TRƯỜNG ĐẠI HỌC THÁI BÌNH KHOA CƠNG NGHỆ THƠNG TIN  Cô ng hệ ng ôn th g Tên đề tài: Nghiên cứu thiết kế xây dựng phương án bảo mật hệ thống firewall tin Sinh viên thực hiện: Lê Văn Hoàng Vũ Văn Thành Phạm Ngọc Dũng Lớp: ĐH6-CNTT1 Giáo viên phụ trách: Ths Đào Thị Phương Thúy Thái Bình,5/2021 Phương án bảo mật hệ thống FireWall Đồ án chuyên ngành LỜI MỞ ĐẦU Ngày nay, việc trì hệ thống mạng nội hoạt động ổn định, nhanh chóng, an tồn tin cậy vấn đề tổ chức doanh nghiệp đặc biệt quan tâm Trong đó, yếu tố an tồn mạng ln đặt lên hàng đầu Chính cơng việc trọng trách đặt lên vai người làm công nghệ thông tin giới nói chung Việt Nam nói riêng không nghiên cứu xây dựng phát triển nhanh chóng mạng máy tính nước để người khai thác tiềm phong phú Internet mà đồng thời phải nghiên Cô cứu thực tốt biện pháp ngăn chặn, phòng chống, phát phục hồi hành vi công phá hoại trái phép mạng, nhằm đảm bảo tối ng đa phát triển cho tổ chức kinh doanh… Nắm bắt nhu cầu tổ ng chức doanh nghiệp, số tập đoàn công nghệ thông tin truyền thông hàng đầu giới đưa nhiều giải pháp bảo mật Firewall (cả hệ phần cứng lẫn phần mềm) để bảo vệ môi trường mạng an toàn Hiện nay, tổ chức doanh nghiệp chọn cho cách bảo vệ hệ thống th mạng họ nhiều cách khác sử dụng Router Cisco, dùng tường ôn lửa Microsoft ISA … Tuy nhiên thành phần kể tương đối tốn g Vì để tiết kiệm chi phí có tường lửa bảo vệ hệ thống mạng bên tin (mạng nội bộ) mà giao tiếp với hệ thống mạng bên ngồi (Internet) Firewall mã nguồn mở giải pháp tương đối hiệu người dùng Đồ án tốt nghiệp “ tìm hiểu giải pháp an ninh mạng với FireWall ” nhằm mục đích tìm hiểu sâu sắc chế hoạt động Sau áp dụng vào thực tiễn giúp tăng cường an ninh mạng nội cho công ty, doanh nghiệp Giúp liệu cá nhân nhân, công ty nằm vùng an tồn Quản lí điều tiết lưu lượng mạng cách hợp lí để tránh lãng phí tài nguyên giảm chi phí an ninh mạng cách tối đa GVHD: Ths Đào Thị Phương Thúy Phương án bảo mật hệ thống FireWall Đồ án chuyên ngành LỜI CẢM ƠN Trong thời gian làm đồ án tốt nghiệp, em nhận nhiều giúp đỡ, đóng góp ý kiến bảo nhiệt tình thầy cơ, gia đình bạn bè Em xin gửi lời cảm ơn chân thành đến cô Đào Thị Phương Thúy, giảng viên khoa Công nghê thông tin - trường ĐH Thái Bình người tận tình hướng dẫn, bảo em suốt trình làm đồ án Em xin chân thành cảm ơn thầy cô giáo trường Đại Học Cơ Thái Bình hết lịng dạy bảo chúng em năm học Đại Học, giúp chúng em có kiến thức kinh nghiệm quý báu chuyên môn ng sống, giúp chúng em bước bước hành trang vào đời ng Cuối cùng, em xin chân thành cảm ơn gia đình bạn bè, ln tạo điều kiện, quan tâm, giúp đỡ, động viên em suốt q trình học tập hồn thành hệ đồ án tốt nghiệp Vì thời gian hạn hẹp, vấn đề cần tìm hiểu q rộng, lượng thơng tin tài th liệu cần đọc lớn, kiến thức hạn chế nên chắn đồ án không ôn tránh khỏi thiếu sót, chúng em mong nhận bảo góp ý thắng g thắn từ phía hội đồng bạn tin Thái Bình, tháng năm 2021 Sinh Viên GVHD: Ths Đào Thị Phương Thúy Phương án bảo mật hệ thống FireWall Đồ án chuyên ngành NHẬN XÉT CỦA GIẢNG VIÊN HƯỚNG DẪN Cô ng ng hệ th ôn g tin Giảng viên (Ký, ghi rõ họ tên) GVHD: Ths Đào Thị Phương Thúy Phương án bảo mật hệ thống FireWall Đồ án chuyên ngành NHẬN XÉT CỦA GIẢNG VIÊN PHẢN BIỆN Cô Giảng viên ng (Ký, ghi rõ họ tên) hệ ng th NHẬN XÉT CỦA GIẢNG VIÊN PHẢN BIỆN ôn g tin Giảng viên (Ký, ghi rõ họ tên) GVHD: Ths Đào Thị Phương Thúy Phương án bảo mật hệ thống FireWall Đồ án chuyên ngành MỤC LỤC LỜI MỞ ĐẦU LỜI CẢM ƠN MỤC LỤC CHƯƠNG I: TỔNG QUAN VỀ AN TỒN THƠNG TIN VÀ AN NINH MẠNG I.1 AN TỒN THƠNG TIN MẠNG .7 I.1.1 Một số khái niệm .7 I.1.2 Nhu cầu an tồn thơng tin I.2 AN NINH MẠNG Cơ I.3 PHÂN LOẠI TẤN CƠNG PHÁ HOẠI THÔNG TIN .8 ng I.3.1 Tấn công vào máy chủ máy trạm độc lập (Standalone workstation or server) I.3.2 Tấn công cách phá mật ng I.3.3 Virus worm I.3.4 Tấn công đệm (buffer attack) .10 hệ I.3.5 Tấn công từ chối dịch vụ 11 I.3.6 Tấn công định tuyến nguồn (source routing attack) .12 th I.3.7 Tấn công giả mạo 13 ôn I.3.8 Tấn công sử dụng e-mail 13 I.3.9 Quét cổng 14 g I.3.10 Tấn công không dây 14 tin I.4 CÁC BIỆN PHÁP PHÁT HIỆN KHI BỊ TẤN CÔNG 15 I.5 CÔNG CỤ AN NINH MẠNG .16 I.5.1 Thực an ninh mạng từ cổng truy nhập dùng tường lửa 16 I.5.2 Mã hóa thơng tin .16 CHƯƠNG II: TỔNG QUAN VỀ FIREWALL 18 II.1 LỊCH SỬ RA ĐỜI VÀ PHÁT TRIỂN CỦA CÔNG NGHỆ FIREWALL .18 II.2 ĐỊNH NGHĨA FIREWALL 20 II.3 NHIỆM VỤ CHÍNH CỦA FIREWALL 21 II.4 CÁC KIẾN TRÚC FIREWALL CƠ BẢN 22 GVHD: Ths Đào Thị Phương Thúy Phương án bảo mật hệ thống FireWall Đồ án chuyên ngành II.4.1 Packet Filtering – Bộ lọc gói tin 22 II.4.2 Application Gateway – Cổng ứng dụng 24 II.4.3 Circuit Level Gate – Cổng mạch 26 II.4.4 FIREWALL PHÁO ĐÀI PHÒNG NGỰ (BASTION HOST FIREWALL) 27 II.5 KĨ THUẬT KIỂM TRA TRẠNG THÁI (Stateful packet filtering) 28 II.6 PHÂN LOẠI .29 II.6.1 Phân loại theo tầng giao thức 29 II.6.2 Phân loại theo đối tượng sử dụng 31 II.6.3 Phân loại theo công nghệ tường lửa 32 II.7 NHỮNG NHƯỢC ĐIỂM VÀ HẠN CHẾ FIREWALL 36 Cô CHƯƠNG III: CÁC HỆ THỐNG TƯỜNG LỬA HIỆN NAY 37 III.1 Software Firewalls 37 ng III.2 Appliance Firewalls .38 III.3 Integrated firewalls 39 ng III.4 So sánh hệ thống tường lửa phổ biến 39 hệ CHƯƠNG IV: THIẾT KẾ XÂY DỰNG MÔ PHỎNG MỘT HỆ THỐNG FIREWALL 41 IV.1 Firewall PFSENSE 41 th IV.1.1 Giới thiệu PFSENSE 41 ôn IV.1.2 Một số chức FireWall PFSense 42 IV.1.3 Lợi ích mà pfSense đem tới 44 g IV.1.4 Cài đặt PfSense máy ảo 45 tin IV.2 THỰC NGHIỆM FIREWALL TRÊN PFSENSE 51 IV.2.1 Phát biểu toán 51 IV.2.2 Mơ hình thực nghiệm 51 IV.3 Cấu hình Pfsense 52 IV.3.1.Cấu hình Pfsense .52 IV.3.2 Cấu hình Squid SquidGuard Pfsense 58 III.3.3 Kết thực nhiệm 67 KẾT LUẬN 69 GVHD: Ths Đào Thị Phương Thúy Phương án bảo mật hệ thống FireWall Đồ án chuyên ngành CHƯƠNG I: TỔNG QUAN VỀ AN TỒN THƠNG TIN VÀ AN NINH MẠNG I.1 AN TỒN THƠNG TIN MẠNG Ngày với phát triển bùng nổ công nghệ, hầu hết thông tin doanh nghiệp chiến lược kinh doanh, thông tin khách hàng, nhà cung cấp, tài chính, mức lương nhân viên lưu trữ hệ thống máy tính Cùng với phát triển doanh nghiệp đòi hỏi ngày cao môi trường kinh doanh yêu cầu doanh nghiệp cần phải chia sẻ thơng tin cho Cơ nhiều đối tượng khác qua Internet hay Intranet Việc mát, rị rỉ thơng tin ảnh hưởng nghiêm trọng đến tài chính, danh tiếng cơng ty quan hệ ng khách hàng ng I.1.1 Một số khái niệm hệ An tồn thơng tin: Bảo mật + tồn vẹn + khả dụng + chứng thực An toàn máy tính: tập hợp cơng cụ thiết kế để bảo vệ liệu chống th hacker ôn An toàn mạng: phương tiện bảo vệ liệu truyền chúng g An toàn Internet: phương tiện bảo vệ liệu truyền chúng tập tin mạng liên kết với Mục đích đồ án tập trung vào an toàn Internet gồm phương tiện để bảo vệ, chống, phát hiện, hiệu chỉnh phá hoại an toàn truyền lưu trữ thơng tin I.1.2 Nhu cầu an tồn thơng tin An tồn thơng tin thay đổi nhiều thời gian gần Trước có nhu cầu an tồn thơng tin, địi hỏi thêm nhiều yêu cầu an ninh máy chủ mạng GVHD: Ths Đào Thị Phương Thúy Phương án bảo mật hệ thống FireWall Đồ án chuyên ngành Các phương pháp truyền thống cung cấp chế hành phương tiện vật lý nơi lưu trữ bảo vệ tài liệu quan trọng cung cấp giấy phép quyền sử dụng tài liệu mật Máy tính địi hỏi phương pháp tự động để bảo vệ tệp thơng tin lưu trữ Nhu cầu an tồn lớn đa dạng, có mặt khắp nơi, lúc Do khơng thể khơng đề qui trình tự động hỗ trợ bảo đảm an tồn thơng tin Việc sử dụng mạng truyền thơng địi hỏi phải có phương tiện bảo vệ liệu truyền Trong có phương tiện phần mềm phần cứng, địi Cơ hỏi có nghiên cứu đáp ứng toán thực tiễn đặt ng I.2 AN NINH MẠNG Luật an ninh mạng định nghĩa: An ninh mạng đảm bảo hoạt động ng không gian mạng không gây hại đến an ninh quốc gia, trật tự, an toàn xã hội, quyền lợi ích hợp pháp tổ chức, cá nhân hệ Mục đích an ninh mạng: th Bảo đảm an tồn thơng tin máy chủ − Bảo đảm an tồn cho phía máy trạm − An tồn thơng tin đường truyền g ôn − tin I.3 PHÂN LOẠI TẤN CƠNG PHÁ HOẠI THƠNG TIN I.3.1 Tấn cơng vào máy chủ máy trạm độc lập (Standalone workstation or server) Cách đơn giản để công hệ điều hành lợi dụng máy tính trạng thái đăng nhập (logged-on) người người bỏ ngồi bận làm việc khác Máy trạm máy chủ không bảo vệ theo cách mục tiêu dễ để cơng khơng có người xung quanh Đơi máy chủ mục tiêu công, quản trị viên người điều hành GVHD: Ths Đào Thị Phương Thúy Phương án bảo mật hệ thống FireWall Đồ án chuyên ngành máy chủ ngồi bỏ lại máy chủ trạng thái đăng nhập với tài khoản có đặc quyền quản trị viên mà sử dụng Thậm chí máy chủ đặt phịng máy khố cẩn thận, máy chủ trở thành mục tiêu cơng cho vào phịng đó, người lập trình viên, nhà quản lý, thợ điện, nhân viên bảo trì, … I.3.2 Tấn cơng cách phá mật Q trình truy trập vào hệ điều hành bảo vệ tài Cô khoản người dùng mật Những kẻ cơng có nhiều cách khác phức tạp để tìm mật truy nhập Kẻ cơng có trình độ biết ln có ng tài khoản người dùng quản trị chính, ví dụ tài khoản Administrator ng hệ điều hành Windows, tài khoản root hệ điều hành Unix Linux, tài khoản Admin NetWare tài khoản đặc quyền Admin hệ hiều hành Mac OS X(MacOS) Những kẻ công cố gắng đăng nhập th tài khoản cách cục từ mạng, chương trình Telnet chẳng hạn Telnet giao thức tầng ứng dụng mơ hình TCP/IP cho phép ơn truy nhập cấu hình từ xa từ mạng Internet Nếu kẻ cơng g tìm kiếm tài khoản để truy nhập, kẻ phải sử dụng hệ thống tên miền tin DNS mạng kết nối với Internet để tìm tên tài khoản Sau tìm tên tài khoản người dùng, kẻ công sử dụng phần mềm liên tục thử mật khác (Xavior, Authforce Hypnopaedia) Phần mềm tạo mật cách kết hợp tên, từ từ điển số I.3.3 Virus worm Virus chương trình gắn ổ đĩa tệp có khả nhân tồn hệ thống Một số virus phá hoại tệp ổ đĩa, GVHD: Ths Đào Thị Phương Thúy Phương án bảo mật hệ thống FireWall Đồ án chuyên ngành Bước 4: Cấu hình WAN interface Tại bước pfsense cung cấp nhiều phương thức cấu hình mạng WAN khác – static / dhcp / pppoe Cô ng ng hệ Hình 3.25: Cấu hình card WAN Bước 5: cấu hình cổng LAN – IP 192.168.208.5 g ôn th tin Hình 3.26: Cấu hình Card LAN GVHD: Ths Đào Thị Phương Thúy 56 Phương án bảo mật hệ thống FireWall Đồ án chuyên ngành Bước 6: Thay đổi mật tài khoản admin Cơ ng Hình 3.27: Đặt lại mật hệ ng Bước 7: bấm Reload g ơn th tin Hình 3.28: Xác nhận cấu hình GVHD: Ths Đào Thị Phương Thúy 57 Phương án bảo mật hệ thống FireWall Đồ án chuyên ngành Bước cuối: sau Reload xong vào giao diện Dashboard Pfsense Cơ ng Hình 3.29: Kết cấu hình ng IV.3.2 Cấu hình Squid SquidGuard Pfsense hệ * Đảm bảo Pfsense kết nối tới internet th * Cài Squid SquidGuard Pfsense ôn Chọn “System > Package Manager > chọn Tab Available Packages”, gõ “squid” vào tìm kiếm > Nhấn “Install” để cài đặt “squid & squidGuard” g tin GVHD: Ths Đào Thị Phương Thúy 58 Phương án bảo mật hệ thống FireWall Đồ án chuyên ngành Hình 3.30: Cài đặt Squid SquidGuard Cấu hình Squid Proxy Bước1: Cấu hình Local Cache Vào “Services”>Squid Proxy Server>Local Cache Mục Cache Replacement: Heap LFUDA, Hard Disk Cache Size: 2048, Maximum Object Size: 512, Memory Cache size: 512 > Click “Save” để lưu cấu hình Cơ ng hệ ng ơn th g Hình 3.31: Cấu hình Squid Proxy tin GVHD: Ths Đào Thị Phương Thúy 59 Phương án bảo mật hệ thống FireWall Đồ án chuyên ngành Cô ng hệ ng th Bước 2: cấu hình tích hợp antivirus g ơn Hình 3.32: Cấu hình Squid Proxy Chọn “Services > Squid Proxy >Antivirus Tab” Tích vào “Enable Squid tin antivirus check using ClamAV”, Tích “Enable Google Safe Browsing support“, “ClamAV Database Update : every hour” => Click “Save” để lưu cấu hình GVHD: Ths Đào Thị Phương Thúy 60 Phương án bảo mật hệ thống FireWall Đồ án chuyên ngành Cô ng hệ ng g ơn th tin Hình 3.33: Cấu hình diệt virus Bước 3: Enable Squid Proxy Chọn “Services > Squid Proxy > General Tab” Tích vào “Check to enable the Squid Proxy”, Proxy interface(s): LAN, Tích vào “Allow Users on Interface“, Tích vào “Transparent HTTP Proxy“, Transparent Proxy Interface(s): LAN, Tích “Enable Access Logging“, Log Store Directory: /var/squid/logs -> Click “Save” để lưu cấu hình GVHD: Ths Đào Thị Phương Thúy 61 Phương án bảo mật hệ thống FireWall Đồ án chuyên ngành Cô ng hệ ng g ơn th tin Hình 3.34: Cấu hình diệt virus Bước 4: Enable Squid Proxy Chọn “Services > Squid Proxy > General Tab” Tích vào “Check to enable the Squid Proxy”, Proxy interface(s): LAN, Tích vào “Allow Users on Interface“, Tích vào “Transparent HTTP Proxy“, Transparent Proxy Interface(s): LAN, Tích “Enable Access Logging“, Log Store Directory: /var/squid/logs -> Click “Save” để lưu cấu hình GVHD: Ths Đào Thị Phương Thúy 62 Phương án bảo mật hệ thống FireWall Đồ án chuyên ngành Cô ng hệ ng g ôn th tin Hình 3.35: Kích hoạt dịch vụ Squid Proxy GVHD: Ths Đào Thị Phương Thúy 63 Phương án bảo mật hệ thống FireWall Đồ án chuyên ngành Cô ng hệ ng Hình 3.36: Kích hoạt qt port 80 th Cấu hình SquidGuard g Apply ơn Truy cấp Services > SquidGuard Proxy Filter > General Setting bật Enable > tin GVHD: Ths Đào Thị Phương Thúy 64 Phương án bảo mật hệ thống FireWall Đồ án chuyên ngành Cô ng hệ ng Hình 3.37: Kích hoạt SquidGuard Enable BlackList nhập địa chỉ: http: //www.shallalist.de /Downloads th /shallalist.tar.gz vào ô Blacklist URL Đây địa update list web khiêu dâm, g ôn bạo lực, nhạc, dowload … tin Hình 3.38: Nhập địa đường dẫn GVHD: Ths Đào Thị Phương Thúy 65 Phương án bảo mật hệ thống FireWall Đồ án chuyên ngành Tiếp theo Services => SquidGuard Proxy Filter => Target categories > ADD Tại thêm tên miền muốn chặn Cơ ng hệ ng Hình 3.39: Thêm web chặn g ơn th tin Hình 3.40: Kết thúc GVHD: Ths Đào Thị Phương Thúy 66 Phương án bảo mật hệ thống FireWall Đồ án chuyên ngành III.3.3 Kết thực nhiệm ✓ Facebook bị chặn Hình 3.41: Chặn web mạng xã hội Cơ ✓ Trang xem phim youtube bị chặn ng hệ ng g ơn th Hình 3.42: Chặn web xem video tin ✓ Chặn web phim, nghe nhạc online Đối với nhu cầu tìm kiếm, đọc tài liệu để phục vụ cho công việc mở cho nhân viên GVHD: Ths Đào Thị Phương Thúy 67 Phương án bảo mật hệ thống FireWall Đồ án chuyên ngành Cô ng hệ ng g ôn th tin Hình 3.43: Trang web cho phép qua GVHD: Ths Đào Thị Phương Thúy 68 Phương án bảo mật hệ thống FireWall Đồ án chuyên ngành KẾT LUẬN Khơng có tài liệu lường hết lỗ hổng hệ thống khơng có nhà sản xuất cung cấp đủ công cụ cần thiết Cách tốt sử dụng kết hợp giải pháp, sản phẩm nhằm tạo chế bảo mật đa Trong lựa chọn giải pháp an ninh firewall ưu tiên hàng đầu Xem xét lựa chọn sản phẩm firewall hợp lý đưa hoạt động phù hợp với sách công ty việc q trình bảo mật hệ thống Firewall giải pháp phần cứng phần mềm Cô kết hợp hai Nhiệm vụ firewall ngăn chặn công trực tiếp ng vào thơng tin quan trọng hệ thống, kiểm sốt thông tin vào hệ thống Việc lựa chọn firewall thích hợp cho hệ thống khơng phải dễ dàng Các ng firewall phụ thuộc môi trường, cấu hình mạng, ứng dụng cụ thể Khi hệ xem xét lựa chọn firewall, cần tập trung tìm hiểu tập chức firewall, tính lọc địa chỉ, gói tin, th Một cơng nghệ khơng thể giải pháp hoàn hảo cho toàn chiến lược ôn bảo mật tổ chức, sản phẩm firewall dù có tốt đến bộc lộ nhược điểm mình, nhược điểm khắc phục g công nghệ khác IPS, IPSec vv tin Khi xem xét lựa chọn công nghệ bảo mật công nghệ bảo mật phải ln có nhìn khái qt tranh tổng thể Và mơ hình bảo mật phân lớp sở khoa học để tổ chức vào lựa chọn cơng nghệ bảo mật cho phù hợp với nhu cầu khả tài GVHD: Ths Đào Thị Phương Thúy 69 Phương án bảo mật hệ thống FireWall Đồ án chun ngành Cho dù cơng nghệ có trang bị hồn hảo đến đâu mà khơng ý đến yếu tố người sai lầm lớn Trong kế hoạch để thành công người đặt vị trí trung tâm Trong kế hoạch bảo mật thế, người nhân tố có ý nghĩa định tới độ an tồn có ý thức bảo mật cao hiểm họa khơn lường kẻ công từ nội tổ chức Việc ban hành sách cho người cần phải tuân theo tiêu chuẩn quốc tế có sẵn ISO 17799 Trên giới kĩ thuật phát triển theo ngày, biện pháp công ngày mẻ tinh vi Các công nghệ bảo mật trang bị cho tổ chức Cô cần phải cải tiến, cập nhật ngày để kịp thời chống lại phá ng hoại Ý thức người cần khơng ngừng nâng cao Bảo mật vấn đề nóng bỏng mà thơng tin tài ng sản quý giá hàng đầu tổ chức doanh nghiệp, chúng em hy vọng thông qua đồ án mang lại cho người đọc hiểu biết chung hệ khái niệm liên quan đến bảo mật thông tin nhìn chi tiết cơng nghệ th firewall, công nghệ sử dụng phổ biến ơn Vì thời gian có hạn kinh nghiệm thực tế nên khn khổ đồ án chúng em giới thiệu phần vấn đề nêu Hy vọng tiếp g theo đồ án có bước nghiên cứu sâu công nghệ bảo mật vụ công việc sống GVHD: Ths Đào Thị Phương Thúy tin nói chung firewall nói riêng nhằm đem điều học vào phục 70