GVHD: ThS. Phạm Đức Hồng SVTH: Nguyễn Xuân Công LỜI MỞ ĐẦU 1. Lý do ch ọn đề t ài Ngày nay, máy tính và mạng internet đã được phổ biến rộng rãi, các tổ chức, cá nhân đ ều có nhu cầu sử dụng máy tính v à mạng máy tính để tính toán, lưu trữ, quảng bá thông tin hay s ử dụng các giao dịch trực tuyến trên mạng. Nhưng đ ồng thời với nh ững c ơ hội được mở ra lại có những nguy cơ khi mạng máy tính không được quản lý s ẽ dễ dàng bị tấn công, gây hậu quả nghiêm trọng. Xác đ ịnh đ ược tầm quan trọng trong việc bảo mật hệ thống mạng của doanh nghi ệp nên em đã chọn và nghiên c ứu đề tài “ Xây d ựng tường lửa cho hệ thống m ạng tr ường Đại học Điện Lực ” v ới mục đích t ìm hiểu sâu sắc về cơ chế hoạt động c ủa nó cũng như p hát hi ện ra những nhược điểm tìm gi ải pháp khắc phục những nhược đi ểm này để hệ thống mạng trong doanh nghiệp luôn đư ợc vấn hành trơn tru, an toàn và h ạn chế sự cố xảy ra. 2. M ục đích nghiên cứu Nghiên c ứu về hệ thống firewall mã ngu ồn mở với PF Sense. Tri ển khai hệ thống firewall mã ngu ồn mở với PF Sense cho trư ờng Đại học Điện Lực. 3. Đ ối tượng và phạm vi nghiên cứu Nghiên c ứu mô h ình hệ thống firewall mã ngu ồn mở với PFSense. Nghiên c ứu triển khai hệ thống firewall mã ngu ồn mở với PFSense cho trư ờng Đ ại học Điện Lực . 4. Phương pháp nghiên c ứu Dư ới sự h ướng dẫn của giảng viên hướng dẫn. Tìm hiểu các t ài liệu liên quan v ề PFSense và các h ệ thống firewall đư ợc triển khai v ới PFSense. Triển khai thực nghiệm trên mô hình hệ thống mạng để kiểm chứng lý thuyết đã nghiên c ứu đ ược. 5. Ý ngh ĩa khoa học và thực tiễn của đề tài - Ý ngh ĩa khoa học: Cung c ấp một bộ tài liệu học tập và tham kh ảo cho các khóa sau. GVHD: ThS. Phạm Đức Hồng SVTH: Nguyễn Xuân Công Cung c ấp một bộ t ài liệu tập huấn triển khai hệ th ống firewall mã ngu ồn mở với PFSense. - Ý ngh ĩa thực tiễn: Sau khi thực hiện đề tài có thể giúp sinh viên nâng cao khả năng nghiên cứu, cách xây d ựn g m ột hệ thống firewall v ới PFSense. Tên đ ề tài: “Xây d ựng tường lửa cho hệ thống mạng trường Đại học Điện L ực ”. Cấu trúc của luận văn: C ấu trúc gồm 3 ch ương: - Chương 1: T ổng quan và giải pháp an toàn – An ninh m ạng . - Chương 2: T ổng quan về firewall PFSense. - Chương 3: Cài đ ặt v à tri ển khai firewall PFS ense. GVHD: ThS. Phạm Đức Hồng SVTH: Nguyễn Xuân Công LỜI CẢM ƠN Đầu tiên em xin chân thành cảm ơn Ths. Phạm Đức Hồng - người đ ã tr ực tiếp hướng dẫn và định hướng giúp em có thể nhanh chóng tiếp cận, nắm bắt kiến thức và hoàn thành đề tài này. Em xin chân thành cảm tới toàn thể thầy cô giáo khoa Công Nghệ Thông Tin - trường Đại học Điện Lực đ ã truy ền đạt nhiều kinh nghiệm và kiến thức quý báu cho em trong suốt quá trình học tập tại trường. Em xin g ửi lời cảm ơn tới t rư ờng Đại h ọc Điện Lực, v ì đã tạo điều kiện thuận lợi cho em trong su ốt quá trình học tập tại trường. Em xin g ửi lời cảm ơn đến những người thân trong gia đình, bạn bè đã động viên và t ạo mọi điều kiện giúp chúng em trong quá trình học tập cũng như trong cuộc sống. Mặc dù em đ ã c ố gắng hết sức để hoàn thành đồ án tốt nghiệp này, nhưng v ì tham khảo ở nhiều nguồn tài liệu khác nhau, cộng thêm kiến thức còn nhiều hạn chế, do đó không thể tránh khỏi những thiếu sót. Em rất mong nhận được sự thông cảm và đóng góp, chỉ bảo tận tình của quý thầy cô và các bạn để đồ án ngày càng hoàn thiện hơn. Một lần nữa em xin gửi lời cảm ơn chân thành nhất! Hà Nội, tháng 1 năm 2015 Sinh viên thực hiện Nguyễn Xuân Công GVHD: ThS. Phạm Đức Hồng SVTH: Nguyễn Xuân Công MỤC LỤC DANH MỤC HÌNH ẢNH DANH MỤC TỪ VIẾT TẮT CHƯƠNG 1. TỔNG QUAN VÀ GIẢI PHÁP VỀ AN TOÀN – AN NINH MẠNG 1 1.1.Tổng quan về an toàn – an ninh mạng 1 1.1.1. An toàn mạng là gì 1 1.1.2. Các đặc trưng kỹ thuật của an toàn mạng 2 1.1.3. Đánh giá về sự đe dọa, các điểm yếu của hệ thống và các kiểu tấn công 3 1.1.4. Một số giải pháp dùng cho trường đại học 9 1.2.Giải pháp an toàn – an ninh mạng với firewall 11 1.2.1. Khái niệm 11 1.2.2. Chức năng 13 1.2.3. Các thành loại firewall và cơ chế hoạt động. 14 1.2.4. Kiến trúc cơ bản của firewall 16 1.2.5. Các thành phần của firewall và cơ chế hoạt động 22 1.2.6. Kỹ thuật firewall 25 1.2.7. Những hạn chế của firewall 26 1.3.Kết luận 27 CHƯƠNG 2. TỔNG QUAN VỀ FIREWALL PFSENSE 28 2.1.Giới thiệu firewall PFSense 28 2.2.Một số chức năng chính của firewall PFSense 29 2.2.1. Aliases 29 2.2.2. Rules (Luật) 30 2.2.3. Firewall Schedules 31 2.2.4. Nat 32 2.2.5. Traffic shaper 32 GVHD: ThS. Phạm Đức Hồng SVTH: Nguyễn Xuân Công 2.2.6. Virtual IPs 32 2.3.Một số dịch vụ của firewall PFSense 33 2.3.1. Captive Portal 33 2.3.2. DHCP Server 34 2.3.3. DHCP Relay 35 2.3.4. Load Balancer 36 2.3.5. Một số chức năng khác 36 2.4. Kết luận 36 CHƯƠNG 3. CÀI ĐẶT VÀ TRIỂN KHAI FIREWALL PFSENSE 38 3.1.Khảo sát nhu cầu sử dụng và cơ sở vật chất hiện tại 38 3.1.1. Nhu cầu sử dụng 38 3.1.2. Cơ sở vật chất và hệ thống mạng trường Đại học Điện Lực 38 3.2.Mô hình bảo mật hiện nay tại trường Đại Học Điện Lực 40 3.2.1. Các yêu cầu cho Computer Room 40 3.2.2. Vị trí 40 3.2.3. Thiết kế kiến trúc 41 3.2.4. Thiết kế điện 41 3.3.Cài đặt firewall PFSense cho hệ thống mạng trường Đại học Điện Lực 42 3.3.1. Mô hình triển khai 42 3.3.2. Cài đặt hệ thống PFSense 44 3.4.Cấu hình firewall PFSense 45 3.4.1. Cấu hình card mạng cho firewall PFSense 45 3.4.2. Cấu hình Captive Portal 47 3.4.3. Aliases 48 3.4.4. Nat 49 3.4.5. Rule 49 3.4.6. Cấm web theo địa chỉ và download 51 GVHD: ThS. Phạm Đức Hồng SVTH: Nguyễn Xuân Công 3.4.7. Hạn chế tải và upload băng thông mỗi IP 53 3.4.8. Public webserver 55 3.5.Kiểm tra và tối ưu hệ thống 57 3.6.So sánh PFSense với firewall khác 57 3.6.1. So sánh PFSense với ISA Server: 57 3.6.2. So sánh PFSense với firewall cứng 57 3.7.Kết luận 58 KẾT LUẬN 59 DANH MỤC TÀI LIỆU THAM KHẢO 60 GVHD: ThS. Phạm Đức Hồng SVTH: Nguyễn Xuân Công DANH MỤC HÌNH ẢNH Hình 1.1 S ơ đ ồ mạng cho trường học 9 Hình 1.2. Sơ đồ mạng cho trường đại học cỡ vừa 10 Hình 1.3. S ơ đ ồ mạng nhiều tường lửa 10 Hình 1.4. S ơ đ ồ mạng trường ĐH SPKT Hưng Yên 11 Hình 1.5. Mô hình t ư ờng lửa đơn giản 12 Hình 1.6. S ơ đ ồ làm việc của Packet Filtering 14 Hình 1.7. Kiến trúc Dual – homed Host 16 Hình 1.8. Kiến trúc Screened Host 18 Hình 1.9. Kiến trúc Screened Subnet 19 Hình 1.10. Vùng DMZ đư ợc tách riêng với mạng nội bộ 21 Hình 1.11. S ơ đ ồ kiến trúc sử dụng 2 Bastion Host 21 Hình 1.12. Lọc gói tin 22 Hình 1.13. Cổng mạch 25 Hình 2.1. Biểu tượng của PFSense 28 Hình 2.2. Mô hình triển khai PFSense cho trường học 29 Hình 2.3. Chức năng Firewal: Aliases 29 Hình 2.4. Thiết lập Firewall: Aliases 30 Hình 2.5. Chức năng Firewall: Rules 30 Hình 2.6. Thiết lập chức năng Firewall Schedules 31 Hình 2.7. Chức năng firewall Schedules 31 Hình 2.8. Chức năng NAT 32 Hình 2.9. Chức năng Traffic Shaper 32 Hình 2.10. Chức năng Virtual IPs 32 Hình 2.11. Dịch vụ Captive Portal 34 Hình 2.12. Chạy dịch vụ DHCP Server 35 Hình 2.13. Tính n ăng c ấp IP động 35 GVHD: ThS. Phạm Đức Hồng SVTH: Nguyễn Xuân Công Hình 2.14. Cấp địa chỉ IP t ĩnh 35 Hình 2.15. Dịch vụ DHCP Relay 35 Hình 2.16. Dịch vụ Load Balancer 36 Hình 3.1. Mô hình triển khai thực tế 42 Hình 3.2. Mô hình triển khai giả lập 43 Hình 3.5. Cài đ ặt VLANs 44 Hình 3.6. Màn hình đăng nh ập 45 Hình 3.7. Interface WAN 46 Hình 3.9. Interface DMZ 47 Hình 3.10. Khai báo DNS Server 47 Hình 3.11. Captive Portal 47 Hình 3.12. Tạo user cho captive portal 48 Hình 3.13. Aliases Network Google 48 Hình 3.14. Nat 49 Hình 3.15. Tạo Rule cho vào mạng 50 Hình 3.16. Vào mạng khi rule cho phép 50 Hình 3.17. Tạo Rule không cho vào mạng 51 Hình 3.18. Kết quả cấm vào mạng 51 Hình 3.19. Cấm web theo domains or IP-addresses 52 Hình 3.20. Kết quả cấm web theo domains or IP-addresses 52 Hình 3.21. Cấm download theo định dạng file 53 Hình 3.22. Kết quả cấm download theo định dạng file 53 Hình 3.23. Cài đ ặt băng thông tải 54 Hình 3.24. Cài đặt băng thông upload 54 Hình 3.25. Cấu hình public webserver 55 Hình 3.26. Cấu hình Nat public webserver 56 Hình 3.27. Truy cập web server từ mạng ngoài 56 GVHD: ThS. Phạm Đức Hồng SVTH: Nguyễn Xuân Công DANH MỤC TỪ VIẾT TẮT CARP Commom Address Redundancy Protocol DMZ Denilitarized Zone DoS Denial of Services FTP File Transfer Protocol HTTP Hypertext Transfer Protocol IP Internet Protocol LAN Local Area Network NAT Network Address Translation OSI Open Systems Interconnection PPTP Point-to-Point Tunneling Protocol SMTP Simple Mail Transfer Protocol VPN Virtual Private Network WAN Wide Area Network 1 GVHD: ThS. Phạm Đức Hồng SVTH: Nguyễn Xuân Công CHƯƠNG 1. TỔNG QUAN VÀ GIẢI PHÁP VỀ AN TOÀN – AN NINH MẠNG 1.1. Tổng quan về an toàn – an ninh mạng 1.1.1. An toàn mạng là gì Mục tiêu của việc kết nối mạng là để nhiều người sử dụng, từ những vị trí địa lý khác nhau có thể sử dụng chung tài nguyên, trao đổi thông tin với nhau. Do đặc điểm nhiều người sử dụng lại phân tán về mặt vật lý nên việc bảo vệ các tài nguyên thông tin trên mạng tránh sự mất mát, xâm phạm là cần thiết và cấp bách. An toàn mạng có thể hiểu là cách bảo vệ, đảm bảo an toàn cho tất cả các thành phần mạng bao gồm: dữ liệu, thiết bị, cơ sở hạ tầng mạng và đảm bảo mọi tài nguyên mạng được sử dụng tương ứng với một chính sách hoạt động được ấn định và với chỉ những người có thẩm quyền tương ứng. An toàn mạng bao gồm: Xác định chính sách, các khả năng nguy cơ xâm phạm mạng, các sự cố rủi ro đối với các thiết bị, dữ liệu trên mạng để có các giải pháp phù hợp đảm bảo an toàn mạng. Đánh giá nguy cơ tấn công của các Hacker đến mạng, sự phát tán virus… Phải nhận thấy an toàn mạng là một trong những vấn đề cực kỳ quan trọng trong các hoạt động, giao dịch điện tử và trong việc khai thác sử dụng các tài nguyên mạng. Một thách thức đối với an toàn mạng là xác định chính xác cấp độ an toàn cần thiết cho việc điều khiển hệ thống và các thành phần mạng. Đánh giá các nguy cơ, các lỗ hổng khiến mạng có thể bị xâm phạm thông qua cách tiếp cận có cấu trúc. Xác định những nguy cơ ăn cắp, phá hoại máy tính, thiết bị, nguy cơ virus, sâu gián điệp, nguy cơ xóa, phá hoại CSDL, ăn cắp mật khẩu, … nguy cơ đối với sự hoạt động của hệ thống như nghẽn mạng, nhiễu điện tử. Khi đánh giá được hết những nguy cơ ảnh hưởng tới an ninh mạng thì mới có thể có được những biện pháp tốt nhất để đảm bảo an ninh mạng. Sử dụng hiệu quả các công cụ bảo mật (ví dụ như firewall) và những biện pháp, chính sách cụ thể chặt chẽ. Về bản chất có thể phân loại vi phạm thành các vi phạm thụ động và vi phạm chủ động. Thụ động và chủ động được hiểu theo ngh ĩa có can thi ệp vào nội dung và luồng thông tin có bị trao đổi hay không. Vi phạm thụ động chỉ nhằm mục đích nắm bắt được thông tin. Vi phạm chủ động là thực hiện sự biến đổi, xóa bỏ hoặc thêm thông tin ngoại lai để làm sai lệch thông tin gốc nhằm mục đích phá hoại. Các hoạt động vi [...]... các chi nhánh của họ Còn tại trung tâm mạng có thể thực hiện sơ đồ an ninh nhiều tầng như sau: GVHD: ThS Phạm Đức Hồng SVTH: Nguyễn Xuân Công 10 Hình 1.2 Sơ đồ mạng cho trường đại học cỡ vừa Mô hình mạng trường học sử dụng nhiều tường lửa và server Hình 1.3 Sơ đồ mạng nhiều tường lửa GVHD: ThS Phạm Đức Hồng SVTH: Nguyễn Xuân Công 11 Mô hình mạng cụ thể của trường ĐH SPKT Hưng Yên Hình 1.4 Sơ đồ mạng... (Nonrepulation): Trong quá trình giao lưu tin t ức trên mạng, xác nhận tính chân thực đồng nhất của những thực thể tham gia, tức là tất cả các thực thể tham gia không thể chối bỏ hoặc phủ nhận những thao tác và cam kết đã đư ợc thực hiện 1.1.3 Đánh giá về sự đe dọa, các điểm yếu của hệ thống và các kiểu tấn công 1.1.3.1 Đánh giá về sự đe dọa Về cơ bản có 4 mối đe dọa đến vấn đề bảo mật mạng như sau: -... dụng để phân chia mạng thành những phân đoạn mạng và thiết lập nhiều tầng an ninh khác nhau trên các phân đoạn mạng khác nhau để có thể đảm bảo rằng những tài nguyên quan trọng hơn sẽ được bảo vệ tốt hơn, đồng thời tường lửa còn hạn chế lưu lượng và điểu khiển lưu lượng chỉ cho phép chúng đến những nơi chúng được phép đến 1.1.3.6 Mã hóa thông tin GVHD: ThS Phạm Đức Hồng SVTH: Nguyễn Xuân Công 9 Mật... đại học việc trang bị một mạng tác nghiệp vừa phải đảm bảo an ninh an toàn, vừa phải phù hợp chi phí, dễ triển khai và bảo trì là đi ều cần thiết Ở đây chúng ta đưa ra giải pháp dùng một thiết bị PC đa chức năng làm tường lửa để bảo vệ vành đai, chạy IDS để cảnh báo tấn công, chạy NAT để che cấu trúc logic của mạng, chạy VPN để hỗ trợ bảo mật kết nối xa Hình 1.1 Sơ đồ mạng cho trường học Với các trường... hệ thống được sử dụng bình thường với thời gian quá trình hoạt động để đánh giá Tính khả dụng cần đáp ứng những yêu cầu sau: Nhận biết và phân biệt thực thể, khống chế tiếp cận (bao gồm cả việc khống chế tự tiếp cận và khống chế tiếp cận cưỡng bức), khống chế lưu lượng (chống tắc nghẽn), không chế chọn đường (cho phép chọn đường nhánh, mạch nối ổn định, tin cậy), giám sát tung tích (tất cả các sự kiện... Server để nối trực tiếp với mạng bên trong/bên ngoài (internal/external network), đồng thời có thể cho phép Bastion Host mở một kết nối với internal/external host Proxy Service: Bastion Host sẽ chứa các Proxy Server để phục vụ một số dịch vụ hệ thống cung cấp cho người sử dụng qua Proxy Server Hình 1.8 Kiến trúc Screened Host Đánh giá một số ưu, khuyết điểm chính của kiến trúc Screened Host Kiến trúc screened... trúc screened host hay hơn kiến trúc dual-homed host ở một số điểm cụ thể sau: Dual-Home Host: Khó có thể bảo vệ tốt vì máy này cùng lúc cung cấp nhiều dịch vụ, vi phạm qui tắc căn bản là mỗi phần tử hay thành phần nên giữ ít chức năng nếu có thể được (mỗi phần tử nên giữ ít chức năng càng tốt) , cũng như t ốc độ đáp ứng khó có thể cao vì cùng lúc đ ảm nhiệm nhiều chức năng Screened Host: Đã tách chức... không thể truy nhập trực tiếp vào Internet Điều này đảm bảo rằng những user bên trong bắt buộc phải truy nhập Internet qua dịch vụ Proxy Đánh giá về kiến trúc Screened Subnet Host: Đối với những hệ thống yêu cầu cung cấp dịch vụ nhanh, an toàn cho nhiều người sử dụng đồng thời cũng như kh ả năng theo dõi lưu thông của mỗi người sử dụng trong hệ thống và dữ liệu trao đổi giữa các người dùng trong hệ thống...  Bộ lọc gói tin firewall hoạt động chặt chẽ với giao thức TCP/IP, vì giao thức này làm việc theo thuật toán chia nhỏ các dữ liệu nhận được từ các ứng dụng trên mạng, hay nói chính xác hơn là các dịch vụ chạy trên các giao thức (Telnet, SMTP, DNS, NFS …) thành các gói dữ liệu (data packets) rồi gán cho các gói này những địa chỉ có thể nhận dạng, tái lập lại ở đích cần gửi đến, đó đó các loại firewall... của bất cứ phần mềm bảo mật nào Và cũng cần nhớ rằng công nghệ chỉ là một phần của giải pháp bảo mật Một nhân tố nữa hết sức quan trọng quyết định thành công của giải pháp là sự hợp tác của nhân viên, đồng nghiệp 1.3 Kết luận Trong chương này đã nêu tổng quan về an ninh mạng và các giải pháp an toàn, các cách tấn công mạng thông mạng và giải pháp an toàn Giới thiệu về firewall, cơ chế hoạt động, các chức . c ố gắng hết sức để hoàn thành đồ án tốt nghiệp này, nhưng v ì tham khảo ở nhiều nguồn tài liệu khác nhau, cộng thêm kiến thức còn nhiều hạn chế, do đó không thể tránh khỏi những thiếu sót. Em. góp, chỉ bảo tận tình của quý thầy cô và các bạn để đồ án ngày càng hoàn thiện hơn. Một lần nữa em xin gửi lời cảm ơn chân thành nhất! Hà Nội, tháng 1 năm 2015 Sinh viên thực hiện Nguyễn Xuân Công GVHD:. webserver 55 3.5.Kiểm tra và tối ưu hệ thống 57 3.6.So sánh PFSense với firewall khác 57 3.6.1. So sánh PFSense với ISA Server: 57 3.6.2. So sánh PFSense với firewall cứng 57 3.7.Kết luận 58 KẾT