnh minh họa cài đặt cấu hình pfsense mờ chưa rõ nét - Kết thực nghiệm bước đầu thực máy tính ảo Ý kiến giảng viên chấm phản biện Được bảo vệ Khơng bảo vệ Điểm:…………………………… Hải Phịng, ngày 08 tháng 10 năm 2019 Giảng viên chấm phản biện (Ký ghi rõ họ tên) Tà i liệu Há»— trợ ôn táºp com Luáºn văn Luáºn án Tà i liệu Há»— trợ ôn táºp com Luáºn văn Luáºn án Nghiên cứu triển khai giải pháp đảm bảo an ninh mạng Pfsense Đồ án tốt nghiệp LỜI CẢM ƠN Sau ba tháng nỗ lực tìm hiểu thực hiện, đồ án “Nghiên cứu triển khai hệ thống firewall mã nguồn mở cho doanh nghiệp vừa nhỏ” hồn thành, ngồi cố gắng thân, em nhận nhiều động viên, khích lệ từ gia đình, thầy bạn bè Em xin bày tỏ lòng biết ơn sâu sắc tới thầy Ngơ Trường Giang tận tình hướng dẫn, bảo dành nhiều thời gian quý báu thầy cho em thời gian qua, giúp em hoàn thành đồ án thời hạn Em xin cảm ơn thầy cô giáo khoa Công nghệ thông tin trường Đại học Dân lập Hải Phòng giảng dạy, trang bị cho em kiến thức chuyên ngành, chuyên môn, chuyên sâu suốt năm qua Mặc dù em cố gắng để hoàn thành đồ án tốt nghiệp này, tham khảo nhiều nguồn tài liệu khác nhau, cộng thêm kiến thức nhiều hạn chế, khơng thể tránh khỏi thiếu sót Em mong nhận thơng cảm đóng góp, bảo tận tình q thầy bạn để đồ án ngày hồn thiện Em xin chân thành cảm ơn! Trần Văn Quyết – CT1901M Tà i liệu Há»— trợ ôn táºp com Luáºn văn Luáºn án Tà i liệu Há»— trợ ôn táºp com Luáºn văn Luáºn án Nghiên cứu triển khai giải pháp đảm bảo an ninh mạng Pfsense Đồ án tốt nghiệp MỞ ĐẦU Ngày nay, máy tính mạng internet phổ biến rộng rãi, tổ chức, cá nhân có nhu cầu sử dụng máy tính mạng máy tính để tính tốn, lưu trữ, quảng bá thông tin hay sử dụng giao dịch trực tuyến mạng Nhưng đồng thời với hội mở lại có nguy mạng máy tính khơng quản lý dễ dàng bị công, gây hậu nghiêm trọng Xác định tầm quan trọng việc bảo mật hệ thống mạng doanh nghiệp nên em chọn nghiên cứu đề tài “Nghiên cứu triển khai giải pháp đảm bảo an ninh mạng Pfsense” với mục đích tìm hiểu sâu sắc chế hoạt động phát nhược điểm tìm giải pháp khắc phục nhược điểm để hệ thống mạng doanh nghiệp vấn hành trơn tru, an toàn hạn chế cố xảy Đồ án chia thành nội dung : - Chương : An ninh mạng máy tính - Chương : Giải pháp tăng cường an ninh mạng - Chương : Giải pháp proxy server Pfsense Trần Văn Quyết – CT1901M Tà i liệu Há»— trợ ôn táºp com Luáºn văn Luáºn án Tà i liệu Há»— trợ ôn táºp com Luáºn văn Luáºn án Nghiên cứu triển khai giải pháp đảm bảo an ninh mạng Pfsense Đồ án tốt nghiệp MỤC LỤC LỜI CẢM ƠN MỞ ĐẦU MỤC LỤC DANH MỤC HÌNH VẼ CHƯƠNG 1: AN NINH MẠNG MÁY TÍNH 1.1 Các nguyên tắc tảng an ninh mạng 1.1.1 Mơ hình CIA 1.1.2 Mơ hình ba an ninh 1.2 Các nguy an ninh mạng 11 1.2.1 Các nguy 11 1.2.2 Các điểm yếu giao thức mạng .12 1.2.3 Các điểm yếu hệ điều hành 12 1.2.4 Các điểm yếu thiết bị mạng 12 1.2.5 Các điểm yếu cấu hình thiết bị .12 1.3 Giải pháp kỹ thuật lập kế hoạch an ninh mạng 12 1.3.1 Sử dụng tảng khác 12 1.3.2 Sử dụng mơ hình an ninh mạng .13 1.3.3 Sử dụng nguyên tắc an ninh 14 1.3.4 Sử dụng giải pháp an ninh 15 CHƯƠNG 2: GIẢI PHÁP TĂNG CƯỜNG AN NINH MẠNG 19 2.1 Hệ thống tường lửa (Firewall) 19 2.1.1 Khái niệm Firewall 19 2.1.2 Chức Firewall 19 2.1.3 Phân loại Firewall 20 2.1.4 Kiến trúc FireWall 22 2.2 Mạng riêng ảo 25 2.2.1 Định nghĩa VPN 25 2.2.2 Các thành phần tạo nên VPN 26 2.2.3 Ưu nhược điểm VPN 28 Trần Văn Quyết – CT1901M Tà i liệu Há»— trợ ôn táºp com Luáºn văn Luáºn án Tà i liệu Há»— trợ ôn táºp com Luáºn văn Luáºn án Nghiên cứu triển khai giải pháp đảm bảo an ninh mạng Pfsense Đồ án tốt nghiệp - Sau gõ username password truy cập web bình thường: Hình 3-24 Sau đăng nhập 3.3.5 Xây dựng hệ thống Firewall – failover đáp ứng máy mạng LAN ln truy cập internet 3.3.5.1 Vai trị, chức - Vai trị việc cấu hình pfSense Cluster đảm bảo cho việc cung cấp firewall mức ổn định Phịng trường hợp phát sinh lỗi buộc firewall ngừng hoạt động gây trì trệ hệ thống - Với tính đồng lưu cấu hình cần thiết rule, pfSense Cluster giải pháp tồn vẹn tính đến thời điểm - Việc đồng sử dụng giao thức CARP, liệu đồng gửi qua http(s) Trần Văn Quyết – CT1901M Tà i liệu Há»— trợ ôn táºp com 51 Luáºn văn Luáºn án Tà i liệu Há»— trợ ôn táºp com Luáºn văn Luáºn án Nghiên cứu triển khai giải pháp đảm bảo an ninh mạng Pfsense Đồ án tốt nghiệp 3.3.5.2 Mơ hình Mơ hình thực cấu hình mơ tả giống hình sau: Hình 3-25 Mơ hình hệ thống firewall - failover 3.3.5.3 Thực cấu hình - Bước 1: Thực cấu hình CARP pfSense master Cách thực sau: Chọn menu System > High Avail Sync > điền thông tin tương tự hình sau đây: Trần Văn Quyết – CT1901M Tà i liệu Há»— trợ ôn táºp com 52 Luáºn văn Luáºn án Tà i liệu Há»— trợ ôn táºp com Luáºn văn Luáºn án Nghiên cứu triển khai giải pháp đảm bảo an ninh mạng Pfsense Đồ án tốt nghiệp Hình 3-26 Cấu hình CARP - Bước Tạo Virtual IP WAN Virtual IP LAN Việc thực cần thực pfSense master Vì lúc này, trình đồng bắt đầu xảy Cách thực sau: Chọn Firewall > Virtual Ips > Add để thêm Virtual IP cho WAN Nhập thông tin tương tự sau: Trần Văn Quyết – CT1901M Tà i liệu Há»— trợ ôn táºp com 53 Luáºn văn Luáºn án Tà i liệu Há»— trợ ôn táºp com Luáºn văn Luáºn án Nghiên cứu triển khai giải pháp đảm bảo an ninh mạng Pfsense Đồ án tốt nghiệp Hình 3-27 Tạo Virtual Ips WAN Hình 3-28 Tạo Virtual Ips LAN - Bước 3: Kiểm tra kết Để kiểm tra kết trình thực cấu hình trình đồng Ta thực sau: Chọn menu Status sau chọn CARP (failover) Kết quả: Trên máy chủ pfSense master ta thấy sau: Trần Văn Quyết – CT1901M Tà i liệu Há»— trợ ôn táºp com 54 Luáºn văn Luáºn án Tà i liệu Há»— trợ ôn táºp com Luáºn văn Luáºn án Nghiên cứu triển khai giải pháp đảm bảo an ninh mạng Pfsense Đồ án tốt nghiệp Hình 3-29 Trên máy pfsense master Trên máy chủ pfSense backup : Hình 3-30 Trên máy pfsense backup Khi ta tắt máy chủ pfSense master, CARP status máy chủ pfSense backup trở thành master: Trần Văn Quyết – CT1901M Tà i liệu Há»— trợ ôn táºp com 55 Luáºn văn Luáºn án Tà i liệu Há»— trợ ôn táºp com Luáºn văn Luáºn án Nghiên cứu triển khai giải pháp đảm bảo an ninh mạng Pfsense Đồ án tốt nghiệp Hình 3-31 Màn hình CARP status pfSense backup Khi máy chủ pfSense master bật lại: Hình 3-32 Màn hình CARP status máy chủ Trần Văn Quyết – CT1901M Tà i liệu Há»— trợ ôn táºp com 56 Luáºn văn Luáºn án Tà i liệu Há»— trợ ôn táºp com Luáºn văn Luáºn án Nghiên cứu triển khai giải pháp đảm bảo an ninh mạng Pfsense Đồ án tốt nghiệp 3.3.6 Giải pháp mạng riêng ảo Pfsense 3.3.6.1 VPN Client to site Mơ hình thực Hình 3-33 Mơ hình thực Các bước thực - Bước 1: Tạo người dùng cho phép sử dụng tài khoản để đăng nhập VPN Thực sau: Chọn System > User Manager > chọn Add nhập thông tin giống hình sau: Trần Văn Quyết – CT1901M Tà i liệu Há»— trợ ôn táºp com 57 Luáºn văn Luáºn án Tà i liệu Há»— trợ ôn táºp com Luáºn văn Luáºn án Nghiên cứu triển khai giải pháp đảm bảo an ninh mạng Pfsense Đồ án tốt nghiệp Hình 3-34 Tạo user đăng nhập VPN - Bước 2: Cài đặt package openvpn-client-export việc thực sau: chọn System > Packet manager > Chọn tab Available Packages > nhập openvpn vào tìm kiếm chọn Search > Install Hình 3-35 Cài đặt gói openvpn-client - Bước Tạo server VPN sử dụng pfSense Cách thực sau: Ta chọn menu VPN sau chọn openVPN chuyển sang tab Wizards Kết nhận sau: Hình 3-36 Tạo OpenVPN remote access Chọn CA Certificate cho server openVPN sử dụng trình xác thực: Trần Văn Quyết – CT1901M Tà i liệu Há»— trợ ôn táºp com 58 Luáºn văn Luáºn án Tà i liệu Há»— trợ ôn táºp com Luáºn văn Luáºn án Nghiên cứu triển khai giải pháp đảm bảo an ninh mạng Pfsense Đồ án tốt nghiệp Hình 3-37 Chọn CA Certificate Tiếp tục điền thông tin hình dưới: Hình 3-38 Điền thơng số cho VPN Trần Văn Quyết – CT1901M Tà i liệu Há»— trợ ôn táºp com 59 Luáºn văn Luáºn án Tà i liệu Há»— trợ ôn táºp com Luáºn văn Luáºn án Nghiên cứu triển khai giải pháp đảm bảo an ninh mạng Pfsense Đồ án tốt nghiệp - Bước 4: Từ máy client cài đặt openVPN GUI, ta thực kết nối đến server với tài khoản người dùng openvpn2 để kiểm tra kết : Hình 3-39 Thực ping đến máy mạng Lan pfSense 3.3.6.2 VPN Site to site Mơ hình thực Hình 3-40 Mơ hình VPN site to site Các bước thực hiện: Trần Văn Quyết – CT1901M Tà i liệu Há»— trợ ôn táºp com 60 Luáºn văn Luáºn án Tà i liệu Há»— trợ ôn táºp com Luáºn văn Luáºn án Nghiên cứu triển khai giải pháp đảm bảo an ninh mạng Pfsense Đồ án tốt nghiệp - Bước : Tại pfSense Master, chọn tab VPN > OpenVPN > Server , khai báo thông số sau : Hình 3-41 Tạo kết nối VPN pfSense Master - Bước 2: Tại máy chủ pfSense 3, chọn tab VPN > OpenVPN > Client > điền thông số sau: Trần Văn Quyết – CT1901M Tà i liệu Há»— trợ ôn táºp com 61 Luáºn văn Luáºn án Tà i liệu Há»— trợ ôn táºp com Luáºn văn Luáºn án Nghiên cứu triển khai giải pháp đảm bảo an ninh mạng Pfsense Đồ án tốt nghiệp Hình 3-42 Tạo kết nối Pfsense - Bước 3: Tạo rule cho phép kết nối đầu VPN Hình 3-43 Tạo rule cho OpenVPN - Bước 4: Kiểm tra kết Tại site pfSense Master ta ping đến site pfSense 3: Trần Văn Quyết – CT1901M Tà i liệu Há»— trợ ôn táºp com 62 Luáºn văn Luáºn án Tà i liệu Há»— trợ ôn táºp com Luáºn văn Luáºn án Nghiên cứu triển khai giải pháp đảm bảo an ninh mạng Pfsense Đồ án tốt nghiệp Hình 3-44 Kiểm tra kết nối Tại site pfSense 3, ta ping đến site pfSense Master: Hình 3-45 Kiểm tra kết Trần Văn Quyết – CT1901M Tà i liệu Há»— trợ ôn táºp com 63 Luáºn văn Luáºn án Tà i liệu Há»— trợ ôn táºp com Luáºn văn Luáºn án Nghiên cứu triển khai giải pháp đảm bảo an ninh mạng Pfsense Đồ án tốt nghiệp KẾT LUẬN Đồ án “Nghiên cứu triển khải giải pháp đảm bảo an ninh mạng pfSense” đạt kết sau : Về lý thuyết đồ án trình bày hiểu : - Tổng quan an ninh – an tồn thơng tin mạng Các phương thức công, biện pháp giải phịng tránh bị cơng - Nêu lên số giải pháp Firewall - Hệ thông phát chống xâm nhập - Tìm hiểu Mạng riêng ảo VPN, giao thức VPN, ưu điểm nhược điểm VPN Về thực thi, đồ án tiến hành : - Giới hạn truy cập web - Giới hạn tốc độ download/upload cho client - Chứng thực user truy cập web sử dụng Captive Portal - Xây dựng hệ thống backup Firewall - Cấu hình VPN Site – to – site Client – to site pfSense Với thời gian điều kiện thực tế nhiều hạn chế, đề tài dừng lại khả nghiên cứu triển khai chức cần thiết Em mong nhận đóng góp ý kiến thầy để khắc phục hoàn thiện nội dung đồ án tiếp tục nghiên cứu sâu phục vụ cho trình làm việc sau Trần Văn Quyết – CT1901M Tà i liệu Há»— trợ ôn táºp com 64 Luáºn văn Luáºn án Tà i liệu Há»— trợ ôn táºp com Luáºn văn Luáºn án .Tà i liệu Há»— trợ ôn táºp com Luáºn văn Luáºn án