HỌC VIỆN CƠNG NGHỆ BƢU CHÍNH VIỄN THƠNG &*& LÊ NGỌC AN NGHIÊN CỨU GIẢI PHÁP BẢO MẬT MÁY CHỦ ẢO TRONG lu an HỆ THỐNG ẢO HÓA VÀ ỨNG DỤNG TẠI n va VIỆN KHOA HỌC CÔNG NGHỆ SÁNG TẠO VIỆT NAM LUẬN VĂN THẠC SỸ KỸ THUẬT (Theo định hướng ứng dụng) HÀ NỘI – 2021 HỌC VIỆN CƠNG NGHỆ BƢU CHÍNH VIỄN THƠNG &*& LÊ NGỌC AN NGHIÊN CỨU GIẢI PHÁP BẢO MẬT MÁY CHỦ ẢO TRONG HỆ THỐNG ẢO HÓA VÀ ỨNG DỤNG TẠI VIỆN KHOA HỌC CÔNG NGHỆ SÁNG TẠO VIỆT NAM an lu n va CHUYÊN NGÀNH : HỆ THỐNG THÔNG TIN MÃ SỐ : 8.48.01.04 LUẬN VĂN THẠC SỸ KỸ THUẬT (Theo định hướng ứng dụng) NGƢỜI HƢỚNG DẪN KHOA HỌC: PGS.TS TRẦN QUANG ANH HÀ NỘI – 2021 i LỜI CAM ĐOAN Tôi cam đoan đề tài: "Nghiên cứu giải pháp bảo mật máy chủ ảo hệ thống ảo hóa ứng dụng Viện Khoa học công nghệ sáng tạo Việt Nam" cơng trình nghiên cứu riêng tơi dƣới hƣớng dẫn PGS.TS Trần Quang Anh Những khảo sát, phân tích, kết luận văn tác giả, số liệu nêu trung thực chƣa đƣợc công bố cơng trình khác Hà Nội, ngày… tháng… năm 2021 Tác giả Lê Ngọc An an lu n va ii LỜI CẢM ƠN Lời cho xin gửi lời cảm ơn chân thành đến thầy, cô giáo Học viện Cơng nghệ Bƣu viễn thơng tận tình bảo, hƣớng dẫn, giúp đỡ tơi suốt q trình thực luận văn Tơi xin gửi lời cảm ơn chân thành đặc biệt tới thầy hƣớng dẫn khoa học PGS.TS Trần Quang Anh, tận tình bảo hƣớng dẫn, đƣa định hƣớng đắn giúp em hoàn thành đƣợc luận văn Xin trân trọng cảm ơn cảm ơn tập thể lớp Cao học hệ thống thơng tin khố 2019-2021 đợt 2, đồng hành, khích lệ chia sẻ suốt trình học tập làm luận văn Trong trình thực luận văn, thân cố gắng, chủ động sƣu an lu tầm tài liệu, củng cố kiến thức… nhiên khó tránh khỏi thiếu sót, hạn chế Rất mong nhận đƣợc dạy, góp ý thầy, giáo bạn lớp va n để luận văn đƣợc hồn thiện có tính ứng dụng cao thực tiễn Xin trân trọng cảm ơn! Hà Nội, ngày tháng năm 2021 Học viên Lê Ngọc An iii MỤC LỤC LỜI CAM ĐOAN i LỜI CẢM ƠN .ii MỤC LỤC iii DANH MỤC CÁC KÝ HIỆU, CÁC CHỮ VIẾT TẮT vi DANH MỤC CÁC HÌNH vii MỞ ĐẦU 1 Lý chọn đề tài Tổng quan nội dung nghiên cứu Mục tiêu nghiên cứu 4 Đối tƣợng phạm vi nghiên cứu Phƣơng pháp nghiên cứu Bố cục luận văn lu an Chƣơng TỔNG QUAN CƠNG NGHỆ ẢO HĨA VÀ U CẦU BẢO MẬT MÁY n va CHỦ ẢO 1.1 Tổng quan cơng nghệ Ảo hóa vấn đề liên quan 1.1.1 Giới thiệu tổng quang cơng nghệ ảo hóa 1.1.2 Các mối đe dọa phƣơng thức cơng hệ thống ảo hóa 1.2 Ứng dụng công nghệ Ảo hóa 12 1.2.1 Chạy phần mềm dịch vụ cũ 12 1.2.2 Kiểm tra liệu nghi nhiễm virus 12 1.2.3 Truy cập website an toàn 12 1.2.4 Chạy thử nghiệm phần mềm 12 1.2.5 Chạy điều hành song song 12 1.2.6 Chạy máy chủ quản lý dịch vụ 13 1.3 Các yêu cầu bảo mật chung cho máy chủ ảo tảng Ảo hóa 13 1.3.1 Yêu cầu bảo mật hạ tầng mạng máy chủ ảo 13 1.3.2 Những yêu cầu bảo mật máy chủ ảo 15 iv 1.4 Tình hình bảo mật máy chủ ảo hệ thống Ảo hóa Việt Nam vấn đề liên quan đến bảo mật máy chủ ảo thực tế 15 1.4.1 Tình hình bảo mật máy chủ ảo hệ thống Ảo hóa Việt Nam 15 1.4.2 Vấn đề liên quan đến bảo mật máy chủ ảo thực tế 15 1.5 Kết luận chƣơng 16 Chƣơng 2: NGHIÊN CỨU GIẢI PHÁP BẢO MẬT MÁY CHỦ ẢO TRONG HỆ THỐNG ẢO HÓA 17 2.1 Giải pháp sử dụng công nghệ VLAN để tách Switch ảo hạ tầng Ảo hóa (Hypervisor) 17 2.1.1 VLAN đƣợc chia thành loại 17 2.1.2 Từ loại VLAN đƣợc chia thành kiểu 18 2.2 Giải pháp sử dụng hệ thống phát ngăn chặn xâm nhập IDS/IPS để bảo vệ hệ thống máy chủ ảo 18 an lu 2.3 Giải pháp xây dựng hệ thống tƣờng lửa mềm Fortinet để bảo vệ máy chủ ảo 19 va n 2.3.1 Các chức tƣờng lửa Fortinet bao gồm 19 2.3.2 Phân luồng khu vực 20 2.4 Giải pháp phân quyền liệu, mở cổng tƣờng lửa cho phép ngƣời dùng truy cập thành công từ mạng nội doanh nghiệp vào hệ thống liệu máy chủ ảo 21 2.5 Một số giải pháp mở rộng khác 22 2.5.1 Giải pháp sử dụng phần mềm chống Virus 22 2.5.2 Lập sách an tồn thơng tin cho hệ thống 22 2.6 Kết luận chƣơng 24 Chƣơng 3: ĐỀ XUẤT GIẢI PHÁP BẢO MẬT MÁY CHỦ ẢO TRONG HỆ THỐNG ẢO HÓA TẠI VIỆN KHOA HỌC CÔNG NGHỆ SÁNG TẠO VIỆT NAM 25 3.1 Khảo sát thực trạng thực tế hệ thống Ảo hóa Viện Khoa học cơng nghệ sáng tạo Việt Nam 25 v 3.1.1 Chức năng, trang thiết bị mơ hình có hệ thống mạng Viện Khoa học công nghệ sáng tạo Việt Nam 25 3.1.2 Yêu cầu sử dụng 26 3.1.3 Hiện trạng vấn đề liên quan trình vận hành, khai thác mạng máy tính Viện Khoa học Công nghệ Sáng tạo Việt Nam 27 3.2 Kiến nghị đề xuất giải pháp bảo mật máy chủ ảo hệ thống Ảo hóa Viện Khoa học cơng nghệ sáng tạo Việt Nam 27 3.2.1 Giải pháp hạ tầng mạng 27 3.2.2 Giới thiệu số giải pháp an toàn liệu 28 3.2.3 Giới thiệu giải pháp cho ngƣời sử dụng 29 3.3 Thực thử nghiệm đánh giá số giải pháp bảo mật hệ thống Ảo hóa 29 3.3.1 Những nội dung thực thử nghiệm 29 an lu 3.3.2 Sau thử nghiệm ta có kết 60 3.4 Kết luận chƣơng 60 va n KẾT LUẬN 61 IV DANH MỤC TÀI LIỆU THAM KHẢO 62 vi DANH MỤC CÁC KÝ HIỆU, CÁC CHỮ VIẾT TẮT Từ viết tắt Tiếng Anh Tiếng Việt Artificial Intelligence Trí tuệ nhân tạo Information Technology Công nghệ thông tin IDS Intrusion Detection System Hệ thống phát xâm nhập IPS Intrusion Prevention System Hệ thống ngăn chặn xâm nhập LAN Local Area Network Mạng lƣới khu vực địa phƣơng VPN Virtual Private Network Mạng riêng ảo AI CNTT an lu n va vii DANH MỤC CÁC HÌNH Hình 1.1: Giới thiệu mơ hình hệ thống ảo hóa phổ biến [8] Hình 1.2: Cấu trúc liên kết tầng ảo hóa tồn phần [8] Hình 1.3: Cấu trúc liên kết tầng ảo hóa phần [8] Hình 3.1: Mơ hình mạng Viện Khoa học Cơng nghệ Sáng tạo Việt Nam25 Hình 3.2: Hệ thống mạng dự kiến Viện Khoa học công nghệ Sáng tạo Việt Nam 28 an lu Hình 3.3: Cấu hình Interface 30 n va Hình 3.4: Kết sau chỉnh Static Route 31 Hình 3.5: Cấu hình Policy 31 Hình 3.6: Thực Edit Virtual IP Mapping 31 Hình 3.7: đặt tên Publish Website 32 Hình 3.8: Từ DMZ ta thực Publish Web ngồi mạng 32 Hình 3.9: Sau cấu hình Fortinet ping kiểm tra 32 Hình 3.10: Test Public Web đầu Nmap 33 Hình 3.11: Load file cài đặt 33 Hình 3.12: Thông tin phần cứng đƣợc hiển thị 34 viii Hình 3.13: Để tiếp tục cài đặt ESXi ta Enter 34 Hình 3.14: Chọn F11 để tiếp tục 34 Hình 3.15: chọn ổ cứng để cài đặt 35 Hình 3.16: nhập mật cho Root 35 Hình 3.17: Quá trình cài đặt đƣợc thực 35 Hình 3.18: Sau cài đặt xong tai khởi động lại 36 Hình 3.19: chọn Configure Management Network 36 Hình 3.20: Sau cài đặt thành công ESXi kết nối từ vSphere Client 36 an lu Hình 3.21: Cài đặt Vmware vCenter 37 va n Hình 3.22: Đặt mật cho tài khoản Administrator 38 Hình 3.23: Bắt đầu cài đặt 38 Hình 3.24: chọn vCenDB 39 Hình 3.25: Nếu bạn có tên miền đầy đủ thực điền 39 Hình 3.26: Điền mật Administrator ban đầu khởi tạo 40 Hình 3.27: Port 10443 40 Hình 3.28: thực cài đặt vCenter Server 41 Hình 3.29: kết sau cài đặt đăng nhập thành công 41 Hình 3.30: chọn Networking 43 50 Để lắng nghe cơng từ ngồi vào hệ máy chủ ESXi chọn VM Network Hình 3.42: lựa chọn cổng lắng nghe - Chọn ổ cứng 20G chọn chế độ gán cứng dung lƣợng ổ Thick Provision Lazy Zeroed an lu n va Hình 3.43: chọn chế độ cho ổ cứng ảo - Sau tạo ổ ảo Finish ta vào máy chủ ảo Pfsense chọn chuột phải vào Edit settings 51 Hình 3.44: chọn Edit settings n va File Browse tới File ISO an lu - Chọn CD/DVD tích vào Connect at Power on tích vào Datastore ISO Hình 3.45: chọn Datastore ISO File Browse tới File ISO 52 - Để đƣa đƣợc File ISO vào hệ thống ảo hóa ta chọn Home vào Datastores and Datastore Clusters an lu va n Hình 3.46: chọn Datastores and Datastore Clusters - Chọn Datastore Brower chọn Upload file đƣa file ISO lên Hình 3.47: Upload File ISO lên hệ thống lƣ trữ - Quá trình cài đặt hệ điều hành Pfsense Windows Server Linux từ phần trở giống nhƣ máy chủ bình thƣờng (5) Cấu hình Snort Pfsense 53 - Từ giao diện Pfsense sau cài đặt xong ta chọn System chọn Package Manager chọn Available Packages Hình 3.48: Giao diện Pfsense đăng nhập trinh duyệt Web - Chọn xuống Snort chọn cài đặt an lu n va Hình 3.49: Cài đặt gói thành công - Chọn Global Settings chọn Rule VRT GPLv2 Hình 3.50: Chọn Rule Snort VRT, GPLv2 - Chuyển sang cài đặt Update Rule 54 Hình 3.51: Update Rule - Chọn Snort Interface vào WAN Settings tích vào Send Alerts System Log an lu n va Hình 3.52: Bật tính gửi cảnh báo - Sau cấu hình xong bật trạng thái Snort Interface Hình 3.53: Snort Interface WAN đƣợc bật Đánh giá giải pháp dựa kết triển khai: - Tính xác phần mềm: dựa thơng tin từ diễn đàn trang bảo mật so sánh với hệ thống Fortinet độ xác Snort đƣợc đánh giá cao 55 Snort phát hiện, đƣa cảnh báo nhanh chóng ghi lại log Ngƣời dùng truy cập vào dịch vụ bên máy chủ bắt ghi đƣợc số địa IP Khi đo thực tế chƣa bị nhỡ phiên truy đo lƣờng - Tính hiệu quả: hiệu suất Snort Pfsense tốt, chịu tải đƣợc nhiều truy cập trực tiếp qua (số lƣợng lớn chƣa đo lƣờng đƣợc chƣa có hệ thống đủ lớn để đo lƣờng) - Tính bảo mật an tồn: Vì nguồn mở nên khơng có cam kết cài đặt, mã code khơng kiểm sốt đƣợc, nên đặt vào vùng liệu không quan trọng đạt kết cảnh báo cao - Sự hài lòng: giao diện quản lý dễ dùng, thuận tiện cấu hình quản trị (6) Phân quyền truy cập liệu máy chủ File Server Để tăng an toàn bảo mật lƣu trữ liệu em sử dụng máy chủ an lu CentOS tạo thƣ mục phân quyền, đồng thời kết hợp với Qouta để giới hạn dung lƣợng sử dụng lƣu trữ số file ngƣời dùng nhƣ sau: va n Bƣớc 1: Thực tạo thƣ mục có tên data [root@victs ~]# mkdir /Data Bƣớc 2: mount thƣ mục data vào ỗ đĩa vừa tạo [root@victs ~]# mount /dev/sdb1 /Data Bƣớc 3: sửa file fstab để thiết lập cố định đƣờng Mount [root@victs ~]# vi /etc/fstab Edit file vi fstab: /dev/sdb1 /Data ext4 defaults,usrquota,grpquota 00 Bƣớc 4: mount lại cho thƣ mục nhận chức quota [root@victs ~]# mount -o remount /Data Tiếp tục: (bản 6.5 phải cài thêm quota: yum install quota) [root@victs ~] #chcon reference=/var /Data (phải có lệnh Nếu khơng thực quotacheck 6.5 bị lỗi) [root@victs ~]#quotacheck -mcug /Data 56 [root@victs ~]# ls -l /Data (để xem thƣ mục data có quota chƣa) Bƣớc 5: phân quyền cho thƣ mục data [root@victs ~]# chmod 755 /Data Bƣớc 6: tạo user anln jenln kèm pass để test chức group [root@victs ~]# useradd anln [root@victs ~]# useradd jenln [root@victs ~]# password anln [root@victs ~]# password jenln [root@victs ~]# groupadd IT [root@victs ~]# groupadd Sale [root@victs ~]# usermod -g IT anln [root@victs ~]# usermod -g Sale jenln Bƣớc 7: Gán group vào thƣ mục phân quyền truy cập để test an lu [root@victs ~]# mkdir /Data/IT [root@victs ~]# mkdir /Data/Sale va n [root@victs ~]# chgrp IT /Data/IT [root@victs ~]# chgrp Sale /Data/Sale [root@victs ~]# chmod 070 /Data/IT [root@victs ~]# chmod 070 /Data/Sale Bƣớc 8: cấp hạn ngạch lƣợng file cho user jenln (có thể làm với Group) [root@victs ~]# edquota -u jenln Disk quotas for user jenln (uid 501): Filesystem blocks soft hard /dev/sdb1 0 inodes soft hard Chú ý đơn vị quy đổi: bit: 1: 1Byte=8 bit, 1KB=1024 Byte, 1MB=1024 KB, 1GB=1024M 1GB=1000x1000x1000 Byte 2000 = 2MB tính theo KB Bƣớc 9: khởi động quota 57 [root@victs ~]# quotaon -avug /dev/sdb1 [/Data]: group quotas turned on /dev/sdb1 [/Data]: user quotas turned on Bƣớc 10: Sử dụng WinSCP kiểm tra dung lƣợng Bƣớc 11: Xem thông tin quota $ quota -u nam # user nam $ quota -g staff # nhóm staff Để thống kê thơng tin quota nhóm user bạn dùng # theo ngƣời dùng$ repquota -au # theo nhóm $ repquota -ag # tất $ repquota -agu Đánh giá giải pháp dựa kết triển khai: - Tính xác giải pháp phân quyền máy chủ file server: đạt độ an lu xác cao, phân quyền vào đƣợc phịng ban đó, dung lƣợng ngƣời dùng lƣu trữ nhƣ thiết lập từ ban quản trị va n - Tính hiệu quả: hiệu cao lƣu trữ đƣợc máy chủ Linux, máy chạy không bị treo copy file lớn vào chế độ hoạt động ổn định - Tính bảo mật an tồn: đạt độ an toàn cao phân quyền, ngƣời không truy cập chéo đƣợc - Sự hài lịng: cấu hình thuận tiện, dễ dùng (7) Sao lƣu liệu File Server Sao lƣu CentOS Đối với máy chủ chạy hệ điều hành Linux, có CentOS ta dùng Snapshort LVM (Logical Volume Manager) - Tạo ổ snapshot #lvcreate -L 1GB -s -n IT-snap /dev/vg-victs/victs1 (vg=vg-victs, lv=victs1) Các thành phần câu lệnh: -L 1GB: Đặt dung lƣợng cho ổ snapshot -s: Tạo snapshot 58 -n: Tạo tên cho snapshot victs-snap: Tên snapshot /dev/victs/IT : Volume cần snapshot Sao lƣu Windows Chúng ta cần chuẩn bị ổ cứng trống để Backup Windows Server Hình 3.54: Tạo phân vùng lƣu trữ Backup an lu n va 59 Hình 3.55: Cài đặt Window Server Backup - Sau ta khởi động Window Server Backup an lu n va Hình 3.56: Giao diện Window Server Backup - Ta chọn Backup Once, có lựa chọn nhƣng chọn Custom để Backup Folder Data có liệu - Sau chọn nơi lƣu trữ chọn Backup 60 an lu n va Hình 3.57: Chọn ổ đĩa lƣu trữ Backup 3.3.2 Sau thử nghiệm ta có kết Những kết thử nghiệm cho kết khả quan, ổn định đáp ứng đƣợc yêu cầu bảo mật cho máy chủ ảo nhƣ hạ tầng ảo hóa Các giải pháp cài đặt thử nghiệm đáp ứng cho hệ thống máy chủ ảo hóa Viện Khoa học công nghệ sáng tạo Việt Nam đáp ứng đƣợc nhu cầu trình vận hành quản lý Viện 3.4 Kết luận chƣơng Chƣơng luận văn khảo sát mạng nội Viện Khoa học công nghệ sáng tạo Việt Nam, vấn đề nảy sinh trình sử dụng yêu cầu bảo mật hệ thống may chủ ảo nhằm đáp ứng nhu cầu Viện Khoa học công nghệ sáng tạo Việt Nam Luận văn đề xuất giải pháp bảo mật máy chủ ảo hệ thống ảo hóa ứng dụng Viện Khoa học công nghệ sáng tạo Việt Nam Qua kết từ thử nghiệm hoàn toàn phù hợp với yêu cầu đặt từ ban đầu 61 KẾT LUẬN Với mục tiêu nghiên cứu, áp dụng bảo mật máy chủ ảo hệ thống ảo hóa ứng dụng Viện Khoa học công nghệ sáng tạo Việt Nam, luận văn dự kiến đạt đƣợc số kết sau đây: - Tổng quan cơng nghệ ảo hóa yêu cầu bảo mật máy chủ ảo - Nghiên cứu giải pháp bảo mật máy chủ ảo hệ thống ảo hóa - Đề xuất giải pháp bảo mật máy chủ ảo hệ thống ảo hóa Viện khoa học công nghệ sáng tạo Việt Nam Hƣớng phát triển tiếp theo: Học viên tiếp tục nghiên cứu, hồn thiện, tối ƣu giải pháp để bảo mật máy chủ ảo hệ thống ảo hóa ứng dụng Viện Khoa học cơng nghệ sáng tạo Việt Nam: mức cao Học viên nghiên cứu thêm cơng nghệ trí tuệ lu an nhân tạo (AI) để áp dụng vào viêc phát hành vi công n va 62 IV DANH MỤC TÀI LIỆU THAM KHẢO Tài liệu nƣớc [1] Hoàng Xuân Dậu (2007) - Bài giảng an toàn bảo mật hệ thống thơng tin Học viện Cơng nghệ Bƣu Viễn thơng [2] PGS.TSKH Hồng Đăng Hải (2018) - Quản lý an tồn thơng tin - Học viện Cơng nghệ Bưu Viễn thơng Nhà xuất Khoa học Kỹ thuật [3] Trần Công Cẩn (2019) – Mô mạng máy tính Trường Đại học Khánh Hịa – Trƣờng Đại học Khánh Hòa [4] Phƣơng Minh Nam (2010) - Nguy an ninh, an tồn thơng tin, liệu số giải pháp khắc phục – Bộ Công An [5] Trần Văn Khá (2008) – Firewall Linux Iptables Tài liệu ngƣớc [6] Arne Mikalsen and Per Borgesen (2002) - Local Area Network lu an Management - Design n Security University College Norway Certified Ethical Hacker – Ec Council [8] Ebook - VMware vSphere Install, Configure, Manage [9] Ebook - Sybex.Mastering.VMware.vSphere.5.Sep.2011 [10] Ebook - Securing VMware ESX servers [11] Documentation for Ussuri (May 2020) - https://docs.openstack.org [12] Certified Information System Security Professional – Microsoft [13] Cisco Certified Network Associate – Cisco Academy [14] David Miller et al (2010) Security Information and Event Management [15] Eliud Ir Eliud Aganze (2014) - Design Implementation And Management n va [7] Of Secured LAN MSc Jomokenyatta University of Agriculture And Technology [16] Gert De Laet, Gert Schauwers (2004) - Network Security Fundamentals Publisher Cisco Press [17] Helling (2015) - Home Network Security Eindhoven University of 63 Techonogy [18] IETF RFC 1701: Generic Routing Encapsulation (GRE) [19] IETF RFC 2637: Point - to - Point Tunneling Protocol (PPTP) [20] IETF RFC 2661: Layer Two Tunnuling Protocol (L2TP) [21] Jan Vykopal (2008) - Security Analysis of a Computer Network Masaryk University Faculty of Informatics [22] Kaiyuan Yang (2011) - Bachelor’s Thesis Abstract Turku University of Applied Sciences [23] Kevin Wey Kaye Tham (2006) - Dev Security Service For Network Architectures PhD Quyeesland University of Technology [24] Overview of Virtual Private Networks and IPSec Technologies - Cisco System R.C.Sreijl (2000) - Analysis of Managed Virtual Private Network [26] Tamirat Atsemegiorgis (20130 - Building a Secure Local Area Network an lu [25] Helsinki Metropolia University of Applied Sciences n va Tài liệu từ Internet: [27] http://www.cisco.com/go/vpn [28] http://www.lpi.org/ [29] http://www.vjst.vn/vn/tin-tuc/2653/big-data-va-ung-dung-trong-bao-matthong-tin.aspx [30] https://ictnews.vietnamnet.vn/cntt/bao-mat/nua-dau-nam-2019-so-cuoctan-cong-mang-vao-cac-he-thong-thong-tin-viet-nam-tiep-tuc-giam184932 [31] https://securitydaily.net/splunk-cong-cu-toan-nang-cho-cac-chuyen-giagiam-sat-an-ninh-mang/ [32] https://trendmicro.ctydtp.vn/10-vu-tan-cong-internet-lon-nhat-lichsu.html [33] https://vnetwork.vn/vi/news/10-thong-ke-ve-an-ninh-mang-2019 [34] https://www.elastic.co/elk-stack/ 64 [35] https://www.elastic.co/products [36] https://www.snort.org/ an lu n va