Đề tài "Xây dựng hệ thống bảo mật người dùng cuối" nhằm mục đích nghiên cứu, phân tích và phát triển các biện pháp bảo mật hiệu quả để bảo vệ thông tin người dùng trước những nguy cơ tấn
Trang 1Khoa Công Nghệ Thông Tin
BÁO CÁO MÔN BẢO MẬT NGƯỜI DÙNG CUỐI
ĐỀ TÀI: XÂY DỰNG HỆ THỐNG BẢO MẬT BẰNG FIREWALL
PFSENSE
Giảng viên: Đỗ Phi Hưng
Phụ trách thực hiện:
Trần Hoàng Hải -21DH112446Trần Việt Anh-21DH112293Nguyễn Tiến Đạt-20DH110575
TP Hồ Chí Minh, ngày 20 tháng 07 năm 2024
Trang 3LỜI MỞ ĐẦU
Trong thời đại công nghệ số phát triển vượt bậc, thông tin và dữ liệu cá nhân trở thành những tài sản quý giá nhưng cũng đồng thời là mục tiêu hấp dẫn cho các cuộc tấn công mạng Việc bảo vệ an toàn thông tin cá nhân và dữ liệucủa người dùng cuối không chỉ là trách nhiệm của các tổ chức và doanh
nghiệp mà còn là yêu cầu bức thiết đối với mỗi cá nhân trong xã hội
Đề tài "Xây dựng hệ thống bảo mật người dùng cuối" nhằm mục đích nghiên cứu, phân tích và phát triển các biện pháp bảo mật hiệu quả để bảo vệ thông tin người dùng trước những nguy cơ tấn công ngày càng tinh vi và đa dạng
Hệ thống bảo mật không chỉ dừng lại ở việc ngăn chặn các cuộc tấn công từ bên ngoài mà còn bao gồm các biện pháp phát hiện, ứng phó và khắc phục hậu quả khi sự cố xảy ra
Thông qua đề tài này, chúng tôi hy vọng sẽ mang đến những giải pháp tiên tiến và toàn diện, góp phần nâng cao nhận thức về an ninh mạng cũng như khả năng tự bảo vệ của người dùng cuối trong môi trường số Đồng thời, nghiên cứu này cũng sẽ đưa ra những khuyến nghị thực tiễn giúp các tổ chức
và doanh nghiệp xây dựng được hệ thống bảo mật mạnh mẽ và hiệu quả hơn.Chúng tôi tin tưởng rằng, với sự kết hợp giữa kiến thức lý thuyết và ứng dụngthực tiễn, đề tài này sẽ đóng góp tích cực vào việc nâng cao mức độ an toàn thông tin, tạo ra một môi trường mạng an toàn và tin cậy cho mọi người
Trang 4LỜI CẢM ƠN
Kính gửi thầy Đỗ Phi Hưng
Đồ án này không thể hoàn thành nếu không có sự hướng dẫn tận tâm và sự hỗtrợ quý báu của thầy Chúng em xin bày tỏ lòng biết ơn sâu sắc đến thầy vì đãluôn đồng hành, chỉ bảo và truyền cảm hứng cho chúng em trong suốt quá trình thực hiện đồ án
Thầy không chỉ là người thầy tận tụy, mà còn là người bạn đồng hành đáng quý, luôn sẵn sàng lắng nghe, chia sẻ và giải đáp mọi thắc mắc của chúng em.Những lời khuyên, góp ý của thầy đã giúp chúng em vượt qua những khó khăn, hoàn thiện kiến thức và kỹ năng, từ đó đạt được kết quả tốt nhất trong
đồ án này
Chúng em xin trân trọng gửi lời cảm ơn chân thành nhất đến thầy Hưng Hy vọng rằng trong tương lai, chúng em sẽ có thêm nhiều cơ hội được học hỏi vàlàm việc cùng thầy
Trang 5Mục lục
I/ Giới thiệu đề tài 7
a/ Lí do chọn đề tài 7
b/ Phạm vi giới hạn của đề tài 8
c/ Mục tiêu đạt được 9
II/ Cơ sở lý thuyết 10
a) Định nghĩa 10
b) Nguyên lý hoạt động 11
c) Ứng dụng triển khai 12
III/ Triển khai các rules và demo tấn công 13
a Sơ đồ triển khai 13
a) Cấu hình cơ bản cho pfsense 14
b) Quản lí người dùng cuối 16
c) Viết Rule Snort 20
d) Viết Rule cho Pfsense từ Snort để kiểm soát mạng các thiết bị trong mạng LAN 21
e) Triển khai 3 case tấn công 21
a Tấn công giao thức RDP 21
b Tấn công SQL Injection 25
c Tấn công XSS 27
IV/ Tổng kết 30
1 Kết quả đạt được 30
2 Tổng kết 30
Trang 6I/ Giới thiệu đề tài
a/ Lí do chọn đề tài
Chúng em quyết định chọn Pfsense làm đề tài cho đồ án này vì những lý do sau:
1 Tấn công dựa trên mạng (Network-based Attacks):
Scanning và Probing: Phát hiện các hoạt động quét mạng, port scanning, ping sweeps.
DoS/DDoS Attacks: Phát hiện các cuộc tấn công từ chối dịch vụ, làm gián đoạn dịch vụ mạng.
ARP Spoofing: Phát hiện các hoạt động giả mạo ARP.
Trang 72 Tấn công giao thức (Protocol-based Attacks):
TCP/IP Attacks: Phát hiện các cuộc tấn công như TCP SYN Flood, IP Spoofing.
DNS Attacks: Phát hiện các cuộc tấn công vào hệ thống DNS như DNS Spoofing, Cache Poisoning.
3 Tấn công ứng dụng (Application-based Attacks):
HTTP Attacks: Phát hiện các cuộc tấn công vào web server như SQL Injection, Cross-Site Scripting (XSS).
FTP Attacks: Phát hiện các cuộc tấn công vào dịch vụ FTP như force login attempts.
brute-Email Attacks: Phát hiện các cuộc tấn công vào hệ thống email như phishing, spam.
4 Tấn công dựa trên nội dung (Content-based Attacks):
Malware: Phát hiện các mã độc, virus, trojan thông qua các mẫu chữ ký Exploits: Phát hiện các khai thác lỗ hổng trong phần mềm, hệ điều hành.
5 Tấn công dựa trên hành vi (Behavior-based Attacks):
Anomalies: Phát hiện các hành vi bất thường trong lưu lượng mạng có thể chỉ ra các cuộc tấn công tiềm tàng.
6 Tấn công trên nền tảng điện toán đám mây (Cloud-based Attacks): API Attacks: Phát hiện các cuộc tấn công vào giao diện lập trình ứng dụng.
Data Breach: Phát hiện các hoạt động truy cập trái phép vào dữ liệu đám mây.
Chúng em tin rằng việc lựa chọn Pfsense làm đề tài đồ án là một quyết định đúng đắn và sẽ mang lại nhiều giá trị cho quá trình học tập và nghiên cứu của chúng em.
b/ Phạm vi giới hạn của đề tài
1 Phạm vi ứng dụng
Trang 8a Loại thiết bị: Máy tính cá nhân, điện thoại di động, máy tính bảng
b Hệ điều hành: Windows, macOS, Linux, Android, iOS
c Ứng dụng và dịch vụ: Trình duyệt web, email, mạng xã hội, ứng dụng ngân hàng trực tuyến…
Trang 9c/ Mục tiêu đạt được
1 Hiểu rõ được vận hành và triển khai Pfsense để áp dụng cho thực tế
2 Nắm được cơ bản các cách thức tấn công và ngăn chặn những mối nguy từ bên ngoài thông qua Pfsense
II/ Cơ sở lý thuyết
a) Định nghĩa
Người dùng cuối(End User): Là người sử dụng cuối cùng của một sản phẩm, dịch vụ hoặc hệ thống công nghệ thông tin Họ thường không phải là chuyên gia về công nghệ và bảo mật
Mối đe dọa với End User(Cyber Threats): Bao gồm malware,
phishing, ransomware, social engineering, tấn công DDoS, và nhiều hình thức tấn công khác
Confidentiality (Bảo mật thông tin): Đảm bảo rằng thông tin chỉ có thể truy cập bởi những người được phép
Integrity (Toàn vẹn thông tin): Đảm bảo rằng thông tin không bị thay đổi hoặc phá hoại một cách trái phép
Trang 10Availability (Khả dụng): Đảm bảo rằng thông tin và các dịch vụ liênquan luôn sẵn sàng cho người dùng hợp pháp khi cần thiết.
Mã hóa (Encryption): Sử dụng thuật toán để biến đổi thông tin thànhdạng không thể đọc được nếu không có khóa giải mã
Xác thực (Authentication): Quy trình xác định danh tính của người dùng, bao gồm mật khẩu, sinh trắc học, thẻ thông minh
Ủy quyền (Authorization): Xác định quyền truy cập và quyền thực hiện các hành động của người dùng trên hệ thống
Kiểm soát truy cập (Access Control): Hệ thống các biện pháp để kiểm soát ai được phép truy cập vào tài nguyên nào và ở mức độ nào
Phát hiện và ngăn chặn xâm nhập (IDS/IPS): Hệ thống phát hiện và ngăn chặn các hành vi xâm nhập trái phép vào hệ thống mạng
Quản lý rủi ro (Risk Management): Quy trình xác định, đánh giá và
ưu tiên các rủi ro, sau đó thực hiện các biện pháp để giảm thiểu hoặcloại bỏ chúng
b) Nguyên lý hoạt động
Cấu Trúc Hệ Thống:
Kernel của FreeBSD: pfSense được xây dựng trên nền tảng hệ điều hành FreeBSD, cung cấp một nền tảng ổn định và bảo mật
Packet Filter (pf): Đây là trái tim của pfSense, chịu trách nhiệm chính trong việc lọc các gói tin (packets) pf là một firewall stateful, nghĩa là nó theo dõi trạng thái của các kết nốimạng đi qua nó
Trang 11Chức Năng Chính:
Tường Lửa (Firewall): pfSense sử dụng pf để lọc và kiểm soátlưu lượng mạng dựa trên các quy tắc (rules) được thiết lập Các quy tắc này có thể dựa trên các tiêu chí như địa chỉ IP, cổng, giao thức, và nhiều yếu tố khác
Router: pfSense có thể hoạt động như một router, chuyển tiếp các gói tin giữa các mạng khác nhau Nó hỗ trợ nhiều giao thức định tuyến như OSPF, BGP và RIP
NAT (Network Address Translation): pfSense hỗ trợ NAT để dịch các địa chỉ IP nội bộ sang địa chỉ IP công cộng và ngược lại, giúp che giấu cấu trúc mạng nội bộ và cải thiện bảo mật
VPN (Virtual Private Network): pfSense hỗ trợ nhiều loại VPN như IPsec, OpenVPN, và PPTP, cho phép tạo các kết nốimạng an toàn qua Internet
DHCP Server: pfSense có thể cung cấp dịch vụ DHCP, tự động gán địa chỉ IP cho các thiết bị trong mạng nội bộ
DNS: pfSense có thể hoạt động như một DNS forwarder hoặc DNS resolver, cung cấp dịch vụ DNS cho mạng nội bộ
Quản Lý và Giám Sát:
Giao Diện Web: pfSense cung cấp một giao diện web thân thiện cho việc quản lý và cấu hình Người quản trị có thể thiết lập các quy tắc firewall, cấu hình VPN, theo dõi lưu lượng mạng và nhiều chức năng khác qua giao diện này
Giám Sát (Monitoring): pfSense tích hợp nhiều công cụ giám sát như RRD graphs, hệ thống logging chi tiết, và các công cụ phân tích lưu lượng mạng như ntopng
Tính Năng Bảo Mật:
Trang 12 Intrusion Detection and Prevention System (IDS/IPS): pfSense
hỗ trợ tích hợp các công cụ IDS/IPS như Snort và Suricata, giúp phát hiện và ngăn chặn các mối đe dọa mạng
Cập Nhật Bảo Mật: pfSense thường xuyên cập nhật các bản vábảo mật và nâng cấp hệ thống để bảo vệ chống lại các lỗ hổng mới phát hiện
III/ Triển khai các rules và demo tấn công
a Sơ đồ triển khai
Trang 13Hình 1 Sơ đồ triển khai
Pfsense có 3 card mạng là Vmnet0,1,2
Vmnet0 sẽ kết nối đến Internet
Vmnet1 sẽ kết nối cho mạng LAN(Mạng nội bộ)
Vmnet 2 sẽ kết nối cho môi trường DMZ(Win Server)
a) Cấu hình cơ bản cho pfsense
Trang 14Hình 2 Cấu hình ban đầu cho pfSense
Hình 3 Giao diện cấu hình và quản lý bằng dòng lệnh đã được setup IP và ping ra ngoài Internet
Trang 15Hình 4 Giao diện cấu hình và quản lí bằng GUI thông qua địa chỉ IP default gateway của giao diện
dòng lệnh
Trang 16b) Quản lí người dùng cuối
Chính sách quản lí người dùng theo 3 cấp độ
người dùng kết nối đến hệ thống của công ty:Email, NAS…
người dùng kết nối đến hệ thống của công ty và internet nhưng sẽ chặn những trang web mạng xã hội và giải trí(facebook, youtube…)
Hình 5 Phân thành 3 cấp người dùng trong cùng mạng LAN
Trang 17Hình 6 Tạo các rules theo từng phân cấp người dùng
Trang 18Hình 7 Tạo thêm tên miền để phân bổ cho các cấp người dùng
Hình 8 Người dùng cấp 1 truy cập không giới hạn thành công
Trang 19Hình 9 Người dùng cấp 2 truy cập trang facebook không thành công
Hình 10.Người dùng cấp 2 truy cập trang bongda24h.vn không thành công
Trang 20Hình 11 Người dùng cấp 3 truy cập facebook không thành công
Trang 21c) Viết Rule Snort
Hình 12 Viết rule phát hiện scan port từ bên ngoài và phát hiện và ngăn chặn Ddos
Trang 22d)Viết Rule cho Pfsense từ Snort để kiểm soát mạng các thiết bị trong mạng LAN
Hình 13 Rules cho mạng LAN để kiểm tra mạng LAN đang truy cập những website nào
e) Triển khai 3 case tấn công
a Tấn công giao thức RDP
Hình 14 Enable Remote Desktop trong WinServer
Hình 15 Tiến hành NAT port RDP từ IP của máy Server trên PfSense
Trang 23Hình 16 Tiến hành triển khai kịch bản scan port bằng nmap có sẵn
Hình 17 Tiến hành scan port theo kịch bản đã chọn và chọn IP WAN của Pfsense để scan
Trang 24Hình 18 Máy tấn công đã scan được port của RDP là 3389
Hình 19 Đồng thời lúc đó Pfsense cũng được Snort thông báo là có nmap scan port từ một IP WAN
Hình 20 Trên máy tấn công tiến hành brute force username và password bằng những wordlist đã được
attacker tạo từ trước
Trang 25Hình 21 Đồng thời trên Pfsense tiến hành Block lại IP đang scan port
Hình 22 Trên máy attacker đang brute force bằng những wordlist có sẵn
Trang 26Hình 23 Trên máy Pfsense đồng thời cũng block ip của máy attacker lại
Hình 24 Máy attacker đã bị chặn và drop gói tin ngay lập tức
b Tấn công SQL Injection
Hình 25 Máy attacker tiến hành vào web được public ra ngoài internet từ Pfsense và gõ những câu
truy vấn nhằm thu thập thông tin để lấy được database từ hệ thống
Trang 27Hình 26 Đồng thời lúc này Pfsense cũng nhận được thông báo từ Snort rằng đang có một cuộc tấn
công SQL Injection diễn ra trên webiste với từ khóa là UNION
Hình 27 Tiến hành block máy attacker đang tấn công SQL Injection
Hình 28 Sau khi block máy attacker không thể truy cập vào webiste được nữa
Hình 29 Trên Snort cũng đã tiến hành chặn IP của máy attacker tấn công SQL Injection
Trang 28c Tấn công XSS
Hình 30 Máy attacker tiến hành vào website và tiến hành chèn những đoạn script độc hại nhằm gây
lỗi cho hệ thống website
Hình 31 Sau khi dò tìm và chèn những đoạn script độc hại vào website thì đã khiến cho website gặp
lỗi
Trang 29Hình 32 Lỗi webiste sau khi chèn script độc hại vào website
Hình 33 Đồng thời lúc này Pfsense nhận được thông báo từ Snort về việc có một cuộc tấn công XSS
Hình 34 Tiến hành block host đang chèn script độc vào website
Trang 30Hình 35 Sau khi block máy attacker đã không còn nhận được phản hồi từ website nữa
Hình 36 Lúc này trong List blocked của Snort cũng đang chặn IP của máy attacker
Trang 31IV/ Tổng kết
1 Kết quả đạt được
Tăng cường bảo mật mạng: Hệ thống PfSense giúp bảo vệ mạng nội
bộ khỏi các mối đe dọa từ bên ngoài
Quản lý truy cập hiệu quả: Các chính sách quản lý truy cập được thiết lập rõ ràng, đảm bảo chỉ những người dùng được phép mới có thể truy cập vào các tài nguyên quan trọng
Giám sát liên tục: Hệ thống giám sát và báo cáo giúp phát hiện và phản ứng kịp thời với các sự kiện bảo mật
2 Tổng kết
Đồ án bảo mật người dùng cuối bằng PfSense đã giúp chúng em hiểu rõ hơn về những lỗ hỏng bảo mật thường gặp trong hệ thống công ty từ đó chúng em có các bước triển khai và phản ứng kịp thời
để vá những lỗ hổng ấy lại nhằm duy trì hệ thống trong công ty đượcduy trì ổn định trước các cuộc tấn công của các hacker có mục đích xấu